構成
オンプレミスとVMware Cloud on AWS(VMC)間をVMware Transit Connect(VTGW)経由で接続している環境。
起こったこと
Management Gateway(MGW)で、オンプレミスからVMC上のESXiを宛先とした通信をドロップさせる設定をいれたが、
オンプレミスのリソースからESXiへpingを打つと応答がある。
原因
VTGWを経由したVMC上のESXiに対する通信は、MGWを経由せず、直接ルーティングされる。
そのため、MGWで拒否のルールを設定しても通信が拒否されない。
対応
オンプレミス側のファイアウォール等で通信を制御する必要があります。
-補足
この件は、サポートで問い合わせて知ったのですが、公式ドキュメントではこの内容を見つけられませんでした。。
ちなみに、vCenter等のESXi以外の管理系リソースを宛先とした通信については、
MGWで拒否の設定を可能です。