VMware Hands-on Labs - HOL-SDC-1603_JA


Control Center ブラウザ言語設定 (日本語)

Google Chrome ブラウザ言語設定(日本語表示)


vSphere Web Client はブラウザベースです。日本語表示にする為には、ブラウザの言語設定を日本語に設定します。


 

Google Chrome ブラウザ言語設定(日本語表示)

 

  1. Google Chrome 起動
  2. ブラウザ右上の三本の 横シマ クリック
  3. Setting 少し下へスクロール
  4. Show advanced setting... 少し下へスクロール
  5. Language and input setting...
  6. add - Japanese - 日本語 - OK
  7. 日本語を最上位にドラッグ -  done
  8. 一旦ブラウザと閉じるて再度 Google Chrome 起動

 

実習ラボの概要: HOL-SDC-1603 - VMware NSX の概要

実習ラボのガイダンス 1603


次のモジュールは情報提供を目的としています。すぐにラボの実習を行いたい場合は、手順 8 に進んでください。

右上の [MORE OPTIONS] をクリックすると、目次が表示されます。

注: この実習ラボの所要時間は 90 分以上を想定しています。まずは 2 ~ 3 モジュールを終えることを目指してください。モジュールは相互に独立しているため、どのモジュールから開始することも、どの順序で実施することもできます。

サーバ仮想化により、データセンターのコンピューティングとメモリ リソースの使用と管理において、柔軟性、スピード、効率性が向上します。これが可能になるのは、物理ハードウェアからコンピューティングおよびメモリ リソースが分離されるためです。

ただし、データセンター内で、ファイアウォールやロード バランサなど、ネットワークやネットワーク サービスの状況を見てみると、それらは物理ハードウェアに関連付けられています。たとえば、サーバ管理者が 3 層アプリケーションをプロビジョニングする場合、まずネットワークとセキュリティの管理者にルーティング、ファイアウォール、ロード バランサ サービスを含む一連の分離ネットワークについて作業を依頼する必要があります。物理デバイスを構成し、こうしたネットワークおよびサービスを有効にするには数日かかります。したがって、数回のクリックで仮想マシンのプロビジョニングを行うことができるとしても、サーバ管理者はアプリケーションを展開するまでに数日間または数週間待つ必要があります。

ネットワークとネットワーク サービスのプロビジョニングで、スピードと柔軟性が欠如するというこの問題は、ネットワーク仮想化を通じて解決できます。ネットワーク仮想化は、物理ハードウェアからネットワークおよびネットワーク サービスをまず分離した後、論理領域内で同じ物理ネットワーク トポロジーを再現することにより、これを実現します。

実習ラボのモジュールでは、NSX プラットフォームが 3 層アプリケーションに必要なネットワークおよびネットワーク サービスの迅速なプロビジョニングにどのように役立つかについても説明します。次に、各モジュールについて簡単に説明します。

実習ラボ モジュールのリスト

ラボの責任者:


 

CLI コマンドに関する特記事項

 

多くのモジュールで、コマンド ライン インターフェイス (CLI) のコマンドを入力します。CLI コマンドを実習ラボに送信するには 2 つの方法があります。

1 つ目の方法では、次の手順で CLI コマンドを実習ラボのコンソールに送信します。

  1. マニュアル内の CLI コマンドを強調表示し、<Ctrl> + <C> キーを押してクリップボードにコピーします。
  2. コンソール メニューで [テキストの送信] をクリックします。
  3. <Ctrl> + <V> キーを押して、先ほどコピーした CLI コマンドをクリップボードからウィンドウに貼り付けます。
  4. [送信] ボタンをクリックします。

2 つ目は、テキスト ファイル (README.txt) を使用する方法です。実習ラボ環境のデスクトップに用意されているこのファイルでは、実習ラボ環境で使用するすべてのユーザー アカウントとパスワードを確認できます。

 

 

アクティベーションの確認またはウォーターマーク

 

ラボを初めて開始したときには、Windows がアクティブ化されていないことを示すウォーターマークがデスクトップに表示される場合があります。

仮想化の大きなメリットの 1 つは、仮想マシンを任意のプラットフォームに移動して実行できる点です。このハンズオン ラボでは、このメリットを活用して複数のデータセンターからラボを実行できるようにしています。ただし、それぞれのデータセンターでは必ずしも同じプロセッサを使用しているとは限らず、そのような場合、Microsoft 社のアクティベーション チェックがインターネット経由でトリガされます。

VMware およびハンズオン ラボは、Microsoft 社のライセンス要件を完全に満たしていますので、安心してご利用いただけます。お使いのラボは自己完結型のポッドであり、Windows のアクティベーションの確認で必要となるインターネットへの完全なアクセスはありません。アクティベーション チェックの自動プロセスは、インターネットへの完全なアクセスがないために失敗します。これにより、このようなウォーターマークが表示されます。

これは表示上の問題であり、ラボにはまったく影響はありません。  

 

 

VMware NSX

VMware NSX は、ネットワークに仮想マシンの運用モデルを提供するネットワーク仮想化プラットフォームとして業界をリードしています。サーバ仮想化によってサーバ ハードウェアのプール上で実行中の仮想マシンを柔軟に制御できることと同様、NSX によるネットワーク仮想化では、単一の物理ネットワーク上で実行中の多数の分離された論理ネットワークをプロビジョニングおよび構成するための統合 API が提供されます。

論理ネットワークを使用すると、仮想マシンの接続とネットワーク サービスが物理ネットワークから切り離されます。このため、クラウドのプロバイダと企業は、仮想マシンをデータセンター内の任意の場所に柔軟に配置または移行できます。この間、レイヤー 2 とレイヤー 3 の接続およびレイヤー 4 ~ 7 のネットワーク サービスのサポートは維持されます。

 

 

 

 

分離された論理ネットワーク

 

 

 

免責事項

このセッションには、現在開発中の製品機能が含まれている場合があります。

この新しいテクノロジーに関するセッションおよび概要は、VMware が市販製品にこれらの機能を搭載することを確約するものではありません。

機能は変更される場合があり、したがっていかなる種類の契約書、受注書、または販売契約書に含まれてはならないものとします。

技術的な問題とマーケットの需要により、最終的に出荷される製品に影響する場合があります。

ここで述べられたり、提示される新しいテクノロジーまたは機能の価格とパッケージングは、決定されたものではありません。

 

モジュール 1: 論理スイッチ (30 分)

コントローラ ベースの VXLAN


コンポーネントの概要と論理スイッチ

この実習ラボではまず、VMware NSX の主なコンポーネントを見ていきます。このモジュールのその他の主な内容は次のとおりです。

1) NSX Controller を追加することで、VXLAN 用に物理ファブリックでマルチキャスト プロトコルをサポートする必要がなくなります。この実習ラボでは、論理スイッチの作成方法について説明した後、作成した論理スイッチに 2 台の仮想マシンを接続する方法を示します。

2) さらに、論理スイッチを L3 物理ネットワーク全体の上に配置し、そのスイッチで 2 台の Web サーバ間の L2 接続を確立する方法も説明します。

3) VXLAN と VLAN のブリッジ機能を使用することで、ユーザーは物理と仮想の通信機能や物理と仮想の移行機能を活用できるようになります。ここでは、構成のプロセスを示します。

4) 最後に、NSX プラットフォームの拡張性と高可用性について確認します。


 

コンポーネントの概要

 

デスクトップで [Google Chrome] アイコンをダブルクリックし、ブラウザを開きます。

 

 

vSphere Web Client へのログイン

 

vSphere Web Client にまだログインしていない場合:

(ホーム ページは vSphere Web Client です。それ以外の場合は、Google Chrome タスクバーにある vSphere Web Client のアイコンをクリックします)

  1. [Windows セッション認証を使用してください] チェックボックスをオンにして、ログインします。
  2. [ログイン] をクリックします

 

 

Web Client の [Networking  Security] セクションに移動

 

  1. クリックして [Networking & Security] セクションを開きます。

 

 

展開したコンポーネントの確認

 

  1. [インストール手順] をクリックします。
  2. [ホストの準備] をクリックします。クラスタのホストには、データ プレーン コンポーネント (ネットワーク仮想化コンポーネントとも呼ばれます) がインストールされています。コンポーネントには次のようなものがあります。ポート セキュリティ、VXLAN、分散ファイアウォール、分散ルーティング用のハイパーバイザー レベルのカーネル モジュール

ネットワーク仮想化コンポーネントのインストール後、各クラスタでファイアウォールと VXLAN の機能が構成され有効になっていることを確認します。

 

 

ホストでデータ パス コンポーネントを準備した後のトポロジー

 

次に、[論理ネットワークの準備] タブを選択して、VXLAN 関連の構成ステップを見ていきます。

VXLAN 構成は、3 つの重要なステップから成ります。

 

 

VXLAN トンネル終端ポイント (VTEP) 構成の表示

 

  1. [論理ネットワークの準備] タブをクリックします。
  2. [VXLAN 転送] タブをクリックします。
  3. 展開 / 折りたたみアイコンをクリックしてクラスタを展開します。

図で示すように、コンピューティング クラスタ内のホストは、管理クラスタに対して異なるサブネット内の VTEP IP アドレスにより構成します (画面の右側にある IP プール情報を確認するために、左側のペインの固定解除や右方向へのスクロールが必要になることがあります)。

 

 

クラスタ間で VTEP を構成した後のトポロジー

 

VXLAN を展開するうえでお客様がこれまで抱えてきた主な課題の 1 つは、物理ネットワーク デバイスからマルチキャスト プロトコルをサポートする必要があるということでした。この課題は、NSX プラットフォームによってコントローラ ベースの VXLAN 実装を提供し、物理ネットワーク内でマルチキャストを構成する必要性をなくすことで対応できます。VXLAN のレプリケーションモードは、マルチキャスト、ユニキャスト、ハイブリッドから選択します。ユニキャストがデフォルトのレプリケーションモードであり、お客様は論理ネットワーク プールの定義時にマルチキャスト アドレ スを構成する必要はありません。

 

 

セグメント ID およびマルチキャスト グループ アドレスの構成

 

NSX for vSphere ではマルチキャスト アドレスを必要としません。この実習ラボではユニキャスト モードを使用します。

 

 

最後のステップとして、トランスポート ゾーンの設定を通じて論理ネットワークのスパンを定義

 

  1. [トランスポートゾーン] をクリックします。
  2. [Local-Transport-Zone-A] をダブルクリックします。 

 

 

ローカル トランスポート ゾーンのメンバーとしてのクラスタの確認

 

3 つのクラスタすべてが [Local-Transport-Zone-A] に表示されることを確認します。

 

 

トランスポート ゾーンを定義した後のトポロジー

 

トランスポート ゾーンは論理スイッチのスパンを定義します。[トランスポート ゾーン] では、特定の論理ネットワークをどのクラスタが使用できるかを指定します。データセンターに新しいクラスタを追加するときに、トランスポート ゾーンを増やすことができます (したがって論理ネットワークのスパンを増やすことができます)。すべてのコンピューティング クラスタにわたる論理スイッチ スパンを設定すれば、VLAN 境界が制限されていたためにこれまで存在したモビリティと配置の障壁がすべて解消されます。

さまざまな NSX コンポーネントと、VXLAN に関連する構成を確認した後は、論理ネットワーク (論理スイッチとも呼ばれます) の作成について説明します。

 

 

[Networking  and Security] メニューに戻る

 

 

 

コンポーネントの概要と論理スイッチ

 

論理スイッチを作成し、NSX Edge及び仮想マシンの接続をおこなっていきます。

 

 

新しい論理スイッチの作成

 

  1. 左側の [論理スイッチ] をクリックします。
  2. 緑色のプラス記号をクリックして、新しい論理スイッチを作成します。
  3. 論理スイッチに 「Prod_Logical_Switch」 という名前を付けます。
  4. [転送ゾーン] の右側にある [変更] をクリックします。注: [Local-Transport-Zone-A] を選択すると、自動的にユニキャスト モードが選択されます。
  5. [Local-Transport-Zone-A] のラジオ ボタンを選択します。
  6. [OK] をクリックします。
  7. 再度 [OK] をクリックします。

[IP 検出の有効化] のチェックボックスをオンのままにして、[OK] をクリックします。

IP 検出により、ARP 抑制が有効化されます。

[IP 検出の有効化] を選択すると、Address Resolution Protocol (ARP) 抑制が有効化されます。ARP では、レイヤー 2 セグメントにブロードキャストを送信して、IP アドレスから宛先の Media Access Control (MAC) アドレスを特定します。論理スイッチ を使用する ESXi ホ ストが、仮想マシンから ARP トラフィックを受信する と、ARP テーブルを保持する NSX Controller に ESXi ホストから要求が送信されます。その情報がすでに NSX Controller インスタンス内の ARP テーブルにある場合は、仮想マシンに応答するホストに返されます。

 

 

外部アクセス用の NSX Edge サービス ゲートウェイに対する新しい論理スイッチの接続

 

  1. 新たに作成した論理スイッチを強調表示します。
  2. [Prod_Logical_Switch] を右クリックして [Edgeの接続] を選択します。  

 

 

NSX Edge への論理スイッチの接続

 

ルーティングについては次のモジュールでさらに詳しく説明しますが、ControlCenter 仮想マシンや実習ラボの他の仮想マシンから新しい論理スイッチの仮想マシンに接続するには、ルータとの接続が必要になります。コンポーネントのセクションで説明したように、NSX Edge は 2 つの異なる形式でインストールできます (分散ルータと Edge ゲートウェイ)。

この例では、NSX Edge サービス ゲートウェイ (Perimeter-Gateway) に論理スイッチを接続します。

  1. [Perimeter-Gateway] の横にあるラジオ ボタンをクリックします。
  2. [次へ] をクリックします。

 

 

NSX Edge サービス ゲートウェイには 10 個のインターフェイスがあり、論理スイッチを仮想 NIC5 に接続する必要があります。

 

  1. [vnic5] の横にあるラジオ ボタンをクリックします。
  2. [次へ] をクリックします。

 

 

インターフェイスの名前付けと IP アドレスの構成

 

  1. インターフェイスに 「Prod_Interface」 という名前を付けます。
  2. [接続中] を選択します。
  3. プラス記号をクリックして、サブネットを構成します (他の設定は変更しないでください)。

 

 

IP をインターフェイスに割り当て

 

  1. [プライマリ IP アドレス] に 「172.16.40.1」 と入力します ([セカンダリ IP アドレス] は空白のままにします)。
  2. [サブネットの接頭辞の長さ] に 「24」 と入力します。
  3. 設定が正しいことを確認し、[次へ] をクリックします。

 

 

インターフェイス編集プロセスの完了

 

  1. [終了] をクリックします (新しい論理スイッチが論理スイッチ リストに表示されます)。

 

 

Prod_Logical_Switch を NSX Edge サービス ゲートウェイに接続した後のトポロジー

 

論理スイッチを構成し、外部ネットワークへのアクセスを提供した後、このネットワークに Web アプリケーション仮想マシンを接続します。

 

 

新たに作成した Prod_Logical_Switch への web-sv-03a および web-sv-04a の接続

 

  1. 新たに作成した論理スイッチをクリックして強調表示します。
  2. 右クリックして、[仮想マシンの追加] メニュー項目を選択します。

 

 

新しい論理スイッチに接続する仮想マシンの追加

 

  1. 名前の先頭が 「web」 である仮想マシンを見つけるためのフィルタを入力します。
  2. web-03a および web-04a の仮想マシンを強調表示します。
  3. 右矢印をクリックして仮想マシンを選択し、論理スイッチに追加します。
  4. [次へ] をクリックします。

 

 

論理スイッチに対する仮想マシンの仮想 NIC の追加

 

  1. 2 台の仮想マシンの仮想 NIC を選択します。
  2. [次へ] をクリックして次の画面に進みます。

 

 

論理スイッチへの仮想マシンの追加の完了

 

  1. [終了] をクリックします。

 

 

仮想マシンを論理スイッチに接続した後のトポロジー

 

このネットワーク仮想化プラットフォームを使用した場合、論理スイッチを作成した後、論理スイッチに仮想マシンを接続することは、簡単かつ迅速なプロセスです。

論理スイッチをプロビジョニングするこのアプローチは、物理デバイスの再構成プロセスよりもはるかに簡単で迅速です。

次に、論理ネットワーク上の仮想マシン間の通信を確認します。外部ネットワークからのアクセスは、仮想マシンに対する SSH セッションを確立することにより確認できます。2 つの異なるクラスタでホストされた仮想マシン間で通信が行われることは、論理スイッチが物理レイヤーの 3 つの境界にわたりながら、依然としてレイヤー 2 の接続性を提供することを示しています。

 

 

[Hosts and Clusters] ビュー

 

  1. [ホーム] ボタンをクリックします。
  2. ドロップダウン メニューから [ホストおよびクラスタ] を選択します。

このステップでは、新しい論理スイッチがレイヤー 2 論理セグメントをレイヤー 3 コンピューティング インフラストラクチャ上に構築できることを確かめます。

 

 

クラスタの拡張

 

 

 

PuTTY の起動

 

  1. [Start] をクリックします。
  2. [Start] メニューから PuTTY アプリケーションのアイコンをクリックします。

サブネット 192.168.110.0/24 にあるコントロール センターから接続しています。トラフィックは NSX Edge を経由した後、Web インターフェイスに届きます。

 

 

web-03a への SSH セッション接続

 

  1. [web-03a.corp.local] を選択します。
  2. [Open] をクリックします。

注: web-3a が何らかの理由でリストに表示されない場合は、[Host Name] ボックスに 「172.16.40.13」 という IP アドレスを入力してみてください。それでも接続できない場合には、これまでの手順を見直した後、実習ラボの監督者に問い合わせてください。

 

 

仮想マシンにログイン

 

注: web-03a への接続で問題が発生する場合は、これまでの手順を見直した後、処理が正しく完了したことを確認します。

 

 

Web サーバ web-sv-04a に対して ping を送信してレイヤー 2 の接続性を確認

 

このコマンドをコンソールに送信する際には、必ず SEND TEXT オプションを使用してください。(実習ラボのガイダンスを参照)。

ping の継続実行ではなく ping を 2 回だけ送信するので、「ping -c 2  web-04a」 と入力します。注: web-04a には 172.16.40.14 という IP があるため、必要に応じて、名前ではなく IP で ping を実行することができます。

ping -c 2  web-04a 

***DUP! パケットが表示されることがありますこれは、VMware のネストした実習ラボ環境の特性によるものです。本番環境では発生しません。

****PuTTY セッションを閉じないでください。後で使用するためにウィンドウを最小化してください。

次に、論理スイッチ ネットワークを物理 VLAN に拡張することを可能にする NSX Edge の別の機能について取り上げます。論理スイッチから外部環境にトラフィックをルーティングするのではなく、論理環境と物理環境を相互にブリッジ接続できます。次に、この機能の一般的な使用事例を示します。

 

 

VXLAN から VLAN へのブリッジ接続: 論理スイッチから VLAN 100 へのブリッジ接続を示すトポロジー

 

指定の VXLAN-VLAN ペアについて、単一の ESXi ホストのカーネル内で L2 ブリッジ機能が実行されます。このホストは、VXLAN-VLAN マッピングが構成された (上記の図を参照してください) 特定の DLR 用のアクティブ コントロール仮想マシンをホストしています。

 

 

VXLAN と VLAN のブリッジ接続の構成

 

ネストされたこの実習ラボのセットアップでは、VLAN タグ付け機能が利用できないため、物理 L2 ネットワークと論理 L2 ネットワークの間の通信については実演できません。ここでは、構成ステップを保存せずに実行する方法について説明します。これはあくまでデモ用です。

  1. [ホーム] アイコンにカーソルを合わせます。
  2. [Networking and Security] をクリックします。

 

 

ブリッジ構成向けに 「Distributed-Router」 と命名された NSX Edge を選択

 

  1. 左側のパネルで [NSX Edges] を選択します。
  2. [edge-4 Distributed-Router] をダブルクリックして、プロパティを編集します。

 

 

論理ネットワークを VLAN にブリッジ

 

  1. [管理] タブをクリックします。
  2. [ブリッジ] を選択します。
  3. プラス記号をクリックします。

ブリッジ接続を完了するための、3 つの項目が表示されます。ブリッジに名前を付け、物理ネットワークにブリッジする論理スイッチを選択してから、論理空間にブリッジする VLAN と結合される分散仮想ポート グループを選択します。

4.      この構成はこの実習ラボ環境ではサポートされていないため、ここでは [キャンセル] をクリックします。

構成は簡単であり、論理スイッチと VLAN を選択するだけです。

 

 

NSX Controller のスケーラビリティと可用性

 

このセクションでは、コントローラのスケーラビリティと可用性について取り上げます。NSX プラットフォームのコントローラ クラスタは制御プレーンのコンポーネントです。ハイパーバイザーの、スイッチングとルーティング用のモジュールを管理します。コントローラ クラスタは、特定の論理スイッチを管理するコントローラ ノードから構成されています。VXLAN ベースの論理スイッチを管理する場合、コントローラ クラスタを使用すれば、物理ネットワーク インフラストラクチャからのマルチキャスト サポートが不要になります。

耐障害性とパフォーマンスを確保するために、本番環境には複数のノードを備えたコントローラ クラスタを導入する必要があります。NSX Controller クラスタはスケールアウト分散システムであり、各コントローラ ノードには、そのノードに実装可能なタスクのタイプを定義する一連のロールが割り当てられています。コントローラ ノードは3台で構成されます。クラスタの現在のベスト プラクティス (およびサポートされる唯一の構成) は、アクティブ - アクティブ - アクティブの負荷共有と冗長性を備える 3 つのノードを含めることです。

NSX アーキテクチャが持つスケーラビリティという特性を向上させるために、すべてのコントローラ ノードが常にアクティブな状態になるよう、「スライシング」 メカニズムが利用されます。

コントローラに障害が発生した場合でも、データ プレーン (仮想マシン) のトラフィックは影響を受けず、継続されます。これは、論理ネットワーク情報を、論理スイッチ (データ プレーン) が保持しているためです。制御プレーン (コントローラ クラスタ) なしで追加 / 移動 / 変更を完全に行うことはできません。

