VMware Cloud on AWS のネットワークおよびセ …...VMware Cloud on AWS のネットワークおよびセキュリティについて『VMware Cloud on AWS のネットワークおよびセキュリティ』には、VMware

VMware Cloud on AWS のネットワークおよびセキュリティ

2020 年 1 月 07 日

VMware Cloud on AWS

最新の技術ドキュメントは、 VMware の Web サイト（https://docs.vmware.com/jp/）でご確認いただけます。このドキュメ

ントに関するご意見およびご感想は、[email protected] までお送りください。

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

ヴイエムウェア株式会社

105-0013　東京都港区浜松町 1-30-5浜松町スクエア 13Fwww.vmware.com/jp

Copyright ©

2017-2020 VMware, Inc. All rights reserved. 著作権および商標情報。


VMware, Inc. 2

https://docs.vmware.com/jp/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

目次

VMware Cloud on AWS のネットワークおよびセキュリティについて 5

1 NSX-T ネットワークの概念 6NSX-T でサポートされている機能 10

2 NSX-T を使用した VMware Cloud on AWS のネットワークとセキュリティの構成 11組織のメンバーへの NSX サービスロールの割り当て 12

AWS Direct Connect を使用するように VMware Cloud on AWS を構成 13

AWS Direct Connect への接続のセットアップ 14

SDDC の管理およびコンピューティングネットワークトラフィック用のプライベート仮想インターフェイスの

作成 14

AWS サービスにアクセスするためのパブリック仮想インターフェイスの作成 16

Direct Connect を使用するための vMotion インターフェイスの設定 17

SDDC とオンプレミスデータセンターの間の VPN 接続の設定 18

ルートベースの VPN の作成 18

ポリシーベース VPN の作成 22

VPN トンネルのステータスと統計情報の表示 24

IPsec VPN 設定リファレンス 25

管理ゲートウェイのネットワークおよびセキュリティの構成 26

vCenter Server の FQDN 解決アドレスの設定 27

HCX FQDN 解決アドレスの設定 27

管理ゲートウェイのファイアウォールルールの追加または変更 27

コンピューティングゲートウェイのネットワークおよびセキュリティを構成 30

ネットワークセグメントの作成または変更 31

レイヤー 2 VPN および拡張ネットワークセグメントの構成 33

コンピューティングゲートウェイのファイアウォールルールの追加または変更 36

分散ファイアウォールルールの追加または変更 39

DNS サービスの構成 43

コンピューティングゲートウェイの DHCP リレーの設定 45

インベントリグループの操作 45

管理グループの追加 46

コンピューティンググループの追加または変更 46

カスタムサービスの追加 48

仮想マシンインベントリの表示 48

ワークロード接続の管理 49

コンピューティングネットワークセグメントへの仮想マシンの接続またはワークロード仮想マシンの分離

49

パブリック IP アドレスの要求またはリリース 50

VMware, Inc. 3

NAT ルールの作成または変更 51

コンピューティングネットワークと管理ネットワーク間のトラフィックを管理するためのファイアウォールルールの作成 52

3 監視およびトラブルシューティング機能の設定 54IPFIX の設定 54

ポートミラーリングの設定 55

接続されている VPC の情報の表示 56


VMware, Inc. 4

VMware Cloud on AWS のネットワークおよびセキュリティについて

『VMware Cloud on AWS のネットワークおよびセキュリティ』には、VMware Cloud on AWS の NSX-T ネットワ

ークおよびセキュリティの設定に関する情報が記載されています。

対象読者

本書は、VMware Cloud on AWS を使用して、ワークロードをオフプレミスに移行してクラウドで安全に実行する

ためのネットワークおよびセキュリティインフラストラクチャを備えた SDDC を構築する方を対象としています。

本書は、オンプレミス環境で vSphere を使用したことがあり、NSX-T または別のネットワークソリューションを使

用した IP ネットワークの基礎に精通している方を対象としています。vSphere や Amazon Web Services につい

て熟知している必要はありません。

VMware Cloud on AWS での NSX-T ネットワークの使用法に関する詳細な説明については、VMware Press の

eBookVMware Cloud on AWS: NSX Networking and Security を参照してください。

VMware, Inc. 5

https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/products/vmw-cloud-on-aws-networking-and-security.pdf

NSX-T ネットワークの概念 1VMware Cloud on AWS は、NSX-T を使用して内部 SDDC ネットワークを作成および管理し、オンプレミスネッ

トワークインフラストラクチャからの VPN 接続のエンドポイントを提供します。

SDDC への接続オンプレミスデータセンターを VMware Cloud on AWS SDDC に接続する場合、パブリックインターネットを使

用する VPN、AWS Direct Connect を使用する VPN、AWS Direct Connect のみを使用する VPN を作成できます。

図 1-1. オンプレミスデータセンターへの SDDC 接続

172.16.10.0/24

10.10.10.0/24

192.168.10.0/24

172.16.20.0/24

10.10.10.0/24

192.168.10.0/24

172.16.10.0/24

10.10.10.0/24

192.168.10.0/24

172.16.20.0/24

10.10.10.0/24

192.168.10.0/24

L3 VPN

L2 VPN

HCX

BGP（L3 VPN オプション）

L2 VPN

HCX

パブリックインターネット

AWS Direct Connect

L3 VPN/BGP

NSX L2 VPN

HCX

データセンター VMware Cloud on AWS相互接続

レイヤー 3 (L3) VPN レイヤー 3 VPN は、オンプレミスデータセンターを SDDC に接続する管理ネット

ワークを提供します。これらの IPsec VPN は、ルートベースまたはポリシーベース

にすることができます。 IPsec VPN 設定リファレンスにリストされている設定を

サポートする任意のオンプレミスルーターを使用して、タイプごとに最大 16 個の

VPN を作成できます。L3 VPN は、パブリックインターネットまたは AWS Direct Connect 経由でオンプレミスデータセンターを SDDC に接続できます。

レイヤー 2 (L2) VPN Layer 2 VPN は、オンプレミスデータセンターと SDDC にまたがるように拡張ま

たはストレッチされたネットワークに対して単一の IP アドレス空間を提供し、

SDDC へのオンプレミスのワークロードのホットまたはコールド移行を可能にしま

VMware, Inc. 6

す。任意の SDDC に 1 つの L2VPN トンネルのみを作成できます。トンネルのオ

ンプレミスエンドには NSX が必要です。オンプレミスデータセンターでまだ

NSX を使用していない場合は、スタンドアローン NSX Edge アプライアンスをダウ

ンロードして必要な機能を提供できます。L2 VPN は、パブリックインターネット

または AWS Direct Connect 経由でオンプレミスデータセンターを SDDC に接続

できます。

AWS Direct Connect (DX) AWS Direct Connect は、AWS が提供するサービスで、オンプレミスデータセン

ターと AWS サービス間に、高速で遅延の小さい接続を作成できます。AWS Direct Connect を設定すると、VPN は、パブリックインターネット経由でトラフィック

をルーティングする代わりにこれを使用できます。Direct Connect は境界ゲート

ウェイプロトコル (BGP) ルーティングを実装するため、Direct Connect を設定す

るときに、オプションで管理ネットワークに L3VPN を使用できます。Direct Connect 上のトラフィックは暗号化されません。このトラフィックを暗号化する

には、Direct Connect を使用するように L3 VPN を設定します。

VMware HCX マルチクラウドアプリケーションモビリティソリューションの VMware HCX は、すべての SDDC に無償で提供されます。これを利用して、オンプレミスデータ

センターと SDDC 間でワークロード仮想マシンを簡単に移行できます。HCX のイ

ンストール、設定、および使用方法の詳細については、HCX でのハイブリッド移行

のチェックリストを参照してください。

SDDC ネットワークトポロジーSDDC を作成すると、SDDC には管理ネットワークとコンピューティングネットワークが含まれます。管理ネット

ワークの CIDR ブロックは、SDDC の作成時に指定する必要があり、変更できません。管理ネットワークには 2 つの

サブネットがあります。

アプライアンスのサブネッ

ト

SDDC を作成したときに管理サブネット用に指定した CIDR 範囲のサブネット。こ

のサブネットは、SDDC 内の vCenter Server、NSX、および HCX アプライアンス

によって使用されます。SRM などのアプライアンスベースのサービスを SDDC に追加すると、このサブネットにも接続されます。

インフラストラクチャサブ

ネット

SDDC を作成したときに管理サブネット用に指定した CIDR 範囲のサブネット。こ

のサブネットは、SDDC 内の ESXi ホストによって使用されます。

コンピューティングネットワークには、ワークロード仮想マシンに対応する任意の数の論理セグメントが含まれてい

ます。単一ホストによる SDDC スタータ構成では、1 つのルーティングセグメントを持つコンピューティングネッ

トワークを作成します。これよりも多くのホストを含む SDDC 構成では、ニーズを満たすだけのコンピューティング

ネットワークセグメントを作成する必要があります。適用される制限については、VMware Cloud on AWS におけ

る構成の上限を参照してください。

SDDC ネットワークには、次の 2 つの概念的階層があります。

n Tier-0 は、1 つの NSX Edge アプライアンスによって提供されます。


VMware, Inc. 7

https://docs.vmware.com/jp/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws-operations/GUID-DAE9B318-294A-4422-BBF4-82AE9DDFF043.html

https://docs.vmware.com/jp/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws-operations/GUID-DAE9B318-294A-4422-BBF4-82AE9DDFF043.html

https://docs.vmware.com/jp/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws-operations/GUID-10A0804B-04F4-4B8A-9EBA-85169F533223.html


n Tier-1 は、2 つの NSX Edge ファイアウォール（管理ゲートウェイとコンピューティングゲートウェイ）で提

供されます。

図 1-2. SDDC ネットワークトポロジー

インターネット

ユーザープレミス

BGP

BGP

VGWIGW

BGPDirect Connectインターフェイス

VPCインターフェイス

インターネットインターフェイス

リンクされたユーザー VPC

SDDC サブネットメインルートテーブル

xENI

CGW(Tier-1)

MGW（Tier-1）

Tier-0

vCenter Server

分散ルーターデフォルト

ゲートウェイ

ルーティングされたコンピューティングネットワークセグメント

DFW

DFW

ルーティングされたコンピューティングネットワークセグメント

アプライアンスサブネット

HCXMgr/IX/L2C

SRM/vSR

NSX ControllerNSXManager

Edge0/1

インフラストラクチャサブネット

ESXiホスト

DFW

AWSDirect

Connect(DX)

VPN トンネルインターフェイス

NSX Edge アプライアンスオンプレミスネットワークと SDDC ネットワーク間のすべてのトラフィックが、こ

のアプライアンスを通過します。ワークロード仮想マシンへのアクセスを制御する

コンピューティングゲートウェイのファイアウォールルールは、アップリンクインターフェイスに適用されます。

管理ゲートウェイ (MGW) 管理ゲートウェイは、SDDC で実行される vCenter Server および他の管理アプラ

イアンスに North-South ネットワーク接続を提供する NSX Edge ファイアウォー

ルです。管理ゲートウェイのインターネット接続用 IP アドレスは、SDDC の作成時

に AWS パブリック IP アドレスのプールから自動的に割り当てられます。このア

ドレス範囲の指定の詳細については、VMC コンソールからの SDDC の展開を参照


VMware, Inc. 8

https://docs.vmware.com/jp/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws.getting-started/GUID-EF198D55-03E3-44D1-AC48-6E2ABA31FF02.html

してください。SDDC を作成するときに範囲を指定しないと、デフォルトの

10.2.0.0/16 が使用されます。

コンピューティングゲート

ウェイ (CGW)コンピューティングゲートウェイは、SDDC で実行される仮想マシンに North-South ネットワーク接続を提供する NSX Edge ファイアウォールです。単一ノー

ドの SDDC では、これらの仮想マシンにネットワークを提供するデフォルトの論理

ネットワークセグメント（CIDR ブロック 192.168.1.0/24）が VMware Cloud on AWS によって作成されます。[ネットワークとセキュリティ] タブで、追加の論理ネ

ットワークを作成できます。

SDDC と接続中の VPC の間のルーティング

重要： SDDC と通信する AWS サービスまたはインスタンスが置かれている、すべての SDDC サブネットおよび

VPC サブネットを、接続された VPC のメインルートテーブルと関連付ける必要があります。カスタムルートテー

ブルの使用やメインルートテーブルの置き換えはサポートされていません。

SDDC を作成すると、指定した AWS アカウントが所有する VPC の ENI が SDDC 内の NSX Edge アプライアンスに

接続されます。この VPC が接続中の VPC になり、その接続により、SDDC の仮想マシンと AWS インスタンスの間

のネットワークトラフィックと、接続中の VPC 内のネイティブサービスがサポートされます。接続中の VPC のメ

インルートテーブルには、VPC 内のすべてのサブネットと、SDDC（NSX-T ネットワークセグメント）のすべての

サブネットが含まれます。ワークロードネットワーク上のルーティングネットワークセグメントを作成または削除

すると、メインルートテーブルは自動的に更新されます。障害からのリカバリのため、または SDDC メンテナンス

の間、SDDC 内の NSX Edge アプライアンスを別のホストに移動すると、メインルートテーブルは新しい NSX Edge ホストによって使用される ENI を反映するように更新されます。メインルートテーブルを置き換え済みの場

合、またはカスタムルートテーブルを使用している場合、この更新は失敗し、SDDC ネットワークと接続中の VPC との間でネットワークトラフィックをルーティングできなくなります。

詳細については、『接続されている VPC の情報の表示』を参照してください。

予約されたネットワークアドレスアドレス範囲 100.64.0.0/10（RFC 6598 に即したキャリアグレード NAT 用に予約）は、内部使用のために VMware Cloud on AWS によって予約されています。SDDC のワークロードからこのアドレス範囲のリモート（オンプレミ

ス）ネットワークにはアクセスできません。また、SDDC 内のこの範囲のアドレスは使用できません。

SDDC ネットワークでのマルチキャストのサポートSDDC ネットワークでは、レイヤー 2 マルチキャストトラフィックは、トラフィックが発生したネットワークセグ

メント上のブロードキャストトラフィックとして扱われます。そのセグメントを超えてルーティングされることは

ありません。IGMP スヌーピングなどのレイヤー 2 マルチキャストトラフィック最適化機能はサポートされません。

レイヤー 3 マルチキャスト（Protocol Independent Multicast など）は、VMware Cloud on AWS ではサポート

されません。

この章には、次のトピックが含まれています。

n NSX-T でサポートされている機能


VMware, Inc. 9

https://tools.ietf.org/html/rfc6598

NSX-T でサポートされている機能NSX-T を基盤とする SDDC は、広範なネットワークソリューションおよびセキュリティソリューションをサポート

しています。

表 1-1. NSX-T によってサポートされている機能。

機能またはソリューション NSX-T

ポリシーベースの IPsec VPN 可

ルートベースの IPsec VPN 可

すべてのトラフィック用 Direct Connect 可

L2 VPN 可

Edge ファイアウォール可

論理ネットワーク、DHCP、DNS、NAT 可

分散ファイアウォール可

IPFIX、ポートミラーリング可

オーバーレイネットワークと Amazon VPC 間の管理アプライアンスと

ESXi のアクセス

可

複数クラスタ可

複数のアベイラビリティゾーンにまたがるストレッチクラスタ可

双方向の vMotion による移行可

VMware Site Recovery 可

VMware Hybrid Cloud Extension 可

Horizon 可

サードパーティソリューション：ストレージパートナー可

セカンドパーティソリューション： vRA、vROps 可

NSX-T 設定の最大値

NSX-T 設定の最大値は、現在は VMware Cloud on AWS の設定の最大値内で説明されています。


VMware, Inc. 10

https://docs-staging.vmware.com/en/draft/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws-operations-draft/GUID-10A0804B-04F4-4B8A-9EBA-85169F533223.html

NSX-T を使用した VMware Cloud on AWS のネットワークとセキュリティの構成

2このワークフローに沿って、SDDC の NSX-T ネットワークとセキュリティを構成します。

手順

1 組織のメンバーへの NSX サービスロールの割り当て

組織内のユーザーに NSX Admin サービスロールを付与して、[ネットワークとセキュリティ] タブで機能を確

認および設定できるようにします。

2 AWS Direct Connect を使用するように VMware Cloud on AWS を構成

AWS Direct Connect の使用はオプションです。オンプレミスネットワークと SDDC ワークロードの間のト

ラフィックをパブリックインターネットによる接続よりも高速、低遅延にする必要がある場合は、AWS Direct Connect を使用するように VMware Cloud on AWS を構成します。

