Edge Gateway に送受信されるトラフィックを保護するには、その Edge Gateway にファイアウォール ルールを作成して、管理します。

組織仮想データセンター内の仮想マシン間で移動するトラフィックの保護方法については、VMware Cloud Director 組織仮想データセンターの分散ファイアウォールの管理を参照してください。

分散ファイアウォールの画面で作成され、[適用対象] 列で詳細 Edge ゲートウェイが指定されているルールは、その詳細 Edge ゲートウェイの [ファイアウォール] 画面に表示されません。

Edge Gateway の Edge Gateway ファイアウォール ルールは、[ファイアウォール] 画面に表示され、次の順序で適用されます。

  1. 内部ルール。自動配管ルールとも呼ばれます。これらの内部ルールにより、トラフィックが Edge ゲートウェイ サービスに流れるように制御できます。
  2. ユーザー定義ルール。
  3. デフォルト ルール。

デフォルト ルールの設定は、どのユーザー定義ファイアウォール ルールにも一致しないトラフィックに適用されます。デフォルト ルールは、[ファイアウォール] 画面の最下部に表示されます。

テナント ポータルで、Edge Gateway の [ファイアウォール ルール] 画面の [有効化] トグルを使用して、Edge Gateway ファイアウォールを無効または有効にします。

VMware Cloud Director Service Provider Admin Portal での NSX Data Center for vSphere Edge Gateway ファイアウォール ルールの追加

Edge Gateway のファイアウォール ルールを追加するには、この Edge Gateway の [ファイアウォール] タブを使用します。これらのファイアウォール ルールのソースおよびターゲットとして複数のエッジ インターフェイスと複数の IP アドレス グループを追加できます。

ルールのソースまたはターゲットに [内部] を指定すると、NSX Edge Gateway に接続されたポート グループ上のすべてのサブネットのトラフィックが指定されます。ソースとして [内部] を選択した場合は、NSX ゲートウェイに追加で内部インターフェイスを設定すると、ルールが自動的に更新されます。

注: Edge ゲートウェイを動的ルーティング用に設定すると、内部インターフェイスの Edge ゲートウェイ ファイアウォール ルールは機能しません。

手順

  1. Edge Gateway サービスを開きます。
    1. プライマリの左側ナビゲーション パネルで [リソース] を選択し、画面上部のナビゲーション バーで [クラウド リソース] タブを選択します。
    2. セカンダリの左側パネルで、[Edge Gateway] を選択します。
    3. ターゲット Edge Gateway の名前の横にあるラジオ ボタンをクリックして、[サービス] をクリックします。
  2. [ファイアウォール ルール] 画面が表示されない場合は、[ファイアウォール] タブをクリックします。
  3. ファイアウォール ルール テーブルで既存のルールの下にルールを追加するには、その既存の行をクリックし、[作成] ボタンをクリックします。
    新しいルールの行が選択したルールの下に追加され、デフォルトでは、すべてのターゲット、すべてのサービス、および [許可] アクションが割り当てられます。ファイアウォール テーブルにシステム定義のデフォルト ルールしかない場合、新しいルールはデフォルトのルールの上に追加されます。
  4. [名前] セルをクリックし、名前を入力します。
  5. [ソース] セルをクリックし、表示されているアイコンを使用して、ルールに追加するソースを選択します。
    オプション 説明
    [IP] アイコンをクリック 使用するソースの値を入力します。有効な値は、IP アドレス、CIDR、IP アドレス範囲、またはキーワード any です。Edge ゲートウェイ ファイアウォールは、IPv4 と IPv6 の両方の形式をサポートしています。
    [+] アイコンをクリック [+] アイコンを使用し、特定の IP アドレス以外のオブジェクトをソースとして次のように指定します。
    • [オブジェクトの選択] ウィンドウを使用し、選択内容に一致するオブジェクトを追加し、[保持] をクリックしてそれらをルールに追加します。
    • ソースをルールから除外するには、[オブジェクトの選択] ウィンドウを使用してこのルールに追加し、次に除外の切り替えアイコンを選択してそのソースをこのルールから除外します。

    ソースで除外の切り替えを選択すると、すべてのソース(除外したソースを除く)から受信するトラフィックにルールが適用されます。除外の切り替えを選択しない場合、[オブジェクトの選択] ウィンドウで指定したソースから受信するトラフィックにルールが適用されます。

