VMware Hands-on Labs - HOL-1741-USE-1-JA


実習ラボの概要: HOL-1741-USE-1 - Horizon と NSX: 医療を安全に保護するためのユースケース

実習ラボのガイダンス


注: この実習ラボの所要時間は 90 分以上を想定しています。まずは 2 ~ 3 モジュールを終えることを目指してください。モジュールは相互に独立しているため、どのモジュールから開始することも、どの順序で実施することもできます。各モジュールには、目次から直接移動できます。

目次を表示するには、実習ラボ マニュアルの右上の [目次] をクリックします。

医療機関は、セキュリティとスピードが互いに相容れないことを痛感しています。ほとんどの医療機関は、データセンターとエンドポイントのセキュリティ対策が古くて脆弱であるという課題を抱えています。また、アプリケーションの配布についても、旧来の方法を刷新できないままでいます。HIPAA、HITECH、PCI への準拠が求められるなか、医療機関はエンドポイントという最も脆弱なアクセス ポイントを保護する革新的な方法を探す必要に迫られています。必要なのは、新しい医療アプリケーションと医療サービスを、より安全に、リアルタイムでプロビジョニングする方法です。

仮想化は、データセンターのリソース活用の効率、柔軟性、スピードを飛躍的に高めました。こうしたメリットは、基盤となる物理ハードウェアからコンピューティング リソースとメモリ リソースを抽象化することで実現されています。ネットワークとアプリケーションも同じ方法でプロビジョニングできるとしたらどうでしょうか。

この実習ラボでは、医師とエンド ユーザーに医療アプリケーションをリアルタイムでプロビジョニングするための革新的な方法について説明します。また、デスクトップを保護する Trend Micro Deep Security を ID ベースの動的ファイアウォールと組み合わせて使用することでエンドポイントを保護する方法についても説明します。

次に、各モジュールについて簡単に説明します。

実習ラボのモジュールのリスト:

#039;#tag/c168074#039;>モジュール 2: NSX と Trend Micro Deep Security による Horizon デスクトップの保護 (30 分)


 

メイン コンソールの位置

 

  1. メイン コンソールは、図の赤枠で囲んだ領域に表示されます。実習ラボ マニュアルは、メイン コンソールの右側のタブに表示されます。
  2. 一部の実習ラボでは、左上の別のタブに追加のコンソールが用意されていることがあります。その場合は、実習ラボ マニュアルの説明に従って、指定されたコンソールを開いてください。
  3. この実習ラボでは、開始時に 90 分のタイマーが表示されます。このラボで行った作業内容は保存できません。実習ラボ セッション内にすべての作業を完了してください。時間が足りない場合は、[延長] をクリックして時間を延長することができます。VMware イベントでご使用の場合は、実習ラボの時間を 2 回まで、最大 30 分延長できます。[延長] を 1 回クリックすると 15 分間延長されます。VMware イベント以外でご使用の場合は、実習ラボの時間を最大 9 時間 30 分延長できます。[延長] を 1 回クリックすると 1 時間延長されます。

 

 

キーボード以外の方法によるデータ入力

このモジュールでは、メイン コンソールでテキストを入力します。キーボードから直接入力する以外に、複雑なデータを簡単に入力できる 2 つの方法があります。

 

 

実習ラボ マニュアルの内容をクリック アンド ドラッグでコピー

実習ラボ マニュアルに記載されているテキストやコマンド ライン インターフェイス (CLI) のコマンドを、クリック アンド ドラッグによってメイン コンソールのアクティブ ウィンドウに直接コピーできます。 

 

 

オンラインの国際キーボードを使用

 

キーボード配列によっては、特定の文字や記号が入力しにくいことがあります。そのような場合、メイン コンソールにオンラインの国際キーボードを表示して使用すると便利です。

  1. オンライン キーボードを表示するには、Windows のクイック起動タスク バーでキーボードのアイコンをクリックします。

 

 

アクティブなコンソール ウィンドウのクリック

 

この例では、メール アドレスで使用される @ 記号をオンライン キーボードから入力します。US 配列のキーボードでは、@ 記号は <Shift> + <2> キーを押して入力します。

  1. アクティブなコンソール ウィンドウを 1 回クリックします。
  2. <Shift> キーをクリックします。

 

 

@>キーのクリック

 

  1. <@> キーをクリックします。

アクティブなコンソール ウィンドウに @ 記号が入力されました。

 

 

アクティベーション プロンプトまたはウォーターマーク

 

実習ラボを初めて開始すると、Windows がアクティベートされていないことを示すウォーターマークがデスクトップに表示される場合があります。 

仮想化の大きなメリットの 1 つは、仮想マシンを任意のプラットフォームに移動して実行できることです。ハンズオン ラボもこのメリットを活用して、複数のデータセンターから実行できるようになっています。ただし、データセンターによってプロセッサのタイプが異なることがあり、そのような場合、インターネット経由で Microsoft 社のアクティベーション チェックが行われます。

しかし問題はありません。VMware とハンズオン ラボは、Microsoft のライセンス要件に完全に準拠しているので、安心してご利用いただけます。ご利用の実習ラボは自己完結型ポッドであるため、Windows がアクティベーションを確認する際に必要なインターネットへのフル アクセスの権限がありません。インターネットへのフル アクセス権限がないとアクティベーション チェックの自動プロセスは失敗し、このウォーターマークが表示されます。

これは表面的な問題であり、実習ラボには影響しません。 

 

 

画面右下でラボの準備完了を確認

 

画面右下の [Lab Status] で、ラボの準備が完了したことを確認します。表示が [Ready] になるまでお待ちください。5 分経過しても [Ready] にならない場合は、サポートにお問い合わせください。

 

Control Center ブラウザ言語設定(日本語)

Firefox ブラウザ言語設定 (日本語表示)


vSphere Web Clientはブラウザベースです。日本語表示するためには、ブラウザの言語設定を日本語に設定します。

なお、vSphere Web Client 以外の一部ツールでは英語表記となります。これはハンズオンラボ環境特有のものです。


 

Firefoxの起動

 

