証明書の置き換えなどの管理操作を実行するために、VMware Cloud on AWSManager ServiceReplicator Service インスタンス、および Tunnel Service の管理インターフェイスへのアクセスを許可するには、SDDC のネットワーク設定をポスト構成し、これら 3 種類の管理インターフェイスへの追加アクセスを行います。

デフォルトでは、 VMware Cloud on AWS 内のアクセスが制限されており、 VMware Cloud Director Availability のすべてのクラウド アプライアンスの公開 IP アドレスが明示的に管理操作の実行に許可されている必要があります。

VMware Cloud on AWSVMware Cloud Director Availability アプライアンスには、証明書の置き換えなどの管理タスクを実行するための 3 種類の管理インターフェイスがあります。必要な NAT ルールを構成するときにこれらの管理インターフェイスを許可するには、3 つのインターフェイスが内部で非標準の HTTPS ポートを使用するため、これらを明示的に定義します。これらの 3 つのサービスと次の 3 つの NAT ルールおよびファイアウォール ルールを組み合わせて、アプライアンスの公開 IP アドレスの外部ポート 443/TCP に送信されるネットワーク トラフィックを変換し、以下に対して許可します。

  • Manager Service の管理インターフェイスのポート 8044/TCP 上の内部 Cloud Director Replication Management Appliance
  • Replicator Service インスタンスの管理インターフェイスのポート 8043/TCP 上のすべての内部 Replicator Appliance インスタンス。
  • Tunnel Service の管理インターフェイスのポート 8047/TCP 上の内部 Tunnel Appliance

