Cross-vCenter NSX 環境の場合、ユニバーサル ルールは、プライマリ NSX Manager のユニバーサル ルール セクションで定義された分散ファイアウォール ルールを参照します。これらのルールは、環境内のすべてのセカンダリ NSX Manager でレプリケートされるため、vCenter の境界を越えて一貫したファイアウォール ポリシーを維持できます。複数の vCenter Server 間の vMotion では、Edge ファイアウォール ルールはサポートされていません。

プライマリ NSX Manager には、ユニバーサル L2 ルール用のユニバーサル セクションとユニバーサル L3 ルール用のユニバーサル セクションをそれぞれ複数含めることができます。ユニバーサル セクションは、すべてのローカル セクションおよび Service Composer セクションの上部にあります。セカンダリ NSX Manager では、ユニバーサル セクションやユニバーサル ルールを表示できますが、編集はできません。ローカル セクションに対するユニバーサル セクションの配置は、ルールの優先順位に影響しません。

表 1. ユニバーサル ファイアウォール ルールでサポートされるオブジェクト
送信元と宛先 適用先 サービス
  • ユニバーサル MAC セット
  • ユニバーサル IP セット
  • ユニバーサル セキュリティ タグ、IP セット、MAC セット、またはユニバーサル セキュリティ グループを含めることができるユニバーサル セキュリティ グループ
  • ユニバーサル セキュリティ タグ、IP セット、MAC セット、またはユニバーサル セキュリティ グループを含めることができるユニバーサル セキュリティ グループ
  • ユニバーサル論理スイッチ
  • 分散ファイアウォール - 分散ファイアウォールがインストールされているすべてのクラスタにルールを適用
  • 事前に作成されたユニバーサル サービスおよびサービス グループ
  • ユーザーが作成したユニバーサル サービスおよびサービス グループ
ユニバーサル ルールでは、他の vCenter オブジェクトはサポートされていません。

前提条件

ユニバーサル ルールを作成する前に、ユニバーサル ルール セクションを作成する必要があります。ファイアウォール ルール セクションの追加を参照してください。

手順

  1. vSphere Web Client で、[Networking and Security (Networking & Security)] > [ファイアウォール (Firewall)] の順に移動します。
  2. NSX Manager で、プライマリ NSX Manager が選択されていることを確認します。
    プライマリ NSX Manager でのみユニバーサル ルールを追加できます。
  3. [全般 (General)] タブが開かれていることを確認し、L3 ユニバーサル ルールを追加します。[イーサネット (Ethernet)] タブをクリックし、L2 ユニバーサル ルールを追加します。
  4. ユニバーサル セクションで、[ルールの追加 (Add rule)][追加] アイコン)アイコンをクリックし、[変更の発行 (Publish Changes)] をクリックします。
    ユニバーサル セクションの一番上に新しい許可ルールが追加されます。
  5. 新しいルールの [名前 (Name)] セルをポイントし、 をクリックします。ルールの名前を入力します。
  6. 新しいルールの [送信元 (Source)] セルをポイントします。次の表で説明されている追加のアイコンが表示されます。
    オプション 説明
    IP をクリック 送信元を IP アドレスとして指定するには:
    1. IP アドレス形式を選択します。

      ファイアウォールでは、IPv4 形式と IPv6 形式の両方がサポートされています。

    2. IP アドレスを入力します。
    をクリックします。 送信元としてユニバーサル IPSet、MACSet、またはセキュリティ グループを指定するには:
    1. [オブジェクト タイプ (Object Type)] で、通信の発生元のコンテナを選択します。

      選択したコンテナのオブジェクトが表示されます。

    2. 1 つ以上のオブジェクトを選択し、追加 をクリックします。

      新しいセキュリティ グループまたは IPSet を作成できます。新しいオブジェクトを作成すると、デフォルトで送信元の列に追加されます。新しいセキュリティ グループまたは IPSet の作成については、ネットワークおよびセキュリティ オブジェクトを参照してください。

    3. 送信元をルールから除外するには、[詳細オプション (Advanced options)] をクリックします。
    4. [送信元の無効化 (Negate Source)] を選択し、この送信元をルールから除外します。

      [送信元の無効化 (Negate Source)] を選択すると、前の手順で指定した送信元を除き、すべての送信元から受信するトラフィックにルールが適用されます。

      [送信元の無効化 (Negate Source)] を選択しないと、前の手順で指定した送信元から受信するトラフィックにルールが適用されます。

    5. [OK] をクリックします。
  7. 新しいルールの [宛先 (Destination)] セルをポイントします。次の表で説明されている追加のアイコンが表示されます。
    オプション 説明
    IP をクリック 宛先を IP アドレスで指定するには:
    1. IP アドレス形式を選択します。

