NSX では、仮想ネットワークを編成して管理するための論理ネットワークの要素、境界プロトコル、セキュリティ サービスのすべてのセットが提供されます。NSX プラグインを vCenter Server にインストールすると、データセンターにおける NSX コンポーネントやサービスの作成や管理を一元的に制御することができます。

NSX の特徴と機能の説明については、NSX 管理ガイド を参照してください。

VMware NSX Edge

NSX ドメインで展開された論理ネットワークと外部物理ネットワーク インフラストラクチャ間の一元化された垂直方向のルーティングを可能にします。NSX Edge はオープン ショーテスト パス ファースト (OSPF)、内部ボーダー ゲートウェイ プロトコル (iBGP)、外部ボーダー ゲートウェイ プロトコル (eBGP) などの動的ルーティング プロトコルをサポートしており、静的ルーティングを使用できます。ルーティング機能は、アクティブ/スタンバイのステートフル サービスと等コスト マルチパス ルーティング (ECMP) をサポートしています。NSX Edge では、ネットワーク アドレス変換 (NAT)、ロード バランシング、仮想プライベート ネットワーク (VPN)、ファイアウォール サービスなどの標準エッジ サービスも提供されます。

論理スイッチ

NSX 論理スイッチでは、L2 論理ネットワークによる異なる論理ネットワーク上にあるワークロード間の分離が強化されています。仮想分散スイッチは、VXLAN テクノロジを使用することにより L3 ファブリック上で、クラスタ内にある複数の ESXi ホストをつなぐことができるため、一元的な管理のメリットを提供します。vCenter Server を使用して転送ゾーンを作成し、必要に応じて論理スイッチを転送ゾーンに割り当てることで、分離の範囲を制御できます。

分散ルーティング

分散ルーティングは、分散論理ルータ (DLR) と呼ばれる論理要素によって提供されます。DLR とは、仮想マシン接続が必要なすべてのホストにインターフェイスが直接接続されたルータです。論理スイッチは論理ルータに接続されており、L3 接続を実現しています。監視機能である転送を制御する制御プレーンは、制御仮想マシンからインポートされます。

論理ファイアウォール

NSX プラットフォームは、セキュアな多層ワークロードを確保するために次の重要な機能をサポートしています。

  • 論理ファイアウォール機能のネイティブ サポートにより、多層ワークロードをステートフルに保護します。
  • たとえばアンチウイルス スキャンなどのマルチベンダー セキュリティ サービスや Service Insertion をサポートし、アプリケーション ワークロードを保護します。

NSX プラットフォームには、NSX Edge サービス ゲートウェイ (ESG) によって提供される一元化されたファイアウォール サービス、所定の NSX ドメインに含まれるすべての ESXi ホスト上で VIB パッケージとしてカーネルで有効になる分散ファイアウォール (DFW) が含まれています。DFW では、ライン レートに近いパフォーマンスのファイアウォール、仮想化、ID 認識、アクティビティ監視、ロギング、その他のネットワーク仮想化にネイティブなネットワーク セキュリティ機能が提供されます。これらのファイアウォールを構成して、各仮想マシンの vNIC レベルでトラフィックをフィルタリングします。この柔軟性は、詳細なレベルのフィルタを必要とする各仮想マシンにおいても、分離された仮想ネットワークを構築する上で重要です。

vCenter Server を使用してファイアウォール ルールを管理します。ルール テーブルは、各セクションが特定のワークロードに適用できる特定のセキュリティ ポリシーを持つように編成されています。

セキュリティ グループ

NSX では、次のいずれかの項目が含まれる可能性のあるグループ化メカニズム基準が提供されます。

  • 仮想マシン、分散スイッチ、クラスタなどの vCenter Server オブジェクト
  • vNIC、仮想マシン名、仮想マシンのオペレーティング システムなどの仮想マシンのプロパティ
  • 論理スイッチ、セキュリティ タグ、論理ルータなどの NSX オブジェクト