Firefoxアイコンをクリックし、 起動します。

 

 

Firefoxブラウザの日本語化

 

1. ウィンドウ右上のメニューを開きます。

2. [Options]  をクリックします。

 

 

Firefoxブラウザの日本語化

 

左側メニューから [Content] を選択します。

 

 

Firefoxブラウザの日本語化

 

[Languages] の [Choose...] をクリックします。

 

 

Firefoxブラウザの日本語化

 

[Select a language to add...] をクリックします。

 

 

Firefoxブラウザの日本語化

 

1. プルダウンから [Japanese [ja] ] を選択します。

2. [Add] をクリックします。

3. [OK] をクリックします。

4. Firefox を再起動します。

 

Google Chrome ブラウザ言語設定(日本語表示)


vSphere Web Client はブラウザベースです。日本語表示にする為には、ブラウザの言語設定を日本語に設定します。

なお、vSphere Web Client 以外の一部ツールでは英語表記となります。これはハンズオンラボ環境特有のものです。


 

Google Chrome の起動

 

Google Chrome を起動します。

 

 

Google Chrome のメニューを開く

 

ブラウザウィンドウ右上のメニューを開きます。

 

 

Google Chrome の設定画面を開く

 

[Settings] をクリックします。

 

 

Google Chrome の詳細設定を表示

 

1. 画面を下へスクロールします。

2. [Show advanced settings...] をクリックします。

 

 

Google Chrome の言語と入力の設定

 

画面を下へスクロールし、[Language and input setting...] をクリックします。

 

 

Google Chrome の言語と入力の設定

 

[Add] をクリックします。

 

 

Google Chrome の言語と入力の設定

 

1. プルダウンから [Japanese - 日本語] を選択します。

2. [OK] をクリックします。

 

 

Google Chrome の言語と入力の設定

 

1. 左側 [Languages] 内の [Japanese] を一番上までドラッグで移動させます。

2. [Done] をクリックします。

3. Google Chrome ブラウザを再起動します。

 

モジュール 1: App Volumes によるジャスト イン タイムのアプリケーションの展開 (30 分)

モジュール 1 について


モジュール 1 では、リアルタイムでのアプリケーションの展開について説明し、その手順を示します。このモジュールでは、アプリケーションをリアルタイムにプロビジョニングする機能と、この機能が医師にもたらすメリットについて説明します。このソリューションにより、医師やエンド ユーザーは IT 部門の対応を待つ時間を節約し、その時間を患者の診療に振り向けることができます。 


App Volumes を使用したジャスト イン タイムのアプリケーションの展開


このモジュールでは、VMware App Volumes を使用してリアルタイムでアプリケーションを配布します。


 

VMware Horizon Client へのアクセス

 

  1. メイン コンソール マシンで、[VMware Horizon Client] をダブルクリックします。

 

 

Horizon デスクトップへの接続

 

  1. [view-external.corp.local] アイコンをダブルクリックして、Horizon インフラストラクチャと仮想デスクトップに接続します。

 

 

ログオン

 

新しく雇用された医師のため、仮想デスクトップがプロビジョニングされました。

次の認証情報を使用して Melissa Null としてログインします。

  1. ユーザー名: mnull
  2. パスワード: VMware1!
  3. ドメイン名: CORP
  4. [Login] をクリックします。

 

 

Healthcare_Win_7 デスクトップの選択

 

  1. HealthCare_Win_7 デスクトップをダブルクリックします。

 

 

Chrome ブラウザを開く

 

メイン コンソールのデスクトップから、次の操作を行います。

  1. Google Chrome ブラウザを起動します。

 

 

新しいタブで App Volumes Manager を開く

 

  1. 新しいタブをクリックして開きます。
  2. ブックマークの [App Volumes Manager] をクリックして開きます。
  3. ユーザー名: administrator
  4. パスワード: VMware1!
  5. [Login] をクリックして App Volumes Manager を開きます。

 

 

App Volumes Manager

 

  1. [VOLUMES] タブをクリックしてアプリケーション コンテナを見つけます。

 

 

AppStack の確認

 

  1. [AppStacks] タブをクリックします。
  2. プラス記号をクリックして、Fuji Synapse Workstation Pro AppStack を展開します。

 

 

HealthCare_Win_7 デスクトップに戻る

 

  1. メイン コンソール マシンのタスク バーで、[HealthCare_Win_7] デスクトップをクリックします。

 

 

Fuji Synapse の起動

 

  1. Fuji Synapse アプリケーションを起動します。

ところで、このアプリケーションはどこにあるでしょうか。

接続情報を確認してください。デスクトップ (ホスト) 名は WIN7-VIEW-01A、ユーザー名は mnull です。

 

 

[Start] メニューから [All Programs] を開く

 

アプリケーション アイコンがデスクトップに作成されていない可能性があります。確認してみましょう。

  1. Windows の [Start] アイコンをクリックします。
  2. [All Programs] をクリックします。

 

 

Fuji プログラム フォルダ

 

Fuji アプリケーション フォルダが存在しないので、アプリケーションはこのマシンにはインストールされていません。

 

 

App Volumes Manager に戻る

 

  1. タスク バーで [App Volumes Manager] オブジェクトをクリックします。

 

 

AppStack の割り当て

 

アプリケーションまたは AppStack をデスクトップに割り当てる必要があります。

  1. [Assign] をクリックします。

 

 

Fuji Synapse Workstation Pro AppStack の割り当て

 

  1. 検索ウィンドウに 「Win7」 と入力します。
  2. [Search] をクリックして Active Directory 内でマシンを検索します。
  3. CORP\WIN7-VIEW-01A マシンをクリックします。
  4. [Available] チェック ボックスを選択します。
  5. [Assign] をクリックします。

 

 

割り当ての確認

 

アプリケーションのアタッチにはいくつかの方法があり、次回ログイン時にアタッチすることも、今すぐアタッチすることもできます。

  1. AppStack のプロビジョニングは、次回ログイン/再起動時、または今すぐのいずれかが選択できます。ここでは、今すぐプロビジョニングします。
  2. [Assign] をクリックして終了します。

 

