VMware ハンズオン ラボ - HOL-1903-02-NET


実習ラボの概要:HOL-1903-02-NET - VMware NSX:分散ファイアウォールとマイクロセグメンテーション

実習ラボのガイダンス


注: この実習ラボの所要時間は 90 分以上を想定しています。1 回のラボ時間あたり 2 ~ 3 モジュールを目安に学習してください。モジュールは相互に独立しているため、どのモジュールから開始することも、どの順序で実施することもできます。各モジュールには、目次から直接移動できます。

目次を表示するには、実習ラボ マニュアルの右上の [目次] をクリックします。

この実習ラボでは、VMware NSX とマイクロセグメンテーションのユースケースについて説明します。分散ファイアウォールや Service Composer の UI について詳しく学ぶこともできます。ここで取り上げるユースケースには、分割されたネットワークの集約、サーバーの高度なグループ化、およびユーザー ベースのセキュリティに関するソリューションが含まれています。

実習ラボのモジュール リスト:

実習ラボ責任者:

  • モジュール(1 ~ 6)James Emmons、テクニカル アカウント マネージャ/NSX テクニカル アカウント スペシャリスト、米国

 

この実習ラボ マニュアルは、次のハンズオン ラボ ドキュメント サイトからダウンロードできます。

http://docs.hol.vmware.com

一部の実習ラボは、英語以外の言語でも提供されています。言語設定を変更して翻訳版のマニュアルを実習ラボで使用する手順については、次のドキュメントを参照してください。

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

メイン コンソールの表示位置

 

  1. 図の赤枠で囲まれた領域がメイン コンソールです。 実習ラボ マニュアルは、メイン コンソールの右側のタブに表示されます。
  2. 実習ラボによっては、左上のタブに別のコンソールが用意されていることがあります。この場合、実習ラボ マニュアルの説明に従って、指定されたコンソールを開いてください。
  3. この実習ラボでは、開始時に 90 分のタイマーが表示されます。 このラボで行った作業内容は保存できません。実習ラボを開始したら、そのセッション内ですべての作業を完了してください。必要であれば、[延長] をクリックして時間を延長できます。VMware イベントでご使用の場合は、実習ラボの時間を 2 回まで、最大 30 分延長できます。[延長] を 1 回クリックすると、15 分間延長されます。VMware イベント以外でご使用の場合は、実習ラボの時間を最大 9 時間 30 分延長できます。[延長] を 1 回クリックすると、時間が 1 時間延長されます。

 

 

キーボード以外の方法によるデータ入力

このモジュールでは、メイン コンソールでテキストを入力します。複雑なデータを入力する場合、キーボードから直接入力する以外に、次の 2 つの方法があります。

 

 

クリック アンド ドラッグによるコピー

 
 

実習ラボ マニュアルに記載されているテキストやコマンド ライン インターフェイス (CLI) のコマンドは、クリック アンド ドラッグによってメイン コンソールのアクティブ ウィンドウに直接コピーできます。 

 

 

オンラインの国際キーボードを使用する

 

キーボード配列によっては、特定の文字や記号が入力しにくいことがあります。そのような場合、メイン コンソールに、オンラインの国際キーボードを表示して使用すると便利です。

  1. 国際キーボードを表示するには、Windows のクイック起動タスク バーで、キーボードのアイコンをクリックします。

 

 

Windows アクティベーションに関するウォーターマーク

 

実習ラボを初めて開始すると、Windows のライセンス認証が完了していないことを知らせるウォーターマーク(透かし)がデスクトップに表示される場合があります。 

仮想化の大きなメリットの 1 つは、仮想マシンを任意のプラットフォームに移動して実行できることです。ハンズオン ラボも、このメリットを活用して複数のデータセンターから実行できるようになっています。 ただし、これらのデータセンターでは必ずしも同じ種類のプロセッサーを使用しているとは限りません。プロセッサーが異なると、インターネット経由で Microsoft のライセンス認証チェックが行われます。

VMware とハンズオン ラボは Microsoft 社のライセンス要件に完全に準拠しているので、安心してご利用ください。 ご利用の実習ラボは自己完結型ポッドであり、Windows のライセンス認証の確認に必要なインターネットへの完全なアクセスがありません。インターネットへの完全なアクセスがないと、この自動プロセスは失敗し、このようなウォーターマークが表示されます。

これは表面上の問題であり、実習ラボへの影響はありません。 

 

 

画面右下でラボの準備完了を確認

 

実習ラボを開始すると、画面の右下の [Lab Status] に準備状況が表示されます。表示が [Ready] になってから、学習を開始してください。[Ready] になるまで数分間かかります。5 分経過しても [Ready] にならない場合は、サポートにお問い合わせください。

 

モジュール 1: Service Composer と分散ファイアウォールの概要 (45 分)

分散ファイアウォール: マイクロ セグメンテーションの概要


NSX 分散ファイアウォール (DFW) はハイパーバイザー カーネルに組み込まれたファイアウォールであり、仮想化されたワークロードとネットワークの視認性および制御性を高めます。データセンター、クラスター、仮想マシン名などの VMware vCenter オブジェクト、IP や IP セット、DVS ポート グループの VLAN、論理スイッチの VXLAN などのネットワーク構成要素、ならびにセキュリティ グループ、Active Directory からのユーザー グループ ID などに基づいてアクセス制御ポリシーを作成できます。各仮想マシンの 仮想 NIC 単位でファイアウォール ルールが適用されるため、仮想マシンを vMotion で移行してもアクセス制御の一貫性が維持されます。このファイアウォールはハイパーバイザーに組み込まれているため、ライン レートに近いスループットが実現し、物理サーバー上のワークロードの統合率が向上します。ファイアウォールの分散性により、新たなホストをデータセンターに追加した場合に、ファイアウォールのキャパシティを自動的に拡張するスケール アウト アーキテクチャが提供されます。

マイクロ セグメンテーションは NSX の分散ファイアウォール (DFW) コンポーネントによって稼動しています。DFW は ESXi ハイパーバイザーのカーネル レイヤーで動作し、通信速度に近い速度でパケットを処理します。各仮想マシンは専用のファイアウォール ルールとコンテキストを持ちます。DFW では vMotion (つまりは完全なワークロードのモビリティ) がサポートされ、移行中でも正常な接続が維持されます。この高度なセキュリティ機能では、関連する仮想マシンのグループを、個別の論理ネットワーク セグメントに分離することにより、データセンターのネットワークをよりセキュアにします。これにより管理者は、あるデータセンター セグメントから別のセグメントに伝送されるトラフィック (East-West トラフィック) にファイアウォールを適用できます。このようにしてデータセンター内部における攻撃者の水平方向の移動を制限できます。 

このモジュールの概要は次のとおりです。

分散ファイアウォールの基本機能

ファイアウォール機能のための IP 検出メカニズムの改善

Service Composer によるセキュリティの論理適用

NSX 6.4 では、新たにレイヤー 7 の機能を使用できます。これは、新しい VIB を ESXi ホストにプッシュして、トラフィック フローの内部を調べることによって行います。この最新の変更では、ネットワーク トラフィック内のアプリケーション ID を認識します。たとえば、AD、KMS、DNS、RDP、SSH、SMB、TLS バージョンなどです。

デスクトップからモジュールを開始してください。デスクトップは、仮想環境での ControlCenter であり、ここからアクセス先に接続します。このデスクトップから、仮想データセンターに展開した vCenter Server Appliance にアクセスします。もう 1 つの重要なタスクは、ファイアウォール ルールが作成されるたびに、必ず保存を選択することです。

特記事項: README.txt という名前のファイルがデスクトップにあります。そこに記載されたユーザー アカウントとパスワードを使って、実習ラボのすべての仮想デバイスや仮想マシンを利用できます。


 

分散ファイアウォールのユーザーへの通知: マイクロ セグメンテーション セクション

HOL-1903-01-NET のモジュール 6 「分散ファイアウォール」を修了した方には、本セクション「分散ファイアウォール」は同じ内容で重複となります。この実習ラボで再度学習する必要はありません。表示されているリンクをクリックすると、このセクションを飛ばして実習ラボの次のセクションに進みます。

 

 

 

キーボード以外の方法によるデータ入力

このモジュールでは、メイン コンソールでテキストを入力します。複雑なデータを入力する場合、キーボードから直接入力する以外に、次の 2 つの方法を使用すると入力しやすくなります。

 

 

vSphere Web Client へのアクセス

 

  1. デスクトップ上にある [Google Chrome] アイコンをクリックして、vSphere Web Client(Flash)を起動します。

 

 

Web アプリケーションへのアクセスのためのルールの構成

3 層アプリケーションへのアクセスについて分散ファイアウォールを構成します。このアプリケーションには 2 台の Web サーバーと、それぞれ 1 台のアプリケーション サーバーおよびデータベース サーバーがあります。また、2 台の Web サーバーにサービスを提供するロード バランサーも利用されています。

 

 

3 層セキュリティ グループの作成

 

  1. [Service Composer] をクリックします。

[Service Composer] では、仮想環境およびクラウド環境で、ネットワーク サービスとセキュリティ サービスを利用するための新しいモデルを定義します。付属のサービスまたはサードパーティ製のソリューションによるサービスを簡単に表示したり利用したりして、ポリシーを適用できます。これらのポリシーは、エクスポートおよびインポート機能を用いて再利用できるため、問題がある場合に環境を立ち上げて復旧するのが容易になります。再利用可能なオブジェクトの 1 つがセキュリティ グループです。Service Composer とセキュリティ グループについては、この後のモジュールで詳細に説明します。

