HCX for VMC - インターネットアクセスに対する HCX Cloud Manager の保護
Article ID: 319779
Updated On:
Products
VMware HCX
VMware Cloud on AWS
VMware Cloud on Dell EMC
Issue/Introduction
Symptoms:
VMware Cloud on AWS もしくは VMware Cloud on Dell EMC の SDDC での HCX デプロイメントにおいて、インターネット接続を使用する場合は Cloud Manager に対するアクセスを制限することが強く推奨されています。ダイレクトコネクトや VPN によるプライベート接続では本質的に安全であることが期待されます。
管理ゲートウェイのファイアウォールを使用して、使用可能な通信プロトコルを制限し、特定の送信元 IP アドレスのセットを構成することで、HCX と SDDC へのセキュリティリスクを最小化することができます。
VMware Cloud on AWS もしくは VMware Cloud on Dell EMC の SDDC での HCX デプロイメントにおいて、インターネット接続を使用する場合は Cloud Manager に対するアクセスを制限することが強く推奨されています。ダイレクトコネクトや VPN によるプライベート接続では本質的に安全であることが期待されます。
管理ゲートウェイのファイアウォールを使用して、使用可能な通信プロトコルを制限し、特定の送信元 IP アドレスのセットを構成することで、HCX と SDDC へのセキュリティリスクを最小化することができます。
Resolution
下記手順で、基本的なファイアウォールのルールが設定できます。:
重要 : サイトペアリングが構成された後にこれらのルールが作成された場合は、ルールが適用された後にも UP 状態が維持されていることを確認し、構成ミスによる影響がないことをご確認ください。
- VMC コンソールで、"ネットワークとセキュリティ"タブに移動します。
- "インベントリ" => "グループ" => "管理グループ"にて、管理ゲートウェイを経由して HCX Cloud Manager への接続が許可された送信元 IP アドレスのリストを含んだユーザー定義グループを追加します。
- リモート接続用とサイトペアリング用に異なるユーザー定義グループを使用することが最適です。
- 元の送信元 IP アドレスが NAT や HTTP プロキシにより変更されている可能性があるため、代わりに外部 IP アドレスを設定する必要があることを考慮ください。ネットワークチーム、もしくは、サービスプロバイダーがその情報を提供してくれます。
- HCX Cloud Manager 用のグループはすでに定義されています。
- クラウド to クラウドのサイトペアリングを許可するには、リモート SDDC からの CGW の SNAT アドレスをリストに含める必要があります。
- "セキュリティ" => "ゲートウェイ ファイアウォール" => "管理ゲートウェイ" タブにて、ファイアウォールのルールが作成できます。
- インバウンドルールと対応するアウトバウンドルールを設定します。
- "HTTPS" 通信のみに限定することを推奨します。
- 各ルールの方向ごとに、必要に応じて "HCX" システム定義グループとユーザー定義グループを選択します。
重要 : サイトペアリングが構成された後にこれらのルールが作成された場合は、ルールが適用された後にも UP 状態が維持されていることを確認し、構成ミスによる影響がないことをご確認ください。
Feedback
Yes
No
Powered by
