デフォルトでは、コンピューティング ゲートウェイはすべてのアップリンクへのトラフィックをブロックします。必要に応じて、トラフィックを許可するコンピューティング ゲートウェイのファイアウォール ルールを追加します。
コンピューティング ゲートウェイ ファイアウォール ルールは、指定された送信元から指定された宛先へのネットワーク トラフィックに対して実行するアクションを指定します。アクションは、許可(トラフィックを許可する)かドロップ(指定された送信元と宛先に一致するすべてのパケットをドロップする)のいずれかです。送信元と宛先は、物理ネットワーク インターフェイスのリストから選択するか、
[すべてのアップリンク] という一般的な指定(ゲートウェイから VPC インターフェイス、インターネット インターフェイス、Direct Connect インターフェイスに向かうすべてのトラフィックに適用される)によって選択できます。
注:
[すべてのアップリンク] に適用されるファイアウォール ルールは、仮想インターフェイスであって物理アップリンクではない
[VPN トンネル インターフェイス] (VTI) には適用されません。
[VPN トンネル インターフェイス] は、ルートベースの VPN で行われるワークロード仮想マシンの通信を管理する、任意のファイアウォール ルールの
[適用先] パラメータで明示的に指定する必要があります。
コンピューティング ゲートウェイには、VTI へのすべてのトラフィックをドロップする
[デフォルトの VTI ルール] および
[すべてのアップリンク] へのトラフィックがドロップされる
[デフォルトのアップリンク ルール] が含まれています。ワークロード仮想マシンが VTI 上で通信できるようにするには、このルールを変更するか、ルール階層の下位に移動して、より許可度の高いルールの後ろに配置します。
ファイアウォールを通過するすべてのトラフィックに、このルール テーブルのルールが上から順に適用されます。上位のルールで許可されたパケットが、その下のルールに順次渡されていきます。いずれかのルールでパケットがドロップされるか拒否されるまで、またはデフォルト ルールに適合するまで、ルールの適用が続けられます。
前提条件
コンピューティング ゲートウェイ のファイアウォール ルールでは、送信元と宛先の値についてインベントリ グループを指定する必要があります。コンピューティング グループの追加または変更 を参照してください。
手順
次のタスク
既存のファイアウォール ルールを使用して、これらの任意のアクションのいずれか、またはすべてを実行できます。
-
歯車アイコン
をクリックして、ルールのログ設定を表示または変更します。ログのエントリは、VMware vRealize Log Insight Cloud サービスに送信されます。『VMware Cloud on AWS Operations Guide』のUsing vRealize Log Insight Cloudを参照してください。
-
グラフ アイコン
をクリックして、ルールのヒットおよびフローの統計情報を表示します。
表 1. ルールのヒットの統計 ポピュラリティ インデックス 過去 24 時間にルールがトリガーされた回数。 ヒット カウント ルールが作成されてからトリガーされた回数。 表 2. フローの統計 パケット数 このルールの対象となるパケット フローの合計。 バイト数 このルールの対象となるバイト フローの合計。 - ファイアウォール ルールを並べ替えます。
[新しいルールの追加] ボタンから作成されたルールは、ルールのリストの一番上に配置されます。ファイアウォール ルールは、一番上から順に適用されます。リスト内のルールの位置を変更するには、ルールを選択して新しい位置にドラッグします。[公開] をクリックして変更を公開します。