vCloud Director のセルは、サービス プロバイダのネットワークの境界外部から通常接続する、テナントとシステム管理者によってアクセス可能にする必要があります。vCloud Director サービスを外部で利用可能にするための推奨されるアプローチは、インターネット(またはその他のエンタープライズ ネットワーク)と、各 vCloud Director パブリック エンドポイントの間に、Web アプリケーション ファイアウォールを配置することです。

ネットワーク ファイアウォールは、物理ネットワークや仮装ネットワークをセグメント化し、特定のポートとプロトコル上の、事前に定義され限られたトラフィックのみがそれらの間を通ることができるようにするものです。このドキュメントでは、一般的なファイアウォールの導入の原理を定義したり、ファイアウォールのセットアップを詳しく解説したりはしません。これらは当ガイドの範囲外です。このガイドでは、vCloud Director 環境のさまざまなコンポーネントに関して、ネットワーク ファイアウォールを配置すべき推奨の場所を特定します。

注:

ネットワークまたはテナントごとの VPN 内の IP アドレスの制限によって、接続の管理はさらに制限できます。このレベルの保護は特定の環境では適切ですが、このドキュメントの範囲外となります。

vCloud Director セルは DMZ 内にあるため、必要なサービスにアクセスするにはネットワークのファイアウォールを介する必要があります。具体的には、vCloud Director DB、vCenter ServerESXi ホスト、AMQP や、何らかのバックアップなどのサービスへのアクセスは、内部ネットワーク(ファイアウォールのパブリック側からはアクセス不可)へのアクセスを制限することが推奨されます。ファイアウォールで開く必要のあるポートのリストについては、ネットワーク セキュリティの要件 を参照してください。

悪意のあるトラフィックをブロック

ネットワークの脅威からシステムを保護するためには、さまざまなファイアウォール ルールが推奨されます。
  • ルーティングが不可能なアドレスが元になっていると思われるパケットのドロップ(IP スプーフィング)
  • 不正な形式の TCP パケットのドロップ
  • SYN フラッド攻撃から保護するための、リクエスト(特に SYN リクエスト)のレートの制限(DoS の試行)
  • 受信したリクエストが元になっていないファイアウォールからの送信トラフィックを拒否することを検討する

これらのルールやその他のルールは、通常ウェブ アプリケーション ファイアウォールによって適用され、展開するネットワーク ファイアウォールによって既定で適用されることもあります。特定の構成手順と既定の機能については、ファイアウォールのドキュメントを参照してください。