DX仮想クラウド基盤のワンポイントアドバイス ー 分散ファイアウォールの設定方法 ー

皆さま、こんにちは。
VMware担当の田畑です。

本コラムでは前回に引き続き、『DX仮想クラウド基盤』サービスをより快適に使用するためのポイントや操作方法についてご紹介いたします。
今回ご紹介するのは「分散ファイアウォール」の使い方になります。

※本コラム内にて紹介時に用いた画面キャプチャに関しまして、最新バージョンとUIが異なる可能性がございます。

分散ファイアウォールとは?

仮想マシン単位にてファイアウォールを適用できる機能になります。
ESXiにNSX-Tのカーネルモジュールをインストールすることによって、各仮想マシンの仮想NICと仮想スイッチの間にファイアウォールが組み込まれる形となり、仮想マシンが通信を行う際に必ずファイアウォールを通ることでセキュリティを高めることができます。

DX仮想クラウド基盤では、分散ファイアウォールを標準実装しておりますので、ファイアウォールのルールを定義するだけで利用することができます。

分散ファイアウォールのルール設定方法

DX仮想クラウド基盤にて分散ファイアウォールのルール設定の手順を簡単にご紹介いたします。
テナントへアクセスした後に、ネットワーク→データセンターグループ→分散ファイアウォールへと移動し、ルールの編集をクリックすることで、新たなルール設定を定義することができます。

入力項目は非常にシンプルで、任意のルール名を入力し、“アプリケーション(サービス)”、“ソース(送信元)”、“ターゲット(送信先)”、“アクション”を選択することによって設定が可能です。
ルールを作成する上で、“ソース”及び“ターゲット”の定義にはいくつかの種類がございます。

※“コンテキスト”はDX仮想クラウド基盤では未対応となります。
※デフォルトで全て許可のルールが適用されています。

“ソース”及び“ターゲット”の定義について

“ソース”及び“ターゲット”の定義にはデータセンターグループ→セキュリティ内の「固定グループ」、「IPセット」、「動的グループ」の3種類がございます。

◆固定グループの定義方法

固定グループでは、組織VDCネットワークをメンバーに追加することができます。
メンバーに追加した組織VDCネットワークに接続されている仮想マシンが固定グループに属する形になります。

セキュリティ→固定グループの「新規」から、固定グループの名前を入力し、保存をクリックします。

対象のグループにチェックを入れ、「メンバーの管理」をクリックします。

グループに追加する組織VDCネットワークを選択します。

メンバー追加後、「関連付けられた仮想マシン」をクリックすると、固定グループに属している仮想マシンの確認ができます。

◆IPセットの定義方法

IPセットでは、IPアドレスまたはアドレスの範囲をCIDR形式等で指定することで定義できます。

IPセットの名前を入力し、指定したいIPアドレス、範囲を追加します。

◆動的グループの定義方法

動的グループを新規で作成する際に、そのグループに含める「基準」を作成する必要があります。
さらに基準を作成するには、「仮想マシン名」または「仮想マシンタグ」に紐づく「ルール」を追加する必要があります。

「ルール」内の仮想マシン名と仮想マシンタグの違いは下記になります。

仮想マシンタグにて動的グループを作成する際は、事前にタグを作成しておく必要がございます。
ネットワーク→セキュリティタグから、「タグの追加」をクリックし、タグ名の入力とタグに含める仮想マシンを選択するのみで作成が可能です。

「固定グループ」は組織VDCネットワーク単位でファイアウォールを定義する際に利用します。
「IPセット」は、IPアドレス単位になりますが、仮想マシン単体や、細かい範囲でファイアウォールを定義する際に利用できますが、
DHCPの利用がメインの場合には注意が必要になります。
最後に説明した「動的グループ」はタグを用いることによって、仮想マシン単位でファイアウォールを定義することができます。
また、グループの編集ではなく、タグの編集から仮想マシンの追加、削除を実施することができます。

今回のコラムは以上になります。
DX仮想クラウド基盤についてご興味のあるお客様は弊社営業までお気軽にお問い合わせください。

VMwareの記事




※閲覧にはiDATEN(韋駄天)へのログインが必要です。