VMware Hands-on Labs - HOL-1822-01-NET-LT


実習ラボの概要: HOL-1822-01-NET: VMware NSX: AWS のネイティブ ワークロードの保護

実習ラボのガイダンス


注: この実習ラボの所要時間は 120 分以上を想定しています。1 回のラボ時間あたり 2 ~ 3 モジュールを目安に学習してください。モジュールは相互に独立しているため、どのモジュールから開始することも、どの順序で実施することもできます。各モジュールには、目次から直接移動できます。

目次を表示するには、実習ラボ マニュアルの右上の [目次] をクリックします。

サービスとしての VMware NSX (NSXaaS) は、Amazon Web Services (AWS) などパブリック クラウド環境のネットワークとセキュリティ ポリシーを抽象化し、管理する機能を提供します。

ここでは、最小限のセキュリティで AWS に展開されているアプリケーションを想定し、既存の AWS 仮想プライベート クラウド (VPC) に NSXaaS を適用することで、AWS で実行されているネイティブ EC2 インスタンスを NSX の管理とマイクロ セグメンテーションで保護する方法を学習します。

実習ラボのモジュール リスト:

実習ラボ責任者:

 

この実習ラボ マニュアルは、次のハンズオン ラボ ドキュメント サイトからダウンロードできます。

http://docs.hol.vmware.com

一部の実習ラボは、ほかの言語でも提供されています。ご自身の言語に設定し、ローカライズされたマニュアルを実習ラボで使用する手順については、次のドキュメントをご確認ください。

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

免責事項

このセッションには、現在開発中の製品機能が含まれている場合があります。

この新しいテクノロジーに関するセッションおよび概要は、VMware が市販製品にこれらの機能を搭載することを確約するものではありません。

機能は変更される場合があり、したがってどのような種類の契約書、発注書、販売契約書にも含まれてはならないものとします。

技術的な問題とマーケットの需要により、最終的に出荷される製品に影響する場合があります。

ここで述べられたり、提示されたりする新しいテクノロジーまたは機能の価格とパッケージングは、決定されたものではありません。

 

 

メイン コンソールの表示位置

 

  1. 図の赤枠で囲まれた領域がメイン コンソールです。メイン コンソールの右側のタブには、実習ラボ マニュアルが表示されます。
  2. 実習ラボによっては、左上のタブに別のコンソールが用意されていることがあります。その場合、実習ラボ マニュアルの説明に従って、指定されたコンソールを開いてください。
  3. 実習ラボを開始すると、90 分のタイマーが表示されます。このラボで行った作業内容は保存できません。すべての作業は、実習ラボ セッション内に完了してください。必要であれば、[延長] をクリックして時間を延長できます。VMware イベントでご使用の場合は、実習ラボの時間を 2 回まで、最大 30 分延長できます。[延長] を 1 回クリックするごとに、時間が 15 分間延長されます。VMware イベント以外でご使用の場合は、実習ラボの時間を最大 9 時間 30 分延長できます。[延長] を 1 回クリックするたびに、時間が 1 時間延長されます。

 

 

キーボード以外の方法によるデータ入力

このモジュールでは、メイン コンソールでテキストを入力します。複雑なデータを入力する場合、キーボードから直接入力する以外に、次の 2 つの方法があります。

 

 

クリック アンド ドラッグによるコピー

実習ラボ マニュアルに記載されているテキストやコマンド ライン インターフェイス (CLI) のコマンドをクリック (選択) し、メイン コンソールのアクティブ ウィンドウまで直接ドラッグできます。 

 

 

オンラインの国際キーボードを使用

 

キーボード配列によっては、特定の文字や記号が入力しにくいことがあります。そのような場合、メイン コンソールに、オンラインの国際キーボードを表示して使用すると便利です。

  1. 国際キーボードを表示するには、Windows のクイック起動タスク バーで、キーボードのアイコンをクリックします。

 

 

Windows アクティベーションに関するウォーターマーク

 

実習ラボを初めて開始すると、Windows のライセンス認証が完了していないことを知らせるウォーターマーク (透かし) がデスクトップに表示される場合があります。 

仮想化の大きなメリットの 1 つは、仮想マシンを任意のプラットフォームに移動して実行できることです。ハンズオン ラボも、このメリットを活用して複数のデータセンターから実行できるようになっています。ただし、データセンターによってプロセッサーのタイプが異なることがあり、そのような場合、インターネット経由で Microsoft 社のアクティベーション チェックが行われます。

VMware とハンズオン ラボは Microsoft 社のライセンス要件に完全に準拠しているので、安心してご利用ください。この実習ラボは自己完結型ポッドであり、Windows のアクティベーション チェックに必要なインターネットへのフル アクセス権限がありません。インターネットへの完全なアクセスがないと、この自動プロセスは失敗し、このようなウォーターマークが表示されます。

これは表面上の問題であり、実習ラボには影響しません。 

 

 

画面右下でラボの準備完了を確認

 

画面の右下の [Lab Status] にラボの準備状況が表示されます。表示が [Ready] になってから、学習を開始してください。[Ready] になるまで数分間かかります。5 分経過しても [Ready] にならない場合は、サポートにお問い合わせください。

 

モジュール 1: AWS マネジメント コンソールの概要 (15 分)

はじめに


NSX の管理プレーン コンポーネントと制御プレーン コンポーネントに加えて、2 層の WordPress アプリケーションが Amazon Web Services でプロビジョニングされています。コンポーネントのインベントリを詳しく見ていきましょう。

このモジュールは次のレッスンで構成されています。


ソリューションの概要とラボの検証


この実習ラボには、後のレッスンで必要になる多くの事前設定済みの項目が含まれています。構成されたソリューションの概要および構成されたラボ環境の機能について説明します。

次の構成について説明します。


 

ソリューションの概要

企業がワークロードをパブリック クラウド プロバイダーへ移行する場合、ネイティブ ワークロードを実行しつつ、SDDC ネットワークとセキュリティ ポリシーをこれらの環境に拡張する方法が必要になります。NSX をパブリック クラウドに導入することで、エンタープライズ セキュリティ、コンプライアンス、ガバナンスを拡張できるようになります。

NSX は、企業がパブリック クラウド環境で直面する、ネットワークとセキュリティに関する重要な課題に対するソリューションを提供します。

 

 

ソリューションのコンポーネント

 

このソリューションは、次のコンポーネントで構成されています。それぞれのコンポーネントについては、各レッスンで説明します。

 

 

実習ラボのトポロジー

 

このラボでプロビジョニングされ、各レッスンで使用される環境は、この図のとおりです。この環境を使用して、開発者が Amazon Web Services (AWS) で 2 層の WordPress アプリケーションを展開するシナリオに沿って実習を行います。この環境には、Elastic Load Balancer などの AWS のネイティブ機能を使用した、2 つの Web サーバー間のロードバランシングが含まれています。このアプリケーションの導入では、企業基準を満足させるセキュリティ ポリシーが欠けています。そのため、NSX を使用して一貫性のあるポリシーをアプリケーション環境に適用する必要があります。

パブリック クラウドへの NSX の導入には、1 個の管理 VPC と 1 個以上のコンピューティング VPC が必要です。NSX 統合管理プレーン コンポーネント (NSX Manager と Cloud Services Manager) および統合制御プレーン (NSX Controller) コンポーネントは事前構成されています。

 

 

ラボのプロビジョニング ステータス表示のページ

ラボのプロビジョニングのうち、AWS の部分は進行中です。ステータス確認の Web ページで、このラボ環境のスタートアップとして AWS でプロビジョニングされるラボ リソースの状態を確認できます。

注: Amazon Web Services でプロビジョニングされたリソースは、HOL 環境のメイン コンソールからのみアクセスできます。

このラボのプロビジョニングには 10 〜 15 分かかります。

 

Amazon Web Services および NSX ソリューション コンポーネントの概要


ラボ環境で構成された Amazon Web Services および NSX コンポーネントを確認します。


 

管理 VPC

 

AWS の管理 VPC では、次のコンポーネントが構成されています。

AWS のサービス

NSX のコンポーネント

 

 

コンピューティング VPC

 

AWS のコンピューティング VPC では、次のコンポーネントが構成されています。

AWS のサービス

2 層 WordPress アプリケーションのコンポーネント

図に示されている NSX Cloud Gateway は、このあとのラボ演習で展開します。

 

Amazon Web Services マネジメント コンソールへのアクセス


このラボでは、すべてのアプリケーションおよび NSX コンポーネントのインスタンスを Amazon Web Services で実行します。ラボの実習中に、インベントリと構成を確認するために AWS マネジメント コンソールにアクセスする必要があります。このレッスンでは、AWS マネジメント コンソールへのアクセス方法を学習します。


 

AWS マネジメント コンソールにアクセス

 

  1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。

 

 

AWS マネジメント コンソールにログイン

 

