Dans la configuration par défaut, les règles de pare-feu empêchent les VM sur le réseau de calcul d'accéder aux machines virtuelles sur le réseau de gestion. Pour autoriser des machines virtuelles de charge de travail individuelles à accéder à des machines virtuelles de gestion, créez des groupes d'inventaire de charge de travail et de gestion, puis créez des règles de pare-feu de passerelle de gestion qui les référencent.

Procédure

  1. Créez des groupes d'inventaire de charge de travail : une pour le réseau de gestion et une pour la machine virtuelle de charge de travail à laquelle vous souhaitez accéder.
    Dans l'onglet Mise en réseau et sécurité, cliquez sur Groupes dans la catégorie Inventaire, puis sur Groupes de charge de travail. Créer deux groupes de charges de travail :
    • Cliquez sur AJOUTER UN GROUPE et créez un groupe avec un Type de membre d'adresse IP et le bloc CIDR du réseau de gestion. Cliquez sur ENREGISTRER pour créer le groupe.
    • Cliquez sur AJOUTER UN GROUPE et créez un groupe avec un Type de membre de machine virtuelle et une machine virtuelle membre à partir de votre inventaire vSphere. Cliquez sur ENREGISTRER pour créer le groupe.
  2. Créez un groupe d'inventaire de gestion pour représenter le réseau de gestion auquel vous souhaitez accéder à partir du groupe de charge de travail.
    Dans l'onglet Mise en réseau et sécurité, cliquez sur Groupes dans la catégorie Inventaire, puis sur Groupes de gestion. Cliquez sur AJOUTER UN GROUPE et créez un groupe avec un Type de membre d'adresse IP le bloc CIDR de réseau de gestion. Cliquez sur ENREGISTRER pour créer le groupe.
  3. Créez une règle de pare-feu de passerelle de calcul autorisant le trafic sortant vers le réseau de gestion.
    Reportez-vous à la section Ajouter ou modifier des règles de pare-feu de passerelle de calcul pour plus d'informations sur la création de règles de pare-feu de passerelle de calcul. En supposant que vos machines virtuelles de charge de travail n'ont besoin d'accéder qu'à vSphere et PowerCLI/OVFtool sur les machines virtuelles de gestion, la règle doit uniquement autoriser l'accès sur le port 443.
    Tableau 1. Règle de passerelle de calcul pour autoriser le trafic sortant vers ESXi et vCenter
    Nom Source Destination Services Action Appliqué à
    Trafic sortant vers le réseau de gestion sur le port 443 Adresse IP privée de la machine virtuelle de charge de travail Réseau de gestion VMC HTTPS Autoriser Toutes les liaisons montantes
  4. Créez une règle de pare-feu de passerelle de gestion autorisant le trafic entrant vers vCenter Server et ESXi.
    Reportez-vous à la section Ajouter ou modifier des règles de pare-feu de passerelle de gestion pour plus d'informations sur la création de règles de pare-feu de passerelle de gestion. En supposant que vos machines virtuelles de charge de travail n'ont besoin d'accéder qu'à vSphere, PowerCLI ou OVFtool sur vCenter et ESXi, la règle doit uniquement autoriser l'accès sur le port 443.
    Tableau 2. Règle de passerelle de gestion pour autoriser le trafic entrant vers ESXi et vCenter
    Nom Source Destination Services Action
    Trafic entrant sur le port ESXi 443 Adresse IP privée de la machine virtuelle de charge de travail ESXi HTTPS (TCP 443) Autoriser
    Trafic entrant sur le port vCenter 443 Adresse IP privée de la machine virtuelle de charge de travail vCenter HTTPS (TCP 443) Autoriser