VMware Hands-on Labs - HOL-1703-USE-3-JA


実習ラボの概要: HOL-1703-USE-3 - VMware NSX: 運用管理と可視化

実習ラボのガイダンス


注: この実習ラボの所要時間は 90 分以上を想定しています。1 回のラボ時間あたり 2 ~ 3 モジュールを目安に学習してください。 モジュールは相互に独立しているため、どのモジュールから開始することも、どの順序で実施することもできます。各モジュールには、目次から直接移動できます。

目次を表示するには、実習ラボ マニュアルの右上の [目次] をクリックします。

VMware NSX 運用管理と可視化の実習ラボへようこそ。この実習ラボでは、利用できるツールをすべて説明します。これらのツールはトラブルシューティングのときだけでなく、インフラストラクチャを運用面から把握する際に役立ちます。Log Insight 用の NSX コンテンツ パックと、Log Insight の前面に表示される新しいダッシュボード機能の確認から始めます。それから、フロー監視、Traceflow、統合 CLI などの NSX にネイティブに組み込まれているツールを取り上げていきます。実習ラボのモジュールの全リストは次のとおりです。異なるモジュール間で自由に移動できるようにモジュールはすべて完全に独立しています。

実習ラボのモジュールのリスト:

 実習ラボ責任者:

この実習ラボ マニュアルは、次のハンズオン ラボ ドキュメント サイトからダウンロードできます。

[http://docs.hol.vmware.com]

一部の実習ラボは、英語以外の言語でも提供されています。 言語設定を変更して翻訳版のマニュアルを実習ラボで使用する手順については、次のドキュメントを参照してください。

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

メイン コンソールの場所

 

  1. 赤い四角の領域には、メイン コンソールが表示されます。 実習ラボ マニュアルは、メイン コンソールの右側のタブに表示されます。
  2. 実習ラボによっては、左上の別のタブに追加のコンソールが用意されていることがあります。この場合、実習ラボ マニュアルの説明に従って、指定されたコンソールを開いてください。
  3. この実習ラボでは、開始時に 90 分のタイマーが表示されます。 このラボで行った作業内容は保存できません。 すべての作業は、実習ラボ セッション内に完了してください。 時間が足りない場合は、[EXTEND] をクリックして時間を延長することができます。 VMware イベントでご使用の場合は、実習ラボの時間を 2 回まで、最大 30 分延長できます。 [EXTEND] を 1 回クリックすると、時間が 15 分間延長されます。 VMware イベント以外でご使用の場合は、実習ラボの時間を最大 9 時間 30 分延長できます。[EXTEND] を 1 回クリックすると、時間が 1 時間延長されます。

 

 

キーボード以外の方法によるデータ入力

このモジュールでは、メイン コンソールでテキストを入力します。複雑なデータを入力する場合、キーボードから直接入力する以外に、次の 2 つの方法を使用すると入力しやすくなります。

 

 

クリック アンド ドラッグによるコピー

実習ラボ マニュアルに記載されているテキストやコマンド ライン インターフェイス (CLI) のコマンドは、クリック アンド ドラッグによってメイン コンソールのアクティブ ウィンドウに直接コピーできます。 

 

 

オンラインの国際キーボードにアクセスする

 

キーボード配列によっては、特定の文字や記号が入力しにくいことがあります。そのような場合、メイン コンソールに、オンラインの国際キーボードを表示して使用すると便利です。

  1. キーボードは、Windows のクイック起動タスク バーで、キーボードのアイコンをクリックして表示します。

 

 

アクティブなコンソール ウィンドウをクリック

 

この例では、メール アドレスに含まれている 「@」 記号をオンライン キーボードから入力します。US 配列のキーボードで 「@」 記号は <Shift> + <2> キーを押して入力します。

  1. アクティブなコンソール ウィンドウを 1 回クリックします。
  2. <Shift> キーをクリックします。

 

 

@>キーをクリック

 

  1. <@> キーをクリックします。

これで、アクティブなコンソール ウィンドウに @ 記号が入力されました。

 

 

画面右下でラボの準備完了を確認する

 

画面の右下の [Lab Status] で、ラボの準備が完了したことを確認します。表示が [Ready] になったことを確認して、学習を開始してください。[Ready] になるまで数分間かかります。5 分経過しても [Ready] にならない場合は、サポートにお問い合わせください。

 

 

Windows アクティベーションに関するウォーターマーク

 

実習ラボを初めて開始すると、Windows のライセンス認証が完了していないことを知らせるウォーターマーク (透かし) がデスクトップに表示される場合があります。 

仮想化の大きなメリットの 1 つは、仮想マシンを任意のプラットフォームに移動して実行できることです。 ハンズオン ラボも、このメリットを活用して複数のデータセンターから実行できるようになっています。 ただし、これらのデータセンターでは必ずしも同じ種類のプロセッサーを使用しているとは限りません。プロセッサーが異なると、インターネット経由で Microsoft 社のライセンス認証チェックが行われます。

この場合でも、VMware とハンズオン ラボは Microsoft 社のライセンス要件に完全に準拠しているため、安心してご利用いただけます。 ご利用の実習ラボは自己完結型ポッドであり、Windows のライセンス認証の確認に必要なインターネットへの完全なアクセスがありません。 インターネットへの完全なアクセスがないと、この自動プロセスは失敗し、このようなウォーターマークが表示されます。

これは表面上の問題であり、実習ラボへの影響はありません。 

 

Control Center ブラウザ言語設定(日本語)

Firefox ブラウザ言語設定 (日本語表示)


vSphere Web Clientはブラウザベースです。日本語表示するためには、ブラウザの言語設定を日本語に設定します。

なお、vSphere Web Client 以外の一部ツールでは英語表記となります。これはハンズオンラボ環境特有のものです。


 

Firefoxの起動

 

Firefoxアイコンをクリックし、 起動します。

 

 

Firefoxブラウザの日本語化

 

1. ウィンドウ右上のメニューを開きます。

2. [Options]  をクリックします。

 

 

Firefoxブラウザの日本語化

 

左側メニューから [Content] を選択します。

 

 

Firefoxブラウザの日本語化

 

[Languages] の [Choose...] をクリックします。

 

 

Firefoxブラウザの日本語化

 

[Select a language to add...] をクリックします。

 

 

Firefoxブラウザの日本語化

 

1. プルダウンから [Japanese [ja] ] を選択します。

2. [Add] をクリックします。

3. [OK] をクリックします。

4. Firefox を再起動します。

 

Google Chrome ブラウザ言語設定(日本語表示)


vSphere Web Client はブラウザベースです。日本語表示にする為には、ブラウザの言語設定を日本語に設定します。

なお、vSphere Web Client 以外の一部ツールでは英語表記となります。これはハンズオンラボ環境特有のものです。


 

Google Chrome の起動

 

Google Chrome を起動します。

 

 

Google Chrome のメニューを開く

 

ブラウザウィンドウ右上のメニューを開きます。

 

 

Google Chrome の設定画面を開く

 

[Settings] をクリックします。

 

 

Google Chrome の詳細設定を表示

 

1. 画面を下へスクロールします。

2. [Show advanced settings...] をクリックします。

 

 

Google Chrome の言語と入力の設定

 

画面を下へスクロールし、[Language and input setting...] をクリックします。

 

 

Google Chrome の言語と入力の設定

 

[Add] をクリックします。

 

 

Google Chrome の言語と入力の設定

 

1. プルダウンから [Japanese - 日本語] を選択します。

2. [OK] をクリックします。

 

 

Google Chrome の言語と入力の設定

 

1. 左側 [Languages] 内の [Japanese] を一番上までドラッグで移動させます。

2. [Done] をクリックします。

3. Google Chrome ブラウザを再起動します。

 

モジュール 1: Log Insight Management Pack の確認 (15 分)

はじめに


従来のログ管理ツールは、ハイブリッド クラウドのような動的な環境には適していません。 これは 1 つに、従来のツールでは、ログやその他のデータを戦略的に活用した IT インフラストラクチャの問題分析やトラブルシューティングができないという実状があるためです。そのほか、マシンが生成するログ データが膨大で、取得や管理が困難という状況もあります。さらに、仮想インフラストラクチャと物理インフラストラクチャを別々に管理する場合、問題が発生してから対応することになり、責任を押し付け合う結果となりかねません。そして、ほかのログ管理ソリューションを vSphere 環境で使用するために、新たにソフトウェアの追加が必要になる場合があります。また、常に最新のバージョンがサポートされているとは限りません。


 

Log Insight の説明

 

VMware vRealize Log Insight はこれらの課題に対処し、サービス品質 (QoS) と運用効率の向上およびコンプライアンスの維持に役立ちます。 Log Insight の機能一覧を次に示します。

 

 

