在預設組態中,防火牆規則會阻止計算網路上的虛擬機器存取管理網路上的虛擬機器。若要允許個別工作負載虛擬機器存取管理虛擬機器,請建立工作負載和管理詳細目錄群組,然後建立參考這些群組的管理閘道防火牆規則。
程序
- 登入 VMware Cloud Services,網址為 https://vmc.vmware.com。
- 按一下詳細目錄 > SDDC,然後挑選一個 SDDC 卡並按一下檢視詳細資料。
- 按一下開啟 NSX Manager,然後使用 SDDC 設定頁面上顯示的 NSX Manager 管理員使用者帳戶登入。請參閱使用 NSX Manager 的 SDDC 網路管理。
也可以使用 VMware Cloud 主控台的 網路與安全性索引標籤執行此工作流程。
- 建立計算詳細目錄群組:一個用於管理網路,另一個用於您想獲得其存取權的工作負載虛擬機器。
在 詳細目錄頁面中,按一下 群組 > 計算群組,然後建立兩個群組:
- 按一下新增群組 > 設定成員,然後開啟 Ip位址頁面,按一下輸入頁面,按一下輸入 IP 位址,並輸入管理網路的CIDR 區塊。按一下套用,然後按一下儲存以建立群組。
- 按一下新增群組 > 設定成員,然後按一下成員資格準則 > 新增準則,並在 vSphere 詳細目錄中指定虛擬機器。按一下套用,然後按一下儲存以建立群組。
- 建立包含您想要從計算群組存取的管理網路的管理群組。
在 詳細目錄頁面上,按一下 群組 > 管理群組。在 選取成員頁面上,按一下 輸入 IP 位址,然後輸入管理網路的 CIDR 區塊。按一下 套用,然後按一下 儲存以建立群組。
- 建立允許 vCenter Server 和 ESXi 之輸入流量的管理閘道防火牆規則。
如需建立管理閘道防火牆規則的相關資訊,請參閱 新增或修改管理閘道防火牆規則。假設您的工作負載虛擬機器只需存取 vSphere、PowerCLI 或 OVFtool,則規則只需允許連接埠 443 上的存取權。
表 1. 允許 ESXi 和 vCenter 之輸入流量的管理閘道規則 名稱 來源 目的地 服務 動作 ESXi 的輸入流量 工作負載虛擬機器私人 IP ESXi HTTPS (TCP 443) 允許 vCenter 私人 IP 的輸入流量 工作負載虛擬機器私人 IP vCenter 私人 IP HTTPS (TCP 443) 允許 vCenter 公用 IP 的輸入流量 具有已透過 NAT 進行轉換之 IP 的工作負載虛擬機器 vCenter 公用 IP HTTPS (TCP 443) 允許