      ファイアウォールでは、IPv4 形式と IPv6 形式の両方がサポートされています。

    2. IP アドレスを入力します。
    をクリックします。 宛先としてユニバーサル IPSet、MACSet、またはセキュリティ グループを指定するには:
    1. [オブジェクト タイプ (Object Type)] で、通信のターゲットのコンテナを選択します。

      選択したコンテナのオブジェクトが表示されます。

    2. 1 つ以上のオブジェクトを選択し、追加 をクリックします。

      新しいセキュリティ グループまたは IPSet を作成できます。新しいオブジェクトを作成すると、デフォルトで [宛先] 列に追加されます。新しいセキュリティ グループまたは IPSet の作成については、ネットワークおよびセキュリティ オブジェクトを参照してください。

    3. 宛先をルールから除外するには、[詳細オプション (Advanced options)] をクリックします。
    4. [宛先の無効化 (Negate Destination)] を選択し、この宛先をルールから除外します。

      [宛先の無効化 (Negate Destination)] を選択すると、前の手順で指定した宛先を除くすべての宛先に送信するトラフィックにルールが適用されます。

      [宛先の無効化 (Negate Destination)] を選択しないと、前の手順で指定した宛先に送信するトラフィックにルールが適用されます。

    5. [OK] をクリックします。
  8. 新しいルールの [サービス (Service)] セルをポイントします。次の表で説明されている追加のアイコンが表示されます。
    オプション 説明
    ポート をクリック サービスをポートとプロトコルの組み合わせで指定するには:
    1. サービス プロトコルを選択します。

      分散ファイアウォールでは、FTP、CIFS、ORACLE TNS、MS-RPC、SUN-RPC のプロトコルの ALG(アプリケーション レベル ゲートウェイ)がサポートされています。

    2. ポート番号を入力し、[OK] をクリックします。
    をクリックします。 事前定義されたユニバーサル サービス/ユニバーサル サービス グループを選択するか、新しいユニバーサル サービス/ユニバーサル サービス グループを定義するには:
    1. 1 つ以上のオブジェクトを選択し、追加 をクリックします。

      新しいサービスまたはサービス グループを作成できます。新しいオブジェクトを作成すると、デフォルトで [選択したオブジェクト] 列に追加されます。

    2. [OK] をクリックします。
    ACK または SYN フラッドからネットワークを保護するには、デフォルト ルールでサービスを TCP-all_ports または UDP-all_ports に設定し、アクションをブロックに設定します。デフォルト ルールの変更については、 デフォルトの分散ファイアウォール ルールの編集を参照してください。
  9. 新しいルールの [アクション (Action)] セルをポイントし、 をクリックします。次の表の説明に従って適切な選択を行い、[OK] をクリックします。
    アクション 結果
    許可 指定した送信元、宛先、サービスの送受信トラフィックを許可します。
    ブロック 指定した送信元、宛先、サービスの送受信トラフィックをブロックします。
    却下 許可されないパケットに対する拒否メッセージを送信します。

    TCP 接続では、RST パケットが送信されます。

    UDP、ICMP およびその他の IP 接続では、管理上禁止されたコードが含まれる ICMP メッセージが送信されます。

    ログに記録 このルールと一致するすべてのセッションのログを記録します。ログを有効にするとパフォーマンスに影響が出る場合があります。
    ログに記録しない セッションのログを記録しません。
  10. [適用先 (Applied To)] セルで、デフォルト設定の [分散ファイアウォール] を受け入れて、分散ファイアウォールが有効になっているすべてのクラスタにルールを適用するか、編集アイコン をクリックして、ルールを適用するユニバーサル論理スイッチを選択します。
  11. [変更の発行 (Publish Changes)] をクリックします。

結果

ユニバーサル ルールがすべてのセカンダリ NSX Manager でレプリケートされます。ルール ID はすべての NSX インスタンスで同じままです。ルール ID を表示するには、列の選択 をクリックし、ルール ID を選択します。

ユニバーサル ルールは、プライマリ NSX Manager でのみ編集でき、セカンダリ NSX Manager では読み取り専用になります。

ユニバーサル セクション レイヤー 3 とデフォルトのセクション レイヤー 3 のあるファイアウォール ルール:

ファイアウォール ルール

次のタスク

  • [番号] 列で 無効化 をクリックしてルールを無効にするか、ルールの有効化 をクリックしてルールを有効にします。
  • ルール テーブル内の追加の列を表示するには、列の選択 をクリックし、適切な列を選択します。
    カラム名 表示される情報
    ルール ID システムが生成した、各ルールに一意の ID
    ログに記録 このルールのトラフィックがログ記録されるかどうか
    統計 統計 をクリックし、このルールに関連するトラフィック(トラフィック パケットおよびサイズ)を表示
    コメント ルールのコメント
  • 検索フィールドにテキストを入力し、ルールを検索します。
  • ファイアウォール テーブル内で、ルールの位置を上下に移動します。