VMware NSX-T は、異種のエンドポイントとテクノロジー スタックを備えた、新しいアプリケーション フレームワークとアーキテクチャに対応するように設計されています。これらの環境には、vSphere に加えて、他のハイパーバイザー、コンテナ、ベアメタル、パブリック クラウドも含まれることがあります。
VMware Aria Operations for Networks は、VMware vCenter Server によって仮想マシンが管理される VMware NSX-T 展開をサポートします。
考慮事項
- VMware Aria Operations for Networks は、VMware vCenter Server が ESXi ホストを管理する NSX-T セットアップのみをサポートします。
- VMware Aria Operations for Networks は、NSGroup、NSX-T ファイアウォール ルール、IPSet、NSX-T 論理ポート、NSX-T 論理スイッチ、NSX-T 分散ファイアウォールの IPFIX フロー、セグメント、グループ、およびポリシー ベースの VPN をサポートします。
- VMware Aria Operations for Networks は、NSX-V と NSX-T の両方の展開をサポートしています。クエリで NSX を使用する場合、結果には NSX-V と NSX-T の両方のエンティティが含まれます。NSX Manager には、NSX-V Manager と NSX-T Manager の両方が一覧表示されます。NSX セキュリティ グループには、NSX-T と NSX-V の両方のセキュリティ グループが表示されます。NSX-V または NSX-T が NSX の代わりに使用されている場合は、これらのエンティティのみが表示されます。ファイアウォール ルール、IPSet、論理スイッチなどのエンティティにも、同じ論理が当てはまります。
- NSX-T 2.4 リリースでは、VMware Aria Operations for Networks は NSX 宣言型ポリシー管理をサポートしており、これにより、結果主導型のポリシー ステートメントを使用して、ネットワークおよびセキュリティの構成を簡素化および自動化できます。
注: セキュリティ グループのマイクロセグメンテーションは、NSX ポリシー データに基づいて実行されます。ただし、対応する NSX ポリシー グループがない場合は、スタンドアローン NS グループがマイクロセグメンテーション分析に含まれます。NS グループの詳細については、 NSX-T の製品ドキュメントを参照してください。
- NSX-T フェデレーションの設定では、必ずローカル ユーザーのみを追加します。
前提条件
NSX-T Manager をデータ ソースとして追加するための前提条件は次のとおりです。
- 少なくとも、読み取り専用権限が必要です。
- NSX-T Manager に関連付けられているすべての VMware vCenter Server をデータ ソースとして VMware Aria Operations for Networks に追加する必要があります。
注: VMware vCenter Server を追加する前に NSX-T Manager を追加すると、 VMware Aria Operations for Networks は安定化するまで約 4 時間かかります。
- 分散ファイアウォール (DFW) の除外リストに論理スイッチがないことを確認します。このリストに論理スイッチがある場合、これらの論理スイッチに接続されている仮想マシンのフローは報告されません。
手順
- の順に移動します。
- [VMware のマネージャ] で、[VMware NSX-T Manager] を選択します。
- ユーザー認証情報を指定します。
オプション アクション コレクタ仮想マシン ドロップダウン メニューからコレクタ仮想マシンを選択します。 IP アドレス/FQDN IPv4 管理アドレスまたは FQDN の詳細を入力します。 注: 現在、 VMware Aria Operations for Networks は IPv6 の NSX-T 管理アドレスをサポートしていません。認証方法 ドロップダウン メニューから認証方法を選択します。 ユーザー名/パスワード ユーザー名とパスワードを入力します。 証明書(プリンシパル ID) - [証明書]:[参照] をクリックして、プリンシパル ID の証明書をアップロードします。
- [プライベート キー]:[参照] をクリックして、プリンシパル ID のプライベート キーをアップロードします。
注: VMware Aria Operations for Networks は、暗号化されたプリンシパル ID のプライベート キーをサポートしていません。
注:- 1 つの NSX-T 展開に複数の管理ノードがある場合は、1 台のノードのみをデータ ソースとして VMware Aria Operations for Networks に追加するか、(これらのノードの)仮想 IP アドレス (VIP) を使用する必要があります。複数の管理ノードを追加すると、VMware Aria Operations for Networks が適切に機能しなくなることがあります。
- NSX-T をデータ ソースとして追加する場合は、VIP を使用します。VIP ではなく管理ノードの IP アドレスを追加する場合は、後で VIP または他の管理ノードの IP アドレスを追加する場合は、既存のデータ ソースを削除して、新しい VIP または管理 IP アドレスを追加する必要があります。
- クラスタ内の各管理ノードにコレクタからアクセスできることを確認します。
- IPFIX が必要ない場合、ユーザーは監査レベルの権限を持つローカル ユーザーである必要があります。一方、IPFIX が必要な場合、ユーザーは、enterprise_admin、network_engineer、または security_engineer のいずれかの権限を持っている必要があります。
