SDDC 管理インフラストラクチャの安全性とセキュリティを維持することが重要です。デフォルトでは、管理ゲートウェイはすべての管理ネットワーク送信元からのすべての宛先へのトラフィックをブロックします。
SDDC 管理インフラストラクチャへのアクセスを構成する場合は、SDDC 管理ネットワークへの必要なアクセスのみを許可する管理ゲートウェイのファイアウォール ルールを作成することが重要です。管理ゲートウェイにアクセスするには、SDDC とオンプレミス データセンターの間の AWS Direct Connect の設定、SDDC とオンプレミス データセンターの間の VPN 接続の設定、またはその両方を実行します。企業と SDDC 間のプライベート接続を提供する Direct Connect を単独で使用するか、IPsec VPN と組み合わせて使用してトラフィックを暗号化できます。
Direct Connect、VMware Managed Transit Gateway、または VPN を使用できない場合は、パブリック DNS および vCenter Server のパブリック IP アドレスを使用してインターネット経由で直接 SDDC vCenter Server にアクセスできます。この操作を行う場合は、信頼されていない送信元が管理ネットワークにアクセスできないようにする管理ゲートウェイのファイアウォール ルールを作成する必要があります。VPN は、暗号化と認証プロトコルを使用してセキュリティを強化します。
管理ゲートウェイのファイアウォール ルールは、送信元アドレスと宛先アドレス、およびサービス ポートに基づいて、ネットワーク トラフィックに対して実行するアクションを指定します。送信元または宛先は、システム定義のインベントリ グループである必要があります。インベントリ グループの表示または変更の詳細については、
インベントリ グループの操作を参照してください。
重要:
デフォルトの管理ゲートウェイのファイアウォール ルールではすべてのトラフィックが拒否されるため、vCenter Server Appliance およびその他の管理仮想マシンとアプライアンスへのアクセスを提供するには、ユーザー定義の管理ゲートウェイのファイアウォール ルールを 1 つ以上作成する必要があります。パブリック インターネットを使用して管理ゲートウェイにアクセスする際に適切なセキュリティを提供するには、自分が所有または信頼する IP アドレスからのトラフィックのみを許可する管理ゲートウェイのファイアウォール ルールを構成し、送信元 IP アドレス範囲(内部と外部の両方)を常に可能な限り最小のセットに制限します。たとえば、CIDR ブロック 93.184.216.34/30 のアドレスからインターネットにアクセスする企業は、
管理ゲートウェイのファイアウォール ルールの例に示すような管理先にアクセスするために 93.184.216.34/30 の
[送信元] CIDR のトラフィックのみを許可する管理ゲートウェイのファイアウォール ルールを作成する必要があります。SDDC バージョン 1.22 以降では、
[任意] または 0.0.0.0/0 を含む
[送信元] からのトラフィックを許可する管理ゲートウェイのファイアウォール ルールを発行することはできません。SDDC 管理インフラストラクチャへの安全なアクセスの提供の詳細については、VMware ナレッジベースの記事
KB84154を参照してください。
次の 2 種類のファイアウォール ルールがあります。
- 事前定義されたファイアウォール ルールは、VMware Cloud on AWS によって作成および管理されます。これらのルールを変更または並べ替えることはできません。事前定義された管理ゲートウェイのファイアウォール ルールを次に示します。
表 1.
