NSX-T は、異種のエンドポイントとテクノロジー スタックを備えた、新しいアプリケーション フレームワークとアーキテクチャに対応するように設計されています。これらの環境には、vSphere に加えて、他のハイパーバイザー、コンテナ、ベアメタル、パブリック クラウドも含まれることがあります。

vRealize Network Insight は、VMware vCenter Server によって仮想マシンが管理される NSX-T 展開をサポートします。

考慮事項

  • vRealize Network Insight は、VMware vCenter Server が ESXi ホストを管理する NSX-T セットアップのみをサポートします。
  • vRealize Network Insight は、NSGroup、NSX-T ファイアウォール ルール、IPSet、NSX-T 論理ポート、NSX-T 論理スイッチ、NSX-T 分散ファイアウォールの IPFIX フロー、セグメント、グループ、およびポリシー ベースの VPN をサポートします。
  • vRealize Network Insight は、NSX-V と NSX-T の両方の展開をサポートしています。クエリで NSX を使用する場合、結果には NSX-V と NSX-T の両方のエンティティが含まれます。NSX Manager には、NSX-V Manager と NSX-T Manager の両方が一覧表示されます。NSX セキュリティ グループには、NSX-T と NSX-V の両方のセキュリティ グループが表示されます。NSX-V または NSX-T が NSX の代わりに使用されている場合は、これらのエンティティのみが表示されます。ファイアウォール ルール、IPSet、論理スイッチなどのエンティティにも、同じ論理が当てはまります。
  • NSX-T 2.4 リリースでは、vRealize Network Insight は NSX 宣言型ポリシー管理をサポートしており、これにより、結果主導型のポリシー ステートメントを使用して、ネットワークおよびセキュリティの構成を簡素化および自動化できます。
    注: セキュリティ グループのマイクロセグメンテーションは、NSX ポリシー データに基づいて実行されます。ただし、対応する NSX ポリシー グループがない場合は、スタンドアローン NS グループがマイクロセグメンテーション分析に含まれます。NS グループの詳細については、 NSX-T の製品ドキュメントを参照してください。
  • NSX-T フェデレーションの設定では、必ずローカル ユーザーのみを追加します。

前提条件

NSX-T Manager をデータ ソースとして追加するための前提条件は次のとおりです。
  • 少なくとも、読み取り専用権限が必要です。
  • NSX-T Manager に関連付けられているすべての VMware vCenter Server をデータ ソースとして vRealize Network Insight に追加する必要があります。
    注: VMware vCenter Server を追加する前に NSX-T Manager を追加すると、 vRealize Network Insight は安定化するまで約 4 時間かかります。
  • 分散ファイアウォール (DFW) の除外リストに論理スイッチがないことを確認します。このリストに論理スイッチがある場合、これらの論理スイッチに接続されている仮想マシンのフローは報告されません。

