Nella configurazione predefinita, le regole del firewall impediscono alle macchine virtuali nella rete di elaborazione di accedere alle macchine virtuali nella rete di gestione. Per consentire alle singole macchine virtuali del carico di lavoro di accedere alle macchine virtuali di gestione, creare gruppi di inventario di carico di lavoro e di gestione, quindi creare regole del firewall del gateway di gestione che vi fanno riferimento.

Procedura

  1. Accedere a VMware Cloud Services all'indirizzo https://vmc.vmware.com.
  2. Fare clic su Inventario > SDDC, quindi scegliere una scheda SDDC e fare clic su VISUALIZZA DETTAGLI.
  3. Fare clic su APRI NSX MANAGER e accedere con l'Account utente amministratore di NSX Manager visualizzato nella pagina Impostazioni dell'SDDC.
    Per questo workflow, è inoltre possibile utilizzare la scheda Rete e sicurezza della Console VMC. Vedere Amministrazione della rete dell'SDDC con NSX Manager.
  4. Creare i gruppi di inventario di elaborazione, uno per la rete di gestione e uno per la macchina virtuale del carico di lavoro che si desidera possa accedere alla rete.
    Nella pagina Inventario, fare clic su Gruppi > Gruppi di elaborazione e creare due gruppi:
    • Fare clic su AGGIUNGI GRUPPO > Imposta membri, quindi aprire la pagina Indirizzi IP, fare clic su Immettere l'indirizzo IP e digitare il blocco CIDR della rete di gestione. Fare clic su APPLICA e quindi su SALVA per creare il gruppo.
    • Fare clic su AGGIUNGI GRUPPO > Imposta membri, quindi fare clic su Criteri di appartenenza > AGGIUNGI CRITERI e specificare una Macchina virtuale nell'inventario di vSphere. Fare clic su APPLICA e quindi su SALVA per creare il gruppo.
  5. Creare un gruppo di gestione che includa la rete di gestione a cui si desidera accedere dal gruppo di elaborazione.
    Nella pagina Inventario, fare clic su Gruppi > Gruppi di gestione. Nella pagina Seleziona membri, fare clic su Immettere l'indirizzo IP e digitare il blocco CIDR della rete di gestione. Fare clic su APPLICA e quindi su SALVA per creare il gruppo.
  6. Creare una regola del firewall del gateway di gestione che consenta il traffico in entrata verso vCenter Server ed ESXi.
    Vedere Aggiunta o modifica delle regole del firewall del gateway di gestione per informazioni sulla creazione delle regole del firewall del gateway di gestione. Supponendo che le macchine virtuali del carico di lavoro debbano accedere solo a vSphere, PowerCLI o OVFtool, la regola deve consentire solo l'accesso alla porta 443.
    Tabella 1. Regola del gateway di gestione per consentire il traffico in entrata verso ESXi e vCenter
    Nome Origine Destinazione Servizi Azione
    In entrata verso ESXi IP privato della macchina virtuale del carico di lavoro ESXi HTTPS (TCP 443) Consenti
    In entrata verso l'IP privato di vCenter IP privato della macchina virtuale del carico di lavoro IP privato di vCenter HTTPS (TCP 443) Consenti
    In entrata verso l'IP pubblico di vCenter Macchina virtuale del carico di lavoro con IP con NAT IP pubblico di vCenter HTTPS (TCP 443) Consenti