Log Insight のインストール

Log Insight は仮想アプライアンスとしてインストールされます。 デフォルトでは、Log Insight 仮想アプライアンスには仮想 CPU 2 個、4 GB の仮想メモリ、プロビジョニング済みの 144 GB のディスク容量が搭載されます。Log Insight は未加工データ、インデックス、メタデータなどの格納に 100 GB のディスク容量を使用します。 仮想アプライアンスのサイジングに影響を及ぼす要因は多種多様ですが、 それらに関する説明はこの実習ラボの対象外です。 vRealize Log Insight プラットフォームについては、次の演習ラボでも詳しく説明されています。

SDC-HOL-SDC-1710

ドキュメント一式は https://www.vmware.com/jp/support/support-resources/pubs/log-insight-pubs.htmlにもあります。この実習ラボでは、Log Insight アプライアンスはすでにインストールされています。 次のセクションでは、アプライアンスにログインし、NSX コンテンツ パックをインストールします。

 

Log Insight コンテンツ パックのインストール


このモジュールでは、NSX 用の Log Insight コンテンツ パックをインストールしていきます。インストールすると、NSX に関連するすべてのダッシュボードを使用できるようになります。


 

Control Center デスクトップから Firefox を開く

 

  1. Control Center デスクトップ上で Firefox アイコンをクリックします。

 

 

vRealize Log Insight へのログイン

 

  1. [Log Insight] ブックマークをクリックします。
  2. 次の認証情報によりログインします。

          ユーザー名: admin

         パスワード: VMware1!

 

 

Log Insight コンテンツ パックのインストール

 

メイン ログイン画面から次の手順を実行します。

1. 設定アイコンの矢印をクリックします。

2. ドロップダウン メニューから [Content Packs] を選択します。

 

 

Log Insight 用 NSX コンテンツ パックへのアクセス

 

1. メニューの左下にある [Import Content Pack] をクリックします。

 

 

コンテンツ パックのインポート

 

1. [Browse] ボタンをクリックします。

2. 表示されるファイル ウィンドウで、[Desktop] - [Log Insight Content Pack] - [VMware-NSX-vSphere_ToBePublished.vlcp] の順に選択します。

3. ファイル名をダブルクリックするか、[Open] をクリックします。

4. [Import] ボタンをクリックして、コンテンツ パックのインストールを実行します。

 

 

コンテンツ パックのインポート

 

1. [Browse] ボタンをクリックします。

2. 表示されるファイル ウィンドウで、[Desktop] - [Log Insight Content Pack] - [VMware-NSX-vSphere_ToBePublished.vlcp] の順に選択します。

3. ファイル名をダブルクリックするか、[Open] をクリックします。

4. [Import] ボタンをクリックして、コンテンツ パックのインストールを実行します。

 

 

インストールの完了

 

  1. [OK] をクリックします。

インポートが完了したら、コンテンツ パックはインストールされています。Log Insight で NSX に固有のダッシュボードやウィジェットを活用できます。

 

 

まとめ

このモジュールでは、Log Insight 用の NSX コンテンツ パックのインストールまでを完了しました。次のレッスンでは、複数のダッシュボードについて説明します。

 

 

モジュール 1 の終了

 

モジュール 1 はこれで終了です。

Log Insight の詳細については、次の URL でご覧いただけます。

次のうち、最も興味のあるモジュールに進んでください。

 実習ラボ責任者:

 

 

モジュール 1 のまとめ


このモジュールで学習した内容を要約してください。


 

モジュール 1 の終了

 

モジュール 1 はこれで終了です。

【項目名】 の詳細については、以下を参照してください。

次のうち、最も興味のあるモジュールに進んでください。【実習ラボ マニュアルに独自のまたはオプションの情報を追加してください。】

実習ラボのモジュールのリスト:

 実習ラボ責任者:

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[END] ボタンをクリックします。

 

モジュール 2: Log Insight ダッシュボード (15 分)

はじめに


NSX for vSphere の Log Insight コンテンツ パックは、NSX 内のログ データのすべてのソースに対して優れた運用レポート作成機能とアラートの可視化を提供します。ビデオ チュートリアルはここからご覧いただけます。NSX の主な各機能 (論理スイッチ、ルーティング、分散ファイアウォール、VXLAN ゲートウェイ、エッジ サービス) について、カスタムのダッシュボード、フィルター、アラートを通して、このコンテンツ パック内で確認できます。視覚的情報が豊富なコンテンツ パックは、NSX 構成、パフォーマンス、セキュリティ、トレンドに関する問題の分析と特定には不可欠です。直感的なマウス クリック操作で 12 個の NSX ダッシュボードを簡単に選択できます。NSX ログ データは、ユーザーが定義した時間間隔に基づいて瞬時にソートされ、数秒後には、棒グラフ、円グラフ、未加工データ収集ウィジェットにデータが視覚的に表示されます。


 

ダッシュボードの概要

 

このモジュールでは、NSX コンテンツ パックから利用できる各種ダッシュボードを取り上げます。

 

 

VMware - NSX-vSphere コンテンツ パック

 

コンテンツ パックで利用できるウィジェットの一覧を取得するには、次の手順を実行します。

  1. 右上をクリックします。
  2. [Content Packs] を選択します。
  3. [VMware - NSX-vSphere] を選択します。
  4. [Dashboards] を選択すると、使用可能なレポートの一覧が表示されます。

 

分散ファイアウォール概要ダッシュボードの確認


このレッスンでは、分散ファイアウォール概要ダッシュボードについて説明していきます。


 

分散ファイアウォール概要ダッシュボード

 

このページで [ダッシュボード] をクリックします。

 

 

データセットの選択

 

この実習ラボでは、デモで表示するデータを反映させるため、あらかじめ決められた日付を選択します。

  1. 時間範囲を示すドロップダウン メニューをクリックします。
  2. [カスタムの期間] を選択します。

 

 

日付の選択

 

  1. カレンダー アイコンをクリックします。
  2. 2016 年 5 月 1 日から 2016 年 6 月 18 日の日付を選択します。

 

 

日付のカスタマイズ

 

スナップショットのように日付を選択したら、[更新] をクリックしてグラフの表示を更新します。

 

 

分散ファイアウォール レポート

 

[VMware - NSX - vSphere] を選択していることを確認します。

 

 

分散ファイアウォール概要ダッシュボード

 

  1. 直感的に操作できるダッシュボードを使って、関連情報のみを表示するようにフィルタリングできます。
  2. 構成の変更を強調して表示することもできます。
  3. すべてのダッシュボードにそのダッシュボードが表示している内容を説明する情報アイコンがあります。
  4. すべての管理アクションを完全に監査できます。

 

分散ファイアウォール トラフィック


このダッシュボードには、分散ファイアウォールで通過またはドロップの対象となったトラフィックの各種特性が表示されます。明示的に許可されたポート、明示的にブロックされたポートのほか、トラフィック数が上位の送信先と送信元を確認できます。


 

分散ファイアウォール トラフィック

 

1. [Distributed Firewall-Traffic] ダッシュボードをクリックします。

データ収集時の環境には、ネットワーク上の特定のユーザーから人事や財務アプリケーションへの Web トラフィックを許可する DFW ルールが適切に存在していました。このような機能を実現するために使用した ID 認証ファイアウォールの動作については、このセクションでは触れません。このセクションでは便宜上、次の状況を想定しています。

 

インタラクティブな分析機能


インタラクティブ分析では、ログをリアルタイムでインタラクティブに利用できます。管理者は特定のイベントを選択し、そのイベントに関連するログをすべて表示して、インシデントをフィルタリングできます。


 

インタラクティブな分析機能

 

このビューの [Firewall Actions] ダッシュボードで、6 月 13 日のドロップ イベントを選択します。そのイベント上にマウスを合わせると、イベント ID が 766と確認できます。

  1. 上部のバーを左クリックします。
  2. [インタラクティブ分析] を選択します。

 

 

イベントのフィルタリング

 

1. フィルター セクションでは、正規表現を指定することで、データから任意のフィールドを動的に抽出できます。抽出されたフィールドは、解析時に抽出されるフィールドと同じように、選択、予測、集計に使用できます。

2. ここにはデータ分類とキーワードのリストが表示されます。各項目の表示または非表示を選択できます。特定の値を指定して、結果をさらにフィルタリングすることもできます。

ここでは、172.16.60.22(Web-03a) が 172.16.60.12 (Web-04a) に対して ping を実行し、それが FW ルール # 1009によってドロップされたことが示されています。

 

 

HOL-1703-USE-3 - VMware NSX: Operations and Visibility - ラボのコンソール - VMware Learning Platform

 

モジュール 2 のまとめ


このモジュールでは、Log Insight 用の NSX コンテンツ パックで利用できる複数のダッシュボードを取り上げました。特に分散ファイアウォール ダッシュボードを中心に確認しました。

モジュールの最後では、インタラクティブ分析と、イベントをリアルタイムで監視してインシデントの根本原因を分析する方法を確認しました。


 

モジュール 2 の終了

 

