NSX Advanced Firewall サービスによって、SDDC で高度な NSX 機能を使用できます。
- NSX レイヤー 7 コンテキスト プロファイル
- NSX 分散 IDS/IPS
- NSX Identity Firewall
- NSX分散 FQDN フィルタリング。
SDDC で NSX Advanced Firewall アドオンを有効にするには、[アドオン] タブを開き、[NSX Advanced Firewall アドオン] カードで [有効化] をクリックします。アドオンが有効になると、NSX の高度なセキュリティ機能を SDDC で使用できるようになります。
これらの機能の詳細については、「NSX 製品のドキュメント」を参照してください。オンプレミス NSX での機能の動作と、VMware Cloud on AWS での動作には、操作上の違いがいくつかあります。たとえば、『NSX 製品のドキュメント』のほとんどの手順には NSX Manager に管理者権限でログインするように指示する手順が含まれています。[NSX Manager を開く] をクリックするか [ネットワークとセキュリティ] タブを開くと SDDC の NSX Manager に管理者権限でアクセスするため、この手順は VMware Cloud on AWS では不要になります。その他の違いについては、次のセクションを参照してください。
SDDC でのコンテキスト プロファイルの使用
[分散ファイアウォール] グリッドの [プロファイル] 列の値を更新します。詳細については、『NSX 製品のドキュメント』のレイヤー 7 ファイアウォール ルールのワークフローを参照してください。
の順にクリックします。分散ファイアウォール ルールでコンテキスト プロファイルを指定するには、VMware Cloud on AWS では、コンテキスト プロファイルは分散ファイアウォール ルールでの使用のみがサポートされます。管理ゲートウェイまたはコンピューティング ゲートウェイのファイアウォール ルールでは使用できません。
SDDC での Distributed IDS/IPS の使用
NSX 製品のドキュメント』の分散 IDS/IPS を参照してください。
をクリックします。詳細については、『- クラスタ単位の有効化
- この機能を使用するには、1 つ以上の SDDC クラスタで有効にします。 [Distributed IDS/IPS] 画面で、 [設定] タブをクリックし、 [クラスタの侵入検知/防止を有効にする] で 1 つ以上のクラスタを選択します。現在、vMotion は仮想マシンの移行前にクラスタの IDS/IPS 有効化ステータスを確認しないため、すべてのクラスタでこの機能を有効にし、ワークロード仮想マシンへの IDS/IPS の適用に移行が影響を与えないようにすることを推奨します。
- ホストへのアクセス権はなし
- VMware Cloud on AWS は SDDC ホストにアクセスできないため、 ホストで Distributed IDS ステータスを確認することができません。
- ログ
- VMware Cloud on AWS では、この機能によって生成されたイベントは VMware Aria Operations for Logs に記録されます。
SDDC での Identity Firewall の使用
- 1 つ以上の SDDC クラスタの機能を有効化
- この機能を使用するには、 分散ファイアウォール ルールの管理の「Identity Firewall 設定の構成」の手順を実行して、機能を有効にし、1 つ以上の SDDC クラスタに適用する必要があります。
- Active Directory アクセスを許可するファイアウォール ルールの作成
- Active Directory を使用している場合は、管理ゲートウェイ ファイアウォール ルールを作成し、使用する Active Directory サーバに NSX がアクセスできるようにする必要もあります。SDDC で Active Directory へのアクセスが中断された場合、この機能は動作しません。そのため、Active Directory サーバに変更が加えられた場合でも、ここで作成したファイアウォール ルールが有効なままであることが重要です。詳細については、『 NSX 製品のドキュメント』の Active Directory の追加を参照してください。
- ログ
- VMware Cloud on AWS では、この機能によって生成されたイベントは VMware Aria Operations for Logs に記録されます。
SDDC での分散 FQDN フィルタリングの使用
VMware Cloud on AWS では、NSX FQDN フィルタリングは分散ファイアウォール ルールでの使用のみがサポートされます。管理ゲートウェイまたはコンピューティング ゲートウェイのファイアウォール ルールでは使用できません。この機能を使用するには、特定のドメインのフィルタリング (FQDN/URL)で説明されている DNS スヌーピング ルールをポリシーの最初のルールとして追加します。また、FQDN フィルタリングをサポートするすべてのセグメントで、事前定義された [FQDNfiltering-spoofguard-profile] セグメント プロファイルを有効にする必要があります。セグメント プロファイルの SDDC ネットワーク セグメントへの適用については、ネットワーク セグメントの作成または変更を参照してください。
NSX Advanced Firewall アドオンの無効化
- コンテキスト プロファイルを含むすべての分散ファイアウォール ルール
- すべての Distributed IDS/IPS ルールおよびプロファイル
- すべての ID ベースのファイアウォール ルール
- SDDC の [アドオン] タブを開きます。
- [NSX Advanced Firewall アドオン] カードで、 の順にクリックします。
- 無効の前に、削除が必要なオブジェクトのリストを確認します。オブジェクトが削除されたことを確認したら、[無効化の確認] をクリックします。