NSX では、vSphere Distributed Switch (VDS) 上で分散セキュリティを使用できます。ホスト スイッチは VDS タイプのため、ワークロード仮想マシンで DFW 機能を有効にできます。

NSX 4.2 以降では、DFW は、vSphere で作成された DVPG と、同じクラスタ内の NSX で作成されたセグメントの両方をサポートします。

分散セキュリティは、VDS に次のようなセキュリティ関連の機能を提供します。

  • 分散ファイアウォール (DFW)
  • 分散 IDS/IPS
  • Identity Firewall
  • L7 アプリケーション ID
  • 完全修飾ドメイン名 (FQDN) フィルタリング
  • NSX Intelligence
  • NSX Malware Prevention
  • NSX ゲスト イントロスペクション

DVPG でセキュリティを有効にすると、DVPG ポートと DVPG セグメントが NSX によって検出されます。

前提条件

VDS の分散セキュリティをインストールするための要件は次のとおりです。
  • vSphere 7.0.3 以降。

  • vSphere クラスタには、Distributed Switch バージョン 7.0.3 以降が構成された VDS が少なくとも 1 つ必要です。また、ESXi クラスタ ホストは、アップリンクが構成された VDS のメンバーである必要があります。

  • コンピュート マネージャが NSX に登録されていること。「コンピュート マネージャの追加」を参照してください。

  • ホストに分散セキュリティを展開して構成する前に、NSX がそのようなホストに展開されていないことを確認します。

手順

  1. ブラウザから、https://<nsx-manager-ip-address> の NSX Manager に管理者権限でログインします。
  2. [システム] > [クイック スタート] の順に移動します。
  3. [セキュリティとネットワーク用のクラスタの準備] で、[はじめに] をクリックします。
  4. 分散セキュリティを有効にするクラスタを選択します。
  5. [NSX のインストール] をクリックし、[ネットワーク][VLAN] または [オーバーレイ] のいずれかを選択します。
    注:

    VLAN を選択すると、NSX VLAN ネットワークのみが有効になります。

  6. ダイアログ ボックスで [インストール] をクリックします。
  7. [システム] > [ファブリック] > [ホスト] ページに移動して、クラスタ内の DVPG でセキュリティを有効にします。
  8. [ホスト] > [クラスタ] ページで、クラスタ内の DVPG でセキュリティを有効にするクラスタを選択します。
    注:

    VDS がまたがるクラスタをすべて選択します。VDS がまたがるクラスタを除外した場合、そのクラスタの DVPG でセキュリティは有効になりません。

  9. [ホスト] ページで、[アクション] > [DVPG で NSX を有効にする] をクリックします。
    注:

    DVPG で有効にする前に、DFW 除外リストに追加して、すべての管理アプライアンスを保護します。

  10. DVPG を有効にするには、[DVPG で NSX を有効にする] で、[はい] をクリックします。

    NSX は、VDS スイッチに関連付けられているポート グループを検出します。NSX で検出されたポートを検索する方法の詳細については、「分散ポート グループ」を参照してください。

  11. クラスタ内の DVPG でセキュリティを無効にするには、以下の手順を実行します。
    1. [ホスト] > [クラスタ] ページで、クラスタ内の DVPG でセキュリティを無効にするクラスタを選択します。
    2. [ホスト] ページで、[アクション] > [DVPG で NSX を無効にする] をクリックします。

結果

クラスタでセキュリティが正常に有効になると、[ホスト] ページで [DVPG の NSX] 列の状態が「はい」に更新されます。分散セキュリティがインストールされ、VDS の DFW ポリシーやルールの作成などのセキュリティ機能を使用できます。