 

View セッションに戻る

 

Horizon デスクトップに戻ります。

  1. メイン コンソールのタスク バーで、[HealthCare_Win_7] をクリックします。

 

 

リアルタイムでのアプリケーション配布

 

Win7-View-01a デスクトップにユーザー名 mnull として接続していることを確認します。

割り当てに基づいて、App Volumes はデスクトップの変更やインストール プロセスを実行することなく、Fuji Synapse アプリケーションを配布しました。

 

 

[Start] メニューから [All Programs] を開く

 

アプリケーション アイコンがスタート メニューに作成されていることを確認してみましょう。

  1. Windows の [Start] アイコンをクリックします。
  2. [All Programs] をクリックします。

 

 

Fuji プログラム フォルダ

 

FUJIFILM Medical Systems のアプリケーション フォルダが存在することを確認します。

 

 

Fuji Synapse の起動

 

  1. デスクトップ上の Fuji Synapse アプリケーション アイコンをダブルクリックして、アプリケーションを起動します。

 

 

Synapse への接続

 

  1. Synapse ネットワークをダブルクリックします (接続に時間がかかる場合があります)。

 

 

All Studies フォルダ

 

  1. [All Studies (with images)] フォルダをダブルクリックします。

 

 

患者の検索

 

  1. [Patient Name] に 「Allen」 と入力し、<Enter> キーを押して検索を行います。
  2. 絞り込まれたリストから、Allen, Ted という名前 ([Acc #] は 1378) の患者を見つけ、そのレコードをダブルクリックします。

 

 

患者情報の最小化

 

患者のウィンドウが表示されたら、ウィンドウを最小化します。

  1. 最小化するには、マイナス記号をクリックします。

 

 

非表示のツールバーの表示

 

Fuji Synapse のすべての機能は、非表示になっているツールバーから使用できます。

  1. マウス ポインタをウィンドウの最上部に移動して、ツールバーを表示します。

 

 

患者レコードを閉じる

 

  1. [Organize] をクリックします。
  2. 患者のイメージ上で [Close] をクリックすると、レコード リストに戻ります。

 

 

Acc 番号 1203 での検索

 

  1. すべての患者名データをクリアします。
  2. [Acc #] フィールドに 「1203」 と入力し、ビューを絞り込みます。
  3. 患者レコードをダブルクリックして開きます。

 

 

患者情報を閉じる

 

  1. 患者情報を閉じて、イメージを表示します。

 

 

Image Tools

 

  1. イメージを右クリックして、Image Tools を表示します。
  2. [Cine] オプション (Cinema の短縮形) をクリックします。

 

 

可逆圧縮イメージの確認

 

保存されているイメージ スキャンに基づいて可逆圧縮イメージを動画で参照できます。

  1. [X] をクリックして、Cine ツールを閉じます。

 

 

イメージを閉じる

 

  1. [Organize] をクリックします。
  2. 患者のイメージ上で [Close] をクリックすると、レコード リストに戻ります。

 

 

Synapse を閉じる

 

Synapse を閉じるには、次の操作を行います。

  1. [X] をクリックします。

 

 

HealthCare_Win_7 デスクトップ セッションからの接続解除

 

  1. [HealthCare_Win_7] を右クリックします。
  2. [Close window] をクリックします。

 

 

接続解除の確認

 

  1. [OK] をクリックします。

 

 

VMware Horizon Client を閉じる

 

  1. [X] をクリックします。

 

このモジュールのまとめ


モジュール 1 では、医師のワークフローを中断せずにリアルタイムでアプリケーションを展開する方法について説明しました。このソリューションを活用することで、医師やエンド ユーザーはほぼ瞬時に、そしてシームレスにアプリケーションを使用できるようになります。


モジュール 2: NSX と Trend Micro Deep Security による Horizon デスクトップの保護 (45 分)

モジュール 2 について


モジュール 2 では、まず Trend Micro Deep Security を使用して、仮想デスクトップ インフラストラクチャ (VDI) インスタンス上でウイルスを検出する方法について説明します。次に、VMware NSX を使用して、仮想マシンで送受信されるすべてのトラフィックをファイアウォール ルールに基づいてブロックする方法について説明します。本番環境では、より高度な NSX ファイアウォール ルールを実装し、感染したマシンにアンチ ウイルス サーバがアクセスして脅威を修復できるようにします。vSphere API を使用して感染直後の仮想マシンの状態を取得しておくと、詳しい調査を行うときにこの機能をさらに活用できます。 


NSX と Trend Micro Deep Security による Horizon デスクトップの保護



 

Google Chrome の起動

 

  1. メイン コンソールのデスクトップで、[Google Chrome] アイコンをダブルクリックします。

 

 

メニュー バーから Trend Micro Deep Security を選択

 

  1. メニュー バーで [Trend Micro Deep Security] をダブルクリックします。

 

 

Trend Micro Deep Security へのログイン

 

Trend Micro Deep Security にログインします。

  1. ユーザー名: admin
  2. パスワード: VMware1!
  3. [Sign In] をクリックします。

 

 

Trend Micro Deep Security のメイン画面

 

  1. メイン画面で [Computers] を選択します。

 

 

WIN7-VIEW-01A.corp.local (Win7-View-01a) の表示

 

下にスクロールして、[WIN7-VIEW-01A.corp.local (Win7-View-01a)] を見つけます。

状態が [Managed (Online)] であることを確認します。

 

 

Horizon Client の起動

 

  1. メイン コンソールのデスクトップに戻り、[VMware Horizon Client] アイコンをダブルクリックします。

 

 

クラウド アイコンをダブルクリックして、「view-external」 Horizon インフラストラクチャと仮想デスクトップに接続します。

 

view-external.corp.local 名前空間により、Edge サービス ゲートウェイのロード バランサ サービス経由で冗長構成の Horizon アクセス サーバの 1 つに接続されます。

  1. [view-external.corp.local] アイコンをダブルクリックします(アイコンの表示順序は図のとおりではない場合があります)。

 

 

