このセクションでは、仮想マシンの保護に NSX Distributed Security を使用する環境を準備するための構成ワークフローについて説明します。

前提条件

NSX Manager を展開し、有効なライセンスを構成している。

構成のワークフロー

NSX Distributed Security 用に仮想環境を準備するには、次の 2 つの主要な手順を実行します。

  • コンピュート マネージャ (vCenter Server) の構成
  • NSX Distributed Security 用の vCenter Server クラスタ(ESXi ホスト)の準備

1:コンピュート マネージャ (vCenter Server) の構成

VMware vCenter ホストとクラスタ インベントリをすべて表示するには、NSX にコンピュート マネージャとして VMware vCenter を追加する必要があります。その後、使用可能なインベントリを利用して、NSX Security 用の ESXi ホストとクラスタを準備できます。

  1. ブラウザで admin の認証情報を使用して、https://<nsx-manager-ip-address> にある NSX Manager にログインします。

  2. [システム] > [ファブリック] > [コンピュート マネージャ] > [コンピュート マネージャの追加] から VMware vCenterNSX を登録します。VMware vCenter をコンピュート マネージャとして追加します。

    コンピュート マネージャを追加

  3. [システム] > [ファブリック] > [コンピュート マネージャ] ページから、VMware vCenterNSX の登録を確認します。[更新] をクリックして、接続状態を確認します。

    コンピュート マネージャの更新

VMware vCenter の登録に成功したら、NSX Manager ユーザー インターフェイス (UI) から、構成済みの VMware vCenter ホスト クラスタ インベントリを表示できます。NSX Manager ユーザー インターフェイスで、[システム] > [ファブリック] > [ホスト] に移動してインベントリを表示します。

NSX Manager ユーザー インターフェイスから複数の VMware vCenter を構成するには、VMware vCenter ごとに同じ手順を実行します。

2:NSX Distributed Security 用の vCenter Server クラスタ(ESXi ホスト)の準備

NSX Distributed Security では、NSXVMware vCenter コンピュート クラスタを準備します。NSX は、次の 2 つのホスト準備モードをサポートします。

  1. [セキュリティ専用] - VDS ポート グループの分散セキュリティ:
    • ネイティブの vCenter Server 分散仮想ポート グループ (DVPG) に接続された仮想マシンのセキュリティをサポートします。
    • vSphere 6.7 および vSphere 7.0 Update1 以降をサポートします。
    • NSX 準備済み VMware vCenter クラスタ内のワークロードに対して NSX ネットワークはサポートされません。
    • ワークフローは、クイック スタート ウィザードでのみサポートされます。
  2. [ネットワークとセキュリティ] - NSX ネットワークを使用した分散セキュリティ:
    • NSX 準備済み VMware vCenter クラスタ内のワークロードに対して NSX ネットワークと分散セキュリティをサポートします。
    • VLAN に接続されたワークロードで分散セキュリティが必要な場合は、DVPG から NSX VLAN セグメントにワークロードを移動する必要があります。
    • ワークフローは、クイック スタート ウィザードでサポートされます。また、[システム] > [ファブリック] > [ホスト] メニューから手動で行う場合にもサポートされます。このガイドでは、クイック スタート ウィザードについて説明します。詳細については、『NSX インストール ガイド』を参照してください。

環境に基づいて、必要な展開方法を選択します。NSX 環境には、NSX Security のみが準備されたクラスタと、NSX ネットワークとセキュリティが準備されたクラスタを混在させることができます。各展開モードの詳細については、このセクションの後半で説明します。

2.1:セキュリティ専用のホストの準備 - VDS ポート グループの分散セキュリティ

コンピュート マネージャを構成した後、分散セキュリティにのみ使用するために、ESXi ホストのクラスタを準備できます。クラスタ内のホストは VDS を共有する必要があります。

手順

  1. ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
  2. [システム] > [クイックスタート] に移動します。
  3. [セキュリティとネットワーク用のクラスタの準備] で、[はじめに] をクリックします。

    セキュリティ専用のクラスタを簡単に準備できるクイック スタート ウィジェット

  4. 分散セキュリティをインストールするクラスタを選択します。
  5. [NSX のインストール] をクリックして、[セキュリティ専用] を選択します。
  6. ダイアログ ボックスで [インストール] をクリックします。

    NSX ホストの準備が開始され、必要なソフトウェア モジュールが ESXi ホストにインストールされます。

    プロセスの完了に数分間かかる場合があります。プロセスが完了すると、状態が [成功] に変わります。トランスポート ノード プロファイル、トランスポート ゾーン、分散ポート グループなどのオブジェクトが自動的に作成されます。

