NSX は、異種のエンドポイントとテクノロジー スタックを備えた、新しいアプリケーション フレームワークとアーキテクチャに対応するように設計されています。これらの環境には、vSphere に加えて、他のハイパーバイザー、コンテナ、ベアメタル、パブリック クラウドも含まれることがあります。
VMware Aria Operations for Networks は、VMware vCenter Server によって仮想マシンが管理される NSX 展開をサポートします。
考慮事項
- VMware Aria Operations for Networks は、VMware vCenter Server が ESXi ホストを管理する NSX-T セットアップのみをサポートします。
- VMware Aria Operations for Networks は、NSGroup、NSX-T ファイアウォール ルール、IPSet、NSX-T 論理ポート、NSX-T 論理スイッチ、NSX-T 分散ファイアウォールの IPFIX フロー、セグメント、グループ、およびポリシー ベースの VPN をサポートします。
- VMware Aria Operations for Networks は、NSX-V と NSX-T の両方の展開をサポートしています。クエリで NSX を使用する場合、結果には NSX-V と NSX-T の両方のエンティティが含まれます。NSX Manager には、NSX-V Manager と NSX-T Manager の両方が一覧表示されます。NSX セキュリティ グループには、NSX-T と NSX-V の両方のセキュリティ グループが表示されます。NSX-V または NSX-T が NSX の代わりに使用されている場合は、これらのエンティティのみが表示されます。ファイアウォール ルール、IPSet、論理スイッチなどのエンティティにも、同じ論理が当てはまります。
- NSX-T 2.4 リリースでは、VMware Aria Operations for Networks は NSX 宣言型ポリシー管理をサポートしており、これにより、結果主導型のポリシー ステートメントを使用して、ネットワークおよびセキュリティの構成を簡素化および自動化できます。
注: セキュリティ グループのマイクロセグメンテーションは、NSX ポリシー データに基づいて実行されます。ただし、対応する NSX ポリシー グループがない場合は、スタンドアローン NS グループがマイクロセグメンテーション分析に含まれます。NS グループの詳細については、 NSX-T の製品ドキュメントを参照してください。
- NSX-T フェデレーションの設定では、必ずローカル ユーザーのみを追加します。
前提条件
NSX-T Manager をデータ ソースとして追加するための前提条件は次のとおりです。
- 少なくとも、読み取り専用権限が必要です。
- NSX-T Manager に関連付けられているすべての VMware vCenter Server をデータ ソースとして VMware Aria Operations for Networks に追加する必要があります。
注: VMware vCenter Server を追加する前に NSX-T Manager を追加すると、 VMware Aria Operations for Networks は安定化するまで約 4 時間かかります。
- 分散ファイアウォール (DFW) の除外リストに論理スイッチがないことを確認します。このリストに論理スイッチがある場合、これらの論理スイッチに接続されている仮想マシンのフローは報告されません。
手順
- の順に移動します。
- [VMware のマネージャ] で、[VMware NSX-T Manager] を選択します。
- ユーザー認証情報を指定します。
オプション アクション コレクタ仮想マシン ドロップダウン メニューからコレクタ仮想マシンを選択します。 IP アドレス/FQDN IPv4 管理アドレスまたは FQDN の詳細を入力します。 注: 現在、 VMware Aria Operations for Networks は IPv6 の NSX-T 管理アドレスをサポートしていません。認証方法 ドロップダウン メニューから認証方法を選択します。 ユーザー名/パスワード ユーザー名とパスワードを入力します。 証明書(プリンシパル ID) - [証明書]:[参照] をクリックして、プリンシパル ID の証明書をアップロードします。
- [プライベート キー]:[参照] をクリックして、プリンシパル ID のプライベート キーをアップロードします。
注: VMware Aria Operations for Networks は、暗号化されたプリンシパル ID のプライベート キーをサポートしていません。
注:- 1 つの NSX-T 展開に複数の管理ノードがある場合は、1 台のノードのみをデータ ソースとして VMware Aria Operations for Networks に追加するか、(これらのノードの)仮想 IP アドレス (VIP) を使用する必要があります。複数の管理ノードを追加すると、VMware Aria Operations for Networks が適切に機能しなくなることがあります。
- NSX-T をデータ ソースとして追加する場合は、VIP を使用します。VIP ではなく管理ノードの IP アドレスを追加する場合は、後で VIP または他の管理ノードの IP アドレスを追加する場合は、既存のデータ ソースを削除して、新しい VIP または管理 IP アドレスを追加する必要があります。
- クラスタ内の各管理ノードにコレクタからアクセスできることを確認します。
- IPFIX が必要ない場合、ユーザーは監査レベルの権限を持つローカル ユーザーである必要があります。一方、IPFIX が必要な場合、ユーザーは、enterprise_admin、network_engineer、または security_engineer のいずれかの権限を持っている必要があります。
