VMware ハンズオン ラボ - HOL-1922-01-NET


実習ラボの概要:HOL-1922-01-NET:VMware NSX Cloud:はじめに

実習ラボのガイダンス


注: この実習ラボの所要時間は 120 分以上を想定しています。1 回のラボ時間あたり 2 〜 3 モジュールを目安に学習してください。モジュールは相互に独立しているため、どのモジュールから開始することも、どの順序で実施することもできます。各モジュールには、目次から直接移動できます。

目次を表示するには、実習ラボ マニュアルの右上の [目次] をクリックします。

VMware NSX Cloud は、Amazon Web Services(AWS)や Microsoft Azure などの、パブリック クラウド環境のネットワークとセキュリティ ポリシーを抽象化し、管理する機能を提供します。

ここでは、最小限のセキュリティで AWS および Azure に展開されているアプリケーションを想定し、VMware NSX Cloud を使用して既存のクラウド環境で NSX による管理で運用の一貫性を実現したり、AWS および Azure で実行されているネイティブ ワークロードにマイクロセグメンテーションを適用したりする方法を学習します。

実習ラボのモジュール リスト:

実習ラボ責任者:

  • 米国、システム エンジニア、ブライアン・ヘイリー(Brian Heili)
  • 米国、ソリューション アーキテクト、プニート・シャウラ(Puneet Chawla)

 

この実習ラボ マニュアルは、次のハンズオン ラボ ドキュメント サイトからダウンロードできます。

http://docs.hol.vmware.com/

一部の実習ラボは、英語以外の言語でも提供されています。 言語設定を変更し、翻訳版のマニュアルを実習ラボで使用する手順については、次のドキュメントを参照してください。

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

免責事項

このセッションには、現在開発中の製品機能が含まれている場合があります。

この新しいテクノロジーに関するセッションおよび概要は、VMware が市販製品にこれらの機能を搭載することを確約するものではありません。

機能は変更される場合があり、したがってどのような種類の契約書、発注書、販売契約書にも含まれてはならないものとします。

技術的な問題とマーケットの需要により、最終的に出荷される製品に影響する場合があります。

ここで述べられたり、提示されたりする新しいテクノロジーまたは機能の価格とパッケージングは、決定されたものではありません。

 

 

メイン コンソールの表示位置

 

  1. 赤い四角の領域には、メイン コンソールが表示されます。実習ラボ マニュアルは、メイン コンソールの右側のタブに表示されます。
  2. 実習ラボによっては、左上の別のタブに追加のコンソールが用意されていることがあります。その場合、実習ラボ マニュアルの説明に従って、指定されたコンソールを開いてください。
  3. この実習ラボでは、開始時に 90 分のタイマーが表示されます。この実習ラボは保存できません。実習ラボを開始したら、そのセッション内ですべての作業を完了してください。必要であれば、[延長] をクリックして時間を延長できます。VMware イベントでご使用の場合は、実習ラボの時間を 2 回まで、最大 30 分延長できます。[延長] を 1 回クリックすると、15 分間延長されます。VMware イベント以外でご使用の場合は、実習ラボの時間を最大 9 時間 30 分延長できます。[延長] を 1 回クリックすると、時間が 1 時間延長されます。

 

 

キーボード以外の方法によるデータ入力

このモジュールでは、メイン コンソールでテキストを入力します。複雑なデータを入力する場合、キーボードから直接入力する以外に、次の 2 つの方法があります。

 

 

クリック アンド ドラッグによるコピー

 
 

実習ラボ マニュアルに記載されているテキストやコマンド ライン インターフェイス (CLI) のコマンドは、クリック アンド ドラッグによってメイン コンソールのアクティブ ウィンドウに直接コピーできます。 

 

 

オンラインの国際キーボードを使用する

 

キーボード配列によっては、特定の文字や記号が入力しにくいことがあります。そのような場合、メイン コンソールに、オンラインの国際キーボードを表示して使用すると便利です。

  1. 国際キーボードを表示するには、Windows のクイック起動タスク バーで、キーボードのアイコンをクリックします。

 

 

アクティブなコンソール ウィンドウをクリック

 

この例では、E メール アドレスで使用される 「@」 記号をオンライン キーボードから入力します。US 配列のキーボードで「@」記号は + <2> キーを押して入力します。

  1. アクティブなコンソール ウィンドウを 1 回クリックします。
  2. <Shift> キーをクリックします。

 

 

<@> キーをクリック

 

  1. キーをクリックします。

アクティブなコンソール ウィンドウに 「@」 記号が入力されました。

 

 

Windows アクティベーションに関するウォーターマーク

 

実習ラボを初めて開始すると、Windows のライセンス認証が完了していないことを知らせるウォーターマーク(透かし)がデスクトップに表示される場合があります。 

仮想化の大きなメリットの 1 つは、仮想マシンを任意のプラットフォームに移動して実行できることです。ハンズオン ラボも、このメリットを活用して複数のデータセンターから実行できるようになっています。 ただし、これらのデータセンターでは必ずしも同じ種類のプロセッサーを使用しているとは限りません。プロセッサーが異なると、インターネット経由で Microsoft のライセンス認証チェックが行われます。

VMware とハンズオン ラボは Microsoft 社のライセンス要件に完全に準拠しているので、安心してご利用ください。 ご利用の実習ラボは自己完結型ポッドであり、Windows のライセンス認証の確認に必要なインターネットへの完全なアクセスがありません。インターネットへの完全なアクセスがないと、この自動プロセスは失敗し、このようなウォーターマークが表示されます。

これは表面上の問題であり、実習ラボへの影響はありません。 

 

 

画面右下でラボの準備完了を確認

 

実習ラボを開始すると、画面の右下の [Lab Status] に準備状況が表示されます。表示が [Ready] になるまでお待ちください。これには数分間かかることがあります。 5 分経過しても [Ready] にならない場合は、サポートにお問い合わせください。

 

モジュール 1:オンプレミスとパブリック クラウドによるハイブリッド環境の概要(30 分)

はじめに


NSX の管理プレーン コンポーネントと制御プレーン コンポーネントに加えて、アプリケーションの一部がオンプレミスのデータセンターでプロビジョニングされています。アプリケーションのフロント エンドの Web 層は、AWS と Azure の両方に展開されています。コンポーネントのインベントリを詳しく見ていきましょう。


ソリューションの概要


この実習ラボには、後のレッスンで必要になる多くの事前設定済みの項目が含まれています。構成されたソリューションの概要および構成されたラボ環境の機能について説明します。

次の構成について説明します。


 

ソリューションの概要

企業がワークロードをパブリック クラウド プロバイダーへ移行する場合、SDDC ネットワークとセキュリティ ポリシーをこれらのパブリック環境に拡張する方法が必要になります。この拡張により、オンプレミス データセンターにあるネイティブ コントロールと同じものを使って、パブリック クラウドでワークロードを実行できるようになります。VMware NSX Cloud を導入することで、エンタープライズ セキュリティ、コンプライアンス、ガバナンスを拡張できるようになります。

NSX は、企業がパブリック クラウド環境で直面する、ネットワークとセキュリティに関する重要な課題に対するソリューションを提供します。

 

 

ソリューションのコンポーネント

 

このソリューションは、次のコンポーネントで構成されています。それぞれのコンポーネントについては、各レッスンで説明します。

 

 

ラボのトポロジー

 

このラボでプロビジョニングされ、各レッスンで使用される環境は、この図のとおりです。この環境を使い、オンプレミス データセンター、Microsoft Azure、Amazon Web Services(AWS)のコンポーネントを使ったアプリケーションを展開する、開発者のシナリオについて説明します。このアプリケーションの導入では、企業基準を満足させるセキュリティ ポリシーが欠けています。そのため、NSX を使用して一貫性のあるポリシーをアプリケーション環境に適用する必要があります。

VMware NSX Cloud の展開には、1 つまたは複数のパブリック クラウド環境が必要です。NSX 管理プレーン コンポーネント(NSX Manager と Cloud Services Manager)および制御プレーン(NSX Controller)コンポーネントは、オンプレミス データセンターで事前構成されています。

 

ラボ検証


この実習ラボには、後のレッスンで必要になる多くの事前設定済みの項目が含まれています。構成されたソリューションの概要および構成されたラボ環境の機能について説明します。

次の構成について説明します。


 

実習ラボの状態が Ready であることを確認

 

画面の右下部分で、すべての起動ルーチンが完了し、開始する準備ができていることを確認してください。表示が [Ready] になったことを確認して、学習を開始してください。[Ready] になるまで数分間かかります。 5 分経過しても [Ready] にならない場合は、サポートにお問い合わせください。

実習ラボが「Ready」の状態でないまま進行すると、実習ラボを行うことができなくなります。

 

 

ラボのプロビジョニング ステータス表示のページ

ラボのプロビジョニングのうち、AWS と Azure の部分は進行中です。ステータス確認の Web ページで、このラボ環境のスタートアップとして AWS および Azure でプロビジョニングされるラボ リソースの状態を確認できます。

注:Amazon Web Services および Microsoft Azure でプロビジョニングされたリソースは、HOL 環境のメイン コンソールからのみアクセスできます。

このラボのプロビジョニングには 10 〜 15 分かかります。

 

 

Google Chrome を開く

 

  1. Windows のクイック起動タスク バーで Chrome アイコンをクリックします。

 

 

アカウント情報のページ

 

Chrome のスタートページは、アカウント情報およびラボのプロビジョニング ステータスを表示するページに設定されています。

  1. [Email Address] フィールドに、ラボへの登録時に使用したメール アドレスを入力します。
  2. [Password] フィールドに 「VMware1!」 と入力します。
  3. [Login] をクリックします。

 

 

ラボのプロビジョニングの完了

 

プロビジョニングのプロセスが完了すると、アカウント情報のページが表示されます。この処理には、10 〜 15 分かかる場合があります。ラボ モジュールを進める間、このページをときどき確認してください。

 

パブリック クラウドへの VPN 接続の確立


この実習ラボ用の、AWS と Azure の両方への VPN 接続が確立されています。簡単な ping を使用して、Web フロントエンドへのアクセスを確認します。

注:いずれかの ping テストが失敗した場合は、実習ラボを進行する前に、インストラクターに確認してください。


 

コマンド プロンプトを開く

 

  1. Windows のクイック起動タスク バーで コマンド プロンプト アイコンをクリックします。

 

 

Azure Web インスタンスに ping を実行

 

  1. 次のコマンドを入力して、Azure Web フロントエンド インスタンスに ping を実行し、接続をテストします。
ping 172.18.10.4

 

 

Azure 接続の確立

 

応答を受信した場合、Azure との接続が確立されています。

 

 

AWS Web インスタンスに ping を実行

 

  1. 次のコマンドを入力して、AWS Web フロントエンド インスタンスに ping を実行し、接続をテストします。
ping 172.15.10.4

 

 

AWS 接続の確立

 

応答を受信した場合、AWS との接続が確立されています。

 

オンプレミス環境の概要


オンプレミスのデータセンター環境には、NSX の管理プレーン コンポーネントおよび制御プレーン コンポーネント、さらにこのラボで保護を行うアプリケーションのためのさまざまな仮想マシンが含まれています。


 

オンプレミスのトポロジー

 

