このセクションでは、仮想マシンの保護に NSX Distributed Security を使用する環境を準備するための構成ワークフローについて説明します。

前提条件

NSX Manager を展開し、有効なライセンスを構成している。

構成のワークフロー

NSX Distributed Security 用に仮想環境を準備するには、次の 2 つの主要な手順を実行します。

  • コンピュート マネージャ (vCenter Server) の構成
  • NSX Distributed Security 用の vCenter Server クラスタ( ESXi ホスト)の準備

1:コンピュート マネージャ (vCenter Server) の構成

vCenter Server ホストとクラスタ インベントリをすべて表示するには、NSX-T にコンピュート マネージャとして vCenter Server を追加する必要があります。その後、使用可能なインベントリを利用して、NSX Security 用の ESXi ホストとクラスタを準備できます。

  1. ブラウザで admin の認証情報を使用して、https://<nsx-manager-ip-address> にある NSX Manager にログインします。

  2. [システム] > [ファブリック] > [コンピュート マネージャ] > [コンピュート マネージャの追加] から vCenter ServerNSX-T を登録します。vCenter Server をコンピュート マネージャとして追加します。

    コンピュート マネージャを追加

  3. [システム] > [ファブリック] > [コンピュート マネージャ] ページから、vCenter ServerNSX-T の登録を確認します。[更新] をクリックして、接続状態を確認します。

    コンピュート マネージャの更新

vCenter Server の登録に成功したら、NSX Manager ユーザー インターフェイス (UI) から、構成済みの vCenter Server ホスト クラスタ インベントリを表示できます。NSX Manager UI で、[システム] > [ファブリック] > [ノード] に移動してインベントリを表示します。

NSX Manager UI から複数の vCenter Server を構成するには、vCenter Server ごとに同じ手順を実行します。

2:NSX Distributed Security 用の vCenter Server クラスタ( ESXi ホスト)の準備

NSX Distributed Security では、NSX-TvCenter Server コンピュート クラスタを準備します。NSX-T は、次の 2 つのホスト準備モードをサポートします。

  1. [セキュリティのみ] - VDS ポート グループの分散セキュリティ:
    • ネイティブの vCenter Server 分散仮想ポート グループ (DVPG) に接続された仮想マシンのセキュリティをサポートします。
    • vSphere 6.7 および vSphere 7.0 Update1 以降をサポートします。
    • NSX-T 準備済み vCenter Server クラスタ内のワークロードに対して NSX-T ネットワークはサポートされません。
    • ワークフローは、クイック スタート ウィザードでのみサポートされます。
  2. [ネットワークとセキュリティ] - NSX-T ネットワークを使用した分散セキュリティ:
    • NSX-T 準備済み vCenter Server クラスタ内のワークロードに対して NSX-T ネットワークと分散セキュリティをサポートします。
    • VLAN に接続されたワークロードで分散セキュリティが必要な場合は、DVPG から NSX-T VLAN セグメントにワークロードを移動する必要があります。
    • ワークフローは、クイック スタート ウィザードでサポートされます。また、[システム] > [ファブリック] > [ノード] メニューから手動で行う場合にもサポートされます。

環境に基づいて、必要な展開方法を選択します。NSX-T 環境には、NSX Security のみが準備されたクラスタと、NSX ネットワークとセキュリティが準備されたクラスタを混在させることができます。各展開モードの詳細については、このセクションの後半で説明します。

2.1:セキュリティ専用のホストの準備 - VDS ポート グループの分散セキュリティ

コンピュート マネージャを構成した後、分散セキュリティにのみ使用するために、 ESXi ホストのクラスタを準備できます。クラスタ内のホストは VDS を共有する必要があります。

手順

  1. ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
  2. [システム] > [クイックスタート] に移動します。
  3. [セキュリティとネットワーク用のクラスタの準備] で、[はじめに] をクリックします。

    セキュリティ専用のクラスタを簡単に準備できるクイック スタート ウィジェット

  4. 分散セキュリティをインストールするクラスタを選択します。
  5. [NSX のインストール] をクリックして、[セキュリティ専用] を選択します。
  6. ダイアログ ボックスで [インストール] をクリックします。

    NSX ホストの準備が開始され、必要なソフトウェア モジュールが ESXi ホストにインストールされます。

    プロセスの完了に数分間かかる場合があります。プロセスが完了すると、状態が [成功] に変わります。トランスポート ノード プロファイル、トランスポート ゾーン、分散ポート グループなどのオブジェクトが自動的に作成されます。

