VMware Cloud on AWSVMware Cloud Director Availability とのペアリングを許可するには、まず SDDC のネットワーク設定を構成します。

VMware Cloud on AWS では、リソース プールへのアクセスが制限されており、 vCenter ServerESXi などの管理リソース プール内の管理コンポーネントやインフラストラクチャ コンポーネントへのアクセスにも、 VMware Cloud Director Availability のすべてのクラウド アプライアンスのプライベート IP アドレスを明示的に許可する必要があります。

VMware Cloud on AWSVMware Cloud Director Availability は、インターネットに 2 つのサービスを提供します。必要な NAT ルールの構成で 2 つのサービスを使用するには、両方のサービスが内部で非標準の HTTPS ポートを使用するため、これらを明示的に定義します。これらの 2 つのサービスと次の 2 つの NAT ルールを組み合わせて、外部ポート 443/TCP 上の公開 IP アドレスに送信されるネットワーク トラフィックを以下に対して変換します。

  • Cloud Service への管理インターフェイス ネットワーク トラフィックのポート 8046/TCP 上の内部 Cloud Director Replication Management Appliance
  • パブリック サービス エンドポイント へのレプリケーション データ ネットワーク トラフィックのポート 8048/TCP 上の内部 Tunnel Appliance

前提条件

手順

  1. https://vmc.vmware.comVMware Cloud on AWS にログインします。
  2. 管理インターフェイス向けと パブリック サービス エンドポイント 向けの 2 つの新しいインベントリ SDDC サービスを追加します。
    1. VMC コンソールの左側のペインで、[SDDC] をクリックします。
    2. SDDC で [詳細表示] をクリックし、[ネットワークとセキュリティ] タブをクリックします。
    3. 左側のペインの [インベントリ] セクションで、[サービス] をクリックします。
      次の手順を 2 回繰り返します。
      • Cloud Director Replication Management Appliance の管理インターフェイス用のインベントリ サービスを追加します。
      • Tunnel Applianceパブリック サービス エンドポイント 用の別のインベントリ サービスを追加します。
    4. インベントリ SDDC サービスを追加するには、[サービスの追加] をクリックします。
    5. 各サービスの名前と、必要に応じて説明を入力します。
    6. 各サービスの [サービス エントリ] 列で、[サービス エントリの設定] リンクをクリックします。
    7. サービスごとに、[サービス エントリの設定] ウィンドウの [タイプ] ドロップダウン メニューから [レイヤー 3 以上] を選択します。
    8. サービスごとに、[ポート/プロトコル] タブで [サービス エントリの追加] をクリックし、それぞれの列で詳細を入力して、[適用] をクリックします。
      オプション 管理インターフェイス インベントリ サービス パブリック サービス エンドポイント インベントリ サービス
      名前 Cloud Director Replication Management Appliance 管理インターフェイスのサービス エントリの名前を入力します。たとえば、「VCDA-Cloud-Service-Management」と入力します。 Tunnel Appliance パブリック サービス エンドポイント のサービス エントリの名前を入力します。たとえば、「VCDA-Tunnel-Service-Endpoint」と入力します。
      サービス タイプ [TCP] を選択します。 [TCP] を選択します。
      その他のプロパティ [送信元ポート] テキスト ボックスを空のままにします。 [送信元ポート] テキスト ボックスを空のままにします。
      Cloud Director Replication Management Appliance の管理インターフェイスにアクセスするには、[宛先ポート] テキスト ボックスにポート「8046」と入力します。 Tunnel Applianceパブリック サービス エンドポイント にアクセスするには、[宛先ポート] テキスト ボックスにポート「8048」と入力します。
    9. 各インベントリ サービスを保存するには、[保存] をクリックします。
      [サービス] 画面で、両方のサービスは次のように表示されます。
      名前 サービス エントリ
      VCDA-Cloud-Service-Management TCP(送信元:任意 | 宛先:8046)
      VCDA-Tunnel-Service-Endpoint TCP(送信元:任意 | 宛先:8048)
  3. 後で NAT ルールで使用するには、2 つの新しい公開 SDDC IP アドレスを要求します。
    • Cloud Director Replication Management Appliance の管理インターフェイスの初期セットアップ ウィザードにアクセスするための公開 IP アドレスを要求します。
    • Tunnel Applianceパブリック サービス エンドポイントへの外部ペアリングを許可するための公開 IP アドレスを要求します。
    1. [ネットワークとセキュリティ] タブで、[システム] セクションの左側のペインの [公開 IP アドレス] をクリックします。
    2. Cloud Director Replication Management Appliance の公開 IP アドレスを要求するには、[新しい IP アドレスの要求] をクリックし、メモを入力して、[保存] をクリックします。
      たとえば、メモとして「 VCDA-Management-Public-IP-address」と入力します。
    3. Tunnel Appliance の公開 IP アドレスを要求するには、[新しい IP アドレスの要求] をクリックし、メモを入力して、[保存] をクリックします。
      たとえば、メモとして「 VCDA-Tunnel-Public-IP-address」と入力します。
  4. 受信ネットワーク トラフィックを正しいクラウド アプライアンスおよびポートに転送するには、2 つの新しい NAT ルールを追加します。
    1. [ネットワークとセキュリティ] タブで、[ネットワーク] セクションの左側のペインの [NAT] をクリックします。
      次の手順を 2 回繰り返します。
      • Cloud Director Replication Management Appliance の管理インターフェイス用の NAT ルールを追加します。
      • Tunnel Applianceパブリック サービス エンドポイント への受信ネットワーク トラフィック用の別の NAT ルールを追加します。
    2. NAT ルールを追加するには、[NAT ルールの追加] をクリックし、次の設定を構成して、[保存] をクリックします。
      オプション 管理インターフェイス NAT パブリック サービス エンドポイント NAT
