ゲートウェイ ファイアウォール

この記事は Nicolas Vibert 氏のブログ Edge Firewall の翻訳です。昨年末のアップデートでエッジ ファイアウォールからゲートウェイ ファイアウォールに名称が変更されているため、本記事ではゲートウェイ ファイアウォールに統一しています。翻訳の一覧はこちら。

管理ドメインは管理ゲートウェイ [MGW] により保護されます。管理ゲートウェイは、SDDC で稼働する vCenter Server と NSX マネージャーの North-South の接続性を提供するNSX エッジ セキュリティ ゲートウェイです。

SSDDC が作成されると、AWS のパブリック IP アドレスのプールから自動的にインターネット側の IP アドレスが割り当てられます。SDDC 内部の管理論理ネットワークは、デフォルトで 10.0.0.0/16 の CIDR が割り当てられます。SDDC を作成するときに、SDDC に接続する他の環境とのアドレス衝突を防ぐために別のアドレス ブロックを割り当てることもできます。

コンピュート ドメインはコンピュート ゲートウェイ [CGW] によって保護されます。CGW は、SDDC 内で稼働する仮想マシンのための North-South のネットワーク接続性を提供します。VMware Cloud on AWS は、仮想マシンのネットワークのためのデフォルトの論理ネットワークを作成します。追加の論理ネットワークは VMC コンソールにて作成でき、仮想マシンをその論理ネットワークに接続するのは vCenter にて行います。

CGW と MGW はファイアウォール機能を提供します。

ゲートウェイ ファイアウォール ルール

デフォルトでは、コンピュートゲートウェイのファイアウォールは全てのアップリンク インターフェースで Deny に設定されています。アップリンク インターフェースには、インターネット、Amazon Direct Connect、Amazon VPC インターフェース、VPN トンネルインターフェースが含まれます。必要に応じて、ワークロードのトラフィックを許可する追加のファイアウォールルールを追加してください。

ファイアウォール ルールは、どのトラフィックを許可するかどうかを、以下の項目を基準に制御します:

• ソース送信元
• 宛先
• サービス （TCP/UDP ポート）
• アクション （許可、ドロップまたは拒否）
• ロギング

管理ゲートウェイでは、デフォルトで全てのインバウンド、アウトバウンドのトラフィックが Deny に設定されています。必要に応じてトラフィックを許可する追加のファイアウォールルールを追加してください。

コンピュート ゲートウェイでは、異なるインターフェースにファイアウォールルールを適用できます。

• お客様のネイティブ AWS VPC インターフェース
• Direct Connect インターフェース
• インターネット インターフェース
• VPN トンネル インターフェース

ファイアウォールルールの “適用先” にて、ファイアウォールルールを適用できるアップリンクを確認できます: