NSX Data Center for vSphere のドキュメントで説明されているように、デフォルトのファイアウォール設定は、ユーザー定義のどのファイアウォール ルールにも一致しないトラフィックに適用されます。 VMware Cloud Director Tenant Portal では、デフォルトの分散ファイアウォール ルールに [デフォルトの許可ルール] のラベルが付けられています。

VMware Cloud Director Tenant Portal を使用して分散ファイアウォール設定を管理するには、組織仮想データセンターで分散ファイアウォール機能を有効にしておく必要があります。

デフォルトの分散ファイアウォール ルールは、レイヤー 3 とレイヤー 2 のすべてのトラフィックが組織仮想データセンターを通過できるように構成されています。この設定は、ユーザー インターフェイスの [アクション] 列に設定された [許可] で示されます。デフォルト ルールは常にルール テーブルの下部にあります。

重要: デフォルトの分散ファイアウォール ルールを削除または変更することはできません。

VMware Cloud Director Tenant Portal を使用した分散ファイアウォール ルールの追加

VMware Cloud Director Tenant Portal を使用して、まず組織仮想データセンターの範囲に分散ファイアウォール ルールを追加します。次に、ルールを適用する範囲を絞り込むことができます。分散ファイアウォールでは、各ルールのソースおよびターゲットのレベルに複数のオブジェクトを追加して、追加する必要のあるファイアウォール ルールの総数を減らすことができます。

ルール内で使用できる事前定義済みのサービスおよびサービス グループの詳細については、VMware Cloud Director Tenant Portalを使用したファイアウォール ルールで使用可能なサービスの表示およびVMware Cloud Director Tenant Portalを使用したファイアウォール ルールで使用可能なサービス グループの表示を参照してください。

前提条件

手順

  1. [仮想データセンター] ダッシュボード画面で、確認する仮想データセンターのカードをクリックし、[ネットワーク][セキュリティ] を選択します。
  2. ファイアウォール ルールを変更するセキュリティ サービスの仮想データセンター ネットワークを選択し、[サービスの構成]をクリックします。
    [セキュリティ サービス] 画面が表示されます。
  3. 作成するルールのタイプを選択します。一般的なルールまたはイーサネット ルールを作成するオプションがあります。
    レイヤー 3 (L3) ルールは [全般] タブで構成されます。レイヤー 2 (L2) ルールは [イーサネット] タブで構成されます。
  4. ファイアウォール テーブルの既存のルールの下にルールを追加するには、既存の行をクリックし、[作成]作成ボタン)ボタンをクリックします。
    新しいルールの行が選択したルールの下に追加され、デフォルトでは、すべてのターゲット、すべてのサービス、および [許可] アクションが割り当てられます。ファイアウォール テーブルにシステム定義のデフォルトの許可ルールしかない場合には、新しいルールはデフォルトのルールの上に追加されます。
  5. [名前] セルをクリックし、名前を入力します。
  6. [ソース] セルをクリックし、表示されているアイコンを使用して、ルールに追加するソースを選択します。
    アクション 説明
    [IP] アイコンをクリック [全般] タブで定義されたルールを適用します。

    使用するソースの値を入力します。有効な値は、IP アドレス、CIDR、IP アドレス範囲、またはキーワード any です。分散ファイアウォールは、IPv4 形式のみをサポートします。

    [+] アイコンをクリック [+] アイコンを使用し、特定の IP アドレス以外のオブジェクトをソースとして次のように指定します。
    • [オブジェクトの選択] ウィンドウを使用し、選択内容に一致するオブジェクトを追加し、[保持] をクリックしてそれらをルールに追加します。
    • ソースをルールから除外するには、[オブジェクトの選択] ウィンドウを使用してこのルールに追加し、次に除外の切り替えアイコンを選択してそのソースをこのルールから除外します。

    ソースで除外の切り替えを選択すると、すべてのソース(除外したソースを除く)から受信するトラフィックにルールが適用されます。除外の切り替えを選択しない場合、[オブジェクトの選択] ウィンドウで指定したソースから受信するトラフィックにルールが適用されます。

  7. [ターゲット] セルをクリックし、次のアクションのいずれかを実行します。
    アクション 説明
    [IP] アイコンをクリック [全般] タブで定義されたルールを適用します。

    使用するターゲットの値を入力します。有効な値は、IP アドレス、CIDR、IP アドレス範囲、またはキーワード any です。分散ファイアウォールは、IPv4 形式のみをサポートします。