 

 

3 層アプリケーションのためのアクセス ルールの作成

 

新しいルールを追加して Web 仮想マシンにアクセスできるようにします。その後、各層間のアクセス設定をします。 

  1. 左側のメニューで [Firewall] を選択します。

 

 

web-01a への PuTTY セッションを再開

 

  1. 左上のセッション アイコンをクリックします。
  2. [Restart Session] をクリックします。

 

 

3 層アプリケーションに分散ファイアウォールのルールを設定した後のトポロジー

 

仮想 NIC レベルのファイアウォールの相対的な適用ポイントを図に示します。分散ファイアウォールは vSphere ESXi ホストのカーネル ローダブル モジュール (KLM) ですが、ルールはゲスト仮想マシンの仮想 NIC に適用されます。このセキュリティは vMotion 実行中に仮想マシンとともに移行されるため、仮想マシンが 「攻撃を受けやすい時間」 を作ることなく、抜けのない保護ができます。

 

 

モジュールのクリーンアップ

 

次のモジュールに進む前に、デフォルト ルールを [Allow] に戻す必要があります。

  1. [Default Rule] の [Action] を [Allow] に変更します
  2. [Publish Changes] をクリックします。

 

仮想マシンと SpoofGuard のための強化された IP 検出メカニズム


vCenter Server と同期した後で、NSX Manager はすべての vCenter ゲスト仮想マシンの IP アドレスを収集します。仮想マシンが攻撃された場合、IP アドレスが偽装され、悪意のある通信がファイアウォール ポリシーをバイパスするおそれがあります。

SpoofGuard ポリシーを特定のネットワークに対して作成することで、通知された IP アドレスを許可し、必要に応じてそれらを変更して、IP アドレスの偽装を防ぐことができます。SpoofGuard が本質的に信用するのは、VMX ファイルと vSphere SDK から収集した仮想マシンの MAC アドレスです。ファイアウォール ルールとは別に機能する SpoofGuard は、IP アドレスの偽装として特定されたトラフィックをブロックするために使用できます。

SpoofGuard では、IPv4 アドレスと IPv6 アドレスの両方がサポートされています。IPv4 を使用している場合、SpoofGuard ポリシーでは、1 つの仮想 NIC に IP アドレスを 1 つだけ割り当てることができます。IPv6 を使用している場合は、1 つの仮想 NIC に IP アドレスを複数割り当てることができます。SpoofGuard ポリシーでは、次のいずれかのモードで、仮想マシンから通知された IP アドレスが監視および管理されます。

仮想マシンから届いたすべてのトラフィックが許可され、仮想 NIC と IP アドレスの対応テーブルが作成されます。いつでもこのテーブルの内容を確認し、IP アドレスを変更できます。このモードでは、仮想 NIC 上のすべての IPv4 アドレスおよび IPv6 アドレスが自動許可されます。

仮想 NIC と IP アドレスの各割り当てを許可するまで、すべてのトラフィックがブロックされます。

注: DHCP 要求は、基本的に有効モードにかかわらず SpoofGuard によって許可されます。ただし、手動モードの場合、DHCP で割り当てられた IP アドレスが承認されるまで、トラフィックはブロックされます。

SpoofGuard にはシステムで生成されたデフォルトのポリシーが含まれ、ほかの SpoofGuard ポリシーがカバーしないポート グループと論理ネットワークに適用されます。新しく追加されたネットワークは、管理者が既存のポリシーまたはそのネットワーク用の新しいポリシーに追加するまで、デフォルトのポリシーに追加されます。

NSX の分散ファイアウォールの処理では、送信元または送信先として指定したオブジェクトの IP アドレスを検出する必要があります。NSX 6.2 より前のバージョンでは、仮想マシン内の VMware Tools でこの操作を行います。ここでは、VMware Tools と Trust-On-First-Use を使用して IP アドレスを検出する方法を学習します。


 

SpoofGuard の確認

 

[vSphere Web Client] のブラウザー タブをクリックします。

  1. [Home] アイコンをクリックします。
  2. [Networking & Security] をクリックします。

 

 

仮想分散スイッチから新しい論理スイッチへ Linux-01a を移行

SpoofGuard の IP 検出機能を活用するには、まず、仮想マシン linux-01a を既存の仮想分散スイッチから論理スイッチに移行する必要があります。

 

 

[Networking & Security] に戻る

 

  1. [Navigator] で、履歴フィールドの [Back] ボタンをクリックして、NSX の構成インターフェイスまで戻ります。

 

 

ARP スヌーピングによって Linux-01a が検出されたことを確認

 

  1. [Navigator] メニューで [SpoofGuard] を選択します。
  2. [Default Policy] をクリックします。

 

 

 

SpoofGuard のまとめ

これで、「仮想マシンと SpoofGuard のための強化された IP 検出メカニズム」 セクションは終了です。ここでは、仮想マシンを NSX 環境に移行し、SpoofGuard を活用して新機能の Trust-On-First-Use ARP で IP アドレスを検出しました。

 

セキュリティ グループの概要


「分散ファイアウォール: マイクロ セグメンテーションの概要」 で紹介したセキュリティ グループの機能を確認します。NSX セキュリティ グループを使用すると、保護する資産を指定する論理的なグループを作成できます。セキュリティ グループには、静的(特定の仮想マシンを指定)と動的(次の 1 つまたは複数の条件によりメンバーシップを定義)なものがある

セキュリティ グループにはメンバーの出入りが頻繁にあることに注意してください。たとえば、タグ 「AntiVirus.virusFound」 が付いた仮想マシンを 「隔離」 セキュリティ グループに移す設定を行なったとします。ウイルスが除去された時点でこのタグは取り除かれ、その仮想マシンは 「隔離」 セキュリティ グループから外れます。


 

Service Composer へのアクセス

 

  1. 左側のパネルで [Service Composer] をクリックします。
  2. [Security Groups] タブが選択されていることを確認します。
  3. [+ADD] を選択して、新しいセキュリティ グループを作成します。

 

 

動的なセキュリティ グループのメンバーシップの確認

 

  1. [Groups and Tags] を選択します。
  2. 静的メンバーのない新しいセキュリティ グループが作成されたことを確認します。
  3. 条件が設定された動的セキュリティ グループが定義されました。
  4. [1 Criteria] をダブルクリックして、この動的セキュリティ グループのロジックを確認します。

 

セキュリティ ポリシーの概要


NSX セキュリティ ポリシーは、ファイアウォール ルール、エンドポイント サービス、ネットワーク内部監視サービスのようなサービス構成の集合として設定できます。ファイアウォール ルールは、セキュリティ グループへのトラフィック、セキュリティ グループからのトラフィック、またはセキュリティ グループ内のトラフィックを定義するルールの集まりです。エンドポイント サービスは、ウイルス対策サービスや脆弱性管理サービスなど、サードパーティ ソリューション プロバイダーのサービスを使用して実装できます。ネットワーク内部監視サービスとは、IPS などのネットワークを監視するサービスです。

NSX でのサービス導入中、導入するサービスのサービス カテゴリはサードパーティ ベンダーが選択します。各ベンダーのテンプレートに、デフォルトのサービス プロファイルが作成されます。

注: 同じセキュリティ ポリシーを複数のセキュリティ グループに適用する必要がある場合、それらのグループを 1 つにまとめた親のセキュリティ グループを作成し、各グループを子として含めます。その後、共通のセキュリティ ポリシーを親のセキュリティ グループに適用します。これにより、NSX の分散ファイアウォールが使用する ESXi のホスト側のメモリー効率が高まります。


 

新しいセキュリティ ポリシーを作成

 

  1. [Service Composer] をクリックします。
  2. [Service Composer] パネルで [Security Policies] タブを選択します。
  3. [+ADD] をクリックして、セキュリティ ポリシーを作成します。 

 

 

ファイアウォール ルールの同期を確認

 

  1. [Firewall] をクリックします。

 

 

PuTTY を使用して Web 仮想マシン間の通信をテスト

 

3 層アプリケーションを構成している Web 仮想マシン間の通信とアクセスをテストします。最初のテストでは web-01a のコンソールを開き、web-02a に ping を送信します。

  1. デスクトップのタスクバーにある PuTTY のショートカットをクリックします。
  2. [web-01a.corp.local] を選択します。
  3. [Open] をクリックします。

 

モジュール 1: まとめ


モジュール 1 「Service Composer と分散ファイアウォールの概要」 はこれで終わりです。ここでは静的および動的なセキュリティ グループの作成、静的および動的なセキュリティ ポリシーの適用 (ファイアウォール ルールを含む)、VMware Tools が導入されていない環境での SpoofGuard を使用したネットワーク上の仮想マシンの検出および許可について学習しました。


 

モジュール 1 のクリーンアップ

 

モジュール 1 を終了する前に、このセクションで作成したルールを削除する必要があります。

  1. [Service Composer] に戻ります。
  2. [Security Policies] タブを選択します。
  3. [Block Web-to-Web Traffic] の行のラジオ ボタンを選択します。
  4. [Delete] オプションを選択します。「Are you sure you want to delete the selected - Block Web-to-Web Traffic?」のメッセージが表示されたら、[DELETE] をクリックします。