3 SDDC とオンプレミスデータセンターの間の VPN 接続の設定

パブリックインターネットまたは AWS Direct Connect 経由で SDDC への安全な接続を提供するように

VPN を設定します。ルートベースの VPN とポリシーベースの VPN がサポートされます。どちらのタイプの

VPN でも、インターネット経由で SDDC に接続できます。ルートベースの VPN は、AWS Direct Connect 経由で SDDC に接続することもできます。

4 管理ゲートウェイのネットワークおよびセキュリティの構成

管理ネットワークと管理ゲートウェイは、SDDC でほぼ事前構成されています。ただし、vCenter Server や

HCX などの管理ネットワークサービスへのアクセスを構成し、管理ネットワークと他のネットワーク（オンプ

レミスネットワークやその他の SDDC ネットワークなど）間のトラフィックを許可するための管理ゲートウェ

イファイアウォールルールを作成する必要があります。

5 コンピューティングゲートウェイのネットワークおよびセキュリティを構成

コンピューティングゲートウェイネットワークには、1 つ以上のセグメントを含むコンピューティングネット

ワークと、ワークロード仮想マシンのネットワークトラフィックを管理する DNS 構成、DHCP 構成、セキュ

リティ構成（ゲートウェイファイアウォールおよび分散ファイアウォール）が含まれます。また、オンプレミ

スネットワークと SDDC ワークロードネットワークにまたがる単一のブロードキャストドメインを提供する

レイヤー 2 VPN と拡張ネットワークが含まれる場合もあります。

6 インベントリグループの操作

VMware Cloud on AWS のネットワークおよびセキュリティインベントリを使用すると、ファイアウォール

ルールの作成時に使用できる仮想マシンとネットワークサービスのグループを作成できます。

VMware, Inc. 11

7 ワークロード接続の管理

ワークロード仮想マシンは、デフォルトでインターネットに接続します。NAT ルールおよび分散ファイアウォ

ールルールを使用すると、これらの接続を細かく制御できます。

組織のメンバーへの NSX サービスロールの割り当て組織内のユーザーに NSX Admin サービスロールを付与して、[ネットワークとセキュリティ] タブで機能を確認およ

び設定できるようにします。

組織ロールは、組織のメンバーが組織の資産上で持つ権限を指定します。サービスロールは、組織が使用する

VMware Cloud Services にアクセスする際に組織のメンバーが持つ権限を指定します。すべてのサービスロール

は、組織の所有者権限を持つユーザーによって割り当ておよび変更できます。削除が制限された管理者や NSX Cloud 監査者など、制限付きロールを組織メンバーのロールとともに割り当てて、変更を防止する必要があります。

新しいサービスロールを有効にするには、ユーザーはログアウトしてから再度ログインする必要があります。

前提条件

組織のメンバーにロールを割り当てるには、組織の所有者である必要があります。

手順

1 https://vmc.vmware.com で VMC コンソールにログインします。

2 サービスアイコンをクリックし、[ID とアクセスの管理] を選択します。

3 ユーザーを選択し、[ロールの編集] をクリックします。

4 [組織ロールの割り当て] ドロップダウンコントロールからロール名を選択します。

次のロールを使用できます。

組織の所有者このロールには、組織のメンバーと資産を管理するための完全な権限がありま

す。

組織のメンバーこのロールには、組織の資産にアクセスする権限があります。

5 [サービスロールの割り当て] で [VMware Cloud on AWS] サービス名を選択します。

6 割り当てる NSX サービスロールを選択します。

次の NSX サービスロールを使用できます。

NSX Cloud 監査者このロールは、NSX サービスの設定とイベントを表示できますが、サービスに

変更を加えることはできません。

NSX Cloud 管理者このロールは、NSX サービスの展開と管理に関連するすべてのタスクを実行で

きます。

注：組織ユーザーに複数のサービスロールが割り当てられている場合、最も権限が許容されたロールに対して

権限が付与されます。たとえば、NSX Cloud 管理者と NSX Cloud 監査者の両方のロールを持つ組織メンバーに

は、NSX Cloud 監査者ロールに付与される権限が含まれる、すべての NSX Cloud 管理者権限が付与されます。


VMware, Inc. 12

https://vmc.vmware.com

7 [保存] をクリックして、変更内容を保存します。

次のステップ

変更を有効にするために、ロールを変更されたユーザーがログアウトしてから再度ログインします。

AWS Direct Connect を使用するように VMware Cloud on AWS を構成

AWS Direct Connect の使用はオプションです。オンプレミスネットワークと SDDC ワークロードの間のトラフィ

ックをパブリックインターネットによる接続よりも高速、低遅延にする必要がある場合は、AWS Direct Connect を使用するように VMware Cloud on AWS を構成します。

AWS Direct Connect (DX) は、オンプレミスネットワークインフラストラクチャと Amazon VPC の仮想インター

フェイス (VIF) の間の専用ネットワーク接続を提供します。DX は、次の 2 種類の仮想インターフェイスをサポート

します。

n プライベート VIF を使用すると、AWS Virtual Private Cloud (VPC) へのアクセスが可能になります。

n パブリック VIF を使用すると、Amazon EC2 や S3 などのサービスへのアクセスが可能になります。

オンプレミスデータセンターと接続済みの VPC との間で VPN や vMotion などのワークロードおよび管理トラフ

ィックを送信する場合は、プライベート VIF 上に DX を設定します。EC2 や S3 などの AWS パブリックエンドポイ

ントに接続する必要がある場合は、パブリック VIF 上に DX を設定します。どちらの種類の VIF に VPN トラフィッ

クをルーティングしても、データセキュリティは強化されます。

プライベートおよびパブリック VIF

プライベート VIF を介した DX 接続は、オンプレミスデータセンターと SDDC 間のすべてのトラフィックに使用で

きます。これは接続された Amazon VPC で終端し、プライベート IP アドレス空間を提供します。また、BGP を使

用して SDDC 内のルートをアドバタイズし、オンプレミスデータセンター内のルートを学習します。

パブリック VIF を介した DX 接続は、通常、オンプレミスデータセンターと、プライベート VIF 経由ではアクセスで

きないパブリック AWS サービスの間のトラフィックにのみ使用されます。接続された Amazon VPC が占有する領

域の AWS 領域レベルで終端し、BGP を使用して AWS グローバルルートをアドバタイズします。

最大伝送可能単位 (MTU) の引き上げ

すべての SDDC ネットワークのデフォルトの MTU は 1,500 バイトです。VIF を作成する際に、プライベートまたは

パブリック VIF 経由の DX を有効にして、使用する MTU を引き上げることができます。これを行う場合は、[ネット

ワークとセキュリティ] タブの [グローバル構成] 画面を開き、[イントラネットの MTU 値] を引き上げます。設定す

る値は、すべての DX 仮想インターフェイスの最小 MTU 値以下にする必要があります。これは、ジャンボ MTU をサポートしていない VIF があると、実質的にはすべての DX 接続が MTU 値 1500 に制限されるため、すべての VIF を同一の MTU 値（デフォルトでは 1500、ジャンボでは 9001）に設定する必要があるという意味です。

注： Geneve (Generic Network Virtualization Encapsulation) ヘッダーの余地を残しておくため、SDDC のイン

トラネットの MTU は、上限が 8,900 バイトに設定されています。これは VIF でのパケットの断片化を防ぐためで

す。


VMware, Inc. 13

ジャンボ MTU は、DX 接続のみに適用されます。DX 経由で接続されているかどうかにかかわらず、すべての VPN は、他の設定に関係なく MTU 値 1500 を使用します。また、DX 接続を使用するワークロード仮想マシンのインタ

ーフェイス MTU が、[イントラネットの MTU 値] と同じ値に設定されていることも確認する必要があります。同じ

値でないと、ワークロード仮想マシンはより値の大きな MTU を利用できません。

AWS Direct Connect への接続のセットアップ

AWS Direct Connect への接続をセットアップするには、AWS コンソール経由で発注を行う必要があります。

AWS Direct Connect への接続を要求する方法については、AWS Direct Connect の使用を開始するを参照してく

ださい。

前提条件

VMware Cloud on AWS を利用できるリージョンで Direct Connect へのアクセスを申請します。

次のステップ

AWS Direct Connect への接続が確立された後、VMware Cloud on AWS SDDC に接続するプライベート仮想イン

ターフェイスを作成します。

SDDC の管理およびコンピューティングネットワークトラフィック用のプライベート仮想インターフェイスの作成

DX 接続で、vMotion、ESXi 管理、管理アプライアンス、ワークロードトラフィックを有効にして使用するために

は、プライベート仮想インターフェイスが必要です。

SDDC に作成する Direct Connect リンクそれぞれに対して仮想インターフェイスを 1 つ作成します。たとえば、冗

長性のため Direct Connect のリンクを 2 つ作成する場合は、2 つの仮想インターフェイスを作成します。各プライ

ベート VIF でサポートされるセグメント数の制限については、VMware Cloud on AWS における構成の上限を参照

してください。

前提条件

n 仮想インターフェイスの前提条件に記載されている仮想インターフェイスの前提条件を満たしていることを確認

します。


VMware, Inc. 14

http://docs.aws.amazon.com/directconnect/latest/UserGuide/getting_started.html


http://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html#vif-prerequisites

手順

1 AWS コンソールにログインし、ホスト仮想インターフェイスの作成で説明されている「ホストされたプライベ

ート仮想インターフェイスを作成する」の手順を実行します。

ホストされた接続を使用している場合は、AWS パートナーと連携して、所有する AWS アカウントに VIF を作成

し、この手順の手順 2 に進んでください。専用の接続またはホストされた VIF を使用している場合は、最初に次

の手順を実行します。

a [インターフェイス所有者] フィールドには、[ネットワークとセキュリティ] タブの [Direct Connect] ページ

にある [AWS アカウント ID] フィールドに表示されているアカウントを使用します。

b [ピア IP アドレスの自動生成] と [BGP キーの自動生成] を選択します。

c （オプション）ジャンボ MTU を有効にします。

すべての SDDC ネットワークのデフォルトの MTU は 1,500 バイトです。このプライベート VIF への DX トラフィックを有効にして、より高い MTU を使用するには、[ジャンボ MTU（MTU サイズ 9001）] の [有効] を選択します。VIF を作成したら、[ネットワークとセキュリティ] タブの [グローバル構成] 画面を開き、

[イントラネットアップリンク] でより高い [MTU] の値を設定する必要もあります。

インターフェイスが作成されると、受け入れの準備ができたことが AWS コンソールから報告されます。

2 VMC コンソールで、[ネットワークとセキュリティ] - [Direct Connect] の順に選択し、[接続] をクリックして

仮想インターフェイスを受け入れます。

新しい VIF は、受け入れられる前は組織内のすべての SDDC に表示されます。VIF を受け入れると、他の SDDC には表示されなくなります。

BGP セッションが有効になるまでに、最長 10 分かかる場合があります。接続が準備できると、[状態] が [接続

済み]、[BGP ステータス] が [UP] と表示されます。

3 （オプション）ルートベース VPN を Direct Connect に対するバックアップとして設定します。

デフォルトの設定では、DX と VPN の両方によって BGP にアドバタイズされるすべてのルート上のトラフィッ

クには、デフォルトでルートベースの VPN が使用されます。DX と VPN の両方によってアドバタイズされるル

ートが、デフォルトでは DX を使用し、DX が使用できないときは VPN にフェイルオーバーするようにするに

は、[ネットワークとセキュリティ] - [Direct Connect] の順に選択し、[Direct Connect のバックアップとして

VPN を使用] スイッチを [有効] に設定します。

注：この設定には、ルートベース VPN が必要です。ポリシーベース VPN を Direct Connect のバックアップ

として使用することはできません。

ルーティング設定の更新には約 1 分かかります。操作が完了すると、DX と VPN の両方によって通知されるルー

トは、DX 接続がデフォルトになり、DX が使用できない場合にのみ VPN が使用されます。


VMware, Inc. 15

http://docs.aws.amazon.com/directconnect/latest/UserGuide/createhostedvirtualinterface.html

結果

ルートが学習されてアドバタイズされると、[アドバタイズされた BGP ルート] と [学習された BGP ルート] のリスト

が表示されます。更新アイコンをクリックすると、これらのリストが更新されま

す。SDDC 内のすべてのルーティングされたサブネットは、管理ネットワークサブネットの次のサブセットととも

に、BGP ルートとしてアドバタイズされます。

n サブネット 1 には、ESXi ホスト vmks およびルーターインターフェイスで使用されるルートが含まれます。

n サブネット 2 には、マルチアベイラビリティゾーン (AZ) のサポートと AWS 統合に使用されるルートが含まれ

ます。

n サブネット 3 には管理仮想マシンが含まれます

切断されたネットワークと拡張ネットワークはアドバタイズされません。

実際にアドバタイズされる CIDR ブロックは、管理サブネットの CIDR ブロックによって決まります。ある SDDC で、デフォルト管理ネットワーク CIDR がブロックサイズ /16、/20、/22 の 10.2.0.0 である場合、これらのルート

の CIDR ブロックは次の表のようになります。

表 2-1. デフォルトの管理ゲートウェイ CIDR 10.2.0.0 についてアドバタイズされるルート

管理ゲートウェイ CIDR サブネット 1 サブネット 2 サブネット 3

10.2.0.0/23 10.2.0.0/24 10.2.1.0/26 10.2.1.128/25

10.2.0.0/20 10.2.0.0/21 10.2.8.0/23 10.2.12.0/22

10.2.0.0/16 10.2.0.0/17 10.2.128.0/19 10.2.192.0/18

次のステップ

vMotion インターフェイスが Direct Connect を使用するように設定されていることを確認します。Direct Connect を使用するための vMotion インターフェイスの設定を参照してください。

AWS サービスにアクセスするためのパブリック仮想インターフェイスの作成

ワークロード仮想マシンに AWS EC2 のインスタンスおよびサービスへのアクセス権が必要な場合は（DX 接続経由

の S3 など）、VPC のそのトラフィック用のパブリック仮想インターフェイスを構成します。

標準的な構成では、オンプレミスデータセンターと SDDC の間のトラフィックはプライベート VIF を通過します。

SDDC から AWS サービスにアクセスする必要がある場合は、パブリック VIF で Direct Connect を使用します。

AWS セキュリティグループを設定すると、AWS サービスと SDDC 内の仮想マシンの間のトラフィックを管理でき

ます。

前提条件

n 仮想インターフェイスの前提条件に記載されている仮想インターフェイスの前提条件を満たしていることを確認

します。


VMware, Inc. 16

http://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html#vif-prerequisites

手順

1 AWS コンソールにログインします。ホスト仮想インターフェイスの作成で示されている、ホストされたパブリ

ック仮想インターフェイスを作成する手順を完了します。

a [インターフェイス所有者] フィールドで、[My AWS アカウント] を選択します。

b [ルーターピア IP アドレス] と [Amazon のルーターピア IP アドレス] を指定します。

c [BGP キーの自動生成] を選択し、AWS 基盤でアドバタイズするすべてのオンプレミスルートを [アドバタ

イズするプリフィックス] に指定します。

インターフェイスが作成されると、受け入れの準備ができたことが AWS コンソールから報告されます。

2 VMC コンソールで、[ネットワークとセキュリティ] - [Direct Connect] の順に選択し、[接続] をクリックして

仮想インターフェイスを受け入れます。

Direct Connect を使用するための vMotion インターフェイスの設定

Direct Connect 接続をオンプレミスのデータセンターとクラウドの Software-Defined Data Center (SDDC) 間で

使用する場合は、オンプレミスのホストに vMotion インターフェイスを設定して、Direct Connect の接続を経由す

る vMotion トラフィックをルーティングする必要があります。

前提条件

Direct Connect を設定し、プライベート仮想インターフェイスを作成します。

手順

1 オンプレミス環境の各ホストで vMotion インターフェイスを設定するには、次の方法のいずれかを選択します。

オプション説明

デフォルトゲートウェイをオーバーライドす

る（vSphere 6.5 のホストのみに有効）

各ホストの vMotion トラフィックに使用する VMkernel アダプタを編集し、デフォルトゲー

トウェイをオーバーライドするオプションを選択します。Direct Connect 接続のオンプレミ

ス側にトラフィックをルーティングできるオンプレミスの vMotion サブネットに IP アドレ

スを入力します。VMkernel アダプタ構成の編集を参照してください。

vMotion TCP/IP スタックの設定各ホストで、次の操作を実行します。

a 既存の vMotion VMkernel アダプタを削除します。

b 新規の VMkernel アダプタを作成し、vMotion TCP/IP スタックを選択します。ESXi ホストの vMotion TCP/IP スタックへの vMotion トラフィックの配置を参照してくださ

