デフォルトの設定では、ファイアウォール ルールによって、コンピューティング ネットワーク上の仮想マシンは管理ネットワーク上の仮想マシンにアクセスできません。個々のワークロード仮想マシンが管理仮想マシンにアクセスできるようにするには、ワークロードおよび管理インベントリ グループを作成し、それらを参照する管理ゲートウェイ ファイアウォール ルールを作成します。

手順

  1. 管理ネットワーク用と、アクセスするワークロード仮想マシン用に 1 つずつ、ワークロード インベントリ グループを作成します。
    [ネットワークとセキュリティ] タブで、 [インベントリ] カテゴリの [グループ] をクリックしてから、 [ワークロード グループ] をクリックします。2 つのワークロード グループを作成します。
    • [グループの追加] をクリックして、[メンバー タイプ] が [IP アドレス] で管理ネットワークの CIDR ブロックを持つグループを作成します。[保存] をクリックしてグループを作成します。
    • [グループの追加] をクリックして、[メンバー タイプ] が [仮想マシン] で vSphere インベントリのメンバー仮想マシンを持つグループを作成します。[保存] をクリックしてグループを作成します。
  2. ワークロード グループからアクセスする管理ネットワークを表す管理インベントリ グループを作成します。
    [ネットワークとセキュリティ] タブで、 [インベントリ] カテゴリの [グループ] をクリックしてから、 [管理グループ] をクリックします。 [グループの追加] をクリックして、 [メンバー タイプ] が [IP アドレス] で管理ネットワークの CIDR ブロックを持つグループを作成します。 [保存] をクリックしてグループを作成します。
  3. vCenter Server および ESXi への受信トラフィックを許可する管理ゲートウェイ ファイアウォール ルールを作成します。
    管理ゲートウェイ ファイアウォール ルールの作成の詳細については、 管理ゲートウェイのファイアウォール ルールの追加または変更を参照してください。たとえばワークロード仮想マシンが vCenter Server および ESXi 上の vSphere、PowerCLI、または OVFtool にのみアクセスする必要がある場合には、ポート 443 でのアクセスのみをルールで許可する必要があります。
    表 1. ESXi および vCenter Server への受信トラフィックを許可する管理ゲートウェイ ルール
    名前 送信元 宛先 サービス 操作
    ESXi への受信 ワークロード仮想マシンのプライベート IP アドレス ESXi HTTPS (TCP 443) Allow
    vCenter Server のプライベート IP アドレスへの受信 ワークロード仮想マシンのプライベート IP アドレス vCenter Server のプライベート IP アドレス HTTPS (TCP 443) Allow
    vCenter Serverのパブリック IP アドレスへの受信 NATted IP アドレスを持つワークロード仮想マシン vCenter Server のパブリック IP アドレス HTTPS (TCP 443) Allow