NSX 管理ガイド Update 11 - VMware...NSX Edge...

NSX 管理ガイド

Update 14変更日：2021 年 5 月 12 日VMware NSX Data Center for vSphere 6.4

最新の技術ドキュメントは、 VMware の Web サイト（https://docs.vmware.com/jp/）

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

ヴイエムウェア株式会社105-0013　東京都港区浜松町 1-30-5浜松町スクエア 13Fwww.vmware.com/jp

Copyright ©

2010 - 2021 VMware, Inc. All rights reserved. 著作権および商標情報。

NSX 管理ガイド

VMware, Inc. 2

https://docs.vmware.com/jp/

https://docs.vmware.com/copyright-trademark.html

目次

NSX 管理ガイド 13

1 NSX Data Center for vSphere のシステム要件 14

2 NSX Data Center for vSphere で必要となるポートおよびプロトコル 17

3 NSX Data Center for vSphere の概要 18NSX Data Center for vSphere コンポーネント 19

データプレーン 20

制御プレーン 21

管理プレーン 22

使用プラットフォーム 22

NSX Edge 22

NSX Services 25

4 Cross-vCenter Networking and Security の概要 27Cross-vCenter NSX のメリット 27

Cross-vCenter NSX の仕組み 28

Cross-vCenter NSX でのサービスのサポートマトリックス 29

ユニバーサル NSX Controller クラスタ 31

ユニバーサルトランスポートゾーン 31

ユニバーサル論理スイッチ 31

ユニバーサル分散論理ルーター 31

ユニバーサルファイアウォールルール 32

ユニバーサルネットワークとセキュリティオブジェクト 33

Cross-vCenter NSX トポロジ 33

複数サイトおよび単一サイトの Cross-vCenter NSX 33

Local Egress（ローカル出力方向） 35

NSX Manager ロールの変更 36

5 トランスポートゾーン 38レプリケーションモードについて 40

トランスポートゾーンの追加 43

トランスポートゾーンの編集 44

トランスポートゾーンの拡張 45

トランスポートゾーンの縮小 46

Controller Disconnected Operation (CDO) モード 46

VMware, Inc. 3

6 論理スイッチ 47論理スイッチの追加 49

論理スイッチの追加 49

論理スイッチの NSX Edge への接続 52

論理スイッチでのサービスのデプロイ 53

論理スイッチへの仮想マシンの接続 53

論理スイッチの接続テスト 54

論理スイッチでのなりすましの防止 54

論理スイッチの編集 54

論理スイッチのシナリオ 55

管理者 John による NSX Manager へのセグメント ID プールの割り当て 57

管理者 John による VXLAN 転送パラメータの設定 58

管理者 John によるトランスポートゾーンの追加 59

管理者 John による論理スイッチの作成 59

7 ハードウェアゲートウェイの設定 61シナリオ：ハードウェアゲートウェイのサンプル構成 62

レプリケーションクラスタの設定 63

ハードウェアゲートウェイの NSX Controller への接続 64

ハードウェアゲートウェイの証明書の追加 65

論理スイッチの物理スイッチへのバインド 67

8 L2 ブリッジ 69L2 ブリッジの追加 70

論理的にルーティングされた環境への L2 ブリッジの追加 71

ブリッジスループットの向上 72

Software Receive Side Scaling の有効化 73

9 ルーティング 74分散論理ルーターの追加 74

Edge Services Gateway の追加 86

グローバル設定の指定 95

NSX Edge 設定 97

証明書の操作 97

FIPS モード 102

NSX Edge アプライアンスの管理 104

NSX Edge アプライアンスのリソース予約の管理 106

インターフェイスの操作 109

サブインターフェイスの追加 112

自動ルール設定の変更 116

CLI 認証情報の変更 116

NSX 管理ガイド

VMware, Inc. 4

高可用性について 116

NSX Edge と NSX Manager の強制同期 120

NSX Edge の Syslog サーバの設定 121

NSX Edge サービスステータスの表示 122

NSX Edge の再デプロイ 122

NSX Edge のテクニカルサポートログのダウンロード 125

スタティックルートの追加 125

分散論理ルーター上での OSPF の設定 127

Edge Services Gateway 上での OSPF の設定 132

BGP の設定 137

ルート再配分の設定 141

NSX Manager ロケール ID の表示 143

ユニバーサル分散論理ルーター上でのロケール ID の設定 143

ホストまたはクラスタ上でのロケール ID の設定 144

マルチキャストルーティングのサポート、制限、およびトポロジー 145

分散論理ルーターでのマルチキャストの設定 147

Edge Services Gateway でのマルチキャストの構成 149

マルチキャストトポロジ 151

10 論理ファイアウォール 153分散ファイアウォール 153

コンテキストアウェアファイアウォール 155

セッションタイマー 164

仮想マシンの IP アドレス検出 167

ファイアウォールによる保護からの仮想マシンの除外 169

ファイアウォール CPU イベントおよびメモリしきい値イベントの表示 170

分散ファイアウォールのリソース使用率 170

Edge ファイアウォール 170

NSX Edge ファイアウォールルールの使用 171

ファイアウォールルールセクションの操作 191

ファイアウォールルールセクションの追加 191

ファイアウォールルールセクションのマージ 192

ファイアウォールルールセクションの削除 193

ファイアウォールルールセクションのロック 193

ファイアウォールルールセクションのロック解除 194

ファイアウォールルールの使用 195

ファイアウォールルールの追加 195

デフォルトの分散ファイアウォールルールの編集 203

分散ファイアウォールルールの強制同期 203

カスタムのレイヤー 3 プロトコルでのファイアウォールルール 204

未発行の設定の保存 205

NSX 管理ガイド

VMware, Inc. 5

保存されたファイアウォール設定の読み込み 205

ファイアウォールルールのフィルタ 206

ファイアウォールルールの順序の変更 207

セキュリティグループでのファイアウォールルールの動作 207

ファイアウォールルールのヒット数とリセット 207

ファイアウォールのログ 208

11 ファイアウォールシナリオ 213コンテキストアウェアファイアウォールのシナリオ 213

アプリケーション ID の設定 214

12 Identity Firewall の概要 216Identity Firewall のワークフロー 217

Identity Firewall でサポートされるテスト済みの構成 218

13 Active Directory ドメインの操作 222NSX Manager への Windows ドメインの登録 222

Windows ドメインと Active Directory の同期 224

Windows ドメインの編集 225

Windows 2008 で読み取り専用セキュリティログアクセスを有効にする 225

ディレクトリ権限の確認 226

14 SpoofGuard の使用 228SpoofGuard ポリシーの作成 229

IP アドレスの承認 230

IP アドレスの変更 231

IP アドレスのクリア 232

15 Virtual Private Network (VPN) 233SSL VPN-Plus の概要 233

ネットワークアクセス SSL VPN-Plus の設定 235

SSL VPN-Plus Client のインストール 245

SSL VPN-Plus Client でのプロキシサーバの設定 248

SSL VPN-Plus のログ 249

クライアント設定の編集 250

全般設定の編集 250

Web ポータルデザインの編集 251

SSL VPN での IP アドレスプールの使用 251

プライベートネットワークの操作 253

インストールパッケージの操作 255

ユーザーの操作 255

NSX 管理ガイド

VMware, Inc. 6

ログインおよびログオフスクリプトの操作 256

IPsec VPN の概要 258

ポリシーベースの IPsec VPN 258

ルートベースの IPsec VPN 259

ポリシーベースの IPsec VPN サイトの構成 261

ルートベースの IPsec VPN サイトの構成 270

IPsec VPN サイトの編集 272

IPsec VPN サイトの無効化 272

IPsec VPN サイトの削除 272

IPSec の用語集 273

IKEv1 フェーズ 1 とフェーズ 2 273

ポリシーベースの IPsec VPN サイトの構成例 276

Cisco 2821 を統合したサービスルーターの使用 277

Cisco ASA 5510 の使用 280

Cisco CSR 1000V アプライアンスの使用 282

WatchGuard Firebox X500 の設定 286

L2 VPN の概要 286

L2 VPN のベストプラクティス 289

SSL 経由の L2 VPN 295

IPsec 経由での L2 VPN 300

L2 VPN クライアントとしてのスタンドアローン Edge 301

シナリオ：拡張 VLAN または VXLAN ネットワークの追加 309

シナリオ：拡張 VLAN または VXLAN ネットワークの削除 313

16 論理ロードバランサ 315ロードバランシングの設定 319

ロードバランササービスの設定 321

サービスモニターの作成 322

サーバプールの追加 330

アプリケーションプロファイルの作成 333

アプリケーションルールの追加 341

仮想サーバの追加 348

アプリケーションプロファイルの管理 350

アプリケーションプロファイルの編集 350

ロードバランサ用 SSL Termination の設定 350

アプリケーションプロファイルの削除 351

サービスモニターの管理 351

サービスモニターの編集 352

サービスモニターの削除 352

サーバプールの管理 352

サーバプールの編集 352

NSX 管理ガイド

VMware, Inc. 7

ロードバランサでの透過モードの設定 353

サーバプールの削除 353

プールステータスの表示 354

仮想サーバの管理 354

仮想サーバの編集 354

仮想サーバの削除 355

アプリケーションルールの管理 355

アプリケーションルールの編集 355

アプリケーションルールの削除 356

NTLM 認証を使用する Web サーバのロードバランシング 356

ロードバランサの HTTP 接続モード 356

NSX ロードバランサ構成のシナリオ 358

シナリオ：ワンアームロードバランサの設定 358

シナリオ：インラインロードバランサの設定 363

シナリオ：Platform Services Controller 用 NSX ロードバランサの設定 366

シナリオ：SSL オフロード 370

シナリオ：SSL 証明書のインポート 376

シナリオ：SSL パススルー 378

シナリオ：SSL クライアントとサーバ認証 380

17 その他の Edge サービス 383DHCP サービスの管理 383

DHCP IP アドレスプールの追加 384

DHCP サービスの開始 385

DHCP IP アドレスプールの編集 386

DHCP 静的割り当ての追加 386

DHCP 割り当ての編集 388

DHCP リレーの設定 388

DHCP リレーサーバの追加 389

DHCP リレーエージェントの追加 390

DNS サーバの構成 391

18 Service Composer 392Service Composer の使用 394

Service Composer でのセキュリティグループの作成 395

グローバル設定 398

セキュリティポリシーの作成 400

セキュリティグループへのセキュリティポリシーの適用 404

Service Composer キャンバス 405

セキュリティタグの操作 407

一意の ID の選択 408

NSX 管理ガイド

VMware, Inc. 8

適用されているセキュリティタグの表示 409

セキュリティタグの作成 409

セキュリティタグの割り当て 410

セキュリティタグの編集 410

セキュリティタグの削除 411

有効なサービスの表示 411

セキュリティポリシーの有効なサービスの表示 411

セキュリティポリシーのサービス障害の表示 412

仮想マシンでの有効なサービスの表示 412

セキュリティポリシーの操作 413

セキュリティポリシーの優先順位の管理 413

セキュリティポリシーの編集 414

セキュリティポリシーの削除 414

セキュリティポリシー設定のインポートとエクスポート 414

セキュリティポリシー設定のエクスポート 415

セキュリティポリシー設定のインポート 415

Service Composer のシナリオ 416

感染しているマシンを隔離するシナリオ 416

セキュリティ設定のバックアップ 421

19 ゲストイントロスペクション 424ゲストイントロスペクションのアーキテクチャ 425

ホストクラスタへのゲストイントロスペクションのインストール 427

Windows 仮想マシンへのゲストイントロスペクションシンエージェントのインストール 429

Linux 仮想マシンへのゲストイントロスペクションシンエージェントのインストール 431

ゲストイントロスペクションのステータスの表示 434

ゲストイントロスペクションの監査メッセージ 434

ゲストイントロスペクションのイベント 434

ゲストイントロスペクションモジュールのアンインストール 436

Linux 用ゲストイントロスペクションのアンインストール 436

20 ネットワークの拡張性 437分散サービス挿入 438

Edge ベースのサービス挿入 438

サードパーティのサービスの統合 438

パートナーサービスの展開 439

Service Composer を介したベンダーサービスの使用 441

論理ファイアウォールを使用したベンダーソリューションへのトラフィックのリダイレクト 441

パートナーのロードバランサの使用 442

サードパーティ統合の削除 443

NSX 管理ガイド

VMware, Inc. 9

21 ユーザー管理 444機能別の NSX ユーザーおよび権限 444

シングルサインオンの構成 454

ユーザー権限の管理 456

デフォルトユーザーアカウントの管理 457

vCenter Server ユーザーへのロールの割り当て 457

グループベースのロール割り当て 459

CLI を使用して Web インターフェイスのアクセス権を持つユーザーを作成する 461

ユーザーアカウントの編集 463

ユーザーロールの変更 464

ユーザーアカウントを無効または有効にする 464

ユーザーアカウントの削除 464

22 ネットワークおよびセキュリティオブジェクト 466IP アドレスグループの操作 466

IP アドレスグループの作成 467

IP アドレスグループの編集 468

IP アドレスグループの削除 468

MAC アドレスグループの操作 468

MAC アドレスグループの作成 469

MAC アドレスグループの編集 469

MAC アドレスグループの削除 470

IP アドレスプールの操作 470

IP アドレスプールの作成 470

IP アドレスプールの編集 471

IP アドレスプールの削除 471

セキュリティグループの操作 472

セキュリティグループでのファイアウォールルールの動作 472

セキュリティグループの作成 473

セキュリティグループの編集 476

セキュリティグループの削除 476

サービスおよびサービスグループの操作 477

サービスの作成 477

サービスグループの作成 478

サービスまたはサービスグループの編集 479

サービスまたはサービスグループの削除 479

23 運用管理 480ライセンスの追加と割り当て 480

ダッシュボードの使用 482

カスタムウィジェット 483

NSX 管理ガイド

VMware, Inc. 10

システムのスケールダッシュボード 483

通信チャネルの健全性の確認 484

NSX Controller の管理 485

NSX Controller 名の変更 485

コントローラパスワードの変更 486

NSX Controller クラスタの DNS、NTP、Syslog の設定 486

NSX Controller のテクニカルサポートログのダウンロード 488

複数サイトでのコントローラ切断モード 489

Controller Disconnected Operation (CDO) モードの有効化 490

Controller Disconnected Operation (CDO) モードの無効化 491

CDO 設定の再同期 491

VXLAN ポートの変更 492

カスタマーエクスペリエンス向上プログラム 494

カスタマーエクスペリエンス向上プログラムのオプションの編集 494

NSX のログについて 495

監査ログ 496

NSX チケットロガーの使用 496

監査ログの表示 497

システムイベント 497

システムイベントのレポートの表示 497

システムイベントの形式 498

アラーム 498

アラームの形式 499

SNMP トラップの操作 499

システム設定の管理 503

NSX Manager 仮想アプライアンスへのログイン 503

NSX Manager の日時の編集 504

NSX Manager アプライアンスの IP アドレスの変更 504

NSX Manager の Syslog サーバの設定 507

NSX Manager での FIPS モードと TLS 設定の変更 508

DNS サーバの編集 509

Lookup Service の詳細の編集 509

vCenter Server の編集 510

NSX のテクニカルサポートログのダウンロード 510

NSX Manager の SSL 証明書 511

NSX のバックアップとリストア 514

NSX Manager のバックアップとリストア 514

vSphere Distributed Switch のバックアップ 521

vCenter Server のバックアップ 521

NSX の監視と診断ツール 521

フローモニタリング 521

NSX 管理ガイド

VMware, Inc. 11

IPFIX の設定 528

Application Rule Manager 545

ホストの健全性ステータスの監視 555

ネットワーク遅延のモニタリング 557

エンドポイントの監視データの収集 558

トレースフロー 561

パケットキャプチャ 564

サポートバンドル収集ツール 567

24 Cross-vCenter NSX でのディザスタリカバリのシナリオ 572シナリオ 1：サイト全体の停止（予定のメンテナンス） 576

シナリオ 2：サイト全体の停止（予期しない障害） 580

シナリオ 3：プライマリサイトへの完全なフェイルバック 584

NSX 管理ガイド

VMware, Inc. 12

NSX 管理ガイド

『NSX 管理ガイド』には、VMware NSX®Manager™ ユーザーインターフェイス、VMware vSphere® Web Client、VMware vSphere®Client™を使用して、VMware NSX® Data Center for vSphere® の構成、監視、

メンテナンスを行う方法が記載されています。詳細な設定手順や推奨されるベストプラクティスについても記載し

ています。

重要： NSX for vSphere の名称が NSX Data Center for vSphere になりました。

対象読者

本書は、VMware vSphere® 環境で NSX Data Center for vSphere をインストールまたは使用するユーザー

を対象としています。本書に記載されている情報は、システム管理者としての経験があり、仮想マシンテクノロジー

および仮想データセンターの操作に詳しい方を対象としています。本書は、VMware ESXi™、VMware vCenter Server®

、vSphere Web Client などの vSphere について知識があることを前提としています。

タスクの手順

このガイドのタスクの手順は、vSphere Web Client に基づいています。このガイドのタスクの一部は、新しい

vSphere Client を使用して実行することもできます。新しい vSphere Client のユーザーインターフェイスの用

語、トポロジ、ワークフローは、vSphere Web Client の同じ要素や項目とほとんど一致しています。

注： vSphere Web Client の NSX プラグインの一部の機能は、NSX 6.4 の vSphere Client で実装されてい

ません。サポートされている機能とサポートされていない機能の最新のリストについては、https://docs.vmware.com/jp/VMware-NSX-for-vSphere/6.4/rn/nsx-vsphere-client-65-functionality-support.html を参照してください。

VMware の技術ドキュメントの用語集

VMware は、新しい用語を集めた用語集を提供しています。当社の技術ドキュメントで使用されている用語の定義

については、http://www.vmware.com/support/pubs をご覧ください。

VMware, Inc. 13

https://docs.vmware.com/jp/VMware-NSX-for-vSphere/6.4/rn/nsx-vsphere-client-65-functionality-support.html



http://www.vmware.com/support/pubs

NSX Data Center for vSphere のシステム要件 1NSX Data Center for vSphere のインストールまたはアップグレードを行う前に、ネットワーク構成とリソース

について検討します。vCenter Server ごとに 1 つの NSX Manager をインストールできます。ESXi ホストあ

たり 1 つのゲストイントロスペクションインスタンス、データセンターあたり複数の NSX Edge インスタンスを

インストールできます。

ハードウェア

次の表は、NSX Data Center for vSphere アプライアンスのハードウェア要件です。

表 1-1. アプライアンスのハードウェア要件

アプライアンスメモリ vCPU ディスク容量

NSX Manager 16 GB（大規模な環境の場合は

24 GB）

4

大規模な環境の場合：

8 以下（6.4.0 から 6.4.6）

32 以下（6.4.7 以降）

60 GB

NSX Controller 4 GB 4 28 GB

NSX Edge

（分散論理ルーターは Compact アプライアンスとしてデプロイ）

[Compact]： 512 MB

[Large]： 1 GB

Quad Large：4 GB（6.4.9 以降）、2 GB（6.4.0 ～ 6.4.8）

[X-Large]：8 GB

[Compact]： 1

[Large]： 2

[Quad Large]： 4

[X-Large]： 6

[Compact、Large]：640 MB のディスク 1 台 + 512 MB のディ

スク 1 台

[Quad Large]：640 MB のディ

スク 1 台 + 512 MB のディスク 2 台

[X-Large]：640 MB のディスク

1 台 + 2 GB のディスク 1 台 + 512 MB のディスク 1 台

ゲストイントロスペクション 2 GB 2 5 GB（プロビジョニング後の容量

は 6.26 GB）

一般的なガイドラインとして、NSX で管理する環境に 256 を超えるハイパーバイザーが含まれる場合、NSX Manager のリソースを少なくとも vCPU 8 個とメモリ 24 GB に増やしてください。vCPU は 32 個以下にして

ください。構成の上限については、VMware 構成の上限ツールの「NSX Data Center for vSphere」セクション

を参照してください。記載されている構成の上限は、NSX Manager アプライアンスのサイズが Large であること

を前提としています。特定のサイジングに関する情報については、VMware サポートにお問い合わせください。

VMware, Inc. 14

https://configmax.vmware.com/

仮想アプライアンスへのメモリと vCPU の割り当てを増加させる方法については、『vSphere 仮想マシン管理』の

「メモリリソースの割り当て」と「仮想 CPU 数の変更」を参照してください。

ゲストイントロスペクションアプライアンスにプロビジョニングされた容量は、ゲストイントロスペクションに

6.26 GB と表示されます。これは、クラスタ内の複数のホストが　1 つのストレージを共有している場合、vSphere ESX Agent Manager が高速クローン用にサービス仮想マシンのスナップショットを作成するためです。このオ

プションを ESX Agent Manager で無効にする方法については、ESX Agent Manager のドキュメントを参照し

てください。

ネットワークの遅延

コンポーネント間のネットワーク遅延が、以下の最大遅延時間内であることを確認する必要があります。

表 1-2. コンポーネント間のネットワーク遅延の最大値

コンポーネント遅延の最大値

NSX Manager と NSX Controller ノード 150 ms RTT

NSX Manager と ESXi ホスト 150 ms RTT

NSX Manager と vCenter Server システム 150 ms RTT

NSX Manager と Cross-vCenter NSX 環境の NSX Manager 150 ms RTT

NSX Controller と ESXi ホスト 150 ms RTT

ソフトウェア

最新の相互運用性の情報については、http://partnerweb.vmware.com/comp_guide/sim/interop_matrix.php で、製品の相互運用性マトリックスを参照してください。

NSX Data Center for vSphere、vCenter Server、ESXi の推奨バージョンについては、アップグレードする

NSX Data Center for vSphere バージョンのリリースノートを参照してください。リリースノートは、NSX Data Center for vSphere ドキュメントサイト https://docs.vmware.com/jp/VMware-NSX-for-vSphere/index.html で入手できます。

NSX Manager を Cross-vCenter NSX 環境に参加させるには、次の条件を満たす必要があります。

コンポーネントバージョン

NSX Manager 6.2 以降

NSX Controller 6.2 以降

vCenter Server 6.0 以降

ESXi ESXi 6.0 以降

NSX 6.2 以降の VIB が準備されているホストクラスタ

Cross-vCenter NSX 環境のすべての NSX Manager を 1 つの vSphere Web Client から管理するには、

vCenter Server システムを拡張リンクモードで接続する必要があります。『vCenter Server およびホスト管理』

の「拡張リンクモードの使用」を参照してください。

NSX 管理ガイド

VMware, Inc. 15

http://partnerweb.vmware.com/comp_guide/sim/interop_matrix.php

http://partnerweb.vmware.com/comp_guide/sim/interop_matrix.php

https://docs.vmware.com/jp/VMware-NSX-for-vSphere/index.html

https://docs.vmware.com/jp/VMware-NSX-for-vSphere/index.html

パートナーのソリューションと NSX との互換性を確認するには、VMware 互換性ガイドでネットワークとセキュ

リティ (http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security) を参照してください。

クライアントとユーザーアクセス

NSX Data Center for vSphere 環境を管理するには、次が必要です。

n 正引き/逆引きの名前解決。これは、vSphere インベントリに ESXi ホストを名前で追加した場合に必要です。

この機能がないと、NSX Manager は IP アドレスを解決できません。

n 仮想マシンを追加、パワーオンの権限。

n 仮想マシンのファイルを保存するデータストアへのアクセス、そのデータストアにファイルをコピーするための

アカウント権限。

n NSX Manager ユーザーインターフェイスにアクセスするには、Web ブラウザで Cookie を有効にする必要

があります。

n NSX Manager と ESXi ホスト、vCenter Server、デプロイする NSX Data Center for vSphere アプラ

イアンスの間でポート 443 を開く必要があります。このポートは、ESXi ホストから OVF ファイルをダウンロ

ードして展開するために必要です。

n 使用している vSphere Client または vSphere Web Client のバージョンでサポートされている Web ブラ

ウザは次のとおりです。サポートされている Web ブラウザのリストについては、https://docs.vmware.com/jp/VMware-NSX-Data-Center-for-vSphere/6.4/rn/nsx-vsphere-client-65-functionality-support.html を参照してください。

Microsoft Internet Explorer ブラウザ（32 ビットおよび 64 ビット）は NSX 6.4.x ではサポートされてい

ません。

n vSphere 6.5 と NSX Data Center for vSphere 6.4 で vSphere Client (HTML5) を使用する方法につ

いては、https://docs.vmware.com/jp/VMware-NSX-for-vSphere/6.4/rn/nsx-vsphere-client-65-functionality-support.html を参照してください。

NSX 管理ガイド

VMware, Inc. 16

http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security

https://docs.vmware.com/jp/VMware-NSX-Data-Center-for-vSphere/6.4/rn/nsx-vsphere-client-65-functionality-support.html





NSX Data Center for vSphere で必要となるポートおよびプロトコル 2NSX Data Center for vSphere では、正常に動作するため、複数のポートを開く必要があります。

n Cross-vCenter NSX 環境で vCenter Server システムが拡張リンクモードになっている場合、それぞれの

NSX Manager アプライアンスが環境内の vCenter Server システムに接続している必要があります。この

モードでは、任意の vCenter Server システムから任意の NSX Manager を管理できます。

n バージョン 6.4.x 以前の NSX からアップグレードする場合は、リモートデスクトップセッションホスト

(RDSH) ポリシーが正常に作成され、適用されるように、ゲストイントロスペクションとホストクラスタをア

ップグレードする必要があります。

NSX 6.4.0 以降でサポートされているポートとプロトコルのリストについては、https://ports.vmware.com/home/NSX-Data-Center-for-vSphere にある VMware Ports and Protocols ポータルを参照してくださ

い。このポータルでは、リストを CSV、Excel、PDF のいずれかのファイル形式でダウンロードできます。

VMware, Inc. 17

https://ports.vmware.com/home/NSX-Data-Center-for-vSphere

https://ports.vmware.com/home/NSX-Data-Center-for-vSphere

NSX Data Center for vSphere の概要 3サーバ仮想化は、IT 部門に大きなメリットももたらします。サーバ統合により、物理的な煩雑さが低減し、運用効率

が向上します。また、リソースを動的に再利用する能力が高まるため、ますます動的になりつつある業務用アプリケ

ーションの要求を迅速かつ最適な形で満たすことができます。

VMware の Software-Defined Data Center (SDDC) アーキテクチャは現在、物理的なデータセンターインフ

ラストラクチャ全体に仮想化技術を拡充しています。NSX Data Center for vSphere は、SDDC アーキテクチャ

の主要製品です。NSX Data Center for vSphere を使用すると、仮想化によりコンピューティングやストレージ

ですでに実現されているものを、ネットワークでも実現できます。サーバ仮想化では、ソフトウェアベースの仮想マ

シンの作成、削除、リストア、およびスナップショットの作成をプログラムによって行います。NSX Data Center for vSphere のネットワーク仮想化は、ほぼ同じ方法で、ソフトウェアベースの仮想ネットワークを作成、削除、

リストア、およびスナップショットの作成を行います。その結果、ネットワークに対するアプローチに変革がもたら

され、データセンターマネージャが桁違いに高い俊敏性と経済性を実現できるようになるだけなく、基盤となる物理

ネットワークの運用モデルを大幅に簡素化できます。NSX Data Center for vSphere は、既存の従来のネットワ

ークモデルおよび任意のベンダーの次世代ファブリックアーキテクチャの両方を含む、あらゆる IP ネットワークに

デプロイできる無停止ソリューションです。つまり、NSX Data Center for vSphere を使用して Software-Defined Data Center (SDDC) をデプロイするのに必要なのは、すでに所有している物理ネットワークインフラ

ストラクチャのみです。

物理コンピューティングとメモリ

アプリケーション

x86 環境

サーバハイパーバイザー

アプリケーションアプリケーション

仮想マシン

仮想マシン

要件：x86

分離

仮想マシン

物理ネットワーク

ワークロード

L2、L3、L4-7 ネットワークサービス

ネットワーク仮想化プラットフォーム

ワークロードワークロード

仮想ネットワーク


要件：IP アドレストランスポート


VMware, Inc. 18

上記の図は、コンピューティングとネットワーク仮想化の類似性を示しています。サーバ仮想化では、ソフトウェア

抽象レイヤー（サーバハイパーバイザー）により、x86 物理サーバでよく使用される属性（CPU、RAM、ディス

ク、NIC など）がソフトウェアで再現されるため、それらをプログラムで任意に組み合わせて、瞬時に一意の仮想マ

シンを作成できます。

ネットワーク仮想化では、ネットワークハイパーバイザーと機能的に同等のものが、レイヤー 2 からレイヤー 7 までのネットワークサービス一式（スイッチング、ルーティング、アクセス制御、ファイアウォール、QoS、ロード

バランシングなど）をソフトウェアで完全に再現します。プログラムでこれらのサービスを任意に組み合わせ、独自

の隔離された仮想ネットワークをわずか数秒で構築できます。

ネットワーク仮想化には、サーバ仮想化と同様の利点があります。たとえば、仮想マシンは基盤となる x86 プラッ

トフォームから独立しており、IT 担当者は物理ホストをコンピューティングキャパシティのプールとして扱うこと

ができるのと同様に、仮想ネットワークは基盤となる IP ネットワークハードウェアから独立しており、IT 担当者は

物理ネットワークを、要求に応じて利用および再利用できる転送キャパシティのプールとして扱うことができます。

従来のアーキテクチャとは異なり、仮想ネットワークは、基盤となる物理ハードウェアやトポロジを再構成しなくて

も、プログラムでプロビジョニング、変更、格納、削除、リストアできます。ネットワークへのこの斬新なアプロー

チは、扱い慣れたサーバおよびストレージ仮想化ソリューションの機能と利点を組み合わせることで、Software-Defined Data Center (SDDC) の可能性を最大限に引き出します。

NSX Data Center for vSphere は、vSphere Web Client、コマンドラインインターフェイス (CLI)、および

REST API を使用して設定できます。

この章には、次のトピックが含まれています。

n NSX Data Center for vSphere コンポーネント

n NSX Edge

n NSX Services

NSX Data Center for vSphere コンポーネント

このセクションでは、NSX Data Center for vSphere ソリューションのコンポーネントについて説明します。

NSX 管理ガイド

VMware, Inc. 19

CMP

NSXController

NSX Manager

使用プラットフォーム

NSXEdge

データプレーン

ファイアウォール分散論理ルーター

VXLANVDSNSX

vSwitch

Hypervisor エクステンションモジュール

+

管理プレーン

制御プレーンランタイム状態

Cloud Management Platform (CMP) は NSX Data Center for vSphere のコンポーネントではありません

が、NSX Data Center for vSphere では、REST API を使用して仮想的に任意の CMP を統合したり、VMware の CMP を設定なしで統合したりできます。

データプレーン

データプレーンは vSphere Distributed Switch (VDS) をベースにした NSX Virtual Switch と、サービスを

有効にするためのコンポーネントで構成されています。カーネルモジュール、ユーザー領域のエージェント、設定フ

ァイル、およびインストールスクリプトが VIB にパッケージ化され、ハイパーバイザーカーネル内で実行されま

す。これにより、分散ルーティングや論理ファイアウォールなどのサービスの提供や VXLAN ブリッジ機能を有効

にすることができます。

NSX Virtual Switch（vDS ベース）は、物理ネットワークを抽象化して、ハイパーバイザー内でアクセスレベルで

のスイッチングを実現します。NSX vSwitch は、VLAN などの物理構成に依存しない論理的なネットワークを可

能にするため、ネットワーク仮想化の中核を成します。vSwitch のいくつかのメリットを次に示します。

n （VXLAN などの）プロトコルや一元化されたネットワーク設定によるオーバーレイネットワークのサポート。

オーバーレイネットワークにより、次のことが可能になります。

n 物理ネットワークにおける VLAN ID の使用を削減

n データセンターネットワークを再設計せずに、既存の物理インフラストラクチャの既存の IP ネットワーク

上に柔軟性のある論理的なレイヤー 2 (L2) オーバーレイを作成

n テナント間の分離を維持しながら、通信（水平方向および垂直方向の通信）を提供

NSX 管理ガイド

VMware, Inc. 20

n オーバーレイネットワークに依存せず、物理 L2 ネットワークに接続しているように機能する、アプリケー

ションワークロードと仮想マシン

n ハイパーバイザーの大規模な拡張を促進

n 複数の機能（ポートミラーリング、NetFlow/IPFIX、のバックアップとリストア、ネットワークの健全性チェ

ック、QoS、LACP）により、仮想ネットワークにおけるトラフィックの管理、監視、およびトラブルシューテ

ィング用の包括的なツールキットを実現

分散論理ルーターは、論理ネットワーク領域 (VXLAN) から物理ネットワーク (VLAN) までの L2 ブリッジを提供

できます。

ゲートウェイデバイスは、通常、NSX Edge 仮想アプライアンスです。NSX Edge は、L2、L3、境界ファイアウ

ォール、ロードバランシングやその他のサービス（SSL VPN、DHCP など）を提供します。

制御プレーン

制御プレーンは、NSX Controller クラスタで実行されます。NSX Controller は、論理スイッチングおよびルーテ

ィング機能の制御プレーンとして機能する高度な分散状態管理システムです。これは、ネットワーク内のすべての論

理スイッチの中央制御点であり、すべてのホスト、論理スイッチ (VXLAN)、および分散論理ルーターの情報を管理

します。

NSX Controller クラスタで、ハイパーバイザー内の分散スイッチングモジュールとルーティングモジュールを管

理します。コントローラを通過するデータプレーントラフィックはありません。3 つのメンバーのクラスタにコン

トローラノードをデプロイして、高可用性とスケーリングを可能にします。コントローラノードに障害が発生して

も、データプレーントラフィックに影響はありません。

NSX Controller は、ネットワーク情報をホスト間に分散することによって機能します。高レベルの復元性を達成す

るため、NSX Controller はクラスタ化によって、スケールアウトおよび高可用性 (HA) を実現しています。NSX Controller クラスタには 3 台のノードが含まれている必要があります。3 台の仮想アプライアンスによって、NSX ドメイン内のすべてのネットワーク機能の状態を把握、保持、および更新します。NSX Manager は NSX Controller ノードのデプロイに使用されます。

3 台の NSX Controller ノードがコントロールクラスタを形成します。コントローラクラスタには、「スプリット

ブレイン問題」を回避するためにクォーラム（マジョリティともいう）が必要です。スプリットブレイン問題では、

重複する 2 つの異なるデータセットのメンテナンスが原因でデータの不整合が生じます。この不整合は、エラー条件

およびデータ同期の問題により発生する可能性があります。3 台の NSX Controller ノードがあることで、いずれ

か 1 台の NSX Controller ノードで障害が発生したとしても、データの冗長性が維持されます。

コントローラクラスタには、以下に示すいくつかのロールがあります。

n API プロバイダ

n セッション維持サーバ

n スイッチマネージャ

n 論理マネージャ

n ディレクトリサーバ

NSX 管理ガイド

VMware, Inc. 21

各ロールには、マスターコントローラノードがあります。あるロールのマスターコントローラノードで障害が発生

すると、クラスタはそのロールの新しいマスターを、利用可能な NSX Controller ノードから選択します。そのロ

ールの新しいマスター NSX Controller ノードは、ワークの失われた部分を残りの NSX Controller ノードに再割

り当てします。

NSX Data Center for vSphere は、マルチキャスト、ユニキャスト、ハイブリッドの 3 つの論理スイッチ制御プ

レーンモードをサポートします。コントローラクラスタを使用して VXLAN ベースの論理スイッチを管理すると、

物理ネットワークインフラストラクチャからのマルチキャストサポートの必要がなくなります。マルチキャストグループの IP アドレスをプロビジョニングする必要はありません。また、物理スイッチまたはルーターで PIM ルーテ

ィング機能や IGMP スヌーピング機能を有効にする必要もありません。このため、ユニキャストおよびハイブリッド

モードでは、NSX が物理ネットワークから分離されます。ユニキャスト制御プレーンモードの VXLAN では、論

理スイッチ内でブロードキャスト、不明なユニキャスト、およびマルチキャスト (BUM) トラフィックを処理するた

めのマルチキャストをサポートする上で、物理ネットワークが不要になります。ユニキャストモードでは、すべての

BUM トラフィックがホストでローカルにレプリケートされ、物理ネットワーク設定が不要です。ハイブリッドモー

ドでは、パフォーマンス向上のために、一部の BUM トラフィックレプリケーションが第 1 ホップの物理スイッチ

にオフロードされます。ハイブリッドモードでは、最初のホップのスイッチでの IGMP スヌーピング、および各

VTEP サブネット内の IGMP クエリアにアクセスできることが必要です。

管理プレーン

管理プレーンは、NSX Data Center for vSphere のネットワーク集中管理コンポーネントである NSX Manager によって構築されます。統合された設定機能と REST API のエントリポイントを提供します。

NSX Manager は、vCenter Server 環境内の任意の ESXi ホスト上に仮想アプライアンスとしてインストールさ

れます。NSX Manager と vCenter Server は 1 対 1 の関係です。つまり、1 つの NSX Manager のインスタン

スに対し、vCenter Server は 1 台です。これは、Cross-vCenter NSX 環境でも同じです。

Cross-vCenter NSX 環境には、プライマリ NSX Manager と 1 つ以上のセカンダリ NSX Manager アプライア

ンスの両方があります。プライマリ NSX Manager を使用すると、ユニバーサル論理スイッチ、ユニバーサル分散

論理ルーター、ユニバーサルファイアウォールルールを作成できます。セカンダリ NSX Manager は、特定の

NSX Manager のローカルなネットワークサービスの管理に使用されます。Cross-vCenter NSX 環境では、プ

ライマリ NSX Manager に最大 7 つのセカンダリ NSX Manager を関連付けることができます。

使用プラットフォーム

vSphere Web Client で提供される NSX Manager ユーザーインターフェイスから NSX Data Center for vSphere を直接利用することができます。通常、エンドユーザーはネットワークの仮想化を Cloud Management Platform に関連付けてアプリケーションをデプロイします。NSX Data Center for vSphere には豊富な統合が

用意されており、REST API を介して事実上どのような CMP とも統合できます。また、VMware vRealize Automation Center、vCloud Director、および OpenStack と Neutron プラグインによって、設定不要の簡

単な統合も可能です。

NSX Edge

NSX Edge は、Edge Services Gateway (ESG) または分散論理ルーター (DLR) としてインストールできます。

NSX 管理ガイド

VMware, Inc. 22

Edge Services Gateway

この ESG を利用することで、ファイアウォール、NAT、DHCP、VPN、ロードバランシング、高可用性などのす

べての NSX Edge サービスにアクセスできます。データセンターには、複数の ESG 仮想アプライアンスをインス

トールできます。各 ESG 仮想アプライアンスには、アップリンクと内部のネットワークインターフェイスを合計で

10 個指定できます。トランクを使用すると、ESG には最大で 200 のサブインターフェイスを指定できます。内部

インターフェイスは保護されたポートグループに接続され、そのポートグループ内の保護された仮想マシンすべて

のゲートウェイとして機能します。内部インターフェイスに割り当てられたサブネットは、パブリックにルーティン

グされる IP 空間にも、ネットワークアドレス変換またはルーティングされる RFC 1918 専用空間にもなります。フ

ァイアウォールルールなどの NSX Edge サービスは、ネットワークインターフェイス間のトラフィックに適用さ

れます。

ESG のアップリンクインターフェイスは、社内共有ネットワークや、アクセスレイヤーネットワーキングを提供す

るサービスに対するアクセス権を持つアップリンクポートグループに接続します。ロードバランサ、サイト間

VPN、NAT サービス用に複数の外部 IP アドレスを設定できます。

分散論理ルーター

分散論理ルーターは、テナント IP アドレス空間とデータパス分離による水平方向の分散ルーティングを提供します。

複数のサブネットにわたっている同一ホスト上に存在する仮想マシンまたはワークロードは、従来のルーティングインターフェイスをトラバースすることなく相互に通信できます。

分散論理ルーターには、8 個のアップリンクインターフェイスと、最大 1,000 個の内部インターフェイスを割り当

てることができます。分散論理ルーター上のアップリンクインターフェイスは、分散論理ルーターと ESG 間のレイ

ヤー 2 論理中継スイッチを介して、ESG とピアを形成します。分散論理ルーターの内部インターフェイスは、仮想

マシンと分散論理ルーター間の論理スイッチを介して、ESXi ハイパーバイザーにホストされている仮想マシンとピ

アを形成します。

分散論理ルーターには、以下の 2 つの主なコンポーネントがあります。

n 分散論理ルーター制御プレーンが分散論理ルーター仮想アプライアンスから提供されます（制御仮想マシンとも

呼ばれます）。この仮想マシンは、動的なルーティングプロトコル（BGP または OSPF）をサポートし、ルー

ティングの更新情報を次のレイヤー 3 ホップデバイス（通常、Edge Services Gateway）と交換し、NSX Manager および NSX Controller クラスタと通信します。分散論理ルーター仮想アプライアンスでは、アク

ティブ-スタンバイ構成による高可用性がサポートされます。高可用性を有効にして分散論理ルーターを作成す

ると、アクティブ-スタンバイモードで機能する仮想マシンのペアが提供されます。

n データプレーンレベルで分散論理ルーターカーネルモジュール (VIB) が存在します。これは、NSX ドメイン

に含まれる ESXi ホストにインストールされます。このカーネルモジュールは、レイヤー 3 ルーティングをサ

ポートするモジュール型シャーシに組み込まれたラインカードに似ています。カーネルモジュールには、コン

トローラクラスタからプッシュされるルーティング情報ベース (RIB)（ルーティングテーブルとも呼ばれる）

が含まれます。ルート参照と ARP エントリ参照のデータプレーン機能はカーネルモジュールによって実行さ

れます。カーネルモジュールには論理インターフェイス（LIF と呼ばれる）が搭載されており、さまざまな論理

スイッチと、VLAN にバッキングされたあらゆるポートグループに接続されます。各 LIF には、接続先の論理

L2 セグメントのデフォルト IP ゲートウェイを表す IP アドレスと、vMAC アドレスが割り当てられます。IP アドレスは LIF ごとに一意ですが、定義されたすべての LIF に同じ vMAC が割り当てられます。

NSX 管理ガイド

VMware, Inc. 23

図 3-1. 論理ルーティングコンポーネント

VPN VP

NSX Manager1

25

3

4

6

NSX Edge （ネクストホップルーターとして機能）

192.168.100.0/24

外部ネットワーク

コントローラクラスタ

分散論理ルーターアプライアンス

vSphere Distributed Switch

OSPF、BGP

コントロール

ピアリング

Web 仮想マシン

172.16.10.11

172.16.10.1

App 仮想マシン

172.16.20.11

172.16.20.1


コントロール192.168.10.1

192.168.10.2

データパス

192.168.10.3

1 NSX Manager のユーザーインターフェイス（または API 呼び出し）を使用して分散論理ルーターインスタ

ンスを作成し、ルーティングを有効にして、OSPF または BGP を利用します。

2 NSX Controller は、ESXi ホストが含まれる制御プレーンを利用して、LIF および関連付けられた IP アドレス

と vMAC アドレスを含め、新しい分散論理ルーター設定をプッシュします。

3 ネクストホップデバイス（この例では NSX Edge [ESG]）でルーティングプロトコルも有効になっていると

仮定すると、ESG と分散論理ルーター制御仮想マシンとの間で OSPF または BGP のピアリングが確立されま

す。これで、ESG と分散論理ルーターはルーティング情報を交換できます。

n 接続されたすべての論理ネットワーク用の IP プリフィックスを OSPF に再配分するように分散論理ルー

ター制御仮想マシンを設定できます（この例では 172.16.10.0/24 と 172.16.20.0/24）。この結果、このル

ートのアドバタイズが NSX Edge にプッシュされます。このプリフィックスのネクストホップは、制御仮

想マシンに割り当てられた IP アドレス (192.168.10.3) ではなく、分散論理ルーターのデータプレーンコンポーネントを特定する IP アドレス (192.168.10.2) です。前者は分散論理ルーターの「プロトコルアド

レス」、後者は「転送アドレス」と呼ばれます。

n NSX Edge は、外部ネットワーク内の IP ネットワークに到達するためのプリフィックスを制御仮想マシン

にプッシュします。多くの環境では、NSX Edge は 1 つのデフォルトルートを送信します。そのデフォル

トルートが物理ネットワークインフラストラクチャへの単一出口点を表しているためです。

NSX 管理ガイド

VMware, Inc. 24

4 分散論理ルーター制御仮想マシンは、NSX Edge から学習した IP ルートをコントローラクラスタにプッシュ

します。

5 コントローラクラスタは、分散論理ルーター制御仮想マシンから学習したルートをハイパーバイザーに配布しま

す。クラスタ内の各コントローラノードは、特定の分散論理ルーターインスタンスに対する情報を配布します。

複数の分散論理ルーターインスタンスがデプロイされているデプロイでは、コントローラノード全体で負荷が

分散されます。通常、個々の分散論理ルーターインスタンスは、デプロイされた各テナントに関連付けられま

す。

6 ホスト上の分散論理ルータールーティングカーネルモジュールは、NSX Edge 経由で外部ネットワークと通

信するためのデータパストラフィックを処理します。

NSX Services

NSX Data Center for vSphere コンポーネントは、相互に連携して次の VMware NSX®Services™ の機能を

提供します。

論理スイッチ

クラウドデプロイ環境や仮想データセンターでは、複数のテナント間にさまざまなアプリケーションが存在します。

セキュリティ、障害の隔離、および IP アドレス重複の回避を実現するには、アプリケーションとテナントは分離し

ている必要があります。NSX Data Center for vSphere では、それぞれが単一の論理的なブロードキャストドメ

インである複数の論理スイッチを作成できます。アプリケーションまたはテナントの仮想マシンは、論理スイッチに

論理的に接続できます。これにより、デプロイの柔軟性および速度が確保され、同時に、物理レイヤー 2 のスプロー

ルやスパニングツリーといった問題が生じることなく、物理ネットワークのブロードキャストドメイン (VLAN) のすべての特性が引き続き提供されます。

論理スイッチは分散型であるため、vCenter Server 内のすべてのホスト（または Cross-vCenter NSX 環境内の

すべてのホスト）にまたがって設置できます。これにより、物理レイヤー 2 (VLAN) 境界の制限を受けることなく、

データセンター内での仮想マシンのモビリティ (vMotion) が確保されます。論理スイッチのソフトウェアにはブロ

ードキャストドメインが含まれているため、物理インフラストラクチャが MAC/FIB テーブルの制限に制約される

ことはありません。


ルーティングは、レイヤー 2 ブロードキャストドメイン間の必要な転送情報を提供します。これにより、レイヤー

2 ブロードキャストドメインのサイズを削減し、ネットワークの効率と拡張性を向上できます。NSX Data Center for vSphere は、このインテリジェンスをワークロードが存在する場所に拡張し、East-West のルーティングを行

います。これにより、コストと時間をかけてホップを拡張することなく、より直接的に仮想マシン間の通信ができま

す。同時に、分散論理ルーターは North-South 接続も提供するため、テナントはパブリックネットワークにアク

セスできます。

NSX 管理ガイド

VMware, Inc. 25

論理ファイアウォール

論理ファイアウォールは、動的な仮想データセンターにセキュリティメカニズムを提供します。論理ファイアウォー

ルの分散ファイアウォールコンポーネントでは、仮想マシンの名前および属性、ユーザー ID、vCenter Server オブジェクト（データセンターなど）、ホスト、および従来のネットワーク属性（IP アドレスや VLAN など）に基づ

き、仮想マシンなどの仮想データセンターエンティティをセグメント化できます。また、Edge ファイアウォール

コンポーネントにより、IP/VLAN 構造に基づく DMZ の構築、マルチテナント仮想データセンター内のテナント分

離などの、主要な境界セキュリティのニーズに応えることができます。

フローモニタリング機能では、アプリケーションプロトコルレベルでの仮想マシン間のネットワークアクティビテ

ィが表示されます。この情報によって、ネットワークトラフィックの監査、ファイアウォールポリシーの定義と調

整、およびネットワークに対する脅威の識別が可能になります。

論理 Virtual Private Network (VPN)

SSL VPN-Plus を使用することで、リモートユーザーがプライベートの企業アプリケーションにアクセスできます。

IPsec VPN は、NSX Data Center for vSphere またはサードパーティベンダーのハードウェアルーター/VPN ゲートウェイを使用して、NSX Edge インスタンスとリモートサイトとのサイト間接続を提供します。また L2 VPN では、地理的な境界を越えて同じ IP アドレスを保持しながら、仮想マシンによるネットワーク接続を維持でき

るようにすることで、データセンターを拡張できます。

論理ロードバランサ

NSX Edge ロードバランサは、単一の仮想 IP アドレス (VIP) を対象とするクライアント接続を、ロードバランシ

ングプールのメンバーとして設定された複数のターゲットに分散します。負荷の配分がユーザーにとって透過的に

なるように、受信サービスリクエストを複数のサーバ間で均等に配分します。このように、ロードバランシングは、

最適なリソース使用率の実現、スループットの最大化、応答時間の最小化、過負荷の回避に役立ちます。

Service Composer

Service Composer では、ネットワークおよびセキュリティサービスを仮想インフラストラクチャ内のアプリケー

ションにプロビジョニングして割り当てることができます。これらのサービスをセキュリティグループにマップす

ると、サービスがセキュリティポリシーに基づいてセキュリティグループの仮想マシンに適用されます。

NSX Data Center for vSphere の拡張性

サードパーティのソリューションプロバイダはソリューションを NSX Data Center for vSphere プラットフォ

ームに統合することができるため、お客様に VMware 製品とパートナーのソリューションを統合した環境を提供す

ることができます。データセンターのオペレータは、基盤となるネットワークトポロジやコンポーネントに関係な

く、複雑なマルチティア仮想ネットワークを数秒でプロビジョニングできます。

NSX 管理ガイド

VMware, Inc. 26

Cross-vCenter Networking and Security の概要 4NSX Data Center for vSphere では、複数の環境を 1 つのプライマリ NSX Manager から管理できます。


n Cross-vCenter NSX のメリット

n Cross-vCenter NSX の仕組み

n Cross-vCenter NSX でのサービスのサポートマトリックス

n ユニバーサル NSX Controller クラスタ

n ユニバーサルトランスポートゾーン

n ユニバーサル論理スイッチ

n ユニバーサル分散論理ルーター

n ユニバーサルファイアウォールルール

n ユニバーサルネットワークとセキュリティオブジェクト

n Cross-vCenter NSX トポロジ

n NSX Manager ロールの変更

Cross-vCenter NSX のメリット

2 台以上の vCenter Server システムが存在する NSX 環境を統合管理できます。

以下の例のとおり、複数の vCenter Server システムが必要となる理由はさまざまです。

n vCenter Server の拡張制限に対処するため

n 専用の vCenter Server、または複数の vCenter Server を必要とする製品（Horizon View や Site Recovery Manager など）に対応するため

n ビジネスユニット、テナント、組織、または環境タイプなどで環境を分割するため

NSX Data Center for vSphere 6.2 以降では、プライマリ NSX Manager 上にユニバーサルオブジェクトを作

成すると、それらのオブジェクトが環境内のすべての vCenter Server システムで同期されます。

VMware, Inc. 27

Cross-vCenter NSX には以下の特長があります。

n 論理ネットワーク範囲の拡大。Cross-vCenter 環境で同じ論理ネットワークが使用できるため、任意の

vCenter Server システム上の任意のクラスタ上にある仮想マシンを同じ論理ネットワークに接続できます。

n セキュリティポリシーの統合管理。ファイアウォールルールが 1 か所で集中管理され、場所または vCenter Server システムに関係なく仮想マシンに適用されます。

n Cross-vCenter や、論理スイッチをまたぐ Long Distance vMotion など、vSphere 6 でのモビリティ境

界のサポート。

n から 150ms RTT まで、マルチサイト環境のサポートの強化。これには、アクティブ/アクティブとアクティブ/パッシブの両方のデータセンターが含まれます。

Cross-vCenter NSX 環境には多くのメリットがあります。

n ユニバーサルオブジェクトの統合管理。これにより、管理作業が軽減されます。

n ワークロードのモビリティの向上。仮想マシンの再構成やファイアウォールルールの変更を行わずに、

vMotion を使用して vCenter Server 間で仮想マシンを移行できます。

n マルチサイト機能およびディザスタリカバリ機能の強化。

注： Cross-vCenter NSX 機能は、vSphere 6.0 以降でサポートされています。

Cross-vCenter NSX の仕組み

Cross-vCenter NSX 環境では、複数の vCenter Server を設定できます。各 vCenter Server は、それぞれの

NSX Manager とペアリングされている必要があります。1 つの NSX Manager にプライマリ NSX Manager のロールが割り当てられ、もう 1 つにセカンダリ NSX Manager のロールが割り当てられます。

プライマリ NSX Manager は、Cross-vCenter NSX 環境の制御プレーンを提供するユニバーサルコントローラ

クラスタをデプロイするために使用されます。セカンダリ NSX Manager には、各自のコントローラクラスタはあ

りません。

プライマリ NSX Manager は、ユニバーサル論理スイッチなどのユニバーサルオブジェクトを作成できます。これ

らのオブジェクトは、NSX ユニバーサル同期サービスによってセカンダリ NSX Manager に同期されます。セカ

ンダリ NSX Manager では、これらのオブジェクトを表示できますが、編集することはできません。ユニバーサル

オブジェクトを管理するには、プライマリ NSX Manager を使用する必要があります。

プライマリ NSX Manager とセカンダリ NSX Manager のどちらでも、その特定の環境に対してローカルなオブ

ジェクト（論理スイッチや分散論理ルーターなど）を作成できます。それらのオブジェクトは、作成された環境内に

のみ存在するようになります。Cross-vCenter NSX 環境の他の NSX Manager には表示されません。

NSX 管理ガイド

VMware, Inc. 28

NSX Manager には、スタンドアローンロールを割り当てることができます。スタンドアローン NSX Manager は、1 つの NSX Manager と 1 つの vCenter Server を使用する環境を管理します。スタンドアローン NSX Manager は、ユニバーサルオブジェクトを作成できません。

注： NSX 環境にユニバーサルオブジェクトが存在する場合に、プライマリ NSX Manager のロールをスタンド

アローンに変更すると、その NSX Manager に移行ロールが割り当てられます。ユニバーサルオブジェクトはその

まま残されますが、変更することはできません。また、他のユニバーサルオブジェクトを作成することもできませ

ん。ユニバーサルオブジェクトは、移行ロールから削除できます。移行ロールは、プライマリ NSX Manager を変

更する場合などに一時的に使用します。

ユニバーサル分散論理ルーター

ユニバーサル Distributed

Firewall

ユニバーサルオブジェクトの設定（vSphere Web Client と API）

ユニバーサルオブジェクトの同期

vCenter Server と NSX Manager（プライマリ）

ユニバーサルコントローラ

クラスタ

サイト B

ユニバーサルトランスポートゾーン

ユニバーサル論理スイッチ

サイト A

vCenter Server と NSX Manager（セカンダリ）

サイト H


ローカル vCenter Server インベントリ



Cross-vCenter NSX でのサービスのサポートマトリックス

Cross-vCenter NSX でのユニバーサル同期に、NSX Data Center for vSphere サービスのサブセットを使用

できます。ユニバーサル同期で使用できないサービスを NSX Manager でローカルに使用するように設定できま

す。

NSX 管理ガイド

VMware, Inc. 29

表 4-1. Cross-vCenter NSX での NSX Data Center for vSphere サービスのサポートマトリックス

NSX Data Center for vSphere サービス詳細 Cross-vCenter NSX 同期のサポート

論理スイッチトランスポートゾーンあり

論理スイッチあり

L2 ブリッジなし

ルーティング分散論理ルーターあり

分散論理ルーターアプライアンスなし（仕様）個々のユニバーサル分散論理ルータ

ーに複数のアプライアンスが必要な場合は、

NSX Manager ごとにアプライアンスを作成

する必要があります。これにより、各アプライア

ンスに異なる設定をすることができます。これ

は、Local Egress（ローカル出力方向）が設定

されている環境で必要となります。

NSX Edge Services Gateway なし

論理ファイアウォール分散ファイアウォールあり

除外リストなし

SpoofGuard なし

集約フローのフローモニタリングなし

ネットワークサービス挿入なし

Edge ファイアウォールなし

VPN なし

論理ロードバランサなし

その他の Edge サービスなし

Service Composer なし

ネットワークの拡張性なし

ネットワークおよびセキュリティオブジェクト IP アドレスグループ（IP セット）あり

MAC アドレスグループ（MAC セット）あり

IP アドレスプールなし

セキュリティグループあり。ただし、メンバーシップの設定は、ユニバ

ーサル以外のセキ 1 ュリティグループのメンバ

ーシップとは異なります。詳細については、

『NSX 管理ガイド』の「セキュリティグループ

の作成」を参照してください。

サービスあり

サービスグループあり

セキュリティタグあり

ハードウェアゲートウェイ（ハードウェア

VTEP）

いいえ。詳細については、『NSX 管理ガイド』

の「ハードウェアゲートウェイのサンプル構成」

を参照してください。

NSX 管理ガイド

VMware, Inc. 30

ユニバーサル NSX Controller クラスタ

各 Cross-vCenter NSX 環境には、プライマリ NSX Manager に関連付けられたユニバーサルコントローラクラ

スタが 1 つあります。セカンダリ NSX Manager には、コントローラクラスタはありません。

ユニバーサルコントローラクラスタは、Cross-vCenter NSX 環境の唯一のコントローラクラスタであるため、

ユニバーサル論理スイッチとユニバーサル分散論理ルーターの情報だけでなく、各 NSX Manager に対してローカ

ルな論理スイッチと分散論理ルーターの情報も保持します。

オブジェクト ID の重複を避けるため、ユニバーサルオブジェクトとローカルオブジェクトにはそれぞれ異なる ID プールが保持されます。


Cross-vCenter NSX 環境では、ユニバーサルトランスポートゾーンは 1 つしか設定できません。

ユニバーサルトランスポートゾーンはプライマリ NSX Manager 上に作成され、セカンダリ NSX Manager と同期されます。ユニバーサル論理ネットワークに参加する必要があるクラスタは、NSX Manager からユニバーサ

ルトランスポートゾーンに追加する必要があります。


ユニバーサル論理スイッチを使用すると、レイヤー 2 ネットワークを複数のサイトにまたがって設置できます。

ユニバーサルトランスポートゾーンに論理スイッチを作成すると、ユニバーサル論理スイッチを作成することにな

ります。このスイッチは、ユニバーサルトランスポートゾーン内のすべてのクラスタで使用できます。ユニバーサ

ルトランスポートゾーンには、Cross-vCenter NSX 環境にある任意の vCenter Server のクラスタを含めるこ

とができます。

VNI を論理スイッチに割り当てるにはセグメント ID プールが使用され、VNI をユニバーサル論理スイッチに割り当

てるにはユニバーサルセグメント ID プールが使用されます。これらのプール間には重複がないようにしてくださ

い。

ユニバーサル論理スイッチ間でルーティングを行う場合は、ユニバーサル分散論理ルーターを使用する必要がありま

す。ユニバーサル論理スイッチと論理スイッチの間でルーティングを行う必要がある場合は、Edge Services Gateway を使用する必要があります。


ユニバーサル分散論理ルーターにより、ユニバーサル分散論理ルーター、クラスタ、またはホストレベルでカスタマ

イズできる一元管理とルーティング構成を実現できます。

ユニバーサル分散論理ルーターを作成するときは、Local Egress（ローカル出力方向）を有効にするかどうかを選

択する必要があります。この選択は、ルーター作成後に変更できません。Local Egress（ローカル出力方向）を使

用すると、識別子であるロケール ID に基づいて、どのルートが ESXi ホストに提供されるかを制御できます。

NSX 管理ガイド

VMware, Inc. 31

各 NSX Manager には、デフォルトで NSX Manager の UUID に設定されているロケール ID が割り当てられて

います。次のレベルでロケール ID をオーバーライドできます。

n ユニバーサル分散論理ルーター

n クラスタ

n ESXi ホスト

Local Egress（ローカル出力方向）を有効にしない場合、ロケール ID は無視され、ユニバーサル分散論理ルーター

に接続されているすべての ESXi ホストは同じルートを受信します。Cross-vCenter NSX 環境で Local Egress（ローカル出力方向）を有効にするかどうかは設計上の考慮事項ですが、すべての Cross-vCenter NSX 構成で必要