ログイン

 

次の認証情報を使用して Melissa Null としてログインします。 

  1. ユーザー名: mnull
  2. パスワード: VMware1!
  3. ドメイン名: CORP
  4. [Login] をクリックします。

 

 

医療用デスクトップへの接続

 

  1. [HealthCare_Win_7] アイコンをダブルクリックします。

 

 

Trend Micro Deep Security 通知を開く

 

  1. タスク バーの上矢印をクリックします。
  2. Trend アイコンをダブルクリックします。

 

 

Trend による保護の確認

 

ハンズオン ラボ環境の性質上、Trend システムが機能低下状態で起動することがあります。機能低下状態で起動した場合、このモジュールは正常に動作しません。

  1. Trend Micro Deep Security に 「Appliance Running」 と表示された場合は、そのまま次のステップに進んでください。この実習ラボは正常に動作します。
  2. Trend Micro Deep Security に 「Appliance Unknown/Unreachable」 と表示された場合は、機能低下状態で正常に動作しないため、この実習ラボを終了して新しい実習ラボに進んでください。

 

 

HealthCare_Win_7 マシンのデスクトップで一時ショートカット フォルダを選択

 

  1. HealthCare_Win_7 のデスクトップで、[temp-Shortcut] フォルダをダブルクリックします。

 

 

eicar.com ファイルのコピー

 

eicar.com は、EICAR (European Institute of Computer Anti-virus Research) の標準マルウェア対策テスト ファイルで、特殊な 「ダミー」 ウイルス ファイルです。ここでは、このファイルを使用して Trend Micro Deep Security と NSX ルール セットが正しく動作するかどうかをテストします(テストの目的上、[Temp] ディレクトリは検出対象から除外してあります)。

  1. eicar.com ファイルを右クリックします。
  2. [Copy] を選択します。

 

 

 

eicar.com ファイルのデスクトップへの貼り付け

 

  1. デスクトップの任意の場所をクリックします。
  2. デスクトップで右クリックします。
  3. [Paste] を選択します。

 

 

マルウェアの検出

 

eicar ファイルはデスクトップに貼り付けることができず、悪意のあるコードとして検出されます。ファイアウォール ルールによって、デスクトップで送受信されるすべてのトラフィックがブロックされます。この結果、セッションが終了し、その時点からデスクトップに再接続できなくなります。詳しく調べてみましょう。

マルウェアが検出されたというメッセージが表示されます。

 

 

 

ブラウザの起動

 

  1. メイン コンソールの Google Chrome ブラウザに戻ります。

 

 

vCenter Web Client を開く

 

詳しく調べてみましょう。

  1. 新しいタブを開きます。
  2. [vCenter - Region A] というリンクを選択します。

 

 

VMware Web Client へのログイン

 

  1. [Windows セッション認証を使用してください] チェック ボックスを選択します。
  2. [ログイン] をクリックします。

 

 

Win7 デスクトップの検索

 

  1. vSphere Web Client のホーム ページで、右上の検索バーに移動します。
  2. 「Win7」 と入力すると、Win7-View-01a が表示されます。
  3. [Win7-View-01a] 仮想マシンをクリックします。

 

 

Win7 仮想マシンの確認

 

  1. [Win7-View-01a] タブの [サマリ] タブで、下にスクロールして [セキュリティ タグ] に移動します。

仮想マシンに [ANTI_VIRUS.VirusFound.threat=medium] というタグが割り当てられていることを確認します。

 

 

ファイアウォール ルールの表示

 

  1. [ホーム] ボタンをクリックします。
  2. ドロップダウンから [Networking & Security] を選択します。

 

 

NSX Service Composer の表示

 

  1. NSX ホーム ページの左側で [Service Composer] をクリックします。

 

 

セキュリティ グループの表示

 

  1. [Security Groups] タブをクリックします。
  2. [Quarantine] グループをクリックします。
  3. [仮想マシン] 列で、このグループのメンバーが 1 つであることを確認します。数字をクリックします。

このグループの仮想マシンの名前を確認します。これで、View デスクトップにコピーしたウイルス ファイルが原因で、Win7-View-01a 仮想マシンが NSX ファイアウォール ルールによって本当に検出されたことを確認できました。

  1. [X] をクリックしてウィンドウを閉じます。

 

 

Trend への切り替え

Trendへの切り替え

 

 

Chrome の [Trend Micro Deep Security] タブに戻る

 

  1. Chrome の [Trend Micro Deep Security] タブに切り替えます

(タイム アウトになった場合はログインし直してください)。ユーザー名: admin

パスワード: VMware1!

[Sign In] をクリックします。

 

 

Trend Micro Deep Security のメイン画面

 

  1. メイン画面で [Computers] を選択します。

 

 

WIN7-VIEW-01A.corp.local (Win7-View-01a) の表示

 

  1. 下にスクロールして、[WIN7-VIEW-01A.corp.local (Win7-View-01a)] を見つけます。
  2. WIN7-VIEW-01A.corp.local 仮想マシンをダブルクリックします。

 

 

マルウェア対策による検出の表示

 

  1. WIN7-VIEW-01A.corp.local システムで [Anti-Malware] を選択します。

 

 

イベントの表示

 

  1. [Events] タブをクリックします。
  2. Eicar ファイルが隔離済みファイルとして表示されていることを確認します。これにより、ファイルが隔離され、修復されたことが分かります。
  3. [WIN7-VIEW-01A.corp.local] タブを閉じます。

 

 

仮想マシンの再スキャン

 

  1. Trend で WIN7-VIEW-01A.corp.local を右クリックします。
  2. [Actions] を選択します。
  3. [Full Scan for Malware] を選択します (完了するまで 60 秒ほどかかります)。

 

 

NSX Service Composer の表示

 

  1. Google Chrome の [vSphere Web Client] タブに戻ります。
  2. [Service Composer] タブが表示されています。ページの最上部にある更新ボタンをクリックします。

 

 

隔離済みマシンの表示

 

隔離済みマシンの数がゼロに戻っています。これにより、Trend によって仮想マシンからマルウェアが除去され、仮想マシンがアクティブなマシン ネットワークに復帰したことが分かります。

