NSX VPC にグループを作成し、ファイアウォール ポリシーで使用して、NSX VPC 内で実行されているワークロードの特定のセキュリティ要件を満たすことができます。
NSX VPC 内のデフォルト グループ
プロジェクトに追加されるすべての NSX VPC に対してデフォルト グループが作成されます。デフォルト グループは、ファイアウォール ルールの範囲を特定の NSX VPC に限定する際に役立ちます。
NSX VPC のデフォルト グループを識別するために、次の命名規則が使用されます。
ORG-default-PROJECT-<Project_Name>-VPC-<VPC_Name>-default
Project_Name と VPC_Name は、システム内の実際の値に置き換えられます。
このデフォルト グループは NSX VPC 自体を表します。このデフォルト グループのメンバーは、NSX VPC サブネットに接続されているサブネット、サブネット ポート、および仮想マシン インターフェイス (VIF) です。仮想マシンがデュアル ホームの場合(たとえば、1 つのインターフェイスが VPC サブネットに接続され、もう 1 つのインターフェイスがデフォルト領域のセグメントに接続されている場合)、セグメント上のこの仮想マシンの VIF は VPC のデフォルト グループのメンバーになりません。
VPC のデフォルト グループを使用する一般的な使用事例は次のとおりです。
プロジェクト管理者またはデフォルト領域のユーザーが、NSX VPC 内のすべての仮想マシンへのトラフィックをブロックすると仮定します。ファイアウォール ポリシーで VPC のデフォルト グループを使用できます。
NSX VPC 内のユーザー作成グループ
- サブネット
- サブネット ポート
- VIF
- 仮想マシン
- グループ
[メンバーの設定] ダイアログ ボックスの [メンバー] タブには、NSX VPC によって所有されているオブジェクトのみが表示されます。NSX VPC と共有されているオブジェクトは、VPC グループのメンバーとして追加できないため、このダイアログ ボックスには表示されません。
- 仮想マシン
- サブネット
- サブネット ポート
仮想マシン タグに基づく動的基準を使用してグループを NSX VPC に追加すると、NSX VPC 内のサブネットに接続されている仮想マシンがグループの有効なメンバーになります。
NSX VPC と共有されるグループは、ファイアウォール ルールの [送信元] または [宛先] フィールドでのみ使用できます。ファイアウォール ルールの [適用先] フィールドでは使用できません。
NSX VPC でのグループの追加
- [プロジェクト] ドロップダウン メニューから、プロジェクトを選択します。
- [VPC] タブをクリックします。
- グループを追加する VPC を展開します。
- [セキュリティ] セクションを展開し、[グループ] の横にあるカウントをクリックします。
[VPC グループの設定] ページが開きます。
- 次に、標準の手順を使用して、NSX VPC にグループを追加します。