 

 

 

モジュール 1:SpoofGuard のクリーンアップ

 

モジュール 1 を完了する前に、SpoofGuard のデフォルト ポリシーを無効にする必要があります。

  1. [Default Policy] を選択します。
  2. [EDIT] を選択します。 

 

 

モジュール 1:クリーンアップ:SpoofGuard の無効化

 

  1. デフォルト ポリシーの SpoofGuard 設定を保存するには、[Enable] がオフになっていることを確認します。

 

 

モジュール 1 の終了

モジュール 1 はこれで終了です。

NSX のルーティング機能について、さらに詳しい情報が必要な場合は、URL から NSX 6.4.x ドキュメント センターをご確認ください。

表示されている中から関心のあるモジュールに進んでください。

実習ラボのモジュール リスト:

実習ラボ責任者:

  • モジュール(1 ~ 6)James Emmons、テクニカル アカウント マネージャ/NSX テクニカル アカウント スペシャリスト、米国

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[END] ボタンをクリックします。

 

モジュール 2: 3 層アプリケーションの集約機能の詳細説明 (15 分)

NSX の分散ファイアウォール機能で集約されたアーキテクチャの保護


このモジュールでは、分散ファイアウォール (DFW) 機能を使用して、NSX で従来のマルチティア ネットワーク アーキテクチャを単一のフラット ネットワークに集約し、同時にアプリケーションの分離を確保する方法を学習します。これはセキュリティにおいて、ネットワーク中心のアプローチを止め、ワークロードを中心としたアプローチに転換する場合に必須となる機能です。ここでは、HR(人事)アプリケーションと Finance(財務)アプリケーションを使用します。どちらも同じ論理スイッチおよびサブネットに配置されています。  

これらに対して次の構成とテストを行います。

  • 分離前の時点で同じネットワーク上にある HR および Finance アプリケーションの仮想マシン間の通信をテスト
  • セキュリティ グループを使用して仮想マシンの論理グループを作成
  • 分散ファイアウォール ルールを作成し、アプリケーション間の通信を保護
  • 各アプリケーションが正常に動作すること、および HR と Finance のの通信がブロックされることを確認
  • 次の実習ラボに進む前にセキュリティ ポリシーをクリーン アップ

この実習ラボ モジュールを修了すると、同じネットワーク インフラストラクチャにある複数のアプリケーションを NSX 分散ファイアウォールで保護および分離でき、同時にアプリケーション内の通信を許可して機能を正常に保てることがわかります。 


 

サンプルのネットワーク アーキテクチャを確認

 

3 層ネットワーク アプリケーションを単一のネットワークに集約する前に、Web 層、アプリケーション層、データベース層をレイヤー 3 で分離するためにネットワークが個別のサブネットに分割された 3 層アプリケーションの例を確認します。ここで注目したいのは、セキュリティ ファイアウォール ルールが欠けているため、同じレイヤー 2 ドメインにある仮想マシン間の通信が保護されていない点、およびアプリケーションの各層の間の通信も保護されていない点です。こうした複数の層からなるワークロードを大量にスケール アウトする必要が出てきた場合の選択肢は 2 つあります。1 つはサブネットを追加導入することです。もう 1 つは複数のアプリケーション コンポーネント (複数のアプリケーションの各データベースなど) を同じ L2 ドメインに展開することです。 

たとえば、複数のアプリケーションのデータベース コンポーネントが 「DB-Tier」 ネットワーク上にあったとします。従来のファイアウォールでは、このようなデータベース間の保護が存在しません。この状態では、いずれかの仮想マシンのデータベースへのアクセス権のあるユーザーが、同じネットワーク上のほかのデータベースにもアクセスできてしまう可能性があります。NSX の分散ファイアウォールでは、ネットワーク構成全体を単一の L2 セグメントに集約することで、各アプリケーションの機能を損なわずに、それぞれのアプリケーションを分離できます。

 

 

vSphere Web Client へのアクセス

 

  1. [Main Console] ウィンドウで、Google Chrome のショートカットをクリックします。

 

 

Finance (財務) アプリケーションが動作していることを確認

 

  1. Chrome で新しいタブを開きます。
  2. ブックマーク [Finance DB App] をクリックします。
  3. Financial Department Cost Center Listings にアクセスしていることを確認します。結果は fin-web-01a から受信されます。

 

 

HR (人事) アプリケーションの検証

 

  1. Chrome で新しいタブを開きます。
  2. ブックマーク [HR DB App] をクリックします。
  3. HR Employee Salary Database にアクセスしていることを確認します。

 

 

仮想マシン fin-web-01a のリモート コンソールを起動

 

  1. [vSphere Web Client] タブをクリックします。
  2. [fin-web-01a.corp.local] をクリックします。
  3. [Summary] タブをクリックします。
  4. 歯車のアイコンをクリックし、[Launch Remote Console] をクリックします。

 

 

vSphere Web Client セッションに戻る

 

  1. タスクバーにある [vSphere Web Client (Flash)] ブラウザー アイコンをクリックします。

 

 

vSphere Web Client に戻る

 

  1. デスクトップのタスクバーまたはショートカットで、[vSphere Web Client] の Chrome ブラウザー アイコンをクリックします。

 

 

ファイアウォール構成へのアクセス

 

  1. 左側の [Navigator] メニューで [Firewall] をクリックします。

 

 

HR (人事) アプリケーションのセキュリティ グループを作成

 

  1. [Object Type] ドロップダウン メニューから [Security Group] を選択します。
  2. [CREATE New Security Group] をクリックし、HR(人事)アプリケーションのセキュリティ グループを定義します。

 

 

Finance (財務) アプリケーションのセキュリティ グループを作成

 

  1. [Object Type] ドロップダウン メニューから [Security Group] を選択します。
  2. [CREATE New Security Group] をクリックし、Finance (財務) アプリケーションのセキュリティ グループを定義します。

 

 

新しいファイアウォール ルールを追加

 

  1. [Collapsed App Tier Rules] セクションのメニュー アイコン(3 つのドット)をクリックします。
  2. [Add Rule Above] を選択します。

 

 

変更の発行

 

  1. [Publish ] をクリックし、対象となる仮想マシンとホストに新しいファイアウォール ルールを適用します。

 

 

Finance (財務) アプリケーションが動作していることを確認

 

  1. [HOL- Finance Department] タブをクリックします。
  2. [Refresh] ボタンをクリックします。
  3. Financial Department Cost Center Listings にアクセスしていることを確認します。

 

 

HR (人事) アプリケーションの検証

 

  1. [HOL - HR Department] タブをクリックします。
  2. [Refresh] ボタンをクリックします。
  3. HR Employee Salary Database にアクセスしていることを確認します。

 

 

次の実習ラボ モジュールへ進む前に実習ラボをクリーン アップ

 

次の実習ラボ モジュールに進む前に、まずここで設定したファイアウォール ルールをクリーン アップする必要があります。   

  1. [vSphere Web Client (Flash)] のブラウザー タブをクリックします。

 

モジュール 2: まとめ


これで、モジュール 2 は終了です。単一のフラット ネットワークで NSX 分散ファイアウォール(DFW)を用いて、アプリケーションの分離を行う方法について学習しました。このモジュールでは、3 層ネットワーク アプリケーションを単一の NSX 論理スイッチに集約しても、分散ファイアウォールを用いた NSX のゼロ トラスト セキュリティに影響を与えないことを示しました。この実習ラボでは、まず同じネットワーク上にある人事アプリケーション仮想マシンと財務アプリケーション仮想マシン間の通信を確認しました。次に、仮想マシンの論理的なグループでファイアウォール ルールを作成し、人事と財務のアプリケーション間で通信が行われないようにしてから、仮想マシンの通信をアプリケーション スタック間およびアプリケーション スタック内でテストすることによって、作成したルールの適用を検証しました。アプリケーションが相互に分離されていることを確認した後、次の実習ラボ モジュールに備えるために、作成したファイアウォール ルールを削除しました。

この実習ラボにご参加いただき、ありがとうございました。NSX 分散ファイアウォールのアプリケーションの分離、ゼロトラスト機能についてご理解いただければ幸いです。


 

モジュール 2 の終了

モジュール 2 はこれで終了です。

NSX のルーティング機能について、さらに詳しい情報が必要な場合は、URL から NSX 6.4.x ドキュメント センターをご確認ください。

表示されている中から関心のあるモジュールに進んでください。

実習ラボ責任者:

  • モジュール(1 ~ 6)James Emmons、テクニカル アカウント マネージャ/NSX テクニカル アカウント スペシャリスト、米国

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[END] ボタンをクリックします。

 

モジュール 3: 高度なグループ化 (30 分)

高度なグループ化


モジュール 3 高度なグループ化


 

はじめに

日常のビジネスで必要とされるミッション クリティカルなアプリケーションを実行している組織にとって、Windows XP、Windows 2000 Server、Windows Server 2003 などの主要なエンタープライズ プラットフォームがサポートを終了する(EOS)ということは、極めて大きな問題です。たとえば、2015 年 7 月に Microsoft 社が Windows 2003 のサポートを終了したときも、何百万台というエンタープライズ サーバーが危険にさらされました。