モジュール 2 はこれで終了です。

フロー監視の詳細については、次の URL でご覧いただけます。

次のうち、最も興味のあるモジュールに進んでください。

実習ラボのモジュールのリスト:

 実習ラボ責任者:

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[END] ボタンをクリックします。

 

モジュール 3: フロー監視の構成 (15 分)

フロー監視による運用の可視化向上の概要


フロー監視は、仮想マシンに出入りするトラフィックの詳細な情報を表示する、トラフィック分析ツールです。フロー監視機能が有効になっている場合、この機能の出力結果を見れば、どのマシンがどのアプリケーションを使用してデータ交換しているかを確認できます。このデータには、セッション数と各セッションで送信されたパケット数が含まれます。セッションの詳細情報には、送信元、送信先、アプリケーション、使用ポートなどが含まれます。セッションの詳細情報を使用して、ファイアウォールの許可またはブロックのルールを作成できます。

選択した仮想 NIC の TCP 接続と UDP 接続を表示できます。フィルターを指定することでフローを除外することもできます。

そのため、フロー監視機能をフォレンジック ツールとして使用して、不正なサービスを検出したり、送信セッションを調査したりできます。


フロー監視の紹介


フロー監視機能には、vSphere Web Client 内の [Networking & Security] タブからアクセスします。


 

Google Chrome ブラウザの起動

 

メイン コンソールのタスクバーまたはデスクトップにある Chromeブラウザ アイコンをクリックします。

 

 

[vCenter - Region A] ブックマーク

 

  1. デフォルトの vSphere Web Client ページが自動的に表示されない場合は、ブックマーク バーにある [vCenter - Region A] リンクをクリックします。

 

 

vSphere Web Client へのログイン

 

vSphere Web Client にまだログインしていない場合

(ホーム ページは vSphere Web Client です。 それ以外の場合は、vSphere Web Client タスクバーにある Google Chrome のアイコンをクリックします)

  1. [User name] に 「administrator@vsphere.local」 と入力します。
  2. [Password] に 「VMware1!」 と入力します。
  3. [OK] をクリックします。

 

 

[Networking  Security] への移動

 

  1. vSphere Web Client 内から [Networking & Security] タブをクリックします。

 

 

[フローモニタリング] への移動

 

  1. [Networking & Security] タブ内の [フローモニタリング] をクリックします。

 

 

[フローモニタリング] タブ

 

[フローモニタリング] 内で使用できるタブは次の 4 つです。

  1. [ダッシュボード]: トラフィック数が上位のフロー、送信先、送信元を表示します。現在使用している時間間隔をここで変更できます。
  2. [サービス別の詳細]: 許可されたフローおよびブロックされたフローをサービスごとに表示します。
  3. [ライブフロー]: インフラストラクチャ内からのフローや特定の仮想 NIC を監視できます。
  4. [構成]: フロー監視を有効にし、特定のフローを除外できます。

 

 

時間間隔の変更

 

  1. [ダッシュボード] タブが表示されていない場合はこのタグをクリックしてください。
  2. 時間間隔を変更するために、ウィンドウ矢印を使用して画面フォーカスを右側に移動しなければならない場合があります。
  3. カレンダー アイコンをクリックして時間間隔を変更できます。
  4. 表示する時間枠を選択します。
  5. デフォルト値の [過去15分] のまま、[OK] をクリックして続行します。

 

 

フロー監視ダッシュボード

 

  1. [ダッシュボード] タブをクリックすると、その環境のフロー情報のリストが表示されます。フロー情報には、実際のフロー、ルールで許可またはブロックされたフローの割合、SpoofGuard でブロックされたフローの割合に関する統計情報が含まれます。

環境内で発生しているトラフィックの数が上位のフロー、送信先、送信元も表示できます。

 

 

フロー監視のサービス別詳細

 

  1. [サービス別の詳細] には、環境内のフローの統計情報がサービスごとに表示されます。

 

 

許可されたフロー

 

  1. [Allowed Flows] には、デフォルトの ANY ANY Allow ルールまたは追加された特定のルールのどちらかで許可された、環境内のすべてのフローが表示されます。

 

 

[許可されたフロー] でのルールの追加

 

ブロックまたは許可する必要のあるフローが環境内に存在する場合は、セキュリティ要件に応じて、そのフローをブロックまたは許可するルールを分散ファイアウォールに追加できます。

  1. 対象のフローをクリックします。
  2. 新しいルールを挿入するには [ルールの追加] リンクをクリックします。
  3. ルールの名前、送信先、アクション、有効または無効、ログ収集、適用先、セクション名などの必要な情報を入力します。
  4. [OK] をクリックしてルールをルールセットに追加します。

 

 

ブロックされたフロー

 

  1. [ブロックされたフロー] には分散ファイアウォールによってブロックされているすべてのフローが表示されます。

 

 

フロー監視の構成

 

  1. [フローモニタリング] の [構成] タブをクリックします。
  2. フロー監視を有効または無効に設定できます。フロー監視機能はデフォルトで無効になっているため、手動で有効にする必要があります。 この実習ラボでは、すでに有効になっています。

 

 

フローの除外

 

フロー監視では、除外基準を指定することによって、表示するデータをフィルタリングできます。たとえば、重複するフローを表示しないように、プロキシ サーバを除外できます。あるいは、インベントリ内の仮想マシンで Nessus スキャンを実行しているときに、スキャン フローを収集対象から除外できます。

  1. [フロー除外] タブをクリックします。
  2. 設定を変更する除外フィルターをクリックします。この例では、[レイヤー2フローの収集] をクリックしています。
  3. [保存] をクリックして確定します。

 

 

IPFix

 

サードパーティ製のコレクタにフローをエクスポートするようにフロー監視を構成することもできます。

  1. 操作は簡単です。[IPFix] タブで [編集] をクリックします。
  2. IPFix 構成を有効にし、[観測ドメインID] と [アクティブなフロー エクスポートのタイムアウト] の値を設定します。
  3. [OK] をクリックして、設定を確定します。

 

 

変更の発行

 

  1. [変更の発行] をクリックして、設定を確定します。

 

 

IPFix コレクタ

 

  1. フローを送信するコレクタを追加するには、緑色のプラス記号をクリックします。
  2. コレクタ IP、UDP ポートなど、必要な情報を入力します。
  3. [OK] をクリックして確定します。

 

仮想マシンのフローの監視


フロー監視に使用できる構成オプションを詳しく見てきました。次は、許可されたフローとブロックされたフローが混在する環境でフローを監視する方法を確認します。


 

フロー監視の分散ファイアウォール ルールの有効化

まず、web-01a.corp.local (172.16.10.11)から app-01.corp.local (172.16.20.11)への通信をブロックする分散ファイアウォール ルールを有効にする必要があります。その結果、フロー監視をテストして、許可されたフローとブロックされたフローの違いを表示できるようになります。

 

 

[Networking  Security] への移動

 

  1. vCenter Web Client ホーム画面で [Networking & Security] タブをクリックして、NSX インターフェイスにアクセスします。

 

 

[Firewall] への移動

 

  1. [ファイアーウォール] タブをクリックします。
  2. 矢印をクリックして、[Flow Monitoring & Trace Flow Rules-Disabled by Default] セクションを展開します。
  3. フロー監視テスト ルールを有効にするには、緑色のチェックマークをクリックします。
  4. [変更の発行] をクリックして、ハイパーバイザーにルールをプッシュします。

 

 

公開の成功の確認

 

  1. 公開操作が正常に完了したことを確認します (公開日はスクリーンショットと一致しません)。

 

 

フローの監視

フローを監視し、許可されたフローとブロックされたフローの結果を表示するための準備ができました。

 

 

フローモニタリング] への移動

 

  1. [フローモニタリング] タブをクリックします。
  2. [ライブフロー ダッシュボードをクリックします。
  3. [選択] リンクをクリックして、監視する仮想マシンのネットワーク インターフェイス カードを選択します。

 

 

[web-01a.corp.local] の選択

 

  1. 検索フィールドに 「web-01a.corp.local」 と入力し、<Enter> キーを押します。
  2. web-01a.corp.local仮想マシンをクリックします。
  3. 右矢印をクリックします。

 

 

仮想 NIC の選択

 

  1. 監視する仮想 NIC を選択します。
  2. [OK] をクリックして確定します。

 

 

監視の開始

 

  1. 仮想 NIC に出入りするフローの監視を開始するには、[開始] ボタンをクリックします。
  2. 更新頻度を変更する場合は、ドロップダウン メニューをクリックして、新しい更新頻度を選択します。

トラフィックが仮想 NIC を通過すると、そのトラフィックが次の各色で強調表示されます。

緑色: 新規かつアクティブなフローです。

黄色: 状態が変化した既存のフローです。

赤色: 終了したフローです。

選択した更新頻度に応じた秒数間隔でフローが表示されます。デフォルトは 5 秒毎です。

 

