vSphere 環境で作業している仮想インフラストラクチャ管理者は、簡素化されたワークフローを使用して、NSX-T セキュリティ用に ESXi クラスタを準備できます。

vSphere Client を使用して、NSX-T セキュリティ用に ESXi クラスタを準備します。このようなクラスタでは、アプリケーション ワークロードでマイクロセグメンテーション、URL フィルタリング、分散 IDS を有効にできます。これらのクラスタは、NSX-T 仮想ネットワーク用に準備されていません。

vSphere Client から NSX-T セキュリティを構成するワークフロー。

タスクの概要:
  • ホスト クラスタを準備します。
  • ファイアウォール ルールの作成
    • インフラストラクチャ サービス(Active Directory、DNS など)のグループ、環境グループ(本番またはテスト)、アプリケーション グループ(Web、データベース、アプリケーション)を作成します。
    • 通信戦略を定義します。実行できるアクションの一部は次のとおりです。
      • ワークロードとインフラストラクチャ サービス間の通信を定義します。
      • 環境が互いに通信できないように通信を定義します。
      • 通信を特定のポートまたはプロトコルに制限します。
      • ソース ワークロードを指定します。
      • ワークロードの通信戦略を設定した後に例外を設定します。
    • デフォルトのファイアウォール ルールのアクション(通信セクションで定義されたファイアウォール ルールと一致しないトラフィックの処理方法)を定義します。
    • ファイアウォール ルールを確認して公開します。

NSX-T セキュリティ用のクラスタの準備

ホスト クラスタを選択して、NSX-T セキュリティ用に準備します。

[はじめに] セクションで、[セキュリティ専用] または [仮想ネットワーク] を選択できます。クラスタをセキュリティ専用として有効にすると、ウィザードでセキュリティ ルールの定義が求められます。これらのルールにより、選択したクラスタの分散仮想ポート グループに NSX-T セキュリティが自動的に構成されます。

前提条件

  • ESXi ホストが vCenter Server バージョン 7.0.3 以降と互換性があることを確認します。
  • vCenter Server のバージョンが v7.0.3 以降であることを確認します。
  • ホストで vSphere Distributed Switch (VDS) スイッチを構成します。VDS 6.6 以降のみがサポートされます。
  • vSphere Lifecycle Manager が有効になっているクラスタで、NSX Manager ユーザー インターフェイスから vCenter Server を編集し、次のことを行います。

手順

  1. ブラウザから管理者権限で https://<vcenter-server-ip-address> の vCenter Server にログインします。
  2. vSphere Client ユーザー インターフェイスで、vSphere Client メニューを選択し、[NSX] をクリックします。
  3. [NSX-T へようこそ] 画面の [セキュリティ専用] カードで、[はじめに] をクリックします。
  4. [ホスト クラスタの準備] セクションで、セキュリティ専用に準備するクラスタを選択して、[NSX のインストール] をクリックします。
  5. [セキュリティのインストール] ポップアップ ウィンドウで、[インストール] をクリックして、処理を確認します。
    注: 互換性のない ESXi ホストを含むクラスタは、ホストの準備に使用できません。
  6. [次へ] をクリックして、ファイアウォール ルールを定義します。

結果

ホスト クラスタに NSX-T がインストールされます。

次のタスク

接続が失われないようにするには、vCenter ServerNSX Manager を DFW 除外リストに追加します。

分散ファイアウォール除外リストへの vCenter ServerNSX Manager の追加

vCenter Server または NSX Manager 仮想マシンとの接続を確実に行うには、これらの仮想マシンを NSX-T の DFW ファイアウォール除外リストに追加します。

vCenter Server および NSX Manager 仮想マシンを DFW 除外リストに追加すると、vCenter ServerNSX-T プラグインからデフォルトのファイアウォール ポリシーを ドロップ に構成しても、これらの仮想マシンとの接続は失われません。NSX Manager ユーザー インターフェイスから次の手順を実行します。