サポートが終了するオペレーティング システムを使用している組織は、新しいプラットフォームへの移行準備や制御を補完できる状態が完全に整っていない限り、組織内の環境に深刻なセキュリティ リスクを負うことになります。Microsoft 社のようなプラットフォーム プロバイダーが脆弱性に対する通知やパッチの提供を行わなくなることはハッカーもよく分かっているため、こうしたシステムはすぐに絶好の攻撃対象となります。また、EOS 後にサポートされていないプラットフォームを使用していると、問題が見つかっても未対応のままとなるものが増え続け、時間とともにリスクが大きくなります。

NSX は、分散ファイアウォール (DFW) と Service Composer でセキュリティを強化することによって、サポートが終了するオペレーティング システムの問題を低減することができます。この実習ラボでは、NSX セキュリティ グループを使用して Windows XP 仮想マシンを囲い込み、シミュレートされた環境でファイアウォール ポリシーを適用して、この仮想マシンを保護します。 

このモジュールの概要は次のとおりです。

  • Windows XP 仮想マシンのセキュリティ グループの作成と、モジュール 4 のためのセキュリティ グループの作成
  • IP セットの作成
  • 動的包含を使用した Windows XP 仮想マシンの自動グループ化
  • Windows XP 仮想マシンを保護するファイアウォール ルールの適用
  • Windows XP 仮想マシンから外部ネットワークへのアクセス テスト

実習ラボ責任者:

モジュール 3:James Emmons、テクニカル アカウント マネージャ/NSX テクニカル アカウント スペシャリスト、米国

 

 

サポートが終了する仮想マシンへのログイン


Windows XP 仮想マシンを使用して、内外のリソースにアクセスする際のセキュリティ状態が現在どのようになっているかを確認します。


 

vSphere Web Client にログイン

 

vSphere Web Client にまだログインしていない場合

(ホームページは vSphere Web Client です。それ以外の場合は、Google Chrome のタスクバーで [vSphere Web Client] アイコンをクリックします)。

  1. [User name] に「administrator@corp.local」と入力します。
  2. [Password] に 「VMware1!」 と入力します。
  3. [Login] をクリックします。

 

 

サポートが終了する仮想マシンにログイン

 

  1. [Home] を選択します。
  2. [VMs and Templates] を選択します。

 

 

内部アクセスの確認

 

デスクトップから Mozilla ブラウザーを起動します。

  1. [Customer DB-App] リンクをクリックして、内部アプリケーションを起動します(URL が https://web-01a.corp.local/cgi-bin/app.py であることを確認します)。さらに、必要に応じて、web-01a で証明書の警告が表示された場合には、許可します([詳細設定]、[例外を追加]、[セキュリティ例外を承認] の順にクリックします)。

 

 

外部アクセスのコマンド プロンプト ウィンドウを開く

 

コントロール コンソール仮想マシンは、この実習ラボで使用する仮想環境の外にあります。つまり、これが環境の外部にあるサービスを表します。ここでは、コントロール センターの IP アドレス 192.168.110.10 をインターネット サービスとして使用します。

  1. [Start] メニューをクリックします。
  2. コマンド プロンプトを起動します。

[Command Prompt] アイコンが表示されていない場合は、[Run] をクリックし、「cmd」 と入力して <Enter> キーを押すと、コマンド プロンプトが起動します。

 

セキュリティ グループの作成


サポートが終了する仮想マシンが外部リソースにアクセスできる状態には、潜在的な脆弱性があることが分かったため、セキュリティ対策が必要です。NSX のセキュリティ グループを使用して、サポートが終了する(EOS)オペレーティング システムを実行しているマシンをすばやく特定し、ポリシーを適用してセキュリティを確保します。


 

ネットワーク & セキュリティ:Service Composer

 

  1. [vSphere Web Client (Flash)] のブラウザー タブをクリックします。
  2. [Home] アイコンをクリックします。
  3. [Networking & Security] を選択します。

 

 

新しいセキュリティ グループ

 

  1. [Security Groups] タブを選択します。
  2. [+ADD] をクリックして、新しいセキュリティ グループを追加します。

 

 

新しい IP セット

 

注:まず、実習ラボのすべての仮想マシンのインフラストラクチャを定義する IP セットを作成します。

「IP セット」とは

「IP セット」には、ファイアウォール ルールの送信元や送信先として使用する、またはセキュリティ グループのメンバーとして使用する、個々の IP アドレス、IP 範囲、またはサブネットの、任意の組み合わせを含むことができます。

以下の手順に従って、その結果を確認します。

  1. [Groups and Tags] を選択します。
  2. [IP Sets] タブを選択します。
  3. [+ADD] をクリックして、新しい IP セットを作成します。

 

 

 

「IP セット」を使った新しいセキュリティ グループ

 

以下の手順に従って、Service Composer を使用して、新しいセキュリティ グループを作成する手順を実行します。

  1. [Security Groups] タブを選択します。
  2. [+ADD] をクリックして、新しいセキュリティ グループを追加します。

 

仮想マシンのアクセス制限


ルールを適用して仮想マシンの外部アクセスを制限します。


 

新しいポリシーの適用

 

  1. [Service Composer] に移動します。
  2. [Security Policies] タブを選択します。
  3. [+ADD] をクリックして、新しいセキュリティ ポリシーを追加します。

 

 

ファイアウォール ルールを追加

 

  1. ナビゲーション メニューで [Firewall] を選択します。

セキュリティ グループを作成し、Windows XP 仮想マシンが内部サービス(内部アプリケーション)にアクセスできるようになりました。さらに、内部サービス間のアクセスを許可するルールを追加し、デフォルトのファイアウォール ルールを変更してその他のすべてのアクセス (外部アクセスを含む) をブロックする必要があります。

 

 

新しいセクションのファイアウォール ルール

 

  1. セクションに追加するには、メニュー アイコン(3 つのドット)をクリックします。
  2. [Add Rule] をクリックします。

 

 

デフォルトのファイアウォール ルールを変更

 

サポートが終了する Windows XP 仮想マシンから外部サービスへのトラフィックなど、不要なトラフィックをブロックするために、デフォルトのファイアウォール ルールでブロックを有効にする必要があります。デフォルトのファイアウォール ルールは [Default Section] に表示されます。

  1. ファイアウォール ルールの [Default Section] をクリックして展開します。[Default Rule] の [Action] 列でドロップダウンをクリックします。[Action] で [Block] を選択します。

 

Windows XP 仮想マシンからの限定的なアクセスを確認


サポートが終了する Windows XP 仮想マシンのルールを設定したので、内部と外部のサービスへのアクセス テストに進みます。


 

win-xp-01 のコンソールを再度開く

 

  1. 「win-xp-01」のブラウザー タブをクリックします。

 

 

外部アクセスがブロックされていることを確認

 

  1. win-xp-01 のデスクトップで再度コマンド プロンプトを開きます。
  2. コマンド プロンプトで 「ping 192.168.110.10」 と入力します。
  3. コントロール センターへの外部アクセスがブロックされるようになったことを確認します。
ping 192.168.110.10

これで、win-xp-01 では内部サービスへのアクセスは許可されるが、外部アクセスはグループ ポリシーにしたがって完全にブロックされていることがわかりました。

 

 

モジュールのクリーンアップ: デフォルト ルールを [Allow] に設定

 

[+] 記号をクリックして、[Default Section Layer3] を展開します。

  1. [Default Rule] の [Action] 列でドロップダウンを選択します。[Action] で [Allow] を選択します。

 

モジュール 3 のまとめ


モジュール 3 はこれで終了です。

この実習ラボでは、高度なグループ化機能を利用し、サポートが終了したオペレーティング システムをセキュリティ グループによって迅速にコンテナ化する方法について説明しました。セキュリティ グループを設定したら、それらを使用してファイアウォール ルールを作成し、グループに含まれる仮想マシンとの双方向のアクセスを制限することができます。セキュリティ グループは、多様な用途に対応し、セキュリティ要件の変化に応じてポリシーを変更したり新たに作成したりするために再利用することができます。

NSX のセキュリティ グループ機能の詳細については、表示されている URL から NSX 6.4.x ドキュメント センターをご確認ください。


 

モジュール 3 の終了

実習ラボのモジュール リスト:

実習ラボ責任者:

  • モジュール(1 ~ 6)James Emmons、テクニカル アカウント マネージャ/NSX テクニカル アカウント スペシャリスト、米国

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

モジュール 4: ジャンプ ボックスを使用したユーザー ベースのセキュリティ (45 分)

ジャンプ ボックスを使用したユーザー ベースのセキュリティ


モジュール 4

ジャンプ ボックスを使用したユーザー ベースのセキュリティ


 

はじめに

この実習ラボ モジュールでは、NSX の ID 認証ファイアウォール機能を使用して、ファイアウォール ルールを作成します。この機能は、NSX Manager から Active Directory への接続を使用します。NSX Manager は、Active Directory サーバーのイベント ログをスキャンして、ログインの認証情報とイベントを特定します。ユーザーが仮想マシンにログインすると、その仮想マシンがユーザーの Active Directory グループに基づいてすぐにセキュリティ グループに割り当てられます。セキュリティ グループとファイアウォール ルールを組み合わせることで、環境内でのアクセス制御が可能になります。

この実習ラボでは、異なる Active Directory グループと 2 人のユーザーを使用します。1 人目のユーザーは、環境内のあらゆるアプリケーションにアクセスできるネットワーク管理者で、2 人目のユーザーは、特定の Web ベースの人事アプリケーションのみにアクセスできる人事管理者です。     

 