 

ブラウザで新しいタブを開く

 

  1. ブラウザ内の新しいタブ アイコンをクリックして新しいタブを開きます。

 

 

Customer DB app

 

  1. [Customer DB app] ブックマークをクリックします。web-01a.corp.local (172.16.10.11)から app-01a.corp.local (172.16.20.11)へのすべてのアクセスをブロックしているため、結果的に 「Service Temporarily Unavailable」 の Web ページが表示されます。

 

 

アクティブなフローとブロックされたフローの表示

 

[vSphere Web Client] タブをクリックして戻ると、複数のフローが表示されています。

緑色のフローは、Chrome ブラウザが実行中のメイン コンソール (192.168.110.10)から web-01a.corp.local (172.16.10.11)へのアクティブなフローを示しています。

赤色のフローは、NSX 分散ファイアウォールでブロックされている web-0a1.corp.local (172.16.10.11)から app-01a.corp.local (172.16.20.11)へのブロックされたフローを示しています。

 

 

[Customer DB App] ページの更新

 

  1. フローが表示されない場合は、[Customer DB App] タブに戻ります。
  2. ブラウザの更新ボタンをクリックします。
  3. [vSphere Web Client] タブをクリックして戻ります。

 

 

フローのフィルタリング

 

NSX 6.2.3 の新機能として、送信元と送信先の IP アドレスに基づいて特定のフローをフィルタリングできます。こうすることで、対象とするフローだけを表示して、不要なフローを非表示にできます。

  1. 仮想 NIC の監視を始めたら、フィルター ボタンをクリックします。
  2. [ソースIPアドレス] または [ターゲットIPアドレス] を選択します。
  3. フィルタリングする IP アドレスを入力します。

 

 

フロー監視の終了

フロー監視を終了したら、環境をクリーンアップします。

 

 

フロー監視の停止

 

  1. フロー監視を停止にするには、[停止] ボタンをクリックします。 [Networking & Security] 内の別のタブに移動しても、[停止] ボタンと同じ操作が生じます。

 

 

[Firewall] への移動

 

  1. [ファイアーウォール] タブをクリックします。
  2. 矢印をクリックして、[Flow Monitoring & Trace Flow Rules-Disabled by Default] セクションを展開します。
  3. フロー監視テスト ルールを無効にするには、緑色のチェックマークをクリックします。
  4. [変更の発行] をクリックして、ハイパーバイザーにルールをプッシュします。

 

 

公開の成功の確認 (コピー)

 

  1. 公開操作が正常に完了したことを確認します (公開日はスクリーンショットと一致しません)。このルールが無効になりました。

 

モジュール 3 のまとめ


このモジュールでは、フロー監視機能の一部である各種のオプションや、仮想マシンのネットワーク インターフェイス カードを出入りする許可フローまたは拒否フローを実際に監視する機能について説明しました。フロー監視は、アプリケーションが必要なフローのみを許可することでアプリケーションをロックダウンするだけでなく、接続をトラブルシューティングする際にも役立ちます。


 

モジュール 3 の終了

モジュール 3 はこれで終了です。

フロー監視の詳細については、次の URL でご覧いただけます。

次のうち、最も興味のあるモジュールに進んでください。

実習ラボのモジュールのリスト:

 実習ラボ責任者:

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[END] ボタンをクリックします。

 

モジュール 4: トレースフロー (15 分)

トレースフローによる運用の可視化向上の概要


トレースフローは仮想環境での運用の可視化と NSX のトラブルシューティングを促進させる機能です。トレースフローを使用すると、ゲスト OS に依存しないパケットを仮想 NIC に送り込み、そのパケットが各種分散ファイアウォール ポリシーを通って送信先仮想マシンに到達するまでを追跡できます。トレースフローは L2 と L3 のどちらの送信先もサポートします。また、NSX データ パスに存在する問題箇所を即座に特定し、調査すべき問題をピンポイントで見つけ出します。


2 台の仮想マシン間での トレースフロー


このモジュールでは、2 台の仮想マシン間での トレースフローの実行と、成功したパケット フローとブロックされたパケット フローの結果の分析について説明します。


 

vSphere Web Client へのアクセス

トレースフローを実行する前に、vSphere Web Client にログインする必要があります。

 

 

Chrome Web ブラウザの起動

 

デスクトップまたはタスクバーから Chrome ブラウザを起動します。

 

 

vSphere Web Client へのアクセス

 

  1. Chrome ブックマーク メニュー バーの [vCenter - Region A] ブックマークをクリックします。

 

 

vSphere Web Client へのログイン

 

vSphere Web Client にまだログインしていない場合

(ホーム ページは vSphere Web Client です。 それ以外の場合は、vSphere Web Client タスクバーにある Google Chrome のアイコンをクリックします)

  1. [ユーザー名] に 「administrator@vsphere.local」 と入力します。
  2. [パスワード] に 「VMware1!」 と入力します。
  3. [ログイン] をクリックします。

 

 

トレースフローの分散ファイアウォール ルールの有効化

まず、web-01a.corp.local (172.16.10.11)から web-02a.corp.local (172.16.10.12)への通信をブロックする分散ファイアウォール ルールを有効にする必要があります。こうすることで、同じ L2 セグメントにある 2 台の仮想マシン間で トレースフローを実行できるようになります。

 

 

[Networking  Security] への移動

 

  1. vCenter Web Client ホーム画面で [Networking & Security] タブをクリックして、NSX インターフェイスにアクセスします。

 

 

[ファイアウォール] への移動

 

  1. [ファイアウォール] タブをクリックします。
  2. 矢印をクリックして、[Flow Monitoring & Trace Flow Rules-Disabled by Default] セクションを展開します。
  3. フロー監視テスト ルールを有効にするには、緑色のチェックマークをクリックします。
  4. [変更の発行] をクリックして、ハイパーバイザーにルールをプッシュします

 

 

公開の成功の確認

 

  1. 公開操作が正常に完了したことを確認します (公開日はスクリーンショットと一致しません)。

 

 

トレースフローの実行

 

  1. [Networking & Security] タブ内の [トレースフロー] をクリックします。

 

 

トラフィック タイプ

 

  1. [トラフィックタイプ] ドロップダウン メニューをクリックすると、シミュレートするトラフィックを [ユニキャスト]、[L2 マルチキャスト]、[L2 ブロードキャスト] から選択できます。このオプションは [ユニキャスト] のままにします。

 

 

送信元仮想マシンの選択

 

  1. [ソース] の横にある [選択] リンクをクリックします。
  2. 検索フィールドに 「web-01a.corp.local」 と入力し、<Enter> キーを押します。
  3. 送信元にする仮想マシンの横にある右矢印をクリックします。

 

 

送信元仮想マシンの仮想 NIC

 

  1. パケットを送り込む仮想 NIC をクリックします。
  2. [OK] をクリックして選択を確定します。

 

 

送信先の選択

 

  1. [ターゲット] の横にある [選択] リンクをクリックします。 送信先 IP または MAC アドレスに基づいて L2 または L3 トレースフローを実行するか、特定の仮想マシンを選択します。

 

 

送信先仮想マシン

 

  1. [ターゲットvNICの選択] オプションを選択します。
  2. 送信元にする仮想マシン、この場合は、web-02a.corp.localの横にある右矢印をクリックします。

 

 

送信先仮想マシンの仮想 NIC

 

  1. パケットを送り込む仮想 NIC をクリックします。
  2. [OK] をクリックして選択を確定します。

 

 

詳細オプション

 

[詳細オプション] の矢印をクリックすると、仮想 NIC に送り込むパケットに関する追加のオプションを構成できます。プロトコルに ICMP、TCP、UDP のいずれかを指定するほか、ICMP ID、シーケンス、タイムアウト、フレーム サイズ、TTL を構成できます。追加のオプションは選択するプロトコルに基づいて表示されます。この例では TCP を使用します。TCP を使用すると、さらに送信元ポート、送信先ポート、必要に応じて TCP フラグも構成できます。

  1. [詳細オプション] の横にある矢印をクリックします。
  2. [プロトコル] を [TCP] に変更します。
  3. [ターゲットポート] を 80に設定します。
  4. [トレース] をクリックして、パケットを送り込み、インフラストラクチャを通るパケットの追跡を開始します。

 

 

長時間実行タスク

 

  1. 現在のタスクの完了まで時間がかかるというメッセージ ボックスが表示された場合、ポーリングを続行するには [Yes] をクリックします。これは、この実習ラボを実行しているネスト環境の影響によるものです。

 

 

トレースフロー実行結果の確認

  1. 結果が表示されたら、前もって有効にしたルールによってドロップされたパケットを [Dropped] と表示されたセクションで確認できます。
  2. パケットを追跡すると、パケットが仮想 NIC に送り込まれ、外向きファイアウォールで受信されて、Rule 1005によりブロックされたことがわかります。この結果が想定されたものと異なる場合は、Rule 1005 を調査して適切かどうかを確認できます。