注: IP アドレスまたは FQDN のいずれかを使用してデータ ソースを追加する必要があります。IP アドレスと FQDN の両方を使用してデータ ソースを追加しないでください。 - [検証] をクリックします。
- (オプション) [DFW IPFIX を有効にする] を選択して、NSX-T で IPFIX 設定を更新します。このオプションを選択すると、VMware Aria Operations for Networks は NSX-T から DFW IPFIX フローを受け取ります。IPFIX の有効化の詳細については、VMware NSX-T DFW IPFIX の有効化を参照してください。
注:
- DFW IPFIX は、NSX-T の Standard エディションではサポートされていません。
- VMware Aria Operations for Networks は NSX-T スイッチの IPFIX フローをサポートしていません。
- (オプション) 遅延メトリック データを収集する場合は、[遅延メトリックの収集を有効にする] チェック ボックスを選択します。このオプションを選択すると、VMware Aria Operations for Networks は NSX-T から VTEP - VTEP、vNIC - pNIC、pNIC - vNIC、vNIC - vNIC などの遅延メトリックを受信します。ネットワーク遅延の詳細については、ネットワーク遅延の統計情報を参照してください。
注:
- このオプションは NSX-T 2.5 以降でのみ使用可能です。
- VTEP - VTEP は NSX-T 2.5 以降で使用可能です。
- vNIC - pNIC、pNIC - vNIC、vNIC - vNIC は NSX-T 3.0.2 以降で使用可能です。
- 遅延メトリックの収集を有効にするには、enterprise_admin 権限が必要です。
- ESXi ノードから遅延データを受信するために、コレクタのポート 1991 が開いていることを確認します。
- このオプションは NSX-T 2.5 以降でのみ使用可能です。
- [タグ (オプション)] のキーと値のペア テキスト ボックスに、キーと値を入力します。
キーと値のペアには任意のテキストを指定できます。たとえば、Layer Access をキーと値のペアとして使用すると、layer は key で、Access は値です。
- 関連付けられているすべてのエンティティにタグを適用するには、[上記のタグ操作を関連付けられたすべてのエンティティに適用します] チェック ボックスをクリックします。関連付けられているエンティティの詳細については、「ローカル タグの操作」を参照してください。
[上記のタグ操作を関連付けられたすべてのエンティティに適用します] チェック ボックスがオフの場合、割り当てられたタグが関連付けられているすべてのエンティティから削除されます。
- 関連付けられているすべてのエンティティにタグを適用するには、[上記のタグ操作を関連付けられたすべてのエンティティに適用します] チェック ボックスをクリックします。関連付けられているエンティティの詳細については、「ローカル タグの操作」を参照してください。
- [ニックネーム] テキスト ボックスにニックネームを入力します。
- [メモ](オプション)テキスト ボックスに、必要に応じてメモを追加します。
- [送信] をクリックします。
注: NSX-T バージョン 4.x 以降では、 VMware Aria Operations for Networks はフェデレーションの展開と VMware Aria Operations for Networks Assurance and Verification に対して仮想マシン間パスをサポートしていません。
クエリの例
NSX-T に関連するクエリの例を示します。
| クエリ | 検索結果 |
|---|---|
| NSX-T Manager where VC Manager=10.197.53.214 | この特定の VC Manager がコンピュート マネージャとして追加された NSX-T Manager です。 |
| NSX-T Logical Switch | VMware Aria Operations for Networks のインスタンスにあるすべての NSX-T 論理スイッチが一覧表示されます。スイッチの作成元がシステムであるか、またはユーザーであるかについての詳細も含まれています。 |
| NSX-T Logical Ports where NSX-T Logical Switch = 'DB-Switch' | 特定の NSX-T 論理スイッチ (DB-Switch) に属する NSX-T 論理ポートを一覧表示します。 |
| VMs where NSX-T Security Group = 'Application-Group' または VMs where NSGroup = ‘Application-Group’ |
特定のセキュリティグループ (Application-Group) 内のすべての仮想マシンを一覧表示します。 |
| NSX-T Firewall Rule where Action='ALLOW' | アクションが ALLOW として設定されているすべての NSX-T ファイアウォール ルールを一覧表示します。 |
| NSX-T Firewall Rule where Destination Security Group = ‘CRM-Group’ | CRM-Group がターゲット セキュリティ グループであるファイアウォール ルールを一覧表示します。結果には、直接的なターゲット セキュリティ グループと間接的なターゲット セキュリティ グループの両方が含まれます。 |
