分散ファイアウォール ルールは、仮想マシン (vNIC) レベルで適用され、SDDC 内の East-West トラフィックを制御します。

分散ファイアウォールを通過するすべてのトラフィックに、このルール テーブルのルールが上から順に適用されます。上位のルールで許可されたパケットが、その下のルールに順次渡されていきます。いずれかのルールでパケットがドロップされるか拒否されるまで、またはすべてのトラフィックが許可されるデフォルト ルールに適合するまで、ルールの適用が続けられます。

注目:

SDDC バージョン 1.20、1.20v2、または 1.20v3 では、FQDN 属性を指定したコンテキスト プロファイルが分散ファイアウォール ルールに使用されている場合に、DNS サーバからの応答で CNAME レコードを受信すると、PSOD エラーが発生する可能性があります。詳細については、VMware ナレッジベースの記事KB91654を参照してください。

分散ファイアウォール ルールは、ポリシー別にグループ化されます。ポリシーはカテゴリごとに分類されます。各カテゴリには、評価の優先順位があります。優先順位の高いカテゴリのルールは、優先順位の低いカテゴリのルールよりも先に評価されます。
表 1. 分散ファイアウォール ルールのカテゴリ
カテゴリ評価の優先順位 カテゴリ名 説明
1 イーサネット レイヤー 2 のすべての SDDC ネットワーク トラフィックに適用します。
注: このカテゴリのルールでは、送信元と宛先として MAC アドレスが必要です。IP アドレスは受け入れられますが、無視されます。
2 緊急 検疫ルールと許可ルールに使用します。
3 インフラストラクチャ 共有サービスへのアクセスを定義します。グローバル ルール、Active Directory、DNS、NTP、DHCP、バックアップ、管理サーバ。
4 環境 本番環境ゾーン、開発ゾーン、または特定のビジネス目的専用のゾーンなどのセキュリティ ゾーン間のルール。
5 アプリケーション アプリケーション、アプリケーション層、またはマイクロサービス間のルール。
分散ファイアウォールの専門用語の詳細については、『 NSX Data Center 管理ガイド』の セキュリティに関する用語を参照してください。

前提条件

分散ファイアウォール ルールは、ソースおよびターゲットとしてインベントリ グループを必要とします。また、サービス(事前定義されたサービスまたは SDDC 用に定義したカスタム サービス)に適用する必要があります。これらのグループやサービスはルールの作成中に作成できますが、事前にこのような操作を行っておくと、プロセスを高速化できます。インベントリ グループの操作を参照してください。

手順

  1. https://vmc.vmware.comVMware Cloud Services にログインします。
  2. [インベントリ] > [SDDC] の順にクリックし、SDDC カードを選択して [詳細表示] をクリックします。
  3. [NSX Manager を開く] をクリックし、SDDC の [設定] 画面に表示されている [NSX Manager 管理者ユーザー アカウント] を使用してログインします。NSX Manager による SDDC ネットワーク管理を参照してください。
    このワークフローでは、 VMware Cloud コンソール[ネットワークとセキュリティ] タブを使用することもできます。
  4. [分散ファイアウォール] 画面を開きます。
    [カテゴリ固有のルール] をクリックしてカテゴリを選択すると、そのカテゴリのポリシーとルールを表示および修正できます。 [すべてのルール] をクリックすると、すべてのポリシーとカテゴリのルールを表示できます(修正はできません)。
  5. (オプション) デフォルトの接続方法を変更します。
    分散ファイアウォールには、レイヤー 2 およびレイヤー 3 のすべてのトラフィックに適用されるデフォルト ルールが含まれています。これらのルールは、カテゴリ内の他のすべてのルールの後に評価され、前のルールに一致しないトラフィックがファイアウォールを通過することを許可します。これらのルールのいずれかまたは両方を変更して制約を厳しくすることはできますが、どちらのルールも無効にすることはできません。
    • [デフォルトのレイヤー 2 のルール] を変更するには、[イーサネット] カテゴリの [デフォルト レイヤー 2 のセクション] を展開して、そのルールの [アクション][ドロップ] に変更します。
    • [デフォルトのレイヤー 3 のルール] を変更するには、[アプリケーション] カテゴリの [デフォルトのレイヤー 3 のセクション] を展開して、そのルールの [アクション][ドロップ] または [拒否] に変更します。
    [発行] をクリックして、ルールを更新します。
  6. ポリシーを追加するには、該当のカテゴリを開いて [ポリシーの追加] をクリックし、新しいポリシーの [名前] を指定します。

    そのカテゴリのポリシー リストの一番上に新しいポリシーが追加されます。既存のポリシーの前後にポリシーを追加するには、ポリシー行の先頭の縦方向の省略記号ボタンをクリックしてポリシー設定メニューを開き、[ポリシーを上に追加] または [ポリシーを下に追加] をクリックします。