前提条件

手順

  1. https://vmc.vmware.comVMware Cloud on AWS にログインします。
  2. Manager ServiceReplicator Service、および Tunnel Service の管理インターフェイス用に、3 つの新しいインベントリ SDDC サービスを追加します。
    1. VMC コンソールの左側のペインで、[SDDC] をクリックします。
    2. SDDC で [詳細表示] をクリックし、[ネットワークとセキュリティ] タブをクリックします。
    3. 左側のペインの [インベントリ] セクションで、[サービス] をクリックします。
      次の手順を 3 回繰り返します。
      • Cloud Director Replication Management ApplianceManager Service 用のインベントリ サービスを追加します。
      • Replicator ApplianceReplicator Service 用の別のインベントリ サービスを追加します。
      • Tunnel ApplianceTunnel Service 用の別のインベントリ サービスを追加します。
    4. インベントリ SDDC サービスを追加するには、[サービスの追加] をクリックします。
    5. 各サービスの名前と、必要に応じて説明を入力します。
    6. 各サービスの [サービス エントリ] 列で、[サービス エントリの設定] リンクをクリックします。
    7. サービスごとに、[サービス エントリの設定] ウィンドウの [タイプ] ドロップダウン メニューから [レイヤー 3 以上] を選択します。
    8. サービスごとに、[ポート/プロトコル] タブで [サービス エントリの追加] をクリックし、それぞれの列で詳細を入力して、[適用] をクリックします。
      オプション Manager Service インベントリ サービス Replicator Service インベントリ サービス Tunnel Service インベントリ サービス
      名前 Cloud Director Replication Management Appliance Manager Service の管理インターフェイス サービス エントリの名前を入力します。たとえば、「VCDA-Manager-Service-Management」と入力します。 Replicator Appliance Replicator Service の管理インターフェイス サービス エントリの名前を入力します。たとえば、「VCDA-Replicator-Service-Management」と入力します。 Tunnel Appliance Tunnel Service の管理インターフェイス サービス エントリの名前を入力します。たとえば、「VCDA-Tunnel-Service-Management」と入力します。
      サービス タイプ [TCP] を選択します。 [TCP] を選択します。 [TCP] を選択します。
      その他のプロパティ [送信元ポート] テキスト ボックスを空のままにします。 [送信元ポート] テキスト ボックスを空のままにします。 [送信元ポート] テキスト ボックスを空のままにします。
      Cloud Director Replication Management ApplianceManager Service の管理インターフェイスにアクセスするには、[宛先ポート] テキスト ボックスにポート「8044」と入力します。 Replicator ApplianceReplicator Service の管理インターフェイスにアクセスするには、[宛先ポート] テキスト ボックスにポート「8043」と入力します。 Tunnel ApplianceTunnel Service の管理インターフェイスにアクセスするには、[宛先ポート] テキスト ボックスにポート「8047」と入力します。
    9. 各インベントリ サービスを保存するには、[保存] をクリックします。
      [サービス] 画面に、次の 3 つの新しいサービスが表示されます。
      名前 サービス エントリ
      [VCDA-Manager-Service-Management] TCP(送信元:任意 | 宛先:[8044]
      [VCDA-Replicator-Service-Management] TCP(送信元:任意 | 宛先:[8043]
      [VCDA-Tunnel-Service-Management] TCP(送信元:任意 | 宛先:[8047]
  3. 後で NAT ルールで使用するには、3 種類の管理インターフェイスごとに新しい公開 SDDC IP アドレスを要求します。
    • Cloud Director Replication Management ApplianceManager Service の管理インターフェイスにアクセスするための公開 IP アドレスを要求します。
    • Replicator Appliance インスタンスで各 Replicator Service の管理インターフェイスにアクセスするための複数の公開 IP アドレスを要求します。
    • Tunnel ApplianceTunnel Service の管理インターフェイスにアクセスするための公開 IP アドレスを要求します。
    1. [ネットワークとセキュリティ] タブで、[システム] セクションの左側のペインの [公開 IP アドレス] をクリックします。
    2. Manager Service の公開 IP アドレスを要求するには、[新しい IP アドレスの要求] をクリックし、メモを入力して、[保存] をクリックします。
      たとえば、メモとして「 VCDA-Manager-Public-Management-IP-address」と入力します。
      SDDC にデプロイされている Replicator Service のインスタンスごとに、次の手順を繰り返します。
    3. Replicator Service の公開 IP アドレスを要求するには、[新しい IP アドレスの要求] をクリックし、メモを入力して、[保存] をクリックします。
      たとえば、メモとして「 VCDA-Replicator-Public-Management-IP-address」と入力します。より多くの Replicator Service インスタンスの場合、要求された公開 IP アドレスごとに、「 VCDA-Replicator-X-Public-Management-IP-address」と入力します。ここで、 X は各インスタンスを示します。
    4. Tunnel Service の公開 IP アドレスを要求するには、[新しい IP アドレスの要求] をクリックし、メモを入力して、[保存] をクリックします。
      たとえば、メモとして「 VCDA-Tunnel-Public-Management-IP-address」と入力します。
  4. 受信ネットワーク トラフィックを正しいクラウド アプライアンスおよびポートに転送するには、新しい NAT ルールを追加します。
    1. [ネットワークとセキュリティ] タブで、[ネットワーク] セクションの左側のペインの [NAT] をクリックします。
      次の手順を 3 回繰り返します。
      • Cloud Director Replication Management Appliance で、Manager Service の管理インターフェイスのための NAT ルールを追加します。
      • Replicator Appliance で、Replicator Service の管理インターフェイスのための別の NAT ルールを追加します。追加の Replicator Service インスタンスごとに、別の NAT ルールを追加します。
