デフォルトでは、コンピューティング ゲートウェイは SDDC コンピューティング ネットワークとの間のトラフィックをブロックします。必要に応じて、トラフィックを許可するコンピューティング ゲートウェイのファイアウォール ルールを追加します。

デフォルトのコンピューティング ゲートウェイおよび作成する追加の Tier-1 ゲートウェイのファイアウォール ルールは、指定された送信元から指定された宛先およびサービスへのネットワーク トラフィックに対して実行するアクションを指定します。アクションは次のいずれかになります。
  • 許可(一致するトラフィックを許可する)
  • ドロップ(一致するトラフィックを通知なしにドロップする)
  • 拒否(一致するトラフィックをドロップして送信元に通知する)
物理ネットワーク インターフェイスのリストからの選択、または [すべてのアップリンク] という一般的な指定(ゲートウェイから VPC インターフェイス、インターネット インターフェイス 、またはイントラネット (Direct Connect) インターフェイスに向かうすべてのトラフィックに適用される)にルールを適用できます。
注: [すべてのアップリンク] に適用されるファイアウォール ルールは、仮想インターフェイスであって物理アップリンクではない [VPN トンネル インターフェイス] (VTI) には適用されません。 [VPN トンネル インターフェイス] は、ルートベースの VPN で行われるワークロード仮想マシンの通信を管理する、任意のファイアウォール ルールの [適用先] パラメータで明示的に指定する必要があります。

ファイアウォールを通過するすべてのトラフィックは、ルール テーブルに表示されている順序でルールによって評価されます。最初のルールに一致するトラフィックは、そのアクション(許可、ドロップ、または拒否)に従い、評価は停止します。最初のルールに一致しないトラフィックは後続のルールに渡されます。一致すると、ルール アクションの指定に従ってトラフィックが許可、ドロップ、または拒否され、ルールの評価は停止します。ユーザー定義のルールに一致しないトラフィックは、デフォルト ルールによって処理されます。

次の 2 種類のファイアウォール ルールがあります。
  • 事前定義されたファイアウォール ルールは、VMware Cloud on AWS によって作成されます。2 つの事前定義されたコンピューティング ゲートウェイのファイアウォール ルールを次に示します。
    表 1. 事前定義されたコンピューティング ゲートウェイのファイアウォール ルール
    名前 送信元 宛先 サービス 適用先 操作
    デフォルトの VTI ルール 任意 任意 任意 VPN トンネル インターフェイス ドロップ *
    デフォルトのアップリンク ルール 任意 任意 任意 すべてのアップリンク Drop
    * [デフォルトの VTI ルール] は、ワークロード仮想マシンがルートベースの VPN を介して通信できるように、(仮想トンネル インターフェイス経由の)ルートベースの VPN トラフィックをすべてドロップし、このルールを [許可] に変更してトラフィックを許可するか、ルール階層の下位に移動して、より許可度の高いルールの後ろに配置します。[デフォルトのアップリンク ルール] を変更または並べ替えることはできません。
  • ユーザー定義のファイアウォール ルールは、指定した順序で処理され、常に [デフォルトのアップリンク ルール] の前に処理されます。

前提条件

コンピューティング ゲートウェイのファイアウォール ルールでは、送信元と宛先の値についてインベントリ グループを指定する必要があります。インベントリ グループの操作を参照してください。

