VMware Cloud Director Service Provider Admin Portal での NSX Data Center for vSphere Edge Gateway ファイアウォールの管理

Edge Gateway に送受信されるトラフィックを保護するには、その Edge Gateway にファイアウォールルールを作成して、管理します。

組織仮想データセンター内の仮想マシン間で移動するトラフィックの保護方法については、VMware Cloud Director 組織仮想データセンターの分散ファイアウォールの管理を参照してください。

分散ファイアウォールの画面で作成され、[適用対象] 列で詳細 Edge ゲートウェイが指定されているルールは、その詳細 Edge ゲートウェイの [ファイアウォール] 画面に表示されません。

Edge Gateway の Edge Gateway ファイアウォールルールは、[ファイアウォール] 画面に表示され、次の順序で適用されます。

内部ルール。自動配管ルールとも呼ばれます。これらの内部ルールにより、トラフィックが Edge ゲートウェイサービスに流れるように制御できます。
ユーザー定義ルール。
デフォルトルール。

デフォルトルールの設定は、どのユーザー定義ファイアウォールルールにも一致しないトラフィックに適用されます。デフォルトルールは、[ファイアウォール] 画面の最下部に表示されます。

テナントポータルで、Edge Gateway の [ファイアウォールルール] 画面の [有効化] トグルを使用して、Edge Gateway ファイアウォールを無効または有効にします。

VMware Cloud Director Service Provider Admin Portal での NSX Data Center for vSphere Edge Gateway ファイアウォールルールの追加

Edge Gateway のファイアウォールルールを追加するには、この Edge Gateway の [ファイアウォール] タブを使用します。これらのファイアウォールルールのソースおよびターゲットとして複数のエッジインターフェイスと複数の IP アドレスグループを追加できます。

ルールのソースまたはターゲットに [内部] を指定すると、NSX Edge Gateway に接続されたポートグループ上のすべてのサブネットのトラフィックが指定されます。ソースとして [内部] を選択した場合は、NSX ゲートウェイに追加で内部インターフェイスを設定すると、ルールが自動的に更新されます。

注： Edge ゲートウェイを動的ルーティング用に設定すると、内部インターフェイスの Edge ゲートウェイファイアウォールルールは機能しません。

手順

Edge Gateway サービスを開きます。
1. プライマリの左側ナビゲーションパネルで [リソース] を選択し、画面上部のナビゲーションバーで [クラウドリソース] タブを選択します。
2. セカンダリの左側パネルで、[Edge Gateway] を選択します。
3. ターゲット Edge Gateway の名前の横にあるラジオボタンをクリックして、[サービス] をクリックします。
[ファイアウォールルール] 画面が表示されない場合は、[ファイアウォール] タブをクリックします。
ファイアウォールルールテーブルで既存のルールの下にルールを追加するには、その既存の行をクリックし、[作成] ボタンをクリックします。
新しいルールの行が選択したルールの下に追加され、デフォルトでは、すべてのターゲット、すべてのサービス、および [許可] アクションが割り当てられます。ファイアウォールテーブルにシステム定義のデフォルトルールしかない場合、新しいルールはデフォルトのルールの上に追加されます。
[名前] セルをクリックし、名前を入力します。

[ソース] セルをクリックし、表示されているアイコンを使用して、ルールに追加するソースを選択します。

オプション	説明
[IP] アイコンをクリック	使用するソースの値を入力します。有効な値は、IP アドレス、CIDR、IP アドレス範囲、またはキーワード `any` です。Edge ゲートウェイファイアウォールは、IPv4 と IPv6 の両方の形式をサポートしています。
[+] アイコンをクリック	[+] アイコンを使用し、特定の IP アドレス以外のオブジェクトをソースとして次のように指定します。 [オブジェクトの選択] ウィンドウを使用し、選択内容に一致するオブジェクトを追加し、[保持] をクリックしてそれらをルールに追加します。ソースをルールから除外するには、[オブジェクトの選択] ウィンドウを使用してこのルールに追加し、次に除外の切り替えアイコンを選択してそのソースをこのルールから除外します。ソースで除外の切り替えを選択すると、すべてのソース（除外したソースを除く）から受信するトラフィックにルールが適用されます。除外の切り替えを選択しない場合、[オブジェクトの選択] ウィンドウで指定したソースから受信するトラフィックにルールが適用されます。

オプション

説明

[IP] アイコンをクリック

使用するソースの値を入力します。有効な値は、IP アドレス、CIDR、IP アドレス範囲、またはキーワード any です。Edge ゲートウェイファイアウォールは、IPv4 と IPv6 の両方の形式をサポートしています。

[+] アイコンをクリック

[+] アイコンを使用し、特定の IP アドレス以外のオブジェクトをソースとして次のように指定します。

[オブジェクトの選択] ウィンドウを使用し、選択内容に一致するオブジェクトを追加し、[保持] をクリックしてそれらをルールに追加します。
ソースをルールから除外するには、[オブジェクトの選択] ウィンドウを使用してこのルールに追加し、次に除外の切り替えアイコンを選択してそのソースをこのルールから除外します。

ソースで除外の切り替えを選択すると、すべてのソース（除外したソースを除く）から受信するトラフィックにルールが適用されます。除外の切り替えを選択しない場合、[オブジェクトの選択] ウィンドウで指定したソースから受信するトラフィックにルールが適用されます。