  1. [ホーム] アイコンにカーソルを合わせます。
  2. [Networking and Security] をクリックします。

 

 

既存のコントローラの設定を確認

 

  1. [インストール手順] をクリックします。
  2. [管理] をクリックします。

[NSX コントローラ ノード] を確認すると、3 台のコントローラが展開されていることがわかります。高可用性と拡張性のために NSX Controller は3台で構成されます。

 

 

NSX Controller 仮想マシンの表示

 

仮想環境内の NSX Controller を表示するには、次の手順を実施します

  1. [ホーム] アイコンにカーソルを合わせます。
  2. [日葬マシンおよびテンプレート] をクリックします。

 

 

NSX Controller 3 台の表示

 

  1. [Data Center Site A] コンテナを展開します。
  2. [NSX Controllers] フォルダを展開します。
  3. NSX Controller の 1 台を強調表示します。
  4. [Summary] タブを選択します。このコントローラが接続されている ESXi ホストを確認します。他のコントローラは、この実習ラボ環境の別の ESXi ホストにある場合があります。本番環境では、各コントローラは、DRS の非アフィニティ ルールが設定されたクラスタ内の別々のホストに配置されます。これにより、単一ホストの障害が原因で複数のコントローラ障害が発生するのを防ぎます。

 

 

モジュール 1 の学習内容

このモジュールでは、NSX プラットフォームの次の主なメリットを実演しました。

論理スイッチのプロビジョニング及び、論理スイッチと仮想マシン、外部ネットワークを接続する際の迅速性

トランスポート ゾーン及びコントローラ ノードに支えられた プラットフォームの拡張性

 

モジュール 2: 論理ルーティング (60 分)

ルーティングの概要


実習ラボの概要

ここまでのモジュールで、ユーザーが数回のクリックで、分離した論理スイッチ / ネットワークを作成できることを確認しました。このように分離されたレイヤー 2 論理ネットワーク間で通信を提供するには、ルーティングのサポートが非常に重要です。NSX プラットフォームでは、分散論理ルータによって論理スイッチ間でトラフィックをルーティングできます。この論理ルータの主な差別化機能の 1 つが、ハイパーバイザー内でルーティング機能が分散されることです。この論理ルータ コンポーネントを組み込むことによって、ユーザーが論理空間内で複雑なルーティング トポロジーを再現できます。たとえば 3 台の論理スイッチに接続する 3 層アプリケーションでは、この分散論理ルータによってレイヤー間のルーティングが処理されます。

このモジュールでは、次のことを実演します。

1) 外部物理ルータまたは NSX Edge サービス ゲートウェイによってルーティングが処理される場合に、トラフィックがどのように流れるかを示します。

2) 次に、論理ルータ上で論理インターフェイス (LIF) の構成を行い、アプリケーションとアプリケーションのデータベース層の間のルーティングを可能にします。

3) さらに、分散論理ルータおよび NSX Edge サービス ゲートウェイにまたがる動的ルーティング プロトコルを構成します。外部ルータに対する内部ルート アドバタイズメントがどのように制御されるかを示します。

4) 最後に、Edge サービス ゲートウェイを拡張および保護するうえで、ECMP を含むさまざまなルーティング プロトコルをどのように使用できるかを確認します。

このモジュールでは、NSX プラットフォームでサポートされるいくつかのルーティング機能について説明するとともに、3 層アプリケーションの展開時にこれらの機能を利用する方法についても説明します。


 

CLI コマンドに関する特記事項

 

多くのモジュールで、コマンド ライン インターフェイス (CLI) のコマンドを入力します。CLI コマンドを実習ラボに送信するには 2 つの方法があります。

1 つ目の方法では、次の手順で CLI コマンドを実習ラボのコンソールに送信します。

  1. マニュアル内の CLI コマンドを強調表示し、<Ctrl> + <C> キーを押してクリップボードにコピーします。
  2. コンソール メニューで [テキストの送信] をクリックします。
  3. <Ctrl> + <V> キーを押して、先ほどコピーした CLI コマンドをクリップボードからウィンドウに貼り付けます。
  4. [送信] ボタンをクリックします。

2 つ目は、テキスト ファイル (README.txt) を使用する方法です。実習ラボ環境のデスクトップに用意されているこのファイルを使用すれば、関連するユーティリティ (CMD、PuTTY、コンソールなど) で、複雑なコマンドやパスワードを簡単にコピーして貼り付けることができます。各国で使用されているさまざまなキーボードの中には、一部の文字が存在しないものがあります。このテキスト ファイルは、こうした文字が存在しないキーボード レイアウトにも対応しています。

このテキスト ファイル README.txt はデスクトップにあります。  

 

動的で分散されたルーティング


最初に、分散ルーティングの構成を確認した後、カーネル レベルでルーティングを実行するメリットについて確認します。


 

現在のトポロジーとパケット フローの確認

 

上の図では、アプリケーション仮想マシンとデータベース仮想マシンが両方とも同じ物理ホスト上にあります。これがこの実習ラボのシナリオです。分散ルーティングを使用しない場合、これら 2 台の仮想マシンが通信するとき、上の図の赤い矢印のステップで示すトラフィック フローが生じます。まず、トラフィックはアプリケーション仮想マシンから出発します。データベース仮想マシンが同じネットワーク サブネットにないことから、物理ホストはこのトラフィックをレイヤー 3 デバイスに送信します。この環境では、レイヤー 3 デバイスは管理クラスタにある NSX (境界) Edge です。次に、NSX Edge はこのトラフィックをホストに戻し、そこでトラフィックはようやくデータベース仮想マシンに到達します。

実習ラボの最後に、分散ルーティングの構成後にこの動作がどのように変更されたかを同様のトラフィック フロー図で確認します。

 

 

vSphere Web Client へのアクセス

 

 

 

vSphere Web Client へのログイン

 

Windows セッション認証を使用して vSphere Web Client にログインします。

  1. [Windows セッション認証を使用してください] チェックボックスをオンにして、ログインします。
  2. [ログイン] をクリックします。

 

 

3 層アプリケーションの機能の確認

 

  1. 新しいブラウザ タブを開きます。
  2. お気に入りの [3-Tier Web App] をクリックします。

 

 

[Advanced] のクリック

 

 

 

Web ページに進む

 

 

 

データベース情報を返す Web アプリケーション

 

分散ルーティングの構成を開始する前に、3 層 Web アプリケーションが正しく機能していることを確認します。3 層アプリケーション (Web、アプリケーション、データベース) は、異なる論理スイッチと、レイヤー間のルーティングを提供する NSX Edge 上にあります。

 

 

境界エッジからのアプリケーション インターフェイスとデータベース インターフェイスの削除

 

前述のトポロジーで確認したように、3 台の論理スイッチまたはアプリケーションの 3 層は境界エッジ上で終端されています。境界エッジは、3 層間のルーティングを提供します。まず、境界エッジからアプリケーション インターフェイスとデータベース インターフェイスを削除することにより、このトポロジーを変更します。これらのインターフェイスを削除した後、分散エッジに移動します。コンポーネントの展開時間を節約するために、分散ルータはすでに作成されています。

  1. [Networking and Security] ボタンをクリックします。

 

 

NSX Edge を選択

 

  1. 左側のナビゲーション ペインで [NSX Edge] をクリックします。
  2. [edge-2 Perimeter-Gateway] をダブルクリックし、境界ゲートウェイの構成を開きます。

 

 

[設定] タブから [インターフェース] を選択して現在のインターフェイスを表示

 

  1. [管理] タブをクリックします。
  2. [設定] をクリックします。
  3. [設定] のナビゲーション タブで [インターフェイス] をクリックします。

現在構成されているインターフェイスとそのプロパティが表示されます。表示される情報は、仮想 NIC 番号、インターフェイス名、そのインターフェイスが内部リンクとアップリンクのどちらに構成されているか、現在の状態が有効か無効かなどです。

 

 

アプリケーション インターフェイスの削除

 

  1. 「Internal_App」 インターフェイスを強調表示すると、選択したインターフェイス固有のオプションがアクション バーで明るく表示されます。
  2. 赤い [X] をクリックして、選択したインターフェイスを境界エッジから削除します。インターフェイスの削除確認を求める警告ボックスがポップアップします。
  3. [OK] をクリックして削除を承認します。

 

 

データベース インターフェイスの削除

 

  1. 「Internal_DB」 インターフェイスを強調表示すると、選択したインターフェイス固有のオプションがアクション バーで明るく表示されます。
  2. 赤い [X] をクリックして、選択したインターフェイスを境界エッジから削除します。インターフェイスの削除確認を求める警告ボックスがポップアップします。
  3. [OK] をクリックして削除を承認します。

 

 

アプリケーション インターフェイスとデータベース インターフェイスを境界エッジから削除した後のトポロジー

 

 

 

NSX ホーム ページに戻る

 

境界エッジからアプリケーション インターフェイスとデータベース インターフェイスを削除したら、分散エッジにアクセスするためにエッジ デバイス画面に戻る必要があります。

 

 

アプリケーション インターフェイスとデータベース インターフェイスの分散ルータへの追加

 

次に、アプリケーション インターフェイスとデータベース インターフェイスを 「分散ルータ」(論理ルータ) に追加することによって、分散ルーティングの構成を開始します。

 

 

分散ルータのインターフェイスの表示

 

  1. [管理] をクリックします。
  2. [設定] をクリックします。
  3. [インターフェイス] をクリックして、分散ルータで現在構成されているすべてのインターフェイスを表示します。

 

 

分散ルータへのインターフェイスの追加

 

  1. 緑色のプラス記号をクリックして、新しいインターフェイスを追加します。
  2. インターフェイスに 「App_Interface」 という名前を付けます。
  3. [接続先] セクションの [選択] をクリックします。

 

 

ネットワークの指定

 

  1. このインターフェイスの通信に使用されるネットワークの [App_Tier_01] ラジオ ボタンを選択します。
  2. [OK] をクリックします。

 

 

サブネットの追加

 

  1. 緑色のプラス記号をクリックして、サブネットを構成します。
  2. [プライマリ IP アドレス] ボックスをクリックし、IP アドレスとして 「172.16.20.1」 を入力します。
  3. [サブネットの接頭辞の長さ] に 「24」 を入力します。
  4. [OK] をクリックして、サブネットの追加操作を終了します。

 

 

App_Interface が追加されたことを確認

 

システムによるインターフェイスの構成と追加が完了すると、メイン インターフェイス ページが開き、追加した App_Interface アプリケーション インターフェイスが表示されます。  

 

 

データベース インターフェイスの追加

 

システムによる DB_Interface の追加と構成が完了すると、メイン インターフェイス ウィンドウが表示されます。このウィンドウで、両方のインターフェイスが追加されていることを確認できます。  

 

 

アプリケーション インターフェイスおよびデータベース インターフェイスを分散ルータに移動した後の新しいトポロジー

 

分散ルータでインターフェイスが構成されると、これらのインターフェイス構成は、環境内の各ホストに自動的に転送されます。ここからは、ホストの分散ルーティング (DR) カーネル ローダブル モジュールが、アプリケーション インターフェイスとデータベース インターフェイスの間のルーティングを処理します。そのため、2 つの異なるサブネットに接続されている 2 台の仮想マシンが同じホスト上で稼動していても、通信時に前述のトラフィック フロー図に示されているように、トラフィックが余計なパスをたどることはありません。

 

 

3 層 Web アプリケーションでブラウザ タブに戻る

 

構成を変更したため、3 層アプリケーションにアクセスできなくなっています。実際に確認してみましょう。アクセスが失敗する理由は、分散ルータを介してルーティングするよう設定したにもかかわらず、Web サーバが存在する場所と分散ルータとの間にルートが存在しないためです。

注: 前の手順でタブを閉じた場合は、新しいブラウザ タブを開いて、お気に入りの [3-Tier Web App] をクリックします。

 

 

3 層アプリケーションの処理が停止したことを確認

 

  1. 更新アイコンをクリックします。

アプリケーションへのアクセスが試行されますが、数秒後にタイムアウトになります。必要であれば、赤色の [x] をクリックしてブラウザを停止してください。顧客データが表示された場合、それは以前にキャッシュされたデータの可能性があります。正しい結果を表示するには、ブラウザをいったん閉じてから、再度開いてください。

Web サーバへの接続性をテストするために作成したタブを閉じます。次に、サービスをリストアするためのルーティングを構成します。

注: 3 層アプリケーションが動作していないことを確認した後、ブラウザを再度開く必要がある場合は、ブラウザで vSphere Web Client のブックマークをクリックし、「Windowsセッション認証を使用してください」にチェックを入れ再度ログインします。次に、[Networking and Security]、 [NSX Edge] の順にクリックし、最後に [Distributed-Router] をダブルクリックし ます。

 

 

分散ルータでの動的ルーティングの構成

 

  1. [ルーティング] タブをクリックします。
  2. [グローバル構成] をクリックします。
  3. [動的ルーティング構成] の横にある [編集] ボタンをクリックします。

 

 

動的ルーティングの構成の編集

 

  1. デフォルトのルータ ID (アップリンク インターフェイスの IP アドレス) を選択します。ここでは、[Edge_Uplink - 192.168.5.2] を選択します。
  2. [OK] をクリックします。

注: ルータ ID は、自律システム内でのルータの ID を示すため、OSPF の動作において重要です。これは、IP アドレスを表す 32 ビットの識別子ですが、このルータ ID には、特定のルータ向けのサブネット固有の ID を割り当てることができます。このケースで使用されているルータ ID は、エッジ デバイス上のアップリンク インターフェイスの IP アドレスと同じです。これで問題はありませんが、必ずしもこのようにする必要はありません。画面は [グローバル 構成] メイン ページに戻り、再び緑色のボックスに [変更の発行] が表示されます。

 

 

変更の発行

 

 

 

OSPF 固有のパラメータを構成

 

動的ルーティング プロトコルとして OSPF を使用します。

  1. ナビゲーション ツリーで [ルーティング] の [OSPF] を選択し、OSPF のメイン構成ページを開きます。
  2. [OSPF 構成] の右側にある [編集] をクリックします。[OSPF 構成] ダイアログ ボックスが開きます。

 

 

OSPF の有効化

 

  1. [OSPFの有効化] チェックボックスをオンにします。
  2. [プロトコル アドレス] ボックスに 「192.168.5.3」 と入力します。
  3. [転送 アドレス] ボックスに 「192.168.5.2」 と入力します。
  4. [グレースフル リスタートの有効化] チェックボックスがオンであることを確認します。
  5. [OK] をクリックします。

注: 分散ルータの場合は、分散ルータのコントロール仮想マシンに制御トラフィックを送信するために [プロトコル アドレス] フィールドが必要です。「転送 アドレス」には、通常のデータ パス トラフィックがすべて送信されます。[OSPF] のメイン構成ウィンドウに戻ります。緑色の [変更の発行] ダイアログ ボックスが表示されます。

注: NSX では制御プレーンとデータ プレーンのトラフィックが分離されていることから、管理機能を再起動または再ロードしながら、ルーティング インスタンスのデータ転送機能が維持される可能性があります。この機能は、「グレースフル リスタート」 または 「ノンストップ フォワーディング」 と呼ばれます。

[変更の発行]はまだ実施しないでください。ステップごとに変更を発行するのではなく、構成変更を続行し、一度にすべての変更を発行します。

 

 

エリア定義の構成

 

  1. 緑色のプラス記号をクリックします。[新しいエリア定義] ダイアログ ボックスが開きます。
  2. [エリア ID] ボックスに 「10」 と入力します。ダイアログ ボックスのほかの部分はデフォルト値のままでかまいません。
  3. [OK] をクリックします。

注: OSPF の エリア ID は非常に重要です。OSPF エリアにはいくつかのタイプがあります。エッジ デバイスがどのエリアにあればネットワーク内の残りの OSPF 構成が適切に機能するのかを確認する必要があります。

 

 

エリアとインターフェイスとのマッピング

 

  1. [インターフェイス マッピングのエリア] の緑色のプラス記号をクリックします。[新しいインターフェイス マッピングのエリア] ダイアログ ボックスが表示されます。
  2. [インターフェイス] で [Edge_Uplink] を選択します。
  3. [エリア] で [10] を選択します。
  4. [OK] をクリックします。

 

 

変更の発行

 

 

 

分散ルータで OSPF ルーティングが有効になっていることを確認

 

分散エッジで OSPF が構成され、有効になっていることを確認します。表示されたすべての情報が正しいことを確認します。

 

 

ルート再配布の構成ページを開く

 

 

 

ルート再配布の確認

 

 

 

境界エッジに対する OSPF ルーティングの構成

 

テスト用の 3 層アプリケーションへ再び接続できるようにするには、境界エッジ デバイスに動的ルーティングを構成する必要があります。

 

 

境界エッジの選択

 

[NSX Edges] メイン ページに、構成済みのエッジ デバイスが表示されます。

 

 

境界エッジのグローバルな構成

 

  1. [管理] ナビゲーション タブをクリックします。
  2. [ルーティング] ナビゲーション ボタンを選択し、デバイスのルーティング構成ページを開きます。
  3. [OSPF] をクリックします。

このエッジ デバイスでは、OSPF を使用した動的ルーティングがすでに構成されていることがわかります。このルーティング構成では、エッジ デバイスは、実習ラボ全体を制御するルータと通信し、これらのルータにルートを配布できます。この後、このエッジ デバイスを論理分散ルータに接続します。そのため、分散ルータの場合と同じ手順で、グローバル ルータと OSPF がすでに設定されています。  

 

 

エリアとインターフェイスの間のマッピングにトランジット インターフェイスを追加

 

分散ルータを使用するインターフェイスを介して通信するよう、OSPF を設定する必要があります。

  1. [インターフェイス マッピングのエリア] で緑色のプラス記号をクリックします。
  2. [vNIC] で [Transit_Network] を選択します。
  3. [エリア] で [10] を選択します。
  4. [OK] をクリックします。

 

 

変更の発行

 

 

 

新しいトポロジーの確認

 

現在のトポロジーを見てみると、分散ルータと NSX 境界エッジ デバイスとの間でルーティング情報がどのようにピアリングされるかがわかります。分散ルータの制御配下に作成したネットワークはエッジまで分散され、物理ネットワークへのルーティングをエッジで制御できるようになっています。

これについては、次のセクションで詳しく取り上げます。

 

 

3 層アプリケーションに対する通信の確認

 

それでは、ルーティングが機能することを確認してみましょう。分散ルータから境界ゲートウェイ (Perimeter-Gateway) へルーティング情報が送信され、それによって Web アプリケーションとの接続がリストアされています。これを確認するため、もう一度 Web アプリケーションをテストします。

  1. 前に開いた Web アプリケーションのタブをクリックします。そのタブには、以前失敗したテストに対して 「503 Service Temp...」 が表示されている場合があります。
  2. 3 層 Web アプリケーションが動作していることを再度確認するため、ブラウザを更新します。

注: ネスト環境のため、ルーティング情報の送信に 1 分ほどかかる場合があります。

 

 

分散動的ルーティングの構成の完了

これで、分散動的ルーティングの構成に関するセクションは終了です。次のセクションでは、境界エッジを使用した中央集中型ルーティングについて確認します。

 

中央集中型ルーティング


このセクションでは、エッジからのノースバウンド ルーティングがどのように実行されるかを確認するため、さまざまな要素を確認します。また、OSPF 動的ルーティングがシステム全体でどのように制御され、更新され、伝達されるのかも確認します。実習ラボ全体の運用とルーティングに使用される仮想ルーティング アプライアンスによって、境界エッジ アプライアンス上のルーティングを調べます。

特記事項: デスクトップにある README.txt ファイルには、実習ラボの演習に必要な CLI コマンドが含まれています。CLI コマンドを直接入力できない場合は、このファイルのコマンドをコピーして PuTTY セッションに貼り付けてください。「波括弧 - {1}」 の付いた番号が示されている場合、このモジュールに対応する CLI コマンドが README.txt ファイルに記載されています。


 

実習ラボの現在のトポロジー

 

この図は、vPod ルータへのノースバウンド リンクを含め、実習ラボの現在のトポロジーを示しています。vPod ルータから分散論理ルータへ、OSPF がルート情報を再配布していることがわかります。

 

 

境界ゲートウェイの OSPF ルーティングの確認

ここではまず、Web アプリケーションが機能していることを確認します。次に、NSX 境界ゲートウェイにログインして OSPF ネイバーを表示し、既存のルート配布を確認します。これにより、境界ゲートウェイが分散ルータからだけでなく、実習ラボ全体を制御している vPod ルータからもルート情報を受け取っていることがわかります。

 

 

3 層アプリケーションの機能を確認

 

 

 

データベース情報を返す Web アプリケーション

 

分散ルーティングの構成を開始する前に、3 層 Web アプリケーションが正しく機能していることを確認します。3 層アプリケーション (Web、アプリケーション、データベース) は、異なる論理スイッチと、レイヤー間のルーティングを提供する NSX Edge 上にあります。

Web サーバは、データベースに格納された顧客情報を含む Web ページを返します。

 

 

vSphere Web Client へのログイン

 

vSphere Web Client にまだログインしていない場合は、ログインします。

 

 

Perimeter-Gateway 仮想マシンへ移動

 

 

 

リモート コンソールの起動

 

  1. [Datacenter Site A] フォルダ、[Edges] フォルダの順に展開します。
  2. [Perimeter-Gateway] を選択します。
  3. [サマリ] タブを選択します。
  4. [リモート コンソールを起動] をクリックします。

 

 

リモート コンソールへのアクセス

 

VMRC ウィンドウを最初に開いたときは、全体が黒く表示されます。ウィンドウ内をクリックし、キーを数回押すと、スクリーンセーバーが終了してコンソールが表示されます。

***注*** VMRC ウィンドウからカーソルを解放するには、Ctrl + Alt キーを押します。

 

 

境界ゲートウェイへのログイン

 

次の認証情報を使って境界ゲートウェイにログインします。エッジ デバイスでは、12 文字の複雑なパスワードを使用する必要があります。

 

 

CLI コマンドに関する特記事項

 

