分散セキュリティは、vSphere Distributed Switch (VDS) にのみインストールできます。つまり、NSX 分散仮想スイッチ (N-VDS) を展開しなくても、VDS で分散セキュリティを使用できます。
VDS に分散セキュリティをインストールすると、次のような NSX セキュリティ機能が提供されます。
- 分散ファイアウォール (DFW)
- 分散 IDS/IPS
- Identity Firewall
- L7 アプリケーション ID
- 完全修飾ドメイン名 (FQDN) フィルタリング
- NSX Intelligence
- NSX マルウェア防止
- NSX ゲスト イントロスペクション
VDS への分散セキュリティのインストールの詳細については、vSphere Distributed Switch の分散セキュリティのインストールを参照してください。
インストール プロセス
分散セキュリティをインストールする場合、構成の変更は NSX-T でのみ行われます。vCenter Server は変更されません。VDS の詳細が検出され、VDS の詳細を表す次のオブジェクトが NSX-T に自動的に作成されます。
- 各クラスタのトランスポート ノード プロファイル。
- 各 VDS のホスト スイッチ。
- 各 VDS の VLAN トランスポート ゾーン。
これらのオブジェクトはシステムによって生成されます。構成や編集はできません。
また、VDS 検出の一環として、NSX-T に VDS の分散仮想ポート グループ (DVPG) と DVports がオブジェクトとして作成されます。詳細については、分散ポート グループを参照してください。
vCenter Server の VDS に対する変更は、NSX-T で自動的に更新されます。
分散セキュリティがある場合とない場合のクラスタ間での仮想マシンの vMotion
分散セキュリティのないクラスタから分散セキュリティを使用するクラスタに仮想マシンを vMotion すると、分散セキュリティのあるクラスタのセキュリティ ポリシーが仮想マシンに適用されます。
逆に、分散セキュリティのあるクラスタから分散セキュリティのないクラスタに仮想マシンを vMotion すると、セキュリティ ポリシーが削除されます。
VDS へのアップグレードが分散セキュリティに与える影響
分散セキュリティのある VDS をアップグレードすると、分散ファイアウォールが一時的に中断する可能性があります。
| VDS のアップグレード パス | 分散セキュリティへの影響 |
|---|---|
| VDS 6.6 から VDS 7.0.3 より前の任意のバージョンにアップグレードする場合。 | DFW の中断はありません。 |
| VDS 6.6、7.0、または 7.0.2 から VDS 7.0.3 にアップグレードする場合。 | アップグレードの進行中にホストでデータ プレーンが停止します。このため、アップグレード プロセス中に VDS の DFW ポリシーが各ホストで一時的に適用されなくなります。VDS のアップグレードはすべてのホストで同時に実行されるため、クラスタ全体の停止期間は重要ではありません。
注: アップグレード プロセス中は、DFW ポリシーは変更されず、適用もされません。
ホストでアップグレード プロセスが完了すると、ホストに DFW ポリシーが適用されます。 |
