nicolas vibert

ゲートウェイ ファイアウォール

この記事は Nicolas Vibert 氏のブログ Edge Firewall の翻訳です。昨年末のアップデートでエッジ ファイアウォールからゲートウェイ ファイアウォールに名称が変更されているため、本記事ではゲートウェイ ファイアウォールに統一しています。翻訳の一覧はこちら

管理ドメインは管理ゲートウェイ [MGW] により保護されます。管理ゲートウェイは、SDDC で稼働する vCenter Server と NSX マネージャーの North-South の接続性を提供するNSX エッジ セキュリティ ゲートウェイです。

SSDDC が作成されると、AWS のパブリック IP アドレスのプールから自動的にインターネット側の IP アドレスが割り当てられます。SDDC 内部の管理論理ネットワークは、デフォルトで 10.0.0.0/16 の CIDR が割り当てられます。SDDC を作成するときに、SDDC に接続する他の環境とのアドレス衝突を防ぐために別のアドレス ブロックを割り当てることもできます。

コンピュート ドメインはコンピュート ゲートウェイ [CGW] によって保護されます。CGW は、SDDC 内で稼働する仮想マシンのための North-South のネットワーク接続性を提供します。VMware Cloud on AWS は、仮想マシンのネットワークのためのデフォルトの論理ネットワークを作成します。追加の論理ネットワークは VMC コンソールにて作成でき、仮想マシンをその論理ネットワークに接続するのは vCenter にて行います。

CGW と MGW はファイアウォール機能を提供します。

CGW and MGW

ゲートウェイ ファイアウォール ルール

デフォルトでは、コンピュートゲートウェイのファイアウォールは全てのアップリンク インターフェースで Deny に設定されています。アップリンク インターフェースには、インターネット、Amazon Direct Connect、Amazon VPC インターフェース、VPN トンネルインターフェースが含まれます。必要に応じて、ワークロードのトラフィックを許可する追加のファイアウォールルールを追加してください。

ファイアウォール ルールは、どのトラフィックを許可するかどうかを、以下の項目を基準に制御します:

  • ソース送信元
  • 宛先
  • サービス (TCP/UDP ポート)
  • アクション (許可、ドロップまたは拒否)
  • ロギング
Edge Firewall FW

管理ゲートウェイでは、デフォルトで全てのインバウンド、アウトバウンドのトラフィックが Deny に設定されています。必要に応じてトラフィックを許可する追加のファイアウォールルールを追加してください。

コンピュート ゲートウェイでは、異なるインターフェースにファイアウォールルールを適用できます。

  • お客様のネイティブ AWS VPC インターフェース
  • Direct Connect インターフェース
  • インターネット インターフェース
  • VPN トンネル インターフェース

ファイアウォールルールの “適用先” にて、ファイアウォールルールを適用できるアップリンクを確認できます:

ファイアウォール ルール インターフェース

関連記事

  1. vmware

    VMware から提供されるサービス

    はじめにVMware Cloud on AWS は、AWS のデー…

  2. VMConAWS

    VMware Cloud on AWS 概要

    はじめにVMware Cloud on AWS は 2016 年に…

  3. powercli

    PowerShell スクリプト コマンドレットのパラメータに補完機能を

    まとめスクリプト コマンドレット パラメーターの補完は極めて便利…

  4. vmware

    VMware Workstation の VM をホストと同時に起動する

    はじめに手元の Windows 10 で Opengrok を動か…

  5. vmware

    NSX L2 VPN

    この記事は Nicolas Vibert 氏のブログ NSX L2 …

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。










  1. vagrant

    Vagrantfile で Linked Clone をデフォルトにする
  2. vsphere

    ESXi の ポート 902 について
  3. console

    VMware Remote Console 9.0 was just relea…
  4. nested esxi

    検証用 Nested ESXi の構成を考える
  5. nicolas vibert

    NAT on VMware Cloud on AWS Deep Dive
PAGE TOP
Translate »