い。

c Direct Connect 接続のオンプレミス側にトラフィックをルーティングできるオンプレミ

スの vMotion サブネットに IP アドレスを使用するためにルーティングを変更するには、

ホストの vMotion TCP/IP スタックを編集します。ホスト上の TCP/IP スタック構成の

変更を参照してください。

2 （オプション） vmkping を使用して、オンプレミスのホストとクラウド SDDC ホスト間の接続をテストします。

詳細については https://kb.vmware.com/s/article/1003728 を参照してください。


VMware, Inc. 17

http://docs.aws.amazon.com/directconnect/latest/UserGuide/createhostedvirtualinterface.html

https://docs.vmware.com/jp/VMware-vSphere/6.5/com.vmware.vsphere.networking.doc/GUID-AA3656B0-005A-40A0-A293-4309C5ACF682.html

https://docs.vmware.com/jp/VMware-vSphere/6.5/com.vmware.vsphere.vcenterhost.doc/GUID-5211FD4B-256B-4D9F-B5A2-F697A814BF64.html

https://docs.vmware.com/jp/VMware-vSphere/6.5/com.vmware.vsphere.vcenterhost.doc/GUID-5211FD4B-256B-4D9F-B5A2-F697A814BF64.html

https://docs.vmware.com/jp/VMware-vSphere/6.5/com.vmware.vsphere.networking.doc/GUID-D4AF4F9F-F274-4ADE-98F4-1CB44ABCC505.html

https://docs.vmware.com/jp/VMware-vSphere/6.5/com.vmware.vsphere.networking.doc/GUID-D4AF4F9F-F274-4ADE-98F4-1CB44ABCC505.html

https://kb.vmware.com/s/article/1003728

SDDC とオンプレミスデータセンターの間の VPN 接続の設定パブリックインターネットまたは AWS Direct Connect 経由で SDDC への安全な接続を提供するように VPN を設

定します。ルートベースの VPN とポリシーベースの VPN がサポートされます。どちらのタイプの VPN でも、イン

ターネット経由で SDDC に接続できます。ルートベースの VPN は、AWS Direct Connect 経由で SDDC に接続す

ることもできます。

n ルートベースの VPN の作成

ルートベースの VPN では、IPsec トンネルインターフェイスが作成され、SDDC ルーティングテーブルで指

定されたとおりにトラフィックがルーティングされます。ルートベースの VPN では、複数のサブネットに対す

る、回復性と安全性が確保されたアクセスが提供されます。ルートベースの VPN を使用すると、新しいネット

ワークが作成されたときに新しいルートが自動的に追加されます。

n ポリシーベース VPN の作成

ポリシーベースの VPN では、IPsec トンネルと、トラフィックによるトンネルの使用方法を指定するポリシー

が作成されます。ポリシーベースの VPN を使用する場合は、新しいルートを追加するときに、ネットワークの

両端でルーティングテーブルを更新する必要があります。

n VPN トンネルのステータスと統計情報の表示

この VMC コンソールは、IPSec VPN セグメントと L2VPN セグメントの状態と統計情報を提供します。

n IPsec VPN 設定リファレンス

IPsec VPN のオンプレミス側の設定は、その VPN の Software-Defined Data Center (SDDC) 側で指定した設

定と同じにする必要があります。

ルートベースの VPN の作成

ルートベースの VPN では、IPsec トンネルインターフェイスが作成され、SDDC ルーティングテーブルで指定され

たとおりにトラフィックがルーティングされます。ルートベースの VPN では、複数のサブネットに対する、回復性

と安全性が確保されたアクセスが提供されます。ルートベースの VPN を使用すると、新しいネットワークが作成さ

れたときに新しいルートが自動的に追加されます。

VMware Cloud on AWS はすべての VPN 接続に同じパブリック IP アドレスを使用するため、特定のリモートパブ

リック IP アドレスに対して作成できる VPN 接続（ルートベース、ポリシーベース、または L2VPN）は 1 つのみと

なります。

VMware Cloud on AWS SDDC 内のルートベースの VPN では、IPsec プロトコルを使用してトラフィックが保護さ

れ、新しいネットワークが作成されたときにはボーダーゲートウェイプロトコル (BGP) を使用してルートが検索、

伝達されます。ルートベースの VPN を作成するには、ローカル (SDDC) およびリモート（オンプレミス）のエンド

ポイントの BGP 情報を設定してから、トンネルの SDDC 側のトンネルセキュリティパラメータを指定します。

手順


2 [ネットワークとセキュリティ] - [VPN] - [ルートベース] の順にクリックします。


VMware, Inc. 18


3 （オプション）デフォルトのローカル自律システム番号 (ASN) を変更します。

SDDC のルートベースのすべての VPN は、デフォルトでは ASN 65000 に設定されます。構成済みの VPN 接続

のリモート ASN にもこの値が設定されている場合は、[ローカル ASN の編集] をクリックして、64521 ～ 65535 の範囲で新しい値を入力し、[適用] をクリックします。

4 [VPN の追加] をクリックし、新しい VPN に [名前] を指定します。

5 ドロップダウンメニューから [ローカル IP アドレス] を選択します。

n この SDDC に AWS Direct Connect を設定してあり、VPN で AWS Direct Connect を使用する場合は、

プライベート IP アドレスを選択します。SDDC の管理およびコンピューティングネットワークトラフィ

ック用のプライベート仮想インターフェイスの作成を参照してください。Direct Connect 経由の VPN トラフィックは、リンクがより高い MTU をサポートしている場合でも、デフォルトの 1,500 バイトの MTU に制限されることに注意してください。

n VPN をインターネット経由で接続する場合は、パブリック IP アドレスを選択します。

6 [リモートパブリック IP アドレス] には、オンプレミスの VPN エンドポイントのアドレスを入力します。

これは、この VPN に対する IPsec 要求を開始したり、それに応答したりするデバイスのアドレスです。このア

ドレスは、次の要件を満たす必要があります。

n 別の VPN でまだ使用されていないアドレスである必要があります。VMware Cloud on AWS はすべての

VPN 接続に同じパブリック IP アドレスを使用するため、特定のリモートパブリック IP アドレスに対して作

成できる VPN 接続（ルートベース、ポリシーベース、または L2VPN）は 1 つのみとなります。

n 手順 5 でパブリック IP アドレスを指定した場合は、インターネット経由でアクセスできる必要があります。

n 手順 5 でプライベート IP アドレスを指定した場合は、プライベート VIF への Direct Connect 経由でアク

セスできる必要があります。

デフォルトゲートウェイファイアウォールルールでは、VPN 接続を経由した受信トラフィックと送信トラフィ

ックが許可されますが、VPN トンネル経由のトラフィックを管理するにはファイアウォールルールを作成する

必要があります。


VMware, Inc. 19

7 [BGP ローカル IP アドレス/プリフィックス長] に、ローカル VPN トンネルの IP アドレスを CIDR 形式で入力し

ます。

169.254.0.0/16 サブネットから /30 のサイズのネットワークを選択します。この範囲にある 2 つ目と 3 つ目の

IP アドレスが、リモートとローカル VTI（VPN トンネルインターフェイス）として設定されます。たとえば、

CIDR ブロック 169.254.111.0/30（アドレス範囲：169.254.111.0 ～ 169.254.111.3）では、ローカル (SDDC) インターフェイスは 169.254.111.2/30、リモート（オンプレミス）インターフェイスは 169.254.111.1/30 となります。

注：次のネットワークは、内部使用のために予約されています。[BGP ローカル IP アドレス/プリフィックス

長] に指定したネットワークは、これらのいずれとも重複しないようにする必要があります。

n 169.254.0.2/28

n 169.254.10.1/24

n 169.254.11.1/24

n 169.254.12.1/24

n 169.254.13.1/24

n 169.254.101.253/30

n 100.64.0.0/10（RFC 6598 に即したキャリアグレード NAT 用に予約）

既存のネットワークとの競合が原因で、169.254.0.0/16 サブネットのネットワークを使用できない場合は、BGP サービスからここで選択したサブネットへのトラフィックを許可するファイアウォールルールを作成する必要

があります。コンピューティングゲートウェイのファイアウォールルールの追加または変更を参照してくださ

い。

8 [BGP リモート IP アドレス] には、オンプレミス VPN ゲートウェイの BGP インターフェイスアドレスを入力し

ます。

このアドレスは、手順 7 で指定した IP アドレスとプリフィックス長で定義されるサブネット上の有効なホスト

IP アドレスである必要があります。また、[BGP ローカル IP] と同じにすることはできません。

9 [BGP リモート ASN] には、オンプレミス VPN ゲートウェイの ASN を入力します。

10 [トンネルの詳細パラメータ] を設定します。


トンネルの暗号化オンプレミス VPN ゲートウェイでサポートされているフェーズ 2 Security Association (SA) 暗号を選択します。

トンネルダイジェストアルゴリズムオンプレミス VPN ゲートウェイでサポートされているフェーズ 2 ダイジェストアルゴリズム

を選択します。

注： [トンネルの暗号化] に GCM ベースの暗号を指定する場合は、[トンネルダイジェストアルゴリズム] を [なし] に設定します。ダイジェスト機能は GCM 暗号に不可欠です。

完全転送セクレシーオンプレミス VPN ゲートウェイの設定に合わせて有効または無効にします。Perfect Forward Secrecy を有効にすると、プライベートキーが盗み取られたとしても、記録された

（過去の）セッションが復号されることを回避できます。


VMware, Inc. 20



プリシェアードキープリシェアードキーの文字列を入力します。

キーの最大長は 128 文字です。このキーは、VPN トンネルの両側で同一である必要がありま

す。

リモートプライベート IP アドレス [リモートパブリック IP アドレス] を IKE ネゴシエーションのリモート ID として使用する場

合は、空のままにします。オンプレミス VPN ゲートウェイが NAT デバイスの背後にある場合

や、そのローカル ID に別の IP アドレスを使用する場合は、ここにその IP アドレスを入力する


IKE 暗号化オンプレミス VPN ゲートウェイでサポートされているフェーズ 1 (IKE) 暗号を選択します。

IKE ダイジェストアルゴリズムオンプレミス VPN ゲートウェイでサポートされているフェーズ 1 ダイジェストアルゴリズム

を選択します。ベストプラクティスは、[IKE ダイジェストアルゴリズム] と [トンネルダイジ

ェストアルゴリズム] の両方に同じアルゴリズムを使用することです。

注： [IKE 暗号化] に GCM ベースの暗号を指定する場合は、[IKE ダイジェストアルゴリズム] を [なし] に設定します。ダイジェスト機能は GCM 暗号に不可欠です。GCM ベースの暗号を

使用する場合は IKE V2 を使用する必要があります。

IKE タイプ n IKEv1 プロトコルを開始して受け入れる場合は、[IKE V1] を指定します。

n IKEv2 プロトコルを開始して受け入れる場合は、[IKE V2] を指定します。GCM ベースの

[IKE ダイジェストアルゴリズム] を指定した場合は、IKEv2 を使用する必要があります。

n IKEv1 または IKEv2 を受け入れてから IKEv2 を開始する場合は、[IKE FLEX] を指定しま

す。IKEv2 の開始に失敗した場合、IKE FLEX は IKEv1 にフォールバックしません。

Diffie Hellman オンプレミス VPN ゲートウェイでサポートされている Diffie-Hellman グループを選択しま

す。この値は、VPN トンネルの両側で同一にする必要があります。グループ番号が大きいほ

ど、保護は強化されます。グループ 14 以上を選択することをお勧めします。

11 （オプション） [BGP の詳細パラメータ] で、オンプレミスゲートウェイで使用されるものに対応する BGP の [シ

ークレット] を入力します。

12 （オプション） VPN にタグを付けます。

NSX-T オブジェクトのタグ付けの詳細については、Add Tags to an Object を参照してください。

13 [保存] をクリックします。

結果

VPN の作成プロセスには数分かかることがあります。ルートベース VPN が使用可能になると、トンネルのステータ

スと BGP セッションの状態が表示されます。次のアクションを実行して、VPN のオンプレミス側のトラブルシュー

ティングと設定を行うことができます。

n [設定のダウンロード] をクリックし、VPN 設定の詳細を含むファイルをダウンロードします。これらの詳細を使

用して、この VPN のオンプレミスのエンドを設定できます。

n [統計情報の表示] をクリックし、この VPN のパケットトラフィックの統計情報を表示します。VPN トンネルの

ステータスと統計情報の表示を参照してください。

n [ルートの表示] をクリックし、この VPN でアドバタイズ済みのルートおよび学習済みのルートの表示を開きま

す。

n [ルートのダウンロード] をクリックし、[アドバタイズされたルート] または [学習されたルート] のリストを CSV 形式でダウンロードします。


VMware, Inc. 21

https://docs.vmware.com/jp/VMware-NSX-T-Data-Center/2.5/administration/GUID-A50C28BD-D924-45C2-A8D4-F6267AE84128.html

次のステップ

必要に応じて、ファイアウォールルールを作成または更新します。ルートベース VPN を経由するトラフィックを許

可するには、[適用先] フィールドで [VPN トンネルインターフェイス] を指定します。[すべてのアップリンク] オプ

ションには、ルーティングが設定された VPN トンネルは含まれません。

ポリシーベース VPN の作成

ポリシーベースの VPN では、IPsec トンネルと、トラフィックによるトンネルの使用方法を指定するポリシーが作成

されます。ポリシーベースの VPN を使用する場合は、新しいルートを追加するときに、ネットワークの両端でルー

ティングテーブルを更新する必要があります。

VMware Cloud on AWS SDDC 内のポリシーベースの VPN では、IPsec プロトコルを使用してトラフィックが保護

されます。ポリシーベースの VPN を作成するには、ローカル (SDDC) エンドポイントを設定してから、一致するリ

モート（オンプレミス）エンドポイントを設定します。すべてのポリシーベースの VPN では、ネットワークごとに

新しい IPsec Security Association (SA) を作成する必要があるため、管理者は、新しいポリシーベースの VPN が作

成されるたびに、オンプレミスと SDDC のルーティング情報を更新する必要があります。VPN のいずれかの両端の

ネットワークの数が少ない場合、またはオンプレミスのネットワークハードウェアで BGP（ルートベースの VPN に必要）がサポートされていない場合は、ポリシーベースの VPN を選択することをお勧めします。

手順


2 [ネットワークとセキュリティ] - [VPN] - [ポリシーベース] の順に選択します。

3 [VPN の追加] をクリックし、新しい VPN に [名前] を指定します。

4 ドロップダウンメニューから [ローカル IP アドレス] を選択します。

n この SDDC に AWS Direct Connect を設定してあり、VPN で AWS Direct Connect を使用する場合は、

プライベート IP アドレスを選択します。SDDC の管理およびコンピューティングネットワークトラフィ

ック用のプライベート仮想インターフェイスの作成を参照してください。Direct Connect 経由の VPN トラフィックは、リンクがより高い MTU をサポートしている場合でも、デフォルトの 1,500 バイトの MTU に制限されることに注意してください。

n VPN をインターネット経由で接続する場合は、パブリック IP アドレスを選択します。

5 オンプレミスゲートウェイの [リモートパブリック IP アドレス] を入力します。

このアドレスは、別の VPN でまだ使用されていないアドレスである必要があります。VMware Cloud on AWS はすべての VPN 接続に同じパブリック IP アドレスを使用するため、特定のリモートパブリック IP アドレスに

対して作成できる VPN 接続（ルートベース、ポリシーベース、または L2VPN）は 1 つのみとなります。手順 4 でパブリック IP アドレスを指定した場合は、このアドレスにインターネット経由でアクセスできる必要がありま

す。プライベート IP アドレスを指定した場合は、プライベート VIF への Direct Connect 経由でそのアドレスに

アクセスできる必要があります。デフォルトゲートウェイファイアウォールルールでは、VPN 接続を経由した

受信トラフィックと送信トラフィックが許可されますが、VPN トンネル経由のトラフィックを管理するにはファ

イアウォールルールを作成する必要があります。


VMware, Inc. 22


6 （オプション）オンプレミスゲートウェイが NAT デバイスの背後にある場合は、そのゲートウェイのアドレス

を [リモートプライベート IP アドレス] として入力します。

この IP アドレスは、オンプレミス VPN ゲートウェイによって送信されるローカル ID (IKE ID) と一致する必要が

あります。このフィールドが空の場合は、[リモートパブリック IP アドレス ] フィールドがオンプレミス VPN ゲートウェイのローカル ID との照合に使用されます。