 

 

トレースフローの分散ファイアウォール ルールの無効化

 

次に、分散ファイアウォール ルールを無効にして web-01a.corp.local (172.16.10.11)から web-02a.corp.local (172.16.10.12)への通信を許可し、再度 トレースフローを実行して、パケットが正常に配信されることが確認します。

 

 

[ファイアウォール] への移動

 

  1. [ファイアウォール] タブをクリックします。
  2. 矢印をクリックして、[Flow Monitoring & Trace Flow  Rules-Disabled by Default] セクションを展開します。
  3. フロー監視テスト ルールを無効にするには、緑色のチェックマークをクリックします。
  4. [変更の発行] をクリックして、ハイパーバイザーにルールをプッシュします。

 

 

公開の成功の確認

 

  1. 公開操作が正常に完了したことを確認します (公開日はスクリーンショットと一致しません)。

 

 

トレースフローの実行

 

  1. [Networking & Security] タブ内の [トレースフロー] をクリックします。

 

 

送信元仮想マシンの選択

 

  1. [ソース の横にある [選択] リンクをクリックします。
  2. 検索フィールドに 「web-01a.corp.local」 と入力し、<Enter> キーを押します。
  3. 送信元にする仮想マシンの横にある右矢印をクリックします。

 

 

送信元仮想マシンの仮想 NIC

 

  1. パケットを送り込む仮想 NIC をクリックします。
  2. [OK] をクリックして選択を確定します。

 

 

送信先の選択

 

  1. [ターゲット] の横にある [選択] リンクをクリックします。 送信先 IP または MAC アドレスに基づいて L2 または L3 トレースフローを実行するか、特定の仮想マシンを選択します。

 

 

送信先仮想マシン

 

  1. [ターゲットvNICの選択] オプションを選択します。
  2. 送信元にする仮想マシンの横にある右矢印をクリックします。

 

 

送信先仮想マシンの仮想 NIC

 

  1. パケットを送り込む仮想 NIC をクリックします。
  2. [OK] をクリックして選択を確定します。

 

 

詳細オプション

 

[詳細オプション] の矢印をクリックすると、仮想 NIC に送り込むパケットに関する追加のオプションを構成できます。 プロトコルに ICMP、TCP、UDP のいずれかを指定するほか、ICMP ID、シーケンス、タイムアウト、フレーム サイズ、TTL を構成できます。追加のオプションは選択するプロトコルに基づいて表示されます。この例では TCP を使用します。TCP を使用すると、さらに送信元ポート、送信先ポート、必要に応じて TCP フラグも構成できます。

  1. [詳細オプション] の横にある矢印をクリックします。
  2. [プロトコル] を [TCP] に変更します。
  3. [ターゲットポート を 80に設定します。
  4. [トレース] をクリックして、パケットを送り込み、インフラストラクチャを通るパケットの追跡を開始します。

 

 

長時間実行タスク

 

  1. 現在のタスクの完了まで時間がかかるというメッセージ ボックスが表示された場合、ポーリングを続行するには [Yes] をクリックします。これは、この実習ラボを実行しているネスト環境の影響によるものです。

 

 

トレースフロー実行結果の確認

 

  1. 結果が表示されたら、[配信済み] と表示されたセクションで、配信されたパケットを確認できます。この結果は、先にルールが無効にされていたためです。
  2. パケットを追跡すると、そのパケットが仮想 NIC に送り込まれて外向きの分散ファイアウォールを通過した後、カプセル化と受信側ホストへの配信が行われ、内向きの分散ファイアウォールを問題なく通過したことを確認できます。
  3. 下方向にスクロールすると、トレースフローのすべての情報を確認できます。

 

 

結果のフィルタリング

 

  1. フィルタ アイコンをクリックして適切な条件を選択することで、[観測タイプ]、[コンポーネントタイプ]、[コンポーネント名]、[ホスト] に基づいて、結果をフィルタリングすることもできます。
  2. 適切なフィルタリングの条件を選択します。
  3. [適用] をクリックします。

 

モジュール 4 のまとめ


このモジュールでは、2 台の仮想マシン間での トレースフローの実行方法と、トレースフローの実行の結果、配信が成功した場合と失敗した場合の両方のケースについて説明しました。ICMP ではなくポートに基づいて トレースフローを実行するように追加のオプションを構成する方法と、実行結果のフィルタリング方法についても説明しました。


 

モジュール 4 の終了

モジュール 4 はこれで終了です。

Traceflow の詳細については、次の URL でご覧いただけます。

http://tinyurl.com/zsc9fqnを参照

次のうち、最も興味のあるモジュールに進んでください。

実習ラボのモジュールのリスト:

 実習ラボ責任者:

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[END] ボタンをクリックします。

 

モジュール 5: 統合 CLI (15 分)

統合 CLI による運用の可視化向上の概要


このモジュールでは、統合 CLI について説明します。統合 CLI は NSX for vSphere 活用時の運用作業を支援するツールです。

統合 CLI を使用する前は、管理者が NSX Edge Gateway (このゲートウェア上で実行するサービスも含む)、分散論理ルータ、論理スイッチなどの構成要素に関する詳細情報を取得する必要がある場合は、次のいずれかまたは複数へのコンソール アクセスが必要でした。

統合 CLI を使用すると、NSX Manager のコンソールへアクセスするだけで、複数のコンソールや SSH セッション間を行き来することなく、詳細情報を取得できます。 このため、管理者は合理化された手順で運用データにアクセスできるようになり、NSX for vSphere が展開されている環境で生じる問題を短時間でトラブルシューティングできるようになります。

新しいコマンドの詳細とこのモジュールで使用するシナリオの種類を説明する前に、プライマリ NSX Manager にログインするためのセットアップ手順を説明します。このセットアップ手順を必ず実行してください。


 

セットアップ

プライマリ NSX Manager (nsxmgr-01a.corp.local) 上で Windows SSH クライアント PuTTY を使用して複数のコマンドを実行します。

 

 

PuTTY の起動

 

  1. タスクバーにある Putty アイコンをクリックします。

 

 

PuTTY による NSX Manager の SSH 接続の構成

 

[PuTTY Configuration] ウィンドウで、プライマリ NSX Manager (nsxmgr-01a.corp.local) の接続詳細情報を読み込むには、次の手順を実行します。

  1. [Saved Sessions] リストで nsxmgr-01a.corp.localセッションを探してクリックします。
  2. [Open] ボタンをクリックします。

 

 

NSX Manager コマンド プロンプト

 

  1. パスワードとして 「VMware1!」 と入力します。

 

 

NSX 統合 CLI コマンド リスト

 

ここで、NSX Manager で使用できるコマンドのリストを確認します。 コマンド プロンプトで次のコマンドを入力すれば、コマンドのリストを確認できます。

list

ご覧のとおり、NSX Manager CLI から情報を取得するために使用できる多数の新しいオプションがあります。これらのオプションの中には、個々の NSX Edge Gateway、ESXi ホスト、NSX Controller へのコンソール アクセスを管理者に取得させるために使用するオプションもあります。

  1. PuTTY ウィンドウでコマンド リストを上下にスクロールして全体を確認できます。

この PuTTY ウィンドウを開いたまま、次の手順に進みます。次の手順ではまず、VXLAN 接続のトラブルシューティングに役立つコマンドを確認します。

 

論理スイッチのトラブルシューティング


統合 CLI を使用する前は、次のような構成要素のトラブルシューティング情報を取得しようとすると、SSH またはコンソールを使用して NSX Manager、ESXi ホスト、NSX Controller に接続しなければなりませんでした。

このセクションでは、これらの構成要素に関する詳細情報を管理者が 1 か所で収集できるようにするための、NSX Manager CLI で使用できる新しいコマンドを紹介します。次の手順には、ネットワーク仮想化の問題に関して vSphere クラスタ、ESXi ホスト、仮想マシンの詳細情報を収集する方法を確認します。

: 以降のコマンド出力が複数行に表示されて読みづらくなることがあります。先に進む前に PuTTY ウィンドウの幅を広くするか、サイズを最大にすることをお勧めします。


 

クラスタ、ホスト、仮想マシンの詳細情報

このモジュールで扱う大半のコマンドでは、コマンドを使用する前に、特定のホスト ID (ESXi ホスト)、ドメイン ID (vSphere クラスタ)、仮想マシン ID (仮想マシン)、仮想 NIC ID (仮想マシンの仮想 NIC) を把握しておく必要があります。次のコマンドを使用してこれらの値を取得できます。このモジュールの以降のセクションでは特定の ID の記載がありますが、一般的にわかりやすい ID を採用しています。

 

 

すべてのクラスタのリスト

 