| NSX-T Firewall Rule where Direct Destination Security Group = ‘CRM-Group’ | CRM-Group がターゲット セキュリティ グループであるファイアウォール ルールを一覧表示します。結果には、直接的なターゲット セキュリティ グループのみが含まれます。 |
| VMs where NSX-T Logical Port = ‘App_Port-Id-1’ | 特定の NSX-T 論理ポートを持つすべての仮想マシンが一覧表示されます。 |
| NSX-T Transport Zone | VLAN およびオーバーレイ トランスポート ゾーンと、それに関連付けられている詳細(トランスポート ノードのタイプを含む)を一覧表示します。
注:
VMware Aria Operations for Networks はデータ ソースとして KVM をサポートしていません。
|
| NSX-T Router | TIER-1 と TIER-0 のルーターを一覧表示します。結果に表示されるルーターをクリックすると、NSX-T Edge クラスタや HA モードなどのより詳細な情報が表示されます。 |
| NSX Policy Segment | VMware Aria Operations for Networks のインスタンスにあるすべての NSX ポリシー セグメントが一覧表示されます。 |
| NSX Policy Manager | VMware Aria Operations for Networks のインスタンスにあるすべての NSX Policy Manager が一覧表示されます。 |
| NSX Policy Group | VMware Aria Operations for Networks のインスタンスにあるすべての NSX ポリシー グループが一覧表示されます。 |
| NSX Policy Firewall | VMware Aria Operations for Networks のインスタンスにあるすべての NSX ポリシー ファイアウォールが一覧表示されます。 |
| NSX Policy Firewall Rule | VMware Aria Operations for Networks のインスタンスにあるすべての NSX ポリシー ファイアウォール ルールを一覧表示します。 |
| NSX Policy Firewall Rule where Action = 'ALLOW' | アクションが ALLOW として設定されているすべての NSX ポリシー ファイアウォール ルールを一覧表示します。 |
| NSX Policy Based VPN | VMware Aria Operations for Networks のインスタンスにあるすべての NSX ポリシー ベース VPN を一覧表示します。 |
注: NSX-T 2.4 および
VMware Cloud (VMC) が
VMware Aria Operations for Networks のデータ ソースとして追加されている場合、
NSX エンティティを取得するには、クエリで
SDDC type = ONPREM というフィルタを追加する必要があります。たとえば、
NSX Policy Based VPN where Tier0 = ‘’ and SDDC Type = ‘ONPREM’ のようにします。
NSX-T メトリックのサポート
次の表に、現在 NSX-T メトリックをサポートしている
VMware Aria Operations for Networks エンティティと、対応するエンティティ ダッシュボードにこれらのメトリックを表示するウィジェットを示します。
| エンティティ | エンティティ ダッシュボードのウィジェット | サポートされる NSX-T メトリック |
|---|---|---|
| 論理スイッチ | 論理スイッチのパケット メトリック 論理スイッチのバイト メトリック |
|
| 論理ポート | 論理ポートのパケット メトリック 論理ポートのバイト メトリック |
|
| ルーター インターフェイス | ルーター インターフェイス メトリック |
|
| ファイアウォール ルール | ファイアウォール ルール メトリック |
|
NSX メトリックのサンプル クエリを次に示します。
nsx-t logical switch where Rx Packet Drops > 0このクエリは、ドロップし受信パケット数が 0 より大きい、すべての論理スイッチを一覧表示します。
nsx-t logical port where Tx Packet Drops > 0このクエリは、ドロップした転送パケット数が 0 より大きい、すべての論理ポートを一覧表示します。
top 10 nsx-t firewall rules order by Connection countこのクエリは、接続数 (
Hit Count) に基づいた上位 10 個のファイアウォール ルールを一覧表示します。
NSX-T のセキュリティ計画
NSX-T ネットワークのセキュリティを計画するには、範囲として
[NSX-T レイヤー 2 ネットワーク] を選択し、次のクエリを使用します。
plan NSX-T Layer2 Network ‘<NAME_OF_NSX_T_LOGICAL_SEGMENT>’次の手順を実行すると、同じ結果を得ることができます。
- 左側のナビゲーション バーで、 の順に選択します。
- ドロップダウン メニューから [NSX-T L2 ネットワーク] または [NSX ポリシー セグメント] のいずれかを範囲として選択します。
注: 範囲では
[NSX-T L2 ネットワーク] や
[NSX ポリシー セグメント] などの
NSX に関連するエンティティを使用できます。これらの
NSX に関連したエンティティは、セキュリティ計画に使用できます。