というわけではありません。

ユニバーサルファイアウォールルール

Cross-vCenter NSX 環境の分散ファイアウォールにより、使用環境内のすべての vCenter Server に適用される

ルールを統合管理できます。Cross-vCenter vMotion がサポートされているため、ワークロードや仮想マシンを

vCenter Server 間で移動したり、ソフトウェア定義によるデータセンターのセキュリティをシームレスに拡張する

ことができます。

データセンターのスケールアウトが必要なときに、既存の vCenter Server を同じレベルにスケーリングできない

ことがあります。この場合、アプリケーション一式を、別の vCenter Server が管理する新しいホストに移動する

必要があります。あるいは、ステージングサーバが 1 台の vCenter Server に管理され、本番サーバが別の

vCenter Server に管理されている環境で、アプリケーションをステージングサーバから本番サーバに移動する必

要が出てきます。分散ファイアウォールでは、プライマリ NSX Manager に対して定義したファイアウォールポリ

シーを最大で 7 台のセカンダリ NSX Manager にレプリケートすることにより、これらの Cross-vCenter vMotion シナリオをサポートします。

ユニバーサル同期の対象としてマークした分散ファイアウォールルールセクションをプライマリ NSX Manager から作成できます。1 つ以上のユニバーサル L2 ルールセクションと 1 つ以上のユニバーサル L3 ルールセクショ

ンを作成できます。ユニバーサルセクションは、常にプライマリおよびセカンダリ NSX Manager の最上部に表示

されます。これらのセクションと各ルールは、環境内のすべてのセカンダリ NSX Manager に同期されます。他の

セクションのルールは、引き続き、該当する NSX Manager でローカルに使用されます。

次の分散ファイアウォール機能は、Cross-vCenter NSX 環境でサポートされていません。

n 除外リスト

n SpoofGuard

n 集約フローのフローモニタリング

n ネットワークサービス挿入

n Edge ファイアウォール

Service Composer はユニバーサル同期をサポートしないため、Service Composer を使用して、ユニバーサル

セクションに分散ファイアウォールルールを作成できません。

NSX 管理ガイド

VMware, Inc. 32

ユニバーサルネットワークとセキュリティオブジェクト

ユニバーサルセクションの分散ファイアウォールルールで使用する、カスタムネットワークとセキュリティオブジ

ェクトを作成します。

ユニバーサルセキュリティグループ (USG) には、次のものを含めることができます。

n ユニバーサル IP セット

n ユニバーサル MAC セット

n ユニバーサルセキュリティグループ

n ユニバーサルセキュリティタグ

n 動的基準

ユニバーサルなネットワークオブジェクトとセキュリティオブジェクトは、プライマリ NSX Manager でのみ作

成、削除、更新ができます。セカンダリ NSX Manager では読み取りのみが可能です。ユニバーサル同期サービス

では、vCenter Server 全体で即座にオプジェクトを同期するだけでなく、強制同期を使用して必要なときに同期す

ることもできます。

ユニバーサルセキュリティグループは、複数の Cross-vCenter NSX 環境と Cross-vCenter NSX アクティブ/スタンバイ環境の 2 種類の導入環境で使用できます。Cross-vCenter NSX アクティブ/スタンバイ環境では、一度

に 1 つのサイトのみが稼動し、残りのサイトはスタンバイ状態になります。動的メンバーシップが定義されたユニバ

ーサルセキュリティグループは、アクティブ/スタンバイ環境でのみ設定できます。この動的メンバーシップは、ユ

ニバーサルセキュリティタグに基づいた仮想マシン名の静的メンバーシップをベースとしています。一度作成され

たユニバーサルセキュリティグループを編集して、アクティブ/スタンバイシナリオ機能向けに有効または無効にで

きません。メンバーシップには、含まれているオブジェクトのみが定義されます。除外したオブジェクトを使用する

ことはできません。

ユニバーサルセキュリティグループを Service Composer から作成することはできません。Service Composer から作成されたセキュリティグループは、NSX Manager にローカルとなります。

Cross-vCenter NSX トポロジ

Cross-vCenter NSX は、単一の物理サイトか、または複数のサイトにまたがってデプロイできます。

複数サイトおよび単一サイトの Cross-vCenter NSX

Cross-vCenter NSX 環境の場合、複数の NSX Data Center for vSphere 環境で、同じ論理スイッチとその他

のネットワークオブジェクトを使用できます。対応する vCenter Server システムは、同一サイトにも、異なるサ

イトにも配置できます。

Cross-vCenter NSX 環境が 1 つのサイト内に収まっているか、複数のサイトにまたがっているかに関係なく、同

様の構成を使用できます。次の 2 つのトポロジ例は、以下で構成されます。

n 特定のサイトまたは複数のサイトに存在するすべてのクラスタを含むユニバーサルトランスポートゾーン。

n ユニバーサルトランスポートゾーンに接続されたユニバーサル論理スイッチ。仮想マシンの接続には 2 つのユ

ニバーサル論理スイッチが使用され、1 つは、ルーターアップリンクの移行ネットワークとして使用されます。

NSX 管理ガイド

VMware, Inc. 33

n ユニバーサル論理スイッチに追加された仮想マシン

n 動的なルーティングを実現するための、NSX Edge アプライアンスを使用したユニバーサル分散論理ルーター

ユニバーサル分散論理ルーターアプライアンスには、仮想マシンユニバーサル論理スイッチ上の内部インター

フェイスと、移行ネットワークユニバーサル論理スイッチ上のアップリンクインターフェイスがあります。

n 移行ネットワークと物理出力方向ルーターネットワークに接続された Edge Services Gateway (ESG)

Cross-vCenter NSX トポロジの詳細については、https://communities.vmware.com/docs/DOC-32552 に

ある『Cross-vCenter NSX の設計ガイド』を参照してください。

図 4-1. 単一サイト内の Cross-vCenter NSX

VPN VP

VPN VP


NSX EdgeServicesGateway


ユニバーサルコントローラクラスタ

OSPF、BGP

サイト A

E1 E8

ユニバーサル分散論理ルーターアプライアンス



ピアリング x8



移行ネットワーク

物理ルーター

NSX 管理ガイド

VMware, Inc. 34

https://communities.vmware.com/docs/DOC-32552

図 4-2. 2 つのサイトにまたがる Cross-vCenter NSX

VPN VP

VPN VP





OSPF、BGP

サイト B

E1 E8

ユニバーサル分散論理ルーターアプライアンス



ピアリング

サイト A

物理ルーター



移行ネットワーク

Local Egress（ローカル出力方向）

マルチサイト Cross-vCenter NSX 環境のすべてのサイトは、出力方向トラフィックに同じ物理ルーターを使用で

きます。ただし、出力方向ルートをカスタマイズする必要がある場合は、ユニバーサル分散論理ルーターを作成する

とき、Local Egress（ローカル出力方向）機能を有効にする必要があります。

Local Egress により、ユニバーサル分散論理ルーター、クラスタ、またはホストレベルでルートをカスタマイズで

きます。マルチサイトにおける Cross-vCenter NSX 環境を示す次の例では、Local Egress（ローカル出力方向）

が有効になっています。各サイトの Edge Services Gateway (ESG) には、そのサイトの物理ルーター経由でト

ラフィックを送出するデフォルトのルートがあります。ユニバーサル分散論理ルーターは、各サイトに 1 つずつ、計

2 台のアプライアンスで設定されています。アプライアンスは、自サイトの ESG からルートを学習します。学習し

NSX 管理ガイド

VMware, Inc. 35

たルートはユニバーサルコントローラクラスタに送信されます。Local Egress（ローカル出力方向）が有効になっ

ているため、サイトのロケール ID がこれらのルートに関連付けられます。ユニバーサルコントローラクラスタは、

対応するロケール ID を持つルートをホストに送信します。サイト A のアプライアンスで学習されたルートはサイ

ト A のホストに、サイト B のアプライアンスで学習されたルートはサイト B のホストに送信されます。

Local Egress の詳細については、https://communities.vmware.com/docs/DOC-32552 にある『Cross-vCenter NSX の設計ガイド』を参照してください。


VPN VP

VPN VP

VPN VP

VPN VP




OSPF、BGP

サイト B

サイト A 物理

ルーター


移行ネットワーク A

E1 E8

ユニバーサル分散論理ルータープライマリアプライアンス



ピアリング

サイト A

サイト A 物理

ルーター


OSPF、BGP

サイト B 物理

ルーター

E1 E8

サイト B 物理

ルーター

ピアリング


ユニバーサル論理スイッチ移行ネットワーク B ユニバーサル

分散論理ルーターセカンダリ

アプライアンス

ロケール ID：サイト A ロケール ID：サイト B

NSX Manager ロールの変更

NSX Manager には、プライマリ、セカンダリ、スタンドアロン、または移行などのロールを割り当てることがで

きます。プライマリ NSX Manager では特殊な同期ソフトウェアが動作しており、すべてのユニバーサルオブジェ

クトがセカンダリ NSX Manager と同期されます。

NSX 管理ガイド

VMware, Inc. 36


NSX Manager のロールを変更する際には、それによって何が行われるのかを理解しておくことが重要です。

プライマリとして設定

NSX Manager のロールをプライマリに設定して、同期ソフトウェアを開始します。NSX Manager のロール

がすでにプライマリまたはセカンダリになっている場合、この操作は失敗します。

（セカンダリから）スタンドアロンとして設定

NSX Manager のロールをスタンドアロンモードまたは移行モードに設定します。この操作は、NSX Manager がすでにスタンドアロンロールになっている場合、失敗することがあります。

（プライマリから）スタンドアロンとして設定

プライマリ NSX Manager をスタンドアロンモードまたは移行モードにリセットし、同期ソフトウェアを停止

して、すべてのセカンダリ NSX Manager の登録を解除します。この操作は、NSX Manager がすでにスタ

ンドアロンになっているか、いずれかのセカンダリ NSX Manager が到達不能の場合、失敗することがありま

す。

プライマリから接続解除

セカンダリ NSX Manager に対してこの操作を実行すると、そのセカンダリ NSX Manager は、プライマリ

NSX Manager から一方的に接続解除されます。この操作は、プライマリ NSX Manager でリカバリ不能な

障害が発生しており、セカンダリ NSX Manager を新しいプライマリに登録する必要がある場合に使用します。

元のプライマリ NSX Manager が正常な状態に復帰した場合、データベースには、このセカンダリ NSX Manager が登録されたままの状態になっています。この問題を解決するには、元のプライマリ NSX Manager からセカンダリ NSX Manager を接続解除（登録解除）する際に、[force] オプションを指定しま

す。[force] オプションを指定すると、元の NSX Manager のデータベースからセカンダリ NSX Manager が削除されます。

NSX 管理ガイド

VMware, Inc. 37

トランスポートゾーン 5トランスポートゾーンは、論理スイッチがアクセスできるホストを制御します。トランスポートゾーンは 1 つ以上

の vSphere クラスタにまたがって設定できます。トランスポートゾーンでは、特定のネットワークを使用できるク

ラスタと仮想マシンを指定します。Cross-vCenter NSX 環境では、ユニバーサルトランスポートゾーンを作成

し、そこに環境内の任意の vCenter Server からのクラスタを含めることができます。ユニバーサルトランスポー

トゾーンは 1 つしか作成できません。

NSX Data Center for vSphere 環境には、要件に基づいて 1 つ以上のトランスポートゾーンを含めることができ

ます。ホストクラスタは、複数のトランスポートゾーンに属することができます。論理スイッチは、1 つのトランス

ポートゾーンのみに属することができます。

NSX Data Center for vSphere では、異なるトランスポートゾーンに属する仮想マシン同士の接続は許可されま

せん。論理スイッチの範囲は 1 つのトランスポートゾーンに制限されるため、異なるトランスポートゾーンにある

仮想マシンは同じレイヤー 2 ネットワーク上に配置できません。分散論理ルーターを、異なるトランスポートゾー

ンに属する論理スイッチに接続することはできません。最初の論理スイッチを接続したら、それ以降の論理スイッチ

は、同じトランスポートゾーンにある論理スイッチから選択する必要があります。

トランスポートゾーンを設計する際には、次のガイドラインを参考にしてください。

n レイヤー 3 接続が必要なクラスタは、Edge クラスタ（レイヤー 3 Edge デバイス（分散論理ルーターや Edge Services Gateway）があるクラスタ）と同じトランスポートゾーンに属している必要があります。

n Web サービス用とアプリケーションサービス用の 2 つのクラスタがあるとします。これらの 2 つのクラスタ

の仮想マシン間で VXLAN 接続を行うには、両方のクラスタが同じトランスポートゾーンに属している必要が

あります。

n 同じトランスポートゾーンに属しているすべての論理スイッチは、そのトランスポートゾーンに属しているク

ラスタ内のすべての仮想マシンで認識され、使用することができます。セキュリティで保護された環境がクラス

タに含まれている場合、他のクラスタの仮想マシンがその環境を使用できることは望ましくありません。この場

合は、セキュリティで保護されたクラスタを隔離されたトランスポートゾーンに配置できます。

n vSphere Distributed Switch（VDS または DVS）の範囲は、トランスポートゾーンの範囲と一致している

必要があります。マルチクラスタ VDS 設定でトランスポートゾーンを作成する場合、選択した VDS 内のすべ

てのクラスタがそのトランスポートゾーンに属していることを確認します。これにより、VDS dvPortgroup が使用可能なすべてのクラスタで分散論理ルーターが使用できるようになります。

次の図では、トランスポートゾーンが VDS 境界に正しく合わせられています。

VMware, Inc. 38

[ クラスタ：Comp A ]

VTEP:192.168.250.51

esxcomp-01a

VTEP:192.168.250.52

esxcomp-02a

VTEP:192.168.250.53

esxcomp-01b

VTEP:192.168.250.54

esxcomp-02b

VTEP:192.168150.52

esx-01a

VTEP:192.168.150.51

esx-02a

5001

5002

5003

[ DVS: Compute_DVS ]

[ クラスタ：Comp B ]

[ トランスポートゾーン：Global-Transport-Zone ]

[ クラスタ：Mgmt/Edge ]

[ DVS: Mgmt_Edge_DVS ]

web1 app1 web2 LB

db1

このベストプラクティスを使用しない場合に注意すべき点があります。それは、VDS が複数のホストクラスタにま

たがっている場合に、トランスポートゾーンにそれらのクラスタの 1 つ（またはサブセット）が含まれていると、そ

のトランスポートゾーン内のすべての論理スイッチが、VDS の範囲に含まれるすべてのクラスタの仮想マシンにア

クセスできることです。つまり、トランスポートゾーンによって論理スイッチの範囲をクラスタのサブセットに制限

することはできません。この論理スイッチが後で分散論理ルーターに接続される場合、レイヤー 3 の問題を回避する

ために、トランスポートゾーンに属しているクラスタにのみルーターインスタンスが作成されていることを確認す

る必要があります。

たとえば、トランスポートゾーンが VDS 境界と合っていないと、論理スイッチ（5001、5002、5003）とそれ

らの論理スイッチが接続される分散論理ルーターインスタンスの範囲の結合が解除されて、クラスタ Comp A 内の

仮想マシンが分散論理ルーター論理インターフェイス (LIF) にアクセスできなくなります。

NSX 管理ガイド

VMware, Inc. 39

[ クラスタ：Comp A ]

[ TZ/分散仮想スイッチが対応付けられていない ]

VTEP：192.168.250.51

esxcomp-01a

VTEP：192.168.250.52

esxcomp-02a

VTEP：192.168.250.53

esxcomp-01b

VTEP：192.168.250.54

esxcomp-02b

VTEP：192.168150.52

esx-01a

VTEP：192.168.150.51

esx-02a

5001

5002

5003

[ 分散仮想スイッチ：Compute_DVS ]

[ クラスタ：Comp B ]

[ トランスポートゾーン：Global-Transport-Zone ]

[ クラスタ：Mgmt/Edge ]

[ 分散仮想スイッチ：Mgmt_Edge_DVS ]

web1 app1 web2 LB

db1

分散論理ルーターがありません

分散論理ルーターがありません


n レプリケーションモードについて

n トランスポートゾーンの追加

n トランスポートゾーンの編集

n トランスポートゾーンの拡張

n トランスポートゾーンの縮小

n Controller Disconnected Operation (CDO) モード

レプリケーションモードについて

トランスポートゾーンまたは論理スイッチを作成するときに、レプリケーションモードを選択する必要があります。

別のモードを理解すると、環境に最適なものを選択できます。

NSX 用に準備された各 ESXi ホストには、VXLAN トンネルエンドポイント (VTEP) が構成されます。各

VXLAN トンネルエンドポイントには IP アドレスがあります。これらの IP アドレスには、同じサブネットのアド

レスを使用することも、別のサブネットのアドレスを使用することもできます。

NSX 管理ガイド

VMware, Inc. 40

別の ESXi ホスト上の 2 台の仮想マシンが直接通信を行う場合、ユニキャストでカプセル化されたトラフィックが 2 つの VTEP IP アドレス間で交換されます。フラッディングは発生しません。ただし、レイヤー 2 ネットワークと同

様に、仮想マシンからのトラフィックの一部をフラッディングするか、同じ論理スイッチに属するすべての仮想マシ

ンに送信する必要があります。レイヤー 2 ブロードキャスト、不明なユニキャスト、マルチキャストトラフィック

は BUM トラフィックといいます。特定のホストの仮想マシンから送信された BUM トラフィックは、仮想マシンが

同じ論理スイッチに接続されている他のすべてのホストに複製する必要があります。NSX Data Center for vSphere は、次の 3 つの異なるレプリケーションモードをサポートしています。

n ユニキャストレプリケーションモード

n マルチキャストレプリケーションモード

n ハイブリッドレプリケーションモード

レプリケーションモードの概要

表 5-1. レプリケーションモードの概要

レプリケーションモード

同じサブネット上にある

VTEP への BUM レプリケー

ションの方法

異なるサブネット上にある VTEP への

BUM レプリケーションの方法物理ネットワークの要件

ユニキャストユニキャストユニキャスト n VTEP サブネット間のルー

ティング

マルチキャストレイヤー 2 マルチキャストレイヤー 3 マルチキャスト n VTEP サブネット間のルー

ティング

n レイヤー 2 マルチキャス

ト、IGMP


ト、PIM

n 論理スイッチへのマルチキ

ャストグループの割り当て

ハイブリッドレイヤー 2 マルチキャストユニキャスト n VTEP サブネット間のルー

ティング


ト、IGMP

ユニキャストレプリケーションモード

ユニキャストレプリケーションモードの場合、論理スイッチ内の BUM トラフィックを処理するレイヤー 2 または

レイヤー 3 マルチキャストを物理ネットワークでサポートする必要はありません。ユニキャストモードを使用する

と、物理ネットワークから論理ネットワークが完全に分離されます。ユニキャストモードでは、すべての BUM トラフィックが送信元のホストのローカルに複製され、ユニキャストパケットとして BUM トラフィックがリモート

ホストに転送されます。ユニキャストモードでは、1 つのサブネットにすべて VTEP を配置することも、複数のサ

ブネットに分散することもできます。

1 つのサブネットの場合：すべてのホストの VTEP インターフェイスが 1 つのサブネットに属している場合、送信元

の VTEP が各リモート VTEP に BUM トラフィックを転送します。これをヘッドエンドレプリケーションとい

います。ヘッドエンドレプリケーションを行うと、ホストで不要なオーバーヘッドが発生し、使用するバンド幅も大

きくなります。この影響は、サブネット内の BUM トラフィックの量、ホストの数、VTEP によって決まります。

NSX 管理ガイド

VMware, Inc. 41

複数のサブネットの場合：ホストの VTEP インターフェイスが複数の IP サブネットにグループ化されている場合

は、送信元のホストが 2 つの部分で BUM トラフィックを処理します。送信元 VTEP は、同じサブネット内の各

VTEP に BUM トラフィックを転送します。これは 1 つのサブネットの場合と同じです。リモートサブネットの

VTEP の場合、送信元 VTEP が各リモート VTEP サブネット内の 1 台のホストに BUM トラフィックを転送し、

レプリケーションビットを設定して、このパケットがローカルレプリケーション用であることを示します。リモー

トサブネット内のホストがこのパケットを受信し、レプリケーションビットの設定を検出すると、このホストは、

論理スイッチが存在するサブネット内の残りのすべての VTEP にパケットを送信します。

これにより、多くの VTEP IP サブネットが存在するネットワークアーキテクチャでも、ユニキャストレプリケー

ションモードが拡張され、複数のホスト間で負荷が分散されます。

マルチキャストレプリケーションモード

マルチキャストレプリケーションモードを使用するには、物理インフラストラクチャでレイヤー 3 とレイヤー 2 のマルチキャストが有効になっている必要があります。マルチキャストモードを設定するには、ネットワーク管理者が

各論理スイッチを IP マルチキャストグループに関連付ける必要があります。特定の論理スイッチ上で仮想マシンを

ホストしている ESXi ホストの場合、関連する VTEP が IGMP を使用してマルチキャストグループに参加します。

ルーターは、IGMP の参加を追跡し、マルチキャストルーティングプロトコルを使用してマルチキャスト配布ツリ

ーを作成します。

同じ IP サブネットの VTEP に BUM トラフィックを複製する場合、ホストはレイヤー 2 マルチキャストを使用し

ます。異なる IP サブネットの VTEP に BUM トラフィックを複製する場合は、レイヤー 3 マルチキャストを使用

します。いずれの場合も、リモート VTEP への BUM トラフィックのレプリケーションは、物理インフラストラク

チャによって処理されます。

IP マルチキャストはよく知られているテクノロジーですが、データセンターでの IP マルチキャストの導入は、技術

上、運用上または管理上の理由から、障壁と見なされることが少なくありません。ネットワーク管理者は、論理スイ

ッチとマルチキャストグループ間で 1 対 1 のマッピングが有効になるように、物理インフラストラクチャでのマルチ

キャストの状態に注意する必要があります。仮想化のメリットの 1 つは、変更された状態を物理インフラストラクチ

ャに公開することなく、仮想インフラストラクチャを拡張できる点です。論理スイッチを物理的なマルチキャストグループにマッピングすると、このモデルのメリットが失われます。

注：マルチキャストレプリケーションモードの場合、NSX Controller クラスタは論理スイッチングに使用され

ません。

ハイブリッドレプリケーションモード

ハイブリッドモードでは、ユニキャストとマルチキャストのレプリケーションモードを両方を使用します。ハイブ

リッドレプリケーションモードでは、ホストの VTEP はレイヤー 2 マルチキャストを使用して、同じサブネット

のピア VTEP に BUM トラフィックを分散します。ホストの VTEP は、異なるサブネットの VTEP に BUM トラ

フィックを複製する場合、VTEP サブネットあたり 1 台のホストにユニキャストパケットとしてトラフィックを転

送します。受信側のホストが、レイヤー 2 マルチキャストを使用して、サブネット内の他の VTEP にパケットを送

信します。

NSX 管理ガイド

VMware, Inc. 42

ユーザーのネットワークでは、レイヤー 3 マルチキャストよりもレイヤー 2 マルチキャストのほうが導入しやすい

ため、一般的です。同じサブネット内の異なる VTEP へのレプリケーションは物理ネットワークで処理されます。

同じサブネットに多くのピア VTEP がある場合、ハイブリッドレプリケーションを使用すると、BUM トラフィッ

クの送信元のホストの処理が大幅に改善されます。ハイブリッドレプリケーションでは、セグメンテーションがほと

んどない過密な環境でも拡張が可能になります。

トランスポートゾーンの追加

トランスポートゾーンは、論理スイッチがアクセスできるホストを制御します。1 つのトランスポートゾーンは 1 つ以上の vSphere クラスタにまたがることができます。トランスポートゾーンでは、特定のネットワークを使用でき

るクラスタと仮想マシンを指定します。ユニバーサルトランスポートゾーンは、Cross-vCenter NSX 環境内の

vSphere クラスタにまたがる可能性があります。

Cross-vCenter NSX 環境に配置できるユニバーサルトランスポートゾーンは 1 つだけです。

前提条件

変更を加える適切な NSX Manager を決定します。

n スタンドアロン環境や単一の vCenter Server NSX の環境では、NSX Manager は 1 つしか存在しないため、

NSX Manager を選択する必要はありません。

n ユニバーサルオブジェクトはプライマリ NSX Manager から管理する必要があります。

n NSX Manager に対してローカルなオブジェクトは、NSX Manager から管理する必要があります。

n 拡張リンクモードが有効になっていない Cross-vCenter NSX 環境で設定の変更を行うには、変更する NSX Manager にリンクされた vCenter Server から変更を行う必要があります。

n 拡張リンクモードの Cross-vCenter NSX 環境では、リンクされた任意の vCenter Server から、任意の

NSX Manager の設定を変更できます。NSX Manager ドロップダウンメニューから、適切な NSX Manager を選択します。

手順

1 論理ネットワークの設定に移動します。

u NSX 6.4.1 以降の場合は、[ネットワークとセキュリティ (Networking & Security)] - [インストールと

アップグレード (Installation and Upgrade)] - [論理ネットワークの設定 (Logical Network Settings)] の順に移動します。

u NSX 6.4.0 の場合は、[ネットワークとセキュリティ (Networking & Security)] - [インストールとアッ

プグレード (Installation and Upgrade)] - [論理ネットワークの準備 (Logical Network Preparation)] の順に移動します。

2 [トランスポートゾーン (Transport Zones)] をクリックして、[追加 (Add)] をクリックします。

3 （オプション）このトランスポートゾーンをユニバーサルトランスポートゾーンとして設定する場合は、次の

選択を行います。

n NSX 6.4.1 以降では、[ユニバーサル同期 (Universal Synchronization)] ボタンをクリックして、設定を

有効にします。

NSX 管理ガイド

VMware, Inc. 43

n NSX 6.4.0 では、[このオブジェクトをユニバーサル同期の対象としてマーク (Mark this object for Universal Synchronization)] を選択します。

4 次のように、レプリケーションモードを選択します。

n [マルチキャスト (Multicast)]：物理ネットワーク上のマルチキャスト IP アドレスを制御プレーンに使用し

ます。このモードは、古い VXLAN デプロイからアップグレードする場合にのみ推奨されます。物理ネッ

トワークに PIM/IGMP が必要です。

n [ユニキャスト (Unicast)]：制御プレーンは、NSX Controller によって処理されます。すべてのユニキャ

ストトラフィックで、最適化されたヘッドエンドレプリケーションを利用します。マルチキャスト IP アド

レスや特別なネットワーク設定は必要ありません。

n [ハイブリッド (Hybrid)]：ローカルトラフィックレプリケーションを物理ネットワーク（L2 マルチキャ

スト）にオフロードします。最初のホップのスイッチで IGMP スヌーピング、各 VTEP サブネットで

IGMP クエリアへのアクセスが必要ですが、PIM は不要です。最初のホップスイッチは、サブネットのト

ラフィックレプリケーションを処理します。

重要：ユニバーサルトランスポートゾーンを作成し、レプリケーションモードとしてハイブリッドを選択す

る場合、使用するマルチキャストアドレスが、環境内の NSX Manager 上で割り当てられた他のどのマルチキ

ャストアドレスとも競合しないようにする必要があります。

5 トランスポートゾーンに追加するクラスタを選択します。

結果

Transport-Zone は、このトランスポートゾーンが作成された NSX Manager にローカルなトランスポートゾー

ンです。

Universal-Transport-Zone は、Cross-vCenter NSX 環境内のすべての NSX Manager で使用できる、ユニ

バーサルトランスポートゾーンです。

次のステップ

トランスポートゾーンを追加した場合は、論理スイッチを追加できます。

ユニバーサルトランスポートゾーンを追加した場合は、ユニバーサル論理スイッチを追加できます。

ユニバーサルトランスポートゾーンを追加した場合は、セカンダリ NSX Manager を選択し、そのクラスタをユ

ニバーサルトランスポートゾーンに追加できます。

トランスポートゾーンの編集

トランスポートゾーンの名前、説明、レプリケーションモードを編集できます。

NSX 管理ガイド

VMware, Inc. 44

手順

u トランスポートゾーンを編集するには、次の手順に従います。

NSX バージョン手順

NSX 6.4.1 以降 a [ネットワークとセキュリティ (Networking & Security)] - [インストールとアップグ

レード (Installation and Upgrade)] - [論理ネットワークの設定 (Logical Network Settings)] - [トランスポートゾーン (Transport Zones)] の順に移動し

ます。

b トランスポートゾーンを選択して、[編集 (Edit)] をクリックします。

c トランスポートゾーンの名前、説明、レプリケーションモードを編集します。

注：トランスポートゾーンのレプリケーションモードを変更する場合は、[既存の論理

スイッチを新しい制御プレーンモードに移行する (Migrate existing Logical Switches to the new control plane mode)] を選択し、このトランスポートゾー

ンにリンクされている既存の論理スイッチのレプリケーションモードを変更してくださ

い。このチェックボックスを選択しないと、編集後にこのトランスポートゾーンにリン

クされている論理スイッチのみが新しいレプリケーションモードになります。

d [保存 (SAVE)] をクリックします。

NSX 6.4.0 a [ネットワークとセキュリティ (Networking & Security)] - [インストールとアップグ

レード (Installation and Upgrade)] - [論理ネットワークの準備 (Logical Network Preparation)] - [トランスポートゾーン (Transport Zones)] の順に移

動します。

b トランスポートゾーンを選択して、[アクション (Actions)] - [すべての NSX ユーザー

インターフェイスプラグインアクション (All NSX User Interface Plugin Actions)] - [設定の編集 (Edit Settings)] の順にクリックします。

c トランスポートゾーンの名前、説明、レプリケーションモードを編集します。

注：トランスポートゾーンのレプリケーションモードを変更する場合は、[既存の論理

スイッチを新しい制御プレーンモードに移行する (Migrate existing Logical Switches to the new control plane mode)] を選択し、このトランスポートゾー

ンにリンクされている既存の論理スイッチのレプリケーションモードを変更してくださ

い。このチェックボックスを選択しないと、編集後にこのトランスポートゾーンにリン

クされている論理スイッチのみが新しいレプリケーションモードになります。

d [OK] をクリックします。

トランスポートゾーンの拡張

トランスポートゾーンにクラスタを追加できます。新しく追加されたクラスタで、既存のトランスポートゾーンす

べてが利用できるようになります。

前提条件

トランスポートゾーンに追加するクラスタは、インストール済みのネットワークインフラストラクチャがある、

VXLAN 用に構成されたものとします。『NSX インストールガイド』を参照してください。

NSX 管理ガイド

VMware, Inc. 45

手順

1 トランスポートゾーンに移動します。


アップグレード (Installation and Upgrade)] - [論理ネットワークの設定 (Logical Network Settings)] - [トランスポートゾーン (Transport Zones)] の順に移動します。


プグレード (Installation and Upgrade)] - [論理ネットワークの準備 (Logical Network Preparation)] - [トランスポートゾーン (Transport Zones)] の順に移動します。

2 展開するトランスポートゾーンをクリックします。

3 [クラスタの接続 (Connect Clusters)]（または）をクリックします。

4 トランスポートゾーンに追加するクラスタを選択し、[OK] または [保存 (Save)] をクリックします。

トランスポートゾーンの縮小

クラスタをトランスポートゾーンから削除できます。既存のトランスポートゾーンのサイズは、縮小されたスコー

プに合わせて削減されます。

手順

1 トランスポートゾーンに移動します。


アップグレード (Installation and Upgrade)] - [論理ネットワークの設定 (Logical Network Settings)] - [トランスポートゾーン (Transport Zones)] の順に移動します。


プグレード (Installation and Upgrade)] - [論理ネットワークの準備 (Logical Network Preparation)] - [トランスポートゾーン (Transport Zones)] の順に移動します。

2 縮小するトランスポートゾーンをクリックします。

3 [クラスタの切断 (Disconnect Clusters)]（または）をクリックします。

4 削除するクラスタを選択します。

5 [OK] または [保存 (Save)] をクリックします。

Controller Disconnected Operation (CDO) モード

Controller Disconnected Operation (CDO) モードの機能が複数のサイトに展開され、NSX Manager レベル

では使用できるようになりました。

詳細については、複数サイトでのコントローラ切断モードを参照してください。

NSX 管理ガイド

VMware, Inc. 46

論理スイッチ 6クラウドデプロイ環境や仮想データセンターでは、複数のテナント間にさまざまなアプリケーションが存在します。

セキュリティ、障害分離および IP アドレス重複の問題を回避するために、これらのアプリケーションおよびテナン

トは互いに分離させる必要があります。NSX の論理スイッチにより、論理ブロードキャストドメインまたはセグメ

ントが作成され、アプリケーションまたはテナントの仮想マシンを論理的に接続できます。これにより、デプロイの

柔軟性および速度が確保され、同時に、物理レイヤー 2 のスプロールやスパニングツリーといった問題が生じるこ

となく、物理ネットワークのブロードキャストドメイン (VLAN) のすべての特性が引き続き提供されます。

論理スイッチは分散され、大規模な計算クラスタに任意に拡張できます。これにより、物理レイヤー 2 (VLAN) 境界の制限を受けることなく、データセンター内での仮想マシンのモビリティ (vMotion) が確保されます。論理スイ

ッチのソフトウェアにはブロードキャストドメインが含まれているため、物理インフラストラクチャで MAC/FIB テーブルの制限に対処する必要はありません。

論理スイッチは一意の VXLAN にマッピングされますが、これにより仮想マシンのトラフィックがカプセル化され

て物理 IP ネットワークを越えて転送されます。

VMware, Inc. 47

vSphere Distributed Switch

論理スイッチ 1

NSX Manager

コントローラクラスタ

論理スイッチ 2

NSX Controller は、ネットワーク内のすべての論理スイッチの集中制御ポイントであり、すべての仮想マシン、ホ

スト、論理スイッチ、および VXLAN の情報を管理します。このコントローラは、ユニキャストとハイブリッドと

いう 2 つの新しい論理スイッチ制御プレーンモードをサポートします。これらのモードは、物理ネットワークから

NSX を切り離します。VXLAN では、論理スイッチ内でブロードキャスト、不明なユニキャスト、およびマルチキ

ャスト (BUM) トラフィックを処理するためのマルチキャストをサポートする上で、物理ネットワークが不要になり

ます。ユニキャストモードでは、すべての BUM トラフィックがホストでローカルにレプリケートされ、物理ネッ

トワーク設定が不要です。ハイブリッドモードでは、パフォーマンス向上のために、一部の BUM トラフィックレプリケーションが第 1 ホップの物理スイッチにオフロードされます。このモードでは、最初の物理ホップスイッチを

オンにするために IGMP スヌーピングが必要です。論理スイッチ内の仮想マシンは、IPv6 やマルチキャストなどの

任意のタイプのトラフィックを使用して送信します。

L2 ブリッジを追加することで、論理スイッチを物理デバイスにまで拡張することができます。8 章 L2 ブリッジを

参照してください。

論理スイッチを管理するには、Super Administrator または Enterprise Administrator ロールの権限が必要で

す。


n 論理スイッチの追加

NSX 管理ガイド

VMware, Inc. 48

n 論理スイッチへの仮想マシンの接続

n 論理スイッチの接続テスト

n 論理スイッチでのなりすましの防止

n 論理スイッチの編集

n 論理スイッチのシナリオ

論理スイッチの追加

前提条件

n 論理スイッチを設定および管理するための、Super Administrator または Enterprise Administrator ロー

ルの権限を所有している。

n ファイアウォールルールで VXLAN UDP ポートが開いている（該当する場合）。VXLAN UDP ポートは API を使用して設定できます。

n 物理インフラストラクチャの MTU が、仮想マシン vNIC の MTU よりも 50 バイト以上多い。

n vCenter Server の [ランタイム設定] で、各 vCenter Server の管理対象 IP アドレスが設定されている。

『vCenter Server and Host Management』を参照してください。

n vmknic への IP 割り当てで DHCP を使用する場合は、VXLAN 転送 VLAN で DHCP を使用できる。

n 指定されたトランスポートゾーン内で、分散仮想スイッチタイプ（ベンダーなど）とバージョンが一貫してい

る。スイッチのタイプが一貫していないと、論理スイッチが定義したように動作しない可能性があります。

n 適切な LACP チーミングポリシーを設定し、物理 NIC をポートに接続している。チーミングモードの詳細に

ついては、VMware vSphere のマニュアルを参照してください。

n Link Aggregation Control Protocol (LACP) に対して、5-tuple ハッシュ分散が有効になっている。

n LACP を使用するすべてのホストで、分散仮想スイッチに個別の LACP ポートチャネルがあることを確認しま

す。

n マルチキャストモードでは、VXLAN トラフィックがルーターをトラバースしている場合に、マルチキャスト

ルーティングを有効にする。ネットワーク管理者からマルチキャストアドレス範囲を取得する必要があります。

n ESXi ホストとコントローラとの通信用に、ファイアウォール上でポート 1234（デフォルトのコントローラ待機

ポート）を開く。

n （推奨）マルチキャストおよびハイブリッドモードでは、VXLAN 参加ホストが接続する L2 スイッチで、IGMP スヌーピングを有効にする。IGMP スヌーピングが L2 で有効になっている場合は、マルチキャスト対応のネッ

トワークと接続しているルーターまたは L3 スイッチ上で IGMP クエリアを有効にする必要があります。

論理スイッチの追加

NSX 論理スイッチは、基盤となるハードウェアから分離された仮想環境内で、切り替え機能（ユニキャスト、マル

チキャスト、ブロードキャスト）を再現します。論理スイッチは、仮想マシンを接続できるネットワーク接続を提供

する点で、VLAN と似ています。論理スイッチは、単一の vCenter Server NSX のデプロイに対してローカルで

NSX 管理ガイド

VMware, Inc. 49

す。Cross-vCenter NSX 環境では、すべての vCenter Server にわたって使用可能なユニバーサル論理スイッチ

を作成できます。トランスポートゾーンのタイプによって、新しいスイッチが論理スイッチまたはユニバーサル論理

スイッチのどちらであるかが決まります。

論理スイッチを作成する際は、トランスポートゾーンやレプリケーションモードの選択以外に、2 つのオプション

（IP アドレス検出と MAC ラーニング）を設定します。

IP アドレス検出により、個々の VXLAN セグメント内、つまり同じ論理スイッチに接続されている仮想マシン間の

ARP トラフィックのフラッディングを最小に抑えることができます。IP アドレス検出はデフォルトで有効になって

います。

注：ユニバーサル論理スイッチを作成する際に IP アドレス検出を無効にはできません。ユニバーサル論理スイッチ

を作成してから、API を使用して IP アドレス検出を無効にできます。この設定は各 NSX Manager で別々に管理

されます。『NSX API ガイド』を参照してください。

MAC ラーニングは、VLAN/MAC ペアのラーニングテーブルを各 vNIC に作成します。このテーブルは dvfilter データの一部として保管されます。vMotion の実行時に、dvfilter はこのテーブルを新しい場所に保存してリスト

アします。次に、スイッチはテーブル内のすべての VLAN/MAC エントリに対して RARP を発行します。VLAN をトランキングしている仮想 NIC を使用している場合、MAC ラーニングを有効にできます。

前提条件

表 6-1. 論理スイッチまたはユニバーサル論理スイッチ作成の前提条件

論理スイッチユニバーサル論理スイッチ

n vSphere Distributed Switch が設定されている

n NSX Manager がインストールされている

n コントローラがデプロイされている

n ホストクラスタが NSX 用に準備されている

n VXLAN が設定されている

n セグメント ID プールが設定されている

n トランスポートゾーンが作成されている

n vSphere Distributed Switch が設定されている

n NSX Manager がインストールされている

n コントローラがデプロイされている

n ホストクラスタが NSX 用に準備されている

n VXLAN が設定されている

n プライマリ NSX Manager が割り当てられている必要があ

ります。

n ユニバーサルセグメント ID アドレスプールが設定されてい


n ユニバーサルトランスポートゾーンが作成されている必要

があります。







NSX 管理ガイド

VMware, Inc. 50



手順

1 [ホーム (Home)] - [ネットワークとセキュリティ (Networking & Security)] - [論理スイッチ (Logical Switches)] の順に移動します。

2 論理スイッチを作成する NSX Manager を選択します。ユニバーサル論理スイッチを作成する場合は、プライ

マリ NSX Manager を選択する必要があります。

3 [追加 (Add)] または [新規論理スイッチ (New Logical Switch)]（）アイコンをクリックします。

4 論理スイッチの名前と説明（説明は任意）を入力します。

5 論理スイッチを作成するトランスポートゾーンを選択します。ユニバーサルトランスポートゾーンを選択する

と、ユニバーサル論理スイッチが作成されます。

デフォルトでは、論理スイッチはトランスポートゾーンから制御プレーンレプリケーションモードを継承しま

す。このモードは、選択可能な他のモードに変更できます。選択可能なモードはユニキャスト、ハイブリッド、

およびマルチキャストです。

ユニバーサル論理スイッチを作成し、レプリケーションモードとしてハイブリッドを選択する場合、使用するマ

ルチキャストアドレスが、Cross-vCenter NSX 環境内の NSX Manager で割り当てられた他のマルチキャ

ストアドレスと競合しないようにする必要があります。

6 （オプション）IP アドレス検出を有効にして ARP の抑制を有効にします。

7 （オプション）MAC ラーニングを有効にします。

例：論理スイッチとユニバーサル論理スイッチ

App は、トランスポートゾーンに接続された論理スイッチです。この論理スイッチは、これが作成された NSX Manager でのみ使用できます。

Universal-App は、ユニバーサルトランスポートゾーンに接続されたユニバーサル論理スイッチです。このユニ

バーサル論理スイッチは、Cross-vCenter NSX 環境内のどの NSX Manager でも使用できます。

論理スイッチとユニバーサル論理スイッチには、異なるセグメント ID アドレスプールからのセグメント ID があり

ます。

次のステップ

論理スイッチまたはユニバーサル論理スイッチに仮想マシンを追加します。

分散論理ルーターを作成して論理スイッチに接続します。これにより、異なる論理スイッチに接続された仮想マシン

間の接続が可能になります。

NSX 管理ガイド

VMware, Inc. 51

ユニバーサル分散論理ルーターを作成してユニバーサル論理スイッチに接続します。これにより、異なるユニバーサ

ル論理スイッチに接続された仮想マシン間の接続が可能になります。

論理スイッチの NSX Edge への接続

論理スイッチを NSX Edge Services Gateway または NSX Edge 分散論理ルーターに接続すると、外部に接続

する、または高度なサービスを提供する East-West のトラフィックルーティング（論理スイッチ間）、あるいは

North-South のトラフィックルーティングになります。

手順

手順

1 [論理スイッチ] で、NSX Edge を接続する論理スイッチを選択します。

2 [アクション (Actions)] - [Edge の接続 (Connect Edge)] の順にクリックします。

3 論理スイッチを接続する NSX Edge を選択します。

4 論理スイッチに接続するインターフェイスを選択します。

論理ネットワークは通常、内部インターフェイスに接続されています。

5 NSX Edge のインターフェイスの詳細を指定します。

a NSX Edge インターフェイスの名前を入力します。

b このインターフェイスが内部か外部（アップリンク）かを指定するには、[内部 (Internal)] または [アップ

リンク (Uplink)] をクリックします。

c インターフェイスの接続ステータスを選択します。

d [サブネットの構成 (Configure Subnets)] で、[追加 (Add)] アイコンをクリックし、インターフェイス

のサブネットを追加します。

1 つのインターフェイスには、重複しないサブネットを複数設定できます。1 つのプライマリ IP アドレスを

入力し、複数のセカンダリ IP アドレスをカンマ区切りで入力します。NSX Edge は、プライマリ IP アド

レスをローカルで生成されたトラフィックの送信元のアドレスとして認識します。機能の設定を行う前に、

インターフェイスに IP アドレスを追加する必要があります。

論理スイッチを接続する NSX Edge に [手動高可用性の設定 (Manual HA Configuration)] が選択され

ている場合は、2 つの管理 IP アドレスを CIDR 形式で指定します。

e インターフェイスのサブネットプリフィックス長またはサブネットマスクを入力します。

f NSX 6.4.4 以降を使用している場合は、[詳細 (Advanced)] タブをクリックして、この手順の残りの操作

を行います。NSX 6.4.3 以前を使用している場合は、次の手順にすぐに移動します。

NSX 管理ガイド

VMware, Inc. 52

g 必要に応じてデフォルトの MTU を変更します。

h [オプション (Options)] で、次のオプションを指定します。

オプション説明

プロキシ ARP 異なるインターフェイス間での重複ネットワーク転送をサポートします。

ICMP リダイレクトの送信ルーティング情報を各ホストに伝達します。

リバースパスフィルタ転送するパケット内にある送信元のアドレスの到達可能性を確認します。有効な場合は、

ルーターが戻りパケットの転送に使用するインターフェイスで、パケットを受信する必要

があります。Loose モードの場合、送信元アドレスがルーティングテーブルに含まれて

いる必要があります。

6 フェンスパラメータを入力します。

複数のフェンスされた環境で IP アドレスと MAC アドレスを再使用する場合は、フェンスパラメータを設定し

ます。たとえば、クラウド管理プラットフォーム (CMP) では、フェンスを設定することで、同じ IP アドレスと

MAC アドレスを完全に分離、つまり「フェンス」して、複数のクラウドインスタンスを同時に実行できるよう

になります。

7 [追加 (Add)] または [終了 (Finish)] をクリックします。

論理スイッチでのサービスのデプロイ

サードパーティのサービスを論理スイッチにデプロイできます。

前提条件

インフラストラクチャにサードパーティの仮想アプライアンスが 1 つ以上インストールされている必要があります。

手順

1 [論理スイッチ (Logical Switches)] で、サービスをデプロイする論理スイッチを選択します。

2 [サービスプロファイルの追加 (Add Service Profile)] （）アイコンをクリックします。

3 適用するサービスとサービスプロファイルを選択します。

4 [OK] をクリックします。

論理スイッチへの仮想マシンの接続

仮想マシンを論理スイッチまたはユニバーサル論理スイッチに接続できます。

手順

1 [論理スイッチ (Logical Switches)] で、仮想マシンを追加する論理スイッチを選択します。

2 [仮想マシンの追加 (Add Virtual Machine)]（または）アイコンをクリックします。

3 論理スイッチに追加する 1 台以上の仮想マシンを選択します。

4 論理スイッチに接続している各仮想マシンの vNIC を選択します。

NSX 管理ガイド

VMware, Inc. 53

5 選択した仮想マシンと vNIC を確認し、[終了 (Finish)] をクリックします。

論理スイッチの接続テスト

ping を送信して、VXLAN 転送ネットワークの 2 台のホストが相互にアクセス可能かどうかを確認します。

1 [論理スイッチ (Logical Switches)] で、接続をテストする論理スイッチをダブルクリックします。

2 [監視 (Monitor)] タブをクリックします。

3 [Ping] タブまたは [ホスト - Ping (Hosts-Ping)] タブをクリックします。

4 送信元のホストマシンを選択します。

5 テストパケットのサイズを選択します。

n [VXLAN 標準 (VXLAN Standard)]：標準サイズは 1550 バイトです。このパケットサイズは、断片化

のない物理インフラストラクチャの MTU と一致します。このパケットサイズの場合、NSX は接続を確認

して、インフラストラクチャが VXLAN トラフィック用に準備されているかどうかを検証できます。

n [最小 (Minimum)]：断片化が可能になります。最小化されたパケットサイズでは、NSX は接続可能かど

うかは確認できますが、インフラストラクチャがより大きなフレームサイズに対応できるかどうかは確認で

きません。

6 宛先のホストマシンを選択します。

7 [テストの開始 (Start Test)] をクリックします。

ホスト間の ping テストの結果が表示されます。

論理スイッチでのなりすましの防止

vCenter Server と同期した後、NSX Manager は各仮想マシン上の VMware Tools から、または有効になって

いれば IP アドレス検出からすべての vCenter Server ゲスト仮想マシンの IP アドレスを収集します。NSX は、

VMware Tools または IP アドレス検出で取得されるすべての IP アドレスを信頼するわけではありません。仮想

マシンのセキュリティが侵害された場合は、IP アドレスのなりすましにより、悪意のあるデータ転送がファイアウォ

ールポリシーを通り抜ける可能性があります。

SpoofGuard では VMware Tools または IP アドレス検出から報告された IP アドレスを認証し、なりすましを防

ぐために必要に応じて変更することができます。SpoofGuard は本質的に VMX ファイルと vSphere SDK から

集められた仮想マシンの MAC アドレスを信用します。Firewall ルールと別に運用することにより、SpoofGuard を使用して、なりすましと判断されたトラフィックをブロックすることができます。

詳細については、14 章 SpoofGuard の使用を参照してください。

論理スイッチの編集

論理スイッチの名前、説明、および制御プレーンモードを編集できます。

手順

1 [論理スイッチ (Logical Switches)] で、編集する論理スイッチを選択します。

NSX 管理ガイド

VMware, Inc. 54

2 [編集 (Edit)] アイコンをクリックします。

3 必要な変更を行います。

4 [保存 (Save)] または [OK] をクリックします。

論理スイッチのシナリオ

この事例では、ACME Enterprise という会社のデータセンター ACME_Datacenter に、2 つのクラスタがあり、

複数の ESXi ホストが配置されています。エンジニアリング部門（ポートグループ PG-Engineering）と財務部門

（ポートグループ PG-Finance）は Cluster1 に属しています。マーケティング部門（PG-Marketing）は Cluster2 に属しています。クラスタは両方とも、1 台の vCenter Server によって管理されています。

図 6-1. 論理スイッチを実装する前の ACME Enterprise 社のネットワーク

エンジニアリングPG

vDS1

クラスタ 1

エンジニアリング：VLAN10：10.10.1.0/24財務：VLAN 20：10.20.1.0/24マーケティング：VLAN 30：10.30.1.0/24

財務PG

物理スイッチ

マーケティングPG

vDS2

クラスタ 2

物理スイッチ

ACME 社の環境は、Cluster2 の使用率が低いのに対し、Cluster1 のコンピューティング容量の使用率が非常に高

い状態です。ACME のネットワーク管理者は、管理者 John（ACME の仮想化管理者）に、エンジニアリング部門

を Cluster2 に拡張し、両方のクラスタのエンジニアリングに属する仮想マシンが相互に通信できる方法はないかと

尋ねました。これが実現すると ACME 社は、L2 レイヤーを拡張することによって両方のクラスタのコンピューティ

ングキャパシティを活用することができます。

これを従来の方法で実現する場合、管理者 John は異なる VLAN を特殊な方法で接続し、2 つのクラスタが同じ L2 ドメインに含まれるようにする必要があります。この場合、ACME 社は新しい物理デバイスを購入してトラフィッ

クを分離する必要があり、VLAN の過剰な設置、ネットワークループ、および運用管理上の負担が大きくなるなど

の問題が発生する可能性があります。

NSX 管理ガイド

VMware, Inc. 55

管理者 John は、VMworld で見た論理ネットワークのデモを思い出し、NSX を試用することにしました。その結

果、John は dvSwitch1 と dvSwitch2 間に論理スイッチを構築することによって、ACME 社の L2 レイヤーを拡

張できることが分かりました。John は NSX Controller を利用して既存の IP ネットワーク上で NSX を機能さ

せることができます。このとき、ACME 社の物理インフラストラクチャに手を加える必要がありません。

図 6-2. ACME Enterprise 社の論理スイッチの実装



vDS1

クラスタ 1

論理スイッチは複数の VLAN/サブネットにまたがる

エンジニアリング：VXLAN5000：10.10.1.0/24財務：VLAN 20：10.20.1.0/24マーケティング：VLAN 30：10.30.1.0/24

財務PG

物理スイッチ


vDS2

クラスタ 2

物理スイッチ

管理者 John が 2 つのクラスタ間に 1 つの論理スイッチを構築すると、双方のクラスタを同じ論理スイッチに接続

したままで、クラスタ間で仮想マシンの vMotion を実行できるようになりました。

NSX 管理ガイド

VMware, Inc. 56

図 6-3. 論理ネットワーク上の vMotion



vDS1

vMotion の範囲 vMotion の範囲

エンジニアリング：VXLAN5000：10.10.1.0/24財務：VLAN 20：10.20.1.0/24マーケティング：VLAN 30：10.30.1.0/24

財務PG

物理スイッチ


vDS2

物理スイッチ

管理者 John が ACME Enterprise 社で論理ネットワークを構築する手順を見ていきましょう。

管理者 John による NSX Manager へのセグメント ID プールの割り当て

管理者 John は、受信したセグメント ID プールを指定して Company ABC のネットワークトラフィックを分離

する必要があります。

前提条件

1 管理者 John は、dvSwitch1 と dvSwitch2 が vSphere Distributed Switch であることを確認します。

2 管理者 John は、vCenter Server の管理 IP アドレスを設定します。

a [管理 (Administration)] - [vCenter Server 設定 (vCenter Server Settings)] - [ランタイム設定

(Runtime Settings)] を選択します。

b [vCenter Server の管理 IP] に 10.115.198.165 と入力します。

c [OK] をクリックします。

3 管理者 John は、Cluster1 と Cluster2 にネットワーク仮想化コンポーネントをインストールします。『NSX インストールガイド』を参照してください。

4 管理者 John は、ACME の NSX Manager 管理者から、セグメント ID プール (5000 - 5250) を受け取り

ます。John は NSX Controller を利用しているため、物理ネットワーク内でマルチキャストを必要としませ

ん。

NSX 管理ガイド

VMware, Inc. 57

5 管理者 John は IP プールを作成して、その IP アドレスプールから VXLAN VTEP に対して固定 IP アドレス

を割り当てることができるようにします。IP アドレスプールの追加を参照してください。

手順

1 vSphere Web Client で、[ネットワークとセキュリティ (Networking & Security)] - [インストールとアッ

プグレード (Installation and Upgrade)] の順にクリックします。

2 [論理ネットワークの準備 (Logical Network Preparation)] タブをクリックし、[セグメント ID (Segment ID)] をクリックします。

3 [編集 (Edit)] をクリックします。

4 [セグメント ID アドレスプール] に 5000 - 5250 と入力します。

5 [マルチキャストアドレス指定の有効化 (Enable multicast addressing)] は選択しないでください。


管理者 John による VXLAN 転送パラメータの設定

管理者 John は、Cluster 1 および Cluster 2 で VXLAN を設定します。この設定では、John は各クラスタを

vSphere Distributed Switch にマッピングします。クラスタをスイッチにマッピングすると、そのクラスタ内の

各ホストが論理スイッチで使用可能になります。

手順

1 [ホストの準備 (Host Preparation)] タブをクリックします。

2 Cluster1 で、[VXLAN] 列の [設定 (Configure)] を選択します。

3 [VXLAN ネットワークの] ダイアログボックスで、クラスタの vSphere Distributed Switch として

dvSwitch1 を選択します。

4 ACME 転送 VLAN として使用する dvSwitch1 に対して 10 と入力します。

5 [転送属性の指定] で、dvSwitch1 の最大転送ユニット (MTU) を 1600 のままにします。

MTU は、それ以上小さなパケットに分割しなくても 1 つのパケットで伝送することができる最大データ量です。

管理者 John は、VXLAN の論理スイッチのトラフィックフレームのサイズがカプセル化のために若干大きく

なっており、そのため各スイッチの MTU を 1550 以上に設定する必要があることを認識しています。

6 [vmknic IP アドレス指定 (VMKNic IP Addressing)] で、[IP アドレスプールの使用 (Use IP Pool)] を選択

し、IP アドレスプールを選択します。

7 [VMKNic チーミングポリシー (VMKNic Teaming Policy)] で [フェイルオーバー (Failover)] を選択しま

す。

管理者 John は、平常時でも障害時でも、論理スイッチのパフォーマンスを一定にして、ネットワークのサービ

ス品質を維持しようと考えています。このため、チーミングポリシーとしてフェイルオーバーを選択することに

しました。

8 [追加 (Add)] をクリックします。

9 ステップ 4 ～ 8 を繰り返して、Cluster2 で VXLAN を設定します。

NSX 管理ガイド

VMware, Inc. 58

結果

管理者 John が Cluster1 と Cluster2 を適切なスイッチにマッピングした後、それらのクラスタのホストが論理ス

イッチ用に準備されます。

1 VXLAN カーネルモジュールと vmknic が Cluster1 と Cluster2 の各ホストに追加されます。

2 論理スイッチに関連付けられている vSwitch 上に特別な dvPortGroup が作成され、VMKNic がそのグルー

プに接続されます。

管理者 John によるトランスポートゾーンの追加

論理ネットワークをバッキングする物理ネットワークは、transport zone と呼ばれます。トランスポートゾーン

は、仮想ネットワークによってスパニングされたコンピューティング範囲です。

手順

1 [論理ネットワークの準備 (Logical Network Preparation)] をクリックして、[トランスポートゾーン

(Transport Zones)] をクリックします。

2 [新規トランスポートゾーン (New Transport Zone)] アイコンをクリックします。

3 [名前] に [ACME ゾーン (ACME Zone)] と入力します。

4 [説明] に [ACME のクラスタを含むゾーン (Zone containing ACME's clusters)] と入力します。

5 Cluster 1 と Cluster 2 を選択して、トランスポートゾーンに追加します。

6 [制御プレーンモード (Control Plane Mode)] で [ユニキャスト (Unicast)] を選択します。


管理者 John による論理スイッチの作成

VXLAN 転送パラメータの設定が完了すると、管理者 John が論理スイッチを作成する準備が整ったことになりま

す。

手順

1 [論理スイッチ (Logical Switches)] をクリックし、次に [新しい論理ネットワーク (New Logical Network)] アイコンをクリックします。

2 [名前] に ACME logical network と入力します。

3 [説明] に Logical Network for extending ACME Engineering network to Cluster2 と入力し

ます。

4 [トランスポートゾーン (Transport Zone)] で、ACME Zone を選択します。


NSX は、dvSwitch1 と dvSwitch2 の間の L2 接続を可能にする論理スイッチを作成します。

NSX 管理ガイド

VMware, Inc. 59

次のステップ

これで管理者 John は、ACME の本番仮想マシンを論理スイッチに接続し、その論理スイッチを NSX Edge Services Gateway または分散論理ルーターに接続できます。