このモジュールの概要は次のとおりです。

  • NSX と Active Directory のリンクを構成する。
  • Active Directory グループに基づいてセキュリティ グループを作成する。
  • セキュリティ グループを使って IP セットを作成する。
  • 内部アプリケーションのアプリケーション ルールを追加する。
  • Active Directory ベースのルールの確認とテストを実施する。

実習ラボ責任者:

モジュール 4:James Emmons、テクニカル アカウント マネージャ/NSX テクニカル アカウント スペシャリスト、米国

 

 

NSX と Active Directory のリンクの詳細


NSX は、Active Directory と連携し、Active Directory グループを使用して ID 認証ファイアウォール ルールを作成します。


 

ブラウザーと vSphere Web Client(Flash)の起動

 

  • デスクトップにある Chrome のアイコンをダブルクリックします。

 

 

NSX と Active Directory のリンクの詳細

 

  1. [Home] アイコンをクリックします。
  2. [Networking & Security] をクリックします。

 

 

NSX Manager の選択

 

  1. [NSX Home] をクリックします。
  2. [NSX Manager] をクリックします。

 

 

Active Directory の同期

 

  1. Active Directory 同期の成功を確認します。

同期が成功するまでに 2 ~ 3 分かかる場合があります。

Active Directory の接続を構成して同期すると、Active Directory グループをセキュリティ ポリシーに利用することができます。 

 

NSX ゲスト内部監視


ID 認証ファイアウォール(IDFW)ルールを作成する前に、NSX ゲスト内部監視を構成する必要があります。


 

Networking & Security のナビゲーション

 

  1. [Home] アイコンをクリックします。
  2. [Networking & Security] をクリックします。

 

 

ゲスト内部監視の展開

 

  1. [Installation and Upgrade] を選択します。
  2. [Service Deployments] タブを選択します。
  3. [+ ADD] アイコンをクリックして、ゲスト内部監視を展開します。

 

 

ホストでゲスト内部監視のインストールを確認する

 

  1. [Home] アイコンをクリックします。
  2. [Hosts and Clusters] をクリックします。

 

Active Directory グループに基づいたセキュリティ オブジェクトの使用


  1. この実習ラボの例では、Active Directory グループ メンバーシップに基づくセキュリティ オブジェクトを定義して、セキュリティ ポリシーの適用に使用します。

 

前提条件として IP セットとセキュリティ グループを作成

注:モジュール 3 の高度なグループ化で、IP セットとセキュリティ グループを作成していない場合には、まず作成する必要があります。

 

 

新しいファイアウォール ルール セクションの作成(Active Directory グループに基づいたセキュリティ オブジェクト)

 

  1. ナビゲーション ペインで [Firewall] リンクをクリックします。
  2. メニュー アイコン(3 つのドット)を選択します。
  3. [Flow Monitoring & Traceflow Rules] セクションで [Add Section Above] をクリックします。

 

内部アプリケーションのファイアウォール ルールを定義


この実習ラボでは、内部アプリケーションにアプリケーション層間の通信を許可するためのルールを追加する必要があります。 


 

ファイアウォール ルールの追加

 

人事管理者およびネットワーク管理者がそれぞれのロールに基づいて適切なアプリケーションにアクセスできるように、Active Directory ベースのファイアウォール ルールを作成しました。さらに、内部サービス間のアクセスを許可するルールを追加し、デフォルトのファイアウォール ルールを変更してその他のすべてのアクセス(外部アクセスを含む)をブロックする必要があります。

  1. [Firewall] をクリックし、ファイアウォール ルールにアクセスします。

 

 

新しいファイアウォール セクションにルールを追加

 

  1. Internal Services to Internal Services」セクションでメニュー アイコン(3 つのドット)をクリックします。
  2. [Add Rule] をクリックします。

 

 

デフォルトのファイアウォール ルールを変更

 

不要なトラフィックをブロックするために、デフォルトのファイアウォール ルールでブロックを有効にする必要があります。デフォルトのファイアウォール ルールは [Default Section] に表示されます。

  1. [Default Rule] の [Action] 列のドロップダウンをクリックして、アクションとして [Block] を選択し、キーボードで <Enter> を押して選択を実行します。

 

ユーザー ID ベースのルールをテスト


新しく作成されたルールをテストするために、複数のユーザーの Active Directory 認証情報で win12-jump 仮想マシンにログインする必要があります。 


 

ユーザー ID ルールのテスト

 

ドメイン内のジャンプ ボックス (win-12-jump) 仮想マシンのコンソールを開き、Active Directory の AppConfiguration グループまたは Human Resources グループのメンバーとしてログインすれば、新しい ID ベースのルールをテストすることができます。ユーザー Netadmin は、AppConfiguration グループのメンバーであるため、すべての内部アプリケーションまたはアプリケーション層にログインできます。ユーザー HRadmin は、Human Resources グループのメンバーであるため、人事の Web アプリケーションおよび財務の Web アプリケーションのみにログインできます。それぞれのユーザーでログインして複数の 3 層アプリケーションへのアクセスの結果を確認します。

  1. [Home] アイコンをクリックします。
  2. [VMs and Templates] をクリックします。

 

 

ジャンプボックスのコンソールを開く

 

[RegionA01] コンテナを展開し、[win12-jump] を探します。

  1. 各種仮想マシンを展開します。
  2. [win12-jump] を右クリックします。
  3. [Open Console] をクリックします。

 

 

ほかのユーザーに切り替える

 

  1. [Send Ctrl+Alt+Delete] をクリックします。
  2. [Other User] をクリックします。

 

 

NetAdmin としてログイン

 

  1. ユーザー名として「NetAdmin」と入力します。
  2. パスワードは「VMware1!」です。
  3. 矢印をクリックします。

 

モジュール 4 のまとめ


モジュール 4 はこれで終了です。お疲れ様でした。

この実習ラボでは、NSX で ID 認証ファイアウォール機能を使用して内部アプリケーションへのアクセスを制御する方法について説明しました。ネットワーク管理者向けおよび人事管理者向けに Active Directory ベースのファイアウォール ルールを作成しました。これらのルールでは、人事管理者は人事の Web アプリケーションのみに HTTP プロトコルで接続できます。また、ネットワーク管理者はすべてのアプリケーションに任意のプロトコルで接続できます。この方法でアクセスを制御すると、組織内のロールに基づいて適切なアプリケーションに適切なレベルの権限でアクセスできるようになります。


 

モジュール 4 の終了

NSX の ID 認証ファイアウォール機能の詳細については、表示されている URL から NSX 6.4.x ドキュメント センターをご確認ください。

表示されている中から関心のあるモジュールに進んでください。

実習ラボ責任者:

  • モジュール(1 ~ 6)James Emmons、テクニカル アカウント マネージャ/NSX テクニカル アカウント スペシャリスト、米国

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

モジュール 5: アプリケーション ルール マネージャー (30 分)

アプリケーション ルール マネージャの概要


アプリケーション ルール マネージャ(ARM)は、NSX 6.3 で導入された新しいツールセットです。リアルタイムのフロー データを活用して、ゼロトラスト セキュリティ モデルのマイクロセグメンテーションを迅速かつ効率的に計画および実装できます。これにより、Log Insight では処理できないほど規模の大きいアプリケーション(新規または既存のアプリケーション)や、vRealize Network Insight(vRNI)では対処できないほど規模の小さい環境を、新しい方法で保護できるようになります。

ARM は、アプリケーション ワークロードへのフロー、アプリケーション ワークロードからのフロー、およびアプリケーション ワークロード間のフローのデータをリアルタイムで収集して、アプリケーション中心のセキュリティ モデルを実現します。セッションあたり最大 30 台の仮想マシンを監視でき、合計 5 つのセッションを同時に実行できます。ブロックされたフローや、トラフィックをブロックしているファイアウォール ルールを確認することもできます。 

アプリケーション ルール マネージャのワークフローには、次の 3 つのステップがある

  1. アプリケーションを形成する監視対象の仮想マシンを選択します。構成が完了すると、それらの仮想マシンの定義された仮想 NIC (ネットワーク インターフェイス カード) ですべての受信フローと送信フローが監視されます。最大 5 つのセッションで同時にフローを収集できます。
  2. 監視を停止してフロー テーブルを生成します。フローが分析されて、仮想マシン間のやり取りが表示されます。フローをフィルタリングしてフロー レコードを絞り込むこともできる
  3. フロー テーブルを使用してグループ オブジェクトを作成します (セキュリティ グループ、IP アドレス セット、サービスおよびサービス グループ、ファイアウォール ルールなど)。

アプリケーション ルール マネージャ 6.4 では次のような機能が追加されています。

  • フロー データに基づく DFW ルールの自動推奨
  • インテリジェント オブジェクトの自動グループ化
  • アプリケーションとプロトコルの識別を組み込み

この実習ラボ モジュールでは、ARM 6.4 の新しいメリットが使用されています。

  • フロー データから得られる追加のコンテキストを使った、さらに詳細なセキュリティ制御
  • 導入後の運用のためのマイクロセグメンテーション アプリケーションをより容易に実現
  • 導入時間の短縮

実習ラボ責任者:

モジュール 5:James Emmons、テクニカル アカウント マネージャ/NSX テクニカル アカウント スペシャリスト、米国


アプリケーションのマイクロセグメンテーション


このレッスンでは、NSX 6.4.x におけるアプリケーション マイクロセグメンテーションでの新しい変更の例について説明します。


 