  1. AWS マネジメント コンソールのユーザー名フィールドに 「vmware_hol_user」 と入力します。
  2. AWS マネジメント コンソールのパスワード入力フィールドに 「VMware1!!」 と入力します (感嘆符の数に注意)。
  3. [Sign In] ボタンをクリックします。

 

 

 

AWS マネジメント コンソール

 

AWS マネジメント コンソールのページが表示されます。

 

 

ブラウザーのズーム

 

ラボの各画面を見やすくするため、Chrome のズーム設定を 90 % 以下に縮小することをおすすめします。

  1. ブラウザーの右上隅にあるメニュー アイコンをクリックして、ドロップダウン メニューを開きます。
  2. [Zoom] の横にある [-] をクリックして、90 % に設定します。

 

 

リージョンを選択

 

コンソールで表示するリソースが、北カリフォルニアのリージョンのものであることを確認します。

  1. 右上の [Support] の左にあるリージョン名をクリックします。
  2. [US West (N. California)] を選択します。

 

Amazon Web Services のインベントリの確認


このレッスンでは、ソリューションの一部に含まれる Amazon Web Services および NSX のコンポーネントについて学習します。

注意: AWS のインベントリ画面には、削除、終了、切断など、本書のスクリーンショットとは異なる項目が表示される場合があります。これらは以前のラボ環境からは削除されたものの、AWS の UI には残っている項目です。


 

構成済みの仮想プライベート クラウドを確認

 

  1. AWS マネジメント コンソールの左上にある [Services] をクリックします。
  2. [Network & Content Delivery] の下にある [VPC] をクリックします。

 

 

ダッシュボードの VPC をクリック

 

  1. 左の [VPC Dashboard] のすぐ下にある [Your VPCs] をクリックします。

 

 

構成済みの VPC を確認

 

この AWS リージョンで構成済みの VPC は、複数あります。具体的には、管理プレーン コンポーネントと制御プレーン コンポーネント用の管理 VPC と、アプリケーション インスタンスが展開されているコンピューティング VPC です。VPC ID はラボ ポッドごとに異なります。

 

 

ピアリング接続をクリック

 

  1. 左の [VPC Dashboard] の下にある [Peering Connections] をクリックします。

 

 

構成済みのピアリング接続を確認

 

アクティブな VPC ピアリング接続を、管理 VPC とコンピューティング VPC との間に構成することで、VPC 間でトラフィックが流れます。

 

 

[Security Groups] をクリック

 

  1. 左の [Security] の下にある [Security Groups] をクリックします。

 

 

構成済みのセキュリティ グループを確認

 

EC2 インスタンスが通信できるように、管理 VPC とコンピューティング VPC で使用するセキュリティ グループが構成されています。

 

 

EC2 をクリック

 

  1. AWS マネジメント コンソールの左上にある [Services] をクリックします。
  2. [Compute] のすぐ下にある [EC2] をクリックします。

 

 

[Instances] をクリック

 

  1. 左の [EC2 Dashboard] の下にある [Instances] をクリックします。

 

 

NSX EC2 インスタンスを確認

 

NSX ソリューションを構成する 3 つの EC2 インスタンスが実行されています。

 

 

WordPress アプリケーションの EC2 インスタンスを確認

 

実行中のインスタンスには、2 層の WordPress アプリケーションを構成する 4 つの EC2 インスタンスと、このラボで後ほどセキュリティ スキャンに使用する nmap のインスタンスがあります。

 

 

構成済みのロード バランサーを表示

 

  1. 左の [Load Balancing] の下にある [Load Balancers] をクリックします。表示されていない場合は下にスクロールしてください。

 

 

Web ロード バランサー

 

アプリケーション展開の一環として、Web 層のインスタンスに使用するロードバランサーが作成されています。後ほどアプリケーション機能を検証する際に、このロードバランサーが動作していることを確認します。

 

まとめ


モジュール 1 はこれで終了です。ここでは、Amazon Web Services に展開されたソリューションのコンポーネントを確認し、AWS マネジメント コンソールにログインして、AWS インベントリを確認しました。


 

これで、モジュール 1 は終了です

モジュール 2 の 「アプリケーション機能の検証」 に進んでください。または、ほかの興味のあるモジュールに進むこともできます。

 

モジュール 2: アプリケーション機能の検証 (15 分)

はじめに


このラボ シナリオでは、アプリケーション開発者によって、2 層の WordPress アプリケーションがすでに Amazon Web Services に展開されています。このアプリケーション インスタンスの脆弱性を利用しようとするハッカーをシミュレートするため、さらに別のインスタンスも AWS に展開されています。

このモジュールは次のレッスンで構成されています。


 

アプリケーション図

 

 

セキュリティ ポリシーの確認


WordPress アプリケーションの展開時に開発者によって設定され、アプリケーションに適用されているセキュリティ ポリシーを確認します。NSX が展開されていないため、Amazon Web Services で構成されたセキュリティ ポリシーが適用されています。


 

Google Chrome を開く

 

  1. Windows のクイック起動タスク バーで Chrome アイコンをクリックします。

 

 

アカウント情報のページ

 

Chrome のスタートページは、アカウント情報およびラボのプロビジョニング ステータスを表示するページに設定されています。前のレッスンからの続きで、すでにアカウント情報のタブが開いている場合は、そのまま次のステップへ進んでください。

  1. [Email Address] フィールドに、ラボへの登録時に使用したメール アドレスを入力します。
  2. [Password] フィールドに 「VMware1!」 と入力します。
  3. [Login] をクリックします。

 

 

ラボのプロビジョニングの完了

 

プロビジョニングのプロセスが完了すると、AWS のアカウント情報のページが表示されます。この処理には、10 〜 15 分かかる場合があります。ラボ モジュールを進める間、このページをときどき確認してください。

 

 

AWS マネジメント コンソールの URL を開く

 

  1. [Console URL] をクリックし、新しいブラウザー タブで AWS マネジメント コンソールに接続します。

 

 

AWS マネジメント コンソールにログイン

 

  1. AWS マネジメント コンソールのユーザー名フィールドに 「vmware_hol_user」 と入力します。
  2. AWS マネジメント コンソールのパスワード入力フィールドに 「VMware1!!」 と入力します (感嘆符の数に注意)。
  3. [Sign In] ボタンをクリックします。

 

 

 

ブラウザーのズーム

 

ラボの各画面を見やすくするため、Chrome のズーム設定を 90 % 以下に縮小することをおすすめします。

  1. ブラウザーの右上隅にあるメニュー アイコンをクリックして、ドロップダウン メニューを開きます。
  2. [Zoom] の横にある [-] をクリックして、90 % に設定します。

 

 

リージョンを選択

 

コンソールで表示するリソースが、北カリフォルニアのリージョンのものであることを確認します。

  1. 右上の [Support] の左にあるリージョン名をクリックします。
  2. [US West (N. California)] を選択します。

 

 

EC2 ダッシュボードへ移動

 

  1. AWS マネジメント コンソールの左上にある [Services] をクリックします。
  2. [Compute] のすぐ下にある [EC2] をクリックします。

 

 

展開済みのインスタンスへ移動

 

  1. 左の [EC2 Dashboard] の下にある [Instances] をクリックします。

 

 

wordpress-web-01a インスタンスを選択

 

  1. [wordpress-web-01a] インスタンスを選択します。

 

 

インバウンド ルールを開く

 

  1. インスタンスを選択し、画面の下部に表示される [Description] タブで [view inbound rules] をクリックします。このインスタンスには、コンピューティング VPC 用のデフォルトの AWS セキュリティ グループが設定されています。

 

 

構成済みの AWS のセキュリティ ポリシーを確認

 

このインスタンスに適用されているポリシーが一覧表示されます。HOL メイン コンソールからの Web トラフィックおよび SSH トラフィックが許可されています (送信元 IP 範囲はこの例と異なる場合があります)。AWS の VPC 環境内で発生する、アプリケーション インスタンス間のすべてのトラフィックが許可されています。

 

 

wordpress-db-01a インスタンスを選択

 

  1. [wordpress-db-01a] インスタンスを選択します。よく似た [wordpress-web-01a] を誤って選択しないように注意してください。

 

 

インバウンド ルールを開く

 

  1. インスタンスを選択し、画面の下部に表示される [Description] タブで [view inbound rules] をクリックします。このインスタンスにも、コンピューティング VPC 用のデフォルトの AWS セキュリティ グループが設定されています。

 

 

構成済みの AWS のセキュリティ ポリシーを確認

 

このインスタンスに適用されているポリシーが一覧表示されます。wordpress-web-01a インスタンスと同様に、HOL メイン コンソールからの Web トラフィックおよび SSH トラフィックが許可されています (送信元 IP 範囲はこの例と異なる場合があります)。AWS の VPC 環境内で発生する、アプリケーション インスタンス間のすべてのトラフィックが許可されています。

 

WordPress アプリケーションの検証


2 層の WordPress アプリケーションが、アプリケーション開発者によって Amazon Web Services に展開済みです。NSX を使用したアプリケーション保護については、後ほどのレッスンで説明します。ここでは、NSX より前の段階のアプリケーション機能について確認します。


