VMware Cloud Director Availability 4.7

4.7 4.6
Português (Brasil) Español 日本語 English

VMware Cloud on AWS
 での SDDC ネットワークの構成

VMware Cloud on AWS
VMware Cloud Director Availability
 とのペアリングを許可するには、まず SDDC のネットワーク設定を構成します。
VMware Cloud on AWS
 では、リソース プールへのアクセスが制限されており、
vCenter Server
ESXi
 などの管理リソース プール内の管理コンポーネントやインフラストラクチャ コンポーネントへのアクセスにも、
VMware Cloud Director Availability
 のすべてのクラウド アプライアンスのプライベート IP アドレスを明示的に許可する必要があります。
VMware Cloud on AWS
VMware Cloud Director Availability
 は、インターネットに 2 つのサービスを提供します。必要な NAT ルールの構成で 2 つのサービスを使用するには、両方のサービスが内部で非標準の HTTPS ポートを使用するため、これらを明示的に定義します。これらの 2 つのサービスと次の 2 つの NAT ルールを組み合わせて、外部ポート 443/TCP 上の公開 IP アドレスに送信されるネットワーク トラフィックを以下に対して変換します。
  • Cloud Service
     への管理インターフェイス ネットワーク トラフィックのポート 8046/TCP 上の内部
    Cloud Director レプリケーション管理アプライアンス
  • パブリック サービス エンドポイント
     へのレプリケーション データ ネットワーク トラフィックのポート 8048/TCP 上の内部
    Tunnel Appliance
  1. https://vmc.vmware.com
    VMware Cloud on AWS
     にログインします。
  2. 管理インターフェイス向けと
    パブリック サービス エンドポイント
     向けの 2 つの新しいインベントリ SDDC サービスを追加します。
    1. VMC コンソールの左側のペインで、
      SDDC
       をクリックします。
    2. SDDC で
      詳細表示
       をクリックし、
      ネットワークとセキュリティ
       タブをクリックします。
    3. 左側のペインの
      インベントリ
       セクションで、
      サービス
       をクリックします。
      次の手順を 2 回繰り返します。
      • Cloud Director レプリケーション管理アプライアンス
         の管理インターフェイス用のインベントリ サービスを追加します。
      • Tunnel Appliance
        パブリック サービス エンドポイント
         用の別のインベントリ サービスを追加します。
    4. インベントリ SDDC サービスを追加するには、
      サービスの追加
       をクリックします。
    5. 各サービスの名前と、必要に応じて説明を入力します。
    6. 各サービスの [サービス エントリ] 列で、
      サービス エントリの設定
       リンクをクリックします。
    7. サービスごとに、
      サービス エントリの設定
       ウィンドウの
      タイプ
       ドロップダウン メニューから
      レイヤー 3 以上
       を選択します。
    8. サービスごとに、
      ポート/プロトコル
       タブで
      サービス エントリの追加
       をクリックし、それぞれの列で詳細を入力して、
      適用
       をクリックします。
      オプション
      管理インターフェイス インベントリ サービス
      パブリック サービス エンドポイント
       インベントリ サービス
      名前
      Cloud Director レプリケーション管理アプライアンス
       管理インターフェイスのサービス エントリの名前を入力します。たとえば、「
      VCDA-Cloud-Service-Management
      」と入力します。
      Tunnel Appliance
      パブリック サービス エンドポイント
       のサービス エントリの名前を入力します。たとえば、「
      VCDA-Tunnel-Service-Endpoint
      」と入力します。
      サービス タイプ
      TCP
       を選択します。
      TCP
       を選択します。
      その他のプロパティ
      送信元ポート
       テキスト ボックスを空のままにします。
      送信元ポート
       テキスト ボックスを空のままにします。
      Cloud Director レプリケーション管理アプライアンス
       の管理インターフェイスにアクセスするには、
      宛先ポート
       テキスト ボックスにポート「
      8046
      」と入力します。
      Tunnel Appliance
      パブリック サービス エンドポイント
       にアクセスするには、
      宛先ポート
       テキスト ボックスにポート「
      8048
      」と入力します。
    9. 各インベントリ サービスを保存するには、
      保存
       をクリックします。
      サービス
       画面で、両方のサービスは次のように表示されます。
      名前
      サービス エントリ
      VCDA-Cloud-Service-Management
      TCP(送信元:任意 | 宛先:8046)
      VCDA-Tunnel-Service-Endpoint