      名前 Cloud Director Replication Management Appliance 管理インターフェイスの NAT ルールの名前を入力します。たとえば、「VCDA Management Interface NAT」と入力します。 Tunnel Appliance パブリック サービス エンドポイント の NAT ルールの名前を入力します。たとえば、「VCDA Tunnel Service Endpoint NAT」と入力します。
      公開 IP [VCDA-Management-Public-IP-address] を選択します。 [VCDA-Tunnel-Public-IP-address] を選択します。
      サービス Cloud Director Replication Management Appliance 管理インターフェイスのインベントリ サービスを選択します。たとえば、[VCDA-Cloud-Service-Management] を選択します。 Tunnel Applianceパブリック サービス エンドポイント のインベントリ サービスを選択します。たとえば、[VCDA-Tunnel-Service-Endpoint] を選択します。
      パブリック ポート ポート「443」と入力します。 ポート「443」と入力します。
      内部 IP Cloud Director Replication Management Appliance の「private-IP-address」を入力します。 Tunnel Appliance の「private-IP-address」を入力します。
      内部ポート 8046(編集不可) 8048(編集不可)
      ファイアウォール 内部アドレスとの一致 内部アドレスとの一致
      初期構成が完了したら、攻撃対象の可能性を低減するために、管理インターフェイスの NAT ルールを無効にするか、または削除できます。 VMware Cloud Director Availability 用プラグインを使用して、 Cloud Director instance から引き続き VMware Cloud Director Availability にアクセスできます。
  5. 後で管理グループを作成して管理ファイアウォール ルールで使用するために、SDDC のコンピュート ゲートウェイの送信元 NAT の 公開 IP アドレス を書き留めます。
    1. [ネットワークとセキュリティ] タブの左側のペインで [概要] をクリックします。
    2. [デフォルトのコンピュート ゲートウェイ][ワークロード] の下で、SDDC の [送信元 NAT の公開 IP] アドレスを書き留めます。
  6. vCenter ServerESXi などの管理ゲートウェイ サービスへのアクセスをクラウド アプライアンスに準備するには、2 つの管理グループを追加します。
    1. [ネットワークとセキュリティ] タブで、[インベントリ] セクションの左側のペインの [グループ] をクリックします。
    2. [管理グループ] タブをクリックします。
      次の手順を 2 回繰り返します。
      • デプロイされたすべての Replicator Appliance インスタンスのプライベート IP アドレスを含む管理グループを追加します。
      • コンピュート ゲートウェイの送信元 NAT を含む別の管理グループを追加します。
    3. 管理グループを作成するには、[グループの追加] をクリックし、グループごとに管理グループ名を入力します。
    4. 信頼できるメンバーを各管理グループに追加するには、[コンピュート メンバー] 列で [メンバーの設定] リンクをクリックします。
    5. [メンバーの選択] ウィンドウの [IP アドレス] タブで各管理グループの次の IP アドレスを入力し、[適用] をクリックします。
      管理グループ名 管理グループの信頼できるメンバーの IP アドレス
      SNAT VCDA Management Group
      • 前の手順で説明したように、SDDC のコンピュート ゲートウェイの送信元 NAT の public-IP-address を入力します。
      • VMware Cloud Director Availability アプライアンスのサブネット グループを入力します。たとえば、「vcda-network-segment」と入力します。
      VCDA Replicators Management Group VMware Cloud on AWS にデプロイされているすべての Replicator Appliance インスタンスの vcda-network-segment 内で予約されている private-IP-addresses を入力します。すべての Replicator Appliance インスタンスは、ESXi ホストおよびデータストアを使用して仮想マシンのプロビジョニングおよびレプリケーション タスクを実行するために、vCenter Server 管理ゲートウェイ サービスにアクセスする必要があります。
    6. 各管理グループを保存するには、[保存] をクリックします。
  7. クラウド アプライアンスから vCenter Server、および管理ゲートウェイ内の ESXi データストアへの内部通信を許可するには、2 つの新しい管理ゲートウェイ ファイアウォール ルールを追加します。
    1. [ゲートウェイ ファイアウォール] 画面で、[管理ゲートウェイ] タブをクリックします。
      次の手順を 2 回繰り返します。
      • コンピュート ゲートウェイの送信元 NAT から管理ゲートウェイ vCenter Server へのネットワーク トラフィックを許可するための管理ファイアウォール ルールを追加します。
      • 宛先 ESXi データストアに書き込む Replicator Appliance インスタンスを許可する別の管理ファイアウォール ルールを追加します。
    2. 管理ファイアウォール ルールを作成するには、[ルールの追加] をクリックします。
    3. 2 つの管理ファイアウォール ルールをそれぞれ構成し、プロンプトが表示されたら [適用] をクリックします。
      オプション vCenter Server の管理ゲートウェイ ファイアウォール ルール ESXi ホストの管理ゲートウェイ ファイアウォール ルール
      名前 vCenter Server 管理ゲートウェイ ルールの名前を入力します。たとえば、「SNAT VCDA to vCenter Rule」と入力します。 ESXi 管理ゲートウェイ ルールの名前を入力します。たとえば、「VCDA Replicators to ESXi Rule」と入力します。
      送信元 [任意] をクリックします。[送信元の設定] ウィンドウで、[ユーザー定義グループ] を選択し、SNAT の管理グループを選択します。たとえば、[SNAT VCDA Management Group] を選択し、[適用] をクリックします。 [任意] をクリックします。[送信元の設定] ウィンドウで、[ユーザー定義グループ] を選択し、Replicator Appliance インスタンスのプライベート IP アドレスの管理グループを選択します。たとえば、[VCDA Replicators Management Group] を選択し、[適用] をクリックします。
