NSX VPC が正常に認識されると、システムはデフォルトの North-South および East-West ファイアウォール ルールを作成し、NSX VPC で実行されているワークロードのデフォルトのファイアウォール動作を制御します。

N-S ファイアウォール ルールは、NSX VPC で送受信されるトラフィックに適用される、一元化されたルールです。

E-W ファイアウォール ルールは、NSX VPC 内で実行されているワークロードに適用される分散ルールです。

NSX VPC のデフォルトの East-West ファイアウォール ルール

プロジェクトに追加された NSX VPC ごとに、デフォルトの E-W ファイアウォール ポリシーが NSX VPC に作成されます。NSX VPC でデフォルトの E-W ポリシーを識別するために、次の命名規則が使用されます。

ORG-default PROJECT-<Project_Name> VPC-<VPC_Name> default-layer3-section

Project_NameVPC_Name は、システム内の実際の値に置き換えられます。

たとえば、次のスクリーン キャプチャは、NSX VPC のデフォルトの E-W ファイアウォール ルールを示しています。


スクリーン キャプチャは、周囲のテキストで説明されています。

NSX VPC の 3 つのデフォルトの E-W ファイアウォール ルールはすべて、[適用先] が DFW に設定されています。[適用先] が DFW に設定されていても、ファイアウォール ルールは、NSX VPC のサブネットに接続されているワークロード仮想マシンにのみ適用されます。NSX VPC 外にあるワークロード仮想マシンは、これらのファイアウォール ルールの影響を受けません。必要に応じて、VPC ユーザーは [適用先][グループ] として設定し、NSX VPC で作成されたグループのみを選択できます。

このスクリーン キャプチャに示す 3 つのデフォルト E-W ルールの意味を確認しましょう。
  • ルール 1033 では、NSX VPC 内のサブネットからのすべての送信トラフィックが許可されます。NSX VPC 内または VPC 外のワークロードを送信トラフィックの宛先にできます。このデフォルト ルールは、必要に応じて変更できます。
  • ルール 1034 では、すべての DHCP トラフィックが許可されます。このデフォルト ルールは、必要に応じて変更できます。
  • ルール 1035 は、前の 2 つのルールに一致しないすべてのトラフィックをドロップします。このルールは、NSX VPC へのすべての受信トラフィックがデフォルトでドロップされることを暗黙的に意味します。このデフォルト ルールのルール アクションのみを変更できます。このルール内の他のすべてのフィールドは編集できません。

NSX VPC のデフォルトの North-South ファイアウォール ルール

プロジェクトに追加された NSX VPC ごとに、デフォルトの N-S ファイアウォール ポリシーが NSX VPC に作成されます。たとえば、次のスクリーン キャプチャは、NSX VPC のデフォルトの N-S ポリシーを示しています。1 つのファイアウォール ルールのみが含まれます。


スクリーン キャプチャは、周囲のテキストで説明されています。

ファイアウォール ルールは、VPC N-S ファイアウォールを通過するすべてのトラフィックをデフォルトで許可します。このデフォルト ルールのルール アクションのみを変更できます。このルール内の他のすべてのフィールドは編集できません。ただし、カスタム N-S ファイアウォール ルールを追加して、セキュリティ要件に応じて受信トラフィックまたは送信トラフィックを制限できます。

NSX VPC 内の通信

デフォルトでは、NSX VPC 内のワークロード間の East-West トラフィックが許可されます。

たとえば、次の図は、NSX VPC 内の 3 台のワークロード仮想マシンを示しています。デフォルトでは、パブリック サブネット上の VM 1 は、プライベート サブネット上の VM 2 といずれかの方向で通信できます。

デフォルトでは、隔離されたサブネット上の仮想マシンは、プライベート サブネットまたはパブリック サブネット上の仮想マシンと通信できません。ただし、この図では、プライベート サブネット上の VM 2 も隔離されたサブネットに接続されています。したがって、プライベート サブネット上の VM 2 は、隔離されたサブネット上の VM 3 といずれかの方向で通信できます。


図の内容は、周囲のテキストで説明されています。

NSX VPC からの出力方向通信

このトピックで前述したように、デフォルトでは、NSX VPC からの送信トラフィックはすべて許可されます。

パブリック サブネットに接続されているワークロードは、NSX VPC[N-S サービス] オプションがオンになっているかオフになっているかにかかわらず、NSX VPC の外部でパケットを送信できます。パブリック サブネット上のワークロードには、NSX VPC の外部 IPv4 ブロックから IP アドレスが割り当てられます。外部 IP アドレスには、NSX VPC の外部からアクセスできます。

プライベート サブネットに接続されているワークロードは、次の条件が満たされた場合にのみ、NSX VPC の外部でパケットを送信できます。

  • NSX VPC[N-S サービス] オプションがオンになっている。
  • NSX VPC[デフォルトの送信 NAT] オプションがオンになっている。

[デフォルトの送信 NAT] オプションをオンにすると、NSX VPC のデフォルトの SNAT ルールが作成され、プライベート サブネット上のワークロードからのトラフィックが NSX VPC の外部でルーティングできるようにします。同様に、このオプションをオフにした場合、デフォルトの SNAT ルールは作成されず、プライベート サブネットからのトラフィックは NSX VPC の外部でルーティングできません。