      TCP(送信元:任意 | 宛先:8048)
  3. 後で NAT ルールで使用するには、2 つの新しい公開 SDDC IP アドレスを要求します。
    • Cloud Director レプリケーション管理アプライアンス
       の管理インターフェイスの初期セットアップ ウィザードにアクセスするための公開 IP アドレスを要求します。
    • Tunnel Appliance
      パブリック サービス エンドポイント
      への外部ペアリングを許可するための公開 IP アドレスを要求します。
    1. ネットワークとセキュリティ
       タブで、
      システム
       セクションの左側のペインの
      公開 IP アドレス
       をクリックします。
    2. Cloud Director レプリケーション管理アプライアンス
       の公開 IP アドレスを要求するには、
      新しい IP アドレスの要求
       をクリックし、メモを入力して、
      保存
       をクリックします。
      たとえば、メモとして「
      VCDA-Management-Public-IP-address
      」と入力します。
    3. Tunnel Appliance
       の公開 IP アドレスを要求するには、
      新しい IP アドレスの要求
       をクリックし、メモを入力して、
      保存
       をクリックします。
      たとえば、メモとして「
      VCDA-Tunnel-Public-IP-address
      」と入力します。
  4. 受信ネットワーク トラフィックを正しいクラウド アプライアンスおよびポートに転送するには、2 つの新しい NAT ルールを追加します。
    1. ネットワークとセキュリティ
       タブで、
      ネットワーク
       セクションの左側のペインの
      NAT
       をクリックします。
      次の手順を 2 回繰り返します。
      • Cloud Director レプリケーション管理アプライアンス
         の管理インターフェイス用の NAT ルールを追加します。
      • Tunnel Appliance
        パブリック サービス エンドポイント
         への受信ネットワーク トラフィック用の別の NAT ルールを追加します。
    2. NAT ルールを追加するには、
      NAT ルールの追加
       をクリックし、次の設定を構成して、
      保存
       をクリックします。
      オプション
      管理インターフェイス NAT
      パブリック サービス エンドポイント
       NAT
      名前
      Cloud Director レプリケーション管理アプライアンス
       管理インターフェイスの NAT ルールの名前を入力します。たとえば、「
      VCDA Management Interface NAT
      」と入力します。
      Tunnel Appliance
      パブリック サービス エンドポイント
       の NAT ルールの名前を入力します。たとえば、「
      VCDA Tunnel Service Endpoint NAT
      」と入力します。
      公開 IP
      VCDA-Management-Public-IP-address
      を選択します。
      VCDA-Tunnel-Public-IP-address
      を選択します。
      サービス
      Cloud Director レプリケーション管理アプライアンス
       管理インターフェイスのインベントリ サービスを選択します。たとえば、
      VCDA-Cloud-Service-Management
       を選択します。
      Tunnel Appliance
      パブリック サービス エンドポイント
       のインベントリ サービスを選択します。たとえば、
      VCDA-Tunnel-Service-Endpoint
       を選択します。
      パブリック ポート
      ポート「
      443
      」と入力します。
      ポート「
      443
      」と入力します。
      内部 IP
      Cloud Director レプリケーション管理アプライアンス
       の「
      private-IP-address
      」を入力します。
      Tunnel Appliance
       の「
      private-IP-address
      」を入力します。
      内部ポート
      8046(編集不可)
      8048(編集不可)
      ファイアウォール
      内部アドレスとの一致
      内部アドレスとの一致
      初期構成が完了したら、攻撃対象の可能性を低減するために、管理インターフェイスの NAT ルールを無効にするか、または削除できます。
      VMware Cloud Director Availability
       用プラグインを使用して、
      Cloud Director インスタンス
       から引き続き
      VMware Cloud Director Availability
       にアクセスできます。
  5. 後で管理グループを作成して管理ファイアウォール ルールで使用するために、SDDC のコンピュート ゲートウェイの送信元 NAT の
    公開 IP アドレス
     を書き留めます。
    1. ネットワークとセキュリティ
       タブの左側のペインで
      概要
       をクリックします。
    2. デフォルトのコンピュート ゲートウェイ
      ワークロード
       の下で、SDDC の
      送信元 NAT の公開 IP
       アドレスを書き留めます。
