nicolas vibert

ゲートウェイ ファイアウォール

この記事は Nicolas Vibert 氏のブログ Edge Firewall の翻訳です。昨年末のアップデートでエッジ ファイアウォールからゲートウェイ ファイアウォールに名称が変更されているため、本記事ではゲートウェイ ファイアウォールに統一しています。翻訳の一覧はこちら

管理ドメインは管理ゲートウェイ [MGW] により保護されます。管理ゲートウェイは、SDDC で稼働する vCenter Server と NSX マネージャーの North-South の接続性を提供するNSX エッジ セキュリティ ゲートウェイです。

SSDDC が作成されると、AWS のパブリック IP アドレスのプールから自動的にインターネット側の IP アドレスが割り当てられます。SDDC 内部の管理論理ネットワークは、デフォルトで 10.0.0.0/16 の CIDR が割り当てられます。SDDC を作成するときに、SDDC に接続する他の環境とのアドレス衝突を防ぐために別のアドレス ブロックを割り当てることもできます。

コンピュート ドメインはコンピュート ゲートウェイ [CGW] によって保護されます。CGW は、SDDC 内で稼働する仮想マシンのための North-South のネットワーク接続性を提供します。VMware Cloud on AWS は、仮想マシンのネットワークのためのデフォルトの論理ネットワークを作成します。追加の論理ネットワークは VMC コンソールにて作成でき、仮想マシンをその論理ネットワークに接続するのは vCenter にて行います。

CGW と MGW はファイアウォール機能を提供します。

CGW and MGW

ゲートウェイ ファイアウォール ルール

デフォルトでは、コンピュートゲートウェイのファイアウォールは全てのアップリンク インターフェースで Deny に設定されています。アップリンク インターフェースには、インターネット、Amazon Direct Connect、Amazon VPC インターフェース、VPN トンネルインターフェースが含まれます。必要に応じて、ワークロードのトラフィックを許可する追加のファイアウォールルールを追加してください。

ファイアウォール ルールは、どのトラフィックを許可するかどうかを、以下の項目を基準に制御します:

  • ソース送信元
  • 宛先
  • サービス (TCP/UDP ポート)
  • アクション (許可、ドロップまたは拒否)
  • ロギング
Edge Firewall FW

管理ゲートウェイでは、デフォルトで全てのインバウンド、アウトバウンドのトラフィックが Deny に設定されています。必要に応じてトラフィックを許可する追加のファイアウォールルールを追加してください。

コンピュート ゲートウェイでは、異なるインターフェースにファイアウォールルールを適用できます。

  • お客様のネイティブ AWS VPC インターフェース
  • Direct Connect インターフェース
  • インターネット インターフェース
  • VPN トンネル インターフェース

ファイアウォールルールの “適用先” にて、ファイアウォールルールを適用できるアップリンクを確認できます:

ファイアウォール ルール インターフェース

関連記事

  1. vmotion

    vMotion の歴史 (5) – vCenter Server 5.1 –…

    前回のエントリでは vCenter Server 5.0 までの vM…

  2. netapp

    NetApp Clustered DataONTAP command lines

    はじめにVirtual Volumes の挙動を Nested E…

  3. powercli

    オフラインで VMware PowerCLI 6.5.1 をインストールする

    まとめオフライン環境でも VMware PowerCLI 6.5…

  4. vmware

    PowerPoint for Mac の無限 AutoRecovery を止める

    まとめPowerPoint for Mac (16.17 (…

  5. Tong-Sai@Naka Island, Thailand

    powercli

    vSphere PowerCLI のビルド番号やバージョンを確認する

    現在の PowerCLI のバージョンを確認するコマンドレット。P…

  6. VMConAWS

    VMware Cloud on AWS 概要

    はじめにVMware Cloud on AWS は 2016 年に…

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。










  1. nicolas vibert

    NAT on VMware Cloud on AWS Deep Dive
  2. devbox

    Insight into VMware Photon Controller – …
  3. storage

    Virutal SAN – 重複排除と圧縮
  4. vmotion

    vMotion の歴史 (4) – vCenter Server 5.0
  5. powershell

    PowerShell -Split 演算子で “.” (…
PAGE TOP
Translate »