Identity Firewall (IDFW) によって、ユーザー ベースの分散ファイアウォール (DFW) ルールが利用できるようになります。

ユーザー ベースの分散ファイアウォール ルールは、Active Directory (AD) グループのメンバーシップによって決定されます。Identity Firewall (IDFW) は、Active Directory ユーザーのログイン先を監視し、分散ファイアウォールがファイアウォール ルールを適用する際に使用する IP アドレスにログインをマッピングします。Identity Firewall では、ゲスト イントロスペクション フレームワークまたは Active Directory イベント ログ スクレイピングのいずれかが必要です。これらの方法のいずれか、または両方を使用できます。Active Directory ログ スクレイパと ゲスト イントロスペクション の両方が使用されている場合、ゲスト イントロスペクション が優先されます。Active Directory イベント ログ スクレイパと ゲスト イントロスペクション の両方を使用する場合は、これらが排他的に動作することに注意してください。つまり、片方が動作を停止しても、他方がバックアップとして動作を開始することはありません。

ユーザーの有効化と無効化、ユーザーの削除など、Active Directory グループ メンバーシップの変更は、RDSH の Identity Firewall ルールを使用しているログイン ユーザーにすぐに反映されません。ユーザーに変更を反映させるには、ログオフして再度ログインする必要があります。グループ メンバーシップが変更されたときに、Active Directory 管理者がログオフを強制的に実行することをお勧めします。これは、Active Directory の制限が原因で発生しています。

Identity Firewall (IDFW) の Northbound フロー:
  1. ユーザーが仮想マシンにログインします。
  2. NSX 管理プレーンがユーザーのログイン イベントを受信します。
  3. NSX 管理プレーンがユーザーを確認し、このユーザーが属するすべての Active Directory (AD) グループを受信します。NSX 管理プレーンが、影響を受けるすべての Active Directory グループ用のグループ変更イベントを送信します。
  4. 各 Active Directory グループで、この Active Directory グループを含むセキュリティ グループ (SG) のすべてにフラグが設定され、この変更を処理するためにジョブがキューに追加されます。1 つのセキュリティ グループに複数の Active Directory グループが含まれている場合、1 つのユーザー ログイン イベントが同じセキュリティ グループの複数の処理イベントのトリガーとなることがあります。これに対応するため、重複するセキュリティ グループ処理要求が削除されます。

Identity Firewall (IDFW) の Southbound フロー:

  1. セキュリティ グループ処理要求が受信されます。セキュリティ グループが変更されると、NSX は影響を受けるすべてのエンティティを更新し、Identity Firewall (IDFW) ルールごとにアクションをトリガします。
  2. NSX が、セキュリティ グループのすべての Active Directory グループを受信します。
  3. Active Directory から、NSX は Active Directory グループに属するすべてのユーザーを受信します。
  4. Active Directory ユーザーが IP アドレスに関連付けられます。
  5. IP アドレスが vNIC にマッピングされ、vNIC が仮想マシンにマッピングされます。仮想マシンのリストには、セキュリティ グループセキュリティ グループから仮想マシンへの変換の結果が表示されます。
注:

RDSH の Identity Firewall は、Windows Server 2016、VMware Tools 10.2.5 以降を使用する Windows 2012、VMware Tools 10.2.5 以降を使用する Windows 2012 R2 以降でのみサポートされます。

手順

  1. NSX で Active Directory の同期を設定します。「Windows ドメインと Active Directory の同期」を参照してください。この操作は、Service Composer で Active Directory グループを使用する際に必要です。
  2. 分散ファイアウォール用に ESXi クラスタを準備します。『NSX インストール ガイド』の「NSX 用ホスト クラスタの準備」を参照してください。
  3. Identity Firewall ログイン検出オプションを設定します。これらのオプションの片方または両方を設定する必要があります。
    注: マルチ ドメイン Active Directory アーキテクチャで、セキュリティ上の制約によりログ スクラッパーにアクセスできない場合には、ゲスト イントロスペクションを使用して、ログイン イベントとログアウト イベントを生成します。