Per abilitare VMware Site Recovery nell'ambiente SDDC che utilizza VMware NSX-T®, è necessario creare regole del firewall tra il data center locale e il gateway di gestione. Dopo la configurazione iniziale delle regole del firewall, è possibile aggiungere, modificare o eliminare qualsiasi regola in base alle esigenze.
Prerequisiti
- Verificare di aver attivato VMware Site Recovery nell'SDDC.
Procedura
- Accedere alla console di VMware Cloud on AWS in https://vmc.vmware.com.
- Selezionare Rete e sicurezza > Firewall gateway > Gateway di gestione.
- Fare clic su Aggiungi nuova regola.
- Immettere i parametri della regola del gateway di gestione.
Il gateway di gestione controlla il traffico di gestione in entrata e in uscita nell'SDDC.
Opzione Descrizione Nome Immettere un nome descrittivo per la regola. Origine Fare clic su Imposta origine e immettere o selezionare una delle seguenti opzioni:- Selezionare Qualsiasi per consentire il traffico da qualsiasi indirizzo o intervallo di indirizzi di origine.
Importante: Anche se è possibile selezionare Qualsiasi come indirizzo di origine in una regola del firewall, l'utilizzo di Qualsiasi come indirizzo di origine nella regola del firewall può favorire gli attacchi sull'SDDC che potrebbero comprometterlo. È quindi consigliabile configurare la regola del firewall in modo da consentire l'accesso solo da indirizzi di origine attendibili. Vedere l'articolo 84154 della Knowledge Base di VMware.
- Selezionare Gruppi definiti dal sistema e scegliere una delle seguenti opzioni di origine.
- vCenter per consentire il traffico da vCenter Server dell'SDDC.
- Site Recovery Manager per consentire il traffico da Site Recovery Manager dell'SDDC.
- vSphere Replication per consentire il traffico da vSphere Replication dell'SDDC.
- Selezionare Gruppi definiti dall'utente per immettere il nome e l'intervallo di IP CIDR di una rete remota.
Destinazione Fare clic su Imposta destinazione e immettere o selezionare una delle seguenti opzioni:- Selezionare Qualsiasi per consentire il traffico verso qualsiasi indirizzo o intervallo di indirizzi di destinazione.
- Selezionare Gruppi definiti dal sistema e selezionare una delle seguenti opzioni di destinazione.
- vCenter per consentire il traffico verso vCenter Server dell'SDDC.
- Site Recovery Manager per consentire il traffico verso Site Recovery Manager dell'SDDC.
- vSphere Replication per consentire il traffico verso vSphere Replication dell'SDDC.
- Selezionare Gruppi definiti dall'utente per immettere il nome e l'intervallo di IP CIDR di una rete remota.
Servizio Selezionare uno dei servizi a cui applicare la regola.
- HTTPS (TCP 443) si applica a vCenter Server e vSphere Replication come destinazioni.
- SRM di VMware Site Recovery si applica solo a Site Recovery Manager come destinazione.
- vSphere Replication di VMware Site Recovery si applica solo a vSphere Replication come destinazione.
Azione L'unica azione disponibile per le regole del firewall del gateway di gestione è Consenti. - Selezionare Qualsiasi per consentire il traffico da qualsiasi indirizzo o intervallo di indirizzi di origine.
- Ripetere il passaggio precedente per applicare le regole del firewall seguenti per VMware Site Recovery.
Nome Origine Destinazione Servizio Azione Da SRM remoto a vCenter Server Gruppo definito dall'utente che include l'indirizzo IP di Site Recovery Manager remoto. vCenter HTTPS (TCP 443) Consenti Da VR remoto a vCenter Server Gruppo definito dall'utente che include l'indirizzo IP di vSphere Replication remoto. vCenter HTTPS (TCP 443) Consenti Da rete remota a SRM (gestione del server SRM) Gruppo definito dall'utente che include gli indirizzi IP di Site Recovery Manager e vSphere Replication remoti. Site Recovery Manager SRM di VMware Site Recovery Consenti Da rete remota a VR (replica della macchina virtuale) Gruppo definito dall'utente che include gli indirizzi IP degli host ESXi remoti. vSphere Replication vSphere Replication di VMware Site Recovery Consenti Da rete remota a VR (gestione del server di VR) Gruppo definito dall'utente che include gli indirizzi IP di Site Recovery Manager e vSphere Replication remoti. vSphere Replication vSphere Replication di VMware Site Recovery Consenti Da rete remota a VR (interfaccia utente e API) Gruppo definito dall'utente che include l'indirizzo IP del browser remoto. vSphere Replication vSphere Replication di VMware Site Recovery Consenti Da SRM (HTTPS) alla rete remota Site Recovery Manager Qualsiasi o gruppo definito dall'utente che include gli indirizzi IP di Platform Services Controller e vCenter Server remoti. Qualsiasi Consenti Da VR (HTTPS) alla rete remota vSphere Replication Qualsiasi o gruppo definito dall'utente che include gli indirizzi IP di Platform Services Controller e vCenter Server remoti. Qualsiasi Consenti Da SRM (gestione del server SRM) alla rete remota Site Recovery Manager Qualsiasi o gruppo definito dall'utente che include l'indirizzo IP di Site Recovery Manager remoto. Qualsiasi Consenti Da VR (gestione del server SRM) alla rete remota vSphere Replication Qualsiasi o gruppo definito dall'utente che include l'indirizzo IP di Site Recovery Manager remoto. Qualsiasi Consenti Da ESXi (replica della macchina virtuale) alla rete remota ESXi Qualsiasi o gruppo definito dall'utente che include gli indirizzi IP di vSphere Replication remoto (combinazione dell'appliance di vSphere Replication e dell'appliance di vSphere Replication di un componente aggiuntivo qualsiasi). Qualsiasi Consenti Da SRM (gestione del server VR) alla rete remota Site Recovery Manager Qualsiasi o gruppo definito dall'utente che include l'indirizzo IP di vSphere Replication remoto. Qualsiasi Consenti Da VR (gestione del server VR) alla rete remota vSphere Replication Qualsiasi o gruppo definito dall'utente che include l'indirizzo IP di vSphere Replication remoto. Qualsiasi Consenti - Fare clic su Pubblica.
risultati
Dopo che sono stata create, le regole del firewall vengono visualizzate nell'elenco Firewall Edge del gateway di gestione.