Native Cloud 強制モードでのワークロード仮想マシンのマイクロセグメンテーションの設定

NSX Manager で、Native Cloud 強制モード内のワークロード仮想マシンにセキュリティポリシーを構成できます。

NSX-T Data Center 3.0 以降では、異なるアカウントまたはサブスクリプションの VPC/Vnet にセキュリティポリシーとルールを作成できます。

注：分散ファイアウォールルールは、仮想マシンに割り当てられたタグによって異なります。これらのタグは、適切なパブリッククラウド権限を持つユーザーであれば、誰でも変更することができます。このため、NSX-T Data Center では、このようなユーザーが信頼でき、仮想マシンに常に正しいタグが設定されていることをパブリッククラウドのネットワーク管理者が確認していることを前提としています。

前提条件

Native Cloud 強制モードに中継またはコンピュート VPC/VNet があることを確認します。

手順

NSX Manager で、ワークロード仮想マシンのグループを編集または作成します。たとえば、web、app、db で始まる仮想マシンを使用して 3 つのグループを作成します。手順については、グループの追加を参照してください。また、パブリッククラウドタグを使用してワークロード仮想マシンのグループを作成する方法については、NSX-T Data Center とパブリッククラウドタグを使用した仮想マシンのグループ化を参照してください。

基準に一致するワークロード仮想マシンがグループに追加されます。グループ基準に一致しない仮想マシンは、default セキュリティグループ（AWS の場合）または default-vnet-<vnet-ID>-sg ネットワークセキュリティグループ（Microsoft Azure の場合）に配置されます。

注： NSX Cloud によって自動作成されたグループは使用できません。
NSX Manager で、[送信元]、[宛先] または [適用先] フィールドを使用して、グループを含む分散ファイアウォール (DFW) ルールを作成します。手順については、分散ファイアウォールの追加を参照してください。

注：パブリッククラウドワークロード仮想マシンでは、ステートフルポリシーのみがサポートされます。 NSX Manager でステートレスポリシーを作成できますが、パブリッククラウドワークロード仮想マシンが含まれているグループとは一致しません。
L7 コンテキストプロファイルは、Native Cloud 強制モード内のワークロード仮想マシンの DFW ルールでサポートされていません。
CSM で、NSX 管理にする仮想マシンをユーザー管理リストから削除します。手順については、ユーザー管理リストの使用方法を参照してください。

注：ユーザー管理リストへの仮想マシンの追加は、 CSM にパブリッククラウドインベントリを追加する際の Day-0 のワークフローで強く推奨される手動プロセスです。ユーザー管理リストに仮想マシンを追加していない場合は、リストから仮想マシンを削除する必要はありません。
パブリッククラウドで一致を検出するグループと DFW ルールの場合、次の処理が自動的に行われます。
1. AWS で、NSX Cloud が nsx-<NSX GUID> という名前の新しいセキュリティグループを作成します。
2. Microsoft Azure で、NSX Cloud が NSX Manager で作成されたグループに対応するアプリケーションセキュリティグループ (ASG) と、グループ化されたワークロード仮想マシンと一致する DFW ルールに対応するネットワークセキュリティグループ (NSG) を作成します。
  NSX Cloud は、 NSX Manager およびパブリッククラウドグループと DFW ルールを 30 秒ごとに同期します。
CSM で、パブリッククラウドアカウントを再同期します。
1. CSM にログインし、パブリッククラウドアカウントに移動します。
2. パブリッククラウドアカウントから、[アクション] > [アカウントの再同期] の順にクリックします。再同期が完了するまで待ちます。
3. VPC/VNet に移動し、赤色の [エラー] インジケータをクリックします。インスタンスビューに移動します。
4. グリッド表示の場合はビューを詳細に切り替え、ルールの認識列で [失敗] をクリックすると、エラーが表示されます（存在する場合）。

次のタスク

現在の制限事項と一般的なエラーを参照してください。