      • Tunnel Appliance で、Tunnel Service の管理インターフェイスのための別の NAT ルールを追加します。
    2. NAT ルールを追加するには、[NAT ルールの追加] をクリックし、次の設定を構成して、[保存] をクリックします。
      オプション Manager Service NAT Replicator Service NAT Tunnel Service NAT
      名前 Cloud Director Replication Management Appliance Manager Service の管理インターフェイスの NAT ルールの名前を入力します。たとえば、「VCDA Replication Management NAT」と入力します。 Replicator Appliance Replicator Service の管理インターフェイスの NAT ルールの名前を入力します。たとえば、「VCDA Replicator NAT」と入力します。より多くの Replicator Service インスタンスの場合は、NAT ルールごとに「VCDA Replicator X NAT」と入力します。ここで、X は各インスタンスを示します。 Tunnel Appliance Tunnel Service の管理インターフェイスの NAT ルールの名前を入力します。たとえば、「VCDA Replication Management NAT」と入力します。
      公開 IP [VCDA-Manager-Public-Management-IP-address] を選択します。 [VCDA-Replicator-Public-Management-IP-address] を選択します。 [VCDA-Tunnel-Public-Management-IP-address] を選択します。
      サービス Cloud Director Replication Management ApplianceManager Service のインベントリ サービスを選択します。たとえば、[VCDA-Manager-Service-Management] を選択します。 Replicator ApplianceReplicator Service のインベントリ サービスを選択します。たとえば、[VCDA-Replicator-Service-Management] を選択します。 Tunnel ApplianceTunnel Service のインベントリ サービスを選択します。たとえば、[VCDA-Tunnel-Service-Management] を選択します。
      パブリック ポート ポート「443」と入力します。 ポート「443」と入力します。 ポート「443」と入力します。
      内部 IP Cloud Director Replication Management Appliance の「private-IP-address」を入力します。 Replicator Appliance インスタンスのすべての「private-IP-addresses」を入力します。 Tunnel Appliance の「private-IP-address」を入力します。
      内部ポート 8044(編集不可) 8043(編集不可) 8047(編集不可)
      ファイアウォール 内部アドレスとの一致 内部アドレスとの一致 内部アドレスとの一致
  5. 信頼できるコンピュート ソースから VMware Cloud Director Availability 管理インターフェイスへのアクセスを許可するには、受信コンピュート ファイアウォール ルールに 3 つの新しいサービスとターゲットを追加します。
    VCDA Manager from Trusted Compute Sources Rule コンピュート ルールが最初に VMware Cloud on AWS での SDDC ネットワークの構成 に作成されます。
    1. [ネットワークとセキュリティ] タブで、[セキュリティ] セクションの左側のペインの [ゲートウェイ ファイアウォール] をクリックします。
    2. [コンピュート ゲートウェイ] タブで、すでに作成されている [VCDA Manager from Trusted Compute Sources Rule] をクリックします。
    3. コンピュート ファイアウォール ルールを構成し、プロンプトが表示されたら [適用] をクリックします。
      オプション コンピュート ファイアウォール ルール
      名前 [ VCDA Management from Trusted Compute Sources Rule ]
      送信元 [ Trusted Compute Sources Group ]
      宛先 [任意] をクリックします。[宛先の設定] ウィンドウで、VMware Cloud Director Availability アプライアンスのすべてのコンピュート グループを選択し、[適用] をクリックします。たとえば、次の 3 つすべてを選択します。
      • [VCDA Manager Compute Group]
      • [VCDA Replicators Compute Group]
      • [VCDA Tunnel Compute Group]
      サービス [任意] をクリックします。[サービスの設定] ウィンドウで、[VCDA-Cloud-Service-Management TCP (Source: Any | Destination: 8046)] に加えて、新しく作成した 3 つのインベントリ サービスを選択します。たとえば、追加で以下を選択します。
      • [VCDA-Manager-Service-Management TCP (送信元: 任意 | 宛先: 8044)]
      • [VCDA-Replicator-Service-Management TCP (送信元: 任意 | 宛先: 8043)]
      • [VCDA-Tunnel-Service-Management TCP (送信元: 任意 | 宛先: 8047)]
      選択すると、Destination: 8046Destination: 8044Destination: 8043Destination: 8047 の 4 つの管理インターフェイス サービスがすべて表示されます。
      適用対象 すべてのアップリンク
      アクション 許可
    4. コンピュート ゲートウェイ ファイアウォール ルールを変更したら、[公開] をクリックします。
      コンピュート ファイアウォール ルールを使用すると、 VMware Cloud Director Availability のすべてのサービスの 4 種類の管理インターフェイスにアクセスできます。
      • Cloud Service
      • Manager Service
      • Replicator Service インスタンス
      • Tunnel Service

結果

VMware Cloud on AWS の SDDC 構成が完了し、VMware Cloud Director Availability サービスの管理操作の準備が整いました。

次のタスク

これで、VMware Cloud Director Availability サービスごとに管理タスクを実行できるようになりました。詳細については、SDDC にデプロイされた VMware Cloud Director Availability のバージョンの Administration Guide を参照してください。