7 この VPN が接続できる [リモートネットワーク] を指定します。

このリストには、オンプレミス VPN ゲートウェイによってローカルと定義されたすべてのネットワークが含ま

れている必要があります。各ネットワークは CIDR 形式で入力し、複数の CIDR ブロックはカンマで区切ります。

8 この VPN が接続できる [ローカルネットワーク] を指定します。

このリストには、SDDC 内のすべてのルーティングされたコンピューティングネットワーク、および管理ネット

ワークとアプライアンスサブネット（ESXi ホスト以外の、vCenter Server などの管理アプライアンスを含む管

理ネットワークのサブセット）が含まれます。また、コンピューティングゲートウェイ DNS ネットワーク（コ

ンピューティングゲートウェイ DNS サービスによって転送される要求の送信元を明らかにするための単一の

IP アドレス）も含まれます。

9 [トンネルの詳細パラメータ] を設定します。


トンネルの暗号化オンプレミス VPN ゲートウェイでサポートされているフェーズ 2 Security Association (SA) 暗号を選択します。

トンネルダイジェストアルゴリズムオンプレミス VPN ゲートウェイでサポートされているフェーズ 2 ダイジェストアルゴリズム

を選択します。

注： [トンネルの暗号化] に GCM ベースの暗号を指定する場合は、[トンネルダイジェストアルゴリズム] を [なし] に設定します。ダイジェスト機能は GCM 暗号に不可欠です。

完全転送セクレシーオンプレミス VPN ゲートウェイの設定に合わせて有効または無効にします。Perfect Forward Secrecy を有効にすると、プライベートキーが盗み取られたとしても、記録された

（過去の）セッションが復号されることを回避できます。

IKE 暗号化オンプレミス VPN ゲートウェイでサポートされているフェーズ 1 (IKE) 暗号を選択します。

IKE ダイジェストアルゴリズムオンプレミス VPN ゲートウェイでサポートされているフェーズ 1 ダイジェストアルゴリズム

を選択します。ベストプラクティスは、[IKE ダイジェストアルゴリズム] と [トンネルダイジ

ェストアルゴリズム] の両方に同じアルゴリズムを使用することです。

注： [IKE 暗号化] に GCM ベースの暗号を指定する場合は、[IKE ダイジェストアルゴリズム] を [なし] に設定します。ダイジェスト機能は GCM 暗号に不可欠です。GCM ベースの暗号を

使用する場合は IKE V2 を使用する必要があります。

IKE タイプ n IKEv1 プロトコルを開始して受け入れる場合は、[IKE V1] を指定します。

n IKEv2 プロトコルを開始して受け入れる場合は、[IKE V2] を指定します。GCM ベースの

[IKE ダイジェストアルゴリズム] を指定した場合は、IKEv2 を使用する必要があります。

n IKEv1 または IKEv2 を受け入れてから IKEv2 を開始する場合は、[IKE FLEX] を指定しま

す。IKEv2 の開始に失敗した場合、IKE FLEX は IKEv1 にフォールバックしません。


VMware, Inc. 23


Diffie Hellman オンプレミス VPN ゲートウェイでサポートされている Diffie-Hellman グループを選択しま

す。この値は、VPN トンネルの両側で同一にする必要があります。グループ番号が大きいほ

ど、保護は強化されます。グループ 14 以上を選択することをお勧めします。

プリシェアードキートンネルの両側が相互に認証するために使用する事前共有キーを入力します。

文字列の最大長は 128 文字です。




結果

VPN の作成プロセスには数分かかることがあります。ポリシーベースの VPN が使用可能になると、次のアクション

を実行して、VPN のオンプレミス側のトラブルシューティングと設定を行うことができるようになります。

n [設定のダウンロード] をクリックし、VPN 設定の詳細を含むファイルをダウンロードします。これらの詳細を使

用して、この VPN のオンプレミスのエンドを設定できます。

n [統計情報の表示] をクリックし、この VPN のパケットトラフィックの統計情報を表示します。VPN トンネルの

ステータスと統計情報の表示を参照してください。

次のステップ

必要に応じて、ファイアウォールルールを作成または更新します。ポリシーベース VPN を経由するトラフィックを

許可するには、[適用先] フィールドで [インターネットインターフェイス] を指定します。

VPN トンネルのステータスと統計情報の表示

この VMC コンソールは、IPSec VPN セグメントと L2VPN セグメントの状態と統計情報を提供します。

手順


2 [ネットワークとセキュリティ] - [VPN] の順にクリックします。

3 [ルートベース VPN]、[ポリシーベース VPN]、または [レイヤー 2 VPN] をクリックし、選択されたタイプの VPN を一覧表示します。

次のいずれかの操作を実行します。

n 情報アイコンをクリックすると、ステータスメッセージが表示され、チャネル（IKE フェーズ 1 ネゴシエーション）とトンネルのステータスに関するその他の情報を確認できます。

n VPN 行を展開して VPN の詳細を表示してから、[統計情報を表示] をクリックしてトラフィックの統計情報

を表示します。すべてのトンネル、または選択した VPN (0.0.0.0/0) によって使用されるトンネルについて、

集計されたステータスと統計情報を取得できます。集計された統計情報を表示する際には、[統計情報] 列の

[詳細情報の表示] をクリックすると、エラーの統計情報のリストを表示できます。


VMware, Inc. 24



n 更新アイコンをクリックすると、トンネルの統計情報が更新されます。

トンネルが無効になった場合や再度有効になった場合は、VPN 関連のすべての統計情報が 0 にリセットされ

ます。

次のステップ

VPN 接続に関する問題のトラブルシューティングの詳細については、『NSX Data Center for vSphere』ドキュメン

トの Virtual Private Network (VPN) のトラブルシューティングと、NSX-T Data Center トラブルシューティングガイドを参照してください。

IPsec VPN 設定リファレンス

IPsec VPN のオンプレミス側の設定は、その VPN の Software-Defined Data Center (SDDC) 側で指定した設定と

同じにする必要があります。

次の表は、SDDC IPsec VPN 設定の概要を示したものです。設定には変更可能なものと、変更できない固定的なもの

があります。この情報を使用して、オンプレミスの VPN ソリューションを SDDC 内の VPN ソリューションと一致

するように設定できるかどうかを確認してください。以下の表に記載されたすべての固定設定と、変更可能な任意の

設定をサポートするオンプレミスの VPN ソリューションを選択します。

IKE (Internet Key Exchange) フェーズ 1 の設定

表 2-2. 変更可能な IKE フェーズ 1 設定

属性使用可能な値推奨値

プロトコル IKEv1、IKEv2、IKE FLEX IKEv2

暗号化アルゴリズム AES（128、256）、AES-GCM（128、

192、256）

AES GCM

トンネル/IKE ダイジェストアルゴリズ

ム

SHA-1、SHA-2 SHA-2

Diffie Hellman (DH) DH グループ 2、5、14 ～ 16 DH グループ 14 ～ 16

表 2-3. 固定の IKE フェーズ 1 設定

属性値

ISAKMP モード Main モード（アグレッシブモードを無効化）

ISAKMP/IKE SA ライフタイム 86,400 秒（24 時間）

IPsec モードトンネル

IKE 認証 PSK (Pre Shared Key)


VMware, Inc. 25

https://docs.vmware.com/jp/VMware-NSX-Data-Center-for-vSphere/6.4/com.vmware.nsx.troubleshooting.doc/GUID-3E4D0B69-B7E7-4C8B-BC78-A3FB3EE5E8BA.html

https://docs.vmware.com/jp/VMware-NSX-T-Data-Center/2.3/troubleshooting/GUID-54B18FEF-7C90-468F-BD2E-C74E99EC0008.html

https://docs.vmware.com/jp/VMware-NSX-T-Data-Center/2.3/troubleshooting/GUID-54B18FEF-7C90-468F-BD2E-C74E99EC0008.html

フェーズ 2 の IKE 設定

表 2-4. 変更可能な IKE フェーズ 2 設定

属性使用可能な値推奨値

暗号化アルゴリズム AES-256、AES-GCM、AES AES-GCM

PFS (Perfect Forward Secrecy) Enabled、Disabled 有効

Diffie Hellman (DH) DH グループ 2、5、14 ～ 16 DH グループ 14 ～ 16

表 2-5. 固定の IKE フェーズ 2 設定

属性値

ハッシュアルゴリズム SHA-1

トンネルモード ESP (Encapsulating Security Payload)

SA ライフタイム 3600 秒（1 時間）

オンプレミス IPsec VPN の設定

VPN 設定の詳細を含むファイルをダウンロードするには、VPN のステータスページで [設定のダウンロード] をクリ

ックします。これらの詳細を使用して、VPN のオンプレミスのエンドを設定できます。

注： VPN のオンプレミス側では、アイドルタイムアウト（たとえば、NSX の [セッションアイドルタイムアウ

ト]）を設定しないでください。オンプレミスのアイドルタイムアウトを設定すると、VPN の切断が断続的に発生す

る可能性があります。

VMware {code} には、いくつかの一般的なエンドポイントデバイスのサンプル構成ファイルが提供されています。

n Palo Alto Networks のファイアウォール

管理ゲートウェイのネットワークおよびセキュリティの構成

管理ネットワークと管理ゲートウェイは、SDDC でほぼ事前構成されています。ただし、vCenter Server や HCX などの管理ネットワークサービスへのアクセスを構成し、管理ネットワークと他のネットワーク（オンプレミスネッ

トワークやその他の SDDC ネットワークなど）間のトラフィックを許可するための管理ゲートウェイファイアウォ

ールルールを作成する必要があります。

手順

1 vCenter Server の FQDN 解決アドレスの設定

SDDC vCenter Server には、パブリック IP アドレスまたはプライベート IP アドレスで接続できます。プライ

ベート IP アドレスは、SDDC VPN から解決できます。パブリック IP アドレスは、インターネットから解決で

きます。

2 HCX FQDN 解決アドレスの設定

HCX には、パブリック IP アドレスまたはプライベート IP アドレスで接続できます。プライベート IP アドレス

は、SDDC VPN から解決できます。パブリック IP アドレスは、インターネットから解決できます。


VMware, Inc. 26

https://code.vmware.com/samples/6489/sample-palo-alto-routing-configuration-with-vmware-cloud-on-aws?h=Sample

3 管理ゲートウェイのファイアウォールルールの追加または変更

デフォルトでは、管理ゲートウェイはすべての送信元からのすべての宛先へのトラフィックをブロックします。

必要に応じて管理ゲートウェイのファイアウォールルールを追加し、トラフィックを許可してください。

vCenter Server の FQDN 解決アドレスの設定

SDDC vCenter Server には、パブリック IP アドレスまたはプライベート IP アドレスで接続できます。プライベート

IP アドレスは、SDDC VPN から解決できます。パブリック IP アドレスは、インターネットから解決できます。

前提条件

プライベート IP アドレスで SDDC vCenter Server にアクセスできるようにするには、SDDC をオンプレミスデー

タセンターに接続する VPN を設定する必要があります。ルートベースの VPN の作成またはポリシーベース VPN の作成を参照してください。

手順


2 SDDC の [設定] タブに移動します。

3 [vCenter Server の FQDN] を展開して [編集] をクリックします。

4 [解決アドレス] の下で、[パブリック IP アドレス] または [プライベート IP アドレス] のいずれかを選択し、[保存] をクリックします。

HCX FQDN 解決アドレスの設定

HCX には、パブリック IP アドレスまたはプライベート IP アドレスで接続できます。プライベート IP アドレスは、

SDDC VPN から解決できます。パブリック IP アドレスは、インターネットから解決できます。

前提条件

プライベート IP アドレスで HCX にアクセスできるようにするには、SDDC をオンプレミスデータセンターに接続

する VPN を設定する必要があります。ルートベースの VPN の作成またはポリシーベース VPN の作成を参照して

ください。

手順


2 SDDC の [設定] タブに移動します。

3 [HCX FQDN] を展開して [編集] をクリックします。

4 [解決アドレス] の下で、[パブリック IP アドレス] または [プライベート IP アドレス] のいずれかを選択し、[保存] をクリックします。

管理ゲートウェイのファイアウォールルールの追加または変更

デフォルトでは、管理ゲートウェイはすべての送信元からのすべての宛先へのトラフィックをブロックします。必要

に応じて管理ゲートウェイのファイアウォールルールを追加し、トラフィックを許可してください。


VMware, Inc. 27



管理ゲートウェイファイアウォールルールは、指定された送信元から指定された宛先へのネットワークトラフィッ

クに対して実行するアクションを指定します。送信元と宛先は、[任意] か、システム定義またはユーザー定義のイン

ベントリグループのメンバーに設定できます。インベントリグループの表示または変更の詳細については、管理グ

ループの追加を参照してください。

手順


2 [ネットワークとセキュリティ] タブで、[ゲートウェイのファイアウォール] をクリックします。

3 [ゲートウェイファイアウォール] カードで、[管理ゲートウェイ] をクリックしてから、[ルールの追加] をクリッ

クし、新しいルールの [名前] を入力します。

4 新しいルールのパラメータを入力します。

パラメータはデフォルト値に初期化されます（[送信元] と [宛先] は [すべて] など）。パラメータを編集するには、

パラメータ値の上にマウスカーソルを移動し、鉛筆アイコン ( ) をクリックしてパラメータ固有のエディタ

を開きます。


送信元任意の送信元アドレスまたはアドレスの範囲からのトラフィックを許可するには、[任意] を選

択します。

[システム定義のグループ] を選択し、次の送信元オプションのいずれかを選択します。

n [ESXi] を選択すると、SDDC の ESXi ホストからのトラフィックを許可します。

n [NSX Manager] を選択すると、SDDC の NSX-T マネージャアプライアンスからのトラ

フィックを許可します。

n [vCenter Server] を選択すると、SDDC の vCenter Server からのトラフィックを許可し

ます。

[ユーザー定義のグループ] を選択すると、自分が定義した管理グループを使用できます。管理

グループの追加を参照してください。

宛先任意の宛先アドレスまたはアドレスの範囲へのトラフィックを許可するには、[任意] を選択し

ます。

[システム定義のグループ] を選択し、次の宛先オプションのいずれかを選択します。

n [ESXi] を選択すると、SDDC の ESXi 管理へのトラフィックを許可します。

n [NSX Manager] を選択すると、SDDC の NSX-T へのトラフィックを許可します。

n [vCenter Server] を選択すると、SDDC の vCenter Server へのトラフィックを許可しま

す。

サービスルールが適用されるサービスタイプを選択します。サービスタイプのリストは、対象の [送信

元] と [宛先] によって異なります。

操作新しい管理ゲートウェイのファイアウォールルールでは [許可] アクションのみ設定できます。

新しいルールはデフォルトで有効になります。トグルボタンを左にスライドして無効にします。

5 [発行] をクリックして、ルールを作成します。

ファイアウォールルールは、一番上から順に適用されます。デフォルトの [ドロップ] ルールが最下位にあり、そ

の上のルールは常に [許可] ルールであるため、管理ゲートウェイファイアウォールルールの順序はトラフィッ

クフローに影響を与えません。


VMware, Inc. 28


例：管理ゲートウェイのファイアウォールルールの作成

オンプレミスの ESXi ホストから SDDC の ESXi ホストへの vMotion トラフィックを許可する管理ゲートウェイファイアウォールルールを作成するには、次の手順を行います。

1 SDDC への vMotion トラフィックを許可するオンプレミス ESXi ホストが含まれた、管理インベントリグルー

プを作成します。

2 送信元に ESXi、宛先にオンプレミスの ESXi ホストを指定して、管理ゲートウェイルールを作成します。

3 また、送信元にオンプレミスの ESXi ホストグループ、宛先に vMotion サービスを有効にした ESXi を指定し

て、別の管理ゲートウェイを作成します。

次のステップ

既存のファイアウォールルールを使用して、これらの任意のアクションのいずれか、またはすべてを実行できます。

n 歯車アイコンをクリックして、ルールのログ設定を表示または変更します。ログのエントリは、VMware vRealize Log Insight Cloud サービスに送信されます。『VMware Cloud on AWS Operations Guide』の

Using vRealize Log Insight Cloud を参照してください。

n グラフのアイコンをクリックすると、次のようなルールの統計情報が表示されます。

ポピュラリティインデッ

クス

過去 24 時間にルールがトリガーされた回数。

ヒットカウントルールが作成されてからトリガーされた回数。

統計情報は、ルールが有効になるとすぐに集計が開始されます。

管理ゲートウェイのファイアウォールルールの例

一部の一般的なファイアウォールルールの設定には、インターネットからの vSphere Client へのアクセスの提供、

管理 VPN トンネルを経由した vCenter Server へのアクセスの許可、およびリモートコンソールアクセスの許可が

含まれます。

一般的に使用されるファイアウォールルール

次の表は、一般的に使用されるファイアウォールルールのサービス、ソースおよびターゲットの設定を示していま

す。


VMware, Inc. 29

https://docs.vmware.com/jp/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws-operations/GUID-F6540D2D-B8AC-4943-9727-8E0DDD8990A1.html

