これらの分散ファイアウォール ルールを作成するために使用されたすべてのグループとサービス オブジェクトは、NSX Advanced Load Balancer Controller 内での NSX-T Cloud 中に構成されたオブジェクト名プレフィックスを使用して、NSX Advanced Load Balancer NSX-T Cloud コネクタによって自動的に作成されます。したがって、サービス エンジン仮想マシンを DFW ルールに含めることが可能になります。
DFW ルールは手動で作成する必要があります。必要なオブジェクトのみが、NSX Advanced Load Balancer Controller によって自動的に作成されます。
次のオブジェクトが、自動的に作成されます。
クラウドの作成中
番号 |
オブジェクト |
命名規則 |
説明 |
例 |
|---|---|---|---|---|
1 |
グループ |
<prefix>-ControllerCluster |
宛先:すべてのコントローラ管理 IP アドレスが含まれる |
demonsxt2-ServiceEngineMgmtIPs |
2 |
グループ |
<prefix>-ServiceEngineMgmtIPs |
送信元:すべてのサービス エンジンの IP アドレスが含まれる |
demonsxt2-ServiceEngineMgmtIPs |
3 |
グループ |
<prefix>-ServiceEngines |
すべてのサービス エンジンが仮想マシンとして含まれる |
すべてのサービス エンジンが仮想マシンとして含まれる |
4 |
サービス |
<prefix>-ControllerCluster |
サービス オブジェクト:コントローラのプロトコル/ポートが含まれる。TCP ポート 22、8842、UDP ポート 123 を許可 |
demonsxt2-ControllerCluster |
仮想サービスの作成時
番号 |
オブジェクト |
命名規則 |
説明 |
例 |
|---|---|---|---|---|
5 |
サービス |
<prefix>-<VS Name> |
すべての VS ポート。たとえば、HTTP (80)、HTTPS (443) がこのオブジェクトに属す |
demonsxt2-demovs |
プールの VS への接続時
番号 |
オブジェクト |
命名規則 |
説明 |
例 |
|---|---|---|---|---|
6 |
サービス |
<prefix>-<Pool Name > |
すべてのプール ポートが含まれる。たとえば、バックエンド サーバがポート 80 または 8080 をリッスンしている場合、NS グループから取得され、ここに入力される。 |
demonsxt-demovs-pool |
配置中の SE の作成時
VS 配置に SE を選択すると、作成された新しい SE の情報を使用して、次のグループが更新されます。
番号 |
オブジェクト |
命名規則 |
説明 |
|
|---|---|---|---|---|
7 |
グループ |
<prefix>-ServiceEngineMgmtIPs |
ServiceEngineMgmtIPs グループの更新時 |
demonsxt2-ServiceEngineMgmtIPs |
8 |
グループ |
<prefix>-ServiceEngines |
ServiceEngines グループの更新時 |
demonsxt2-ServiceEngineMgmtIPs |
VS の SE への配置時
仮想サービスが SE に配置されると、次のグループが作成され、フロントエンド通信の生成に使用されます。
番号 |
オブジェクト |
命名規則 |
説明 |
Example |
|---|---|---|---|---|
9 |
グループ |
<prefix>-<VS Name> |
SE の DataNIC IP アドレスを含む |
demonsxt2-demovs |
10 |
グループ |
<prefix>-<VS Name>VSServiceEngines |
VS サービス エンジン リストを含む |
demonsxt2-demovs VSServiceEngines |
オブジェクトの表示
NSX-T Manager で DFW ルールを確立するために自動作成されたオブジェクトを検索できます。
NSX-T Manager からオブジェクトを表示するには、次の手順を実行します。
の順に移動します。プレフィックス demonsxt2(オブジェクト名プレフィックス)で作成された 5 つのグループがあることがわかります。
[メンバーの表示] をクリックして、[仮想マシン/IP アドレス] を識別します。
同様に、 の順に移動して、自動作成されたサービス オブジェクトを表示します。
DFW ルールの作成
NSX-T Manager から DFW ルール作成する場合、次の手順を実行します。
の順に移動します。
接続方法が、[ホワイトリスト] として選択されていることを確認します。
既存のセクションまたはルールをクリックします。
[ルールを追加] をクリックします。
SE とコントローラ間の通信など、必要に応じてルールを構成します。
[送信元] はサービス エンジンです
[宛先] はコントローラ グループです。(オブジェクトは <prefix>-ControllerCluster)
[許可されるサービス] はコントローラ サービス(ポート 22、8443、UDP 123)(オブジェクトは <prefix>-ControllerCluster)
すべてのサービス エンジン グループに適用されます。
[公開] をクリックします。
DFW ルールとポリシーを作成する手順については、「ファイアウォール ルールの追加」を参照してください。
仮想サービスの場合は、フロントエンド ルールとバックエンド ルールを作成できます。
[編集] ボタンをクリックし、必要に応じて [送信元] および [宛先] を作成します。
ルールは、次に示すように、この仮想サービスの送信元と宛先に適用されます。
エンド ユーザーが選択するのは、異なる DFW ポリシーでルールを分類する方法です。次のモデルが採用されました。
NSX Advanced Load Balancer Controller 通信へのすべての NSX Advanced Load Balancer SE の DFW ポリシー:このポリシーには、異なるクラウド(複数の場合)に対する各ルールがあります
フロントエンド ルールとバックエンド ルールが含まれる各仮想サービスの各 DFW ポリシー。名前
送信元
宛先
サービス
プロファイル
適用先
アクション
<cloud-name>
<prefixname>ServiceEngines
<prefixname>ControllerCluster
<prefixname>ControllerCluster
<prefixname>ServiceEngines
許可
名前
送信元
宛先
サービス
プロファイル
適用先
アクション
フロントエンド
クライアント
VIP-IP のグループ
<prefix>-<VS Name>
client<prefix>-<VS Name>VSServiceEngines
許可
バックエンド
<prefix>-<VS Name>
Web グループ
<prefix>-<Pool Name>
web-group<prefix>-<VS Name>VSServiceEngines
許可
上記のモデルでは、NSX Advanced Load Balancer Controller がオーバーレイ トランスポート ゾーン内にないため、DFW ルールを必要としないことを前提としています。
クライアントとプール サーバ グループ (web-group) は、エンドユーザーが個別に作成する必要があります。
注意事項
仮想サービスのスケールインおよびスケールアウト中に、長時間の接続の一部がドロップされる可能性があります。
