デフォルトの設定では、ファイアウォール ルールによって、コンピューティング ネットワーク上の仮想マシンは管理ネットワーク上の仮想マシンにアクセスできません。個々のワークロード仮想マシンが管理仮想マシンにアクセスできるようにするには、ワークロードおよび管理インベントリ グループを作成し、それらを参照する管理ゲートウェイ ファイアウォール ルールを作成します。
手順
- https://vmc.vmware.com の VMware Cloud Services にログインします。
- [インベントリ] > [SDDC] の順にクリックし、SDDC カードを選択して [詳細表示] をクリックします。
- [NSX Manager を開く] をクリックし、SDDC の [設定] 画面に表示されている [NSX Manager 管理者ユーザー アカウント] を使用してログインします。NSX Manager による SDDC ネットワーク管理を参照してください。
このワークフローでは、 VMware Cloud コンソールの [ネットワークとセキュリティ] タブを使用することもできます。
- 管理ネットワーク用と、アクセスするワークロード仮想マシン用に 1 つずつ、コンピューティング インベントリ グループを作成します。
[インベントリ] 画面で、 [グループ] > [コンピューティング グループ] の順にクリックし、2 つのグループを作成します。
- [グループの追加] > [メンバーを設定] の順にクリックし、[IP アドレス] 画面を開き、[IP アドレスを入力] をクリックして、管理ネットワークの CIDR ブロックを入力します。[適用] をクリックし、[保存] をクリックしてグループを作成します。
- [グループの追加] > [メンバーを設定] の順にクリックしてから、[メンバーシップ条件] > [条件の追加] の順にクリックし、vSphere インベントリ内の [仮想マシン] を指定します。[適用] をクリックし、[保存] をクリックしてグループを作成します。
- コンピューティング グループからアクセスする管理ネットワークが含まれる管理グループを作成します。
[インベントリ] 画面で、 [グループ] > [管理グループ] の順にクリックします。 [メンバーを選択] 画面で、 [IP アドレスを入力] をクリックし、管理ネットワークの CIDR ブロックを入力します。 [適用] をクリックし、 [保存] をクリックしてグループを作成します。
- vCenter Server および ESXi への受信トラフィックを許可する管理ゲートウェイ ファイアウォール ルールを作成します。
管理ゲートウェイ ファイアウォール ルールの作成の詳細については、 管理ゲートウェイのファイアウォール ルールの追加または変更を参照してください。たとえばワークロード仮想マシンが vSphere、PowerCLI、または OVFtool にのみアクセスする必要がある場合には、ポート 443 でのアクセスのみをルールで許可する必要があります。
表 1. ESXi および vCenter Server への受信トラフィックを許可する管理ゲートウェイ ルール 名前 送信元 宛先 サービス 操作 ESXi への受信 ワークロード仮想マシンのプライベート IP アドレス ESXi HTTPS (TCP 443) Allow vCenter Server のプライベート IP アドレスへの受信 ワークロード仮想マシンのプライベート IP アドレス vCenter Server のプライベート IP アドレス HTTPS (TCP 443) Allow vCenter Serverのパブリック IP アドレスへの受信 NATted IP アドレスを持つワークロード仮想マシン vCenter Server のパブリック IP アドレス HTTPS (TCP 443) Allow