今回は、PowerNSX で Edge Service Gateway(ESG)のファイアウォールの無効化 / 有効化と、
デフォルトルールのアクションの変更をしてみます。
今回も下記の VMware HoL 環境を利用しています。
HOL-1803-02-NET - VMware NSX - Distributed Firewall and Micro-Segmentation
http://labs.hol.vmware.com/HOL/catalogs/lab/3662
Edge ファイアウォールの無効化 / 有効化。
はじめは、Edge ファイアウォールが有効な状態です。
では、Edge ファイアウォールを無効にしてみます。
まず Get-NsxEdge で ESG を取得します。
$edge = Get-NsxEdge -Name Perimeter-Gateway-01
そして、パラメータを変更して Set-NsxEdge で設定します。
$edge.features.firewall.enabled = "false"
$edge | Set-NsxEdge -Confirm:$false
Edge ファイアウォールが無効になりました。
今度は、有効化してみます。
$edge = Get-NsxEdge -Name Perimeter-Gateway-01
$edge.features.firewall.enabled = "true"
$edge | Set-NsxEdge -Confirm:$false
ファイアウォールが有効化されました。
デフォルトルール アクションの変更。
Edge ファイアウォールの「Default Rule」は、デフォルトではアクションが Accept になっています。
これを Deny に変更してみます。
PowerNSX でも、accept が設定されていることがわかります。
$edge = Get-NsxEdge -Name Perimeter-Gateway-01
$edge.features.firewall.defaultPolicy
それでは、Deny に変更してみます。
$edge.features.firewall.defaultPolicy.action = "deny"
$edge | Set-NsxEdge -Confirm:$false
Default Rule のアクションが Deny に設定変更されました。
ESG の設定内容の確認。
PowerNSX では、 Format-XML で元の XML を確認することができます。
Get-NsxEdge の結果を Format-XML に渡すことで ESG の詳細な設定を確認することができます。
そして前項で指定した「$edge.features.firewall.defaultPolicy.action」といった設定箇所も
XML の構造をたどることで見つけることができます。
実は ESG の情報取得や設定は PowerNSX では難しいことがあり
今回のように Get-NsxEdge / Set-NsxEdge で設定したり、
REST API と同様に XML を扱うことになるケースもあったりします。
以上、PowerNSX による Edge ファイアウォールの設定変更例でした。