      宛先 [任意] をクリックします。[宛先の設定] ウィンドウの [システム定義グループ] の下で [vCenter Server] を選択し、[適用] をクリックします。 [任意] をクリックします。[宛先の設定] ウィンドウの [システム定義グループ] の下で [ESXi] を選択し、[適用] をクリックします。
      サービス [任意] をクリックし、[HTTPS (TCP 443)] を選択します。 Replicator ApplianceData Engine ServiceESXi データストアに書き込むことを許可するには、[任意] をクリックし、[HTTPS (TCP 443)] および [プロビジョニングとリモート コンソール (TCP 902)] を選択します。
      アクション 許可 許可
    4. 両方の管理ゲートウェイ ファイアウォール ルールを作成したら、[公開] をクリックします。
  8. VMware Cloud on AWS でコンピュート ゲートウェイ サービスにアクセスするための準備として、4 つのコンピュート グループを作成します。
    1. [ネットワークとセキュリティ] タブで、[インベントリ] セクションの左側のペインの [グループ] をクリックします。
      次の手順を 4 回繰り返します。
      • VMware Cloud Director Availability 管理インターフェイスへのアクセスが必要な信頼できるユーザーのコンピュート グループを追加します。
      • Cloud Director Replication Management Appliance のコンピュート グループを追加します。
      • すべての Replicator Appliance インスタンスのコンピュート グループを追加します。
      • Tunnel Appliance のコンピュート グループを追加します。
    2. コンピュート グループを作成するには、[コンピュート グループ] タブで [グループの追加] をクリックし、グループ名を入力します。
    3. 信頼できるメンバーを各コンピュート グループに追加するには、[コンピュート メンバー] 列で [メンバーの設定] リンクをクリックします。
    4. [メンバーの選択] ウィンドウの [IP アドレス] タブで各コンピュート グループの次の IP アドレスを入力し、[適用] をクリックします。
      コンピュート グループ名 コンピュート グループの信頼できるメンバーの IP アドレス
      Trusted Compute Sources Group VMware Cloud Director Availability の管理インターフェイスへのアクセス権を付与されたユーザーの外部向け public-IP-addresses を入力します。
      重要: VMware Cloud on AWSVMware Cloud Director Availability へのアクセスを許可された各ユーザーのすべての公開 IP アドレスを追加していることを確認してください。そうしないと、ユーザーはアクセスできません。
      VCDA Manager Compute Group Cloud Director Replication Management Appliance の「private-IP-address」を入力します。
      VCDA Replicators Compute Group すべての Replicator Appliance インスタンスの private-IP-addresses を入力します。
      VCDA Tunnel Compute Group Tunnel Appliance の「private-IP-address」を入力します。
    5. 各コンピュート グループを保存するために、[保存] をクリックします。
  9. 初期セットアップ ウィザードを完了するための準備として、信頼できるコンピュート 送信元から VMware Cloud Director Availability 管理インターフェイスへのアクセスを許可します。また、2 つの新しいコンピュート ゲートウェイ ファイアウォール ルールを追加することで、クラウド アプライアンスの送信アクセスも許可します。
    1. [ネットワークとセキュリティ] タブで、[セキュリティ] セクションの左側のペインの [ゲートウェイ ファイアウォール] をクリックします。
      次の手順を 2 回繰り返します。
      • VMware Cloud Director Availability の初期セットアップ ウィザードを完了するように、信頼できるコンピュート送信元による Cloud Director Replication Management Appliance へのアクセスを許可するためのコンピュート ゲートウェイ ファイアウォール ルールを追加します。
      • コンピュート ゲートウェイからの VMware Cloud Director Availability アプライアンスの送信ネットワーク トラフィックを許可するためのコンピュート ゲートウェイ ファイアウォール ルールを追加します。
    2. [コンピュート ゲートウェイ] タブで、[ルールの追加] をクリックします。
    3. 2 つのコンピュート ファイアウォール ルールをそれぞれ構成し、プロンプトが表示されたら [適用] をクリックします。
      オプション 受信コンピュート ゲートウェイ ファイアウォール ルール 送信コンピュート ゲートウェイ ファイアウォール ルール
      名前 受信コンピュート ゲートウェイ ルールの名前を入力します。たとえば、「VCDA Management from Trusted Compute Sources Rule」と入力します。 送信コンピュート ゲートウェイ ルールの名前を入力します。たとえば、「VCDA Appliances Outbound Compute Rule」と入力します。
      送信元 [任意] をクリックします。[送信元の設定] ウィンドウで、信頼できるコンピュート送信元グループを選択し、[適用] をクリックします。たとえば、[Trusted Compute Sources Group] を選択します。 [任意] をクリックします。[送信元の設定] ウィンドウで、VMware Cloud Director Availability アプライアンスの 3 つのコンピュート グループを選択し、[適用] をクリックします。たとえば、[VCDA Manager Compute Group][VCDA Replicators Compute Group][VCDA Tunnel Compute Group] の 3 つすべてを選択します。
      宛先 [任意] をクリックします。[宛先の設定] ウィンドウで、Cloud Director Replication Management Appliance コンピュート グループを選択し、[適用] をクリックします。たとえば、[VCDA Manager Compute Group] を選択します。 任意
      サービス [任意] をクリックします。[サービスの設定] ウィンドウで、Cloud Director Replication Management Appliance 管理インターフェイス サービスを選択し、[適用] をクリックします。たとえば、[VCDA-Cloud-Service-Management TCP (送信元: 任意 | 宛先: 8046)] を選択します。 任意
      適用対象 すべてのアップリンク すべてのアップリンク
      アクション 許可 許可
    4. 両方のコンピュート ゲートウェイ ファイアウォール ルールを作成したら、[公開] をクリックします。