多くのモジュールで、コマンド ライン インターフェイス (CLI) のコマンドを入力します。CLI コマンドを実習ラボに送信するには 2 つの方法があります。

1 つ目の方法では、次の手順で CLI コマンドを実習ラボのコンソールに送信します。

  1. マニュアル内の CLI コマンドを強調表示し、<Ctrl> + <C> キーを押してクリップボードにコピーします。
  2. コンソール メニューで [テキストの送信] をクリックします。
  3. <Ctrl> + <V> キーを押して、先ほどコピーした CLI コマンドをクリップボードからウィンドウに貼り付けます。
  4. [送信] ボタンをクリックします。

2 つ目は、テキスト ファイル (README.txt) を使用する方法です。実習ラボ環境のデスクトップに用意されているこのファイルを使用すれば、関連するユーティリティ (CMD、PuTTY、コンソールなど) で、複雑なコマンドやパスワードを簡単にコピーして貼り付けることができます。各国で使用されているさまざまなキーボードの中には、一部の文字が存在しないものがあります。このテキスト ファイルは、こうした文字が存在しないキーボード レイアウトにも対応しています。

この README.txt ファイルはデスクトップにあります。  

 

 

OSPF ネイバーの表示

 

最初に、境界エッジの OSPF ネイバーを確認します。境界エッジは、実習ラボのルーティング レイヤーの中央に位置しています。

注: NSX のエッジ デバイスでは、tabキーによる入力補完機能を使用できます。

show ip ospf neighbor

 

 

表示された OSPF ネイバー情報の確認

 

次に、表示された内容とそれらの意味について見ていきます。

  1. [Neighbor ID 192.168.5.2]: これは NSX 環境内にある論理分散ルータのルータ ID です。
  2. [Address 192.168.5.3]: 境界エッジ上の OSPF が通信するアドレスです。この実習ラボの前セクションで構成した IP(プロトコルアドレス) です。
  3. [Interface vNic_1]: 境界エッジ上で、対象のピアリング通信が行われるインターフェイス。これはサウスバウンド インターフェイスです。
  4. [Neighbor ID 192.168.250.2]: これは、実習ラボ全体を制御している仮想ルータである vPod ルータのルータ ID です。これは、コントロール センターや他のコンポーネント (vCenter Server など) が通信に使用するルータです。
  5. [Address 192.168.100.1]: 境界エッジ上の OSPF が通信するアドレス。これは vPod ルータ上のインターフェイスの 1 つです。
  6. [Interface vNic_0]: 境界エッジ上で、対象のピアリング通信が行われるインターフェイス。これはノースバウンド インターフェイスです。

 

 

境界エッジ上のルートとそれらの配布元の確認

 

「show ip route」 と入力します。

show ip route

 

 

ルート情報の確認

 

それでは、表示されたルートの内容を見ていきましょう。

  1. 最初の行は、vPod ルータ (192.168.100.1) を起点とするデフォルトのルートを示しています。行の先頭の 「O」 は、これが OSPF 経由で配信されたルートであることを示しています。
  2. 2 行目は、Web-Tier 論理スイッチとそのインターフェイスです。行の先頭の 「C」 は、境界エッジに直接接続されていることを示しています。
  3. 「3」 と示されている 2 行は、Web アプリケーションを構成する他の 2 つの部分 (アプリケーションとデータベース レイヤーのネットワーク セグメント) を表しています。分散ルータ (192.168.5.2) から OSPF で受け取ったルート情報なので、1 行目と同様、行の先頭に 「O」 が表示されています。
  4. 赤枠 「4」 で囲まれたすべてのネットワーク セグメントは、vPod ルータ (192.168.100.1) から境界エッジに OSPF で配信されたネットワーク情報です。NSX 仮想ネットワーク内からこれらのネットワークに接続できます。また、これらのネットワークから NSX 仮想ネットワークに接続することも可能です。

 

 

 

OSPF ルート配布の制御

状況によっては、仮想環境内にのみ OSPF ルートを配布し、物理環境には配布したくない場合もあります。ルート配布は、エッジ インターフェイスから簡単に制御できます。

 

 

vSphere Web Client での NSX への移動

 

**注** <Ctrl> + <Alt> キーを押して、境界ゲートウェイの VMRC ウィンドウから移動する必要があります。

 

 

境界ゲートウェイへのアクセス

 

  1. [NSX Edge] をクリックします。
  2. [Edge-2] をダブルクリックします。

 

 

OSPF ルーティング構成へのアクセス

 

  1. [管理] タブを選択します。
  2. [ルーティング] をクリックします。
  3. 左側のペインで [OSPF] をクリックします。

 

 

ノースバウンド インターフェイスへのエリア マッピングの削除

 

ここで、OSPF エリア 10 のマッピングをアップリンク インターフェイスから削除します。これにより、境界ゲートウェイと vPod ルータがルート情報を交換しなくなります。

  1. [vNIC] で [Uplink] を選択します。
  2. 赤色の [X] マークをクリックして、マッピングを削除します。

 

 

削除の確認

 

 

 

変更の発行

 

 

 

境界ゲートウェイの VMRC への移動

 

タスクバーで [Perimeter-Gateway] を選択します。

 

 

OSPF ネイバーの表示

 

**注** ウィンドウを開いたあと、画面が表示されないときは、ウィンドウ内をクリックして キーを押してください。

1. 「show ip ospf neighbor」 と入力し、キーを押します。

show ip ospf neighbor

分散ルータ (192.168.5.2) が唯一のネイバーであり、vPod ルータ (192.168.250.1) がリストから消えていることがわかります。

 

 

ルートの表示

 

1. 「show ip route」 と入力し、キーを押します。

show ip route

分散ルータ (192.168.5.2) からのみ、OSPF によってルートを受け取っていることがわかります。

 

 

3 層アプリケーションの処理が停止したことを確認

 

**注** <Ctrl> + <Alt> キーを押して、境界ゲートウェイの VMRC ウィンドウから移動する必要があります。

コントロール センターと仮想ネットワーク環境の間にルートが存在しないため、Web アプリケーションの処理は失敗します。

  1. [HOL - Multi-Tier App] タブをクリックします。
  2. 更新アイコンをクリックします。

アプリケーションへのアクセスが試行されますが、しばらくするとタイムアウトになります。必要であれば、赤色の [x] をクリックしてブラウザを停止してください。顧客データが表示された場合、それは以前にキャッシュされたデータの可能性があります。正しい結果を表示するには、ブラウザをいったん閉じてから、再度開いてください。  

 

 

ルート ピアリングの再確立

 

それでは、境界ゲートウェイと vPod ルータとの間にルート ピアリングを再度確立しましょう。

 

 

エリアとインターフェイス間のマッピングを再度追加

 

  1. [インターフェイス マッピングのエリア] の緑色のプラス記号をクリックします。
  2. [vNIC] で [Uplink] を選択します。
  3. [アリア] で [10] を選択します。
  4. [インターフェイスのMTU設定を無視] チェックボックスがオンになっていることを確認します。注: 通常は使用しない設定ですが、この実習ラボ環境では制約があるためオンにします。
  5. [OK] をクリックします。

 

 

変更の発行

 

 

 

境界ゲートウェイの VMRC への移動

 

タスクバーで [Perimeter-Gateway] を選択します。

 

 

OSPF ネイバーの表示

 

**注** ウィンドウを開いたあと、画面が表示されないときは、ウィンドウ内をクリックして キーを押してください。

1. 「show ip ospf neighbor」 と入力し、キーを押します。

show ip ospf neighbor

分散ルータ (192.168.5.2) と vPod ルータ (192.168.250.1) の両方がネイバーとして表示されています。

 

 

境界エッジ上のルートとそれらの配布元の確認

 

「show ip route」 と入力します。

show ip route

 

 

ルートの表示

 

vPod ルータ (192.168.100.1) からのすべてのルートが再度リストに表示されます。

 

 

3 層アプリケーションが機能していることの確認

 

**注** <Ctrl> + <Alt> キーを押して、境界ゲートウェイの VMRC ウィンドウから移動する必要があります。

すべてのルートがリストアされたので、Web アプリケーションにも再びアクセスできます。

  1. [HOL - Multi-Tier App] タブをクリックします。
  2. 更新アイコンをクリックします。

実習ラボのこのセクションはこれで終了です。次は、NSX Edge の ECMP と高可用性について見ていきます。

 

ECMP と高可用性


このセクションでは、境界エッジをもう 1 つネットワークに追加します。さらに、等コスト マルチパス ルーティング (ECMP) を使用して、エッジの容量を拡張し、可用性を高めます。NSX では、エッジ デバイスをその場で追加し、ECMP を有効にできます。


 

vSphere Web Client での NSX へのアクセス

 

  1. [Windows セッション認証を使用してください] チェックボックスをオンにします。
  2. [ログイン] をクリックします。

 

 

vSphere Web Client での NSX への移動

 

**注** <Ctrl> + <Alt> キーを押して、境界ゲートウェイの VMRC ウィンドウから移動する必要があります。

  1. [ホーム] アイコンをクリックします。
  2. [Networking and Security] をクリックします。

 

 

境界ゲートウェイ エッジの追加

 

まず、新しい境界エッジ デバイスを追加します。

  1. [NSX Edge] をクリックします。
  2. 緑色のプラス記号をクリックします。

 

 

エッジを選択して名前を入力

 

  1. [インストールタイプ] で [Edge Services Gateway] をクリックします。
  2. [名前] に 「Perimeter-Gateway-2」 と入力します。
  3. [次へ] をクリックします。

 

 

パスワードの設定

 

  1. パスワードとして 「VMware1!VMware1!」 と入力します。
  2. 確認のため、パスワード 「VMware1!VMware1!」 をもう一度入力します。
  3. [SSH アクセスの有効化] をオンにします。
  4. [次へ] をクリックします。

注: NSX エッジでは、12 文字の複雑なパスワードを使用する必要があります。

 

 

エッジ アプライアンスの追加

 

  1. [NSX Edge Appliances] の緑色のプラス記号をクリックして、[NSX Edge Applianceの追加] ダイアログ ボックスを開きます。
  2. [クラスタ/リソースプール] で [Management & Edge Cluster] を選択します。
  3. [データストア] で [ds-site-a-nfs01] を選択します。
  4. [ホスト] で [esx-04a.corp.local] を選択します。
  5. [フォルダ] で [Edges] を選択します。
  6. [OK] をクリックします。

 

 

展開の続行

 

 

 

アップリンク インターフェイスの追加

 

 

 

接続先スイッチの選択

 

このエッジのノースバウンド スイッチ インターフェイスとして、分散ポート グループを選択する必要があります。

  1. [接続先] フィールドの横にある [Select] をクリックします。
  2. [分散ポートグループ] をクリックします。
  3. [vds_mgt_Uplink Network] を選択します。
  4. [OK] をクリックします。

 

 

IP の名前を入力して追加

 

  1. [名前] に 「Uplink」 と入力します。
  2. [タイプ] で [アップリンク] を選択します。
  3. 緑色のプラス記号をクリックします。
  4. [プライマリ IP アドレス] に 「192.168.100.5」 と入力します。
  5. [サブネットの接頭辞の長さ] に 「24」 と入力します。
  6. [OK] をクリックします。

 

 

エッジ トランジット インターフェイスの追加

 

 

 

接続先スイッチの選択

 

このエッジのノースバウンド スイッチ インターフェイスとして、VXLAN ベースの論理スイッチを選択する必要があります。

  1. [接続先] フィールドの横にある [選択] をクリックします。
  2. [論理スイッチ] をクリックします。
  3. [Edge_Transit_01_5000] を選択します。
  4. [OK] をクリックします。

 

 

IP の名前を入力して追加

 

  1. [名前] に 「Transit_Network」 と入力します。
  2. [タイプ] で [内部] を選択します。
  3. 緑色のプラス記号をクリックします。
  4. [プライマリ IP アドレス] に 「192.168.5.4」 と入力します。
  5. [サブネットの接頭辞の長さ] に 「29」 と入力します。注: 「24」 ではなく 「29」 であることに注意してください。正しい数値を入力しないと、実習ラボが機能しません。
  6. [OK] をクリックします。

 

 

展開の続行

 

重要: 続行する前に、情報を見直して、IP アドレスとサブネット プレフィックスの数値が正しいことを確認してください。

 

 

デフォルト ゲートウェイの削除

 

OSPF 経由で情報を受け取るため、デフォルト ゲートウェイは削除します。

  1. [デフォルト ゲートウェイの構成] チェックボックスをオフにします。
  2. [次へ] をクリックします。

 

 

デフォルトのファイアウォール設定

 

  1. [ファイアウォールのデフォルト ポリシーの構成] チェックボックスをオンにします。
  2. [承諾] を選択します。
  3. [次へ] をクリックします。

 

 

展開の完了

 

 

 

新しいエッジでルーティングを構成

 

ECMP を有効にする前に、新しいエッジ デバイスで OSPF を構成する必要があります。

 

 

エッジの展開

 

エッジが展開されるまで数分間かかります。

  1. その間、Edge-5 の [ステータス] 列に 「ビジー」 と表示され、上部のバーに 「1 インストール」 と表示されます。これは、エッジが展開中であることを意味します。
  2. 画面表示は自動的に更新されますが、すぐに更新したいときは Web Client の更新アイコンをクリックします。

ステータスが 「デプロイ済み」 になったら、次のステップに進みます。

 

 

ルーティングのグローバルな構成

 

ネットワークでルータを識別できるようにするには、基本構成を設定する必要があります。

  1. [管理] タブをクリックします。
  2. [ルーティング] タブをクリックします。
  3. 左側のペインで [グローバル構成] を選択します。
  4. [動的ルーティング構成] の横にある [編集] をクリックします。
  5. [ルーター ID] で [Uplink -192.168.100.5] を選択します。
  6. [OK] をクリックします。

 

 

変更の発行

 

変更した構成を分散エッジ デバイスに送信するため、ダイアログ ボックスの [変更の発行] ボタンを再度クリックします。

 

 

OSPF の有効化

 

  1. 左側のペインで [OSPF] を選択します。
  2. [OSPF 構成] の横にある [Edit] をクリックします。
  3. [OSPFの有効化] チェックボックスをオンにします。
  4. [OK] をクリックします。

 

 

新しいエリアの追加

 

  1. [エリア定義] で緑色のプラス記号をクリックします。
  2. [エリア ID] に 「10」 と入力します。
  3. [OK] をクリックします。

 

 

アップリンク インターフェイス マッピングの追加

 

前のセクションで実行したように、OSPF で、アップリンク インターフェイスへのエリア マッピングを行う必要があります。

  1. [インターフェイス マッピングのエリア] で緑色のプラス記号をクリックします。
  2. [vNIC] で [Uplink] を選択します。
  3. [エリア] で [10] を選択します。
  4. [インターフェイスのMTU設定を無視] チェックボックスがオンになっていることを確認します。注: 通常は使用しない設定ですが、この実習ラボ環境では制約があるためオンにします。
  5. [OK] をクリックします。

 

 

トランジット インターフェイス マッピングの追加

 

分散ルータへのダウンリンク インターフェイスに対しても同じ手順を実行する必要があります。

  1. [インターフェイス マッピングのエリア] で緑色のプラス記号をクリックします。
  2. [vNIC] で [Transit_Network] を選択します。
  3. [エリア] で [10] を選択します。
  4. [OK] をクリックします。

注: [インターフェイスのMTU設定を無視] チェックボックスをオンにしないでください。これは、アップリンクの場合のみオンにします。

 

 

変更の発行

 

変更した構成を分散エッジ デバイスに送信するため、ダイアログ ボックスの [変更の発行] ボタンを再度クリックします。

 

 

OSPF ルート配布の有効化

 

OSPF ルート再配布を有効にして、このエッジからルートにアクセスできるようにする必要があります。

  1. 左側のペインで [ルート再配分] をクリックします。
  2. [ルート再配分ステータス] の [編集] をクリックします。
  3. [OSPF] チェックボックスをオンにします。
  4. [OK] をクリックします。

 

 

ルート配布テーブル

 

  1. [ルート再配分テーブル] の緑色のプラス記号をクリックします。
  2. [接続中] チェックボックスをオンにします。
  3. [OK] をクリックします。

 

 

変更の発行

 

変更した構成を分散エッジ デバイスに送信するため、ダイアログ ボックスの [変更の発行] ボタンを再度クリックします。

 

 

ECMP の有効化

 

次に、分散ルータと境界ゲートウェイの両方で ECMP を有効にします。

 

 

分散ルータへのアクセス

 

最初に、分散ルータで ECMP を有効にします。

  1. [NSX Edge] をクリックします。
  2. [Edge-4] をダブルクリックします。

 

 

DLR での ECMP の有効化

 

  1. [管理] タブをクリックします。
  2. [ルーティング] タブをクリックします。
  3. 左側のペインで [グローバル構成] をクリックします。
  4. [ECMP] の横にある [有効化] ボタンをクリックします。

 

 

変更の発行

 

 

 

エッジ デバイスに戻る

 

 

 

Perimeter-Gateway へのアクセス

 

 

 

Perimeter-Gateway で ECMP を有効化

 

  1. [管理] タブをクリックします。
  2. [ルーティング] タブをクリックします。
  3. 左側のペインで [グローバル構成] をクリックします。
  4. [ECMP] の横にある [有効化] ボタンをクリックします。

 

 

変更の発行

 

 

 

エッジ デバイスに戻る

 

 

 

Perimeter-Gateway-2 へのアクセス

 

 

 

Perimeter-Gateway-2 で ECMP を有効化

 

  1. [管理] タブをクリックします。
  2. [ルーティング] タブをクリックします。
  3. 左側のペインで [グローバル構成] をクリックします。
  4. [ECMP] の横にある [有効化] ボタンをクリックします。
  5. [OK] をクリックします。

 

 

変更の発行

 

 

 

トポロジーの概要

 

この段階では、実習ラボのトポロジーは以下のようになっています。新しい境界ゲートウェイが追加され、ルーティングが構成されて、ECMP がオンになっています。

 

 

分散ルータから ECMP の機能を確認

 

ここで、分散ルータにアクセスして、OSPF の通信と ECMP の機能を確認してみましょう。

 

 

リモート コンソールの起動

 

  1. 更新アイコンをクリックします。
  2. [Datacenter Site A] フォルダ、[Edges] フォルダの順に展開します。
  3. [Distributed-Router-0] を選択します。
  4. [サマリ] タブを選択します。
  5. [リモート コンソールを起動] をクリックします。

 

 

リモート コンソールへのアクセス

 

VMRC ウィンドウを最初に開いたときは、全体が黒く表示されます。ウィンドウ内をクリックし、キーを数回押すと、スクリーンセーバーが終了してコンソールが表示されます。

***注*** VMRC ウィンドウからカーソルを解放するには、Ctrl + Alt キーを押します。

 

 

境界ゲートウェイへのログイン

 

次の認証情報を使って分散ルータにログインします。

 

 

OSPF ネイバーの表示

 

最初に、分散ルータの OSPF ネイバーを確認します。

注: NSX のエッジ デバイスでは、tabキーによる入力補完機能を使用できます。

「show ip ospf neighbor」 と入力し、キーを押します。(必ず テキストの送信 オプションを使用してください)。

show ip ospf neighbor

前は分散ルータにピアが 1 つしかありませんでしたが、現在は 2 つになっています。Perimeter-Gateway (192.168.100.3) と Perimeter-Gateway-2 (192.168.100.5) です。

 

 

境界エッジ上のルートを確認

 

「show ip route」 と入力し、キーを押します。

show ip route

 

 

ルート情報の確認

 

ここに示すように、すべてのルートが表示されます。各ネットワーク セグメントが、2 つの異なるネットワーク アドレスを通してルーティングを実行できます。これらのアドレスは、境界ゲートウェイのルート 1 および 2 です。

 

 

vPod ルータから ECMP の機能を確認

 

***注*** VMRC ウィンドウからカーソルを解放するには、<Ctrl> + <Alt> キーを押します。

次に、ネットワーク内の物理ルータをシミュレートしている vPod ルータから ECMP を見ていきます。

 

 

vPod ルータへの SSH セッション接続

 

  1. スクロール バーを使って下方向にスクロールし、[vPod Router] を選択します。
  2. [Load] をクリックします。
  3. [Open] をクリックします。

 

 

vPod ルータへのログイン

 

次の認証情報を使って vPod ルータにログインします。

 

 

OSPF モジュールへのアクセス

 

vPod ルータ内で OSPF を制御するモジュールには、Telnet で接続する必要があります。

1.  「telnet localhost 2604」 と入力し、キーを押します (必ず テキストの送信 オプションを使用してください)。

telnet localhost 2604

2. パスワードとして 「VMware1!」 と入力します。

 

 

OSPF ネイバーの表示

 

vPod ルータ内で OSPF を制御するモジュールには、Telnet で接続する必要があります。

1.  「show ip ospf neighbor」 と入力し、キーを押します。

show ip ospf neighbor

 

 

ルートの表示

 

1. 「show ip ospf route」 と入力し、キーを押します。

show ip ospf route

2. このセクションでは、172.16.10.0/24 にルータが 1 つしか表示されていません。これは、このネットワークが Perimeter-Gateway (192.168.100.3) に直接接続されており、Perimeter-Gateway-2 ではルーティングできないためです。

3. このセクションでは、172.16.20.0/24 と 172.16.30.0/24 に Perimeter-Gateway (192.168.100.3) と Perimeter-Gateway-2 (192.168.100.5) の両方のルータが表示されています。これは、どちらのルータも分散ルータを介してこれらのセグメントと通信できるためです。

この時点で、分散ルータに接続されたすべてのトラフィックが、ECMP でどちらの境界ゲートウェイからでも出力できます。

次の手順でも使用するので、このウィンドウは開いたままにしておきます。

 

 

ECMP と高可用性

 

環境で ECMP と OSPF を使用していると、特定のパスで障害が発生した場合にルートを動的に変更できます。次に、いずれかのパスがダウンして、ルートが再配布される状況をシミュレートします。

 

 

db-01a データベース サーバへの ping

 

