NSX でインターネット接続が構成されていない場合は、API を使用して NSX 侵入検知シグネチャ バンドル (.zip) ファイルを手動でダウンロードし、NSX Manager にアップロードできます。オフライン モードでシグネチャをダウンロードして NSX にアップロードするには、次の手順を実行します。
手順 1:NSX をクラウド サービスに登録する
次の API を使用して、NSX をクラウド サービスに登録します。クラウド サービスとの通信を開始する前に、この API を使用してクラウド サービスに登録する必要があります。すべてのライセンスを送信すると、必要な権限が付与されます。ライセンス キーが有効な場合、API が生成され、client_id と client_secret が返されます。ライセンスに関する情報はクラウドに保存されます。Client_secret が認証 API の要求として使用されます。クライアントが以前に登録されていても、client_id および client_secret にアクセスできない場合、同じ API を使用してクライアントを再登録する必要があります。
URI パス:
POST https://api.prod.nsxti.vmware.com/2.0/auth/register
{ "client_type": "NSX-Idps-Offline-Download", "client_id": "client_username", "licenses": { "license_keys": ["XXXXX-XXXXX-XXXXX-XXXXX-XXXX"] } }
{ "client_id":"client_username", "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ=" }
手順 2:NSX をクラウド サービスで認証する
次の API を使用して、クラウド サービスで NSX の認証を行います。この API 呼び出しは、client_id と client_secretを使用してクライアントを認証します。API は access_token を生成します。これは、IDS シグネチャ API への要求のヘッダーで使用されます。トークンの有効期間は 60 分です。トークンが期限切れの場合、クライアントは client_id と client_secret を使用して再認証する必要があります。
URI パス:
POST https://api.prod.nsxti.vmware.com/1.0/auth/authenticate
{ "client_id":"client_username", "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ=" }
応答:
{ "access_token": "eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg", "token_type": "bearer", "expires_in": 3600, "scope": "[idps_scope]" }
手順 3:シグネチャ バンドル (Zip) ファイルのリンクを取得する
次の API を使用して、シグネチャ バンドル ファイルのリンクを取得します。NSX Cloud は、24 時間ごとに最新のシグネチャをダウンロードし、ZIP ファイルに保存します。この API は応答に ZIP ファイル リンクを返します。リンクをコピーしてブラウザに貼り付け、ZIP ファイルをダウンロードします。
URI パス:
GET https://api.prod.nsxti.vmware.com/2.0/intrusion-services/signatures
[ヘッダー] タブで、認証キーの access_token 値は認証 API の応答から設定されます。
Authorization: eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg
{ "signatures_url": "https://cdn.prod.nsxti.vmware.com/vmware-idps-signature-us-west-2/IDSSignatures_1895.zip?X-Amz-Security-Token=IQoJb3JpZ2luX2VjENf%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaCXVzLXd lc3QtMSJHMEUCIG1UYbzfBxOsm1lvdj1k36LPyoPota0L4CSOBMXgKGhmAiEA%2BQC1K4Gr7VCRiBM4ZTH2WbP2rvIp0qfHfG lOx0ChGc4q6wEIHxABGgw1MTAwMTM3MTE1NTMiDA4H4ir7eJl779wWWirIAdLIx1uAukLwnhmlgLmydZhW7ZExe%2BamDkRU7K T46ZS93mC1CQeL00D2rjBYbCBiG1mzNILPuQ2EyxmqxhEOzFYimXDDBER4pmv8%2BbKnDWPg08RNTqpD%2BAMicYNP7WlpxeZw YxeoBFruCDA2l3eXS6XNv3Ot6T2a%2Bk4rMKHtZyFkzZREIIcQlPg7Ej5q62EvvMFQdo8TyZxFpMJBc4IeG0h1k6QZU1Jlkrq 2RYKit5WwLD%2BQKJrEdf4A0YctLbMCDbNbprrUcCADMKyclu8FOuABuK90a%2BvnA%2FJFYiJ32eJl%2Bdt0YRbTnRyvlMuS UHxjNAdyrFxnkPyF80%2FQLYLVDRWUDatyAo10s3C0pzYN%2FvMKsumExy6FIcv%2FOLoO8Y9RaMOTnUfeugpr6YsqMCH0pUR 4dIVDYOi1hldNCf1XD74xMJSdnviaxY4vXD4bBDKPnRFFhOxLTRFAWVlMNDYggLh3pV3rXdPnIwgFTrF7CmZGJAQBBKqaxzP MVZ2TQBABmjxoRqCBip8Y662Tbjth7iM2V522LMVonM6Tysf16ls6QU9IC6WqjdOdei5yazK%2Fr9g%3D&X-Amz-Algorithm =AWS4-HMAC-SHA256&X-Amz-Date=20191202T222034Z&X-Amz-SignedHeaders=host&X-Amz-Expires=3599&X-Amz- Credential=ASIAXNPZPUTA6A7V7P4X%2F20191202%2Fus-west-1%2Fs3%2Faws4_request&X-Amz- Signature=d85ca4aef6abe22062e2693acacf823f0a4fc51d1dc07cda8dec93d619050f5e", "version": "1997", "sha256_checksum": "c9918187017af9a270d307bde6fb14cdb6b09b3c576cce7689c17ab63fb2c13c", "last_updated": "2023-11-14T15:47:30Z", "version_name": "IDPSSignatures.1997.2023-11-14T15:45:38Z" }
手順 4:シグネチャ バンドルを NSX Manager にアップロードする
- 方法 1:NSX Manager ユーザー インターフェイスを使用してアップロードする
NSX Manager ユーザー インターフェイスから ファイルアップロードするには、 の順に移動し、[IDS/IPS シグネチャのアップロード] をクリックします。保存したシグネチャの ZIP ファイルを選択してアップロードします。
- 方法 2:NSX API を使用してアップロードする
NSX API を使用してファイルをアップロードするには、次の API を使用します。
POST https://<mgr-ip>/policy/api/v1/infra/settings/firewall/security/intrusion-services/signatures?action=upload_signatures
認証 API のエラー コード処理
次に、認証 API エラー応答の例を示します。
{ "error_code":100101, "error_message":"XXXXX" }
- 100101 ~ 100150 のエラー コードを受信した場合は、[同じ] クライアント ID を使用して再登録します。
- 100151 ~ 100200 のエラー コードを受信した場合は、[別の] クライアント ID を使用して再登録します。