    [+] アイコンをクリック [+] アイコンを使用し、特定の IP アドレス以外のオブジェクトをソースとして次のように指定します。
    • [オブジェクトの選択] ウィンドウを使用し、選択内容に一致するオブジェクトを追加し、[保持] をクリックしてそれらをルールに追加します。
    • ソースをルールから除外するには、[オブジェクトの選択] ウィンドウを使用してこのルールに追加し、次に除外の切り替えアイコンを選択してそのソースをこのルールから除外します。

    ソースで除外の切り替えを選択すると、すべてのソース(除外したソースを除く)から受信するトラフィックにルールが適用されます。除外の切り替えを選択しない場合、[オブジェクトの選択] ウィンドウで指定したソースから受信するトラフィックにルールが適用されます。

  8. 新しいルールの [サービス] セルをクリックし、次のいずれかのアクションを実行します。
    アクション 説明
    [IP] アイコンをクリック サービスをポートとプロトコルの組み合わせとして指定します。
    1. サービス プロトコルを選択します。
    2. ソースとターゲット ポートのポート番号を入力するか、または任意を指定し、[保持] をクリックします。
    [+] アイコンをクリック 事前定義済みサービスまたはサービス グループを選択するか、または新規のものを定義するには、次のようにします。
    1. 1 つまたは複数のオブジェクトを選択し、フィルタに追加します。
    2. [保持] をクリックします。
  9. 新しいルールの [アクション] セルで、ルールのアクションを構成します。
    オプション 説明
    許可 指定されたソース、ターゲット、およびサービスとの間のトラフィックを許可します。
    拒否 指定されたソース、ターゲット、およびサービスとの間のトラフィックをブロックします。
  10. 新しいルールの [方向] セルで、ルールを受信トラフィック、送信トラフィック、またはその両方のいずれに適用するかを選択します。
  11. これが [全般] タブのルールである場合、新しいルールの [パケット タイプ] セルで、パケット タイプとして [任意][IPV4]、または [IPV6] のいずれかを選択します。
  12. [適用対象] セルを選択し、[+] アイコンを使用してこのルールが適用されるオブジェクト範囲を定義します。
    ルールに [ソース][ターゲット] セル内の仮想マシンが含まれている場合は、ルールが正常に機能するように、ソースとターゲットの両方の仮想マシンをルールの [適用対象] に追加する必要があります。
    重要: IP アドレス グループ(IP セット)、MAC アドレス グループ(MAC セット)、および IP セットまたは MAC セットを含むセキュリティ グループは、有効な入力パラメータではありません。
  13. [変更を保存] をクリックします。

VMware Cloud Director Tenant Portal を使用した分散ファイアウォール ルールの編集

VMware Cloud Director 環境で組織仮想データセンターの既存の分散ファイアウォール ルールを変更するには、[分散ファイアウォール] 画面を使用します。

ルールが格納されている各セルで使用可能な設定の詳細については、VMware Cloud Director Tenant Portal を使用した分散ファイアウォール ルールの追加を参照してください。

手順

  1. [仮想データセンター] ダッシュボード画面で、確認する仮想データセンターのカードをクリックし、[ネットワーク][セキュリティ] を選択します。
  2. ファイアウォール ルールを変更するセキュリティ サービスの仮想データセンター ネットワークを選択し、[サービスの構成]をクリックします。
    [セキュリティ サービス] 画面が表示されます。
  3. 分散ファイアウォール ルールを管理するには、次のいずれかのアクションを実行します。
    • ルールを無効にする。これは、[いいえ] セルの緑色のチェック マークをクリックすることで行います。

      緑色のチェック マークは、無効を示す赤色のアイコンになります。無効にしたルールを有効にするには、無効を示す赤色のアイコンをクリックします。

    • ルール名を編集する。これは、[名前] セルをダブルクリックして、新しい名前を入力することで行います。
    • ルールの設定(ソース設定やアクション設定など)を変更する。これは、該当するセルを選択し、表示されたコントロールを使用することで行います。
    • ルールを削除する。これは、ルール テーブルの上にある [削除] ボタンをクリックすることで行います。
    • ルール テーブルでルールを上下に移動する。これは、ルールを選択して、ルール テーブルの上にある上下の矢印ボタンをクリックすることで行います。
  4. [変更を保存] をクリックします。