在建立 VMware Cloud on AWS 雲端帳戶之前,必須先建立網路連線並設定規則,以支援在 vCenter 中的 SDDC 與 vRealize Automation 中的 VMware Cloud on AWS 雲端帳戶之間進行通訊。

若要支援 vRealize AutomationVMware Cloud on AWS SDDC 之間的通訊,請設定所需的連線和規則。在設定所需的閘道存取和防火牆規則之後,您可以繼續執行建立 VMware Cloud on AWS 雲端帳戶的程序。

為了方便在 vCenter 中的現有 VMware Cloud on AWS 主機 SDDC 和 vRealize Automation Cloud Assembly 中的 VMware Cloud on AWS 雲端帳戶之間建立所需的連線,您必須提供網路連線,並透過使用 VPN 或類似的網路方式新增防火牆規則。

VMC 管理員必須使用 VMware Cloud on AWS SDDC 主控台設定支援存取所需連接埠和通訊協定的管理規則和防火牆規則。

為了方便在 vCenter 中的現有 VMware Cloud on AWS 主機 SDDC 和 vRealize Automation 中的 VMware Cloud on AWS 雲端帳戶之間建立所需的連線,您必須使用 VPN 或類似的網路方式在兩個元素之間提供網路連線。

  1. 透過公用網際網路或 AWS Direct Connect 設定 VPN 連線。

    如需設定與內部部署資料中心的 VPN 連線以及為 VMware Cloud on AWS 設定 AWS Direct Connect 的相關資訊,請參閱 VMware Cloud on AWS 說明文件中的《VMware Cloud on AWS 網路與安全性》

  2. 確認是否可以在管理網路上的私人 IP 位址中解析 vCenter Server FQDN。

    如需設定 vCenter Server FQDN 解析位址的相關資訊,請參閱 VMware Cloud on AWS 說明文件中的《VMware Cloud on AWS 網路與安全性》

  3. 設定所需的防火牆規則。
    必須在 VMware Cloud on AWS SDDC 主控台中設定管理閘道防火牆規則以支援通訊。這些規則必須位於 管理閘道防火牆規則區段中。透過使用 SDDC 主控台中 網路與安全性索引標籤上的選項來建立防火牆規則。
    • 將用於 HTTPS (TCP 443) 服務的 ESXi 的網路流量限制為已探索到的 vRealize Automation 應用裝置/伺服器或 vRealize Automation 負載平衡器 VIP 的 IP 位址。
    • 將用於 ICMP (所有 ICMP)、SSO (TCP 7444) 和 HTTPS (TCP 443) 服務的 vCenter 的網路流量限制為已探索到的 vRealize Automation 應用裝置/伺服器或 vRealize Automation 負載平衡器 VIP 的 IP 位址。
    • 將用於 HTTPS (TCP 443) 服務的 NSX-T Manager 的網路流量限制為已探索到的 vRealize Automation 應用裝置/伺服器或 vRealize Automation 負載平衡器 VIP 的 IP 位址。

    下表概述了所需的防火牆規則。

    表 1. 所需管理閘道防火牆規則摘要
    名稱 來源 目的地 服務
    vCenter 內部部署資料中心的 CIDR 區塊 vCenter 任何 (所有流量)
    vCenter 任何 vCenter ICMP (所有 ICMP)
    NSX-T Manager 內部部署資料中心的 CIDR 區塊 NSX-T Manager 任何 (所有流量)
    內部部署至 ESXi Ping 內部部署資料中心的 CIDR 區塊 僅限 ESXi 管理 ICMP (所有 ICMP)
    內部部署至 ESXi 遠端主控台和佈建 內部部署資料中心的 CIDR 區塊 僅限 ESXi 管理 TCP 902
    內部部署至 SDDC 虛擬機器 內部部署資料中心的 CIDR 區塊 SDDC 邏輯網路的 CIDR 區塊 任何 (所有流量)
    SDDC 虛擬機器至內部部署 SDDC 邏輯網路的 CIDR 區塊 內部部署資料中心的 CIDR 區塊 任何 (所有流量)

    如需相關資訊,請參閱 VMware Cloud on AWS 說明文件中的《VMware Cloud on AWS 網路與安全性》《VMware Cloud on AWS 作業指南》