ハンズオン ラボの vPod 環境は、オンプレミス データセンター環境として機能しています。NSX の管理プレーン コンポーネントおよび制御プレーン コンポーネントを展開しました。さらに、AWS および Azure 環境で実行されるフロントエンド Web 仮想マシンをサポートする、4 つのアプリケーション仮想マシンとデータベース仮想マシンも展開しました。

注:実習ラボの開始までの時間を短縮するため、NSX の展開は実習ラボに必要な最小限のみに抑えられています。これは推奨またはサポートされる展開モデルではありません。

 

 

新しいブラウザ タブを開きます。

 

  1. Google Chrome で空のタブをクリックして、新しいブラウザー タブを開きます。

 

 

vCenter を開く

 

  1. [vCenter] ブックマークをクリックします。

 

 

vCenter にログイン

 

  1. [User name] に「administrator@corp.local」と入力します。
  2. [Password] テキスト フィールドに 「VMware1!」 と入力します。
  3. [Login] をクリックします。

 

 

インベントリを展開

 

  1. [RegionA01] をクリックして展開します。
  2. [RegionA01-COMP01] をクリックして、展開します。

 

 

仮想マシンのインベントリ

 

NSX の管理プレーンと制御プレーンの仮想マシン、およびオンプレミス データセンターを実行している 4 つのアプリケーション仮想マシンが表示されます。

  1. 3 つの NSX 管理プレーンと制御プレーンの仮想マシンが展開されました。
  2. 4 つのオンプレミス アプリケーション仮想マシンが展開されました。

注:NSX 仮想マシンの機能については、モジュール 3 で説明します。

 

Microsoft Azure 環境の概要


ラボ環境で構成された Microsoft Azure アプリケーション コンポーネントを確認します。


 

コンピューティング仮想ネットワーク

 

Azure のコンピューティング VNET では、次のコンポーネントが構成されています。

Azure サービス

アプリケーション Web 層仮想マシン

図に示されている NSX Cloud Gateway は、このあとのラボ演習で展開します。

 

Microsoft Azure 管理コンソールへのアクセス


このラボの Web フロントエンド アプリケーション仮想マシンは、Azure で実行されています。ラボの実習中に、インベントリと構成を確認するために Azure 管理コンソールにアクセスする必要があります。このレッスンでは、Azure 管理コンソールにアクセスします。


 

Azure 管理コンソールにアクセス

 

  1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。

 

 

Azure 管理コンソールの URL を開く

 

  1. [Console URL] のリンクをクリックし、新しいブラウザー タブで Azure 管理コンソールに接続します。

 

 

Azure E メールの入力

 

  1. アカウント情報のページから Azure アカウントの E メール アドレス(ユーザー名)をコピーして入力します。
  2. [Next] をクリックします。

 

 

 

Azure パスワードの入力

 

  1. アカウント情報のページから Azure アカウントのパスワードをコピーして入力します。
  2. [Sign in] をクリックします。

 

 

 

サインインしたままにしない

 

  1. この画面が表示されたら、[No] をクリックします。

 

 

Azure 管理コンソール

 

Azure 管理コンソールのページが表示されます。

 

Microsoft Azure のインベントリの確認


このレッスンでは、ソリューションの一部に含まれる Microsoft Azure のコンポーネントについて学習します。

注意:Azure のインベントリ画面には、削除、終了、切断された項目など、本書のスクリーンショットとは異なる項目が表示される場合があります。これらは以前のラボ環境からは削除されたものの、Azure の UI には残っている項目です。


 

構成された仮想ネットワークの確認

 

  1. Azure 管理コンソールの左側にある [Virtual networks] をクリックします。

 

 

構成された仮想ネットワークの確認

 

この Azure リージョンでは、単一の仮想ネットワークが構成されており、そこでアプリケーション仮想マシンが展開されています。

 

 

[Virtual Machines (仮想マシン)] をクリック

 

  1. Azure コンソールの左側にある [Virtual machines] をクリックします。

 

 

Azure アプリケーション仮想マシンの確認

 

この実習ラボでは 3 つの仮想マシンが実行されています。

 

 

Web 仮想マシンの選択

 

  1. 仮想マシン [hol1922-ps-web01] を選択します。

 

 

[Networking] をクリックします。

 

  1. [Networking] をクリックします。

 

 

構成済みのネットワーク セキュリティ グループ

 

ネットワーク セキュリティ グループが 1 つ構成されています。構成されたルールについては、モジュール 2 で詳しく説明します。

 

Amazon Web Services 環境の概要


ラボ環境で構成された Amazon Web Services アプリケーションを確認します。


 

コンピューティング VPC

 

AWS のコンピューティング VPC では、次のコンポーネントが構成されています。

AWS のサービス

アプリケーション Web 層インスタンス

図に示されている NSX Cloud Gateway は、このあとのラボ演習で展開します。

 

Amazon Web Services マネジメント コンソールへのアクセス


このラボの Web フロントエンド アプリケーション インスタンスは Amazon Web Services で実行されています。ラボの実習中に、インベントリと構成を確認するために AWS マネジメント コンソールにアクセスする必要があります。このレッスンでは、AWS マネジメント コンソールへのアクセス方法を学習します。


 

AWS マネジメント コンソールにアクセス

 

  1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。

 

 

AWS マネジメント コンソールの URL を開く

 

  1. [Console URL] をクリックし、新しいブラウザー タブで AWS マネジメント コンソールに接続します。

 

 

AWS マネジメント コンソールにログイン

 

  1. [IAM User Name] に「vmware_hol_user」と入力します。注:アカウントはラボ環境によって異なります。
  2. アカウント情報のページの [Password] に表示されているパスワードを入力するか、コピーします。
  3. [Sign In] ボタンをクリックします。

 

 

 

AWS マネジメント コンソール

 

AWS マネジメント コンソールのページが表示されます。

 

 

ブラウザーのズーム

 

ラボの各画面を見やすくするため、Chrome のズーム設定を 90 % 以下に縮小することをおすすめします。

  1. ブラウザーの右上隅にあるメニュー アイコンをクリックして、ドロップダウン メニューを開きます。
  2. [Zoom] の横にある [-] をクリックして、90 % に設定します。

 

 

リージョンを選択

 

コンソールで表示するリソースが、北カリフォルニアのリージョンのものであることを確認します。別のリージョンが選択されていると、このラボのリソースが表示されません。

  1. 右上の [Support] の左にあるリージョン名をクリックします。
  2. [US West (N. California)] を選択します。

 

Amazon Web Services のインベントリの確認


このレッスンでは、ソリューションの一部に含まれる Amazon Web Services および NSX のコンポーネントについて学習します。

注意:AWS のインベントリ画面には、削除、終了、切断された項目など、本書のスクリーンショットとは異なる項目が表示される場合があります。これらは以前のラボ環境からは削除されたものの、AWS の UI には残っている項目です。


 

構成済みの仮想プライベート クラウドを確認

 

  1. AWS マネジメント コンソールの左上にある [Services] をクリックします。
  2. [Network & Content Delivery] の下にある [VPC] をクリックします。

 

 

ダッシュボードの VPC をクリック

 

  1. 左の [VPC Dashboard] のすぐ下にある [Your VPCs] をクリックします。

 

 

構成済みの VPC を確認

 

この AWS リージョンでは、単一の VPC が構成されており、そこでアプリケーション インスタンスが展開されています。VPC ID はラボ ポッドごとに異なります。

 

 

[Security Groups] をクリック

 

  1. 左の [Security] の下にある [Security Groups] をクリックします。

 

 

構成済みのセキュリティ グループを確認

 

EC2 インスタンスが VPC 内外で通信できるように、コンピューティング VPC で使用するセキュリティ グループが構成されています。構成されたルールについては、モジュール 2 で詳しく説明します。

 

 

EC2 をクリック

 

  1. AWS マネジメント コンソールの左上にある [Services] をクリックします。
  2. [Compute] のすぐ下にある [EC2] をクリックします。

 

 

[Instances] をクリック

 

  1. 左の [EC2 Dashboard] の下にある [Instances] をクリックします。

 

 

UI の変更の確認

 

  1. この通知が表示されたら、[X] をクリックして、画面を閉じます。

 

 

列の拡大

 

  1. 列のハンドルをクリックしてドラッグし、[Name] 列を拡大します。

 

 

NSX EC2 インスタンスを確認

 

この実習ラボでは 3 つの EC2 インスタンスが実行されています。

 

まとめ


モジュール 1 はこれで終了です。各場所で管理コンソールに正常にログインして、マルチクラウド環境に展開されてアプリケーションをサポートしている、ソリューションのコンポーネントを確認しました。


 

これで、モジュール 1 は終了です

モジュール 2 の 「アプリケーション機能の検証」 に進んでください。または、ほかの興味のあるモジュールに進むこともできます。

 

モジュール 2: アプリケーション機能の検証 (15 分)

はじめに


このラボ シナリオでは、アプリケーション開発者によって、マルチサービス アプリケーションが Amazon Web Services および Microsoft Azure に展開されています。アプリケーションのサービスの大部分は、オンプレミス データセンターに展開されています。追加のインスタンスは、Web フロントエンド用に AWS と Azure の両方に展開されています。


 

アプリケーション図

 

アプリケーションは、オンプレミス、Amazon Web Services、Microsoft Azure にわたって展開されている複数のサービスで構成されています。

フロントエンド サービスのインスタンスは、AWS と Azure で展開されます。残りの API、DB、Redis、ADSB サービスは、オンプレミスのデータセンターで実行されます。航空機の位置の更新情報は、インターネットからオンプレミスのデータセンターに送られます。

 

セキュリティ ポリシーの確認


開発者がアプリケーション Web フロントエンドの展開時に適用したセキュリティ ポリシーを確認します。NSX が展開されていないため、Amazon Web Services および Microsoft Azure で構成されたセキュリティ ポリシーが適用されています。

オンプレミスのアプリケーション仮想マシンには、セキュリティ ポリシーは適用されていません。オンプレミスのアプリケーション仮想マシンは、NSX の展開と構成の間も保護されます。


 

Google Chrome を開く

 

  1. Windows のクイック起動タスク バーで [Chrome] アイコンをクリックします(または Chrome がすでに実行されている場合には、それを開きます)。

 

 

アカウント情報のページ

 

Chrome のスタートページは、アカウント情報およびラボのプロビジョニング ステータスを表示するページに設定されています。前のレッスンからの続きで、すでにアカウント情報のタブが開いている場合は、そのまま次のステップへ進んでください。

  1. [Email Address] フィールドに、ラボへの登録時に使用したメール アドレスを入力します。
  2. [Password] フィールドに 「VMware1!」 と入力します。
  3. [Login] をクリックします。

 

 

ラボのプロビジョニングの完了

 

プロビジョニングのプロセスが完了すると、アカウント情報のページが表示されます。この処理には、10 〜 15 分かかる場合があります。ラボ モジュールを進める間、このページをときどき確認してください。

 

 

AWS マネジメント コンソールの URL を開く

 

  1. [Console URL] をクリックして新しいブラウザー タブを開き、AWS マネジメント コンソールに接続します(または、Chrome で AWS にすでにログインしている場合には、そのタブを開きます)。

 

 

AWS マネジメント コンソールにログイン

 