NSX 管理ガイド

VMware, Inc. 60

ハードウェアゲートウェイの設定 7ハードウェアゲートウェイの設定で、物理ネットワークを仮想ネットワークにマッピングします。マッピングを設定

することにより、NSX が Open vSwitch Database (OVSDB) を利用できるようになります。

OVSDB データベースには、物理ハードウェアと仮想ネットワークについての情報が含まれます。ベンダーのハード

ウェアがデータベースサーバをホストします。

NSX 論理ネットワーク内のハードウェアゲートウェイスイッチは、VXLAN トンネルの終端となります。そのハ

ードウェアゲートウェイは、仮想ネットワークからはハードウェア VTEP として認識されます。VTEP の詳細につ

いては、『NSX インストールガイド』と『NSX Network Virtualization Design Guide』を参照してください。

ハードウェアゲートウェイの最小トポロジには、次のコンポーネントが含まれます。

n 物理サーバ

n ハードウェアゲートウェイスイッチ（L2 ポート）

n IP ネットワーク

n 4 個以上のハイパーバイザー。仮想マシンを持つ 4 個以上のレプリケーションクラスタを含む

n 3 台以上のノードがあるコントローラクラスタ

次に示すのは、ハードウェアゲートウェイを利用するトポロジのサンプルで、HV1 と HV2 はそれぞれハイパーバ

イザーです。VM1 は HV1 上の仮想マシンです。VTEP1 は HV1、VTEP2 は HV2、VTEP3 はハードウェアゲー

トウェイ上にあります。ハードウェアゲートウェイのサブネットは 211 です。これは、2 つのハイパーバイザーのサ

ブネット 221 とは異なります。

VM1

VLAN サーバ

VLAN 160

イーサネット 18

HV1VTEP1

VTEP2

VTEP3

10.114.221.196HV2

WebService 論理スイッチ VNI 5000

10.114.221.199

NSX Controller10.114.221.132-134

ハードウェアゲートウェイ10.114.211.204

VMware, Inc. 61

ハードウェアゲートウェイの基盤となる構成では、次のコンポーネントのうちいずれかを利用できます。

n 1 台のスイッチ

n IP アドレスが異なる複数の物理バススイッチ

n ハードウェアスイッチコントローラと複数のスイッチ

NSX Controller は、NSX Controller の IP アドレスから、ポート 6640 でハードウェアゲートウェイと通信し

ます。この接続を利用して、ハードウェアゲートウェイの OVSDB のトランザクションを送受信します。


n シナリオ：ハードウェアゲートウェイのサンプル構成

シナリオ：ハードウェアゲートウェイのサンプル構成

このシナリオでは、NSX 環境でハードウェアゲートウェイスイッチを設定するための一般的なタスクについて説明

します。ハードウェアゲートウェイを使用して仮想マシン VM1 を物理サーバに接続する方法と、ハードウェアゲー

トウェイを使用して WebService 論理スイッチを VLAN-Server VLAN 160 に接続する方法を、一連のタスクを

通じて理解します。

サンプルのトポロジでは、仮想マシン VM1 と VLAN-Server にサブネット 10 の IP アドレスが設定されています。

VM1 は WebService 論理スイッチに接続されています。VLAN-Server は物理サーバ上の VLAN 160 に接続さ

れています。

VM

10.0.0.1/8 10.0.0.2/8

VLAN サーバ

VLAN 160WebService 論理スイッチ

仮想マシン 1

重要： Cross-vCenter NSX 環境では、ハードウェアゲートウェイスイッチの設定が、プライマリおよびセカン

ダリ NSX Manager と複数のレプリケーションクラスタでサポートされます。ただし、デフォルトのレプリケーシ

ョンクラスタを使用できるのは、プライマリ NSX Manager のハードウェアゲートウェイのみです。セカンダリ

NSX Manager では、ハードウェアゲートウェイに新しいレプリケーションクラスタを作成する必要があります。

ハードウェアゲートウェイスイッチは、論理スイッチに割り当てられている必要があります。

前提条件

n メーカーのドキュメントを参照して、物理ネットワークの要件を満たしていることを確認してください。

n ハードウェアゲートウェイを設定する前に、NSX のシステムとハードウェアの要件を満たしていることを確認

してください。「1 章 NSX Data Center for vSphere のシステム要件」を参照してください。

n 論理ネットワークが正しく設定されていることを確認してください。『NSX インストールガイド』を参照してく

ださい。

NSX 管理ガイド

VMware, Inc. 62

n VXLAN のトランスポートパラメータのマッピングが正しいことを確認してください。『NSX インストールガイド』を参照してください。

n ハードウェアゲートウェイメーカーの証明書を取得してください。

n VXLAN ポートの値が 4789 に設定されていることを確認してください。「VXLAN ポートの変更」を参照して

ください。

手順

1 レプリケーションクラスタの設定

レプリケーションクラスタは、ハードウェアゲートウェイから送信されたトラフィックを転送するハイパーバ

イザーのセットです。トラフィックは、ブロードキャスト、不明なユニキャストまたはマルチキャストトラフ

ィックの場合があります。

2 ハードウェアゲートウェイの NSX Controller への接続

ハードウェアゲートウェイを NSX Controller に接続するには、物理スイッチ上に OVSDB 管理テーブルを

設定する必要があります。

3 ハードウェアゲートウェイの証明書の追加

構成を機能させるには、ハードウェアゲートウェイの証明書をハードウェアデバイスに追加する必要がありま

す。

4 論理スイッチの物理スイッチへのバインド

仮想マシン VM1 に接続された WebService 論理スイッチは、同じサブネット上にあるハードウェアゲート

ウェイと通信する必要があります。

レプリケーションクラスタの設定

レプリケーションクラスタは、ハードウェアゲートウェイから送信されたトラフィックを転送するハイパーバイザ

ーのセットです。トラフィックは、ブロードキャスト、不明なユニキャストまたはマルチキャストトラフィックの場

合があります。

注：レプリケーションノードとハードウェアゲートウェイスイッチを含むハイパーバイザーを同じ IP アドレスの

サブネットにすることはできません。この制限は、ほとんどのハードウェアゲートウェイで使用されるチップセッ

トの制限によるものです。大半のハードウェアゲートウェイは Broadcom Trident II チップセットを使用してい

ますが、このチップセットでは、ハードウェアゲートウェイとハイパーバイザーの間にレイヤー 3 の基盤ネットワ

ークが必要になります。

Cross-vCenter NSX 環境では、プライマリおよびセカンダリ NSX Manager と複数のレプリケーションクラス

タで、ハードウェアゲートウェイスイッチの設定がサポートされます。ただし、デフォルトのレプリケーションクラスタを使用できるのは、プライマリ NSX Manager のハードウェアゲートウェイのみです。セカンダリ NSX Manager では、ハードウェアゲートウェイに新しいレプリケーションクラスタを作成する必要があります。

重要： NSX ユーザーインターフェイスでは、デフォルトで 1 つのレプリケーションクラスタを表示できますが、

複数のレプリケーションクラスタは表示できません。複数のレプリケーションクラスタは、API を通じてサポート

しています。『NSX API ガイド』の「特定のハードウェアゲートウェイレプリケーションクラスタの操作」を参照

してください。

NSX 管理ガイド

VMware, Inc. 63

前提条件

レプリケーションノードとして機能するハイパーバイザーが利用可能であることを確認してください。

手順

1 vSphere Web Client にログインします。

2 [Networking and Security (Networking & Security)] - [サービス定義 (Service Definitions)]の順に選

択します。

3 [ハードウェアデバイス (Hardware Devices)] タブをクリックします。

4 [レプリケーションクラスタ] セクションで [編集 (Edit)] をクリックして、このレプリケーションクラスタでレ

プリケーションノードとして機能するハイパーバイザーを選択します。

5 ハイパーバイザーを選択して青い矢印をクリックします。

選択されたハイパーバイザーが [選択したオブジェクト] 列に移動します。


結果

レプリケーションノードがレプリケーションクラスタに追加されました。レプリケーションクラスタには、1 台以

上のホストが必要です。

ハードウェアゲートウェイの NSX Controller への接続

ハードウェアゲートウェイを NSX Controller に接続するには、物理スイッチ上に OVSDB 管理テーブルを設定


コントローラは、物理スイッチからの接続を listen します。そのため、ハードウェアゲートウェイは、接続を開始

するために OVSDB 管理テーブルを使用する必要があります。

NSX 管理ガイド

VMware, Inc. 64

前提条件

ハードウェアゲートウェイインスタンスを設定する前に、コントローラをデプロイする必要があります。コントロ

ーラを先にデプロイしない場合、「コントローラ上での操作に失敗しました」というエラーメッセージが表示されます。

手順

1 環境に適したコマンドを使用して、ハードウェアゲートウェイを NSX Controller に接続します。

ハードウェアゲートウェイを NSX Controller に接続するためのサンプル　コマンドは次のとおりです。

prmh-nsx-tor-7050sx-3#enable

prmh-nsx-tor-7050sx-3#configure terminal

prmh-nsx-tor-7050sx-3(config)#cvx

prmh-nsx-tor-7050sx-3(config-cvx)#service hsc

prmh-nsx-tor-7050sx-3(config-cvx-hsc)#manager 172.16.2.95 6640

prmh-nsx-tor-7050sx-3(config-cvx-hsc)#no shutdown

prmh-nsx-tor-7050sx-3(config-cvx-hsc)#end

2 ハードウェアゲートウェイ上で OVSDB 管理テーブルを設定します。

3 OVSDB のポート番号を 6640 に設定します。

4 （オプション）ハードウェアゲートウェイが、OVSDB　チャネル経由で NSX Controller に接続しているこ

とを確認します。

n 接続状態が [UP] であることを確認します。

n VM1 と VLAN 160 に ping を送信して、接続が成功したことを確認します。

5 （オプション）ハードウェアゲートウェイが適切な NSX Controller に接続していることを確認します。

a vSphere Web Client にログインします。

b [ネットワークとセキュリティ (Networking & Security)] - [インストールとアップグレード

(Installation and Upgrade)] - [管理 (Management)] - [NSX Controller ノード (NSX Controller nodes)] の順に選択します。

ハードウェアゲートウェイの証明書の追加

構成を機能させるには、ハードウェアゲートウェイの証明書をハードウェアデバイスに追加する必要があります。

前提条件

導入環境のハードウェアゲートウェイの証明書が利用できることを確認します。

手順


2 [ネットワークとセキュリティ (Networking & Security)] - [サービス定義 (Service Definitions)]の順に選

択します。

3 [ハードウェアデバイス (Hardware Devices)] タブをクリックします。

NSX 管理ガイド

VMware, Inc. 65

4 追加（）アイコンをクリックして、ハードウェアゲートウェイプロファイルの詳細を作成します。


名前と説明ハードウェアゲートウェイの名前を指定します。

プロファイルの詳細を説明セクションに追加できます。

証明書導入環境で利用している証明書をコピーアンドペーストします。

BFD の有効化双方向フォワーディング検出 (BFD) プロトコルはデフォルトで有効化されています。

BFD プロトコルは、ハードウェアゲートウェイの設定情報を同期するために使用されます。


ハードウェアゲートウェイを表すプロファイルが作成されました。

6 画面を更新して、ハードウェアゲートウェイが利用可能であり、稼動していることを確認します。

接続状態は [UP] となります。

7 （オプション）ハードウェアゲートウェイのプロファイルをクリックし、右クリックしてドロップダウンメニュ

ーから [BFD トンネルステータスの表示 (View the BFD Tunnel Status)] を選択します。

ダイアログボックスには、トラブルシューティング用にトンネルステータスの詳細が表示されます。

NSX 管理ガイド

VMware, Inc. 66

論理スイッチの物理スイッチへのバインド

仮想マシン VM1 に接続された WebService 論理スイッチは、同じサブネット上にあるハードウェアゲートウェイ

と通信する必要があります。

注：ハードウェアのポートに複数の論理スイッチをバインドする場合、それぞれの論理スイッチに対して次の手順

を実行する必要があります。

前提条件

n WebService 論理スイッチが使用可能であることを確認します。論理スイッチの追加を参照してください。

n 物理スイッチが使用可能であることを確認します。

手順


2 [ネットワークとセキュリティ (Networking & Security)] - [論理スイッチ (Logical Switches)]の順に選択

します。

3 WebService 論理スイッチを右クリックし、ドロップダウンメニューから [ハードウェアバインドの管理

(Manage Harware Bindings)] を選択します。

4 ハードウェアゲートウェイのプロファイルを選択します。

5 追加（）アイコンをクリックし、ドロップダウンメニューから物理スイッチを選択します。

例：AristaGW

6 [選択 (Select)] をクリックし、[使用可能なオブジェクト] の一覧から物理ポートを 1 つ選択します。

例：Ethernet 18


8 VLAN 名を指定します。

例：160


結果

バインドが完了しました。

NSX 管理ガイド

VMware, Inc. 67

NSX Controller により、物理構成および論理構成の情報がハードウェアゲートウェイと同期されます。

NSX 管理ガイド

VMware, Inc. 68

L2 ブリッジ 8論理スイッチと VLAN の間に L2 ブリッジを作成することができます。これにより IP アドレスに影響を与えずに

仮想ワークロードを物理デバイスに移行することができます。

レイヤー 2 ブリッジを使用すると、物理サーバまたはネットワークに接続する仮想マシンを有効にして、仮想ネット

ワークと物理ネットワーク間の接続を行うことができます。次のような場合に使用します。

n 物理から仮想、仮想から仮想への移行。L2 ブリッジを利用すると、IP アドレスの再設定を行わずに NSX の内

外のワークフローとの接続を維持することができます。

n 仮想化に対応していないアプライアンスの場合、NSX の導入により、そのクライアントとの L2 接続を確立す

る必要があります。これは、一部の物理データベースサーバでは一般的な手法です。

n サービス挿入。L2 ブリッジを利用すると、ルーター、ロードバランサ、ファイアウォールなどの物理アプライ

アンスに NSX を透過的に統合できます。

論理ネットワークでは、論理スイッチブロードキャストドメインと VLAN ブロードキャストドメインをブリッジ

することで、物理 L3 ゲートウェイを利用して既存の物理ネットワークやセキュリティリソースにアクセスできま

す。L2 ブリッジは、NSX 分散論理ルーター制御仮想マシンが設定されたホストで動作します。L2 ブリッジインス

タンスは、単一の VLAN にマッピングされますが、複数のブリッジインスタンスを存在させることができます。

VLAN ポートグループとブリッジされた VXLAN 論理スイッチは、同じ vSphere Distributed Switch (VDS) 上に配置され、同じ物理 NIC を共有している必要があります。

VXLAN (VNI) ネットワークと VLAN によりバックアップされたポートグループは、同じ分散仮想スイッチ

(VDS) 上に存在する必要があります。

VMware, Inc. 69

V

コンピューティングラック

物理ワークロード

物理ゲートウェイ

NSX Edge分散論理ルーター

仮想マシン

L2 ブリッジを使用して、論理スイッチ同士の接続、VLAN ネットワーク同士の接続、またはデータセンターの相互

接続を行わないでください。また、ユニバーサル分散論理ルーターを使用してブリッジを設定したり、ユニバーサル

論理スイッチにブリッジを追加することはできません。


n L2 ブリッジの追加

n 論理的にルーティングされた環境への L2 ブリッジの追加

n ブリッジスループットの向上

L2 ブリッジの追加

論理スイッチから分散仮想ポートグループへのブリッジを追加できます。

NSX 管理ガイド

VMware, Inc. 70

前提条件

構成済みの論理スイッチと、VLAN でバッキングされた分散仮想ポートグループ。

VLAN でバッキングされた分散仮想ポートグループと論理スイッチをブリッジする場合、これらを同じ分散仮想ス

イッチ (VDS) 上に配置する必要があります。

論理スイッチを持つ分散仮想スイッチと、VLAN でバッキングされた分散仮想ポートグループがインスタンス化さ

れているハイパーバイザー上の分散論理ルーター制御仮想マシンを、環境にデプロイする必要があります。

ユニバーサル分散論理ルーターを使用してブリッジを設定することはできません。また、ブリッジをユニバーサル論

理スイッチに追加することはできません。

注意：ブリッジトラフィックは、VXLAN トラフィックに使用される dvSwitch のアップリンクポート経由で

ESXi ホストと送受信されます。VLAN の VDS チーミングまたはフェイルオーバーポリシーは、ブリッジトラフ

ィックに使用されません。

手順


2 [ネットワークとセキュリティ (Networking & Security)] - [NSX Edge] の順にクリックします。

3 分散論理ルーターをダブルクリックします。

4 [管理 (Manage)] - [ブリッジ (Bridging)] の順にクリックします。


6 ブリッジの名前を入力します。

注意：ブリッジの名前は 40 文字以下にする必要があります。名前が 40 文字を超えると、ブリッジの設定に

失敗します。

7 ブリッジを作成する論理スイッチを選択します。

8 論理スイッチのブリッジ先である分散仮想ポートグループを選択します。

9 [発行 (Publish)] をクリックして、変更を有効にします。

論理的にルーティングされた環境への L2 ブリッジの追加

1 つのアクティブなブリッジインスタンスが存在する単一の VLAN に論理スイッチをブリッジできます。1 つの分

散論理ルーターに複数のブリッジインスタンスを設定できますが、同じ VXLAN と VLAN は複数のブリッジイン

スタンスに接続できません。

論理スイッチを使用して、分散論理ルーティングとレイヤー 2 ブリッジの両方に参加できます。したがって、ブリッ

ジされた論理スイッチからのトラフィックを中央の Edge 仮想マシン経由で送信する必要はありません。ブリッジ

された論理スイッチからのトラフィックは、L2 ブリッジインスタンス経由で物理 VLAN に送信できます。ブリッ

ジインスタンスは、分散論理ルーター制御仮想マシンが実行されている ESXi ホストで有効になります。

NSX 管理ガイド

VMware, Inc. 71

NSX での L2 ブリッジの詳細については、https://communities.vmware.com/docs/DOC-27683 にある

『NSX Network Virtualization Design Guide』で、NSX 分散ルーティングとレイヤー 2 ブリッジの統合に関す

るセクションを参照してください。

ヒント: 複数のレイヤー 2 ブリッジインスタンスのセットを作成して、異なる分散論理ルーターに関連付けること

ができます。これにより、ブリッジのロードを異なる ESXi ホストに分散させることができます。

前提条件

n 環境に NSX 分散論理ルーターがデプロイされている必要があります。

n ユニバーサル分散論理ルーターを使用してブリッジを設定することはできません。また、ブリッジをユニバーサ

ル論理スイッチに追加することはできません。

手順



3 ブリッジに使用する分散論理ルーターをダブルクリックします。

注：ブリッジインスタンスは、VXLAN が接続された同じルーティングインスタンスで作成する必要があり

ます。1 台のブリッジインスタンスで 1 つの VXLAN と 1 つの VLAN に対応でき、VXLAN と VLAN は重

複できません。同じ VXLAN と VLAN は複数のブリッジインスタンスに接続できません。

4 [管理 (Manage)] - [ブリッジ (Bridging)] の順にクリックします。


6 ブリッジの名前を入力します。

注意：ブリッジの名前は 40 文字以下にする必要があります。名前が 40 文字を超えると、ブリッジの設定に

失敗します。

7 ブリッジを作成する論理スイッチを選択します。

8 論理スイッチのブリッジ先である分散仮想ポートグループを選択します。

9 [発行 (Publish)] をクリックして、ブリッジ設定に対する変更を有効にします。

これで、[ルーティングは有効です (Routing Enabled)] を指定した状態でブリッジに使用される論理スイッチ

が表示されます。詳細は、論理スイッチの追加および論理スイッチへの仮想マシンの接続を参照してください。

ブリッジスループットの向上

Receive Side Scaling を使用すると、ブリッジのスループットを向上できます。NSX 6.4.2 以降では、Software Receive Side Scaling でもブリッジのスループットを向上できます。

Receive Side Scaling (RSS) テクノロジーを使用すると、異なる受信記述子キューに受信トラフィックを分散でき

ます。各キューを異なる CPU コアに割り当てると、受信トラフィックのロードバランシングを行い、パフォーマン

スを向上できます。

NSX 管理ガイド

VMware, Inc. 72


ただし、不明なユニキャストトラフィックやマルチキャストトラフィックで RSS は機能しません。これらのパケッ

トは、最終的にデフォルトのキューに転送され、1 つの CPU コアで処理されるため、スループットが低下します。

VLAN/VXLAN ブリッジを実行している ESXi ホストで受信されるパケットの大半はこのカテゴリに該当するた

め、ブリッジのスループットが低下します。

物理 NIC ベンダーの一部は、Default Queue Receive Side Scaling (DRSS) という機能をサポートします。

DRSS を使用すると、複数のハードウェアキューを設定してデフォルトの RX キューをバックアップし、複数の

CPU コア間で VLAN/VXLAN フローを分散できます。

DRSS（ixgbe、ixgben など）をサポートしない物理 NIC の場合、Software Receive Side Scaling (SoftRSS) を使用してブリッジネットワークのスループットを向上できます。

SoftRSS は、個々のフロー処理を複数のカーネルワールドの 1 つにオフロードします。これにより、NIC からパケ

ットを取得するスレッドでより多くのパケットを処理できるようになります。RSS の場合と同様に、SoftRSS 使用

時のネットワークスループットの向上は CPU 使用率と線形相関にあります。

詳細については、Software Receive Side Scaling の有効化を参照してください。

Software Receive Side Scaling の有効化

Software Receive Side Scaling を使用すると、VLAN/VXLAN ブリッジのスループットが向上します。

前提条件

n NSX 6.4.2 以降がインストールされていることを確認します。

n SoftRSS を有効にするホストを決定します。

n アクティブ/スタンバイブリッジが存在する ESXi ホスト（分散論理ルーター制御仮想マシンがホストされ

ている場所）で SoftRSS を有効にします。vMotion を使用して制御仮想マシンを移行する場合は、クラ

スタ内のすべてのホストで SoftRSS を有効にします。

n ホストの物理 NIC で Default Queue Receive Side Scaling (DRSS) がサポートされている場合は、

DRSS を有効にします。SoftRSS は有効にしないでください。esxcli system module parameters

list -m [nic_module] を使用して、DRSS がサポートされているかどうか確認します。

手順

1 ホストで SoftRSS を有効にします。

10G アップリンクのワールド数の推奨値は 4 です。

ワールド数は 16 まで増やすことができます。より高い統合率がアップリンクでサポートされている（リンク集

約が使用されている）場合や、ワールドへのフロー分散がトラフィックパターンに対して均一でない場合は、こ

の値を増やすことができます。

net-dvs -s com.vmware.net.vdr.softrss=[number of worlds] -p hostPropList [dvs name]

2 （オプション） SoftRSS を無効にするには、次のコマンドを使用します。

net-dvs -u com.vmware.net.vdr.softrss -p hostPropList [dvs name]

NSX 管理ガイド

VMware, Inc. 73

ルーティング 9NSX Edge ごとに固定および動的ルーティングを指定できます。

動的ルーティングにより、レイヤー 2 ブロードキャストドメイン間の必要な転送情報が提供されるため、レイヤー

2 ブロードキャストドメインを削減し、ネットワークの効率と規模を改善できます。NSX は、このインテリジェン

スをワークロードが存在する場所に拡張し、水平方向のルーティングを行います。これより、余分なコストと時間を

かけてホップを拡張することなく、より直接的に仮想マシン間の通信ができます。同時に、NSX は垂直方向の接続

も提供するため、テナントはパブリックネットワークにアクセスできます。


n 分散論理ルーターの追加

n Edge Services Gateway の追加

n グローバル設定の指定

n NSX Edge 設定

n スタティックルートの追加

n 分散論理ルーター上での OSPF の設定

n Edge Services Gateway 上での OSPF の設定

n BGP の設定

n ルート再配分の設定

n NSX Manager ロケール ID の表示

n ユニバーサル分散論理ルーター上でのロケール ID の設定

n ホストまたはクラスタ上でのロケール ID の設定

n マルチキャストルーティングのサポート、制限、およびトポロジー

分散論理ルーターの追加

ホストの分散論理ルーター (DLR) カーネルモジュールは、VXLAN ネットワーク間、および仮想ネットワークと物

理ネットワーク間のルーティングを実行します。NSX Edge アプライアンスは、必要に応じて動的ルーティング機

VMware, Inc. 74

能を提供します。分散論理ルーターは、Cross-vCenter NSX 環境内のプライマリとセカンダリの NSX Manager に作成できますが、ユニバーサル分散論理ルーターはプライマリ NSX Manager にのみ作成できます。

注： vSphere Web Client では、NSX Data Center 6.4.4 から「論理ルーター」という用語が「分散論理ルー

ター」に変わりました。このドキュメントでは、両方の用語が同じ意味で使用されています。ただし、これらは同じ

オブジェクトを参照しています。

新しい分散論理ルーターをデプロイする際には、次のことに留意してください。

n NSX Data Center for vSphere 6.2 以降では、分散論理ルーターでルーティングされる論理インターフェイ

ス (LIF) を VLAN にブリッジされている VXLAN に接続できます。

n 分散論理ルーターインターフェイスおよびブリッジインターフェイスは、VLAN ID が 0 に設定されている

dvPortgroup には接続できません。

n 特定の分散論理ルーターインスタンスは、異なるトランスポートゾーンに存在する論理スイッチには接続でき

ません。これにより、すべての論理スイッチと分散論理ルーターインスタンスの整合性が確保されます。

n 分散論理ルーターが複数の vSphere Distributed Switch (VDS) にまたがる論理スイッチに接続されている

場合、その分散論理ルーターを VLAN がバッキングするポートグループに接続することはできません。これに

より、ホスト間で分散論理ルーターインスタンスが論理スイッチ dvPortgroup に正しく関連付けられるよう

になります。

n 2 つのネットワークが同じ vSphere Distributed Switch 内にある場合は、2 つの異なる分散ポートグループ

(dvPortgroup) 上に同じ VLAN ID の分散論理ルーターインターフェイスを作成しないでください。

n 2 つのネットワークが別々の vSphere Distributed Switch 内にあっても、それらの vSphere Distributed Switch が同じホストを共有している場合は、2 つの異なる dvPortgroup 上に同じ VLAN ID の分散論理ルー

ターインターフェイスを作成しないでください。言い換えると、2 つの dvPortgroup が 2 つの異なる

vSphere Distributed Switch 内にあっても、それらの vSphere Distributed Switch がホストを共有して

いなければ、2 つの異なるネットワーク上に同じ VLAN ID の分散論理ルーターインターフェイスを作成でき

ます。

n VXLAN が設定されている場合、分散論理ルーターインターフェイスは、VXLAN が設定されている vSphere Distributed Switch の分散ポートグループに接続されている必要があります。他の vSphere Distributed Switch のポートグループには、分散論理ルーターインターフェイスを接続しないでください。

以下のリストでは、分散論理ルーターでのインターフェイスタイプ（アップリンクおよび内部）別の機能サポートに

ついて説明します。

n 動的ルーティングプロトコル（BGP と OSPF）は、アップリンクインターフェイスでのみサポートされます。

n ファイアウォールルールはアップリンクインターフェイスでのみ適用可能であり、対象は Edge 仮想アプライ

アンスに送信される制御トラフィックと管理トラフィックに限定されます。

NSX 管理ガイド

VMware, Inc. 75

n 分散論理ルーターの管理インターフェイスの詳細については、ナレッジベースの記事「Management Interface Guide: DLR Control VM - NSX」(http://kb.vmware.com/kb/2122060) を参照してくださ

い。

重要： Cross-vCenter NSX 環境の NSX Edge で高可用性を有効にするには、アクティブとスタンバイの両方の

NSX Edge アプライアンスが同じ vCenter Server 内に配置されている必要があります。NSX Edge 高可用性

(HA) ペアのいずれかのアプライアンスを別の vCenter Server に移行すると、高可用性の 2 台のアプライアンス

がペアとして動作しなくなり、トラフィックの中断が発生する可能性があります。

注目: vSphere Fault Tolerance は、分散論理ルーター制御仮想マシンと連携しません。

前提条件

n Enterprise Administrator または NSX Administrator のロールが割り当てられている必要があります。

n 論理スイッチを作成する予定がない場合でも、ローカルセグメント ID プールを作成する必要があります。

n 分散論理ルーターを作成または変更する前に、コントローラクラスタが稼動していて、使用可能であることを確

認してください。分散論理ルーターは、NSX Controller を利用しないとホストにルーティング情報を配布でき

ません。分散論理ルーターは、Edge Services Gateway (ESG) とは異なり、NSX Controller がなければ機

能しません。

n 分散論理ルーターを VLAN dvPortgroup に接続する場合、分散論理ルーターアプライアンスがインストール

されているすべてのハイパーバイザーホストが UDP ポート 6999 で相互にアクセスできることを確認しま

す。分散論理ルーターの VLAN ベース ARP プロキシを機能させるには、このポートで通信を行う必要があり

ます。

n 分散論理ルーターアプライアンスの展開先を決めます。

n 宛先のホストが、新しい分散論理ルーターのインターフェイスに接続されている論理スイッチと同じトラン

スポートゾーンに属している必要があります。

n ECMP セットアップで ESG を使用している場合は、そのアップストリーム ESG のいずれかと同じホスト

に配置しないようにしてください。これには DRS 非アフィニティルールを使用できます。分散論理ルー

ター転送時のホスト障害の影響を軽減することが可能です。1 つのアップストリーム ESG を単独で使用す

る場合、またはその ESG が高可用性モードの場合は、このガイドラインは適用されません。詳細について

は、https://communities.vmware.com/docs/DOC-27683 にある『NSX Network Virtualization Design Guide 』を参照してください。

n 分散論理ルーターアプライアンスをインストールするホストクラスタが NSX Data Center for vSphere 用に準備されていることを確認します。『NSX インストールガイド』の「NSX 用ホストクラスタの準備」を参照


n 変更を加える適切な NSX Manager を決定します。

n スタンドアロン環境や単一の vCenter Server NSX の環境では、NSX Manager は 1 つしか存在しない

ため、NSX Manager を選択する必要はありません。



NSX 管理ガイド

VMware, Inc. 76

https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2122060


n 拡張リンクモードが有効になっていない Cross-vCenter NSX 環境で設定の変更を行うには、変更する

NSX Manager にリンクされた vCenter Server から変更を行う必要があります。

n 拡張リンクモードの Cross-vCenter NSX 環境では、リンクされた任意の vCenter Server から、任意

の NSX Manager の設定を変更できます。NSX Manager ドロップダウンメニューから、適切な NSX Manager を選択します。

n 追加する分散論理ルーターの種類を決定します。

n 論理スイッチを接続するには、分散論理ルーターを追加します。

n ユニバーサル論理スイッチを接続するには、ユニバーサル分散論理ルーターを追加します。

n ユニバーサル分散論理ルーターを追加する場合、Local Egress（ローカル出力方向）を有効にする必要がある

かどうかを判断します。Local Egress を有効にすると、ルートをホストに選択的に送信できます。NSX デプ

ロイが複数のサイトにまたがる場合は、この機能が必要になることがあります。詳細については Cross-vCenter NSX トポロジを参照してください。ユニバーサル分散論理ルーターの作成後に Local Egress を有

効にはできません。

手順

1 vSphere Web Client で、[ホーム (Home)] - [ネットワークとセキュリティ (Networking & Security)] - [NSX Edges] の順に移動します。

2 変更を加える適切な NSX Manager を選択します。ユニバーサル分散論理ルーターを作成する場合は、プライ

マリ NSX Manager を選択する必要があります。

3 [追加 (Add)] をクリックして、追加する分散論理ルーターの種類を選択します。

n 選択した NSX Manager に対してローカルな分散論理ルーターを追加するには、[分散論理ルーター

(Logical (Distributed) Router)] を選択します。

n Cross-vCenter NSX 環境全体で利用できる分散論理ルーターを追加するには、[ユニバーサル分散論理ル

ーター (Universal Logical (Distributed) Router)] を選択します。このオプションを使用できるのは、

プライマリ NSX Manager が割り当てられており、そのプライマリ NSX Manager から変更を行う場合

のみです。[ユニバーサル分散論理ルーター (Universal Logical (Distributed) Router)] を選択する場

合は、Local Egress を有効にすることもできます。

4 分散論理ルーターの名前、説明、その他の詳細を入力します。


名前 vCenter Server インベントリに表示される分散論理ルーターの名前を入力します。

1 つのテナントのすべての分散論理ルーターの中で一意の名前を使用してください。

ホスト名任意。CLI に表示される分散論理ルーターのホスト名を入力します。

ホスト名を入力しない場合は、自動的に作成される Edge ID が CLI に表示されます。

説明任意。分散論理ルーターの説明を入力します。

NSX 管理ガイド

VMware, Inc. 77


Edge アプライアンスのデプロイこのオプションはデフォルトで選択されています。Edge アプライアンス（分散論理ルーター

の仮想アプライアンスとも呼ばれる）は、動的ルーティングおよび分散論理ルーターアプライ

アンスのファイアウォールで必要になり、分散論理ルーターの ping、SSH アクセス、および

動的ルーティングトラフィックに適用されます。

スタティックルートのみが必要で、Edge アプライアンスをデプロイしない場合は、このオプ

ションの選択を解除します。分散論理ルーターの作成後は、Edge アプライアンスを分散論理

ルーターに追加できません。

高可用性任意。デフォルトでは、高可用性は無効になっています。このオプションは、分散論理ルータ

ーで高可用性を有効にして設定する場合に選択します。

動的ルーティングを計画している場合、高可用性は必須です。

高可用性ログ任意。デフォルトでは、高可用性ログは無効になっています。

ログを有効にすると、デフォルトのログレベルが「情報」に設定されます。これは、必要に応

じて変更できます。

5 分散論理ルーターの CLI 設定と他の設定を指定します。


ユーザー名 Edge CLI にログインに使用するユーザーの名前を入力します。

パスワード 12 文字以上で、次の条件を満たすパスワードを入力します。

n 255 文字以内

n 1 つ以上の大文字と 1 つ以上の小文字

n 1 つ以上の数字

n 1 文字以上の特殊文字

n ユーザー名を部分文字列として含めない

n 同じ文字を 3 つ以上続けない

パスワードの確認確認のために、パスワードをもう一度入力します。

SSH アクセス任意。デフォルトでは、SSH アクセスは無効になっています。SSH を有効にしない場合でも、

仮想アプライアンスコンソールを開いて分散論理ルーターにアクセスできます。

SSH を有効にすると、SSH プロセスが分散論理ルーターで実行されます。分散論理ルーター

のプロトコルアドレスへの SSH アクセスを許可するには、分散論理ルーターのファイアウォ

ール設定を手動で調整する必要があります。プロトコルアドレスの設定は、分散論理ルーター

に動的ルーティングを設定する際に行います。

FIPS モード任意。デフォルトでは、FIPS モードは無効です。

FIPS モードを有効にすると、NSX Edge が送受信するセキュアな通信はすべて、FIPS で許

可される暗号化アルゴリズムまたはプロトコルを使用します。

Edge の制御レベルログ任意。デフォルトでは、ログレベルが「情報」に設定されます。

6 NSX Edge アプライアンスのデプロイを設定します。

u [Edge アプライアンスのデプロイ (Deploy Edge Appliance)] を選択しなかった場合、アプライアンス

は追加できません。[次へ (Next)] をクリックして、設定を続行します。

u [Edge アプライアンスのデプロイ (Deploy Edge Appliance)] を選択した場合は、分散論理ルーター仮

想アプライアンスの設定を入力します。

NSX 管理ガイド

VMware, Inc. 78

次はその例です。

オプション値

クラスタ/リソースプール管理/Edge

データストア ds-1

ホスト esxmgt-01a.corp.local

リソースの予約システム管理

リソースの予約の詳細については、『NSX 管理ガイド』の「NSX Edge アプライアンスのリソース予約の管理」


7 高可用性インターフェイスの接続と、オプションで IP アドレスを設定します。

[Edge アプライアンスのデプロイ (Deploy Edge Appliance)] を選択した場合は、高可用性インターフェイ

スを分散ポートグループまたは論理スイッチに接続する必要があります。このインターフェイスを高可用性イ

ンターフェイスとしてのみ使用している場合は、論理スイッチを使用します。/30 サブネットは、リンクロー

カル範囲 169.254.0.0/16 から割り当てられ、2 つの NSX Edge アプライアンスそれぞれの IP アドレスを用

意するために使用されます。

オプションで、このインターフェイスを NSX Edge への接続に使用する場合は、高可用性インターフェイス用

に追加の IP アドレスとプリフィックスを指定できます。

注： NSX Data Center for vSphere 6.2 より前のリリースでは、高可用性インターフェイスは管理インタ

ーフェイスと呼ばれていました。高可用性インターフェイスとは異なる IP サブネットから SSH を使用して高

可用性インターフェイスに接続することはできません。高可用性インターフェイスの外部をポイントするスタテ

ィックルートは設定できません。これは、RPF で受信トラフィックがドロップされることを意味します。ただ

し、理論上は RPF を無効にできますが、高可用性には逆効果です。SSH アクセスには、分散論理ルーターのプ

ロトコルアドレスも使用できます。これは後で動的ルーティングを設定するときに設定されます。

NSX Data Center for vSphere 6.2 以降では、分散論理ルーターの高可用性 (HA) インターフェイスは、ル

ート再配分の対象から自動的に除外されます。

たとえば、次の表に示すサンプルの高可用性インターフェイスの設定では、高可用性インターフェイスが管理

dvPortgroup に接続されます。


接続先 Mgmt_VDS-Mgmt

IP アドレス 192.168.110.60*

サブネットのプリフィックス長 24

NSX 管理ガイド

VMware, Inc. 79

8 NSX Edge のインターフェイスを設定します。

a 名前、種類、およびその他の基本的なインターフェイスの詳細を指定します。


名前インターフェイスの名前を入力します。

タイプ内部またはアップリンクのいずれかを選択します。

内部インターフェイスは、仮想マシン間の通信（East-West ともいいます）を許可する

スイッチへの接続に使用されます。内部インターフェイスは、分散論理ルーターの仮想ア

プライアンスの疑似 vNIC として作成されます。アップリンクインターフェイス、

North-South の通信に使用されます。このインターフェイスは、分散論理ルーター仮想

アプライアンス上に vNIC として作成されます。

分散論理ルーターアップリンクインターフェイスは、Edge Services Gateway また

はサードパーティのルーター仮想マシンに接続する場合があります。動的ルーティングを

有効にするには、少なくとも 1 つのアップリンクインターフェイスが必要です。

接続先このインターフェイスを接続する分散仮想ポートグループまたは論理スイッチを選択しま

す。

b インターフェイスのサブネットを設定します。


プライマリ IP アドレス分散論理ルーターでは、IPv4 アドレスのみがサポートされます。

ここで入力するインターフェイスの設定は後で変更できます。分散論理ルーターをデプロ

イした後で、インターフェイスを追加、削除、および変更できます。

サブネットのプリフィックス長インターフェイスのサブネットマスクを入力します。

c （オプション）必要に応じてデフォルトの MTU 値を編集します。アップリンクインターフェイスと内部イ

ンターフェイスのデフォルト値はともに 1500 です。

以下の表に、2 つの内部インターフェイス（app と web）および 1 つのアップリンクインターフェイス

(to-ESG) の例を示します。

表 9-1. 例：NSX Edge インターフェイス

名前 IP アドレス

サブネットのプリフィ

ックス長接続先

app 172.16.20.1* 24 app

web 172.16.10.1* 24 web

to-ESG 192.168.10.2* 29 transit

NSX 管理ガイド

VMware, Inc. 80

9 デフォルトゲートウェイの設定を行います。


オプション値

vNIC アップリンク

ゲートウェイ IP 192.168.10.1

MTU 1500

10 論理スイッチに接続されている仮想マシンのデフォルトゲートウェイに分散論理ルーターインターフェイスの

IP アドレスが適切に設定されていることを確認します。

結果

次の例のトポロジでは、app 仮想マシンのデフォルトゲートウェイが 172.16.20.1、web 仮想マシンのデフォルト

ゲートウェイが 172.16.10.1 となります。仮想マシンがそのデフォルトゲートウェイに ping を送信でき、仮想マシ

ン同士でも ping を送信できることを確認します。

172.16.20.10 172.16.10.10

172.16.20.1 172.16.10.1


App論理

スイッチ

Web論理

スイッチ

App仮想マシン

Web仮想マシン

SSH またはコンソールを使用して NSX Manager に接続し、次のコマンドを実行します。

n すべての分散論理ルーターインスタンス情報をリストします。

nsxmgr-l-01a> show logical-router list all

Edge-id Vdr Name Vdr id #Lifs

edge-1 default+edge-1 0x00001388 3

NSX 管理ガイド

VMware, Inc. 81

n コントローラクラスタから分散論理ルーターのルーティング情報を受信したホストをリストします。

nsxmgr-l-01a> show logical-router list dlr edge-1 host

ID HostName

host-25 192.168.210.52

host-26 192.168.210.53

host-24 192.168.110.53

出力には、指定した分散論理ルーター（この例では edge-1）に接続されている論理スイッチが属するトランス

ポートゾーンのメンバーとして設定されているすべてのホストクラスタのホストがすべて表示されます。

n 分散論理ルーターからホストに通知されるルーティングテーブル情報をリストします。ルーティングテーブル

エントリはすべてのホストで一致している必要があります。

nsx-mgr-l-01a> show logical-router host host-25 dlr edge-1 route

VDR default+edge-1 Route Table

Legend: [U: Up], [G: Gateway], [C: Connected], [I: Interface]

Legend: [H: Host], [F: Soft Flush] [!: Reject] [E: ECMP]

Destination GenMask Gateway Flags Ref Origin UpTime Interface

----------- ------- ------- ----- --- ------ ------ ---------

0.0.0.0 0.0.0.0 192.168.10.1 UG 1 AUTO 4101 138800000002

172.16.10.0 255.255.255.0 0.0.0.0 UCI 1 MANUAL 10195 13880000000b

172.16.20.0 255.255.255.0 0.0.0.0 UCI 1 MANUAL 10196 13880000000a

192.168.10.0 255.255.255.248 0.0.0.0 UCI 1 MANUAL 10196 138800000002

192.168.100.0 255.255.255.0 192.168.10.1 UG 1 AUTO 3802 138800000002

n いずれかのホストに基づいて、ルーターに関する追加情報をリストします。この出力は、ホストと通信している

コントローラを把握するのに便利です。

nsx-mgr-l-01a> show logical-router host host-25 dlr edge-1 verbose

VDR Instance Information :

---------------------------

Vdr Name: default+edge-1

Vdr Id: 0x00001388

Number of Lifs: 3

Number of Routes: 5

State: Enabled

Controller IP: 192.168.110.203

Control Plane IP: 192.168.210.52

Control Plane Active: Yes

Num unique nexthops: 1

Generation Number: 0

Edge Active: No

show logical-router host host-25 dlr edge-1 verbose コマンドの出力で [コントローラ IP アドレ

ス] フィールドを確認します。

NSX 管理ガイド

VMware, Inc. 82

SSH を使用してコントローラに接続し、次のコマンドを実行して、コントローラが学習した VNI、VTEP、MAC、

および ARP テーブルの状態情報を表示します。

n 192.168.110.202 # show control-cluster logical-switches vni 5000

VNI Controller BUM-Replication ARP-Proxy Connections

5000 192.168.110.201 Enabled Enabled 0

VNI 5000 の出力では、接続がゼロであることが示され、VNI 5000 の所有者としてコントローラ

192.168.110.201 がリストされます。そのコントローラにログインして、VNI 5000 の詳細情報を収集します。

192.168.110.201 # show control-cluster logical-switches vni 5000


5000 192.168.110.201 Enabled Enabled 3

192.168.110.201 の出力は、接続数が 3 つであることを示しています。他の VNI を確認します。



5001 192.168.110.201 Enabled Enabled 3



5002 192.168.110.201 Enabled Enabled 3

192.168.110.201 が 3 つの VNI 接続を所有しているため、もう一方のコントローラ 192.168.110.203 の接続

数はゼロであると予想されます。



5000 192.168.110.201 Enabled Enabled 0

n MAC テーブルと ARP テーブルを確認する前に、一方の仮想マシンからもう一方の仮想マシンに ping を送信

します。

app 仮想マシンから Web 仮想マシン：

vmware@app-vm$ ping 172.16.10.10

PING 172.16.10.10 (172.16.10.10) 56(84) bytes of data.

64 bytes from 172.16.10.10: icmp_req=1 ttl=64 time=2.605 ms



MAC テーブルを確認します。

192.168.110.201 # show control-cluster logical-switches mac-table 5000

VNI MAC VTEP-IP Connection-ID

5000 00:50:56:a6:23:ae 192.168.250.52 7

192.168.110.201 # show control-cluster logical-switches mac-table 5001

VNI MAC VTEP-IP Connection-ID

5001 00:50:56:a6:8d:72 192.168.250.51 23

NSX 管理ガイド

VMware, Inc. 83

ARP テーブルを確認します。

192.168.110.201 # show control-cluster logical-switches arp-table 5000

VNI IP MAC Connection-ID

5000 172.16.20.10 00:50:56:a6:23:ae 7

192.168.110.201 # show control-cluster logical-switches arp-table 5001

VNI IP MAC Connection-ID

5001 172.16.10.10 00:50:56:a6:8d:72 23

分散論理ルーター情報を確認します。各分散論理ルーターインスタンスは、いずれかのコントローラノードによっ

て提供されます。

show control-cluster logical-routers コマンドの instance サブコマンドを実行すると、このコントロ

ーラに接続されている分散論理ルーターのリストが表示されます。

interface-summary サブコマンドでは、コントローラが NSX Manager から学習した LIF が表示されます。こ

の情報は、トランスポートゾーンで管理されているホストクラスタ内のホストに送信されます。

routes サブコマンドでは、分散論理ルーターの仮想アプライアンス（制御仮想マシンとも呼ばれます）からこのコ

ントローラに送信されるルーティングテーブルが表示されます。この情報は LIF 設定よって提供されるため、ESXi ホストの場合とは異なり、このルーティングテーブルには、直接接続されているサブネットは含まれません。ESXi ホスト上のルート情報には、直接接続されたサブネットが含まれます。これは、ESXi ホストのデータパスがこれを

フォワーディングテーブルとして使用するためです。

n このコントローラに接続しているすべての分散論理ルーターを一覧表示します。

controller # show control-cluster logical-routers instance all

LR-Id LR-Name Universal Service-Controller Egress-Locale

0x1388 default+edge-1 false 192.168.110.201 local

LR-Id を書き留め、次のコマンドで使用します。

n controller # show control-cluster logical-routers interface-summary 0x1388

Interface Type Id IP[]

13880000000b vxlan 0x1389 172.16.10.1/24

13880000000a vxlan 0x1388 172.16.20.1/24

138800000002 vxlan 0x138a 192.168.10.2/29

n controller # show control-cluster logical-routers routes 0x1388

Destination Next-Hop[] Preference Locale-Id Source

192.168.100.0/24 192.168.10.1 110 00000000-0000-0000-0000-000000000000 CONTROL_VM

0.0.0.0/0 192.168.10.1 0 00000000-0000-0000-0000-000000000000 CONTROL_VM

[root@comp02a:~] esxcfg-route -l

VMkernel Routes:

Network Netmask Gateway Interface

10.20.20.0 255.255.255.0 Local Subnet vmk1

192.168.210.0 255.255.255.0 Local Subnet vmk0

default 0.0.0.0 192.168.210.1 vmk0

NSX 管理ガイド

VMware, Inc. 84

n コントローラから特定の VNI への接続を表示します。

192.168.110.203 # show control-cluster logical-switches connection-table 5000

Host-IP Port ID

192.168.110.53 26167 4

192.168.210.52 27645 5

192.168.210.53 40895 6

192.168.110.202 # show control-cluster logical-switches connection-table 5001

Host-IP Port ID

192.168.110.53 26167 4

192.168.210.52 27645 5

192.168.210.53 40895 6

これらのホスト IP アドレスは vmk0 インターフェイスです。VTEP ではありません。ESXi ホストとコント

ローラの間の接続は、管理ネットワーク上で作成されます。ここに示すポート番号は、ホストがコントローラと

の接続を確立するときに ESXi ホスト IP スタックによって割り当てられる短期 TCP ポートです。

n ホスト上では、このポート番号と一致するコントローラネットワーク接続が表示されます。

[[email protected]:~] #esxcli network ip connection list | grep 26167

tcp 0 0 192.168.110.53:26167 192.168.110.101:1234 ESTABLISHED

96416 newreno netcpa-worker

n ホスト上のアクティブな VNI を表示します。ホスト間での出力の違いを確認してください。すべての VNI がすべてのホストでアクティブになるわけではありません。論理スイッチに接続されている仮想マシンがホストに

ある場合、そのホストの VNI がアクティブになります。

[[email protected]:~] # esxcli network vswitch dvs vmware vxlan network list --vds-name

Compute_VDS

VXLAN ID Multicast IP Control Plane Controller Connection

Port Count MAC Entry Count ARP Entry Count VTEP Count

-------- ------------------------- ----------------------------------- ---------------------

---------- --------------- --------------- ----------

5000 N/A (headend replication) Enabled (multicast proxy,ARP proxy) 192.168.110.203

(up) 1 0 0 0

5001 N/A (headend replication) Enabled (multicast proxy,ARP proxy) 192.168.110.202

(up) 1 0 0 0

注： vSphere 6.0 以降で VXLAN 名前空間を有効にするには、/etc/init.d/hostd restart コマンド

を実行します。

ハイブリッドまたはユニキャストモードの論理スイッチの場合、esxcli network vswitch dvs vmware

vxlan network list --vds-name <vds-name> コマンドの出力は次のようになります。

n [Control Plance（制御プレーン）] が有効になっていることが示されます。

n マルチキャストプロキシおよび ARP プロキシがリストされます。AARP プロキシは、IP アドレス検出が

無効になっていてもリストされます。

n 有効なコントローラ IP アドレスのリストと、接続可能であることが示されます。

NSX 管理ガイド

VMware, Inc. 85

n 分散論理ルーターが ESXi ホストに接続されている場合は、[Port Count（ポートカウント）] が 1 以上に

なります。これは、論理スイッチに接続されたホストに仮想マシンがない場合も同様です。この 1 つのポー

トは vdrPort で、ESXi ホストの分散論理ルーターのカーネルモジュールに接続されている特殊な

dvPort です。

n まず、仮想マシンから別のサブネット上の仮想マシンに ping を送信し、MAC テーブルを表示します。[Inner MAC（内側の MAC）] は仮想マシンエントリであり、[Outer MAC（外側の MAC）] と [Outer IP（外側の

IP）] は VTEP を指していることに注意してください。

~ # esxcli network vswitch dvs vmware vxlan network mac list --vds-name=Compute_VDS --vxlan-

id=5000

Inner MAC Outer MAC Outer IP Flags

----------------- ----------------- -------------- --------

00:50:56:a6:23:ae 00:50:56:6a:65:c2 192.168.250.52 00000111

~ # esxcli network vswitch dvs vmware vxlan network mac list --vds-name=Compute_VDS --vxlan-

id=5001

Inner MAC Outer MAC Outer IP Flags

----------------- ----------------- -------------- --------

02:50:56:56:44:52 00:50:56:6a:65:c2 192.168.250.52 00000101

00:50:56:f0:d7:e4 00:50:56:6a:65:c2 192.168.250.52 00000111

次のステップ

NSX Edge アプライアンスをインストールすると、vSphere HA がクラスタ上で無効になっている場合は、NSX がホスト上の仮想マシンの自動起動/シャットダウンを有効にします。その後、アプライアンス仮想マシンをクラスタ

内の別のホストに移行すると、新しいホストでは、仮想マシンの自動起動/シャットダウンが有効にならない場合があ

ります。そのため、vSphere HA が無効になっているクラスタに NSX Edge アプライアンスをインストールする

場合は、クラスタ内のすべてのホストをチェックして、仮想マシンの自動起動/シャットダウンが有効になっているこ

とを確認する必要があります。詳細については、『vSphere 仮想マシン管理』の「仮想マシンの起動およびシャット

ダウン設定の編集」を参照してください。

分散論理ルーターを展開した後、分散論理ルーター ID をダブルクリックして、インターフェイス、ルーティング、

ファイアウォール、ブリッジ、DHCP リレーなどを設定します。

Edge Services Gateway の追加

データセンターには、複数の NSX Edge Services Gateway 仮想アプライアンスを配置できます。各 NSX Edge アプライアンスには、アップリンクと内部のネットワークインターフェイスを合計で 10 個指定できます。

内部インターフェイスは保護されたポートグループに接続され、そのポートグループ内の保護された仮想マシンす

べてのゲートウェイとして機能します。内部インターフェイスに割り当てられたサブネットは、パブリックにルーテ

ィングされる IP アドレス空間にも、ネットワークアドレス変換またはルーティングされる RFC 1918 専用空間にも

なります。ファイアウォールルールと他の NSX Edge サービスは、インターフェイス間のトラフィックに適用され

ます。

ESG のアップリンクインターフェイスは、社内共有ネットワークや、アクセスレイヤーネットワークを提供するサ

ービスに対するアクセス権を持つアップリンクポートグループに接続します。

NSX 管理ガイド

VMware, Inc. 86

次のリストは、ESG におけるインターフェイスタイプ（内部およびアップリンク）ごとの機能サポートについて示

したものです。

n DHCP：アップリンクインターフェイスではサポートされません。この箇条書きの後の注を参照してください。

n DNS フォワーダ：アップリンクインターフェイスではサポートされません。

n 高可用性：アップリンクインターフェイスではサポートされません。少なくとも 1 つの内部インターフェイスが

必要です。

n SSL VPN：リスナー IP アドレスがアップリンクインターフェイスに属している必要があります。

n IPsec VPN：ローカルサイトの IP アドレスがアップリンクインターフェイスに属している必要があります。

n L2 VPN：内部ネットワークのみを拡張できます。

注：設計上、DHCP サービスは、NSX Edge の内部インターフェイスでサポートされます。ただし、場合によっ

ては、Edge のアップリンクインターフェイスで DHCP を設定して、内部インターフェイスを設定しないことも可

能です。この場合、Edge はアップリンクインターフェイスで DHCP クライアント要求を待機し、DHCP クライ

アントに IP アドレスを動的に割り当てます。その後、同じ Edge で内部インターフェイスを設定すると、Edge が内部インターフェイスで DHCP クライアント要求の待機を開始するため、DHCP サービスは動作を停止します。

次の図はサンプルのトポロジを示したものです。Edge Services Gateway アップリンクインターフェイスは、

vSphere Distributed Switch を介して物理インフラストラクチャに接続します。Edge Service Gateway 内部インターフェイスは、論理中継スイッチを介して分散論理ルーターに接続します。

NSX 管理ガイド

VMware, Inc. 87

物理アーキテクチャ

172.16.20.10 172.16.10.10

172.16.20.1リンクタイプ：内部



App論理

スイッチ

Web論理

スイッチ

App仮想マシン

Web仮想マシン

192.168.10.2リンクタイプ：アップリンクプロトコルアドレス：192.168.10.3

中継論理

スイッチ

192.168.10.1リンクタイプ：内部

EdgeServicesGateway

192.168.100.3リンクタイプ：アップリンク 192.168.100.1

vSphereDistributed

Switch

ロードバランシング、サイト間 VPN、および NAT サービスに複数の外部 IP アドレスを設定できます。

重要： Cross-vCenter NSX 環境の NSX Edge で高可用性を有効にするには、アクティブとスタンバイの両方の

NSX Edge アプライアンスが同じ vCenter Server 内に配置されている必要があります。NSX Edge 高可用性

(HA) ペアのいずれかのアプライアンスを別の vCenter Server に移行すると、高可用性の 2 台のアプライアンス

がペアとして動作しなくなり、トラフィックの中断が発生する可能性があります。

前提条件

n Enterprise Administrator または NSX Administrator のロールが割り当てられている必要があります。

n Edge Services Gateway (ESG) 仮想アプライアンスの展開に十分なキャパシティがリソースプールにある

ことを確認してください。各アプライアンスサイズで必要なリソースについては、1 章 NSX Data Center for vSphere のシステム要件を参照してください。

NSX 管理ガイド

VMware, Inc. 88

n NSX Edge アプライアンスをインストールするホストクラスタが NSX 用に準備されていることを確認しま

す。『NSX インストールガイド』の「NSX 用ホストクラスタの準備」を参照してください。

n DRS を有効にするかどうかを決定します。高可用性の Edge Services Gateway を作成し、DRS を有効にす

ると、同じホストへのアプライアンスの展開を防ぐために DRS の非アフィニティルールが作成されます。アプ

ライアンスの作成時に DRS が有効でない場合はルールが作成されないため、アプライアンスが同じホストに展

開または移動する可能性があります。

手順

1 vSphere Web Client にログインして、[ホーム (Home)] - [ネットワークとセキュリティ (Networking & Security)] - [NSX Edges] の順に移動します。

2 [追加 (Add)] をクリックし、[Edge Services Gateway] をクリックします。

3 ESG の名前、説明、その他の詳細を入力します。


名前 vCenter Server インベントリに表示される ESG の名前を入力します。

この名前は、1 つのテナント内のすべての ESG で一意にする必要があります。

ホスト名任意。CLI でこの ESG に表示されるホスト名を入力します。

ホスト名を入力しない場合は、自動的に作成される Edge ID が CLI に表示されます。

説明任意。ESG の説明を入力します。

NSX Edge のデプロイ任意。このオプションは、NSX Edge アプライアンス仮想マシンを作成する場合に選択しま

す。

このオプションを選択しない場合、仮想マシンがデプロイされるまで ESG は動作しません。

高可用性任意。このオプションは、ESG で高可用性を有効にして設定する場合に使用します。

n ESG でロードバランサ、NAT、DHCP などのステートフルサービスを実行する必要が

ある場合は、Edge で HA を有効にできます。HA を使用すると、アクティブ Edge で障害が発生したときに、スタンバイ Edge へのフェイルオーバー時間を最小限に抑えるこ

とができます。HA を有効にすると、クラスタ内の別のホストにスタンドアローン Edge が展開されます。そのため、環境内に十分なリソースが確保されている必要があります。

n ESG で実行されているステートフルサービスがなく、ESG を North-South ルーティ

ングにのみ使用している場合は、ECMP を有効にすることをおすすめします。ECMP は動的ルーティングプロトコルを使用して、最終的な宛先へのネクストホップを学習し、

障害発生時に収束します。

ECMP 構成では、複数のパスにトラフィックをロードバランシングし、障害が発生した

パスにフォルトトレランスを提供することで、帯域幅を大幅に増やすことができます。こ

の構成では、データプレーンの停止はトラフィックのサブセットに限定されます。また、

各 ESG で HA を有効にすることで、vSphere HA に依存することなく、より高速にフ

ェイルオーバーを行うことができます。ECMP 構成の場合も、環境内に十分なリソースが

確保されている必要があります。

ネットワークに Edge を展開するときではなく、グローバルルーティングの構成中に

Edge で ECMP を有効にできます。

NSX 管理ガイド

VMware, Inc. 89

4 ESG の CLI 設定と他の設定を指定します。


ユーザー名 Edge CLI にログインに使用するユーザーの名前を入力します。

パスワード 12 文字以上で、次の条件を満たすパスワードを入力します。

n 255 文字以内






パスワードの確認確認のために、パスワードをもう一度入力します。

SSH アクセス任意。Edge への SSH アクセスを有効にします。デフォルトでは、SSH アクセスは無効にな

っています。

SSH アクセスは、トラブルシューティング目的で使用することをおすすめします。

FIPS モード任意。デフォルトでは、FIPS モードは無効です。

FIPS モードを有効にすると、NSX Edge が送受信するセキュアな通信はすべて、FIPS で許

可される暗号化アルゴリズムまたはプロトコルを使用します。

自動ルール生成任意。このオプションはデフォルトで有効です。このオプションを使用すると、ファイアウォ

ールルール、NAT、ルーティング構成が自動的に生成されます。これにより、ロードバラン

シングや VPN などの特定の NSX Edge サービスに対するトラフィックが制御されます。

自動ルール生成を無効にする場合は、これらのルールと設定を手動で追加する必要があります。

自動ルール生成では、データチャネルトラフィックのルールが作成されません。

Edge の制御レベルログ任意。デフォルトでは、ログレベルが「情報」に設定されます。

NSX 管理ガイド

VMware, Inc. 90

5 NSX Edge アプライアンスのデプロイを設定します。

a 環境に合わせてアプライアンスのサイズを選択します。

アプライアンスのサイズ説明

Compact ラボ環境または事前検証 (POC) 環境にのみ適しています。

Large Compact よりも CPU、メモリ、およびディスク容量が多く、さらに多くの同時 SSL VPN-Plus ユーザーをサポートします。

Quad Large 高いスループットと高い接続速度が必要な場合に適しています。

X-Large 百万単位の同時セッションを処理するロードバランサが実装されている環境に適していま

す。

各アプライアンスサイズで必要なリソースについては、1 章 NSX Data Center for vSphere のシステム

要件を参照してください。

b NSX Edge アプライアンスを追加して、仮想マシンの展開で使用するリソースの詳細を指定します。


オプション値

クラスタ/リソースプール管理/Edge

データストア ds-1

ホスト esxmgt-01a.corp.local

リソースの予約システム管理

リソースの予約の詳細については、『NSX 管理ガイド』の「NSX Edge アプライアンスのリソース予約の

管理」を参照してください。

高可用性を有効にした場合は、アプライアンスを 2 台追加できます。1 台のアプライアンスを追加する場

合、NSX Edge はスタンバイアプライアンス用の構成を複製します。高可用性を正しく機能させるには、

両方のアプライアンスを共有データストアに展開する必要があります。

NSX 管理ガイド

VMware, Inc. 91

6 ESG のインターフェイスを設定します。

a 名前、種類、およびその他の基本的なインターフェイスの詳細を指定します。


名前インターフェイスの名前を入力します。

タイプ内部またはアップリンクのいずれかを選択します。高可用性を機能させるには、Edge アプライアンスには 1 つ以上の内部インターフェイスが必要です。

接続先このインターフェイスを接続するポートグループまたは論理スイッチを選択します。

b インターフェイスのサブネットを設定します。


プライマリ IP アドレス ESG では、IPv4 および IPv6 アドレスの両方がサポートされます。1 つのインターフェ

イスには、1 つのプライマリ IP アドレスと複数のセカンダリ IP アドレスを設定できます。

重複していない複数のサブネットを使用することもできます。

インターフェイスに複数の IP アドレスを入力した場合は、プライマリ IP アドレスを選択

できます。

1 つのインターフェイスに使用できるプライマリ IP アドレスは 1 つだけです。Edge は、

リモートの Syslog やオペレータが開始した ping など、ローカルで生成されたトラフィ

ックの送信元アドレスとしてプライマリ IP アドレスを使用します。

セカンダリ IP アドレスセカンダリ IP アドレスを入力します。複数の IP アドレスを入力する場合は、カンマ区切

りのリストを使用します。

サブネットのプリフィックス長インターフェイスのサブネットマスクを入力します。

c インターフェイスに次のオプションを指定します。


MAC アドレス任意。各インターフェイスの MAC アドレスを入力できます。

後で API 呼び出しで MAC アドレスを変更する場合、MAC アドレスの変更後に Edge を再度展開する必要があります。

MTU アップリンクと内部インターフェイスのデフォルト値は 1500 です。トランクインター

フェイスの場合、デフォルト値は 1600 です。必要に応じてデフォルト値を変更できます。

トランクのサブインターフェイスの場合、デフォルト値は 1500 です。トランクインター

フェイスの MTU は、サブインターフェイスの MTU より大きい値にする必要がありま

す。

プロキシ ARP 他の仮想マシンに対する ARP 要求に ESG が応答できるようにする場合は、このオプシ

ョンを選択します。

このオプションは、WAN 接続の両側に同じサブネットがある場合などに便利です。

ICMP リダイレクトの送信このオプションは、ESG を介してホストにルーティング情報を送信する場合に選択しま

す。

リバースパスフィルタこのオプションはデフォルトで有効に設定されています。有効にすると、転送するパケッ

ト内にある送信元アドレスにアクセス可能かを確認します。

有効な場合は、ルーターが戻りパケットの転送に使用するインターフェイスで、パケット

を受信する必要があります。

NSX 管理ガイド

VMware, Inc. 92


Loose モードの場合、送信元アドレスがルーティングテーブルに含まれている必要があ

ります。

フェンスパラメータ複数のフェンスされた環境で IP アドレスと MAC アドレスを再使用する場合は、フェン

スパラメータを設定します。

たとえば、クラウド管理プラットフォーム (CMP) では、フェンスを設定することで、同

じ IP アドレスと MAC アドレスを完全に分離、つまり「フェンス」して、複数のクラウ

ドインスタンスを同時に実行できるようになります。

次の表に、2 つの NSX Edge インターフェイスの例を示します。アップリンクインターフェイスは、

vSphere Distributed Switch 上のアップリンクポートグループを介して ESG を外部に接続します。

内部インターフェイスは、分散論理ルーターが接続されている論理中継スイッチに ESG を接続します。

表 9-2. 例：NSX Edge インターフェイス

vNIC 番号名前 IP アドレス

サブネットのプリフ

ィックス長接続先

0 アップリンク 192.168.100.30 24 Mgmt_VDS-HQ_Uplink

1 内部 192.168.10.1* 29 transit-switch

重要： NSX 6.4.4 以前では、ESG の 1 つのアップリンクインターフェイスでマルチキャストがサポート

されます。NSX 6.4.5 以降では、マルチキャストは ESG の 2 つまでのアップリンクインターフェイスで

サポートされます。マルチ vCenter Server 環境で、NSX Edge がバージョン 6.4.4 以前の場合、マル

チキャストを有効にできるアップリンクインターフェイスは 1 つだけです。2 つのアップリンクインター

フェイスでマルチキャストを有効にするには、Edge を 6.4.5 以降にアップグレードする必要があります。

7 デフォルトゲートウェイの設定を行います。


オプション値

vNIC アップリンク

ゲートウェイ IP アドレス 192.168.100.2

MTU 1500

注： MTU 値は編集可能ですが、インターフェイスに設定されている MTU より大きくすることはできません。

8 デフォルトのファイアウォールポリシーを設定します。

注意：ファイアウォールポリシーを設定しない場合、すべてのトラフィックを拒否するようにデフォルトのポ

リシーが設定されます。ただし、デフォルトでは展開時に ESG でファイアウォールが有効になります。

NSX 管理ガイド

VMware, Inc. 93

9 ESG のログと高可用性パラメータを設定します。

a NSX Edge アプライアンスでのログを有効または無効にします。

すべての新しい NSX Edge アプライアンスでは、デフォルトでログが有効になっています。デフォルトの

ログレベルは「情報」です。ESG 上でローカルにログを保存する場合、ログを有効にすると、ログが大量

に生成されて NSX Edge のパフォーマンスに影響する可能性があります。そのため、リモートの Syslog サーバを設定して、すべてのログを中央のコレクタに転送し、分析と監視を行う必要があります。

b 高可用性を有効にした場合は、次の高可用性パラメータを設定します。


vNIC 高可用性パラメータを設定する内部インターフェイスを選択します。デフォルトでは、高

可用性で内部インターフェイスが自動的に選択され、リンクローカルな IP アドレスが自動

的に割り当てられます。

内部インターフェイスが設定されていない状態でインターフェイスに「任意」を選択した

場合、ユーザーインターフェイスではエラーが表示されます。2 台の Edge アプライアン

スが作成されますが、内部インターフェイスが設定されていないため、新しい NSX Edge はスタンバイのままとなり、高可用性 (HA) は無効になります。内部インターフェイスを

