En la configuración predeterminada, las reglas de firewall impiden que las máquinas virtuales en la red de cálculo accedan a las máquinas virtuales en la red de administración. Para permitir que máquinas virtuales de carga de trabajo individuales accedan a máquinas virtuales de administración, cree grupos de inventario de carga de trabajo y administración, y cree reglas de firewall de puerta de enlace de administración que hagan referencia a esos grupos.

Procedimiento

  1. Cree grupos de inventario de carga de trabajo: uno para la red de administración y otro para la máquina virtual de carga de trabajo que desee que tenga acceso al grupo.
    En la pestaña Redes y seguridad, haga clic en Grupos en la categoría Inventario y, a continuación, haga clic en Grupos de carga de trabajo. Crear dos grupos de carga de trabajo:
    • Haga clic en AGREGAR GRUPO y cree un grupo con un Tipo de miembro de dirección IP y el bloque CIDR de la red de administración. Haga clic en GUARDAR para crear el grupo.
    • Haga clic en AGREGAR GRUPO y cree un grupo con un Tipo de miembro de máquina virtual y una máquina virtual miembro del inventario de vSphere. Haga clic en GUARDAR para crear el grupo.
  2. Cree un grupo de inventario de administración para representar la red de administración a la que desea acceder desde el grupo de carga de trabajo.
    En la pestaña Redes y seguridad, haga clic en Grupos en la categoría Inventario y, a continuación, haga clic en Grupos de administración. Haga clic en AGREGAR GRUPO y cree un grupo con un Tipo de miembro de dirección IP y el bloque CIDR de la red de administración. Haga clic en GUARDAR para crear el grupo.
  3. Cree una regla de firewall de puerta de enlace de cálculo que permita el tráfico saliente a la red de administración.
    Consulte Agregar o modificar reglas de firewall de puerta de enlace de cómputo para obtener información sobre la creación de reglas de firewall de puerta de enlace de cálculo. Suponiendo que las máquinas virtuales de carga de trabajo solo necesiten acceder a vSphere y PowerCLI/OVFtool en máquinas virtuales de administración, la regla solo necesita permitir el acceso en el puerto 443.
    Tabla 1. Regla de puerta de enlace de cálculo para permitir el tráfico saliente a ESXi y vCenter
    Nombre Origen Destino Servicios Acción Se aplica a
    Saliente a red de administración en puerto 443 IP privada de máquina virtual de carga de trabajo Red de administración de VMC HTTPS Permitir Todos los vínculos superiores
  4. Cree una regla de firewall de puerta de enlace de administración que permita el tráfico entrante a vCenter Server y ESXi.
    Consulte Agregar o modificar reglas de firewall de puerta de enlace de administración para obtener información sobre la creación de reglas de firewall de puerta de enlace de administración. Suponiendo que las máquinas virtuales de carga de trabajo solo necesiten acceder a vSphere, PowerCLI u OVFtool en vCenter y ESXi, la regla solo necesita permitir el acceso en el puerto 443.
    Tabla 2. Regla de puerta de enlace de administración para permitir el tráfico entrante a ESXi y vCenter
    Nombre Origen Destino Servicios Acción
    Entrante a puerto ESXi 443 IP privada de máquina virtual de carga de trabajo ESXi HTTPS (TCP 443) Permitir
    Entrante a puerto vCenter 443 IP privada de máquina virtual de carga de trabajo vCenter HTTPS (TCP 443) Permitir