  1. [IAM User Name] に「vmware_hol_user」と入力します。
  2. アカウント情報のページの [Password] に表示されているパスワードを入力するか、コピーします。
  3. [Sign In] ボタンをクリックします。

 

 

 

ブラウザーのズーム

 

ラボの各画面を見やすくするため、Chrome のズーム設定を 90 % 以下に縮小することをおすすめします。

  1. ブラウザーの右上隅にあるメニュー アイコンをクリックして、ドロップダウン メニューを開きます。
  2. [Zoom] の横にある [-] をクリックして、90 % に設定します。

 

 

リージョンを選択

 

コンソールで表示するリソースが、北カリフォルニアのリージョンのものであることを確認します。

  1. 右上の [Support] の左にあるリージョン名をクリックします。
  2. [US West (N. California)] を選択します。

 

 

EC2 ダッシュボードへ移動

 

  1. AWS マネジメント コンソールの左上にある [Services] をクリックします。
  2. [Compute] のすぐ下にある [EC2] をクリックします。

 

 

展開済みのインスタンスへ移動

 

  1. 左の [EC2 Dashboard] の下にある [Instances] をクリックします。

 

 

UI の変更の確認

 

  1. この通知が表示されたら、[X] をクリックして、画面を閉じます。

 

 

列の拡大

 

  1. 列のハンドルをクリックしてドラッグし、[Name] 列を拡大します。

 

 

hol1922-ps-web01 インスタンスを選択

 

  1. hol1922-ps-web-01 インスタンスを選択します。

 

 

インバウンド ルールを開く

 

  1. インスタンスを選択し、画面の下部に表示される [Description] タブで [view inbound rules] をクリックします。このインスタンスには、コンピューティング VPC 用の AWS セキュリティ グループが設定されています。

 

 

構成済みの AWS のセキュリティ ポリシーを確認

 

このインスタンスに適用されているポリシーが一覧表示されます。HOL メイン コンソールからの Web トラフィックおよび SSH トラフィックが許可されています (送信元 IP 範囲はこの例と異なる場合があります)。AWS の VPC 環境内では、すべてのトラフィックが許可されています。

 

 

アカウント情報のタブを開く

 

  1. Google Chrome でアカウント情報タブをクリックします。

 

 

Azure 管理コンソールの URL を開く

 

  1. [Console URL] をクリックして新しいブラウザー タブを開き、Azure 管理コンソールに接続します(または、Chrome で Azure にすでにログインしている場合には、そのタブを開きます)。

 

 

Azure E メールの入力

 

  1. アカウント情報のページから Azure アカウントの E メール アドレスをコピーして入力します。
  2. [Next] をクリックします。

 

 

 

Azure パスワードの入力

 

  1. アカウント情報のページから Azure アカウントのパスワードをコピーして入力します。
  2. [Sign in] をクリックします。

 

 

 

サインインしたままにしない

 

  1. この画面が表示されたら、[No] をクリックします。

 

 

Azure 管理コンソール

 

Azure 管理コンソールのページが表示されます。

 

 

[Virtual Machines (仮想マシン)] をクリック

 

  1. Azure コンソールの左側にある [Virtual machines] をクリックします。

 

 

Web 仮想マシンの選択

 

  1. 仮想マシン [hol1922-ps-web01] を選択します。

 

 

[Networking] をクリックします。

 

  1. [Networking] をクリックします。

 

 

構成済みのネットワーク セキュリティ グループ

 

この仮想マシンに適用されているポリシーが一覧表示されます。HOL メイン コンソールからの Web トラフィックおよび SSH トラフィックが許可されています (送信元 IP 範囲はこの例と異なる場合があります)。仮想ネットワーク内で発生する、アプリケーション仮想マシン間のすべてのトラフィックが許可されています。

 

Azure アプリケーションの確認


アプリケーションの Web フロントエンドは、開発者によって Microsoft Azure に展開されています。NSX を使用したアプリケーション保護については、後ほどのレッスンで説明します。ここでは、NSX より前の段階のアプリケーション機能について確認します。


 

アカウント情報にアクセス

 

  1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。

 

 

Web インスタンスの情報を確認

 

  1. Azure の [Web Frontend Instance Public URL] リンクをクリックし、新しいブラウザー タブを開いて、アプリケーションに接続します。

 

 

アプリケーションが機能していることを確認

 

アプリケーションが機能していることを確認します。ページに表示されているサーバーの IP アドレスに注目します。Web フロントエンドが動作していることを確認できました。引き続き、残りのアプリケーション コンポーネントのテストを行います。

  1. [App Health] をクリックします。

 

 

Azure アプリケーションの健全性

 

すべてのアプリケーション コンポーネントは、Azure とオンプレミス データセンター間で適切に通信を行っています。

 

AWS アプリケーションの確認


アプリケーションの Web フロントエンドは、開発者によって Amazon Web Services に展開されています。NSX を使用したアプリケーション保護については、後ほどのレッスンで説明します。ここでは、NSX より前の段階のアプリケーション機能について確認します。


 

アカウント情報にアクセス

 

  1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。

 

 

Web インスタンスの情報を確認

 

  1. AWS の [Web Frontend Instance Public URL] リンクをクリックし、新しいブラウザー タブを開いて、アプリケーションに接続します。

 

 

アプリケーションが機能していることを確認

 

アプリケーションが機能していることを確認します。ページに表示されているサーバーの IP アドレスに注目します。Web フロントエンドが動作していることを確認できました。引き続き、残りのアプリケーション コンポーネントのテストを行います。

  1. [App Health] をクリックします。

 

 

AWS アプリケーションの健全性

 

すべてのアプリケーション コンポーネントは、AWS とオンプレミス データセンター間で適切に通信を行っています。

 

アプリケーション環境のポート スキャンの実行


未知のハッカーをシミュレートするため、nmap がメイン コンソールにインストールされ、オンプレミス データセンター、Amazon Web Services、Microsoft Azure のアプリケーション環境のポート スキャンを行えるようにしてあります。これから、アプリケーションのフロントエンド Web サーバとオンプレミス仮想マシンの IP アドレスのスキャンを行い、開いているポートを検査します。


 

nmap を開く

 

  1. タスクバーで [Zenmap nmap] アイコンをクリックします。

 

 

オンプレミス アプリケーションの IP サブネット範囲の nmap スキャンを実行

 

  1. 次のコマンドを [Command] ボックスにコピーまたは入力します(まず、ボックスに残っている既存のコマンドをすべて消去します)。
nmap -p 10-10000 -T5 -Pn --open 192.168.120.11-14
  1. [Scan] をクリックして、スキャンを開始します。

ここでは、スキャン時間を短縮し、結果を見やすくするために、nmap で次のオプションを使用しています。

  • -p 10-10000:最初の 10,000 ポートのスキャンを実行
  • -Pn:ping チェックを省略
  • -T5:もっとも高速なタイミング テンプレートを使用
  • --open:開いているポートと開いている可能性があるポートのみを表示
  • 192.168.120.11-14:スキャン対象の IP アドレス範囲を限定

 

 

オンプレミス仮想マシンのスキャン結果を確認

 

すべてのアクセスに対して開かれている、次のような結果が表示されます。さらに、すべての仮想マシンで SSH(ポート 22)が開かれていることが表示されます。

  • ps-api01a 仮想マシン(.11)では、ポート 80 が開かれています。
  • ps-db01a 仮想マシン(.12)では、ポート 3306 が開かれています。
  • ps-redis01a 仮想マシン(.13)では、ポート 6379 が開かれています。

これは、すべての仮想マシンとインスタンスから、データベースと Redis サービスへの直接アクセスが可能であることを意味します。環境内でのこの水平方向の動作は危険であり、さらなる攻撃や乱用の可能性を開いています。

 

 

Web サーバの nmap スキャンの実行

 

  1. 次のコマンドを [Command] ボックスにコピーまたは入力します(IP アドレスの間のスペースに注意します)。
nmap -F -Pn -T5 --open 172.18.10.4 172.15.10.4
  1. [Scan] をクリックして、スキャンを開始します。

ここでは、スキャン時間を短縮し、結果を見やすくするために、nmap で次のオプションを使用しています。

  • -F:ポートを限定してスキャンを高速化
  • -Pn:ping チェックを省略
  • -T5:もっとも高速なタイミング テンプレートを使用
  • --open:開いているポートと開いている可能性があるポートのみを表示
  • 172.18.10.4 172.15.10.4:2 つの IP アドレスのみをスキャン

 

 

Web サーバのスキャン結果を確認

 

AWS と Azure の Web サーバはどちらも、すべてのアクセスに対してポート 80 および SSH(ポート 22)が開かれています。

 

まとめ


モジュール 2 はこれで終了です。オンプレミス データセンター、AWS、Azure 内で、アプリケーションが機能していることを確認しました。また、適用されているセキュリティ ポリシーを確認し、アプリケーションのコンポーネントが不必要なアクセスに対して公開されており、悪意のある攻撃の潜在的な対象になっていることがわかりました。最後に、一般的なセキュリティ スキャナーを使用して、これらの開いているポートと利用可能なアクセスを検証しました。


 

これで、モジュール 2 は終了です

モジュール 3 の 「NSX 管理コンポーネントの概要」 に進んでください。または、ほかの興味のあるモジュールに進むこともできます。

 

モジュール 3:NSX 管理コンポーネントの概要(15 分)

はじめに


VMware NSX Cloud ソリューションでは、独立した仮想マシンがオンプレミス データセンター環境に展開され、ソリューションの管理および運用に使用するユーザー インターフェイスをサポートします。次のインスタンスがあります。

  • NSX Cloud Services Manager
  • NSX Manager

NSX Cloud Services Manager を使用すると、AWS および Azure に展開された NSX コンポーネントのライフサイクル全体を管理し、NSX Manager とパブリック クラウドのインベントリを包括的に把握できます。NSX Cloud Services Manager には次のような機能も含まれています。

  • NSX Cloud Gateway の展開とアップグレード
  • NSX Cloud Gateway 経由の NSX Agent のアップグレード
  • バックアップとリストア

NSX Manager で提供されるグラフィカル ユーザー インターフェイス (GUI) と REST API を使用すると、NSX Controller や論理スイッチなどの NSX コンポーネントを作成、構成、監視できます。NSX Manager は、NSX のエコシステムにおける管理プレーンです。統合ビューを提供する、NSX の一元的なネットワーク管理コンポーネントです。NSX で作成した仮想ネットワークに接続されているワークロードを、監視およびトラブルシューティングする機能も提供します。また、次の項目を構成およびオーケストレーションする機能も提供されます。

  • 論理ネットワーク コンポーネント: 論理スイッチングおよびルーティング
  • ネットワーク サービスと Edge サービス
  • セキュリティ サービスと分散ファイアウォール

ラボ検証


このモジュールでは、レッスンを完了するために、Microsoft Azure と Amazon Web Services への接続が必要となります。ここでは、少し時間を取ってこの接続を確認します。特にこのモジュールの前の 3 つのモジュールを完了していない場合には、必ず接続を確認してください。


 

実習ラボの状態が Ready であることを確認

 

画面の右下部分で、すべての起動ルーチンが完了し、開始する準備ができていることを確認してください。表示が [Ready] になったことを確認して、学習を開始してください。[Ready] になるまで数分間かかります。 5 分経過しても [Ready] にならない場合は、サポートにお問い合わせください。