  6. vCenter Server
    ESXi
     などの管理ゲートウェイ サービスへのアクセスをクラウド アプライアンスに準備するには、2 つの管理グループを追加します。
    1. ネットワークとセキュリティ
       タブで、
      インベントリ
       セクションの左側のペインの
      グループ
       をクリックします。
    2. 管理グループ
       タブをクリックします。
      次の手順を 2 回繰り返します。
      • デプロイされたすべての
        Replicator Appliance
         インスタンスのプライベート IP アドレスを含む管理グループを追加します。
      • コンピュート ゲートウェイの送信元 NAT を含む別の管理グループを追加します。
    3. 管理グループを作成するには、
      グループの追加
       をクリックし、グループごとに管理グループ名を入力します。
    4. 信頼できるメンバーを各管理グループに追加するには、[コンピュート メンバー] 列で
      メンバーの設定
       リンクをクリックします。
    5. メンバーの選択
       ウィンドウの
      IP アドレス
       タブで各管理グループの次の IP アドレスを入力し、
      適用
       をクリックします。
      管理グループ名
      管理グループの信頼できるメンバーの IP アドレス
      SNAT VCDA Management Group
      • 前の手順で説明したように、SDDC のコンピュート ゲートウェイの送信元 NAT の
        public-IP-address
         を入力します。
      • VMware Cloud Director Availability
         アプライアンスのサブネット グループを入力します。たとえば、「
        vcda-network-segment
        」と入力します。
      VCDA Replicators Management Group
      VMware Cloud on AWS
       にデプロイされているすべての
      Replicator Appliance
       インスタンスの
      vcda-network-segment
       内で予約されている
      private-IP-addresses
       を入力します。すべての
      Replicator Appliance
       インスタンスは、
      ESXi
       ホストおよびデータストアを使用して仮想マシンのプロビジョニングおよびレプリケーション タスクを実行するために、
      vCenter Server
       管理ゲートウェイ サービスにアクセスする必要があります。
    6. 各管理グループを保存するには、
      保存
       をクリックします。
  7. クラウド アプライアンスから
    vCenter Server
    、および管理ゲートウェイ内の
    ESXi
     データストアへの内部通信を許可するには、2 つの新しい管理ゲートウェイ ファイアウォール ルールを追加します。
    1. ゲートウェイ ファイアウォール
       画面で、
      管理ゲートウェイ
       タブをクリックします。
      次の手順を 2 回繰り返します。
      • コンピュート ゲートウェイの送信元 NAT から管理ゲートウェイ
        vCenter Server
         へのネットワーク トラフィックを許可するための管理ファイアウォール ルールを追加します。
      • 宛先
        ESXi
         データストアに書き込む
        Replicator Appliance
         インスタンスを許可する別の管理ファイアウォール ルールを追加します。
    2. 管理ファイアウォール ルールを作成するには、
      ルールの追加
       をクリックします。
    3. 2 つの管理ファイアウォール ルールをそれぞれ構成し、プロンプトが表示されたら
      適用
       をクリックします。
      オプション
      vCenter Server
       の管理ゲートウェイ ファイアウォール ルール
      ESXi
       ホストの管理ゲートウェイ ファイアウォール ルール
      名前
      vCenter Server
       管理ゲートウェイ ルールの名前を入力します。たとえば、「
      SNAT VCDA to vCenter Rule
      」と入力します。
      ESXi
       管理ゲートウェイ ルールの名前を入力します。たとえば、「
      VCDA Replicators to ESXi Rule
      」と入力します。
      送信元
      任意
       をクリックします。
      送信元の設定
       ウィンドウで、
      ユーザー定義グループ
       を選択し、SNAT の管理グループを選択します。たとえば、
      SNAT VCDA Management Group
       を選択し、
      適用
       をクリックします。
      任意
       をクリックします。
      送信元の設定
       ウィンドウで、
      ユーザー定義グループ
       を選択し、
      Replicator Appliance
       インスタンスのプライベート IP アドレスの管理グループを選択します。たとえば、
      VCDA Replicators Management Group
       を選択し、
      適用
       をクリックします。
      宛先
      任意
       をクリックします。
      宛先の設定
       ウィンドウの
      システム定義グループ
       の下で
      vCenter Server