 

 

Horizon デスクトップへの再接続の確認

 

  1. 最下部のタスク バーで、[VMware Horizon Client] をクリックします。

 

 

医療用デスクトップへの接続

 

  1. [HealthCare_Win_7] アイコンをダブルクリックします。

 

 

ログイン

 

次の認証情報を使用して Melissa Null としてログインします。 

  1. ユーザー名: mnull
  2. パスワード: VMware1!
  3. ドメイン名: CORP
  4. [Login] をクリックします。

 

このモジュールのまとめ


モジュール 2 では、NSX と Trend Micro Deep Security を組み合わせて使用し、Horizon デスクトップを検出して隔離する方法について説明しました。次に、Trend で脅威が修復された後に、仮想マシンからマルウェアが除去されたことを NSX が自動的に検出し、仮想マシンが隔離グループから使用可能な状態に復帰したことを確認しました。この自動化されたワークフローを使用することで、医療機関は脅威を迅速に隔離して修復できます。


モジュール 3: VMware NSX ロード バランシングによる内部アクセスの保護 (45 分)

モジュール 3 について


モジュール 3 では、2 台のロード バランシングされたコネクション ブローカーに NSX ロード バランサ経由でアクセスする方法について説明します。このモジュールでは、院内ネットワーク上で構成された Windows 10 仮想マシンから、1 つの接続名前空間と SSL 証明書を使用して、1 組の冗長化 Horizon コネクション ブローカー経由で Horizon の管理対象 Windows 7 仮想マシンに接続する方法について説明します。

このモジュールは次のレッスンで構成されています。


 

モジュール 3 のトポロジー

 

主なコンポーネントは次のとおりです。

  1. 外部エンドポイント
  2. セキュアな内部ネットワーク上のエンドポイント
  3. 対象となる医療用仮想マシン
  4. ロード バランシング サービス
  5. 冗長構成の Connection Server

 

 

VMware NSX ロード バランシングによる内部アクセスの保護


このモジュールでは、2 台の冗長化 Horizon Connection Server の 1 つを経由して内部の医療用 Windows 7 デスクトップに接続し、冗長性を検証して、NSX 構成を確認します。


 

内部の医療用デスクトップへの接続

 

  1. [Internal Clinical Desktop] アイコンをダブルクリックします。

 

 

ログイン

 

次の認証情報を使用して管理者としてログインします。

  1. ユーザー名: corp\administrator
  2. パスワード: VMware1!
  3. [OK] をクリックします。

 

 

デスクトップを確認して VMware Horizon Client を起動

 

ハンズオン ラボ環境に基づいて、Win10-internal 仮想マシンをデスクトップ エンドポイントとして使用します。これは通常、信頼できる院内ネットワーク上に配置された物理デバイスです。

Win10-internal デスクトップと 172.16.30.0 サブネットに接続していることを確認します。

  1. [VMware Horizon Client] アイコンをダブルクリックして起動します。

 

 

クラウド アイコンをダブルクリックして、「view-internal」 Horizon インフラストラクチャと仮想デスクトップに接続します。

 

view-internal.corp.local 名前空間により、NSX ロード バランサ経由で冗長構成の Horizon Connection Server の 1 つに接続されます。

  1. [view-internal.corp.local] アイコンをダブルクリックします。

 

 

ログイン

 

次の認証情報を使用して Melissa Null としてログインします。

  1. ユーザー名: mnull
  2. パスワード: VMware1!
  3. ドメイン名: CORP
  4. [Login] をクリックします。

 

 

医療用デスクトップへの接続

 

  1. [HealthCare_Win_7] アイコンをダブルクリックします。

 

 

Horizon ホスト型仮想マシンへの接続の確認

 

HVCS-01a と HVCS-02a という 2 台の冗長化 Connection Server のいずれか (ここでは HVCS-02a) を経由して医療用 Windows 7 仮想マシンに接続しました。

  1. Win7-view-01a に接続していることを確認します。
  2. 接続している Connection Server の名前をメモしておくか、覚えておいてください。

 

 

HealthCare_Win_7 デスクトップ セッションからの接続解除

 

  1. [Options] をクリックします。
  2. [Disconnect] をクリックします。

 

 

VMware Horizon Client を閉じる

 

  1. [X] をクリックします。

 

 

NSX のロード バランシング構成の確認

このレッスンでは、NSX のロード バランシング構成を確認し、1 台の Connection Server で障害を発生させます。

 

 

VMware Web Client の起動

 

  1. メイン コンソール マシンで Chrome を起動します。

 

 

VMware Web Client へのログイン

 

  1. [Windows セッション認証を使用してください] チェック ボックスを選択します。
  2. [ログイン] をクリックします。

 

 

[Networking  Security] の選択

 

  1. [ホーム] ボタンをクリックします。
  2. [Networking & Security] をクリックします。

 

 

NSX Edge を開く

 

  1. [NSX Edges] をクリックします。

 

 

view-internal ロード バランサを開く

 

  1. [view-internal-LoadBalancer] Edge Gateway をダブルクリックします。

 

 

view-internal アプリケーション プロファイルを開く

 

  1. [管理] タブをクリックします。
  2. [ロード バランサー] タブをクリックします。
  3. [アプリケーション プロファイル] を選択します。
  4. [編集] アイコンをクリックします。

 

 

View 用のアプリケーション プロファイルの確認

 

  1. アプリケーション プロファイルのタイプが HTTPS に設定されており、ターミネーション モードのロード バランサで割り当てられた view-internal.corp.local という証明書を使用していることを確認します。
  2. 確認後、[キャンセル] をクリックします ([キャンセル] ボタンが表示されない場合は、Chrome ウィンドウを最大化して構成ウィンドウを上にドラッグしてください)。

 

 

View サービス モニタを開く

 

  1. [サービス監視] を選択します。
  2. monitor-4 HVCS を選択します。
  3. [編集] アイコンをクリックします。

 

 

HVCS サービス モニタの設定の確認

 