注: IP アドレスまたは FQDN のいずれかを使用してデータ ソースを追加する必要があります。IP アドレスと FQDN の両方を使用してデータ ソースを追加しないでください。 - [検証] をクリックします。
- (オプション) [DFW IPFIX を有効にする] を選択して、NSX-T で IPFIX 設定を更新します。このオプションを選択すると、VMware Aria Operations for Networks は NSX-T から DFW IPFIX フローを受け取ります。IPFIX の有効化の詳細については、VMware NSX-T DFW IPFIX の有効化を参照してください。
注:
- DFW IPFIX は、NSX-T の Standard エディションではサポートされていません。
- VMware Aria Operations for Networks は NSX-T スイッチの IPFIX フローをサポートしていません。
- (オプション) 遅延メトリック データを収集する場合は、[遅延メトリックの収集を有効にする] チェック ボックスを選択します。このオプションを選択すると、VMware Aria Operations for Networks は NSX-T から VTEP - VTEP、vNIC - pNIC、pNIC - vNIC、vNIC - vNIC などの遅延メトリックを受信します。ネットワーク遅延の詳細については、ネットワーク遅延の統計情報を参照してください。
注:
- このオプションは NSX-T 2.5 以降でのみ使用可能です。
- VTEP - VTEP は NSX-T 2.5 以降で使用可能です。
- vNIC - pNIC、pNIC - vNIC、vNIC - vNIC は NSX-T 3.0.2 以降で使用可能です。
- 遅延メトリックの収集を有効にするには、enterprise_admin 権限が必要です。
- ESXi ノードから遅延データを受信するために、コレクタのポート 1991 が開いていることを確認します。
- このオプションは NSX-T 2.5 以降でのみ使用可能です。
- (オプション) NSX Intelligence からのフロー収集を有効にするには、[NSX インテリジェンスを有効にする] チェック ボックスを選択します。
NSX Intelligence では、アプリケーション レイヤーの可視性によるディープ パケット インスペクション機能を使用できます。NSX Intelligence からフローが受信されると、アプリケーション ID などの L7(アプリケーション レイヤー)情報が表示されます。
注: VMware Aria Operations for Networks で NSX Intelligence を有効にするには、NSX Intelligence アプライアンスを展開する必要があります。 VMware Aria Operations for Networks は、 VMware NSX-T 3.1 以降を含む NSX Intelligence 1.2 をサポートしています。NSX Intelligence を処理して、VMware Aria Operations for Networks にフロー情報を送信するには、12 分以上かかります。
注: NSX Intelligence からのフロー収集を有効にするには、 VMware Aria Operations for Networks がフローのプライマリ ソースとして DFW IPFIX を使用しているときに、 [DFW IPFIX を有効にする] チェック ボックスをオンにする必要があります。L7 情報は NSX Intelligence でサポートされていないため、ドロップされたフローには使用できません。
- [ニックネーム] テキスト ボックスにニックネームを入力します。
- [メモ](オプション)テキスト ボックスに、必要に応じてメモを追加します。
- [送信] をクリックします。
クエリの例
NSX-T に関連するクエリの例を示します。
| クエリ | 検索結果 |
|---|---|
| NSX-T Manager where VC Manager=10.197.53.214 | この特定の VC Manager がコンピュート マネージャとして追加された NSX-T Manager です。 |
| NSX-T Logical Switch | VMware Aria Operations for Networks のインスタンスにあるすべての NSX-T 論理スイッチが一覧表示されます。スイッチの作成元がシステムであるか、またはユーザーであるかについての詳細も含まれています。 |
| NSX-T Logical Ports where NSX-T Logical Switch = 'DB-Switch' | 特定の NSX-T 論理スイッチ (DB-Switch) に属する NSX-T 論理ポートを一覧表示します。 |
| VMs where NSX-T Security Group = 'Application-Group' または VMs where NSGroup = ‘Application-Group’ |
特定のセキュリティグループ (Application-Group) 内のすべての仮想マシンを一覧表示します。 |
| NSX-T Firewall Rule where Action='ALLOW' | アクションが ALLOW として設定されているすべての NSX-T ファイアウォール ルールを一覧表示します。 |
| NSX-T Firewall Rule where Destination Security Group = ‘CRM-Group’ | CRM-Group がターゲット セキュリティ グループであるファイアウォール ルールを一覧表示します。結果には、直接的なターゲット セキュリティ グループと間接的なターゲット セキュリティ グループの両方が含まれます。 |
