分散ファイアウォールは、仮想マシンですべての East-West トラフィックをモニターします。
このトピックの手順では、NSX 分散ファイアウォールまたは NSX 管理対象オブジェクトを含む特定のグループに適用されるファイアウォール ポリシーを追加するワークフローについて説明します。
NSX-T Data Center 環境に
Antrea コンテナが登録されている場合は、分散ファイアウォール ポリシーを作成して、
Antrea コンテナ クラスタに適用できます。詳細については、以下を参照してください。
注:
NSX-T Data Center では、同じ分散ファイアウォール ポリシーに、NSX 管理対象オブジェクトを使用して作成したルールと
Antrea コンテナ クラスタ オブジェクトを使用して作成したルールを混在させることはできません。つまり、NSX 分散ファイアウォールに適用するファイアウォール ルールと
Antrea コンテナ クラスタに適用するファイアウォール ルールは、別々のポリシーに含める必要があります。
前提条件
NSX-T Data Center 3.2 より前で、DFW によって保護するには、仮想マシンの vNIC が NSX オーバーレイまたは VLAN セグメントに接続している必要があります。NSX-T Data Center 3.2 の分散ファイアウォールは、VDS 分散ポート グループ (DVPG) にネイティブに接続されたワークロードを保護します。詳細については、「vSphere Distributed Switch の分散セキュリティ」を参照してください。
Identity Firewall ルールを作成する場合はまず、Active Directory のメンバーを持つグループを作成します。IDFW でサポートされているプロトコルを表示するには、
Identity Firewall でサポートされる構成を参照してください。ゲスト イントロスペクションを使用して DFW ルールを作成する場合は、宛先グループに
[適用先] フィールドが適用されていることを確認します。
注: Identity Firewall ルールを適用する場合、Active Directory を使用するすべての仮想マシンで Windows Time サービスを
[有効] にする必要があります。これにより、Active Directory と仮想マシン間で日付と時刻が同期されるようになります。ユーザーの有効化や削除などの Active Directory グループ メンバーシップの変更は、ログインしているユーザーにすぐに反映されません。ユーザーに変更を反映させるには、ログオフして再度ログインする必要があります。グループ メンバーシップが変更されたときに、Active Directory 管理者がログアウトを強制的に実行することをおすすめします。これは、Active Directory の制限が原因で発生しています。
レイヤー 7 と ICMP の組み合わせ、または他のプロトコルを使用している場合は、レイヤー 7 ファイアウォール ルールを最後に設定する必要があります。レイヤー 7 any/any ルールの後にあるルールは実行されません。
分散ファイアウォール ポリシーとルールの作成に関するフェデレーション固有の詳細については、グローバル マネージャ からの DFW ポリシーとルールの作成を参照してください。