グループ内の SDDC ごとにコンピューティング ゲートウェイのファイアウォール ルールを作成する必要があります。これらのルールがないと、グループ メンバーで実行されているワークロードは、VMware Transit Connect を使用して相互に通信できません。
SDDC グループのすべてのメンバーは、同じ VMware Cloud on AWS 組織によって所有されるため、グループのメンバー間のネットワーク トラフィックを、East-West トラフィックとして安全に処理できます。送信元または宛先が外部の可能性がある North-South トラフィックとして処理されることはありません。ただし、SDDC コンピューティング ゲートウェイのデフォルトのファイアウォール ルールでは、外部トラフィックが拒否されるため、ファイアウォール ルールを作成し、トラフィックがグループ内の各 SDDC のコンピューティング ゲートウェイを通過できるようにする必要があります(SDDC グループは現在、メンバーの管理ゲートウェイを介してネットワーク トラフィックをルーティングする必要はありません)。
詳細については、「コンピューティング ゲートウェイのファイアウォール ルールの追加または変更」および「インベントリ グループの操作」を参照してください。
手順
例: グループ メンバー間のワークロード トラフィックを許可する、ユーザー定義のインベントリ グループを使用する CGW ファイアウォール ルール
これらの例では、NSX Manager を使用してインベントリ グループとファイアウォール ルールを作成する方法を示します。このワークフローでは、VMware Cloud コンソールの [ネットワークとセキュリティ] タブを使用することもできます。NSX Manager による SDDC ネットワーク管理を参照してください。
- グループの作成
-
NSX Manager で、 [グループの追加] をクリックして 3 つのグループを作成します。グループには、任意の名前を使用できます。ここに示すのは、単なる例です。の順にクリックしてから、
- SDDC 独自のワークロード セグメント用のセグメント プリフィックスを含む、ローカル ワークロードという名前のグループ。
- グループ内の他の SDDC のワークロード セグメント用のセグメント プリフィックスを含む、ピア ワークロードという名前のグループ。
- グループ内の各 SDDC の vCenter Server のプライベート IP アドレスを含む、ピア SDDC vCenter Server という名前のグループ。
各グループについて、[コンピュート メンバー] 列の [設定] をクリックして [メンバーの設定] ツールを開きます。このツールでは、[基準の追加] をクリックして、グループ メンバーの [IP アドレス] または [MAC アドレス] を入力できます。また、 の順にクリックして、これらの値をファイルからインポートすることもできます。
- ルールの作成
-
手順 2 と同様に、 [ゲートウェイ ファイアウォール] カードを開き、 [コンピューティング ゲートウェイ] をクリックして、 [ルールの追加] をクリックします。これにより、 [送信元] および [宛先] に対して作成されたインベントリ グループを使用する新しいルールが作成されます。ルールには、任意の名前を使用できます。ここに示すのは、単なる例です。
名前 送信元 宛先 サービス ローカル ワークロードからピア ワークロードへ ローカル ワークロード ピア ワークロード ローカル ワークロードから他のグループ メンバーのワークロードへの送信トラフィック用 ピア ワークロードからローカル ワークロードへ ピア ワークロード ローカル ワークロード 他のグループ メンバーのワークロードからローカル ワークロードへの受信トラフィック用