    状態が「進行中」と「完了済み」のインストール プロセス

  7. 分散セキュリティがインストールされている VDS を表示するには、[システム] > [ファブリック] > [ホスト] の順に移動します。
    注: 分散セキュリティ用に準備された vSphere クラスタは、 [セキュリティ] ラベルで識別できます。

結果

NSX Manager ユーザー インターフェイスで [ネットワーク] > [セグメント] > [分散ポート グループ] タブに移動し、VMware vCenter の DVPG インベントリを表示します。

NSX Manager ユーザー インターフェイスで [インベントリ] > [仮想マシン] に移動し、すべての ESXi ホストの仮想マシン インベントリを表示します。

次のタスク

これで、準備された VMware vCenter の DVPG にホストされているワークロードに対して、ポリシーの構成を開始できます。

2.2:ネットワークとセキュリティ - NSX ネットワークと分散セキュリティ

コンピュート マネージャを構成した後、VLAN ネットワークと分散セキュリティを一緒に使用するために、ESXi ホストのクラスタを準備できます。

手順

  1. ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
  2. [セキュリティとネットワーク用のクラスタの準備] で、[はじめに] をクリックします。
  3. NSX ネットワーク用に準備するクラスタを選択します。
  4. [NSX のインストール] をクリックして、[ネットワークとセキュリティ] を選択します。
    ネットワークとセキュリティの両方をインストールするクイック スタート(VLAN ベース)
  5. 要件に応じて、VLAN とオーバーレイ ネットワークの両方またはいずれかのネットワーク タイプに同じクラスタを準備できます。オーバーレイ ネットワークを使用すると、各ホスト スイッチはオーバーレイ ネットワークに必要な TEP IP アドレスで追加されます。
    VLAN およびオーバーレイ ネットワーク用のクラスタの準備
  6. NSX 推奨のホスト スイッチ構成を表示します。
    ただし、オプションの手順の場合でも、クラスタの設定をカスタマイズできます。
    注: スイッチから物理 NIC への点線はホスト スイッチ上の既存の構成であることを示しています。これは、同じ物理 NIC に向かう実線に置き換わります。
  7. NSX が推奨事項を提供する場合でも、構成をカスタマイズできます。ホスト スイッチをカスタマイズするには、スイッチを選択して推奨構成を変更します。
    1. [IP 割り当て]:ホスト スイッチにオーバーレイが選択されている場合に適用されます。DHCP または事前に作成された IP プールになるようにオーバーレイ VTEP プールの IP 割り当てタイプを選択します。
    2. [VDS]:ホスト スイッチとして VDS スイッチを選択します。
    3. [トランスポート ゾーン]:ホストを関連付ける別のトランスポート ゾーンを選択します。
    4. [アップリンク プロファイル]:必要であれば、推奨のアップリンク プロファイルの代わりに別のアップリンク プロファイルを選択します。
      注: 同じ構成に 2 つの VDS スイッチを構成する場合、ウィザードは両方のスイッチに同じアップリンク プロファイルを推奨します。
    5. [アップリンクから物理 NIC へのマッピング]:VDS スイッチでは、VDS スイッチで構成されたすべてのアップリンクが NSX のアップリンクにマッピングされます。
      ホスト スイッチ タイプまたはアップリンクから vmnic へのマッピングを変更すると、ホスト スイッチの構成ネットワークの表現に反映されます。
  8. [インストール] をクリックします。

    NSX ホストの準備が開始され、必要なソフトウェア モジュールが ESXi ホストにインストールされます。

    [セキュリティとネットワーク用のクラスタの準備] カードで、インストールの進行状況を確認します。いずれかのホストでインストールに失敗した場合は、エラーを解決してインストールを再試行します。

    プロセスの完了に数分間かかる場合があります。プロセスが完了すると、状態が [成功] に変わります。

  9. 正常に準備されたホストを表示するには、[システム] > [ファブリック] > [ホスト] > [クラスタ] に移動します。

結果

[NSX Manager] ユーザー インターフェイスで [インベントリ] > [仮想マシン] タブに移動し、すべての ESXi ホストの仮想マシン インベントリを表示します。

注: ネットワークとセキュリティ用に準備された VMware vCenter クラスタは、DVPG に直接接続されたワークロードのセキュリティをサポートしていません。DVPG VLAN 接続のワークロードにセキュリティが必要な場合は、ワークロードを NSX VLAN セグメント(同じ VLAN を使用)に移動するか、ワークロードを NSX Security 用にのみ準備されたクラスタに移動する必要があります。

詳細については、NSX 管理ガイドを参照してください。

次のタスク

これで、準備された VMware vCenter クラスタの NSX セグメントにホストされているワークロードに対して、ポリシーの構成を開始できます。