実習ラボが「Ready」の状態でないまま進行すると、実習ラボを行うことができなくなります。

 

 

ラボのプロビジョニング ステータス表示のページ

ラボのプロビジョニングのうち、AWS と Azure の部分は進行中です。ステータス確認の Web ページで、このラボ環境のスタートアップとして AWS および Azure でプロビジョニングされるラボ リソースの状態を確認できます。

注:Amazon Web Services および Microsoft Azure でプロビジョニングされたリソースは、HOL 環境のメイン コンソールからのみアクセスできます。

このラボのプロビジョニングには 10 〜 15 分かかります。

 

 

Google Chrome を開く

 

  1. Windows のクイック起動タスク バーで Chrome アイコンをクリックします。

 

 

アカウント情報のページ

 

Chrome のスタートページは、アカウント情報およびラボのプロビジョニング ステータスを表示するページに設定されています。

  1. [Email Address] フィールドに、ラボへの登録時に使用したメール アドレスを入力します。
  2. [Password] フィールドに 「VMware1!」 と入力します。
  3. [Login] をクリックします。

 

 

ラボのプロビジョニングの完了

 

プロビジョニングのプロセスが完了すると、アカウント情報のページが表示されます。この処理には、10 〜 15 分かかる場合があります。ラボ モジュールを進める間、このページをときどき確認してください。

 

NSX Cloud Services Manager へのログイン


NSX Cloud Services Manager の機能の 1 つは、NSX とパブリック クラウド環境のインベントリの包括的な把握を可能にすることです。このレッスンでは、NSX Cloud Services Manager へのログイン方法を学習します。


 

新しいブラウザ タブを開きます。

 

  1. Google Chrome で空のタブをクリックして、新しいブラウザー タブを開きます。

 

 

NSX Cloud Services Manager ブックマーク

 

  1. [CSM] ブックマークをクリックして、NSX Cloud Services Manager コンソールに接続します。

 

 

証明書の検証

 

ハンズオン ラボの環境の一部はオンデマンドで構築されるため、証明書の信頼性は確立されていません。本番環境では、信頼性の高い証明書を生成し、接続を保護する必要があります。ここでは、次の手順のとおりに進めます。

  1. [Advanced] をクリックします。
  2. [Proceed] のリンクをクリックします。

 

 

NSX Cloud Services Manager にログイン

 

  1. [Username] フィールドに 「admin」 と入力します。
  2. [Password] フィールドに 「VMware1!」 と入力します。
  3. [Log In] をクリックします。

 

構成済みの AWS アカウントとインベントリの確認


NSX Cloud Services Manager を使用すると、NSX および AWS インベントリを包括的に把握できます。NSX Cloud Services Manager によってレポートされたインベントリを確認し、AWS のインベントリと照合します。


 

CSM の構成とインベントリ

 

  1. [Clouds] をクリックします。
  2. [AWS] をクリックします。

 

 

AWS のアカウント情報を確認

 

AWS のアカウント情報は、Cloud Services Manager によってすでに設定されています。この情報はラボ ポッドごとに異なります。

 

 

構成済みの VPC 数を確認

 

この AWS アカウントで構成済みの VPC は、さまざまなリージョンにわたり、複数あります。

 

 

構成済みのインスタンス数を確認

 

この AWS アカウントでは 3 個のインスタンスが構成されています。

 

 

[VPCS] をクリック

 

  1. [VPCs] をクリックします。

 

 

VPC のビューを絞り込む

 

  1. [Region] のプルダウン メニューから [us-west-1] を選択して、VPC のビューを絞り込みます。

 

 

 

VPC を確認

 

これらが、前のレッスンの AWS のインベントリで説明した VPC です。

 

 

VPC が NSX に管理されていないことを確認

 

コンピューティング VPC のレポートでは、[NSX Managed] が [No] であることが確認できます。後ほどこのラボで、この VPC に NSX コンポーネントを展開して、実行中の AWS EC2 インスタンスを管理する方法を確認します。

 

 

[Instances] をクリック

 

  1. [Instances] をクリックします。

 

 

インスタンスが NSX に管理されていないことを確認

 

AWS のインベントリに表示されたアプリケーションの AWS EC2 インスタンスと同じものが、一覧にあることがわかります。NSX コンポーネントが展開されていないため、NSX のステータスを示す丸は緑色ではありません。

 

構成済みの Azure アカウントとインベントリの確認


NSX Cloud Service Manager を使用すると、NSX および Azure インベントリを包括的に把握できます。NSX Cloud Service Manager によってレポートされたインベントリを確認し、Azure のインベントリと照合します。


 

CSM の構成とインベントリ

 

  1. 左側の [Azure] をクリックします。

 

 

Azure のアカウント情報を確認

 

Azure のアカウント情報は、Cloud Services Manager によってすでに構成されています。この情報はラボ ポッドごとに異なります。

 

 

構成済みの VNet 数を確認

 

この Azure アカウントでは、仮想ネットワークが 1 つ構成されています。

 

 

構成済みのインスタンス数を確認

 

この Azure アカウントでは 3 個のインスタンスが構成されています。

 

 

[VNets] をクリック

 

  1. [VNets] をクリックします。

 

 

VNet を確認

 

これらが、前のレッスンの Azure のインベントリで説明した VNet です。

 

 

VNet が NSX に管理されていないことを確認

 

VNet のレポートでは、[NSX Managed] が [No] であることが確認できます。後ほどこのラボで、この VNet に NSX コンポーネントを展開して、実行中の Azure 仮想マシンを管理する方法を確認します。

 

 

[Instances] をクリック

 

  1. [Instances] をクリックします。

 

 

インスタンスが NSX に管理されていないことを確認

 

Azure のインベントリに表示された、アプリケーション用の Azure 仮想マシンと同じものが、一覧にあることがわかります。NSX コンポーネントが展開されていないため、NSX のステータスを示す丸は緑色ではありません。

 

NSX Manager へのログイン


NSX Manager はソリューションの統合管理プレーンに位置付けられ、これを使用してアプリケーションのセキュリティ ポリシーを構成し、Amazon Web Services と Microsoft Azure への NSX の展開を検証します。このレッスンでは、NSX Manager へのログイン方法を学習します。


 

新しいブラウザ タブを開きます。

 

  1. Google Chrome で空のタブをクリックして、新しいブラウザー タブを開きます。

 

 

NSX Manager ブックマーク

 

  1. [NSX Manager] ブックマークをクリックして、NSX Manager コンソールに接続します。

 

 

NSX Manager にログイン

 

  1. [Username] フィールドに 「admin」 と入力します。
  2. [Password] フィールドに 「VMware1!」 と入力します。
  3. [Log In] をクリックします。

 

NSX Manager のユーザー インターフェイスの確認


NSX を構成してアプリケーション管理を始めるための準備として、NSX Manager のユーザー インターフェイスの画面をいくつか見ていきます。ラボ環境の現在の構成を確認し、NSX の管理インフラストラクチャが機能していることを確かめ、HTML5 による最新のインターフェイスの操作に慣れてください。


 

ダッシュボードをクリック

 

  1. [Dashboard] をクリックします。

 

 

マネージャ ノードとコントローラ ノード

 

ダッシュボード画面により、一か所で、NSX 展開のさまざまなコンポーネントのステータスを確認できます。コンポーネントの問題、ロード バランサーの数、ファイアウォール ルール、VPN セッションなどについての全体概要を知ることができます。

この NSX 展開については、[System] の下で、[Manager Node と Controller Node] が緑色であることが確認できます。これは NSX Manager ノードと NSX Controller ノード が稼動していることを示します。

NSX Manager はグラフィカル ユーザー インターフェイス(GUI)と REST API を提供する管理プレーン コンポーネントであり、これを使って、NSX Controller や論理スイッチ、ファイアウォール ポリシー、Edge サービス ゲートウェイなどの NSX コンポーネントの作成、構成、監視を行うことができます。

NSX Controller は、環境内での高度な分散状態管理を提供する、制御プレーン コンポーネントです。

 

 

Fabric のステータスを確認

 

NSX ファブリックには 3 つのホスト設定があります。

 

 

[Switching] をクリック

 

  1. 左側の [Switching] をクリックします。

 

 

インベントリの 1 つの論理スイッチを確認

 

オンプレミス仮想マシン用に作成された 1 つの論理スイッチがあります。

 

 

論理ポート番号をクリック

 

  1. [Logical Ports] の下にある [4] をクリックします。

 

 

列の拡大

 

1. 列のハンドルをクリックしてドラッグし、必要に応じて列のサイズを拡大します。

 

 

論理ポート

 

LS-VLAN 論理スイッチの 4 つの論理ポートは、オンプレミスに展開された 4 つのアプリケーション仮想マシンに対応しています。

 

まとめ


モジュール 3 はこれで終了です。VMware NSX Cloud ソリューションの操作ユーザー インターフェイスとして機能する、NSX Cloud Services Manager(CSM)にログインしました。また、NSX CSM から AWS および Azure のインベントリを確認する方法を学習しました。さらに NSX Manager にログインし、NSX オブジェクトのインベントリを表示してデフォルトの構成のみが存在することを確認しながら、新しい HTML5 インターフェイスに慣れるための操作を行いました。


 

これで、モジュール 3 は終了です。

モジュール 4 の 「NSX を使用したアプリケーションの保護」 に進んでください。または、ほかの興味のあるモジュールに進むこともできます。

 

モジュール 4:NSX を使用したハイブリッド クラウド アプリケーションの保護(60 分)

はじめに


Amazon Web Services(AWS)、Microsoft Azure、オンプレミス データセンターのアプリケーションを保護するには、NSX で管理するワークロードのセキュリティ ポリシーを用意する必要があります。NSX は、構成の簡素化と一貫性を確保するための論理グループ化機能を備えた、分散型ファイアウォールを提供します。

先ほどのモジュールでは、統合管理プレーン(NSX Manager および NSX Cloud Services Manager)および統合制御プレーン(NSX Controller)をオンプレミス データセンターに展開しました。このあと、次の手順に従ってアプリケーションを保護します。

  1. NSX で管理するワークロードがある各クラウド環境に NSX Cloud Gateway を展開する
  2. クラウド管理者が、NSX Manager の UI または API を使用して、論理ネットワークおよびセキュリティ ポリシーを作成する
  3. クラウド管理者が、NSX Cloud Services Manager にタグを設定する
  4. 開発者が、AWS と Azure のワークロードにタグを設定し、インスタンス作成時に NSX のポリシーが適用されるようにする
  5. NSX で管理する各 AWS インスタンスと Azure 仮想マシンに NSX エージェントをインストールする

 

必要なセキュリティ ポリシー

 

アプリケーションには、これらの高レベルのセキュリティ ポリシーが必要となります。

 

ラボ検証


このモジュールでは、レッスンを完了するために、Microsoft Azure と Amazon Web Services への接続が必要となります。ここでは、少し時間を取ってこの接続を確認します。特にこのモジュールの前の 3 つのモジュールを完了していない場合には、必ず接続を確認してください。


 

実習ラボの状態が Ready であることを確認

 

画面の右下部分で、すべての起動ルーチンが完了し、開始する準備ができていることを確認してください。表示が [Ready] になったことを確認して、学習を開始してください。[Ready] になるまで数分間かかります。 5 分経過しても [Ready] にならない場合は、サポートにお問い合わせください。

