- ライター:榎本 真弓
- Broadcom社及びNutanix社の仮想化製品の導入を推進しております。各製品の技術Updateや使い方など、有益な情報をお届けできればと思っています。
・vExpert 2020-2025
・Nutanix Certified Services - Multicloud Infrastructure Master
目次
ネットワーク仮想化 NSX:導入がより手軽に
前回の記事 にて、VMware社のネットワーク仮想化製品 VMware NSX® において、VMware vSphere® の仮想ネットワークそのままの環境で、NSXが従来から得意とする仮想マシン単位のファイアウォールとなる分散ファイアウォールを、より手軽に導入いただける VMware NSX® Distributed Firewall™ライセンス(以下 NSX Distributed Firewall ライセンス)についてご紹介いたしました。
今回はより導入しやすくなったNSX環境において、分散ファイアウォールのルール定義を行う際のヒントとなる機能として、VMware vRealize® Network Insight™(vRNI)によるファイアウォールの推奨機能 について、ご紹介いたします。
vRealize Network Insight:ファイアウォールの推奨機能 について
vRealize Network Insight (vRNI)については 以前の記事 でもご紹介しましたが、オンプレミス、パブリックラウド及びコンテナ環境にわたって、物理、仮想両方のネットワーク基盤の通信及び経路情報をトータルに可視化するツールとなります。また、vRNIの [マイクロセグメント] 画面においては、特定のセグメントにおける [ファイアウォールの推奨] を確認することが可能です。
今回は NSX Distributed Firewall ライセンスでも動作する、vRealize Network Insight Advanced ライセンスの標準機能 及び Enterprise ライセンスにおける [フローベースのアプリケーション検出] 機能を使用した、 [推奨されるファイアウォール ルール] 機能についてご紹介いたします。(NSX バージョン:3.2、vRNI バージョン:6.6)
vRealize Network Insight Advanced:推奨されるファイアウォール ルール
vRealize Network Insight 管理UI において、[設定] > [アカウントとデータソース] より、分散ファイアウォールを定義する VMware NSX® Manager™ 及び VMware vCenter Server® をデータソースとして登録します。
続いて、[プランと評価] > [アプリケーション] より、分散ファイアウォールの対象となる仮想マシン群を選択し、アプリケーション名及び階層名を指定し、アプリケーションとして登録します。
[アプリケーション] 画面にて登録したアプリケーション名を選択し、[アプリケーショントポロジ] や [マイクロセグメント] を表示します。
[マイクロセグメント] 画面にて、円グラフ上の特定のアプリケーション階層(例:App1)を選択することで [サービスとフロー] が表示され、さらに [推奨されるファイアウォール ルール] を選ぶことで、該当のアプリケーション階層に、定義が推奨されるファイアウォール ルールを確認することが出来ます。
vRealize Network Insight Enterprise:フローベースのアプリケーションの検出
vRealize Network Insight Enterprise エディションには、フローベースのアプリケーション検出機能があり、Advanced エディションにおいて手動で登録していたアプリケーションについて、通信の状況から自動検出の上 登録することが可能となります。
出典:Using Machine Learning to Discover Applications
システム要件としては、vRNI プラットフォーム 及び コレクタ仮想マシンに、 Extra Largeブリック (vCPU 16-20、メモリ 64G)が必要となります。通信要件(最小:100の仮想マシン間フローと10台の仮想マシン)に達すると、アプリケーションの自動検出を開始します。
アプリケーション 及び アプリケーション階層が、仮想マシン間のフロー情報から自動識別されます。
[推奨されるファイアウォール ルール] に関しては、Advanced エディションと同等の内容となりますが、送信元と宛先に表示されるアプリケーションが、手動登録ではなくシステムにより自動登録される点が異なります。
推奨されるファイアウォールルールの NSX への適用
上記にて vRNIから推奨されたファイアウォール ルールについて、NSX Manager の管理 UI の [セキュリティ] > [分散ファイアウォール] 画面から、推奨された内容に合わせた形でファイアウォール ルールとして登録します。
新規に分散ファイアウォール ルールを定義した後、仮想マシン間トラフィックへの通信影響を確認し、問題が無いことを確認します。(対象の仮想マシン間で、分散ファイアウォールの設定前より相互にhttpアクセスを連続実施していましたが、設定後も通信に影響はありません)
また運用面におきましては、分散ファイアウォールの適用後、新規に仮想マシン グループを追加する際等に、現状の分散ファイアウォール ルールの見直しが必要となります。
まとめ
今回はネットワーク仮想化製品の NSX において、分散ファイアウォールを導入する際に、ファイアウォール ルール設定のヒントとしてご利用いただける、vRealize Network Insight Advanced エディション 及び Enterprise エディションにおける [推奨されるファイアウォール ルール] 機能についてご紹介させていただきました。
本記事では、NSX Distributed Firewall ライセンスをベースとして、vRealize Network Insight Advanced エディション もしくは Enterprise エディションを追加でご購入いただく形で記載しておりますが、NSX Enterprise Plus に付属する vRealize Network Insight Advanced エディションに関しても、上記内容にて動作する形となります。
弊社では今後も、クラウド環境における最適なインフラ基盤をご提供させていただきます。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