「ping -t db-01a」 と入力し、キーを押します。

ping -t db-01a

コントロール センターからデータベース サーバ (db-01a) への ping が開始されます。このウィンドウは開いたままにして、次の手順に進みます。

 

 

Perimeter-Gateway-2 のシャットダウン

 

Perimeter-Gateway-2 をシャットダウンして、ノードがオフラインになった状態をシミュレートします。

  1. [Datacenter Site A] フォルダ、[Edges] フォルダの順に展開します。
  2. [Perimeter-Gateway-2-0] を右クリックします。
  3. [電源] をクリックします。
  4. [ゲスト OSのシャットダウン] をクリックします。

 

 

シャットダウンの確認

 

 

 

ping テストに戻る

 

 

 

ルーティングの変更

 

Perimeter-Gateway-2 をオフラインにしたことでルーティングが変更され、データベース仮想マシンへの ping が停止し、ルートが再び 1 つになります。

**注** この実習ラボでは、デフォルトのルート タイマを使用して、実習ラボ マニュアルをすばやく進められるようにしています。タイマの時間を 2 秒に減らすことで、収束(コンバージェンス)をさらに速めることができます。

 

 

vPod ルータの PuTTY セッションへのアクセス

 

 

 

現在のルートの確認

 

  1. 「show ip ospf route」 と入力し、キーを押します。
show ip ospf route

172.16.x.x ネットワークへのルートが、すべて Perimeter-Gateway (192.168.100.3) 経由であることを確認します。

次の手順でも使用するので、このウィンドウは開いたままにしておきます。

 

 

Perimeter-Gateway-2 のパワーオン

 

  1. [Datacenter Site A] フォルダ、[Edges] フォルダの順に展開します。
  2. [Perimeter-Gateway-2-0] を右クリックします。
  3. [電源] をクリックします。
  4. [パワーオン] をクリックします。

 

 

Perimeter-Gateway-2 がオンラインであることの確認

 

仮想マシンがパワーオンされるまで、1 ~ 2 分かかります。仮想マシンの概要に VMTools がオンラインであることが示されたら、次の手順に進みます。

 

 

vPod ルータの PuTTY セッションへのアクセス

 

 

 

ルートの表示

 

Perimeter-Gateway-2 を再度起動したところで、vPod ルータ上のルートのステータスを確認してみましょう。

  1. 「show ip ospf route」 と入力し、キーを押します。
show ip ospf route

「2」 の部分を見ると、接続ルートが 2 つに戻ったことがわかります。  

 

 

ECMP に関する注意事項

この実習ラボの ECMP と HA について、最後に 1 つ注意事項を述べます。ここでは Perimeter-Gateway-2 をシャットダウンしましたが、Perimeter-Gateway をシャットダウンした場合でも結果は同じです。

1 つだけ注意する点は、Perimeter-Gateway がオフラインになると、Web アプリケーションが動作しなくなるということです。これは、Web サーバ仮想マシンが直接接続されているためです。この問題は、データベース ネットワークとアプリケーション ネットワークについて実行したように、Web アプリケーションを分散ルータに移動することで回避できます。Web アプリケーションを分散ルータに移動すれば、どちらのゲートウェイがオフラインになっても機能します。

注: これを実行すると、実習ラボで使用している他のモジュールに影響が生じます。そのため、マニュアルではこの手順は行いません。他のモジュールを使用しない場合は、この手順を試してみてください。

 

モジュール 3 に移る前に完了すべきクリーンアップ手順


モジュール 2 のあと、この実習ラボの他のモジュールを引き続き実行する場合は、必ず次の手順に従ってください。この操作を行わないと、実習ラボが適切に機能しません。


 

2 番目の境界エッジ デバイスを削除

 

 

 

Edge-5 の削除

 

作成したエッジを削除する必要があります。

  1. [NSX Edge] を選択します。
  2. [Edge-5] を選択します。
  3. 赤色の [X] マークをクリックして削除します。

 

 

削除の確認

 

 

 

DLR と Perimeter-Gateway での ECMP の無効化

 

 

 

分散ルータでの ECMP の無効化

 

  1. [管理] タブをクリックします。
  2. [ルーティング] タブをクリックします。
  3. 左側のペインで [グローバル構成] をクリックします。
  4. [ECMP] の横にある [構成] ボタンをクリックします。

 

 

変更の発行

 

 

 

エッジ デバイスに戻る

 

 

 

Perimeter-Gateway へのアクセス

 

 

 

Perimeter-Gateway での ECMP の無効化

 

  1. [管理] タブをクリックします。
  2. [ルーティング] タブをクリックします。
  3. 左側のペインで [グローバル構成] をクリックします。
  4. [ECMP] の横にある [無効化] ボタンをクリックします。

 

 

変更の発行

 

 

 

まとめ

これで、論理ルーティングについてのモジュール 2 は終了です。

実習ラボをご利用いただきありがとうございました。ルーティングに関するこの学習を通じ、NSX についてご理解いただけましたら幸いです。

 

モジュール 3: 分散ファイアウォール (60 分)

分散ファイアウォール East-West 保護: マイクロ セグメンテーション


NSX 分散ファイアウォール (DFW): NSX のコンポーネントの 1 つに分散ファイアウォール カーネル モジュールがあります。分散ファイアウォールは、各 vSphere ホストにインストールされて機能します。分散ファイアウォールは、伝送速度に近い処理速度を持ち、vSphere のホスト プラットフォームの復元力を備えています。また、ユーザー ID を認識し、独自の行動監視ツールを用意しています。

このモジュールでは、分散ファイアウォールによる 3 層アプリケーションの保護について詳しく見ていきます。また、IP アドレスに基づいたルールではなく、セキュリティ グループと ID に基づいたファイアウォール ルールの作成プロセスを実例によって示します。IP アドレスに基づいたルールでは、移動性のある仮想マシンには厳しい制限がかかり、リソース プールを利用するにあたっての柔軟性は低下します。

このモジュールでは、一般的な 3 層アプリケーションを構成する 4 台のゲスト仮想マシンを使用します。Web 層には 2 台の Web サーバ (web-01a および web-02a) があります。Web サーバは、後ほどロード バランサ プールで確認できます。Web 層は、アプリケーション層にあってアプリケーション ソフトウェアを実行している 「app-01a」 という名前の仮想マシンと通信します。アプリケーション層の仮想マシンは、データベース層で MySQL を実行している 「db-01a」 という名前の仮想マシンと通信します。各層間のアクセス ルールは NSX 分散ファイアウォールが適用します。

このモジュールの概要は次のとおりです。

分散ファイアウォールの基本機能

ファイアウォール機能の強化された IP 検出メカニズム

ID ファイアウォール

デスクトップからモジュールを開始してください。デスクトップは、仮想環境での ControlCenter であり、ここからアクセス先に接続します。このデスクトップから、仮想データセンターに展開した vCenter Server アプライアンスにアクセスします。

特記事項: デスクトップにある README.txt ファイルには、実習ラボの演習に必要な CLI コマンドが含まれています。CLI コマンドを直接入力できない場合は、このファイルのコマンドをコピーして PuTTY セッションに貼り付けてください。「波括弧 - {1}」 の付いた番号が示されている場合、このモジュールに対応する CLI コマンドが README.txt ファイルに記載されています。


 

ブラウザと vSphere Web Client の起動

 

 

 

CLI コマンドに関する特記事項

 

多くのモジュールで、コマンド ライン インターフェイス (CLI) のコマンドを入力します。CLI コマンドを実習ラボに送信するには 2 つの方法があります。

1 つ目の方法では、次の手順で CLI コマンドを実習ラボのコンソールに送信します。

  1. マニュアル内の CLI コマンドを強調表示し、<Ctrl> + <C> キーを押してクリップボードにコピーします。
  2. コンソール メニューで [テキストの送信] をクリックします。
  3. <Ctrl> + <V> キーを押して、先ほどコピーした CLI コマンドをクリップボードからウィンドウに貼り付けます。
  4. [送信] ボタンをクリックします。

2 つ目は、テキスト ファイル (README.txt) を使用する方法です。実習ラボ環境のデスクトップに用意されているこのファイルでは、実習ラボ環境で使用するすべてのユーザー アカウントとパスワードを確認できます。

 

 

分散ファイアウォールの有効化の確認

 

まず、NSX 分散ファイアウォールを詳しく見ていきます。

vSphere Web Client にまだログインしていない場合。

タスクバーの Google Chrome アイコンをクリックします。ホームページは vSphere Web Client です。

 

 

右側のタスク ペインを折りたたんで表示スペースを確保

 

 

 

新しい NSX 分散ファイアウォールの詳細の確認

 

 

 

[インストール手順] を開く

 

  1. [インストール手順] をクリックします。
  2. [ホストの準備] タブをクリックします。仮想データセンターのクラスタが表に表示されます。

NSX はクラスタ レベルでインストールされていることがわかります。つまり、インストール、削除、更新はすべてクラスタ レベルで行うことになります。物理ホストをそのクラスタに追加すると、ホストには NSX のカーネルモジュールが自動的に追加されます。これによって、NSX をインストールしていないホストに仮想マシンを移行してしまうことを気にせずに、クラスタ レベルのネットワークとセキュリティを準備することができます。

 

 

Web アプリケーションへのアクセスのためのルールの構成

3 層アプリケーションへのアクセスについて分散ファイアウォールを構成します。このアプリケーションには 2 台の Web サーバと、それぞれ 1 台のアプリケーション サーバおよびデータベース サーバがあります。また、2 台の Web サーバにサービスを提供するロード バランサがあります。

 

 

PuTTY を用いた 3 層仮想マシン間の通信テスト

 

ネットワーク セグメント間、および 3 層アプリケーションを構成しているゲスト仮想マシン間の通信とアクセスをテストします。web-sv-01a のコンソールを開き、ほかのメンバーに対して ping を送信します。

  1. デスクトップ タスクバーにある PuTTY のショートカットをクリックします。
  2. [web-01a.corp.local] を選択します。 
  3. [Open] をクリックします。

 

 

web-01a からほかの 3 層メンバーへの ping の送信

 

まず、次のように入力して web-01a から web-02a に ping を送信します。

ping -c 2 172.16.10.12

web-01a と app-01a および db-01a との接続をテストするには、次のように入力します。

ping -c 2 172.16.20.11
ping -c 2 172.16.30.11

注: ping の行の最後に [DUP!] が表示されることがあります。これは、この仮想実習ラボ環境では、ネストした仮想化環境を使用していることと、仮想ルータでプロミスキャス モードを使用していることによります。これは本番環境では発生しません。

後ほど使用するので、このウィンドウは閉じずに最小化します。

 

 

Web ブラウザを用いた 3 層アプリケーションの実演

 

ブラウザで 3 層アプリケーションにアクセスし、各層間の動作を実演します。

  1. 新しいブラウザ タブを開きます。
  2. [3Tier-Web-App] ブックマークをクリックします。

 

 

ブラウザの [Advanced] をクリック

 

 

 

web-app.corp.local (unsafe) へのアクセス

 

 

 

Web ブラウザを用いた 3 層アプリケーションの実演: 続き

 

Web 層から仮想マシン app-01a にわたり、最終的に仮想マシン db-01a を検索したデータが表示されます。

また、ロード バランサ プール内のどの Web サーバが使用されたかが表示されます。

 

 

デフォルトのファイアウォール ポリシーの変更: 許可からブロックへ

 

このセクションでは、デフォルトで許可に設定されているルールをブロックに変更し、3 層アプリケーションへの通信ができなくなることを確認します。その後、新しいルールを作成して、安全な方法による通信を復元します。

 

 

デフォルト ルールの確認

 

  1. 展開 / 折りたたみアイコンをクリックしてこのセクションを展開します。

ルールに緑色のチェックマークがついています。これはルールが有効であることを意味します。ルールは、送信元、宛先、サービスの各フィールドを用いる標準的な方法で作成します。サービスは、プロトコルとポートの組み合わせです。

最後のデフォルト ルール ([デフォルト ルール]) は any-to-any を許可する基本的なルールです。

 

 

最後のデフォルト ルールの詳細の確認

 

右にスクロールして、[操作] が [許可] と表示されているフィールドにカーソルを置くと、デフォルト ルールに対するアクションを確認できます。鉛筆アイコンが表示され、このフィールドに対する選択肢を確認できます。

 

 

最後のデフォルト ルールのアクションの変更: 許可からブロックへ

 

  1. [操作] で [ブロック] を選択します。
  2. [OK] をクリックします。 

 

 

デフォルト ルールの変更の発行

 

[変更の発行]、[変更を元に戻す]、[変更の保存] のいずれかを選択する緑色のバーが表示されます。[変更の発行] は、変更を分散ファイアウォールに転送します。[変更を元に戻す] は、変更をキャンセルします。[変更の保存] は、変更を保存します。保存した変更は後で発行することができます。

 

 

ルール変更により通信がブロックされることを確認

 

前に開いた PuTTY とブラウザのセッションを使って、ブロックのルールをテストするには

 

 

3 層セキュリティ グループの作成

 

[Service Composer] では、仮想およびクラウド環境においてネットワークおよびセキュリティ サービスを利用するための新しいモデルを定義します。簡単な仮想化と、付属のサービスまたはサード パーティ製のソリューションで機能強化したサービスの利用によって、ポリシーが使用できるようになります。これらのポリシーは、エクスポートおよびインポート機能を用いて再利用できるため、問題がある場合に、環境を容易に立ち上げ、復旧させることができます。再利用可能なオブジェクトの 1 つがセキュリティ グループです。

 

 

セキュリティ グループの追加

 

  1. [Security Group] を選択します。注: ほかの実習ラボ モジュールで使用する既存のセキュリティ グループが表示されている場合があります。
  2. セキュリティ グループを追加するには、セキュリティ グループ追加アイコンをクリックします。

 

 

新しいセキュリティ グループ: Web

 

  1. この最初のグループに 「Web-tier」 という名前を付けます。
  2. [次へ] を選択します。
  3. [次へ] をクリックして、[含めるオブジェクトの選択] セクションに移動します。

 

 

グループに含めるオブジェクトの選択

 

  1. [オブジェクト タイプ] のプルダウンから [仮想マシン] を選択します。
  2. 検索ウィンドウに 「web」 と入力してフィルタを適用します。
  3. [web-01a] を選択します。
  4. 右向きの矢印をクリックして、この仮想マシンを [選択したオブジェクト] ウィンドウに追加します。
  5. web-02a でもこれを繰り返します。
  6. [終了] をクリックします。

注: 左側の仮想マシンをダブルクリックして右側に追加することもできます。

 

 

作成したセキュリティ グループの確認

 

2 台の仮想マシンを割り当てたセキュリティ グループ 「Web-tier」 が作成されました。

 

 

3 層アプリケーションのためのアクセス ルールの作成

 

新しいルールを追加して Web 仮想マシンにアクセスできるようにします。その後、各層間のアクセスを設定します。

 

 

3 層アプリケーションのための新しいルール セクションの追加

 

  1. [Firewalling without VMTools (Rule1)] の行の右端にあるフォルダのような形のセクション追加アイコンをクリックします。
  2. セクションに 「3-tier App」 という名前を付けます。
  3. [セクションの位置] で「セクションを上に追加」を選択します。
  4. [OK] をクリックします。

 

 

新しいセクションへのルールの追加

 

 

 

新しいルールの編集

 

  1. 展開 / 折りたたみアイコンをクリックしてルールを展開します。
  2. [名前] フィールド内の右上隅にカーソルを合わせ、鉛筆アイコンが表示されたらそれをクリックします。
  3. 名前を 「EXT to Web」 と入力します。
  4. [OK] をクリックします。

 

 

送信元および宛先のルールの設定

 

送信元の設定: 送信元のルールは [任意](any) のままにします。

 

 

セキュリティ グループの設定

 

宛先:

  1. [オブジェクト タイプ] のプルダウンを下にスクロールして [Security Group] を選択します。
  2. [Web-tier] をクリックします。
  3. 右向きの矢印をクリックして、このオブジェクトを右側に追加します。
  4. [OK] をクリックします。

 

 

サービスのルールの設定

 

もう一度 [サービス] フィールド内にカーソルを合わせ、鉛筆アイコンをクリックします。

  1. 検索フィールドでサービスを検索することができます。「https」 と入力し、キーを押して https に関連する名前のサービスをすべて表示します。
  2. [HTTPS] サービスを選択します。
  3. 右向きの矢印をクリックします。
  4. 注: 手順 1 ~ 3 を繰り返して SSH を検索し、追加します (SSH を必要とする別のモジュールで確認します)。
  5. [OK] をクリックします。

注: 変更を発行するか、キャンセルするかを選択する緑色のバーが表示されます。

さらにルールを追加するので、ここではまだ発行しないでください。

 

 

Web セキュリティ グループからアプリケーション論理スイッチへのアクセスを許可するルールの作成

 

次に 2 つ目のルールを追加します。Web セキュリティ グループからアプリケーション セキュリティ グループに、アプリケーション ポート経由でアクセスすることを許可するルールを追加します。

  1. 鉛筆アイコンをクリックします。
  2. このルールは以前のルールの下位で処理するため、ドロップダウン ボックスで [下に追加] を選択します。

 

 

2 つ目のルールの名前の作成と送信元フィールドの設定

 

  1. [名前] フィールドにカーソルを合わせ、プラス記号をクリックします。名前を 「Web to App」 と入力します。
  2. [ソース] フィールドでは [Web-tier] セキュリティ グループを選択します。

 

 

2 つ目のルールの宛先フィールドの設定: 論理ネットワークの選択

 

1 つ目のルールでは、送信先に [Web-tier] セキュリティ グループを設定しました。同じ方法で残りのルールを設定することができます。ただし、ドロップダウン リストに表示されている、定義済みのいくつかの vCenter オブジェクトを使うこともできます。NSX セキュリティと統合した vSphere では、ルールの設定をゼロから始めるのではなく、既存の仮想データセンター オブジェクトをルールの設定に使うことができるので、時間を大きく節約することができます。ここでは、VXLAN の論理スイッチを宛先に設定します。これによって、このネットワークに接続されたどの仮想マシンにも適用されるルールを作成することができます。

  1. [オブジェクト] ドロップダウンを下にスクロールして [論理スイッチ] をクリックします。
  2. [App_Tier_01] を選択します。
  3. 右向きの矢印をクリックして、このオブジェクトを右側に追加します。
  4. [OK] をクリックします。

 

 

2 つ目のルールのサービス フィールドの設定: 新しいサービス

 

3 層アプリケーションは、Web 層とアプリケーション層の間で TCP ポート 8443 を使用します。新しいサービス [MyApp] を作成し、通信を許可します。

  1. [新規サービス] をクリックします。
  2. 新しいサービス名に 「MyApp」 と入力します。
  3. [プロトコル] で [TCP] を選択します。
  4. ポート番号に 「8443」 と入力します。
  5. [OK] をクリックします。

 

 

[OK] をクリック

 

 

 

3 つ目のルールの作成: アプリケーション論理スイッチからデータベース論理スイッチへのアクセスの許可

 

手順を繰り返します。最後にアプリケーション層とデータベース層の間のアクセスを許可する 3 つ目のルールを作成します。

  1. MySQL 用に定義済みのサービスを利用して、アプリケーション論理スイッチとデータベース論理スイッチの通信を許可するルールを作成します。このサービスは定義済みであるため、作成する必要はなく、検索するだけです。
  2. 変更を発行します。

 

 

3 層アプリケーションの通信を許可する新しいルールの確認

 

注: タブを開いていない場合、または前のタブを閉じた場合は、お気に入りバーの [Web-App Direct Connect] を使用します。

 

 

web-01a への PuTTY セッションの再開

 

  1. 左上のセッション アイコンをクリックします。
  2. [Restart Session] をクリックします。

 

 

各層間の Ping テスト

 

3 層アプリケーションのゲスト仮想マシンに Ping を送信します。

注: 必ず テキストの送信 オプションを使用してください。

web-02a

ping -c 2 172.16.10.12

app-01a

ping -c 2 172.16.20.11

db-01a

ping -c 2 172.16.30.11

設定したルールでは、各層間または各層のメンバー間で ICMP が許可されていないため、Ping は許可されず、失敗します。各層間で ICMP を許可しないと、ほかのすべてのトラフィックがデフォルト ルールによってブロックされます。

 

 

3 層アプリケーションに分散ファイアウォールのルールを設定した後のトポロジー

 

仮想 NIC レベルのファイアウォールの相対的なエンフォースメント ポイントを図に示します。分散ファイアウォールは vSphere ESXi ホストのカーネル ローダブル モジュール (KLM) ですが、ルールはゲスト仮想マシンの仮想 NIC に適用されます。この保護は vMotion の実行中に仮想マシンとともに移動するため、仮想マシンが攻撃を受けやすい 「絶好の機会」 を許すことはなく、いつでも完全に保護することができます。

 

ID ベースのファイアウォール



 

ID ベースのファイアウォール ルール

NSX スイートには、Active Directory グループを用いてルールを作成する機能が用意されています。これにより、ネットワーク、IP アドレス、その他のセキュリティ グループなどのほかのセキュリティ オブジェクトへのユーザーのアクセスを制御することができます。

ユーザー ベースのルールを作成する前に、NSX を Active Directory にリンクすることが必要です。

 

 

NSX と Active Directory のリンクの詳細の確認

 

画面左側の下にある [NSX Manager] を探します。

 

 

NSX Manager の選択

 

 

 

ドメイン コネクタの詳細の確認

 

表には 1 つのエントリが表示されています。これは別の実習ラボ モジュール用に一部構成されていますが、手順を追って、接続を作成した方法を確認します。

この接続をするには Active Directory の情報が必要です。その情報を使って、vCenter は Active Directory にアクセスし、グループ情報を得ることができます。注: これは、ユーザーやロールで使用される権限を付与するために vCenter を Active Directory に関連付けることとは別のことです。

  1. [管理] タブをクリックします。
  2. [ドメイン] タブをクリックします。
  3. [corp.local] をクリックします。
  4. 鉛筆のアイコンをクリックして、編集します。

 

 

NetBIOS 名の入力

 