実習ラボが「Ready」の状態でないまま進行すると、実習ラボを行うことができなくなります。

 

 

ラボのプロビジョニング ステータス表示のページ

ラボのプロビジョニングのうち、AWS と Azure の部分は進行中です。ステータス確認の Web ページで、このラボ環境のスタートアップとして AWS および Azure でプロビジョニングされるラボ リソースの状態を確認できます。

注:Amazon Web Services および Microsoft Azure でプロビジョニングされたリソースは、HOL 環境のメイン コンソールからのみアクセスできます。

このラボのプロビジョニングには 10 〜 15 分かかります。

 

 

Google Chrome を開く

 

  1. Windows のクイック起動タスク バーで Chrome アイコンをクリックします。

 

 

アカウント情報のページ

 

Chrome のスタートページは、アカウント情報およびラボのプロビジョニング ステータスを表示するページに設定されています。

  1. [Email Address] フィールドに、ラボへの登録時に使用したメール アドレスを入力します。
  2. [Password] フィールドに 「VMware1!」 と入力します。
  3. [Login] をクリックします。

 

 

ラボのプロビジョニングの完了

 

プロビジョニングのプロセスが完了すると、アカウント情報のページが表示されます。この処理には、10 〜 15 分かかる場合があります。ラボ モジュールを進める間、このページをときどき確認してください。

 

パブリック クラウドへの VPN 接続の確認


この実習ラボ用の、AWS と Azure の両方への VPN 接続が確立されています。簡単な ping を使用して、Web フロントエンドへのアクセスを確認します。

注:いずれかの ping テストが失敗した場合は、実習ラボを進行する前に、インストラクターに確認してください。


 

コマンド プロンプトを開く

 

  1. Windows のクイック起動タスク バーで コマンド プロンプト アイコンをクリックします。

 

 

AWS Web インスタンスに ping を実行

 

  1. 次のコマンドを入力して、AWS Web フロントエンド インスタンスに ping を実行し、接続をテストします。
ping 172.15.10.4

 

 

AWS 接続の確立

 

応答を受信した場合、AWS との接続が確立されています。

 

 

Azure Web インスタンスに ping を実行

 

  1. 次のコマンドを入力して、Azure Web フロントエンド インスタンスに ping を実行し、接続をテストします。
ping 172.18.10.4

 

 

Azure 接続の確立

 

応答を受信した場合、Azure との接続が確立されています。

 

Amazon Web Services に NSX Cloud Gateway を展開


Amazon Web Services のアプリケーション インスタンスにセキュリティ ポリシーを設定するには、次の手順に従って、NSX コンポーネントを展開します。最初のステップでは、アプリケーション インスタンスが展開されているコンピューティング VPC に NSX Cloud Gateway を展開します。

NSX Cloud Gateway は、NSX のエッジ トランスポート ノードとして、展開された各 VPC で次のサービスを提供します。

  • NSX エージェントのプロキシ (ローカル) 制御プレーン
  • NAT および Edge ファイアウォールなどのステートフル サービス
  • NSX エージェントのソフトウェアのホストおよびプッシュ
  • Amazon Web Services のタグのポーリング

 

Google Chrome を開く

 

  1. Windows のクイック起動タスク バーで [Chrome] アイコンをクリックします(または Chrome がすでに実行されている場合には、それを開きます)。

 

 

新しいブラウザ タブを開きます。

 

  1. Google Chrome で空のタブをクリックして、新しいブラウザー タブを開きます(または、すでに CSM タブが開かれている場合には、そのタブに切り替えます)。

 

 

NSX Cloud Services Manager ブックマーク

 

  1. [CSM] ブックマークをクリックして、NSX Cloud Services Manager コンソールに接続します。

 

 

証明書の検証

 

モジュール 3 を完了している場合には、この手順は表示されません。

ハンズオン ラボの環境の一部はオンデマンドで構築されるため、証明書の信頼性は確立されていません。本番環境では、信頼性の高い証明書を生成し、接続を保護する必要があります。ここでは、次の手順のとおりに進めます。

  1. [Advanced] をクリックします。
  2. [Proceed] のリンクをクリックします。

 

 

NSX Cloud Services Manager にログイン

 

  1. [Username] フィールドに 「admin」 と入力します。
  2. [Password] フィールドに 「VMware1!」 と入力します。
  3. [Log In] をクリックします。

 

 

AWS アカウントの選択

 

  1. [Clouds] をクリックします。
  2. [AWS] をクリックします。

 

 

[VPCS] をクリック

 

  1. 画面上部にある [VPCs] をクリックします。

 

 

VPC のビューを絞り込む

 

  1. [Region] のプルダウン メニューから [us-west-1] を選択して、VPC のビューを絞り込みます。

 

 

 

Actions メニューをクリック

 

  1. コンピューティング VPC のボックスにある [Actions] をクリックします。
  2. [Deploy NSX Cloud Gateway] をクリックします。

 

 

NSX Cloud Gateway の構成を設定

 

  1. [Private IP] を選択します。
  2. [PEM File] のドロップダウンから [nsx-management] を選択します。
  3. 隔離ポリシーを無効にします。
  4. [Next] をクリックします。

 

 

高可用性を設定

 

NSX Cloud Gateway は高可用性(HA)展開モデルをサポートしています。ここでは、時間の節約のため、HA の構成は省略します。

  1. [Enable HA for NSX Cloud Gateway] チェック ボックスをオフにします。
  2. [Availability Zone] を正しく選択します。注:間違ったものを選択すると、手順 3 〜 5 でサブネット メニューが空になります。
  3. [Uplink Subnet] で [nsx-uplink-subnet] を選択します。
  4. [Downlink Subnet] で [nsx-downlink-subnet] を選択します。
  5. [Management Subnet] で [nsx-mgmt-subnet] を選択します。
  6. [Deploy] をクリックします。

 

 

NSX Cloud Gateway の展開が開始される

 

この VPC についての展開プロセスが始まります。完了までには約 7 ~ 10 分かかります。展開の進捗と処理中のアクションが画面に表示されます。

NSX Cloud Gateway を展開すると、この VPC の NSX ポリシーのローカル制御プレーンと、この後のレッスンで展開する NSX エージェントのインストール場所が提供されます。

NSX Cloud Gateway の展開が終わるのを待つ間に、次のレッスンに進み、論理グループを設定します。そのあと再び NSX Cloud Services Manager に戻り、展開の完了を確認します。

 

論理グループの作成


NSX では、ワークロードのコンテキスト情報を利用して、ポリシー グループを動的に作成できます。これにより、セキュリティ ポリシーの管理において、運用モデルを大幅に簡素化できます。このレッスンでは、事前構成されたグループを確認し、そのいくつかを完成させて、ポリシー管理を簡素化できることを学習します。

CSM はクラウド インベントリ情報を同期させて、クラウド ワークロードに適用されたタグに取り込むことができます。通常、これらのタグは、AWS と Azure でのインスタンスと仮想マシンの展開時に追加されます。それらのタグの例には、アプリケーション名や、アプリケーション層などがあります。また NSX は、VPC や VNet などのクラウド環境情報のタグをインポートして、使用することもできます。

これらのタグは、オンプレミス仮想マシンに適用されたタグとともに、NSX で動的な論理グループを作成するために使用されます。


 

新しいブラウザ タブを開きます。

 

  1. Google Chrome で空のタブをクリックして、新しいブラウザー タブを開きます(または、Chrome ですでに NSX Manager タブが開かれている場合には、そのタブに切り替えます)。

 

 

NSX Manager ブックマーク

 

  1. [NSX Manager] ブックマークをクリックして、NSX Manager コンソールに接続します。

 

 

NSX Manager にログイン

 

  1. [Username] フィールドに 「admin」 と入力します。
  2. [Password] フィールドに 「VMware1!」 と入力します。
  3. [Log In] をクリックします。

 

 

[Inventory] メニューで [Groups] をクリック

 

  1. [Inventory] をクリックします。
  2. [Groups] をクリックします。

 

 

[IP Sets] を選択します。

 

[IP Sets] をクリックします。

 

 

空港データを編

 

1. [Airport Data] を選択します。

2. [EDIT] をクリックします。

 

 

メンバーを追加する

 

1. [104.25.0.0/16] と入力します。

2. [SAVE] をクリックします.

 

 

[Groups] を選択します。

 

1. [Groups] をクリックします.

 

 

作成したグループを確認

 

この実習ラボでは、時間の節約のため、いくつかのグループがすでに作成されています。ここでは、2 つのグループの構成を確認して、完成させます。

次に、これらを使用してファイアウォール ポリシーを作成します。

 

 

Web グループの確認

 

  1. [ps-web] を選択します。
  2. [Edit] をクリックします。

 

 

グループのメンバー

 

  1. [Membership Criteria] をクリックします。

NSX がパブリック クラウド インベントリから検出する動的タグ(これらのタグには dis:<cloud>: プレフィックスがあります)を利用していることを確認します。これにより、アプリケーション層は、フロントエンド仮想マシンをこのグループに含めます。ほかのグループにも、これと同じアプローチが適用されます。次に、API とアプリケーション分離グループを完成させます。

 

 

[Cancel] をクリック

 

  1. [Cancel] をクリックします。

 

 

API グループの編集

 

  1. [ps-api] を選択します(ps-web のチェックボックスがオフになっていることを確認します)。
  2. [Edit] をクリックします。

 

 

検出されたタグに基づくメンバーシップ条件

 

オンプレミスのデータセンターで実行されている仮想マシンには、すでにタグが適用されています。それを使用して、このグループを完成させます。

  1. [Membership Criteria] をクリックします。
  2. [Criteria] をクリックします。
  3. [Virtual Machine] を選択します。
  4. [Tag] を選択します。
  5. [Equals] を選択します。
  6. api」と入力します。
  7. [Equals] を選択します。
  8. AppTier」と入力します。
  9. [Save] をクリックします。

 

 

アプリケーション分離グループの編集

 

  1. [planespotter-app] を選択します(ps-api のチェックボックスがオフになっていることを確認します)。
  2. [Edit] をクリックします。

 

 

[Criteria] をクリック

 

  1. [Membership Criteria] をクリックします。
  2. [Criteria] をクリックします。

 

 

Azure タグを持つすべての仮想マシン

 

最初のエントリとして、AppName に planespotter タグを持つ Azure 仮想マシンを含めます。

  1. [Virtual Machine] を選択します。
  2. [Tag] を選択します。
  3. [Equals] を選択します。
  4. planespotter」と入力します。
  5. [Equals] を選択します。
  6. dis:Azure:AppName」と入力します(dis = discovered tag)。
  7. [Criteria] をクリックします。

 

 

AWS タグを持つすべての仮想マシン

 

このエントリでは、AppName に planespotter タグを持つ AWS インスタンスを含めます。

  1. [Virtual Machine] を選択します。
  2. [Tag] を選択します。
  3. [Equals] を選択します。
  4. planespotter」と入力します。
  5. [Equals] を選択します。
  6. dis:AWS:AppName」と入力します(dis = discovered tag)。
  7. [Criteria] をクリックします。

 

 

NSX タグを持つすべての仮想マシン

 