事前定義された管理ゲートウェイのファイアウォール ルール
名前 |
送信元 |
宛先 |
サービス |
操作 |
デフォルトですべて拒否 |
任意 |
任意 |
任意 |
Drop |
このルールはデフォルトの拒否モードで機能するため、許可されるのは、ユーザー定義のルールで明示的に許可されるトラフィックのみです。
- ユーザー定義のファイアウォール ルールは、指定した順序で処理され、常に事前定義されたルールの前に処理されます。これらのルールでは、送信元または宛先のいずれかをシステム定義のグループにする必要があります。使用可能なポートとサービスのリストは、VMware によって管理される制限付きのリストです。[送信元] がシステム定義のグループの場合は、[サービス] を [任意] に指定する必要があります。これらのルールには [任意] のアクションが必要であるため、通常、ルールの順序は重要ではありません。
手順
- https://vmc.vmware.com の VMware Cloud Services にログインします。
- の順にクリックし、SDDC カードを選択して [詳細表示] をクリックします。
- [NSX Manager を開く] をクリックし、SDDC の [設定] 画面に表示されている [NSX Manager 管理者ユーザー アカウント] を使用してログインします。NSX Manager による SDDC ネットワーク管理を参照してください。
このワークフローでは、
VMware Cloud コンソールの
[ネットワークとセキュリティ] タブを使用することもできます。
- [ゲートウェイ ファイアウォール] カードで、[管理ゲートウェイ] をクリックしてから、[ルールの追加] をクリックし、新しいルールの [名前] を入力します。
- 新しいルールのパラメータを入力します。
パラメータはデフォルト値に初期化されます(
[送信元] と
[宛先] は
[任意] など)。パラメータを編集するには、パラメータ値の上にマウス カーソルを移動し、鉛筆アイコン (
) をクリックしてパラメータ固有のエディタを開きます。
オプション |
説明 |
送信元 |
送信元アドレス(CIDR ブロックまたは管理グループ名)の任意の組み合わせを入力します。
重要:
ファイアウォール ルールの送信元アドレスとして [任意] を選択できますが、宛先が [vCenter Server] の場合は、送信元アドレスとして [任意] またはワイルドカード 0.0.0.0/0 を使用できません。これらを使用すると、vCenter Server に対する攻撃が可能になり、SDDC が侵害される可能性があります。
[システム定義のグループ] を選択し、次の送信元オプションのいずれかを選択します。
- [ESXi] を選択すると、SDDC の ESXi ホストからのトラフィックを許可します。
- [NSX Manager] を選択すると、SDDC の NSX アプライアンスからのトラフィックを許可します。
- [vCenter Server] を選択すると、SDDC の vCenter Server からのトラフィックを許可します。
- SDDC で有効なその他の統合サービス。
[ユーザー定義のグループ] を選択すると、自分が定義した管理グループを使用できます。インベントリ グループの操作を参照してください。 |
宛先 |
任意の宛先アドレスまたはアドレスの範囲へのトラフィックを許可するには、[任意] を選択します。
[システム定義のグループ] を選択し、次の宛先オプションのいずれかを選択します。
- [ESXi] を選択すると、SDDC の ESXi 管理へのトラフィックを許可します。
- [NSX Manager] を選択すると、SDDC の NSX アプライアンスへのトラフィックを許可します。
- [vCenter Server] を選択すると、SDDC の vCenter Server へのトラフィックを許可します。
- SDDC で有効なその他の統合サービス。
|
サービス |
ルールが適用されるサービス タイプを選択します。サービス タイプのリストは、対象の [送信元] と [宛先] によって異なります。 |
操作 |
新しい管理ゲートウェイのファイアウォール ルールでは [許可] アクションのみ設定できます。 |
新しいルールはデフォルトで有効になります。トグル ボタンを左にスライドして無効にします。
- [発行] をクリックして、ルールを作成します。
新しいルールには、ルールによって生成されるログ エントリで使用される、整数の [ID] 値が付与されます。
ファイアウォール ルールは、一番上から順に適用されます。デフォルトの [ドロップ] ルールが最下位にあり、その上のルールは常に [許可] ルールであるため、管理ゲートウェイ ファイアウォール ルールの順序はトラフィック フローに影響を与えません。
例: 管理ゲートウェイのファイアウォール ルールの作成
オンプレミスの
ESXi ホストから SDDC の
ESXi ホストへの vMotion トラフィックを許可する管理ゲートウェイ ファイアウォール ルールを作成するには、次の手順を行います。
- SDDC への vMotion トラフィックを許可するオンプレミス ESXi ホストが含まれた、管理インベントリ グループを作成します。
- 送信元に ESXi、宛先にオンプレミスの ESXi ホストを指定して、管理ゲートウェイ ルールを作成します。
- また、送信元にオンプレミスの ESXi ホスト グループ、宛先に vMotion サービスを有効にした ESXi を指定して、別の管理ゲートウェイを作成します。
次のタスク
[デフォルトですべて拒否] ルール以外のルールの場合、[ルールのヒットの統計] および [フローの統計] を表示できます。