Pour activer VMware Site Recovery sur votre environnement de SDDC qui utilise VMware NSX-T®, vous devez créer des règles de pare-feu entre votre centre de données sur site et la passerelle de gestion. Après la configuration initiale des règles de pare-feu, vous pouvez ajouter, modifier ou supprimer des règles selon vos besoins.
Conditions préalables
- Vérifiez que vous avez activé VMware Site Recovery sur le SDDC.
Procédure
- Connectez-vous à la console VMware Cloud on AWS à l'adresse https://vmc.vmware.com.
- Sélectionnez Mise en réseau et sécurité > Pare-feu de passerelle > Passerelle de gestion.
- Cliquez sur Ajouter une nouvelle règle.
- Entrez les paramètres de règle de la passerelle de gestion.
La passerelle de gestion permet de contrôler le trafic de gestion entrant et sortant du SDDC.
Option Description Nom Entrez un nom descriptif pour la règle. Source Cliquez sur Définir la source et entrez ou sélectionnez l'une des options suivantes :- Sélectionnez Tous pour autoriser le trafic à partir de n'importe quelle adresse source ou plage d'adresses.
Important : Bien que vous puissiez sélectionner Tous comme adresse source dans une règle de pare-feu, l'utilisation de Tous comme adresse source dans cette règle de pare-feu peut activer les attaques sur votre SDDC et le compromettre. Il est recommandé de configurer cette règle de pare-feu pour autoriser l'accès uniquement à partir d'adresses sources approuvées. Reportez-vous à l'article 84154 de la base de connaissances VMware.
- Sélectionnez Groupes définis par le système et sélectionnez l'une des options de source suivantes.
- vCenter pour autoriser le trafic provenant de l'instance de vCenter Server de votre SDDC
- Site Recovery Manager pour autoriser le trafic provenant l'instance de Site Recovery Manager de votre SDDC.
- vSphere Replication pour autoriser le trafic provenant de l'instance de vSphere Replication de votre SDDC.
- Sélectionnez Groupes définis par l'utilisateur pour entrer le nom et la plage d'adresses IP CIDR d'un réseau distant.
Destination Cliquez sur Définir la destination et entrez ou sélectionnez l'une des options suivantes :- Sélectionnez Tous pour autoriser le trafic vers n'importe quelle adresse de destination ou plage d'adresses.
- Sélectionnez Groupes définis par le système et sélectionnez l'une des options de destination suivantes.
- vCenter pour autoriser le trafic vers l'instance de vCenter Server de votre SDDC.
- Site Recovery Manager pour autoriser le trafic vers l'instance de Site Recovery Manager votre SDDC.
- vSphere Replication pour autoriser le trafic vers l'instance de vSphere Replication de votre SDDC.
- Sélectionnez Groupes définis par l'utilisateur pour entrer le nom et la plage d'adresses IP CIDR d'un réseau distant.
Service Sélectionnez l'un des services sur lequel appliquer la règle.
- HTTPS (TCP 443) s'applique à vCenter Server et vSphere Replication en tant que destinations.
- Le SRM VMware Site Recovery s'applique uniquement à Site Recovery Manager en tant que destination.
- VMware Site Recovery vSphere Replication s'applique uniquement à vSphere Replication en tant que destination.
Action La seule action disponible pour les règles de pare-feu de passerelle de gestion est Autoriser. - Sélectionnez Tous pour autoriser le trafic à partir de n'importe quelle adresse source ou plage d'adresses.
- Répétez l'étape précédente pour appliquer les règles de pare-feu suivantes pour VMware Site Recovery.
Nom Source Destination Service Action Connexion SRM distante vers vCenter Server Groupe défini par l'utilisateur qui comprend l'adresse IP Site Recovery Manager distante. vCenter HTTPS (TCP 443) Autoriser Connexion VR distante vers vCenter Server Groupe défini par l'utilisateur qui comprend l'adresse IP vSphere Replication distante. vCenter HTTPS (TCP 443) Autoriser Réseau distant vers SRM (gestion du serveur SRM) Groupe défini par l'utilisateur qui comprend les adresses IP Site Recovery Manager et vSphere Replication distantes. Site Recovery Manager SRM VMware Site Recovery Autoriser Réseau distant vers VR (réplication de machine virtuelle) Groupe défini par l'utilisateur qui comprend les adresses IP ESXi des hôtes distants. vSphere Replication VMware Site Recovery vSphere Replication Autoriser Réseau distant vers VR (gestion du serveur VR) Groupe défini par l'utilisateur qui comprend les adresses IP Site Recovery Manager et vSphere Replication distantes. vSphere Replication VMware Site Recovery vSphere Replication Autoriser Réseau distant vers VR (interface utilisateur et API) Groupe défini par l'utilisateur qui inclut l'adresse IP du navigateur distant. vSphere Replication VMware Site Recovery vSphere Replication Autoriser SRM (HTTPS) vers le réseau distant Site Recovery Manager Catégories Tous ou Groupe défini par l'utilisateur qui comprennent les adresses IP des instances de Platform Services Controller et vCenter Server distantes. Tous Autoriser VR (HTTPS) vers le réseau distant vSphere Replication Catégories Tous ou Groupe défini par l'utilisateur qui comprennent les adresses IP des instances de Platform Services Controller et vCenter Server distantes. Tous Autoriser SRM (Gestion du serveur SRM) vers le réseau distant Site Recovery Manager Catégories Tous ou Groupe défini par l'utilisateur qui comprennent des adresses IP Site Recovery Manager distantes. Tous Autoriser VR (Gestion du serveur SRM) vers le réseau distant vSphere Replication Catégories Tous ou Groupe défini par l'utilisateur qui comprennent des adresses IP Site Recovery Manager distantes. Tous Autoriser ESXi (Réplication de machine virtuelle) vers le réseau distant ESXi Catégories Tous ou Groupe défini par l'utilisateur qui comprennent les adresses IP distantes de vSphere Replication (des dispositifs vSphere Replication combinés et tout autre dispositif de module complémentaire vSphere Replication). Tous Autoriser SRM (Gestion du serveur VR) vers le réseau distant Site Recovery Manager Catégories Tous ou Groupe défini par l'utilisateur qui comprennent des adresses IP vSphere Replication distantes. Tous Autoriser VR (Gestion du serveur VR) vers le réseau distant vSphere Replication Catégories Tous ou Groupe défini par l'utilisateur qui comprennent des adresses IP vSphere Replication distantes. Tous Autoriser - Cliquez sur Publier.
Résultats
Une fois que les règles de pare-feu sont créées, elles sont affichées dans la liste du pare-feu Edge de la passerelle de gestion.