デフォルトでは、管理ゲートウェイはすべての送信元からのすべての宛先へのトラフィックをブロックします。必要に応じて管理ゲートウェイのファイアウォール ルールを追加し、トラフィックを許可してください。

管理ゲートウェイ ファイアウォール ルールは、指定された送信元から指定された宛先へのネットワーク トラフィックに対して実行するアクションを指定します。送信元と宛先は、[任意] として定義することも、システム定義またはユーザー定義のインベントリ グループのメンバーとして定義することもできますが、送信元または宛先のいずれかをシステム定義にする必要があります。インベントリ グループの表示または変更の詳細については、管理グループの追加を参照してください。

手順

  1. https://vmc.vmware.comVMC コンソール にログインします。
  2. [ネットワークとセキュリティ] タブで、[ゲートウェイのファイアウォール] をクリックします。
  3. [ゲートウェイ ファイアウォール] カードで、[管理ゲートウェイ] をクリックしてから、[ルールの追加] をクリックし、新しいルールの [名前] を入力します。
  4. 新しいルールのパラメータを入力します。
    パラメータはデフォルト値に初期化されます( [送信元][宛先][すべて] など)。パラメータを編集するには、パラメータ値の上にマウス カーソルを移動し、鉛筆アイコン ( ) をクリックしてパラメータ固有のエディタを開きます。
    オプション 説明
    送信元

    任意の送信元アドレスまたはアドレスの範囲からのトラフィックを許可するには、[任意] を選択します。

    [システム定義のグループ] を選択し、次の送信元オプションのいずれかを選択します。

    • [ESXi] を選択すると、SDDC の ESXi ホストからのトラフィックを許可します。
    • [NSX Manager] を選択すると、SDDC の NSX-T マネージャ アプライアンスからのトラフィックを許可します。
    • [vCenter Server] を選択すると、SDDC の vCenter Server からのトラフィックを許可します。

    [ユーザー定義のグループ] を選択すると、自分が定義した管理グループを使用できます。管理グループの追加を参照してください。

    宛先

    任意の宛先アドレスまたはアドレスの範囲へのトラフィックを許可するには、[任意] を選択します。

    [システム定義のグループ] を選択し、次の宛先オプションのいずれかを選択します。
    • [ESXi] を選択すると、SDDC の ESXi 管理へのトラフィックを許可します。
    • [NSX Manager] を選択すると、SDDC の NSX-T へのトラフィックを許可します。
    • [vCenter Server] を選択すると、SDDC の vCenter Server へのトラフィックを許可します。
    サービス

    ルールが適用されるサービス タイプを選択します。サービス タイプのリストは、対象の [送信元][宛先] によって異なります。

    操作 新しい管理ゲートウェイのファイアウォール ルールでは [許可] アクションのみ設定できます。
    新しいルールはデフォルトで有効になります。トグル ボタンを左にスライドして無効にします。
  5. [発行] をクリックして、ルールを作成します。

    新しいルールには、ルールによって生成されるログ エントリで使用される、整数の [ID] 値が付与されます。

    ファイアウォール ルールは、一番上から順に適用されます。デフォルトの [ドロップ] ルールが最下位にあり、その上のルールは常に [許可] ルールであるため、管理ゲートウェイ ファイアウォール ルールの順序はトラフィック フローに影響を与えません。

例: 管理ゲートウェイのファイアウォール ルールの作成

オンプレミスの ESXi ホストから SDDC の ESXi ホストへの vMotion トラフィックを許可する管理ゲートウェイ ファイアウォール ルールを作成するには、次の手順を行います。
  1. SDDC への vMotion トラフィックを許可するオンプレミス ESXi ホストが含まれた、管理インベントリ グループを作成します。
  2. 送信元に ESXi、宛先にオンプレミスの ESXi ホストを指定して、管理ゲートウェイ ルールを作成します。
  3. また、送信元にオンプレミスの ESXi ホスト グループ、宛先に vMotion サービスを有効にした ESXi を指定して、別の管理ゲートウェイを作成します。

次のタスク

既存のファイアウォール ルールを使用して、これらの任意のアクションのいずれか、またはすべてを実行できます。

  • 歯車アイコン をクリックして、ルールのログ設定を表示または変更します。ログのエントリは、VMware vRealize Log Insight Cloud サービスに送信されます。『VMware Cloud on AWS Operations Guide』のUsing vRealize Log Insight Cloudを参照してください。

  • グラフ アイコン をクリックして、ルールのヒットおよびフローの統計情報を表示します。
    表 1. ルールのヒットの統計
    ポピュラリティ インデックス 過去 24 時間にルールがトリガーされた回数。
    ヒット カウント ルールが作成されてからトリガーされた回数。
    表 2. フローの統計
    パケット数 このルールの対象となるパケット フローの合計。
    バイト数 このルールの対象となるバイト フローの合計。
    統計情報は、ルールが有効になるとすぐに集計が開始されます。