暗号化ルールでは、保護するデータ フロー(送信元と宛先)、パケットがルールの条件に一致した場合に実行するアクション、ポリシー適用ポイントを定義します。

暗号化ルールには、パケットのプロパティに基づいてネットワーク パケットを処理する方法が定義されています。

  • パケットの暗号化/復号と整合性チェックを実行する。
  • 整合性チェックを実行するが、パケットは暗号化しない。
  • パケットをそのまま通過させる(プレーンで許可する)。

各ネットワーク パケットに対して、優先順序に従って暗号化ルールが処理されます。最初のセクションの最初のルールから順番に処理されます。ルールの順序によって結果が異なります。DNE がネットワーク パケットを処理する方法を参照してください。

次の表では、暗号化ルール セクションの列について説明します。

カラム名 説明
# この暗号化ルールのセクション内の位置を定義する一意の番号。リストの最初の暗号化ルールが 1 になります。この位置により、ルールの評価順序が決まります。リストでルールを上または下に移動すると、番号が自動的に更新されます。
名前 このルールの名前。
ID 暗号化ルールに対してシステムが生成した一意の ID。読み取り専用。
送信元 これらのフィールドは、パケットの送信元アドレスと比較されます。次の論理構造の個々または同種のコレクション(NS グループ/コンテナ)から構成されます。
  • 論理ポート
  • 論理スイッチ
  • NSGroup
宛先 パケットの宛先アドレスと比較されます。次の論理構造の個々または同種のコレクション(NS グループ/コンテナ)から構成されます。
  • 論理ポート
  • 論理スイッチ
  • NSGroup
サービス 宛先ポートとプロトコル(HTTP など)を表します。ポートの範囲とポート セットもサポートします。ポート セットは、1 ルールあたり 15 個に制限されます。サービスのポート/プロトコルは無効にできます。
アクション このルールのアクションを指定します。次のいずれかの値:
  • 暗号化と整合性チェック
  • 整合性チェックのみ
  • 許可
キー ポリシー このルールに使用するキー ポリシー。
適用先 ポリシー適用ポイントを指定します。次の 1 つ以上のオプション:
  • 論理ポート
  • 論理スイッチ
  • 論理スイッチ ポートの NSGroup(コンテナ)
ログを記録 このセクションの暗号化ルールのログの記録をハイパーバイザーでオンにするには、この設定を有効にします。暗号化ルールのログの記録は、デフォルトで無効になっています。
統計 実行時の処理の統計情報(ルール ID、送受信されたパケット数、バイト数など)と統計が最後に更新された日時のタイムスタンプ。これらの値は、すべてのホストの集計値を表します。統計の集計は暗号化ルールの作成時から開始し、デフォルトでは 5 分間隔で更新されます。画面の更新は手動でも実行できます。
メモ このルールに関連付けられているメモ。

デフォルトでは、[ID][ログ (Log)][メモ (Notes)] は表示れません。左下にある [列 (Columns)] をクリックすると、表示する列を選択できます。

暗号化ルールを定義する場合の考慮事項:

  • Edge ノードでは DNE がサポートされていないため、DNE で暗号化されたトラフィックはドロップされます。したがって、Edge ノードを通過するトラフィックのルールは作成しないでください。
  • ESXi 上の仮想マシンは、KVM 上の仮想マシンに暗号化されたトラフィックを送信できません。
  • 送信元または宛先に「ANY」を使用すると、問題が発生する場合があります。トポロジによっては、この設定を行うと、Edge ノードを通過するトラフィックが誤って含まれる可能性があります。
  • 重要:暗号化ルールがハイパーバイザーに適用される場合は、VTEP インターフェイスの MTU サイズを 1,700 以上にする必要があります(2,000 以上を推奨)。