管理対象のワークロード仮想マシンに、マイクロセグメンテーションを設定できます。
注: 分散ファイアウォール ルールは、仮想マシンに割り当てられたタグによって異なります。これらのタグは、適切なパブリック クラウド権限を持つユーザーであれば、誰でも変更することができます。このため、
NSX では、このようなユーザーが信頼でき、仮想マシンに常に正しいタグが設定されていることをパブリック クラウドのネットワーク管理者が確認していることを前提としています。
NSX 管理対象のワークロード仮想マシンに分散ファイアウォール ルールを適用するには、次の手順を実行します。
- 仮想マシン名、タグ、またはその他のメンバーシップ基準([web]、[app]、[DB] 階層など)を使用してグループを作成します。手順については、グループの追加を参照してください。
次のタグのいずれかをメンバーシップ基準に使用できます。詳細については、 NSX とパブリック クラウド タグを使用した仮想マシンのグループ化を参照してください。
- システム定義のタグ
- NSX Cloud によって検出された、Virtual Private Cloud (VPC) または VNet のタグ
- 独自のカスタム タグ
- East-West 分散ファイアウォール ポリシーとルールを作成し、作成したグループに適用します。分散ファイアウォールの追加を参照してください。コンテキスト プロファイルを使用して、アプリケーション ID や FQDN/URL に固有のルールを作成することもできます。FQDN/URL コンテキスト プロファイルを作成するときに、事前定義されたパブリック クラウドの FQDN/URL のリストを使用できます。詳細については、レイヤー 7 コンテキスト プロファイルを参照してください。
このマイクロセグメンテーションが有効になるのは、CSM でインベントリが手動で再同期されたとき、または、CSM がパブリック クラウドから変更内容を取得してから約 3 分以内です。