手順

  1. ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
  2. [インベントリ] → [タグ] の順に移動します。
  3. NSX-VM-Tag などの新しいタグを作成し、vCenter ServerNSX Manager の両方の仮想マシンを追加します。
  4. 新しいグループ(NSX-VM-Group など)を作成します。
  5. [コンピュート メンバー] フィールドで、[設定] をクリックします。
  6. [メンバーの設定] ウィンドウの [メンバーシップ基準] 画面で、[基準を追加] をクリックします。
  7. [基準 1] 行で、仮想マシン タグを NSX-VM-Tag と一致させます。
  8. vCenter ServerNSX Manager の両方の仮想マシンが NSX-VM-Group グループに追加されていることを確認します。
  9. [適用] をクリックします。
    システム仮想マシン( vCenter Server および NSX Manager 仮想マシン)が、 NSX-VM-Group グループを介して DFW 除外リストに追加されます。ファイアウォール ポリシーが ドロップ に設定されていても、 vCenter Server および NSX Manager 仮想マシンとの接続は失われません。

次のタスク

vCenter ServerNSX-T プラグインを起動し、ホストで実行されているワークロードに適用できるファイアウォール ルールを作成します。 グループの作成 を参照してください。

グループの作成

ファイアウォール作成の一部として、DHCP など、選択したサービスを実行するインフラストラクチャ グループを定義し、選択したグループ メンバーで構成される環境グループ(本番環境、テストなど)を定義します。さらに、選択したグループ メンバーでアプリケーション グループを定義します。

前提条件

  • ホスト クラスタに NSX-T をインストールします。

手順

  1. [ファイアウォール ルールの作成] タブで、[グループの作成] を選択します。
  2. [グループの作成] ページで、[インフラストラクチャ グループの作成] を展開します。
  3. [グループの追加] をクリックします。
  4. [インフラストラクチャ サービス] ドロップダウン メニューから、Active Directory などのサービスを選択します。次の手順では、このサービスをインフラストラクチャ グループのメンバーで構成されるグループに割り当てます。インフラストラクチャ サービスは、ワークフローで 1 回だけ作成できます。作成後は編集できません。
  5. インフラストラクチャ グループを定義するには、[グループの定義] をクリックします。

