グループ内の SDDC ごとにコンピューティング ゲートウェイのファイアウォール ルールを作成する必要があります。これらのルールがないと、グループ メンバーで実行されているワークロードは、VMware Transit Connect を使用して相互に通信できません。

SDDC グループのすべてのメンバーは、同じ VMware Cloud on AWS 組織によって所有されるため、グループのメンバー間のネットワーク トラフィックを、East-West トラフィックとして安全に処理できます。送信元または宛先が外部の可能性がある North-South トラフィックとして処理されることはありません。ただし、SDDC コンピューティング ゲートウェイのデフォルトのファイアウォール ルールでは、外部トラフィックが拒否されるため、ファイアウォール ルールを作成し、トラフィックがグループ内の各 SDDC のコンピューティング ゲートウェイを通過できるようにする必要があります(SDDC グループは現在、メンバーの管理ゲートウェイを介してネットワーク トラフィックをルーティングする必要はありません)。

VMware Cloud on AWS では、コンピューティング ゲートウェイのファイアウォール ルールでの使用を目的としたインベントリ グループのセットが定義されています。これにより、グループ メンバー間のトラフィック全体を制御することができます。これらのグループには、 VMware Transit Connect と、SDDC の AWS アカウント所有者が所有する AWS Transit Gateway で学習したルートのプリフィックス(CIDR ブロック)が含まれています。
[Transit Connect ユーザーの TGW プリフィックス]
ユーザーが所有する AWS Transit Gateway から学習したルート。
[Transit Connect の DGW プリフィックス]
グループの Direct Connect Gateway から学習されたルート。
[Transit Connect のネイティブ VPC プリフィックス]
グループの接続された VPC から学習されたルート。
[Transit Connect の他の SDDC プリフィックス]
グループ内の他の SDDC から学習されたルート。
グループ メンバーシップが変更され、新しいルートが学習されると、各グループのプリフィックスが自動的に追加、削除、更新されます。

詳細については、『VMware Cloud on AWS のネットワークおよびセキュリティ』ドキュメントのコンピューティング ゲートウェイのファイアウォール ルールの追加または変更を参照してください。

手順

  1. [ネットワークとセキュリティ] タブで、[ゲートウェイのファイアウォール] をクリックします。
  2. ワークロード トラフィックの送信元と宛先を指定するため、必要に応じてインベントリ グループを定義します。
    システム定義のインベントリ グループは、グループ メンバーおよび接続されている VPC の間の全体的な接続を作成するのに役立ちます。詳細なファイアウォール ルールを作成して、メンバー SDDC の個々のワークロード セグメントに適用する必要がある場合は、次の例に示すように、インベントリ グループを作成して、それらのセグメントを定義する必要があります。
  3. [ゲートウェイのファイアウォール] カードで、[コンピューティング ゲートウェイ] をクリックし、[ルールの追加] をクリックします。
    システム定義のインベントリ グループと、ユーザーが定義したコンピューティング グループを、 [送信元] ドロップダウンと [宛先] ドロップダウンで選択できます。無制限のグループ接続を有効にするには、次のようなルールを追加します。これにより、他のグループ メンバーからこの SDDC への受信トラフィックが許可されます。
    名前 送信元 宛先 サービス 適用先 操作
    他の SDDC からの受信 [Transit Connect の他の SDDC プリフィックス] 任意 任意 Direct Connect インターフェイス Allow
    ローカル ワークロード セグメントの CIDR ブロックを使用してインベントリ グループを作成した場合は、それらを使用して、このトラフィックに詳細な制御を適用する優先順位の高いルールを作成できます。

例: グループ メンバー間のワークロード トラフィックを許可する、ユーザー定義のインベントリ グループを使用する CGW ファイアウォール ルール

グループの作成
[グループ] カードで [コンピューティング グループ] をクリックし、 [グループの追加] をクリックして 3 つのグループを作成します。グループには、任意の名前を使用できます。ここに示すのは、単なる例です。
  • SDDC 独自のワークロード セグメント用のセグメント プリフィックスを含む、ローカル ワークロードという名前のグループ。
  • グループ内の他の SDDC のワークロード セグメント用のセグメント プリフィックスを含む、ピア ワークロードという名前のグループ。
  • グループ内の各 SDDC の vCenter Server のプライベート IP アドレスを含む、ピア SDDC vCenter Server という名前のグループ。

各グループについて、[メンバーを設定] をクリックして、[メンバーを選択] ツールを開きます。このツールでは、[基準の追加] をクリックして、グループ メンバーの [IP アドレス] または [MAC アドレス] を入力できます。また、[アクション] > [インポート] の順にクリックして、これらの値をファイルからインポートすることもできます。

ルールの作成
手順 3 と同様に、 [ゲートウェイ ファイアウォール] カードを開き、 [コンピューティング ゲートウェイ] をクリックして、 [ルールの追加] をクリックします。これにより、 [送信元] および [宛先] に対して作成されたインベントリ グループを使用する新しいルールが作成されます。ルールには、任意の名前を使用できます。ここに示すのは、単なる例です。
名前 送信元 宛先 サービス
ローカル ワークロードからピア ワークロードへ ローカル ワークロード ピア ワークロード ローカル ワークロードから他のグループ メンバーのワークロードへの送信トラフィック用
ピア ワークロードからローカル ワークロードへ ピア ワークロード ローカル ワークロード 他のグループ メンバーのワークロードからローカル ワークロードへの受信トラフィック用
コンピューティング ゲートウェイ ファイアウォールを通過する SDDC グループ メンバー トラフィックを管理するすべてのルールは、 [すべてのアップリンク] に適用する必要があります。また、アクションとして [許可] を設定する必要があります。