Edge Gateway に送受信されるトラフィックを保護するには、その Edge Gateway にファイアウォール ルールを作成して、管理します。

組織仮想データセンター内の仮想マシン間で移動するトラフィックの保護方法については、VMware Cloud Director Tenant Portal を使用した NSX Data Center for vSphere 分散ファイアウォール ルールの管理を参照してください。

分散ファイアウォールの画面で作成され、[適用対象] 列で詳細 Edge ゲートウェイが指定されているルールは、その詳細 Edge ゲートウェイの [ファイアウォール] 画面に表示されません。

Edge Gateway の Edge Gateway ファイアウォール ルールは、[ファイアウォール] 画面に表示され、次の順序で適用されます。

  1. 内部ルール。自動配管ルールとも呼ばれます。これらの内部ルールにより、トラフィックが Edge ゲートウェイ サービスに流れるように制御できます。
  2. ユーザー定義ルール。
  3. デフォルト ルール。

デフォルト ルールの設定は、どのユーザー定義ファイアウォール ルールにも一致しないトラフィックに適用されます。デフォルト ルールは、[ファイアウォール] 画面の最下部に表示されます。

テナント ポータルで、Edge Gateway の [ファイアウォール ルール] 画面の [有効化] トグルを使用して、Edge Gateway ファイアウォールを無効または有効にします。

VMware Cloud Director Tenant Portal での NSX Data Center for vSphere Edge Gateway から詳細 Edge Gateway への変換

テナント ポータルで NSX Data Center for vSphere Edge Gateway を使用するには、Edge Gateway を詳細 Edge Gateway に変換する必要があります。詳細 Edge Gateway に変換すると、テナント ポータルを使用して、NSX Data Center for vSphere が提供する固定および動的ルーティング機能をこれらの詳細 Edge Gateway 用に設定できます。

前提条件

Edge Gateway がすでにあることが必要です。

手順

  1. プライマリの左側ナビゲーション パネルで [ネットワーク] を選択し、画面上部のナビゲーション バーで [Edge Gateway] タブを選択します。
  2. 編集する Edge Gateway を選択します。
  3. [詳細に変換] をクリックします。

結果

Edge Gateway が詳細 Edge Gateway に変換されます。

次のタスク

詳細 Edge Gateway に変換した後は、ゲートウェイを選択して [サービス] をクリックすることで設定できます。

VMware Cloud Director Tenant Portalでの NSX Data Center for vSphere Edge Gateway ファイアウォール ルールの追加

Edge Gateway のファイアウォール ルールを追加するには、この Edge Gateway の [ファイアウォール] タブを使用します。これらのファイアウォール ルールのソースおよびターゲットとして複数のエッジ インターフェイスと複数の IP アドレス グループを追加できます。

ルールのソースまたはターゲットに [内部] を指定すると、NSX Edge Gateway に接続されたポート グループ上のすべてのサブネットのトラフィックが指定されます。ソースとして [内部] を選択した場合は、NSX ゲートウェイに追加で内部インターフェイスを設定すると、ルールが自動的に更新されます。

注: Edge ゲートウェイを動的ルーティング用に設定すると、内部インターフェイスの Edge ゲートウェイ ファイアウォール ルールは機能しません。

手順

  1. Edge Gateway サービスを開きます。
    1. プライマリの左側ナビゲーション パネルで [ネットワーク] を選択し、画面上部のナビゲーション バーで [Edge Gateway] を選択します。
    2. 編集する Edge Gateway を選択し、[サービス] をクリックします。
  2. [ファイアウォール ルール] 画面が表示されない場合は、[ファイアウォール] タブをクリックします。
  3. ファイアウォール ルール テーブルで既存のルールの下にルールを追加するには、その既存の行をクリックし、[作成] ボタンをクリックします。
    新しいルールの行が選択したルールの下に追加され、デフォルトでは、すべてのターゲット、すべてのサービス、および [許可] アクションが割り当てられます。ファイアウォール テーブルにシステム定義のデフォルト ルールしかない場合、新しいルールはデフォルトのルールの上に追加されます。
  4. [名前] セルをクリックし、名前を入力します。
  5. [ソース] セルをクリックし、表示されているアイコンを使用して、ルールに追加するソースを選択します。
    オプション 説明
    [IP] アイコンをクリック 使用するソースの値を入力します。有効な値は、IP アドレス、CIDR、IP アドレス範囲、またはキーワード any です。Edge ゲートウェイ ファイアウォールは、IPv4 と IPv6 の両方の形式をサポートしています。
    [+] アイコンをクリック [+] アイコンを使用し、特定の IP アドレス以外のオブジェクトをソースとして次のように指定します。
    • [オブジェクトの選択] ウィンドウを使用し、選択内容に一致するオブジェクトを追加し、[保持] をクリックしてそれらをルールに追加します。
    • ソースをルールから除外するには、[オブジェクトの選択] ウィンドウを使用してこのルールに追加し、次に除外の切り替えアイコンを選択してそのソースをこのルールから除外します。

