NSX Manager で、Native Cloud 強制モード 内のワークロード仮想マシンにセキュリティ ポリシーを構成できます。

NSX 3.0 以降では、異なるアカウントまたはサブスクリプションの VPC/Vnet にセキュリティ ポリシーとルールを作成できます。
注: 分散ファイアウォール ルールは、仮想マシンに割り当てられたタグによって異なります。これらのタグは、適切なパブリック クラウド権限を持つユーザーであれば、誰でも変更することができます。このため、 NSX では、このようなユーザーが信頼でき、仮想マシンに常に正しいタグが設定されていることをパブリック クラウドのネットワーク管理者が確認していることを前提としています。

前提条件

Native Cloud 強制モード に中継またはコンピュート VPC/VNet があることを確認します。

手順

  1. NSX Manager で、ワークロード仮想マシンのグループを編集または作成します。たとえば、web、app、db で始まる仮想マシンを使用して 3 つのグループを作成します。手順については、グループの追加を参照してください。また、パブリック クラウド タグを使用してワークロード仮想マシンのグループを作成する方法については、NSX とパブリック クラウド タグを使用した仮想マシンのグループ化を参照してください。

    基準に一致するワークロード仮想マシンがグループに追加されます。グループ基準に一致しない仮想マシンは、default セキュリティ グループ(AWS の場合)または default-vnet-<vnet-ID>-sg ネットワーク セキュリティ グループ(Microsoft Azure の場合)に配置されます。

    注: NSX Cloud によって自動作成されたグループは使用できません。
  2. NSX Manager で、[送信元][宛先] または [適用先] フィールドを使用して、グループを含む分散ファイアウォール (DFW) ルールを作成します。手順については、分散ファイアウォールの追加を参照してください。
    注: パブリック クラウド ワークロード仮想マシンでは、ステートフル ポリシーのみがサポートされます。 NSX Manager でステートレス ポリシーを作成できますが、パブリック クラウド ワークロード仮想マシンが含まれているグループとは一致しません。

    L7 コンテキスト プロファイルは、Native Cloud 強制モード 内のワークロード仮想マシンの DFW ルールでサポートされていません。

  3. CSM で、NSX 管理にする仮想マシンをユーザー管理リストから削除します。手順については、ユーザー管理 リストの使用方法を参照してください。
    注: ユーザー管理リストへの仮想マシンの追加は、 CSM にパブリック クラウド インベントリを追加する際の Day-0 のワークフローで強く推奨される手動プロセスです。ユーザー管理リストに仮想マシンを追加していない場合は、リストから仮想マシンを削除する必要はありません。
  4. パブリック クラウドで一致を検出するグループと DFW ルールの場合、次の処理が自動的に行われます。
    1. AWS で、NSX Cloudnsx-<NSX GUID> という名前の新しいセキュリティ グループを作成します。
    2. Microsoft Azure で、NSX CloudNSX Manager で作成されたグループに対応するアプリケーション セキュリティ グループ (ASG) と、グループ化されたワークロード仮想マシンと一致する DFW ルールに対応するネットワーク セキュリティ グループ (NSG) を作成します。
      NSX Cloud は、 NSX Manager およびパブリック クラウド グループと DFW ルールを 30 秒ごとに同期します。
  5. CSM で、パブリック クラウド アカウントを再同期します。
    1. CSM にログインし、パブリック クラウド アカウントに移動します。
    2. パブリック クラウド アカウントから、[アクション] > [アカウントの再同期] の順にクリックします。再同期が完了するまで待ちます。
    3. VPC/VNet に移動し、赤色の [エラー] インジケータをクリックします。インスタンス ビューに移動します。
    4. グリッド表示の場合はビューを詳細に切り替え、ルールの認識列で [失敗] をクリックすると、エラーが表示されます(存在する場合)。

次のタスク

現在の制限事項と一般的なエラーを参照してください。