  1. モニタ タイプが HTTPS に設定され、/portal ページを検出するよう構成されていることを確認します。
  2. 確認後、[キャンセル] をクリックします ([キャンセル] ボタンが表示されない場合は、Chrome ウィンドウを最大化して構成ウィンドウを上にドラッグしてください)。

 

 

プール統計情報の確認

 

  1. [プール] セクションを選択します。
  2. [プール統計の表示] をクリックします。
  3. [pool-1] をクリックします。
  4. この時点では、2 台のサーバのステータスは [UP] として表示されます(注: ハンズオン ラボの性質上、一方のサーバがダウンしていることがあります)。

両方のサーバのステータスが [UP] である場合は、次のステップに進んでください。いずれかのサーバのステータスが [DOWN] である場合は、このモジュールを終了してください。1 台の Connection Server が [UP] であれば接続に成功することが確認できたため、次のステップに進む必要はありません。次のモジュールに進むか、ハンズオン ラボを終了してください。 

 

 

プール統計情報ウィンドウを閉じる

 

  1. [X] ボタンをクリックします。

 

 

Connection Server 仮想マシンの検索

 

ロード バランシング プールで Connection Server のステータスが 2 台とも [UP] になっている場合のみ、このステップに進んでください。

  1. レッスン 1 でメモした Connection Server の名前を検索ボックスに入力します。
  2. Connection Server の名前をクリックします。

 

 

選択した Connection Server をパワーオフして障害をシミュレートする

 

  1. Connection Server を右クリックします。
  2. [電源] にカーソルを合わせます。
  3. [パワーオフ] をクリックします。

 

 

仮想マシンのパワーオフの確認

 

  1. [はい] をクリックします。

 

 

[Networking  Security] に戻る

 

  1. [ホーム] ボタンをクリックします。
  2. [Networking & Security] をクリックします。

 

 

NSX Edge を再び開く

 

  1. [NSX Edges] をクリックします。

 

 

view-internal ロード バランサを再び開く

 

  1. [view-internal-LoadBalancer] Edge Gateway をダブルクリックします。

 

 

障害発生後のプール統計情報の確認

 

  1. [プール] セクションを選択します。
  2. [プール統計の表示] をクリックします。
  3. [pool-1] をクリックします。
  4. この時点では、1 台の Connection Server が [DOWN] として表示されています。この Connection Server が前の手順でシャットダウンしたサーバであることを確認します。

 

 

プール統計情報ウィンドウを閉じる

 

  1. [X] ボタンをクリックします。

 

 

View 接続用の冗長化 Connection Server の確認

View 接続に使用する冗長化 Connection Server を確認します。

 

 

RDP セッションに戻る

 

  1. 開いている RDP セッションをクリックします。

 

 

Horizon Client の再起動

 

  1. [VMware Horizon Client] アイコンをダブルクリックします。

 

 

クラウド アイコンをダブルクリックして、「view-internal」 Horizon インフラストラクチャと仮想デスクトップに接続します。

 

view-internal.corp.local 名前空間により、先ほど確認した Edge Gateway を経由して、もう 1 台の冗長化 Horizon Connection Server に接続されます。

  1. [view-internal.corp.local] アイコンをダブルクリックします。

 

 

ログイン

 

次の認証情報を使用して Melissa Null としてログインします。

  1. ユーザー名: mnull
  2. パスワード: VMware1!
  3. ドメイン名: CORP
  4. [Login] をクリックします。

 

 

医療用デスクトップへの接続

 

  1. [HealthCare_Win_7] アイコンをダブルクリックします。

 

 

Horizon ホスト型仮想マシンへの接続の確認

 

冗長化 Connection Server を経由して医療用 Windows 7 仮想マシンに再び接続しました。

  1. WIN7-VIEW-01A に接続していることをもう一度確認します。
  2. もう 1 台の Connection Server に接続していることを確認します。

 

 

vSphere Web Client を閉じる

 

  1. タスク バーの Chrome を右クリックします。
  2. [Close Window] を選択します。

 

 

HealthCare_Win_7 デスクトップ セッションからの接続解除

 

  1. [Options] をクリックします。
  2. [Disconnect] をクリックします。

 

 

接続解除の確認

 

[OK] をクリックします。

 

 

VMware Horizon Client を閉じる

 

  1. [X] をクリックします。

 

 

RDP セッションの終了

 

  1. [X] をクリックして RDP セッションを閉じます。

 

 

RDP セッションの接続解除の確認

 

  1. [OK] をクリックします。

 

このモジュールのまとめ


モジュール 3 では、2 台のロード バランシングされたコネクション ブローカーに NSX ロード バランサ経由でアクセスする方法について説明しました。また、1 台の Horizon Connection Server の障害をシミュレートして冗長性を検証しました。医療機関向けの仮想デスクトップ環境の設計では、この冗長性が重要になります。


 

実習ラボの終了方法

 

実習ラボを終了するには、[END] ボタンをクリックします。

 

モジュール 4: VMware Horizon アクセス サーバによる外部アクセスの保護 (45 分)

モジュール 4 について


モジュール 4 では、NSX ロード バランサ経由で 2 台の View アクセス サーバにアクセスする方法について説明します。このモジュールでは、ファイアウォールの外部から、1 つの接続名前空間と SSL 証明書を使用して、1 組の冗長構成の Horizon アクセス サーバ経由で Horizon の管理対象 Windows 7 仮想マシンに安全に接続する方法をシミュレートします。Access Point は、企業ファイアウォールの外側から Horizon 6 デスクトップとアプリケーションにアクセスするユーザーのセキュア ゲートウェイとして機能します。

このモジュールは次のレッスンで構成されています。


 

モジュール 4 のトポロジー

 

主なコンポーネントは次のとおりです。

  1. 外部エンドポイント
  2. セキュアな内部ネットワーク上のエンドポイント
  3. 対象となる医療用仮想マシン
  4. ロード バランシング サービス
  5. 冗長構成の Connection Server
  6. 冗長構成の Access Point
  7. Edge サービス ゲートウェイとロード バランサ

