グローバル マネージャ では、グローバル、リージョンまたはローカルの範囲で分散ファイアウォール ルールとゲートウェイ ファイアウォール ルールを作成できます。

グローバル マネージャから作成された分散ファイアウォールとゲートウェイ ファイアウォールのポリシーおよびルールはローカル マネージャに同期されます。ローカル マネージャでは GM アイコンで表示されます。グローバル マネージャから作成されたルールは、グローバル マネージャからのみ編集できます。ローカル マネージャから編集することはできません。

分散ファイアウォール (DFW) のポリシーとルールのフェデレーション

次の例を使用して、サポートされているファイアウォール ワークフローを確認してください。

  • この例では、グローバル マネージャに Location1Location2、および Location3 という名前の 3 つのローカル マネージャが登録されています。
  • グローバル マネージャが次のリージョンを自動的に作成します。
    • グローバル
    • Location1
    • Location2
    • Location3
  • ローカル マネージャ Location2 および Location3 を含むカスタマイズされたリージョン (Region1) を作成します。
  • 次のグループを作成します。
    • Group1:リージョン グローバル
    • Group2:リージョン Location1
    • Group3:リージョン Location2
    • Group4:リージョン Location3
    • Group5:リージョン Region1

NSX-T Data Center 3.0.1 の DFW ポリシーとルール

次の使用事例がサポートされています。

  • [グループの範囲]グローバル マネージャ で、グローバル、ローカルまたはリージョンの範囲を持つグループを作成できます。グローバル マネージャ からのグループの作成 を参照してください。
  • [動的グループ]:タグなどの動的基準に基づいてグループを作成できます。
  • [DFW ポリシーの範囲]:DFW ポリシーは、グローバル、リージョン、またはローカルの範囲に適用できます。
  • [DFW ルールの送信元と宛先グループ]:送信元フィールド内のすべてのグループ、または宛先フィールド内のすべてのグループが DFW ポリシーの範囲と一致している必要があります。システムは、ポリシーの範囲外の場所にグループを自動的に作成します。

    次の表は、DFW ルールの送信元と宛先グループが有効な場合と無効な場合の例を示しています。
    表 1. 3.0.1 の DFW ポリシーの範囲に基づく DFW ルールで有効な送信元と宛先
    DFW ポリシーの範囲(適用先) バージョン 3.0.1 の DFW ルールでサポートされるシナリオ
    グローバル

    この例では、このリージョンには次のグループが含まれています。
    • Group1
    グローバル リージョンの範囲の DFW ポリシーでは、すべてのグループが DFW ルールの送信元と宛先で許可されます。上記の例を使用して、サポートされている一般的なシナリオを示します。
    • [送信元]Group2[宛先]Group3
    • [送信元]Group3[宛先]Group4
    • [送信元]Group4[宛先]任意
    • [送信元]Group1[宛先]Group2
    Location1:場所 1 のローカル マネージャに対して自動作成されたリージョン。

    この例では、このリージョンには次のグループが含まれています。
    • Group2
    1 つの場所(この例では Location1)の範囲の DFW ポリシーの場合、DFW ルールの送信元または宛先グループが Location1 に属している必要があります。

    次のシナリオがサポートされます。
    • [送信元]Group2[宛先]Group2
    • [送信元]Group3[宛先]Group2
    • [送信元]Group2[宛先]Group4
    • [送信元]Group1[宛先]Group2
    このポリシー範囲でサポートされていないグループ選択の例を次に示します。送信元と宛先の両方のグループがポリシーの範囲外にあります。
    • [送信元]Group5[宛先]Group3
    • [送信元]Group1[宛先]Group3
    Region1Location2 および Location3 にまたがるユーザー作成のリージョン。

    この例では、このリージョンには次のグループが含まれています。
    • Group5

    ユーザー作成のリージョン(この例では Region1)の範囲の DFW ポリシーの場合、DFW ルールの送信元または宛先グループには Region1 に属する場所が含まれている必要があります。

    次のシナリオがサポートされます。
    • [送信元]Group5[宛先]Group2
    • [送信元]Group2[宛先]Group5
    • [送信元]Group2[宛先]Group3
    • [送信元]Group3[宛先]Group4
    • [送信元]任意[宛先]Group5
    • [送信元]Group4[宛先]任意
    このポリシー範囲でサポートされていないグループ選択の例を次に示します。送信元と宛先の両方のグループがポリシーの範囲外にあります。
    • [送信元]Group2[宛先]Group2
    • [送信元]Group1[宛先]Group2
    • [送信元]Group1[宛先]Group1
  • グループにセグメントが含まれている場合、DFW ポリシーの範囲はセグメントの範囲以上にする必要があります。たとえば、範囲が Location1 であるセグメントを含むグループがある場合、リージョン Region1Location2Location3 のみを含むため、DFW ポリシーを適用できません。

