[VMware Cloud on AWS] 仮想マシン単位でインターネットへの接続を許可する

[VMware Cloud on AWS] 仮想マシン単位でインターネットへの接続を許可する

仮想マシンはデフォルトではインターネットへ出れないが、コンピュートゲートウェイのファイアウォール設定を変更すると通信できる
#VMware Cloud on AWS
#AWS
#VMware
荒平 祐次(arap)

荒平 祐次(arap)

facebook logohatena logotwitter logo
Clock Icon2023.05.10

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、AWS事業本部の荒平(@0Air)です。

VMware Cloud on AWSの検証を行う中で、仮想マシンをインターネットに接続する必要が出てきました。
小ネタレベルですが、仮想マシン単位で許可する場合の手順をまとめました。

概要

仮想マシンは既にESXi上に存在している状況で解説します。
コンピュートゲートウェイのファイアウォール設定を変更し、メンバーシップを設定することで、そのネットワークに所属する仮想マシンを選んでインターネットへ接続させることができます。

手順

(1) 仮想マシンが接続するネットワークの作成 (既にある場合はスキップ)

SDDCの画面から[ネットワークとセキュリティ] - [セグメント] - [セグメント リスト]タブへ移動し、「セグメントの追加」ボタンをクリックします。

次の項目を入力して、「保存」をクリックします。

  • 名前
    • 何でもよいですが、後ほどvCenterから参照するため忘れないようにします。
  • 接続されたゲートウェイ
    • 「ルーティング」を選択します。
  • サブネット
    • ネットワークのサブネットを記述します。(IPの指定が少し特殊です)

作成できたら、「正常に作成されました」と表示されます。DHCPのルールなどを追加する場合は続行します。

【オプション】DHCP構成を行う場合 (静的にIPアドレスを割り振る場合はスキップ)

[DHCP構成を行う]をクリックします。

DHCPプロファイルを選択し(無い場合は新規作成)、DHCPサーバアドレスとDHCP範囲を入力します。
入力できたら、[適用]をクリックします。

[保存]および[編集を終了]します。

(2) 仮想マシンが所属するネットワークの変更 (既にコンピュート ゲートウェイのネットワークに所属している場合はスキップ)

vCenterにアクセスし、仮想マシンのハードウェアを「編集」します。
操作感はオンプレミスと同様です。

接続されているネットワークアダプタを編集します。(プルダウンから「参照」を選択)

先ほど作成したネットワークをリストから選択して、[OK]をクリックします。

仮想マシンのネットワークが変更されたことを確認します。

この時点では仮想マシンはインターネットへの接続ができません。(DHCPのIPは割り振られます)

(3) インターネットへのアウトバウンドを許可する仮想マシングループの作成

[ネットワークとセキュリティ] - [グループ] - [コンピューティング グループ]より、「グループの追加」をクリックします。

適当なグループ名(255文字以内)を入力し、コンピュートメンバーを[設定]します。

以下の種類でコンピューティンググループを設定できます。

  • 動的メンバーシップ
    • 例えば、仮想マシン名やOS種別、タグなどによりフィルターで動的にメンバーが設定できます
  • 既に設定済み・もしくはシステムのメンバー
  • IPアドレス
  • MACアドレス
  • Active Directoryグループ

今回は、表題の通り仮想マシンごとにインターネットへの通信を制御したいため仮想マシン名の動的メンバーシップを選択しました。(本記事のように、ネットワークごと分けている場合はネットワークを基準として設定するのも問題ないかと思います)
また、本記事では触れませんが、インターネットへのアクセスを個別に再度無効にしたい場合もこのメンバー設定を変更します。

設定したら、[適用] をクリックします。

コンピューティンググループを「保存」します。
[メンバーの表示] により、メンバーシップが有効になっているか確認することができます。

(4) コンピュートゲートウェイのファイアウォールを設定

[ネットワークとセキュリティ] - [ゲートウェイ ファイアウォール] - [コンピュートゲートウェイ]より、「+ルールを追加」します。

先の手順で作成したグループを設定し、"Internet Interface"を指定して「発行」すれば完了です。

インターネット向けにPingが飛ぶようになりました!

おわりに

スクリーンショット多めでお届けしました。
クローズな環境であっても、仮想マシンのOSアップデートや、外部リポジトリへのアクセスが必要となる場合に利用いただけます。

このエントリが誰かの助けになれば幸いです。 それでは、AWS事業本部 コンサルティング部の荒平(@0Air)がお送りしました!

参考

VMware Cloud on AWS Networking and Security - VMware Cloud on AWS
https://docs.vmware.com/en/VMware-Cloud-on-AWS/services/vmc-on-aws-networking-security.pdf

Share this article

facebook logohatena logotwitter logo

関連記事

NSXの分散ファイアウォールで FQDNフィルタリングを使用する

NSXの分散ファイアウォールで FQDNフィルタリングを使用する

User avatar
西野亘
2024.04.30
VMware Cloud on AWSのvCenterにActive Directoryのユーザーでログインする

VMware Cloud on AWSのvCenterにActive Directoryのユーザーでログインする

VMware Cloud on AWSにAmazon Linux 2023を構築する

VMware Cloud on AWSにAmazon Linux 2023を構築する

AWS入門ブログリレー2024〜VMware Cloud on AWS編〜

AWS入門ブログリレー2024〜VMware Cloud on AWS編〜

User avatar
西野亘
2024.04.04
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.