※この記事は「AOS 7.0 AHV10.0 Prism Central pc.2024.3」時点の情報をもとに作成しています。その後の機能アップデートについてはメーカーの公開情報をご確認ください。
NutanixのFlow Virtual Networkingの連載については以下の記事にリンクをまとめています。ほかの記事にもこちらからアクセス可能です。
今回は、Flow Virtual Networkingのファイアウォール機能である「ネットワークポリシー」を使用してみます。
目次
1.今回の環境
3ノードAHVクラスタ
AOS: 7.0.1
AHV: 10.0.1
Prism Central: pc.2024.3.1.1
環境は一般的なNutanixの3ノードクラスタです。Prism CentralはFVNで推奨となる3台構成としています。
▽今回の環境のイメージ図は以下の通りで、VPCに2つのオーバーレイネットワークを作成しており、Floating IP経由でVPC内の仮想マシンに接続できるようにしています。
FVNのネットワークポリシーは従来型のファイアウォール機能に近しいもので、特定のネットワークやポート番号に対して、許可・拒否の設定ができます。
それに対して、同一セグメント内で、特定の仮想マシン同士の通信を細かく制御するといったマイクロセグメンテーションを使用したい場合は、「Flow Network Security」という機能が必要となります。これはまた別に機会に紹介できればと思います。
2. 環境の確認
▽今回はVPCに外部NAT接続環境を準備し、Floating IPを払い出して、対象の仮想マシンにアサインしています。
▽外部ネットワークのクライアントはFloating IP宛に接続すれば、VPC内の仮想マシンに接続できます。以下のイメージです。
▽192.168.10.42のwebサーバのテストページに、Floating IP経由でクライアントアクセスした様子
▽同様にRDP接続もできます。
3. ネットワークポリシーの設定
この環境で、VPCの外部からのwebアクセスを許可し、RDP接続を拒否するポリシーを作成してみます。
▽Prism Centralでポリシーを設定したいVPCを選択し「Network Policies」タブにアクセスします。デフォルトでは、ALL Permitですべての通信を許可している状態になっています。
▽「Create Policy」を選択して、以下の通り入力しました。
- 優先度(Priority): 100
- 送信元(Source): VPCの外部のネットワークすべて(External)
- 送信先(Destination): 192.168.10.0/24(Custom)
- プロトコル: TCP
- 送信元ポート: ANY
- 送信先ポート: 80, 443
「Source」や「Destination」では、VPC内のネットワークを指定することができますが、「External」を選択すると、VPC外部のネットワークすべてとなります。
▽作成した内容は以下の通りです。ついでに、外部からのRDPの拒否も設定しておきました。
▽これで、以下イメージのような制御ができているはずです。
4. 動作確認
▽まずはwebアクセスですが、HTTP, HTTPSともに変わらず外部からアクセスができました。
▽続いてRDPですが、こちらは設定どおりアクセスができなくなりました。
今回は以上です。
