NSX Advanced Firewall アドオンを使用すると、SDDC で高度な NSX-T 機能を使用できます。

NSX Advanced Firewall for VMware Cloud on AWS 機能には以下が含まれます。

SDDC で NSX Advanced Firewall アドオンを有効にするには、[アドオン] タブを開き、[NSX Advanced Firewall アドオン] カードで [有効化] をクリックします。アドオンが有効になると、SDDC の [ネットワークとセキュリティ] タブで NSX-T の高度なセキュリティ機能を使用できるようになります。

これらの機能の詳細については、「VMware NSX-T Data Center の製品ドキュメント」を参照してください。オンプレミス NSX-T での機能の動作と、VMware Cloud on AWS[ネットワークとセキュリティ] タブでの動作には、操作上の違いがいくつかあります。たとえば、「VMware NSX-T Data Center の製品ドキュメント」のほとんどの手順には NSX Manager に管理者権限でログインするように指示する手順が含まれています。この手順は、VMware Cloud on AWS の場合に [ネットワークとセキュリティ] タブを開くと SDDC の NSX Manager に管理者権限でアクセスするため、不要になります。その他の違いについては、次のセクションを参照してください。

SDDC でのコンテキスト プロファイルの使用

[ネットワークとセキュリティ] タブを開き、[インベントリ][コンテキスト プロファイル] ボタンをクリックします。分散ファイアウォール ルールでコンテキスト プロファイルを指定するには、[分散ファイアウォール] グリッドの [プロファイル] 列の値を更新します。詳細については、「VMware NSX-T Data Center の製品ドキュメント」のレイヤー 7 ファイアウォール ルールのワークフローを参照してください。

VMware Cloud on AWS では、コンテキスト プロファイルは分散ファイアウォール ルールでの使用のみがサポートされます。管理ゲートウェイまたはコンピューティング ゲートウェイのファイアウォール ルールでは使用できません。

SDDC での Distributed IDS/IPS の使用

[ネットワークとセキュリティ] タブを開き、[セキュリティ][Distributed IDS/IPS] ボタンをクリックします。詳細については、「VMware NSX-T Data Center の製品ドキュメント」のDistributed IDS/IPSを参照してください。

この機能を VMware Cloud on AWS で使用する場合は、次の操作上の違いを考慮してください。
クラスタ単位の有効化
この機能を使用するには、1 つ以上の SDDC クラスタで有効にします。 [ネットワークとセキュリティ] タブを開き、 [セキュリティ][Distributed IDS/IPS] ボタンをクリックします。 [Distributed IDS/IPS] 画面で、 [設定] タブをクリックし、 [クラスタの侵入検知/防止を有効にする] で 1 つ以上のクラスタを選択します。現在、vMotion は仮想マシンの移行前にクラスタの IDS/IPS 有効化ステータスを確認しないため、すべてのクラスタでこの機能を有効にし、ワークロード仮想マシンへの IDS/IPS の適用に移行が影響を与えないようにすることを推奨します。
ホストへのアクセス権はなし
VMware Cloud on AWS は SDDC ホストにアクセスできないため、 ホストで Distributed IDS ステータスを確認することができません。また、 Distributed IDS/IPS イベントは使用できません。
ログ
VMware Cloud on AWS では、この機能によって生成されたイベントは VMware vRealize Log Insight Cloud に記録されます。

SDDC での Identity Firewall の使用

[ネットワークとセキュリティ] タブを開き、[システム][Identity Firewall の Active Directory] ボタンをクリックすることで SDDC Active Directory ドメインを追加し、ユーザー ベースの Identity Firewall ルールを作成できるようにします。(NSX Manager Web インターフェイスでは、[システム] タブを開き、[設定] > [Identity Firewall の Active Directory] をクリックします)。

この機能を VMware Cloud on AWS で使用する場合は、次の操作上の違いを考慮してください。
1 つ以上の SDDC クラスタの機能を有効化
この機能を使用するには、 分散ファイアウォール ルールの管理の「Identity Firewall 設定の構成」の手順を実行して、機能を有効にし、1 つ以上の SDDC クラスタに適用する必要があります。
Active Directory アクセスを許可するファイアウォール ルールの作成
Active Directory を使用している場合は、管理ゲートウェイ ファイアウォール ルールを作成し、指定した Active Directory サーバに NSX Manager がアクセスできるようにする必要もあります。SDDC で Active Directory へのアクセスが中断された場合、この機能は動作しません。そのため、Active Directory サーバに変更が加えられた場合でも、ここで作成したファイアウォール ルールが有効なままであることが重要です。詳細については、「 VMware NSX-T Data Center の製品ドキュメント」の Active Directory の追加 を参照してください。
分散 FQDN フィルタリング
VMware Cloud on AWS では、NSX-T FQDN フィルタリングは分散ファイアウォール ルールでの使用のみがサポートされます。管理ゲートウェイまたはコンピューティング ゲートウェイのファイアウォール ルールでは使用できません。この機能を使用するには、 特定のドメインのフィルタリング (FQDN/URL)で説明されている DNS スヌーピング ルールをポリシーの最初のルールとして追加します。また、FQDN フィルタリングをサポートするすべてのセグメントで、事前定義された [FQDNfiltering-spoofguard-profile] セグメント プロファイルを有効にする必要があります。セグメント プロファイルの SDDC ネットワーク セグメントへの適用については、 ネットワーク セグメントの作成または変更を参照してください。
ログ
VMware Cloud on AWS では、この機能によって生成されたイベントは VMware vRealize Log Insight Cloud に記録されます。

NSX Advanced Firewall アドオンの無効化

NSX Advanced Firewall アドオンを無効にする前に、アドオン機能を参照するすべてのファイアウォール ルールを削除する必要があります。これには以下が含まれます。
  • コンテキスト プロファイルを含むすべての分散ファイアウォール ルール
  • すべての Distributed IDS/IPS ルールおよびプロファイル
  • すべての ID ベースのファイアウォール ルール
これらのオブジェクトを削除した後、アドオンを無効にできます。
  1. SDDC の [アドオン] タブを開きます。
  2. [NSX Advanced Firewall アドオン] カードで、[アクション] > [無効化] の順にクリックします。
  3. 無効の前に、削除が必要なオブジェクトのリストを確認します。オブジェクトが削除されたことを確認したら、[無効化の確認] をクリックします。
アドオンに対する請求は、無効化が完了するとただちに停止します。