При использовании облачных учетных записей VMware Cloud on AWS в среде vRealize Automation необходимо создать сетевое подключение и настроить правила для обмена данными между программно-определяемым ЦОД в vCenter и облачными учетными записями VMware Cloud on AWS в vRealize Automation.

Настройте необходимые подключения и правила для обмена данными с программно-определяемым ЦОД.

Чтобы обеспечивать необходимое подключение между существующим программно-определяемым ЦОД узла VMware Cloud on AWS в vCenter и облачной учетной записью VMware Cloud on AWS в vRealize Automation, необходимо установить сетевое подключение между этими двумя элементами с помощью VPN или аналогичной сети.

  1. Настройте VPN-подключение через общедоступный Интернет или AWS Direct Connect.

    Дополнительные сведения о настройке VPN-подключения к локальному центру обработки данных, а также о настройке AWS Direct Connect для VMware Cloud on AWS см. в документе Сети и система безопасности в VMware Cloud on AWS в документации по VMware Cloud on AWS.

  2. Убедитесь, что полное доменное имя (FQDN) vCenter Server может быть определено по частному IP-адресу в сети управления.

    Дополнительные сведения о настройке адреса преобразования полного доменного имени в vCenter Server см. в документе Сети и система безопасности в VMware Cloud on AWS в документации по VMware Cloud on AWS.

  3. Настройте необходимые правила брандмауэра.
    Чтобы обеспечить обмен данными, необходимо настроить правила брандмауэра для шлюза управления в консоли VMware Cloud on AWS в программно-определяемом ЦОД. Правила должны быть указаны в разделе правил брандмауэра для шлюза управления. Создайте следующие правила брандмауэра, используя параметры на вкладке Сетевые подключения и безопасность консоли программно-определяемого ЦОД.
    • Разрешите входящий сетевой трафик в ESXi для служб HTTPS (TCP 443) только на обнаруженный IP-адрес устройства или сервера vRealize Automation или на виртуальный IP-адрес подсистемы балансировки нагрузки vRealize Automation.
    • Разрешите входящий сетевой трафик в vCenter для служб ICMP (все ICMP), единого входа (TCP 7444) и HTTPS (TCP 443) только на обнаруженный IP-адрес устройства или сервера vRealize Automation или на виртуальный IP-адрес подсистемы балансировки нагрузки vRealize Automation.
    • Разрешите входящий сетевой трафик в NSX-T Manager для служб HTTPS (TCP 443) только на обнаруженный IP-адрес устройства или сервера vRealize Automation или на виртуальный IP-адрес подсистемы балансировки нагрузки vRealize Automation.

    Обязательные правила брандмауэра приведены в таблице ниже.

    Табл. 1. Обязательные правила брандмауэра для шлюза управления
    Имя Источник Назначение Служба
    vCenter Блок CIDR локального центра обработки данных vCenter Any (весь трафик)
    Проверка связи для vCenter Любой vCenter ICMP (все ICMP)
    NSX Manager Блок CIDR локального центра обработки данных NSX Manager Any (весь трафик)
    Проверка связи между локальной системой и ESXi Блок CIDR локального центра обработки данных Только управление ESXi ICMP (все ICMP)
    Локальная система — консоль удаленного доступа ESXi и предоставление Блок CIDR локального центра обработки данных Только управление ESXi TCP 902
    Локальная система — ВМ программно-определяемого ЦОД Блок CIDR локального центра обработки данных Блок CIDR логической сети программно-определяемого ЦОД Any (весь трафик)
    ВМ программно-определяемого ЦОД — локальная система Блок CIDR логической сети программно-определяемого ЦОД Блок CIDR локального центра обработки данных Any (весь трафик)

    Дополнительные сведения см. в разделе Сети и система безопасности в VMware Cloud on AWS и в руководстве по эксплуатации VMware Cloud on AWS в документации по VMware Cloud on AWS.

После настройки обязательных правил доступа к шлюзу и правил брандмауэра можно продолжить процесс создания облачной учетной записи VMware Cloud on AWS. См. раздел Создание облачной учетной записи VMware Cloud on AWS в службе vRealize Automation в рамках образца рабочего процесса.