最後に、AppName に planespotter タグを持つオンプレミスのすべての仮想マシンを含めます。

  1. [Virtual Machine] を選択します。
  2. [Tag] を選択します。
  3. [Equals] を選択します。
  4. planespotter」と入力します。
  5. [Equals] を選択します。
  6. AppName」と入力します。
  7. [Save] をクリックします。

 

 

NSX Cloud Services Manager に戻る

 

  1. 先ほど Google Chrome で開いた [NSX Cloud Services Manager] のタブを選択します。注: ブラウザーのタブの順序は、モジュールの受講状況により異なる場合があります。

 

 

NSX Cloud Gateway の展開が完了したことを確認

 

  1. 展開が完了したら、[Finish] をクリックします。

 

 

コンピューティング VPC が NSX に管理されていることを確認

 

コンピューティング VPC のレポートで、[NSX Managed] および Cloud Gateway の展開済みの表示を確認します。次に、Azure で NSX Cloud Gateway を展開します。

 

Azure での NSX Cloud Gateway の展開


Microsoft Azure のアプリケーション仮想マシンにセキュリティ ポリシーを設定するには、次の手順に従って、NSX コンポーネントを展開します。最初のステップでは、アプリケーション仮想マシンが展開されているコンピューティング VNet に NSX Cloud Gateway を展開します。

NSX Cloud Gateway は、NSX のエッジ トランスポート ノードとして、展開された各 VNet で次のサービスを提供します。

  • NSX エージェントのプロキシ (ローカル) 制御プレーン
  • NAT および Edge ファイアウォールなどのステートフル サービス
  • NSX エージェントのソフトウェアのホストおよびプッシュ
  • Azure タグのポーリング

 

[Azure] を選択

 

  1. 左側の [Clouds] をクリックします。
  2. 左側の [Azure] をクリックします。

 

 

[VNets] をクリック

 

  1. [VNets] をクリックします。

 

 

Actions メニューをクリック

 

  1. [Actions] をクリックします。
  2. [Deploy NSX Cloud Gateway] をクリックします。

 

 

NSX Cloud Gateway の構成を設定

 

  1. アカウント情報の Web ページの最下部から [SSH Public Key] をコピーします(3 行すべてコピーします)。
  2. [Quarantine Policy] を [Disabled] のままにします。
  3. 利用可能な [Local Storage Account] を選択します(オプションは 1 つのみです)。
  4. [Advanced] をクリックします。

 

 

詳細設定

 

  1. [Override Public Cloud Provider's DNS Server] を選択します。
  2. 192.168.110.10」と入力します。
  3. [Next] をクリックします。

 

 

高可用性を設定

 

NSX Cloud Gateway は高可用性(HA)展開モデルをサポートしています。ここでは、時間の節約のため、HA の構成は省略します。

  1. [Enable HA for NSX Cloud Gateway] のチェックボックスをオフにします。
  2. [Uplink Subnet] で [nsx-uplink-subnet] を選択します。
  3. [Downlink Subnet] で [nsx-downlink-subnet] を選択します。
  4. [Management Subnet] で [nsx-mgmt-subnet] を選択します。
  5. [Public IP on Mgmt NIC] で [Allocate new IP] を選択します。
  6. [Deploy] をクリックします。

 

 

NSX Cloud Gateway の展開が開始される

 

この VNet の展開プロセスが始まります。完了までには約 7 ~ 10 分かかります。展開の進捗と処理中のアクションが画面に表示されます。

NSX Cloud Gateway を展開すると、この VNet の NSX ポリシーのローカル制御プレーンと、この後のレッスンで展開する NSX エージェントのインストール場所が提供されます。

NSX Cloud Gateway の展開が終わるのを待つ間に、次のレッスンに進み、ファイアウォール ポリシーを設定します。そのあと再び NSX Cloud Services Manager に戻り、展開の完了を確認します。

 

ファイアウォール ポリシーの有効化


NSX では、セキュリティ ポリシーを作成して、クラウド環境の動的な性質を利用することができます。これによって、効率的で運用一貫性のある展開モデルによるセキュリティ ポリシーを実現できます。


 

NSX Manager ブラウザー タブに切り替え

 

  1. 以前に Google Chrome で開いた [NSX Manager] のブラウザー タブを選択します。注: ブラウザーのタブの順序は、モジュールの受講状況により異なる場合があります。

 

 

[Firewall] をクリック

 

  1. 左側の [Firewall] をクリックします。

 

 

ブラウザーのズームの変更

 

  1. 右上のメニュー アイコン(3 つのドット)をクリックします。
  2. ズーム レベルを 80 % に変更して、ルールを読みやすくします。

 

 

構成したポリシーを確認

 

時間の節約のため、アプリケーションの機能を可能にするセキュリティ ポリシーが、あらかじめ作成されています。有効化する前に、いくつかの点を簡単に確認します。

 

 

アプリケーションの分離

 

  1. [Applied To:] をクリックします。

先ほど完成させた planespotter-app グループが使用されていることを確認します。このファイアウォール セクションはそれらの仮想マシンのみに適用され、このアプリケーションをほかの環境から隔離するメカニズムが提供されます。

 

 

ボックスを閉じる

 

  1. [X] をクリックしてボックスを閉じます。

 

 

送信先グループ

 

先ほど確認して完成させたグループは、アプリケーションの送信元と送信先のペアとして使用されています。これにより、ポリシーが、より動的で保守が容易になっています。

 

 

トラフィック サービス

 

サービスは NSX で事前構成されているため、必要なトラフィック タイプの選択が容易になります。また、HTTP ポート 8080 用のカスタム サービスも使用しています。

 

 

ログの有効化

 

ログ収集はすべてのルールで有効化されています。ログは Log Insight の展開に送信されます。

 

 

Deny All ルール

 

最後にある Deny All ルールでは、明示的に許可されていない、ほかのすべてのトラフィックを破棄する設定を行います(表示するには、下にスクロールする必要があります)。

 

 

すべてのルールを有効化

 

  1. 上部の [planespotter-app-isolation] の横にあるメニュー アイコン(3 つのドット)をクリックします。
  2. [Enable All Rules] をクリックします。

 

 

[Publish] をクリックしてルールを保存

 

  1. 上にスクロールして、[Publish] をクリックし、ルールを保存します。

アプリケーションのセキュリティ ポリシーが有効化されました。

前に作成したグループを活用することで、送信元、送信先、およびファイアウォール セクションを簡単に構成できました。

では、NSX Cloud Services Manager に戻って、NSX Cloud Gateway の展開が完了したか見てみましょう。

 

 

NSX Cloud Services Manager に戻る

 

  1. 先ほど Google Chrome で開いた [NSX Cloud Services Manager] のタブを選択します。注: ブラウザーのタブの順序は、モジュールの受講状況により異なる場合があります。

 

 

NSX Cloud Gateway の展開が完了したことを確認

 

  1. 展開が完了したら、[Finish] をクリックします。この処理には、数分かかる場合があります。

 

 

VNet が NSX に管理されていることを確認

 

HOL1922-VPN-vNET のレポートで、[NSX Managed] および Cloud Gateway の展開済みの表示を確認します。

 

AWS アプリケーションへのタグの適用


NSX 固有のタグは、EC2 インスタンスのネットワーク インターフェイスを、NSX のどこに論理的に「接続」するかを示すために使用されます。接続時に、セキュリティ ポリシーがプッシュされます。NSX エージェントを Web フロントエンドで有効化する前に、タグを構成します。


 

AWS マネジメント コンソールにアクセス

 

  1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。

 

 

AWS マネジメント コンソールの URL を開く

 

  1. [Console URL] をクリックし、新しいブラウザー タブで AWS マネジメント コンソールに接続します。

 

 

AWS マネジメント コンソールにログイン

 

  1. [IAM User Name] に「vmware_hol_user」と入力します。
  2. アカウント情報のページの [Password] に表示されているパスワードを入力するか、コピーします。
  3. [Sign In] ボタンをクリックします。

 

 

 

リージョンを選択

 

コンソールで表示するリソースが、北カリフォルニアのリージョンのものであることを確認します。

  1. 右上の [Support] の左にあるリージョン名をクリックします。
  2. [US West (N. California)] を選択します。

 

 

EC2 インスタンスへ移動

 

  1. AWS マネジメント コンソールの左上にある [Services] をクリックします。
  2. [Compute] のすぐ下にある [EC2] をクリックします。

 

 

[Instances] をクリック

 

  1. 左側のメニューで、[Instances] をクリックします。

 

 

UI の変更の確認

 

  1. この通知が表示されたら、[X] をクリックして、画面を閉じます。

 

 

列の拡大

 

  1. 列のハンドルをクリックしてドラッグし、[Name] 列を拡大します。

 

 

Web インスタンスの選択

 

  1. [hol1922-ps-web01] を選択します。

 

 

このインスタンスの [Tags] タブをクリック

 

  1. EC2 インスタンスの一覧の下にある [Tags] タブをクリックします。
  2. [Add/Edit Tags] をクリックします。

 

 

[Create Tag] をクリック

 

  1. [Create Tag] をクリックします。
  2. [Key] の下にあるボックスに 「nsx:network」 と入力します。
  3. [Value] の下にあるボックスに「default」と入力します(注:DEFAULT-nsx-compute-security-group が表示される場合があるため、オート コンプリートは使用しないでください)。
  4. [Save] をクリックします。

 

 

まとめ

ここでは NSX 固有のタグを Web フロントエンドに適用しました。NSX エージェントの展開を行うと、インスタンスはこのタグによって、NSX Cloud Gateway の展開時に作成されたデフォルトの NSX 論理スイッチに関連付けられます。このインスタンスにセキュリティ ポリシーも適用されます。

 

Azure アプリケーションへのタグの適用


NSX 固有のタグは、仮想マシンのネットワーク インターフェイスを、NSX のどこに論理的に「接続」するかを示すために使用されます。接続時に、セキュリティ ポリシーがプッシュされます。NSX エージェントを Web フロントエンドで有効化する前に、タグを構成します。


 

Azure Portal へのアクセス

 

  1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。

 

 

Azure Portal の URL を開く

 

  1. [Console URL] のリンクをクリックし、新しいブラウザー タブで Azure 管理コンソールに接続します。

 

 

Azure E メールの入力

 

  1. アカウント情報のページから Azure アカウントの E メール アドレスをコピーして入力します。
  2. [Next] をクリックします。

 

 

 

Azure パスワードの入力

 

  1. アカウント情報のページから Azure アカウントのパスワードをコピーして入力します。
  2. [Sign in] をクリックします。

 

 

 

サインインしたままにしない

 

  1. この画面が表示されたら、[No] をクリックします。

 

 

Azure 管理コンソール

 

Azure 管理コンソールのページが表示されます。

 

 

[Virtual Machines (仮想マシン)] をクリック

 

  1. 左側の [Virtual Machines] をクリックします。

 

 

Web 仮想マシンをクリック

 

  1. [hol1922-ps-web01] をクリックします。

 

 

[Tags] の横にある [Change] をクリック

 

  1. [Tags] の右側にある [Change] をクリックします。

 

 

タグ情報の入力

 

  1. [Name] で「nsx.network」と入力します(注:Azure ではコロンでなく、ピリオドを使います)。
  2. [Value] で「default」と入力します。
  3. [Save] をクリックします。

 

 

