若要在使用 VMware NSX-T® 的 SDDC 環境中啟用 VMware Site Recovery,您必須建立內部部署資料中心和管理閘道之間的防火牆規則。在設定初始防火牆規則之後,您可以視需要新增、編輯或刪除任何規則。
必要條件
- 確認已在 SDDC 上啟用 VMware Site Recovery。
程序
- 登入 VMware Cloud on AWS 主控台,網址為 https://vmc.vmware.com。
- 選取網路與安全性 > 閘道防火牆 > 管理閘道。
- 按一下新增規則。
- 輸入管理閘道規則參數。
管理閘道可控制流入與流出 SDDC 的管理流量。
選項 說明 名稱 輸入規則的說明性名稱。 來源 按一下 設定來源,然後輸入或選取下列其中一個選項:- 選取任何以允許任何來源位址或位址範圍的輸出流量。
重要: 儘管您可以選取 任何作為防火牆規則中的來源位址,但使用 任何作為此防火牆規則中的來源位址可能會對 SDDC 造成攻擊,並且可能會導致 SDDC 遭到破壞。最佳做法是將此防火牆規則設定為僅允許從受信任的來源位址進行存取。請參閱 VMware 知識庫文章 84154。
- 選取系統定義的群組,然後選取下列其中一個來源選項。
- vCenter,允許 SDDC 的 vCenter Server 的輸出流量。
- Site Recovery Manager,允許 SDDC 的 Site Recovery Manager 的輸出流量。
- vSphere Replication,允許 SDDC 的 vSphere Replication 的輸出流量。
- 選取使用者定義的群組輸入遠端網路的名稱和 CIDR IP 範圍。
目的地 按一下 設定目的地,然後輸入或選取下列其中一個選項:- 選取任何允許任何目的地位址或位址範圍的輸入流量。
- 選取系統定義的群組,然後選取下列其中一個目的地選項。
- vCenter,允許 SDDC 的 vCenter Server 的輸入流量。
- Site Recovery Manager,允許 SDDC 的 Site Recovery Manager 的輸入流量。
- vSphere Replication,允許 SDDC 的 vSphere Replication 的輸入流量。
- 選取使用者定義的群組輸入遠端網路的名稱和 CIDR IP 範圍。
服務 選取要套用規則的其中一個服務。
- HTTPS (TCP 443) 會套用至 vCenter Server 和 vSphere Replication 做為目的地。
- VMware Site Recovery SRM 僅套用至 Site Recovery Manager 做為目的地。
- VMware Site Recovery vSphere Replication 僅套用至 vSphere Replication 做為目的地。
動作 唯一可用於管理閘道防火牆規則的動作為允許。 - 選取任何以允許任何來源位址或位址範圍的輸出流量。
- 重複先前的步驟,套用 VMware Site Recovery 的下列防火牆規則。
名稱 來源 目的地 服務 動作 遠端 SRM 至 vCenter Server 包含遠端 Site Recovery Manager IP 位址的使用者定義的群組。 vCenter HTTPS (TCP 443) 允許 遠端 VR 至 vCenter Server 包含遠端 vSphere Replication IP 位址的使用者定義的群組。 vCenter HTTPS (TCP 443) 允許 遠端網路至 SRM (SRM 伺服器管理) 包含遠端 Site Recovery Manager 和 vSphere Replication IP 位址的使用者定義的群組。 Site Recovery Manager VMware Site Recovery SRM 允許 遠端網路至 VR (虛擬機器複寫) 包含遠端 ESXi 主機 IP 位址的使用者定義的群組。 vSphere Replication VMware Site Recovery vSphere Replication 允許 遠端網路至 VR (VR 伺服器管理) 包含遠端 Site Recovery Manager 和 vSphere Replication IP 位址的使用者定義的群組。 vSphere Replication VMware Site Recovery vSphere Replication 允許 遠端網路至 VR (UI 和 API) 包含遠端瀏覽器 IP 位址的使用者定義的群組。 vSphere Replication VMware Site Recovery vSphere Replication 允許 SRM (HTTPS) 至遠端網路 Site Recovery Manager 包含遠端 Platform Services Controller 和 vCenter Server IP 位址的任何群組或使用者定義的群組。 任何 允許 VR (HTTPS) 至遠端網路 vSphere Replication 包含遠端 Platform Services Controller 和 vCenter Server IP 位址的任何群組或使用者定義的群組。 任何 允許 SRM (SRM 伺服器管理) 至遠端網路 Site Recovery Manager 包含遠端 Site Recovery Manager IP 位址的任何群組或使用者定義的群組。 任何 允許 VR (SRM 伺服器管理) 至遠端網路 vSphere Replication 包含遠端 Site Recovery Manager IP 位址的任何群組或使用者定義的群組。 任何 允許 ESXi (虛擬機器複寫) 至遠端網路 ESXi 包含遠端 vSphere Replication IP 位址 (結合 vSphere Replication 應用裝置和任何附加元件 vSphere Replication 應用裝置) 的任何群組或使用者定義的群組。 任何 允許 SRM (VR 伺服器管理) 至遠端網路 Site Recovery Manager 包含遠端 vSphere Replication IP 位址的任何群組或使用者定義的群組。 任何 允許 VR (VR 伺服器管理) 至遠端網路 vSphere Replication 包含遠端 vSphere Replication IP 位址的任何群組或使用者定義的群組。 任何 允許 - 按一下發佈。
結果
建立防火牆規則後,它們會顯示在管理閘道 Edge 防火牆清單中。