ルールで使用されているグループ オブジェクト、サービスまたはサービス グループが削除されると、Edge ファイアウォール ルールが無効になります。無効なファイアウォール ルールは発行できません。

次の図のように、ルールの宛先に IP セット オブジェクトが設定された Edge ファイアウォール ルールを作成したとします。


この図は、ルールの [宛先] 列に IP セット オブジェクトが使用されている Edge ファイアウォール ルールを示しています。

次の手順では、Edge で FW-IPset オブジェクトを削除して、ファイアウォール テーブルに戻り、NSX Edge が無効なルールを検出していることを確認します。ルールを有効としてマークし、再発行します。

手順

  1. Edge で IP セット オブジェクトを強制的に削除します。
    1. vSphere Web Client にログインします。
    2. [ネットワークとセキュリティ] > [NSX Edge] の順にクリックします。
    3. Edge をダブルクリックし、[管理] > [グループ オブジェクト] の順に移動します。
    4. [IP セット] タブをクリックして、[FW-IPSet] オブジェクトを選択します。
    5. [削除]HTML5 UI の削除アイコン または Flex UI の削除アイコン) アイコンをクリックして、[強制的に削除] チェック ボックスを選択します。
  2. [ファイアウォール] タブをクリックして、Edge ファイアウォール テーブルに戻ります。
  3. NSX が上のファイアウォール テーブルに次のエラー メッセージを表示していることを確認します。

    このエラー メッセージは、ファイアウォール ルールで無効なオブジェクトの位置を示しています。
    NSX Edge は、位置 4 のファイアウォール ルールの宛先が無効であることを検出したため、ルールが無効になります。次の図のように、ルールの宛先列の空のオブジェクトが赤色のボックスで囲まれます。

    この図は、ファイアウォール ルール内の空のオブジェクトが赤色のボックスで囲まれていることを示しています。
  4. (必須) 空のオブジェクトを削除します。
    NSX バージョン 手順
    6.4.6 以降 空の sys-gen-empty-ipset-edge-fw オブジェクトをポイントし、縦に並んだ 3 つのドット アイコン をクリックして、[削除] を選択します。
    6.4.5 以前 空の sys-gen-empty-ipset-edge-fw オブジェクトをポイントし、削除アイコン をクリックします。
  5. (オプション) ルールの設定が有効になるように、ルールの宛先を編集します。
    NSX バージョン 手順
    6.4.6 以降
    1. ルールの [宛先] 列をポイントし、縦に並んだ 3 つのドット アイコン をクリックして、[ルール ターゲットを編集] 選択します。
    2. 必要に応じて、オブジェクトまたは IP アドレスを追加します。
    6.4.5 以前
    1. ルールの [宛先] 列をポイントし、編集アイコン をクリックします。
    2. 必要に応じて、オブジェクトまたは IP アドレスを追加します。
  6. (6.4.6 以降のみ)エラー メッセージの [ルールを有効としてマーク] リンクをクリックします。
    NSX Edge に、次の警告メッセージが表示されます。 
    This action will mark rule as valid.
Please ensure that all elements in the rule are valid objects before performing this action.
Do you want to continue?
    • [はい] をクリックして、ルールを有効とマークします。エラー メッセージが消去されます。
    • 警告メッセージを閉じてファイアウォール テーブルに戻り、ルールの宛先を確認して編集するには、[いいえ] をクリックします。
    注: NSX 6.4.5 以前の場合は、ファイアウォール テーブルの上のエラー メッセージに [ルールを有効としてマーク] リンクが表示されません。空のオブジェクトを削除し、必要に応じてルールの宛先を編集すると、 NSX Edge がルールの設定が有効になったことを検出し、エラー メッセージを消去します。
  7. [変更の発行] をクリックして、ルールの変更を有効にします。