[ネットワークとセキュリティ] タブへのアクセスの無効化

コンプライアンス監査済みのワークロードを実行するために新しい SDDC を準備するには、SDDC のローカル NSX Manager に直接接続できるファイアウォールルールを作成し、VMware Cloud コンソールの [ネットワークとセキュリティ] タブを無効にし、ローカル NSX Manager で SDDC ネットワークを管理する必要があります。

VMware Cloud コンソールの [ネットワークとセキュリティ] タブのアクセスコントロールは、コンプライアンスが強化された SDDC には適していません。[ネットワークとセキュリティ] タブを使用するすべての SDDC へのアクセスは、SDDC 非遵守になります。コンプライアンスを維持するには、コンプライアンス強化の要件を満たす認証フレームワークを持つローカル NSX Manager のみを使用して SDDC ネットワークを管理する必要があります。コンプライアンス監査を開始する前に、[ネットワークとセキュリティ] タブへのアクセスを無効にする必要があります。また、監査期間は無効なままにする必要があります。

[ネットワークとセキュリティ] タブへのアクセスを無効にする前に、このタブで、オンプレミスデータセンターへの VPN 接続と、その VPN でローカル NSX Manager にアクセスするための管理ゲートウェイファイアウォールルールを作成しておきます。NSX Manager にアクセスできることを確認したら、[ネットワークとセキュリティ] タブへのアクセスを無効にして、コンプライアンス強化用の SDDC の準備に進みます。[ネットワークとセキュリティ] タブへのアクセスを再び有効にするときは、VMware サポートにお問い合わせください。

前提条件

VMC コンソールにログインするときは、[管理者] または [削除が制限された管理者] の VMC サービスロールが必要です。
また、SDDC への VPN 接続が必要です。VMware Cloud on AWS Networking and Security ガイドの SDDC とオンプレミスデータセンターの間の VPN 接続を構成を参照してください。[ネットワークとセキュリティ] タブへのアクセスを無効にすると、VPN 経由のローカル NSX Manager への接続が SDDC ネットワークを管理する唯一の方法になります。ネットワーク障害の発生時にローカル NSX Manager に確実にアクセスするには、 VMware Cloud on AWS Networking and Security ガイドの SDDC の管理およびコンピューティングネットワークトラフィック用のプライベート仮想インターフェイスに対する Direct Connect の構成に従って、ルートベース VPN をバックアップとして AWS Direct Connect などの冗長接続を構成することをお勧めします。
SDDC でコンプライアンス強化を有効にする必要があります。VMware Cloud on AWS では、デフォルトでコンプライアンス強化は有効ではありません。詳細については、アカウントチームにお問い合わせください。コンプライアンス強化は、リージョンの選択に示すように、適切なサポートを提供する AWS リージョン内に作成されたバージョン 1.14 以降の SDDC で構成できます。

手順

https://vmc.vmware.com から VMware Cloud コンソールにログインします。

現在の SDDC のローカル NSX Manager への HTTPS 接続を開くための管理ゲートウェイファイアウォールルールを作成します。

管理ゲートウェイファイアウォールルールの作成方法の詳細については、 VMware Cloud on AWS Networking and Security ガイドの管理ゲートウェイファイアウォールルールの追加または変更を参照してください。このルールには以下のパラメータを使用します。

管理ゲートウェイファイアウォールルールプロパティ	値
送信元	[任意]、またはオンプレミスネットワーク内の特定の IP アドレス。
宛先	[NSX Manager] システム定義のグループ。
サービス	HTTPS (TCP 443)
操作	Allow

（必須） ファイアウォールルールをテストします。
[ネットワークとセキュリティ] タブへのアクセスを無効にするまでは、ローカルの NSX Manager にアクセスできません。そのため、次の手順に進む前に、ファイアウォールルールが機能することを確認するのが重要です。ルールをテストするには、ローカル NSX Manager の index.html 画面を表示できることを確認します。Web ブラウザを使用して https://NSX-Manager-IP/nsx/index.html への接続を開きます。 NSX-Manager-IP は、SDDC の [設定] タブの [NSX Manager 情報] にある [内部ネットワーク経由での NSX Manager へのアクセス] に表示される [プライベート IP アドレス] です。ファイアウォールルールが正しければ、この要求で、ローカル NSX Manager の index.html ページが返ります。このページには、 error_code: 403 など、複数の JSON キー/値ペアが表示されます。このページではアクションを実行できません。
ファイアウォールルールが正しいことを確認した後は、[ネットワークとセキュリティ] タブへのアクセスを無効にできます。
1. SDDC の [設定] タブに移動します。
2. [設定] タブの [コンプライアンス強化] セクションで、[[ネットワークとセキュリティ] タブへのアクセス] 行を展開して [[ネットワークとセキュリティ] タブへのアクセスの無効化] カードを表示します。
3. ワークフローの理解を確認します。
  ローカル NSX Manager の index.html 画面にアクセスできることを確認したら、必要なファイアウォールルールが作成およびテスト済みで、次の操作に進む準備が整ったことを、チェックボックスを選択して確定してください。この SDDC の [ネットワークとセキュリティ] タブへのアクセスを再度有効にする場合、VMware サポートリクエストを発行する必要があることを承知していることを、チェックボックスを選択して意思表示します。
4. [無効化]をクリックして、ネットワークとセキュリティのアクセスを無効にします。
NSX Manager を開きます。
VMware Cloud コンソールにログインし、 [ネットワークとセキュリティ] タブを開きます。このタブの [NSX Manager を開く ] ボタンをクリックして、 [デフォルト NSX Manager 認証情報] でログインします。NSX Manager の使い方については、『 NSX 管理ガイド』の「 NSX Manager」を参照してください。
注：
現在の SDDC のネットワーク構成を表示する場合は（変更はしない）、[設定] タブの [NSX Manager 情報] の下の [NSX Manager 監査ユーザーアカウント] の認証情報でログインできます。

次のタスク

[ネットワークとセキュリティ] タブへのアクセスを無効にした場合、SDDC ネットワークは、ローカル NSX Manager で管理してください。NSX Manager UI 間は、[ネットワークとセキュリティ] タブ内の移動時とほとんど同じ方法で移動できます。NSX Manager の使い方については、『NSX 管理ガイド』の「NSX Manager」を参照してください。

重要：

PCI コンプライアンス要件 8.2.4（90 日に 1 回以上ユーザーパスワード/パスフレーズを変更）に準拠するには、VMware ナレッジベースの記事KB83551に記載されている NSX Manager REST API を使用する必要があります。

[ネットワークとセキュリティ] タブへのアクセスを再び有効にするときは、VMware サポートにお問い合わせください。