グループ化メカニズムは静的な場合も動的な場合もあり、セキュリティ グループは vCenter オブジェクト、NSX オブジェクト、仮想マシンのプロパティ、AD グループなどの ID マネージャ オブジェクトの任意の組み合わせにできます。NSX のセキュリティ グループは、ユーザーによって定義された静的除外基準とともにすべての静的および動的基準に基づきます。動的グループは、メンバーがグループに加われば拡大し、メンバーがグループを離れれば縮小します。たとえば、動的グループには名前が web_ で始まるすべての仮想マシンが含まれる場合があります。セキュリティ グループにはいくつか便利な特徴があります。

  • 複数のセキュリティ ポリシーを 1 つのセキュリティ グループに割り当てることができます。
  • 1 つのオブジェクトが同時に複数のセキュリティ グループに属することができます。
  • セキュリティ グループは他のセキュリティ グループを含むことができます。

NSX Service Composer を使用してセキュリティ グループを作成し、ポリシーを適用します。NSX Service Composer は、ファイアウォール ポリシーとセキュリティ サービスをリアルタイムでアプリケーションにプロビジョニングして割り当てます。ポリシーは、新しい仮想マシンがグループに追加された時点で適用されます。

セキュリティ タグ

セキュリティ タグを任意の仮想マシンに適用し、必要に応じてワークロードに関するコンテキストを追加できます。セキュリティ グループはセキュリティ タグをベースにすることができます。セキュリティ タグはいくつかの一般的な分類を示します。

  • セキュリティの状態。たとえば、脆弱性が見つかった場合など。
  • 部門ごとの分類。
  • データ型による分類。たとえば、PCI データなど。
  • 環境のタイプ。たとえば、本番環境や開発環境など。
  • 仮想マシンの地理または位置。

セキュリティ ポリシー

セキュリティ ポリシーのグループ ルールは、データセンターで作成されたセキュリティ グループに適用されるセキュリティ制御となります。NSX では、ファイアウォール ルール テーブルにセクションを作成できます。セクションを使用すれば、ファイアウォール ルールをより厳密に管理してグループ化できます。1 つのセキュリティ ポリシーがファイアウォール ルール テーブルの 1 つのセクションとなります。このポリシーはファイアウォール ルール テーブル内のルールとセキュリティ ポリシーを通じて記述されたルール間の同期を維持し、一貫性のある実装を実現します。セキュリティ ポリシーは特定のアプリケーションまたはワークロードについて記述されるため、これらのルールはファイアウォール ルール テーブル内の特定のセクションに整理されます。複数のセキュリティ ポリシーを 1 つのアプリケーションに適用できます。複数のセキュリティ ポリシーを適用するときのセクションの順番によって、ルール適用の優先順位が決まります。

仮想プライベート ネットワーク サービス

NSX では、L2 VPN および L3 VPN という名前の VPN サービスが提供されます。個別のデータセンター サイトで展開された NSX Edge デバイスのペア間の L2 VPN トンネルを作成します。L3 VPN を作成し、リモートの場所からデータセンター ネットワークへの安全な L3 接続を実現します。

ロール ベースのアクセス コントロール

NSX には、企業内のコンピュータまたはネットワーク リソースへのアクセスを制御するビルトインのユーザー ロールがあります。ユーザーは 1 つのロールしか持つことができません。

表 1. NSX Manager のユーザー ロール
ロール 権限
Enterprise Administrator NSX の操作とセキュリティ。
NSX Administrator NSX の操作のみ。たとえば、仮想アプライアンスをインストールして、ポート グループを構成します。
Security Administrator NSX のセキュリティのみ。たとえば、データ セキュリティ ポリシーを定義し、ポート グループを作成し、NSX モジュールのレポートを作成します。
Auditor 読み取り専用。

Partner Integration

VMware テクノロジー パートナーのサービスは管理機能、制御機能、データ機能において NSX プラットフォームと統合され、統合されたユーザー エクスペリエンスと任意のクラウド管理プラットフォームとのシームレスな統合を実現します。詳細については、https://www.vmware.com/products/nsx/technology-partners#securityを参照してください。