[ドメイン名] フィールドには「corp.local」を入力します。   [NetBIOS 名] にはドメインの NetBIOS 名を入力します。

  1. [次へ] をクリックします。

 

 

LDAP オプションの入力

 

ここで構成を完了します。

  1. Active Directory サーバのアドレスに 「192.168.110.10」 と入力します。
  2. ユーザー名に 「Administrator」 と入力します。
  3. パスワードに 「VMware1!」 と入力します。
  4. [次へ] をクリックします。

 

 

セキュリティ イベント ログ アクセスのオプション

 

ログ アクセスの設定を入力します。

  1. [ドメイン認証情報を使用] チェックボックスをオフにします。
  2. 認証情報として 「administrator」 と 「VMware1」 を入力します。
  3. [次へ] をクリックします。

 

 

[終了準備の完了]: 設定の確認

 

すべての設定を確認します。

 

 

Active Directory の同期

 

  1. 2 つの歯車のアイコンをクリックします。
  2. 1 つの歯車のアイコンをクリックして Active Directory の最新情報を入手します。ステータス ([SUCCESS]) と現在の日時が表示されます。

表示されるまで数分かかる場合があります。

Active Directory の接続を構成して同期すると、Active Directory グループをセキュリティ ポリシーに利用することができます。

 

 

Active Directory グループに基づいたセキュリティ オブジェクトの作成

 

  1. [Networking and Security] をクリックします。

 

 

[Ext to Web] ルールの編集

 

[Ext to Web] ルールの送信元フィールドにドメイン グループを追加します。

  1. [ファイアウォール] をクリックします。
  2. [ソース] フィールドにカーソルを合わせ、鉛筆アイコンをクリックします。
  3. [オブジェクト] プルダウンで [Security Group] を選択します。
  4. [新規 Security Group] をクリックします。

 

 

新しいセキュリティ グループに AD-Sales と名前を付ける

 

  1. 名前を 「AD-Sales」 と入力します。
  2. [動的メンバーシップの定義] をクリックします。

 

 

グループに含めるオブジェクトの選択

 

  1. ドロップダウンから [エンティティ] を選択します。
  2. [所属先] を選択します。
  3. クリックして [エンティティの選択] ウィンドウを開きます。
  4. [ディレクトリグループ] タイプを選択します。
  5. 検索ボックスに 「sales」 と入力します。
  6. [Sales] を選択します。
  7. [OK] をクリックします。
  8. [終了] をクリックします。

 

 

設定の確認

 

 

 

変更の発行

 

ドメイン グループ [AD-Sales] が作成され、[Web-tier] にアクセスする送信元として設定されています。この場合、3 層アプリケーションの [Web-tier] にアクセスするには、ユーザーは AD-Sales グループのメンバーでなければなりません。

 

 

ユーザー ID ルールのテスト

 

ドメイン内の別の仮想マシンのコンソールを開き [AD-Sales] グループのメンバーとしてログインして、新しい ID ベースのルールをテストすることができます。ユーザー [sales1] は [AD-Sales] グループのメンバーです。ユーザー [nonsales] は [AD-Sales] グループのメンバーではありません。それぞれのユーザーでログインして 3 層アプリケーションへのアクセスの結果を確認します。

  1. [ホーム] アイコンをクリックします。
  2. [仮想マシンおよびテンプレート] をクリックします。

 

 

win8-01a のコンソールを開く

 

[Hands On Labs] コンテナを展開し、 [win8-01a] を探します。

  1. [Misc VMs] を展開します。
  2. [win8-01a] を右クリックします。
  3. [コンソールを開く] をクリックします。

 

 

ユーザー [nonsales] でのログイン

 

  1. [Send Ctrl-Alt-Del] をクリックします。コンソール ボタンを使用します。
  2. 左矢印をクリックします。
  3. [Other user] を選択します。
  4. ユーザー名に 「nonsales」 と入力します。
  5. パスワードは 「VMware1!」 です。
  6. 矢印をクリックします。

 

 

Internet Explorer を開く

 

タスク バーから Internet Explorer を起動します。

ユーザー [nonsales] は [AD-Sales] グループのメンバーでないため、3 層アプリケーションへのアクセスをブロックされています。

 

 

ユーザー [nonsales] のログオフ

 

  1. [Send Ctrl-Alt-Del] をクリックします。
  2. [Sign Out] をクリックします。

 

 

他のユーザーへの切り替え

 

  1. [Send Ctrl-Alt-Del] をクリックします。
  2. [Other user] をクリックします。

 

 

ユーザー [sales1] でのログイン

 

  1. ユーザー名に 「sales1」 と入力します。パスワードは 「VMware1!」 です。
  2. 矢印をクリックします。

 

 

Internet Explorer による 3 層アプリケーションへのアクセス

 

タスク バーから Internet Explorer を起動します。

  1. [Favorites] ツールバーの [HOL - Muti-Tier App] タブをクリックします。
  2. リスクを承認します。

 

 

アクセスの確認

 

ユーザー [sales1] は [AD-Sales] グループのメンバーのため、3 層アプリケーションへのアクセスを許可されています。

 

 

次の実習ラボ セクションの準備

 

[vSphere Web Client] のブラウザ タブをクリックします。

  1. [ファイアウォール] をクリックします。
  2. 1 つ目のルールで、[ソース] フィールドのオブジェクト AD-Sales にカーソルを合わせます。赤い [X] をクリックしてオブジェクトを削除し、そのフィールドを [任意] にリセットします。

 

 

次の実習ラボ セクションの準備: デフォルト ルールを許可に設定

 

  1. [デフォルトのセクションレイヤ3] の [デフォルトルール] で [操作] を [許可] に設定します。
  2. 変更を発行します。

これにより次のセクションが正常に機能します。

 

仮想マシンおよび SpoofGuard の強化された IP 検出メカニズム


NSX の分散ファイアウォールの操作では、送信元または送信先として指定されたオブジェクトの IP アドレスを検出する必要があります。NSX 6.2 より前では、仮想マシン内の VMware Tools を使用して検出を行っていました。この演習では、VMware Tools を使用しないで IP アドレスを検出する方法について説明します。

演習で使用している仮想マシン Linux-01a には VMware Tools がインストールされていないため、NSX 分散ファイアウォールでオブジェクトの IP アドレスを検出するには、新しい機能が必要です。


 

既存のファイアウォールのルールの確認

 

[vSphere Web Client] のブラウザ タブをクリックします。

  1. [ホーム] アイコンをクリックします。
  2. [Networking and Security] をクリックします。

 

 

ルールの表示

 

  1. [ファイアウォール] をクリックします。
  2. 水平方向の矢印をクリックして、[Firewalling-without-VMTools] セクションを展開します。

 

 

Linux-01a への通信を制限するルールを確認

 

「Deny traffic TO Linux-01a」 ルールによって Linux-01a へのすべてのトラフィックが制限されるはずですが、この場合は制限できません。VMware Tools がないため、NSX 分散ファイアウォールで仮想マシンの IP アドレスが認識されないからです。

 

 

「拒否」 ルールにより制限されていても、デスクトップから Linux-01a に ping を送信できることを確認

 

 

 

Linux-01a に ping を送信

 

必ず テキストの送信 オプションを使用してください。

「ping 192.168.100.221」 と入力して キーを押します。

ping 192.168.100.221

ご覧のように、「拒否」 ルールにより制限されていても、Linux-01a に ping を送信することができます。これは、NSX 分散ファイアウォールで Linux-01a の IP アドレスが認識されていないため、ping の送信を制限できないからです。

 

 

ARP スヌーピングによる IP アドレス検出の有効化

 

ブラウザの [vSphere Web Client] タブをクリックして、vSphere Web Client に戻ります。

  1. [SpoofGuard] をクリックします。
  2. [変更] をクリックします。

 

 

IP 検出タイプに ARP スヌーピングを使用

 

この仮想マシンには VMware Tools はインストールされていませんが、VMware Tools ではなく ARP スヌーピングで IP アドレスを検出できるようにします。

  1. [ARP スヌーピング] チェックボックスをオンにします。
  2. [OK] をクリックします。

 

 

Linux-01a に ping を再送信して 「拒否」 ルールが機能していることを確認

 

 

 

Linux-01a に ping を再送信して接続をテスト

 

必ず テキストの送信 オプションを使用してください。

「ping 192.168.100.221」 と入力して キーを押します。注: ルールが適用されていることを確認するには、ping の送信が 2 回必要になる場合があります。

ping 192.168.100.221

Linux-01a に ping を送信できないことがわかります。応答に 「Host Unreachable」 が表示されているため、この操作がファイアウォールによって拒否されていることは明らかです。

まとめると、トラフィックを制限するルールが設定されていても、最初は仮想マシン Linux-01a に ping を送信できました。これは、VMware Tools がないために、NSX 分散ファイアウォールで仮想マシンの IP アドレスが認識されなったからです。ARP スヌーピング (NSX 6.2 機能) で IP アドレスが認識されると、「拒否」 ルールが有効になり、仮想マシン Linux-01a に ping を送信できなくなりました。

 

 

ARP スヌーピングで Linux-01a が検出されたことを確認

 

  1. [デフォルト ポリシー] をクリックします。
  2. [表示] ドロップダウンで [アクティブな仮想 NIC] を選択します。
  3. 「linux」 と入力し、キーを押して Linux-01a をフィルタで抽出します。

[ソース] フィールドに、アドレス 192.168.100.221 の ARP が表示されています。

 

 

SpoofGuard の詳細の確認

 

vCenter Server との同期後、NSX Manager はすべての vCenter ゲスト仮想マシンの IP アドレスを、各仮想マシンの VMware Tools から収集します。仮想マシンがセキュリティ侵害を受けていると、IP アドレスが偽装され、悪意のある転送がファイアウォール ポリシーをすり抜けます。

SpoofGuard ポリシーを特定のネットワークに対して作成すると、VMware Tools によって報告された IP アドレスを承認し、必要に応じてその IP アドレスを変更して、偽装を防ぐことができます。SpoofGuard は、VMX ファイルおよび vSphere SDK から収集された仮想マシンの MAC アドレスを本質的に信頼します。ファイアウォール ルールとは別に機能するため、SpoofGuard を使用することで、偽装と判断されたトラフィックをブロックできます。

SpoofGuard は、IPv4 アドレスと IPv6 アドレスの両方をサポートします。IPv4 を使用している場合、SpoofGuard ポリシーは、仮想 NIC に割り当てられている 1 つの IP アドレスをサポートします。IPv6 の場合は、仮想 NIC に割り当てられている複数の IP アドレスをサポートします。SpoofGuard ポリシーは、次のいずれかのモードの仮想マシンで報告された IP アドレスを監視および管理します。

このモードでは、vNIC-to-IP アドレス割り当てテーブルを作成しながら、仮想マシンからのすべてのトラフィックが許可されます。必要に応じてこのテーブルを確認して、IP アドレスを変更できます。このモードでは、仮想 NIC 上のすべての IPv4 アドレスと IPv6 アドレスが自動的に承認されます。

このモードでは、すべての vNIC-to-IP アドレス割り当てが承認されるまで、すべてのトラフィックがブロックされます。

注: SpoofGuard では、有効になっているモードに関係なく DHCP 要求は本質的に許可されます。ただし、手動調査モードでは、DHCP 割り当て IP アドレスが承認されるまで、トラフィックは許可されません。

SpoofGuard にはシステム生成のデフォルト ポリシーが含まれており、他の SpoofGuard ポリシーの対象になっていないポート グループと論理ネットワークに適用されています。新しく追加されたネットワークは、そのネットワークを既存のポリシーに追加するか、そのネットワーク用に新しいポリシーを作成しない限り、自動的にデフォルト ポリシーに追加されます。

 

 

デフォルト SpoofGuard ポリシーの編集

 

  1. [デフォルト ポリシー] をクリックします。
  2. 鉛筆のアイコンをクリックして、編集します。

 

 

SpoofGuard の有効化

 

  1. [有効化] のラジオ ボタンをクリックします。
  2. [終了] をクリックします。

 

 

仮想マシン Linux-01a の確認

 

  1. vCenter の検索フィールドに 「linux」 と入力します。
  2. [Linux-01a] をクリックします。

 

 

Linux-01a のコンソールを開く

 

この仮想マシンに VMware Tools がインストールされていないことを確認します。

  1. [サマリ] タブをクリックします。
  2. [リモートコンソールを起動] をクリックして、コンソールを新しいブラウザ タブで開きます。

 

 

Linux-01a にログイン

 

  1. root ユーザーを使用してログインします。
  2. パスワード: VMware1!

 

 

Linux-01a の IP アドレスの変更

 

IP アドレスを変更して、SpoofGuard のセキュリティ適用を確認します。

  1. 「ipswap221-231」 と入力します。すでに確認したとおり、Linux-01a の現在の IP アドレスは 192.168.100.221 です。この Linux bash ファイルにより、IP アドレスは 192.168.100.231 に変更されます。
ipswap221-231

 

 

Linux-01a の接続のテスト

 

ping -c 2 192.168.100.3

 

 

[Networking  and Security] に戻る

 

  1. [ホーム] アイコンをクリックします。
  2. [Networking and Security] をクリックします。
  3. [SpoofGuard] をクリックします。

 

 

Linux-01a の IP アドレスが 192.168.100.231 であることの確認

 

  1. 表示を [最後の発行以降のアクティブな仮想 NIC] に変更します。
  2. Linux-01a のアドレスが 192.168.100.231 で、[ソース] が [Trusted On First Use-ARP] (TOFUARP) であることを確認します。

 

 

Linux-01a の IP の変更

 

ipswap231-221

IP の変更を確認できます。

 

 

接続のテスト

 

ping -c 2 192.168.100.3

今度は、ping の送信が失敗します。

 

 

Linux-01a の新しい IP アドレスの承認

 

  1. ビューを [承認が必要な仮想 NIC IP] に変更します。
  2. 検索ボックスに 「linux」 と入力し、キーを押します。ARP スヌーピングによって認識された IP アドレス 192.168.100.221 に承認が必要であることを確認します。
  3. [承認] をクリックします。

 

 

IP 承認の発行

 

 

 

IP 承認によるネットワーク接続の許可を確認

 

ping -c 2 192.168.100.3

192.168.100.221 の承認によってネットワーク接続が許可されていることを確認します。

 

モジュール 4: Edge サービス ゲートウェイ (30 分)

DHCP リレー


この実習ラボでは、NSX の DHCP リレー機能について説明します。このラボの所要時間は約 15 分です。

ネットワーク セグメントが 1 つしかないネットワークでは、DHCP クライアントは、直接その DHCP サーバと通信します。また、DHCP サーバは、複数のネットワークに対して (そのネットワークが自身と同じセグメントになくても)、IP アドレスを提供できます。   ただし、外部の IP 範囲に IP アドレスを提供するときに、クライアントと直接通信することはできません。クライアントには、サーバが認識できるルーティング可能な IP アドレスまたはゲートウェイが存在しないからです。

このような状況では DHCP リレー エージェントが必要です。DHCP リレー エージェントにより、DHCP クライアントから受信したブロードキャストを、ユニキャストで DHCP サーバに送信して中継します。DHCP サーバは、ユニキャストの範囲に基づいて DHCP スコープを選択し、エージェント アドレスに返します。DHCP スコープはその後、クライアントの元のネットワークにブロードキャストされます。

この実習ラボの対象領域:

この実習ラボでは、次のアイテムが事前にセットアップされています。


 

ラボのトポロジー

 

この図は、この実習ラボ モジュールで作成され使用される最終的なトポロジーを示しています。

 

 

vSphere Web Client へのアクセス

 

 

 

vSphere Web Client へのログイン

 

Windows セッション認証を使用して vSphere Web Client にログインします。

  1. [Windows セッション認証を使用してください] チェックボックスをオンにして、ログインします。
  2. [ログイン] をクリックします。

 

 

Web Client での NSX へのアクセス

 

Web Client の [Networking and Security] セクションにアクセスします。

 

 

新しい論理スイッチの作成

 

最初に、新しい 172.16.50.0/24 ネットワークを実行する新しい論理スイッチを作成する必要があります。

  1. [論理スイッチ] を選択します。
  2. 緑色のプラス記号をクリックして、新しい論理スイッチを作成します。

 

 

新しいスイッチ パラメータの入力

 

論理スイッチを構成するには、名前とトランスポート ゾーンを設定する必要があります。

 

 

トランスポート ゾーンの選択

 

  1. [Local-Transport-Zone-A] を選択します。
  2. [OK] をクリックします。

 

 

新しいスイッチ パラメータの入力

 

  1. 名前を 「DHCP-Relay」 に設定: 名前は特に重要ではありませんが、スイッチを特定しやすい名前を使用します。
  2. [OK] をクリックします。

 

 

境界ゲートウェイへの論理スイッチの接続

 

論理スイッチを境界ゲートウェイのインターフェイスに接続します。インターフェイスは 172.16.50.0/24 ネットワークのデフォルト ゲートウェイになり、アドレスは 172.16.50.1 です。

  1. 左側のペインで [NSX Edge] をクリックします。
  2. この実習ラボの境界ゲートウェイである [edge-2] をダブルクリックします。

 

 

インターフェイスの追加

 

このセクションでは、論理スイッチを境界ゲートウェイのインターフェイスに接続します。

  1. [管理] をクリックします。
  2. [設定] をクリックします。
  3. [インターフェイス] をクリックします。
  4. [vnic9] を選択します。
  5. 鉛筆アイコンをクリックして、インターフェイスを編集します。

 

 

インターフェイスの接続先論理スイッチの選択

 

インターフェイスの接続先の論理スイッチを選択します。

 

 

新しく作成された論理スイッチの選択

 

前の手順で作成した新しい論理スイッチを選択します。

  1. [DHCP-Relay] 論理スイッチを選択します。
  2. [OK] をクリックします。

 

 

インターフェイスの IP アドレスの追加

 

新しい IP アドレスを追加します。

 

 

インターフェイスの IP アドレスの構成

 

新しいインターフェイスに IP アドレスを割り当てます。

  1. プライマリ IP アドレス: 172.16.50.1
  2. サブネットの接頭辞の長さ: 24

 

 

インターフェイス構成の完了

 

すべての情報を確認し、構成を完了します。

  1. 後でわかりやすいように、名前を vnic9 から DHCP Relay に変更します。
  2. [OK] をクリックします。

 

 

DHCP リレーの構成

 

DHCP リレーのグローバル構成は、境界ゲートウェイ内で行う必要があります。

  1. [管理] タブをクリックします。
  2. [DHCP] ボタンをクリックします。
  3. 左側のペインで [リレー] セクションをクリックします。
  4. [編集] をクリックします。

 

 

DHCP グローバル構成

 

DHCP のグローバル構成内で、ゲスト仮想マシンからの DHCP 要求に応答する DHCP サーバを構成します。

DHCP サーバ IP は、3 とおりの方法で設定できます。

IP セット

IP セットは、NSX Manager のグローバル構成で構成します。IP セットを使用すると、名前付きのグループを作成して、DHCP サーバのサブセットを指定できます。

IP アドレス

この方法を使用すると、DHCP サーバの IP アドレスを手動で指定できます。

ドメイン名

この方法を使用すると、DNS 名を指定できます。この名前には、1 つまたは複数の DHCP サーバ アドレスを使用できます。

 

この実習ラボでは、1 つの IP アドレスを使用します。

  1. IP アドレスは、DHCP サーバの IP である 192.168.110.10 です。
  2. [OK] をクリックします。

 

 

DHCP リレー エージェントの構成

 

DHCP リレー エージェントは、論理スイッチのゲートウェイ アドレスから構成済み DHCP サーバへの DHCP 要求を中継します。エージェントは、172.16.50.0/24 に作成した論理スイッチまたはセグメントに追加する必要があります。

 

 

境界ゲートウェイ インターフェイスの選択

 

リレー エージェントの境界ゲートウェイ インターフェイスを選択します。

  1. [vNIC] ドロップダウンをクリックし、前に作成したインターフェイス [DHCP Relay] を選択します。
  2. [OK] をクリックします。

 

 

DHCP リレー設定への設定の発行

 

これらの変更すべてを分散ルータに発行する必要があります。

 

 

PXE 起動用の空の仮想マシンの作成

 

中継先 DHCP サーバから PXE 起動する空の仮想マシンを作成します。

  1. [ホーム] アイコンをクリックします。
  2. [ホストおよびクラスタ] をクリックします。

 

 

仮想マシンの新規作成

 

  1. [Datacenter Site A]、[Compute Cluster A] の順に展開します。
  2. 「esx-02a.corp.local」 という名前のホストを右クリックします。
  3. [新規仮想マシン] を選択します。
  4. 次に、[新規仮想マシン] をクリックします。

 

 

新しい仮想マシンの構成

 

  1. [新規仮想マシンの作成] を選択します。
  2. [次へ] をクリックします。

 

 

仮想マシンの名前を指定

 

  1. 名前: PXE VM
  2. [次へ] をクリックします。

 

 

ホストの選択

 

 

 

ストレージの選択

 

これはデフォルトのままにします。

 

 

互換性の選択

 

これはデフォルトのままにします。

 

 

ゲスト OS の選択

 

これはデフォルトのままにします。

  1. [ゲスト OS ファミリ] で [Linux] を選択します。
  2. [ゲスト OS バージョン] で [その他の Linux (64-ビット)] を選択します。
  3. [次へ] をクリックします。

 

 

ハードウェアの指定: ハード ディスクの削除

 

デフォルトのハード ディスクを削除する必要があります。ネットワークから起動するため、ハード ディスクは不要です。これは、PXE イメージが RAM 内で完全に起動し、実行されるからです。

 

 

ハードウェアの指定: ネットワークの選択

 

前に作成した VXLAN ベースの論理スイッチ [DHCP-Relay] を選択します。ここで論理スイッチを選択するか、その論理スイッチに仮想マシンを割り当てます。これを行うには、[NSX Logical Switch] メニューで論理スイッチを選択し、[Add] をクリックします。