  6. [ターゲット] セルをクリックし、次のオプションのいずれかを実行します。
    オプション 説明
    [IP] アイコンをクリック 使用するターゲットの値を入力します。有効な値は、IP アドレス、CIDR、IP アドレス範囲、またはキーワード any です。Edge ゲートウェイ ファイアウォールは、IPv4 と IPv6 の両方の形式をサポートしています。
    [+] アイコンをクリック [+] アイコンを使用し、特定の IP アドレス以外のオブジェクトをソースとして次のように指定します。
    • [オブジェクトの選択] ウィンドウを使用し、選択内容に一致するオブジェクトを追加し、[保持] をクリックしてそれらをルールに追加します。
    • ソースをルールから除外するには、[オブジェクトの選択] ウィンドウを使用してこのルールに追加し、次に除外の切り替えアイコンを選択してそのソースをこのルールから除外します。

    ソースで除外の切り替えを選択すると、すべてのソース(除外したソースを除く)から受信するトラフィックにルールが適用されます。除外の切り替えを選択しない場合、[オブジェクトの選択] ウィンドウで指定したソースから受信するトラフィックにルールが適用されます。

  7. 新しいルールの [サービス] セルをクリックし、[+] アイコンをクリックして、そのサービスをポートとプロトコルの組み合わせとして指定します。
    1. サービス プロトコルを選択します。
    2. ソース ポートとターゲット ポートのポート番号を入力するか、任意 を指定します。
    3. [保持] をクリックします。
  8. 新しいルールの [アクション] セルで、ルールのアクションを構成します。
    オプション 説明
    承諾 指定されたソース、ターゲット、およびサービスとの間のトラフィックを許可します。
    拒否 指定されたソース、ターゲット、およびサービスとの間のトラフィックをブロックします。
  9. [変更を保存] をクリックします。
    保存操作が完了するまでに 1 分ほどかかることがあります。

VMware Cloud Director Service Provider Admin Portal での NSX Data Center for vSphere Edge Gateway ファイアウォール ルールの変更

編集および削除できるのは、Edge ゲートウェイに追加されたユーザー定義のファイアウォール ルールのみです。自動生成されたルールまたはデフォルトのルールを編集または削除することはできません。ただし、デフォルト ルールのアクション設定は変更できます。ユーザー定義のルールは、優先順位を変更できます。

ルールが格納されている各セルで使用可能な設定の詳細については、VMware Cloud Director Service Provider Admin Portal での NSX Data Center for vSphere Edge Gateway ファイアウォール ルールの追加を参照してください。

手順

  1. Edge Gateway サービスを開きます。
    1. プライマリの左側ナビゲーション パネルで [リソース] を選択し、画面上部のナビゲーション バーで [クラウド リソース] タブを選択します。
    2. セカンダリの左側パネルで、[Edge Gateway] を選択します。
    3. ターゲット Edge Gateway の名前の横にあるラジオ ボタンをクリックして、[サービス] をクリックします。
  2. [ファイアウォール] タブをクリックします。
  3. ファイアウォール ルールを管理します。
    • ルールを無効にする。これは、[いいえ]セルの緑色のチェック マークをクリックすることで行います。緑色のチェック マークは、無効を示す赤色のアイコンになります。無効にしたルールを有効にするには、無効を示す赤色のアイコンをクリックします。
    • ルール名を編集する。これは、[名前] セルをダブルクリックして、新しい名前を入力することで行います。
    • ルールの設定(ソース設定やアクション設定など)を変更する。これは、該当するセルを選択し、表示されたコントロールを使用することで行います。
    • ルールを削除する。これは、ルール テーブルの上にある [削除] ボタンをクリックすることで行います。
    • [ユーザー定義のルールのみを表示] 切り替えを使用して、システムによって生成されたルールを非表示にします。
    • ルール テーブルでルールを上下に移動する。これは、ルールを選択して、ルール テーブルの上にある上下の矢印ボタンをクリックすることで行います。
  4. [変更を保存] をクリックします。

VMware Cloud Director での NSX Data Center for vSphere Edge Gateway への Syslog サーバ設定の適用

1 つ以上の Edge Gateway ファイアウォール ルールのログを有効にした場合、Edge Gateway は Syslog サーバに接続されます。Syslog サーバの初期構成の前に Edge Gateway を作成した場合、または Syslog サーバの設定を変更した場合は、この Edge Gateway の Syslog サーバ設定を同期する必要があります。

手順

  1. プライマリの左側ナビゲーション パネルで [リソース] を選択し、画面上部のナビゲーション バーで [クラウド リソース] を選択します。
  2. セカンダリの左側パネルで、[Edge Gateway] を選択します。
  3. ターゲット Edge Gateway の名前の横にあるラジオ ボタンをクリックして、[Syslog の同期] をクリックします。
  4. 確認するには、[OK] をクリックします。