 

AWS マネジメント コンソールにアクセス

 

  1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。

 

 

WordPress のアプリケーション情報を確認

 

  1. [WordPress Application Elastic Load Balancer DNS Name] のリンクをクリックし、新しいブラウザー タブで WordPress アプリケーションに接続します。

 

 

WordPress アプリケーションが機能していることを確認

 

WordPress アプリケーションが機能していることを確認します。ページに表示されているサーバーの IP アドレスに注目します。ブラウザーの再読み込みを数回行って、Web サーバーの IP アドレスが切り替わることを確認します (172.16.10.10 と 172.16.10.11 など)。

 

 

アカウント情報のページを開く

 

  1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。

 

 

Web サーバーの情報を確認

 

  1. [Wordpress-web-01a Instance Public IP Address] を確認し、これを使ってインスタンスにログインします。

 

 

メイン コンソールで PuTTY を起動

 

  1. Windows のクイック起動タスク バーで [PuTTY] アイコンをクリックします。

 

 

wordpress-web-01a インスタンスの IP アドレスを入力

 

  1. wordpress-web-01a インスタンスの IP アドレスを入力します。
  2. [Open] をクリックします。

 

 

接続を確認

 

インスタンスに初めて接続するとき、接続先の了承を求める警告ダイアログが表示されます。

  1. [Yes] をクリックします。

 

 

wordpress-web-02a インスタンスへの接続をテスト

 

  1. 次のコマンドを入力し、wordpress-web-01a と wordpress-web-02a のインスタンス間の接続をテストします。
ping -c 5 172.16.10.11

 

 

インスタンス間のアクセスを確認

 

AWS のセキュリティ ポリシーによりインスタンス間のすべてのトラフィックが許可されているため、ping は成功します。

 

 

wordpress-db-01a インスタンスへの接続をテスト

 

  1. 次のコマンドを入力し、wordpress-web-01a と wordpress-db-01a のインスタンス間の接続をテストします。
ping -c 5 172.16.10.20

 

 

インスタンス間のアクセスを確認

 

AWS のセキュリティ ポリシーによりインスタンス間のすべてのトラフィックが許可されているため、ping は成功します。

 

アプリケーション環境のポート スキャンの実行


未知のハッカーをシミュレートするため、nmap が実行できる Ubuntu Linux インスタンスを構成し、Amazon Web Services のアプリケーション環境のポート スキャンを行えるようにしてあります。これから、アプリケーション インスタンスが展開されている IP サブネットのスキャンを行い、開いているポートを検査します。


 

nmap インスタンスにログイン

 

  1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。

 

 

PuTTY を起動

 

  1. Windows のクイック起動タスク バーで [PuTTY] アイコンをクリックします。以前の PuTTY セッションが開いている場合は、そのウィンドウの左隅上の [PuTTY] アイコンをクリックし、[New Session] を選択します。

 

 

nmap-01a インスタンスの IP アドレスを入力

 

  1. nmap-01a インスタンスの IP アドレスを入力します。
  2. [Open] をクリックします。

 

 

接続を確認

 

インスタンスに初めて接続するとき、接続先の了承を求める警告ダイアログが表示されます。

  1. [Yes] をクリックします。

 

 

アプリケーションの IP サブネット範囲の nmap スキャンを実行

 

  1. 次のコマンドを入力して、nmap スキャンを開始します。
nmap -F -Pn -T5 --open 172.16.10.10-20

 

 

Web 層のスキャン結果を確認

 

wordpress-web-01a と wordpress-web-02a のインスタンスでは、172.16.10.10 と 172.16.10.11 においてポート 22 と 80 が開いています。

 

 

DB 層のスキャン結果を確認

 

wordpress-db-01a のインスタンスでは、172.16.10.20 においてポート 22、80、3306 が開いています。データベース用のインスタンスでポート 80 が開いているのは好ましくありません。ポート 3306 のみが Web インスタンスに対して開いているようにします。

 

まとめ


モジュール 2 はこれで終了です。ロード バランサーを含めて、WordPress アプリケーションが AWS 環境で機能していることを確認しました。また、AWS に適用されているセキュリティ ポリシーの確認を通して、アプリケーションがインターネットに公開され、悪意ある攻撃の潜在的な対象になっていることがわかりました。最後に、一般的なセキュリティ スキャナーを使用して開いているポートを検証し、データベース用のサーバーで好ましくないポートが開いていることを発見しました。


 

これで、モジュール 2 は終了です

モジュール 3 の 「NSX 管理コンポーネントの概要」 に進んでください。または、ほかの興味のあるモジュールに進むこともできます。

 

モジュール 3: NSX 管理コンポーネントの概要 (30 分)

はじめに


NSX をパブリック クラウドに導入するソリューションでは、ソリューションの管理および運用に使用するユーザー インターフェイスを提供するため、特別なインスタンスが Amazon Web Services に展開されます。次のインスタンスがあります。

NSX Cloud Services Manager を使用すると、AWS に展開された NSX コンポーネントのライフサイクル全体を管理し、NSX Manager と AWS のインベントリを包括的に把握できます。NSX Cloud Services Manager には次のような機能も含まれています。

NSX Manager で提供されるグラフィカル ユーザー インターフェイス (GUI) と REST API を使用すると、NSX Controller や論理スイッチなどの NSX コンポーネントを作成、構成、監視できます。NSX Manager は、NSX のエコシステムにおける管理プレーンです。統合ビューを提供する、NSX の一元的なネットワーク管理コンポーネントです。NSX で作成した仮想ネットワークに接続されているワークロードを、監視およびトラブルシューティングする機能も提供します。また、次の項目を構成およびオーケストレーションする機能も提供されます。

このモジュールは次のレッスンで構成されています。


NSX Cloud Services Manager へのログイン


NSX Cloud Services Manager の機能の 1 つは、NSX と Amazon Web Services のインベントリの包括的な把握を可能にすることです。このレッスンでは、NSX Cloud Services Manager へのログイン方法を学習します。


 

Google Chrome を開く

 

  1. Windows のクイック起動タスク バーで Chrome アイコンをクリックします。

 

 

アカウント情報のページ

 

Chrome のスタートページは、アカウント情報およびラボのプロビジョニング ステータスを表示するページに設定されています。前のレッスンからの続きで、すでにアカウント情報のタブが開いている場合は、そのまま次のステップへ進んでください。

  1. [Email Address] フィールドに、ラボへの登録時に使用したメール アドレスを入力します。
  2. [Password] フィールドに 「VMware1!」 と入力します。
  3. [Login] をクリックします。

 

 

ラボのプロビジョニングの完了

 

プロビジョニングのプロセスが完了すると、AWS のアカウント情報のページが表示されます。この処理には、10 〜 15 分かかる場合があります。ラボ モジュールを進める間、このページをときどき確認してください。

 

 

NSX Cloud Services Manager のアカウント情報

 

  1. [NSX Cloud Services Manager DNS Name] リンクをクリックし、新しいブラウザー タブで NSX Cloud Services 管理コンソールに接続します。

 

 

証明書の確認

 

ハンズオン ラボの環境はオンデマンドで構築されるため、証明書の信頼性は確立されていません。本番環境では、信頼性の高い証明書を生成し、接続を保護する必要があります。ここでは、次の手順のとおりに進めます。

  1. [Advanced] をクリックします。
  2. [Proceed] のリンクをクリックします。

 

 

NSX Cloud Services Manager にログイン

 

  1. [Username] フィールドに 「admin」 と入力します。
  2. [Password] フィールドに 「VMware1!」 と入力します。
  3. [Log In] をクリックします。

 

構成済みの AWS アカウントとインベントリの確認


NSX Cloud Services Manager を使用すると、NSX および AWS インベントリを包括的に把握できます。NSX Cloud Services Manager によってレポートされたインベントリを確認し、AWS のインベントリと照合します。


 

ブラウザーのズーム

 

ラボの各画面を見やすくするため、Chrome のズーム設定を 90 % 以下に縮小することをおすすめします。

  1. ブラウザーの右上隅にあるメニュー アイコンをクリックして、ドロップダウン メニューを開きます。
  2. [Zoom] の横にある [-] をクリックして、90 % に設定します。

 

 

CSM の構成とインベントリ

 

  1. [Cross-Cloud] をクリックします。

 

 

AWS のアカウント情報を確認

 

AWS のアカウント情報は、Cloud Services Manager によってすでに設定されています。この情報はラボ ポッドごとに異なります。

 

 

構成済みの VPC 数を確認

 

この AWS アカウントでは 15 個の VPC が構成済みです。

 

 

構成済みのインスタンス数を確認

 

この AWS アカウントでは 7 個のインスタンスが構成されています。

 

 

VPC をクリック

 

  1. [VPCs] をクリックします。

 

 

VPC のビューを絞り込む

 