表 2-6. 一般的に使用されるファイアウォールルール

使用事例サービス送信元宛先

vCenter Server へのインターネッ

トからのアクセスの提供。

一般的な vSphere Client アクセス

および vCenter Server の監視に使

用します。

HTTPS パブリック IP アドレス vCenter Server

vCenter Server への VPN トンネ

ルを経由したアクセスの提供。

管理ゲートウェイ VPN、ハイブリッ

ドリンクモード、コンテンツライ

ブラリに必要です。

HTTPS オンプレミスデータセンターから

の IP アドレスまたは CIDR ブロ

ック

vCenter Server

Active Directory、Platform Services Controller、コンテンツ

ライブラリなどのオンプレミスサービスへの、クラウド vCenter Server からのアクセスの提供。

任意 vCenter オンプレミスデータセンターから

の IP アドレスまたは CIDR ブロッ

ク

コールド移行、オンプレミスの仮想

マシンからのクローン作成、スナッ

プショットの移行、レプリケーショ

ンなどのネットワークファイルコピートラフィックを含むプロビジ

ョニング操作。

プロビジョニングパブリックまたは VPN トンネル

で接続されたオンプレミスデータ

センターからの IP アドレスまた

は CIDR ブロック

ESXi 管理

VMRC リモートコンソールアクセ

ス。

vRealize Automation に必要で

す。

リモートコンソールパブリックまたは VPN トンネル

で接続されたオンプレミスデータ

センターからの IP アドレスまた

は CIDR ブロック

ESXi 管理

VPN を経由した vMotion トラフ

ィック。

任意 ESXi 管理オンプレミスデータセンターから

の IP アドレスまたは CIDR ブロッ

ク

コンピューティングゲートウェイのネットワークおよびセキュリティを構成

コンピューティングゲートウェイネットワークには、1 つ以上のセグメントを含むコンピューティングネットワー

クと、ワークロード仮想マシンのネットワークトラフィックを管理する DNS 構成、DHCP 構成、セキュリティ構成

（ゲートウェイファイアウォールおよび分散ファイアウォール）が含まれます。また、オンプレミスネットワークと

SDDC ワークロードネットワークにまたがる単一のブロードキャストドメインを提供するレイヤー 2 VPN と拡張

ネットワークが含まれる場合もあります。

手順

1 ネットワークセグメントの作成または変更

ネットワークセグメントは、SDDC コンピューティングネットワークのワークロード仮想マシンによって使用

される論理ネットワークです。


VMware, Inc. 30

2 レイヤー 2 VPN および拡張ネットワークセグメントの構成

VMware Cloud on AWS のレイヤー 2 仮想プライベートネットワーク (L2VPN) を使用して、オンプレミスネットワークを SDDC の 1 つ以上の VLAN ベースのネットワークに拡張できます。この拡張ネットワークは、単

一のブロードキャストドメインを持つ単一のサブネットです。これを使用することで、IP アドレスを変更せず

にクラウド SDDC との間で仮想マシンを移行できます。

3 コンピューティングゲートウェイのファイアウォールルールの追加または変更

デフォルトでは、コンピューティングゲートウェイはすべてのアップリンクへのトラフィックをブロックしま

す。必要に応じて、トラフィックを許可するコンピューティングゲートウェイのファイアウォールルールを追

加します。

4 分散ファイアウォールルールの追加または変更

分散ファイアウォールルールは、仮想マシンレベルで適用され、SDDC 内の East-West トラフィックを制御

します。

5 DNS サービスの構成

VMware Cloud on AWS の DNS 転送サービスは DNS ゾーンで実行されます。このサービスによって、クエ

リを DNS サーバに転送し、仮想マシンが完全修飾ドメイン名を IP アドレスに解決できるようになります。

6 コンピューティングゲートウェイの DHCP リレーの設定

デフォルトの設定では、ローカルサーバは、すべてのルーティング設定されたセグメント上のワークロード仮

想マシンの DHCP 要求を処理します。ワークロードネットワーク上の IP アドレスを管理する外部 DHCP サーバがある場合は、DHCP 要求をそのサーバに転送するようにコンピューティングゲートウェイを設定できま

す。

ネットワークセグメントの作成または変更

ネットワークセグメントは、SDDC コンピューティングネットワークのワークロード仮想マシンによって使用され

る論理ネットワークです。

VMware Cloud on AWS は、3 種類の論理ネットワークセグメント（ルーティング、拡張、および切断）をサポー

トしています。

n ルーティングネットワークセグメント（デフォルトタイプ）は、SDDC 内の他の論理ネットワークと接続した

り、SDDC ファイアウォールを介して外部ネットワークに接続したりします。

n 拡張ネットワークセグメントは、既存の L2VPN トンネルを拡張し、SDDC とオンプレミスネットワークにまた

がる単一の IP アドレス空間を提供します。

n 切断されたネットワークセグメントには、アップリンクがありません。接続されている仮想マシンのみがアクセ

スできる、分離されたネットワークが提供されます。切断されたセグメントは、HCX で必要になると作成されま

す（Getting started with VMware HCX を参照）。自分で作成したり、他のセグメントタイプに変換したりす

ることもできます。

SDDC あたりのセグメント数の制限、およびセグメントあたりのネットワーク接続数の制限については、

Configuration Maximums for VMware Cloud on AWS を参照してください。


VMware, Inc. 31

https://cloud.vmware.com/vmware-hcx


単一ホストスタータ SDDC が、sddc-cgw-network-1 という名前の単一ルーティングネットワークセグメントを

使用して作成されます。このネットワークは、SDDC 管理ネットワーク用に選択した CIDR ブロックと競合しない限

り、CIDR ブロック 192.168.1.0/24 を使用します。マルチホスト SDDC はデフォルトのネットワークセグメントな

しで作成されるため、ワークロード仮想マシン用に少なくとも 1 つ作成する必要があります。

手順


2 [ネットワークとセキュリティ] - [セグメント] の順にクリックします。

既存のセグメントの構成を変更するには、省略記号ボタンをクリックして [編集] を選択します。新しいセグメン

トを作成するには、[セグメントの追加] をクリックし、新しいセグメントの [名前] を指定します。

3 セグメントの [タイプ] を指定し、必要な構成パラメータを入力します。

パラメータの要件は、セグメントのタイプによって異なります

表 2-7. ルーティングされたセグメントの構成パラメータ

パラメータ値

VPN トンネル ID ルーティングされたセグメントタイプまたは切断済みのセグメントタイプの場合はな

し。

ゲートウェイ IP アドレス/プリフィックス長セグメントの CIDR ブロックを指定します。ブロックは管理ネットワークと重複しない

ようにし、接続されている Amazon VPC のどのサブネットとも重複しないようにする必

要があります。

DHCP デフォルトでは無効。このセグメント上の仮想マシンに対してネイティブの NSX DHCP サービスを有効にするには、[有効] を選択します。セグメントの DHCP IP アドレ

ス範囲および DNS サフィックスを指定します。セグメントに接続している仮想マシン

は、指定された DHCP サーバから IP アドレスを取得し、仮想マシンの FQDN には指定

された DNS サフィックスが付きます。

注：いずれかのコンピューティングネットワークセグメントでネイティブの NSX DHCP を有効にすると、コンピューティングゲートウェイに対して DHCP リレーを有効

にすることはできなくなります。コンピューティングゲートウェイの DHCP リレーの

設定を参照してください。

DHCP IP アドレス範囲 DHCP が [有効] の場合は、セグメントに接続されている仮想マシンの DHCP IP アドレ

ス範囲を指定します。

ドメイン名 DHCP が [有効] の場合は、セグメントに接続されている仮想マシンに割り当てる FQDN を指定します。

表 2-8. 拡張セグメントの構成パラメータ

パラメータ値

VPN トンネル ID 既存の L2VPN トンネルのトンネル ID を指定します。ルーティングされたセグメント

タイプまたは切断済みのセグメントタイプの場合はなし。まだ L2VPN を作成していな

い場合は、SDDC でのレイヤー 2 VPN トンネルの設定を参照してください。

ゲートウェイ IP アドレス/プリフィックス長拡張セグメントの場合はなし。

DHCP 拡張セグメントの場合はなし。


VMware, Inc. 32


表 2-8. 拡張セグメントの構成パラメータ（続き）

パラメータ値

DHCP IP アドレス範囲拡張セグメントの場合はなし。

ドメイン名拡張セグメントの場合はなし。

表 2-9. 切断済みのセグメントの構成パラメータ

パラメータ値

VPN トンネル ID ルーティングされたセグメントタイプまたは切断済みのセグメントタイプの場合はな

し。

ゲートウェイ IP アドレス/プリフィックス長セグメントの CIDR ブロックを指定します。ブロックは管理ネットワークと重複しない

ようにし、接続されている Amazon VPC のどのサブネットとも重複しないようにする必

要があります。

DHCP 切断済みセグメントの場合はなし。

DHCP IP アドレス範囲切断済みセグメントの場合はなし。

ドメイン名切断済みセグメントの場合はなし。

4 [保存] をクリックしてセグメントを作成または更新します。

要求されたセグメントが、システムによって作成されます。この操作は、完了までに最大で 15 秒ほどかかるこ

とがあります。セグメントの [ステータス] が [Up] に移行すると、そのセグメントが使用可能になります。セグ

メントの [ステータス] が [Down] の場合は、情報アイコンをクリックして、問題の原因に関する詳細情

報を表示できます。

レイヤー 2 VPN および拡張ネットワークセグメントの構成

VMware Cloud on AWS のレイヤー 2 仮想プライベートネットワーク (L2VPN) を使用して、オンプレミスネット

ワークを SDDC の 1 つ以上の VLAN ベースのネットワークに拡張できます。この拡張ネットワークは、単一のブロ

ードキャストドメインを持つ単一のサブネットです。これを使用することで、IP アドレスを変更せずにクラウド

SDDC との間で仮想マシンを移行できます。

データセンターの移行に加えて、ディザスタリカバリ、または必要に応じてクラウドコンピューティングリソース

への動的アクセス（別名「クラウドバースト」）に拡張 L2VPN ネットワークを使用できます。

L2VPN は、最大 100 個のオンプレミスネットワークを拡張できます。VMware Cloud on AWS は NSX-T を使用し

て、クラウド SDDC 内で L2VPN サーバを提供します。オンプレミスのデータセンターにダウンロードおよび展開し

たスタンドアローンの NSX Edge がある場合、ｌこれを利用して L2VPN クライアント機能を提供できます。


VMware, Inc. 33

VMware Cloud on AWS の L2VPN 機能は、VLAN ネットワークの拡張をサポートします。NSX-T サーバへの

L2VPN 接続は IPsec トンネルを使用します。L2VPN の拡張ネットワークは、仮想マシンネットワークを拡張してワ

ークロードのトラフィックを伝送するためにのみ使用されます。このネットワークは移行トラフィック（ESXi の管理

または vMotion）に使用される VMkernel ネットワークから独立しています。VMkernel ネットワークでは、個別の

IPsec VPN または Direct Connect 接続が使用されます。

重要： L2VPN クライアントおよびサーバを構成し、クライアントに割り当てられたトンネル ID を指定する拡張ネ

ットワークを作成するまで、L2VPN トンネルは起動できません。

手順

1 SDDC でのレイヤー 2 VPN トンネルの設定

レイヤー 2 VPN トンネルの SDDC 側を作成するには、ローカル (AWS) の IP アドレス、リモート（オンプレミ

ス）のパブリック IP アドレス、リモートのプライベート IP アドレスを指定します。

2 レイヤー 2 VPN の拡張セグメントの構成

拡張ネットワークには、オンプレミスネットワークとクラウド SDDC 内のネットワーク間をセキュアな通信ト

ンネルで接続する、レイヤー 2 仮想プライベートネットワーク (L2VPN) が必要です。

3 自律 NSX Edge のダウンロードと構成

L2VPN のオンプレミス側には、自律エッジと呼ばれる特別に設定されたスタンドアローンの NSX Edge アプラ

イアンスが必要です。L2VPN を作成するには、このアプライアンスおよび関連するオンプレミスの vSphere ネットワークをダウンロードして、インストールし、設定する必要があります。

SDDC でのレイヤー 2 VPN トンネルの設定

レイヤー 2 VPN トンネルの SDDC 側を作成するには、ローカル (AWS) の IP アドレス、リモート（オンプレミス）

のパブリック IP アドレス、リモートのプライベート IP アドレスを指定します。

VMware Cloud on AWS では、オンプレミス環境と SDDC の間で 1 つのレイヤー 2 VPN トンネルがサポートされ

ます。

手順


2 [ネットワークとセキュリティ] - [VPN] - [レイヤー 2] の順に選択します。

3 [VPN トンネルの追加] をクリックします。


VMware, Inc. 34


4 VPN パラメータを設定します。


ローカル IP アドレス n この SDDC で AWS Direct Connect を構成していて、それを VPN で使用する場合は、

プライベート IP アドレスを選択します。SDDC の管理およびコンピューティングネット

ワークトラフィック用のプライベート仮想インターフェイスの作成を参照してください。

n VPN をインターネット経由で SDDC に接続する場合は、パブリック IP アドレスを選択し

ます。

リモートパブリック IP アドレスオンプレミス L2VPN ゲートウェイのリモートパブリック IP アドレスを入力します。L2VPN の場合、これは常にスタンドアローンの NSX Edge アプライアンスです（自律 NSX Edge のダウンロードと構成を参照）。

リモートプライベート IP アドレスオンプレミスのゲートウェイが NAT の背後に構成されている場合は、リモートのプライベー

ト IP アドレスを入力します。



6 （オプション） [説明] を追加します。


SDDC 環境によっては、レイヤー 2 VPN の作成プロセスに数分かかる場合があります。レイヤー 2 VPN トンネ

ルが使用可能になると、ステータスが [UP] に変わります。

レイヤー 2 VPN の拡張セグメントの構成

拡張ネットワークには、オンプレミスネットワークとクラウド SDDC 内のネットワーク間をセキュアな通信トンネ

ルで接続する、レイヤー 2 仮想プライベートネットワーク (L2VPN) が必要です。

このトンネルの両端に ID が設定されています。クラウド SDDC およびトンネルのオンプレミス側でトンネル ID が一致する場合は、2 つのネットワークが同じブロードキャストドメインに属します。拡張ネットワークは、デフォル

トゲートウェイとしてオンプレミスゲートウェイを使用します。DHCP および DNS などの他のネットワークサー

ビスもオンプレミスで提供されます。

論理ネットワークは、ルーティングから拡張ネットワークへ、または拡張ネットワークからルーティングへ変更でき

ます。たとえば、論理ネットワークを拡張ネットワークとして設定し、オンプレミスデータセンターからクラウド

SDDC へ仮想マシンの移行することができます。移行が完了したら、ルーティングに変更して、仮想マシンに

VMware Cloud on AWS ネットワークサービスの使用を許可することができます。

前提条件

レイヤー 2 VPN トンネルが使用可能であることを確認します。SDDC でのレイヤー 2 VPN トンネルの設定を参照

してください。

手順


2 L2VPN トンネルのトンネル ID にバインドされた拡張セグメントを作成するには、ネットワークセグメントの作

成または変更の手順を実行します。


VMware, Inc. 35




4 [設定のダウンロード] をクリックして、ピアコードなどの、リモート側の VPN 設定のオンプレミスを設定する

ときに必要な情報を含むファイルをダウンロードします。

5 [リモートスタンドアローン Edge のダウンロード] をクリックして、L2VPN のクライアント側としてインスト

ールおよび設定する OVF 形式の NSX スタンドアローン Edge イメージをダウンロードします。自律 NSX Edge のダウンロードと構成を参照してください。

自律 NSX Edge のダウンロードと構成

L2VPN のオンプレミス側には、自律エッジと呼ばれる特別に設定されたスタンドアローンの NSX Edge アプライア

ンスが必要です。L2VPN を作成するには、このアプライアンスおよび関連するオンプレミスの vSphere ネットワー

クをダウンロードして、インストールし、設定する必要があります。

L2VPN を作成するには、スタンドアローンの NSX Edge アプライアンスをダウンロードして設定する必要がありま

す。レイヤー 2 VPN 拡張セグメントの設定を参照してください。SDDC に接続する L2VPN のクライアント側とし

て、オンプレミスの NSX-T エッジを使用することはできません。

手順

1 スタンドアローンの NSX Edge をダウンロードします。

[L2VPN] 画面で [自律エッジのダウンロード] をクリックし、自律型のスタンドアローンの NSX-T エッジを OVF ファイルとしてダウンロードします。

2 オンプレミスの vCenter Server に自律エッジをインストールして構成する方法の詳細については、『NSX-T Data Center Administration Guide』の Add an Autonomous Edge as an L2 VPN Client を参照してくださ