NSX-T Data Center 3.0.0 の DFW ポリシーとルール

  • [グループの範囲]グローバル マネージャ で、グローバル、ローカルまたはリージョンの範囲を持つグループを作成できます。グローバル マネージャ からのグループの作成 を参照してください。
  • [動的グループ]:タグなどの動的基準に基づいてグループを作成できます。
  • [DFW ポリシーの範囲]:DFW ポリシーは、グローバル、リージョン、またはローカルの範囲にも適用できます。
  • [DFW ルールの送信元と宛先グループ]:送信元フィールド内のすべてのグループ、および宛先フィールド内のすべてのグループが DFW ポリシーの範囲と一致している必要があります。
    次の表を参照して、ポリシーの範囲に応じて DFW ルールで有効な送信元グループと宛先グループが決まる仕組みを理解してください。
    表 2. 3.0.0 の DFW ポリシーの範囲に基づく DFW ルールで有効な送信元と宛先
    DFW ポリシーの範囲(適用先) バージョン 3.0.0 の DFW ルールでサポートされる送信元と宛先のグループ
    グローバル

    この例では、このリージョンには次のグループが含まれています。
    • Group1
    グローバル リージョンにまたがる DFW ポリシーの場合は、DFW ルールの送信元と宛先でキーワード Any または Global グループのいずれかを選択できます。
    次はその例です。
    • [送信元]Group1[宛先]Group1
    • [送信元]Group1[宛先]任意
    • [送信元]任意[宛先]Group1
    • [送信元]任意[宛先]任意
    注意: その他のルール構成も作成できますが、サポートされていません。以下に例を示します。
    • [送信元]Group2[宛先]Group3
    • [送信元]Group4[宛先]Group1
    Location1:場所 1 のローカル マネージャに対して自動作成されたリージョン。

    この例では、このリージョンには次のグループが含まれています。
    • Group2
    1 つの場所(この例では Location1)のリージョンにまたがる DFW ポリシーの場合、送信元と宛先の両方のグループがこのリージョンに属している必要があります。
    たとえば、次のルールがサポートされます。
    • [送信元]Group2[宛先]Group2
    注意: その他のルール構成も作成できますが、サポートされていません。以下に例を示します。
    • [送信元]Group2[宛先]Group3
    • [送信元]Group4[宛先]Group2
    Region1Location2 および Location3 にまたがるカスタマイズされたリージョン。

    この例では、このリージョンには次のグループが含まれています。
    • Group5

    カスタマイズされたリージョン(この例では Region1)にまたがる DFW ポリシーの場合、送信元と宛先の両方のグループがこのリージョンに属している必要があります。

    たとえば、次のルールがサポートされます。
    • [送信元]Group5[宛先]Group5
    • [送信元]Group5[宛先]任意
    • [送信元]任意[宛先]Group5
    注意: その他のルール構成も作成できますが、サポートされていません。以下に例を示します。
    • [送信元]Group2[宛先]Group3
    • [送信元]Group2[宛先]Group4
    • [送信元]Group3[宛先]Group2
    • [送信元]Group4[宛先]Group2
  • グループにセグメントが含まれている場合、DFW ポリシーの範囲はセグメントの範囲以上にする必要があります。たとえば、範囲が Location1 であるセグメントを含むグループがある場合、リージョン Region1Location2Location3 のみを含むため、DFW ポリシーを適用できません。

ゲートウェイ ファイアウォールのポリシーとルールのフェデレーション

ゲートウェイ ファイアウォール ルールは、ゲートウェイの範囲に含まれるすべての場所、特定の場所のすべてのインターフェイス、または 1 つ以上の場所の特定のインターフェイスに適用できます。
注: ゲートウェイ ファイアウォール ルールの送信元グループと宛先グループの範囲は、ルールを作成しているゲートウェイの範囲と同じか、またはそのサブセットにする必要があります。
表 3. ゲートウェイ ファイアウォール ルールの範囲オプション
ゲートウェイ ファイアウォール ルールの範囲(適用先) 適用先
ゲートウェイにルールを適用 ルールは、このゲートウェイが接続しているすべてのインターフェイスと、このゲートウェイが拡張されるすべての場所に適用されます。
場所を選択してから、[すべてのエンティティにルールを適用] を選択します。 ルールは、選択した場所にのみ適用されます。
場所を選択し、その場所からインターフェイスを選択します。その他の場所についても、ルールを適用する場所ごとにインターフェイスを選択します。 ルールは、選択したインターフェイスにのみ適用されます。