サービス挿入の初期設定で、デフォルトのリダイレクト ルールを設定する必要があります。

初期設定が完了したら、NSX の管理対象ワークロード仮想マシンのさまざまなタイプのトラフィックをサービス アプライアンス経由で再ルーティングする際に必要となるリダイレクト ルールを作成し、編集することができます。

リダイレクト ルールには次の 2 つのタイプがあります。
  1. サービス挿入の初期設定で、PCG とサービス アプライアンス間の VPN トンネルの VTI インターフェイスに catch-all ルールを作成し、トラフィックのリダイレクトを防止する必要があります。このルールには、最も低い優先度を設定し、サービス挿入の両方のユースケースに作成する必要があります。
  2. 2 つ目のルールでは、サービス アプライアンスのトラフィックに特定のリダイレクトを設定します。このルールを調整し、必要に応じて他のルールを追加します。

手順

  1. 1 回限りの設定を完了するためにデフォルトの catch-all ルールを追加するには、次の手順に従います。
    1. [セキュリティ] > [North-South のファイアウォール] > [ネットワーク イントロスペクション (N-S)] の順に移動します。
    2. [ポリシーの追加] をクリックします。
      オプション 説明
      名前 わかりやすい名前を入力します。例:Default_No-Redirect-Policy
      リダイレクト先: サービスを登録するときにこのサービス アプライアンス用に作成した仮想エンドポイントの名前を選択します。
      適用先: PCG の Tier-0 ゲートウェイを選択します。
    3. 新しいポリシーを選択して、[ルールの追加] をクリックします。サービス挿入に固有の次の値をメモします。
      オプション 説明
      送信元 任意
      宛先 任意
      適用先 PCG とサービス アプライアンス間の VTI インターフェイスを選択します。
      アクション [リダイレクトしない] を選択します。
    重要: このルールには、最も低い優先度を設定する必要があります。
  2. 2 つ目のルールで、次の操作を行います。
    1. [セキュリティ] > [North-South のファイアウォール] > [ネットワーク イントロスペクション (N-S)] の順に移動します。
    2. [ポリシーの追加] をクリックします。
      オプション 説明
      名前: ポリシーにわかりやすい名前を設定します。たとえば、「オンプレミス サービス挿入(AWS 仮想マシン用)」、「North-South サービス挿入(Azure 仮想マシン用)」などの名前を入力します。
      リダイレクト先: サービスを登録するときにこのサービス アプライアンス用に作成した仮想エンドポイントの名前を選択します。
      適用先: PCG の Tier-0 ゲートウェイを選択します。
    3. 新しいポリシーを選択して、[ルールの追加] をクリックします。サービス挿入に固有の次の値をメモします。
      オプション 説明
      送信元 トラフィックをリダイレクトする必要があるサブネットのグループを選択します(NSX の管理対象ワークロード仮想マシンのグループなど)。
      宛先 サービス アプライアンス経由でルーティングする宛先 IP アドレスまたはサービス(YouTube など)のリストを選択します。
      適用先
      • パブリック クラウドのサービス アプライアンスに North-South サービス挿入を使用している場合は、アクティブおよびスタンバイの PCG のアップリンク ポートを選択します。
      • オンプレミスへの VPN トラフィックを使用している場合は、オンプレミスのサービス アプライアンスに対するアクティブおよびスタンバイの PCG の VTI インターフェイスを選択します。
      アクション [リダイレクト] を選択します。