Администратор VMC должен использовать консоль программно-определяемого ЦОД в VMware Cloud on AWS для настройки правил управления и правил брандмауэра, которые поддерживают доступ к требуемым портам и протоколам.

Чтобы обеспечивать необходимое подключение между существующим программно-определяемым ЦОД узла VMware Cloud on AWS в vCenter и облачной учетной записью VMware Cloud on AWS в vRealize Automation, необходимо установить сетевое подключение между двумя элементами с помощью VPN или аналогичной сети.

1. Настройте VPN-подключение через общедоступный Интернет или AWS Direct Connect.

   Дополнительные сведения о настройке VPN-подключения к локальному центру обработки данных, а также о настройке AWS Direct Connect для VMware Cloud on AWS см. в документе Сети и система безопасности в VMware Cloud on AWS в документации по VMware Cloud on AWS.

2. Убедитесь, что полное доменное имя (FQDN) vCenter Server может быть определено по частному IP-адресу в сети управления.

   Дополнительные сведения о настройке адреса преобразования полного доменного имени в vCenter Server см. в документе Сети и система безопасности в VMware Cloud on AWS в документации по VMware Cloud on AWS.

3. Настройте необходимые правила брандмауэра.
   Чтобы обеспечить обмен данными, необходимо настроить правила брандмауэра для шлюза управления в консоли программно-определяемого ЦОД в VMware Cloud on AWS. Правила должны быть указаны в разделе правил брандмауэра для шлюза управления. Создайте следующие правила брандмауэра, используя параметры на вкладке Сетевые подключения и безопасность консоли программно-определяемого ЦОД.

   • Разрешите входящий сетевой трафик в ESXi для служб HTTPS (TCP 443) только на обнаруженный IP-адрес устройства или сервера vRealize Automation или на виртуальный IP-адрес подсистемы балансировки нагрузки vRealize Automation.
   • Разрешите входящий сетевой трафик в vCenter для служб ICMP (все ICMP), единого входа (TCP 7444) и HTTPS (TCP 443) только на обнаруженный IP-адрес устройства или сервера vRealize Automation или на виртуальный IP-адрес подсистемы балансировки нагрузки vRealize Automation.
   • Разрешите входящий сетевой трафик в NSX-T Manager для служб HTTPS (TCP 443) только на обнаруженный IP-адрес устройства или сервера vRealize Automation или на виртуальный IP-адрес подсистемы балансировки нагрузки vRealize Automation.

   Обязательные правила брандмауэра приведены в таблице ниже.

   Табл. 1. Обязательные правила брандмауэра для шлюза управления

   Имя	Источник	Назначение	Служба
   vCenter	Блок CIDR локального центра обработки данных	vCenter	Any (весь трафик)
   vCenter	Любой	vCenter	ICMP (все ICMP)
   NSX-T Manager	Блок CIDR локального центра обработки данных	NSX-T Manager	Any (весь трафик)
   Проверка связи между локальной системой и ESXi	Блок CIDR локального центра обработки данных	Только управление ESXi	ICMP (все ICMP)
   Локальная система — консоль удаленного доступа ESXi и предоставление	Блок CIDR локального центра обработки данных	Только управление ESXi	TCP 902
   Локальная система — ВМ программно-определяемого ЦОД	Блок CIDR локального центра обработки данных	Блок CIDR логической сети программно-определяемого ЦОД	Any (весь трафик)
   ВМ программно-определяемого ЦОД — локальная система	Блок CIDR логической сети программно-определяемого ЦОД	Блок CIDR локального центра обработки данных	Any (весь трафик)

   Дополнительные сведения см. в разделе Сети и система безопасности в VMware Cloud on AWS и в руководстве по эксплуатации VMware Cloud on AWS в документации по VMware Cloud on AWS.