設定すると、NSX Edge アプライアンス上で高可用性が有効になります。

デッドタイムを宣言バックアップアプライアンスがプライマリアプライアンスからハートビート信号を受信

しない場合に、プライマリアプライアンスを非アクティブと見なし、バックアップアプラ

イアンスで引き継ぐまでの最大期間を秒単位で入力します。

デフォルトの間隔は 15 秒です。

管理 IP アドレスオプション: 2 つの管理 IP アドレスを CIDR 形式で入力して、高可用性仮想マシンに割り

当てられたローカルリンク IP アドレスを上書きすることができます。

管理 IP アドレスが他のインターフェイスに使用されている IP アドレスと重複しておら

ず、トラフィックのルーティングを妨げていないことを確認します。ネットワーク上の他

の場所の IP アドレスを使用しないでください。これは、そのネットワークがアプライアン

スに直接接続されていない場合でも同様です。

管理 IP アドレスは、同じ L2/サブネットに存在し、相互に通信可能になっている必要があ

ります。

10 アプライアンスをデプロイする前に、ESG のすべての設定を確認します。

結果

ESG がデプロイされたら、[ホストおよびクラスタ] ビューに移動し、NSX Edge 仮想アプライアンスのコンソール

を開きます。このコンソールから、接続されたインターフェイスに ping を送信できることを確認します。

次のステップ

NSX Edge アプライアンスをインストールすると、vSphere HA がクラスタ上で無効になっている場合は、NSX がホスト上の仮想マシンの自動起動/シャットダウンを有効にします。その後、アプライアンス仮想マシンをクラスタ

内の別のホストに移行すると、新しいホストでは、仮想マシンの自動起動/シャットダウンが有効にならない場合があ

ります。そのため、vSphere HA が無効になっているクラスタに NSX Edge アプライアンスをインストールする

場合は、クラスタ内のすべてのホストをチェックして、仮想マシンの自動起動/シャットダウンが有効になっているこ

とを確認する必要があります。詳細については、『vSphere 仮想マシン管理』の「仮想マシンの起動およびシャット

ダウン設定の編集」を参照してください。

これで、外部デバイスから仮想マシンへの接続を可能にするルーティングを設定できます。

NSX 管理ガイド

VMware, Inc. 94

グローバル設定の指定

スタティックルートに対してデフォルトゲートウェイを設定でき、Edge Services Gateway または分散論理ル

ーターに対して動的ルーティングの詳細を指定できます。

ルーティングを設定するためには、使用できる NSX Edge インスタンスが必要です。NSX Edge のセットアップ

の詳細については、NSX Edge 設定を参照してください。

手順



3 NSX Edge をダブルクリックします。

4 [ルーティング (Routing)] をクリックして、[グローバル設定 (Global Configuration)] をクリックします。

5 Equal-Cost Multi-Path routing (ECMP) を有効にするには、[ECMP] の横にある [開始 (Start)] をクリッ

クします。

ECMP は、単一ターゲットに複数の最適パスを介してネクストホップパケットを転送するルーティング戦略で

す。最適パスは、スタティックルートとして追加できます。また、OSPF や BGP などの動的ルーティングプロトコルによるメトリック計算の結果として追加することもできます。スタティックルートに対して複数のパ

スを追加するには、[スタティックルート] ダイアログボックスで複数のネクストホップをコンマで区切って指

定します。詳細については、スタティックルートの追加を参照してください。

Edge Services Gateway は、Linux ネットワークスタック実装である、ランダム性コンポーネントを使用す

るラウンドロビンアルゴリズムを使用します。特定の送信元と宛先の IP アドレスペアに対してネクストホッ

プが選択されると、選択したネクストホップをルートキャッシュが格納します。そのフローに対するすべての

パケットは、選択したネクストホップに送られます。デフォルト IPv4 ルートキャッシュは、300 秒

(gc_timeout) でタイムアウトします。この間、アクティブでないエントリがあると、ルートキャッシュから削

除される対象になります。実際の削除は、ガベージコレクションタイマーがアクティブになるときに

（gc_interval = 60 秒）行われます。

分散論理ルーターでは、可能な ECMP ネクストホップのリストからネクストホップを特定するために、XOR アルゴリズムが使用されます。このアルゴリズムでは、送信元および宛先 IP アドレスが、エントロピのソース

として送信パケット上で使用されます。

ロードバランシング、VPN、NAT、ESG ファイアウォールなどのステートフルサービスは ECMP で動作し

ません。ただし、NSX 6.1.3 以降では、ECMP と分散ファイアウォールを連動させることができます。

6 （UDLR の場合のみ）：[ルーティング設定 (Routing Configuration)] の横にあるユニバーサル分散論理ルータ

ーの [ロケール ID (Locale ID)] を変更するには、[編集 (Edit)] をクリックします。ロケール ID を入力し、[保存] または [OK] をクリックします。

デフォルトでは、ロケール ID は NSX Manager UUID に設定されています。ただし、ロケール ID をオーバ

ーライドするには、ユニバーサル分散論理ルーターの作成時に Local Egress を有効にします。ロケール ID は、Cross-vCenter NSX または複数サイト環境でルートを選択的に設定するために使用します。詳細につい

ては Cross-vCenter NSX トポロジを参照してください。

NSX 管理ガイド

VMware, Inc. 95

ロケール ID は UUID 形式である必要があります。例：XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX。ここで、各 X は 16 進数字（0 ～ F）で置き換えられます。

7 デフォルトゲートウェイを指定するには、[デフォルトゲートウェイ (Edit)] の横にある [編集 (Default Gateway)] をクリックします。

a ターゲットネットワークに向かってネクストホップに到達するために経由することができるインターフェ

イスを選択します。

b ゲートウェイ IP アドレスを入力します。

c （オプション）ロケール ID を入力します。ロケール ID は、ユニバーサル分散論理ルーター上のみで使用で

きます。

d （オプション） MTU を編集します。

e 要求された場合は、[管理ディスタンス (Admin Distance)] を入力します。

1 ～ 255 の値を選択します。特定のネットワークに対して複数のルートがある場合、アドミニストレーティ

ブディスタンスを使用してどのルートを使用するかを選択します。アドミニストレーティブディスタンス

が低いほど、ルートの優先順位は高くなります。

表 9-3. デフォルトのアドミニストレーティブディスタンス

ルートソースデフォルトのアドミニストレーティブディスタンス

接続済み 0

スタティック 1

外部 BGP 20

OSPF エリア内 30

OSPF エリア間 110

内部 BGP 200

f （オプション）デフォルトゲートウェイの説明を入力します。

g [保存 (Save)] をクリックします。

8 動的なルーティングを設定するには、[動的ルーティング (Edit)] の横にある [編集 (Dynamic Routing Configuration)] をクリックします。

a [ルーター ID (Router ID)] に、動的なルーティングのためにカーネルにルートをプッシュする NSX Edge の最初のアップリンク IP アドレスが表示されます。

b ここではプロトコルを有効にしないでください。

c [ログの有効化 (Enable Logging)] を選択してログ情報を保存し、ログレベルを選択します。

注：使用する環境内に IPSec VPN が設定されている場合、動的なルーティングは使用しないでください。

9 [変更の発行 (Publish Changes)] をクリックします。

NSX 管理ガイド

VMware, Inc. 96

次のステップ

ルーティング設定を削除するには、[リセット (Reset)] をクリックします。これにより、すべてのルーティング（デ

フォルト、固定、OSPF、および BGP の各と、ルート再配分）が削除されます。

NSX Edge 設定

実際に使用できる（つまり、1 つ以上のアプライアンスおよびインターフェイスが追加されていて、デフォルトゲー

トウェイ、ファイアウォールポリシー、高可用性が設定されている）NSX Edge をインストールしたら、NSX Edge サービスの使用を開始できます。

証明書の操作

NSX Edge では、自己署名証明書、認証局 (CA) によって署名された証明書、および CA によって生成および署名

された証明書がサポートされます。

CA 署名証明書の設定

証明書署名リクエスト (CSR) を生成して、証明書に認証局 (CA) の署名を設定できます。グローバルレベルで証明

書署名要求を生成すると、お使いのインベントリ内のすべての NSX Edge で利用できます。

手順

1 次のいずれかを実行します。

n NSX Manager にグローバル証明書署名リクエストを生成します。

1 NSX Manager 仮想アプライアンスにログインします。

2 [アプライアンス設定の管理 (Manage Appliance Settings)] をクリックし、[SSL 証明書 (SSL Certificates)] をクリックします。

3 [CSR の生成 (Generate CSR)] をクリックします。

n NSX Edge の証明書署名リクエストを生成します。


2 [ネットワークとセキュリティ (Networking & Security)] - [NSX Edge (NSX Edges)] の順に移

動します。


4 [管理 (Manage)] - [設定 (Settings)] - [証明書 (Certificates)] の順にクリックします。

5 [CSR (証明書署名リクエスト) のアクション (CSR Actions)] または [アクション (Actions)] をクリ

ックして、[CSR の生成 (Generate CSR)] をクリックします。

2 組織のユニットおよび名前を入力します。

3 組織の国、都道府県、市町村名などを入力します。

4 ホスト間の通信のための暗号化アルゴリズムを選択します。

注目: SSL VPN-Plus がサポートしているのは、RSA 証明書のみです。

NSX 管理ガイド

VMware, Inc. 97

5 必要に応じてデフォルトの鍵のサイズを編集します。

6 証明書の説明を入力します。


証明書署名要求が生成され、証明書のリストに表示されます。

8 オンライン証明書機関にこの証明書署名要求に署名してもらいます。


n NSX Manager 仮想アプライアンスで、グローバルレベルに証明書をインポートします。

1 [アプライアンス設定の管理 (Manage Appliance Settings)] をクリックし、[SSL 証明書 (SSL Certificates)] をクリックします。

2 [インポート (Import)] をクリックします。

3 [SSL 証明書のインポート] ダイアログボックスで [ファイルの選択 (Choose File)] をクリックし、

署名付きの証明書ファイルを選択します。


n NSX Edge の証明書をインポートします。

1 認証局から受信した署名付き証明書の内容をコピーします。

2 vSphere Web Client で、NSX Edge をダブルクリックします。

3 [CSR (証明書署名リクエスト) のアクション (CSR Actions)] または [アクション (Actions)] をクリ

ックして、[証明書のインポート (Import Certificate)] をクリックします。

4 [証明書のインポート] ダイアログボックスで、署名付き証明書の内容を貼り付けます。


認証局 (CA) 署名証明書が証明書リストに表示されます。

CA 証明書の追加

CA 証明書を追加することにより、会社の暫定 CA となることができます。これにより、独自の証明書に署名する権

限が得られます。

手順




4 [管理 (Manage)] - [設定 (Settings)] - [証明書 (Certificates)] の順に移動します。

5 [追加 (Add)] をクリックし、[認証局 (CA) 証明書 (CA Certificate.)] をクリックします。

6 証明書の内容をコピーして、[証明書の内容 (Certificate Contents)] テキストボックスに貼り付けます。

7 認証局 (CA) 証明書の説明を入力します。

NSX 管理ガイド

VMware, Inc. 98

8 [追加 (Add)] または [OK] をクリックします。

これで、独自の証明書に署名できるようになります。

サーバ証明書の追加

サーバ証明書を追加するには、PEM 証明書ファイルの内容とサーバのプライベートキーの内容を貼り付けます。

手順





5 [追加 (Add)] をクリックして、[証明書 (Certificate)] をクリックします。

6 [証明書のコンテンツ (Certificates Contents)] テキストボックスに、PEM 証明書ファイルの内容を貼り付け

ます。

入力するテキストには「-----BEGIN xxx-----」と「-----END xxx-----」を含める必要があります。次はその例

です。

-----BEGIN CERTIFICATE-----

Server cert

-----END CERTIFICATE-----

7 [プライベートキー (Private Key)] テキストボックスに、サーバのプライベートキーの内容を貼り付けます。

プライベートキーの内容は次のようになります。

-----BEGIN RSA PRIVATE KEY-----

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

-----END RSA PRIVATE KEY-----

8 プライベートキーファイルのパスワードを入力します。確認のため、同じパスワードを再度入力します。

9 （オプション）サーバ証明書の説明を入力します。


チェーン証明書の追加

中間認証局 (CA) 証明書とルート CA 証明書をチェーンするサーバー証明書を追加するには、サーバ証明書（PEM ファイル）、サーバのプライベートキー、中間証明書とルート証明書が必要です。

手順




NSX 管理ガイド

VMware, Inc. 99


5 [追加 (Add)] をクリックして、[証明書 (Certificate)] をクリックします。

6 [証明書のコンテンツ (Certificates Contents)] テキストボックスに、サーバの cert.pem ファイルの内容を

貼り付け、中間証明書とルート証明書の内容を追加します。

証明書チェーンでは、証明書の順序を次のようにする必要があります。

n サーバ証明書

n 任意の数の中間 CA 証明書

n ルート CA 証明書

次の例のように、各証明書には -----BEGIN CERTIFICATE----- 行と -----END CERTIFICATE---- 行が含ま

れている必要があります。


Server cert



Intermediate cert



Root cert


7 [プライベートキー (Private Key)] テキストボックスに、サーバのプライベートキーの内容を貼り付けます。





8 サーバのプライベートキーのパスワードを入力します。確認のため、同じパスワードを再度入力します。

9 （オプション）チェーン証明書の説明を入力します。


結果

証明書が追加されると、中間証明書にチェーンされたサーバ証明書が証明書の詳細に表示されます。

証明書の詳細を表示するには:

n NSX 6.4.4 以降では、[証明書] テーブルの [発行先] 列にあるテキストをクリックします。証明書の詳細がポッ

プアップウィンドウに表示されます。

n NSX 6.4.3 以前では、グリッドから証明書を選択します。グリッドの下にある [証明書の詳細] ペインに、証明

書の詳細が表示されます。

NSX 管理ガイド

VMware, Inc. 100

自己署名証明書の設定

自己署名したサーバ証明書の作成、インストールおよび管理が可能です。

前提条件

証明書署名リクエスト (CSR) に署名できる認証局 (CA) が必要です。

手順





5 NSX Edge の証明書署名要求 (CSR) を生成します。詳細については、CA 署名証明書の設定の手順 1 ～ 7 を参照してください。

6 生成した CSR が選択されていることを確認します。

7 [CSR (証明書署名要求) のアクション (CSR Actions)] または [アクション (Actions)] をクリックして、[自己

署名証明書 (Self Sign Certificate)] をクリックします。

8 この自己署名証明書の有効期間を日数で入力します。


クライアント証明書の使用

クライアント証明書が生成された後、この証明書をリモートユーザーに配布できます。ユーザーは各自の Web ブラウザに証明書をインストールできます。

クライアント証明書を実装する主なメリットは、NSX Edge ロードバランサがクライアントにクライアント証明書

を要求し、バックエンドサーバに要求を転送する前に証明書を検証できる点です。クライアントが消失したか、組織

で機能しなくなったためにクライアント証明書が失効すると、NSX Edge はクライアント証明書が証明書失効リス

トにあるかどうかを確認します。

NSX Edge のクライアント証明書は、アプリケーションプロファイルで設定できます。

クライアント証明書の生成の詳細については、シナリオ：SSL クライアントとサーバ認証を参照してください。

証明書失効リストの追加

証明書失効リスト (CRL) は、Microsoft によって提供され署名されたサブスクライバとそのステータスのリストで

す。

リストには次の項目が含まれています。

n 失効した証明書と失効の理由。

n 証明書の発行日。

n 証明書を発行した機関。

n 次のリリースの予定日。

NSX 管理ガイド

VMware, Inc. 101

ある潜在的ユーザーがサーバへのアクセスを試みた場合、サーバは、その特定のユーザーに関する CRL エントリに

基づいてアクセスの許可または拒否を行います。

手順





5 [追加 (Add)] をクリックし、[CRL] をクリックします。

6 [証明書の内容 (Certificate Contents)] テキストボックスにリストを貼り付けます。

7 （オプション）説明を入力します。


FIPS モード

FIPS モードを有効にすると、NSX Edge が送受信するすべてのセキュアな通信は、United States Federal Information Processing Standards (FIPS) で許可された暗号化アルゴリズムまたはプロトコルを使用します。

FIPS モードでは、FIPS に準拠した暗号スイートが有効になります。

FIPS が有効になった Edge で FIPS に準拠していないコンポーネントを設定した場合、または FIPS に準拠してい

ない暗号または認証メカニズムを持つ Edge で FIPS を有効にした場合、NSX Manager の処理は失敗し、有効な

エラーメッセージが表示されます。

FIPS モードと非 FIPS モードの機能の違い

コンポーネント機能 FIPS モード非 FIPS モード

SSL VPN RADIUS 認証使用不可能使用可能

SSL VPN RSA 認証使用不可能使用可能

TLS プロトコル TLSv1.0 使用不可能使用可能

ルーティング OSPF、BGP - パスワード MD5 認証使用不可能使用可能

IPsec VPN PSK 認証使用不可能使用可能

IPsec VPN DH2 および DH5 グループ使用不可能使用可能

IPsec VPN DH14、DH15、および DH16 グループ使用可能使用可能

IPsec VPN AES-GCM アルゴリズム使用不可能使用可能

NSX Edge での FIPS モードの変更

FIPS モードを有効にすると、FIPS に準拠した暗号スイートが有効になります。したがって、NSX Edge が送受信

するすべてのセキュアな通信には、FIPS で許可された暗号化アルゴリズムまたはプロトコルが使用されます。

注意： FIPS モードを変更すると、NSX Edge アプライアンスが再起動され、トラフィックが一時的に中断されま

す。これは、高可用性が有効になっているかどうかに関係なく適用されます。

NSX 管理ガイド

VMware, Inc. 102

要件に応じて、FIPS を一部またはすべての NSX Edge アプライアンスで有効にすることができます。FIPS が有効

な NSX Edge アプライアンスは、FIPS が有効でない NSX Edge アプライアンスと通信できます。

分散論理ルーターが NSX Edge アプライアンスなしで展開されている場合、FIPS モードを変更することはできま

せん。分散論理ルーターは、NSX Controller クラスタと同じ FIPS モードを自動的に取得します。NSX Controller クラスタが NSX 6.3.0 以降の場合、FIPS は有効となります。

プライマリおよびセカンダリ NSX Manager に複数の NSX Edge アプライアンスを展開している Cross-vCenter NSX 環境で、ユニバーサル分散論理ルーターの FIPS モードを変更するには、プライマリ NSX Manager で、ユニバーサル分散論理ルーターに関連付けられているすべての NSX Edge アプライアンスで FIPS モードを変

更する必要があります。

高可用性が有効な NSX Edge アプライアンスで FIPS モードを変更する場合、FIPS は両方のアプライアンスで有

効になり、アプライアンスは次々に再起動されます。

スタンドアローン Edge の FIPS モードを変更する場合、fips enable コマンドまたは fips disable コマン

ドを使用します。詳細については、『NSX コマンドラインインターフェイスリファレンス』を参照してください。

前提条件

n パートナーソリューションが FIPS モード認定であることを確認します。http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security にある『VMware 互換性ガイド』を


n NSX の前のバージョンからアップグレードした場合、NSX 6.3.0 へのアップグレードが完了するまで FIPS モードを有効にしないでください。『NSX アップグレードガイド』の「FIPS モードと NSX アップグレードにつ

いて」を参照してください。

n NSX Manager が NSX 6.3.0 以降であることを確認します。

n NSX Controller クラスタが NSX 6.3.0 以降であることを確認します。

n NSX ワークロードを実行しているすべてのホストクラスタに NSX 6.3.0 以降が準備されていることを確認し

ます。

n FIPS を有効にするすべての NSX Edge アプライアンスがバージョン 6.3.0 以降であることを確認します。

n メッセージングインフラストラクチャのステータスが GREEN であることを確認します。API メソッド

GET /api/2.0/nwfabric/status?resource={resourceId} を使用します。ここでは、resourceId はホストまたはクラスタの vCenter Server 管理オブジェクト ID です。応答本文の

com.vmware.vshield.vsm.messagingInfra の featureId に対応する status を確認します。

<nwFabricFeatureStatus>

<featureId>com.vmware.vshield.vsm.messagingInfra</featureId>

<updateAvailable>false</updateAvailable>

<status>GREEN</status>

<installed>true</installed>

<enabled>true</enabled>

<allowConfiguration>false</allowConfiguration>

</nwFabricFeatureStatus>

NSX 管理ガイド

VMware, Inc. 103



手順



3 必要な Edge またはルーターを選択して、[アクション (Actions) ( )] をクリックし、[FIPS モードの変更

(Change FIPS mode)] を選択します。

[FIPS モードの変更 (Change FIPS mode)]ダイアログボックスが表示されます。

4 [FIPS の有効化 (Enable FIPS)] チェックボックスをオンまたはオフにします。[OK] をクリックします。

NSX Edge が再起動し、FIPS モードが有効になります。

次のステップ

オプションで、NSX Manager での FIPS モードと TLS 設定の変更を行います。

NSX Edge アプライアンスの管理

NSX Edge アプライアンスは、追加、編集、または削除できます。NSX Edge インスタンスは、少なくとも 1 台の

アプライアンスが追加されるまで、オフラインのままになります。

Edge アプライアンスの追加

NSX Edge をデプロイする前に、少なくとも 1 台のアプライアンスを追加する必要があります。

手順




NSX 管理ガイド

VMware, Inc. 104

4 NSX Edge アプライアンスに移動します。

バージョン手順

NSX 6.4.4 以降 a [管理 (Manage)] - [設定 (Settings)] - [アプライアンスの設定 (Appliance Settings)]。

b [Edge アプライアンス仮想マシン] セクションに移動します。

NSX 6.4.3 以前 a [管理 (Manage)] - [設定 (Settings)] - [設定 (Configuration)] の順にクリックしま

す。

b [NSX Edge アプライアンス (NSX Edge Appliances)] ペインに移動します。

5 [Edge アプライアンスの仮想マシンを追加 (Add Edge Appliance VM)] または [追加 (Add)]（）アイコ

ンをクリックします。

6 そのアプライアンスのクラスタまたはリソースプール、およびデータストアを選択します。

7 （オプション）アプライアンスを追加するインターフェイスを選択します。

8 （オプション）アプライアンスを追加する vCenter Server フォルダを選択します。


結果

n NSX 6.4.4 以降では、[Edge アプライアンス仮想マシン (Edge Appliance VMs)] セクションに NSX Edge アプライアンスの詳細がカードビューで表示されます。1 つのカードに、1 台の Edge アプライアンス仮

想マシンの設定が表示されます。

n NSX 6.4.3 以前では、[NSX Edge アプライアンス] ペインに NSX Edge アプライアンスの詳細がグリッド形

式で表示されます。

Edge アプライアンスの編集

NSX Edge アプライアンスを編集できます。

手順









す。


NSX 管理ガイド

VMware, Inc. 105

5 NSX Edge アプライアンス設定を編集します。


NSX 6.4.4 以降 a [Edge アプライアンスの仮想マシン] セクションで、編集する Edge アプライアンスの

仮想マシンに移動します。

b をクリックして、[編集 (Edit)] をクリックします。

c 必要な変更を行い、[保存 (Save)] をクリックします。

NSX 6.4.3 以前a 編集するアプライアンスを選択して、[編集 (Edit)] （）アイコンをクリックします。

b 必要な変更を行い、[OK] をクリックします。

Edge アプライアンスの削除

NSX Edge アプライアンスを削除できます。

手順









す。


5 NSX Edge アプライアンスを削除します。

u NSX 6.4.4 以降では、NSX Edge アプライアンスに移動し、をクリックして [削除 (Delete)] をクリ

ックします。

u NSX 6.4.3 以前では、グリッドから NSX Edge アプライアンスを選択して、[削除 (Delete)]（）ア

イコンをクリックします。

NSX Edge アプライアンスのリソース予約の管理

NSX Data Center for vSphere は、vSphere リソース割り当てを使用して、NSX Edge アプライアンスのリソ

ースを予約します。NSX Edge の CPU とメモリリソースを予約することで、アプライアンスの正常な動作に必要

なリソースを確保できます。

NSX 管理ガイド

VMware, Inc. 106

リソースの予約方法には、[システム管理]、[カスタム]、[予約なし] の 3 つがあります。

重要： NSX 6.4.3 以前を使用している場合、NSX Edge アプライアンスの予約で [カスタム] または [予約しな

い] を選択した場合、[システム管理] に切り替えることはできません。

システム管理

[システム管理] を選択すると、新しい NSX Edge アプライアンスの CPU とメモリリソースがシステムによって予

約されます。アプライアンスサイズのシステム要件を満たすリソースが予約され、調整設定 API を使用して指定さ

れる割合で調整されます。

NSX Edge インスタンスをインストール、アップグレードまたは再展開すると、関連付けられた NSX Edge アプ

ライアンスが展開されます。アプライアンスのリソース予約が [システム管理] に設定されている場合、アプライアン

スがパワーオンされた後にリソースプールに予約が適用されます。リソースが不足している場合は、予約に失敗しシ

ステムイベントが生成されますが、アプライアンスの展開には成功します。アップグレードまたは再展開でアプライ

アンスが次に展開されるときに予約が試行されます。

リソース予約が [システム管理] の場合、アプライアンスのサイズを変更すると、新しいアプライアンスサイズのシ

ステム要件に合わせてリソース予約が更新されます。

カスタム

[カスタム] を選択した場合は、NSX Edge アプライアンスのリソース予約を自分で決める必要があります。

NSX Edge をインストール、アップグレードまたは再展開すると、関連付けられた NSX Edge アプライアンスが

展開されます。アプライアンスのリソース予約が [カスタム] に設定されている場合、アプライアンスがパワーオンさ

れる前にリソースプールに予約が適用されます。リソースが不足している場合、アプライアンスはパワーオンに失敗

し、アプライアンスの展開が失敗します。

既存の NSX Edge アプライアンスに [カスタム] 予約を適用できます。リソースプールに十分なリソースがない場

合、設定の変更は失敗します。

リソース予約に [カスタム] を設定した場合、アプライアンスのリソース予約はシステムによって管理されません。ア

プライアンスのサイズを変更すると、アプライアンスのシステム要件は変更されますが、リソース予約は更新されま

せん。新しいアプライアンスサイズのシステム要件を反映するように、リソース予約を変更する必要があります。

予約なし

[予約なし] を選択すると、NSX Edge アプライアンスにリソースは予約されません。リソースが不足しているホス

トにも NSX Edge アプライアンスを展開できますが、リソースの競合がある場合は、アプライアンスが正しく動作

しない可能性があります。

NSX Edge アプライアンスのリソース予約の設定

リソースの予約は、NSX Edge アプライアンスの作成時に設定します。既存の NSX Edge アプライアンスの予約

を更新することもできます。これらのタスクには、vSphere Web Client または API を使用できます。API の使

用方法の詳細については、『NSX API ガイド』を参照してください。

NSX 管理ガイド

VMware, Inc. 107

操作 vSphere Web Client API

新しい NSX Edge を作成する [ネットワークとセキュリティ] - [NSX Edge] の順に移動して [追加] をクリックし

ます。ウィザードに従って、NSX Edge を作

成します。[デプロイの設定] ステップで、

NSX Edge アプライアンスを追加できます。

予約方法は、[リソース予約] ドロップダウン

メニューから選択します。

POST /api/4.0/edges を使用する

既存の NSX Edge を更新する [ネットワークとセキュリティ] - [NSX Edge] - [NSX Edge インスタンス] - [管理] - [設定] の順に移動し、アプライアンス仮

想マシンを編集して、[リソース予約] に別の値

を選択します。

PUT /api/4.0/edges/{edgeId}/

appliances を使用する

cpuReservation > reservation と memoryReservation > reservation パラメータを使用して、API を使用す

るように NSX Edge アプライアンスのリソース予約を設定します。

リソース予約方法予約パラメータの値

[システム管理] cpuReservation > reservation と memoryReservation > reservation の値を指定しないでください。

[カスタム] cpuReservation > reservation と memoryReservation > reservation に必要な値を指定します。

[予約しない] cpuReservation > reservation と memoryReservation > reservation を 0 に設定します。

NSX Edge アプライアンスのシステム要件は、アプライアンスのサイズ（Compact、Large、Quad Large、X-Large）によって異なります。これらの値は、デフォルトの [システム管理] のリソース予約で使用されます。

アプライアンスのサイズ CPU 予約メモリの予約

Compact 1000 MHz 512 MB

Large 2000 MHz 1 GB

Quad Large 4000 MHz 2 GB

X-Large 6000 MHz 8 GB

調整設定によるシステム管理のリソース予約の変更

リソースが不足している場合、[システム管理] のリソース予約を一時的に無効にするか、デフォルト値を小さくする

ことができます。予約の割合を変更するには、調整設定 API PUT /api/4.0/edgePublish/tuningConfiguration の edgeVCpuReservationPercentage と edgeMemoryReservationPercentage パラメータに値を設定します。両

方のパラメータのデフォルト値は 100 です。この変更は、新しい NSX Edge アプライアンスの展開に適用されます

が、既存のアプライアンスに影響しません。指定した割合により、関連する NSX Edge アプライアンスサイズにデ

フォルトで予約される CPU とメモリが変更されます。リソース予約を無効にするには、値を 0 に設定します。詳細

については、『NSX API ガイド』を参照してください。

NSX 管理ガイド

VMware, Inc. 108

リソース予約方法を [カスタム] または [予約しない] から [システム管理] に変更する

NSX 6.4.3 以前を使用している場合、NSX Edge アプライアンスの予約で [カスタム] または [予約しない] を選択

した場合、予約を [システム管理] に切り替えることはできません。

NSX 6.4.4 以降では、API POST /api/4.0/edges/{edgeId}/appliances?action=applySystemResourceReservation を使用すると、予約を [システム管理] に切り替えることができます。

詳細については、『NSX API ガイド』を参照してください。

NSX 6.4.6 以降では、vSphere Web Client を使用して、NSX Edge アプライアンス仮想マシンを編集し、予約

を [システム管理] に戻すことができます。

インターフェイスの操作

NSX Edge サービスゲートウェイには、最大 10 個の内部インターフェイス、アップリンクインターフェイス、ま

たはトランクインターフェイスを指定できます。NSX Edge ルーターには、8 個のアップリンクインターフェイス

と、最大 1,000 個の内部インターフェイスを指定できます。

NSX Edge をデプロイできるようにするには、内部インターフェイスが少なくとも 1 つ必要です。

インターフェイスの設定

一般に、内部インターフェイスは East-West トラフィック用であり、アップリンクインターフェイスは North-South トラフィック用です。

NSX Edge サービスゲートウェイ (ESG) には、最大 10 個の内部インターフェイス、アップリンクインターフェ

イス、またはトランクインターフェイスを指定できます。この制限は NSX Manager によって適用されます。分散

論理ルーター (DLR) を Edge Services Gateway (ESG) に接続する場合、ルーターのインターフェイスがアップ

リンクインターフェイスになり、ESG のインターフェイスが内部インターフェイスになります。NSX トランクインターフェイスは内部ネットワーク用であり、外部ネットワーク用ではありません。トランクインターフェイスを使

用すると、複数の内部ネットワーク（VLAN または VXLAN のどちらか）のトランキングができます。

NSX Data Center デプロイでは、1 台の ESXi ホスト上に最大 1,000 個の分散論理ルーター (DLR) インスタンス

を持つことができます。1 つの分散論理ルーターには、最大 8 個のアップリンクインターフェイスと最大 991 個の

内部インターフェイスを設定できます。この制限は NSX Manager によって適用されます。NSX Data Center 環境でのインターフェイスのスケーリングについては、https://communities.vmware.com/docs/DOC-27683 にある『NSX Network Virtualization Design Guide 』を参照してください。

注： NSX Data Center for vSphere 6.2.x、6.3.x および 6.4.x の NSX ESG インターフェイスでは、IPv6 マルチキャストアドレスはサポートされていません。

手順




4 [管理 (Manage)] - [設定 (Settings)] - [インターフェイス (Interfaces)] の順にクリックして、NSX Edge インターフェイスの設定に移動します。

NSX 管理ガイド

VMware, Inc. 109



5 インターフェイスを選択して、[編集 (Edit)]（または）アイコンをクリックします。

6 [Edge インターフェイスの編集] ダイアログボックスで、インターフェイスの名前を入力します。

7 このインターフェイスが内部か外部（アップリンク）かを指定するには、[内部 (Internal)] または [アップリン

ク (Uplink)] をクリックします。

サブインターフェイスを作成する場合は、[トランク (Trunk)] を選択します。詳細については、サブインター

フェイスの追加を参照してください。

8 このインターフェイスを接続するポートグループまたは論理スイッチを選択します。

a [接続先 (Connected To)] テキストボックスの横にあるまたは [変更 (Change)] をクリックします。

b インターフェイスに接続する対象に応じて、[論理スイッチ (Logical Switch)]、[標準ポートグループ

(Standard Port Group)] または [分散仮想ポートグループ (Distributed Virtual Port Group)] タブ

をクリックします。

c 適切な論理スイッチまたはポートグループを選択して、[OK] をクリックします。

9 インターフェイスの接続ステータスを選択します。

10 [サブネットの構成 (Configure Subnets)] で、[追加 (Add)] アイコンをクリックし、インターフェイスのサ

ブネットを追加します。

1 つのインターフェイスには、重複しないサブネットを複数設定できます。1 つのプライマリ IP アドレスを入力

し、複数のセカンダリ IP アドレスをカンマ区切りで入力します。NSX Edge は、プライマリ IP アドレスをロ

ーカルで生成されたトラフィックの送信元のアドレスとして認識します。機能の設定を行う前に、インターフェ

イスに IP アドレスを追加する必要があります。

11 インターフェイスのサブネットプリフィックス長またはサブネットマスクを入力します。

12 NSX 6.4.4 以降を使用している場合は、[詳細 (Advanced)] タブをクリックして、この手順の残りの操作を行

います。NSX 6.4.3 以前を使用している場合は、次の手順に進みます。

13 必要に応じてデフォルトの MTU を変更します。

14 [オプション (Options)] で、次のオプションを指定します。


プロキシ ARP 異なるインターフェイス間での重複ネットワーク転送をサポートします。

ICMP リダイレクトの送信ルーティング情報を各ホストに伝達します。

リバースパスフィルタ転送するパケット内にある送信元のアドレスの到達可能性を確認します。有効な場合は、ルー

ターが戻りパケットの転送に使用するインターフェイスで、パケットを受信する必要がありま

す。Loose モードの場合、送信元アドレスがルーティングテーブルに含まれている必要があ

ります。

15 フェンスパラメータを入力します。

複数のフェンスされた環境で IP アドレスと MAC アドレスを再使用する場合は、フェンスパラメータを設定し

ます。たとえば、クラウド管理プラットフォーム (CMP) では、フェンスを設定することで、同じ IP アドレスと

MAC アドレスを完全に分離、つまり「フェンス」して、複数のクラウドインスタンスを同時に実行できるよう

になります。

NSX 管理ガイド

VMware, Inc. 110


インターフェイスの削除

NSX Edge インターフェイスを削除できます。

手順





5 削除するインターフェイスを選択します。

6 [削除 (Delete)]（または）アイコンをクリックします。

インターフェイスを有効にする

インターフェイス（ポートグループまたは論理スイッチ）内の仮想マシンを隔離するには、NSX Edge に対してそ

のインターフェイスを有効にするか、ステータスが接続状態になっている必要があります。

手順





5 接続するインターフェイスを選択します。

6 [接続 (Connect)]（または）アイコンをクリックします。

インターフェイスを無効にする

NSX Edge のインターフェイスを無効にしたり、切断することができます。

手順





5 無効または切断するインターフェイスを選択します。

NSX 管理ガイド

VMware, Inc. 111

6 [切断 (Disconnect)]（または）アイコンをクリックします。

トラフィックシェーピングポリシーの変更

vSphere Distributed Switch で NSX Edge インターフェイスのトラフィックシェーピングポリシーを変更で

きます。

注： NSX Data Center 6.4.4 以降では、ユーザーインターフェイスの一部の機能の用語が変更されました。次

の表に、変更後の用語を示します。

表 9-4. 変更後の用語

NSX 6.4.3 以前 NSX 6.4.4 以降

トラフィックシェーピングポリシーサービス品質 (QoS)

入力シェーピングポリシー入力側シェーピングポリシー

出力シェーピングポリシー出力側（Egress) シェーピングポリシー

手順





5 サービス品質を設定するインターフェイスを選択します。


n NSX 6.4.4 では、[QoS を設定 (Configure QoS)] をクリックします。

n NSX 6.4.3 以前では、[アクション (Actions)] - [トラフィックシェーピングポリシーの設定

(Configure Traffic Shaping Policy)] の順にクリックします。

7 適切に変更します。

トラフィックシェーピングポリシーのオプションについては、トラフィックシェーピングポリシーを参照して

ください。


サブインターフェイスの追加

トランク vNIC にサブインターフェイスを追加し、このサブインターフェイスをさまざまな NSX Edge サービスで

使用できます。

NSX 管理ガイド

VMware, Inc. 112

https://docs.vmware.com/jp/VMware-vSphere/6.7/com.vmware.vsphere.networking.doc/GUID-D3A091C0-0D0D-480D-ACE3-62524E2E0D0A.html

サブインターフェイス

1サブインターフェイス

2

Edge

サブインターフェイス

3

vNic 0 vNic 10

トランクインターフェイスには、次のようなタイプがあります。

n VLAN トランクは標準的なタイプで、どのバージョンの ESXi でも機能します。この種類のインターフェイス

は、タグ付き VLAN トラフィックを Edge に送信するために使用されます。

n VXLAN トランクは、NSX バージョン 6.1 以降で機能します。この種類のインターフェイスは、VXLAN トラ

フィックを Edge に送信するために使用されます。

次の Edge サービスはサブインターフェイスを使用できます。

n DHCP

n ルーティング（BGP と OSPF）

n ロードバランサ

n IPsec VPN： IPsec VPN は、アップリンクインターフェイスとしてのみ設定できます。プライベートトラフ

ィックが IPsec トンネルを経由するように設定する場合は、サブインターフェイスを使用します。プライベー

トトラフィックに IPsec ポリシーを設定している場合、サブインターフェイスはプライベートローカルサブ

ネットのゲートウェイとして機能します。

n L2 VPN

n NAT

。サブインターフェイスは、高可用性 (HA) または論理ファイアウォールでは使用できません。ただし、Edge ファ

イアウォールルールでサブインターフェイスの IP アドレスを使用することはできます。

手順





5 インターフェイスを選択して、[編集 (Edit)]（または）アイコンをクリックします。

6 [Edge インターフェイスの編集] ダイアログボックスで、インターフェイスの名前を入力します。

NSX 管理ガイド

VMware, Inc. 113

7 [タイプ] で、[トランク (Trunk)] を選択します。

8 このインターフェイスを接続する標準ポートグループまたは分散ポートグループを選択します。

a [接続先 (Connected To)] テキストボックスの横にあるまたは [変更 (Change)] をクリックします。

b インターフェイスに接続する対象に応じて、[標準ポートグループ (Standard Port Group)] または [分散

ポートグループ (Distributed Port Group)] タブをクリックします。

c 適切なポートグループを選択し、[OK] をクリックします。

9 インターフェイスの接続ステータスを選択します。

10 [サブインターフェイス] で、[追加 (Add)] をクリックします。

11 サブインターフェイスが有効になっていることを確認して、サブインターフェイスの名前を入力します。

12 トンネル ID に 1 ～ 4094 の数字を入力します。

トンネル ID は、ストレッチネットワークに接続するために使用されます。この値はクライアントサイトとサー

バサイトの両方で同じにする必要があります。

13 [バッキングタイプ] で、次のいずれかのオプションを選択して、サブインターフェイスのネットワークバッキ

ングを指定します。


VLAN サブインターフェイスで使用する仮想 LAN の VLAN ID を入力します。VLAN ID の範囲

は 0 ～ 4094 です。

ネットワーク分散ポートグループまたは論理スイッチを選択します。NSX Manager が VLAN ID を抽

出し、トランクの設定に使用します。

なしこのオプションは、ネットワークまたは VLAN ID を指定せずにサブインターフェイスを作

成する場合に使用します。このサブインターフェイスは、NSX Edge の内部にあり、ストレ

ッチネットワークと非ストレッチ（タグなし）ネットワーク間でパケットをルーティングする

ために使用されます。

14 [サブネットの設定] で [追加 (Add)] をクリックして、サブネットをサブインターフェイスに追加します。

15 IP アドレスを入力します。

1 つのインターフェイスには、重複しないサブネットを複数設定できます。1 つのプライマリ IP アドレスを入力

し、複数のセカンダリ IP アドレスをカンマ区切りで入力します。NSX Edge は、プライマリ IP アドレスをロ

ーカルで生成されたトラフィックの送信元のアドレスとして認識します。機能の設定を行う前に、インターフェ

イスに IP アドレスを追加する必要があります。

16 サブネットプリフィックス長を入力します。

17 必要に応じてサブインターフェイスのデフォルトの MTU 値を編集します。

サブインターフェイスのデフォルトの MTU は 1500 です。サブインターフェイスの MTU は、NSX Edge のすべてのトランクインターフェイスの中で最も小さい MTU 値以下にする必要があります。

18 [リダイレクトを送信 (Send Redirect)] オプションを有効にして、ルーティング情報をホストに伝達します。

NSX 管理ガイド

VMware, Inc. 114

19 [リバースパスフィルタ (Reverse Path Filter)] オプションを有効または無効にします。

リバースパスフィルタは、転送するパケット内にある送信元アドレスにアクセス可能かを確認します。有効な

場合は、ルーターが戻りパケットの転送に使用するインターフェイスで、パケットを受信する必要があります。

Loose モードの場合、送信元アドレスがルーティングテーブルに含まれている必要があります。

20 トランクインターフェイスの設定に戻すには、[OK] をクリックします。

21 NSX Data Center 6.4.4 以降を使用している場合は、[詳細 (Advanced)] タブをクリックして、この手順の

残りの操作を行います。

22 必要に応じて、インターフェイスの MAC アドレスを入力します。ESG で高可用性が有効になっている場合は、

2 つの MAC アドレスを入力します。

必要でない場合、MAC アドレスは自動生成されます。

23 必要に応じてトランクインターフェイスのデフォルトの MTU を編集します。

トランクインターフェイスのデフォルトの MTU は 1600 で、サブインターフェイスのデフォルトの MTU は

1500 です。トランクインターフェイスの MTU は、サブインターフェイスの MTU 以上の値にする必要があ

ります。


結果

これで、Edge サービスにサブインターフェイスを使用できます。

次のステップ

標準ポートグループでバッキングされているトランク vNIC にサブインターフェイスが追加される場合、VLAN トランクを設定します。VLAN トランクの設定を参照してください。

VLAN トランクの設定

分散ポートグループに接続されている Edge のトランク vNIC にサブインターフェイスを追加する場合は、VLAN トランクと VXLAN トランクの両方がサポートされます。標準ポートグループに接続されている Edge のトランク

vNIC にサブインターフェイスを追加する場合は、VLAN トランクのみがサポートされます。

前提条件

標準ポートグループでバッキングされているトランク vNIC のサブインターフェイスが使用できることを確認しま

す。サブインターフェイスの追加を参照してください。

手順


2 [ネットワーク (Networking)] をクリックします。

3 標準ポートグループを選択して、[設定の編集 (Edit Settings)] をクリックします。

4 [VLAN] タブをクリックします。

5 [VLAN タイプ] で、[VLAN トランク] を選択し、トランキングする VLAN ID を入力します。

NSX 管理ガイド

VMware, Inc. 115


自動ルール設定の変更

自動ルール生成が有効になっている場合、NSX Edge は、ファイアウォール、NAT、およびルーティングのルート

を追加して、これらのサービスで送信される制御トラフィックを有効にします。自動ルール生成が有効になっていな

い場合、ファイアウォール、NAT、およびルーティングの設定を手動で追加して、ロードバランシングや VPN などの NSX Edge サービスの制御チャネルトラフィックを許可する必要があります。

手順



3 NSX Edge を選択します。

4 [アクション (Actions)] - [自動ルール設定の変更 (Change Auto Rule Configuration)] の順にクリックし

ます。

5 必要な変更を行い、[OK] をクリックします。

CLI 認証情報の変更

NSX Edge コマンドラインインターフェイス（CLI）へのログインで使用する認証情報を編集できます。

手順



3 NSX Edge を選択します。

4 [アクション (Actions)] - [CLI 認証情報の変更 (Change CLI Credentials)] の順にクリックします。

5 新しいパスワードを入力して確認し、[OK] をクリックします。

高可用性について

高可用性 (HA) は、ハードウェアまたはソフトウェアに障害が発生して 1 台のアプライアンスが利用できなくなった

場合でも、別の NSX Edge アプライアンスでサービスを提供できるようにするものです。NSX Edge の高可用性

ではダウンタイムはゼロではありませんが、フェイルオーバーによるダウンタイムが最小に抑制されます。アプライ

アンス間でフェイルオーバーを行う場合、一部のサービスの再起動が必要になる場合があります。

たとえば、NSX Edge の高可用性 (HA) は、ステートフルファイアウォールの接続の追跡情報、またはロードバラ

ンサが保持するステートフル情報を同期します。すべてのサービスのバックアップを起動するには、多少の時間がか

かります。たとえば、NSX Edge がルーターとして動作している場合、サービスの再起動によって動的なルーティ

ングにダウンタイムが生じます。

NSX 管理ガイド

VMware, Inc. 116

2 台の NSX Edge 高可用性アプライアンスが他方と通信できなくなった場合、それぞれが単独でアクティブになる

ことがあります。この動作は、スタンバイの NSX Edge が利用できない場合に、アクティブの NSX Edge でサー

ビスを継続して提供できるようにするものです。他方のアプライアンスが利用可能で、通信が再度確立された場合は、

2 台の NSX Edge 間でアクティブとスタンバイの状態を再度ネゴシエートします。ネゴシエートが終了せず、両方

のアプライアンスがアクティブであると宣言した場合、予期しない動作が発生します。この状態はスプリットブレイ

ンと呼ばれ、次のような環境で発生します。

n ネットワークのパーティショニングなど、物理ネットワークの接続に問題がある

n NSX Edge で CPU またはメモリの競合が発生している

n ストレージに一時的な問題が発生し、1 台以上の NSX Edge 高可用性仮想マシンが利用できない

たとえば、オーバープロビジョニング状態のストレージから仮想マシンを移動すると、NSX Edge 高可用性の

安定性とパフォーマンスが改善します。特に、夜間の大規模バックアップでストレージの遅延が急増すると、

NSX Edge 高可用性の安定性に影響します。

n 物理または仮想ネットワークアダプタで、パケットの交換に関する輻輳が発生している

環境の問題に加えて、高可用性構成エンジンの状態が不良になった場合や、高可用性デーモンが失敗した場合にも、

スプリットブレイン状態になることがあります。

ステートフルな高可用性

プライマリ NSX Edge アプライアンスがアクティブの状態になり、セカンダリアプライアンスがスタンバイの状態

になります。NSX Manager は、プライマリアプライアンスの設定をスタンバイアプライアンスにレプリケートし

ます。または、手動で 2 台のアプライアンスを追加することもできます。プライマリアプライアンスとセカンダリ

アプライアンスをそれぞれ異なるリソースプールとデータストアに作成します。プライマリアプライアンスとセカ

ンダリアプライアンスを同じデータストアに作成する場合は、高可用性 (HA) 構成の対となる 2 台のアプライアン

スを異なる ESXi ホストに展開します。そのため、クラスタ内のすべてのホストはこのデータストアを共有しなけれ

ばなりません。データストアがローカルストレージの場合は、両方の仮想マシンを同じホストに展開します。

すべての NSX Edge サービスは、アクティブなアプライアンス上で動作します。プライマリアプライアンスは、ス

タンバイアプライアンスとのハートビートを維持し、内部インターフェイスを通じてサービスのアップデートを送信

します。

一定時間内（デフォルトは 15 秒）にプライマリアプライアンスからハートビートが受信されない場合、プライマリ

アプライアンスが応答不能になったと判断されます。スタンバイアプライアンスがアクティブ状態となり、プライマ

リアプライアンスのインターフェイス設定を引き継いで、プライマリアプライアンスで実行されていた NSX Edge サービスを起動します。切り替えが行われると、設定およびレポートの [システムイベント (System Events)] タブにシステムイベントが表示されます。ロードバランサおよび VPN サービスでは、NSX Edge との TCP 接続

を再確立する必要があるため、サービスが短時間中断されます。論理スイッチ接続とファイアウォールセッション

は、プライマリアプライアンスとセカンダリアプライアンス間で同期されますが、スタンバイアプライアンスがア

クティブに切り替わり、動作が引き継がれるまでサービスは中断します。

NSX Edge アプライアンスに障害が発生して、不良な状態がレポートされると、復旧のため、高可用性によって障

害が発生したアプライアンスが強制的に同期されます。アプライアンスが復旧すると、アクティブ状態のアプライア

ンスの設定を受け継ぎ、スタンバイ状態になります。NSX Edge アプライアンスが応答不能の場合、このアプライ

アンスを削除し、新しいアプライアンスを追加する必要があります。

NSX 管理ガイド

VMware, Inc. 117

NSX Edge は、DRS および vMotion を使用した後であっても、2 台の高可用性 (HA) NSX Edge 仮想マシンを

同じ ESXi ホスト上に配置しないようにします（vMotion を使用して手動で同じホストに配置した場合を除く）。2 台の仮想マシンは、構成したアプライアンスと同じリソースプールおよびデータストアにある vCenter Server にデプロイされます。NSX Edge の高可用性で使用する高可用性仮想マシンにはローカルリンク IP アドレスが割り

当てられるため、それらの仮想マシン同士は通信できます。管理 IP アドレスを指定してローカルリンクをオーバー

ライドすることができます。

Syslog サーバが構成されている場合は、アクティブなアプライアンスのログが Syslog サーバに送信されます。

Cross-vCenter NSX 環境での高可用性

Cross-vCenter NSX 環境の NSX Edge で高可用性を有効にするには、アクティブとスタンバイの両方の NSX Edge アプライアンスが同じ vCenter Server 内に配置されている必要があります。NSX Edge 高可用性 (HA) ペアのいずれかのアプライアンスを別の vCenter Server に移行すると、高可用性の 2 台のアプライアンスがペア

として動作しなくなり、トラフィックの中断が発生する可能性があります。

vSphere High Availability

NSX Edge の高可用性は、vSphere HA と互換性があります。NSX Edge インスタンスが動作しているホストの

応答がない場合、NSX Edge がスタンバイホスト上で再起動され、 2 台の仮想マシンを NSX Edge 高可用性

(HA) 構成にして、以降のフェイルオーバーに対応できるようにします。

vSphere HA が有効でない場合でも、アクティブ/スタンバイの NSX Edge 高可用性構成ホストであれば、1 回の

フェイルオーバーは問題なく機能します。ただし、障害が発生した仮想マシンがリストアされる前に別のフェイルオ

ーバーが発生した場合は、NSX Edge の可用性が失われる可能性があります。

vSphere HA の詳細については、『vSphere の可用性』を参照してください。

高可用性設定の変更

NSX Edge のインストール時に指定した高可用性設定を変更できます。

注： NSX 6.2.3 以降、高可用性構成の 2 台目の Edge アプライアンス仮想マシン用に十分なリソースを予約でき

ない場合、既存の Edge で高可用性機能 (HA) を有効にすると失敗します。その場合、直近の正常な設定にロール

バックします。

手順




NSX 管理ガイド

VMware, Inc. 118

4 移動して、Edge 高可用性を設定します。


NSX 6.4.4 以降 a [管理 (Manage)] - [設定 (Settings)] - [高可用性 (High Availability)] の順にクリッ