手順

  1. https://vmc.vmware.comVMware Cloud Services にログインします。
  2. [インベントリ] > [SDDC] の順にクリックし、SDDC カードを選択して [詳細表示] をクリックします。
  3. [NSX Manager を開く] をクリックし、SDDC の [設定] 画面に表示されている [NSX Manager 管理者ユーザー アカウント] を使用してログインします。NSX Manager による SDDC ネットワーク管理を参照してください。
    このワークフローでは、 VMware Cloud コンソール[ネットワークとセキュリティ] タブを使用することもできます。
  4. [ゲートウェイ ファイアウォール] 画面で、[コンピューティング ゲートウェイ] をクリックします。
  5. ルールを追加するには、[ルールの追加] をクリックし、新しいルールの [名前] を入力します。
  6. 新しいルールのパラメータを入力します。
    パラメータはデフォルト値に初期化されます( [送信元][宛先][すべて] など)。パラメータを編集するには、パラメータ値の上にマウス カーソルを移動し、鉛筆アイコン ( 鉛筆アイコン) をクリックしてパラメータ固有のエディタを開きます。
    オプション 説明
    送信元 [送信元] 列の [任意] をクリックし、送信元ネットワーク トラフィックのインベントリ グループを選択するか、[グループの追加] をクリックして、このルールで使用する新しいユーザー定義のインベントリ グループを作成します。[保存] をクリックします。
    宛先 [宛先] 列の [任意] をクリックし、宛先ネットワーク トラフィックのインベントリ グループを選択するか、[グループの追加] をクリックして、このルールで使用する新しいユーザー定義のインベントリ グループを作成します。[保存] をクリックします。
    サービス [サービス] 列の [任意] をクリックして、リストからサービスを選択するか、[サービスの追加] をクリックして、このルールで使用する新しいユーザー定義のサービスを作成します。[保存] をクリックします。
    適用先 ルールを適用するトラフィックのタイプを定義します。
    • ルートベースの VPN 上のトラフィックにルールを適用する場合は、[VPN トンネル インターフェイス] を選択します。
    • リンクされた Amazon VPC 接続上のトラフィックにルールを適用する場合は、[VPC インターフェイス] を選択します。
    • パブリック IP エンドポイントを使用するポリシーベースの VPN を介したトラフィックを含む、SDDC のインターネット ゲートウェイを介したトラフィックにルールを適用する場合は、[インターネット インターフェイス] を選択します。
    • AWS Direct Connect、VMware Transit Connect、およびプライベート IP アドレスを使用するポリシーベースの VPN を介したトラフィックをルールで許可する場合は、[イントラネット インターフェイス] を選択します。
    • [VPC インターフェイス][インターネット インターフェイス][イントラネット インターフェイス] にルールを適用し、[VPN トンネル インターフェイス] に適用しない場合は、[すべてのアップリンク] を選択します。
      注: [VPN トンネル インターフェイス] はアップリンクとして分類されていません。
    操作
    • すべての L3 トラフィックがファイアウォールを通過できるようにするには、[許可] を選択します。
    • [ドロップ] を選択すると、指定した [送信元][宛先][サービス] に一致するパケットをドロップします。これは、送信元または宛先のシステムに通知されない、サイレント アクションです。パケットがドロップされると、再試行のしきい値に到達するまで、接続が再試行されます。
    • [拒否] を選択すると、指定した [送信元][宛先][サービス] に一致するパケットを拒否します。このアクションは、「宛先への到達不能メッセージ」を送信者に返します。TCP パケットの場合、応答には TCP RST メッセージが含まれます。UDP、ICMP、およびその他のプロトコルの場合、応答には「管理上禁止」のコード(9 または 10)が含まれます。接続を確立できない場合、すぐに送信者に通知されます(再試行は行われません)。
    新しいルールはデフォルトで有効になります。トグル ボタンを左にスライドして無効にします。
  7. [発行] をクリックして、ルールを作成します。

    新しいルールには、ルールによって生成されるログ エントリで使用される、整数の [ID] 値が付与されます。

次のタスク

既存のファイアウォール ルールを使用して、これらの任意のアクションのいずれか、またはすべてを実行できます。

  • 歯車アイコン 歯車アイコン をクリックして、ルールのログ設定を表示または変更します。ログのエントリは、VMware VMware Aria Operations for Logs サービスに送信されます。『VMware Cloud on AWS Operations Guide』のUsing VMware Aria Operations for Logsを参照してください。

  • グラフ アイコン グラフ アイコン をクリックして、ルールのヒットおよびフローの統計情報を表示します。
    表 2. ルールのヒットの統計
    ポピュラリティ インデックス 過去 24 時間にルールがトリガーされた回数。
    ヒット カウント ルールが作成されてからトリガーされた回数。
    表 3. フローの統計
    パケット数 このルールの対象となるパケット フローの合計。
    バイト数 このルールの対象となるバイト フローの合計。
    統計情報は、ルールが有効になるとすぐに集計が開始されます。
  • ファイアウォール ルールを並べ替えます。

    [新しいルールの追加] ボタンから作成されたルールは、ルールのリストの一番上に配置されます。ファイアウォール ルールは、一番上から順に適用されます。リスト内のルールの位置を変更するには、ルールを選択して新しい位置にドラッグします。[公開] をクリックして変更を公開します。