VMware NSX-T® を使用する SDDC 環境で VMware Site Recovery を有効にするには、データセンターと管理ゲートウェイ間のファイアウォール ルールを作成する必要があります。最初のファイアウォール ルールの構成後、必要に応じてルールを追加、編集、または削除できます。
前提条件
- SDDC で VMware Site Recovery が有効になっていることを確認します。
手順
- https://vmc.vmware.com で VMware Cloud on AWS コンソールにログインします。
- [ネットワークとセキュリティ] > [ゲートウェイ ファイアウォール] > [管理ゲートウェイ] の順に選択します。
- [新しいルールの追加] をクリックします。
- 管理ゲートウェイのルール パラメータを入力します。
管理ゲートウェイは、SDDC での管理トラフィック フローの送受信を制御します。
オプション 説明 名前 ルールを説明するような名前を入力します。 ソース [送信元の設定] をクリックして、次のオプションのいずれかを入力または選択します。- [任意] を選択して、任意の送信元アドレスまたはアドレス範囲からのトラフィックを許可します。
重要: ファイアウォール ルールの送信元アドレスとして [Any] を選択できますが、このファイアウォール ルールの送信元アドレスとして [Any] を使用すると、SDDC への攻撃が可能になる場合があり、SDDC の侵害が発生する可能性があります。ベスト プラクティスとして、信頼されている送信元アドレスからのアクセスのみを許可するようにこのファイアウォール ルールを構成します。VMware のナレッジベースの記事 KB84154を参照してください。
- [システム定義のグループ] を選択して、次のいずれかの送信元オプションを選択します。
- SDDC の vCenter Server からのトラフィックを許可する場合は [vCenter Server]。
- SDDC の Site Recovery Manager からのトラフィックを許可する場合は [Site Recovery Manager]。
- SDDC の vSphere Replication からのトラフィックを許可する場合は [vSphere Replication]。
- [ユーザー定義のグループ] を選択して、リモート ネットワークの名前と CIDR の IP アドレス範囲を入力します。
ターゲット [宛先の設定] をクリックして、次のオプションのいずれかを入力または選択します。- [任意] を選択して、任意の宛先アドレスまたはアドレス範囲へのトラフィックを許可します。
- [システム定義のグループ] を選択して、次のいずれかの宛先オプションを選択します。
- SDDC の vCenter Server へのトラフィックを許可する場合は [vCenter Server]
- SDDC の Site Recovery Manager へのトラフィックを許可する場合は [Site Recovery Manager]
- SDDC の vSphere Replication へのトラフィックを許可する場合は [vSphere Replication]
- [ユーザー定義のグループ] を選択して、リモート ネットワークの名前と CIDR の IP アドレス範囲を入力します。
サービス ルールを適用するサービスの 1 つを選択します。
- HTTPS (TCP 443) は宛先として vCenter Server および vSphere Replication に適用されます。
- VMware Site Recovery SRM は、宛先として Site Recovery Manager にのみ適用されます。
- VMware Site Recovery vSphere Replication SRM は、宛先として vSphere Replication にのみ適用されます。
操作 管理ゲートウェイのファイアウォール ルールに使用できるアクションは [許可] のみです。 - [任意] を選択して、任意の送信元アドレスまたはアドレス範囲からのトラフィックを許可します。
- 上記の手順を繰り返して、 VMware Site Recovery に次のファイアウォール ルールを適用します。
名前 ソース ターゲット サービス 操作 vCenter Server へのリモート SRM リモート Site Recovery Manager の IP アドレスを含むユーザー定義のグループ。 vCenter Server [HTTPS (TCP 443) ] 許可 vCenter Server へのリモート VR リモート vSphere Replication の IP アドレスを含むユーザー定義のグループ。 vCenter Server [HTTPS (TCP 443) ] 許可 SRM へのリモート ネットワーク(SRM サーバ管理) リモート Site Recovery Manager および vSphere Replication の IP アドレスを含むユーザー定義のグループ。 Site Recovery Manager [VMware Site Recovery SRM ] 許可 VR へのリモート ネットワーク(仮想マシンの複製) リモート ESXi のホスト IP アドレスを含むユーザー定義のグループ。 vSphere Replication [VMware Site Recovery vSphere Replication ] 許可 VR へのリモート ネットワーク(VR サーバ管理) リモート Site Recovery Manager および vSphere Replication の IP アドレスを含むユーザー定義のグループ。 vSphere Replication [VMware Site Recovery vSphere Replication ] 許可 VR へのリモート ネットワーク(UI と API) リモート ブラウザの IP アドレスを含むユーザー定義のグループ。 vSphere Replication [VMware Site Recovery vSphere Replication ] 許可 リモート ネットワークへの SRM (HTTPS) Site Recovery Manager リモート Platform Services Controller および vCenter Server の IP アドレスを含む任意またはユーザー定義のグループ。 [任意] 許可 リモート ネットワークへの VR (HTTPS) vSphere Replication リモート Platform Services Controller および vCenter Server の IP アドレスを含む任意またはユーザー定義のグループ。 [すべて] 許可 リモート ネットワークへの SRM(SRM サーバ管理) Site Recovery Manager リモート Site Recovery Manager の IP アドレスを含む任意またはユーザー定義のグループ。 [すべて] 許可 リモート ネットワークへの VR(SRM サーバ管理) vSphere Replication リモート Site Recovery Manager の IP アドレスを含む任意またはユーザー定義のグループ。 [すべて] 許可 リモート ネットワークへの ESXi(仮想マシンの複製) ESXi リモート vSphere Replication の IP アドレス(vSphere Replication アプライアンスと任意のアドオン vSphere Replication アプライアンスの組み合わせ)を含む任意またはユーザー定義のグループ。 [すべて] 許可 リモート ネットワークへの SRM(VR サーバ管理) Site Recovery Manager リモート vSphere Replication の IP アドレスを含む任意またはユーザー定義のグループ。 [すべて] 許可 リモート ネットワークへの VR(VR サーバ管理) vSphere Replication リモート vSphere Replication の IP アドレスを含む任意またはユーザー定義のグループ。 [すべて] 許可 - [公開] をクリックします。
- 2 つ目の VMware Cloud on AWS の SDDC で、この手順を繰り返します。
結果
ファイアウォール ルールが [管理ゲートウェイの Edge ファイアウォール] リストに表示されます。