    インフラストラクチャは、仮想マシン、IP アドレス範囲、または分散仮想ポート グループの組み合わせにすることができます。

    1. (オプション) [グループ名] フィールドで、デフォルトのグループ名を変更します。
    2. (オプション) [NSX タグ] フィールドで、デフォルトのタグ名を変更します。定義されたタグは、グループに選択されたすべての仮想マシンと分散仮想ポート グループに適用されます。デフォルトのタグ名を編集できます。
    3. [NSX タグを追加する仮想マシンを選択する] セクションを展開し、インフラストラクチャ グループに含める仮想マシンを選択します。
    4. [IP アドレス] セクションを展開し、IP アドレス、CIDR 形式の IP アドレス、または IP 範囲を入力します。IPv4 と IPv6 形式の両方がサポートされています。
    5. [NSX タグを追加する DVPG を選択する] セクションを展開し、インフラストラクチャ グループに含める分散仮想ポート グループを選択します。
    6. [保存] をクリックします。
      ウィザードによってグループが自動的に作成され、グループに選択したすべてのメンバーに NSX タグが適用されます。たとえば、定義されたグループに 1 台の仮想マシン、1 つの分散仮想ポート グループ、1 つの IP アドレスが含まれ、インフラストラクチャ サービスに DHCP が選択されている場合、定義したタグがすべてのグループ メンバーに適用されます。
  6. [次へ] をクリックします。
  7. [グループの作成] ページで、[環境グループの作成] を展開します。
  8. [グループの追加] をクリックします。
  9. [環境] ドロップダウン メニューから、グループの環境を選択します。たとえば、本番環境、テスト環境、パートナー環境、またはトポロジで定義するカスタム環境にすることができます。
  10. 環境グループを定義するには、[グループの定義] をクリックします。
    1. (オプション) [グループ名] フィールドで、デフォルトのグループ名を変更します。
    2. (オプション) [NSX タグ] フィールドで、デフォルトの NSX タグ名を変更します。このタグ名は、環境グループに選択されたすべての仮想マシンと分散仮想ポート グループに適用されます。
    3. [NSX タグを追加する仮想マシンを選択する] セクションを展開し、環境グループに含める仮想マシンを選択します。
    4. [IP アドレス] セクションを展開し、IP アドレス、CIDR 形式の IP アドレス、または IP 範囲を入力します。IPv4 と IPv6 形式の両方がサポートされています。
    5. [NSX タグを追加する DVPG を選択する] セクションを展開し、環境グループに含める分散仮想ポート グループを選択します。
    6. [保存] をクリックします。
  11. [次へ] をクリックします。
  12. [グループの作成] ページで、[アプリケーション グループの作成] を展開します。
  13. [グループの追加] をクリックします。
  14. [アプリケーション グループ名] ドロップダウン メニューから、作成するアプリケーション グループのタイプを選択します。
  15. アプリケーション グループを定義するには、[グループの定義] をクリックします。
    1. (オプション) [グループ名] フィールドで、アプリケーション グループのデフォルトのグループ名を変更します。
    2. (オプション) [NSX タグ] フィールドで、デフォルトのタグ名を変更します。このタグ名は、アプリケーション グループに選択されたすべての仮想マシンと分散仮想ポート グループに適用されます。NSX タグを入力します。
    3. [NSX タグを追加する仮想マシンを選択する] セクションを展開し、アプリケーション グループに含める仮想マシンを選択します。
    4. [IP アドレス] セクションを展開し、IP アドレス、CIDR 形式の IP アドレス、または IP 範囲を入力します。IPv4 と IPv6 形式の両方がサポートされています。
    5. [NSX タグを追加する DVPG を選択する] セクションを展開し、アプリケーション グループに含める分散仮想ポート グループを選択します。
    6. [保存] をクリックします。
  16. [次へ] をクリックします。

結果

インフラストラクチャグループ、環境グループ、およびアプリケーショングループを作成しました。

次のタスク

グループを作成したら、ワークロードとこれらの異なるグループ間の通信を制御するファイアウォール ルールを定義します。

グループの通信戦略の定義と公開

グループを作成したら、グループ間の通信を制御するファイアウォール ルールを定義し、通信の例外やポートまたはプロトコルを定義します。

前提条件

  • ホスト クラスタに NSX-T をインストールします。
  • インフラストラクチャ グループ、環境グループ、アプリケーション グループを作成します。

手順

  1. [インフラストラクチャ サービスへのアクセス] セクションを展開し、共有インフラストラクチャ サービスにアクセスできる特定のワークロードを定義します。
    フィールド 説明
    送信元

    [送信元] 列で、宛先インフラストラクチャ サービスにアクセスできるワークロードを選択します。
    宛先

    送信元ワークロードによってアクセスされる定義済みのインフラストラクチャ サービスです。
    (NSX-T3.2.2) サービス エントリ

    編集アイコンをクリックして、サービス エントリを追加または編集します。

    [サービス エントリ] ウィンドウで、サービス タイプとサービス タイプのプロパティを選択します。

    注: NSX-T 3.2.1 以前のバージョンでは、フィールド名は [L4] でした。
  2. [次へ] をクリックします。
  3. [環境間の通信を定義する(オプション)] セクションを展開して、グループ間の通信を定義します。
    フィールド 説明
    送信元