たとえば、次の図は、[デフォルトの送信 NAT] がオフになっている NSX VPC を示しています。パブリック サブネット上の VM 1 からのトラフィックは、NSX VPC 外のユーザー 1.1.1.1 に直接到達できます。ただし、プライベート サブネット上の VM 2 からの出力方向トラフィックはブロックされます。


図の内容は、周囲のテキストで説明されています。

次の図は、[デフォルトの送信 NAT] オプションがオンになっている NSX VPC を示しています。この場合、システムは VPC の N-S ファイアウォールにデフォルトの SNAT ルールを自動的に構成します。プライベート サブネット上の VM 2 の IP アドレスは、外部 IPv4 ブロックからシステムによって割り当てられる外部 IP アドレスに変換されます。プライベート サブネット上の VM 2 は、NSX VPC 外のユーザー 1.1.1.1 にトラフィックを送信できるようになりました。パブリック サブネット上の VM 1 は、VPC N-S ファイアウォールの NAT を経由せずに、NSX VPC の外部に引き続きトラフィックを送信できます。


図の内容は、周囲のテキストで説明されています。

NSX VPC への入力方向通信

このトピックで前述したように、デフォルトの E-W ルール(ルール 1035)は、NSX VPC へのすべての受信トラフィックをドロップします。

NSX VPC への受信トラフィックは、次のいずれかのトラフィックである可能性があります。
  • 同じプロジェクトまたは別のプロジェクトにある他の NSX VPC で実行されているワークロードからのトラフィック。
  • データセンター内の任意のネットワークで実行されているワークロードからのトラフィック。
  • インターネットからのトラフィック。

たとえば、次の図は、Tier-0/VRF ゲートウェイに接続されているユーザー 1.1.1.1 からのトラフィックが、パブリック サブネット上の VM 1 とプライベート サブネット上の VM 2 に到達することがブロックされていることを示しています。


図の内容は、周囲のテキストで説明されています。

NSX VPC 外からの受信トラフィックがパブリック サブネットのワークロードに到達できるようにするには、カスタム E-W ファイアウォール ポリシーを追加するか、NSX VPC のデフォルトのファイアウォール ポリシーで E-W ルールを変更する必要があります。デフォルトでは、NSX VPC のデフォルトの N-S ルールでは、VPC N-S ファイアウォールを介するすべてのトラフィックが許可されます。

注: セキュリティ要件に応じて、受信トラフィックを特定のポートのみに制限するために、VPC ユーザーが NSX VPC にカスタム N-S ファイアウォール ルールを追加することをお勧めします。

NSX VPC 外からの受信トラフィックがプライベート サブネットのワークロードに到達できるようにするには、次の手順を実行します。

  1. NSX VPC[N-S サービス] オプションがオンになっていることを確認します。
  2. NSX VPC に再帰アクションまたは DNAT アクションを含む NAT ルールを追加します。

    NAT ルールで、外部 IPv4 ブロックから有効な IPv4 アドレスを割り当てて、プライベート サブネット上の仮想マシン IP アドレスをこの外部 IPv4 アドレスにマッピングできるようにします。たとえば、再帰アクションを使用して NAT ルールを作成している場合は、ルール定義の [変換された IP] テキスト ボックスに外部 IPv4 アドレスを指定します。IPv4 アドレスは、NSX VPC の外部 IPv4 ブロックに属していて、割り当てに使用できる必要があります。そうでない場合は、エラー メッセージが表示されます。現在、[変換された IP] テキスト ボックスでは、1 つの IPv4 アドレスのみがサポートされています。CIDR ブロックはサポートされていません。

    この手順を実行して、プライベート サブネットに接続されている各ワークロード仮想マシンの入力方向トラフィックを有効にします。たとえば、4 台のワークロード仮想マシンがプライベート サブネットに接続されている場合は、4 つの個別の NAT ルールを作成します。

  3. カスタム E-W ファイアウォール ポリシーを追加するか、NSX VPC のデフォルトのファイアウォール ポリシーで E-W ルールを変更して、トラフィックがプライベート サブネット上のワークロードに到達できるようにします。

これらの手順を完了すると、プライベート サブネットのワークロードですべての受信トラフィックが許可されます。前のサブセクションで説明したように、セキュリティ要件に応じて受信トラフィックを特定のポートに制限するために、VPC ユーザーが NSX VPC にカスタム N-S ファイアウォール ルールを追加することをお勧めします。

たとえば、次の図は、Tier-0/VRF ゲートウェイに接続されているユーザー 1.1.1.1 からのトラフィックが VPC N-S ファイアウォールの NAT を通過し、プライベート サブネット上の VM 2 に到達することを示しています。

この例では、NAT ルールの構成は次のとおりです。

  • 送信元 IP アドレス:10.5.0.5(VM 2 のプライベート IP アドレス)
  • 変換された IP アドレス:5.5.100.100(VM 2 に割り当てられている外部 IPv4 アドレス ブロックからの IP アドレス)
  • アクション:再帰

図の内容は、周囲のテキストで説明されています。