Chrome ブラウザーと vSphere Web Client の起動

 

  1. デスクトップにある Chrome のアイコンをダブルクリックします。

 

 

vSphere Web Client にログイン

 

vSphere Web Client(Flash)にまだログインしていない場合:

(ホームページは vSphere Web Client です。それ以外の場合は、Google Chrome のタスクバーで [vSphere Web Client] アイコンをクリックします)。

  1. ユーザー名に「administrator@corp.local」と入力し、パスワードに「VMware1!」 と入力します。
  2. [Login] をクリックします。

 

 

ネットワークとセキュリティ

 

  1. [Home] メニューをクリックします。
  2. [Networking & Security] を選択します。

 

 

[Flow Monitoring] を選択します。

 

  1. [Flow Monitoring] を選択します。
  2. アクティブな「トップ フロー」が収集されていることを確認します(アクティビティは、完了済みの実習ラボ モジュールによって異なることがあります)。

 

 

ライブ フローの作成:フロー監視

次に、ライブ フローを作成します。

 

 

ライブ フロー

 

  1. [Live Flow] タブを選択します。
  2. [Select vNIC] をクリックします。

 

 

仮想マシンの選択

 

  1. hr」と入力して、検索をフィルタリングします。
  2. [hr-web-01a_corp.local] をダブルクリックします。

 

 

仮想 NIC の選択

 

  1. [hr-web-01a_corp.local] ネットワーク アダプター 1 を選択します。
  2. [OK] をクリックします。

 

 

モニタリングの開始

 

  1. [START] をクリックします。

 

 

モニタリングの停止

 

  1. [STOP] をクリックします。

 

 

結果

 

ライブ監視からキャプチャされた送信元と送信先の例を確認します。

 

 

「自動推奨」を使用したアプリケーション ルール マネージャ:HR(人事)アプリケーションの新しいセッションの開始

 

  1. [Navigator] メニューから [Application Rule Manager] タブを選択します。
  2. [+Start Session] をクリックして、アプリケーションのフロー データの収集を開始します。

 

 

新しいセッションの開始

 

[Start New Session] ウィンドウに、次の情報を入力します。

  1. [Session Name] に「HR_DB_App」と入力します。
  2. [Object Type] が「 Virtual Machine」に設定されていることを確認します。
  3. 検索フィールドに「HR」と入力します。

 

 

HR 仮想マシンの選択

 

  1. 3 つの HR 仮想マシン(hr-web-01a_corp.localhr-db-01a_corp.localhr-app-01a_corp.local)の横のチェックボックスをオンにします。
  2. 右向きの矢印をクリックして、3 つの仮想マシンを [Selected Objects] ボックスに移動します。
  3. [Start] をクリックします。

 

 

トラフィック フローの生成: ICMP

アプリケーション ルール マネージャーで人事アプリケーションの 3 台の仮想マシンのフロー データが収集されるようになりました。収集プロセスを長く実行すると、分析しなければならないデータが増えるため、ここではフロー データを 3 分間収集します。

 

 

PuTTY を起動

 

  1. タスクバーで [PuTTY] アイコンをクリックします。
  2. 保存されたセッションのリストから、[hr-web-01a.corp.local] をダブルクリックします(表示するには、下までスクロールする必要があります)。

 

 

Ping

 

  1. ping -c 2 172.16.60.12」と入力します。
ping -c 2 172.16.60.12

注:PuTTY セッションは後で使用するので、閉じないでください。

 

 

Windows コマンド プロンプト

 

  1. メイン コンソールでコマンド プロンプトを開きます。
  2. ping 172.16.60.10」と入力します。
「ping 172.16.60.10」 と入力します。

 

 

さらなるトラフィック フローの生成: HTTPS

 

  1. Chrome ブラウザーの新しいタブを開きます。
  2. [>>] をクリックして、[HR DB App] ブックマークを選択します。

 

 

ページを更新

 

  1. 何度かページを更新して、トラフィック フローを生成します。

 

 

データ収集セッションのキャプチャ

 

3 分以内に [Flow Monitoring] コンソールにフローが表示されます。フローの数は環境によって異なります。

  1. vSphere Web Client に戻り、[Navigator] メニューで [アプリケーション ルール マネージャ] が選択されていることを確認します。

 

 

データ収集の停止

 

 

  1. [HR_DB_App] セッションが選択されていることを確認します。
  2. [STOP] を選択して、キャプチャされたフローの情報を確認します。

 

 

停止の確認

 

  1. [STOP] をクリックして操作を確定します。

 

 

フロー データの確認

 

3 分以内に [Flow Monitoring] コンソールにフローが表示されます。フローの数は環境によって異なります。

  1. [HR_DB_APP Virtual Machines] セッションを選択します。
  2. [Analyze] を選択します。

 

 

セッションの分析

 

  1. この実習ラボでは、[OBJECT] に基づくルールによる推奨事項を選択します。

 

 

分析の完了を待つ

 

  1. 分析が完了するまで待ちます。時間は収集量によって異なります。
  2. [HR_DB_APP] セッションの選択をクリックします。

 

 

結果を表示

 

  1. すぐに実装可能な ARM 推奨ルールを、このアクティビティからファイアウォールにエクスポートまたは発行できることを確認します。ここでは、送信元 IP と送信先 IP、さらに HTTP、HTTPS などのサービスを確認することができます。

 

 

財務アプリケーションの新しいセッションを開始

人事アプリケーションの収集データを分析する前に、財務アプリケーション用の 2 つ目のセッションを構成して、複数のセッションでデータ フローを収集できることを確認します。

 

 

メイン画面に戻る

 

  1. [<] をクリックして、アプリケーション ルール マネージャのメイン画面に戻ります。

 

 

Finance_App 仮想マシンのセッションの開始

 

  1. [Start Session] をクリックします。

 

 

財務アプリケーションの仮想マシンを選択

 

[Start New Session] ウィンドウに、次の情報を入力します。

  1. [Session Name] に「Finance_DB_App」と入力します。
  2. [Object Type] が「 Virtual Machine」に設定されていることを確認します。
  3. 検索フィールドに「fin」と入力します。

 

 

Finance 仮想マシンの選択

 

  1. 3 つの Finance 仮想マシン(fin-web-01a_corp.localfin-db-01a_corp.localfin-app-01a_corp.local)の横のチェックボックスをオンにします。
  2. 右向きの矢印をクリックして、3 つの仮想マシンを [Selected Objects] ボックスに移動します。
  3. [Start] をクリックします。

 

 

財務アプリケーションのデータを収集

 

  1. フローが表示されるまで、1 〜 2 分待ちます。
  2. [Finance_DB_App] を選択します。 
  3. [STOP] を選択します。

 

 

停止の確認

 

  1. [STOP] をクリックして操作を確定します。

 

 

Finance_DB_App の分析

 

  1. 引き続き [Finance_DB_App] が選択されていることを確認します。
  2. [ANALYZE] をクリックします。

 

 

セッションの分析

 

  1. [Object] に基づくルールによる推奨事項が選択されていることを確認します。
  2. [ANALYZE] ボタンをクリックします。

 

 

セッションの確認

 

HR_DB_AppFinance_DB_App の両方のセッションで仮想マシンのフロー データを収集できました。

 

 

送信元の確認

 

  1. [Details] をクリックして、監視されている仮想 NIC を確認します。

 

 

フローの時間の確認

 

  1. フローの収集時刻と収集時間を確認します。

 

 

HR_DB_App のフロー

 

  1. [HR DB App] をクリックします。

 

 

人事アプリケーションの処理後のビュー

 

  1. [Flows] タブをクリックします。
  2. フロー データの分析と処理が完了すると、IP アドレスが仮想マシン名に置き換えられて、オブジェクト間のフローの論理的な関係がわかりやすくなります。

 

 

HR-DB IP アドレス

 

  1. [Destination] 列で [hr-db-01a_corp.local] のエントリーを探し、それをクリックします。
  2. IP アドレスを確認します。172.16.60.12 となっていることを確認します。
  3. [X] をクリックしてウィンドウを閉じます。

 

 

PuTTY セッション

 

 

ARM から得られた情報に基づいて、HR_DB_App(人事アプリケーション)と Finance_DB_App(財務アプリケーション)のアプリケーション内およびアプリケーション間の仮想マシンのマイクロセグメンテーションを実装します。まず、hr-web-01a が hr-db-01a と通信できるかどうか見てみましょう。

PuTTY セッションで、hr-web-01a.corp.local に戻ります。閉じてしまった場合には、もう一度開いて、再接続する必要があります。

172.16.60.12 に対して ping を実行します。次のように入力します。

ping -c 2 172.16.60.12

これで、仮想マシン hr-web-01a が仮想マシン hr-db-01a と直接通信できることを確認できました。これは理想的な状況ではありません。次に、適切なファイアウォール ルールを構成して、3 つの層の仮想マシンの間のトラフィックを制御します。

 

 

「ARM ルール計画」の新しいファイアウォール ルール

  1. [Navigator] メニューから [Application Rule Manager] が選択されていることを確認します。
  2. 作成されたセッション [HR_DB_App] を選択します。
  3. [Rule Planning] タブを選択します。

 

 

 

事前に作成されたルールの更新

 

