パブリック クラウドでは、PCG の展開後に一部の構成が自動的に行われます。
一部の自動構成は、すべてのパブリック クラウドと両方の NSX 管理モードで共通です。その他の構成は、パブリック クラウドまたは NSX 管理モードのいずれかに固有となります。
AWS に固有
AWS に固有のものは次のとおりです。
- Amazon VPC では、新しい Type A レコード セットが nsx-gw.vmware.local という名前で Amazon Route 53 のプライベート ホスト ゾーンに追加されます。このレコードにマッピングされた IP アドレスは、PCG の管理 IP アドレスと一致します。これは DHCP を使用して AWS によって割り当てられ、VPC ごとに異なります。Amazon Route 53 のプライベート ホスト ゾーンにあるこの DNS エントリは、PCG の IP アドレスを解決するために NSX Cloud によって使用されます。
注: Amazon Route 53 のプライベート ホスト ゾーンで定義されているカスタム DNS ドメイン名を使用するときは、AWS の VPC 設定で [DNS 解決] および [DNS ホスト名] 属性を [はい] に設定する必要があります。
-
PCG のアップリンク インターフェイス用のセカンダリ IP アドレスが作成されます。AWS Elastic IP アドレスは、このセカンダリ IP アドレスに関連付けられます。この構成は SNAT 用です。
Microsoft Azure に固有
Microsoft Azure に固有のものは次のとおりです。
- リージョンとサブスクリプションごとに共通のリソース グループが作成されます。名前は nsx-default-<region-name>-rg のようになります(例:nsx-default-westus-rg)。このリージョンのすべての VNet がこのリソース グループを共有します。このリソース グループと NSX で作成されたすべてのセキュリティ グループ(default-<vnet-ID>-sg のような名前)は、このリージョンの VNet を NSX Cloud からオフボーディングした後に Microsoft Azure のリージョンから削除されません。
両方のモードとすべてのパブリック クラウドに共通
すべてのパブリック クラウドと NSX 管理モード(
NSX 強制モード と
Native Cloud 強制モード の両方)で、次のものが作成されます。
-
[gw] セキュリティ グループが、VPC または VNet の個別の PCG インターフェイスに割り当てられます。
表 1. NSX Cloud が PCG インターフェイス向けに作成するパブリック クラウド セキュリティ グループ セキュリティ グループ名 説明 gw-mgmt-sg ゲートウェイの管理セキュリティ グループ gw-uplink-sg ゲートウェイのアップリンク セキュリティ グループ gw-vtep-sg ゲートウェイのダウンリンク セキュリティ グループ
Native Cloud 強制モード に固有
Native Cloud 強制モード に PCG を展開すると、次のセキュリティ グループが作成されます。
ワークロード仮想マシンがグループと一致し、
NSX Manager で対応するセキュリティ ポリシーと一致すると、それらのセキュリティ ポリシーごとに、
nsx-<GUID> のような名前のセキュリティ グループがパブリック クラウドに作成されます。
注: AWS では、セキュリティ グループが作成されます。Microsoft Azure では、
NSX Manager でアプリケーション セキュリティ グループに対応するグループが作成されます。また、
NSX Manager で、ネットワーク セキュリティ グループに対応するセキュリティ ポリシーが作成されます。
セキュリティ グループ名 | Microsoft Azure での使用 | AWS での使用 | 説明 |
---|---|---|---|
default-vnet-<vnet-id>-sg | ○ | × | NSX Cloud が共通の Microsoft Azure リソース グループに作成したセキュリティ グループ。NSX-T Data Center のセキュリティ ポリシーに一致しない仮想マシンに割り当てられます。 |
デフォルト | × | ○ | AWS 内の既存のセキュリティ グループ。NSX Cloud は、NSX-T Data Center のセキュリティ ポリシーに一致しない仮想マシンにこのグループを割り当てます。 |
vm-overlay-sg | ○ | ○ | 仮想マシンのオーバーレイ セキュリティ グループ(本リリースでは使用されません) |
NSX 強制モード に固有
NSX 強制モード に
PCG を展開すると、ワークロード仮想マシンに次のセキュリティ グループが作成されます。
セキュリティ グループ名 | Microsoft Azure での使用 | AWS での使用 | 説明 |
---|---|---|---|
default-vnet-<vnet-id>-sg | ○ | × | NSX Cloud が Microsoft Azure に作成するセキュリティ グループ。NSX 強制モード の脅威検出ワークフローで使用されます。 |
デフォルト | × | ○ | AWS に既存のセキュリティ グループ。NSX 強制モード が NSX Cloud で脅威検出ワークフローに使用します。 |
vm-underlay-sg | ○ | ○ | 仮想マシン アンダーレイ セキュリティ グループ |
vm-overlay-sg | ○ | ○ | 仮想マシンのオーバーレイ セキュリティ グループ(本リリースでは使用されません) |