すべてのクラスタをリストするには、次のコマンドを実行します。

show cluster all

表示される出力はスクリーンショットのようになります。 表示される列は次のとおりです。

続いて、RegionA01-COMP01クラスタのホストのリストを取得して、さらに詳しい情報を表示します。

 

 

単一クラスタ内のすべてのホストの表示

 

vSphere クラスタ内の一連のホストをリストするには、次のコマンドを実行します。

show cluster domain-c26

前のコマンドの実行時に、domain-c26が [Cluster-ID] 列に表示されていました。この ID を上のコマンドに引き渡して、RegionA01-COMP01 vSphere クラスタのホストのリストを取得します。 表示される出力はスクリーンショットのようになります。表示される列は次のとおりです。

トラブルシューティングのシナリオでは、接続を失っている仮想マシンが NSX の準備が十分ではないホストで、ネットワーク仮想化コンポーネントのインストール状況が 「Ready」 ステータスではないことが考えられます。ここで vSphere Web Client へログインせずに、ホストを照会して状況を確認する方法があります。

 

 

特定のホストの健全性 (Healthy)

 

NSX 6.2.3 の新機能として、特定のホストの健全性を簡単に確認できる機能があります。このコマンドは、1 回の実行でネットワーク構成、VXLAN 構成、リソース使用率など、30 項目以上のチェックを実行します。

show host host-31 health-status

健全性の状態はエラーの重要度に応じて [Health]、[Unhealthy]、[Critical] のいずれかが表示されます。

 

 

特定のホストの健全性 (Unhealthy)

 

これは健全性が低下したホストを示します。この例では、異常な状態を作るため、VXLAN VMK インターフェイスをホストから手動で削除しました。

 

 

特定のホストの詳細情報

 

各ホストの仮想マシン (VM) をリストするには、次の 2 つのコマンドを実行します。

show host host-31
show host host-29

host-31host-29の値は、それぞれ esx-01a.corp.local と esx-02a.corp.local のホスト ID を指します。 これらの値が show hostコマンドに引き渡され、それぞれのホストで実行中の仮想マシンに関する次の値を取得します。

以降では、仮想マシン web-01aを使用して説明を進めます。そのため、このモジュールで扱う他のコマンドでも、この仮想マシンの ID である vm-183を頻繁に使用します。 web-01aの仮想 NIC の詳細情報を調べるには、次の手順に進みます。

 

 

特定の仮想マシンの詳細情報

 

次のコマンドを使用して、仮想マシンの仮想 NIC の詳細情報を列挙できます。

show vm vm-183

ここでは、仮想マシン web-01aを参照する仮想 ID vm-183を引き渡しています。表示される出力はスクリーンショットのようになります。表示されるプロパティは次のとおりです。

次に、特定の仮想 NIC に関する詳細情報を収集します。

 

 

特定の仮想 NIC の詳細情報

 

仮想マシンの仮想 NIC についてさらに詳しい情報を取得するには、show vnic <vNIC ID> コマンドを使用します。 仮想マシン web-01aの仮想 NIC の場合は、次のコマンドを入力します。

show vnic 501cf415-2021-5512-659e-4da62985151e.000 

その結果、次の詳細な情報が返されます。

仮想マシン ID、仮想 NIC ID、ホスト ID、クラスタ ID などの情報を収集するための基本的なコマンドを見てきました。続いて、これらのコマンドを使用して、論理スイッチ自体に関するさらに詳細な情報を表示する方法を見ていきます。

 

 

論理スイッチのコマンド

ここからは、show logical-switch コマンドで使用できる一連のオプションについて説明します。 具体的には、次の手順で進めていきます。

新しい NSX Manager の統合 CLI 内ですべての論理スイッチをリストする方法を説明します。次の手順に進んでください。

 

 

すべての論理スイッチのリスト表示

 

NSX Manager の管理下にあるすべての論理スイッチをリストするには、次のコマンドを実行します。

show logical-switch list all

コマンドが正常に実行された場合は、スクリーンショットと同じような結果が表示されます。このコマンドで返される値から次の情報を確認できます。

次に、ESXi ホストに固有の論理スイッチに関するさらに詳細な情報を取得します。 

 

 

ホスト上の論理スイッチの詳細情報の表示 (詳細)

 

ホスト上のすべての論理スイッチの詳細情報をリストするには、次のコマンドを実行します。

show logical-switch host host-29 verbose

コマンドを実行すると、ホスト上で実行中の論理スイッチに関する情報が大量に表示されます。スペース キーを使用してリストの最後までスクロールすると、コマンド プロンプトの表示に戻ります。ここで特に注目する詳細情報は次のとおりです。

次に、特定の ESXi ホストにある論理スイッチに関する統計情報を確認します。

 

 

ホスト上の論理スイッチの詳細情報の表示 (統計情報)

 

ホスト上の論理スイッチに関する統計情報を取得するには、次のコマンドを実行します。

show logical-switch host host-29 statistics

異なる ESXi ホスト上の同一の論理スイッチで、仮想マシン間の L2 トラフィックが損失する場合は、この結果の複数のカウンタがトラブルシューティングや監視に役立ちます。

 

 

特定の VNI 上で仮想マシンを持つすべてのホストのリスト表示

 

特定の VXLAN ネットワーク識別子 (VNI) 上で仮想マシンを持つホストを調べるには、次のコマンドを実行します。

show logical-switch list vni 5000 host

特定の VNI で仮想マシンを保持するすべての ESXi ホストが表示されます。表示される詳細情報は次のとおりです。

 

 

特定の VNI のコントローラ スライス上の VTEP IP アドレスと MAC アドレスのリスト表示

 

特定の VNI に NSX Controller の VTEP/MAC テーブル情報があるかどうかを調べるには、次のコマンドを実行します。

show logical-switch controller controller-2 vni 5000 vtep

このコマンドが何も情報を返さないことがあります。その場合は、上のコマンドの controller-2を、controller-1または controller-3に書き換えてください。 表示される IP アドレスは、ESXi ホストの VTEP IP アドレスです。

 

 

特定の VNI のコントローラ スライス上の ARP テーブル エントリのリスト表示

 

NSX Controller 上の特定の VNI の ARP テーブル エントリをリストするには、次のコマンドを実行します。

show logical-switch controller controller-2 vni 5000 arp

前のコマンドと同様に、このコマンドが何も情報を返さないことがあります。その場合は、controller-2を、controller-1または controller-3に書き換えてください。 表示されている IP アドレスは仮想マシンの IP アドレスです。エントリが何も表示されない場合は、メイン コンソールから web-01aまたは web-02aへの ping を試行してください。

 

 

特定の VNI のコントローラ スライス上の MAC/VTEP テーブル エントリのリスト表示

 

NSX Controller 上の特定の VNI の MAC アドレス/VTEP テーブルを表示するには、次のコマンドを入力します。

show logical-switch controller controller-2 vni 5000 mac

結果が返されない場合は、別の 2 台の NSX Controller のどちらか一方でもう一度やり直してください。

 

 

コントローラ上の特定の VNI の統計情報の表示

 

NSX Controller 上の VNI に関する統計情報を表示するには、次のコマンドを実行します。

show logical-switch controller controller-2 vni 5000 statistics

 

 

特定のホスト上で結合された VNI のスライス詳細情報の表示

 

NSX Controller 上の特定のホストの結合された VNI に関する詳細情報を表示するには、次のコマンドを入力します。

show logical-switch controller controller-2 host 192.168.110.51 joined-vnis
show logical-switch controller controller-2 host 192.168.110.52 joined-vnis

このコマンドでは、controller-2controller-1または controller-3に置き換えることができます。ここで参照されるホスト IP は ESXi ホストの VTEP IP アドレスです。 上のスクリーンショットでは、ホスト esx-01a.corp.local (192.168.110.51)esx-02a.corp.local (192.168.110.52)の VTEP IP アドレスが指定されています。

ここでは、論理スイッチに関して使用できる新しいコマンドの中から一部のコマンドのみを説明しています。続いて、分散論理ルータのトラブルシューティングに使用できるコマンドについて説明します。

 

分散論理ルータのトラブルシューティング


次に、NSX for vSphere 環境に展開されている分散論理ルータをトラブルシューティングする際に使用できるいくつかのコマンドを紹介します。コマンドそのものの説明に入る前に、次のページで、それらのコマンドに使用される固有識別子と、その参照対象について復習します。 このセクションの残りの手順を実行している間は、必要に応じていつでもこのページに戻って確認してください。


 

参照 ID

論理スイッチの場合と同様に、NSX Manager CLI で論理ルータのいくつかの新しいコマンドを実行するときに参照対象となる多数の固有識別子があります。 参照しやすいように、ここに参照 ID をまとめて記載します。

vSphere クラスタ

RegionA01-MGMT01:  domain-c71

RegionA01-COMP01:  domain-c161

RegionA01-COMP02:  domain-c26

 

ESXi ホスト

esx-01a.corp.local: host-29

esx-02a.corp.local: host-31

 