    デフォルトでは、[適用先] 列は [DFW] に設定され、このルールがすべてのワークロードに適用されます。このルールやポリシーは、選択したグループにも適用できます。[適用先] は、ルールごとの適用範囲を定義し、主にホスト リソース消費の最適化に使用します。他のテナントやゾーンに定義したポリシーに干渉することなく、特定のゾーンやテナントの目標ポリシーを定義する際に便利です。

    注: IP アドレス、MAC アドレス、または Active Directory グループのみからなるグループは、 [適用先] テキスト ボックスで使用できません。
  7. ルールを追加するには、ポリシーを選択して [ルールの追加] をクリックし、ルールの [名前] を入力します。
  8. 新しいルールのパラメータを入力します。
    パラメータはデフォルト値に初期化されます( [送信元][宛先][すべて] など)。パラメータを編集するには、パラメータ値の上にマウス カーソルを移動し、鉛筆アイコン ( 鉛筆アイコン) をクリックしてパラメータ固有のエディタを開きます。
    オプション 説明
    送信元 [送信元] 列の [任意] をクリックし、送信元ネットワーク トラフィックのインベントリ グループを選択するか、[グループの追加] をクリックして、このルールで使用する新しいユーザー定義のインベントリ グループを作成します。[保存] をクリックします。
    宛先 [宛先] 列の [任意] をクリックし、宛先ネットワーク トラフィックのインベントリ グループを選択するか、[グループの追加] をクリックして、このルールで使用する新しいユーザー定義のインベントリ グループを作成します。[保存] をクリックします。
    サービス [サービス] 列の [任意] をクリックし、リストからサービスを選択します。[保存] をクリックします。
    適用先 ルールは、そのルールが含まれているポリシーの [適用先] の値を継承します。
    操作
    • すべての L2 および L3 トラフィックがファイアウォールを通過できるようにするには、[許可] を選択します。
    • [ドロップ] を選択すると、指定した [送信元][宛先][サービス] に一致するパケットをドロップします。これは、送信元または宛先のシステムに通知されない、サイレント アクションです。パケットがドロップされると、再試行のしきい値に到達するまで、接続が再試行されます。
    • [拒否] を選択すると、指定した [送信元][宛先][サービス] に一致するパケットを拒否します。このアクションは、「宛先への到達不能メッセージ」を送信者に返します。TCP パケットの場合、応答には TCP RST メッセージが含まれます。UDP、ICMP、およびその他のプロトコルの場合、応答には「管理上禁止」のコード(9 または 10)が含まれます。接続を確立できない場合、すぐに送信者に通知されます(再試行は行われません)。
    新しいルールはデフォルトで有効になります。トグル ボタンを左にスライドして無効にします。
  9. (オプション) 詳細設定の構成。
    ルールの方向またはログの動作を変更するには、歯車アイコン をクリックして [設定] ページを開きます。
    方向
    デフォルトでは、この値は [In/Out] であり、すべての送信元および宛先にこのルールを適用します。これを [In] に変更して、ルールを送信元からの受信トラフィックのみに適用するか、 [Out] にして、宛先への送信トラフィックのみに適用することができます。この値を変更すると、非対称ルーティングやその他のトラフィック異常が発生する可能性があるため、 [方向] のデフォルト値の変更を行う前に、すべての送信元と宛先について予想される結果を理解しておく必要があります。
    ログ
    新しいルールのログは、デフォルトで無効になっています。ルール アクションのログを有効にするには、トグル ボタンを右にスライドします。
  10. [発行] をクリックして、ルールを作成します。

    新しいルールには、生成されるログ エントリ内のルールを識別するために使用される、整数の [ID] 値が付与されます。

次のタスク

既存のファイアウォール ルールを使用して、これらの任意のアクションのいずれか、またはすべてを実行できます。

  • 歯車アイコン 歯車アイコン をクリックして、ルールのログ設定を表示または変更します。ログのエントリは、VMware VMware Aria Operations for Logs サービスに送信されます。『VMware Cloud on AWS Operations Guide』のUsing VMware Aria Operations for Logsを参照してください。

  • グラフ アイコン グラフ アイコン をクリックして、ルールのヒットおよびフローの統計情報を表示します。
    表 2. ルールのヒットの統計
    ポピュラリティ インデックス 過去 24 時間にルールがトリガーされた回数。
    ヒット カウント ルールが作成されてからトリガーされた回数。
    表 3. フローの統計
    パケット数 このルールの対象となるパケット フローの合計。
    バイト数 このルールの対象となるバイト フローの合計。
    統計情報は、ルールが有効になるとすぐに集計が開始されます。
  • ファイアウォール ルールを並べ替えます。

    [新しいルールの追加] ボタンから作成されたルールは、ポリシーのルールのリストの一番上に配置されます。各ポリシーのファイアウォール ルールは、一番上から順に適用されます。リスト内のルールの位置を変更するには、ルールを選択して新しい位置にドラッグします。[公開] をクリックして変更を公開します。