    ソースで除外の切り替えを選択すると、すべてのソース(除外したソースを除く)から受信するトラフィックにルールが適用されます。除外の切り替えを選択しない場合、[オブジェクトの選択] ウィンドウで指定したソースから受信するトラフィックにルールが適用されます。

  6. [ターゲット] セルをクリックし、次のオプションのいずれかを実行します。
    オプション 説明
    [IP] アイコンをクリック 使用するターゲットの値を入力します。有効な値は、IP アドレス、CIDR、IP アドレス範囲、またはキーワード any です。Edge ゲートウェイ ファイアウォールは、IPv4 と IPv6 の両方の形式をサポートしています。
    [+] アイコンをクリック [+] アイコンを使用し、特定の IP アドレス以外のオブジェクトをソースとして次のように指定します。
    • [オブジェクトの選択] ウィンドウを使用し、選択内容に一致するオブジェクトを追加し、[保持] をクリックしてそれらをルールに追加します。
    • ソースをルールから除外するには、[オブジェクトの選択] ウィンドウを使用してこのルールに追加し、次に除外の切り替えアイコンを選択してそのソースをこのルールから除外します。

    ソースで除外の切り替えを選択すると、すべてのソース(除外したソースを除く)から受信するトラフィックにルールが適用されます。除外の切り替えを選択しない場合、[オブジェクトの選択] ウィンドウで指定したソースから受信するトラフィックにルールが適用されます。

  7. 新しいルールの [サービス] セルをクリックし、[+] アイコンをクリックして、そのサービスをポートとプロトコルの組み合わせとして指定します。
    1. サービス プロトコルを選択します。
    2. ソース ポートとターゲット ポートのポート番号を入力するか、任意 を指定します。
    3. [保持] をクリックします。
  8. 新しいルールの [アクション] セルで、ルールのアクションを構成します。
    オプション 説明
    承諾 指定されたソース、ターゲット、およびサービスとの間のトラフィックを許可します。
    拒否 指定されたソース、ターゲット、およびサービスとの間のトラフィックをブロックします。
  9. [変更を保存] をクリックします。
    保存操作が完了するまでに 1 分ほどかかることがあります。

VMware Cloud Director Tenant Portal での NSX Data Center for vSphere Edge Gateway ファイアウォール ルールの変更

編集および削除できるのは、Edge ゲートウェイに追加されたユーザー定義のファイアウォール ルールのみです。自動生成されたルールまたはデフォルトのルールを編集または削除することはできません。ただし、デフォルト ルールのアクション設定は変更できます。ユーザー定義のルールは、優先順位を変更できます。

ルールが格納されている各セルで使用可能な設定の詳細については、VMware Cloud Director Tenant Portalでの NSX Data Center for vSphere Edge Gateway ファイアウォール ルールの追加を参照してください。

手順

  1. Edge Gateway サービスを開きます。
    1. プライマリの左側ナビゲーション パネルで [ネットワーク] を選択し、画面上部のナビゲーション バーで [Edge Gateway] を選択します。
    2. 編集する Edge Gateway を選択し、[サービス] をクリックします。
  2. [ファイアウォール] タブをクリックします。
  3. ファイアウォール ルールを管理します。
    • ルールを無効にする。これは、[いいえ]セルの緑色のチェック マークをクリックすることで行います。緑色のチェック マークは、無効を示す赤色のアイコンになります。無効にしたルールを有効にするには、無効を示す赤色のアイコンをクリックします。
    • ルール名を編集する。これは、[名前] セルをダブルクリックして、新しい名前を入力することで行います。
    • ルールの設定(ソース設定やアクション設定など)を変更する。これは、該当するセルを選択し、表示されたコントロールを使用することで行います。
    • ルールを削除する。これは、ルール テーブルの上にある [削除] ボタンをクリックすることで行います。
    • [ユーザー定義のルールのみを表示] 切り替えを使用して、システムによって生成されたルールを非表示にします。
    • ルール テーブルでルールを上下に移動する。これは、ルールを選択して、ルール テーブルの上にある上下の矢印ボタンをクリックすることで行います。
  4. [変更を保存] をクリックします。