クします。

b 次の操作を行います。

n 高可用性の設定を編集するには、[高可用性設定] の横にある [編集 (Edit)] をクリッ

クします。

n 分散論理ルーターアプライアンスの管理/高可用性インターフェイスの設定を編集す

るには、[管理/高可用性インターフェイス] の横にある [編集 (Edit)] をクリックしま

す。


す。

b 次の操作を行います。

n 高可用性の設定を編集するには、[高可用性設定 (HA Configuration)] ペインに移

動し、[変更 (Change)] をクリックします。

n 分散論理ルーターアプライアンスの管理/高可用性インターフェイスの設定を編集す

るには、[高可用性インターフェイスの設定 (HA Interface Configuration)] ペイ

ンに移動し、[変更 (Change)] をクリックします。

5 高可用性の設定を変更します。高可用性の設定オプションの説明については、次の表を参照してください。

表 9-5. 共通の高可用性 (HA) 設定オプション


デッドタイムを宣言バックアップアプライアンスがプライマリアプライアンスからハー

トビート信号を受信しない場合に、プライマリアプライアンスを非ア

クティブと見なし、バックアップアプライアンスで引き継ぐまでの最

大期間を秒単位で入力します。デフォルトの間隔は 15 秒です。

ログアプライアンスでのログ作成を有効または無効にします。

ログレベルアプライアンスで収集するログ情報のレベルを選択します。

NSX 管理ガイド

VMware, Inc. 119

表 9-6. NSX Edge Services Gateway アプライアンスの高可用性設定オプション


vNIC 高可用性パラメータを設定する内部インターフェイスを選択します。

内部インターフェイスが設定されていない状態でインターフェイスに

「任意」を選択した場合、ユーザーインターフェイスではエラーが表示

されます。2 台の Edge アプライアンスが作成されますが、内部イン

ターフェイスが設定されていないため、新しい NSX Edge はスタン

バイのままとなり、高可用性 (HA) は無効になります。内部インター

フェイスを設定すると、NSX Edge アプライアンス上で高可用性

(HA) が有効になります。

管理 IP アドレスオプション: 2 つの管理 IP アドレスを CIDR 形式で入力して、高可用

性仮想マシンに割り当てられたローカルリンク IP アドレスを上書き

することができます。管理 IP アドレスが他のインターフェイスに使

用されている IP アドレスと重複しておらず、トラフィックのルーティ

ングを妨げていないことを確認します。ネットワーク上の他の場所の

IP アドレスを使用しないでください。これは、そのネットワークがア

プライアンスに直接接続されていない場合でも同様です。

表 9-7. 分散論理ルーターアプライアンスの高可用性設定オプション


接続先分散ポートグループまたは論理スイッチに高可用性インターフェイス

を接続します。このインターフェイスを高可用性インターフェイスと

してのみ使用している場合は、論理スイッチを使用します。/30 サブ

ネットは、リンクローカル範囲 169.254.0.0/16 から割り当てられ、

2 つの NSX Edge アプライアンスそれぞれの IP アドレスを用意す

るために使用されます。

IP アドレス（NSX Data Center for vSphere 6.4.3 以前で使用可

能）

オプション: 高可用性 (HA) インターフェイスを NSX Edge への接

続に使用する場合は、高可用性 (HA) インターフェイス用に別の IP アドレスとプリフィックスを指定できます。

注：高可用性 (HA) が有効になる前に、この Edge アプライアンスで L2 VPN が構成されている場合、少な

くとも 2 つの内部インターフェイスが設定されている必要があります。L2 VPN ですでに使用されているこの

Edge で 1 つのインターフェイスが設定されている場合、Edge アプライアンスの高可用性は無効になります。


NSX Edge と NSX Manager の強制同期

NSX Manager から NSX Edge に同期要求を送信できます。

NSX Manager が認識しているエッジ構成をすべてのコンポーネントと同期する場合は、強制同期を実行します。

注： NSX Data Center 6.2 以降、強制同期では、North-South のルーティングトラフィックのデータ損失が回

避されますが、East-West のルーティングとブリッジで中断が発生する場合があります。

NSX 6.4.3 以前では、強制同期の実行中に NSX Manager が次の処理を実行します。

n Edge アプライアンスの設定を削除します。最初にインデックス 0 を削除し、次にインデックス 1 を削除しま

す。

NSX 管理ガイド

VMware, Inc. 120

n Edge アプライアンスを再起動します。インデックス 0 とインデックス 1 の両方を同時に再起動します。この

アクションにより、ダウンタイムが長くなります。

n Edge アプライアンスに最新の設定を発行または適用します。

n ホストとの接続を終了します。

n NSX Manager がプライマリまたはスタンドアローンであり、Edge が論理分散ルーターの場合、コントロー

ラクラスタが同期されます。

n 分散ルーターインスタンスを同期するように、関連するすべてのホストにメッセージが送信されます。

NSX 6.4.4 以降では、強制同期の実行中に NSX Manager が次の処理を実行します。

n Edge アプライアンスの状態に不整合がある場合、NSX Manager は Edge の設定を削除し、問題のある

Edge アプライアンスを再起動して、Edge アプライアンスに最新の設定を発行します。

n Edge アプライアンスの状態に不整合がない場合、NSX Manager は Edge アプライアンスを再起動せずに、

最新の設定を Edge アプライアンスに直接発行します。Edge アプライアンスの不要な再起動がなくなるの

で、ダウンタイムが短くなります。

n ホストとの接続を終了します。

n NSX Manager がプライマリまたはスタンドアローンであり、Edge が論理分散ルーターの場合、コントロー

ラクラスタが同期されます。

n 分散ルーターインスタンスを同期するように、関連するすべてのホストにメッセージが送信されます。

重要： Cross-vCenter NSX 環境では、最初にプライマリ NSX Manager の NSX Edge インスタンスで強制同

期を実行する必要があります。完了後、セカンダリ NSX Manager の NSX Edge インスタンスに強制同期を実行

します。

手順



3 NSX Edge インスタンスを選択します。

4 [アクション (Actions)] ( ) をクリックして、[強制同期 (Force Sync)] を選択します。

NSX Edge の Syslog サーバの設定

1 台または 2 台のリモート Syslog サーバを設定できます。NSX Edge アプライアンスから流れるファイアウォー

ルイベントに関連した NSX Edge のイベントとログは、Syslog サーバに送信されます。

手順




NSX 管理ガイド

VMware, Inc. 121

4 Syslog サーバの設定に移動して、設定を行います。


NSX 6.4.4 以降 a [管理 (Manage)] - [設定 (Settings)] - [アプライアンスの設定 (Appliance Settings)] の順にクリックします。

b [設定] の横にあるをクリックして、[Syslog 設定の変更 (Change Syslog Configuration)] をクリックします。


す。

b [詳細 (Details)] ペインで、Syslog サーバの横にある [変更 (Change)] をクリックし

ます。

5 両方のリモート Syslog サーバの IP アドレスを入力します。

6 プロトコルを選択し、[OK] をクリックします。

NSX Edge サービスステータスの表示

NSX Edge 上のすべてのサービスのステータスを 1 つの画面で表示し、いつでも更新して確認できます。

手順




4 移動して、すべての Edge サービスのステータスを表示します。


NSX 6.4.4 以降 [管理 (Manage)] - [設定 (Settings)] - [サービス (Services)] の順にクリックします。


す。

b [サービス (Services)] ペインを開き、すべての Edge サービスのステータスを表示しま

す。

NSX Edge の再デプロイ

強制同期の後、NSX Edge サービスが期待どおりに動作しない場合は、NSX Edge インスタンスを再デプロイでき

ます。

注：再デプロイには、サービスの停止が必要です。まず、強制同期を適用し、問題が解決されているかどうか確認

します。Edge のテクニカルサポートバンドルをダウンロードして、問題のトラブルシューティングを行うことを

おすすめします。問題が解決しない場合は、再度デプロイを行います。

NSX Edge インスタンスの再デプロイでは、次のタスクが実行されます。

n Edge アプライアンスが削除され、最新の設定が適用され、新たにデプロイされます。

n コントローラから分散論理ルーターが削除された後、最新の設定が適用され、再作成されます。

NSX 管理ガイド

VMware, Inc. 122

n ホストの分散論理ルーターインスタンスが削除された後、最新の設定が適用され、再作成されます。

グレースフルリスタートが有効になっていない場合、OSPF の隣接関係は再デプロイ中に取り消されます。

Edge の再デプロイ時のトラフィック損失を防止するには、次の方法が役立ちます。

n OSPF または BGP タイマーの値が大きく、分散論理ルーター (DLR) と Edge サービスゲートウェイ (ESG) の両方で高可用性 (HA) が有効になっている場合は、グレースフルリスタートを有効にします。

n HA の DLR が複数の ESG (ECMP) とピアリングされている場合は、OSPF または BGP タイマーにアグレッ

シブな値を設定し、フローティングスタティックルートを使用します。

重要： Cross-vCenter NSX 環境では、まず、プライマリ NSX Manager に NSX Edge インスタンスを再デプ

ロイする必要があります。完了後、セカンダリ NSX Manager に NSX Edge インスタンスに再デプロイします。

プライマリとセカンダリの両方の NSX Manager に NSX Edge インスタンスを再デプロイする必要があります。

前提条件

n 再デプロイ中に NSX Edge Services Gateway アプライアンスを追加でデプロイするため、十分なリソース

がホストにあることを確認します。各サイズの NSX Edge で必要とされるリソースについては、1 章 NSX Data Center for vSphere のシステム要件を参照してください。

n 単一の NSX Edge インスタンスの場合、パワーオン状態の NSX Edge アプライアンスが、再デプロイ中

に 2 台存在することになります。

n 高可用性が有効な NSX Edge インスタンスの場合は、2 台の新しいアプライアンスをデプロイしてから、

2 台の古いアプライアンスと置き換えます。つまり、パワーオン状態のフルサイズの NSX Edge アプライ

アンスが、NSX Edge のアップグレード中に 4 台存在することになります。NSX Edge の再デプロイが

完了すると、どちらかの高可用性アプライアンスがアクティブになります。

n 設定した場所にリストされたホストクラスタと、NSX Edge アプライアンスの再デプロイ用の配置場所が、

NSX 用に準備されていることと、メッセージングインフラストラクチャのステータスが正常であることを確認


NSX Edge アプライアンス用に設定した場所と実際の配置場所にリストされたホストクラスタが、NSX 用に

準備されていることと、メッセージングインフラストラクチャのステータスが正常であることを確認する必要が

あります。ステータスが緑色の場合、ホストは NSX Manager との通信に VIX ではなくメッセージングイン

フラストラクチャを使用しています。

NSX Edge アプライアンスの作成後にクラスタが削除された場合など、設定した場所が使用できない場合には、

実際の配置場所のみを確認します。

n GET https://NSX-Manager-IP-Address/api/4.0/edges/{edgeId}/appliances API 要求を

使用して、最初に設定した場所の ID (configuredResourcePool > id) と現在の場所 (resourcePoolId) を確認します。

NSX 管理ガイド

VMware, Inc. 123

n GET https://NSX-Manager-IP-Address/api/2.0/nwfabric/status?resource={resourceId} API 要求を使用して、これらのクラスタのホスト準備ステータスとメッセージングインフラストラクチャのステー

タスを検索します。resourceId は、前の手順で確認した NSX Edge アプライアンス設定場所と実際の配

置場所を表す ID です。

n 応答本文の com.vmware.vshield.vsm.nwfabric.hostPrep の featureId に対応するステータ

スを確認します。ステータスは正常である必要があります。


<featureId>com.vmware.vshield.vsm.nwfabric.hostPrep</featureId>

<featureVersion>6.3.1.5124716</featureVersion>

<updateAvailable>false</updateAvailable>






n 応答本文の com.vmware.vshield.vsm.messagingInfra の featureId に対応するステータスを

確認します。ステータスは正常である必要があります。


<featureId>com.vmware.vshield.vsm.messagingInfra</featureId>

<updateAvailable>false</updateAvailable






ホストが NSX 用に準備されていない場合は、次の操作を行います。

n [インストールとアップグレード (Installation and Upgrade)] - [ホストの準備 (Host Preparation)] の順に移動し、NSX 用にホストを準備します。

n メッセージングインフラストラクチャのステータスが「正常」であることを確認します。

n ホストに NSX Edge を再デプロイします。

手順




4 [アクション (Actions)] - [再デプロイ (Redeploy)] の順にクリックします。

Edge のテクニカルサポートバンドルをダウンロードして、問題のトラブルシューティングを行うことをおす

すめします。問題が解決しない場合は、Edge を再度デプロイします。

NSX 管理ガイド

VMware, Inc. 124

結果

NSX Edge 仮想マシンが新しい仮想マシンで置き換えられ、すべてのサービスがリストアされます。再デプロイし

ても正常に動作しない場合は、NSX Edge 仮想マシンをパワーオフし、NSX Edge をもう一度再デプロイします。

注：次の場合に、再デプロイでは問題が解決しない場合があります。

n NSX Edge をインストールしたリソースプールが vCenter Server インベントリ内に存在しないか、その

MoId（管理オブジェクト ID）が変更された。

n NSX Edge をインストールしたデータストアが破損したか、アンマウントされたか、アクセス不能になった。

n NSX Edge インターフェイスが接続されている DV ポートグループが vCenter Server インベントリ内に

存在しないか、その MoId（vCenter Server 内の識別子）が変更された。

いずれかに当てはまる場合は、REST API 呼び出しを使用して、リソースプール、データストア、または DV ポー

トグループの MoId を更新する必要があります。NSX API ガイドを参照してください。

NSX Edge で FIPS モードが有効のときに問題が発生した場合、NSX Manager では、NSX Edge の再デプロイ

はできません。Edge を再デプロイする代わりに、インフラストラクチャで発生している通信エラーの問題を解決す


NSX Edge のテクニカルサポートログのダウンロード

テクニカルサポートログは、NSX Edge インスタンスごとにダウンロードできます。NSX Edge インスタンスで

高可用性が有効になっている場合は、両方の NSX Edge 仮想マシンからサポートログがダウンロードされます。

[サポートバンドル (Support Bundle)] 収集ツールを使用して、NSX Edge のサポートバンドルのデータを収集

することもできます。詳細については、『NSX 管理ガイド』を参照してください。

手順




4 [アクション (Actions)] - [テクニカルサポートログのダウンロード (Download Tech Support Logs)] の順にクリックします。

5 テクニカルサポートログが生成されたら、[ダウンロード (Download)] をクリックします。

スタティックルートの追加

ターゲットサブネットまたはホストのスタティックルートを追加できます。

手順

1 vSphere Client で、[ネットワークとセキュリティ] - [NSX Edge] の順に移動します。

2 NSX Edge をクリックします。

3 [ルーティング] - [スタティックルート] の順にクリックします。

NSX 管理ガイド

VMware, Inc. 125


5 CIDR 表記に [ネットワーク (Network)] を入力します。

6 [ネクストホップ (Next Hop)] の IP アドレスを入力します。

ルーターは、ネクストホップに直接到達できる必要があります。ECMP が有効になっている場合は、IP アドレ

スのカンマ区切りリストとして複数のネクストホップを入力できます。

n NSX 6.4.4 以前のバージョンでは、ネクストホップは必須です。NSX 6.4.5 以降では、ネクストホップ

は ESG のオプションです。ネクストホップまたはインターフェイスのいずれかを指定できます。ネクス

トホップを指定すると、インターフェイスは選択できなくなります。また、その逆も同様です。

n ESG の GRE トンネルインターフェイスを介してマルチキャストトラフィックが送信される場合は、スタ

ティックルートを設定するときに、ネクストホップのリモート GRE トンネルエンドポイントの IP アドレ

スを指定する必要があります。

n 分散論理ルーターとユニバーサル分散論理ルーターの場合、ネクストホップは必須です。

7 スタティックルートを追加する [インターフェイス (Interface)] を選択します。

[インターフェイス] ドロップダウンメニューには GRE トンネルインターフェイスが表示されません。

8 [MTU] では、必要に応じてデータパケット転送の最大値を編集します。

MTU は、NSX Edge インターフェイスで設定された MTU を超えることはできません。

9 要求された場合は、[管理ディスタンス (Admin Distance)] を入力します。

1 ～ 255 の値を選択します。特定のネットワークに対して複数のルートがある場合、アドミニストレーティブ

ディスタンスを使用してどのルートを使用するかを選択します。アドミニストレーティブディスタンスが低い

ほど、ルートの優先順位は高くなります。

表 9-8. デフォルトのアドミニストレーティブディスタンス

ルートソースデフォルトのアドミニストレーティブディスタンス

接続済み 0

スタティック 1

外部 BGP 20

OSPF エリア内 30

OSPF エリア間 110

内部 BGP 200

管理ディスタンスを 255 にすると、スタティックルートがルーティングテーブル (RIB) とデータプレーンか

ら除外されるため、ルートが使用されません。

10 （オプション） [ロケール ID (Locale ID)] を入力します。

デフォルトでは、ルートのロケール ID は NSX Manager と同じです。ここで指定したロケール ID は、このロ

ケール ID を持つルートに関連付けられます。これらのルートは、ロケール ID が一致するホストにのみ送信さ

れます。詳細については Cross-vCenter NSX トポロジを参照してください。

11 （オプション）スタティックルートの [説明 (Description)] を入力します。

NSX 管理ガイド

VMware, Inc. 126


分散論理ルーター上での OSPF の設定

分散論理ルーター上に OSPF を設定すると、分散論理ルータ間での仮想マシンの接続や、分散論理ルーターから

Edge Services Gateway (ESG) への仮想マシンの接続が可能になります。

OSPF ルーティングポリシーでは、コストの等しいルート間でトラフィックのロードバランシングを動的に処理で

きます。

OSPF ネットワークは、トラフィックフローを最適化し、ルーティングテーブルのサイズを制限するため、ルーテ

ィングエリアに分割されます。エリアは、同じエリア ID を持つ OSPF ネットワーク、ルーター、およびリンクの

論理コレクションです。

エリアはエリア ID で識別されます。

前提条件

ルーター ID を分散論理ルーター上で設定されている OSPF の説明に従って設定する必要があります。

ルーター ID を有効にすると、テキストボックスにはデフォルトで、分散論理ルーターのアップリンクインターフェ

イスが入力されます。

手順



3 分散論理ルーターをダブルクリックします。

4 [管理 (Manage)] - [ルーティング (Routing)] - [OSPF] の順にクリックします。

5 OSPF を有効にします。

a [OSPF 設定 (OSPF Configuration)] の横にある [編集 (Edit)] をクリックし、[OSPF の有効化

(Enable OSPF)] をクリックします。

b データパスパケットの転送用にホスト内のルーターのデータパスモジュールで使用される IP アドレスを、

[転送アドレス (Forwarding Address)] に入力します。

c [プロトコルアドレス (Protocol Address)] に、[転送アドレス (Forwarding Address)] と同じサブネ

ット内の一意の IP アドレスを入力します。プロトコルアドレスは、ピアと隣接するために、プロトコルに

よって使用されます。

d （オプション） OSPF サービスの再起動時にパケット転送が中断されないようにするには、[グレースフル

リスタート (Graceful Restart)] を有効にします。

6 OSPF エリアを設定します。

a （オプション）デフォルトで設定されている Not-So-Stubby Area (NSSA) 51 を削除します。

b [エリア定義 (Area Definitions)] で、[追加 (Add)] をクリックします。

NSX 管理ガイド

VMware, Inc. 127

c エリア ID を入力します。NSX Edge では、10 進数形式のエリア ID を使用できます。有効な値は、0 ～

4294967295 です。

d [タイプ (Type)] で、[標準 (Normal)] または [NSSA] を選択します。

NSSA は、AS 外部の Link State Advertisement (LSA) の NSSA へのフラッディングを防止し、外部

の宛先にはデフォルトのルーティングを使用します。したがって、NSSA は OSPF ルーティングドメイン

のエッジに配置する必要があります。NSSA は外部ルートを OSPF ルーティングドメインにインポート

できるため、OSPF ルーティングドメインに属さない小規模なルーティングドメインに中継サービスを提

供できます。

7 （オプション） [認証 (Authentication)] のタイプを選択します。OSPF では、エリアレベルで認証が実行され

ます。

エリア内のすべてのルーターに、同じ認証と対応するパスワードが設定されている必要があります。MD5 認証

が機能するためには、受信ルーターと送信ルーターの両方に同じ MD5 鍵が必要です。

a [なし (None)]：認証は要求されません（デフォルト値）。

b [パスワード (Password)]：この認証方法では、パスワードは送信パケットに含まれます。

c [MD5]：この認証方法では、MD5（メッセージダイジェストタイプ 5）暗号化が使用されます。MD5 チェックサムは送信パケットに含まれます。

d [パスワード (Password)] または [MD5] タイプの認証の場合、パスワードまたは MD5 鍵を入力します。

重要： n NSX Edge で高可用性 (HA) が設定され、OSPF グレースフルリスタートが有効で、認証に MD5 が

使用されている場合、OSPF はグレースフルリスタートに失敗します。OSPF ヘルパーノードで猶予

期間が終了した後にのみ、隣接関係が形成されます。

n FIPS モードが有効な場合は、[MD5] 認証を設定できません。

n NSX Data Center for vSphere では、キー ID の値は常に 1 を使用します。MD5 認証を使用する

場合、Edge Services Gateway または分散論理ルーターとペアを形成している NSX Data Center for vSphere で管理されていないデバイスは、値が 1 のキー ID を使用するように設定する必要があり

ます。それ以外の場合、OSPF セッションを確立できません。

8 エリアにインターフェイスをマッピングします。

a [インターフェイスマッピングのエリア (Area to Interface Mapping)] で、[追加 (Add)] をクリック

し、OSPF エリアに属するインターフェイスをマッピングします。

b マッピングするインターフェイスとマッピング先の OSPF エリアを選択します。

9 （オプション）デフォルトの OSPF 設定を編集します。

通常、デフォルト OSPF 設定を維持することをお勧めします。設定を変更する場合は、OSPF ピアで同じ設定

が使用されていることを確認してください。

a [Hello 間隔 (Hello Interval)] には、インターフェイスで送信されるハローパケット間のデフォルト間隔が

表示されます。

NSX 管理ガイド

VMware, Inc. 128

b [Dead 間隔 (Dead Interval)] には、1 つ以上のハローパケットをネイバーから受信しないとルーターで

ネイバーの停止が宣言されるデフォルト間隔が表示されます。

c [優先順位 (Priority)] には、インターフェイスのデフォルトの優先順位が表示されます。優先順位の最も高

いインターフェイスが指定ルーターになります。

d インターフェイスの [コスト (Cost)] には、そのインターフェイスを通じてパケットを送信するのに必要な

デフォルトのオーバーヘッドが表示されます。インターフェイスのコストとバンド幅は反比例します。バン

ド幅が大きくなれば、コストは小さくなります。


例：分散論理ルーター上で設定されている OSPF次に示す、OSPF を使用する単純な NSX シナリオでは、分散論理ルーターと Edge Services Gateway (ESG) が OSPF のネイバー関係になっています。

NSX 管理ガイド

VMware, Inc. 129

図 9-1. NSX Data Center for vSphere トポロジ

172.16.20.10 172.16.10.10




App論理

スイッチ

Web論理

スイッチ

App仮想マシン

Web仮想マシン


中継論理

スイッチ

192.168.10.1リンクタイプ：内部

EdgeServicesGateway

[グローバル設定] ページに、次のような設定が表示されます。

n [ゲートウェイ IP アドレス (Gateway IP)]：192.168.10.1。分散論理ルーターのデフォルトゲートウェイは

ESG の内部インターフェイスの IP アドレス (192.168.10.1) です。

n [ルーター ID (Router ID)]：192.168.10.2。ルーター ID は、分散論理ルーターのアップリンクインターフェ

イスです。つまり、ESG に接する IP アドレスです。

[OSPF 設定] ページに、次のような設定が表示されます。

n [転送アドレス (Forwarding Address)]：192.168.10.2

NSX 管理ガイド

VMware, Inc. 130

n [プロトコルアドレス (Protocol Address)]：192.168.10.3。プロトコルアドレスには、同じサブネット内に

あり、他の場所では使用されない、任意の IP アドレスを指定できます。この例では、192.168.10.3 が指定され

ています。

n [エリア定義 (Area Definition)]：

n エリア ID：0

n タイプ：通常

n 認証：なし

アップリンクインターフェイス（ESG に接するインターフェイス）が次のようにエリアにマッピングされます。

n インターフェイス: To-ESG

n エリア ID：0

n Hello 間隔（秒）：10

n Dear 間隔（秒）：40

n 優先順位：128

n コスト：1

次のステップ

ルート再配分とファイアウォールの設定により、正しいルートがアドバタイズされることを確認します。

この例では、分散論理ルーターの接続ルート（172.16.10.0/24 と 172.16.20.0/24）が OSPF にアドバタイズされ

ます。再配分されるルートを確認するには、左側のナビゲーションパネルで [ルート再配分 (Route Redistribution)] をクリックし、次の設定を確認します。

n [ルート再配分ステータス (Route Redistribution Status)] に、OSPF が有効になっていることが表示されま

す。

n [ルート再配分テーブル (Route Redistribution Table)] に次の情報が表示されます。

n ラーナー：OSPF

n 開始値：接続中

n プリフィックス：すべて

n アクション：許可

分散論理ルーターを作成したときに SSH を有効にした場合は、分散論理ルーターのプロトコルアドレスへの SSH を許可するファイアウオールフィルタの設定も必要になります。たとえば、次の設定でファイアウォールフィルタ

ルールを作成できます。

n 名前：ssh

n タイプ：ユーザー

n 送信元：任意

n 宛先：192.168.10.3 のプロトコルアドレス

NSX 管理ガイド

VMware, Inc. 131

n サービス：SSH

Edge Services Gateway 上での OSPF の設定

Edge Services Gateway (ESG) 上で OSPF を設定すると、ESG がルートを学習してアドバタイズできるように

なります。ESG 上で OSPF を最も一般的に利用する場所は、ESG と分散論理ルーターとの間のリンク上です。こ

のため、ESG は、分散論理ルーターに接続している論理インターフェイス (LIFS) について学習できます。これは、

OSPF、IS-IS、BGP、または固定ルーティングを使用することで実現できます。

OSPF ルーティングポリシーでは、コストの等しいルート間でトラフィックのロードバランシングを動的に処理で

きます。

OSPF ネットワークは、トラフィックフローを最適化し、ルーティングテーブルのサイズを制限するため、ルーテ

ィングエリアに分割されます。エリアは、同じエリア ID を持つ OSPF ネットワーク、ルーター、およびリンクの

論理コレクションです。

エリアはエリア ID で識別されます。

前提条件

ルーター ID を Edge Services Gateway 上で設定されている OSPF の説明に従って設定する必要があります。

ルーター ID を有効にすると、テキストボックスにはデフォルトで、ESG のアップリンクインターフェイスの IP アドレスが入力されます。

手順



3 ESG をダブルクリックします。

4 [管理 (Manage)] - [ルーティング (Routing)] - [OSPF] の順にクリックします。

5 OSPF を有効にします。

a [OSPF 設定 (OSPF Configuration)] の横にある [編集 (Edit)] をクリックし、[OSPF の有効化

(Enable OSPF)] をクリックします。

b （オプション） OSPF サービスの再起動時にパケット転送が中断されないようにするには、[グレースフル

リスタートの有効化 (Enable Graceful Restart)] をクリックします。

c （オプション） ESG が自身をデフォルトゲートウェイとしてピアにアドバタイズできるようにするには、

[デフォルトの発信元の有効化 (Enable Default Originate)] をクリックします。

6 OSPF エリアを設定します。

a （オプション）デフォルトで設定されている Not-So-Stubby Area (NSSA) 51 を削除します。

b [エリア定義 (Area Definitions)] で、[追加 (Add)] をクリックします。

NSX 管理ガイド

VMware, Inc. 132

c エリア ID を入力します。NSX Edge では、10 進数形式のエリア ID を使用できます。有効な値は、0 ～

4294967295 です。

d [タイプ (Type)] で、[標準 (Normal)] または [NSSA] を選択します。

NSSA は、AS 外部の Link State Advertisement (LSA) の NSSA へのフラッディングを防止し、外部

の宛先にはデフォルトのルーティングを使用します。したがって、NSSA は OSPF ルーティングドメイン

のエッジに配置する必要があります。NSSA は外部ルートを OSPF ルーティングドメインにインポート

できるため、OSPF ルーティングドメインに属さない小規模なルーティングドメインに中継サービスを提

供できます。

7 （オプション） NSSA エリアタイプを選択すると、[NSSA トランスレータロール (NSSA Translator Role)] が表示されます。[常に (Always)] チェックボックスを選択して、Type-7 LSA を Type-5 LSA に変換しま

す。NSSA によって、すべての Type-7 LSA が Type-5 LSA に変換されます。

8 （オプション） [認証 (Authentication)] のタイプを選択します。OSPF では、エリアレベルで認証が実行され

ます。

エリア内のすべてのルーターに、同じ認証と対応するパスワードが設定されている必要があります。MD5 認証

が機能するためには、受信ルーターと送信ルーターの両方に同じ MD5 鍵が必要です。

a [なし (None)]：認証は要求されません（デフォルト値）。

b [パスワード (Password)]：この認証方法では、パスワードは送信パケットに含まれます。

c [MD5]：この認証方法では、MD5（メッセージダイジェストタイプ 5）暗号化が使用されます。MD5 チェックサムは送信パケットに含まれます。

d [パスワード (Password)] または [MD5] タイプの認証の場合、パスワードまたは MD5 鍵を入力します。

重要： n NSX Edge で高可用性 (HA) が設定され、OSPF グレースフルリスタートが有効で、認証に MD5 が使

用されている場合、OSPF はグレースフルリスタートに失敗します。OSPF ヘルパーノードで猶予期間が

終了した後にのみ、隣接関係が形成されます。

n FIPS モードが有効な場合は、[MD5] 認証を設定できません。

n NSX Data Center for vSphere では、キー ID の値は常に 1 を使用します。MD5 認証を使用する場合、

Edge Services Gateway または分散論理ルーターとペアを形成している NSX Data Center for vSphere で管理されていないデバイスは、値が 1 のキー ID を使用するように設定する必要があります。

それ以外の場合、OSPF セッションを確立できません。

9 エリアにインターフェイスをマッピングします。

a [インターフェイスマッピングのエリア (Area to Interface Mapping)] で、[追加 (Add)] をクリック

し、OSPF エリアに属するインターフェイスをマッピングします。

b マッピングするインターフェイスとマッピング先の OSPF エリアを選択します。

NSX 管理ガイド

VMware, Inc. 133

10 （オプション）デフォルトの OSPF 設定を編集します。

通常、デフォルト OSPF 設定を維持することをおすすめします。設定を変更する場合は、OSPF ピアで同じ設

定が使用されていることを確認してください。

a [Hello 間隔 (Hello Interval)] には、インターフェイスで送信されるハローパケット間のデフォルト間隔が


b [Dead 間隔 (Dead Interval)] には、1 つ以上のハローパケットをネイバーから受信しないとルーターで

ネイバーの停止が宣言されるデフォルト間隔が表示されます。

c [優先順位 (Priority)] には、インターフェイスのデフォルトの優先順位が表示されます。優先順位の最も高

いインターフェイスが指定ルーターになります。

d インターフェイスの [コスト (Cost)] には、そのインターフェイスを通じてパケットを送信するのに必要な

デフォルトのオーバーヘッドが表示されます。インターフェイスのコストとバンド幅は反比例します。バン

ド幅が大きくなれば、コストは小さくなります。


12 ルート再配分とファイアウォールの設定により、正しいルートがアドバタイズされることを確認します。

例： Edge Services Gateway 上で設定されている OSPFOSPF を使用する単純な NSX シナリオの 1 つとして、分散論理ルーターと Edge Services Gateway が OSPF のネイバー関係になっている例をここに示します。

次の図のように、ブリッジ、物理ルーター、または vSphere Distributed Switch のアップリンクポートグルー

プを介して ESG を外部と接続できます。

NSX 管理ガイド

VMware, Inc. 134

図 9-2. NSX Data Center for vSphere トポロジ

物理アーキテクチャ

172.16.20.10 172.16.10.10




App論理

スイッチ

Web論理

スイッチ

App仮想マシン

Web仮想マシン


中継論理

スイッチ

192.168.10.1リンクタイプ：内部

EdgeServicesGateway

192.168.100.3リンクタイプ：アップリンク 192.168.100.1

vSphereDistributed

Switch

[グローバル設定] ページに、次のような設定が表示されます。

n [vNIC]：アップリンク

n [ゲートウェイ IP アドレス (Gateway IP)]：192.168.100.1。ESG のデフォルトゲートウェイは外部ピアに対

する ESG のアップリンクインターフェイスです。

n [ルーター ID (Router ID)]：192.168.100.3。ルーター ID は、ESG のアップリンクインターフェイスです。

つまり、外部ピアに接する IP アドレスです。

NSX 管理ガイド

VMware, Inc. 135

[OSPF 設定] ページに、次のような設定が表示されます。

n [エリア定義 (Area Definition)]：

n エリア ID：0

n タイプ：通常

n 認証：なし

内部インターフェイス（分散論理ルーターに接するインターフェイス）が次のようにエリアにマッピングされます。

n vNIC：内部

n エリア ID：0

n Hello 間隔（秒）：10

n Dear 間隔（秒）：40

n 優先順位：128

n コスト：1

接続ルートは OSPF に再配分されるため、OSPF のネイバー（分散論理ルーター）は ESG のアップリンクネット

ワークを学習できます。再配分されるルートを確認するには、左側のナビゲーションパネルで [ルート再配分

(Route Redistribution)] をクリックし、次の設定を確認します。

n [ルート再配分ステータス (Route Redistribution Status)] に、OSPF が有効になっていることが表示されま

す。

n [ルート再配分テーブル (Route Redistribution Table)] に次の情報が表示されます。

n ラーナー：OSPF

n 開始値：接続中

n プリフィックス：すべて

NSX 管理ガイド

VMware, Inc. 136


注： ESG とその外部ピアルーター間に OSPF を設定できますが、通常このリンクは、ルートのアドバタイズに

BGP を使用します。

ESG が分散論理ルーターから OSPF 外部ルートを学習していることを確認します。

接続を検証するには、物理アーキテクチャ内の外部デバイスが仮想マシンに ping を実行できることを確認します。


PS C:\Users\Administrator> ping 172.16.10.10

Pinging 172.16.10.10 with 32 bytes of data:

Reply from 172.16.10.10: bytes=32 time=5ms TTL=61


Ping statistics for 172.16.10.10:

Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 1ms, Maximum = 5ms, Average = 3ms

PS C:\Users\Administrator> ping 172.16.20.10

Pinging 172.16.20.10 with 32 bytes of data:



Ping statistics for 172.16.20.10:

Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 1ms, Maximum = 2ms, Average = 1ms

BGP の設定

ボーダーゲートウェイプロトコル (BGP) によって、主要なルーティングの決定が行われます。BGP には、複数の

自律システム間のネットワーク到達可能性を示す IP ネットワークまたはプリフィックスのテーブルがあります。

NSX 管理ガイド

VMware, Inc. 137

ルーティング情報の交換前に 2 つの BGP スピーカ間に基になる接続が確立されます。この関係を維持するために、

BGP スピーカからキープアライブ時間メッセージが送信されます。接続が確立されると、各 BGP スピーカでルー

トを交換し、それらのテーブルを同期します。

手順




4 [管理 (Manage)] - [ルーティング (Routing)] - [BGP] の順にクリックします。

5 [BGP 設定 (BGP Configuration)] の横にある [編集 (Edit)] をクリックし、[BGP の有効化 (Enable BGP)] をクリックします。

6 （オプション） BGP サービスの再起動時にパケット転送が中断されないようにするには、[グレースフルリスタ

ートの有効化 (Enable Graceful Restart)] をクリックします。

7 （オプション） ESG が自身をデフォルトゲートウェイとしてピアにアドバタイズできるようにするには、[デフ

ォルトの発信元の有効化 (Enable Default Originate)] をクリックします。

8 [ローカル AS (Local AS)] で、ルーター ID を入力します。このルートは、BGP が他の自律システム (AS) のルーターとピアを形成する場合にアドバタイズされます。ルーターがトラバースする自律システムのパスは、タ

ーゲットへの最適パスを選択するときのメトリックの 1 つとして使用されます。

9 [ネイバー (Neighbors)] で、[追加 (Add)] をクリックします。

10 BGP ネイバーの基本情報を指定します。

a ネイバーの IP アドレスを入力します。

Edge Services Gateway (ESG) と分散論理ルーター間に BGP ピアリングを設定する場合は、ESG の

BGP ネイバーアドレスとして、分散論理ルーターのプロトコル IP アドレスを使用します。

b （分散論理ルーターのみ）転送アドレスを入力します。

転送アドレスは、BGP ネイバー（アップリンクインターフェイス）に接する分散論理ルーターのインター

フェイスに割り当てた IP アドレスです。

c （分散論理ルーターのみ）プロトコルアドレスを入力します。

プロトコルアドレスは、BGP ネイバー関係を確立するために分散論理ルーターが使用する IP アドレスで

す。プロトコルアドレスには、転送アドレスと同じサブネット内の（他の場所では使用されない）IP アド

レスを指定できます。Edge Services Gateway (ESG) と分散論理ルーターの間に BGP ピアリングを

設定する場合は、ESG の BGP ネイバー IP アドレスとして、分散論理ルーターのプロトコル IP アドレス

を使用します。

d リモート AS を入力します。

e （オプション） [プライベート AS の削除] を無効にします。デフォルトでは、有効になっています。

f 必要に応じて、ネイバー接続のデフォルトの重みを編集します。デフォルトの重みは 60 です。

NSX 管理ガイド

VMware, Inc. 138

g [ホールドダウンタイマー (Hold Down Timer)] には、デフォルト値の 180 秒が表示されます。これは、

キープアライブタイマーの 3 倍の値です。必要に応じて編集します。

2 つのネイバー間で BGP ピアリングが確立すると、NSX Edge はホールドダウンタイマーを開始しま

す。ネイバーからキープアライブメッセージを受信するたびに、ホールドダウンタイマーを 0 にリセッ

トします。NSX Edge が 3 回連続してキープアライブメッセージを受信できず、ホールドダウンタイマ

ーが 180 秒に達した場合、NSX Edge はネイバーが停止していると判断し、このネイバーからのルートを

削除します。

注： eBGP ネイバーのデフォルトの TTL 値は 1、iBGP ネイバーは 64 です。この値は変更できません。

h [キープアライブタイマー (Keep Alive Timer)] には、BGP ネイバーがそのピアにキープアライブメッ

セージを送信するデフォルトの頻度（60 秒）が表示されます。必要に応じて編集します。

i 認証が必要な場合は、認証パスワードを入力します。

パスワードは 12 文字以上で、次の条件を満たす必要があります。

n 255 文字以内






ネイバー間の接続で送信される各セグメントが検証されます。MD5 認証は、両方の BGP ネイバーで同じ

パスワードを使用して設定する必要があります。同じでないと、これらのネイバー間の接続が作成されませ

ん。FIPS モードが有効な場合は、パスワードを入力できません。

11 BGP フィルタを指定します。

a [追加 (Add)] をクリックします。

注意：フィルタの最後で、「すべてブロックする」ルールが適用されます。

b ネイバーからのトラフィックをフィルタリングするのか、ネイバーへのトラフィックをフィルタリングする

のかを示す方向を選択します。

c トラフィックの許可または拒否を示すアクションを選択します。

d ネイバーへのフィルタリング/ネイバーからのフィルタリングを行うネットワークを CIDR 形式で入力しま

す。

e フィルタリングする IP アドレスプリフィックスを入力し、[OK] をクリックします。


NSX 管理ガイド

VMware, Inc. 139

例： ESG と分散論理ルーター間での BGP の設定

リンクタイプ：アップリンク192.168.10.2（転送アドレス）

中継論理スイッチ

リンクタイプ：内部192.168.10.1

ESG


AS 64511

AS 64512

192.168.10.3（プロトコルアドレス）

このトポロジでは、ESG は AS 64511 内にあります。分散論理ルーターは AS 64512 内にあります。

分散論理ルーターの転送アドレスは 192.168.10.2 です。このアドレスは、分散論理ルーターのアップリンクインタ

ーフェイスで設定されます。分散論理ルーターのプロトコルアドレスは 192.168.10.3 です。ESG は、このアドレ

スを使用して、分散論理ルーターとの BGP ピア関係を確立します。

分散論理ルーターの [BGP 設定] ページに、次のような設定が表示されます。

n [ローカル AS (Local AS)]：64512

n [ネイバー (Neighbor)] の設定：

n 転送アドレス：192.168.10.2

n プロトコルアドレス：192.168.10.3

n IP アドレス：192.168.10.1

n リモート AS：64511

ESG の [BGP 設定] ページに、次のような設定が表示されます。

n [ローカル AS (Local AS)]：64511

n [ネイバー (Neighbor)] の設定：

n IP アドレス：192.168.10.3。この IP アドレスは、分散論理ルーターのプロトコルアドレスです。

NSX 管理ガイド

VMware, Inc. 140

n リモート AS：64512

分散論理ルーターで show ip bgp neighbors コマンドを実行して、BGP の状態が Established になっている

ことを確認します。

ESG で show ip bgp neighbors コマンドを実行して、BGP の状態が Established になっていることを確認し

ます。

ルート再配分の設定

デフォルトで、ルーターは同じプロトコルが稼動している他のルーターと経路を共有します。マルチプロトコル環境

では、プロトコル間で経路を共有するために、ルート再配分を設定する必要があります。

NSX 管理ガイド

VMware, Inc. 141

そのネットワークの拒否基準を追加することで、インターフェイスをルート再配分から除外できます。NSX 6.2 以降では、分散論理ルーターの高可用性（管理）インターフェイスは自動的にルート再配分から除外されます。

手順




4 [管理 (Manage)] - [ルーティング (Routing)] - [ルート再配分 (Route Redistribution)] の順にクリックし

ます。

5 [ルート再配分ステータス (Route Redistribution Status)] の横にある [編集 (Edit)] をクリックします。

6 ルート再配分を有効にするプロトコルを選択し、[OK] をクリックします。

7 IP プリフィックスを追加します。

IP プリフィックスリストのエントリは、順番に処理されます。

a [IP プリフィックス (IP Prefixes)] で、[追加 (Add)] をクリックします。

b ネットワークの名前と IP アドレスを入力します。

「以下」(le) 修飾子または「以上」(ge) 修飾子を含めている場合を除き、入力した IP プリフィックスは正

確に一致します。

c le と ge を一緒に使用すると、ルールに一致するプリフィックス長の範囲を指定できます。一致する最小プ

リフィックス長として IP プリフィックス ge を追加し、一致する最大プリフィックス長として IP プリフィ

ックス le を追加できます。

これら 2 つのオプションを個別に使用することも、組み合わせて使用することもできます。le と ge の値

は、0 より大きく、32 より小さくする必要があります。ge 値は、le 値よりも大きくすることはできませ

ん。次に例を示します。

n プリフィックスに 10.0.0.0/16 を指定し、le を 28 に設定すると、10.0.0.0/16 から 10.0.0.0/28 までのすべてのプリフィックスが再配分ルールに一致します。つまり、16 から 28 からまでのすべての

プリフィックス長に一致することになります。プリフィックス 10.0.2.0/24 が一致します。

n プリフィックスに 10.0.0.0/16 を指定し、ge を 24 に設定すると、10.0.0.0/24 から 10.0.0.0/32 までのすべてのプリフィックスが再配分ルールに一致します。プリフィックス 10.0.0.16/28 が一致

します。

n ge を 24 に、le を 28 に設定すると、10.0.0.0/24 から 10.0.0.0/28 までのすべてのプリフィック

スが再配分ルールに一致します。プリフィックス 10.0.0.32/27 が一致します。

d [追加 (Add)] または [OK] をクリックします。

8 IP プリフィックスの再配分基準を指定します。

a [ルート再配分テーブル (Route Redistribution Table)] で、[追加 (Add)] をクリックします。

b [プリフィックス名 (Prefix Name)] で、以前に追加した IP プリフィックスを選択します。

NSX 管理ガイド

VMware, Inc. 142

c [ラーナープロトコル (Learner Protocol)] で、他のプロトコルからルートを学習するプロトコルを選択し

ます。

d [次のものからの学習を許可 (Allow Learning From)] で、ルートの学習元となるプロトコルを選択しま

す。

e [アクション (Action)] で、再配分する正確なサブネットに [許可 (Permit)] を選択するか、[拒否 (Deny)] を選択します。

f [追加 (Add)] または [OK] をクリックします。


NSX Manager ロケール ID の表示

NSX Manager ごとにロケール ID があります。デフォルトでは、この ID は NSX Manager UUID に設定されて

います。この設定は、ユニバーサル分散論理ルーター、クラスタ、またはホストレベルで上書きできます。

手順

1 [NSX について] または [NSX ホーム] 画面に移動します。

n NSX 6.4.6 以降の場合は、[ネットワークとセキュリティ] - [NSX について] の順にクリックします。

n NSX 6.4.5 以前の場合は、[ネットワークとセキュリティ] - [NSX ホーム] - [サマリ] の順にクリックしま

す。

2 [NSX Manager] ドロップダウンから、NSX Manager の IP アドレスを選択します。[ロケール ID (Locale ID)] または [ID] フィールドには、NSX Manager の UUID が表示されていることを確認します。

ユニバーサル分散論理ルーター上でのロケール ID の設定

ユニバーサル分散論理ルーターの作成時に Local Egress（ローカル出力方向）が有効になっている場合、ホストの

ロケール ID がルートに関連付けられたロケール ID と一致する場合に限り、ルートがホストに送信されます。ルー

ターのロケール ID を変更できます。更新したローケール ID は、このルーターのすべての静的ルートと動的ルート

に関連付けられます。ルートは、ロケール ID が一致するホストとクラスタに送信されます。

Cross-vCenter NSX 環境のルーティング設定の詳細については、 Cross-vCenter NSX トポロジを参照してくだ

さい。

前提条件

ユニバーサル分散論理ルーターは、Local Egress（ローカル出力方向）を有効にした状態で作成されている必要が

あります。

手順



3 ユニバーサル分散論理ルーターをダブルクリックします。

NSX 管理ガイド

VMware, Inc. 143

4 [管理 (Manage)] - [ルーティング (Routing)] - [グローバル設定 (Global Configuration)] の順にクリック

します。

5 [ルーティング設定 (Routing Configuration)] の横にある [編集 (Edit)] をクリックします。

6 新しいロケール ID を入力します。

重要：ロケール ID は UUID 形式である必要があります。例：XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX。ここで、各 X は 16 進数字（0 ～ F）で置き換えられます。

ホストまたはクラスタ上でのロケール ID の設定

ユニバーサル分散論理ルーターの作成時に Local Egress（ローカル出力方向）が有効になっている場合、ホストの

ロケール ID がルートに関連付けられたロケール ID と一致する場合に限り、ルートがホストに送信されます。ホス

トのクラスタまたはホスト上にロケール ID を設定することで、ルートを選択的にホストに送信できます。

前提条件

ホストまたはクラスタに対してルーティングを実行するユニバーサル分散論理ルーターは、Local Egress（ローカ

ル出力方向）を有効にした状態で作成されている必要があります。

手順

1 [ネットワークとセキュリティ (Networking & Security)] - [インストールとアップグレード (Installation and Upgrade)] - [ホストの準備 (Host Preparation)] の順に移動します。

2 設定する必要のあるホストまたはクラスタを管理する NSX Manager を選択します。

3 ロケール ID を変更するには、次の手順に従います。


NSX 6.4.1 以降 a 左側のペインからクラスタをクリックします。右側のペインで、選択したクラスタ内のホ

ストがホストテーブルに表示されます。

b クラスタのロケール ID を変更するには、[アクション (Actions)] - [ロケール ID の変更

(Change Locale ID)] の順にクリックします。

c ホストのロケール ID を変更するには、ホストの横にある 3 つのドットメニュー（）

をクリックし、[ロケール ID の変更 (Change Locale ID)] をクリックします。

d 新しいロケール ID を入力して、[保存 (Save)] をクリックします。

注：ロケール ID は UUID 形式である必要があります。例：XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX。ここで、各 X は 16 進数字（0 ～ F）で置き換え

られます。

NSX 6.4.0 a 変更するホストまたはクラスタを選択します。必要に応じて、クラスタを展開してホスト

を表示します。

b [アクション (Actions)] - [ロケール ID の変更 (Change Locale ID)] [] の順にクリッ

クします。

c 新しいロケール ID を入力して、[OK] をクリックします。

注：ロケール ID は UUID 形式である必要があります。例：XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX。ここで、各 X は 16 進数字（0 ～ F）で置き換え

られます。

NSX 管理ガイド

VMware, Inc. 144

結果

ユニバーサルコントローラクラスタは、この新しいロケール ID に一致するルートのみをホストに送信します。

次のステップ

ロケール ID が指定されたスタティックルートを設定します。

マルチキャストルーティングのサポート、制限、およびトポロジー

NSX Data Center 6.4.2 以降では、マルチキャストルーティングがサポートされます。

NSX は、Internet Group Management Protocol (IGMPv2) と Protocol Independent Multicast (PIM) の

2 つのマルチキャストルーティングプロトコルを使用します。PIM スパースモードがサポートされます (PIM-SM)。PIM は、ESG で使用されますが、分散論理ルーターでは使用されません。

n ESG と分散論理ルーターの間では、マルチキャストルーティングがサポートされます。

n 受信側のホストがローカルのマルチキャストルーターにグループメンバーシップをアドバタイズし、マルチキ

ャストグループへの参加や離脱を可能にします。

n Protocol-Independent Multicast (PIM) は、ルーター間の通信に使用されます。レシーバが開始したメンバ

ーシップの IP マルチキャストサービスモードを維持します。

ルーティングプロトコルが初めて有効になった後（または、無効になって再度有効になった後）、プロトコルが収束

し、トラフィックに対応するルートが学習されて配置されるまで、トラフィックは転送されません。マルチキャスト

ネットワークの場合、トラフィック転送でユニキャストとマルチキャストの両方のルーティングプロトコルが収束す

る必要があります。また、PIM スパースモードの場合、マルチキャストグループの制御トラフィックまたはデータ

トラフィックが処理される前に、マルチキャストグループのランデブーポイント (RP) が認識される必要がありま

す。PIM ブートストラップメカニズムで RP 情報が配布される場合、PIM ネイバーからのブートストラップメッセ

ージが受信された後にのみ候補の RP が学習されます。これらのメッセージでは、RFC のデフォルト周期が 60 秒に設定されています。静的 RP が設定されている場合、RP 情報はすぐに利用できるため、ブートストラップメカニ

ズムに関連する遅延を回避できます。

サポートと制限：

n IPv4 がサポートされます。

n IGMPv2 がサポートされます。

n PIM スパースモードがサポートされます。

n ランデブーポイント情報は、ブートストラップメッセージを介して配信することも、静的に設定することもで

きます。

n レプリケーションのマルチキャスト範囲は、トランスポートゾーンのマルチキャスト範囲と重複しないようにす


n Edge Services Gateway (ESG) は、ブートストラップの候補ルーターにできません。

n ESG は、ランデブーポイント (RP) にできません。

NSX 管理ガイド

VMware, Inc. 145

n マルチキャスト参加ノードのルートは、ユニキャストルーティングプロトコルまたはスタティックルートを介

して明示的に学習する必要があります。NSX は、マルチキャストリバースパス転送 (RPF) チェックにデフォ

ルトルートを使用しません。

n マルチキャストのレシーバとなる仮想マシンを vMotion で移行中に、1 ～ 2 秒間マルチキャストトラフィック

が失われることがあります。

n NSX 6.4.7 以降では、マルチキャストトラフィックで分散ファイアウォール (DFW) がサポートされていま

す。ただし、IPFIX はマルチキャストでサポートされていません。

n NSX 6.4.7 以降では、マルチキャストトラフィックで Edge ファイアウォールがサポートされています。

Edge ファイアウォールは、IP ヘッダーのプロトコルに基づく IGMP パケットのフィルタリングをサポートし

ます。このファイアウォールは、メンバーシップレポートやグループの離脱など、IGMP パケットのタイプをフ

ィルタリングできません。

トポロジ：

n Cross-vCenter 環境では、同じユニバーサル TLS にマルチキャストの 2 つの Edge サービスゲートウェイ

を接続することはできません。

n Edge Services Gateway の 1 つの階層がサポートされています。

n 単一の分散論理ルーター。つまり、ESG で 1 つのダウンリンクのみ。

n NSX 6.4.5 以降では、ESG ごとに 2 つまでのアップリンクインターフェイスと 1 つのダウンリンクインター

フェイスでマルチキャストがサポートされます。ただし、NSX Edge が 6.4.4 以前の場合は、ESG ごとに 1 つのアップリンクインターフェイスと１つのダウンリンクインターフェイスでマルチキャストがサポートさ

れます。

n 分散論理ルーターでは、1 つのアップリンクインターフェイスと複数の内部インターフェイスでマルチキャスト

がサポートされます。

n NSX 6.4.7 以降では、各 ESG に対して 1 つの GRE トンネルで PIM がサポートされます。PIM は、ESG のアップリンクインターフェイス（最大 2 つまで）または 1 つの GRE トンネルインターフェイスで有効にでき

ますが、両方で同時に有効にすることはできません。NSX ネットワークの外部にある送信元、受信者、RP にア

クセスするには、スタティックルートで、GRE トンネルエンドポイントの IP アドレスをネクストホップとし

て設定する必要があります。

n ESG 高可用性を有効にすると、アクティブ/スタンバイの高可用性がサポートされます。ECMP によるアクティ

ブ/アクティブの高可用性はサポートされません。

n 30 秒間の高可用性フェイルオーバー時間。

n コールドスタンバイ。mroutes または mFIB の同期はありません。

n マルチキャストルーティングの論理スイッチで、L2 ブリッジはサポートされません。

n マルチキャストルーティングの論理スイッチで、ハードウェア VTEP ゲートウェイ（ToR ゲートウェイ）はサ

ポートされません。

NSX 管理ガイド

VMware, Inc. 146

分散論理ルーターでのマルチキャストの設定

IP マルチキャストルーティングを使用すると、ホスト（送信元）は 1 つのマルチキャストアドレスにデータのコピ

ーを送信できます。このデータは、IP マルチキャストグループアドレスという特殊な IP アドレスを使用して、受

信者のグループに配信されます。マルチキャスト環境では、グループのメンバーかどうかに関係なく、任意のホスト

がグループにデータを送信できます。ただし、グループに送信されたパケットを受信できるのは、そのグループのメ

ンバーだけです。



NSX でのマルチキャストサポートの詳細については、マルチキャストルーティングのサポート、制限、およびトポ

ロジーを参照してください。

注目: マルチキャストのレシーバとなる仮想マシンを vMotion で移行中に、1 ～ 2 秒間マルチキャストトラフィ

ックが失われることがあります。

前提条件

トランスポートゾーンには、マルチキャストアドレス範囲を設定する必要があります。『NSX インストールガイ

ド』で「セグメント ID プールとマルチキャストアドレス範囲の割り当て」を参照してください。

IGMP 設定は、Edge Services Gateway と分散論理ルーター間で同じにする必要があります。

VXLAN に参加しているホストが接続している L2 スイッチで IGMP スヌーピングを有効にします。IGMP スヌー

ピングが L2 で有効になっている場合は、マルチキャスト対応のネットワークと接続しているルーターまたは L3 スイッチ上で IGMP クエリアを有効にする必要があります。「論理スイッチの追加」を参照してください。

手順


2 分散論理ルーターをクリックします。

3 [ルーティング] - [マルチキャスト] の順にクリックします。

4 マルチキャストを有効にします。


NSX 6.4.2 から 6.4.4 [設定 (Configuration)] で、切り替えスイッチをクリックして、マルチキャストを有効にし

ます。

NSX 6.4.5 以降 a [設定 (Configuration)] の横にある [編集 (Edit)] をクリックします。

b [ステータス (Status)] で、切り替えスイッチをクリックして、マルチキャストを有効に

します。

NSX 管理ガイド

VMware, Inc. 147

5 レプリケーションのマルチキャスト範囲を入力します。


NSX 6.4.2 から 6.4.4 [レプリケーションのマルチキャスト範囲 (Replication Multicast Range)] で、マルチキャ

ストグループアドレスの範囲を CIDR 形式で入力します。


b [レプリケーションのマルチキャスト範囲 (Replication Multicast Range)] で、マルチ

キャストグループアドレスの範囲を CIDR 形式で入力します。

レプリケーションのマルチキャスト範囲は、ワークロード/テナントのマルチキャストグループのアドレス

（VXLAN 内部の宛先の IP アドレス）に使用するマルチキャストグループのアドレス（VXLAN 外部の宛先の

IP アドレス）の範囲です。レプリケーションのマルチキャスト範囲の IP アドレスは、マルチキャストアドレス

範囲と重ならないように設定する必要があります。設定を行うには、[ネットワークとセキュリティ

(Networking & Security)]、[インストールとアップグレード (Installation and Upgrade)]、[論理ネットワ

ークの設定 (Logical Network Settings)] の順に移動します。詳細については、『NSX インストールガイド』

で「セグメント ID プールとマルチキャストアドレス範囲の割り当て」を参照してください。

6 IGMP パラメータを構成します。IGMP メッセージは主にマルチキャストホストによって、特定のマルチキャス

トグループへの参加を通知をしたり、グループトラフィックの受信を開始するために使用されます。分散論理

ルーターの IGMP パラメータは、ESG で設定されているパラメータと一致し、ESG と分散論理ルーターにグロ

ーバルで設定する必要があります。

IGMP パラメータ説明

クエリ任意。指定したルーターが IGMP ホストクエリメッセージを送信す

る間隔を設定します。デフォルトは 30 秒です。最大値は 3,744 秒です。

クエリの最大応答時間（秒）任意。クエリ実行ルーターがホストクエリメッセージを送信してか

らホストからの応答を受信するまでの時間に最大量を設定します。デ

フォルトは 10 秒です。最大値は 25 秒です。

ラストメンバーのクエリ間隔（秒）任意。ルーターが IGMP グループ固有のクエリメッセージを送信す

る間隔を設定します。デフォルトは 1 秒です。最大値は 25 秒です。

信頼性変数任意。デフォルト値は 2 です。最大値は 255 です。

7 [有効なインターフェイス (Enabled Interfaces)] で、[インターフェイスの設定 (Configure Interfaces)] をクリックして、アップリンクインターフェイスと内部インターフェイスでマルチキャストを有効にします。

注： n IPv4 マルチキャストパケットを受信するすべての分散論理ルーターで、マルチキャストを有効にする必要

があります。

n 分散論理ルーターでは、1 つのアップリンクインターフェイスと複数の内部インターフェイスでマルチキャ

ストがサポートされます。


NSX 管理ガイド

VMware, Inc. 148

結果

特定のホストと分散論理ルーターのマルチキャストルーティング構成を確認するには、CLI コマンド show logical-router host <host ID> dlr <DLR instance> mrouting-domain を実行します。

次の出力例で、ホストは host-19、分散論理ルーターインスタンスは edge-1 です。

cli>show logical-router host host-19 dlr edge-1 mrouting-domain

VDR Mcast Routing Domain configurations:

Vdr Name: edge-1

Vdr ID: 0x00002328

Multicast Routing Doman: Enabled

Replication Mcst Grp Start IP: 237.0.0.0

Replciation Mcast Grp Mask: 255.255.255.0

Control VNI: 9008

Uplink VNI: 9007

IGMP Query Interval: 30 sec

IGMP Query Response Interval: 10 sec

IGMP Robustness Variable: 2

Group membership Interval: 70 se

Edge Services Gateway でのマルチキャストの構成

マルチキャストを使用すると、送信元はデータのコピーを 1 つのマルチキャストアドレスに送信します。その後、こ

のアドレスからグループまたは受信者にデータが配信されます。



注目: マルチキャストのレシーバとなる仮想マシンを vMotion で移行中に、1 ～ 2 秒間マルチキャストトラフィ

ックが失われることがあります。

NSX でのマルチキャストサポートの詳細については、マルチキャストルーティングのサポート、制限、およびトポ

ロジーを参照してください。

ESG が 6.4.4 以前の場合は、Edge の 1 つのアップリンクインターフェイスで PIM がサポートされます。NSX Data Center 6.4.5 以降では、PIM は ESG の 2 つのアップリンクインターフェイスでサポートされます。

また、NSX 6.4.7 以降では、各 ESG に対して 1 つの GRE 仮想トンネルインターフェイス (VTI) で PIM がサポー

トされます。PIM は、ESG のアップリンクインターフェイス（最大 2 つまで）または 1 つの GRE トンネルイン

ターフェイスで有効にできます。ただし、GRE 仮想トンネルインターフェイスと Edge アップリンクインターフ

ェイスで PIM を同時に有効にすることはできません。

GRE トンネルインターフェイスで PIM を有効にするには、最初に NSX API を使用して ESG の GRE トンネルを

設定する必要があります。GRE トンネルの設定方法については、『NSX API ガイド』を参照してください。ESG で

GRE トンネルを設定した後、vSphere Client UI で GRE トンネルのリストを表示できます。

GRE 仮想トンネルインターフェイスは、IPv4 アドレス、IPv6 アドレス、またはその両方を使用して設定できま

す。ただし、GRE トンネルインターフェイスで PIM を有効にするには、トンネルインターフェイスに IPv4 アド

レスが割り当てられている必要があります。GRE 仮想トンネルインターフェイスに IPv6 アドレスのみが設定され

ている場合、この GRE トンネルインターフェイスを PIM インターフェイスとして有効にすることはできません。

NSX 管理ガイド

VMware, Inc. 149

GRE トンネルインターフェイスで PIM が有効になっている場合、ネクストホップの IP アドレスとして GRE 仮想

トンネルエンドポイントの IP アドレスを使用して、スタティックルートを追加する必要があります。NSX ネット

ワークの外部にあるマルチキャストの送信元、受信者、ランデブーポイント (RP) にアクセスするには、スタティッ

クルートが必要です。

手順


2 NSX Edge をクリックします。

3 [ルーティング] - [マルチキャスト] の順にクリックします。

4 マルチキャストを有効にします。


NSX 6.4.2 から 6.4.4 [設定 (Configuration)] で、切り替えスイッチをクリックして、マルチキャストを有効にし

ます。


b [ステータス (Status)] で、切り替えスイッチをクリックして、マルチキャストを有効に

します。

5 IGMP パラメータを構成します。IGMP メッセージは主にマルチキャストホストによって、特定のマルチキャス

トグループへの参加を通知をしたり、グループトラフィックの受信を開始するために使用されます。分散論理

ルーターの IGMP パラメータは、ESG で設定されているパラメータと一致し、ESG と分散論理ルーターにグロ

ーバルで設定する必要があります。

IGMP パラメータ説明

クエリ任意。指定したルーターが IGMP ホストクエリメッセージを送信す

る間隔を設定します。デフォルトは 30 秒です。最大値は 3,744 秒です。

クエリの最大応答時間（秒）任意。クエリ実行ルーターがホストクエリメッセージを送信してか

らホストからの応答を受信するまでの時間に最大量を設定します。デ

フォルトは 10 秒です。最大値は 25 秒です。

ラストメンバーのクエリ間隔（秒）任意。ルーターが IGMP グループ固有のクエリメッセージを送信す

る間隔を設定します。デフォルトは 1 秒です。最大値は 25 秒です。

信頼性変数任意。デフォルト値は 2 です。最大値は 255 です。

6 （オプション） [PIM スパースモードパラメータ (PIM Sparse Mode Parameters)] (PIM-SM) で、[ランデ

ブーポイントの静的アドレス (Static Rendezvous Point Address)] を入力します。ランデブーポイント

(RP) は、マルチキャストネットワークドメインのルーターで、マルチキャスト共有ツリーのルートとして機能

します。アップストリームソースからのパケットとダウンストリームルーターからの参加メッセージがこのコ

アルーターで「ランデブー」します。RP は、ブートストラップルーター (BR) を使用して静的または動的に設

定できます。静的ランデブーポイントが設定されている場合、このランデブーポイントはすべてのマルチキャ

ストグループに適用されます。

ESG は、ランデブーポイントやブートストラップ候補ルーターにすることはできません。PIM SM 設定は、

Edge ごとの PIM グローバルレベルで行われます。

NSX 管理ガイド

VMware, Inc. 150

7 [有効なインターフェイス (Enabled Interfaces)] で、[インターフェイスの設定] をクリックして、インターフ

ェイスで PIM を有効にします。

次のインターフェイスで PIM を有効にできます。

n ESG のアップリンクインターフェイス（最大 2 つまで）と ESG の 1 つの GRE 仮想トンネルインターフ

ェイスの両方で同時に有効にすることはできません。

n ESG の 1 つの内部インターフェイス。


次のステップ

GRE 仮想トンネルインターフェイスで PIM を有効にしている場合、NSX ネットワークの外部にあるマルチキャス

トの送信元、受信者、RP にアクセスするために、スタティックルートが必要になります。ネクストホップの IP アドレスとして GRE 仮想トンネルエンドポイントの IP アドレスを使用して、スタティックルートを設定する必要が

あります。

スタティックルートの設定方法については、スタティックルートの追加を参照してください。

マルチキャストトポロジ

次の図は、マルチキャストを使用するトポロジの例を示したものです。

Edge Services Gateway アップリンクインターフェイスは、vSphere Distributed Switch を介して物理イン

フラストラクチャに接続します。Edge Service Gateway 内部インターフェイスは、論理中継スイッチを介して分

散論理ルーターに接続します。分散論理ルーターのデフォルトゲートウェイは ESG の内部インターフェイスの IP アドレス (192.168.10.1) です。ルーター ID は分散論理ルーターのアップリンクインターフェイス、つまり ESG (192.168.10.2) と接する IP アドレスです。このトポロジでは、マルチキャストトラフィックがサブネット間や、