い。

コンピューティングゲートウェイのファイアウォールルールの追加または変更

デフォルトでは、コンピューティングゲートウェイはすべてのアップリンクへのトラフィックをブロックします。必

要に応じて、トラフィックを許可するコンピューティングゲートウェイのファイアウォールルールを追加します。

コンピューティングゲートウェイファイアウォールルールは、指定された送信元から指定された宛先へのネットワ

ークトラフィックに対して実行するアクションを指定します。アクションは、許可（トラフィックを許可する）かド

ロップ（指定された送信元と宛先に一致するすべてのパケットをドロップする）のいずれかです。送信元と宛先は、

物理ネットワークインターフェイスのリストから選択するか、[すべてのアップリンク] という一般的な指定（ゲート

ウェイから VPC インターフェイス、インターネットインターフェイス、Direct Connect インターフェイスに向かう

すべてのトラフィックを表す）によって選択できます。[すべてのアップリンク] に適用されるファイアウォールルー

ルは、仮想インターフェイスであって物理アップリンクではない [VPN トンネルインターフェイス] (VTI) には適用さ

れません。[VPN トンネルインターフェイス] は、ルートベースの VPN で行われるワークロード仮想マシンの通信を

管理する、任意のファイアウォールルールの [Applied To] パラメータで明示的に指定する必要があります。コンピ

ューティングゲートウェイには、VTI へのすべてのトラフィックをドロップする [デフォルト VTI ルール] が含まれて

います。ワークロード仮想マシンが VTI 上で通信できるようにするには、このルールを変更するか、ルール階層の下

位に移動して、より許可度の高いルールの後ろに配置します。


VMware, Inc. 36

https://docs.vmware.com/jp/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws.networking-security/GUID-580789EC-84CD-4172-B5C3-5A60B9115D55.html

https://docs-staging.vmware.com/en/draft/VMware-NSX-T-Data-Center/2.5/administration/GUID-BE8A3D3C-5E0D-4777-B4F4-908E64FCB771.html

ファイアウォールを通過するすべてのトラフィックに、このルールテーブルのルールが上から順に適用されます。上

位のルールで許可されたパケットが、その下のルールに順次渡されていきます。いずれかのルールでパケットがドロ

ップされるか拒否されるまで、またはすべてのトラフィックが許可されるデフォルトルールに適合するまで、ルール

の適用が続けられます。

前提条件

コンピューティングゲートウェイのファイアウォールルールでは、送信元と宛先の値についてインベントリグルー

プを指定する必要があります。コンピューティンググループの追加または変更を参照してください。

手順


2 [ネットワークとセキュリティ] タブで、[ゲートウェイのファイアウォール] をクリックします。

3 [ゲートウェイファイアウォール] 画面で、[コンピューティングゲートウェイ] をクリックします。

4 ルールを追加するには、[ルールの追加] をクリックし、新しいルールの [名前] を入力します。




を開きます。


送信元 [送信元] 列の [任意] をクリックし、送信元ネットワークトラフィックのインベントリグルー

プを選択するか、[グループの追加] をクリックして、このルールで使用する新しいユーザー定

義のインベントリグループを作成します。[保存] をクリックします。

宛先 [宛先] 列の [任意] をクリックし、宛先ネットワークトラフィックのインベントリグループを

選択するか、[新しいグループの作成] をクリックして、このルールで使用する新しいユーザー

定義のインベントリグループを作成します。[保存] をクリックします。

サービス [サービス] 列の [任意] をクリックし、リストからサービスを選択します。[保存] をクリックし

ます。


VMware, Inc. 37



適用先ルールを適用するトラフィックのタイプを定義します。

n ルートベースの VPN 上のトラフィックにルールを適用する場合は、[VPN トンネルイン

ターフェイス] を選択します。

n リンクされた Amazon VPC 接続上のトラフィックにルールを適用する場合は、[VPC インターフェイス] を選択します。

n パブリック IP アドレスを使用するポリシーベースの VPN を含むインターネット上のト

ラフィックにルールを適用する場合は、[インターネットインターフェイス] を選択しま

す。

n プライベート IP アドレスを使用するポリシーベースの VPN を含む AWS Direct Connect（プライベート VIF）上のトラフィックをルールで許可する場合は、[Direct Connect インターフェイス] を選択します。

n [VPC インターフェイス]、[インターネットインターフェイス]、[Direct Connect インタ

ーフェイス] にルールを適用し、[VPN トンネルインターフェイス] に適用しない場合は、

[すべてのアップリンク] を選択します

注： [VPN トンネルインターフェイス] はアップリンクとして分類されていません。

操作 n すべての L2 および L3 トラフィックがファイアウォールを通過できるようにするには、

[許可] を選択します。

n [ドロップ] を選択すると、指定した [送信元]、[宛先]、[サービス] に一致するパケットをド

ロップします。これは、送信元または宛先のシステムに通知されない、サイレントアクシ

ョンです。パケットがドロップされると、再試行のしきい値に到達するまで、接続が再試

行されます。

n [拒否] を選択すると、指定した [送信元]、[宛先]、[サービス] に一致するパケットを拒否し

ます。このアクションは、「宛先への到達不能メッセージ」を送信者に返します。TCP パケットの場合、応答には TCP RST メッセージが含まれます。UDP、ICMP、およびその他

のプロトコルの場合、応答には「管理上禁止」のコード（9 または 10）が含まれます。接

続を確立できない場合、すぐに送信者に通知されます（再試行は行われません）。



次のステップ






クス





VMware, Inc. 38


n ファイアウォールルールを並べ替えます。

[新しいルールの追加] ボタンから作成されたルールは、ルールのリストの一番上に配置されます。ファイアウォ

ールルールは、一番上から順に適用されます。リスト内のルールの位置を変更するには、ルールを選択して新し

い位置にドラッグします。[公開] をクリックして変更を公開します。

分散ファイアウォールルールの追加または変更

分散ファイアウォールルールは、仮想マシンレベルで適用され、SDDC 内の East-West トラフィックを制御しま

す。

分散ファイアウォールを通過するすべてのトラフィックに、このルールテーブルのルールが上から順に適用されま

す。上位のルールで許可されたパケットが、その下のルールに順次渡されていきます。いずれかのルールでパケット

がドロップされるか拒否されるまで、またはすべてのトラフィックが許可されるデフォルトルールに適合するまで、

ルールの適用が続けられます。

分散ファイアウォールルールは、ポリシー別にグループ化されます。ポリシーはカテゴリごとに分類されます。各カ

テゴリには、評価の優先順位があります。優先順位の高いカテゴリのルールは、優先順位の低いカテゴリのルールよ

りも先に評価されます。

表 2-10. 分散ファイアウォールルールのカテゴリ

カテゴリ評価の優先順位カテゴリ名説明

1 イーサネットすべての SDDC ネットワークトラフィックに適用

2 緊急検疫および許可ルールに使用

3 インフラストラクチャ共有サービスへのアクセスを定義します。グローバルルール - Active Directory、DNS、NTP、DHCP、バックアップ、管理サ

ーバ

4 環境ゾーン間のルール - 本番と開発、ビジネスユニット間のルール

5 アプリケーションアプリケーション間、アプリケーション層間のルール、またはマイ

クロサービス間のルール

分散ファイアウォールの専門用語の詳細については、『NSX-T Data Center Administration Guide』の Security Terminology を参照してください。

前提条件

分散ファイアウォールルールは、ソースおよびターゲットとしてインベントリグループを必要とします。また、サ

ービス（事前定義されたサービスまたは SDDC 用に定義したカスタムサービス）に適用する必要があります。これ

らのグループやサービスはルールの作成中に作成できますが、事前にこのような操作を行っておくと、プロセスを高

速化できます。コンピューティンググループの追加または変更およびカスタムサービスの追加を参照してくださ

い。

手順



VMware, Inc. 39

https://docs.vmware.com/jp/VMware-NSX-T-Data-Center/2.5/administration/GUID-FECD23C2-522A-487B-93E8-9295ADED2CD6.html

https://docs.vmware.com/jp/VMware-NSX-T-Data-Center/2.5/administration/GUID-FECD23C2-522A-487B-93E8-9295ADED2CD6.html


2 [ネットワークとセキュリティ] - [分散ファイアウォール] の順に選択します。

[カテゴリ固有のルール] をクリックしてカテゴリを選択すると、そのカテゴリのポリシーとルールを表示および

修正できます。[すべてのルール] をクリックすると、すべてのポリシーとカテゴリのルールを表示できます（修

正はできません）。

3 （オプション）デフォルトの接続方法を変更します。

デフォルトでは、分散ファイアウォールにはすべてのトラフィックに対する暗黙的な許可ルールが含まれていま

す。このルールはルールのリストには表示されませんが、他のすべてのルールの後に評価され、先に評価された

ルールに一致しないトラフィックがファイアウォールを通過できるようにします。接続方法アイコン ( ) をクリックして、使用可能な方法のリストを表示します。現在の方法を変更するには、別の方法を選択して [保存] をクリックします。使用可能な接続方法の詳細については、『NSX-T Data Center Administration Guide』

の Select a Default Connectivity Strategy を参照してください。

4 リストの一番上にポリシーを追加するには、[ポリシーの追加] をクリックし、新しいポリシーの [名前] を指定し

ます。

既存のポリシーの前後にポリシーを追加するには、ポリシー行の先頭の縦方向の省略記号ボタンをクリックして

ポリシー設定メニューを開き、[ポリシーを上に追加] または [ポリシーを下に追加] をクリックします。

デフォルトでは、新しいポリシーは分散ファイアウォール ([DFW]) に適用されますが、適用対象のインベントリ

グループを 1 つ以上指定することもできます。ポリシーの [適用先] の値は、ポリシーのすべてのルールに反映さ

れます。

5 ルールを追加するには、ポリシーを選択して [新規ルールの追加] をクリックし、ルールの [名前] を入力します。




を開きます。


送信元 [送信元] 列の [任意] をクリックし、送信元ネットワークトラフィックのインベントリグルー

プを選択するか、[グループの追加] をクリックして、このルールで使用する新しいユーザー定

義のインベントリグループを作成します。[保存] をクリックします。

宛先 [宛先] 列の [任意] をクリックし、宛先ネットワークトラフィックのインベントリグループを

選択するか、[新しいグループの作成] をクリックして、このルールで使用する新しいユーザー

定義のインベントリグループを作成します。[保存] をクリックします。

サービス [サービス] 列の [任意] をクリックし、リストからサービスを選択します。[保存] をクリックし

ます。


VMware, Inc. 40

https://docs.vmware.com/jp/VMware-NSX-T-Data-Center/2.5/administration/GUID-2A5A2F99-FB26-4A0E-95DA-EA9014CBFB5C.html


適用先ルールは、そのルールが含まれているポリシーの [適用先] の値を継承します。

操作 n すべての L2 および L3 トラフィックがファイアウォールを通過できるようにするには、

[許可] を選択します。

n [ドロップ] を選択すると、指定した [送信元]、[宛先]、[サービス] に一致するパケットをド

ロップします。これは、送信元または宛先のシステムに通知されない、サイレントアクシ

ョンです。パケットがドロップされると、再試行のしきい値に到達するまで、接続が再試

行されます。

n [拒否] を選択すると、指定した [送信元]、[宛先]、[サービス] に一致するパケットを拒否し

ます。このアクションは、「宛先への到達不能メッセージ」を送信者に返します。TCP パケットの場合、応答には TCP RST メッセージが含まれます。UDP、ICMP、およびその他

のプロトコルの場合、応答には「管理上禁止」のコード（9 または 10）が含まれます。接

続を確立できない場合、すぐに送信者に通知されます（再試行は行われません）。



次のステップ






クス




n ファイアウォールルールを並べ替えます。

[新しいルールの追加] ボタンから作成されたルールは、ポリシーのルールのリストの一番上に配置されます。各

ポリシーのファイアウォールルールは、一番上から順に適用されます。リスト内のルールの位置を変更するに

は、ルールを選択して新しい位置にドラッグします。[公開] をクリックして変更を公開します。

分散ファイアウォールルールの管理

ファイアウォールを通過するトラフィックには、[すべてのルール] に表示されている順序でルールが適用されます。

[すべてのルール] リストの分散ファイアウォールルールの順序は、ポリシーの順序付きリストと、各ポリシーのルー

ルの順序付きリストを組み合わせたものになります。分散ファイアウォールのセクションとセクション内のルール

は、順序を変更できます。また、既存の分散ファイアウォール設定の編集、ファイアウォールルールまたはセクショ

ンの削除、クローンの作成などを実行できます。


VMware, Inc. 41


手順



3 （オプション）ポリシー設定を変更します。

ポリシー行の先頭にある縦方向の省略記号ボタンをクリックし、ポリシー内のすべてのルールに適用される一括

アクションを実行できます。

4 （オプション）ポリシーの順序を変更します。

[ポリシーの追加] ボタンで作成されたポリシーは、ポリシーのリストの最上位に配置されます。各ポリシーのフ

ァイアウォールルールは、一番上から順に適用されます。リスト内でポリシー（およびポリシーに含まれるすべ

てのルール）の位置を変更するには、そのポリシーを選択して新しい位置にドラッグします。[k 公開] をクリッ

クして変更を公開します。

5 （オプション）ルールを複製またはコピーします。

ルール行の先頭にある縦方向の省略記号ボタンをクリックします。

n [ルールを複製] では、このポリシーのルールのコピーを作成します。

n [ルールをコピー] では、別のポリシーに追加できるルールのコピーを作成します。

6 （オプション）ルールを追加または削除します。

ルール行の先頭にある縦方向の省略記号ボタンをクリックします。

n [ルールの追加] では、このポリシーにルールを追加します。

n [ルールの削除] では、このポリシーからルールを削除します。

7 （オプション）構成を保存または表示します。

分散ファイアウォールの構成は、オンプレミス NSX-T のファイアウォールドラフト機能に似ています。[アクシ

ョン] - [構成] - [表示] の順にクリックし、保存済みの構成のリストを表示します。[アクション] - [構成] - [保存] の順にクリックし、現在の構成を保存します。デフォルトでは、構成が自動的に保存されます。[アクション] - [設定] - [全般設定] をクリックし、[ドラフトを自動保存] を無効にします。

分散ファイアウォール除外リストの管理

分散ファイアウォールの除外リストを使用すると、分散ファイアウォールの対象範囲から除外するインベントリグル

ープを指定できます。除外対象グループのメンバーとの間の East-West ネットワークトラフィックは、本来適用さ

れる分散ファイアウォールルールの対象外になります。

分散ファイアウォールの除外リストを使用すると、特定のインベントリグループを分散ファイアウォールルールの

適用対象外にすることができます。デフォルトでは、vCenter Server、NSX Manager、NSX コントローラなどの管

理仮想マシンおよびアプライアンスが除外リストに含まれます。リストを編集して、エントリを追加または削除でき

ます。

手順




VMware, Inc. 42


https://docs.vmware.com/jp/VMware-NSX-T-Data-Center/2.5/administration/GUID-90C7E636-9EE8-4E12-8872-C6EBF89B5784.html


3 [アクション] - [設定] - [除外リスト] の順にクリックし、[除外リストの管理] 画面を表示します。

n 既存のグループを除外リストに追加するには、[グループの追加] をクリックし、既存の [グループ名] を選択

します。

n [除外リストの管理] でグループを作成するには、[グループ名] フィールドにグループの名前を入力し、[メン

バーを設定] をクリックしてインベントリグループの作成画面を開きます。この画面の使用方法の詳細につ

いては、コンピューティンググループの追加または変更を参照してください。

n リストからグループを削除するには、グループ行の先頭にある縦方向の省略記号ボタンをクリックし、[削除] をクリックします。

4 [適用] をクリックして、変更内容を保存します。

DNS サービスの構成

VMware Cloud on AWS の DNS 転送サービスは DNS ゾーンで実行されます。このサービスによって、クエリを

DNS サーバに転送し、仮想マシンが完全修飾ドメイン名を IP アドレスに解決できるようになります。

SDDC には、管理ゲートウェイとコンピューティングゲートウェイのデフォルトの DNS ゾーンが含まれています。

各ゾーンには、事前定義済みの DNS 転送サービスが含まれます。[DNS サービス] 画面の [DNS サービス] タブを使

用すると、デフォルトのゾーンの DNS 転送サービスの一部のプロパティを無効化、有効化、または更新できます。

任意のゾーンで追加の DNS ゾーンを作成するか、DNS フォワーダの追加プロパティを構成するには、[DNS ゾーン] タブを使用します。

VMware Cloud on AWS の DNS 構成オプションの詳細については、DNS Strategies for VMware Cloud on AWSを参照してください。

