サーバにインストールされている NSX エージェントは、ベアメタル ワークロードとの接続とセキュリティを提供します。

Ansible を使用して、Windows Server 2016 で仮想インターフェイスと NSX を構成し、NSX を使用してワークロードを保護します。

この手順では、ワークロードと NSX Manager 間の接続を確立します。次に、DFW ルールを構成し、仮想または物理ワークロードと Windows Server 2016 または 2019 ベアメタル ワークロード間で送受信される入力方向トラフィックと出力方向トラフィックを保護します。

前提条件

  • 物理サーバ上に独自のプロキシ設定を構成します。

手順

  1. Windows Server 2016 で Windows リモート管理 (WinRM) を有効にして、Windows サーバがサードパーティ製のソフトウェアおよびハードウェアと相互運用できるようにします。自己署名証明書を使用して WinRM サービスを有効にします。
    1. PS$ wget -o ConfigureWinRMService.ps1 https://raw.githubusercontent.com/vmware/bare-metal-server-integration-with-nsxt/master/bms-ansible-nsx/windows/ConfigureWinRMService.ps1 を実行します。
    2. PS$ powershell.exe -ExecutionPolicy ByPass -File ConfigureWinRMService.ps1 を実行します。
  2. HTTPS を使用するように WinRM を構成します。HTTPS のデフォルト ポート番号は 5986 です。
    1. 管理者として PowerShell を実行します。
    2. winrm quickconfig を実行します。
    3. winrm set winrm/config/service/auth ‘@{Basic=“true”}’ を実行します。
    4. winrm set winrm/config/service ‘@{AllowUnencrypted=“true”}’ を実行します。
    5. winrm create winrm/config/Listener?Address=*+Transport=HTTPS ‘@{Hostname=“win16-colib-001”;CertificateThumbprint=“[output of the 2nd command]"}’ を実行します。
    6. WinRM の構成を確認します。winrm e winrm/config/listener を実行します。
  3. スタンドアローン トランスポート ノードとしてベアメタル サーバを追加します。GUI からのトランスポート ノードとしての物理サーバの構成 を参照してください。
  4. Windows サーバに OVS ブリッジが作成されているかどうかを確認します。OVS ブリッジは、アプリケーション仮想インターフェイスをトランスポート ノードの NSX スイッチに接続します。
    ovs-vsctl show
    出力には、 nsxswitchnsx managed ホスト コンポーネントで作成されたブリッジが表示されます。 nsxswitch ブリッジは、作成されたトランスポート ノード用です。 nsx managed ブリッジは、Windows ホストのアプリケーション仮想インターフェイス用に作成されます。これらのブリッジ エントリは、NSX スイッチと Windows リモート リスナー間で通信チャネルが確立していることを示します。
  5. オーバーレイでバッキングされたトランスポート ノードで、次のことを確認します。
    • 静的 IP アドレスに、Windows サーバ ワークロードが接続しているオーバーレイ セグメントの IP アドレスが反映されている。
    • Windows ホストの NSX 管理対象ホスト コンポーネントと NSX スイッチの間に GENEVE トンネルが作成されている。
    注: 同様に、VLAN でバッキングされたトランポート ノードで、Windows サーバ ワークロードが接続しているオーバーレイ セグメントの IP アドレスが静的 IP アドレスに反映されていることを確認します。
  6. Windows で、Windows サーバの OVSIM ドライバをカスタマイズして、オーバーレイでバッキングされたワークロードに 2 つの新しいネットワーク アダプタを作成します。つまり、アプリケーション仮想インターフェイス用と仮想トンネル エンドポイント (VTEP) 用のアダプタを作成します。
    $:> Get-NetAdapter
    vEthernet1-VTEP:オーバーレイでバッキングされた VTEP インターフェイスに使用します。VLAN でバッキングされたワークロードには必要ありません。
    vEthernet1-VIF1:ベアメタル Windows サーバの仮想インターフェイスまたはアプリケーション インターフェイスに使用します。
  7. ネットワーク アダプタを確認するには、Windows サーバで Get-NetAdapter を実行します。
  8. アプリケーション、Windows ベアメタル サーバ、NSX Manager 間の接続を確認します。
  9. オーバーレイまたは VLAN でバッキングされたベアメタル ワークロードに L2 または L3 DFW ルールを追加して公開します。
  10. 仮想および物理ワークロードとベアメタル ワークロード間の入力方向トラフィックと出力方向トラフィックが、公開した DFW ルールに従って処理されます。