  1. [Region] のプルダウン メニューから [us-west-1] を選択して、VPC のビューを絞り込みます。

 

 

 

VPC を確認

 

これらが、前のレッスンの AWS のインベントリで説明した 2 個の VPC です。

 

 

管理 VPC の展開を確認

 

管理 VPC のアイコンで、この VPC に NSX 管理コンポーネントがインストールされていることを確認します。

 

 

管理 VPC のインスタンスを確認

 

  1. 管理 VPC の [Instances] をクリックします。

 

 

管理 VPC のインスタンスと AWS のインベントリを照合

 

AWS のインベントリに表示されものと同じ NSX コンポーネントが一覧にあることがわかります。

 

 

VPC をクリック

 

  1. 画面上部の [VPCS] をクリックし、VPC の一覧に戻ります。

 

 

VPC が NSX に管理されていないことを確認

 

コンピューティング VPC のレポートでは、「NSX Unmanaged」 というステータスが確認できます。後ほどこのラボで、この VPC に NSX コンポーネントを展開して、実行中の AWS EC2 インスタンスを管理する方法を確認します。

 

 

[Instances] をクリック

 

  1. コンピューティング VPC の [Instances] をクリックします。

 

 

インスタンスが NSX に管理されていないことを確認

 

AWS のインベントリに表示された 2 層の WordPress アプリケーションの AWS EC2 インスタンスと同じものが、一覧にあることがわかります。NSX コンポーネントが展開されていないため、[NSX State] は緑色ではありません。

 

NSX Manager へのログイン


NSX Manager はソリューションの統合管理プレーンに位置付けられ、これを使用して WordPress アプリケーションのセキュリティ ポリシーを構成し、Amazon Web Services への NSX の展開を検証します。このレッスンでは、NSX Manager へのログイン方法を学習します。


 

NSX Manager にアクセス

 

  1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。

 

 

NSX Manager アカウント情報

 

  1. [NSX Manager DNS Name] リンクをクリックし、新しいブラウザー タブで NSX Manager コンソールに接続します。

 

 

証明書の確認

 

ハンズオン ラボの環境はオンデマンドで構築されるため、証明書の信頼性は確立されていません。本番環境では、信頼性の高い証明書を生成し、接続を保護する必要があります。ここでは、次の手順のとおりに進めます。

  1. [Advanced] をクリックします。
  2. [Proceed] のリンクをクリックします。

 

 

NSX Manager にログイン

 

  1. [Username] フィールドに 「admin」 と入力します。
  2. [Password] フィールドに 「VMware1!」 と入力します。
  3. [Log In] をクリックします。

 

NSX Manager のユーザー インターフェイスの確認


NSX を Amazon Web Services に展開してアプリケーション管理を始めるための準備として、NSX Manager のユーザー インターフェイスの画面をいくつか見ていきます。ラボ環境の現在の構成を確認し、NSX の管理インフラストラクチャが機能していることを確かめ、HTML5 による最新のインターフェイスの操作に慣れてください。


 

ダッシュボードをクリック

 

  1. [Dashboard] をクリックします。

 

 

管理クラスターの Up ステータスを確認

 

[Management Cluster] (NSX Manager) のステータス レポートが表示されます。[Manager Connection] が 「Up」 としてレポートされていることを確認します。

 

 

Controller クラスターの Up ステータスを確認

 

[Management Cluster] のステータスを下にスクロールします。[Controller Cluster] (NSX Manager) のステータスが 「Up」 になっていることを確認します。

 

 

[Fabric] をクリック

 

  1. 左側の [Fabric] をクリックします。

 

 

Fabric のステータスを確認

 

NSX の新しい展開であるため、Fabric インベントリは空になります。

  1. 画面上部にある [Hosts] から [Transport Nodes] までの各オプションをクリックして、それぞれが空であることを確認します。

後ほどのレッスンでこのインベントリを再度確認し、NSX の展開が機能していることを検証します。

 

 

[Inventory] をクリック

 

  1. 左側の [Inventory] をクリックします。

 

 

構成済みのグループ化オブジェクトを確認

 

このセクションには、NSX でのセキュリティ ポリシーの作成を簡単にするためのグループ化オブジェクトがあります。

  1. 画面上部にある [Groups] から [MAC Sets] までの各オプションをクリックして、それぞれが空であることを確認します。

後ほどのレッスンでこの画面を再度表示し、アプリケーションのセキュリティ ポリシーに使用する動的なグループ化オブジェクトを作成します。

 

 

[Firewall] をクリック

 

  1. 左側の [Firewall] をクリックします。

 

 

構成済みのデフォルトのファイアウォール ポリシーを確認

 

NSX のデフォルトのファイアウォール ポリシーが展開されていることがわかります。後ほどのレッスンでこの画面を再度表示し、アプリケーションのセキュリティ ポリシーを構成します。

 

 

[Switching] をクリック

 

  1. 左側の [Switching] をクリックします。

 

 

Logical Switch のインベントリが空であることを確認

 

論理スイッチがまだ作成されていないことを確認します。後ほどのレッスンで、新しい論理スイッチを作成してアプリケーションのインスタンスに接続します。

 

まとめ


モジュール 3 はこれで終了です。Amazon Web Services に展開された NSX Cloud Services Manager (CSM) にログインし、パブリック クラウドに導入された NSX ソリューションで、NSX CSM が運用のためのユーザー インターフェイスとして機能することを確認しました。また、NSX CSM から AWS のインベントリを確認する方法を学習しました。さらに、Amazon Web Services に展開された NSX Manager にログインし、NSX オブジェクトのインベントリを表示してデフォルトの構成のみが存在することを確認しながら、新しい HTML5 インターフェイスに慣れるための操作を行いました。


 

これで、モジュール 3 は終了です。

モジュール 4 の 「NSX を使用したアプリケーションの保護」 に進んでください。または、ほかの興味のあるモジュールに進むこともできます。

 

モジュール 4: NSX を使用したアプリケーションの保護 (60 分)

はじめに


Amazon Web Services (AWS) の WordPress アプリケーションを保護するには、NSX で管理するためのセキュリティ ポリシーを AWS のインスタンスに設定する必要があります。NSX は、構成の簡素化と一貫性を確保するための論理グループ化機能を備えた、分散型ファイアウォールを提供します。

先ほどのモジュールでは、統合管理プレーン (NSX Manager および NSX Cloud Services Manager) および統合制御プレーン (NSX Controller) を管理 VPC に展開しました。このあと、次の手順に従って AWS のインスタンスを保護します。

  1. インスタンスの各コンピューティング VPC に NSX Cloud Gateway を展開し、NSX で管理できるようにする
  2. クラウド管理者が、NSX Manager の UI または API を使用して、論理ネットワークおよびセキュリティ ポリシーを作成する
  3. クラウド管理者が、NSX Cloud Services Manager にタグを設定する
  4. 開発者が、AWS のインスタンスにタグを設定し、インスタンス作成時に NSX のポリシーが適用されるようにする
  5. 各 AWS のインスタンスに NSX エージェントをインストールし、NSX で管理されるようにする

このモジュールは、WordPress アプリケーションを保護する手順を学習するための、次のレッスンで構成されています。


 

必要なセキュリティ ポリシー

 

次のセキュリティ ポリシーが WordPress アプリケーションに必要となります。

nmap インスタンスは、このラボでアプリケーションのセキュリティ状態を評価するためのツールとして使用しているため、セキュリティ ポリシーの適用の対象外です。

 

Amazon Web Services に NSX Cloud Gateway を展開


Amazon Web Services のアプリケーション インスタンスにセキュリティ ポリシーを設定するには、次の手順に従って、NSX を展開します。最初のステップでは、アプリケーション インスタンスが展開されているコンピューティング VPC に NSX Cloud Gateway を展開します。

NSX Cloud Gateway は、NSX のエッジ トランスポート ノードとして、展開された各 VPC で次のサービスを提供します。


 

Google Chrome を開く

 

  1. Windows のクイック起動タスク バーで Chrome アイコンをクリックします。

 

 

アカウント情報のページ

 

Chrome のスタートページは、アカウント情報およびラボのプロビジョニング ステータスを表示するページに設定されています。前のレッスンからの続きで、すでにアカウント情報のタブが開いている場合は、そのまま次のステップへ進んでください。

  1. [Email Address] フィールドに、ラボへの登録時に使用したメール アドレスを入力します。
  2. [Password] フィールドに 「VMware1!」 と入力します。
  3. [Login] をクリックします。

 

 

ラボのプロビジョニングの完了

 

プロビジョニングのプロセスが完了すると、AWS のアカウント情報のページが表示されます。この処理には、10 〜 15 分かかる場合があります。ラボ モジュールを進める間、このページをときどき確認してください。

 

 

NSX Cloud Services Manager のアカウント情報

 

  1. [NSX Cloud Services Manager DNS Name] リンクをクリックし、新しいブラウザー タブで NSX Cloud Services 管理コンソールに接続します。