仮想マシン

web-01a.corp.local: vm-183

web-02a.corp.local: vm-184

web-03a.corp.local: vm-241

app-01a.corp.local: vm-186

db-01a.corp.local: vm188

hr-db-01a.corp.local: vm-223

fin-db-01a.corp.local: vm-189

win-12-jump.corp.local: vm-224

win-xp-01.corp.local: vm-216

 

 

論理ルータのコマンド

以降のセッションで使用するオブジェクトの識別子を復習しました。次の手順に進んで、展開済みのすべての分散論理ルータのリストを取得する方法を説明します。

 

 

すべての論理ルータのリスト

 

すべての分散論理ルータをリストするには、次のコマンドを実行します。

show logical-router list all

次の値が返されます。

 

 

論理ルータが存在する ESXi ホストの表示

 

特定の分散論理ルータ (DLR) が存在する ESXi ホストを表示するには、次のコマンドを入力します。

show logical-router list dlr edge-6 host

ESXi ホストの固有 ID と、指定された DLR で識別された ESXi ホストの 「わかりやすい」 ホスト名が返されます。

 

 

特定の ESXi ホストにおける論理ルータ接続の詳細情報の表示

 

ESXi ホストを指定して、分散論理ルータが展開されている ESXi ホストの物理ネットワーク接続情報を表示するには、次のコマンドを実行します。

show logical-router host host-29 connection
show logical-router host host-31 connection

ESXi ホスト上の論理ルータが使用する分散仮想スイッチ (DVS) に関する情報と、論理インターフェイス (LIF) の数が返されます。

さらに、DVS が使用するアップリンクに関する情報と、ドロップされたパケット、置換されたパケット、スキップされたパケットのそれぞれの数もわかります。

 

 

特定の ESXi ホストにある特定の論理ルータの詳細情報の表示

 

特定の ESXi ホストにある DLR に関する有用な情報を素早く取得するには、次のコマンドを実行します (ここでは 2 台のホストの例を表示)。

show logical-router host host-29 dlr edge-6 verbose
show logical-router host host-31 dlr edge-6 verbose

DLR の名前、DLR ID、LIF の数、ルートの数、DLR のタイプ (グローバルまたはユニバーサル)、この DLR に関するスライスを所有する NSX Controller を含む詳細な情報が表示されます。

 

 

特定の ESXi ホストにある特定の論理ルータの ARP テーブル エントリの表示

 

ESXi ホストにある、指定した DLR の ARP テーブルを表示するコマンドもあります。このコマンドも便利です (同様に 2 台のホストの例を表示)。

show logical-router host host-29 dlr edge-6 arp
show logical-router host host-31 dlr edge-6 arp

両方のホストで複数の IP アドレスが表示されますが、これは論理ルータ自体のインターフェイスの IP アドレスです (すべてのホストに論理ルータが存在します)。

 

 

特定の ESXi ホストにある特定の論理ルータのルーティング テーブル エントリの表示

 

特定の論理ルータのルーティング テーブル情報を取得できると非常に便利です。すべてのホストに SSH 接続することなくルーティング テーブル情報を取得するには、NSX Manager 内で次のコマンドを実行します。

show logical-router host host-29 dlr edge-6 route
show logical-router host host-31 dlr edge-6 route

 

 

 

特定の論理ルータのコントローラ上の LIF 構成の表示

 

特定の DLR のコントローラ上に存在する論理インターフェイス (LIF) 構成を表示するには、次のコマンドを実行します。

show logical-router controller controller-1 dlr edge-6 interface

LIF の IP アドレスと LIF の固有 ID ([Id] 列を参照) が返されます。 このコマンドが何も返さない場合は、「controller-1」 を 「controller-2」 または 「controller-3」 に書き換えて再試行してください。

 

 

特定の論理ルータのコントローラの概要情報の表示

 

詳細情報を表示するコマンド (直前に説明したコマンド) のほかに、概要情報を表示するコマンドもあります。特定のコントローラの指定した DLR の簡略された情報を表示するには、次のコマンドを実行します。

show logical-router controller controller-1 dlr edge-6 brief

取得される情報には、次の項目が含まれています。

続いて、時間の大幅な節約を可能にする統合 CLI の機能について説明します。統合 CLI を使用することによって、Edge 上で SSH を有効にする (あるいはコンソール接続する) 必要なく、NSX Edge Gateway に関する情報を取得できます。

 

Edge サービス ゲートウェイのトラブルシューティング


従来の手法では、SSH を有効にするか、VMRC セッションを使用しなければ、Edge Gateway にアクセスして、そこで実行中のサービスの詳細情報を取得できませんでした。 

そのような時代は終わり、統合 CLI の時代がやってきました。

このセクションでは、Edge Gateway に関して NSX 管理者が使用できる多数のオプションから一部を取り上げて説明します。 まず、ラボ環境で使用する vSphere クラスタ、ESXi ホスト、仮想マシンの参照 ID を記載しています。必要に応じて参照してください。 続いて、NSX Manager 内の統合 CLI で使用できる Edge Gateway 関連コマンドの一部を説明します。


 

参照 ID

 参照しやすいように、ここに参照 ID をまとめて記載します。

vSphere クラスタ

RegionA01-MGMT01:  domain-c71

RegionA01-COMP01:  domain-c161

RegionA01-COMP02:  domain-c26

 

ESXi ホスト

esx-01a.corp.local: host-29

esx-02a.corp.local: host-31

 

仮想マシン

web-01a.corp.local: vm-183

web-02a.corp.local: vm-184

web-03a.corp.local: vm-241

app-01a.corp.local: vm-186

db-01a.corp.local: vm188

hr-db-01a.corp.local: vm-223

fin-db-01a.corp.local: vm-189

win-12-jump.corp.local: vm-224

win-xp-01.corp.local: vm-216

 

 

NSX Edge Gateway コマンド

前述のように、使用する参照 ID を 「参照 ID」 セクションにまとめて記載しています。クラスタ、ホスト、仮想マシンなどのオブジェクトの固有識別子の取得方法を思い出せない場合もあります。必要に応じて活用してください。 続いて、ある環境に展開されたすべての NSX Edge Gateway のリストを取得する方法を説明します。

 

 

すべての NSX Edge Gateway の表示

 

指定した NSX Manager のすべての展開済み NSX Edge Gateway をリストするには、次のコマンドを実行します (複数のサイトをまたいで Edge Gateway を表示することはありません)。

show edge all

返される値は次の情報を示します。

ここでは、NSX Edge Gateway のリストとその固有識別子 (Edge ID 値) を表示する方法を説明しました。続いて、特定の Edge Gateway についてさらに詳しい情報を表示する方法を説明します。

 

 

特定の NSX Edge Gateway の詳細情報の表示

 

Edge Gateway で有効になっているサービスとその他の情報を素早く知るには、次のコマンドを実行します。

show edge edge-3

返されるデータは次のとおりです。

コマンドを実行して、ルーティング サービスが実行中であることがわかりました。ルーティングの構成方法についてさらに詳しい情報を見ていきます。

 

 

特定の NSX Edge Gateway のルーティング サービスの詳細情報の表示

 

Edge Gateway のルーティング構成を表示するには、次のコマンドを実行します。

show edge edge-3 configuration routing-global

ルーティング構成の詳細情報を説明する JSON メッセージが返されます。

 

 

特定の NSX Edge Gateway のフロー テーブルの取得

 

特定の NSX Edge Gateway (この例では edge-3 を使用) の現在のフロー テーブルを表示するには、次のコマンドを実行します。

show edge edge-3 flowtable

Edge Gateway で現在アクティブなフローの合計数が返され、フローごとに確認された使用プロトコル、送信元/送信先 IP アドレス、送信元/送信先ポート、パケット数、バイト数が表示されます。

 

 

特定の NSX Edge Gateway の BGP 詳細情報の表示

 

任意の Edge Gateway のダイナミック ルーティング情報を即時に表示できることが、新しい統合 CLI の大きなメリットです。この例では、Edge Gateway Perimeter-Gateway-01 の BGP の詳細情報を取得します。 詳細情報を取得するには、次のコマンドを実行します。

show edge edge-3 ip bgp

ダイナミック ルーティングの詳細情報のほかに、指定したエッジのルーティング テーブルも表示できます。 その方法を次の手順で説明します。

 

 

特定の NSX Edge Gateway のルーティング テーブル情報の表示

 

特定の Edge Gateway のルーティング テーブルを取得するには、次のコマンドを実行します (再度 Edge Gateway Perimeter-Gateway-01 を使用)。

show edge edge-3 ip route

このコマンドは、Edge Gateway の静的ルートおよび動的に取得したルートのすべてを表示します。

 

 

特定の NSX Edge Gateway におけるファイアウォール ルールごとのトップ 10 の表示

 

