Service Composer から作成されたすべてのファイアウォール ルールの適用先を、分散ファイアウォールまたはポリシーのセキュリティ グループに設定できます。デフォルトでは、適用先は分散ファイアウォールに設定されています。

Service Composer ファイアウォール ルールの適用先が分散ファイアウォールに設定されているとき、ルールは分散ファイアウォールがインストールされているすべてのクラスタに適用されます。ファイアウォール ルールがポリシーのセキュリティ グループに適用されるように設定されている場合は、ファイアウォール ルールをより詳細に制御できます。ただし、場合によっては、複数のセキュリティ ポリシーまたはファイアウォール ルールが必要になります。

手順

  1. vSphere Web Client で、[ネットワークとセキュリティ (Networking & Security)] > [セキュリティ (Security)] > [Service Composer] の順に移動します。
  2. [セキュリティ ポリシー (Security Policies)] タブをクリックします。
  3. グローバル ファイアウォールの設定を編集するには、次の手順に従います。
    • NSX 6.4.1 以降では、[グローバル ファイアウォールの設定] の横にある [編集](編集)アイコンをクリックします。
    • NSX 6.4.0 では、[グローバル設定] の横にあるファイアウォール ルールの適用先で、[編集 (Edit)] をクリックします。
  4. [適用先] のデフォルト設定を選択して、[[OK]] をクリックします。この値により、ファイアウォール ルールが適用される vNIC が決まります。
    オプション 説明
    分散ファイアウォール ファイアウォール ルールは、分散ファイアウォールがインストールされているすべてのクラスタに適用されます。
    ポリシーのセキュリティ グループ ファイアウォール ルールは、セキュリティ ポリシーが適用されているセキュリティ グループに適用されます。
    適用先のデフォルト設定は、API を介して表示や変更ができます。『 NSX API ガイド』を参照してください。

    RDSH ファイアウォール ルールを使用する場合、設定の適用先は [分散ファイアウォール (Distributed Firewall)] にします。RDSH ルールの適用先として [ポリシーのセキュリティ グループ (Policy's Security Groups)] は使用できません。

例: 適用先の動作

ここに例として示すシナリオでは、サービスに対するファイアウォール ルールのデフォルト アクションが「ブロック」に設定されています。セキュリティ グループは「web-servers」と「app-servers」の 2 種類あり、それぞれ仮想マシンが含まれます。次のファイアウォール ルールを含むセキュリティ ポリシー allow-ssh-from-web を作成し、これをセキュリティ グループの「app-servers」に適用します。
  • 名前:allow-ssh-from-web
  • 送信元:web-servers
  • 宛先:ポリシーのセキュリティ グループ
  • サービス:ssh
  • アクション:許可

ファイアウォール ルールが分散ファイアウォールに適用される場合は、セキュリティ グループ「web-servers」の仮想マシンからセキュリティ グループ「app-servers」の仮想マシンに対して SSL 通信を使用できます。

ファイアウォール ルールがポリシーのセキュリティ グループに適用される場合は、「app-servers」へのトラフィックがブロックされるため、SSL 通信を使用できません。「app-servers」への SSL 通信を許可するための追加のセキュリティ ポリシーを作成して、このポリシーをセキュリティ グループ「web-servers」に適用する必要があります。

  • 名前:allow-ssh-to-app
  • 送信元:ポリシーのセキュリティ グループ
  • 宛先:app-servers
  • サービス:ssh
  • アクション:許可