| NSX-T Firewall Rule where Direct Destination Security Group = ‘CRM-Group’ | CRM-Group がターゲット セキュリティ グループであるファイアウォール ルールを一覧表示します。結果には、直接的なターゲット セキュリティ グループのみが含まれます。 |
| VMs where NSX-T Logical Port = ‘App_Port-Id-1’ | 特定の NSX-T 論理ポートを持つすべての仮想マシンが一覧表示されます。 |
| NSX-T Transport Zone | VLAN およびオーバーレイ トランスポート ゾーンと、それに関連付けられている詳細(トランスポート ノードのタイプを含む)を一覧表示します。
注:
VMware Aria Operations for Networks はデータ ソースとして KVM をサポートしていません。
|
| NSX-T Router | TIER-1 と TIER-0 のルーターを一覧表示します。結果に表示されるルーターをクリックすると、NSX-T Edge クラスタや HA モードなどのより詳細な情報が表示されます。 |
| NSX Policy Segment | VMware Aria Operations for Networks のインスタンスにあるすべての NSX ポリシー セグメントが一覧表示されます。 |
| NSX Policy Manager | VMware Aria Operations for Networks のインスタンスにあるすべての NSX Policy Manager が一覧表示されます。 |
| NSX Policy Group | VMware Aria Operations for Networks のインスタンスにあるすべての NSX ポリシー グループが一覧表示されます。 |
| NSX Policy Firewall | VMware Aria Operations for Networks のインスタンスにあるすべての NSX ポリシー ファイアウォールが一覧表示されます。 |
| NSX Policy Firewall Rule | VMware Aria Operations for Networks のインスタンスにあるすべての NSX ポリシー ファイアウォール ルールを一覧表示します。 |
| NSX Policy Firewall Rule where Action = 'ALLOW' | アクションが ALLOW として設定されているすべての NSX ポリシー ファイアウォール ルールを一覧表示します。 |
| NSX Policy Based VPN | VMware Aria Operations for Networks のインスタンスにあるすべての NSX ポリシー ベース VPN を一覧表示します。 |
注: NSX-T 2.4 および
VMware Cloud on AWS が
VMware Aria Operations for Networks のデータ ソースとして追加されている場合、
VMware NSX-T エンティティを取得するには、クエリで
SDDC type = ONPREM というフィルタを追加する必要があります。たとえば、
NSX Policy Based VPN where Tier0 = ‘’ and SDDC Type = ‘ONPREM’ のようにします。
NSX-T メトリックのサポート
次の表に、現在 NSX-T メトリックをサポートしている
VMware Aria Operations for Networks エンティティと、対応するエンティティ ダッシュボードにこれらのメトリックを表示するウィジェットを示します。
| エンティティ | エンティティ ダッシュボードのウィジェット | サポートされる NSX-T メトリック |
|---|---|---|
| 論理スイッチ | 論理スイッチのパケット メトリック 論理スイッチのバイト メトリック |
|
| 論理ポート | 論理ポートのパケット メトリック 論理ポートのバイト メトリック |
|
| ルーター インターフェイス | ルーター インターフェイス メトリック |
|
| ファイアウォール ルール | ファイアウォール ルール メトリック |
|
VMware NSX-T メトリックのサンプル クエリを次に示します。
nsx-t logical switch where Rx Packet Drops > 0このクエリは、ドロップし受信パケット数が 0 より大きい、すべての論理スイッチを一覧表示します。
nsx-t logical port where Tx Packet Drops > 0このクエリは、ドロップした転送パケット数が 0 より大きい、すべての論理ポートを一覧表示します。
top 10 nsx-t firewall rules order by Connection countこのクエリは、接続数 (
Hit Count) に基づいた上位 10 個のファイアウォール ルールを一覧表示します。
NSX-T のセキュリティ計画
NSX-T ネットワークのセキュリティを計画するには、範囲として
[NSX-T レイヤー 2 ネットワーク] を選択し、次のクエリを使用します。
plan NSX-T Layer2 Network ‘<NAME_OF_NSX_T_LOGICAL_SEGMENT>’次の手順を実行すると、同じ結果を得ることができます。
- 左側のナビゲーション バーで、 の順に選択します。
- ドロップダウン メニューから [NSX-T L2 ネットワーク] または [NSX ポリシー セグメント] のいずれかを範囲として選択します。
注: 範囲では
[NSX-T L2 ネットワーク] や
[NSX ポリシー セグメント] などの
VMware NSX-T に関連するエンティティを使用できます。これらの
VMware NSX-T に関連したエンティティは、セキュリティ計画に使用できます。