手順


2 [ネットワークとセキュリティ] - [DNS] の順に選択します。

3 [DNS サービス] をクリックして [DNS サービス] タブを開きます。

4 管理ゲートウェイの DNS フォワーダのすべてのパラメータと、コンピューティングゲートウェイの DNS フォ

ワーダのほとんどのパラメータを表示できますが、編集はできません。縦向きの省略記号ボタンをクリックし、

[編集] をクリックして、作成した追加の DNS ゾーンの DNS サービスのパラメータを変更します。

パラメータ説明

名前この DNS サービスの名前。管理ゲートウェイおよびコンピューティングゲートウェイの

DNS フォワーダに対しては変更できません。

DNS サービスの IP アドレスコンピューティングゲートウェイの DNS 要求を転送する DNS サービスの IP アドレス。管

理ゲートウェイおよびコンピューティングゲートウェイの DNS フォワーダに対しては変更

できません。

デフォルトの DNS ゾーンデフォルトの DNS ゾーンの FQDN を指定します。管理ゲートウェイおよびコンピューティ

ングゲートウェイの DNS フォワーダに対しては変更できません。


VMware, Inc. 43

https://docs.vmware.com/jp/VMware-Cloud-on-AWS/solutions/GUID-25B7F9346825C50F67BF60403CCCAE21.html



FQDN ゾーンオプション。DNS 転送を有効にする 1 つ以上の FQDN を指定します。DNS フォワーダは、

デフォルトの DNS ゾーンと、最大 5 つの FQDN DNS ゾーンに関連付けられています。DNS フォワーダは DNS クエリを受信すると、クエリ内のドメイン名と FQDN DNS ゾーンのドメ

イン名を比較します。一致が確認されると、FQDN DNS ゾーンで指定された DNS サーバに

クエリが転送されます。一致が確認されなかった場合は、クエリはデフォルトの DNS ゾーン

で指定された DNS サーバに転送されます。

ログレベルデフォルトでは、情報レベルのイベントがログに記録されます。別のレベルを選択して、他の

クラスのイベントをログに記録することもできます。

管理ステータスこのサービスはデフォルトで有効になっています。無効に切り替えます。

タグ NSX-T オブジェクトのタグ付けの詳細については、Add Tags to an Object を参照してくだ

さい。


DNS ゾーンの追加

SDDC ネットワーク内の各 DNS ゾーンは、ユーザーが自身で管理する DNS 名前空間を表します。

SDDC の DNS ゾーンは、次の 2 つのカテゴリに分類されます。

n デフォルトゾーン：サーバは、ゾーン内のサブネット上のすべての SDDC 仮想マシンからの DNS クエリを待機

します。

n FQDN ゾーン：サーバは、デフォルトゾーンから転送された DNS 要求を待機します。

コンピューティングゲートウェイおよび管理ゲートウェイは、それぞれ単一のデフォルト DNS ゾーンで構成されま

す。いずれかのタイプのゾーンをさらに最大 4 つ追加することで、複数の DNS サーバとサブドメインを利用できる

柔軟性を確保することができます。NSX-T による DNS ゾーンの実装方法の詳細については、『NSX-T Data Center Administration Guide』の Add a DNS Zone を参照してください。

手順


2 [ネットワークとセキュリティ] - [DNS] の順にクリックし、[DNS ゾーン] タブを開きます。

3 デフォルトゾーンを追加するには、[DNS ゾーンの追加] - [デフォルトゾーンの追加] の順に選択します。

a 名前を入力し、必要に応じて説明を入力します。このゾーン内のトラフィックに適用される DNS ファイア

ウォールルールを作成する場合は、この [名前] を使用します。

b 最大 3 台の DNS サーバの IP アドレスを入力します。指定するすべての DNS サーバは、構成が同一である


c （オプション） [ソース IP] フィールドに IP アドレスを入力します。


VMware, Inc. 44


https://docs.vmware.com/jp/VMware-NSX-T-Data-Center/2.5/administration/GUID-B57B5A51-8F32-479F-AA54-463BD7D13E6D.html


4 FQDN ゾーンを追加するには、[DNS ゾーンの追加] - [FQDN ゾーンの追加] の順に選択します。

a 名前を入力し、必要に応じて説明を入力します。このゾーン内のトラフィックに適用される DNS ファイア

ウォールルールを作成する場合は、この [名前] を使用します。

b ドメインの FQDN を入力します。これは、example.com などの完全修飾ドメイン名である必要がありま

す。

c 最大 3 台の DNS サーバの IP アドレスを入力します。

d （オプション） [ソース IP] フィールドに IP アドレスを入力します。

5 （オプション） DNS ゾーンにタグを付けます。



コンピューティングゲートウェイの DHCP リレーの設定

デフォルトの設定では、ローカルサーバは、すべてのルーティング設定されたセグメント上のワークロード仮想マシ

ンの DHCP 要求を処理します。ワークロードネットワーク上の IP アドレスを管理する外部 DHCP サーバがある場

合は、DHCP 要求をそのサーバに転送するようにコンピューティングゲートウェイを設定できます。

SDDC 内のワークロード仮想マシンに対して既存の IP アドレス管理 (IPAM) ソリューションを使用する組織では、

NSX-T DHCP リレー機能を使用してサーバを指定し、それをコンピューティングゲートウェイに接続できます。

NSX-T での DHCP リレーの実装方法の詳細については、NSX for vSphere ドキュメントの DHCP リレーの設定を参

照してください。

注：独自の DHCP サービスを提供するセグメントがコンピューティングゲートウェイに含まれている場合、DHCP リレーを設定することはできません。

手順


2 [ネットワークとセキュリティ] - [DHCP] の順に選択します。

3 [DHCP リレーの設定] をクリックします。

DHCP サーバの名前と IP アドレスを入力し、[接続] をクリックして、サーバをコンピューティングゲートウェ

イに接続します。

インベントリグループの操作VMware Cloud on AWS のネットワークおよびセキュリティインベントリを使用すると、ファイアウォールルール

の作成時に使用できる仮想マシンとネットワークサービスのグループを作成できます。

ファイアウォールルールは、多くの場合、次のような共通する特性を持つ仮想マシンのグループに適用されます。

n 命名規則に基づく名前（Windows 仮想マシンの場合は Win*、Photon 仮想マシンの場合は Photon* など）

n 特定の範囲または CIDR ブロック内の IP アドレス


VMware, Inc. 45


https://docs.vmware.com/jp/VMware-NSX-Data-Center-for-vSphere/6.4/com.vmware.nsx.admin.doc/GUID-D739FB96-4550-494B-99BF-433DB53A96B3.html


n タグ

また、サービスタイプやネットワークプロトコルなどの特性によって区別されるネットワークサービスに適用する

こともできます。VMware Cloud on AWS のネットワークおよびセキュリティ [インベントリ] 機能を使用すると、

ファイアウォール保護に関して同様なニーズを持つ仮想マシンのグループを作成するプロセスを簡素化できます。ま

た、組み込みのサービスリストに新しいネットワークサービスを追加することで、これらのサービスをファイアウ

ォールルールに追加できるようになります。

VMware Cloud on AWS は、すべての新しい SDDC で管理グループとサービスインベントリを作成します。ワーク

ロード仮想マシンとそのタグのリストも保持します。管理仮想マシンまたはコンピューティング仮想マシンで構成さ

れる独自のインベントリグループを追加または変更できます。

管理グループの追加

管理インベントリグループには、SDDC インフラストラクチャコンポーネントが含まれています。これらのグルー

プは、管理ゲートウェイのファイアウォールルールで使用できます。

事前定義済みの管理インベントリグループは、vCenter Server や NSX Manager などの SDDC インフラストラクチ

ャコンポーネントに対して自動的に作成されます。事前定義済みの管理グループを変更することはできませんが、グ

ループメンバーが接続される CIDR ブロックを指定することで、追加の管理インベントリグループを作成できます。

手順


2 [ネットワークとセキュリティ] タブで、[インベントリ] - [グループ] の順にクリックします。

3 [グループ] カードで [管理グループ] をクリックしてから、[グループの追加] をクリックしてグループの [名前] を指定し、任意で [説明] を入力します。

4 [メンバーを設定] をクリックし、[メンバーを選択] 画面を開きます。

管理仮想マシンの 1 つ以上の IP アドレスを CIDR 形式で入力します。

5 （オプション）グループにタグを付けます。


6 [保存] をクリックしてグループを作成します。

次のステップ

作成した管理グループは、縦向きの省略記号ボタンをクリックして [編集] または [削除] をクリックすることで、変更

または削除できます。

コンピューティンググループの追加または変更

コンピューティングインベントリグループは、名前、IP アドレス、タグなどの条件によってコンピューティング仮

想マシンを分類します。


VMware, Inc. 46



コンピューティングインベントリグループは、コンピューティングネットワークセグメントに展開するコンピュー

ティング仮想マシンから構成されるため、これらは、VMware Cloud on AWS によって自動作成されることはあり

ません。コンピューティングゲートウェイのファイアウォールルールを作成する前に、手動で作成する必要があり

ます。

手順


2 [ネットワークとセキュリティ] タブで、[インベントリ] - [グループ] の順にクリックします。

3 [グループ] カードで [コンピューティンググループ] をクリックしてから、[グループの追加] をクリックしてグル

ープの [名前] を指定し、任意で [説明] を入力します。

既存のグループを変更するには、そのグループを選択し、グループの行の先頭にある省略記号ボタンをクリック

します。

4 [メンバーを設定] をクリックし、[メンバーを選択] 画面を開きます。

管理グループには、管理ネットワーク上の仮想マシンが含まれます。管理グループのメンバーは、IP アドレスで

指定する必要があります。コンピューティンググループには、仮想マシンや、コンピューティングネットワー

クのセグメントなどのネットワークオブジェクトが含まれます。コンピューティンググループのメンバーシッ

プは、いくつかの方法で指定できます。


メンバーシップ条件 [条件の追加] をクリックし、ドロップダウンコントロールを使用して、

オブジェクトタイプ, プロパティ, 条件, 値

のタプルの形式で 1 つ以上の条件を指定します。たとえば、次の条件のグループがあるとしま

す。

Virtual Machine Name Contains db_

この場合は名前に db_ という文字列がある仮想マシンが含まれます。タグを指定することで、

タグ付けされたネットワークセグメント、セグメントのポート、または IP アドレスセットの

グループを作成することもできます。

Segment Tag Equals testbeds

この場合は、testbeds というタグが付いているネットワークセグメントが含まれます。

グループには、選択したすべての条件に一致するオブジェクトが含まれます。

メンバー [カテゴリの選択] ドロップダウンリストからメンバーシップのカテゴリを選択し、リストから

メンバーを選択します。

IP/MAC アドレス IP アドレス、MAC アドレス、CIDR ブロック、または IP アドレス範囲を、ip-ip（192.168.1.1-192.168.1.100 など）の形式で入力します。

5 （オプション）グループにタグを付けます。


6 [保存] をクリックしてグループを作成します。


VMware, Inc. 47



次のステップ

グループメンバーを確認する場合は、グループを選択して [メンバーの表示] をクリックすると、グループメンバー

のリストを確認し、グループメンバーとメンバーシップの条件を表示できます。[使用場所] をクリックすると、その

グループを含むファイアウォールルールのリストを確認できます。

カスタムサービスの追加

ファイアウォールルールは、多くの場合、ネットワークサービスからのトラフィックに適用されます。新しい SDDC には、ほとんどの一般的なネットワークサービスタイプのインベントリエントリが含まれていますが、必要に応じ

てカスタムサービスを追加することもできます。

ファイアウォールルールを作成する際は、SDDC の [サービス] インベントリで定義された 1 つ以上のサービスから

のネットワークトラフィックに適用されるように指定できます。デフォルトのリストには、リモートコンソールや

プロビジョニングなどの VMware サービス、IKE、ICMP、TCP などの標準サービス、および多数の一般的なサード

パーティサービスが含まれています。このリストにサービスを追加するには、サービスタイプとサービスの追加プ

ロパティのリストから値（通常はポートとプロトコル）を選択します。

手順


2 [ネットワークとセキュリティ] タブで、[インベントリ] - [サービス] の順にクリックします。

[サービス] カードには、事前定義済みのサービスが一覧表示されます。

3 [新規サービスの追加] をクリックし、新しいサービスの [名前] を指定します。

4 [サービスエントリの設定] をクリックし、[サービスエントリの設定] 画面を開きます。

5 [サービスエントリの設定] 画面で、[新規サービスエントリの追加] をクリックします。

既知のサービスのリストを表示するには、ドロップダウンコントロールを使用して [サービスタイプ] と [その他

のプロパティ] のリストをスクロールします。サービスを追加するには、ドロップダウンメニューから [サービス

タイプ] を選択し、サービスのソースポートやターゲットポートなどの [その他のプロパティ] を指定してから、

[適用] をクリックします。

6 （オプション）サービスの [説明] を入力し、サービスにタグを付けます。


7 [保存] をクリックしてサービス定義を作成します。

仮想マシンインベントリの表示

VMware Cloud on AWS は、SDDC のワークロード仮想マシンのインベントリを保持します。仮想マシンは、名前

とタグの数を基準に一覧表示されます。

[仮想マシン] インベントリが自動生成されます。このリストの仮想マシンに割り当てられているタグを編集できます

が、仮想マシンを追加または削除することはできません。この操作は、仮想マシンが作成または破棄されるとシステ

ムによって自動的に行われます。


VMware, Inc. 48



手順


2 [ネットワークとセキュリティ] タブで、[インベントリ] - [仮想マシン] の順にクリックします。

仮想マシンにタグがある場合は、タグの数が [タグ] 列に表示されます。数字をクリックするとタグが表示されま

す。仮想マシンのタグを追加または削除するには、仮想マシンの行の先頭にある縦方向の省略記号をクリックし、

[編集] を選択してタグエディタを表示します。タグを追加するには、アイコンをクリックします。


ワークロード接続の管理

ワークロード仮想マシンは、デフォルトでインターネットに接続します。NAT ルールおよび分散ファイアウォール

ルールを使用すると、これらの接続を細かく制御できます。

コンピューティングネットワークセグメントへの仮想マシンの接続またはワークロード仮想マシンの分離

vSphere Web Client を使用して、コンピューティングネットワークセグメントへのワークロード仮想マシンの接

続を管理します。

前提条件

SDDC コンピューティングネットワークには、1 つ以上のセグメントが必要です。ネットワークセグメントの作成

または変更を参照してください。

手順

1 SDDC の vSphere Client にログインします。

2 [メニュー] - [グローバルインベントリリスト] の順に選択します。

3 [論理ネットワーク] を選択します。

4 [vCenter Server] ドロップダウンメニューで、対象の論理ネットワークを管理する vCenter Server を選択しま

す。


VMware, Inc. 49



5 論理ネットワーク名の横をクリックして選択します。

6 仮想マシンの接続または切断のいずれかを選択します。

n [仮想マシンの接続] をクリックし、選択したネットワークに仮想マシンを接続します。

n 選択したネットワークから仮想マシンを切断するには、[仮想マシンの切断]をクリックします。

7 接続または切断する仮想マシンを選択し、[>>] をクリックします。[選択したオブジェクト] 列に移動して、[次へ] をクリックします。

8 各仮想マシンに対して、接続する仮想 NIC を選択し、[次へ] をクリックします。

9 [終了] をクリックします。

パブリック IP アドレスの要求またはリリース

インターネットからワークロード仮想マシンへのアクセスを許可するため、ワークロード仮想マシンに割り当てるパ

ブリック IP アドレスを要求できます。VMware Cloud on AWS は、AWS から IP アドレスをプロビジョニングしま

す。

ベストプラクティスとして、使用されていないパブリック IP アドレスをリリースします。

前提条件

仮想マシンに、論理ネットワークから固定 IP アドレスが割り当てられていることを確認します。

手順


2 [ネットワークとセキュリティ] - [パブリック IP アドレス] の順に選択します。

3 新しいパブリック IP アドレスを要求するには、[新しい IP アドレスを要求] をクリックします。

必要に応じて、要求に関するメモを入力できます。

4 不要になった既存のパブリック IP アドレスをリリースするには、省略記号ボタン、[IP アドレスのリリース] の順にクリックします。

アドレスが NAT ルールによって使用されている場合は、パブリック IP アドレスのリリース要求は失敗します。


VMware, Inc. 50



しばらくすると、新しいパブリック IP アドレスがプロビジョニングされます。

次のステップ

パブリック IP アドレスがプロビジョニングされた後、パブリック IP アドレスから SDDC の仮想マシンの内部 IP アドレスにトラフィックを送るように NAT を設定します。NAT ルールの作成または変更を参照してください。