[ターゲット] セルをクリックし、次のオプションのいずれかを実行します。

オプション	説明
[IP] アイコンをクリック	使用するターゲットの値を入力します。有効な値は、IP アドレス、CIDR、IP アドレス範囲、またはキーワード `any` です。Edge ゲートウェイファイアウォールは、IPv4 と IPv6 の両方の形式をサポートしています。
[+] アイコンをクリック	[+] アイコンを使用し、特定の IP アドレス以外のオブジェクトをソースとして次のように指定します。 [オブジェクトの選択] ウィンドウを使用し、選択内容に一致するオブジェクトを追加し、[保持] をクリックしてそれらをルールに追加します。ソースをルールから除外するには、[オブジェクトの選択] ウィンドウを使用してこのルールに追加し、次に除外の切り替えアイコンを選択してそのソースをこのルールから除外します。ソースで除外の切り替えを選択すると、すべてのソース（除外したソースを除く）から受信するトラフィックにルールが適用されます。除外の切り替えを選択しない場合、[オブジェクトの選択] ウィンドウで指定したソースから受信するトラフィックにルールが適用されます。

オプション

説明

[IP] アイコンをクリック

使用するターゲットの値を入力します。有効な値は、IP アドレス、CIDR、IP アドレス範囲、またはキーワード any です。Edge ゲートウェイファイアウォールは、IPv4 と IPv6 の両方の形式をサポートしています。

[+] アイコンをクリック

[+] アイコンを使用し、特定の IP アドレス以外のオブジェクトをソースとして次のように指定します。

[オブジェクトの選択] ウィンドウを使用し、選択内容に一致するオブジェクトを追加し、[保持] をクリックしてそれらをルールに追加します。
ソースをルールから除外するには、[オブジェクトの選択] ウィンドウを使用してこのルールに追加し、次に除外の切り替えアイコンを選択してそのソースをこのルールから除外します。

新しいルールの [サービス] セルをクリックし、[+] アイコンをクリックして、そのサービスをポートとプロトコルの組み合わせとして指定します。
1. サービスプロトコルを選択します。
2. ソースポートとターゲットポートのポート番号を入力するか、任意 を指定します。
3. [保持] をクリックします。

新しいルールの [アクション] セルで、ルールのアクションを構成します。

オプション	説明
承諾	指定されたソース、ターゲット、およびサービスとの間のトラフィックを許可します。
拒否	指定されたソース、ターゲット、およびサービスとの間のトラフィックをブロックします。

[変更を保存] をクリックします。
保存操作が完了するまでに 1 分ほどかかることがあります。

VMware Cloud Director Service Provider Admin Portal での NSX Data Center for vSphere Edge Gateway ファイアウォールルールの変更

編集および削除できるのは、Edge ゲートウェイに追加されたユーザー定義のファイアウォールルールのみです。自動生成されたルールまたはデフォルトのルールを編集または削除することはできません。ただし、デフォルトルールのアクション設定は変更できます。ユーザー定義のルールは、優先順位を変更できます。

ルールが格納されている各セルで使用可能な設定の詳細については、VMware Cloud Director Service Provider Admin Portal での NSX Data Center for vSphere Edge Gateway ファイアウォールルールの追加を参照してください。

手順

Edge Gateway サービスを開きます。
1. プライマリの左側ナビゲーションパネルで [リソース] を選択し、画面上部のナビゲーションバーで [クラウドリソース] タブを選択します。
2. セカンダリの左側パネルで、[Edge Gateway] を選択します。
3. ターゲット Edge Gateway の名前の横にあるラジオボタンをクリックして、[サービス] をクリックします。
[ファイアウォール] タブをクリックします。
ファイアウォールルールを管理します。
- ルールを無効にする。これは、[いいえ]セルの緑色のチェックマークをクリックすることで行います。緑色のチェックマークは、無効を示す赤色のアイコンになります。無効にしたルールを有効にするには、無効を示す赤色のアイコンをクリックします。
- ルール名を編集する。これは、[名前] セルをダブルクリックして、新しい名前を入力することで行います。
- ルールの設定（ソース設定やアクション設定など）を変更する。これは、該当するセルを選択し、表示されたコントロールを使用することで行います。
- ルールを削除する。これは、ルールテーブルの上にある [削除] ボタンをクリックすることで行います。
- [ユーザー定義のルールのみを表示] 切り替えを使用して、システムによって生成されたルールを非表示にします。
- ルールテーブルでルールを上下に移動する。これは、ルールを選択して、ルールテーブルの上にある上下の矢印ボタンをクリックすることで行います。
[変更を保存] をクリックします。

VMware Cloud Director での NSX Data Center for vSphere Edge Gateway への Syslog サーバ設定の適用

1 つ以上の Edge Gateway ファイアウォールルールのログを有効にした場合、Edge Gateway は Syslog サーバに接続されます。Syslog サーバの初期構成の前に Edge Gateway を作成した場合、または Syslog サーバの設定を変更した場合は、この Edge Gateway の Syslog サーバ設定を同期する必要があります。

手順

プライマリの左側ナビゲーションパネルで [リソース] を選択し、画面上部のナビゲーションバーで [クラウドリソース] を選択します。
セカンダリの左側パネルで、[Edge Gateway] を選択します。
ターゲット Edge Gateway の名前の横にあるラジオボタンをクリックして、[Syslog の同期] をクリックします。
確認するには、[OK] をクリックします。

VMware Cloud Director Service Provider Admin Portal での NSX Data Center for vSphere Edge Gateway ファイアウォール ルールの追加

手順

VMware Cloud Director Service Provider Admin Portal での NSX Data Center for vSphere Edge Gateway ファイアウォール ルールの変更

手順

VMware Cloud Director での NSX Data Center for vSphere Edge Gateway への Syslog サーバ設定の適用

手順

VMware Cloud Director Service Provider Admin Portal での NSX Data Center for vSphere Edge Gateway ファイアウォールルールの追加

VMware Cloud Director Service Provider Admin Portal での NSX Data Center for vSphere Edge Gateway ファイアウォールルールの変更