 

VMware Horizon アクセス サーバによる外部アクセスの保護


このモジュールでは、NSX ロード バランサ経由で 2 台の View アクセス サーバにアクセスする方法について説明します。


 

レッスン 1: 保護されている内部ネットワークへの外部アクセスの安全性の確認

 

  1. メイン コンソールで、[Horizon Client] アイコンをダブルクリックします。

 

 

クラウド アイコンをダブルクリックして、「view-internal」 Horizon インフラストラクチャと仮想デスクトップに接続します。

 

view-internal.corp.local 名前空間により、NSX ロード バランサ経由で冗長構成の Horizon Connection Server の 1 つに接続されます。

  1. [view-internal.corp.local] アイコンをダブルクリックします。

 

 

接続のタイムアウトと失敗

 

約 1 分 30 秒後に、この接続がタイムアウトになり失敗します。これは正常な動作です。View Client は内部の名前空間 view-internal.corp.local に接続しようとしています。

  1. [OK] ボタンをクリックします。

 

 

コマンド プロンプトの起動

 

  1. タスク バーでコマンド プロンプトのアイコンをクリックします。

 

 

view-internal.corp.local 名前空間のマッピング先リソースの特定

 

1. コマンド プロンプトで、次のコマンドを入力して <Enter> キーを押します。

ping view-internal.corp.local

2. ターゲットが 172.16.60.100 であることを確認します。

 

 

トポロジーの説明

 

タイムアウトが発生した理由は、分散ファイアウォール ルールにより、ソース マシンと View サービスの view-internal ロード バランサの間の TCP 443 認証アクセスがブロックされたためです。

  1. ソース マシン
  2. ターゲットのロード バランシング サービス
  3. 分散ファイアウォール ルール

 

 

コマンド プロンプト ウィンドウを閉じる

 

  1. [X] ボタンをクリックします。

 

 

レッスン 2: NSX ファイアウォール構成の確認

このレッスンでは、アクセスをブロックする分散ファイアウォール ルールを詳しく見ていきます。

 

 

VMware Web Client の起動

 

  1. メイン コンソール マシンで Chrome を起動します。

 

 

VMware Web Client へのログイン

 

  1. ユーザー名: administrator@vsphere.local
  2. パスワード: VMware1!
  3. [ログイン] をクリックします。

 

 

[Networking  Security] の選択

 

  1. [ホーム] ボタンをクリックします。
  2. [Networking & Security] をクリックします。

 

 

分散ファイアウォールを開く

 

  1. [Firewall] セクションをクリックします。
  2. [Secure Horizon connection servers (Rule4)] の横にある矢印をクリックします。

 

 

ブロック ルールの確認

 

ファイアウォール ルールが次のように設定されていることを確認します。

  1. [ソース]: [任意]
  2. [サービス]: [任意]
  3. [操作]: [ブロック]
  4. [適用先]: [Perimeter Gateway]
  5. [Destination]: 鉛筆アイコンにカーソルを合わせてクリックします (注: ステップ 5 で示したエリアにカーソルを移動しないと鉛筆は表示されません)。

 

 

ファイアウォール ルールのターゲットの確認

 

必要に応じて、前のステップのトポロジー マップを参照してください。

  1. ターゲットが、view-internal.corp.local にマッピングされている IP アドレス 172.16.60.100 であることを確認します。
  2. 2 番目のターゲットが、ロード バランサを含む Connection Server ネットワークであることを確認します。
  3. [キャンセル] をクリックして閉じます。

 

 

Edge サービス ゲートウェイ ルールの無効化

 

  1. ルール 4 の横にある緑色のチェック マークをクリックして灰色にします。
  2. [変更の発行] をクリックします。

 

 

分散ファイアウォール ルールの無効化

 

 

ここで、VDI ネットワークへのすべてのトラフィックをブロックするルールを無効にします。必要に応じてルールを確認してください。

  1. Secure-VDI-Desktops ルールの横にある矢印をクリックしてルールを展開します。
  2. ルール 9 の横にある緑色のチェック マークをクリックして灰色にします (注: ルール 9 が表示されていない場合はウィンドウをスクロールしてください)。
  3. [変更の発行] をクリックします。

 

 

 

外部ネットワークから view-internal.corp.local 名前空間への接続

 

  1. Chrome の vSphere Web Client セッションをクリックして最小化します。

 

 

クラウド アイコンをダブルクリックして、「view-internal」 Horizon インフラストラクチャと仮想デスクトップに接続します。

 

view-internal.corp.local 名前空間により、NSX ロード バランサ経由で冗長構成の Horizon Connection Server の 1 つに接続されます。

  1. [view-internal.corp.local] アイコンをダブルクリックします。

 

 

ログオン

 

次の認証情報を使用して Melissa Null としてログインします。ファイアウォール ルールを無効にしたため、正常に接続できるようになります。

  1. ユーザー名: mnull
  2. パスワード: VMware1!
  3. ドメイン名: CORP
  4. [Login] をクリックします。

 

 

医療用デスクトップへの接続

 

  1. [HealthCare_Win_7] アイコンをダブルクリックします。

 

 

WIN7-VIEW-01A への接続の確認

 

  1. 接続が [Internal] であることを確認します。

 

 

vSphere Web Client に戻る

 

  1. Chrome の vSphere Web Client セッションをクリックして最大化します。

 

 

ファイアウォール ルールの再有効化

 

  1. ルール 9 の横にある灰色のチェック マークをクリックして緑色にします。
  2. ルール 4 の横にある灰色のチェック マークをクリックして緑色にします。
  3. [変更の発行] をクリックします。

 

 

接続の解除

 

ファイアウォール ルールを有効にしたため、VMware Horizon Client は接続解除され、点滅を始めます。これには約 30 秒~ 1 分かかります。この間、セッション ウィンドウはそのままですが、ウィンドウをクリックしても何も起こりません。

  1. 点滅している View Client セッションをクリックして最大化します。
  2. 表示されるエラーを確認して、[OK] をクリックします。

 

 

 

View Client を閉じて vSphere Web Client を最小化

 