       を選択し、
      適用
       をクリックします。
      任意
       をクリックします。
      宛先の設定
       ウィンドウの
      システム定義グループ
       の下で
      ESXi
       を選択し、
      適用
       をクリックします。
      サービス
      任意
       をクリックし、
      HTTPS (TCP 443)
       を選択します。
      Replicator Appliance
      Data Engine Service
      ESXi
       データストアに書き込むことを許可するには、
      任意
       をクリックし、
      HTTPS (TCP 443)
       および
      プロビジョニングとリモート コンソール (TCP 902)
       を選択します。
      アクション
      許可
      許可
    4. 両方の管理ゲートウェイ ファイアウォール ルールを作成したら、
      公開
       をクリックします。
  8. VMware Cloud on AWS
     でコンピュート ゲートウェイ サービスにアクセスするための準備として、4 つのコンピュート グループを作成します。
    1. ネットワークとセキュリティ
       タブで、
      インベントリ
       セクションの左側のペインの
      グループ
       をクリックします。
      次の手順を 4 回繰り返します。
      • VMware Cloud Director Availability
         管理インターフェイスへのアクセスが必要な信頼できるユーザーのコンピュート グループを追加します。
      • Cloud Director レプリケーション管理アプライアンス
         のコンピュート グループを追加します。
      • すべての
        Replicator Appliance
         インスタンスのコンピュート グループを追加します。
      • Tunnel Appliance
         のコンピュート グループを追加します。
    2. コンピュート グループを作成するには、
      コンピュート グループ
       タブで
      グループの追加
       をクリックし、グループ名を入力します。
    3. 信頼できるメンバーを各コンピュート グループに追加するには、[コンピュート メンバー] 列で
      メンバーの設定
       リンクをクリックします。
    4. メンバーの選択
       ウィンドウの
      IP アドレス
       タブで各コンピュート グループの次の IP アドレスを入力し、
      適用
       をクリックします。
      コンピュート グループ名
      コンピュート グループの信頼できるメンバーの IP アドレス
      Trusted Compute Sources Group
      VMware Cloud Director Availability
       の管理インターフェイスへのアクセス権を付与されたユーザーの外部向け
      public-IP-addresses
       を入力します。
      VMware Cloud on AWS
      VMware Cloud Director Availability
       へのアクセスを許可された各ユーザーのすべての公開 IP アドレスを追加していることを確認してください。そうしないと、ユーザーはアクセスできません。
      VCDA Manager Compute Group
      Cloud Director レプリケーション管理アプライアンス
       の「
      private-IP-address
      」を入力します。
      VCDA Replicators Compute Group
      すべての
      Replicator Appliance
       インスタンスの
      private-IP-addresses
       を入力します。
      VCDA Tunnel Compute Group
      Tunnel Appliance
       の「
      private-IP-address
      」を入力します。
    5. 各コンピュート グループを保存するために、
      保存
       をクリックします。
  9. 初期セットアップ ウィザードを完了するための準備として、信頼できるコンピュート 送信元から
    VMware Cloud Director Availability
     管理インターフェイスへのアクセスを許可します。また、2 つの新しいコンピュート ゲートウェイ ファイアウォール ルールを追加することで、クラウド アプライアンスの送信アクセスも許可します。
    1. ネットワークとセキュリティ
       タブで、
      セキュリティ
       セクションの左側のペインの
      ゲートウェイ ファイアウォール
       をクリックします。
      次の手順を 2 回繰り返します。
      • VMware Cloud Director Availability
         の初期セットアップ ウィザードを完了するように、信頼できるコンピュート送信元による
        Cloud Director レプリケーション管理アプライアンス
         へのアクセスを許可するためのコンピュート ゲートウェイ ファイアウォール ルールを追加します。
      • コンピュート ゲートウェイからの
        VMware Cloud Director Availability
         アプライアンスの送信ネットワーク トラフィックを許可するためのコンピュート ゲートウェイ ファイアウォール ルールを追加します。
    2. コンピュート ゲートウェイ
       タブで、
      ルールの追加