NAT ルールの作成または変更

ネットワークアドレス変換 (NAT) は、コンピューティングネットワーク上の内部 IP アドレスをパブリックインタ

ーネット上で公開されているアドレスにマッピングします。NAT ルールを作成するには、ワークロード仮想マシンま

たはサービスの内部アドレスおよびポート番号と、システムから取得したパブリック IP アドレスおよびポート番号を

指定します。

NAT ルールは、SDDC のインターネットインターフェイスで実行する必要があります。ここでワークロード仮想マ

シンのパブリックアドレスが公開されるためです。パケットの送信元と宛先を調査するファイアウォールルール

は、コンピューティングゲートウェイで実行され、適用可能な NAT ルールによって変換された後のトラフィックを

処理します。NAT ルールを作成する際に、仮想マシンの内部または外部 IP アドレスとポート番号を、その仮想マシ

ンとの間のネットワークトラフィックに影響するファイアウォールルールに公開するかどうかを指定できます。

重要： SDDC のパブリック IP アドレスへの受信トラフィックは、常にユーザーが作成した NAT ルールによって処

理されます。送信トラフィック（SDDC ワークロード仮想マシンからの応答パケット）は、アドバタイズされるルー

トに沿ってルーティングされ、SDDC ネットワークのデフォルトルートが SDDC のインターネットインターフェイ

スを通過するときに、NAT ルールによって処理されます。ただし、デフォルトルートが Direct Connect または VPN 接続を通過する場合（たとえば、0.0.0.0/0 が BGP を介してアドバタイズされている場合や、0.0.0.0/0 のリモートネットワークを持つポリシーベースの VPN がある場合など）、NAT ルールは受信トラフィックに対して実行されます

が、送信トラフィックには実行されません。そのため、仮想マシンがパブリック IP アドレスで到達不能になる非対称

パスが作成されます。デフォルトルートがオンプレミス環境からアドバタイズされる場合は、オンプレミスのインタ

ーネット接続とパブリック IP アドレスを使用して、オンプレミスネットワークで NAT ルールを設定する必要があり

ます。

前提条件

n 仮想マシンは、コンピューティングネットワークセグメントに接続する必要があります。仮想マシンの NAT ルールは、割り当てられたアドレスが静的アドレスの場合でも、動的 (DHCP) アドレスの場合でも作成できます。

ただし、DHCP アドレス割り当てを使用する仮想マシンの NAT ルールは、ルールで指定されているアドレスと

一致しない内部アドレスが仮想マシンに割り当てられると、無効になることがあります。

n 仮想マシンのパブリック IP アドレスを要求する必要があります。パブリック IP アドレスの要求またはリリース

を参照してください。

手順


2 [ネットワークとセキュリティ] - [NAT] の順に選択します。

3 [NAT ルールの追加] をクリックし、ルールの [名前] を指定します。


VMware, Inc. 51


4 NAT ルールのパラメータを入力します。


パブリック IP アドレス仮想マシン用にプロビジョニング済みのパブリック IP アドレスが入力されます。

サービス次のいずれかのオプションを選択します。

n [すべてのトラフィック] を選択し、すべてのトラフィックに適用するルールを作成します。

n リスト内のいずれかのサービスを選択すると、そのプロトコルとポートを使用するトラフ

ィックにのみ適用するルールを作成できます。

パブリックポート [サービス] を [すべてのトラフィック] として指定した場合、デフォルトのパブリックポートは

[任意] になります。

特定の [サービス] を選択すると、そのサービスに割り当てられたパブリックポートにルールが

適用されます。

内部 IP アドレス仮想マシンの内部 IP アドレスを入力します。

内部ポート [サービス] を [すべてのトラフィック] として指定した場合、デフォルトの内部ポートは [任意] になります。

特定の [サービス] を選択すると、そのサービスに割り当てられたパブリックポートにルールが

適用されます。

ファイアウォールこの NAT ルールの対象となるトラフィックをファイアウォールルールにどのように公開する

かを指定します。デフォルトでは、ファイアウォールルールは [内部 IP アドレス] と [内部ポー

ト] の組み合わせと照合されます。ファイアウォールルールを [外部 IP アドレス] と [外部ポ

ート] の組み合わせと照合するには、[外部アドレスと照合] を選択します。

5 （オプション） [ログ] を切り替えてルールのアクションをログに記録します。

6 新しいルールはデフォルトで有効になります。[有効] を切り替えると無効になります。

7 [保存] をクリックしてルールを作成します。

ルールが作成され、[ステータス] が [UP] になります。

コンピューティングネットワークと管理ネットワーク間のトラフィックを管理するためのファイアウォールルールの作成

デフォルトの設定では、ファイアウォールルールによって、コンピューティングネットワーク上の仮想マシンは管

理ネットワーク上の仮想マシンにアクセスできません。個々のワークロード仮想マシンが管理仮想マシンにアクセス

できるようにするには、ワークロードおよび管理インベントリグループを作成し、それらを参照する管理ゲートウェ

イファイアウォールルールを作成します。

手順

1 管理ネットワーク用と、アクセスするワークロード仮想マシン用に 1 つずつ、ワークロードインベントリグル

ープを作成します。

[ネットワークとセキュリティ] タブで、[インベントリ] カテゴリの [グループ] をクリックしてから、[ワークロー

ドグループ] をクリックします。2 つのワークロードグループを作成します。

n [グループの追加] をクリックして、[メンバータイプ] が [IP アドレス] で管理ネットワークの CIDR ブロック

を持つグループを作成します。[保存] をクリックしてグループを作成します。


VMware, Inc. 52

n [グループの追加] をクリックして、[メンバータイプ] が [仮想マシン] で vSphere インベントリのメンバー

仮想マシンを持つグループを作成します。[保存] をクリックしてグループを作成します。

2 ワークロードグループからアクセスする管理ネットワークを表す管理インベントリグループを作成します。

[ネットワークとセキュリティ] タブで、[インベントリ] カテゴリの [グループ] をクリックしてから、[管理グルー

プ] をクリックします。[グループの追加] をクリックして、[メンバータイプ] が [IP アドレス] で管理ネットワー

クの CIDR ブロックを持つグループを作成します。[保存] をクリックしてグループを作成します。

3 管理ネットワークへの送信トラフィックを許可するコンピューティングゲートウェイファイアウォールルール

を作成します。

コンピューティングゲートウェイファイアウォールルールの作成の詳細については、コンピューティングゲー

トウェイのファイアウォールルールの追加または変更を参照してください。たとえばワークロード仮想マシン

が管理仮想マシン上の vSphere および PowerCLI/OVFtool にのみアクセスする必要がある場合には、ポート

443 でのアクセスのみをルールで許可する必要があります。

表 2-11. ESXi および vCenter Server への送信トラフィックを許可するコンピューティングゲートウェイルール

名前送信元宛先サービス操作適用先

ポート 443 での管理

ネットワークへの送信

ワークロード仮想マ

シンのプライベート

IP アドレス

VMC 管理ネットワ

ーク

HTTPS Allow すべてのアップリンク

4 vCenter Server および ESXi への受信トラフィックを許可する管理ゲートウェイファイアウォールルールを作

成します。

管理ゲートウェイファイアウォールルールの作成の詳細については、管理ゲートウェイのファイアウォールルールの追加または変更を参照してください。たとえばワークロード仮想マシンが vCenter Server および ESXi 上の vSphere、PowerCLI、または OVFtool にのみアクセスする必要がある場合には、ポート 443 でのアクセ

スのみをルールで許可する必要があります。

表 2-12. ESXi および vCenter Server への受信トラフィックを許可する管理ゲートウェイルール

名前送信元宛先サービス操作

ESXi ポート 443 への受信ワークロード仮想マシン

のプライベート IP アドレ

ス

ESXi HTTPS (TCP 443) Allow

vCenter Server ポート

443 への受信

ワークロード仮想マシン

のプライベート IP アドレ

ス

vCenter Server HTTPS (TCP 443) Allow


VMware, Inc. 53

監視およびトラブルシューティング機能の設定 3NSX-T で提供されている IPFIX およびポートミラーリング機能を使用して、SDDC のネットワークとセキュリティ

の監視およびトラブルシューティングを行います。

SDDC の ESXi ホストはデフォルトでオーバーレイネットワークにアクセスできるため、SDDC で仮想マシンワーク

ロードとして展開されている監視およびトラブルシューティングアプリケーションと通信することが可能です。た

だし、ESXi ホストと、仮想マシンが接続されている論理セグメント間のトラフィックを許可するようにファイアウォ

ールを設定する必要があります。

n IPFIX の設定

IPFIX (Internet Protocol Flow Information Export) は、トラブルシューティング、監査、または分析情報の

収集に使用されるネットワークフロー情報のフォーマットおよびエクスポートの標準です。

n ポートミラーリングの設定

ポートミラーリングを使用すると、送信元からのすべてのトラフィックのレプリケーションとリダイレクトが

可能になります。ミラーリングされたトラフィックは、Generic Routing Encapsulation (GRE) トンネル内で

カプセル化されてコレクタに送信されるため、リモートの宛先に到達するまで、元のパケットの情報はすべて

保持されます。

n 接続されている VPC の情報の表示

接続されている Amazon VPC には、SDDC とそのすべてのネットワークが含まれています。この VPC に関す

る情報（アクティブな ENI、VPC サブネット、VPC ID など）は、[ネットワークとセキュリティ] タブで確認で

きます。

IPFIX の設定IPFIX (Internet Protocol Flow Information Export) は、トラブルシューティング、監査、または分析情報の収集に

使用されるネットワークフロー情報のフォーマットおよびエクスポートの標準です。

論理セグメント上でフローモニタリングを設定できます。その論理セグメントに接続されている仮想マシンからの

すべてのフローがキャプチャされ、IPFIX コレクタに送信されます。コレクタ名は、各 IPFIX スイッチプロファイル

のパラメータとして指定されます。

前提条件

論理セグメントが設定済みであることを確認します。ネットワークセグメントの作成または変更を参照してくださ

い。

VMware, Inc. 54

手順


2 [ネットワークとセキュリティ] - [IPFIX] の順に選択します。

3 新しいコレクタを追加するには、[コレクタ] - [新しいコレクタの追加] の順にクリックし、コレクタの [名前] を入力します。

コレクタの IP アドレスとポートを入力します。デフォルトの UDP ポートは 4739 です。最大 4 個の IPFIX コレクタを追加できます。

4 [保存] をクリックしてコレクタを作成します。

5 [スイッチの IPFIX プロファイル] をクリックして、スイッチの IPFIX プロファイルを作成または編集します。

NSX-T スイッチの IPFIX プロファイルパラメータの詳細については、『NSX-T Data Center Administration Guide』の Configure Switch IPFIX Profiles を参照してください。

6 （オプション）プロファイルにタグを付けます。


7 [保存] をクリックしてプロファイルを作成します。

次のステップ

構成を変更する場合は、スイッチの IPFIX プロファイルの横にある省略記号ボタンをクリックし、[編集] をクリック

します。

ポートミラーリングの設定ポートミラーリングを使用すると、送信元からのすべてのトラフィックのレプリケーションとリダイレクトが可能に

なります。ミラーリングされたトラフィックは、Generic Routing Encapsulation (GRE) トンネル内でカプセル化さ

れてコレクタに送信されるため、リモートの宛先に到達するまで、元のパケットの情報はすべて保持されます。

ポートミラーリングは、次の場合に使用します。

n トラブルシューティング：トラフィックを分析して侵入を検出し、ネットワーク上のエラーをデバッグおよび診

断します。

n コンプライアンスとモニタリング：分析と修正を行うため、モニタリング対象のすべてのトラフィックをネット

ワークアプライアンスに転送します。

ポートミラーリングには、データが監視される送信元グループと、収集されたデータのコピー先となる宛先グループ

が含まれます。送信元グループのメンバーシップ条件では、Web グループやアプリケーショングループなど、ワー

クロードに基づいて仮想マシンをグループ化する必要があります。宛先グループのメンバーシップ条件では、IP アド

レスに基づいて仮想マシンをグループ化する必要があります。

ポートミラーリングには 1 つの適用ポイントがあり、ここで SDDC 環境にポリシールールが適用されます。

ポートミラーリングのトラフィックの方向は、入力方向、出力方向、双方向のいずれかです。

n 入力方向は、仮想マシンから論理ネットワークへの出力ネットワークトラフィックです。


VMware, Inc. 55


https://docs.vmware.com/jp/VMware-NSX-T-Data-Center/2.5/administration/GUID-3458F2B3-089E-4BFC-8348-705172F2B802.html


n 出力方向は、論理ネットワークから仮想マシンへの入力ネットワークトラフィックです。

n 双方向は、仮想マシンから論理ネットワーク、および論理ネットワークから仮想マシンへの双方向のトラフィッ

クです。デフォルトのオプションです。

NSX-T とのポートミラーリングの詳細については、『NSX-T Data Center Administration Guide』の Add a Port Mirroring Profile を参照してください。

前提条件

IP アドレスおよび仮想マシンのメンバーシップ条件を満たすワークロードグループが使用可能であることを確認し

ます。コンピューティンググループの追加または変更を参照してください。

手順


2 [ネットワークとセキュリティ] - [ポートミラーリング] の順に選択します。

3 [ポートミラーリング] 画面で [プロファイルの追加] をクリックしてプロファイルの [名前] を指定し、任意で [説明] を指定します。

4 プロファイルのパラメータを指定します。


方向ドロップダウンメニューからトラフィックの方向を選択します。

スナップの長さパケットからキャプチャするバイト数を指定します。

送信元送信元には、セグメント、セグメントポート、仮想マシンのグループ、グループの vNIC を含

めることができます。

宛先宛先は最大 3 つの IP アドレスのグループです。既存のインベントリグループを使用するか、

[宛先の設定] 画面から新しいグループを作成できます。

カプセル化のタイプ [GRE] にする必要があります。

GRE キー特定の GRE データストリームを識別する値。RFC 6245 を参照してください。

5 （オプション）ポートミラーリングプロファイルにタグを付けます。


6 [保存] をクリックしてセッションを保存します。

次のステップ

構成に変更を加える場合は、ポートミラーリングプロファイルの横にある省略記号ボタンをクリックし、[編集] を選

択します。

接続されている VPC の情報の表示接続されている Amazon VPC には、SDDC とそのすべてのネットワークが含まれています。この VPC に関する情

報（アクティブな ENI、VPC サブネット、VPC ID など）は、[ネットワークとセキュリティ] タブで確認できます。


VMware, Inc. 56

https://docs.vmware.com/jp/VMware-NSX-T-Data-Center/2.5/administration/GUID-DBF4B64F-5F77-4255-95BF-73C9A87518C2.html

https://docs.vmware.com/jp/VMware-NSX-T-Data-Center/2.5/administration/GUID-DBF4B64F-5F77-4255-95BF-73C9A87518C2.html




[ネットワークとセキュリティ] タブの [システム] カテゴリにある [接続されている VPC] をクリックすると、[接続さ

れている Amazon VPC] ページが開き、以下の情報が示されます。

AWS アカウント ID SDDC を作成したときに指定した AWS アカウント ID。

VPC ID この VPC の AWS ID。

VPC サブネット SDDC を作成したときに指定した VPC サブネットの AWS ID。

アクティブなネットワーク

インターフェイス

この VPC で VMC によって使用される ENI の ID。

IAM ロールの名前この VPC で定義されている AWS ID とアクセス管理ロール名。『VMware Cloud on AWS Operations Guide』の AWS のロールと権限を参照してください。

クラウドフォーメーション

スタック名

SDDC の作成に使用される AWS Cloud フォーメーションスタックの名前

サービスアクセスこの VPC で有効になっている AWS サービスのリスト。


VMware, Inc. 57

https://docs.vmware.com/jp/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws-operations/GUID-DE8E80A3-5EED-474C-AECD-D30534926615.html

Documents

VMware Cloud on AWS のネットワークおよびセ …...VMware Cloud on AWS のネットワークおよびセキュリティについて 『VMware Cloud on AWS のネットワークおよびセキュリティ』には、VMware

VMware Cloud on AWS のネットワークおよびセ …...VMware Cloud on AWS のネットワークおよびセキュリティについて『VMware Cloud on AWS のネットワークおよびセキュリティ』には、VMware