  1. [X] をクリックして Web Client を閉じます。
  2. Chrome の vSphere Web Client セッションをクリックして最小化します。

 

 

レッスン 3: 保護されている内部ネットワークの NSX Edge Gateway 経由での Horizon ホスト型仮想マシンへの接続

このレッスンでは、Horizon Access Point サーバを使用して外部ネットワークから Windows 7 医療用仮想マシンに接続する方法を詳しく見ていきます。

 

 

Horizon Client の起動

 

  1. メイン コンソールで、[Horizon Client] アイコンをダブルクリックします。

 

 

クラウド アイコンをダブルクリックして、「view-external」 Horizon インフラストラクチャと仮想デスクトップに接続します。

 

view-external.corp.local 名前空間により、Edge サービス ゲートウェイのロード バランサ サービス経由で冗長構成の Horizon アクセス サーバの 1 つに接続されます。

  1. [view-external.corp.local] アイコンをダブルクリックします。

 

 

ログオン

 

次の認証情報を使用して Melissa Null としてログインします。ファイアウォール ルールを無効にしたため、正常に接続できるようになります。

  1. ユーザー名: mnull
  2. パスワード: VMware1!
  3. ドメイン名: CORP
  4. [Login] をクリックします。

 

 

医療用デスクトップへの接続

 

  1. [HealthCare_Win_7] アイコンをダブルクリックします。

 

 

Horizon ホスト型仮想マシンへの外部接続の確認

 

Access Point サーバと、2 台の冗長化 Connection Server (HVCS-01a と HVCS-02a) のいずれかを経由して医療用 Windows 7 仮想マシンに接続しました。

  1. WIN7-VIEW-01A に接続していることを確認します。
  2. 外部ソースから接続していることを確認します。

 

 

HealthCare_Win_7 デスクトップ セッションからのログオフ

 

  1. Windows の [スタート] ボタンをクリックします。
  2. [Shut down] の横にある矢印をクリックします。
  3. [Log off] をクリックします。

 

 

VMware Horizon Client を閉じる

 

  1. [X] をクリックします。

 

 

レッスン 4: Horizon アクセス サーバのロード バランサ構成の確認

レッスン 4 では、Horizon View Access Point の構成を確認します。

View Access Point は、企業ファイアウォールの外側から Horizon 6 デスクトップとアプリケーションにアクセスするユーザーに対するセキュア ゲートウェイとして機能します。

通常、Access Point アプライアンスは DMZ 内に配置され、信頼できる院内ネットワーク内で接続を行うためのプロキシ ホストとして機能します。これにより、View 仮想デスクトップ、アプリケーション ホスト、および View Connection Server インスタンスが公共のインターネットから遮蔽され、セキュリティが強化されます。

 

 

レッスン 4 のトポロジー

 

主なコンポーネントは次のとおりです。

  1. 外部エンドポイント
  2. セキュアな内部ネットワーク上のエンドポイント
  3. 対象となる医療用仮想マシン
  4. ロード バランシング サービス
  5. 冗長構成の Connection Server
  6. 冗長構成の Access Point
  7. Edge サービス ゲートウェイとロード バランサ

 

 

View コンポーネントとプロトコル

 

  1. Access Point アプライアンスは、外部ネットワークからの View 接続のプロキシとして DMZ と院内のセキュアな Connection Server の間に配置します。

 

 

VMware Web Client の起動

 

  1. メイン コンソール マシンで Chrome を起動します。

 

 

VMware Web Client へのログイン

 

  1. ユーザー名: administrator@vsphere.local
  2. パスワード: VMware1!
  3. [ログイン] をクリックします。

 

 

[Networking  Security] の選択

 

  1. [ホーム] ボタンをクリックします。
  2. [Networking & Security] をクリックします。

 

 

Perimeter-Gateway-01 を開く

 

  1. [NSX Edge] をクリックします。
  2. [edge-2] (Perimeter-Gateway-01) をダブルクリックします。

 

 

view-external-auth アプリケーション プロファイルを開く

 

  1. [管理] タブをクリックします。
  2. [ロード バランサー] タブをクリックします。
  3. [アプリケーション プロファイル] を選択します。
  4. [編集] アイコンをクリックします。

 

 

View 用のアプリケーション プロファイルの確認

 

  1. アプリケーション プロファイルのタイプが HTTPS に設定されており、ターミネーション モードのロード バランサで割り当てられた view-external.corp.local という証明書を使用していることを確認します。
  2. 確認後、[キャンセル] をクリックします ([キャンセル] ボタンが表示されない場合は、構成ウィンドウを上にドラッグしてください)。

 

 

Access Point サービス モニタを開く

 

  1. [サービス監視] を選択します。
  2. [monitor-4] (view-external-auth-monitor) を選択します。
  3. [編集] アイコンをクリックします。

 

 

 

view-external サービス モニタの設定の確認

 

  1. モニタ タイプが HTTPS に設定され、/portal ページを検出するよう構成されていることを確認します。
  2. 確認後、[キャンセル] をクリックします ([キャンセル] ボタンが表示されない場合は、構成ウィンドウを上にドラッグしてください)。

 

 

プール統計情報の確認

 

  1. [プール] セクションを選択します。
  2. [プール統計の表示] をクリックします。
  3. [pool-1] をクリックします。
  4. リクエストを受信する 2 台のアクセス サーバが構成されていることを確認します。

 

 

vSphere Web Client を閉じる

 

  1. タスク バーの Chrome を右クリックします。
  2. [Close window] をクリックします。

 

このモジュールのまとめ


モジュール 4 では、2 台のロード バランシングされた Horizon アクセス サーバに NSX ロード バランサ経由でアクセスする方法について説明しました。View 環境へのセキュアな外部接続に必要なファイアウォール構成についても確認しました。このセキュアな外部アクセスにより、医療機関は内部アプリケーションを安全に配布できるようになります。


 

実習ラボの終了方法

 

実習ラボを終了するには、[END] ボタンをクリックします。

 

Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: HOL-1741-USE-1-JA

Version: 20161106-051458