SDDC 管理インフラストラクチャの安全性とセキュリティを維持することが重要です。デフォルトでは、管理ゲートウェイはすべての管理ネットワーク送信元からのすべての宛先へのトラフィックをブロックします。信頼できる送信元からのセキュアなトラフィックを許可するには、管理ゲートウェイのファイアウォール ルールを追加する必要があります。

SDDC 管理インフラストラクチャへのアクセスを構成する場合は、使用可能な接続オプションを評価し、必要な接続オプションを構成し、SDDC 管理ネットワークへの不正アクセスを防止する管理ゲートウェイのファイアウォール ルールを作成する必要があります。
  • SDDC とオンプレミス データセンターの間の AWS Direct Connect の設定

    このオプションによって、企業と SDDC 間の専用接続が提供され、IPsec VPN と組み合わせて使用してトラフィックを暗号化できます。

  • SDDC とオンプレミス データセンターの間の VPN 接続の設定

    このオプションによって、企業と SDDC 間の暗号化された接続が提供されます。

  • Direct Connect または VPN を使用できない場合は、パブリック インターネットを介して SDDC 管理ネットワークにアクセスし、信頼されていない送信元からのアクセスを防止するために管理ゲートウェイのファイアウォール ルールを使用できます。このオプションは、一部の使用事例に適している場合がありますが、他のオプションよりも本質的に安全性が低くなります。

管理ゲートウェイ ファイアウォール ルールは、指定された送信元から指定された宛先へのネットワーク トラフィックに対して実行するアクションを指定します。送信元または宛先は、システム定義のインベントリ グループである必要があります。インベントリ グループの表示または変更の詳細については、 管理グループの追加を参照してください。
重要: パブリック インターネットを使用して管理ゲートウェイにアクセスする必要がある場合は、自分が所有または信頼する IP アドレスからのトラフィックのみを許可する管理ゲートウェイ ファイアウォール ルールを構成する必要があります。たとえば、CIDR ブロック 93.184.216.34/30 のアドレスからインターネットにアクセスする企業は、 vCenter ServerESXiNSX-T などの管理システムにアクセスするために 93.184.216.34/30 の [送信元] CIDR のトラフィックのみを許可する管理ゲートウェイ ファイアウォール ルールを作成する必要があります。管理ゲートウェイのファイアウォール ルールは、 [すべて] のアドレスが送信元のトラフィックを許可するようには構成しないでください。SDDC 管理インフラストラクチャへの安全なアクセスの提供の詳細については、VMware ナレッジベースの記事 KB84154を参照してください。

手順

  1. https://vmc.vmware.comVMC コンソール にログインします。
  2. [ネットワークとセキュリティ] タブで、[ゲートウェイのファイアウォール] をクリックします。
  3. [ゲートウェイ ファイアウォール] カードで、[管理ゲートウェイ] をクリックしてから、[ルールの追加] をクリックし、新しいルールの [名前] を入力します。
  4. 新しいルールのパラメータを入力します。
    パラメータはデフォルト値に初期化されます( [送信元][宛先][すべて] など)。パラメータを編集するには、パラメータ値の上にマウス カーソルを移動し、鉛筆アイコン ( ) をクリックしてパラメータ固有のエディタを開きます。
    オプション 説明
    送信元
    任意の送信元アドレスまたはアドレスの範囲からのトラフィックを許可するには、 [任意] を選択します。
    重要:

    ファイアウォール ルールの送信元アドレスとして [任意] を選択できますが、このファイアウォール ルールの送信元アドレスとして [任意] を使用すると、vCenter Server に対する攻撃が可能になり、SDDC が侵害される可能性があります。ベスト プラクティスとして、信頼できる送信元アドレスからのアクセスのみを許可するには、このファイアウォール ルールを構成します。VMware のナレッジベースの記事KB 84154を参照してください。

    [システム定義のグループ] を選択し、次の送信元オプションのいずれかを選択します。

    • [ESXi] を選択すると、SDDC の ESXi ホストからのトラフィックを許可します。
    • [NSX Manager] を選択すると、SDDC の NSX-T マネージャ アプライアンスからのトラフィックを許可します。
    • [vCenter Server] を選択すると、SDDC の vCenter Server からのトラフィックを許可します。

    [ユーザー定義のグループ] を選択すると、自分が定義した管理グループを使用できます。管理グループの追加を参照してください。

    宛先

    任意の宛先アドレスまたはアドレスの範囲へのトラフィックを許可するには、[任意] を選択します。

    [システム定義のグループ] を選択し、次の宛先オプションのいずれかを選択します。
    • [ESXi] を選択すると、SDDC の ESXi 管理へのトラフィックを許可します。
    • [NSX Manager] を選択すると、SDDC の NSX-T へのトラフィックを許可します。
    • [vCenter Server] を選択すると、SDDC の vCenter Server へのトラフィックを許可します。
    サービス

    ルールが適用されるサービス タイプを選択します。サービス タイプのリストは、対象の [送信元][宛先] によって異なります。

    操作 新しい管理ゲートウェイのファイアウォール ルールでは [許可] アクションのみ設定できます。
    新しいルールはデフォルトで有効になります。トグル ボタンを左にスライドして無効にします。
  5. [発行] をクリックして、ルールを作成します。

    新しいルールには、ルールによって生成されるログ エントリで使用される、整数の [ID] 値が付与されます。

    ファイアウォール ルールは、一番上から順に適用されます。デフォルトの [ドロップ] ルールが最下位にあり、その上のルールは常に [許可] ルールであるため、管理ゲートウェイ ファイアウォール ルールの順序はトラフィック フローに影響を与えません。

例: 管理ゲートウェイのファイアウォール ルールの作成

オンプレミスの ESXi ホストから SDDC の ESXi ホストへの vMotion トラフィックを許可する管理ゲートウェイ ファイアウォール ルールを作成するには、次の手順を行います。
  1. SDDC への vMotion トラフィックを許可するオンプレミス ESXi ホストが含まれた、管理インベントリ グループを作成します。
  2. 送信元に ESXi、宛先にオンプレミスの ESXi ホストを指定して、管理ゲートウェイ ルールを作成します。
  3. また、送信元にオンプレミスの ESXi ホスト グループ、宛先に vMotion サービスを有効にした ESXi を指定して、別の管理ゲートウェイを作成します。

次のタスク

既存のファイアウォール ルールを使用して、これらの任意のアクションのいずれか、またはすべてを実行できます。

  • 歯車アイコン をクリックして、ルールのログ設定を表示または変更します。ログのエントリは、VMware vRealize Log Insight Cloud サービスに送信されます。『VMware Cloud on AWS Operations Guide』のUsing vRealize Log Insight Cloudを参照してください。

  • グラフ アイコン をクリックして、ルールのヒットおよびフローの統計情報を表示します。
    表 1. ルールのヒットの統計
    ポピュラリティ インデックス 過去 24 時間にルールがトリガーされた回数。
    ヒット カウント ルールが作成されてからトリガーされた回数。
    表 2. フローの統計
    パケット数 このルールの対象となるパケット フローの合計。
    バイト数 このルールの対象となるバイト フローの合計。
    統計情報は、ルールが有効になるとすぐに集計が開始されます。