NSX プロジェクトが正常に認識されると、システムはデフォルト ゲートウェイ ファイアウォール ルールおよび分散ファイアウォール ルールを作成して、NSX プロジェクト内のワークロードの North-South トラフィックと East-West トラフィックのデフォルト動作を制御します。
概要
プロジェクト内のファイアウォール ルールは、プロジェクト内の仮想マシンにのみ適用されます。つまり、プロジェクト内のセグメントに接続されている仮想マシンです。プロジェクト内のファイアウォール ルールは、プロジェクト外のワークロードには影響しません。
次のサブセクションでは、「ベース ライセンス」という用語は、次の 2 つのライセンスのいずれかを意味します。
- VMware Cloud Foundation の NSX ネットワーク
- VCF のソリューション ライセンス
- 分散ファイアウォール
-
ベース ライセンスは、NSX ネットワーク機能を使用する資格のみをシステムに付与します。分散ファイアウォールのセキュリティ機能を構成することはできません。NSX プロジェクトで分散ファイアウォール ルールを追加または編集するには、適切なセキュリティ ライセンスをシステムに適用する必要があります。
セキュリティ ライセンスが適用されていない場合、システムが作成したデフォルトの分散ファイアウォール ルールはプロジェクトで有効になりません。デフォルトのファイアウォール ルールはプロジェクトに存在しますが、プロジェクトでは無効になっています。デフォルトのファイアウォール ルールは編集できず、プロジェクトで有効にすることもできません。
- ゲートウェイ ファイアウォール
-
ベース ライセンスは、プロジェクト内のステートレス ゲートウェイ ファイアウォール ルールのみを追加または編集する資格をシステムに付与します。プロジェクトでステートフル ゲートウェイ ファイアウォール ルールとステートレス ゲートウェイ ファイアウォール ルールを追加または編集するには、適切なセキュリティ ライセンスをシステムに適用する必要があります。
プロジェクトのデフォルト ゲートウェイ ファイアウォール ポリシーはステートフル ポリシーです。セキュリティ ライセンスがシステムに適用されていない場合は、ステートフル ゲートウェイ ファイアウォール ルールのルール アクションのみを編集できます。デフォルト ルールでは、その他の編集は許可されません。デフォルト ゲートウェイ ファイアウォール ポリシーの状態をステートフルからステートレスに変更することはできません。
プロジェクトのデフォルトの DFW ルール
デフォルトの分散ファイアウォール (DFW) ポリシーは、アプリケーション ファイアウォール カテゴリのポリシー リストの下部に表示されます。デフォルト ポリシーは、他のルールが見つからない場合のプロジェクト内の仮想マシンの動作を定義します。
プロジェクトのデフォルト DFW ポリシーには、次の命名規則が使用されます。
PROJECT-<Project_Name>-Default Layer 3 sectionProject_Name は、システム内の実際の値に置き換えられます。
たとえば、次のスクリーン キャプチャは、プロジェクトのデフォルト DFW ポリシー ルールを示しています。
このスクリーン キャプチャのように、デフォルト ポリシーは DFW に適用されます。また、このポリシーには次のファイアウォール ルールが含まれています。
- ルール 1002 は、IPv6-ICMP トラフィックを許可します。
- ルール 1003 は、DHCPv4 クライアントとサーバとの通信を許可します。
- ルール 1004 は、DHCPv6 クライアントとサーバとの通信を許可します。(NSX 4.1.1 で導入)
- ルール 1005 は、プロジェクト内のワークロード仮想マシン間の通信を許可します。
- ルール 1006 は、上記のルールのいずれにも一致しない他のすべての通信をドロップします。
デフォルトの DFW ポリシーを使用すると、プロジェクト内の仮想マシンは、DHCP サーバを含む同じプロジェクト内の他の仮想マシンにのみアクセスできます。プロジェクト外の仮想マシンとの通信はブロックされます。デフォルトでは、プロジェクト内のセグメントに接続されている仮想マシンはデフォルト ゲートウェイに ping を送信できません。このような通信が必要な場合は、新しいルールを追加するか、デフォルトの DFW ポリシーの既存のルールを変更する必要があります。
プロジェクトでユーザーが作成した DFW ルール
- デフォルト領域の DFW ルール(最も高い優先順位)
- プロジェクト内の DFW ルール
- プロジェクト内の NSX VPC の E-W ファイアウォール ルール(最も低い優先順位)
デフォルト領域の DFW ルールは、プロジェクトに拡張できます。
たとえば、ルールをプロジェクトのデフォルト グループ (PROJECT-<Project_Name>-default) に適用するように選択できます。プロジェクトのデフォルト グループには、プロジェクトのワークロード仮想マシンのみが含まれます。
- プロジェクトで作成されたグループ。
- プロジェクトと共有されるグループ。
プロジェクトと共有されるグループは、ファイアウォール ルールの [送信元] または [宛先] フィールドでのみ使用できます。ファイアウォール ルールの [適用先] フィールドでは使用できません。
NSX VPC がプロジェクトに追加されている場合、システムが NSX VPC に作成したデフォルト グループは、プロジェクト ファイアウォール ルールの [送信元]、[宛先]、および [適用先] フィールドで使用できます。ただし、NSX VPC 内のユーザーが作成したグループは、プロジェクトのファイアウォール ルールでは使用できません。
プロジェクトでの DFW ポリシーの追加
プロジェクトに DFW ポリシーを追加するためのユーザー インターフェイス ワークフローは、NSX 環境の [デフォルト] ビュー(デフォルト領域)にポリシーを追加するための現在のワークフローと同じです。
唯一の違いは、最初にユーザー インターフェイスで上部のアプリケーション バーのプロジェクト スイッチャ ドロップダウン メニューからプロジェクトを選択してから、
の順に移動して、選択したプロジェクトに DFW ポリシーを追加する必要がある点です。プロジェクトのデフォルト ゲートウェイ ファイアウォール ルール
プロジェクトのデフォルト ゲートウェイ ファイアウォール ポリシーは、次の画面キャプチャに示すように、単一のファイアウォール ルールを含むステートフル ポリシーです。
デフォルト ルールは、プロジェクト ゲートウェイ ファイアウォールを通過するすべてのトラフィックをデフォルトで許可します。このデフォルト ルールのルール アクションのみを変更できます。このルール内の他のすべてのフィールドは編集できません。
このドキュメントの「概要」セクションで前述したように、ベース ライセンスは、プロジェクト内のステートレス ゲートウェイ ファイアウォール ルールのみを追加または編集する資格をシステムに付与します。プロジェクトでステートフル ゲートウェイ ファイアウォール ルールとステートレス ゲートウェイ ファイアウォール ルールの両方を追加または編集するには、適切なセキュリティ ライセンスをシステムに適用する必要があります。
プロジェクトでのゲートウェイ ファイアウォール ポリシーの追加
プロジェクトにゲートウェイ ファイアウォール ポリシーを追加するためのユーザー インターフェイス ワークフローは、NSX 環境の [デフォルト] ビュー(デフォルト領域)にゲートウェイ ファイアウォール ポリシーを追加するための現在のワークフローと同じです。
唯一の違いは、最初にユーザー インターフェイスで上部のアプリケーション バーのプロジェクト スイッチャ ドロップダウン メニューからプロジェクトを選択してから、
の順に移動して、選択したプロジェクトの Tier-1 ゲートウェイにゲートウェイ ファイアウォール ポリシーを追加する必要がある点です。