  1. 送信元(192.168.110.10)を使ってフローで事前に作成されたルールを見つけます。
  2. 送信先(hr-web-01a_corp.local)を使って事前に作成されたルール
  3. サービス(SSH)を使って事前に作成されたルール
  4. [ARM-Recommended] ルールを選択して、名前を変更します。

 

 

Control Center to HR_Web

 

  1. 名前を [Control Center to HR_Web] とし、キーボードで <Enter> キーを押して変更を保存します。

 

 

HTTPS の追加

 

  1. SSH の上にマウスを移動し、編集アイコンをクリックします。

 

 

サービスの指定

 

  1. 検索フィールドに「https」と入力します。
  2. 下へスクロールして、[HTTPS] を表示します。
  3. [HTTPS] の横にあるチェック ボックスを選択します。
  4. 右矢印アイコンをクリックして、HTTPS を [Selected Objects] のボックスに追加します。
  5. [Save] をクリックします。

 

 

推奨された ARM セキュリティ グループを確認

 

  1. [Save] を選択します。

 

 

セキュリティ グループを確認

 

  1. [Control Center to HR_Web] の [Applied To] 列で ARM をクリックします。

 

 

仮想マシンの検証

 

  1. グループに 3 つの HR 仮想マシン(hr-web-01a、hr-db-01a、hr-app-01a)があることを確認します。

3 つの仮想マシンをすべて表示するには、スクロール バーを使用する必要があります。

 

 

推奨された ARM セキュリティ グループを変更

 

  1. [HR_DB_APP Virtual Machines] ARM セッションが選択されていることを確認します。
  2. [Rule Planning] の下の [Security Groups] タブを選択します。

 

 

ARM セキュリティ グループの編集

 

  1. ARM が生成した最初のセキュリティ グループを選択して、名前を変更します。
  2. 選択したセキュリティ グループの [Edit] を選択します。

 

 

HR_Machine_SG

 

  1. 既存のセキュリティ グループの名前を [HR_Machine_SG] に変更します。
  2. [Select Objects to Include] の手順をクリックします。

 

 

仮想マシンの検証

 

  1. このセキュリティ グループのオブジェクトに、hr-app01a、hr-db-01a、hr-web-01a が含まれることを確認します。リストに hr-db-01a と hr-web-01a のみが表示されている場合は、[キャンセル] をクリックして、リスト内の他の ARM セキュリティ グループを選択します。
  2. [Finish] をクリックします。

 

 

推奨された ARM セキュリティ グループを変更(その 2)

 

  1. ARM が生成した 2 つ目のセキュリティ グループを選択して、名前を変更します。
  2. 選択したセキュリティ グループの [Edit] を選択します。

 

 

HR_Machine_DB_WEB

 

  1. 既存のセキュリティ グループの名前を [HR_Machine_DB_WEB] に変更します。
  2. [Select Objects to Include] のリンクをクリックします。

 

 

仮想マシンの検証

 

  1. このセキュリティ グループのオブジェクトに、hr-db-01a、hr-web-01a が含まれていることを確認します。
  2. [Finish] ボタンをクリックします。

 

 

ARM の構成変更の確認

 

  1. 前の手順から名前が変更されていることを確認します。

 

 

ファイアウォール ルール

 

  1. [Firewall Rules] タブをクリックします。

 

 

ARM のファイアウォール変更の確認

 

  1. [Control Center for HR_WEB] ファイアウォール ルールへの変更を確認します。

注:変更を表示するには、表示を更新する必要があることがあります。

 

 

HR_Web to HR_App ファイアウォール ルールの構成

 

  1. hr-app-01a を送信先に、hr-web-01a を送信元に表示している行を選択します。
  2. [Name] フィールドをクリックして、生成された ARM の名前を変更します。

 

 

新しいファイアウォール ルール: HR_Web to HR_App

 

  1. 名前を「HR_Web to HR_App 」と変更して、キーボードの <Enter> キーを押します。
  2. その他の設定はデフォルトのまま、[SAVE] をクリックします。

 

 

新しいファイアウォール ルールの構成: HR_App to HR_DB

 

  1. hr-db-01a を送信先に、hr-app-01 を送信元に表示している行を選択します。
  2. [Name] フィールドをクリックして、生成された ARM のファイアウォール ルールの名前を変更します。

 

 

新しいファイアウォール ルール: HR_App to HR_DB

 

  1. 名前を「HR_App to HR_DB」と変更して、キーボードの <Enter> キーを押します。
  2. その他の設定はデフォルトのまま、[SAVE] をクリックします。

 

 

ファイアウォール ルールの発行

 

  1. [Publish To Firewall] をクリックします。

 

 

ファイアウォールの発行

 

  1. [Section Name] フィールドで、「HR_DB_APP」と入力します。
  2. [OK] をクリックします。

 

 

HR_DB_App ファイアウォール ルールの確認

 

  1. [Navigator] パネルで [Firewall] を選択します。
  2. [+] をクリックして、[HR_DB_APP] セクションを展開します。

ここで、先ほどアプリケーション ルール マネージャで構成したファイアウォール ルールを確認できます。次に、この HR_DB_App をテストして、Web ページは引き続き解決されるがセキュアでないトラフィックはブロックされるようにします。

 

 

デフォルト セクションの展開

 

  1. [+] 記号をクリックして、[Default Section Layer3] セクションを展開します。
  2. 下にスクロールして、[Default Rule] を表示します。

 

 

トラフィックをブロック

 

  1. [Default Rule] の下の、[Action] 列で(表示するにはスクロールする必要があることがあります)、[Allow] を [Block] に変更します。キーボードの <Enter> を押します。

 

 

変更の発行

 

  1. [Publish] ボタンをクリックします。

 

 

HR_DB_App が機能していることの確認

 

[HOL-HR Department] タブを閉じてしまった場合は、次の操作を行います。

  1. Chrome ブラウザーの新しいタブを開きます。
  2. ブックマーク [HR DB App] をクリックします。

HR Employee Salary Database が表示されるはずです。

 

 

アクセスのテスト

 

コマンド プロンプトに戻ります。閉じてしまった場合には、コマンド プロンプトをもう一度開く必要があります。

メイン コンソールから Web、アプリケーション、データベースの各サーバへの ping が成功するかどうかテストします。

  1. ping 172.16.60.10
  2. ping 172.16.60.11
  3. ping 172.16.60.12
「ping 172.16.60.10」 と入力します。
ping 172.16.60.11
ping 172.16.60.12

ICMP トラフィックがブロックされていることがわかります。許可されるトラフィックは HTTPS だけです。

注: この実習ラボでは、web-01a のファイアウォール ルールで SSH が許可されているため、PuTTY でこの仮想マシンにアクセスして次のテストを実行できます。

次に、hr-web-01a への SSH セッションに戻ります。

 

 

PuTTY の起動

 

  1. ping -c 2 172.16.60.12
  2. 約 10 秒後に <Control> + <C> キーを押して終了します。

web-01a から db-01a へのトラフィックがブロックされていることがわかりました。

ping -c 2 172.16.60.12

 

 

モジュール 5 クリーンアップ:デフォルト ルールを [Allow] に設定

 

[Default Section Layer3] を展開します。

  1. [Default Rule] の [Action] 列でドロップダウンを選択します。[Action] で [Allow] を選択します。

 

モジュール 5 のまとめ



 

モジュール 5 の終了

モジュール 5 はこれで終了です。

NSX のアプリケーション ルール マネージャ機能の詳細については、表示されている URL から NSX 6.4.x ドキュメント センターをご確認ください。

表示されている中から関心のあるモジュールに進んでください。

実習ラボ責任者:

  • モジュール(1 ~ 6)James Emmons、テクニカル アカウント マネージャ/NSX テクニカル アカウント スペシャリスト、米国

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

モジュール 6:NSX のトラブルシューティングとメンテナンス(30 分)

vRealize Network Insight を使った NSX のトラブルシューティングとバックアップの概要


NSX 環境の状況を把握する必要がある場合には、vRealize Network Insight(vRNI)にログインすると、複数のアクティブなイベントを確認することができます。特にマイクロセグメンテーション、アプリケーション、ネットワーク、仮想マシン セキュリティなどについて確認できます。この実習ラボでは、リアルタイム イベントの多数のサンプルを提供します。1 つの例では、vRNI/VMware NSX で構成された実習ラボ環境を使って、バックアップ リスクを簡単に示すことができます。 

vRealize Network Insight(vRNI)を使用する理由

VMware vRealize Network Insight により、マルチクラウド環境で、可用性とセキュリティに優れた、最適なネットワーク インフラストラクチャを構築できるほか、マイクロセグメンテーションの迅速な展開、アプリケーション移行時のビジネス リスクの最小化、NSX 環境の確実な管理、拡張が可能です。 

vRealize Network Insight 専用の、追加の HOL 実習ラボをご利用ください。詳細については、次のリンクを参照してください。https://tinyurl.com/zarodvc

NSX でバックアップとリストアを行う理由

すべての NSX コンポーネントのバックアップを適切に作成しておくことは、障害発生時にシステムを正常な状態にリストアするために非常に重要です。NSX Manager のバックアップには、NSX 構成のすべてが含まれます。対象となるのは、コントローラ、論理スイッチとルーティング エンティティ、セキュリティ、ファイアウォール ルールなど、NSX Manager の UI や API で構成するすべてです。

少なくとも、NSX Manager と vCenter のバックアップを定期的に作成することを推奨しますが、すべての VMware 製品で、バックアップ戦略を立てることを推奨します。