    状態が「進行中」と「完了済み」のインストール プロセス

  7. 分散セキュリティがインストールされた VDS を確認するには、次の手順を実行します。
    1. [システム] > [ファブリック] > [ノード] の順に移動します。
    2. [ホスト トランスポート ノード] タブを選択します。
      注: 分散セキュリティ用に準備された vSphere クラスタは、 [セキュリティ] ラベルで識別できます。

結果

NSX Manager UI で [ネットワーク] > [セグメント] > [分散ポート グループ] タブに移動し、vCenter Server の DVPG インベントリを表示します。

NSX Manager UI で [インベントリ] > [仮想マシン] に移動し、すべての ESXi ホストの仮想マシン インベントリを表示します。

次のタスク

これで、準備された vCenter Server の DVPG にホストされているワークロードに対して、ポリシーの構成を開始できます。

2.2:ネットワークとセキュリティ - NSX-T ネットワークと分散セキュリティ

コンピュート マネージャを構成した後、VLAN ネットワークと分散セキュリティを一緒に使用するために、 ESXi ホストのクラスタを準備できます。

手順

  1. ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
  2. [セキュリティとネットワーク用のクラスタの準備] で、[はじめに] をクリックします。
  3. NSX-T ネットワーク用に準備するクラスタを選択します。
  4. [NSX のインストール] をクリックして、[ネットワークとセキュリティ] を選択します。
    ネットワークとセキュリティの両方をインストールするクイック スタート(VLAN ベース)
  5. 要件に応じて、VLAN とオーバーレイ ネットワークの両方またはいずれかのネットワーク タイプに同じクラスタを準備できます。オーバーレイ ネットワークを使用すると、各ホスト スイッチはオーバーレイ ネットワークに必要な TEP IP アドレスで追加されます。
    VLAN およびオーバーレイ ネットワーク用のクラスタの準備
  6. ホスト スイッチの構成スイッチを表示して、物理 NIC と VMkernel アダプタ(存在する場合)が移行されるターゲット スイッチを確認します。
    これは NSX-T の推奨構成です。ただし、オプションの手順の場合でも、クラスタの設定をカスタマイズできます。
    注: スイッチから物理 NIC への点線はホスト スイッチ上の既存の構成であることを示しています。これは、同じ物理 NIC に向かう実線に置き換わります。
  7. NSX-T が推奨事項を提供する場合でも、構成をカスタマイズできます。スイッチをカスタマイズするには、スイッチを選択して推奨構成を変更します。
    1. [タイプ]:ホスト スイッチのタイプを切り替えます。
    2. [トランスポート ゾーン]:ホストを関連付ける別のトランスポート ゾーンを選択します。
    3. [アップリンク プロファイル]:必要であれば、推奨のアップリンク プロファイルの代わりに別のアップリンク プロファイルを選択します。
      注: 同じ構成に 2 つの VDS スイッチを構成する場合、ウィザードは両方のスイッチに同じアップリンク プロファイルを推奨します。
    4. [アップリンクから物理 NIC へのマッピング]:VDS スイッチでは、VDS スイッチで構成されたすべてのアップリンクが NSX-T のアップリンクにマッピングされます。VDS スイッチでは、アップリンクは vmnic にマッピングされます。
      ホスト スイッチ タイプまたはアップリンクから vmnic へのマッピングを変更すると、ホスト スイッチの構成ネットワークの表現に反映されます。
  8. [インストール] をクリックします。

    NSX ホストの準備が開始され、必要なソフトウェア モジュールが ESXi ホストにインストールされます。

    [セキュリティとネットワーク用のクラスタの準備] カードで、インストールの進行状況を確認します。いずれかのホストでインストールに失敗した場合は、エラーを解決してインストールを再試行します。

    プロセスの完了に数分間かかる場合があります。プロセスが完了すると、状態が [成功] に変わります。

  9. 正常に準備されたホストを表示するには、[システム] > [ファブリック] > [ノード] > [ホスト トランスポート ノード] の順に移動します。

結果

[NSX Manager] UI で [インベントリ] > [仮想マシン] タブに移動し、すべての ESXi ホストの仮想マシン インベントリを表示します。

注: ネットワークとセキュリティ用に準備された vCenter Server クラスタは、DVPG に直接接続されたワークロードのセキュリティをサポートしていません。DVPG VLAN 接続のワークロードにセキュリティが必要な場合は、ワークロードを NSX VLAN セグメント(同じ VLAN を使用)に移動するか、ワークロードを NSX Security 用にのみ準備されたクラスタに移動する必要があります。

詳細については、NSX-T Data Center 管理ガイドを参照してください。

次のタスク

これで、準備された vCenter Server クラスタの NSX セグメントにホストされているワークロードに対して、ポリシーの構成を開始できます。