手順

  1. [設定] > [アカウントとデータ ソース] > [ソースの追加] の順に移動します。
  2. [VMware のマネージャ] で、[VMware NSX-T Manager] を選択します。
  3. ユーザー認証情報を指定します。
    オプション アクション
    コレクタ仮想マシン ドロップダウン メニューからコレクタ仮想マシンを選択します。
    IP アドレス/FQDN IPv4 管理アドレスまたは FQDN の詳細を入力します。
    注: 現在、 vRealize Network Insight は IPv6 の NSX-T 管理アドレスをサポートしていません。
    認証方法 ドロップダウン メニューから認証方法を選択します。
    ユーザー名/パスワード ユーザー名とパスワードを入力します。
    証明書(プリンシパル ID)
    • [証明書][参照] をクリックして、プリンシパル ID の証明書をアップロードします。
    • [プライベート キー][参照] をクリックして、プリンシパル ID のプライベート キーをアップロードします。
      注: vRealize Network Insight は、暗号化されたプリンシパル ID のプライベート キーをサポートしていません。
    注:
    • 1 つの NSX-T 展開に複数の管理ノードがある場合は、1 台のノードのみをデータ ソースとして vRealize Network Insight に追加するか、(これらのノードの)仮想 IP アドレス (VIP) を使用する必要があります。複数の管理ノードを追加すると、vRealize Network Insight が適切に機能しなくなることがあります。
    • NSX-T をデータ ソースとして追加する場合は、VIP を使用します。VIP ではなく管理ノードの IP アドレスを追加する場合は、後で VIP または他の管理ノードの IP アドレスを追加する場合は、既存のデータ ソースを削除して、新しい VIP または管理 IP アドレスを追加する必要があります。
    • クラスタ内の各管理ノードにコレクタからアクセスできることを確認します。
    • IPFIX が必要ない場合、ユーザーは監査レベルの権限を持つローカル ユーザーである必要があります。一方、IPFIX が必要な場合、ユーザーは、enterprise_adminnetwork_engineer、または security_engineer のいずれかの権限を持っている必要があります。
    注: IP アドレスまたは FQDN のいずれかを使用してデータ ソースを追加する必要があります。IP アドレスと FQDN の両方を使用してデータ ソースを追加しないでください。
  4. [検証] をクリックします。
  5. (オプション) [DFW IPFIX を有効にする] を選択して、NSX-T で IPFIX 設定を更新します。このオプションを選択すると、vRealize Network Insight は NSX-T から DFW IPFIX フローを受け取ります。IPFIX の有効化の詳細については、VMware NSX-T DFW IPFIX の有効化を参照してください。
    注:
    • DFW IPFIX は、NSX-T の Standard エディションではサポートされていません。
    • vRealize Network Insight は NSX-T スイッチの IPFIX フローをサポートしていません。
  6. (オプション) 遅延メトリック データを収集する場合は、[遅延メトリックの収集を有効にする] チェック ボックスを選択します。このオプションを選択すると、vRealize Network Insight は NSX-T から VTEP - VTEP、vNIC - pNIC、pNIC - vNIC、vNIC - vNIC などの遅延メトリックを受信します。ネットワーク遅延の詳細については、ネットワーク遅延の統計情報を参照してください。
    注:
    • このオプションは NSX-T 2.5 以降でのみ使用可能です。
      • VTEP - VTEP は NSX-T 2.5 以降で使用可能です。
      • vNIC - pNIC、pNIC - vNIC、vNIC - vNIC は NSX-T 3.0.2 以降で使用可能です。
    • 遅延メトリックの収集を有効にするには、enterprise_admin 権限が必要です。
    • ESXi ノードから遅延データを受信するために、コレクタのポート 1991 が開いていることを確認します。
  7. (オプション) NSX Intelligence からのフロー収集を有効にするには、[NSX インテリジェンスを有効にする] チェック ボックスを選択します。

    NSX Intelligence では、アプリケーション レイヤーの可視性によるディープ パケット インスペクション機能を使用できます。NSX Intelligence からフローが受信されると、アプリケーション ID などの L7(アプリケーション レイヤー)情報が表示されます。

    注: vRealize Network Insight で NSX Intelligence を有効にするには、NSX Intelligence アプライアンスを展開する必要があります。 vRealize Network Insight は、 NSX-T 3.1 以降を含む NSX Intelligence 1.2 をサポートしています。

    NSX Intelligence を処理して、vRealize Network Insight にフロー情報を送信するには、12 分以上かかります。

    注: NSX Intelligence からのフロー収集を有効にするには、 vRealize Network Insight がフローのプライマリ ソースとして DFW IPFIX を使用しているときに、 [DFW IPFIX を有効にする] チェック ボックスをオンにする必要があります。

    L7 情報は NSX Intelligence でサポートされていないため、ドロップされたフローには使用できません。

  8. [ニックネーム] テキスト ボックスにニックネームを入力します。
  9. [メモ](オプション)テキスト ボックスに、必要に応じてメモを追加します。
  10. [送信] をクリックします。

クエリの例

NSX-T に関連するクエリの例を示します。

表 1. NSX-T のクエリ
クエリ 検索結果
NSX-T Manager where VC Manager=10.197.53.214 この特定の VC Manager がコンピュート マネージャとして追加された NSX-T Manager です。
NSX-T Logical Switch vRealize Network Insight のインスタンスにあるすべての NSX-T 論理スイッチが一覧表示されます。スイッチの作成元がシステムであるか、またはユーザーであるかについての詳細も含まれています。
NSX-T Logical Ports where NSX-T Logical Switch = 'DB-Switch' 特定の NSX-T 論理スイッチ (DB-Switch) に属する NSX-T 論理ポートを一覧表示します。
VMs where NSX-T Security Group = 'Application-Group'