 

 

証明書の確認

 

ハンズオン ラボの環境はオンデマンドで構築されるため、証明書の信頼性は確立されていません。本番環境では、信頼性の高い証明書を生成し、接続を保護する必要があります。ここでは、次の手順のとおりに進めます。

  1. [Advanced] をクリックします。
  2. [Proceed] のリンクをクリックします。

 

 

NSX Cloud Services Manager にログイン

 

  1. [Username] フィールドに 「admin」 と入力します。
  2. [Password] フィールドに 「VMware1!」 と入力します。
  3. [Log In] をクリックします。

 

 

ブラウザーのズーム

 

ラボの各画面を見やすくするため、Chrome のズーム設定を 90 % 以下に縮小することをおすすめします。

  1. ブラウザーの右上隅にあるメニュー アイコンをクリックして、ドロップダウン メニューを開きます。
  2. [Zoom] の横にある [-] をクリックして、90 % に設定します。

 

 

CSM の構成とインベントリ

 

  1. [Cross-Cloud] をクリックします。

 

 

VPC をクリック

 

  1. [VPCs] をクリックして、管理 VPC とコンピューティング VPC のビューに戻ります。

 

 

VPC のビューを絞り込む

 

  1. [Region] のプルダウン メニューから [us-west-1] を選択して、VPC のビューを絞り込みます。

 

 

 

Actions メニューをクリック

 

  1. コンピューティング VPC のボックスにある [Actions] をクリックします。
  2. [Deploy NSX Cloud Gateway] をクリックします。

 

 

AMI の情報を確認

 

  1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。

 

 

AMI の情報を確認

 

  1. [NSX Cloud Gateway AMI ID] で、NSX Cloud Gateway の展開で使用する AMI ID を確認します。

 

 

CSM のタブに戻る

 

  1. [CSM] のタブに戻り、NSX Cloud Gateway の展開を進めます。

 

 

NSX Cloud Gateway の構成を設定

 

  1. [Private IP] を選択します。
  2. [PEM File] のドロップダウンから [nsx-management] を選択します。
  3. 隔離ポリシーを無効にします。
  4. [Advanced] をクリックします。
  5. [Override AMI ID] に、先ほど確認した NSX Cloud Gateway AMI ID を貼り付けるか入力します。この情報は、アカウント情報のページで確認できます。
  6. [Next] をクリックします。

 

 

高可用性を設定

 

  1. [Enable HA for NSX Cloud Gateway] チェック ボックスをオフにします。
  2. [Availability Zone] を正しく選択します。注: 間違ったものを選択すると、手順 3 〜 5 でサブネット メニューが空になります。
  3. [Uplink Subnet] で [nsx-uplink-subnet] を選択します。
  4. [Downlink Subnet] で [nsx-downlink-subnet] を選択します。
  5. [Management Subnet] で [nsx-compute-mgmt-subnet] を選択します。
  6. [Deploy] をクリックします。

 

 

NSX Cloud Gateway の展開が開始される

 

この VPC についての展開プロセスが始まります。完了までには約 5 分かかります。展開の進捗と処理中のアクションが画面に表示されます。

NSX Cloud Gateway の展開が終わるのを待つ間に、次のレッスンに進み、論理グループおよびファイアウォール ポリシーを設定します。そのあと再び NSX Cloud Services Manager に戻り、展開の完了を確認します。

 

論理グループおよびファイアウォール ポリシーの作成


NSX では、ワークロードのコンテキスト情報を利用して、ポリシー グループを動的に作成できます。これにより、セキュリティ ポリシーの管理において、運用モデルを大幅に簡素化できます。このレッスンでは、いくつかの動的なセキュリティ グループを作成し、ポリシー管理を簡素化できることを学習します。


 

NSX Manager にアクセス

 

  1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。

 

 

NSX Manager アカウント情報

 

  1. [NSX Manager DNS Name] リンクをクリックし、新しいブラウザー タブで NSX Manager コンソールに接続します。

 

 

証明書の確認

 

ハンズオン ラボの環境はオンデマンドで構築されるため、証明書の信頼性は確立されていません。本番環境では、信頼性の高い証明書を生成し、接続を保護する必要があります。ここでは、次の手順のとおりに進めます。

  1. [Advanced] をクリックします。
  2. [Proceed] のリンクをクリックします。

 

 

NSX Manager にログイン

 

  1. [Username] フィールドに 「admin」 と入力します。
  2. [Password] フィールドに 「VMware1!」 と入力します。
  3. [Log In] をクリックします。

 

 

[Inventory] メニューで [Groups] をクリック

 

  1. [Inventory] をクリックします。
  2. [Groups] をクリックします。

 

 

Web グループを作成

 

  1. 画面上部にある [Groups] をクリックします。
  2. [Add] をクリックします。

 

 

グループ名に Web を指定

 

  1. グループの [Name] フィールドに 「Web」 と入力します。
  2. [Membership Criteria] をクリックします。

 

 

[Criteria] をクリック

 

  1. [Criteria] をクリックします。

 

 

メンバーシップ条件として仮想マシン名 (web) を指定

 

  1. [Virtual Machine] を選択します。
  2. [Name] を選択します。
  3. [Contains] を選択します。
  4. 「web」 と入力します。
  5. [Save] をクリックします。

 

 

DB グループを作成

 

  1. [Add] をクリックします。

 

 

グループ名に DB を指定

 

  1. グループの [Name] フィールドに 「DB」 と入力します。
  2. [Membership Criteria] をクリックします。

 

 

[Criteria] をクリック

 

  1. [Criteria] をクリックします。

 

 

メンバーシップ条件として仮想マシン名 (DB) を指定

 

  1. [Virtual Machine] を選択します。
  2. [Name] を選択します。
  3. [Contains] を選択します。
  4. 「db」 と入力します。
  5. [Save] をクリックします。

 

 

アプリケーションの分離グループを作成

 

  1. [Add] をクリックします。

 

 

グループ名に Wordpress-app を指定

 

  1. グループの [Name] フィールドに 「Wordpress-app」 と入力します。
  2. [Membership Criteria] をクリックします。

 

 

[Criteria] をクリック

 

  1. [Criteria] をクリックします。

 

 

名前に Wordpress を含むすべての仮想マシンをメンバーにする

 

  1. [Virtual Machine] を選択します。
  2. [Name] を選択します。
  3. [Contains] を選択します。
  4. 「wordpress」 と入力します。
  5. [Save] をクリックします。

 

 

作成した NSGroup を確認

 

3 つの NSGroup が正しく作成されたことを確認します。

 

 

[Firewall] をクリック

 

  1. 左側の [Firewall] をクリックします。

 

 

[Default Layer3 Section] を選択

 

  1. [Default Layer3 Section] がまだ選択されていない場合は、クリックして選択します (選択されると青い枠が付きます)。

 

 

上に新しいセクションを追加

 

  1. [Add Section] をクリックします。
  2. [Add Section Above] をクリックします。

 

 

セクション名に Wordpress-app を指定

 

  1. セクション名フィールドに 「Wordpress-app」 と入力します。
  2. [Applied To] の [Type] のドロップダウンから [NSGroup] を選択します。
  3. 先ほど作成した [Wordpress-app] グループを選択します。
  4. 右矢印をクリックして [Selected] ボックスに追加します。
  5. [Save] をクリックします。

 

 

下に新しいルールを追加

 

  1. [Add Rule] をクリックします。
  2. [Add Rule Below] をクリックします。

 

 

名前のセルにカーソルを合わせて鉛筆アイコンをクリック

 

  1. [Name] の下にある空白のセルにカーソルを合わせます。
  2. 鉛筆アイコンをクリックします。

 

 

ルール名に Any to Web を指定

 

  1. [Rule Name] フィールドに 「Any to Web」 と入力します。
  2. [OK] をクリックします。

 

 

送信先のセルにカーソルを合わせて鉛筆アイコンをクリック

 

  1. [Destinations] の下にある空白のセルにカーソルを合わせます。
  2. 鉛筆アイコンをクリックします。

 

 

送信先に Web グループを選択

 

  1. プルダウン メニューから [NSGroup] を選択します。
  2. [Web] グループを選択します。
  3. 右矢印をクリックして [Selected] ボックスに移動させます。
  4. [OK] をクリックします。

 

 

サービスのセルにカーソルを合わせて鉛筆アイコンをクリック

 

  1. [Services] の下にある空白のセルにカーソルを合わせます。
  2. 鉛筆アイコンをクリックします。

 

 

HTTP サービスを選択

 

  1. 「http」 と入力します。
  2. [HTTP] を選択します。
  3. 右矢印をクリックして [Selected] ボックスに移動させます。
  4. [OK] をクリックします。

 

 

下に新しいルールを追加

 

  1. [Add Rule] をクリックします。
  2. [Add Rule Below] をクリックします。

 

 

名前のセルにカーソルを合わせて鉛筆アイコンをクリック

 