    セクションを展開して、宛先環境と通信する必要がある送信元環境を定義します。

    (NSX-T 3.2.2):リストのソース グループごとに通信方法([保護解除][許可][ブロック])を選択します。

    注: すべての送信元グループと宛先グループ間のすべての通信を許可するには、 [すべての通信を許可] を選択します。

    NSX-T 3.2.1 以前のバージョン):Development 環境と Production 環境間の通信を許可する場合は、Development と Production 間の赤い点線をクリックします。グループが緑色の線で結ばれている場合、有効な状態が表示されます。
    環境 システムによって選択された宛先の環境。
    (NSX-T3.2.2) サービス エントリ 送信元環境と宛先環境のワークロードが相互に通信するサービス タイプ、ポート、プロパティを選択します。

    [適用] をクリックします。

    注: NSX-T 3.2.1 以前のバージョンでは、フィールド名は [L4] でした。
  4. [次へ] をクリックします。
  5. [アプリケーションの通信戦略を定義する(オプション)] セクションを展開して、アプリケーション グループの通信を定義します。
    フィールド 説明
    送信元 受信または送信トラフィックを管理する通信ルールを選択するアプリケーション グループを選択します。
    戦略

    アプリケーション グループに適用するファイアウォール戦略を選択します。

    サポートされるファイアウォール ルールは次のとおりです。
    • すべての外部トラフィックを許可します。
    • 受信トラフィックを拒否し、送信トラフィックを許可します。
    • 受信トラフィックを許可し、送信トラフィックを拒否します。
    • すべての外部トラフィックを拒否します。
    注: 1 つのファイアウォール ルールをすべてのアプリケーション グループに適用する場合は、 [方法の選択] をクリックしてルールを選択し、 [適用] をクリックします。
    例外

    ファイアウォール ルールの構成方法に応じて、例外を追加できます。

    デフォルトでは、例外は追加されません。例外を追加するには、 [例外なし] リンクをクリックします。例外を追加するには、次のフィールドを編集します。
    • 送信元:送信元を選択します。
    • サービス エントリ:サービス、ポート、プロパティを選択します。
    • L7 アプリケーション ID:アプリケーション ID を選択します。
    • FQDN:アプリケーションの FQDN を選択します。
    [適用] をクリックします。
  6. [次へ] をクリックします。
  7. [デフォルト ファイアウォール ルールのアクションの定義(オプション)] セクションを展開して、定義された条件に一致しないトラフィックに適用されるアクションを定義します。
  8. デフォルト ルール アクションで、次のいずれかを選択します。
    • [許可]:デフォルトのルール セット。定義された条件に一致しないすべてのトラフィックを許可します。
    • [ドロップ] または [却下]:ネットワーク内部のファイアウォール ルールを適用するには、定義された条件に一致しないトラフィックをドロップすることもできます。
  9. [次へ] をクリックします。
  10. [確認と公開] 画面で、グループに適用した通信方法とファイアウォール ルールを確認します。
    グループに適用される通信方法とファイアウォール ルールを確認します。

    スクリーンショットで、本番環境ルール 1 はユーザー定義のルールです。本番環境ルール 2 はシステム定義のデフォルト ルールで、デフォルトのアクションは [ドロップ] に設定されています。

  11. [ポリシーの公開] をクリックします。

結果

ウィザードが終了し、定義したファイアウォール ポリシーがグループに適用されます。NSX ユーザー インターフェイスは、vCenter Server で使用できます。

次のタスク

vSphere Client から公開されたファイアウォール ルールが NSX Manager ユーザー インターフェイスで認識されているかどうか確認するには、次の手順を行います。
  1. NSX Manager ユーザー インターフェイスで、[インベントリ] → [グループ] の順に移動します。
  2. [グループ] ページで、vSphere Client で定義したワークロード グループが NSX Manager で認識されているかどうかを確認します。
  3. [セキュリティ] → [分散ファイアウォール] ページに移動します。
  4. [分散ファイアウォール] ページで、vSphere Client で適用したファイアウォール ルールが NSX Manager で認識されているかどうかを確認します。