または

VMs where NSGroup = ‘Application-Group’
特定のセキュリティグループ (Application-Group) 内のすべての仮想マシンを一覧表示します。
NSX-T Firewall Rule where Action='ALLOW' アクションが ALLOW として設定されているすべての NSX-T ファイアウォール ルールを一覧表示します。
NSX-T Firewall Rule where Destination Security Group = ‘CRM-Group’ CRM-Group がターゲット セキュリティ グループであるファイアウォール ルールを一覧表示します。結果には、直接的なターゲット セキュリティ グループと間接的なターゲット セキュリティ グループの両方が含まれます。
NSX-T Firewall Rule where Direct Destination Security Group = ‘CRM-Group’ CRM-Group がターゲット セキュリティ グループであるファイアウォール ルールを一覧表示します。結果には、直接的なターゲット セキュリティ グループのみが含まれます。
VMs where NSX-T Logical Port = ‘App_Port-Id-1’ 特定の NSX-T 論理ポートを持つすべての仮想マシンが一覧表示されます。
NSX-T Transport Zone VLAN およびオーバーレイ トランスポート ゾーンと、それに関連付けられている詳細(トランスポート ノードのタイプを含む)を一覧表示します。
注: vRealize Network Insight はデータ ソースとして KVM をサポートしていません。
NSX-T Router TIER-1 と TIER-0 のルーターを一覧表示します。結果に表示されるルーターをクリックすると、NSX-T Edge クラスタや HA モードなどのより詳細な情報が表示されます。
表 2. NSX ポリシーのクエリ
NSX Policy Segment vRealize Network Insight のインスタンスにあるすべての NSX ポリシー セグメントが一覧表示されます。
NSX Policy Manager vRealize Network Insight のインスタンスにあるすべての NSX Policy Manager が一覧表示されます。
NSX Policy Group vRealize Network Insight のインスタンスにあるすべての NSX ポリシー グループが一覧表示されます。
NSX Policy Firewall vRealize Network Insight のインスタンスにあるすべての NSX ポリシー ファイアウォールが一覧表示されます。
NSX Policy Firewall Rule vRealize Network Insight のインスタンスにあるすべての NSX ポリシー ファイアウォール ルールを一覧表示します。
NSX Policy Firewall Rule where Action = 'ALLOW' アクションが ALLOW として設定されているすべての NSX ポリシー ファイアウォール ルールを一覧表示します。
NSX Policy Based VPN vRealize Network Insight のインスタンスにあるすべての NSX ポリシー ベース VPN を一覧表示します。
注: NSX-T 2.4 および VMware Cloud (VMC)vRealize Network Insight のデータ ソースとして追加されている場合、 NSX-T エンティティを取得するには、クエリで SDDC type = ONPREM というフィルタを追加する必要があります。たとえば、 NSX Policy Based VPN where Tier0 = ‘’ and SDDC Type = ‘ONPREM’ のようにします。

NSX-T メトリックのサポート

次の表に、現在 NSX-T メトリックをサポートしている vRealize Network Insight エンティティと、対応するエンティティ ダッシュボードにこれらのメトリックを表示するウィジェットを示します。
エンティティ エンティティ ダッシュボードのウィジェット サポートされる NSX-T メトリック
論理スイッチ

論理スイッチのパケット メトリック

論理スイッチのバイト メトリック

Multicast and Broadcast Rx

Multicast and Broadcast Tx

Unicast Rx

Unicast Tx

Dropped Rx

Dropped Tx

Rx Packets (Total)

Tx Packets (Total)

論理ポート

論理ポートのパケット メトリック

論理ポートのバイト メトリック

Multicast and Broadcast Rx

Multicast and Broadcast Tx

Unicast Rx

Unicast Tx

Rx Packets (Total)

Tx Packets (Total)

ルーター インターフェイス

ルーター インターフェイス メトリック

Rx Packets

Tx Packets

Dropped Rx Packets

Dropped Tx Packets

Rx Bytes

Tx Bytes

ファイアウォール ルール

ファイアウォール ルール メトリック

Hit Count

Flow Bytes

Flow Packets

NSX-T メトリックのサンプル クエリを次に示します。
  • nsx-t logical switch where Rx Packet Drops > 0

    このクエリは、ドロップし受信パケット数が 0 より大きい、すべての論理スイッチを一覧表示します。

  • nsx-t logical port where Tx Packet Drops > 0

    このクエリは、ドロップした転送パケット数が 0 より大きい、すべての論理ポートを一覧表示します。

  • top 10 nsx-t firewall rules order by Connection count

    このクエリは、接続数 (Hit Count) に基づいた上位 10 個のファイアウォール ルールを一覧表示します。

NSX-T のセキュリティ計画

NSX-T ネットワークのセキュリティを計画するには、範囲として [NSX-T レイヤー 2 ネットワーク] を選択し、次のクエリを使用します。
plan NSX-T Layer2 Network ‘<NAME_OF_NSX_T_LOGICAL_SEGMENT>’
次の手順を実行すると、同じ結果を得ることができます。
  1. 左側のナビゲーション バーで、[プランと評価] > [セキュリティ計画] の順に選択します。
  2. ドロップダウン メニューから [NSX-T L2 ネットワーク] または [NSX ポリシー セグメント] のいずれかを範囲として選択します。
注: 範囲では [NSX-T L2 ネットワーク][NSX ポリシー セグメント] などの NSX-T に関連するエンティティを使用できます。これらの NSX-T に関連したエンティティは、セキュリティ計画に使用できます。