nicolas vibert

ゲートウェイ ファイアウォール

この記事は Nicolas Vibert 氏のブログ Edge Firewall の翻訳です。昨年末のアップデートでエッジ ファイアウォールからゲートウェイ ファイアウォールに名称が変更されているため、本記事ではゲートウェイ ファイアウォールに統一しています。翻訳の一覧はこちら

管理ドメインは管理ゲートウェイ [MGW] により保護されます。管理ゲートウェイは、SDDC で稼働する vCenter Server と NSX マネージャーの North-South の接続性を提供するNSX エッジ セキュリティ ゲートウェイです。

SSDDC が作成されると、AWS のパブリック IP アドレスのプールから自動的にインターネット側の IP アドレスが割り当てられます。SDDC 内部の管理論理ネットワークは、デフォルトで 10.0.0.0/16 の CIDR が割り当てられます。SDDC を作成するときに、SDDC に接続する他の環境とのアドレス衝突を防ぐために別のアドレス ブロックを割り当てることもできます。

コンピュート ドメインはコンピュート ゲートウェイ [CGW] によって保護されます。CGW は、SDDC 内で稼働する仮想マシンのための North-South のネットワーク接続性を提供します。VMware Cloud on AWS は、仮想マシンのネットワークのためのデフォルトの論理ネットワークを作成します。追加の論理ネットワークは VMC コンソールにて作成でき、仮想マシンをその論理ネットワークに接続するのは vCenter にて行います。

CGW と MGW はファイアウォール機能を提供します。

CGW and MGW

ゲートウェイ ファイアウォール ルール

デフォルトでは、コンピュートゲートウェイのファイアウォールは全てのアップリンク インターフェースで Deny に設定されています。アップリンク インターフェースには、インターネット、Amazon Direct Connect、Amazon VPC インターフェース、VPN トンネルインターフェースが含まれます。必要に応じて、ワークロードのトラフィックを許可する追加のファイアウォールルールを追加してください。

ファイアウォール ルールは、どのトラフィックを許可するかどうかを、以下の項目を基準に制御します:

  • ソース送信元
  • 宛先
  • サービス (TCP/UDP ポート)
  • アクション (許可、ドロップまたは拒否)
  • ロギング
Edge Firewall FW

管理ゲートウェイでは、デフォルトで全てのインバウンド、アウトバウンドのトラフィックが Deny に設定されています。必要に応じてトラフィックを許可する追加のファイアウォールルールを追加してください。

コンピュート ゲートウェイでは、異なるインターフェースにファイアウォールルールを適用できます。

  • お客様のネイティブ AWS VPC インターフェース
  • Direct Connect インターフェース
  • インターネット インターフェース
  • VPN トンネル インターフェース

ファイアウォールルールの “適用先” にて、ファイアウォールルールを適用できるアップリンクを確認できます:

ファイアウォール ルール インターフェース

関連記事

  1. devbox

    Insight into VMware Photon Controller – devbox 02 …

    はじめにPhoton Controller の Devbox をビ…

  2. Tong-Sai@Naka Island, Thailand

    intellij

    Photon Controller のコードを Intellij IDEA で開く

    昨日 Photon Controller が公開されましたが、Java…

  3. vcenter

    vMotion の歴史 (2) – VirtualCenter 1.0 ~ 2.5

    前回のエントリでは vMotion の歴史を機能を元に振り返りました。…

  4. devbox

    Insight into VMware Photon Controller – devb…

    はじめにこのエントリでは、最新の Photon Controlle…

  5. console

    VMware Remote Console 9.0 was just released

    VMware Remote Console (VMRC) 9.0 が …

  6. network

    L3 VPN

    この記事は Nicolas Vibert 氏のブログ L3 VPN …

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。










  1. vmware

    NSX L2 VPN
  2. powercli

    Onyx for the Web Client
  3. VMConAWS

    VMware Cloud on AWS 概要
  4. Tong-Sai@Naka Island, Thailand

    raid-5/6

    Virtual SAN – RAID-5/6 には Witness …
  5. fusion

    VMware Fusion に vCenter Server Appliance…
PAGE TOP
Translate »