  1. 「DHCP Relay」 という単語が含まれるネットワークを選択します。一覧に無い場合は、「他のネットワークを表示」を選択します。
  2. 「DHCP Relay」という単語を含む論理スイッチを選択します。論理スイッチの全体的な UUID はスクリーンショットとは異なる場合がありますが、「DHCP-Relay」 が含まれるネットワークは 1 つだけです。
  3. [OK] をクリックします。
  4. [次へ] をクリックします。

 

 

仮想マシンの作成の完了

 

 

 

新しく作成された仮想マシンへのアクセス

 

次に、この仮想マシンのコンソールを開き、パワーオンして、PXE イメージから起動するのを確認します。仮想マシンは、前に構成したリモート DHCP サーバからこの情報を受け取ります。

  1. 左側のペインで [PXE VM] を選択します。
  2. [サマリ] タブを選択します。
  3. [リモート コンソールを起動] をクリックします。

 

 

仮想マシンのパワーオン

 

新しい仮想マシンをパワーオンします。

 

 

リモート サーバからの DHCP の取得

 

仮想マシンが起動し、DHCP アドレスを取得しようとしていることを確認します。

 

 

イメージの起動

 

この画面は、仮想マシンが DHCP アドレスを取得し、起動サーバから PXE イメージをダウンロードしているときに表示されます。この画面が表示されている時間は約 1 ~ 2 分です。次の手順に進んでください。

 

 

DHCP リースの確認

 

仮想マシンが起動するのを待っている間、DHCP リースで使用されているアドレスを確認します。

 

 

リースの表示

 

仮想マシンが DHCP サーバから取得したアドレスを確認します。

  1. 矢印をクリックしてセクションを展開します。
  2. [Address Leases] を選択します。
  3. 前に作成した範囲内のアドレス 172.16.50.10 を確認します。

 

 

オプションの表示

 

PXE イメージを起動するときに使用したスコープ オプションも確認します。

  1. [Scope Options] を選択します。
  2. オプション 66 と 67 が使用されていたことを確認します。

DHCP を閉じます。

 

 

起動した仮想マシンへのアクセス

 

 

 

アドレスと接続の確認

 

 

 

接続の確認

 

動的なルーティングがすでに仮想ネットワークに設定されているため、仮想マシンの作成時に、その仮想マシンへの接続は確立されています。これを確認するには、ControlCenter から仮想マシンに ping を送信します。

  1. タスクバーでコマンド プロンプトのアイコンをクリックします。

2.      「ping 172.16.50.10」 と入力して キーを押します   (必ず テキストの送信 オプションを使用してください)。

ping 172.16.50.10

仮想マシンからの ping 応答が表示されます。このコマンド ウィンドウを閉じます。

 

 

まとめ

この実習ラボでは、新しいネットワーク セグメントを作成し、そのネットワークから外部 DHCP サーバへの DHCP 要求を中継しました。これを行うことで、この外部 DHCP サーバと PXE で使用される、Linux オペレーティング システムに対する追加の起動オプションにアクセスできました。

この実習ラボはこれで完了です。DHCP リレーの実習ラボを受講いただきありがとうございました。

 

NSX Edge サービス ゲートウェイ: 論理ロード バランシング


NSX Edge サービス ゲートウェイでは、ロード バランシング機能も提供できます。ロード バランサを使用することは、理想的なリソース使用状況のシナリオを実現するために有効です。このようなシナリオには、ネットワーク スループットのより効率的な使用、アプリケーションの応答時間の短縮、拡張性などが含まれ、またサービス冗長性の戦略の一環とすることもできます。

NSX Edge サービス ゲートウェイは Open Systems Interconnection (OSI) モデル レイヤー 7 にまでロード バランシングを提供できるため、TCP、HTTP、HTTP リクエストで NSX Edge サービス ゲートウェイを利用してロード バランシングを適用できます。

このセクションでは、次の 2 種類のロード バランシングのシナリオを実行するために、まず新しい NSX Edge を作成および構成し、その後あらかじめ作成されている NSX Edge を変更します。


 

新しい Edge サービス ゲートウェイ: トポロジー

 

 

 

vSphere Web Client へのログイン

 

vSphere Web Client にまだログインしていない場合。

タスクバーの Google Chrome アイコンをクリックします。ホームページは vSphere Web Client です。

  1. [Windows セッション認証を使用してください] チェックボックスをオンにします。
  2. [ログイン] ボタンをクリックします。

 

 

右側のタスク ペインを折りたたんで表示スペースを確保

 

 

 

[Networking  and Security] を開く

 

 

 

新しい Edge サービス ゲートウェイの作成

 

新しい Edge サービス ゲートウェイにワンアーム ロード バランシング サービスを構成します。新しい Edge 作成から始めるため、vSphere Web Client の [Networking and Security] セクションを表示します。

  1. [NSX Edge] をクリックします。
  2. 緑色のプラス記号をクリックします。

 

 

名前とタイプの定義

 

新しい NSX Edge サービス ゲートウェイで、次の構成オプションを設定します。

  1. [名前] に 「OneArm-LoadBalancer」 と入力します。
  2. [次へ] ボタンをクリックします。

 

 

管理者アカウントの構成

 

  1. パスワードには 「VMware1!VMware1!」 を設定します。
  2. [次へ] ボタンをクリックします。

 

 

エッジ サイズと仮想マシンの配置の定義

 

Edge サービス ゲートウェイでは、次の仕様 (CPU 数、メモリ) を持つ 4 つの異なるアプライアンス サイズが選択可能です。

この新しい Edge サービス ゲートウェイでは Compact サイズのエッジを選択しますが、こうした Edge サービス ゲートウェイは展開後により大きなサイズにアップグレードできることに注意してください。新しい Edge サービス ゲートウェイの作成を続行するには、次の手順を実施します。

 

 

クラスタ / データストアの配置

 

  1. [クラスタ/リソース プール] で [Management and Edge Cluster] を選択します。
  2. [Datastore] で [ds-site-a-nfs01] を選択します。
  3. ホスト [esx-04-a.corp.local] を選択します。
  4. [Edges] フォルダに配置します。
  5. [OK] をクリックします。

 

 

エッジ サイズおよび配置の確認

 

[データセンター] に [Datacenter Site A]、新しいエッジのサイズ ([Appiance のサイズ]) に [コンパクト] が選択されていることを確認します。これらの設定を確認したら、次の操作を行います。

 

 

NSX Edge での新しいネットワーク インターフェイスの配置

 

これはワンアーム ロード バランサであるために、単一のネットワーク インターフェイスのみが必要です。新しい NSX Edge プロセスを扱うこのセクションでは、このエッジに新しいネットワーク アダプタを指定して構成します。

 

 

NSX Edge の新しいネットワーク インターフェイスの構成

 

ここでは、新しい NSX Edge の最初のネットワーク インターフェイスを構成します。

  1. 新しいインターフェイスに 「WebNetwork」 という名前を指定します。
  2. タイプとして [内部] を選択します。
  3. [選択] リンクをクリックします。

 

 

新しいエッジ インターフェイスのネットワークの選択

 

このワン アーム ロード バランサ インターフェイスは、このエッジがロード バランシング サービスを提供する 2 台の Web サーバと同じネットワーク上に存在する必要があります。

  1. [Web-Tier-01 - 5001] を選択します。
  2. [OK] ボタンをクリックします。

 

 

サブネットの構成

 

このインターフェイスの IP アドレスを構成します。

 

 

サブネット ポップアップの構成

 

このインターフェイスに新しい IP アドレスを追加するには、次の手順を実施します。

  1. IP アドレスとして 「172.16.10.10」 を入力します。
  2. サブネット プレフィックスの長さとして 「24」 を入力します。
  3. [OK] をクリックします。

 

 

インターフェイスのリストの確認

 

設定を確認します。

 

 

デフォルト ゲートウェイの構成

 

新しいエッジをプロビジョニングする次のセクションでは、この Edge サービス ゲートウェイのデフォルト ゲートウェイを構成できます。ゲートウェイを構成するには、次の手順を実施します。

  1. ゲートウェイ IP として 「172.16.10.1」 を入力します。
  2. [次へ] ボタンをクリックします。

 

 

ファイアウォールおよび HA オプションの構成

 

後で時間を節約するために、デフォルトのファイアウォール オプションを一部構成し、高可用性 (HA) モードでの Edge サービス ゲートウェイの実行を有効にできます。どの機能もこのセクションには関連していません。続行するために、次の構成を行います。

  1. [ファイアウォールのデフォルトポリシーの構成] チェックボックスをオンにします。
  2. [デフォルトトラフィックポリシー] で [承諾] を選択します。
  3. [次へ] をクリックします。

 

 

全体的な構成の確認

 

 

 

展開の監視

 

Edge サービス ゲートウェイの展開を監視する手順は次のとおりです。

その後、エッジ展開の進行状況が表示されます。  

 

 

ロード バランサ サービスの構成

 

上図は、先に展開した NSX Edge サービス ゲートウェイによって提供されるロード バランサ サービスの最終的なトポロジーを示しています。まず、vSphere Web Client の Networking and Security プラグインの [NSX Edge] エリア内から、先に作成した Edge をダブルクリックすることによって、管理ページに移動します。

 

 

ワンアーム ロード バランサのロード バランサ機能の構成

 

 

 

新しいエッジの管理ページへの移動

 

  1. [ロードバランサー] サブタブをクリックします。
  2. [グローバル構成] をクリックします。
  3. [編集] ボタンをクリックして [ロードバランサーのグローバル構成の編集] ポップアップ ウィンドウに移動します。

 

 

ロード バランサのグローバル構成の編集

 

ロード バランサ サービスを有効にする手順は次のとおりです。

  1. [ロードバランサーの有効化] チェックボックスをオンにします。
  2. [OK] ボタンをクリックします。

 

 

新しいアプリケーション プロファイルの作成

 

アプリケーション プロファイルでは、一般的なタイプのネットワーク トラフィックの動作を定義します。これらのプロファイルは、アプリケーション プロファイルで指定された値に基づいてトラフィックを処理する仮想サーバ (VIP) に適用されます。

プロファイルを利用することで、トラフィック管理タスクはエラーがより少なくなり、より効率的になります。

  1. [アプリケーションプロファイル] をクリックします。
  2. 緑色のプラス記号をクリックして [新規プロファイル] ポップアップ ウィンドウを開きます。

 

 

新しいアプリケーション プロファイル HTTPS の構成

 

新しいアプリケーション プロファイルについて、次のオプションを構成します。

  1. 名前: OneArmWeb-01
  2. タイプ: HTTPS
  3. [SSL パススルーの有効化] チェックボックスをオンにします。これにより、HTTPS はプール サーバ上で終端します。
  4. [OK] ボタンをクリックします。

 

 

デフォルトの HTTPS モニタの変更

 

モニタでは、仮想サーバを提供しているプール メンバーが動作していることを確認します。デフォルトの HTTPS モニタは、「/」 で 「GET」 を実行するだけです。このデフォルト モニタを変更して、アプリケーション固有の URL でヘルス チェックを行います。これは、プール メンバー サーバだけでなく、アプリケーションが動作していることを確認するうえで役に立ちます。

  1. [サービス監視] をクリックします。
  2. [default_https_monitor] をクリックして強調表示します。
  3. 鉛筆アイコンをクリックします。
  4. URL に 「/cgi-bin/hol.cgi」 と入力します。
  5. [OK] をクリックします。

 

 

新しいプールの作成

 

プールのサーバ グループは、トラフィックのロード バランシングの対象となるノードを表すエンティティです。新しいプールに、2 台の Web サーバ web-01a および web-02a を追加します。新しいプールを作成する手順は次のとおりです

  1. [プール] をクリックします。
  2. 緑色のプラス記号をクリックして [新規プール] ポップアップ ウィンドウを開きます。

 

 

新しいプールの構成

 

この新しいプールの設定では、次の構成を行います。

  1. 名前: Web-Tier-Pool-01
  2. モニタ: default_https_monitor
  3. 緑色のプラス記号をクリックします。

 

 

プールへのメンバーの追加

 

  1. 名前として 「web-01a」 を入力します。
  2. IP アドレスとして 「172.16.10.11」 を入力します。
  3. ポートに 「443」 と入力します。
  4. モニタ ポートに 「443」 と入力します。
  5. [OK] をクリックします。

 

次の情報を使用してこのプロセスを繰り返し、もう 1 つのプール メンバーを追加します。

 

 

プールの設定の保存

 

 

 

新しい仮想サーバの作成

 

仮想サーバは、ロード バランシング サービス構成の 「フロント エンド」 からトラフィックを受け入れるエンティティです。ユーザー トラフィックは、仮想サーバに対応する IP アドレスに向かった後、ロード バランサの 「バックエンド」 のノードに再分散されます。Edge サービス ゲートウェイに新しい仮想サーバを作成する手順は次のとおりです

  1. [仮想サーバ] をクリックします。
  2. 緑色のプラス記号をクリックして、[新規仮想サーバ] ポップアップ ウィンドウを開きます。

 

 

新しい仮想サーバの構成

 

この新しい仮想サーバで次のオプションを構成します。

  1. この仮想サーバに 「Web-Tier-VIP-01」 という名前を付けます。
  2. IP アドレスとして 「172.16.10.10」 を入力します。
  3. プロトコルとして [HTTPS] を選択します。
  4. [Web-Tier-Pool-01] を選択します。
  5. [OK] ボタンをクリックして、新しい仮想サーバの作成を完了します。

 

 

仮想サーバへのアクセスのテスト

 

  1. ブラウザの空白のタブをクリックします。
  2. お気に入りブックマークの [One-Arm Load Bala...] をクリックします。
  3. [Advanced] をクリックします。

 

 

SSL エラーの無視

 

 

 

仮想サーバへのアクセスのテスト

 

現時点で、先に構成したワン アーム ロード バランサへのアクセスに成功しています。

 

 

プール統計の表示

 

各プール メンバーのステータスを確認する手順は次のとおりです。

  1. [プール] をクリックします。
  2. [プール統計の表示] をクリックします。
  3. [pool-1] をクリックします。

各メンバーの現在のステータスが表示されます。

 

 

監視 (ヘルス チェック) の応答の強化

 

トラブルシューティングを支援するために、NSX 6.2 LoadBalancer の 「show ...pool」 コマンドで、プール メンバー エラーの情報が表示されるようになりました。ここでは、2 つの異なるエラーを作成し、LoadBalancer エッジ ゲートウェイで show コマンドを使用してその応答を調査します。

  1. vSphere Web Client の右上隅にある検索ボックスにLoadと入力します。
  2. [OneArm-LoadBalancer-0] をクリックします。

 

 

ロード バランサ コンソールを開く

 

  1. [サマリ] タブをクリックします。
  2. [リモートコンソールを起動] をクリックします。

注: コンソールが新しいブラウザ タブで開きます。

 

 

[OneArm-LoadBalancer-0] へのログイン

 

  1. ユーザー 「admin」、パスワード 「VMware1!VMware1!」 を使用してログインします。

 

 

CLI コマンドに関する特記事項

 

多くのモジュールで、コマンド ライン インターフェイス (CLI) のコマンドを入力します。CLI コマンドを実習ラボに送信するには 2 つの方法があります。

1 つ目の方法では、次の手順で CLI コマンドを実習ラボのコンソールに送信します。

  1. マニュアル内の CLI コマンドを強調表示し、<Ctrl> + <C> キーを押してクリップボードにコピーします。
  2. コンソール メニューで [テキストの送信] をクリックします。
  3. <Ctrl> + <V> キーを押して、先ほどコピーした CLI コマンドをクリップボードからウィンドウに貼り付けます。
  4. [送信] ボタンをクリックします。

2 つ目は、テキスト ファイル (README.txt) を使用する方法です。実習ラボ環境のデスクトップに用意されているこのファイルでは、実習ラボ環境で使用するすべてのユーザー アカウントとパスワードを確認できます。

 

 

エラー発生前のプール ステータスの確認

 

ユーザー名 「admin」、パスワード 「VMware1!VMware1!」 を使用してログインします。

show service loadbalancer pool

注: プール メンバー web-sv-01a のステータスが [UP] として表示されます。

 

 

PuTTY の開始

 

 

 

web-sv-01a への SSH 接続

 

  1. 下にスクロールして [Web-01a.corp.local] を見つけます。
  2. [Web-01a.corp.local] を選択します。
  3. [Load] をクリックします。
  4. [Open] をクリックします。

 

 

HTTPD のシャットダウン

 

HTTPS をシャットダウンして、最初のエラー状況をシミュレートします。

service httpd stop

 

 

Loadbalancer コンソール

 

show service loadbalancer pool

サービスがダウンしているため、エラーの詳細に、クライアントが SSL セッションを確立できなかったことが示されます。

 

 

HTTPD サービスの再開

172.16.10.11 への PuTTY SSH セッションに戻ります。

{5} 「service httpd start」 と入力します。

service httpd start

 

 

web-01a のシャットダウン

 

  1. vSphere Web Client の右上隅にある検索ボックスに 「web-01a」 と入力します。
  2. [web-01a] をクリックします。

 

 

web-01a のパワーオフ

 

  1. [アクション] をクリックします。
  2. [電源] をクリックします。
  3. [パワーオフ] をクリックします。

 

 

LoadBalancer のコンソール

 

 

 

プール ステータスの確認

 

show service loadbalancer pool

仮想マシンがダウンしているため、エラーの詳細に、前の手順の L7 (SSL) 接続とは対照的に、クライアントが L4 接続を確立できなかったことが示されます。

 

 

web-01a のパワーオン

 

  1. [アクション] をクリックします。
  2. [電源] をクリックします。
  3. [パワーオン] をクリックします。

 

NSX Edge サービス ゲートウェイ: 論理ロード バランサでの SSL オフロード



 

SSL オフロード: ロード バランサでの SSL セッションの終端

 

このセクションでは、ロード バランシング サービスに SSL 終端を導入します。これにより、SSL セッションをロード バランサで終端させることができます。こうすることで、ロード バランサとプール メンバー サーバとの間で HTTP を使用できるようになります。

「edge-1」 を構成します。

  1. [ホーム] アイコンをクリックします。
  2. [Networking and Security] をクリックします。

 

 

Perimeter-Gateway の管理ページへの移動

 

  1. [NSX Edge] をクリックします。
  2. [edge-2 Perimeter-Gateway] をダブルクリックして、エッジの管理ページを開きます。

 

 

SSL 証明書の生成

 

最初に自己署名証明書の生成プロセスを実行する必要があります。手順は次のとおりです。

  1. [設定] ボタンをクリックします。
  2. [証明書] をクリックします。
  3. [操作] ボタンをクリックします。
  4. [CSRの生成] を選択して、証明書署名要求を作成するポップアップ ウィンドウを開きます。

 

 

証明書署名要求の生成

 

この証明書署名要求について、次のようにパラメータを指定します。

  1. [共通名] および [組織名] に、「web-app.corp.local」 と入力します。
  2. [組織単位] に、「VMWorld」 と入力します。
  3. [地域] に 「San Francisco」 と入力します。
  4. [状態] に 「CA」 と入力します。
  5. [国] で [アメリカ合衆国 [US]] を選択します。
  6. [OK] ボタンをクリックして続行します。

 

 

証明書署名要求の自己署名

 

次に、前の手順で生成した証明書署名要求に署名します。

  1. [操作] をクリックします。
  2. [自己署名付き証明書] を選択します。

 

 

 

証明書の有効期間の設定

 

  1. この自己署名済みの証明書の有効期間として [日数] に 「365」 と入力します。
  2. [OK] をクリックします。

 

 

自己署名証明書の作成の確認

 

web-app.corp.local に発行された自己署名のタイプのエントリを確認できます。

これで、SSL 終端に使用できる証明書が得られたので、SSL 終端用に構成された新しいアプリケーション プロファイルにこの証明書を割り当てます。

 

 

SSL 終端に使用する新しいアプリケーション プロファイルの作成

 

外部の仮想サーバには、SSL パススルー用の既存のロード バランサ アプリケーション プロファイルがあります。    SSL オフロード用に新しいアプリケーション プロファイルを作成します。

  1. [ロードバランサー タブをクリックします。
  2. [アプリケーション プロファイル] をクリックします。
  3. 緑色のプラス記号のアイコンをクリックして、新しいアプリケーション プロファイルを作成します。

 

 

新しいアプリケーション プロファイルの構成 (SSL 終端)

 

この新しいアプリケーション プロファイルでは、次の設定を使用します。

  1. 名前: Web-SSL-Term-Profile-01
  2. タイプ: HTTPS
  3. [サービス証明書の構成] チェックボックスをオンにします。これにより作成した証明書が使用可能になります。
  4. [OK] ボタンをクリックします。

 

 

インライン ロード バランサのトポロジー

 

ここで実施する作業について十分に理解するために、上記のトポロジーを確認してください。ControlCenter から、IP アドレス 192.168.100.4 の仮想サーバを参照します。このアドレスで Edge サービス ゲートウェイは SSL 終端を処理し、web-sv-01a および web-sv-02a に HTTP パケットを転送します。

次に、新しいプールを構成します。

 

 

新しいプールの作成

 

  1. [プール] をクリックします。
  2. 緑色のプラス記号をクリックし、新規プールのポップアップを表示します。

 

 

新しいプールの構成

 

この新しいプールで、次のパラメータを構成します。

  1. [名前] に 「Web-Tier-Pool-02」 と入力します。
  2. 緑のプラス記号のアイコンをクリックして、このプールのメンバーを選択できるポップアップ ウィンドウを表示します。

 

 

web-sv-01a および web-sv-02a をプール メンバーとして追加

 

  1. 名前として 「web-01a」 を入力します。
  2. IP アドレスとして 「172.16.10.11」 を入力します。
  3. ポートに 「80」 と入力します。
  4. 監視 ポートに 「80」 と入力します。
  5. [OK] をクリックします。

 

 

プールの設定の保存

 

1.      前と同じ手順を繰り返します。

2.      [OK] をクリックします。

 

 

既存の仮想サーバを SSL オフロード用に変更

 

  1. [仮想サーバ] をクリックします。
  2. 鉛筆アイコンをクリックして、既存の仮想サーバを編集します。

 

 

仮想サーバ構成の編集

 

これを実行することで、外部クライアントが、ロード バランサ上で終端する SSL セッションを作成し、ロード バランサからプール メンバー サーバへの HTTP を使用するセッションを終了することができます。

