nicolas vibert

ゲートウェイ ファイアウォール

この記事は Nicolas Vibert 氏のブログ Edge Firewall の翻訳です。昨年末のアップデートでエッジ ファイアウォールからゲートウェイ ファイアウォールに名称が変更されているため、本記事ではゲートウェイ ファイアウォールに統一しています。翻訳の一覧はこちら

管理ドメインは管理ゲートウェイ [MGW] により保護されます。管理ゲートウェイは、SDDC で稼働する vCenter Server と NSX マネージャーの North-South の接続性を提供するNSX エッジ セキュリティ ゲートウェイです。

SSDDC が作成されると、AWS のパブリック IP アドレスのプールから自動的にインターネット側の IP アドレスが割り当てられます。SDDC 内部の管理論理ネットワークは、デフォルトで 10.0.0.0/16 の CIDR が割り当てられます。SDDC を作成するときに、SDDC に接続する他の環境とのアドレス衝突を防ぐために別のアドレス ブロックを割り当てることもできます。

コンピュート ドメインはコンピュート ゲートウェイ [CGW] によって保護されます。CGW は、SDDC 内で稼働する仮想マシンのための North-South のネットワーク接続性を提供します。VMware Cloud on AWS は、仮想マシンのネットワークのためのデフォルトの論理ネットワークを作成します。追加の論理ネットワークは VMC コンソールにて作成でき、仮想マシンをその論理ネットワークに接続するのは vCenter にて行います。

CGW と MGW はファイアウォール機能を提供します。

CGW and MGW

ゲートウェイ ファイアウォール ルール

デフォルトでは、コンピュートゲートウェイのファイアウォールは全てのアップリンク インターフェースで Deny に設定されています。アップリンク インターフェースには、インターネット、Amazon Direct Connect、Amazon VPC インターフェース、VPN トンネルインターフェースが含まれます。必要に応じて、ワークロードのトラフィックを許可する追加のファイアウォールルールを追加してください。

ファイアウォール ルールは、どのトラフィックを許可するかどうかを、以下の項目を基準に制御します:

  • ソース送信元
  • 宛先
  • サービス (TCP/UDP ポート)
  • アクション (許可、ドロップまたは拒否)
  • ロギング
Edge Firewall FW

管理ゲートウェイでは、デフォルトで全てのインバウンド、アウトバウンドのトラフィックが Deny に設定されています。必要に応じてトラフィックを許可する追加のファイアウォールルールを追加してください。

コンピュート ゲートウェイでは、異なるインターフェースにファイアウォールルールを適用できます。

  • お客様のネイティブ AWS VPC インターフェース
  • Direct Connect インターフェース
  • インターネット インターフェース
  • VPN トンネル インターフェース

ファイアウォールルールの “適用先” にて、ファイアウォールルールを適用できるアップリンクを確認できます:

ファイアウォール ルール インターフェース

関連記事

  1. netapp

    Setting up VMware Virtual Volumes with NetApp VASA…

    はじめにvSphere 6 で追加されたストレージの新機能の一つに…

  2. vcenter

    vCenter Server 6.5 に対して IE11 で 4GB 以上の OVF/OVA をデプ…

    先日、無事 vSphere 6.5 がリリースされました。Clie…

  3. Tong-Sai@Naka Island, Thailand

    powercli

    vSphere PowerCLI のビルド番号やバージョンを確認する

    現在の PowerCLI のバージョンを確認するコマンドレット。P…

  4. vcenter

    vMotion の歴史 (1) – 概要

    vmworld 2015 US の中でも感慨深いセッションがあったので…

  5. vmware

    PowerPoint for Mac の無限 AutoRecovery を止める

    まとめPowerPoint for Mac (16.17 (…

  6. vmware

    L1TF 情報 – VMware

    CVE numbersCVE-2018-3646 - L1 …

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。










  1. storage

    Virutal SAN – 重複排除と圧縮
  2. quadstor

    How to set IP address to listen for QUAD…
  3. VMConAWS

    ベアメタル インスタンスにインストールされた vSphere ESXi
  4. VMConAWS

    VMware Cloud on AWS – SDDC Version…
  5. angularjs

    Pro AngularJS の Getting Ready の node スクリ…
PAGE TOP
Translate »