今回はVMC on AWSとNSX-Tについてです。

VMC on AWSは当初、NSXはVかTがオプションで提供されるという話がありましたが、結局NSX-Tが標準搭載で提供されています。

NSXが標準で搭載されたことで、きめ細やかなファイアウォールなどの通信制御を実施することができます。

VMC on AWSのファイアウォールを設定できる箇所は以下のものがあります。

CGW(Compute Gateway)

MGW(Management Gateway)

DFW(Distributed Firewall)

それぞれどのようなユースケースで使用するかというと、CGWはVMC以外との通信を制御・MGWは管理系(vCenterなど）との通信を制御、DFWはeast-west間の通信を制御するために利用します。

↓VMC内のネットワーク概要図

※T0=外部と接続するための仮想ルータです

※仮想マシンはCGW配下のワークロード部分にぶら下がるイメージです

例えば仮想マシンとvCenter間の通信を制御したい場合はMGWを設定します。

仮想マシンとインターネット間の通信を制御したい場合はCGWを設定し、

また、DFWはオンプレと同様に同じクラスタ内の仮想マシン間で通信制御を行いたい場合に設定します。

実際の設定はVMCコンソールから行います。

青=MGW

緑=CGW

紫=DFW

ルールについては送信元・先、サービス(anyなど)、アクション(dropなど）を設定可能です。

予めセグメントやIPをグルーピングしておくと簡単に設定できるのでお勧めです。

名前的にCGWで仮想マシン間の通信を制御できそうに思いますが、実際にはDFWを利用する必要がありますのでご注意ください