  1. [Name] の下にある空白のセルにカーソルを合わせます。
  2. 鉛筆アイコンをクリックします。

 

 

ルール名に Web to DB を指定

 

  1. [Rule Name] フィールドに 「Web to DB」 と入力します。
  2. [OK] をクリックします。

 

 

送信元のセルにカーソルを合わせて鉛筆アイコンをクリック

 

  1. [Sources] の下にある空白のセルにカーソルを合わせます。
  2. 鉛筆アイコンをクリックします。

 

 

送信元に Web グループを選択

 

  1. プルダウン メニューから [NSGroup] を選択します。
  2. [Web] グループを選択します。
  3. 右矢印をクリックして [Selected] ボックスに移動させます。
  4. [OK] をクリックします。

 

 

送信先のセルにカーソルを合わせて鉛筆アイコンをクリック

 

  1. [Destinations] の下にある空白のセルにカーソルを合わせます。
  2. 鉛筆アイコンをクリックします。

 

 

送信先に DB グループを選択

 

  1. プルダウン メニューから [NSGroup] を選択します。
  2. [DB] グループを選択します。
  3. 右矢印をクリックして [Selected] ボックスに移動させます。
  4. [OK] をクリックします。

 

 

サービスのセルにカーソルを合わせて鉛筆アイコンをクリック

 

  1. [Services] の下にある空白のセルにカーソルを合わせます。
  2. 鉛筆アイコンをクリックします。

 

 

MySQL サービスを選択

 

  1. 「MYSQL」 と入力します。
  2. [MySQL] を選択します。
  3. 右矢印をクリックして [Selected] ボックスに移動させます。
  4. [OK] をクリックします。

 

 

ルールをもう 1 つ追加

 

  1. [Add Rule] をクリックします。
  2. [Add Rule Below] をクリックします。

 

 

名前のセルにカーソルを合わせて鉛筆アイコンをクリック

 

  1. [Name] の下にある空白のセルにカーソルを合わせます。
  2. 鉛筆アイコンをクリックします。

 

 

グループ名に Allow SSH を指定

 

  1. [Rule Name] フィールドに 「Allow SSH」 と入力します。
  2. [OK] をクリックします。

 

 

送信先のセルにカーソルを合わせて鉛筆アイコンをクリック

 

  1. [Destinations] の下にある空白のセルにカーソルを合わせます。
  2. 鉛筆アイコンをクリックします。

 

 

送信先に wordpress-app グループを選択

 

  1. プルダウン メニューから [NSGroup] を選択します。
  2. [Wordpress-app] グループを選択します。
  3. 右矢印をクリックして [Selected] ボックスに移動させます。
  4. [OK] をクリックします。

 

 

サービスのセルにカーソルを合わせて鉛筆アイコンをクリック

 

  1. [Services] の下にある空白のセルにカーソルを合わせます。
  2. 鉛筆アイコンをクリックします。

 

 

SSH サービスを選択

 

  1. 「SSH」 と入力します。
  2. [SSH] を選択します。
  3. 右矢印をクリックして [Selected] ボックスに移動させます。
  4. [OK] をクリックします。

 

 

ルールをもう 1 つ追加

 

  1. [Add Rule] をクリックします。
  2. [Add Rule Below] をクリックします。

 

 

名前のセルにカーソルを合わせて鉛筆アイコンをクリック

 

  1. [Name] の下にある空白のセルにカーソルを合わせます。
  2. 鉛筆アイコンをクリックします。

 

 

ルール名に Deny All を指定

 

  1. [Rule Name] フィールドに 「Deny All」 と入力します。
  2. [OK] をクリックします。

 

 

アクションのセルにカーソルを合わせて鉛筆アイコンをクリック

 

  1. [Action] の下にある空白のセルにカーソルを合わせます。
  2. 鉛筆アイコンをクリックします。

 

 

トラフィックを破棄するオプションを選択

 

  1. [Action] のドロップダウン メニューで [Drop] を選択します。
  2. [OK] をクリックします。

 

 

[Save] をクリック

 

  1. [Save] をクリックします。注: 表示されていない場合は、最上部までスクロールしてください。

 

 

セクションを保存

 

  1. [Save] をクリックします。

 

 

構成したポリシーを確認

 

WordPress アプリケーションのセキュリティ ポリシーの作成が完了しました。これで、アプリケーションに対して特定のトラフィックのみを許可し、それ以外を拒否するように設定できました。

 

 

NSX Cloud Services Manager に戻る

 

  1. 先ほど Google Chrome で開いた [NSX Cloud Services Manager] のタブを選択します。注: ブラウザーのタブの順序は、モジュールの受講状況により異なる場合があります。

 

 

NSX Cloud Gateway の展開が完了したことを確認

 

  1. 展開が完了したら、[Finish] をクリックします。

 

 

コンピューティング VPC が NSX に管理されていることを確認

 

コンピューティング VPC のレポートで、[NSX Managed] および Cloud Gateway の展開済みの表示を確認します。

 

インスタンスの Elastic Network Interfaces にタグを適用


NSX 固有の Amazon Web Services のタグは、EC2 インスタンスのネットワーク インターフェイスを、NSX のどこに論理的に 「接続」 するかを示すために使用されます。接続時に、セキュリティ ポリシーがプッシュされます。AWS の WordPress アプリケーション インスタンスに NSX エージェントを展開する手順に進む前に、ネットワーク インターフェイスへのタグの設定を行います。


 

AWS マネジメント コンソールにアクセス

 

  1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。

 

 

AWS マネジメント コンソールにログイン

 

  1. AWS マネジメント コンソールのユーザー名フィールドに 「vmware_hol_user」 と入力します。
  2. AWS マネジメント コンソールのパスワード入力フィールドに 「VMware1!!」 と入力します (感嘆符の数に注意)。
  3. [Sign In] ボタンをクリックします。

 

 

 

リージョンを選択

 

コンソールで表示するリソースが、北カリフォルニアのリージョンのものであることを確認します。

  1. 右上の [Support] の左にあるリージョン名をクリックします。
  2. [US West (N. California)] を選択します。

 

 

EC2 インスタンスへ移動

 

  1. AWS マネジメント コンソールの左上にある [Services] をクリックします。
  2. [Compute] のすぐ下にある [EC2] をクリックします。

 

 

[Instances] をクリック

 

  1. 左側のメニューで、[Instances] をクリックします。

 

 

名前の列の幅を広げる

 

  1. 列の境界線にカーソルを合わせ、クリックして右にドラッグし、[Name] 列の幅を広げます。

 

 

WordPress の 1 つ目の Web インスタンスを選択

 

  1. [wordpress-web-01a] インスタンスを選択します。

 

 

このインスタンスの eth0 インターフェイスをクリック

 

  1. 画面下部の [Network Interfaces] の横にある [eth0] をクリックします。[Network Interfaces] が見えない場合は、下の画面でスクロール操作してください。

 

 

インターフェイス ID をクリック

 

  1. インターフェイス ID をクリックします。注: インターフェイス ID は、EC2 インスタンスごとに異なります。

 

 

Actions メニューでタグの追加と編集を選択

 

  1. [Actions] をクリックします。
  2. [Add/Edit Tags] をクリックします。

 

 

[Create Tag] をクリック

 

  1. [Create Tag] をクリックします。
  2. [Key] の下にあるボックスに 「nsx:network」 と入力します。
  3. [Value] の下にあるボックスに 「default」 と入力します。
  4. [Save] をクリックします。

 

 

[Instances] をクリック

 

  1. 左側のメニューで、[Instances] をクリックします。

 

 

WordPress の 2 つ目の Web インスタンスを選択

 

  1. [wordpress-web-02a] を選択します。

 

 

このインスタンスの eth0 インターフェイスをクリック

 

  1. 画面下部の [Network Interfaces] の横にある [eth0] をクリックします。[Network Interfaces] が見えない場合は、下の画面でスクロール操作してください。

 

 

インターフェイス ID をクリック

 

  1. インターフェイス ID をクリックします。注: インターフェイス ID は、EC2 インスタンスごとに異なります。

 

 

Actions メニューでタグの追加と編集を選択

 

  1. [Actions] をクリックします。
  2. [Add/Edit Tags] をクリックします。

 

 

[Create Tag] をクリック

 

  1. [Create Tag] をクリックします。
  2. [Key] の下にあるボックスに 「nsx:network」 と入力します。
  3. [Value] の下にあるボックスに 「default」 と入力します。
  4. [Save] をクリックします。

 

 

[Instances] をクリック

 

  1. 左側のメニューで、[Instances] をクリックします。

 

 

WordPress の DB インスタンスを選択

 

  1. [wordpress-db-01a] を選択します。

 

 

このインスタンスの eth0 インターフェイスをクリック

 

  1. 画面下部の [Network Interfaces] の横にある [eth0] をクリックします。[Network Interfaces] が見えない場合は、下の画面でスクロール操作してください。

 

 

