NSX-T 3.2 vSphere Distributed Switch (VDS) の分散ファイアウォール

ネットワーク仮想化 NSX-T Data Center : 分散Firewallの新たな使い方

昨今の企業ICTインフラを考える上で、コロナ禍におけるテレワークの導入や、DX基盤の強化といった観点で、ネットワークにおいても迅速な構成変更や強固なセキュリティといった要件が求められています。こうした中、利用が浸透しておりますネットワーク仮想化製品 VMware NSX-T Data Center 3.2 における、分散ファイアウォールに関する新機能をご紹介いたします。

NSX-T Data Center 3.1 (以下 NSX-T) までは、既存のVMware vSphere® 環境にNSX-Tにて分散ファイアウォールを導入いただく際には、vSphere環境及びVMware vSphere® Distributed Switch™(VDS) の導入が前提となりますが、その上でvSphere のバージョンによっては、下記の対応が必要となっておりました。

・vSphere 6.7 : NSXのインストール時にN-VDS(NSX-T Data Center Virtual Distributed Switch)を構築後、該当仮想マシンをNSXのセグメントに移行

・vSphere 7.0 : vSphere Distributed Switch(VDS)7.0環境にてNSXをインストール後、該当仮想マシンをNSXのセグメントに移行

なお今回ご紹介する機能にて、仮想マシンは既存の分散仮想スイッチ(VDS)のポートグループから移行せず、そのままの環境でNSX- Tの分散ファイアウォールをお使いいただけるようになります。

NSX-T 3.2 VDS ポートグループの分散ファイアウォール :前提条件

NSX-T 3.2における、分散仮想スイッチ(VDS)のポートグループの分散ファイアウォールについて、主な前提条件を記載いたします。

・vSphere 6.7 以降の環境にて、 vSphere Distributed Switch(VDS) バージョン 6.6 以降が構成されている事
・VMware NSX® Data Center Professional™ライセンス以上もしくは VMware NSX® Distributed Firewall™ライセンス: こちらにて詳細をご確認下さい。

出典:VMware NSXライセンスと機能の総まとめ – 2022年版

VDS ポートグループの分散ファイアウォール : 設定手順

  • ホストの準備 : VMware NSX® Manager™ 管理画面の [システム] > [クイックスタート] > [セキュリティとネットワーク用のクラスタの準備] より対象のvSphereクラスタを選択し、[NSX のインストール] から [セキュリティ専用] を選択の上、インストールします。

  • 分散ポートグループ セグメントの確認: クラスタにNSXをインストール後、 [ネットワーク] > [セグメント] > [分散ポートグループ] より、分散スイッチのポートグループがNSXのセグメントとして確認出来ます。

  • 分散ファイアウォール ルールの作成: 上記の分散ポートグループは、分散ファイアウォールのルール作成の際にグループとして使用が出来、送信元や宛先グループとして利用できます。グループには、静的なメンバーシップと動的なメンバーシップがあります。

・静的(スタティック)メンバーシップ: グループのメンバーに、分散ポートグループを直接指定します。[インベントリ] > [グループ] > [グループの追加] より [コンピュートメンバー] の [追加] にて、分散ポートグループを指定します。

・動的(ダイナミック)メンバーシップ: 対象の分散ポートグループに、NSX Manager 画面にてタグを設定します。続いて [ネットワーク] > [セグメント] > [分散ポートグループ] より付与したタグを使用して、[インベントリ] > [グループ] から動的メンバーシップのグループを作成します。

  • ルールの作成及び動作検証: 分散ポートグループが含まれるグループを使用した分散ファイアールールを作成し、動作が想定通りであることを確認します。 例)特定の分散ポートグループへの通信のドロップ

  • NSX未対応ホストへの移行確認: 仮想マシンをNSXの設定されていないホストに移行する事で、同一ポートグループに接続されていても分散ファイアウォールのエージェント(DVFilter)の監視対象から外れる様子が確認出来ます。

まとめ


今回は、企業のICTインフラを支える重要な基盤であるネットワーク仮想化製品の NSX-T Data Center 3.2における新機能 vSphere Distributed Switch(VDS)ポートグループの分散ファイアウォールについてご紹介いたしました。本機能をご利用いただく事で、既存のvSphere環境におけるセキュリティ強化を、より利便性高く始めていただく事が可能となります。