仮想サーバの設定を編集します。

  1. [アプリケーション プロファイル] で [Web-SSLTerm-Profile-01] を選択します。
  2. この仮想サーバの名前として、「Web-Tier-SSL-01」 と入力します。
  3. [IP アドレス] に 「192.168.100.4」 と入力します。
  4. [デフォルト プール] で [Web-Tier-Pool-02] を選択します。
  5. [OK] ボタンをクリックします。この時点で、ロード バランサ機能をテストできます。

 

 

セキュリティ証明書の承認

 

ブラウザの空白のタブをクリックします。

  1. [SSL-Offload-Web...] ブックマークをクリックします。
  2. [Advanced] をクリックします。

 

 

[App] 画面に進む

 

 

 

ロード バランサ機能の確認

 

多階層アプリケーションの Web ページが表示されます。

 

モジュール 5: サービスの適用とセキュリティ ポリシー (30 分)

Service Composer


Service Composer は、ネットワーク サービスやセキュリティ サービスを使用するための新しいモデルを定義する組み込みツールです。Service Composer を使用すると、ファイアウォール ポリシーやセキュリティ サービスのプロビジョニングとアプリケーションへの割り当てを、仮想インフラストラクチャ内でリアルタイムに実行できます。セキュリティ ポリシーは仮想マシンのグループに割り当てられ、このグループに新しい仮想マシンが追加されると、それらの仮想マシンにポリシーが自動的に適用されます。

実用的な観点から見ると、NSX Service Composer は、ウイルス対策やマルウェア保護、IPS、DLP、ファイアウォール ルールなどのネットワーク セキュリティ サービスを、管理者が一貫した一元的な方法でプロビジョニング、適用、および自動化できるようにする構成インターフェイスです。これらのサービスには、NSX にネイティブで用意されているものと、サードパーティ ソリューションによって拡張されたものがあります。

このモジュールでは、PCI (Payment Card Industry) 標準への準拠に違反したワークロードを Service Composer とネイティブの NSX Data Security 機能を使用して動的に識別、分離する方法を示します。

このモジュールには 3 つのセクションがあります。

  1. Service Composer
  2. サービスの適用
  3. Data Security

セクション 1 では、Service Composer を使用して、セキュリティ グループとセキュリティ ポリシーを作成します。静的な適用と動的な適用の両方を使用して、セキュリティ グループの作成について学習します。次の図に示すように、2 つのセキュリティ グループを作成し、各グループに関連付けられたセキュリティ ポリシーのセットを 2 つ作成します。セキュリティ グループ 「Non-CDE」 は、1 つの仮想マシン 「win8-01a」 を含めて作成します (CDE は Cardholder Data Environment の略で、すべてのカード保有者情報が処理されるクレジット カード環境です)。この仮想マシンは CDE に含まれない仮想マシンを表し、カード保有者のデータを格納することはできません。次に、「PCI-Violation」 という名前のセキュリティ グループを作成します。このグループのメンバーは、データ セキュリティ スキャンによって動的に割り当てられるセキュリティ タグを使用して作成します。さらに、「Non-CDE Security Policy」 および 「PCI-Violation Security Policy」 という 2 つのセキュリティ ポリシーを作成します。「Non-CDE Security Policy」 では、win8-01a 仮想マシンへのアクセスと win8-01a 仮想マシンからのアクセスがそれぞれ無制限に許可されます。「PCI-Violation Security Policy」 では、機密データが検出された場合に仮想マシンを分離するほか、仮想マシンが PCI 規制に違反している場合に、その仮想マシンとのすべての通信を制限します。

セクション 2 では、セキュリティ ポリシー 「PCI-Violation Security Policy」 に変更を加え、Data Security をサービスとして追加します。

セクション 3 では、Data Security で実行するスキャンのデータ パターンと範囲を構成し、仮想マシン 「win8-01a」 を手動でスキャンします。この仮想マシンには、いくつかの機密情報を格納してあります。スキャンの結果、仮想マシンには 「vmware.datasecurity.violating」 というタグが付けられ、これは 「PCI-Violation」 セキュリティ グループに対して設定された条件に一致します。

このモジュールでは、Service Composer の機能の概要を説明します。また、この機能の活用方法として、ワークロードやワークロード グループのセキュリティ設定を変更する方法と、ワークロードやワークロード グループを物理的な場所や基盤インフラストラクチャに変更を加えずに分離する方法を示します。このモジュールで説明するのと同じ原理を利用して、サードパーティ ベンダーから提供される高度なセキュリティ サービスを適用することもできます。

注: CDE: Card Data Environment

 

 


 

シナリオの説明と図

 

 

 

vCenter Server へのログイン

 

タスクバーの Google Chrome アイコンをクリックします。

 

 

処理ペインの拡張

 

処理ペインを拡張するには

  1. [x] をクリックします。
  2. [x] をクリックします。
  3. ピンをクリックします。

 

 

[Networking and Security] の選択

 

 

 

非 CDE ワークロード用のセキュリティ グループの作成

 

  1. [Service Composer] をクリックします。
  2. [Security Groups] をクリックします。
  3. プラス記号をクリックして、セキュリティ グループを作成します。

 

 

新しいセキュリティ グループ (静的な適用)

 

最初に、CDE (Card Data Environment) の一部ではない仮想マシンを含む、静的なセキュリティ グループを作成します。

  1. セキュリティ グループの名前を入力します。
  2. オプション: 説明を入力するか、またはグループの目的をメモしておきます。
  3. [含めるオブジェクトの選択] をクリックします。

 

 

グループに含めるオブジェクトの選択

 

  1. [オブジェクト タイプ] ドロップダウンを選択します。
  2. 下にスクロールして、[仮想マシン] を選択します。

 

 

仮想マシンの選択

 

  1. [win8-01a] を選択します。
  2. それを [選択したオブジェクト] に移動します。
  3. [終了] をクリックします。

 

 

非 CDE 用のセキュリティ ポリシーの作成

 

 

 

セキュリティ ポリシーの作成の続行

 

クリックして新しいポリシーを作成します。

 

 

セキュリティ ポリシーの作成の続行

 

  1. セキュリティ ポリシーの名前として、「Non-CDE Security Policy」 と入力します。
  2. [ファイアウォール ルール] をクリックします。

 

 

ファイアウォール ルールの作成

 

 

 

ファイアウォール ルールの作成を続行

 

  1. 最初のファイアウォール ルールの名前として、「Allow from Non-CDE to any」 と入力します。
  2. [許可] を選択します。
  3. [ログに記録] を選択します。
  4. [変更] をクリックして、許可されたサービスを作成します。

 

 

ICMP をサービスとして許可

 

  1. [サービスとサービス グループの選択] を選択します。
  2. 検索ボックスに 「ICMP Echo」 と入力し、キーを押します。
  3. [ICMP Echo Reply] チェックボックスをオンにします。
  4. [ICMP Echo] チェックボックスをオンにします。

 

 

SMB をサービスとして許可

 

  1. 検索ボックスに 「SMB」 と入力し、キーを押します。
  2. [SMB] チェックボックスをオンにします。
  3. [Server Message Block (SMB)] チェックボックスをオンにします。
  4. [OK] をクリックします。

 

 

[OK] をクリックして構成を保存

 

前の手順で 4 が選択されていることを確認します。

 

 

2 番目のファイアウォール ルールを作成

 

 

 

2 番目のファイアウォール ルールの作成を続行

 

  1. [名前] に 「Allow ANY to Non-CDE」 と入力します。
  2. [許可] を選択します。
  3. [ログに記録] を選択します。
  4. [変更] をクリックします。

 

 

ソースの選択

 

  1. ソースとして [任意] を選択します。
  2. [OK] をクリックします。

 

 

サービスの定義

 

 

 

ICMP をサービスとして許可

 

  1. [サービスとサービス グループの選択] を選択します。
  2. 検索ボックスに 「ICMP Echo」 と入力し、キーを押します。
  3. [ICMP Echo Reply] チェックボックスをオンにします。
  4. [ICMP Echo] チェックボックスをオンにします。

 

 

SMB をサービスとして許可

 

  1. 検索ボックスに 「SMB」 と入力し、キーを押します。
  2. [SMB] チェックボックスをオンにします。
  3. [Server Message Block (SMB)] チェックボックスをオンにします。
  4. [OK] をクリックします。
  5. 次の画面でもう一度 [OK] をクリックして、構成を保存します。

 

 

ファイアウォール ルールの作成の完了

 

 

 

作成したポリシーをセキュリティ グループに適用

 

  1. [アクション] をクリックします。
  2. [ポリシーの適用] をクリックします。

 

 

セキュリティ グループにポリシーを適用

 

  1. [Non-CDE] チェックボックスをオンにします。
  2. [OK] をクリックして適用を完了します。

 

 

セキュリティ グループにセキュリティ ポリシーが正しく関連付けられたことを確認

 

 

 

ファイアウォールへ戻る

 

 

 

作成したルールの確認の続き

 

 

 

ファイアウォール ルールが機能することを確認

 

 

 

CLI コマンドに関する特記事項

 

多くのモジュールで、コマンド ライン インターフェイス (CLI) のコマンドを入力します。CLI コマンドを実習ラボに送信するには 2 つの方法があります。

1 つ目の方法では、次の手順で CLI コマンドを実習ラボのコンソールに送信します。

  1. マニュアル内の CLI コマンドを強調表示し、<Ctrl> + <C> キーを押してクリップボードにコピーします。
  2. コンソール メニューで [テキストの送信] をクリックします。
  3. <Ctrl> + <V> キーを押して、先ほどコピーした CLI コマンドをクリップボードからウィンドウに貼り付けます。
  4. [送信] ボタンをクリックします。

2 つ目は、テキスト ファイル (README.txt) を使用する方法です。実習ラボ環境のデスクトップに用意されているこのファイルを使用すれば、関連するユーティリティ (CMD、PuTTY、コンソールなど) で、複雑なコマンドやパスワードを簡単にコピーして貼り付けることができます。各国で使用されているさまざまなキーボードの中には、一部の文字が存在しないものがあります。このテキスト ファイルは、こうした文字が存在しないキーボード レイアウトにも対応しています。

この README.txt ファイルはデスクトップにあります。  

 

 

win8-01a で動作している ICMP および SMB サービスの確認

 

1.     「ping win8-01a」 と入力します。

ping win8-01a

2.     「net use x:」 と入力します。\\win8-01a\c$」 と入力します。

net use x:\\win8-01a\c$

3.     「dir x:」 と入力します。

dir x:

win8-01a への ping が成功したことを確認します。また、「net use」 コマンドが正常に完了したことも確認します。マッピングされたディレクトリの内容も確認できます。

 

 

PCI 準拠に違反しているワークロード用のセキュリティ グループの作成

 

 

 

新しいセキュリティ グループの作成を開始

 

  1. [Security Group] をクリックします。
  2. 緑色のプラス記号をクリックして、新しいセキュリティ グループを作成します。

 

 

機密データを含む非 CDE ワークロードを分離するための新しいセキュリティ グループの作成

 

  1. [名前] に 「PCI-Violation」 と入力します。
  2. [次へ] をクリックします。

 

 

動的メンバーシップの定義

 

  1. ドロップダウンをクリックします。
  2. [セキュリティ タグ] オプションを選択します。

 

 

タグ名の指定

 

  1. タグの名前として 「vmware.datasecurity.violating.PCI」 を入力します。
  2. [終了] をクリックします。
vmware.datasecurity.violating.PCI

 

 

PCI 違反のワークロードを分離するセキュリティ ポリシーの作成

 

  1. [セキュリティポリシー] をクリックします。
  2. [新規セキュリティ ポリシー] アイコンをクリックします。

 

 

新しいセキュリティ ポリシーの作成

 

  1. [名前] に 「PCI-Violation Security Policy」 と入力します。
  2. [ファイアウォール ルール] をクリックします。

 

 

ファイアウォール ルールの作成を開始

 

 

 

ファイアウォール ルールの作成

 

  1. [名前] に 「Block PCI-Violation to ANY」 と入力します。
  2. [ブロック] を選択します。
  3. [ログに記録] を選択します。
  4. [OK] をクリックします。

 

 

別のファイアウォール ルールの作成

 

 

 

ファイアウォール ルールの定義

 

  1. [名前] に 「Block ANY to PCI-Violation」 と入力します。
  2. [ブロック] をクリックします。
  3. [ログに記録] をクリックします。
  4. [変更] をクリックします。

 

 

ルールのソースを選択

 

  1. [任意] をクリックします。
  2. [OK] をクリックします。

 

 

ファイアウォール ルールの作成を完了

 

 

 

セキュリティ ポリシーの作成を完了

 

 

 

作成したセキュリティ ポリシーの確認

 

  1. 作成したセキュリティ ポリシー 「PCI-Violation Security Policy」 を確認します。
  2. [ステータスの同期] が [成功] になっていることを確認します。

 

 

作成したセキュリティ ポリシーをセキュリティ グループに適用

 

  1. [アクション] をクリックします。
  2. [ポリシーの適用] を選択します。

 

 

セキュリティ ポリシーの適用

 

  1. [PCI-Violation] を選択します。
  2. [OK] をクリックします。

 

 

作成したファイアウォール ルールをグローバル テーブル内で確認

 

 

 

作成したルールの確認の続き

 

このセクションでは、セキュリティ ポリシーの適用を確認できません。現時点で PCI 要件に違反しているワークロードがないためです。

次のセクションでは、サービスの適用によってセキュリティを強化します。Data Security をサービスとして適用することで、PCI の規制に違反しているワークロードを識別します。

 

サービスの適用


NSX ネットワーク仮想化プラットフォームでは、L2-L4 ステートフル ファイアウォール機能によって、仮想ネットワーク内でのセグメンテーションを実現しています。一部の環境では、より高度なネットワーク セキュリティ機能が要件として求められます。そのような場合は、VMware NSX を活用することで、高度なネットワーク セキュリティ サービスを分散、有効化、適用できます。このセクションでは、非 CDE (Card Data Environment) ワークロード内のクレジット カード データを識別するのに役立つ、ネイティブの Data Security サービスを適用します。仮想ワークロード内に格納された機密情報を Data Security 機能を使用して識別するには、あらかじめ Guest Introspection および Data Security の仮想マシンをインストールしておく必要があります。

このセクションでは、Data Security サービスの仮想マシンをインストールし、NSX Data Security を [Service Deployments] に追加することで使用可能にします。次に、前のセクションで作成した既存のセキュリティ ポリシー 「Non-CDE Security Policy」 に変更を加えて、Data Security をサービスとして適用します。


 

Data Security をサービス展開として追加

 

[インストール手順] タブで Data Security をインストールします。

  1. [インストール手順] をクリックします。
  2. [サービスデプロイ] をクリックします。
  3. 緑色のプラス記号をクリックします。

 

 

VMware Data Security の選択

 

  1. [VMware Data Security] のチェックボックスをオンにします。
  2. [次へ] をクリックします。

 

 

クラスタの選択

 

  1. [Compute Cluster B] チェックボックスをオンにします。
  2. [次へ] をクリックします。

 

 

管理ネットワークの設定

 

  1. [vds_site_a_Management Network] を選択します。
  2. [次へ] をクリックします。
  3. [終了] をクリックします。

 

 

Data Security が正常に展開されたことの確認

 

Data Security がクラスタに展開されるまで数分かかります (約 3 分)。

 

 

セキュリティ ポリシーを変更して Data Security を追加

 

  1. [Service Composer] をクリックします。
  2. [セキュリティポリシー] をクリックします。
  3. セキュリティ ポリシー 「Non-CDE Security Policy」 を選択します。
  4. スクリーンショットに表示されているアイコンをクリックして、セキュリティ ポリシーを編集します。

 

 

セキュリティ ポリシーの編集と Data Security サービスの適用

 

 

 

Guest Introspection サービスの追加

 

 

 

Guest Introspection サービスの作成

 

  1. サービスに 「Data Security」 という名前を付けます。
  2. [強制] を [可] に設定します。
  3. [OK] をクリックします。

 

 

作成した Data Security サービスの確認

 

Data Security サービスの適用に必要な作業はこれですべてです。次のセクションでは、ワークロード内で検索するデータ パターンと、スキャンの範囲を構成します。

 

Data Security


VMware NSX Data Security は、仮想マシン上のデータをスキャンして分析し、検出した違反の数や、どのファイルがポリシーに違反しているかをレポートします。基本的に、環境内のすべての機密データを可視化できます。NSX Data Security による違反のレポートに基づいて、機密データが適切に保護されていることを確認し、世界のさまざまな規制への準拠状況を評価できます。NSX Data Security の使用を開始するには、組織内でデータ セキュリティに適用される規則を定義したポリシーを作成し、スキャンの対象となる環境およびファイルの範囲を指定します。各規則は、検出する機密データを識別するいくつかのコンテンツ ブレードから構成されます。NSX は、PCI、PHI、および PII に関連した規則のみをサポートします。

Data Security のスキャンを開始すると、vSphere インベントリに含まれる仮想マシン上のデータが NSX によって分析され、検出された違反の数と、ポリシーに違反したファイルがレポートされます。このセクションでは、Data Security を構成し、ワークロード上で識別するパターンを選択します。また、このシナリオで使用する仮想マシン (win8-01a) 上にパターンと一致する機密データが存在するかどうかを、スキャンによって確認します。ここでは PCI の例を示していますが、他のさまざまな規制の中から選択したり、ワイルド カードを使用して独自のカスタム パターンを作成したりもできます。


 

Data Security の構成

 

  1. [Data Security] をクリックします。

 

 

Data Security の管理

 

  1. [管理] をクリックします。
  2. [編集] をクリックします。

 

 

すべての規制テンプレートを表示

 

さまざまな規制、州、国に対応する 90 以上のテンプレートがあります。

 

 

PCI-DSS テンプレートを検索して選択

 

  1. 検索ボックスに 「PCI」 と入力し、キーを押します (検索ボックスでは大文字と小文字が区別されます)。
  2. 該当するチェックボックスをオンにします。
  3. [次へ] をクリックします。

 

 

規制と標準の選択の完了

 

 

 

変更の発行

 

 

 

Data Security のスキャンを開始

 

 

 

Data Security のスキャンを監視

 

[処理中] になっていることを確認します。また、[停止] ボタンと [一時停止] ボタンが表示されます。

 

 

セキュリティ スキャンの進行状況の確認

 

スキャンのステータスが 「処理中」 と表示され、色が青緑色に変わっています。

スキャンの範囲にもよりますが、スキャンには通常 3 ~ 7 分ほどかかります。

 

 

スキャンの完了

 

スキャンが完了すると、色が紫色に変わります。[規則違反レポートの表示] には違反タイプとして PCI-DSS が表示され、[規則に違反している仮想マシンのレポートの表示] には PCI 規制に違反した仮想マシンの名前が表示されていることを確認します。

 

 

スキャン レポートの完了

 

[違反している規則] に 「PCI-DSS」 が表示され、[Count] は 2 になっています。規制に違反したファイルを表示するには、[レポートの表示] のドロップダウン メニューをクリックします。

 

 

レポートの表示

 

 

 

詳細レポート

 

[違反ファイル] を選択すると、違反しているワークロードの詳細、仮想マシンの名前、クラスタ情報、ファイルの場所、ファイルの変更時刻などが表示されます。

 

 

キャンバス ビュー

 

 

 

違反した仮想マシンを 「Non-CDE」 セキュリティ グループに表示

 

  1. [キャンバス] をクリックします。
  2. [Non-CDE] で、スクリーンショットに表示されているアイコンをクリックします。

違反の結果として、違反している仮想マシン 「win8-01a」 が 「Non-CDE」 セキュリティ グループに表示されます。次に、仮想マシンへのタグの適用を確認します。

 

 

タグの適用の確認

 

  1. [ホーム] アイコンにカーソルを合わせます。
  2. [仮想マシンおよびテンプレート] をクリックします。

 

 

ワークロードへのタグの適用を確認

 

  1. ビューを展開します。
  2. [win8-01a] をクリックします。
  3. [セキュリティタグ] セクションで、タグの適用を確認します。

 

 

ファイアウォール ルールが機能することを確認

 

 

 

「PCI-Violation」 セキュリティ グループに適用されたセキュリティ ポリシーが機能していることを確認

 

1.    「ping win8-01a」 と入力します。

ping win8-01a

2.    「net use」 と入力します。X: には既存の net use がまだ存在します。

net use

3.    「dir x:」 と入力します。何も返されないことを確認します。

dir x:

前のセクションでは、違反の ping がブロックされた後で、win8-01a 仮想マシンへの ping を実行できました。また、「net use」 コマンドはエラーとなります。これは、動的なタグの適用によって生じたものであり、このタグを使用して、ワークロードへのアクセスを制限するセキュリティ ポリシーが適用されています。実際のシナリオでは、さらに調査を行う場合、ワークロードへの管理者アクセスを許可することが必要な場合もあります。ここでは、単純化のために、すべてのアクセスを制限しています。

NSX Service Composer には大きな可能性があります。セキュリティ グループとセキュリティ ポリシーの関連付けをほぼ無制限な数だけ作成できるので、Software-Defined Data Center におけるセキュリティ サービスの使用を効率よく自動化できます。

 

モジュール 6: 監視と可視性 (45 分)

トレースフロー


VMware NSX 6.2 は、仮想ネットワークの監視を支援するための新機能が追加されているほか、パケットの可視性が向上しており、トラブルシューティングに利用できます。トレースフロー は NSX 6.2 に新たに追加された機能であり、送信元と送信先の間のパケットのパスを監視できます。フローの監視を使用すると、送信元と送信先の間のフローを監視して、ファイアウォール ルールに関連付けることができます。アクティビティの監視では、アプリケーション ユーザーが仮想環境で何を使用しているかを監視できます。


 

Web ブラウザの起動

 

 

 

vCenter Server へのログイン

 

  1. [Windows セッション認証を使用してください] チェックボックスをオンにします。
  2. [ログイン] をクリックします。

 

 

[Networking  and Security] を開く

 

 

 

トレースフロー の起動

 