インターフェイス ID をクリック

 

  1. インターフェイス ID をクリックします。注: インターフェイス ID は、EC2 インスタンスごとに異なります。

 

 

Actions メニューでタグの追加と編集を選択

 

  1. [Actions] をクリックします。
  2. [Add/Edit Tags] をクリックします。

 

 

[Create Tag] をクリック

 

  1. [Create Tag] をクリックします。
  2. [Key] の下にあるボックスに 「nsx:network」 と入力します。
  3. [Value] の下にあるボックスに 「default」 と入力します。
  4. [Save] をクリックします。

 

 

まとめ

NSX 固有の AWS タグを、WordPress アプリケーション インスタンスのネットワーク インターフェイスに付ける練習を行いました。NSX エージェントの展開を行うと、各インターフェイスはこのタグによって、NSX Cloud Gateway の展開時に作成されたデフォルトの NSX 論理スイッチに関連付けされます。これらのインスタンスにもセキュリティ ポリシーが適用されます。

 

NSX エージェントのインストール


WordPress アプリケーション インスタンスを保護する手順を進め、NSX エージェントを各インスタンスに展開します。NSX エージェントを各 Amazon Web Services のインスタンスにインストールすることで、データ プレーンの機能が利用できます。これには次のものが含まれます。

ベスト プラクティスとして、各組織の Amazon Web Services 環境の 「ゴールド マスター」 イメージに NSX エージェントを含めることが推奨されます。また、NSX エージェントは展開済みの既存環境のインスタンスにインストールすることも容易です。

ここで扱う NSX エージェントは、WordPress アプリケーション インスタンスの一部としてすでに展開されています。このレッスンでは NSX エージェントを有効化する方法を説明します。


 

1 つ目の Web インスタンスを有効にする

 

  1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。

 

 

インスタンスの情報を確認

 

  1. [Wordpress-web-01a Instance Public IP address] を確認し、これを使ってインスタンスにログインします。

 

 

PuTTY を起動

 

  1. Windows のクイック起動タスク バーで [PuTTY] アイコンをクリックします。先ほどの wordpress-web-01a PuTTY セッション (172.16.10.10) をまだ開いている場合は、タスク バーからそのウィンドウを選択し、先に進み、NSX エージェントを有効にします。

 

 

wordpress-web-01 の IP アドレスを入力

 

  1. wordpress-web-01a インスタンスの IP アドレスを入力します。
  2. [Open] をクリックします。

 

 

接続を確認

 

インスタンスに初めて接続するとき、接続先の了承を求める警告ダイアログが表示されます。

  1. [Yes] をクリックします。

 

 

NSX エージェントを有効にする

 

  1. 次のコマンドを入力して、NSX エージェントを開始します。
sudo service nsx-agent start

 

 

NSX エージェントが有効化されたことを確認

 

NSX エージェントが開始され、[OK] のステータスになったことを確認します。

 

 

2 つ目の Web インスタンスを有効にする

 

  1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。

 

 

インスタンスの情報を確認

 

  1. [Wordpress-web-02a Instance Public IP address] を確認し、これを使ってインスタンスにログインします。

 

 

PuTTY を起動

 

  1. PuTTY ウィンドウに切り替え、開いている PuTTY セッションの左上にある [PuTTY] アイコンをクリックします。
  2. [New Session] を選択します。

 

 

wordpress-web-02a の IP アドレスを入力

 

  1. wordpress-web-02a インスタンスの IP アドレスを入力します。
  2. [Open] をクリックします。

 

 

接続を確認

 

インスタンスに初めて接続するとき、接続先の了承を求める警告ダイアログが表示されます。

  1. [Yes] をクリックします。

 

 

NSX エージェントを有効にする

 

  1. 次のコマンドを入力して、NSX エージェントを開始します。
sudo service nsx-agent start

 

 

NSX エージェントが有効化されたことを確認

 

NSX エージェントが開始され、[OK] のステータスになったことを確認します。

 

 

DB インスタンスを有効にする

 

  1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。

 

 

インスタンスの情報を確認

 

  1. [Wordpress-db-01a Instance Public IP address] を確認し、これを使ってインスタンスにログインします。

 

 

PuTTY を起動

 

  1. PuTTY ウィンドウに切り替え、開いている PuTTY セッションの左上にある [PuTTY] アイコンをクリックします。
  2. [New Session] を選択します。

 

 

wordpress-db-01a の IP アドレスを入力

 

  1. wordpress-db-01a インスタンスの IP アドレスを入力します。
  2. [Open] をクリックします。

 

 

接続を確認

 

インスタンスに初めて接続するとき、接続先の了承を求める警告ダイアログが表示されます。

  1. [Yes] をクリックします。

 

 

NSX エージェントを有効にする

 

  1. 次のコマンドを入力して、NSX エージェントを開始します。
sudo service nsx-agent start

 

 

NSX エージェントが有効化されたことを確認

 

NSX エージェントが開始され、[OK] のステータスになったことを確認します。

 

NSX の展開を検証


コンピューティング VPC への NSX コンポーネントの展開が終わりました。ここでは、NSX Manager および NSX Cloud Services Manager の動作を確認しながら、NSX の構成について紹介します。


 

NSX Manager にログイン

先ほど Google Chrome で開いた [NSX Manager] のタブを選択します。このブラウザー タブを閉じてしまった場合は、[Account Information] のブラウザー タブにある [NSX Manager URL] のリンクから、新しいブラウザー タブを開きます。

 

注: ページにタイム アウトと表示された場合、続行するには、ユーザー名フィールドに 「admin」、パスワード名フィールドに 「VMware1!」 と入力し、[Log In] をクリックします。

  1. [AWS] タブをクリックします。
  2. [NSX Manager DNS Name] のリンクをクリックします。

 

 

[Fabric] をクリック

 

  1. 左側の [Fabric] をクリックします。

 

 

[Edges] をクリック

 

  1. 画面上部にある [Edges] をクリックします。

 

 

Edge ノードが新規作成されていることを確認

 

[Edge] ノードが新規作成されていることを確認します。

 

 

[Edge Clusters] をクリック

 

  1. 画面上部にある [Edge Clusters] をクリックします。

 

 

Edge クラスターが新規作成されていることを確認

 

[Edge Cluster] が新規作成されていることを確認します。

 

 

[Transport Nodes] をクリック

 

  1. 画面上部にある [Transport Nodes] をクリックします。

 

 

トランスポート ノードが新規作成されていることを確認

 

トランスポート ノードが新規作成されていることを確認します (新しいクラウド ゲートウェイが展開されていること)。

 

 

[Switching] をクリック

 

  1. 左側の [Switching] をクリックします。

 

 

[Switches] をクリック

 

  1. 画面上部にある [Switches] をクリックします。

 

 

スイッチ インベントリの変更点を確認

 

2 つの論理スイッチが作成され、デフォルトの論理スイッチには 4 つの論理ポートがあることを確認します。

 

 

[Inventory] - [Groups] をクリック

 

  1. [Inventory] をクリックします。
  2. [Groups] をクリックします。

 

 

NSGroup の Wordpress-app をクリック

 

  1. [Wordpress-app] をクリックします。

 

 

グループ メンバーシップを確認

 

Wordpress-app グループの有効なメンバーには、3 つの仮想マシンがあります。

  1. [Virtual Machine] の横にある [3] をクリックします。

注意: このラボでは、現在開発中のソフトウェア リリースを使用しています。一覧に表示される仮想マシンの数が、期待される 「3」 と異なるという問題が発生する場合があります。これが発生した場合は、監督者に補助を依頼するか、ご自身でメンバーシップのリセット操作を行ってください。リセットするには、左側の [Inventory] から [Groups] メニューに戻り、Wordpress-app NSGroup の条件を編集して 「wordpress」 を含めない設定にして保存します。その後、再度 「wordpress」 を含める条件に戻します。この操作でメンバーシップがリセットされます。

 

 

WordPress インスタンスがメンバーとしてリスト表示されていることを確認

 

すべての WordPress アプリケーション インスタンスが、このグループの有効なメンバーとして表示されていることを確認します (仮想マシンの名称に 「wordpress」 が含まれることが条件です)。

 

 

AWS マネジメント コンソールを開く

先ほど Chrome で開いた AWS マネジメント コンソールのタブを選択します。このブラウザー タブを閉じてしまった場合は、[Account Information] のブラウザー タブにある [AWS Console URL] のリンクから、新しいブラウザーのタブを開きます。ユーザー名フィールドに 「vmware_hol_user」、パスワード フィールドに 「VMware1!!」 と入力します。

注: AWS マネジメント コンソールのページにタイム アウトと表示された場合、続行するには、ユーザー名フィールドに 「vmware_hol_user」、パスワード名フィールドに 「VMware1!!」 と入力します。

 

 

AWS マネジメント コンソールの EC2 ダッシュボードへ移動

 

  1. AWS マネジメント コンソールの左上にある [Services] をクリックします。
  2. [Compute] のすぐ下にある [EC2] をクリックします。

 