まとめ

ここでは NSX 固有のタグを Web フロントエンドに適用しました。NSX エージェントの展開を行うと、仮想マシンはこのタグによって、NSX Cloud Gateway の展開時に作成されたデフォルトの NSX 論理スイッチに関連付けされます。この仮想マシンにセキュリティ ポリシーも適用されます。

 

パブリック クラウド環境への NSX エージェントのインストール


Web フロントエンドを保護する手順を進め、NSX エージェントを展開します。NSX エージェントを各 Amazon Web Services のインスタンスまたは Microsoft Azure の仮想マシンにインストールすることで、データ プレーンの機能が利用できます。用意されている資料は次のとおりです。

  • 分散ファイアウォール適用エンジン
  • オーバーレイ ネットワークのトンネル終端ポイント

ベスト プラクティスとして、各組織のパブリック クラウド環境の「ゴールド マスター」イメージに NSX エージェントを含めることが推奨されます。また、NSX エージェントは、さまざまな自動化の手法を使って、展開済みの既存環境のインスタンスにインストールすることも容易です。

ここではスクリプトを使用して各 Web フロントエンドに NSX エージェントを展開します。また Azure でのプロセスが示されるので、インストール スクリプトの場所や、実行するコマンドを確認できます。AWS では、1 つのスクリプトを実行してインストールを完了できる、自動化のアプローチを示します。


 

メイン コンソールで PuTTY を起動

 

  1. Windows のクイック起動タスク バーで [PuTTY] アイコンをクリックします。

 

 

Azure Web フロントエンドを開く

 

  1. [ps-web01a-azure] を選択します。
  2. [Load] をクリックします。
  3. [Open] をクリックします。

 

 

パスワード

 

  1. パスワード フィールドに「VMware1!VMware1!」と入力します。

 

 

NSX Cloud Services Manager に戻る

 

  1. 先ほど Google Chrome で開いた [NSX Cloud Services Manager] のタブを選択します。注: ブラウザーのタブの順序は、モジュールの受講状況により異なる場合があります。

 

 

[Azure] を選択

 

  1. [Clouds] をクリックします。
  2. [Azure] をクリックします。

 

 

[VNets] をクリック

 

  1. [VNets] をクリックします。

 

 

ブラウザーのズームの変更

 

  1. 右上のメニュー アイコン(3 つのドット)をクリックします。
  2. ズーム レベルを 75 % に変更します。

 

 

VNet をクリック

 

  1. 内部で [VNet] をクリックして選択します。

 

 

インストール スクリプトの場所をコピー

 

  1. [Agent Download & Installation] をクリックして展開します。
  2. Linux のダウンロードの場所をコピーします。

 

 

場所の貼り付け

 

PuTTY に戻ります。

  1. wget」と入力し、その後に続けてスペースを入力します。
  2. PuTTY ウィンドウで右クリックして、コピーされたダウンロードの場所を PuTTY ウィンドウに貼り付けます。
  3. <Enter> キーを押します。

 

 

スクリプトのダウンロード

 

インストール スクリプトがダウンロードされました。

 

 

CSM からコマンドを貼り付け

 

  1. CSM ブラウザー タブから Linuxインストール コマンドをコピーします。

 

 

エージェント インストール コマンド

 

  1. PuTTY ウィンドウで右クリックして、コピーされたインストール コマンドを PuTTY ウィンドウに貼り付けます。
  2. キーを押して、エージェントのインストールを開始します。

 

 

エージェントのインストールの完了

 

NSX エージェントのインストールには 3 ~ 5 分ほどかかります

 

 

新しい PuTTY セッション

 

  1. 開いた PuTTY セッションの左上の PuTTY アイコンをクリックします。
  2. [New Session] を選択します。

 

 

AWS Web フロントエンドを開く

 

  1. [ps-web01a-aws] を選択します。
  2. [Load] をクリックします。
  3. [Open] をクリックします。

 

 

接続を確認

 

インスタンスに初めて接続するとき、接続先の了承を求める警告ダイアログが表示されます。

  1. [Yes] をクリックします。

 

 

NSX エージェントをインストール

 

  1. 次のコマンドを入力して、インストールの手順が含まれる NSX エージェント インストール スクリプトを開始します。
./install_agent.sh

 

 

NSX エージェントがインストールされたことを確認

 

NSX エージェントのインストールには 3 ~ 5 分ほどかかります

 

 

ブラウザーのズームの変更

 

  1. 右上のメニュー アイコン(3 つのドット)をクリックします。
  2. ズーム レベルを 90 % ~ 100 % に変更します。

 

NSX の展開を検証


コンピューティング VPC への NSX コンポーネントの展開が終わりました。ここでは、NSX Manager および NSX Cloud Services Manager の動作を確認しながら、NSX の構成について紹介します。


 

NSX Manager ブラウザー タブに切り替え

 

  1. 以前に Google Chrome で開いた [NSX Manager] のブラウザー タブを選択します。注:以前のモジュールを完了している場合、ブラウザー タブの順序が異なることがあります。タイムアウトしている場合、ユーザー名に「admin」、パスワードに「VMware1!」と入力します。

 

 

[Fabric] をクリック

 

  1. 左側の [Fabric] をクリックします。

 

 

[Edges] をクリック

 

  1. 画面上部にある [Edges] をクリックします。

 

 

列の拡大

 

  1. 列のハンドルをクリックしてドラッグし、幅を拡大します。

 

 

Edge ノードが新規作成されていることを確認

 

各パブリック クラウドに 1 つずつ、合計 2 つの Edge ノードが作成されています。

注:各 Edge 名は、実習ラボごとに異なります。

 

 

[Transport Nodes] をクリック

 

  1. 画面上部にある [Transport Nodes] をクリックします。

 

 

列の拡大

 

  1. 列のハンドルをクリックしてドラッグし、幅を拡大します。

 

 

トランスポート ノードが新規作成されていることを確認

 

2 つのトランスポート ノードが新規作成されていること(新しいクラウド ゲートウェイが展開されていること)を確認します。オンプレミス データセンターの NSX トランスポート ノードとしてすでに設定されている 3 つの ESX ホストに加えて、これらが追加されています。

 

 

[Switching] をクリック

 

  1. 左側の [Switching] をクリックします。

 

 

列の拡大

 

  1. 列のハンドルをクリックしてドラッグし、幅を拡大します。

 

 

スイッチ インベントリの変更点を確認

 

4 つの新しい論理スイッチ(各パブリック クラウドごとに VLAN とオーバーレイ論理スイッチ)が作成されました。

 

 

論理ポート

 

パブリック クラウド インスタンスと仮想マシンは、各クラウドのデフォルト VLAN スイッチに接続されています。

 

 

[Inventory] - [Groups] をクリック

 

  1. [Inventory] をクリックします。
  2. [Groups] をクリックします。

 

 

planespotter-app グループをクリック

 

  1. [planespotter-app] をクリックします。

 

 

グループ メンバーシップを確認

 

planespotter-app グループの有効なメンバーには、6 つの仮想マシンがあります。

  1. [Virtual Machine] の横にある [6] をクリックします。

 

 

アプリケーション インスタンスがメンバーとしてリスト表示されていることを確認

 

  1. [Member Objects] で [Virtual Machine] を選択します。

オンプレミスとパブリック クラウドのすべての仮想マシンが一覧表示されます。

 

 

[Virtual Machines (仮想マシン)] をクリック

 

  1. [Inventory] の下の [Virtual Machines] をクリックします。

 

 

仮想マシンのインベントリ

 

オンプレミスとパブリック クラウドの、すべての仮想マシンとインスタンスの完全なインベントリを、1 か所で確認できます。

  1. いずれかのパブリック クラウドの仮想マシンの横にある [7] をクリックします。

 

 

仮想マシン タグ

 

以前にグループを作成する際に使用した検出タグ(ユーザー定義)を含む、その仮想マシン上のすべてのタグが表示されます。

 

 

NSX Cloud Services Manager に戻る

 

  1. 先ほど Google Chrome で開いた [NSX Cloud Services Manager] のタブを選択します。注: ブラウザーのタブの順序は、モジュールの受講状況により異なる場合があります。

 

 

CSM の構成とインベントリ

 

  1. [Clouds] をクリックします。
  2. [AWS] をクリックします。

 

 

[Accounts] をクリック

 

  1. [Accounts] をクリックします。

 

 

アカウントの再同期

 

CSM ダッシュボードの API の更新を高速化するため、強制的に AWS インベントリの再同期を行います。

  1. [Actions] をクリックします。
  2. [Resync Account] をクリックします。

 

 

[VPCS] をクリック

 

  1. [VPCs] をクリックします。

 

 

VPC のビューを絞り込む

 

  1. [Region] のプルダウン メニューから [us-west-1] を選択して、VPC のビューを絞り込みます。

 

 

 

[Instances] をクリック

 

  1. コンピューティング VPC の [Instances] をクリックします。

 

 

アプリケーション インスタンスが NSX により管理されていることを確認

 

  1. アプリケーション インスタンスゲートウェイは NSX によって管理されていると表示されます。
  2. VPN 不正なインスタンスは、AWS タグや NSX エージェント インストールを受信しません。

 

 

CSM の構成とインベントリ

 

  1. 左側の [Azure] をクリックします。

 

 

[Accounts] をクリック

 

  1. [Accounts] をクリックします。

 

 

アカウントの再同期

 

CSM ダッシュボードの API の更新を高速化するため、強制的に Azure インベントリの再同期を行います。

  1. [Actions] をクリックします。
  2. [Resync Account] をクリックします。

 

 

[VNets] をクリック

 

  1. [VNets] をクリックします。

 

 

戻る矢印をクリック

 

  1. 戻る矢印をクリックします。

 

 

[Instances] をクリック

 

  1. [Instances] をクリックします。

 

 

アプリケーション インスタンスが NSX により管理されていることを確認

 

  1. アプリケーション インスタンスゲートウェイは NSX によって管理されていると表示されます。
  2. VPN 不正なインスタンスは、Azure タグや NSX エージェント インストールを受信しません。

 

マルチクラウド環境にわたるアプリケーション機能の検証


NSX を展開する前、Amazon Web Services と Microsoft Azure で動作するアプリケーションはインターネットに対して無防備な状態で、いくつかの不要なポートが公開されて、潜在的な攻撃対象となっていました。このレッスンでは、アプリケーションの動作を再確認し、基本的な接続をテストします。


 

アカウント情報にアクセス

 

  1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。

 

 

AWS Web インスタンスの情報を確認

 

  1. Web フロントエンドのパブリック URL リンクをクリックし、新しいブラウザー タブを開いて、アプリケーションに接続します。

 

 

アプリケーションが機能していることを確認

 

アプリケーションが機能していることを確認します。ページに表示されているサーバーの IP アドレスに注目します。Web フロントエンドが動作していることを確認できました。引き続き、残りのアプリケーション コンポーネントのテストを行います。

  1. [App Health] をクリックします。

 

 

AWS アプリケーションの健全性

 

すべてのアプリケーション コンポーネントは、AWS とオンプレミス データセンター間で適切に通信を行っています。

 

 

アカウント情報にアクセス

 

  1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。

 

 

Azure Web 仮想マシンの情報を確認

 

  1. Web フロントエンド インスタンスのパブリック URL リンクをクリックし、新しいブラウザー タブを開いて、アプリケーションに接続します。

 

