VMware Cloud Director Service Provider Admin Portal を使用して、まず組織仮想データセンターの範囲に分散ファイアウォール ルールを追加します。次に、ルールを適用する範囲を絞り込むことができます。分散ファイアウォールでは、各ルールのソースおよびターゲットのレベルに複数のオブジェクトを追加して、追加する必要のあるファイアウォール ルールの総数を減らすことができます。

ルール内で使用できる事前定義済みのサービスおよびサービス グループの詳細については、VMware Cloud Director Service Provider Admin Portalを使用したファイアウォール ルールで使用可能なサービスの表示およびVMware Cloud Director Service Provider Admin Portalを使用したファイアウォール ルールで使用可能なサービス グループの表示を参照してください。

前提条件

手順

  1. プライマリの左側ナビゲーション パネルで [リソース] を選択し、画面上部のナビゲーション バーで [クラウド リソース] を選択します。
  2. セカンダリの左側パネルで [組織 VDC] を選択します。
  3. ターゲット組織仮想データセンターの横にあるラジオ ボタンをクリックして、[ファイアウォールの管理] をクリックします。
  4. 作成するルールのタイプを選択します。一般的なルールまたはイーサネット ルールを作成するオプションがあります。
    レイヤー 3 (L3) ルールは [全般] タブで構成されます。レイヤー 2 (L2) ルールは [イーサネット] タブで構成されます。
  5. ファイアウォール テーブルの既存のルールの下にルールを追加するには、既存の行をクリックし、[作成]作成ボタン)ボタンをクリックします。
    新しいルールの行が選択したルールの下に追加され、デフォルトでは、すべてのターゲット、すべてのサービス、および [許可] アクションが割り当てられます。ファイアウォール テーブルにシステム定義のデフォルトの許可ルールしかない場合には、新しいルールはデフォルトのルールの上に追加されます。
  6. [名前] セルをクリックし、名前を入力します。
  7. [ソース] セルをクリックし、表示されているアイコンを使用して、ルールに追加するソースを選択します。
    アクション 説明
    [IP] アイコンをクリック [全般] タブで定義されたルールを適用します。

    使用するソースの値を入力します。有効な値は、IP アドレス、CIDR、IP アドレス範囲、またはキーワード any です。分散ファイアウォールは、IPv4 形式のみをサポートします。

    [+] アイコンをクリック [+] アイコンを使用し、特定の IP アドレス以外のオブジェクトをソースとして次のように指定します。
    • [オブジェクトの選択] ウィンドウを使用し、選択内容に一致するオブジェクトを追加し、[保持] をクリックしてそれらをルールに追加します。
    • ソースをルールから除外するには、[オブジェクトの選択] ウィンドウを使用してこのルールに追加し、次に除外の切り替えアイコンを選択してそのソースをこのルールから除外します。

    ソースで除外の切り替えを選択すると、すべてのソース(除外したソースを除く)から受信するトラフィックにルールが適用されます。除外の切り替えを選択しない場合、[オブジェクトの選択] ウィンドウで指定したソースから受信するトラフィックにルールが適用されます。

  8. [ターゲット] セルをクリックし、次のアクションのいずれかを実行します。
    アクション 説明
    [IP] アイコンをクリック [全般] タブで定義されたルールを適用します。

    使用するターゲットの値を入力します。有効な値は、IP アドレス、CIDR、IP アドレス範囲、またはキーワード any です。分散ファイアウォールは、IPv4 形式のみをサポートします。

    [+] アイコンをクリック [+] アイコンを使用し、特定の IP アドレス以外のオブジェクトをソースとして次のように指定します。
    • [オブジェクトの選択] ウィンドウを使用し、選択内容に一致するオブジェクトを追加し、[保持] をクリックしてそれらをルールに追加します。
    • ソースをルールから除外するには、[オブジェクトの選択] ウィンドウを使用してこのルールに追加し、次に除外の切り替えアイコンを選択してそのソースをこのルールから除外します。

    ソースで除外の切り替えを選択すると、すべてのソース(除外したソースを除く)から受信するトラフィックにルールが適用されます。除外の切り替えを選択しない場合、[オブジェクトの選択] ウィンドウで指定したソースから受信するトラフィックにルールが適用されます。

  9. 新しいルールの [サービス] セルをクリックし、次のいずれかのアクションを実行します。
    アクション 説明
    [IP] アイコンをクリック サービスをポートとプロトコルの組み合わせとして指定します。
    1. サービス プロトコルを選択します。
    2. ソースとターゲット ポートのポート番号を入力するか、または任意を指定し、[保持] をクリックします。
    [+] アイコンをクリック 事前定義済みサービスまたはサービス グループを選択するか、または新規のものを定義するには、次のようにします。
    1. 1 つまたは複数のオブジェクトを選択し、フィルタに追加します。
    2. [保持] をクリックします。
  10. 新しいルールの [アクション] セルで、ルールのアクションを構成します。
    オプション 説明
    許可 指定されたソース、ターゲット、およびサービスとの間のトラフィックを許可します。
    拒否 指定されたソース、ターゲット、およびサービスとの間のトラフィックをブロックします。
  11. 新しいルールの [方向] セルで、ルールを受信トラフィック、送信トラフィック、またはその両方のいずれに適用するかを選択します。
  12. これが [全般] タブのルールである場合、新しいルールの [パケット タイプ] セルで、パケット タイプとして [任意][IPV4]、または [IPV6] のいずれかを選択します。
  13. [適用対象] セルを選択し、[+] アイコンを使用してこのルールが適用されるオブジェクト範囲を定義します。
    ルールに [ソース][ターゲット] セル内の仮想マシンが含まれている場合は、ルールが正常に機能するように、ソースとターゲットの両方の仮想マシンをルールの [適用対象] に追加する必要があります。
    重要: IP アドレス グループ(IP セット)、MAC アドレス グループ(MAC セット)、および IP セットまたは MAC セットを含むセキュリティ グループは、有効な入力パラメータではありません。
  14. [変更を保存] をクリックします。