       をクリックします。
    3. 2 つのコンピュート ファイアウォール ルールをそれぞれ構成し、プロンプトが表示されたら
      適用
       をクリックします。
      オプション
      受信コンピュート ゲートウェイ ファイアウォール ルール
      送信コンピュート ゲートウェイ ファイアウォール ルール
      名前
      受信コンピュート ゲートウェイ ルールの名前を入力します。たとえば、「
      VCDA Management from Trusted Compute Sources Rule
      」と入力します。
      送信コンピュート ゲートウェイ ルールの名前を入力します。たとえば、「
      VCDA Appliances Outbound Compute Rule
      」と入力します。
      送信元
      任意
       をクリックします。
      送信元の設定
       ウィンドウで、信頼できるコンピュート送信元グループを選択し、
      適用
       をクリックします。たとえば、
      Trusted Compute Sources Group
       を選択します。
      任意
       をクリックします。
      送信元の設定
       ウィンドウで、
      VMware Cloud Director Availability
       アプライアンスの 3 つのコンピュート グループを選択し、
      適用
       をクリックします。たとえば、
      VCDA Manager Compute Group
      VCDA Replicators Compute Group
      VCDA Tunnel Compute Group
       の 3 つすべてを選択します。
      宛先
      任意
       をクリックします。
      宛先の設定
       ウィンドウで、
      Cloud Director レプリケーション管理アプライアンス
       コンピュート グループを選択し、
      適用
       をクリックします。たとえば、
      VCDA Manager Compute Group
       を選択します。
      任意
      サービス
      任意
       をクリックします。
      サービスの設定
       ウィンドウで、
      Cloud Director レプリケーション管理アプライアンス
       管理インターフェイス サービスを選択し、
      適用
       をクリックします。たとえば、
      VCDA-Cloud-Service-Management
       TCP (送信元: 任意 | 宛先: 8046)
       を選択します。
      任意
      適用対象
      すべてのアップリンク
      すべてのアップリンク
      アクション
      許可
      許可
    4. 両方のコンピュート ゲートウェイ ファイアウォール ルールを作成したら、
      公開
       をクリックします。
VMware Cloud on AWS
 の SDDC 構成が完了し、
VMware Cloud Director Availability
 の初期構成の準備が整いました。要約すると、
VMware Cloud on AWS
 の SDDC ネットワークは次のように構成されています。
  • vcda-network-segment
    VMware Cloud Director Availability
     のすべてのクラウド アプライアンス専用の経路指定ネットワーク。
  • 公開 IP アドレス:
    Cloud Director レプリケーション管理アプライアンス
     の管理インターフェイスと、
    Tunnel Appliance
    パブリック サービス エンドポイント
     の 2 つの公開 IP アドレスが要求されました。
  • 管理ゲートウェイ:
    • コンピュート ゲートウェイの送信元 NAT アドレスから管理ゲートウェイ
      vCenter Server
       へのアクセス。コンピュート ゲートウェイの
      VMware Cloud Director Availability
       アプライアンスからのアクセスをブリッジするために使用されます。
    • Replicator Appliance
       から管理ゲートウェイ
      ESXi
       データストアへのアクセス。移行の宛先に使用されます。
  • コンピュート ゲートウェイ:
    • 信頼できるコンピュート送信元グループ
       から
      Cloud Service
       の管理インターフェイスへのアクセス。初期セットアップの完了に使用されます。その後、同じルールを変更すると、
      VMware Cloud Director Availability
       の 4 種類すべての管理インターフェイスにアクセスできるようになります。詳細については、VMware Cloud on AWS での SDDC ネットワークのポスト構成を参照してください。
    • VMware Cloud Director Availability
       アプライアンスからインターネットへのアクセス。コンピュート ゲートウェイからの外部ネットワーク トラフィックに使用されます。
SDDC ネットワーク構成のサマリの詳細については、SDDC ネットワーク構成サマリを参照してください。
Cloud Director レプリケーション管理アプライアンス
 の初期セットアップ ウィザードを完了することで、
VMware Cloud on AWS
VMware Cloud Director Availability
 を構成できるようになりました。詳細については、VMware Cloud on AWS での VMware Cloud Director Availability の構成を参照してください。

Content feedback and comments