特定のファイアウォール ルールに一致する上位フローなど、Edge Gateway のファイアウォールについても、さらに詳細な情報を取得できます。次のコマンドを実行してください。

show edge edge-3 firewall flows topN 10

続いて、分散ファイアウォールに関する情報の取得に使用できるいくつかの統合 CLI コマンドを説明します。

 

分散ファイアウォールのトラブルシューティング


統合 CLI を説明するモジュールの最後のセクションでは、分散ファイアウォール (DFW) を扱うために使用できるいくつかのコマンドを説明します。 他のセクションと同様に、まず、vSphere クラスタ、ESXi ホスト、仮想マシンなどのオブジェクトの参照 ID のリストを記載します。必要に応じて参照してください。


 

参照 ID

参照しやすいように、ここに参照 ID をまとめて記載します。

vSphere クラスタ

RegionA01-MGMT01:  domain-c71

RegionA01-COMP01:  domain-c161

RegionA01-COMP02:  domain-c26

 

ESXi ホスト

esx-01a.corp.local: host-29

esx-02a.corp.local: host-31

 

仮想マシン

web-01a.corp.local: vm-183

web-02a.corp.local: vm-184

web-03a.corp.local: vm-241

app-01a.corp.local: vm-186

db-01a.corp.local: vm188

hr-db-01a.corp.local: vm-223

fin-db-01a.corp.local: vm-189

win-12-jump.corp.local: vm-224

win-xp-01.corp.local: vm-216

 

 

vSphere Web Client へのアクセス

統合 CLI を使用して分散ファイアウォール ルールを表示するには、あらかじめルールを有効にしておく必要があります。

 

 

Chrome Web ブラウザの起動

 

デスクトップまたはタスクバーから Chrome ブラウザを起動します。

 

 

vSphere Web Client へのアクセス

 

  1. Chrome ブックマーク メニュー バーの [vCenter - Region A] ブックマークをクリックします。

 

 

vSphere Web Client へのログイン

 

vSphere Web Client にまだログインしていない場合

(ホーム ページは vSphere Web Client です。 それ以外の場合は、vSphere Web Client タスクバーにある Google Chrome のアイコンをクリックします)

  1. [ユーザー名] に 「administrator@vsphere.local」 と入力します。
  2. [パスワード] に 「VMware1!」 と入力します。
  3. [ログイン] をクリックします。

 

 

トレースフローの分散ファイアウォール ルールの有効化

まず、web-01a.corp.local (172.16.10.11)から web-02a.corp.local (172.16.10.12)への通信をブロックする分散ファイアウォール ルールを有効にする必要があります。それから、実際にルールがハイパーバイザーにプッシュされて、統合 CLI で表示される web-01a.corp.localに適用されたことを確認します。

 

 

[Networking  Security] への移動

 

  1. vCenter Web Client ホーム画面で [Networking & Security] タブをクリックして、NSX インターフェイスにアクセスします。

 

 

[Firewall] への移動

 

  1. [ファイアウォール] タブをクリックします。
  2. 矢印をクリックして、[Flow Monitoring & Trace Flow Rules-Disabled by Default] セクションを展開します。
  3. フロー監視テスト ルールを有効にするには、緑色のチェックマークをクリックします。
  4. [変更の発行] をクリックして、ハイパーバイザーにルールをプッシュします。

 

 

公開の成功の確認

 

  1. 公開操作が正常に完了したことを確認します (公開日はスクリーンショットと一致しません)。

統合 CLI の PuTTY セッションに戻り、実習ラボを続けます。

 

 

分散ファイアウォールのコマンド

特定の NSX Manager で管理されているすべての vSphere クラスタの分散ファイアウォールの現在の状態を表示する方法を説明します。

 

 

すべての vSphere クラスタの分散ファイアウォールの状態の表示

 

クラスタを指定せずに、クラスタの分散ファイアウォールの現在の状態を表示するには、次のコマンドを実行します。

show dfw cluster all

このコマンドは、次の詳細情報を表示します。

クラスタ内の特定のホストに DFW に関する問題があることがわかっている場合は、次のコマンドが役立ちます。

 

 

特定の vSphere クラスタの分散ファイアウォールの状態の表示

 

vSphere クラスタを指定し、そのクラスタのすべてのホスト上の分散ファイアウォール サービスのインストール状況を表示するには、次のコマンドを実行します (RegionA01-COMP01 を使用)。

show dfw cluster domain-c26

このコマンドは、次の詳細情報を表示します。

続いて、ホストのレベルまで掘り下げて確認する方法を説明します。

 

 

ホストで実行中の仮想マシンの表示

 

ファイアウォール ルールが適用されている特定のホストで実行中の仮想マシンを表示するには、次のコマンドを実行します (esx-01a.corp.local を使用)。

show dfw host host-29

このコマンドは、次の詳細情報を表示します。

さらに仮想マシンのレベルまで掘り下げて確認するには、次の手順に進みます。

 

 

特定の仮想マシンの仮想マシン分散ファイアウォールの詳細情報の表示

 

特定の仮想マシン (VM) の特定の DFW フィルタとその仮想マシンの仮想 NIC を列挙するには、次のコマンドを実行します (web-01a.corp.local を使用)。

show dfw vm vm-183

返される詳細情報のうち特に説明が必要な項目は次のとおりです。

ポッド内で表示されるフィルタ ID が、スクリーンショットやこのマニュアル内に記載されている ID とは異なる場合があります。以降の手順では、ポッド内で返されるフィルタ ID を使用してください。

表示されているフィルタと仮想 NIC の値を使用して、分散ファイアウォールそのものと仮想マシンへの分散ファイアウォールの適用状況の詳細な情報を取得できます。 その方法を次の手順で説明します。

 

 

web-01a.corp.local へのトラフィックの生成

 

先に進む前に、web-01a.corp.localへのトラフィックを生成する必要があります。生成しなければ結果が表示されず、「No Records Found」 というメッセージが表示されることがあります。

  1. ブラウザで [Customer DB App] ブックマークを何度かクリックします (5 回ほどクリックすれば十分です)。このクリックによって web-01a.corp.localへのトラフィックが生成され、最終的に 「Service Temporarily Unavailable」 メッセージが表示されます。このメッセージが表示されることに問題はありません。ここではただトラフィックを生成することが目的です。次の手順で情報を確認します。

 

 

特定の仮想マシンの仮想 NIC 上のルールの表示

 

仮想マシンの仮想 NIC に関連付けられた特定のフィルタに割り当てられているファイアウォール ルールを表示するには、次のコマンドを実行します (この例では app-01a の仮想 NIC を使用)。

show dfw host host-29 filter <FilterID> rules

「特定の仮想マシンの仮想マシン分散ファイアウォールの詳細情報の表示」 の手順を実行して返されたフィルタ ID を必ず使用してください。

コマンドで引き渡された特定のフィルタの実際のルールが出力されます。

 

 

特定の仮想マシンの仮想 NIC の分散ファイアウォールの統計情報の表示

 

DFW フィルタを指定して、そのフィルタの利用統計情報を表示するには、次のコマンドを実行します (再度 web-01a の仮想 NIC に適用しているフィルタを使用します)。

show dfw host host-29 filter <FilterID> stats

「特定の仮想マシンの仮想マシン分散ファイアウォールの詳細情報の表示」 の手順を実行して返されたフィルタ ID を必ず使用してください。

コマンドに引き渡された特定の仮想 NIC のフィルタに対して DFW ルールが使用された回数が表示されます。 指定したフィルタに一致する各フローに関する詳細情報を取得するには、このセクションの最後の手順に進みます。

 

 

特定の仮想マシンの仮想 NIC に適用されたルールに対する分散ファイアウォール フローの詳細情報の表示

 

指定した DFW フィルタのフローの詳細情報を表示するには、次のコマンドを実行します。

show dfw host host-29 filter <FilterID> flows

「特定の仮想マシンの仮想マシン分散ファイアウォールの詳細情報の表示」 の手順を実行して返されたフィルタ ID を必ず使用してください。

上の例では、メイン コンソール (192.168.110.10) からポート 443 の web-01a.corp.local (172.16.10.11) へのフローがあることがわかります。

 

モジュール 5 のまとめ


このモジュールでは、NSX Manager で使用できる統合 CLI のコマンドを使用して、単一のインターフェイスから情報を収取し、運用環境のトラブルシューティングに活用する方法を説明しました。論理スイッチ、分散論理ルータ、Edge サービス ゲートウェイに加えて、分散ファイアウォールからも情報を収集する方法を説明しました。


 

モジュール 5 の終了

モジュール 5 はこれで終了です。

統合 CLI の詳細については、次の URL でご覧いただけます。

http://tinyurl.com/hupocqtを参照

次のうち、最も興味のあるモジュールに進んでください。

実習ラボのモジュールのリスト:

 実習ラボ責任者:

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[END] ボタンをクリックします。

 

Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: HOL-1703-USE-3-JA

Version: 20161106-054152