ネットワーク イントロスペクションのために East-West トラフィックをリダイレクトするルールを追加します。
ルールはポリシーで定義されます。概念としてのポリシーは、ファイアウォールのセクションの概念と似ています。ポリシーを追加するときに、サービス チェーンのサービス プロファイルでイントロスペクションのトラフィックをリダイレクトするサービス チェーンを選択します。
ルールの定義は、トラフィックの送信元と宛先、イントロスペクション サービス、ルールを適用する NSX オブジェクト、およびトラフィックのリダイレクト ポリシーで構成されます。ルールを公開した後に一致するトラフィック パターンが見つかると、NSX Manager はルールをトリガします。このルールによって、トラフィックのイントロスペクションが開始されます。たとえば、イントロスペクションを行う必要があるトラフィック フローを分類するときに、NSX Manager は通常の分散ファイアウォールにトラフィックを転送してからポリシー内で指定されたサービス チェーンに転送されます。サービス チェーン内で定義されたサービス プロファイルは、パートナーが提供するネットワーク サービスのトラフィックにイントロスペクションを実行します。サービス プロファイルによるイントロスペクションが完了しても、トラフィック内にセキュリティ上の問題が検出されなかった場合、トラフィックはサービス チェーン内の次のサービス プロファイルに転送されます。サービス チェーンの終わりに達すると、トラフィックは宛先に転送されます。
すべての通知は、パートナーの Service Manager および NSX に送信されます。
注: デフォルトでは、East-West サービスが構成されていない場合でもルールが存在します。このデフォルト ルールは適用されず、無効になっています。
NSX に East-West サービスを展開した後、最初のルールを作成して適用する必要があります。
前提条件
サービス チェーンを使用して East-West トラフィックをリダイレクトし、ネットワーク イントロスペクションを行うことができること
手順
- 管理者権限で NSX Manager にログインします。
- NSX Manager が [ポリシー] モードになっていることを確認します。
- を選択します。
ポリシー セクションは、トラフィック フローの仕組みを決定するルールが定義されるファイアウォール セクションと似ています。
- サービス チェーンを選択します。
- ポリシーを追加するには、[公開] をクリックします。
- セクションにある縦方向の省略記号 をクリックして、[ルールの追加] をクリックします。
- [送信元] 列で、編集アイコンをクリックし、ルールのソースを選択します。詳細については「グループの追加」を参照してください。
IPv4、IPv6、マルチキャスト アドレスがサポートされています。
- [保存] をクリックします。
- [宛先] 列で、編集アイコンをクリックし、ルールの宛先を選択します。定義しない場合、宛先はすべてに一致します。詳細については「グループの追加」を参照してください。
IPv4、IPv6、マルチキャスト アドレスがサポートされています。
- デフォルトで、[適用先] の列は分散ファイアウォールに設定されており、ルールはすべてのワークロードに適用されます。また、選択したグループにルールまたはポリシーを適用することもできます。[適用先] は、ルールあたりの適用範囲を定義します。また、ESXi ホストのリソースの最適化に主に使用されます。特定のゾーンとテナントのターゲットとなるポリシーを定義するのに役立ち、その他のテナントとゾーンに定義されている他のポリシーに干渉することもありません。
IP アドレス、MAC アドレス、または Active Directory グループのみで構成されるグループは、[適用先] テキスト ボックスで使用できません。
- サービス チェーンに沿ってトラフィックをリダイレクトするには、[アクション] テキスト ボックスで [リダイレクト] を選択します。トラフィックにネットワーク イントロスペクションを適用しない場合は、[リダイレクトしない] を選択します。
- [公開] をクリックします。
- ポリシーを追加するには、[+ ポリシーの追加] をクリックします。
- ポリシーまたはルールのクローンを作成するには、ポリシーまたはルールを選択して、[クローン作成] をクリックします。
- ルールを有効にするには、[有効]/[無効] アイコンを有効にするか、ルールを選択して、メニューから [有効] > [ルールの有効化] の順にクリックします。
- ルールを有効または無効にしたら、[公開] をクリックしてルールを適用します。
結果
送信元に送信されるトラフィックはサービス チェーンにリダイレクトされ、ネットワーク イントロスペクションが行われます。チェーン内のサービス プロファイルによってトラフィックのイントロスペクションが行われた後、トラフィックは宛先に送信されます。
展開中に、特定のポリシーの仮想マシン グループ メンバーシップが変更されることがあります。NSX からパートナーの Service Manager にこれらの更新について通知されます。