トレースフロー は NSX 6.2 の新機能です。この機能により、ゲスト仮想マシンのオペレーティング システムを使用せずに、パケットを仮想 NIC に適用できます。また、送信先の仮想 NIC に送信されるパケットを、送信先のオペレーティング システムを使用せずにネットワーク上でトレースできます。問題が発生した場合、仮想ネットワークと物理ネットワークのどちらの問題であるのかを特定するうえで役立ち、運用機能とトラブルシューティング機能が強化されます。また、ネットワーク エンジニアはゲスト仮想マシンのオペレーティング システムにアクセスせずに送信元と送信先の間でパケットをトレースできるため、業務の分離も実現します。   L2 と L3 の両方の トレースフロー をサポートしており、接続性のトラブルシューティングの際にパケットがドロップされた場所を確認できます。このため問題をすばやく確認し、NSX のデータ パスの問題を特定できます。

 

 

トレースフロー プロセスのセットアップ: 送信元の構成

 

  1. [選択] をクリックします。
  2. 送信元の仮想マシンとして [web-01a] をダブルクリックします。

 

 

トレースフロー プロセスのセットアップ: 仮想 NIC の選択

 

  1. web-01a のネットワーク アダプタをクリックします。
  2. [OK] をクリックします。

 

 

トレースフロー プロセスのセットアップ: 送信先の構成

 

  1. 送信先リンク [選択] をクリックします。
  2. [ターゲット vNIC の選択] のラジオ ボタンをクリックします。

 

 

送信先の仮想マシンの選択

 

 

 

送信先の構成 (続き)

 

  1. web-02a に関連付けられている仮想 NIC を強調表示して選択し、[OK] をクリックします。
  2. 再度 [OK] をクリックして、構成のこの部分を完了します。

 

 

ICMP とトレース開始機能を使用した トレースフロー 構成の完了

 

  1. [詳細オプション] セクションを展開します。
  2. [プロトコル] ドロップダウン メニューから [ICMP] を選択します。
  3. [トレース] をクリックします。

 

 

トレースフロー 出力の確認

 

この出力の表示では、パケットは、仮想マシンの仮想 NIC から送信され、分散ファイアウォールを介し、esx-01a から esx-03a に向けた物理ネットワークを経由し、再度分散ファイアウォールを介して、送信先の仮想マシンの仮想 NIC に配信されます。注: ファイアウォール ルールはまだ構成されていませんが、ファイアウォール モジュールを介した仮想マシンのトラフィック フローはこの時点で開いています。

<Ctrl> + <C> キーを使用すると、PuTTY セッション内の ping トラフィックを停止できます。次の手順で使用するため、PuTTY ウィンドウは開いたままにするか、最小化します。

 

 

web-01a.corp.local と web-02a.corp.local の間の ICMP をブロックするファイアウォール ルールの作成

 

  1. Web Client の [Networking and Security] セクションの [ファイアウォール] セクションに移動します。
  2. [デフォルトのセクションレイヤ 3] セクションを展開します。
  3. [デフォルトのセクションレイヤ 3] 領域の灰色の部分を右クリックし、[ルールの追加] を選択します。

 

 

ファイアウォール ルール: ルール名の設定

 

  1. [名前] フィールドにカーソルを合わせ、鉛筆アイコンをクリックします。
  2. ルール名を 「Traceflow Test」 と入力します。
  3. [OK] をクリックします。

 

 

ファイアウォール ルール: 送信元の選択

 

  1. [ソース] で鉛筆アイコンをクリックします。
  2. オブジェクト タイプとして [仮想マシン] を選択します。
  3. [web-01a] を選択します。
  4. 右矢印をクリックします。
  5. [OK] をクリックします。

 

 

ファイアウォール ルール: 送信先の設定

 

 

 

ファイアウォール ルール: ICMP トラフィックのブロック

 

  1. [フィルタ] ボックスに 「ICMP」 と入力して、選択結果を制限します。
  2. IPv6 オブジェクト以外のすべての ICMP オブジェクトを選択します(最初のオブジェクトを選択してから、キーを押しながら最後のオブジェクトをクリックします)。
  3. 右矢印をクリックして、それらのオブジェクトを選択します。
  4. [OK] をクリックします。

 

 

ファイアウォール ルール: アクションの指定

 

注: すべての列を表示するには、Web Client ウィンドウのスクロールが必要になる場合があります。

  1. [操作] 列で、鉛筆 (編集) アイコンを選択します。
  2. [操作] で [ブロック] を選択します。ほかの設定値はそのままにしておきます。
  3. [OK] をクリックします。

 

 

ファイアウォール ルール: 変更の発行

 

 

 

トレースフロー 構成手順を繰り返して、新しいトレースを開始

 

トレースフロー を再構成する必要があります。

  1. [トレースフロー] をクリックします。
  2. 送信元を web-01a に設定します。
  3. 送信先を web-02a に設定します。
  4. プロトコルとして [ICMP] を選択します。
  5. トレースを開始します。

 

 

分散ファイアウォール ルールが適用された トレースフロー 出力

 

 

 

作成したファイアウォール ルールの削除

 

  1. [ファイアウォール] セクションに戻ります。
  2. [デフォルトのセクション レイヤ 3] を展開します。
  3. 「Traceflow Test」 ルールの [2] の横にある鉛筆アイコンを選択するか、その領域を右クリックします。
  4. [削除] を選択します。
  5. [OK] をクリックして、ルール 2 を削除します。
  6. [変更を発行] ボタンをクリックし、ルールが削除されていることを確認します。

 

 

トレースフロー のまとめ

トレースフロー は、NSX データ パスでパケットをトレースするための便利なツールであり、パケットがドロップされた可能性のある場所を特定できるほか、ファイアウォール ルールをすばやく確認できます。  

 

フローの監視


フローの監視により、仮想マシンのトラフィック フローを仮想 NIC レベルで可視化できます。

フローの監視は、保護された仮想マシンとの間のトラフィックに関して詳細な情報を提供するトラフィック分析ツールです。フローの監視を有効にすると、どのマシンがどのアプリケーションを使用してデータをやり取りしているかが出力されます。このデータには、セッション数や各セッションで送信されたパケット数が含まれます。セッションの詳細には、送信元、送信先、アプリケーション、使用されているポートなどの情報が含まれます。セッションの詳細を使用すると、ファイアウォールの許可または拒否のルールを作成できます。

特定の仮想 NIC との間の TCP および UDP 接続を確認できます。また、フィルタを指定してフローを除外することも可能です。

このように、フローの監視は不正なサービスを検出し、送信セッションを調べるためのフォレンジック ツールとして使用できます。


 

フローの監視

 

この機能を使用する目的は、NSX 環境内の注意すべきデータ フローを特定して、収集したデータに対して処理を実行できるようにすることです。

ここでは、Web サーバ (web-01a と web-02a) に直接接続されている HTTP 接続について調べます。これは、Web サーバへのほとんどのトラフィックが SSL を使用して、前の演習でセットアップしたロード バランサ VIP を経由する必要があるためです。

最初の手順として、フローの監視を有効にします。次に、HTTP トラフィックをシミュレートします。

web-01a のコンソールにログインし、コマンド プロンプトを開いて、Apache Bench で多数の HTTP 接続をシミュレートします。

 

 

 

フローの監視の有効化

 

  1. [Flow Monitoring] を選択します。
  2. [構成] タブをクリックします。
  3. [有効化] をクリックして、フローの監視を有効にします。

 

 

フローの監視

 

[フロー収集構成ステータス] が有効になっていることを確認します。

IPFix は、Cisco 独自の Netflow の IETF バージョンです。IPFix 領域で情報を確認します。この実習ラボでは、コレクタは構成しません。

  1. [IPFix] をクリックします。

 

 

IPFix

 

  1. IPFix 領域を確認したら、[フロー除外] をクリックします。

 

 

CLI コマンドに関する特記事項

 

多くのモジュールで、コマンド ライン インターフェイス (CLI) のコマンドを入力します。CLI コマンドを実習ラボに送信するには 2 つの方法があります。

1 つ目の方法では、次の手順で CLI コマンドを実習ラボのコンソールに送信します。

  1. マニュアル内の CLI コマンドを強調表示し、<Ctrl> + <C> キーを押してクリップボードにコピーします。
  2. コンソール メニューで [テキストの送信] をクリックします。
  3. <Ctrl> + <V> キーを押して、先ほどコピーした CLI コマンドをクリップボードからウィンドウに貼り付けます。
  4. [送信] ボタンをクリックします。

2 つ目は、テキスト ファイル (README.txt) を使用する方法です。実習ラボ環境のデスクトップに用意されているこのファイルを使用すれば、関連するユーティリティ (CMD、PuTTY、コンソールなど) で、複雑なコマンドやパスワードを簡単にコピーして貼り付けることができます。各国で使用されているさまざまなキーボードの中には、一部の文字が存在しないものがあります。このテキスト ファイルは、こうした文字が存在しないキーボード レイアウトにも対応しています。

この README.txt ファイルはデスクトップにあります。  

 

 

トラフィックの生成

 

ControlCenter から 1 台の Web サーバに対して Apache Bench ツールを実行して、多数の HTTP 接続をシミュレートします。

ここでは、Web サーバに直接接続されている HTTP 接続について調べます。ロード バランサ VIP では主にそれらの接続によってトラフィックを受信している必要があります。

下部のツールバーでコマンド プロンプト アイコン (左下) を選択することにより ControlCenter でコマンド プロンプトを開き、次のコマンドを入力します。

ab -n 12345 -c 10 -w http://172.16.10.11/

ab -n 12345 -c 10 -w http://172.16.10.11/

これにより、web-01a 仮想マシンへのトラフィックが生成されます。

** 次の手順でもこれと同じコマンドを実行するため、このウィンドウは最小化し、閉じないでください。

 

 

トラフィック フローの確認

 

vSphere Web Client の [Networking and Security] セクションで、次の操作を行います。

  1. [Flow Monitoring] を選択します。
  2. [ダッシュボード] タブを選択します。
  3. [トップフロー] タブを選択して、上位のトラフィック フローを確認します。

** このネストされた実習ラボ環境では、フローがダッシュボードに表示されるまでに数分かかる場合があります。ダッシュボードまたは [サービス別の詳細] タブに新しいフローが表示されない場合は、vSphere Web Client を実行しているブラウザを数分後に更新してください。vSphere Web Client の更新が必要になる場合もあります。vSphere Web Client を更新するには、画面上部にある更新矢印をクリックします。**

 

 

HTTP フロー

 

 

 

サービスごとの詳細

 

  1. 特定のプロトコル (HTTP) のトラフィック急増に関する詳細を確認するには、[サービス別の詳細] タブを開いて、[許可されたフロー] を選択します。なお、この詳細情報は、サービスごとにバイト数を基準に降順でソートされていますが、列見出しをクリックすると、その列を昇順に並べ替えることができます。
  2. 注: HTTP トラフィックが表示されない場合は、Web Client で [更新] をクリックします。ブラウザの画面の更新が必要になる場合もあります。
  3. TCP - HTTP トラフィック行を強調表示して、詳細情報を表示します。

web-01a (172.16.10.11) へのトラフィックのほとんどが、ControlCenter 仮想マシン (192.168.110.10) によって生成されていることがわかります。

ControlCenter システムは、大量の HTTP トラフィックを 「本番」 Web サーバに送信してはいけません。

そこで、何が起こっているのかを特定して潜在的な脅威を最小限に抑えられるようになるまでは、この不要なフローが実行されないようにファイアウォール ルールを追加します。

** 注: このネストされた実習ラボ環境では、フローがダッシュボードに表示されるまでに数分かかる場合があります。ダッシュボードまたは タブに新しいフローが表示されない場合は、vSphere Web Client を数分後に更新してください。**

 

 

ファイアウォール ルールを追加して不要なトラフィックをブロック

 

 

 

トラフィックの拒否

 

192.168.110.10 から web-sv-01a への HTTP トラフィックを拒否するファイアウォール ルールを追加します。送信元は 192.168.110.10、送信先は 172.16.10.11 です。また、HTTP Service が事前に設定されています。

  1. 名前を 「Reject HTTP to web-01a」 と入力します。
  2. [却下] のラジオ ボタンを選択します。
  3. [OK] をクリックします。

なお、このルールはファイアウォールの管理ペインから表示および変更できます。  

 

 

ルールのコマンド プロンプト出力のテスト

 

次は、追加したルールが、Web サーバへの HTTP トラフィックを適切に拒否することを確認します。

前の手順で最小化したコマンド プロンプト ウィンドウを再度開くか、新しいウィンドウを開いて、Apache Bench コマンドを再実行します。

(上矢印キーを使用できます)。

ab -n 12345 -c 10 -w  http://172.16.10.11/

(必ず テキストの送信 オプションを使用してください)。

これは失敗します。

この実習ラボでは、「ブロック」 ではなく 「拒否」 を使用します。拒否した場合、トラフィックがブロックされたことを示すエラー メッセージが表示されます。ブロック オプションを使用すると、要求は単にタイムアウトになります。

 

 

ブロックされたトラフィックを示すフローの監視

 

** 注: このネストされた実習ラボ環境では、フローがダッシュボードに表示されるまでに数分かかる場合があります。ダッシュボードまたは [Details By Service] タブに新しいフローが表示されない場合は、vSphere Web Client を数分後に更新してください。**

Web Client の [Networking & Security] の [Flow Monitoring] セクションで、次の操作を行います。

  1. [サービス別の詳細] に移動して、[ブロックされたフロー] を選択します。
  2. [TCP/HTTP Service] を強調表示して、画面下部の出力を確認します。

ファイアウォール ルールによって不要なトラフィックが適切に拒否 (ブロック) されていることを確認します。

フローの監視は、NSX の分散ファイアウォール機能を利用することで、環境内のトラフィックの異常を検出し、問題をすばやく軽減するうえで役に立ちます。

 

 

ライブ フロー

 

Live Flow を使用して、特定のマシンと仮想 NIC との間のトラフィックを表示することもできます。

  1. [Flow Monitoring] セクションで [ライブフロー] タブを選択します。
  2. [参照]リンクをクリックします。
  3. web-01a を選択します。これはネットワーク アダプタです。
  4. [OK] をクリックします。

 

 

ライブ フロー の開始

 

 

 

トラフィック ジェネレータの開始

 

 

 

ライブ フロー の出力

 

数秒ごとに、ブロックされた HTTP トラフィック フローが表示されます。必要に応じて、さまざまなフローの監視オプションをご覧ください。ここで示したコマンド ウィンドウで、ファイアウォール ルールが接続の試行をブロックしていることも確認できます。

** 注: このネストされた実習ラボ環境では、フローがダッシュボードに表示されるまでに数分かかる場合があります。ダッシュボードまたは [サービス別の詳細] タブに新しいフローが表示されない場合は、vSphere Web Client を数分後に更新してください。**

 

 

ファイアウォール ルールの削除

 

  1. vSphere Web Client の [Networking and Security] メニューで [ファイアウォール] を選択します。
  2. [デフォルトのセクションレイヤ3] を展開します。
  3. ルール 2 の鉛筆アイコンをクリックします。
  4. [削除] を選択します。

 

 

ファイアウォール ルールの削除の確認

 

 

 

[変更の発行] をクリック

 

 

 

フローの監視のまとめ

フローの監視により、仮想マシンのトラフィック フローを仮想 NIC レベルで可視化できます。

ここではフローの監視のトラフィック分析ツールを使用して、本番 Web 仮想マシン web-01a との間のトラフィックに関する詳細な情報を確認しました。ControlCenter 仮想マシンからこの仮想マシンへの HTTP トラフィックを生成し、フローの監視を使用して、トラフィックの異常を容易に検出しました。また、この機能で分散ファイアウォール ルールを簡単に作成し、不要なトラフィックをすばやくブロックして、仮想マシンを保護しました。

 

アクティビティの監視


アクティビティの監視では、仮想ネットワークを可視化することで、組織のセキュリティ ポリシーが適切に適用されていることを確認します。

セキュリティ ポリシーによって、誰がどのアプリケーションにアクセスできるかが制御されます。クラウド管理者は、アクティビティの監視レポートを生成して、設定した IP ベースのファイアウォール ルールが意図したとおりに機能しているかどうかを確認できます。アクティビティの監視では、ユーザー レベルおよびアプリケーション レベルの詳細な情報に基づいて、高レベルのセキュリティ ポリシーを低レベルの IP アドレスおよびネットワーク ベースの実装に変換します。

メリット: Guest Introspection サービスを使用して、監視対象の仮想マシンのアプリケーションおよびアクティビティの詳細を表示できます。

アクティビティの監視を利用するには、次の作業を行う必要があります。

注: この手順は、すでに実習ラボで完了しています。

次を構成します。


 

Guest Introspection の導入: デモ

 

Guest Introspection サービスは、この実習ラボではコンピューティング クラスタ B ですでに実行されています。

----- 注: デモとして、ここではサービスを導入する手順を紹介します。--------

  1. [Networking and Security] メニューで [インストール手順] を選択します。
  2. [サービス デプロイ] タブに移動します。
  3. Guest Introspection サービスは、コンピューティング クラスタ B にすでに導入されています。
  4. Guest Introspection がどのように導入されているかを確認するには、緑色のプラス記号をクリックします。
  5. [Guest Introspection] チェックボックスをオンにします。
  6. [次へ] をクリックします。

 

 

Guest Introspection の導入: クラスタの選択

 

  1. 「クラスタの選択」 手順で、コンピューティング クラスタ A の横にあるチェックボックスをオンにします。
  2. [次へ] をクリックします。

 

 

Guest Introspection の導入: ストレージと管理ネットワークの選択

 

ここでは、Guest Introspection 仮想マシンのデータストアとネットワークを選択します。

 

 

Guest Introspection の導入: 設定の確認

 

ここで設定を確認します。

 

 

VMware Tools がターゲット仮想マシンにインストールされていることを確認

 

アクティビティの監視では、最新の VMware Tools がターゲット仮想マシンにインストールされている必要があります。また、VMCI Driver Guest Introspection もインストールされている必要があります。

注: この実習ラボ環境では、コンピューティング クラスタ B の Windows 8 仮想マシンに最新の VMware Tools がインストールされているため、これはすでに完了しています。

 

 

win8-01a の検索

 

  1. 右上にある vCenter の検索ボックスに 「win8」 と入力します。
  2. [win8-01a] をクリックします。

 

 

Win-08a 仮想マシンでのデータ収集の有効化

 

  1. [サマリ] タブをクリックします。
  2. NSX のアクティビティの監視ペインで [編集] をクリックします。
  3. [はい] をクリックして、アクティビティの監視を有効にします。

 

 

[Networking  and Security] に移動

 

  1. [ホーム] アイコンをクリックします。
  2. [Networking and Security] をクリックします。

 

 

クラスタでアクティビティの監視を構成する例

 

この実習ラボでは構成しませんが、クラスタおよびその他のグループ用にアクティビティ監視のデータ収集を構成することもできます。これを行うには、[Service Composer] で 「Activity Monitoring Data Collection」 セキュリティ グループに含めるオブジェクトを選択します。

  1. [Networking and Security] メニューの [Service Composer] セクションに移動します。
  2. [Security Group] タブを選択します。
  3. [Activity Monitoring] セキュリティ グループを右クリックします。
  4. [Security Group の編集] を選択します。

 

 

選択したオブジェクトにコンピューティング クラスタ A および B を追加する例

 

  1. [含めるオブジェクトの選択] をクリックします。
  2. win8-01a 仮想マシンでアクティビティの監視を有効にしたため、この仮想マシンが追加されています。
  3. [オブジェクト タイプ] のドロップダウンをクリックします。[Activity Monitoring] セキュリティ グループに追加できる、さまざまなオブジェクト タイプが表示されます。たとえば、クラスタ全体などを選択できます。このセクションで、その他の情報を確認します。
  4. ** ここでは情報の確認が完了したら、[Cancel]をクリックしてください。この手順は参照用にのみ示しています。**

このセキュリティ グループにはセキュリティ ポリシーがすでに適用されています。これにより、メンバー オブジェクトのアクティビティ監視のデータ収集がオンになります。

 

 

win8-01a 仮想マシン内からのアクティビティの生成

 

  1. [Start] ボタンをクリックします。
  2. RDP またはコンソール セッションを開きます。

 

 

win8-01a への接続

 

  1. 「win8-01a.corp.local」 と入力します。
  2. [Connect] をクリックします。
win8-01a.corp.local

 

 

ログイン

 

CORP\Administrator アカウントを使用します。

 

 

Internet Explorer の起動

 

 

 

リスクの警告の承認

 

  1. [Continue to this website (not recommended)] をクリックします。
  2. [Yes] をクリックします。

 

 

[Multi-Tier App] ページを開く

 

3 層アプリケーションの出力が表示されます。

アクティビティのデモという目的のため、Win8-01a 仮想マシンでこのアプリケーションを起動すると、アクティビティ モニタで監視できる送信トラフィックが生成されます。アクティビティ モニタを使用すると、指定された仮想マシンとの間でやり取りされるすべてのアクティビティと、トラフィックの生成者を表示できます。これは、不要なトラフィックが発生していないかどうかを確認するうえで役に立ちます。

  1. 縮小ボタンをクリックして、デスクトップに戻ります。

 

 

アクティビティ モニタの開始

 

  1. Web Client の [Networking and Security] セクションで、[Activity Monitoring] を選択します。
  2. [VM アクティビティ] タブを選択します。
  3. [検索] ボタンをクリックします。
  4. 出力を確認します。win8-01a にログインしているユーザーが corp.local ドメインの管理者であることを確認し、アクティビティを表示することができます。

 

 

 

アクティビティの監視のまとめ

実習ラボのこのセクションでは、NSX 内のアクティビティの監視機能を使用して特定の仮想マシンのトラフィックを監視し、不要なトラフィック タイプが発生していないかどうかを確認しました。セキュリティ要件を満たしていないトラフィックが見つかった場合は、分散ファイアウォールと Service Composer を利用して、ユーザーの安全でないアクティビティから仮想マシンを保護できます。

 

Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: HOL-SDC-1603_JA

Version: 20151230-070250