NSX ドメインの内側または外側の送信元とレシーバ間で最適な方法で複製されます。

NSX 管理ガイド

VMware, Inc. 151

172.16.20.10 172.16.10.10




App論理

スイッチ

Web論理

スイッチ

App仮想マシン

Web仮想マシン


中継論理

スイッチ

マルチキャスト送信元/レシーバホスト

192.168.10.1リンクタイプ：内部

EdgeServicesGateway

192.168.100.3リンクタイプ：アップリンク 192.168.200.10

vSphereDistributed

Switch 物理

アーキテクチャ

NSX 管理ガイド

VMware, Inc. 152

論理ファイアウォール 10論理ファイアウォールは、動的仮想データセンターにセキュリティメカニズムを提供します。論理ファイアウォール

は、それぞれ異なる展開方法に対処する 2 つのコンポーネントから構成されます。分散ファイアウォールではテナン

トまたはデータセンターの境界における水平方向のアクセスコントロール、Edge ファイアウォールでは垂直方向の

トラフィック適用に重点が置かれています。これらのコンポーネントを共に利用することで、仮想データセンターに

おけるエンドツーエンドのファイアウォールのニーズに対応できます。この 2 つのテクノロジーは、個別にデプロイ

することも、両方をデプロイすることも可能です。


n 分散ファイアウォール

n Edge ファイアウォール

n ファイアウォールルールセクションの操作

n ファイアウォールルールの使用

n ファイアウォールのログ

分散ファイアウォール

NSX 用に準備されたすべての ESXi ホストクラスタで、分散ファイアウォール (DFW) は VIB パッケージとして

カーネル内で実行されます。ホストの準備により、ESXi ホストクラスタで分散ファイアウォールが自動的に有効に

なります。

従来の境界を中心としたセキュリティアーキテクチャでは、その基本的な制約により、最新のデータセンターのセキ

ュリティとアプリケーションのスケーラビリティに影響を及ぼします。たとえば、ネットワークの境界にある物理フ

ァイアウォールを介してトラフィックのヘアピンが発生すると、特定のアプリケーションで余分な遅延が発生します。

分散ファイアウォールは、物理ファイアウォールによる不要なヘアピンを排除し、ネットワーク上のトラフィック量

を削減することで、物理セキュリティを補完および強化します。拒否されたトラフィックは、ESXi ホストから送信

される前にブロックされます。トラフィックがネットワークに送信されることはありません。物理ファイアウォール

の境界でブロックされます。同じホストまたは別のホスト上にある別の仮想マシン宛てのトラフィックは、ネットワ

ークを介して物理ファイアウォールを通過することなく、宛先の仮想マシンに届きます。トラフィックは ESXi レベ

ルで検査されてから、宛先の仮想マシンに配信されます。

VMware, Inc. 153

仮想マシン

仮想マシン

仮想マシン

仮想マシン

NSX 分散ファイアウォールを使用しないセキュリティ

物理ファイアウォール

物理ファイアウォール

NSX 分散ファイアウォールを使用したセキュリティ

NSX の分散ファイアウォールはステートフルファイアウォールです。つまり、アクティブな接続の状態を監視し、

この情報を使用してファイアウォールを通過させるネットワークパケットを特定します。分散ファイアウォールは

ハイパーバイザーに実装され、vNIC 単位で仮想マシンに適用されます。つまり、ファイアウォールルールは各仮想

マシンの vNIC に適用されます。トラフィックが仮想マシンから仮想スイッチに送信されるときに、仮想マシンの

vNIC でトラフィックが検査されます（出力方向の検査）。また、トラフィックがスイッチから仮想マシンに送信され

る前にも vNIC で検査されます（入力方向の検査）。

NSX Manager 仮想アプライアンス、NSX Controller 仮想マシン、NSX Edge Service Gateway は、分散フ

ァイアウォールから自動的に除外されます。仮想マシンが分散ファイアウォールサービスを必要としない場合は、手

動で除外リストに追加できます。

分散ファイアウォールは、すべての ESXi ホストのカーネルに展開されるため、クラスタにホストを追加すると、フ

ァイアウォールの機能が水平方向に拡張されます。ホストを追加すると、分散ファイアウォールの能力が向上します。

インフラストラクチャが拡張された場合、仮想マシンの増加に合わせて管理サーバを増やすことで、分散ファイアウ

ォールの能力を向上させることができます。

分散ファイアウォールポリシールール

分散ファイアウォールポリシールールは vSphere Web Client を使用して作成されます。ルールは、NSX Manager データベースに格納されます。分散ファイアウォールでは、イーサネットルール（L2 のルール）と一般

ルール（L3 から L7 のルール）を作成できます。ルールは、NSX Manager から ESXi クラスタに発行され、ESXi ホストから仮想マシンレベルに発行されます。同じクラスタ内のすべての ESXi ホストに同じ分散ファイアウォー

ルポリシールールが適用されます。

ESXi ホストの分散ファイアウォールインスタンスには、次の 2 つのテーブルが含まれます。

n すべてのセキュリティポリシールールを保存するルールテーブル。

n 「許可」アクションを持つルールのフローエントリを保存する接続追跡テーブル。

分散ファイアウォールルールはトップダウンで実行されます。ファイアウォールを通過するトラフィックは、最初に

ファイアウォールルールのリストと照合されます。各パケットがルールテーブルの一番上のルールに照らしてチェ

ックされ、順にテーブルの下位のルールに照らしてチェックされます。テーブル内のルールのうち、トラフィックパラメータと一致する最初のルールが適用されます。テーブルの最後のルールは、分散ファイアウォールのデフォルト

ルールです。デフォルトルールより上のルールに一致しないパケットには、デフォルトルールが適用されます。

NSX 管理ガイド

VMware, Inc. 154

各仮想マシンには、独自のファイアウォールポリシールールとコンテキストがあります。vMotion の実行中に

ESXi ホスト間で仮想マシンが移動すると、分散ファイアウォールコンテキスト（ルールテーブル、接続追跡テーブ

ル）が仮想マシンとともに移動します。また、vMotion の実行中、すべてのアクティブな接続がそのまま維持され

ます。つまり、分散ファイアウォールセキュリティポリシーは仮想マシンの場所とは独立しています。

分散ファイアウォールを使用したマイクロセグメンテーション

マイクロセグメンテーションを使用すると、関連する仮想マシンの各グループを個別の論理ネットワークセグメント

に隔離し、データセンターのネットワークのセキュリティを強化できます。マイクロセグメンテーションを使用する

と、管理者はデータセンターの論理セグメント間を流れるトラフィック（East-West トラフィック）をファイアウ

ォールで保護できます。East-West トラフィックをファイアウォールで保護することで、データセンター内での攻

撃者の移動を制限できます。

マイクロセグメンテーションは、NSX の分散ファイアウォールコンポーネントによって提供されます。分散ファイ

アウォールにより、ネットワークトポロジがセキュリティの障壁でなくなります。あらゆるタイプのネットワーク

トポロジで同程度のアクセス制御を実現できます。

マイクロセグメンテーションの使用事例については、https://communities.vmware.com/docs/DOC-27683にある『NSX Network Virtualization Design Guide』で NSX 分散ファイアウォールによるマイクロセグメン

テーションの実装に関するセクションを参照してください。

ユーザー ID に基づく分散ファイアウォールポリシールール

分散ファイアウォールは、ID ベースのルールの作成にも役立ちます。セキュリティ管理者は、企業の Active Directory で定義されたユーザー ID とユーザーのグループメンバーシップに基づいてアクセスをコントロールで

きます。たとえば、ID ベースの分散ファイアウォールルールは次のシナリオで使用できます。

n ユーザー認証に Active Directory を用いるラップトップやモバイルデバイスを使用して、ユーザーが仮想ア

プリケーションにアクセスする。

n ユーザーが、仮想マシンが Microsoft Windows オペレーティングシステムを実行している VDI インフラス

トラクチャを使用して、仮想アプリケーションにアクセスする。

Active Directory ユーザーベースの分散ファイアウォールルールの詳細については、12 章 Identity Firewall の概要を参照してください。

コンテキストアウェアファイアウォール

コンテキストアウェアファイアウォールを使用すると、アプリケーションレベルでの視認性が強化されます。これ

は、アプリケーションの透過性の問題の解消に役立ちます。アプリケーションレイヤーの視認性を実現することによ

り、リソース、コンプライアンス、セキュリティの観点からワークロードの監視を強化できます。

ファイアウォールルールではアプリケーション ID を使用できません。コンテキストアウェアファイアウォールは

アプリケーションを識別して、アプリケーションが使用するポートに関係なく、EAST-WEST トラフィックにマイ

クロセグメンテーションを適用できます。レイヤー 7 のサービスオブジェクトを定義すると、コンテキストアウェ

アまたはアプリケーションベースのファイアウォールルールを定義できます。ルールでレイヤー 7 のサービスオブジェクトを定義した後は、ルールに特定のプロトコル、ポート、アプリケーション定義を使用できます。ルールの

定義では 5-tuple 以上を使用できます。アプリケーションルールマネージャを使用して、コンテキスト　アウェ

ア　ファイアウォールルールを作成することもできます。

NSX 管理ガイド

VMware, Inc. 155


コンテキストアウェアファイアウォールは、NSX Data Center for vSphere 6.4 以降でサポートされます。

NSX Data Center for vSphere で管理されている既存のインフラストラクチャ内のホストクラスタは、すべて

NSX Data Center for vSphere 6.4.0 以降にアップグレードする必要があります。

ファイアウォールのタイプ

データが TCP/IP モデルの各レイヤーを移動すると、L2、L3、L4、L7 パケットヘッダーの 1 つまたは複数の組み

合わせが追加されます。ファイアウォールは、これらのヘッダーに応じてアクションを実行します。


+サードパーティ

NSX 分散ファイアウォール OSI モデル

アプリケーションレイヤー

プレゼンテーションレイヤー

セッションレイヤー

トランスポートレイヤー

ネットワークレイヤー

データリンクレイヤー

物理レイヤー

トランスポートレイヤー

インターネットレイヤー

ネットワークアクセス

レイヤー

アプリケーション

レイヤー

TCP/IP モデル

ネイティブ


L7

L3/L4

L2

レイヤー 3 またはレイヤー 4 のファイアウォールの場合は、送信元/宛先 IP アドレス、ポート、プロトコルに基づ

いてアクションが実行されます。また、ネットワーク接続のアクティビティが追跡されます。このタイプのファイア

ウォールをステートフルファイアウォールといいます。

レイヤー 7 のファイアウォール（コンテキストアウェアファイアウォール）では、レイヤー 3 とレイヤー 4 のフ

ァイアウォールで実行できる処理はすべて実行できます。それに加えて、パケットの内容をインテリジェントに検査

します。たとえば、特定の IP アドレスから受信した HTTP 要求をすべて拒否するように、レイヤー 7 ファイアウォ

ールルールを作成できます。

ルールの定義とパケットキャプチャ

コンテキストアウェアファイアウォールには 5-tuple 以上を作成できます。正確なルールを作成するために、必要

な数のタプルを追加できます。サポートされる属性はプロトコルとユーザーのみで、ルールごとにユーザーまたはプ

ロトコルのいずれかを使用できます。これらは標準の SRC/DEST フィールドに使用することも、追加属性の最後に

追加することもできます。

次のルールは 7-tuple です。

送信元宛先サービス方向アクション属性

location-set-1 Iport-set-1 HTTPS INOUT 許可 TLS-V10

NSX 管理ガイド

VMware, Inc. 156

図 10-1. コンテキストアウェアファイアウォールで処理されるパケット

DPI ユーザーワールドデーモン

インデックス 2

フローエントリ

1

2

3

フロー 1

フロー 2

フロー 3

インデックス1

ルール ID

1

2

3

ルール 1

ルール 2

ルール 3

分散ファイアウォールフィルタ

フローが見つからない

フローテーブルを更新

5 タプル

ルールの処理と再検証

パケット

vSwitch

仮想マシンにコンテキストアウェアファイアウォールを設定する場合、分散　DPI　（Deep Packet Inspection) 属性が 5-tuple と一致する必要があります。これにより、ルールの処理と検証が行われ、正しいルールが検出されま

す。アクションに応じて、フローが作成またはドロップされます。

受信パケットのルールは次のように処理されます。

1 分散ファイアウォールフィルタを入力すると、フローテーブルで 5-tuple に基づいてパケットが検索されま

す。

2 フロー/状態が見つからない場合、5-tuple に基づいてルールテーブルにフローが照合され、フローテーブルに

エントリが作成されます。

3 フローがレイヤー 7 サービスオブジェクトのルールと一致すると、フローテーブルの状態が「DPI 処理中」と

マークされます。

4 トラフィックが DPI エンジンにパントされます。DPI エンジンにより、APP_ID が決まります。

5 APP_ID が決まると、DPI エンジンが属性を送信し、このフローのコンテキストテーブルに挿入されます。「DPI 処理中」フラグが削除され、トラフィックが DPI エンジンにパントされなくなります。

6 APP-ID 付きのフローが APP_ID に一致するすべてのルールで再評価され、5-tuple ベースで一致した元のル

ールから開始され、L4 ルールに一致しないフローを優先するようになります。適切なアクション（許可または

拒否）が実行され、フローテーブルのエントリが更新されます。

L3 や L4 ルールのように、コンテキストアウェアファイアウォールルールをコンテキストなしで作成することも

できます。この場合、複数の属性を持つコンテキストに適用するために、検証ステップが実行される可能性がありま

す。

NSX 管理ガイド

VMware, Inc. 157

コンテキストアウェアファイアウォールのワークフロー

管理プレーン

制御プレーン (vsfwd)

ユーザーワールドエージェント

ユーザー領域

カーネル領域

データパス VSIPモジュール

アプリケーション ID の GUID

レイヤー 7 アプリケーション ID は、使用するポートは問わず、特定のパケットまたはフローがどのアプリケーショ

ンで生成されたのかを識別するものです。

アプリケーション ID に基づいて適用することで、ユーザーは任意のポートを使用するアプリケーションの実行を許

可または拒否することができます。さらに、標準ポートを使用してアプリケーションを強制的に実行することもでき

ます。DPI (Deep Packet Inspection) では、定義済みのパターンとパケットペイロードを比較できます。このパ

ターンは署名とも呼ばれています。レイヤー 7 のサービスオブジェクトにより、ポートに依存しない適用や、レイ

ヤー 7 アプリケーション ID、プロトコル、およびポートを組み合わせた新しいサービスオブジェクトの作成が可能

になります。レイヤー 7 ベースのサービスオブジェクトは、ファイアウォールルールテーブルと Service Composer で使用できます。アプリケーションのプロファイルを作成するときに、アプリケーション ID の情報が

分散ファイアウォールログ、フローモニタリング、Application Rule Manager (ARM) でキャプチャされます。

表 10-1. アプリケーション ID の GUID

GUID 説明タイプ

360ANTIV 360 Safeguard は、中国の IT 企業である Qihoo 360 が開発したプログラ

ムです。

Web サービス

ACTIVDIR Microsoft Active Directory ネットワーク

AD_BKUP Microsoft Active Directory のバックアップサービスネットワーク

AD_NSP Microsoft Active Directory サービスプロバイダネットワーク

AMQP Advanced Message Queueing Protocol。アプリケーション間または組

織間のビジネスメッセージ通信をサポートするアプリケーション層プロトコル

です。

ネットワーク

NSX 管理ガイド

VMware, Inc. 158

表 10-1. アプリケーション ID の GUID （続き）


AVAST Avast.com の公式サイト（Avast! アンチウイルスのダウンロード）の閲覧で

生成されるトラフィック

Web サービス

AVG AVG アンチウイルス/セキュリティソフトウェアのダウンロードとアップデ

ート

ファイル転送

AVIRA Avira アンチウイルス/セキュリティソフトウェアのダウンロードとアップデ

ート

ファイル転送

BLAST データセンターでデータの圧縮、暗号化、エンコードを行い、VMware Horizon デスクトップの標準 IP ネットワーク間で転送するリモートアクセス

プロトコルです。

リモートアクセス

BDEFNDER BitDefender アンチウイルス/セキュリティソフトウェアのダウンロードと

アップデート

ファイル転送

CA_CERT 認証局 (CA) が、メッセージ暗号化のパブリックキーの所有者を証明するデジ

タル証明書を発行します。

ネットワーク

CIFS CIFS (Common Internet File System) は、ネットワークのノード間のディ

レクトリ、ファイル、プリンタ、シリアルポート、その他の通信に共有アクセ

スを提供するために使用します。

ファイル転送

CLRCASE ソースコードや他のソフトウェア開発資産のリビジョンを管理するソフトウェ

アツール。IBM の Rational ソフトウェア部門によって開発されました。

ClearCase は、多くの大企業や中堅企業で採用されているリビジョン管理ツー

ルで、数百人または数千人の開発者が携わるプロジェクトに対応しています。

ネットワーク

CTRXCGP Citrix Common Gateway Protocol リモートアクセス

CTRXGOTO Citrix GoToMeeting または GoToMeeting プラットフォームベースの類

似セッションをホストします。通話、ビデオ、制限付きの混雑管理機能が含まれ

ています。

コラボレーション

CTRXICA ICA (Independent Computing Architecture) は、Citrix Systems によ

って開発された、アプリケーションサーバシステムの専用プロトコルです。


DCERPC 分散コンピューティング環境/リモートプロシージャコール。分散コンピュー

ティング環境 (DCE) 用に開発されたリモートプロシージャコールシステム

です。

ネットワーク

DIAMETER コンピュータネットワークの認証/承認/課金プロトコルネットワーク

DNS TCP または UDP 経由で DNS サーバにクエリを送信します。ネットワーク

EPIC Epic EMR は、患者の管理情報と医療情報を提供する電子医療記録アプリケー

ションです。

クライアントサーバ

ESET Eset アンチウイルス/セキュリティソフトウェアのダウンロードとアップデー

ト

ファイル転送

FPROT F-Prot アンチウイルス/セキュリティソフトウェアのダウンロードとアップデ

ート

ファイル転送

FTP FTP (File Transfer Protocol) は、ファイルサーバとローカルマシン間のフ

ァイル転送に使用されます。

ファイル転送

GITHUB Web ベースの Git またはバージョン管理リポジトリとインターネットホステ

ィングサービス

コラボレーション

NSX 管理ガイド

VMware, Inc. 159



HTTP HyperText Transfer Protocol。World Wide Web の基本的な転送プロ

トコルです。

Web サービス

HTTP2 HTTP 2.0 プロトコル対応の Web サイトを参照したときに生成されるトラ

フィック

Web サービス

IMAP IMAP (Internet Message Access Protocol) は、リモートサーバ上の E メールにアクセスするためのインターネット標準プロトコルです。

メール

KASPRSKY Kaspersky アンチウイルス/セキュリティソフトウェアのダウンロードとア

ップデート

ファイル転送

KERBEROS Kerberos は、秘密鍵暗号を使用してクライアント/サーバアプリケーション

に堅牢な認証機能を提供するネットワーク認証プロトコルです。

ネットワーク

LDAP LDAP (Lightweight Directory Access Protocol) は、IP ネットワーク経

由でディレクトリの読み取りと編集を行うためのプロトコルです。

データベース

MAXDB MaxDB SQL サーバに対する SQL 接続とクエリデータベース

MCAFEE McAfee アンチウイルス/セキュリティソフトウェアのダウンロードとアップ

デート

ファイル転送

MSSQL Microsoft SQL Server は、リレーショナルデータベースです。データベース

NFS クライアントコンピュータのユーザーが、ローカルストレージにアクセスする

場合と同様にネットワーク上のファイルにアクセスできます。

ファイル転送

NTBIOSNS NetBIOS ネームサービス。アプリケーションは、セッションを開始したり、

データグラムを配布するため、ネームサービスを使用して NetBIOS 名を登録


ネットワーク

NTP NTP (Network Time Protocol) は、ネットワーク経由でコンピュータシス

テムの時刻を同期するために使用されます。

ネットワーク

OCSP ユーザーのプライベートキーの侵害や失効を確認する OCSP レスポンダ。ネットワーク

ORACLE Oracle Corporation のオブジェクト/リレーショナルデータベース管理シス

テム (ORDBMS)データベース

PANDA Panda アンチウイルス/セキュリティソフトウェアのダウンロードとアップデ

ート

ファイル転送

PCOIP データセンターでデータの圧縮、暗号化、エンコードを行い、標準の IP ネット

ワーク間で転送するリモートアクセスプロトコルです。


POP2 POP (Post Office Protocol) は、ローカルのメールクライアントがリモー

トサーバからメールを取得するためのプロトコルです。

メール

POP3 Microsoft 社が実装する NetBIOS ネームサービス (NBNS)、ネームサー

バ、サービスです。

メール

RADIUS コンピュータがネットワークサービスに接続して使用できるように、認証/承認/課金 (AAA) を集中管理します。

ネットワーク

RDP RDP (Remote Desktop Protocol) は、別のコンピュータのグラフィカル

インターフェイスへのアクセスを可能にします。


RTCP RTCP (Real-Time Transport Control Protocol) は、RTP (Real-time Transport Protocol) と一緒に使用するプロトコルです。RTCP は、RTP フローにアウトオブバンドの制御情報を提供します。

メディアストリーミング

NSX 管理ガイド

VMware, Inc. 160



RTP RTP (Real-Time Transport Protocol) は主にリアルタイムオーディオ/ビデオの配信に使用されます。


RTSP RTSP (Real Time Streaming Protocol) は、エンドポイント間のメディア

セッションの確立と制御に使用されます。


RTSPS エンターテイメントや通信システムでストリーミングメディアサーバの制御

を行うために使用するセキュアなネットワーク管理プロトコル。このプロトコ

ルは、エンドポイント間のメディアセッションの確立と制御に使用されます。


SIP SIP (Session Initiation Protocol) は、音声通話/ビデオ通話の設定と制御を

行う一般的な制御プロトコルです。


SKIP SKIP (Simple Key Management for Internet Protocols) は、ハイブリ

ッド　キー配布プロトコルです。SKIP は SSL に似ていますが、長期的なキー

で接続を確立した後は、セッション単位の接続やキーの交換の際、事前に通信す

る必要はありません。ｚ＾８ｚ

ネットワーク

SMTP SMTP (Simple Mail Transfer Protocol) は、インターネットプロトコル

(IP) ネットワーク間で E メールの転送を行うインターネット標準規格です。

メール

SNMP SNMP (Simple Network Management Protocol) は、IP ネットワーク

上のデバイスを管理するインターネット標準プロトコルです。

ネットワーク監視

SQLNET プログラムと Oracle Database または複数の Oracle Database 間でリモ

ートデータアクセスを可能にするネットワークソフトウェア。

データベース

SQLSERV SQL サービスデータベース

SSH SSH (Secure Shell) は、ネットワークに接続している 2 台のデバイス間でセ

キュアチャネルを使用してデータの交換を行うためのネットワークプロトコ

ルです。


SSL SSL (Secure Sockets Layer) は、インターネット経由で保護された通信を

可能にする暗号プロトコルです。

Web サービス

SVN Subversion サーバ上のコンテンツを管理します。データベース

SYMUPDAT Symantec LiveUpdate のトラフィック。スパイウェアの定義、ファイアウ

ォールルール、アンチウイルスシグネチャファイル、ソフトウェア　アップデ

ートなどが転送されます。

ファイル転送

SYSLOG Symantec LiveUpdate のトラフィック。スパイウェアの定義、ファイアウ

ォールルール、アンチウイルスシグネチャファイル、ソフトウェアアップデ

ートなどが転送されます。

ネットワーク監視

TELNET インターネットまたはローカルエリアネットワークで、仮想ターミナル接続に

より、双方向のインタラクティブなテキスト指向通信機能を提供するためのネッ

トワークプロトコル。


TFTP TFTP (Trivial File Transfer Protocol) は、WinAgents TFTP クライア

ントなどのクライアントを使用して、SolarWinds TFTP サーバなどの TFTP サーバにファイルのリスト、ダウンロード、アップロードを行うために使用され

ます。

ファイル転送

VNC 仮想ネットワークコンピューティングのトラフィック。リモートアクセス

WINS Microsoft が実装する NetBIOS ネームサービス (NBNS)、ネームサーバ、

サービスです。

ネットワーク

NSX 管理ガイド

VMware, Inc. 161

例：コンテキストアウェアファイアウォールルールの作成

レイヤー 7 サービスオブジェクトを定義することで、コンテキストアウェアまたはアプリケーションベースのファ

イアウォールルールを設定できます。レイヤー 7 コンテキストアウェアファイアウォールルールは、パケットの

内容をインテリジェントに検査します。

この例では、APP_HTTP サービスオブジェクトを使用するレイヤー 7 ファイアウォールルールの作成方法につい

て説明します。このファイアウォールルールでは、仮想マシンから任意の宛先への HTTP 要求を許可します。ファ

イアウォールルールを作成したら、このファイアウォールルールを渡す送信元の仮想マシンで HTTP セッションを

開始し、送信元の仮想マシンの特定の vNIC でフロー監視をオンにします。このファイアウォールルールは、HTTP アプリケーションコンテキストを検出し、送信元の仮想マシンにルールを適用します。

前提条件

次の NSX ロールを持つアカウントを使用して、vSphere Web Client にログインする必要があります。

n セキュリティ管理者

n NSX 管理者

n セキュリティエンジニア

n エンタープライズ管理者

注： NSX Data Center for vSphere 6.4 以降がインストールされていることを確認します。

手順

1 vSphere Web Client で、[ネットワークとセキュリティ (Networking & Security)] - [セキュリティ

(Security)] - [ファイアウォール (Firewall)] の順に移動します。

2 （オプション）ファイアウォールルールセクションを追加して、コンテキストアウェアファイアウォールルー

ルをグループ化します。

3 [ルールの追加 (Add Rule)] をクリックします。

4 コンテキストアウェアファイアウォールルールを作成します。

a このルールを識別できるように、ルール名を入力します。たとえば、L7_Rule_HTTP_Service と入力し

ます。

b [送信元] 列をクリックして、[編集 (Edit)]（）アイコンをクリックします。

[送信元の指定] ページが開きます。

c [オブジェクトタイプ (Object Type)] ドロップダウンメニューから、[仮想マシン (Virtual Machine)] を選択します。

d [使用可能なオブジェクト (Available Objects)] リストから仮想マシンを選択します。このオブジェクト

を [選択したオブジェクト (Selected Objects)] リストに移動し、[保存 (Save)] をクリックします。

e [宛先] 列で、デフォルト値（「任意」）を使用します。

f [サービス] 列で、[編集 (Edit)]（）アイコンをクリックします。

[サービスの指定] ページが開きます。

NSX 管理ガイド

VMware, Inc. 162

g [オブジェクトタイプ (Object Type)] ドロップダウンメニューから、[サービス (Services)] を選択しま

す。

h [使用可能なオブジェクト (Available Objects)] リストから [App_HTTP] サービスを選択します。この

サービスを [選択したオブジェクト (Selected Objects)] リストに移動し、[保存 (Save)] をクリックしま

す。

i ファイアウォールルールが有効で、ルールアクションが [許可 (Allow)] に設定されていることを確認しま

す。

j [発行 (Publish)] をクリックして、ファイアウォールルールの設定を発行します。

次の図に、作成したファイアウォールルールを示します。

図 10-2. コンテキストアウェアファイアウォールルールの定義

5 送信元の仮想マシンのコンソールにログインして wget Linux コマンドを実行し、HTTP 経由で Web からフ

ァイルをダウンロードします。

6 送信元の仮想マシンの vNIC でライブフローの監視をオンにし、送信元の仮想マシンのトラフィックフローを

監視します。

a [ツール (Tools)] - [フローモニタリング (Flow Monitoring)] の順に移動します。

b 送信元の仮想マシンの特定の vNIC を選択します。たとえば、l2vpn-client-vm-Network adapter 1


c [開始 (Start)] をクリックして、フロー監視データを表示します。

7 次の図のフロー監視データは、ファイアウォールルールがアプリケーション (HTTP) コンテキストを検出した

ことを表しています。ルール 1005 が送信元の仮想マシン (10.161.117.238) に適用され、トラフィックの宛先

の IP アドレス 151.101.129.67 と 151.101.53.67 になっています。

図 10-3. 送信元の仮想マシンのトラフィックフロー

8 [ファイアウォール] ページに戻り、ルールアクションを [ブロック (Block)] に変更します。

NSX 管理ガイド

VMware, Inc. 163

9 送信元の仮想マシンのコンソールに移動して、再度 wget コマンドを実行します。

送信元の仮想マシンで HTTP 要求がブロックされていることを確認します。仮想マシンコンソールに、次のよ

うなエラーが表示されます。

HTTP request sent, awaiting response ... Read error (Connection reset by peer) in headers

Retrying.

次の図は、アプリケーション (HTTP) コンテキストのフローが検出され、送信元の仮想マシン (10.161.117.238) の vNIC でブロックされたことを示しています。

図 10-4. 送信元の仮想マシンのトラフィックフロー

次のステップ

コンテキストアウェアファイアウォールルールを使用する場合の他のシナリオについては、コンテキストアウェア

ファイアウォールのシナリオを参照してください。

セッションタイマー

セッションタイマーは、TCP、UDP、および ICMP セッションに設定できます。

セッションタイマーは、非アクティブ状態になったセッションをファイアウォールで保持する期間を定義します。プ

ロトコルのセッションがタイムアウトになると、そのセッションは閉じられます。

ファイアウォールで、TCP、UDP、および ICMP セッションに複数のタイムアウトを指定して、仮想マシンまたは

vNIC のユーザー定義のサブセットに適用できます。デフォルトで、ユーザー定義タイマーに含まれていないすべて

の仮想マシンまたは vNIC は、グローバルセッションタイマーに含まれます。これらのタイムアウトはすべてグロ

ーバルに適用されます。つまり、ホスト上で該当するタイプのすべてのセッションに適用されます。

デフォルトのセッションの値は、ネットワークのニーズに応じて変更できます。設定値が小さすぎるとタイムアウト

が頻繁に発生するようになり、大きすぎると障害検知が遅れる可能性があります。

セッションタイマーの作成

セッションタイマーは、セッションが非アクティブ状態になった後にファイアウォールでそのセッションが保持され

る期間を定義します。

NSX 管理ガイド

VMware, Inc. 164

ファイアウォール上で、ユーザー定義の仮想マシンまたは vNIC のセットを対象として、TCP、UDP、ICMP の各

セッションのタイムアウトを定義できます。デフォルトのタイマーはグローバルであり、ファイアウォールが保護す

るすべての仮想マシンに適用されます。

手順

1 タイムアウトの設定に移動します。

u NSX 6.4.1 以降では、[ネットワークとセキュリティ (Networking & Security)] - [セキュリティ

(Security)] - [ファイアウォール設定 (Firewall Settings)] - [タイムアウト設定 (Timeout Settings)] の順に移動します。

u NSX 6.4.0 では、[ネットワークとセキュリティ (Networking & Security)] - [セキュリティ

(Security)] - [ファイアウォール (Firewall)] - [設定 (Settings)] の順に移動します。

2 使用可能な NSX Manager が複数ある場合は、ドロップダウンリストから 1 つを選択します。

3 [追加 (Add)]（）アイコンをクリックします。

4 セッションタイマーの [名前 (name)]（必須）と [説明 (description)]（オプション）を入力します。

5 プロトコルを選択します。デフォルト値を受け入れるか、別の値を入力します。

TCP 変数説明

First Packet 最初のパケットが送信された後の、接続のタイムアウト値です。デフォルトは 120 秒です。

Closing 最初の FIN が送信された後の、接続のタイムアウト値です。デフォルトは 120 秒です。

Open 2 番目のパケットが転送された後の、接続のタイムアウト値です。デフォルトは 30 秒です。

Fin Wait 両方の FIN が交換され、接続が閉じられた後の、接続のタイムアウト値です。デフォルトは 45 秒です。

Established 接続が完全に確立された後の、接続のタイムアウト値です。

Closed 1 つのエンドポイントが RST を送信した後の、接続のタイムアウト値です。デフォルトは 20 秒です。

UDP 変数説明

First Packet 最初のパケットが送信された後の、接続のタイムアウト値です。これは、新しい UDP フローの最初のタイムアウトになりま

す。デフォルトは 60 秒です。

Single 送信元ホストが複数のパケットを送信し、宛先ホストが送り返さなかった場合の、接続のタイムアウト値です。デフォルトは

30 秒です。

Multiple 両方のホストがパケットを送信した場合の、接続のタイムアウト値です。デフォルトは 60 秒です。

ICMP 変数説明

First Packet 最初のパケットが送信された後の、接続のタイムアウト値です。これは、新しい ICMP フローの最初のタイムアウトになりま


Error reply ICMP パケットへの応答で ICMP エラーが返された後の、接続のタイムアウト値です。デフォルトは 10 秒です。

6 NSX 6.1 以降では、[次へ (Next)] をクリックします。

7 オブジェクトタイプとして [vNIC] または [仮想マシン (VM)] を選択します。

使用可能なオブジェクトのリストが自動的に設定されます。

NSX 管理ガイド

VMware, Inc. 165

8 1 個以上のオブジェクトを選択し、矢印をクリックしてそれらのオブジェクトを [選択したオブジェクト

(Selected Objects)] 列に移動します。

9 [OK] または [終了 (Finish)] をクリックします。

結果

ユーザー定義のホストのセットに適用するタイマーが作成されました。

セッションタイマーの編集

TCP、UDP、ICMP の各プロトコルのタイムアウトパラメータを設定します。

セッションタイマーの作成後、必要に応じて変更できます。デフォルトのセッションタイマーも編集できます。

手順

1 タイムアウトの設定に移動します。


(Security)] - [ファイアウォール設定 (Firewall Settings)] - [タイムアウト設定 (Timeout Settings)] の順に移動します。


(Security)] - [ファイアウォール (Firewall)] - [設定 (Settings)] の順に移動します。

2 使用可能な NSX Manager が複数ある場合は、ドロップダウンリストから 1 つを選択します。

3 編集するタイマーを選択します。デフォルトのタイマーの値も編集できます。[鉛筆 (pencil)] アイコンをクリ

ックします。

4 セッションタイマーの [名前 (name)]（必須）と [説明 (description)]（オプション）を入力します。

5 プロトコルを選択します。変更するデフォルト値を編集します。

TCP 変数説明

First Packet 最初のパケットが送信された後の、接続のタイムアウト値です。デフォルトは 120 秒です。

Closing 最初の FIN が送信された後の、接続のタイムアウト値です。デフォルトは 120 秒です。

Open 2 番目のパケットが転送された後の、接続のタイムアウト値です。デフォルトは 30 秒です。

Fin Wait 両方の FIN が交換され、接続が閉じられた後の、接続のタイムアウト値です。デフォルトは 45 秒です。

Established 接続が完全に確立された後の、接続のタイムアウト値です。

Closed 1 つのエンドポイントが RST を送信した後の、接続のタイムアウト値です。デフォルトは 20 秒です。

UDP 変数説明

First Packet 最初のパケットが送信された後の、接続のタイムアウト値です。これは、新しい UDP フローの最初のタイムアウトになりま


Single 送信元ホストが複数のパケットを送信し、宛先ホストが送り返さなかった場合の、接続のタイムアウト値です。デフォルトは

30 秒です。

Multiple 両方のホストがパケットを送信した場合の、接続のタイムアウト値です。デフォルトは 60 秒です。

NSX 管理ガイド

VMware, Inc. 166

ICMP 変数説明

First Packet 最初のパケットが送信された後の、接続のタイムアウト値です。これは、新しい ICMP フローの最初のタイムアウトになりま


Error reply ICMP パケットへの応答で ICMP エラーが返された後の、接続のタイムアウト値です。デフォルトは 10 秒です。

6 NSX 6.1 以降では、[次へ (Next)] をクリックします。

7 オブジェクトタイプとして [vNIC] または [仮想マシン (VM)] を選択します。

使用可能なオブジェクトのリストが自動的に設定されます。

8 1 個以上のオブジェクトを選択し、矢印をクリックしてそれらのオブジェクトを [選択したオブジェクト



仮想マシンの IP アドレス検出

VMware Tools は仮想マシンで実行され、いくつかのサービスを提供します。分散ファイアウォールに欠かせない

サービスの 1 つは、仮想マシンおよびその vNIC と IP アドレスとの関連付けです。NSX 6.2 より前のバージョンで

は、VMware Tools が仮想マシンにインストールされていないと、その IP アドレスを検出できませんでした。NSX 6.2 以降では、DHCP スヌーピングか ARP スヌーピングのいずれか、またはその両方で仮想マシンの IP アドレス

を検出するようにクラスタを設定できます。これにより、NSX は VMware Tools が仮想マシンにインストールさ

れていない場合でも IP アドレスを検出できます。VMware Tools がインストールされている場合、DHCP および

ARP のスヌーピングと組み合わせて使用できます。

VMware では、VMware Tools を環境内のすべての仮想マシンにインストールすることをお勧めします。

vCenter Server に仮想マシンの IP アドレスを提供するだけでなく、次の機能があります。

n 仮想マシンとホストまたはクライアントデスクトップの間でのコピーアンドペーストを可能にする

n ホスト OS と時刻を同期する

n vCenter Server からの仮想マシンのシャットダウンまたは再起動を可能にする

n 仮想マシンからネットワーク、ディスク、メモリの使用量を収集し、ホストに送信する

n ハートビートを送信して収集することで仮想マシンの可用性を判断する

同じネットワークで 1 台の仮想マシンに 2 つの vNIC を使用できません。トラフィックがブロックまたは許可され

ると、予期しない結果が発生する可能性があります。

VMware Tools がインストールされていない仮想マシンでは、仮想マシンのクラスタで ARP および DHCP のス

ヌーピングが有効な場合、NSX は ARP または DHCP のスヌーピングを使用して IP アドレスを検出します。

ARP スヌーピングで検出された IP アドレスは自動的に削除されません。つまり、ARP スヌーピングで検出された

vNIC IP アドレスのタイムアウトはありません。

IP アドレス検出タイプの変更

仮想マシンの IP アドレスは、仮想マシンにインストールされる VMware Tools によって、または DHCP スヌー

ピングおよび ARP スヌーピングによって検出できます。これらの IP アドレス検出方法は、同じ NSX インストール

環境で同時に使用できます。

NSX 管理ガイド

VMware, Inc. 167

IP アドレス検出タイプは、グローバルレベルまたはホストクラスタレベルで指定できます。通常、セキュリティ管

理者とセキュリティエンジニアロールを持つユーザーは、IP アドレス検出タイプをグローバルレベルで指定するこ

とをお勧めします。検出された仮想マシンの IP アドレスを使用して、SpoofGuard ポリシーと分散ファイアウォー

ルポリシーを設定します。

通常、エンタープライズ管理者ロールを持つユーザーは仮想ネットワーク全体を管理しているため、ホストクラスタ

レベルで設定を編集して IP アドレス検出タイプを制御したほうが良い場合があります。ホストクラスタレベルの

IP アドレス検出設定は、グローバルレベルで指定された設定よりも優先されます。

手順

1 [IP アドレス検出タイプの変更] 画面に移動します。

IP アドレス検出レベル手順

グローバル IP アドレス検出 a [ネットワークとセキュリティ] - [セキュリティ] - [SpoofGuard] の順に移動します。

b [IP アドレス検出タイプ] の横にあるアイコンをクリックします。

ホストクラスタの IP アドレス検出 a [ネットワークとセキュリティ] - [インストールとアップグレード] - [ホストの準備] の順に移動します。

b IP アドレス検出を変更するクラスタをクリックして、[アクション] - [IP アドレス検出タ

イプの変更] の順にクリックします。

2 目的の IP アドレス検出タイプを選択して、[保存 (Save)] または [OK] をクリックします。

IP アドレス検出タイプ説明

DHCP スヌーピング NSX は、DHCP スヌーピングエントリを読み取り、ネットワーク内の仮想マシンの IP アド

レスを検出します。

ARP スヌーピング NSX は、ARP スヌーピングメカニズムを使用して、仮想マシンの IP アドレスを検出しま

す。

推奨 ARP スヌーピングを使用して IP アドレスを検出する場合は、SpoofGuard を設定し

ます。SpoofGuard は、ARP ポイズニング攻撃からネットワークを保護するのに役立ちま

す。

3 ARP スヌーピングを選択した場合は、各仮想マシンについて、vNIC ごとに検出する ARP IP アドレスの最大

数を入力します。デフォルト値は 1 です。

ARP スヌーピングは、各仮想マシンの vNIC ごとに最大 128 個までの IP アドレスを検出できます。有効な値

の範囲は 1 ～ 128 です。たとえば、5 という値を指定すると、各仮想マシンで vNIC ごとに最大 5 つの IP アド

レスが検出されます。

ARP スヌーピングで検出された IP アドレスは自動的に削除されません。つまり、ARP スヌーピングで検出さ

れた vNIC IP アドレスのタイムアウトはありません。

次のステップ

n ARP スヌーピングを有効にした場合は、ARP ポイズニング攻撃からネットワークを保護するように

SpoofGuard を設定することも検討してください。

n デフォルトのファイアウォールルールを設定します。

NSX 管理ガイド

VMware, Inc. 168

ファイアウォールによる保護からの仮想マシンの除外

分散ファイアウォール保護から一連の仮想マシンを除外することができます。

NSX Manager、NSX Controller、NSX Edge 仮想マシンは、分散ファイアウォール保護から自動的に除外され

ます。また、除外リストに以下のサービス仮想マシンを含めて、トラフィックの自由なフローを可能にします。

n vCenter Server。vCenter Server は Firewall によって保護されているクラスタに移動できますが、これを

前もって除外リストに追加しておき、接続の問題を防止する必要があります。

注：「任意」のデフォルトルールを許可からブロックに変更する前に、除外リストに vCenter Server を追

加することが重要です。この操作を行わないと、「すべて拒否」ルールを作成した後（または、デフォルトルー

ルをブロックアクションに変更した後）で vCenter Server へのアクセスがブロックされます。この場合、デ

フォルトのルールを拒否から許可に変更します。たとえば、現在の設定を取得するには GET /api/4.0/firewall/globalroot-0/config を使用します。設定を変更するには PUT /api/4.0/firewall/globalroot-0/config を使用します。詳細については、『NSX API ガイド』の「分散ファイアウォール設定の

操作」を参照してください。

n パートナーのサービス仮想マシン。

n 無差別モードを必要とする仮想マシン。この仮想マシンを分散ファイアウォールで保護した場合、仮想マシンの

パフォーマンスに悪影響が及ぶ可能性があります。

n Windows ベースの vCenter Server で使用する SQL Server。

n vCenter Server Web サーバ（個別に実行している場合）。

手順

1 除外リストの設定に移動します。


(Security)] - [ファイアウォール設定 (Firewall Settings)] - [除外リスト (Exclusion List)] の順に移動

します。


(Security)] - [ファイアウォール (Firewall)] - [除外リスト (Exclusion List)] の順に移動します。


3 除外する仮想マシンを [選択したオブジェクト] に移動します。


結果

1 台の仮想マシンに複数の vNIC がある場合は、そのすべてが保護から除外されます。仮想マシンを除外リストに追

加した後に vNIC を仮想マシンに追加した場合、新しく追加した vNIC に Firewall が自動的にデプロイされます。

新しい vNIC をファイアウォール保護から除外するには、仮想マシンを除外リストから削除した後、除外リストに再

度追加する必要があります。代替の回避策は仮想マシンの電源を入れ直す（パワーオフした後にパワーオンする）こ

とですが、問題が少ないのは最初のオプションです。

NSX 管理ガイド

VMware, Inc. 169

ファイアウォール CPU イベントおよびメモリしきい値イベントの表示

クラスタがネットワークの仮想化用に準備されるときに、ファイアウォールモジュールがそのクラスタのすべてのホ

スト上にインストールされます。このモジュールが割り当てる 3 つのヒープは、モジュールパラメータ用モジュー

ルヒープ、ルール、コンテナ、フィルタ用ルールヒープ、およびトラフィックフロー用状態ヒープです。ヒープサイズ割り当ては、有効なホスト物理メモリによって決まります。ルール数、コンテナセット数、接続数に応じて、ヒ

ープサイズは時間の経過とともに拡大または縮小される可能性があります。ハイパーバイザー上で実行されている

ファイアウォールモジュールは、パケット処理のためにホスト CPU も使用します。

指定した任意の時間のホストリソース使用率を知ることで、サーバ使用率およびネットワーク設計をよりよく整理で

きます。

デフォルトの CPU しきい値は 100 であり、メモリしきい値は 100 です。デフォルトのしきい値は、REST API 呼び出しを使用して変更できます。メモリおよび CPU 使用率がしきい値に達すると、ファイアウォールモジュールで

システムイベントが生成されます。デフォルトのしきい値の設定の詳細については、『NSX API ガイド』の

「Memory and CPU Thresholds」を参照してください。

手順

1 vSphere Web Client で、[ネットワークとセキュリティ (Networking & Security)] - [システム

(System)] - [イベント (Events)] の順に移動します。

2 [監視 (Monitor)] タブが開かれていることを確認します。

3 [システムイベント (System Events)] タブをクリックします。

分散ファイアウォールのリソース使用率

メモリは、分散ファイアウォールの内部データ構造によって使用され、CPU、RAM、1 秒あたりの接続を設定でき

ます。

各 ESXi ホストには、分散ファイアウォールのリソース使用率の次のしきい値パラメータが設定されています。

CPU 使用率、ヒープメモリ、プロセスメモリ、1 秒あたりの接続数 (CPS)、最大接続数。200 秒の間に 20 回連

続でそれぞれのしきい値を超えた場合、アラームが表示されます。サンプルは 10 秒ごとに取得されます。

メモリは、フィルタ、ルール、コンテナ、接続状態、検出された IP、ドロップフローを含む分散ファイアウォール

の内部データ構造によって使用されます。これらのパラメータは、次の API 呼び出しを使用して操作できます。

PUT /api/4.0/firewall/stats/thresholds 詳細については、『NSX API ガイド』を参照してください。

Edge ファイアウォール

Edge ファイアウォールは、North-South トラフィックを監視して、ファイアウォール、ネットワークアドレス変

換 (NAT)、サイト間 IPsec VPN、SSL VPN などの境界セキュリティ機能を提供します。このソリューションは仮

想マシンで利用でき、高可用性モードでデプロイできます。

NSX 管理ガイド

VMware, Inc. 170

Edge ファイアウォールのサポートは、分散論理ルーターに制限されます。管理インターフェイスまたはアップリン

クインターフェイスのルールのみが機能しますが、内部インターフェイスのルールは機能しません。

注： NSX-V Edge は、攻撃者が SYN パケットのフラッディングによって、ファイアウォールのステートトラッ

キングテーブルをいっぱいにする SYN フラッド攻撃に対して脆弱性があります。この DOS/DDOS 攻撃によっ

て、ユーザーへのサービスが中断されてしまいます。Edge は、ファイアウォールのステートトラッキングリソー

スを使用せずに、偽の TCP 接続を検出して終了させるロジックを実装して、SYN フラッド攻撃に対して防御する必

要があります。この機能はデフォルトで無効になっています。リスクの高い環境でこの機能を有効にするには、ファ

イアウォールのグローバル設定の中で、REST API enableSynFloodProtection の値を true に設定します。

NSX Edge で SynFloodProtection が有効な場合の動作については、VMware ナレッジベースの記事

https://kb.vmware.com/s/article/54527 を参照してください。

NSX Edge ファイアウォールルールの使用

NSX Edge に移動し、それに適用されるファイアウォールルールを確認できます。

分散論理ルーターに適用されるファイアウォールルールは、分散論理ルーター制御仮想マシンで送受信される制御プ

レーントラフィックのみを保護します。これらのルールによって、何らかのデータプレーン保護が強制的に適用さ

れることはありません。データプレーントラフィックを保護するには、論理ファイアウォールルールを作成して

East-West を保護するか、または NSX Edge Services Gateway レベルのルールを作成して North-South を保護します。

ルールは次の順序で表示および適用されます。

1 Edge に適用される事前定義の分散ファイアウォールルール。

n これらのルールは、ファイアウォールユーザーインターフェイスで定義されています（[ネットワークとセ

キュリティ] - [セキュリティ] - [ファイアウォール]）。

n NSX Edge ファイアウォールユーザーインターフェイスでは、これらのルールは、読み取り専用モードで


2 Edge サービスの制御トラフィックフローを許可する内部ルール。たとえば、内部ルールには次のように自動配

置されるルールがあります。

a SSL VPN 自動組み込みルール：サーバの設定で SSL VPN サービスが有効になっている場合、[Edge ファイアウォール] タブに sslvpn 自動組み込みルールが表示されます。

b DNAT 自動組み込みルール：[Edge NAT] タブに、デフォルトの SSL VPN の設定の一部として DNAT 自動組み込みルールが表示されます。

3 NSX Edge ファイアウォールユーザーインターフェイスに追加されるユーザー定義のルール。

4 デフォルトルール。

デフォルトの NSX Edge ファイアウォールルールの編集

デフォルトのファイアウォール設定は、どのユーザー定義ファイアウォールルールにも一致しないトラフィックに適

用されます。デフォルトの Edge ファイアウォールポリシーでは、すべての受信トラフィックがブロックされます。

デフォルトのアクション設定とログ設定を変更できます。

NSX 管理ガイド

VMware, Inc. 171

https://kb.vmware.com/s/article/54527

手順

1 vSphere Web Client で、[ネットワークとセキュリティ (Networking & Security)] - [NSX Edge (NSX Edges)] の順に移動します。


3 [管理] - [ファイアウォール] の順にクリックします。

4 ファイアウォールテーブルで最後のルールになっている [デフォルトルール (Default Rule)] を選択します。

ルールのアクションを編集できます。また、デフォルトルールに一致するすべてのセッションのログを有効また

は無効にできます。ログを有効にするとパフォーマンスに影響が出る場合があります。


6.4.6 以降 a 必要に応じてルールのアクションを編集します。

b [ログ] 列で切り替えスイッチをクリックして、ログを有効または無効にします。

6.4.5 以前

a デフォルトルールの [アクション (Action)] セルをポイントし、をクリックします。

b 必要に応じてルールのアクションを編集します。

c 必要に応じて、[ログに記録 (Log)] または [ログに記録しない] をクリックします。


NSX Edge ファイアウォールルールの追加

ユーザー定義の Edge ファイアウォールルールを NSX Edge サービスゲートウェイに追加し、特定のタイプのト

ラフィックの受け入れ、却下、または拒否を行うことができます。ただし、ユーザー定義のファイアウォールルール

を分散論理ルーターに追加することはできません。

Edge ファイアウォールインターフェイスでは、次の方法で Edge ファイアウォールルールを追加できます。

n ファイアウォールテーブルで既存のルールの上または下にルールを追加する。

n 既存のルールをコピーしてルールを追加する。

n [追加] アイコンをクリックして、ルールを追加する。

注意: 分散ファイアウォールルールを作成して Edge に適用している場合、これらのファイアウォールルールは

Edge ファイアウォールのユーザーインターフェイスの読み取り専用モードに表示されます。ただし、Edge ファ

イアウォールのユーザーインターフェイスで作成した Edge ファイアウォールルールは、分散ファイアウォールルールの作成に使用したファイアウォールインターフェイスには表示されません（[ネットワークとセキュリティ] - [セキュリティ] - [ファイアウォール]）。

手順





NSX 管理ガイド

VMware, Inc. 172

5 Edge ファイアウォールルールを追加するプロセスを開始するには、次の 3 つの方法があります。

方法 1：ファイアウォールテーブルで既存のルールの上または下にルールを追加する。

NSX は、新しく追加されたルールの送信元、宛先、およびサービスの列を「任意」に設定します。ファイアウ

ォールテーブルにシステム生成のデフォルトのルールしかない場合、新しいルールはデフォルトのルールの上に

追加されます。新しいルールはデフォルトで有効になっています。


6.4.6 以降 a ルールを選択します。

b をクリックして、[上に追加 (Add Above)] または [下に追加 (Add Below)] を選

択します。

6.4.5 以前 a ルールを選択します。

b [番号]列で、をクリックし、[上に追加] または [下に追加] を選択します。

方法 2：既存のルールをコピーしてルールを追加する。

NSX 6.4.5 以前では、一度に 1 つのルールをコピーしてルールを作成できます。NSX 6.4.6 以降では、複数の

ルールを選択して同時にコピーできます。コピーしたルールはデフォルトで有効になり、必要に応じてルールの

プロパティを編集できます。

注：システム生成の内部ルールまたはデフォルトのルールをコピーして貼り付ける場合、新しく作成されたル

ールには自動的に user ルールタイプが割り当てられます。


6.4.6 以降 a コピーするルールの横にあるチェックボックスを選択します。

b [詳細] - [選択したルールのコピー] の順にクリックします。

c コピーしたルールを貼り付けるルールを選択します。

d をクリックして、[ルールを上に貼り付け] または [ルールを下に貼り付け] を選択しま

す。

6.4.5 以前 a ルールを選択します。

b [コピー]（）アイコンまたはをクリックして、[コピー] を選択します。

c コピーしたルールを貼り付けるルールを選択します。

d [番号]列で、をクリックし、[上に貼り付け] または [下に貼り付け] を選択します。

方法 3：[追加]（または）アイコンをクリックしてルールを追加する。

新しい行がファイアウォールテーブルに追加されます。NSX は、新しく追加されたルールの送信元、宛先、お

よびサービスの列を「任意」に設定します。ファイアウォールテーブルにシステム生成のデフォルトのルールし

かない場合、新しいルールはデフォルトのルールの上に追加されます。新しいルールはデフォルトで有効になっ

ています。

6 （オプション）ルール名を指定します。

n NSX 6.4.6 以降では、新しいルールの [名前] 列をクリックし、ルール名を入力します。

NSX 管理ガイド

VMware, Inc. 173

n NSX 6.4.5 以前では、新しいルールの [名前 (Name)] 列をポイントし、をクリックします。ルール名

を入力し、[OK] をクリックします。

7 （オプション）ファイアウォールルールの送信元を指定します。

送信元として IP アドレス、vCenter Server オブジェクト、グループオブジェクトを追加できます。送信元が

追加されていない場合、送信元は「任意」に設定されます。複数の NSX Edge インターフェイスや IP アドレ

スグループをファイアウォールルールの送信元として追加できます。

NSX 管理ガイド

VMware, Inc. 174

新しい IP セットを作成するか、新しいセキュリティグループを作成するかを選択できます。IP セットまたはセ

キュリティグループが作成されると、ルールの [送信元] 列に自動的に追加されます。

a ファイアウォールルールの送信元として使用する 1 つ以上のオブジェクトを選択します。


6.4.6 以降オブジェクトを選択するには：

1 ルールの [送信元] 列をポイントし、をクリックします。

2 [オブジェクト] タブで、[オブジェクトタイプ] ドロップダウンメニューからオブジ

ェクトタイプを選択します。

3 [使用可能なオブジェクト] リストからオブジェクトを選択し、[選択したオブジェク

ト] リストに移動します。

6.4.5 以前オブジェクトを選択するには：

1 ルールの [送信元 (Source)] 列をポイントし、をクリックします。

2 [オブジェクトタイプ] ドロップダウンメニューからオブジェクトタイプを選択しま

す。



たとえば、次の 2 つの状況では、「vNIC グループ」オブジェクトタイプを送信元として使用できます。

NSX Edge によって生成されるすべてのトラフィックを選択する

この場合、[オブジェクトタイプ] ドロップダウンメニューから [vNIC グループ] を選択し、[使用可能なオブジ

ェクト] リストから [vse] を選択します。

選択した NSX Edge の内部またはアップリンク（外部）インターフェイスから送信されるすべてのトラフ

ィックを選択する

この場合、[オブジェクトタイプ] ドロップダウンメニューから [vNIC グループ] を選択し、[使用可能なオブジ

ェクト] リストから [内部] または [外部] を選択します。

ルールは、Edge で追加のインターフェイスの設定時に自動的に更新されます。

注意: 内部インターフェイスに定義したファイアウォールルールは、分散論理ルーターでは機能しません。

b ファイアウォールルールの送信元として使用する IP アドレスを入力します。

カンマ区切りのリストを使用して複数の IP アドレスを入力することも、IP アドレスの範囲を入力すること

もできます。IPv4 および IPv6 アドレスの両方がサポートされています。

n NSX 6.4.6 以降では、をクリックします。[IP アドレス] タブをクリックして、[追加] をクリック

し、IP アドレスを入力します。

n NSX 6.4.5 以前の場合は、をクリックして IP アドレスを入力します。

c （オプション）ファイアウォールルールで定義された送信元を無効にします。

n [送信元の無効化] オプションを有効にするか選択した場合、このルールで定義されている送信元を除く

すべての送信元から受信するトラフィックにルールが適用されます。

NSX 管理ガイド

VMware, Inc. 175

n [送信元の無効化] オプションを無効にするか選択しなかった場合、このルールの送信元から受信するト

ラフィックにルールが適用されます。

8 （オプション）ファイアウォールルールの宛先を指定します。

宛先として IP アドレス、vCenter Server オブジェクト、グループオブジェクトを追加できます。宛先が追加

されていない場合、宛先は「任意」に設定されます。複数の NSX Edge インターフェイスや IP アドレスグル

ープをファイアウォールルールの宛先として追加できます。

ルールの宛先にオブジェクトと IP アドレスを追加する手順は、ルールの送信元を追加する手順と同じです。

ヒント: NSX 6.4.6 以降では、[送信元] 列から [宛先] 列にオブジェクトと IP アドレスをドラッグできます

（その逆も可能）。また、1 つのルールから別のルールにオブジェクトと IP アドレスをドラッグすることもできま

す。

NSX 管理ガイド

VMware, Inc. 176

9 （オプション）ファイアウォールルールで使用するサービスを指定します。

a ファイアウォールルールに 1 つ以上のサービスまたはサービスグループを追加します。

ルールに事前定義されたサービスまたはサービスグループを追加することも、ルールで使用するサービスま

たはサービスグループを新しく作成することもできます。NSX Edge は、L3 プロトコルでのみ定義され

たサービスをサポートします。


6.4.6 以降 1 新しいルールの [サービス] 列をポイントし、をクリックします。

2 [サービス/サービスグループ] タブで、[オブジェクトタイプ] ドロップダウンメニュ

ーからサービスまたはサービスグループのいずれかを選択します。



6.4.5 以前1 新しいルールの [サービス] 列をポイントし、をクリックします。

2 [オブジェクトタイプ] ドロップダウンメニューからサービスまたはサービスグルー

プを選択します。



ヒント: NSX 6.4.6 以降では、1 つのユーザー定義ルールから別のユーザー定義ルールにサービスとサー

ビスグループオブジェクトをドラッグできます。

b ポートプロトコルの組み合わせとして 1 つ以上のサービスをファイアウォールルールに追加します。

制限: Edge ファイアウォールでは、SCTP (Stream Control Transmission Protocol) プロトコルは

サポートされていません。


6.4.6 以降 1 新しいルールの [サービス] 列をポイントし、をクリックします。

2 [Raw ポート/プロトコル] タブをクリックして、[追加] をクリックします。

3 プロトコルを選択します。

4 [送信元ポート] 列で、ポート番号を入力します。

6.4.5 以前1 新しいルールの [サービス] 列をポイントし、をクリックします。

2 プロトコルを選択します。

3 [詳細オプション] を展開して、送信元ポート番号を入力します。

10 ルールのアクションを指定します。

n NSX 6.4.6 以降では、ドロップダウンメニューからアクションを選択します。

n NSX 6.4.5 以前では、ルールの [アクション (Action)] 列をポイントし、をクリックします。アクショ

ンを選択し、[OK] をクリックします。

NSX 管理ガイド

VMware, Inc. 177

以下の表で、ルールのアクションを説明します。

アクション説明

許可または承諾指定した送信元、宛先、サービスで送受信されるトラフィックを許可します。デフォルトでは、

アクションはトラフィックを許可するように設定されています。

拒否またはブロック指定した送信元、宛先、サービスで送受信されるトラフィックをブロックします。

却下許可されないパケットに対する拒否メッセージを送信します。

n TCP 接続では、RST パケットが送信されます。

n UDP、ICMP およびその他の IP 接続では、管理上禁止されたコードが含まれる ICMP メッセージが送信されます。

11 （オプション）この新しいファイアウォールルールに一致するセッションをログに記録する必要があるかどうか

を指定します。

デフォルトでは、ルールのログの収集は無効になっています。ログを有効にするとパフォーマンスに影響が出る

場合があります。

n NSX 6.4.6 以降でログを有効にするには、[ログ] 列の切り替えスイッチをクリックします。

n NSX 6.4.5 以前では、新しいルールの [アクション] 列をポイントし、をクリックします。[ログに記

録] または [ログに記録しない] を選択します。

12 （オプション）ファイアウォールルールの詳細設定を指定します。

n NSX 6.4.6 以降では、[詳細設定]（）アイコンをクリックします。

n NSX 6.4.5 以前では、新しいルールの [アクション] 列をポイントし、をクリックします。[詳細] オプ

ションを展開します。

NSX 管理ガイド

VMware, Inc. 178

以下の表で、詳細オプションを説明します。


方向受信トラフィック、送信トラフィック、あるいはその両方に両方にルールを適用するかどうか

を選択します。デフォルト値は「受信/送信」で、これは、送信元と宛先の両方でルールが対称

的に適用されることを意味します。

「受信」または「送信」方向ではルールが非対称になる可能性があるため、ファイアウォール

ルールの方向を指定することは推奨しません。

たとえば、送信元 A から宛先 B へのトラフィックを「許可」するファイアウォールルールを

作成し、ルールの方向を「送信」に設定したとします。

n A が B にパケットを送信すると、A でトラフィックの方向が「送信」に設定されている

ため、このルールに基づいて状態が作成されます。

n B でパケットが受信されると、実際のトラフィックの方向は「受信」になります。ルール

の方向が「送信トラフィック」のみを受け入れるように設定されているため、このルール

は B が受信したこのパケットに適用されません。

この例では、ルールで「送信」方向を設定すると、ルールが非対称になります。

一致条件このオプションを使用して、ファイアウォールルールを適用する条件を指定します。

n ネットワークアドレス変換が実行される前に元の IP アドレスとサービスにルールを適

用するには、[元データ] を選択します。

n ネットワークアドレス変換を実行した後で、変換後の IP アドレスとサービスにルールを

適用するには、[変換] を選択します。

13 [変更の発行 (Publish Changes)] をクリックして、新しいルールを NSX Edge に適用します。

例：サンプルのファイアウォールルール

図 10-5. NSX Edge インターフェイスから HTTP サーバへ向かうトラフィックのためのファイアウォールルール

図 10-6. NSX Edge のすべての内部インターフェイス（内部インターフェイスに接続されているポートグループ上

のサブネット）から HTTP サーバへ向かうトラフィックのためのファイアウォールルール

NSX 管理ガイド

VMware, Inc. 179

図 10-7. 内部ネットワーク内のマシンへの SSH を許可するトラフィックのためのファイアウォールルール

次のステップ

Edge ファイアウォールルールを操作するときに、ファイアウォールテーブルに追加タスクを実行できます。次は

その例です。

n テーブルのルールリストをフィルタリングします。たとえば、システムが生成したデフォルトのルールと内部ル

ールを非表示にしたり、Edge に適用された事前定義の分散ファイアウォールルールを非表示にできます。

n [検索] テキストボックスを使用して、特定の文字列に一致するルールを検索します。たとえば、文字列「133」

を含むすべてのルールを検索する場合は、[検索] テキストボックスに 133 と入力します。

n 発行済みルールの統計情報を表示します。

n NSX 6.4.6 以降では、[統計]（）アイコンをクリックします。

n NSX 6.4.5 以前では、ファイアウォールテーブルに [統計] 列が表示されていることを確認します。[統計]

列が表示されない場合は、をクリックして、[統計] 列を選択します。ルールの統計情報を表示するに

は、をクリックします。

n ユーザー定義ルールの順序を変更するには、[上へ移動]（または）または [下へ移動]（または）

アイコンをクリックします。NSX 6.4.6 以降では、ユーザー定義のルールをドラッグして順序を変更できます。

ドラッグするユーザー定義ルールをポイントします。ドラッグハンドル（）アイコンがルールの左側に表示さ

れます。このハンドルをクリックしてドラッグし、ファイアウォールテーブル内の有効な場所にルールを移動し

ます。

重要：自動生成された内部ルールとデフォルトルールの順序は変更できません。

n ルールを無効にします。

n NSX 6.4.6 以降では、ルール名の左側にある切り替えスイッチをクリックします。

n NSX 6.4.5 以前では、（[番号 (No.)] 列）をクリックします。

n ルールが発行されるまでは、ルールの変更を取り消したり、やり直したりできます。この機能は NSX 6.4.6 以降で使用可能です。ルールの公開後は、ルールの変更履歴が失われるため、変更を取り消したり、やり直すこと

はできません。

NSX Edge ファイアウォールルールの編集

ユーザー定義の Edge ファイアウォールルールのみを編集できます。システムが生成するデフォルトのファイアウ

ォールルールには、限定的な変更を行うことができます。

NSX 管理ガイド

VMware, Inc. 180

手順





5 編集するルールを選択します。

注： NSX Edge ファイアウォールユーザーインターフェイスで、次のタイプのルールを編集することはでき

ません。

n 内部ルール（Edge サービスの制御トラフィックフローを許可する自動配置ルールなど）

n Edge に適用される事前定義の分散ファイアウォールルール。これらのファイアウォールルールは、ファ

イアウォールユーザーインターフェイスで定義されています（[ネットワークとセキュリティ] - [セキュリ

ティ] - [ファイアウォール]）。

6 必要な変更を行い、[保存] または [OK] をクリックします。


NSX Edge ファイアウォールルールの順序の変更

[Edge ファイアウォール] タブで追加されたユーザー定義のファイアウォールルールの順序を変更し、NSX Edge を通過するトラフィックをカスタマイズできます。たとえば、ロードバランサのトラフィックを許可するルールを設

定しているとします。ここで、特定の IP アドレスグループからのロードバランサのトラフィックを拒否するルール

を追加し、このルールをロードバランサを許可するトラフィックルールの上に置くことができます。

手順





5 順序を変更するルールを選択します。

重要：自動生成された内部ルールとデフォルトルールの順序は変更できません。

6 [上へ移動 (Move Up)]（または）または [下へ移動 (Move Down)]（または）アイコンをクリ

ックします。

ヒント: NSX 6.4.6 以降では、ユーザー定義のルールをドラッグして順序を変更できます。ドラッグするユー

ザー定義ルールをポイントします。ドラッグハンドル（）アイコンがこのルールの左側に表示されます。この

ハンドルをクリックしてドラッグし、ファイアウォールテーブル内の有効な場所にルールを移動します。


NSX 管理ガイド

VMware, Inc. 181

NSX Edge ファイアウォールルールの削除

NSX Edge の [ファイアウォール] タブで追加されたユーザー定義のファイアウォールルールを削除できます。

手順





5 削除するユーザー定義のルールを選択します。

制限: 次のタイプのファイアウォールルールは削除できません。

n デフォルトルール

n システム生成の内部（自動配置）ルール

n ファイアウォールユーザーインターフェイスを使用して Edge に適用される事前定義の分散ファイアウ

ォールルール（[ネットワークとセキュリティ] - [セキュリティ] - [ファイアウォール]）


7 [変更の発行] をクリックします。

Edge ファイアウォールルールを有効に設定する

ルールで使用されているグループオブジェクト、サービスまたはサービスグループが削除されると、Edge ファイ

アウォールルールが無効になります。無効なファイアウォールルールは発行できません。

次の図のように、ルールの宛先に IP セットオブジェクトが設定された Edge ファイアウォールルールを作成した

とします。

次の手順では、Edge で FW-IPset オブジェクトを削除して、ファイアウォールテーブルに戻り、NSX Edge が無効なルールを検出していることを確認します。ルールを有効としてマークし、再発行します。

手順

1 Edge で IP セットオブジェクトを強制的に削除します。


b [ネットワークとセキュリティ] - [NSX Edge] の順にクリックします。

NSX 管理ガイド

VMware, Inc. 182

c Edge をダブルクリックし、[管理] - [グループオブジェクト] の順に移動します。

d [IP セット] タブをクリックして、[FW-IPSet] オブジェクトを選択します。

e [削除]（または ) アイコンをクリックして、[強制的に削除] チェックボックスを選択します。

2 [ファイアウォール] タブをクリックして、Edge ファイアウォールテーブルに戻ります。

3 NSX が上のファイアウォールテーブルに次のエラーメッセージを表示していることを確認します。

NSX Edge は、位置 4 のファイアウォールルールの宛先が無効であることを検出したため、ルールが無効にな

ります。次の図のように、ルールの宛先列の空のオブジェクトが赤色のボックスで囲まれます。

4 （必須）空のオブジェクトを削除します。


6.4.6 以降空の sys-gen-empty-ipset-edge-fw オブジェクトをポイントし、をクリックして、

[削除] を選択します。

6.4.5 以前空の sys-gen-empty-ipset-edge-fw オブジェクトをポイントし、をクリックしま

す。

5 （オプション）ルールの設定が有効になるように、ルールの宛先を編集します。


6.4.6 以降 a ルールの [宛先] 列をポイントし、をクリックして、[ルールターゲットを編集] 選択

します。

b 必要に応じて、オブジェクトまたは IP アドレスを追加します。

6.4.5 以前a ルールの [宛先] 列をポイントし、をクリックします。

b 必要に応じて、オブジェクトまたは IP アドレスを追加します。

6 （6.4.6 以降のみ）エラーメッセージの [ルールを有効としてマーク] リンクをクリックします。

NSX Edge に、次の警告メッセージが表示されます。

This action will mark rule as valid.