バックアップの頻度とスケジュールは、ビジネス ニーズと運用手順によって異なります。構成が頻繁に変更される場合には、高い頻度で NSX のバックアップを行うことを推奨します。NSX Manager ではバックアップを、オンデマンドで、または毎時、毎日、毎週実行するように設定できます。 

次のシナリオでバックアップを行うことを推奨します。

詳細については、次の VMware NSX バックアップ ガイドを参照してください。https://tinyurl.com/y98d98nd

VMware NSX 6.4.x のための VMware のベスト プラクティスについては、次を参照してください。https://tinyurl.com/ycfy45sz

 

実習ラボ アクティビティ

この実習ラボでは、次のタスクをこの順序で行います。

  1. vRealize Network Insight 環境の概要
  2. vSphere Web の vCenter/NSX 環境への「Flash」接続の検証の概要
  3. NSX Manager によるバックアップの構成
  4. vRealize Network Insight による変更された更新の確認
  5. vRealize Network Insight NSX の環境への変更:セキュリティ グループとファイアウォールの例

 

実習ラボ責任者:

モジュール 6 vRealize Network Insight を使った NSX のトラブルシューティングとバックアップ

 


vRealize Network Insight を使った NSX のトラブルシューティングとバックアップ:実習ラボ タスク


vRealize Network Insight の初期レビュー


 

vRealize Network Insight のトラブルシューティング

 

この実習ラボは、説明のため、「メイン コンソール」からすべてのタスクを実行するように構成されています。

1. 「メイン コンソール」に接続していること、「HOL-1903」が定義済みラボとして表示されていることを確認します。

2. この実習ラボのタスクにアクセスするには、Web ブラウザーとして「Google Chrome」を選択します。

 

 

vCenter にログイン

 

表示されている vCenter の「ネットワークとセキュリティ」を確認します。

  1. Google ブラウザーから [vSphere Web (Flash)] のブックマークを選択します。
  2. Web リンクの URL は次のとおりです。https://vca-01a.corp.local/vsphere-client/?csp
  3. ユーザー名「administrator@corp.local」、パスワード「VMware1!」を使って、vCenter にログインします。
  4. [Login] ボタンをクリックします。

 

 

NSX Manager にログイン

 

NSX Manager によるバックアップ タスクの構成:ログイン手順

  1. Google ブラウザーから [HOL Admin] のブックマーク フォルダを選択します。
  2. Google ブラウザーから [nsxmgr-01a] のブックマークを選択します。
  3. Web リンクの URL は次のとおりです。https://nsxmgr-01a.corp.local
  4. ユーザー名「admin」、パスワード「VMware1!」を使って、NSX Manager にログインします。
  5. [Login] ボタンをクリックします。

 

 

NSX バックアップ & リストア ボタン

 

NSX Manager によるバックアップ タスクの構成について説明します。

  1. NSX Manager ダッシュボードから [Backup & Restore] ボタンをクリックします。

 

 

NSX バックアップの構成

 

NSX Manager でバックアップ タスクを構成します。まず FTP サーバを構成します。

  1. バックアップの場所として、次の項目を入力します。
    • IP/ホスト名:192.168.110.91
    • 転送プロトコル:FTP
    • ポート:21
    • ユーザー名:admin
    • パスワード: VMware1!
    • バックアップ ディレクトリ:ftp://192.168.110.91
    • ファイル名のプリフィックス:nsxmgr
    • パスフレーズ:VMware1!
  2. すべての項目を記入したら、[OK] をクリックします。

 

 

NSX バックアップ スケジュールの変更

 

NSX Manager でバックアップ タスクを構成します。FTP バックアップ スケジュールを構成します。

  1. スケジュールの [Change] を選択します。

 

 

vRealize Network Insight:運用とトラブルシューティングのフォローアップ

 

「運用とトラブルシューティング」のフォローアップとして、表示されている変更を確認します。

  1. vRNI の「運用とトラブルシューティング」のホームページには、アラートが表示されています。これは前回のレビュー時以降に変更された項目です。
  2. NSX Manager のバックアップは有効化されましたが、SFTP の優先選択は設定されていません。詳細についてはイベントをクリックします。

 

 

vRealize Network Insight:NSX セキュリティ グループによる環境の変更

 

「運用とトラブルシューティング」のフォローアップとして、このメイン ダッシュボードから表示されている変更を確認します。

  1. [NSX Security Group] をダブルクリックします。

 

NSX Data Center と NSX-PowerOps の概要


NSX Power Operations を使うと、NSX ユーザーは、VMware NSX for vSphere の環境についての文書化を、利用や参照が容易な Microsoft Excel や Visio のファイルを使って行うことができます。この文書化により、分散環境全体について、目的とする状態(構成)だけでなく、実現された状態(たとえばルーティング テーブルや転送テーブル)を取得することができます。このプラットフォームには、さまざまな健全性チェックのツールも組み込まれています。

このツールの詳細と更新については、原作者が設定した次のリンクを参照してください。https://tinyurl.com/ybdsdxf3  

このツール セットを使用するには、少なくとも 3 つの手順が必要です。

  1. ツール セットと必要なサポート アプリケーションをインストールするための完全な手順に従います(これはすでに HOL-1903-NET 実習ラボで完了しています)。
  2. NSX-PowerOps がインストールされているマシンから接続を確立します。
  3. 次のいずれかのタスクを選択して完了します。
    • 環境の文書化
      • すべての NSX コンポーネントの文書化
      • ESXi ホスト情報の文書化
    • ネットワークの文書化
      • Visio のダイアグラム ツールによる NSX 環境の文書化
      • ルーティング情報の文書化
      • ロードバランシング情報の文書化
    • セキュリティの文書化
      • DFW2Excel(小規模環境)を使った Excel による NSX DFW 情報の文書化
      • DFW2Excel(大規模環境)を使った Excel による NSX DFW 情報の文書化

実習ラボ責任者:

モジュール 6:NSX Data Center と NSX-PowerOps:James Emmons、テクニカル アカウント マネージャ/NSX テクニカル アカウント スペシャリスト、米国

 


NSX Data Center と NSX-PowerOps:実習ラボ タスク


NSX-PowerOps を使った NSX 構成の確認


 

NSX-PowerOps の場所の確認

 

NSX-PowerOps の接続の確立:図に示すように続行します(コマンドには引用符を含めないでください)。

  1.  NSX-PowerOps は次のディレクトリにインストールされています。"c:\NSX-PowerOps\nsx-powerops-master\" 

 

 

NSX-PowerOps ツールの開始

 

図に示すように、NSX-PowerOps がインストールされているマシンから接続を確立します。

  1. Windows Server メイン コンソールのショートカットから Windows PowerShell のアイコンを右クリックします。
  2. [Run as Administrator] を選択します。 

 

 

PowerNSX - PowerOps

 

 PowerOPs - PowerNSX が読み込まれます。

VMware Infrastructure への接続を確立します。

1. [NSX PowerOps Main Menu] を確認します。

2. 番号 2 を選択し、接続プロファイルを確立します(これらのタスクを完了するために必須です)。他のオプションを選ぶ前に必ず行わなければなりません(2 を選択します)(1を選択します)。

 

 

 

デフォルト接続プロファイルの選択

 

「デフォルト接続プロファイル」を作成して保存したら、それを選択して、NSX-PowerOps ツールセットの使用を開始します。

  1. 4 を選択します。「4」と入力して、<Enter> キーを押します。
  2. 「X」を選択して、NSX-PowerOps メイン メニューに戻ります(接続プロファイルではなく)。

 

 

文書化タスクのための NSX-PowerOps ツール

 

ここでは、前の手順が正常に実行され、ツールセットが「デフォルト接続」に確実に接続されていることが必要です。

何らかの理由で [NSX PowerOps Main Menu] に接続されていない場合は、「X」をもう一度選択してください。ここで「Q」を選択して終了しないでください。この手順で再度接続するために、監督者の支援が必要となる場合があります。

  1. [NSX PowerOps Main Menu] が表示されていることを確認します。

 

 

PowerOps 文書化ツール

 

  1. (4 を選択)を追加して、PowerOps 文書化ツールのタスクを実行します(他の選択肢も使用できますが、この実習ラボでは対象としていません)。

 

モジュール 6 の学習内容


モジュール 6 はこれで終了です。  


 

モジュール 6 の終了

この実習ラボのすべての項目を確認の上で、NSX のトラブルシューティングに関する追加情報が必要な場合には、VMware の営業担当までお問い合わせください。必要に応じて適切な担当者をご案内させていただきます。また NSX テクニカル アカウント スペシャリストについては、営業担当までお問い合わせください。

NSX のルーティング機能について、さらに詳しい情報が必要な場合は、URL から NSX 6.4.x ドキュメント センターをご確認ください。

表示されている中から関心のあるモジュールに進んでください。

実習ラボのモジュール リスト:

実習ラボ責任者:

  • モジュール(1 ~ 6)James Emmons、テクニカル アカウント マネージャ/NSX テクニカル アカウント スペシャリスト、米国

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

まとめ

VMware ハンズオン ラボにご参加いただき、ありがとうございました。 http://hol.vmware.com/ にアクセスして、引き続きオンラインでハンズオン ラボをご体験ください。

Lab SKU: HOL-1903-02-NET

Version: 20190108-215457