結果

VMware Cloud on AWS の SDDC 構成が完了し、 VMware Cloud Director Availability の初期構成の準備が整いました。要約すると、 VMware Cloud on AWS の SDDC ネットワークは次のように構成されています。
  • vcda-network-segment
    VMware Cloud Director Availability のすべてのクラウド アプライアンス専用の経路指定ネットワーク。
  • 公開 IP アドレス:
    Cloud Director Replication Management Appliance の管理インターフェイスと、 Tunnel Applianceパブリック サービス エンドポイント の 2 つの公開 IP アドレスが要求されました。
  • 管理ゲートウェイ:
    • コンピュート ゲートウェイの送信元 NAT アドレスから管理ゲートウェイ vCenter Server へのアクセス。コンピュート ゲートウェイの VMware Cloud Director Availability アプライアンスからのアクセスをブリッジするために使用されます。
    • Replicator Appliance から管理ゲートウェイ ESXi データストアへのアクセス。移行の宛先に使用されます。
  • コンピュート ゲートウェイ:
    • 信頼できるコンピュート送信元グループ から Cloud Service の管理インターフェイスへのアクセス。初期セットアップの完了に使用されます。その後、同じルールを変更すると、VMware Cloud Director Availability の 4 種類すべての管理インターフェイスにアクセスできるようになります。詳細については、VMware Cloud on AWS での SDDC ネットワークのポスト構成を参照してください。
    • VMware Cloud Director Availability アプライアンスからインターネットへのアクセス。コンピュート ゲートウェイからの外部ネットワーク トラフィックに使用されます。
SDDC ネットワーク構成のサマリの詳細については、 SDDC ネットワーク構成サマリを参照してください。

次のタスク

Cloud Director Replication Management Appliance の初期セットアップ ウィザードを完了することで、VMware Cloud on AWSVMware Cloud Director Availability を構成できるようになりました。詳細については、VMware Cloud on AWS での VMware Cloud Director Availability の構成を参照してください。