Please ensure that all elements in the rule are valid objects before performing this action.

Do you want to continue?

n [はい] をクリックして、ルールを有効とマークします。エラーメッセージが消去されます。

NSX 管理ガイド

VMware, Inc. 183

n 警告メッセージを閉じてファイアウォールテーブルに戻り、ルールの宛先を確認して編集するには、[いい

え] をクリックします。

注： NSX 6.4.5 以前の場合は、ファイアウォールテーブルの上のエラーメッセージに [ルールを有効として

マーク] リンクが表示されません。空のオブジェクトを削除し、必要に応じてルールの宛先を編集すると、NSX Edge がルールの設定が有効になったことを検出し、エラーメッセージを消去します。

7 [変更の発行] をクリックして、ルールの変更を有効にします。

Edge オブジェクト

Edge レベルのグループオブジェクトを作成すると、オブジェクトのスコープを Edge に制限できます。ネットワ

ークグループオブジェクトはグローバルスコープで、Edge や他のオブジェクト間で使用できますが、Edge グル

ープオブジェクトは異なります。

たとえば、特定の Edge に IP セット（IP アドレスグループ）を作成し、この IP セットが他のコンテキストで再利

用されないようにするには、Edge の IP セットを作成します。

NSX Edge のスコープでは、次のグループオブジェクトを作成し、管理できます。

n IP セット

n サービス

n サービスグループ

vSphere Web Client で Edge オブジェクトを作成するには、Edge を選択し、[管理 (Manage)] - [グループオブジェクト (Grouping Objects)] の順に移動します。

IP セット（IP アドレスグループ）、サービス、サービスグループの操作方法については、22 章ネットワークおよ

びセキュリティオブジェクトを参照してください。

NAT ルールの管理

NSX Edge は、ネットワークアドレス変換 (NAT) サービスを提供して、パブリックアドレスをプライベートネットワーク内のコンピュータ（またはコンピュータグループ）に割り当てます。NAT テクノロジーを使用すると、

組織または企業が使用するパブリック IP アドレス数が制限されるため、コストおよびセキュリティの面で利点があ

ります。企業のプライベートネットワーク内の仮想マシンで実行されているサービスへのアクセスを許可するには、

Edge アプライアンスで NAT ルールを設定する必要があります。

NAT サービスの設定は、送信元の NAT (SNAT) ルールと宛先の NAT (DNAT) ルールに分けられます。

SNAT ルールの追加

送信元の IP アドレスをパブリックからプライベートの IP アドレスまたはその逆に変更する送信元の NAT (SNAT) ルールを作成できます。

手順

1 vSphere Web Client で、[ネットワークとセキュリティ (Networking & Security)] - [NSX Edges] の順

に移動します。


NSX 管理ガイド

VMware, Inc. 184

3 [管理 (Manage)] - [NAT] の順にクリックします。

4 [追加 (Add)] をクリックし、[SNAT ルールの追加 (Add SNAT Rule)] をクリックします。

5 ルールを追加するインターフェイスを選択します。

6 必要なプロトコルを選択します。

7 元の送信元（パブリック）IP アドレスを次のいずれかのフォーマットで入力します。

フォーマット Example

IP アドレス 192.0.2.0

IP アドレス範囲 192.0.2.0 ～ 192.0.2.24

IP アドレス/サブネット 192.0.2.0/24

any

8 送信元のポートまたはポート範囲を入力します。


ポート番号 80

ポート範囲 80-85

any

9 宛先 IP アドレスを次のいずれかのフォーマットで入力します。


IP アドレス 192.0.2.0

IP アドレス範囲 192.0.2.0 ～ 192.0.2.24

IP アドレス/サブネット 192.0.2.0 /24

any

10 宛先のポートまたはポート範囲を入力します。


ポート番号 80


any

11 変換後の送信元 IP アドレスを次のいずれかのフォーマットで入力します。


IP アドレス 192.0.2.0

IP アドレス範囲 192.0.2.0 ～ 192.0.2.24

NSX 管理ガイド

VMware, Inc. 185


IP アドレス/サブネット 192.0.2.0/24

any

12 ルールを有効にします。

13 （オプション）ログの作成を有効にして、アドレス変換のログを記録します。

14 [追加 (Add)] または [OK] をクリックして、SNAT ルールを追加します。


DNAT ルールの追加

宛先の IP アドレスをパブリックからプライベートの IP アドレスまたはその逆に変更する宛先 NAT (DNAT) ルー

ルを作成できます。

手順





4 [追加 (Add)] をクリックし、[DNAT ルールの追加 (Add DNAT Rule)] をクリックします。

5 DNAT ルールを適用するインターフェイスを選択します。

6 必要なプロトコルを選択します。

7 送信元 IP アドレスを次のいずれかのフォーマットで入力します。

フォーマット例

IP アドレス 192.0.2.0

IP アドレス範囲 192.0.2.0 ～ 192.0.2.24


any

8 送信元のポートまたはポート範囲を入力します。


ポート番号 80


any

NSX 管理ガイド

VMware, Inc. 186

9 オリジナル（パブリック）IP アドレスを次のいずれかのフォーマットで入力します。


IP アドレス 192.0.2.0

IP アドレス範囲 192.0.2.0 ～ 192.0.2.24


any

10 オリジナルのポートまたはポート範囲を入力します。


ポート番号 80


any

11 変換された IP アドレスを次のいずれかのフォーマットで入力します。


IP アドレス 192.0.2.0

IP アドレス範囲 192.0.2.0 ～ 192.0.2.24


any

12 変換されたポートまたはポート範囲を入力します。


ポート番号 80


any

13 ルールを有効にします。

14 （オプション）ログの作成を有効にして、アドレス変換のログを記録します。

15 [追加 (Add)] または [OK] をクリックして、DNAT ルールを追加します。


NAT64 ルールの追加

NAT64 ルールを使用すると、NSX Edge はネットワークアドレス変換を行い、外部 IPv6 サブネットワークから

内部 IPv4 サブネットワークへのトラフィックを許可します。

NAT64 では、IPv6 専用ノードから IPv4 専用ノードへの通信だけがサポートされます。

NSX 管理ガイド

VMware, Inc. 187

NAT64 は、次のレイヤー 4 プロトコルをサポートしています。

n TCP

n UDP

n ICMP

n ICMP Echo 要求と応答のみ。

n ICMPv4 エラーはサポートされていますが、ICMPv6 エラーはサポートされていません。

他のプロトコルタイプのパケットはすべて破棄されます。

IPv4 オプション、IPv6 ルーティングヘッダー、ホップバイホップ拡張ヘッダー、宛先オプションヘッダー、送信

元ルーティングヘッダーの変換はサポートされていません。FTP はサポートされていません。断片化されたパケッ

トはサポートされていません。

NAT64 では NSX Edge 高可用性はサポートされていません。アクティブアプライアンスとスタンバイアプライ

アンス間で NAT64 セッションは同期されません。フェイルオーバーが発生すると、接続が中断します。

動的ルーティングプロトコルを設定している場合、IPv4 プリフィックスが再配分されます。

NAT64 トラフィックには、次のタイマーが適用されます。

表 10-3. NAT64 タイマー

プロトコルタイムアウト

TCP 受信 TCP-SYNC 6 秒

TCP-ESTABLISHED 2 時間

TCP-Trans 4 分

UDP 5 分

ICMP 1 分

前提条件

n IPv6 ネットワークのアドレスを使用して、Edge Services Gateway のアップリンクインターフェイスを設

定します。

n IPv4 ネットワークのアドレスを使用して、Edge Services Gateway の内部インターフェイスを設定します。

n これらのアドレスが環境内で重複していないことを確認します。

手順





4 [ビュー (View)] ドロップダウンメニューから、[NAT64] を選択します。

NSX 管理ガイド

VMware, Inc. 188

5 [追加 (Add)] をクリックして、NAT64 パラメータを入力します。


IPv6 宛先プリフィックスと一致 IPv6 ネットワークプリフィックス（ネットワークアドレス）または特定の IPv6 アドレスを

CIDR 表記で入力します。

NAT64 を使用すると、IPv6 サブネットから IPv4 サブネットに接続できますが、ほとんど

の状況では、特定の IPv6 アドレスではなく IPv6 ネットワークプリフィックスの入力が必要

になることがあります。

NAT64 は、このテキストボックスに指定された IPv6 ネットワークプリフィックスを使用

して、IPv4 宛先アドレスを IPv6 宛先アドレスにマッピングします。プリフィックス長は、

32、40、48、56、64、または 96 のいずれかにする必要があります。

たとえば、/96 ネットワークプリフィックスを使用すると、NAT64 は IPv4 宛先アドレス

に相当する 16 進数を IPv6 ネットワークプリフィックスに追加します。例については、この

手順の後にある NAT64 サンプルルールを参照してください。

注： RFC 6052 に定義されている既知の 64:ff9b::/96 プリフィックスを使用することも、

環境内でまだ使用されていない他の IPv6 プリフィックスを使用することもできます。

変換後の IPv4 送信元プリフィックスオプション：IPv4 ネットワークプリフィックス（ネットワークアドレス）または特定の IPv4 アドレスを CIDR 表記で入力します。

環境内で IPv4 ネットワークプリフィックスまたは IPv4 アドレスがまだ使用されていない


NAT64 を使用すると、IPv6 サブネットから IPv4 サブネットに接続できますが、ほとんど

の状況では、特定の IPv4 アドレスではなく IPv4 ネットワークプリフィックスの入力が必要

になることがあります。

NAT64 は、IPv4 ネットワークプリフィックスの IP アドレスを使用して、IPv6 送信元アド

レスを IPv4 送信元アドレスに変換します。例については、この手順の後にある NAT64 サン

プルルールを参照してください。

注：

n 100.64.0.0/16 の IPv4 共有アドレス空間は、NAT64 用に予約されています。この予

約済みのアドレス空間を使用できます。

n このテキストボックスを空のままにすると、ルールの発行時に NAT64 は予約済みのア

ドレス空間を自動的に使用します。

説明ルールの説明（オプション）

[有効] または [ステータス] NAT64 ルールを有効にします。

[ログの有効化] または [ログ] NAT64 ルールのログの収集を有効にします。

6 [追加] をクリックしてルールを保存します。

7 [発行] をクリックして、ルールを有効にします。

例： NAT64 サンプルルール

NSX Edge は、外部 IPv6 ネットワーク上の Web 1 コンピュータ (2001::20/64) から内部 IPv4 サブネット上の

仮想マシン 1 (10.10.10.2/30) へのトラフィックを許可します。

NSX 管理ガイド

VMware, Inc. 189

VP

Web1

仮想マシン 1

仮想マシン 2

仮想マシン 3

仮想マシン 4

NSX Edge

2001::20/64

IPv6 サブネット

(NAT64) IPv6 IPv4

DLR論理スイッチ 1

（IPv4 サブネット）

10.10.10.2/30

論理スイッチ 2（IPv4 サブネット）

外部ネットワーク

この例の NAT64 ルールでは、次のサンプル値を使用しています。

n 比較する IPv6 宛先プリフィックス：64:ff90::/96

n 変換後の IPv4 送信元プリフィックス：30.30.30.0/24

次の画面キャプチャは、発行後のルールを示しています。ルール ID は自動生成されるため、環境によって異なる可

能性があります。

図 10-8. NAT64 ルールの定義

NAT64 ルールは、宛先の IPv4 アドレス (10.10.10.2) に相当する 16 進数を取得し、IPv6 ネットワークプリフィ

ックス (64: ff90::) に追加し、IPv6 宛先アドレス 64:ff90::a0a:a02 を形成します。

このルールは、変換後の IPv4 送信元プリフィックス (30.30.30.0/24) から任意の IP アドレスを取得します。こ

のルールは 30.30.30.32 を取得します。NAT64 は、この IPv4 送信元アドレスを使用して、宛先アドレス

64:ff90::a0a:a02 を実際の IPv4 宛先アドレス (10.10.10.2) に変換します。

ルールが発行されたら、次の手順を実行します。

1 Web1 コンピュータのコマンドプロンプトにログインし、IPv6 宛先アドレス 64:ff90::a0a:a02 に ping コマンドを発行します。nat64 セッションが確立されます。

NSX 管理ガイド

VMware, Inc. 190

2 NSX Edge CLI にログインし、show nat64 sessions コマンドを実行して nat64 セッションを表示します。

Protocol IPv6-SA IPv6-DA SPort DPort IPv4_SA IPv4-DA

SPort DPort

TCP 2001::20 64:ff90::a0a:a02 2055 22 30.30.30.32 10.10.10.2

2055 22

ファイアウォールルールセクションの操作

セクションを追加して、ファイアウォールルールを個別に管理できます。たとえば、販売部門とエンジニア部門用の

ルールを別のセクションに置くことができます。

L2 ルールおよび L3 ルール用に、複数のファイアウォールルールセクションを作成できます。複数のユーザーが

Web クライアントにログインし、ファイアウォールルールとセクションに同時に変更を行う可能性があるため、作

業中のセクションのルールが他のユーザーに変更されないように、そのセクションをロックできます。

Cross-vCenter NSX 環境では、複数のユニバーサルルールセクションを設定できます。複数のユニバーサルセクションを設定することで、テナントやアプリケーションごとにルールを容易に整理できます。ユニバーサルセクシ

ョン内でルールを変更または編集する場合、そのセクションのユニバーサル分散ファイアウォールルールのみがセカ

ンダリ NSX Manager に同期されます。ユニバーサルルールは、プライマリ NSX Manager 上で管理する必要が

あります。また、ユニバーサルルールを追加する前に、ユニバーサルセクションを作成しておく必要があります。

ユニバーサルセクションは、常にプライマリおよびセカンダリ NSX Manager の両方のローカルセクションより

も上位にリストされます。

ユニバーサルセクションの外部のルールは、ルールが追加されたプライマリまたはセカンダリの NSX Manager のローカルルールになります。

ファイアウォールルールセクションの追加

ファイアウォールテーブルにセクションを追加して、ルールを整理するほか、Cross-vCenter NSX 環境で使用す

るユニバーサルセクションを作成できます。

前提条件









NSX 管理ガイド

VMware, Inc. 191

手順



2 複数の NSX Manager が使用可能な場合は、いずれかの NSX Manager を選択します。ユニバーサルセクシ

ョンを追加するプライマリ NSX Manager を選択する必要があります。

3 [設定 (Configuration)] - [全般 (General)]タブの順に移動して、L3、L4、または L7 ルール用のセクション

を追加します。[イーサネット (Ethernet)] タブをクリックして、L2 ルール用のセクションを追加します。

4 [セクションの追加 (Add Section)]（または）をクリックします。

5 セクションの名前を入力します。セクションの名前は、NSX Manager 内で一意の名前である必要があります。

6 （オプション） Cross-vCenter NSX 環境では、セクションをユニバーサルファイアウォールルールセクショ

ンとして設定できます。

n NSX 6.4.1 以降では、[ユニバーサル同期 (Universal Synchronization)] ボタンをクリックします。

n NSX 6.4.0 では、[このセクションをユニバーサル同期の対象としてマーク (Mark this section for Universal Synchronization)] を選択します。

7 （オプション）適切なチェックボックスを選択して、ファイアウォールセクションにファイアウォールルール

のプロパティを設定します。

ファイアウォールルールセクションのプロパティ説明

[送信元でユーザー ID を有効にする (Enable User Identity at Source)]

RDSH の Identity Firewall を使用する場合は、[送信元でユーザー

ID を有効にする] を選択する必要があります。この設定を行うと、コ

ンテキストを識別するために TCP 接続の状態が追跡されるため、ステ

ートレスファイアウォールの有効化オプションが無効になります。

[TCP Strict を有効にする (Enable TCP Strict)] TCP Strict は、ファイアウォールが最初の 3 ウェイハンドシェイク

を確認できない場合に、確立された TCP 接続を切断するかどうかを決

定します。true に設定すると、接続を切断します。

[ステートレスファイアウォールを有効にする (Enable Stateless Firewall)]

ファイアウォールのセクションでステートレスファイアウォールを有

効にします。

8 [OK] をクリックして、[変更の発行 (Publish Changes)] をクリックします。

次のステップ

セクションにルールを追加します。ファイアウォールルールの追加を参照してください。

ファイアウォールルールセクションのマージ

セクションをマージして、そのセクション内のルールを統合できます。セクションを Service Composer セクショ

ンやデフォルトセクションとマージすることはできません。Cross-vCenter NSX 環境では、セクションをユニバ

ーサルセクションとマージすることはできません。

複雑なファイアウォールの設定をマージして統合すると、メンテナンスがしやすくなり、わかりやすくなります。

NSX 管理ガイド

VMware, Inc. 192

手順



2 セクションをマージします。

n NSX 6.4.1 以降では、マージするファイアウォールルールセクションのメニュー [ ()( )] をクリックし

て、[セクションのマージ (Merge Section)] を選択します。

n NSX 6.4.0 では、マージするファイアウォールルールセクションで [セクションのマージ（） (Merge section)] をクリックします。

3 このセクションを上または下のセクションとマージするかどうかを選択します。

両セクションのルールがマージされます。新しいセクションには、他のセクションをマージしたセクションの名

前が維持されます。


ファイアウォールルールセクションの削除

ファイアウォールルールセクションを削除できます。そのセクションのすべてのルールが削除されます。

セクションを削除して、ファイアウォールテーブルの別の場所に追加し直すことはできません。セクションを追加し

直す場合は、セクションを削除して、設定を発行する必要があります。その後、セクションをファイアウォールテー

ブルに追加して再び発行します。

手順



2 L3 ルールのセクションを削除する場合は、[設定 (Configuration)] - [全般 (General)] タブの順に移動しま

す。L2 ルールのセクションを削除する場合は、[イーサネット (Ethernet)] タブをクリックします。

3 削除するセクションの [セクションを削除します (Delete section)] （）アイコンをクリックします。

4 [OK] をクリックして、[変更の発行 (Publish Changes)] をクリックします。

結果

そのセクションおよびそのセクションのすべてのルールが削除されます。

ファイアウォールルールセクションのロック

複数のユーザーが同じセクションを同時に変更しないように、ファイアウォールルールセクションをロックできま

す。

複数のユーザーが同じセクションに同時に変更しないように、ファイアウォールルールセクションをロックできま

す。エンタープライズ管理者は、すべてのロックを参照、オーバーライドできます。

NSX 管理ガイド

VMware, Inc. 193

セキュリティ管理者、セキュリティエンジニア、エンタープライズ管理者のユーザーロールは、自分のセクション

のロックとロック解除を行うことができます。エンタープライズ管理者のユーザーロールは、ロックを実行したユー

ザーやロールに関係なく、セクションのロックを解除できます。エンタープライズ管理者は、他のエンタープライズ

管理者のロックを解除できます。ユーザーロールの詳細については、ユーザー権限の管理を参照してください。

ロックされたファイアウォールセクションでは、次の操作を実行できません。

n 別のユーザーが別のセクションをマージする。

n 別のユーザーが新しいルールを追加する。

n 別のユーザーが削除する。

n 別のユーザーがルールをドラッグアンドドロップする。

手順



2 セクションのロックアイコンをクリックして、[セクションのロック (Lock Section)] に名前とコメントを入力

し、[ロック (LOCK)] をクリックします。

ロックされている場合は、閉じた鍵がセクションに表示されます。

ファイアウォールルールセクションのロック解除


す。


す。エンタープライズ管理者は、すべてのロックを参照、オーバーライドできます。

セキュリティ管理者、セキュリティエンジニア、エンタープライズ管理者のユーザーロールは、自分のセクション

のロックとロック解除を行うことができます。エンタープライズ管理者のユーザーロールは、ロックを実行したユー

ザーやロールに関係なく、セクションのロックを解除できます。エンタープライズ管理者は、他のエンタープライズ

管理者のロックを解除できます。ユーザーロールの詳細については、ユーザー権限の管理を参照してください。

ロックされたファイアウォールセクションでは、次の操作を実行できません。

n 別のユーザーが別のセクションをマージする。

n 別のユーザーが新しいルールを追加する。

n 別のユーザーが削除する。

n 別のユーザーがルールをドラッグアンドドロップする。

手順



NSX 管理ガイド

VMware, Inc. 194

2 セクションのロックを解除するには、次のいずれかを行います。

n セクションのロックアイコンをクリックして、[ロックを解除 (UNLOCK)] をクリックします。開錠された

鍵のアイコンがセクションに表示され、ロックが解除されていることを示します。

n ファイアウォールルールテーブルの上に、ロックされたセクションの数が表示されます。ロックされてい

るすべてのセクションを表示するには、[ロック (Locked)] の横にあるハイパーリンク付きの数字をクリッ

クします。自分がロックしたセクションを確認するには、自分の名前でルールをフィルタします。ロックを

解除するルールを選択し、[ロックを解除 (UNLOCK)] をクリックします。

ファイアウォールルールの使用

分散ファイアウォールルールおよび Edge ファイアウォールルールは、[ファイアウォール] タブで集中管理できま

す。マルチテナント環境で、プロバイダは統合ファイアウォールユーザーインターフェイスを使用して高レベルの

トラフィックフロールールを定義できます。

各トラフィックセッションがファイアウォールテーブルの一番上のルールに照らしてチェックされ、順にテーブル

の下位のルールに照らしてチェックされます。テーブル内のルールのうち、トラフィックパラメータと一致する最初

のルールが適用されます。ルールは次の順序で表示されます。

1 ユーザーがファイアウォールユーザーインターフェイスで定義したルールの優先順位が最も高くなり、仮想

NIC レベル単位の優先順位で上位から下位に向かって適用されます。

2 自動組み込みルール（Edge サービス用に制御トラフィックフローを有効にするルール）。

3 ユーザーが NSX Edge インターフェイスで定義したルール。

4 Service Composer ルール - ポリシーごとに別々のセクション。ファイアウォールテーブル内のこれらのル

ールは編集できませんが、セキュリティポリシーファイアウォールルールセクションの先頭にルールを追加す

ることは可能です。この操作を行う場合は、Service Composer でそれらのルールを再同期する必要がありま

す。詳細については、18 章 Service Composer を参照してください。

5 デフォルトの分散ファイアウォールルール

ファイアウォールルールが適用されるのは、ファイアウォールを有効にしているクラスタ上のみであることに注意し

てください。クラスタの準備の詳細については、『NSX インストールガイド』を参照してください。

ファイアウォールルールの追加

NSX Manager スコープでファイアウォールルールを追加します。その後、[適用先] フィールドを使用して、ルー

ルを適用するスコープを絞り込むことができます。各ルールの送信元と宛先に複数のオブジェクトを追加すること

で、追加するファイアウォールルールの総数を減らすことができます。

手順

1 ファイアウォールルールの作成

NSX Manager のスコープにファイアウォールルールを追加します。その後、[適用先] フィールドを使用し

て、ルールを適用する範囲を絞り込むことができます。各ルールの送信元と宛先に複数のオブジェクトを追加

することで、追加するファイアウォールルールの総数を減らすことができます。

NSX 管理ガイド

VMware, Inc. 195

2 ファイアウォールルールの送信元または宛先の追加

IP アドレス、vCenter Server オブジェクト、NSX グループオブジェクトを送信元として使用できます。送

信元と宛先を定義し、無効にすることもできます。送信元または宛先が定義されていない場合、送信元または

宛先が「任意」に設定されます。

3 ファイアウォールルールサービスの追加

ファイアウォールルールでは、新しいサービスグループを作成したり、事前定義のサービスグループを使用

できます。

4 ファイアウォールルールのアクションとログの指定

ファイアウォールルールでは、指定された送信元、宛先またはサービスからのトラフィックに許可、ブロック

または拒否を設定できます。

5 ファイアウォールスコープの定義

[適用先] フィールドを使用して、ルールを適用するスコープを絞り込むことができます。

6 ファイアウォールルールの発行

新しいファイアウォールルールを作成したら、ルールを発行して変更を反映させる必要があります。

ファイアウォールルールの作成

NSX Manager のスコープにファイアウォールルールを追加します。その後、[適用先] フィールドを使用して、ル

ールを適用する範囲を絞り込むことができます。各ルールの送信元と宛先に複数のオブジェクトを追加することで、

追加するファイアウォールルールの総数を減らすことができます。

前提条件

VMware vCenter オブジェクトに基づいてルールを追加する場合、VMware Tools が仮想マシンにインストール

されていることを確認します。NSX インストールガイドを参照してください。

NSX 6.1.5 から 6.2.3 に移行した仮想マシンで TFTP ALG がサポートされません。移行後に TFTP ALG のサポ

ートを有効にするには、除外リストに仮想マシンを追加して削除するか、仮想マシンを再起動します。新しい 6.2.3 フィルタが作成され、TFTP ALG がサポートされます。

注： ID ベースのファイアウォールルールの前提条件：

n 1 つ以上のドメインが NSX Manager に登録されている。NSX Manager は、グループ、ユーザー情報、およ

びこれらの関係を登録先の各ドメインから取得します。NSX Manager への Windows ドメインの登録を参

照してください。

n ルールの送信元または宛先として使用できる、Active Directory オブジェクトベースのセキュリティグルー

プが作成されている。「セキュリティグループの作成」を参照してください。

n Active Directory サーバが NSX Manager に統合されている必要があります。

n ホストで分散ファイアウォールを有効にし、NSX 6.4.0 にアップグレードする必要があります。

n ゲストマシンで、更新された VMware Tools が実行されている必要があります。

n ゲストイントロスペクションサービス仮想マシンのバージョンが 6.4 以降でなければなりません。

n ファイアウォールルールの新しいセクションにルールを作成する必要があります。

NSX 管理ガイド

VMware, Inc. 196

n ルールで [送信元でユーザー ID を有効にする] を選択する必要があります。

n リモートデスクトップアクセスのルールでは、[適用先] フィールドを使用できません。

n RDSH の IDFW では ICMP がサポートされていません。

注：ユニバーサルファイアウォールルールの前提条件：

Cross-vCenter NSX 環境の場合、ユニバーサルルールは、プライマリ NSX Manager のユニバーサルルールセクションで定義された分散ファイアウォールルールを参照します。これらのルールは、環境内のすべてのセカンダリ

NSX Manager でレプリケートされるため、vCenter Server の境界を越えて一貫したファイアウォールポリシー

を維持できます。プライマリ NSX Manager には、ユニバーサル L2 ルール用のユニバーサルセクションとユニバ

ーサル L3 ルール用のユニバーサルセクションをそれぞれ複数含めることができます。ユニバーサルセクション

は、すべてのローカルセクションおよび Service Composer セクションの上部にあります。セカンダリ NSX Manager では、ユニバーサルセクションやユニバーサルルールを表示できますが、編集はできません。ローカル

セクションに対するユニバーサルセクションの配置は、ルールの優先順位に影響しません。

複数の vCenter Server 間の vMotion では、Edge ファイアウォールルールはサポートされていません。

表 10-4. ユニバーサルファイアウォールルールでサポートされるオブジェクト

送信元と宛先適用先サービス



n ユニバーサルセキュリティタグ、IP セッ

ト、MAC セット、またはユニバーサルセキュリティグループを含めることができる

ユニバーサルセキュリティグループ

n ユニバーサルセキュリティタグ、IP セッ

ト、MAC セット、またはユニバーサルセキュリティグループを含めることができ

るユニバーサルセキュリティグループ

n ユニバーサル論理スイッチ

n 分散ファイアウォール：分散ファイアウ

ォールがインストールされているすべて

のクラスタにルールを適用

n 事前に作成されたユニバーサルサービスお

よびサービスグループ

n ユーザーが作成したユニバーサルサービス

およびサービスグループ

ユニバーサルルールでは、他の vCenter オブジェクトはサポートされていません。

NSX 分散ファイアウォールの状態が後方互換性モードになっていないことを確認してください。現在の状態を確認

するには、REST API 呼び出し GET https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state を使用しま

す。後方互換性モードになっている場合、RES API 呼び出し PUT https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state を使用して、前方互換性モードに変更できます。分散ファイアウォールが後方互換性モードに

なっているときに、分散ファイアウォールルールを発行しないでください。

手順



2 [設定 (Configuration)] - [全般 (General)] タブの順に移動し、L3、L4、または L7 ルールを追加します。[イーサネット (Ethernet)] タブをクリックし、L2 ルールを追加します。

ユニバーサルファイアウォールルールを作成する場合は、ユニバーサルルールセクションでルールを作成しま

す。

3 新しいルールの [名前 (Name)] セルをポイントし、をクリックします。

4 新しいルールの名前を入力します。

NSX 管理ガイド

VMware, Inc. 197

ファイアウォールルールの送信元または宛先の追加

IP アドレス、vCenter Server オブジェクト、NSX グループオブジェクトを送信元として使用できます。送信元

と宛先を定義し、無効にすることもできます。送信元または宛先が定義されていない場合、送信元または宛先が「任

意」に設定されます。

次の vCenter Server オブジェクトをファイアウォールルールの送信元または宛先として指定できます。

表 10-5. ファイアウォールルールでサポートされるオブジェクト

送信元または宛先適用先

n クラスタ

n データセンター

n 分散ポートグループ

n IP セット

n レガシーポートグループ

n 論理スイッチ

n リソースプール

n セキュリティグループ

n vApp

n 仮想マシン

n vNIC

n IP アドレス（IPv4 または IPv6）

n 分散ファイアウォールがインストールされているすべてのクラスタ

（つまり、ネットワーク仮想化の準備ができているすべてのクラスタ）

n 準備ができているクラスタにインストールされているすべての

Edge Gateway

n クラスタ


n 分散ポートグループ

n Edge

n レガシーポートグループ



n 仮想マシン

n vNIC

手順

1 （オプション）ファイアウォールルールで使用するオブジェクトを選択します。

a 送信元または宛先の列で [編集 (Edit)] をクリックします。

b [オブジェクトタイプ (Object Type)] ドロップダウンメニューからオブジェクトタイプを選択します。

新しいセキュリティグループまたは IP セットを作成できます。新しいオブジェクトを作成すると、デフォ

ルトで送信元または宛先の列に追加されます。新しいセキュリティグループまたは IP セットの作成につい

ては、22 章ネットワークおよびセキュリティオブジェクトを参照してください。

c 1 個以上のオブジェクトを選択し、矢印をクリックしてそれらのオブジェクトを [選択したオブジェクト


NSX 管理ガイド

VMware, Inc. 198

2 （オプション）ファイアウォールルールで使用する IP アドレスを選択します。


NSX 6.4.1 a 送信元または宛先の列で [編集 (Edit)] をクリックし、[IP アドレス (IP addresses)] を選択して [追加 (Add)] をクリックします。

b IP アドレスを 1 つ入力します。IPv4 および IPv6 アドレスの両方が有効です。

c 追加の IP アドレスを入力する必要がある場合は、[追加 (Add)] をクリックします。

NSX 6.4.0 a 送信元の列で IP アドレス（）をクリックします。

b [IPv4] または [IPv6] を選択します。

c IP アドレスを入力します。

複数の IP アドレスをコンマ区切りのリストで入力できます。リストの長さは、最大 255 文字です。

3 （オプション）このルールに定義されている送信元または宛先を無効にします。

[送信元の無効化 (Negate Source)] を選択した場合、このルールで定義されている送信元を除くすべての送信

元から受信するトラフィックにルールが適用されます。

[送信元の無効化 (Negate Source)] を選択しない場合、このルールで定義されている送信元または宛先から受

信するトラフィックにルールが適用されます。

[送信元の無効化 (Negate Source)] は、少なくとも 1 つの送信元または宛先が定義されている場合にのみ選択

できます。


NSX 6.4.1 a 送信元の列で [編集 (Edit)] をクリックします。

b [送信元の無効化 (Negate Source)] を「オン」に設定します。

NSX 6.4.0a 送信元の列で [編集]（）をクリックします。

b [送信元の無効化 (Negate source)] チェックボックスを選択します。

ファイアウォールルールサービスの追加

ファイアウォールルールでは、新しいサービスグループを作成したり、事前定義のサービスグループを使用できま

す。

NSX 管理ガイド

VMware, Inc. 199

手順

1 ファイアウォールルールで使用する事前定義のサービスまたはサービスグループを選択します。


NSX 6.4.1 a 新しいルールの [サービス (Service)] セルをポイントし、をクリックします。

b [オブジェクトタイプ (Object Type)] ドロップダウンメニューからオブジェクトタイ

プを選択します。新しいセキュリティグループまたは IP セットを作成できます。新しい

オブジェクトを作成すると、デフォルトで送信元または宛先の列に追加されます。新しい

セキュリティグループまたは IP セットの作成については、22 章ネットワークおよびセ

キュリティオブジェクトを参照してください。

c 1 個以上のオブジェクトを選択し、矢印をクリックしてそれらのオブジェクトを [選択した

オブジェクト (Selected Objects)] 列に移動します。

NSX 6.4.0a 新しいルールの [サービス (Service)] セルをポイントし、をクリックします。

b 1 つ以上のオブジェクトを選択し、をクリックします。

新しいサービスまたはサービスグループを作成できます。新しいオブジェクトを作成す

ると、デフォルトで [選択したオブジェクト] 列に追加されます。


2 ファイアウォールルールで使用するポート/プロトコルを選択するか、新しく定義します。



b [Raw ポート/プロトコル (Raw Port-Protocol)] を選択し、[追加 (Add)] をクリック

します。

c リストから [プロトコル (Protocol)] を選択し、[OK] をクリックします。


b サービスプロトコルを選択します。

分散ファイアウォールでは、TFTP、FTP、ORACLE TNS、MS-RPC、SUN-RPC のプロトコルの ALG（アプリケーションレベルゲートウェイ）がサポートされています。

Edge では、FTP、TFTP、および SNMP_BASIC の ALG がサポートされています。

注：NSX 6.1.5 から 6.2.3 に移行した仮想マシンでは、TFTP ALG はサポートされま

せん。移行後に TFTP ALG のサポートを有効にするには、除外リストに仮想マシンを追

加して削除するか、仮想マシンを再起動します。新しい 6.2.3 フィルタが作成され、

TFTP ALG がサポートされます。

c ポート番号を入力し、[OK] をクリックします。

ACK または SYN フラッドからネットワークを保護するには、デフォルトルールでサービスを TCP-all_ports または UDP-all_ports に設定し、アクションをブロックに設定します。デフォルトルールの変更については、

デフォルトの分散ファイアウォールルールの編集を参照してください。

ファイアウォールルールのアクションとログの指定

ファイアウォールルールでは、指定された送信元、宛先またはサービスからのトラフィックに許可、ブロックまたは

拒否を設定できます。

NSX 管理ガイド

VMware, Inc. 200

手順

1 新しいルールの [アクション (Action)] セルをポイントし、次の表の説明に従って適切な選択を行います。

アクション結果

許可指定した送信元、宛先、サービスの送受信トラフィックを許可します。

ブロック指定した送信元、宛先、サービスの送受信トラフィックをブロックします。


TCP 接続では、RST パケットが送信されます。

UDP、ICMP およびその他の IP 接続では、管理上禁止されたコードが含まれる ICMP メッセ

ージが送信されます。

ログに記録このルールと一致するすべてのセッションのログを記録します。ログを有効にするとパフォー

マンスに影響が出る場合があります。

ログに記録しないセッションのログを記録しません。

2 （オプション）ログを有効にします。


NSX 6.4.1 [ログ] 列で、[ログ (Log)] ボタンをクリックして「オン」にします。

NSX 6.4.0 a 新しいルールの [アクション (Action)] セルをポイントし、をクリックします。

b [ログに記録 (Log)] または [ログに記録しない (Do not Log)] を選択します。このル

ールに一致するすべてのセクションがログに記録されるため、パフォーマンスに影響する


ファイアウォールスコープの定義

[適用先] フィールドを使用して、ルールを適用するスコープを絞り込むことができます。

ルールの送信元と宛先フィールドに仮想マシンまたは vNIC が含まれる場合、ルールを正常に適用するには [適用先

(Applied To)] に送信元と宛先の両方の仮想マシンまたは vNIC を追加する必要があります。

NSX 管理ガイド

VMware, Inc. 201

手順

u [適用先 (Applied To)] で、このルールが適用可能なスコープを定義します。次の表の説明に従って適切な選択

を行い、[OK] をクリックします。リモートデスクトップアクセスのルールを追加する場合、[適用先 (Applied To)] フィールドは使用できません。

ルールの適用先操作

環境内の準備ができているすべてのクラスタ [分散ファイアウォールがインストールされているすべてのクラスタに

このルールを適用します (Apply this rule on all clusters on which Distributed Firewall is installed)] を選択します。[OK] をクリックすると、このルールの [適用先] 列に [分散ファイアウォー

ル (Distributed Firewall)] が表示されます。

環境内のすべての NSX Edge Gateway [すべての Edge ゲートウェイにこのルールを適用します (Apply this rule on all the Edge gateways)] を選択します。[OK] または [保存] をクリックすると、このルールの [適用先] 列に [すべての

Edge (All Edges)] が表示されます。

上記の両方のオプションが選択されている場合、[適用先] 列には [任意

(Any)] が表示されます。

1 つ以上のクラスタ、データセンター、分散仮想ポートグループ、NSX Edge、ネットワーク、仮想マシン、vNIC、または論理スイッチ

[使用可能] リストで、1 つ以上のオブジェクトを選択し、をクリ

ックします。

ファイアウォールルールの発行

新しいファイアウォールルールを作成したら、ルールを発行して変更を反映させる必要があります。

手順

u [発行 (Publish)] または [変更の発行 (Publish Changes)] をクリックします。セクションの一番上に新しい

ルールが追加されます。セクションにシステム定義のルールしかない場合は、新しいルールはデフォルトのルー

ルの上に追加されます。

数秒後、発行に成功したかどうかを示すメッセージが表示されます。失敗した場合、ルールが適用されなかった

ホストがリストされます。失敗した発行の詳細を確認するには、[NSX Manager (NSX Managers)] - [NSX_Manager_IP_Address] - [監視 (Monitor)] - [システムイベント (System Events)] の順に移動し

ます。

セクション内の特定の場所にルールを追加する場合は、ルールを選択します。[番号]列で、をクリックし、

[上に追加 (Add Above)] または [下に追加 (Add Below)] を選択します。

[変更の発行 (Publish Changes)] をクリックすると、ファイアウォール設定が自動的に保存されます。以前の

設定に戻す方法については、保存されたファイアウォール設定の読み込みを参照してください。

次のステップ

n をクリックしてルールを無効にするか、をクリックしてルールを有効にします。

NSX 管理ガイド

VMware, Inc. 202

n ルールテーブル内の追加の列を表示するには、をクリックし、適切な列を選択します。

カラム名表示される情報

ルール ID システムが生成した、各ルールに一意の ID

ログに記録このルールのトラフィックがログ記録されるかどうか

統計をクリックし、このルールに関連するトラフィック（トラフィックパケットおよびサイズ）を表示

コメントルールのコメント

n 検索フィールドにテキストを入力し、ルールを検索します。

n ファイアウォールテーブル内で、ルールの位置を上下に移動します。

n [セクションをマージします (Merge section)] アイコンをクリックし、[上のセクションとマージ (Merge with above section)] または [下のセクションとマージ (Merge with below section)] を選択してセクシ

ョンをマージします。

デフォルトの分散ファイアウォールルールの編集

デフォルトのファイアウォール設定は、どのユーザー定義ファイアウォールルールにも一致しないトラフィックに適

用されます。分散ファイアウォールのデフォルトルールは、統合ファイアウォールユーザーインターフェイスに表

示され、各 NSX Edge のデフォルトルールが NSX Edge レベルで表示されます。

デフォルトの分散ファイアウォールルールでは、すべての L3 および L2 トラフィックがインフラストラクチャの準

備済み全クラスタを通過します。デフォルトルールは常に、ルールテーブルの下部に表示され、削除や追加はでき

ません。ただし、ルールの操作要素を [許可] から [ブロック] または [却下] に変更したり、ルールにコメントを追加

したり、そのルールのトラフィックをログ記録するかどうかを指定したりすることは可能です。

Cross-vCenter NSX 環境では、デフォルトルールはユニバーサルルールではありません。デフォルトルールへ

の変更は、すべて対応する各 NSX Manager で実施する必要があります。

手順



2 デフォルトセクションを展開して、必要な変更を行います。

[操作 (Action)] および [ログ (Log)] の編集や、デフォルトルールへのコメントの追加のみ実行できます。

分散ファイアウォールルールの強制同期

ホストにファイアウォールルールを発行できない場合には、強制同期を実行します。

個々のホストのファイアウォールルールを NSX Manager と同期する必要がある場合、強制同期が実行されます。

手順

1 vSphere Web Client で、[ネットワークとセキュリティ (Networking & Security)] - [インストールとアッ

プグレード (Installation and Upgrade)] - [ホストの準備 (Host Preparation)] の順に移動します。

NSX 管理ガイド

VMware, Inc. 203

2 強制同期を実行するクラスタを選択して、[アクション (Actions) ( )] - [サービスの強制同期 (Force Sync Services)] の順にクリックします。

3 強制同期を行うサービスから [ファイアウォール (Firewall)] を選択します。[OK] をクリックします。

同期中にファイアウォールのステータスが変わります。

カスタムのレイヤー 3 プロトコルでのファイアウォールルール

ファイアウォールルールは、プロトコルのドロップダウンメニューに表示されていないカスタムのプロトコル番号

を使用して作成できます。

カスタムのプロトコル番号でのファイアウォールルールは、分散ファイアウォールまたは NSX Edge ファイアウォ

ールで作成できます。

手順



2 [設定 (Configuration)] - [全般 (General)] タブの順に移動し、L3 ルールを追加します。[ルールの追加

(Add rule)]（）アイコンをクリックします。

3 新しいルールの [名前 (Name)] セルをポイントし、をクリックします。


5 新しいルールの [送信元 (Source)] を指定します。詳細については、ファイアウォールルールの送信元または

宛先の追加を参照してください。

6 新しいルールの [宛先 (Destination)] を指定します。詳細については、ファイアウォールルールの送信元また

は宛先の追加を参照してください。

7 新しいルールの [サービス (Service)] セルをポイントします。[サービスの追加 (Add Service)]（）アイコ

ンをクリックします。

8 [サービスの指定 (Specify Service)] ウィンドウの左下にある [新規サービス (New Service)] をクリックし

ます。

9 新しいプロトコルの [名前 (Name)] を入力します（OSPF など）。

10 プロトコルのドロップダウンメニューから [L3_OTHERS] を選択します。

ドロップダウンメニューの下に [プロトコル番号 (Protocol Number)] フィールドが表示されます。

11 [プロトコル番号 (Protocol Number)] を入力します（OSPF の 89 など）。


13 ファイアウォールルールを発行します。詳細については、ファイアウォールルールの発行を参照してください。

結果

カスタムプロトコル番号を使用してファイアウォールルールが作成されました。

NSX 管理ガイド

VMware, Inc. 204

未発行の設定の保存

ルールを追加し、そのルールを発行しないまま設定を保存できます。保存した設定は後でロードして発行できます。

手順

1 ファイアウォールルールを追加します。ファイアウォールルールの追加を参照してください。

2 [変更の保存 (Save Changes)] または [保存 (Save)] をクリックします。

3 名前と説明を入力して、新しい設定を作成します。

4 [設定の保持 (Preserve Configuration)] をクリックして、この変更内容を保持します。

NSX では、最大で 100 個の設定を保存できます。この制限を超えると、保存される設定（[設定の保持

(Preserve Configuration)] とマークされた設定）は保持されますが、保持されなかった古い設定は、容量を

空けるために削除されます。

5 [保存] をクリックします。

6 保存した設定を変更するには、次の手順に従います。


NSX 6.4.1 以降 a 別のファイアウォールルールを追加します。

b [保存 (Save)] をクリックします。

c [既存の設定を更新 (Update existing configuration)] を選択します。

d [保存 (Save)] をクリックします。

NSX 6.4.0 a 別のファイアウォールルールを追加します。

b [変更の更新 (Update Changes)] をクリックします。

c [変更の保存 (Save Changes)] をクリックします。

n [変更を元に戻す (Revert Changes)] をクリックし、ルールを追加する前の設定に戻します。追加したば

かりのルールを発行する場合は、[設定のロード (Load Configuration)] アイコンをクリックし、ステップ

3 で保存したルールを選択し、[OK] をクリックします。

n [変更の更新 (Update Changes)] をクリックし、ルールの追加を続行します。

7 変更を元に戻すには、次の手順に従います。


NSX 6.4.1 以降 a [取り消す (Undo)] をクリックします。

NSX 6.4.0 a [変更を元に戻す (Revert Changes)] をクリックし、ルールを追加する前の設定に戻し

ます。

保存されたファイアウォール設定の読み込み

自動保存またはインポートされたファイアウォール設定を読み込むことができます。既存の設定に Service Composer によって管理されるルールが含まれる場合、そのルールはインポート後にオーバーライドされます。

NSX 管理ガイド

VMware, Inc. 205

手順



2 L3 ファイアウォール設定を読み込むには、[設定 (Configuration)] - [全般 (General)] タブの順に移動しま

す。L2 ファイアウォール設定を読み込むには、[イーサネット (Ethernet)] タブをクリックします。

3 保存済みの設定の読み込み


NSX 6.4.1 以降 a [詳細 (More)] をクリックして、[保存済みの設定をロード (Load Saved Configuration)] を選択します。

b 読み込む設定を選択して、[ロード (LOAD)] をクリックします。

NSX 6.4.0a [設定のロード (Load configuration)] （）アイコンをクリックします。

b 読み込む設定を選択して、[OK] をクリックします。

現在の設定が選択された設定に置き換わります。

次のステップ

設定に含まれる Service Composer のルールが、読み込まれた設定によってオーバーライドされた場合は、

Service Composer の [セキュリティポリシー] タブで、[アクション (Actions)] - [ファイアウォールのルールの

同期 (Synchronize Firewall Rules)] をクリックします。

ファイアウォールルールのフィルタ

さまざまな基準を使用してルールセットをフィルタできます。これにより、ルールの変更が簡略化されます。

送信元仮想マシン、宛先仮想マシン、送信元 IP アドレス、宛先 IP アドレス、ルールアクション、ログ、ルール名、

コメント、およびルール ID を基準にして、ルールをフィルタできます。特定のサービス、アプリケーションまたは

プロトコルに基づてルールをフィルタリングできます。

手順

1 [ファイアウォール] タブで、[フィルタの適用 (Apply Filter)]（または）アイコンをクリックします。

2 必要に応じてフィルタ条件を入力します。

3 [適用 (Apply)] をクリックします。

指定したフィルタ基準に一致するルールが表示されます。

次のステップ

すべてのルールを再度表示するには、フィルタをクリアします。

n NSX 6.4.1 以降では、[フィルタ] ダイアログボックスの [クリア (Clear)] をクリックします。

n NSX 6.4.0 では、[適用したフィルタの削除 (Remove applied filter)]（）アイコンをクリックします。

NSX 管理ガイド

VMware, Inc. 206

ファイアウォールルールの順序の変更

ファイアウォールルールは、ルールテーブルに記載されている順序で適用されます。

ルールは次の順序で表示（および適用）されます。

1 ユーザー定義の事前ルールに最も高い優先順位が与えられます。このルールは、各仮想 NIC レベルの優先順位

に沿って、上から順に適用されます。

2 自動配置されたルール。

3 NSX Edge レベルで定義されたローカルルール。

4 Service Composer ルール - ポリシーごとに別々のセクション。ファイアウォールテーブル内のこれらのル

ールは編集できませんが、セキュリティポリシーファイアウォールルールセクションの先頭にルールを追加す

ることは可能です。この操作を行う場合は、Service Composer でそれらのルールを再同期する必要がありま

す。詳細については、18 章 Service Composer を参照してください。

5 デフォルトの分散ファイアウォールルール

テーブル内でカスタムルールの位置を上下に移動することができます。デフォルトルールは常にルールテーブルの

下部に表示され、これを移動することはできません。

手順

1 [ファイアウォール (Firewall)] タブで、移動するルールを選択します。

2 [ルールを上へ移動 (Move rule up)] （）または [ルールを下へ移動 (Move rule down)] （）アイコン

をクリックします。


セキュリティグループでのファイアウォールルールの動作

ファイアウォールルールの動作は、セキュリティグループによって異なります。

表 10-6. RDSH セクションと RDSH 以外のセクションでのファイアウォールルールの動作

ユーザー ID のセキュリティグループを有効に

する（RDSH セクション）

ID のセキュリティグループ（RDSH セクシ

ョン）

任意のセキュリティグループ（RDSH 以外のセ

クション）

送信元 - SID ベースのルールがハイパーバイザ

ーに事前にプッシュされます。最初のパケット

にルールが適用されます。

送信元 - IP アドレスベースのルール送信元 - IP アドレスベースのルール

宛先 - IP アドレスベースのルール宛先 - IP アドレスベースのルール宛先 - IP アドレスベースのルール

ID ベースのセキュリティグループの適用先 - すべてのホストに適用ユーザーベースの適用先

ID ベース以外のセキュリティグループの適用先 - ユーザーベースの適用先ユーザーベースの適用先

ファイアウォールルールのヒット数とリセット

ファイアウォール画面の上部には、ルールのサマリパネルが表示されます。この部分は、3 つのファイアウォールタブのすべてに表示されます。

NSX 管理ガイド

VMware, Inc. 207

ルールのサマリパネルには次の情報が表示されます。

n ルールの合計数。

n 未発行ルールの数。

n 無効になっているルールの数。

n セクションの合計数。

n ロックされたセクションの合計数。

ルールのヒット数をリセットするには、次の手順に従います。

手順

1 画面右上隅にある [詳細 (MORE)] をクリックします。

2 [ルールヒット数をリセット (Reset Rule Hit Count)] をクリックし、[リセット (RESET)] をクリックしま

す。

3 [リセット] をクリックします。

すべてのルールの数がゼロにリセットされます。

ファイアウォールのログ

ファイアウォールは、監査ログ、ルールメッセージログ、システムイベントログなどのログファイルを生成して

保存します。ファイアウォールが有効になっている各クラスタに対して、Syslog サーバを設定する必要があります。

Syslog サーバは Syslog.global.logHost 属性で指定します。

推奨 Syslog サーバでファイアウォール監査ログを収集するには、Syslog サーバが最新バージョンにアップグレ

ードされていることを確認します。可能であれば、ファイアウォール監査ログを収集するように、リモートの

syslog-ng サーバを設定します。

ファイアウォールは、次の表にあるログを生成します。

表 10-7. ファイアウォールのログ

ログタイプ説明場所

ルールメッセージログルールでログ作成が有効な場合、各ルールで許可されるトラ

フィックや拒否されるトラフィックなどの、すべてのアクセ

スに関する決定事項が含まれます。ログ作成が有効なルー

ルの分散ファイアウォールパケットのログが含まれます。

/var/log/dfwpktlogs.log

監査ログ管理ログと分散ファイアウォールの設定の変更が含まれま

す。

/home/secureall/secureall/logs/vsm.log

システムイベントログ適用された分散ファイアウォールの設定のほか、作成、削

除、または失敗したフィルタ、セキュリティグループに追

加された仮想マシンなどの情報が含まれます。

/home/secureall/secureall/logs/vsm.log

NSX 管理ガイド

VMware, Inc. 208

表 10-7. ファイアウォールのログ（続き）

ログタイプ説明場所

データプレーン/VMkernel のロ

グ

ファイアウォールカーネルモジュール (VSIP) に関連する

アクティビティをキャプチャします。システムによって生

成されるメッセージのログエントリが含まれます。

/var/log/vmkernel.log

メッセージバスクライアント/VSFWD のログ

ファイアウォールエージェントのアクティビティをキャプ

チャします。

/var/log/vsfwd.log

注： vsm.log ファイルにアクセスするには、NSX Manager コマンドラインインターフェイス (CLI) から show log manager コマンドを実行し、vsm.log をキーワードに指定して grep を実行します。このファイルにアクセ

スできるのは、root 権限を持つユーザーまたはユーザーグループのみです。

ルールメッセージログ

ルールのログ作成が有効な場合、許可されたトラフィックや拒否されたトラフィックなど、ルールによって決定され

たアクセスに関するすべての情報がログに含まれます。これらのログは、各ホストの /var/log/dfwpktlogs.log に保存されます。

ファイアウォールのログメッセージの例：

# more /var/log/dfwpktlogs.log

2015-03-10T03:22:22.671Z INET match DROP domain-c7/1002 IN 242 UDP 192.168.110.10/138-