 

[Instances] をクリック

 

  1. 左の [EC2 Dashboard] の下にある [Instances] をクリックします。

 

 

NSX Cloud Gateway の新しいインスタンスを確認

 

NSX Cloud Gateway の新しい EC2 インスタンスが作成されていることを確認します。

 

 

[Security Groups] をクリック

 

  1. 左の [Network & Security] の下にある [Security Groups] をクリックします。

 

 

AWS の NSX Cloud Gateway セキュリティ グループを確認

 

複数の AWS セキュリティ グループがアプリケーション インスタンス用に新規作成されていることを確認します。これによって NSX Cloud Gateway で送受信されるトラフィックが制御されます。

 

 

NSX Cloud Services Manager にログイン

先ほど Google Chrome で開いた [NSX Cloud Services Manager] のタブを選択します。このブラウザー タブを閉じてしまった場合は、[Account Information] のブラウザー タブにある [NSX Cloud Services Manager URL] のリンクから、新しいブラウザー タブを開きます。

注: ページにタイム アウトと表示された場合、続行するには、ユーザー名フィールドに 「admin」、パスワード名フィールドに 「VMware1!」 と入力し、[Log In] をクリックします。

 

 

CSM の構成とインベントリ

 

  1. [VPC-AWS] コンソール タブをクリックします。
  2. 画面上部にある [Accounts] をクリックします。

 

 

AWS のアカウント情報を更新

 

  1. [Actions] をクリックします。
  2. [Refresh Account] をクリックします。

完了までには約 20 ~ 60 秒かかります。

 

 

VPC をクリック

 

  1. [VPCs] をクリックします。

 

 

VPC のビューを絞り込む

 

  1. [Region] のプルダウン メニューから [us-west-1] を選択して、VPC のビューを絞り込みます。

 

 

 

[Instances] をクリック

 

  1. コンピューティング VPC の [Instances] をクリックします。

 

 

WordPress インスタンスが NSX に管理されていることを確認

 

  1. WordPress アプリケーション インスタンスが NSX に管理されていることを確認します。
  2. nmap-01 インスタンスには、AWS Tag が付けられていません。また、NSX エージェントもインストールされていません。

 

WordPress アプリケーションの動作確認


NSX を展開する前、Amazon Web Services で動作する 2 層 WordPress アプリケーションはインターネットに公開されていたため、いくつかの不要なポートが潜在的な攻撃対象にさらされていました。このレッスンでは、アプリケーションの動作を再確認し、基本的な接続をテストします。


 

アカウント情報

 

  1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。

 

 

WordPress のアプリケーション情報を確認

 

  1. [WordPress Application Elastic Load Balancer DNS Name] のリンクをクリックし、新しいブラウザー タブで WordPress アプリケーションに接続します。

 

 

WordPress サイトを再読み込みして動作を確認

 

WordPress アプリケーションが機能していることを確認します。ページに表示されているサーバーの IP アドレスに注目します。

  1. ブラウザーの再読み込みを数回行って、Web サーバーの IP アドレスが切り替わることを確認します (172.16.10.10 と 172.16.10.11 など)。

 

 

アカウント情報のページを開く

 

  1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。

 

 

Web サーバーの情報を確認

 

  1. [Wordpress-web-01a Instance Public IP address] を確認し、これを使ってインスタンスにログインします。

 

 

PuTTY を起動

 

  1. Windows のクイック起動タスク バーで [PuTTY] アイコンをクリックします。以前の PuTTY セッションが開いている場合は、そのウィンドウの左隅上の [PuTTY] アイコンをクリックし、[New Session] を選択します。

 

 

wordpress-web-01a の IP アドレスを入力

 

  1. wordpress-web-01a インスタンスの IP アドレスを入力します。
  2. [Open] をクリックします。

 

 

wordpress-web-02a への接続をテスト

 

  1. 次のコマンドを入力し、wordpress-web-01a と wordpress-web-02a のインスタンス間の接続をテストします。
ping -c 5 172.16.10.11

 

 

ICMP でインスタンスにアクセスできないことを確認

 

この ping が失敗することを確認します。これは、NSX に構成したセキュリティ ポリシーに合致する動作です。

 

 

wordpress-db-01a への接続をテスト

 

  1. 次のコマンドを入力し、wordpress-web-01a と wordpress-db-01a のインスタンス間の接続をテストします。
ping -c 5 172.16.10.20

 

 

ICMP でインスタンスにアクセスできないことを確認

 

この ping が失敗することを確認します。これは、NSX に構成したセキュリティ ポリシーに合致する動作です。

 

アプリケーション環境のセキュリティ スキャンを実行


nmap 実行用の Ubuntu Linux インスタンスを再び使って、Amazon Web Services のアプリケーション環境のポート スキャンを行います。アプリケーション インスタンスが展開されている IP サブネットをスキャンして、NSX の展開後の環境で開いているポートを確認し、不要なポートが閉じられていることを確認します。


 

nmap インスタンスにログイン

 

  1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。

 

 

PuTTY を起動

 

  1. Windows のクイック起動タスク バーで [PuTTY] アイコンをクリックします。以前の PuTTY セッションが開いている場合は、そのウィンドウの左隅上の [PuTTY] アイコンをクリックし、[New Session] を選択します。

 

 

nmap-01a の IP アドレスを入力

 

  1. nmap-01a インスタンスの IP アドレスを入力します。
  2. [Open] をクリックします。

 

 

nmap スキャンを実行

 

  1. 次のコマンドを入力して、nmap スキャンを開始します。
nmap -F -Pn -T5 --open 172.16.10.10-20

 

 

Web インスタンスの結果を確認

 

wordpress-web-01a と wordpress-web-02a のインスタンスでは、172.16.10.10 と 172.16.10.11 においてポート 22 と 80 が開いています。構成した NSX のセキュリティ ポリシーに合致します。

 

 

 

DB インスタンスの結果を確認

 

wordpress-db-01a インスタンスでは、172.16.10.20 のポート 22 のみが nmap インスタンスに対して開いています。構成した NSX のセキュリティ ポリシーに合致します。

 

トラフィックの視認性


NSX が提供する既存の運用ツールを使用すると、Amazon Web Services で実行されるアプリケーション環境で発生するトラフィックを可視化できます。このモジュールでは、NSX のトラフィック統計の集約機能の一部を紹介します。


 

NSX Manager にログイン

先ほど Google Chrome で開いた [NSX Manager] のタブを選択します。このブラウザー タブを閉じてしまった場合は、[Account Information] のブラウザー タブにある [NSX Manager URL] のリンクから、新しいブラウザー タブを開きます。

注: ページにタイム アウトと表示された場合、続行するには、ユーザー名フィールドに 「admin」、パスワード名フィールドに 「VMware1!」 と入力し、[Log In] をクリックします。

 

 

[Firewall] をクリック

 

  1. 左側の [Firewall] をクリックします。

 

 

ファイアウォールの統計情報を確認

 

  1. [Stats] 列には、ルールごとのパケット、バイト、セッション数が表示されます。

 

 

[Switching] をクリック

 

  1. [Switching] をクリックします。

 

 

デフォルト スイッチの論理ポートをクリック

 

  1. [Logical Ports] の下にある [4] をクリックします。

 

 

論理ポートをクリック

 

ここでは、NSX によるセキュリティ保護を有効化した WordPress アプリケーション インスタンス 3 つと、アップリンク ポート 1 つが表示されます。

  1. 「Cloud」 で始まる、1 行目の論理ポートをクリックします。

 

 

[Monitor] をクリック

 

このポートの詳細情報が表示されます。

  1. [Monitor] をクリックします。

 

 

ポートの統計情報を表示

 

NSX によって提供される、この WordPress アプリケーション インスタンスについてのトラフィック統計情報です。

 

 

[Begin Tracking] をクリック

 

  1. [Begin Tracking] をクリックし、スイッチ ポート統計情報のトラッキング機能の利用を開始します (新しいブラウザー タブが開きます)。

 

 

スイッチ ポートの統計情報を追跡

 

NSX では、スイッチ ポートの統計情報を、ほぼリアルタイムで追跡できます。WordPress の Web サイトのブラウザー タブに移動して、ページの再読み込みを数回行います。トラフィックが発生し、このページでその内容を確認できます。

 

まとめ


これで、モジュール 4 とこのハンズオン ラボは終了です。Amazon Web Services に NSX コンポーネントをインストールして、Amazon Web Services に展開された WordPress アプリケーションを正しく保護し、各アプリケーション インスタンスに一貫したセキュリティ ポリシーを適用する方法を学習しました。


 

お疲れ様でした。これで、モジュール 4 とハンズオン ラボは終了です。

このレッスンの最後にある指示に従って、ラボを終了します。または、ほかの興味のあるモジュールに進むこともできます。

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: ManualExport-HOL-1822-01-NET-LT.zip

Version: 20171227-162817