NSX Advanced Firewall サービスによって、SDDC で高度な NSX 機能を使用できます。

NSX Advanced Firewall サービスは、 バージョン 1.16 以降の VMware Cloud on AWS SDDC で使用できます。このサービスに含まれる機能は次のとおりです。

SDDC で NSX Advanced Firewall アドオンを有効にするには、[アドオン] タブを開き、[NSX Advanced Firewall アドオン] カードで [有効化] をクリックします。アドオンが有効になると、NSX の高度なセキュリティ機能を SDDC で使用できるようになります。

これらの機能の詳細については、「NSX 製品のドキュメント」を参照してください。オンプレミス NSX での機能の動作と、VMware Cloud on AWS での動作には、操作上の違いがいくつかあります。たとえば、『NSX 製品のドキュメント』のほとんどの手順には NSX Manager に管理者権限でログインするように指示する手順が含まれています。[NSX Manager を開く] をクリックするか [ネットワークとセキュリティ] タブを開くと SDDC の NSX Manager に管理者権限でアクセスするため、この手順は VMware Cloud on AWS では不要になります。その他の違いについては、次のセクションを参照してください。

SDDC でのコンテキスト プロファイルの使用

[インベントリ] > [コンテキスト プロファイル] の順にクリックします。分散ファイアウォール ルールでコンテキスト プロファイルを指定するには、[分散ファイアウォール] グリッドの [プロファイル] 列の値を更新します。詳細については、『NSX 製品のドキュメント』のレイヤー 7 ファイアウォール ルールのワークフローを参照してください。

VMware Cloud on AWS では、コンテキスト プロファイルは分散ファイアウォール ルールでの使用のみがサポートされます。管理ゲートウェイまたはコンピューティング ゲートウェイのファイアウォール ルールでは使用できません。

SDDC での Distributed IDS/IPS の使用

[セキュリティ] > [分散 IDS/IPS] をクリックします。詳細については、『NSX 製品のドキュメント』の分散 IDS/IPS を参照してください。

この機能を VMware Cloud on AWS で使用する場合は、次の操作上の違いを考慮してください。
クラスタ単位の有効化
この機能を使用するには、1 つ以上の SDDC クラスタで有効にします。 [Distributed IDS/IPS] 画面で、 [設定] タブをクリックし、 [クラスタの侵入検知/防止を有効にする] で 1 つ以上のクラスタを選択します。現在、vMotion は仮想マシンの移行前にクラスタの IDS/IPS 有効化ステータスを確認しないため、すべてのクラスタでこの機能を有効にし、ワークロード仮想マシンへの IDS/IPS の適用に移行が影響を与えないようにすることを推奨します。
ホストへのアクセス権はなし
VMware Cloud on AWS は SDDC ホストにアクセスできないため、 ホストで Distributed IDS ステータスを確認することができません。
ログ
VMware Cloud on AWS では、この機能によって生成されたイベントは VMware Aria Operations for Logs に記録されます。

SDDC での Identity Firewall の使用

[システム] > [Identity Firewall の Active Directory] をクリックして SDDC Active Directory ドメインを追加し、ユーザーベースの Identity Firewall ルールを作成できるようにします。この機能を VMware Cloud on AWS で使用する場合は、次の操作上の違いを考慮してください。
1 つ以上の SDDC クラスタの機能を有効化
この機能を使用するには、 分散ファイアウォール ルールの管理の「Identity Firewall 設定の構成」の手順を実行して、機能を有効にし、1 つ以上の SDDC クラスタに適用する必要があります。
Active Directory アクセスを許可するファイアウォール ルールの作成
Active Directory を使用している場合は、管理ゲートウェイ ファイアウォール ルールを作成し、使用する Active Directory サーバに NSX がアクセスできるようにする必要もあります。SDDC で Active Directory へのアクセスが中断された場合、この機能は動作しません。そのため、Active Directory サーバに変更が加えられた場合でも、ここで作成したファイアウォール ルールが有効なままであることが重要です。詳細については、『 NSX 製品のドキュメント』の Active Directory の追加を参照してください。
ログ
VMware Cloud on AWS では、この機能によって生成されたイベントは VMware Aria Operations for Logs に記録されます。

SDDC での分散 FQDN フィルタリングの使用

VMware Cloud on AWS では、NSX FQDN フィルタリングは分散ファイアウォール ルールでの使用のみがサポートされます。管理ゲートウェイまたはコンピューティング ゲートウェイのファイアウォール ルールでは使用できません。この機能を使用するには、特定のドメインのフィルタリング (FQDN/URL)で説明されている DNS スヌーピング ルールをポリシーの最初のルールとして追加します。また、FQDN フィルタリングをサポートするすべてのセグメントで、事前定義された [FQDNfiltering-spoofguard-profile] セグメント プロファイルを有効にする必要があります。セグメント プロファイルの SDDC ネットワーク セグメントへの適用については、ネットワーク セグメントの作成または変更を参照してください。

NSX Advanced Firewall アドオンの無効化

NSX Advanced Firewall アドオンを無効にする前に、アドオン機能を参照するすべてのファイアウォール ルールを削除する必要があります。これには以下が含まれます。
  • コンテキスト プロファイルを含むすべての分散ファイアウォール ルール
  • すべての Distributed IDS/IPS ルールおよびプロファイル
  • すべての ID ベースのファイアウォール ルール
これらのオブジェクトを削除した後、アドオンを無効にできます。
  1. SDDC の [アドオン] タブを開きます。
  2. [NSX Advanced Firewall アドオン] カードで、[アクション] > [無効化] の順にクリックします。
  3. 無効の前に、削除が必要なオブジェクトのリストを確認します。オブジェクトが削除されたことを確認したら、[無効化の確認] をクリックします。
アドオンに対する請求は、無効化が完了するとただちに停止します。