 

アプリケーションが機能していることを確認

 

アプリケーションが機能していることを確認します。ページに表示されているサーバーの IP アドレスに注目します。Web フロントエンドが動作していることを確認できました。引き続き、残りのアプリケーション コンポーネントのテストを行います。

  1. [App Health] をクリックします。

 

 

Azure アプリケーションの健全性

 

すべてのアプリケーション コンポーネントは、Azure とオンプレミス データセンター間で適切に通信を行っています。

 

ハイブリッド アプリケーション環境のセキュリティ スキャンを実行


nmap アプリケーションを再び使って、オンプレミス アプリケーション環境のポート スキャンを行います。アプリケーション インスタンスが展開されているアドレスをスキャンして、NSX の展開後の環境で開いているポートを確認し、不要なポートが閉じられていることを確認します。


 

nmap を開く

 

  1. タスクバーで [Zenmap nmap] アイコンをクリックします。

 

 

オンプレミス アプリケーションの IP サブネット範囲の nmap スキャンを実行

 

  1. 次のコマンドを [Command] ボックスに入力します(まず、残っている以前のコマンドをすべて消去します)。
nmap -p 10-10000 -T5 -Pn --open 192.168.120.11-14
  1. [Scan] をクリックして、スキャンを開始します。

ここでは、スキャン時間を短縮し、結果を見やすくするために、nmap で次のオプションを使用しています。

  • -p 10-10000:最初の 10,000 ポートのスキャンを実行
  • -Pn:ping チェックを省略
  • -T5:もっとも高速なタイミング テンプレートを使用
  • --open:開いているポートと開いている可能性があるポートのみを表示
  • 192.168.120.11-14:スキャン対象の IP アドレス範囲を限定

 

 

オンプレミス仮想マシンのスキャン結果を確認

 

オンプレミスの仮想マシンでのセキュリティの状態が改善されていることがわかります。NSX で設定したファイアウォール ポリシーによって、ほかの仮想マシンに公開されているポートは SSH(ポート 22)のみになりました。以前は、api 仮想マシン、db 仮想マシン、redis 仮想マシンのすべてのポートがすべてのアクセスに公開されていました。

 

トラフィックの視認性


NSX が提供する追加の運用ツールを使用すると、パブリック クラウドで実行されるアプリケーション環境で発生するトラフィックを可視化できます。このモジュールでは、NSX のトラフィック統計の集約機能の一部を紹介します。


 

NSX Manager ブラウザー タブに切り替え

 

  1. 以前に Google Chrome で開いた [NSX Manager] のブラウザー タブを選択します。注:以前のモジュールを完了している場合、ブラウザー タブの順序が異なることがあります。タイムアウトしている場合、ユーザー名に「admin」、パスワードに「VMware1!」と入力します。

 

 

ブラウザーのズームの変更

 

  1. 右上のメニュー アイコン(3 つのドット)をクリックします。
  2. ズーム レベルを 80 % に変更して、次の手順を読みやすくします。

 

 

[Firewall] をクリック

 

  1. 左側の [Firewall] をクリックします。

 

 

ファイアウォールの統計情報を確認

 

  1. 最初のファイアウォール ルールの右端のフロー統計情報のアイコンをクリックします。

 

 

フロー統計情報

 

このルールのパケット、バイト、セッション数が表示されます。

 

 

[Switching] をクリック

 

  1. 左側の [Switching] をクリックします。

 

 

[Ports] をクリック

 

  1. [Ports] をクリックします。

 

 

最初の仮想マシンのポートをクリック

 

ここでは、NSX 論理スイッチのすべてのポートと、アップリンク ポートが表示されます。ポート名は、接続されている仮想マシンまたは機能の名前に対応しています。

  1. 「Cloud」で始まる、最初の論理ポートをクリックします。これは、パブリック クラウドで実行されている Web フロントエンドの 1 つです。

 

 

[Monitor] をクリック

 

このポートの詳細情報が表示されます。

  1. [Monitor] をクリックします。

 

 

ポートの統計情報を表示

 

NSX は、パブリック クラウドで実行されている、この Web フロントエンド仮想マシンのトラフィックの統計情報を提供します。NSX は、長期間にわたってこれらの統計情報を追跡することもできます。

  1. [Begin Tracking] をクリックします。新しいブラウザー タブが開きます。

 

 

ポートの追跡

 

新しいブラウザー タブが開き、ポートの追跡が行われます。しばらく待って、ページの更新を確認します。

 

Syslog


NSX は、すべてのファイアウォール ルールについて、指定した syslog サーバにログを記録する機能を備えています。構成されたすべてのファイアウォール ポリシーは、syslog にログを記録するように設定されています(vRealize Log Insight)。オンプレミス環境は、すべてのログを syslog サーバに送信するように構成されています。

ここではパブリック クラウドの NSX 展開からのログ収集を有効化して、vRealize Log Insight でログを確認します。最初の手順では、ゲートウェイ上で syslog の送信先を設定します。次に、エージェントのログ収集を有効化します。これらの手順を、展開した両方のパブリック クラウドで実行します。


 

新しい PuTTY セッション

 

  1. 開いた PuTTY セッションの左上の PuTTY アイコンをクリックします。
  2. [New Session] を選択します。

 

 

NSX Manager を開く

 

  1. [nsxmgr-01a.corp.local] を選択します。
  2. [Load] をクリックします。
  3. [Open] をクリックします。

 

 

パスワードの入力

 

  1. [Password] テキスト フィールドに 「VMware1!」を入力します。

 

 

「On ?」と入力

 

  1. on ?」と入力し、リストを表示して最初のゲートウェイの情報を取得します。

 

 

最初の PCG の UUID をコピーして「on」に貼り付ける

 

  1. 最初の PCG の UUID エントリを強調表示してコピーします。
  2. PuTTY ウィンドウで右クリックして、「on」の横にコピーした内容を貼り付けます。
  3. キーを押して、最後にスペースを追加します( キーを押さないでください)。

 

 

コマンドの完成

 

  1. 続いて、次のコマンドを貼り付けて、コマンドを完成させ、 キーを押します。
exec set logging-server 192.168.110.24 proto udp level info messageid FIREWALL-PKTLOG

 

 

ログ収集の構成

 

最初のゲートウェイでログ収集が構成されました。

 

 

「On ?」と入力

 

  1. on ?」と入力し、リストを表示して最初のゲートウェイの情報を取得します。

 

 

最初の PCG の UUID をコピーして「on」に貼り付ける

 

  1. 最初の PCG の UUID エントリを強調表示してコピーします。
  2. PuTTY ウィンドウで右クリックして、「on」の横にコピーした内容を貼り付けます。
  3. キーを押して、最後にスペースを追加します( キーを押さないでください)。

 

 

コマンドの完成

 

  1. 続いて、次のコマンドを貼り付けて、コマンドを完成させ、 キーを押します。
exec set gw-controller vm-log-forwarding enabled

 

 

エージェントのログ収集の構成

 

最初のゲートウェイに接続されたエージェントでログ収集が構成されました。

 

 

「On ?」と入力

 

  1. on ?」と入力し、リストを表示して 2 番目のゲートウェイの情報を取得します。

 

 

2 番目の PCG の UUID をコピーして「on」に貼り付ける

 

  1. 最初の PCG の UUID エントリを強調表示してコピーします。
  2. PuTTY ウィンドウで右クリックして、「on」の横にコピーした内容を貼り付けます。
  3. キーを押して、最後にスペースを追加します( キーを押さないでください)。

 

 

コマンドの完成

 

  1. 続いて、次のコマンドを貼り付けて、コマンドを完成させ、 キーを押します。
exec set logging-server 192.168.110.24 proto udp level info messageid FIREWALL-PKTLOG

 

 

ログ収集の構成

 

2 番目のゲートウェイでログ収集が構成されました。

 

 

「On ?」と入力

 

  1. on ?」と入力し、リストを表示して 2 番目のゲートウェイの情報を取得します。

 

 

2 番目の PCG の UUID をコピーして「on」に貼り付ける

 

  1. 最初の PCG の UUID エントリを強調表示してコピーします。
  2. PuTTY ウィンドウで右クリックして、「on」の横にコピーした内容を貼り付けます。
  3. キーを押して、最後にスペースを追加します( キーを押さないでください)。

 

 

コマンドの完成

 

  1. 続いて、次のコマンドを貼り付けて、コマンドを完成させ、 キーを押します。
exec set gw-controller vm-log-forwarding enabled

 

 

エージェントのログ収集の構成

 

2 番目のゲートウェイでエージェントのログ収集が構成されました。

 

 

アプリケーションのブラウザー タブを開く

 

  1. 開いているアプリケーションのブラウザー タブのそれぞれをクリックし、各ページを更新してトラフィックを生成します(タブが閉じられている場合は、アカウント情報ページの URL リンクを使用します)。

 

 

新しいブラウザ タブを開きます。

 

  1. Google Chrome で空のタブをクリックして、新しいブラウザー タブを開きます。

 

 

Log Insight のブックマークをクリック

 

  1. [Log Insight] のブックマークをクリックします。

 

 

Log Insight にログイン

 

  1. [User name] に「admin」と入力します。
  2. [Password] テキスト フィールドに 「VMware1!」 と入力します。
  3. [Login] をクリックします。

 

 

[Log Insight]

 

[General Overview] ページが表示されます。

 

 

NSX DFW トラフィックを選択

 

  1. [VMware - NSX-T] をクリックします。
  2. [NSX - Distributed Firewall - Traffic] をクリックします。

 

 

DFW トラフィック

 

Web フロントエンドを含む、上位のファイアウォール ソース、送信先、ポートが表示されます。

注:データが表示されない場合には、アプリケーション Web ページから、さらにトラフィックを生成します。または [Latest 5 minutes of data] を [Latest hour of data] に変更します。

 

 

インタラクティブな分析機能

 

  1. [Top Firewall Sources] にカーソルを合わせ、インタラクティブな分析機能のアイコンをクリックします。

 

 

フィルタの追加

 

  1. [Add Filter] をクリックします。

 

 

NSX エージェント フィルターを追加

 

  1. vmw_nsxt_subcomp」と入力します。
  2. [contains] を選択します。
  3. nsx-agent」と入力します。
  4. 虫眼鏡アイコンをクリックします。

 

 

エージェントのエントリ

 

NSX エージェントに関連するエントリが表示されます。

 

まとめ


これで、モジュール 4 とこのハンズオン ラボは終了です。Amazon Web Services と Microsoft Azure に NSX コンポーネントをインストールして、ハイブリッド クラウド環境に展開されたアプリケーションを正しく保護し、各アプリケーション インスタンスに一貫したセキュリティ ポリシーを適用する方法を学習しました。さらに可視性とログ収集のオプションについても確認しました。


 

お疲れ様でした。これで、モジュール 4 とハンズオン ラボは終了です。

このレッスンの最後にある指示に従って、ラボを終了します。または、ほかの興味のあるモジュールに進むこともできます。

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

まとめ

VMware ハンズオン ラボにご参加いただき、ありがとうございました。 http://hol.vmware.com/ にアクセスして、引き続きオンラインでハンズオン ラボをご体験ください。

Lab SKU: HOL-1922-01-NET

Version: 20190313-170710