プロジェクトのユーザーは、独自の分散ファイアウォール ポリシーを作成して、プロジェクト内の East-West トラフィックのフローを保護できます。プロジェクト内の分散ファイアウォール ルールは、プロジェクト外のワークロードには影響しません。
プロジェクトのデフォルトの DFW ルール
NSX に追加されたプロジェクトごとにデフォルトの DFW ポリシーがプロジェクト内に作成されます。デフォルト ポリシーは、アプリケーション ファイアウォール カテゴリのポリシー リストの下部に表示されます。デフォルト ポリシーは、他のルールが見つからない場合のプロジェクト内の仮想マシンの動作を定義します。
プロジェクトのデフォルト DFW ポリシーには、次の命名規則が使用されます。
ORG-default PROJECT-<Project_Name> Default Layer 3 sectionProject_Name は、システム内の実際の値に置き換えられます。
たとえば、次のスクリーン キャプチャは、プロジェクトのデフォルト DFW ポリシー ルールを示しています。
このスクリーン キャプチャのように、デフォルト ポリシーは DFW に適用されます。また、このポリシーには次のファイアウォール ルールが含まれています。
- ルール 1017 は、IPv6-ICMP トラフィックを許可します。
- ルール 1018 は、DHCPv4 クライアントとサーバとの通信を許可します。
- ルール 1019 は、DHCPv6 クライアントとサーバとの通信を許可します。(NSX 4.1.1 で導入)
- ルール 1020 は、プロジェクト内のワークロード仮想マシン間の通信を許可します。
- ルール 1021 は、上記のルールのいずれにも一致しない他のすべての通信をドロップします。
デフォルトの DFW ポリシーを使用すると、プロジェクト内の仮想マシンは、DHCP サーバを含む同じプロジェクト内の他の仮想マシンにのみアクセスできます。プロジェクト外の仮想マシンとの通信はブロックされます。デフォルトでは、プロジェクト内のセグメントに接続されている仮想マシンはデフォルト ゲートウェイに ping を送信できません。このような通信が必要な場合は、新しいルールを追加するか、デフォルトの DFW ポリシーの既存のルールを変更する必要があります。
プロジェクトでユーザーが作成した DFW ルール
- デフォルト領域の DFW ルール(最も高い優先順位)
- プロジェクト内の DFW ルール
- (NSX 4.1.1 以降):プロジェクト内の NSX VPC の E-W ファイアウォール ルール(最も低い優先順位)
デフォルト領域の DFW ルールは、プロジェクトに拡張できます。
たとえば、ルールをプロジェクトのデフォルト グループ (ORG-default-PROJECT-<Project_Name>) に適用するように選択できます。プロジェクトのデフォルト グループには、プロジェクトのワークロード仮想マシンのみが含まれます。
- プロジェクトで作成されたグループ。
- プロジェクトと共有されるグループ。
プロジェクトと共有されるグループは、ファイアウォール ルールの [送信元] または [宛先] フィールドでのみ使用できます。ファイアウォール ルールの [適用先] フィールドでは使用できません。
(NSX 4.1.1 以降):NSX VPC がプロジェクトに追加されている場合、システムが NSX VPC に作成したデフォルト グループは、プロジェクト ファイアウォール ルールの [送信元]、[宛先]、および [適用先] フィールドで使用できます。ただし、NSX VPC 内のユーザーが作成したグループは、プロジェクトのファイアウォール ルールでは使用できません。
プロジェクトのファイアウォール ルールは、プロジェクト内の仮想マシン、つまりプロジェクトのセグメントに接続されている仮想マシンにのみ適用されます。DFW に適用される Any-Any ルールも含め、プロジェクト内のルールは、プロジェクト外のワークロードに影響を及ぼしません。
プロジェクトでの DFW ポリシーの追加
プロジェクトに DFW ポリシーを追加するためのユーザー インターフェイス ワークフローは、NSX 環境の [デフォルト] ビュー(デフォルト領域)にポリシーを追加するための現在のワークフローと同じです。
唯一の違いは、最初にユーザー インターフェイスで上部のアプリケーション バーのプロジェクト スイッチャ ドロップダウン メニューからプロジェクトを選択してから、
の順に移動して、選択したプロジェクトに DFW ポリシーを追加する必要がある点です。