>192.168.110.255/138

# more /var/log/dfwpktlogs.log

2017-04-11T21:09:59.877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST

10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070

その他の例：

2017-10-19T22:38:05.586Z 58734 INET match PASS domain-c8/1006 OUT 84 ICMP 172.18.8.121->172.18.8.119

RULE_TAG

2017-10-19T22:38:08.723Z 58734 INET match PASS domain-c8/1006 OUT 60 TCP 172.18.8.121/36485-

>172.18.8.119/22 S RULE_TAG

2017-10-19T22:38:18.785Z 58734 INET TERM domain-c8/1006 OUT ICMP 8 0 172.18.8.121->172.18.8.119 2/2

168/168 RULE_TAG

2017-10-19T22:38:20.789Z 58734 INET TERM domain-c8/1006 OUT TCP FIN 172.18.8.121/36484-

>172.18.8.119/22 44/33 4965/5009 RULE_TAG

次の例では、

n 1002 は分散ファイアウォールのルール ID です。

n domain-c7 は vCenter 管理対象オブジェクトブラウザ (MOB) のクラスタ ID です。

n 192.168.110.10/138 は送信元 IP アドレスです。

n 192.168.110.255/138 は宛先 IP アドレスです。

NSX 管理ガイド

VMware, Inc. 209

n RULE_TAG は、ファイアウォールルールの追加または編集で [タグ (Tag)]テキストボックスに追加するテキ

ストの例です。

次の例は、192.168.110.10 を 172.16.10.12 に ping した結果を示しています。

# tail -f /var/log/dfwpktlogs.log | grep 192.168.110.10

2015-03-10T03:20:31.274Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12

2015-03-10T03:20:35.794Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12

次の表は、ファイアウォールログメッセージのテキストボックスの説明です。

表 10-8. ログファイルエントリのコンポーネント

コンポーネントサンプル内の値

タイムスタンプ 2017-04-11T21:09:59

ファイアウォールに関する記述 877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070

表 10-9. ログファイルエントリのファイアウォールに関する記述

エンティティ利用可能な値

フィルタハッシュフィルタ名およびその他の情報の取得に使用できる数値。

AF 値 INET、INET6

原因 n match：　パケットがルールと一致します。

n bad-offset：　パケットの取得中にデータパスで内部エラーが発生しました。

n fragment：　先頭のフラグメントにリアセンブルした後の先頭以外のフラグメントです。

n short：　パケットが短すぎます。たとえば、IP ヘッダーまたは TCP/UDP ヘッダーが含まれてい

ません。

n normalize：　正しいヘッダーまたはペイロードなしの不正なパケットです。

n memory：　データパスでメモリが不足しています。

n bad-timestamp：　不正な TCP タイムスタンプです。

n proto-cksum：　不正なプロトコルチェックサムです。

n state-mismatch：　TCP 状態マシンチェックを通過していない TCP パケットです。

n state-insert：　重複する接続が見つかりました。

n state-limit：状態の数が、データパスで追跡可能な最大数に達しました。

n SpoofGuard：　SpoofGuard がドロップしたパケットです。

n TERM：　接続が切断されました。

NSX 管理ガイド

VMware, Inc. 210

表 10-9. ログファイルエントリのファイアウォールに関する記述（続き）

エンティティ利用可能な値

アクション n PASS：　パケットを受け入れます。

n DROP：　パケットをドロップします。

n NAT：　SNAT ルールです。

n NONAT：SNAT ルールに一致しましたが、アドレス変換はできません。

n RDR：　DNAT ルールです。

n NORDR：　DNAT ルールに一致しましたが、アドレス変換はできません。

n PUNT：　この仮想マシンと同じハイパーバイザーで実行しているサービス仮想マシンにパケットを

送信します。

n REDIRECT：　この仮想マシンのハイパーバイザー以外で実行しているネットワークサービスにパ

ケットを送信します。

n COPY：　パケットを受け入れ、現在の仮想マシンと同じハイパーバイザーで実行されているサービ

ス仮想マシンにコピーします。

n REJECT：　パケットを拒否します。

ルールセットとルール ID rule set/rule ID

方向 IN、OUT

パケット長 length

プロトコル TCP、UDP、ICMP または PROTO（プロトコル番号）

TCP 接続の場合、接続が終了する実際の原因が TCP キーワードの後に示されます。

TCP セッションの原因が TERM の場合、追加の説明が PROTO 行に表示されます。TCP 接続の終了で

考えられる原因は、RST（TCP RST パケット）、FIN（TCP FIN パケット）、TIMEOUT（長時間のア

イドル状態）です。

上の例では、RST になっています。これは、接続のリセットを要求する RST パケットがあることを意味

します。

TCP 以外の接続（UDP、ICMP または他のプロトコル）の場合、接続の終了原因は TIMEOUT だけで

す。

送信元の IP アドレスおよびポート IP address/port

宛先の IP アドレスおよびポート IP address/port

TCP フラグ S (SYN)、SA (SYN-ACK)、A (ACK)、P (PUSH)、U (URGENT)、F (FIN)、R (RESET)

パケット数パケット数。

22/14：受信パケット数/送信パケット数

バイト数バイト数。

7684/1070：受信バイト数/送信バイト数

ルールメッセージを有効にするには、vSphere Web Client にログインします。

1 [ネットワークとセキュリティ (Networking & Security)] - [セキュリティ (Security)] - [ファイアウォール

(Firewall)] の順に移動します。

2 [全般 (General)] タブが開かれていることを確認します。

NSX 管理ガイド

VMware, Inc. 211

3 ログを有効にします。


NSX 6.4.1 以降 [詳細 (More)]、[有効 (Enable)]、[ルールの有効化のログ (Enable Rule Logs)] の順にクリックし

ます。

NSX 6.4.0 1 ページで [ログ (Log)] 列を有効にします。

2 [ログ] テーブルセルにマウスを合わせて鉛筆アイコンをクリックし、ルールのログを有効にします。

注：ファイアウォールのログメッセージに表示されるテキストをカスタマイズするには、[タグ (Tag)] 列を有効に

し、鉛筆アイコンをクリックして必要なテキストを追加します。

監査ログとシステムイベントログ

監査ログには、管理ログと分散ファイアウォールの設定の変更が含まれています。これらのログは、/home/

secureall/secureall/logs/vsm.log に保存されます。

システムイベントログには、適用された分散ファイアウォールの設定のほか、作成、削除、または失敗したフィル

タ、セキュリティグループに追加された仮想マシンなどの情報が含まれます。これらのログは、/home/

secureall/secureall/logs/vsm.log に保存されます。

vSphere Web Client で監査ログとシステムイベントログを表示するには、[ネットワークとセキュリティ

(Networking & Security)] - [システム (System)] - [イベント (Events)] の順に移動します。[監視

(Monitor)] タブで、NSX Manager の IP アドレスを選択します。

NSX 管理ガイド

VMware, Inc. 212

ファイアウォールシナリオ 11ファイアウォールシナリオを使用して、必要な End-to-End のワークフローを理解します。


n コンテキストアウェアファイアウォールのシナリオ

n アプリケーション ID の設定

コンテキストアウェアファイアウォールのシナリオ

コンテキストアウェアファイアウールは EAST-WEST のトラフィックに使用します。一般的な Web 閲覧の分

類を目的としたものではありません。アプリケーションは、SSH、FTP、TFTP、SQL、DNS、PCoIP など、デー

タセンターで使用されている特定のアプリケーションに限定できます。

以下では、コンテキストアウェアファイアウォールの使用例について説明します。

n 使用例 1: チームの IT ディレクターの Don が、特定の仮想マシンですべての HTTP トラフィックを制限するよ

うに NSX 管理者に指示しました。Don は、送信元のポートに関係なく、このトラフィックを制限したいと考え

ています。

n 使用例 2: チームの IT リードの Robert が、特定の仮想マシンで、TCP ポート 8080 以外から送信された

HTTP トラフィックを制限したいと考えています。

n 使用例 3: コンテキストアウェアファイアウォールは ID ベースのログインにも適用できます。たとえば、自分

の仮想デスクトップにログインする Active Directory ユーザーに、ポート 8080 からの HTTP 要求のみを許

可できます。管理者は、従業員の John が Active Directory にログインしている場合にのみ、ポート 8080 からの HTTP 要求を許可したいと考えています。

シナリオ 1：特定のポートでの Web トラフィックを許可する

ポート 80 でのみ Web トラフィックを許可するとします。

次の手順に従って、コンテキストアウェアファイアウォールルールを作成します。

1 必要であれば、ファイアウォールルールセクションの追加します。

2 ファイアウォールルールの追加します（たとえば、HTTP から Web サーバ）。

3 [宛先 (Destination)] に、必要な Web サーバを選択します。

VMware, Inc. 213

4 次のパラメータを使用して、アプリケーション識別用のサービスの作成します。

パラメータオプション

レイヤーレイヤー 7

アプリケーション ID HTTP

プロトコル TCP

宛先ポート 80

5 デフォルトのファイアウォールルールを [ブロック (Block)] に変更します。

6 変更を発行します。

コンテキストアウェアファイアウォールルールを使用して、ポート 80 の Web トラフィックのみを許可します。

シナリオ 2: 任意のポートで SSH トラフィックを許可する

任意のポートでの SSH トラフィックを許可するとします。

次の手順に従って、コンテキストアウェアファイアウォールルールを作成します。

1 必要であれば、ファイアウォールルールセクションの追加します。

2 ファイアウォールルールの追加します（たとえば、SSH から SSH サーバ）。

3 [宛先 (Destination)] に、必要な SSH サーバを選択します。

4 次のパラメータを使用して、アプリケーション識別用のサービスの作成します。

パラメータオプション

レイヤーレイヤー 7

アプリケーション ID SSH

プロトコル TCP

宛先ポートテキストボックスは空白のままにします。

5 デフォルトのファイアウォールルールを [ブロック (Block)] に変更します。

6 変更を発行します。

コンテキストアウェアファイアウォールルールを使用して、任意のポートの SSH トラフィックのみを許可します。

例：例vSphere Web Client を使用して、コンテキストアウェアファイアウォールルールを作成する手順については、

例：コンテキストアウェアファイアウォールルールの作成を参照してください。

アプリケーション ID の設定

アプリケーションとプロトコルの ID を使用することで、多くのアプリケーションを可視化し、Active Directory、

DNS、HTTPS、MySQL などのアプリケーション層に基づく適用が可能になります。

NSX 管理ガイド

VMware, Inc. 214

レイヤー 7 アプリケーション ID は、使用するポートは問わず、特定のパケットまたはフローがどのアプリケーショ

ンで生成されたのかを識別するものです。

アプリケーション ID に基づいて適用することで、ユーザーは任意のポートを使用するアプリケーションの実行を許

可または拒否することができます。さらに、標準ポートを使用してアプリケーションを強制的に実行することもでき

ます。DPI (Deep Packet Inspection) では、定義済みのパターンとパケットペイロードを比較できます。このパ

ターンは署名とも呼ばれています。レイヤー 7 のサービスオブジェクトにより、ポートに依存しない適用や、レイ

ヤー 7 アプリケーション ID、プロトコル、およびポートを組み合わせた新しいサービスオブジェクトの作成が可能

になります。レイヤー 7 ベースのサービスオブジェクトは、ファイアウォールルールテーブルと Service Composer で使用できます。アプリケーションのプロファイルを作成するときに、アプリケーション ID の情報が

分散ファイアウォールログ、フローモニタリング、Application Rule Manager (ARM) でキャプチャされます。

手順

1 vSphere Web Client で、[ネットワークとセキュリティ (Networking & Security)] - [グループとタグ

(Groups and Tags)] の順にクリックします。

2 サービスを作成し、レイヤー 7、アプリケーション ID、プロトコル、ポートを指定します。ポートに依存しない

適用の場合、この手順はスキップできます。アプリケーション ID の GUID とサービスの作成を参照してくださ

い。

3 新しい分散ファイアウォールルールを作成します。サービスフィールドで、手順 2 で作成したレイヤー 7 のサ

ービスを選択します。ポートに依存しない適用の場合はアプリケーション ID を選択します。アプリケーション

ID の GUID を参照してください。詳細については、ファイアウォールルールの追加を参照してください。

4 ファイアウォールルールを保存して発行します。

NSX 管理ガイド

VMware, Inc. 215

Identity Firewall の概要 12Identity Firewall (IDFW) 機能を使用すると、NSX 管理者は Active Directory ユーザーベースの分散ファイア

ウォール (DFW) ルールを作成できます。

IDFW 構成のワークフローの概要は次のとおりです。ワークフローは、インフラストラクチャの準備から始まりま

す。準備段階では、NSX が Active Directory のユーザーおよびグループを利用できるようにするため、管理者が

保護対象の各クラスタに必要なコンポーネントをインストールし、Active Directory の同期を設定します。次に、

分散ファイアウォールルールを適用するため、Active Directory (AD) ユーザーがログインするデスクトップを

IDFW が識別できるようにする必要があります。IDFW がログインを検出する方法は、ゲストイントロスペクショ

ン (GI) および Active Directory イベントログスクレイパの 2 種類です。ゲストイントロスペクションは、

IDFW 仮想マシンを実行する ESXi クラスタに展開します。ネットワークイベントがユーザーによって生成される

と、仮想マシンにインストールされたゲストエージェントは、ゲストイントロスペクションフレームワークを介し

て NSX Manager に情報を転送します。第 2 のオプションは、Active Directory イベントログスクレイパです。

NSX Manager で、Active Directory ドメインコントローラのインスタンスにポイントするように Active Directory イベントログスクレイパを設定します。これにより、NSX Manager は Active Directory セキュリ

ティイベントログからイベントを取得できるようになります。これらの方法のいずれか、または両方を使用できま

す。Active Directory ログスクレイパとゲストイントロスペクションの両方が使用されている場合、ゲストイントロスペクションが優先されます。Active Directory イベントログスクレイパとゲストイントロスペクショ

ンの両方を使用する場合は、これらが排他的に動作することに注意してください。つまり、片方が動作を停止して

も、他方がバックアップとして動作を開始することはありません。

インフラストラクチャを準備したら、管理者は NSX セキュリティグループを作成し、新しく使用可能になった

Active Directory（ディレクトリグループと呼ばれます）を追加します。続いて管理者は、ファイアウォールルー

ルが関連付けられたセキュリティポリシーを作成して、これらのポリシーを新規に作成したセキュリティグループ

に適用します。この操作によって、ユーザーがデスクトップにログインすると、システムはイベントおよび使用され

ている IP アドレスを検出し、そのユーザーに関連付けられているファイアウォールポリシーを検索して、これらの

ルールを適用します。これは、物理および仮想の両方のデスクトップで機能します。物理デスクトップについては、

ユーザーが物理デスクトップにログインしたことを検出する目的でも、Active Directory イベントログスクレイ

パが必要となります。

Identity Firewall は、リモートデスクトップセッション (RDSH) のマイクロセグメンテーションで使用できます。

複数のユーザーが同時にログインしたり、要件に基づいてアプリケーションへのアクセスをユーザーに許可し、独立

したユーザー環境を維持できます。リモートデスクトップセッションで Identity Firewall を使用するには、

Active Directory が必要です。

VMware, Inc. 216

サポートされる Windows オペレーティングシステムについては、Identity Firewall でサポートされるテスト済

みの構成を参照してください。Linux ベースのオペレーティングシステムでは、Identity Firewall はサポートされ

ません。


n Identity Firewall のワークフロー

n Identity Firewall でサポートされるテスト済みの構成

Identity Firewall のワークフロー

Identity Firewall (IDFW) によって、ユーザーベースの分散ファイアウォール (DFW) ルールが利用できるように

なります。

ユーザーベースの分散ファイアウォールルールは、Active Directory (AD) グループのメンバーシップによって決

定されます。Identity Firewall (IDFW) は、Active Directory ユーザーのログイン先を監視し、分散ファイアウ

ォールがファイアウォールルールを適用する際に使用する IP アドレスにログインをマッピングします。Identity Firewall では、ゲストイントロスペクションフレームワークまたは Active Directory イベントログスクレイピ

ングのいずれかが必要です。これらの方法のいずれか、または両方を使用できます。Active Directory ログスクレ

イパとゲストイントロスペクションの両方が使用されている場合、ゲストイントロスペクションが優先されます。

Active Directory イベントログスクレイパとゲストイントロスペクションの両方を使用する場合は、これらが

排他的に動作することに注意してください。つまり、片方が動作を停止しても、他方がバックアップとして動作を開

始することはありません。

ユーザーの有効化と無効化、ユーザーの削除など、Active Directory グループメンバーシップの変更は、RDSH の Identity Firewall ルールを使用しているログインユーザーにすぐに反映されません。ユーザーに変更を反映さ

せるには、ログオフして再度ログインする必要があります。グループメンバーシップが変更されたときに、Active Directory 管理者がログオフを強制的に実行することをお勧めします。これは、Active Directory の制限が原因で

発生しています。

Identity Firewall (IDFW) の Northbound フロー：

1 ユーザーが仮想マシンにログインします。

2 NSX 管理プレーンがユーザーのログインイベントを受信します。

3 NSX 管理プレーンがユーザーを確認し、このユーザーが属するすべての Active Directory (AD) グループを

受信します。NSX 管理プレーンが、影響を受けるすべての Active Directory グループ用のグループ変更イベ

ントを送信します。

4 各 Active Directory グループで、この Active Directory グループを含むセキュリティグループ (SG) のす

べてにフラグが設定され、この変更を処理するためにジョブがキューに追加されます。1 つのセキュリティグル

ープに複数の Active Directory グループが含まれている場合、1 つのユーザーログインイベントが同じセキ

ュリティグループの複数の処理イベントのトリガーとなることがあります。これに対応するため、重複するセキ

ュリティグループ処理要求が削除されます。

Identity Firewall (IDFW) の Southbound フロー：

1 セキュリティグループ処理要求が受信されます。セキュリティグループが変更されると、NSX は影響を受ける

すべてのエンティティを更新し、Identity Firewall (IDFW) ルールごとにアクションをトリガします。

NSX 管理ガイド

VMware, Inc. 217

2 NSX が、セキュリティグループのすべての Active Directory グループを受信します。

3 Active Directory から、NSX は Active Directory グループに属するすべてのユーザーを受信します。

4 Active Directory ユーザーが IP アドレスに関連付けられます。

5 IP アドレスが vNIC にマッピングされ、vNIC が仮想マシンにマッピングされます。仮想マシンのリストには、

セキュリティグループセキュリティグループから仮想マシンへの変換の結果が表示されます。

注： RDSH の Identity Firewall は、Windows Server 2016、VMware Tools 10.2.5 以降を使用する

Windows 2012、VMware Tools 10.2.5 以降を使用する Windows 2012 R2 以降でのみサポートされます。

手順

1 NSX で Active Directory の同期を設定します。「Windows ドメインと Active Directory の同期」を参照

してください。この操作は、Service Composer で Active Directory グループを使用する際に必要です。

2 分散ファイアウォール用に ESXi クラスタを準備します。『NSX インストールガイド』の「NSX 用ホストクラ

スタの準備」を参照してください。

3 Identity Firewall ログイン検出オプションを設定します。これらのオプションの片方または両方を設定する必

要があります。

注：マルチドメイン Active Directory アーキテクチャで、セキュリティ上の制約によりログスクラッパー

にアクセスできない場合には、ゲストイントロスペクションを使用して、ログインイベントとログアウトイベ

ントを生成します。

n Active Directory イベントログアクセスを設定します。「NSX Manager への Windows ドメインの

登録」を参照してください。

n ゲストエージェントがインストールされている Windows ゲスト OS。これは、VMware Tools ™ の完

全なインストールに含まれます。保護されているクラスタに、ゲストイントロスペクションサービスを展

開します。ホストクラスタへのゲストイントロスペクションのインストールを参照してください。

Identity Firewall でサポートされるテスト済みの構成

Identity Firewall　でサポートされるディレクトリサーバとログスクレイピングサーバ。

表 12-1. ディレクトリサーバとバージョン

サーバ/バージョンサポート対象

Windows Server 2016 はい


Windows Server 2012 R2 はい

Windows Server 2008 R2 いいえ

Windows Server 2008 いいえ

Windows Server 2003 いいえ

Microsoft Active Directory 以外の LDAP サーバいいえ

NSX 管理ガイド

VMware, Inc. 218

表 12-2. RDSH デスクトップの Windows OS


Windows 2016 はい

VMware Tools 10.2.5 以降を実装している Windows 2012 はい

VMware Tools 10.2.5 以降を実装している Windows 2012 R2 はい

Identity Firewall で RDSH をサポートする場合は、ゲストイントロスペクションネットワークドライバをインス

トールする必要があります。

表 12-3. ドメインの同期オプション


LDAP のドメインの同期はい

CIFS と WMI でのイベントログの追加はい

単一ルート DN とドメインの同期はい

複数のルート DN 組織単位とドメインの同期 6.4.0 以降

レベル階層のある組織単位の単一サブツリーとドメインの同期 6.4.0 以降

組織単位の複数のサブツリーとドメインの同期 6.4.0 以降

選択した組織単位と同じドメインを削除し、再度追加 6.4.0 以降

同期された組織単位に新しいサブツリーを追加 6.4.0 以降

選択したベース DN と同期 6.4.0 以降

無効なユーザーを無視して同期はい

Active Directory ドメイン内の変更を反映する差分同期はい

表 12-4. ログスクレイピングのサーバとバージョン






Linux やその他の LDAP 実装いいえ

ログスクレイピングの制約

n 次の場合、仮想マシンを再起動しないと、ログインイベントを受信できません。

n ユーザーが無効または有効

n 仮想マシンの IP アドレスの変更

n NSX Manager と同じドメインを再追加

n 受信ログインイベントのイベントログキューには制限があり、ログがいっぱいになると、[] とログインイベン

トが受信されません。

NSX 管理ガイド

VMware, Inc. 219

ドメイン同期の詳細については、Windows ドメインと Active Directory の同期を参照してください

表 12-5. ゲストイントロスペクションを含む OS


Win 7（32 ビット、64 ビット）はい

Win 8（64 ビット）はい

Win 10（32 ビット、64 ビット）はい




Linux のサポートいいえ

ゲストイントロスペクションの制限

n ゲストイントロスペクションフレームワークは、Identity Firewall (IDFW) 仮想マシンを実行している各クラ

スタにデプロイする必要があります。

n すべてのゲスト仮想マシンに、VMware Tools ™ をフルインストールする必要があります。

n UDP セッションはサポートされていません。ゲスト仮想マシンでは、UDP セッション用のネットワークイベ

ントは生成されません。

n Active Directory サーバと Linux gOS との連携はサポートされていません。

サポートされている Microsoft Active Directory の設定

Identity Firewall では、Microsoft の標準規格とベストプラクティス　デザインガイド (https://msdn.microsoft.com/en-us/library/bb727085.aspx) に基づいて、次の　Active Directory フォレスト、

ドメイン、ドメインツリー、グループ/ユーザーの設定がサポートされ、テストされます：

表 12-6. 単一のフォレスト、単一のドメイン、ネストされた Active Directory のグループとユーザー構成

シナリオサポート対象

ドメイン内のユーザーメンバーシップの変更はい

循環グループメンバーシップ〇（6.2.8 以降でサポート）

ネストされたグループのメンバーシップはい

グループ名の追加と変更はい

ユーザー名の追加と変更〇

グループとユーザーの削除はい

ユーザーの有効化と無効化はい

表 12-7. 単一フォレスト、単一ドメイン、サブドメインツリー


親ドメインで作成され、親ドメインのグループに参加しているユーザーはい

子ドメインで作成され、親ドメインのグループに参加しているユーザー ×

NSX 管理ガイド

VMware, Inc. 220

https://msdn.microsoft.com/en-us/library/bb727085.aspx

https://msdn.microsoft.com/en-us/library/bb727085.aspx

表 12-7. 単一フォレスト、単一ドメイン、サブドメインツリー（続き）


子ドメイン 1 に作成され、メンバーシップが子ドメイン 2 のユーザー

2 つの異なるドメイン間でのユーザーメンバーシップの変更（ルートと

子）

はい

循環グループメンバーシップ〇（6.2.8 以降でサポート）

単一ドメイン内のネストされたグループメンバーシップ（クロスドメイ

ンはサポートされません）

はい

グループ/ユーザー名の追加と名変更〇

グループとユーザーの削除はい

ユーザーの有効化と無効化はい

表 12-8. 単一フォレスト、単一ドメイン、サブドメインツリー


同期後のドメインパスワードの変更はい

同期後の IP アドレスの変更はい

ドメインコントローラ名の変更はい

ドメインサーバおよびイベントログサーバへのネットワークを切断し

て、ドメインの同期時に再接続

はい

ドメインサーバおよびイベントログサーバへのネットワークを切断し

て、ドメインの同期後に再接続

はい

注：ルール適用のフローと前提条件

n ゲスト仮想マシンから TCP セッションが開始された場合にのみ、ユーザーのログインイベントに進みます。

n ユーザーログアウトイベントが送信または処理されていません。適用されたルールセットは、ユーザーの最後

のネットワークアクティビティから 8 時間が経過するか、別のユーザーが同じ仮想マシンから TCP 接続を開始

するまで、適用された状態が続きます。このイベントは、前のユーザーがログアウトして新しいユーザーがログ

インすると処理されます。

n NSX 6.4.0 以降の RDSH では、IDFW でマルチユーザーサポートを使用できます。

n RDSH 仮想マシンのログインは、主にコンテキストエンジンによって処理され、ルールが適用されます。RDSH ログインは、[送信元でユーザー ID を有効にする] が選択されたファイアウォールルールにのみ一致します。こ

のルールは、ファイアウォールルールの新しいセクションに作成する必要があります。送信元のセキュリティ

グループでユーザー以外の ID に属しているユーザーが RDSH 仮想マシンにログインすると、送信元のセキュリ

ティグループでユーザー以外の ID に変換されません。RDSH 仮想マシンは、送信元のセキュリティグループ

でユーザー以外の ID に属しません。

NSX 管理ガイド

VMware, Inc. 221

Active Directory ドメインの操作 131 つ以上の Windows ドメインを NSX Manager および関連する vCenter Server に登録できます。NSX Manager は、グループ、ユーザー情報、およびこれらの関係を登録先の各ドメインから取得します。NSX Manager は、Active Directory (AD) の認証情報も取得します。

NSX Manager は、Active Directory 認証情報を取得することで、ユーザー ID に基づいたセキュリティグルー

プや　ID ベースのファイアウォールルールを作成したり、アクティビティモニタリングレポートを実行できるよう

になります。

ユーザーの有効化と無効化、ユーザーの削除など、Active Directory グループメンバーシップの変更は、RDSH の Identity Firewall ルールを使用しているログインユーザーにすぐに反映されません。ユーザーに変更を反映さ

せるには、ログオフして再度ログインする必要があります。グループメンバーシップが変更されたときに、Active Directory 管理者がログオフを強制的に実行することをお勧めします。これは、Active Directory の制限が原因で

発生しています。

重要： Active Directory に加えられた変更は、差分または完全に同期するまで　NSX Manager に表示されま

せん。


n NSX Manager への Windows ドメインの登録

n Windows ドメインと Active Directory の同期

n Windows ドメインの編集

n Windows 2008 で読み取り専用セキュリティログアクセスを有効にする

n ディレクトリ権限の確認

NSX Manager への Windows ドメインの登録

前提条件

ドメインアカウントには、ドメインツリー内のすべてのオブジェクトでの Active Directory 読み取り権限が必要

です。イベントログリーダーのアカウントには、セキュリティイベントログに対する読み取り権限が必要です。

手順


(System)] - [ユーザーとドメイン (Users and Domains)] の順に移動します。

VMware, Inc. 222

2 [ドメイン (Domains)] タブをクリックして、[ドメインの追加 (Add domain)]（）アイコンをクリックし

ます。

3 [ドメインの追加 (Add Domain)] ダイアログボックスで、完全修飾ドメイン名（eng.vmware.com など）と

ドメインの netBIOS 名を入力します。

ドメインの netBIOS 名を取得するには、ドメインまたはドメインコントローラに属する Windows ワークス

テーションのコマンドウィンドウで、nbtstat -n と入力します。NetBIOS のローカル名テーブルでは、プ

リフィックスが <00> でタイプがグループのエントリが netBIOS 名です。

4 子ドメインを追加するときに、[自動マージ (Auto Merge)] を選択します。

5 同期する際に、有効なアカウントを持っていないユーザーを除外するには、[無効なユーザーを無視 (Ignore disabled users)] をクリックします。

6 [次へ (Next)] をクリックします。

7 [LDAP オプション] ページで、ドメインと同期するドメインコントローラを指定し、プロトコルを選択します。

サポートされるドメイン同期オプションの詳細については、Identity Firewall でサポートされるテスト済みの

構成を参照してください。

8 必要に応じてポート番号を編集します。

9 ドメインアカウントのユーザー認証情報を入力します。このユーザーは、ディレクトリツリー構造にアクセス

できる必要があります。


11 （オプション） [セキュリティイベントログアクセス] ページで、指定した Active Directory サーバのセキュ

リティイベントログにアクセスするための接続方法として、[CIFS] または [WMI] を選択します。必要に応じ

てポート番号を変更します。この手順は、Active Directory イベントログスクレイパによって使用されます。

Identity Firewall のワークフローを参照してください。

注：イベントログリーダーは、Active Directory のイベントログから、「Windows 2008/2012: 4624, Windows 2003: 540」という ID を持つイベントを探します。イベントログサーバには 128 MB という制

限があります。この制限に到達すると、セキュリティログリーダーにイベント ID 1104 が表示されます。詳細

については https://technet.microsoft.com/en-us/library/dd315518 を参照してください。

12 LDAP サーバのユーザー認証情報を使用する場合は、[ドメイン認証情報を使用 (Use Domain Credentials)] を選択します。ログアクセス用の代替ドメインアカウントを指定する場合は、[ドメイン認証情報を使用 (Use Domain Credentials)] の選択を解除し、ユーザー名とパスワードを指定します。

指定したアカウントには、手順 10 で指定したドメインコントローラのセキュリティイベントログの読み取り

権限が必要です。


14 [設定の確認] ページで、入力した設定を確認します。

NSX 管理ガイド

VMware, Inc. 223

https://technet.microsoft.com/en-us/library/dd315518

15 [終了 (Finish)] をクリックします。

注目: n ドメインの競合によって、エンティティに対するドメインの追加処理が失敗したというエラーメッセージが

表示された場合は、[自動マージ] を選択します。ドメインが作成され、ドメインリストの下に設定が表示さ

れます。

結果

ドメインが作成され、その設定がドメインリストの下に表示されます。

次のステップ

イベントログサーバのログインイベントが有効であることを確認します。

LDAP サーバを追加、編集、削除、有効、または無効にするには、ドメインリストの下のパネルで [LDAP サーバ

(LDAP Servers)] タブを選択します。イベントログサーバに対して同様のタスクを実行するには、ドメインリス

トの下のパネルで [イベントログサーバ (Event Log Servers)] タブを選択します。複数の Windows サーバ

（ドメインコントローラ、Exchange サーバ、またはファイルサーバ）をイベントログサーバとして追加すると、

ユーザー ID との関連付けが強化されます。

注： Identity Firewall を使用している場合、Active Directory サーバのみがサポートされます。

Windows ドメインと Active Directory の同期

デフォルトでは、登録されているすべてのドメインが Active Directory と 3 時間ごとに自動的に同期します。必

要に応じて、オンデマンドで同期することもできます。

vSphere Web Client ユーザーインターフェイスで、Active Directory ドメインの強制同期を実行できます。定

期的な同期は週に 1 回自動的に実行されます。差分同期は 3 時間ごとに実行されます。ユーザーインターフェイス

からサブツリーを選択して同期することはできません。

NSX 6.4 以降では、API を呼び出して Active Directory サブツリーの同期を行うことができます。ルートドメ

インには親子関係を設定できません。有効なディレクトリの識別名が必要です。

n /api/1.0/directory/updateDomain には、ルートドメイン下のフォルダを指定できます。強制実行（private

boolean forceUpdate ）を実行するオプションもあります。

n /api/directory/verifyRootDN。rootDN のリストに親子関係がないことを確認します。各 rootDN が有効

な Active Directory の識別名であることを確認します。

手順



2 [ドメイン (Domains)] タブをクリックして、同期するドメインを選択します。

重要： Active Directory に加えられた変更は、差分または完全に同期するまで　NSX Manager に表示さ

れません。

NSX 管理ガイド

VMware, Inc. 224

3 次のいずれかを選択します。

クリック対象説明

最後の同期イベント以降に変更されたローカル Active Directory オブジェクトが更新され

る差分同期を実行します。

すべての Active Directory オブジェクトのローカル状態が更新される完全同期を実行しま

す。

Windows ドメインの編集

名前、netBIOS 名、プライマリ LDAP サーバ、およびドメインのアカウント認証情報を編集できます。

手順



2 [ドメイン (Domains)] タブをクリックします。

3 ドメインを選択して、[ドメインの編集 (Edit domain)] アイコンをクリックします。

4 必要な変更を行い、[終了 (Finish)] をクリックします。

Windows 2008 で読み取り専用セキュリティログアクセスを有効

にする

読み取り専用セキュリティログアクセスは、IDFW のイベントログスクレイパにより使用されます。

新しいユーザーアカウントを作成した後、ユーザーに読み取り専用アクセス権限を付与するために、Windows 2008 サーバベースのドメインセクションで読み取り専用セキュリティログアクセスを有効にする必要がありま

す。

注：この手順は、ドメイン、ツリー、またはフォレストの 1 つのドメインコントローラで実行する必要がありま

す。

手順

1 [スタート(Start)] > [管理ツール(Administrative Tools)] > [Active Directory Users and Computers] の順に移動します。

2 ナビゲーションツリーで、セキュリティログアクセスを有効にするドメインに対応するノードを展開します。

3 展開したノードの下で、[Builtin] ノードを選択します。

4 グループのリストで [Event Log Readers] をダブルクリックします。

5 [Event Log Readers Properties] ダイアログボックスで、[Members] を選択します。

NSX 管理ガイド

VMware, Inc. 225

6 [Add...] ボタンをクリックします。

[Select Users, Contacts, Computers, or Groups] ダイアログが表示されます。

7 すでに「Active Directory リーダー」ユーザーのグループを作成した場合は、[Select Users, Contacts, Computers, or Groups] ダイアログでそのグループを選択します。ユーザーだけを作成し、グループを作成

しなかった場合は、[Select Users, Contacts, Computers, or Groups] ダイアログでそのユーザーを選択

します。

8 [OK] をクリックして、[Select Users, Contacts, Computers, or Groups] ダイアログを閉じます。

9 [OK] をクリックして、[Event Log Readers Properties] ダイアログを閉じます。

10 [Active Directory Users and Computers] ウィンドウを閉じます。

次のステップ

セキュリティログアクセスを有効にした後で、ディレクトリ権限の確認の手順に従ってディレクトリ権限を確認し

ます。

ディレクトリ権限の確認

ユーザーアカウントがセキュリティログの読み取りに必要な権限を持っていることを確認します。

新しいアカウントを作成してセキュリティログアクセスを有効にした後で、セキュリティログを読み取り可能であ

ることを確認する必要があります。

前提条件

セキュリティログアクセスを有効にします。Windows 2008 で読み取り専用セキュリティログアクセスを有効

にするを参照してください。

手順

1 ドメインに属するワークステーションから、管理者としてドメインにログインします。

2 [スタート(Start)] > [管理ツール(Administrative Tools)] > [イベントビューアー(Event Viewer)] の順に

移動します。

3 [Action] メニューから [Connect to Another Computer...] を選択します。[Select Computer] ダイア

ログが表示されます。（イベントログを表示するマシンにすでにログインしている場合でも、この操作を実行す

る必要があります。）

4 [Another computer] ラジオボタンがすでに選択されていない場合は、選択します。

5 [Another computer] ラジオボタンの隣のテキストフィールドに、ドメインコントローラの名前を入力しま

す。または、[参照... (Browse...)] ボタンをクリックして、ドメインコントローラを選択します。

6 [別のユーザーとして接続する (Connect as another user)] チェックボックスを選択します。

7 [ユーザーの設定... (Set User...)] ボタンをクリックします。[イベントビューアー] ダイアログボックスが表

示されます。

8 [ユーザー名 (User name)] フィールドに、作成したユーザーのユーザー名を入力します。

NSX 管理ガイド

VMware, Inc. 226

9 [パスワード (Password)] フィールドに、作成したユーザーのパスワードを入力します。


11 もう一度 [OK] をクリックします。

12 ナビゲーションツリーで [Windows ログ (Windows Logs)] ノードを展開します。

13 [Windows ログ (Windows Logs)] ノードの下の [セキュリティ] ノードを選択します。アカウントに必要な

権限が付与されていれば、ログイベントが表示されます。

NSX 管理ガイド

VMware, Inc. 227

SpoofGuard の使用 14SpoofGuard は、仮想マシン名と IP アドレスの参照テーブルを維持することで、IP アドレスのなりすましを防ぎ

ます。SpoofGuard は、仮想マシンの最初の起動時に NSX Manager が VMware Tools から取得した IP アド

レスを使用して、この参照テーブルを維持します。

vCenter Server と同期した後、NSX Manager は各仮想マシン上の VMware Tools からすべての vCenter Server ゲスト仮想マシンの IP アドレスを収集します。仮想マシンのセキュリティが侵害された場合は、IP アドレ

スのなりすましにより、悪意のあるデータ転送がファイアウォールポリシーを通り抜ける可能性があります。

SpoofGuard はデフォルトでは無効になっているため、各論理スイッチまたは VDS ポートグループで明示的に有

効にする必要があります。仮想マシンの IP アドレスの変更が検出されると、この新しい IP アドレスが承認されるま

で、この仮想マシンからのトラフィックは分散ファイアウォール (DFW) によってブロックされます。

特定のネットワークの SpoofGuard ポリシーを作成することにより、VMware Tools によって報告される IP アドレスを認証し、必要に応じて変更してなりすましを防止することができます。SpoofGuard は本質的に VMX ファイルと vSphere SDK から集められた仮想マシンの MAC アドレスを信用します。ファイアウォールルールと

別に運用することにより、SpoofGuard を使用して、なりすましと判断されたトラフィックをブロックすることが

できます。

重要： SpoofGuard は、分散ファイアウォール (DFW) が有効になっている場合にのみ機能します。

SpoofGuard では、IPv4 アドレスと IPv6 アドレスの両方がサポートされます。VMware Tools と DHCP スヌ

ーピングを使用している場合、vNIC に割り当てられている複数の IP アドレスを SpoofGuard ポリシーで使用で

きます。ARP スヌーピングは、1 つの vNIC の仮想マシンあたり、最大 128 個までのアドレスを検出します。

SpoofGuard ポリシーは、仮想マシンから報告された IP アドレスの監視と管理を、次のいずれかのモードで行いま

す。

最初の使用時に IP アドレスの割り当てを自動的に信頼

このモードでは、仮想マシンからのトラフィックの通過をすべて許可しつつ、vNIC-to-IP アドレス割り当てテ

ーブルを作成します。必要なときにこのテーブルをレビューし、IP アドレスを変更することができます。このモ

ードは、vNIC で最初に確認されたすべての IPv4 アドレスと IPv6 アドレスを自動的に承認します。

使用前にすべての IP 割り当てを手動で検査して承認

VMware, Inc. 228

このモードでは、各 vNIC-to-IP アドレス割り当てを承認するまでは、すべてのトラフィックがブロックされま

す。このモードでは、複数の IPv4 アドレスを承認できます。

注： SpoofGuard ではモードに関わらず本質的に DHCP リクエストを許可します。しかし、手動検査モードで

は、DHCP に割り当てられた IP アドレスが承認されるまで、トラフィックは通過できません。

SpoofGuard には、システムで生成されたデフォルトポリシーが含まれており、他の SpoofGuard ポリシーの対

象とならないポートグループと論理ネットワークに適用されます。新しく追加されたネットワークは、既存のポリシ

ーに追加するか、そのネットワーク用に新しいポリシーを作成するまで、自動的にデフォルトポリシーに追加されま

す。

SpoofGuard は、NSX 分散ファイアウォールポリシーが仮想マシンの IP アドレスを特定できる方法の 1 つです。

詳細については、仮想マシンの IP アドレス検出を参照してください。


n SpoofGuard ポリシーの作成

n IP アドレスの承認

n IP アドレスの変更

n IP アドレスのクリア

SpoofGuard ポリシーの作成

SpoofGuard ポリシーを作成して、特定のネットワークの操作モードを指定できます。既存の SpoofGuard ポリ

シーの対象となっていないポートグループと論理スイッチには、システム生成（デフォルト）ポリシーが適用されま

す。

手順


(Security)] - [SpoofGuard] の順に移動します。


3 ポリシーの名前を入力します。

4 [有効 (Enable)] または [無効 (Disable)] を選択して、ポリシーを有効または無効にします。

5 [操作モード (Operation Mode)] で、次のいずれかを選択します。


最初の使用時に IP アドレスの割り当てを自

動的に信頼

NSX Manager での最初の登録で IP アドレスの割り当てをすべて信頼するには、このオプシ

ョンを選択します。

使用前にすべての IP 割り当てを手動で検査

して承認

すべての IP アドレスを手動で承認するには、このオプションを選択します。承認されない IP アドレスから出入りするすべてのトラフィックはブロックされます。

NSX 管理ガイド

VMware, Inc. 229

6 セットアップでローカル IP アドレスを許可するには、[この名前空間でローカルアドレスを有効なアドレスとし

て許可する (Allow local address as valid address in this namespace)] をクリックします。

仮想マシンをパワーオンしても DHCP サーバに接続できない場合、その仮想マシンにはローカル IP アドレスが

割り当てられます。このローカル IP アドレスは、SpoofGuard モードが [この名前空間でローカルアドレスを

有効なアドレスとして許可する (Allow local address as valid address in this namespace)] に設定され

ている場合にのみ有効と見なされます。それ以外の場合、ローカル IP アドレスは無視されます。


8 このポリシーを適用するオブジェクトタイプを選択して、必要なオブジェクトを選択します。

u NSX 6.4.0 では、[追加 (Add)] アイコンをクリックします。このポリシーを適用するオブジェクトタイプ

を選択して、必要なオブジェクトを選択します。

ポートグループまたは論理スイッチは、1 つの SpoofGuard ポリシーのみに属することができます。


次のステップ

[編集 (Edit)] アイコンをクリックしてポリシーを編集したり、[削除 (Delete)] アイコンをクリックしてポリシーを

削除したりすることができます。

IP アドレスの承認

SpoofGuard ですべての IP アドレス割り当てに対し手動承認が行われるように設定した場合、仮想マシンからのト

ラフィックを許可するには IP アドレス割り当てを承認する必要があります。

手順

1 [SpoofGuard] でポリシーを選択します。

ポリシーの詳細はポリシーテーブルの下に表示されます。

2 NSX 6.4.1 以降では、ドロップダウンメニューからオプションを選択するか、[すべて (All)] を選択します。


有効な vNIC 検証されたすべての IP アドレスのリスト

承認保留の vNIC トラフィックがこれらの仮想マシンに出入りできるようになる前に承認が必要な IP アドレス

の変更

無効な vNIC 発行された IP アドレスに現在の IP アドレスがマッチしていない IP アドレスのリスト

IP アドレスが重複する vNIC 選択されたデータセンター内で割り当てられた既存の IP アドレスと重複する IP アドレス

3 NSX 6.4.0 では、[表示 (View)] を選択し、いずれかのオプションリンクをクリックします。


アクティブな仮想 NIC 検証されたすべての IP アドレスのリスト

最後の発行以降、アクティブな仮想 NIC ポリシーが最後に更新されて以降、承認された IP アドレスのリスト

NSX 管理ガイド

VMware, Inc. 230


承認が必要な仮想 NIC IP トラフィックがこれらの仮想マシンに出入りできるようになる前に承認が必要な IP アドレス

の変更

IP が重複している仮想 NIC 選択されたデータセンター内で割り当てられた既存の IP アドレスと重複する IP アドレス

無効な仮想 NIC 発行された IP アドレスに現在の IP アドレスがマッチしていない IP アドレスのリスト

未発行の仮想 NIC IP IP アドレスの割り当てを編集後まだ発行していない仮想マシンのリスト


n 1 つの IP アドレスを承認するには、その IP アドレスの横にある [承認 (Approve)] をクリックします。

n 複数の IP アドレスを承認するには、該当する vNIC を選択し、[IP アドレスの承認 (Approve IPs)] をク

リックします。

IP アドレスの変更

MAC アドレスに割り当てた IP アドレスを編集し、割り当てた IP アドレスを変更できます。

注： SpoofGuard は仮想マシンから一意の IP アドレスを受け付けます。しかし、IP アドレスの割り当ては 1 度しかできません。承認された IP アドレスは NSX 全体で一意です。IP アドレスの重複承認はできません。

手順


2 NSX 6.4.1 以降では、ドロップダウンメニューからオプションを選択するか、[すべて (All)] を選択します。




の変更






前回の発行以降アクティブな仮想 NIC ポリシーが最後に更新されて以降、承認された IP アドレスのリスト


の変更

IP アドレスが重複している仮想 NIC 選択されたデータセンター内で割り当てられた既存の IP アドレスと重複する IP アドレス



NSX 管理ガイド

VMware, Inc. 231

4 IP アドレスを追加します。


NSX 6.4.1 [IP アドレスの追加 (Add IP)] をクリックして、IP アドレスを追加します。

NSX 6.4.0 [承認済み IP アドレス (Approved IP)] アドレスの横にある鉛筆アイコンをクリックして

[+] をクリックし、新しい IP アドレスを追加します。

5 無効な IP アドレスを削除するには、[クリア (Clear)] を選択します。


IP アドレスのクリア

承認済み IP アドレスの割り当てを SpoofGuard ポリシーからクリアします。

手順


2 NSX 6.4.1 以降では、いずれかのオプションを選択するか、[すべて (All)] を選択します。




の変更






最後の発行以降、アクティブな仮想 NIC ポリシーが最後に更新されて以降、承認された IP アドレスのリスト


の変更

IP が重複している仮想 NIC 選択されたデータセンター内で割り当てられた既存の IP アドレスと重複する IP アドレス



4 [クリア (Clear)] または [承認済み IP アドレスの消去 (Clear Approved IPs)] を選択して、IP アドレスをク

リアします。

NSX 管理ガイド

VMware, Inc. 232

Virtual Private Network (VPN) 15NSX Edge では複数のタイプの VPN をサポートします。SSL VPN-Plus を使用することで、リモートユーザー

がプライベートの企業アプリケーションにアクセスできます。IPSec VPN により、NSX Edge インスタンスとリ

モートサイトとのサイト間接続が提供されます。また、L2 VPN により、地理的境界を越えた仮想マシンによるネ

ットワーク接続を維持できるようにすることで、データセンターを拡張できます。

VPN を使用する前に、作業 NSX Edge インスタンスを設定する必要があります。NSX Edge のセットアップの

詳細については、NSX Edge 設定を参照してください。


n SSL VPN-Plus の概要

n IPsec VPN の概要

n L2 VPN の概要

SSL VPN-Plus の概要

SSL VPN-Plus では、リモートユーザーが NSX Edge ゲートウェイの後方にあるプライベートネットワークへ安

全に接続できるようになります。リモートユーザーは、プライベートネットワーク内のサーバやアプリケーション

にアクセスできます。

VMware, Inc. 233

VPN VP

Web Access モードで接続する

リモートユーザー

NSX Manager

Admin

NSX EdgeSSL VPN

外部

インターネットWindowsServer

社内 LAN

SSL クライアント経由で接続するリモートユーザー

サポートされているクライアントオペレーティングシステムは次のとおりです。

オペレーティングシステムサポートされているバージョン

Windows 8、10（Windows 10 セキュアブートオプションが有効な場合も含む）

Mac OS Sierra 10.12.6

Mac OS High Sierra 10.13.4

Mac OS Mojave 10.14.2 ～ 10.14.6（NSX 6.4.4 以降でサポート）

Mac OS Catalina 10.15、10.15.3、10.15.4（NSX 6.4.7 以降でサポート）

10.15.6、10.15.7（NSX 6.4.10 以降でサポート）

Mac OS Big Sur 11.2 以降（NSX 6.4.10 以降でサポート）

Linux Fedora 26、28

NSX 管理ガイド

VMware, Inc. 234

オペレーティングシステムサポートされているバージョン

Linux CentOS 6.0、7.5

Linux Ubuntu 18.04（NSX 6.4.6 以降でサポート）

重要： n SSL VPN-Plus Client は、ARM ベースのプロセッサを使用しているコンピュータで使用できません。

n Windows の SSL VPN-Plus Client で、Npcap ループバックアダプタが有効になっていると、自動再接続

が期待どおり機能しません。このループバックアダプタは、Windows コンピュータの Npcap ドライバの機

能を妨げます。Windows コンピュータに Npcap ドライバ（0.9983 以降）の最新バージョンがインストー

ルされていることを確認します。このバージョンのドライバには、パケットキャプチャ用のループバックアダ

プタは必要ありません。

n ユーザーインターフェイスを使用するには、Linux TCL、TK、ネットワークセキュリティサービス (NSS) のライブラリが必要です。

ネットワークアクセス SSL VPN-Plus の設定

ネットワークアクセスモードで、リモートユーザーは、SSL クライアントをダウンロードし、インストールした後

に、プライベートネットワークにアクセスすることができます。

前提条件

SSL VPN ゲートウェイでは、ポート 443 に外部ネットワークからアクセスできるようにする必要があります。ま

た、SSL VPN クライアントでは、NSX Edge ゲートウェイ IP アドレスおよびポート 443 にクライアントシステ

ムから接続できるようにする必要があります。

SSL VPN-Plus サーバ設定の追加

NSX Edge インターフェイスで SSL を有効にするには、SSL VPN サーバの設定を追加する必要があります。

手順

1 [SSL VPN-Plus] タブで、左側のパネルから [サーバ設定 (Server Settings)] を選択します。

2 [変更 (Change.)] をクリックします。

3 IPv4 または IPv6 アドレスを選択します。

4 必要に応じてポート番号を編集します。このポート番号は、インストールパッケージをするために必要です。

5 暗号化の方法または暗号を 1 つ以上選択します。

注： SSL VPN サーバで次のいずれかの GCM 暗号が設定されていると、一部のブラウザで後方互換性の問題

が発生する場合があります。

n AES128-GCM-SHA256

n ECDHE-RSA-AES128-GCM-SHA256

n ECDHE-RSA-AES256-GCM-SHA38

NSX 管理ガイド

VMware, Inc. 235

6 （オプション） [サーバ証明書] テーブルで、デフォルトのサーバ証明書を使用します。または、[デフォルト証明

書の使用 (Use Default Certificate)] チェックボックスの選択を解除して、追加するサーバ証明書をクリック

します。

制限: n SSL VPN-Plus がサポートしているのは、RSA 証明書のみです。

n SSL VPN-Plus サービスでは、ルート認証局 (CA) の署名のみを含むサーバ証明書がサポートされます。

中間認証局 (CA) に署名されたサーバ証明書はサポートされません。

7 [OK (OK.)] をクリックします。

IP アドレスプールの追加

リモートユーザーには、追加した IP アドレスプールから仮想 IP アドレスが割り当てられます。

手順

1 [SSL Vpn-Plus] タブで、左側のパネルから [IP アドレスプール (IP Pools)] を選択します。


3 IP アドレスプールの開始および終了の IP アドレスを入力します。

4 IP アドレスプールのネットマスクを入力します。

5 NSX Edge Gateway のルーティングインターフェイスに追加する IP アドレスを入力します。

6 （オプション） IP アドレスプールの説明を入力します。

7 IP アドレスプールを有効にするか無効にするかを選択します。

8 （オプション） [詳細 (Advanced)] パネルで、DNS 名を入力します。

9 （オプション）セカンダリ DNS 名を入力します。

10 ドメインベースのホスト名解決のための接続固有の DNS サフィックスを入力します。

11 WINS サーバアドレスを入力します。


プライベートネットワークの追加

リモートユーザーからのアクセスを許可するネットワークを追加します。

手順

1 [SSL VPN-Plus] タブで、左側のパネルから [非公開ネットワーク (Private Networks)] を選択します。

2 [追加 (Add)] （）アイコンをクリックします。

3 プライベートネットワークの IP アドレスを入力します。

4 プライベートネットワークのネットマスクを入力します。

5 （オプション）ネットワークの説明を入力します。

NSX 管理ガイド

VMware, Inc. 236

6 プライベートネットワークとインターネットトラフィックを SSL VPN-Plus が有効な NSX Edge を介して

送信するのか、または NSX Edge を迂回することによってプライベートサーバに直接送信するのかを指定しま

す。

7 [トンネルを介してトラフィックを送信する (Send traffic over the tunnel)] を選択した場合は、[TCP 最適

化の有効化 (Enable TCP Optimization)] を選択してインターネットの速度を最適化します。

従来のフルアクセス SSL VPN トンネルは、TCP/IP データを 2 番目の TCP/IP スタックで送信し、インター

ネット上で暗号化を実現します。これにより、アプリケーションレイヤーのデータは、2 つの別々の TCP スト

リームで 2 度カプセル化されることになります。パケットロスが発生すると（最適なインターネット環境でも

発生）、TCP-over-TCP のメルトダウンと呼ばれるパフォーマンスの低下が発生します。これは、2 つの TCP 計測ツールが 1 つの IP データパケットを修正することにより、ネットワークのスループットが低下し、接続が

タイムアウトになる現象です。TCP の最適化によってこの TCP-over-TCP 問題を解消し、最適なパフォーマ

ンスを確保します。

8 最適化が有効になっている場合、トラフィックを最適化するポート番号を指定します。

そのネットワークの残りのポートのトラフィックは最適化されません。

注：ポート番号が指定されていない場合、すべてのポートのトラフィックが最適化されます。

TCP トラフィックが最適化されると、クライアントの代わりに SSL VPN サーバが TCP 接続を確立します。

TCP 接続が SSLVPN サーバによって開かれるため、最初に自動で生成されるルールが適用され、それによっ

て Edge から開かれたすべての接続が通過できます。最適化されないトラフィックは通常の Edge ファイアウ

ォールルールによって評価されます。デフォルトルールは「すべてを許可」です。

9 プライベートネットワークを有効または無効にするかどうかを指定します。


次のステップ

対応するファイアウォールルールを追加して、プライベートネットワークトラフィックを許可します。

認証の追加

ローカルユーザーの認証の代わりに、SSL ゲートウェイにバインドされている外部認証サーバ（Active Directory、LDAP、Radius、または RSA）を追加できます。バインドされた認証サーバにアカウントがあるすべ

てのユーザーが認証されます。

SSL VPN 経由の認証の最大時間は 3 分です。これは、認証以外のタイムアウトが 3 分で、このプロパティは設定

できないためです。そのため、設定されている Active Directory 認証のタイムアウトが 3 分を超えている場合や、

認可のチェーンに複数の認証サーバがあり、ユーザー認証の時間が 3 分を超える場合は認証されません。

手順

1 [SSL VPN-Plus] タブで、左側のパネルから [認証 (Authentication)] を選択します。


3 認証サーバのタイプを選択します。

NSX 管理ガイド

VMware, Inc. 237

4 選択した認証サーバのタイプに応じて、次のフィールドを指定します。

u Active Directory 認証サーバ

表 15-1. Active Directory 認証サーバのオプション


[SSL の有効化

(Enable SSL)]SSL を有効にすると、Web サーバとブラウザの間に、暗号化されたリンクを確立します。

注： SSL を有効にせずに、[SSL VPN-Plus] タブを使用するか、後でクライアントマシンからパスワードの変

更を試みると、問題が発生する可能性があります。

[IP アドレス (IP Address)]

認証サーバの IP アドレス。

[ポート (Port)] デフォルトポートの名前を表示します。必要に応じて編集します。

[タイムアウト

(Timeout)]Active Directory サーバが応答しなければならない期間（秒）です。

[ステータス

(Status)][有効 (Enabled)] あるいは [無効 (Disabled)] を選択し、サーバが有効になっているかどうかを指定します。

[検索ベース

(Search base)]検索対象とする外部のディレクトリツリーの一部です。検索ベースには、組織単位 (OU)、ドメインコントロー

ラ (DC) あるいは外部ディレクトリのドメイン名 (AD) などを指定できます。

例：

n OU=Users,DC=aslan,DC=local

n OU=VPN,DC=aslan,DC=local

[バインド DN (Bind DN)]

定義された検索ベース内で Active Directory ディレクトリを検索することを許可された外部 Active Directory サーバ上のユーザーです。たいていの場合、バインド DN は、ディレクトリ全体の検索が許可されま

す。バインド DN のロールは、Active Directory ユーザーの認証に関する DN（識別名）について、クエリフィルタおよび検索ベースを使用してディレクトリをクエリすることです。DN が返されると、Active Directory ユーザーの認証に DN とパスワードが使用されます。

例：CN=ldap.edge,OU=users,OU=Datacenter Users,DC=aslan,DC=local

[バインドパスワー

ド (Bind Password)]

Active Directory ユーザーを認証するためのパスワードです。

[バインドパスワー

ドの再入力

(Retype Bind Password)]

パスワードを再入力します。

[ログイン属性名

(Login Attribute Name)]

リモートユーザーが入力したユーザー ID に一致する名前です。Active Directory の場合、ログイン属性名は

sAMAccountName です。

[検索フィルタ

(Search Filter)]検索を制限するフィルタの値です。検索フィルタフォーマットは、attribute operator value です。

検索ベースを Active Directory の特定のグループに限定し、組織単位 (OU) 全体での検索を許可しない場合

n 検索ベースにグループ名を入れず、OU と DC のみを入れてください。

n 同じ検索フィルタ文字列に objectClass と memberOf の両方を入れないでください。検索フィルタの正

しいフォーマットの例：memberOf=CN=VPN_Users,OU=Users,DC=aslan,DC=local

NSX 管理ガイド

VMware, Inc. 238

表 15-1. Active Directory 認証サーバのオプション（続き）


[セカンダリ認証に

このサーバの使用

(Use this server for secondary authentication)]

選択すると、この Active Directory サーバが認証の第 2 レベルとして使用されます。

[認証に失敗した場

合はセッションを

終了 (Terminate Session if authentication fails)]

選択すると、認証に失敗した場合にセッションを終了します。

u LDAP 認証サーバ

表 15-2. LDAP 認証サーバのオプション


[SSL の有効化 (Enable SSL)]

SSL を有効にすると、Web サーバとブラウザの間に、暗号化されたリンクを確立します。


外部サーバの IP アドレスです。


[タイムアウト


[ステータス (Status)] [有効 (Enabled)] あるいは [無効 (Disabled)] を選択し、サーバが有効になっているかどうかを指定しま

す。

[検索ベース (Search base)]

検索対象とする外部のディレクトリツリーの一部です。検索ベースには、組織、グループ、あるいは外部デ

ィレクトリのドメイン名 (Active Directory) などを指定できます。

[バインド DN (Bind DN)]

定義された検索ベース内で Active Directory ディレクトリを検索することを許可された外部サーバ上の

ユーザーです。たいていの場合、バインド DN は、ディレクトリ全体の検索が許可されます。バインド DN のロールは、Active Directory ユーザーの認証に関する DN（識別名）について、クエリフィルタおよ

び検索ベースを使用してディレクトリをクエリすることです。DN が返されると、Active Directory ユー

ザーの認証に DN とパスワードが使用されます。

[バインドパスワード

(Bind Password)]Active Directory ユーザーを認証するためのパスワードです。

[バインドパスワードの再

入力 (Retype Bind Password)]

パスワードを再入力します。

[ログイン属性名 (Login Attribute Name)]

リモートユーザーが入力したユーザー ID に一致する名前です。Active Directory の場合、ログイン属性

名は sAMAccountName です。

[検索フィルタ (Search Filter)]

検索を制限するフィルタの値です。検索フィルタフォーマットは、attribute operator value です。

NSX 管理ガイド

VMware, Inc. 239

表 15-2. LDAP 認証サーバのオプション（続き）


[セカンダリ認証にこのサ

ーバの使用 (Use this server for secondary authentication)]

選択すると、このサーバが認証の第 2 レベルとして使用されます。

[認証に失敗した場合はセ

ッションを終了

(Terminate Session if authentication fails)]


u RADIUS 認証サーバ

RADIUS 認証は FIPS モードでは無効になります。

表 15-3. RADIUS 認証サーバのオプション



外部サーバの IP アドレスです。


[タイムアウト


[ステータス


[シークレット

(Secret)]RSA セキュリティコンソールに認証エージェントを追加するときに指定した共有シークレットです。

[シークレットの再入

力 (Retype secret)]

共有シークレットを再入力します。

[NAS IP アドレス

(NAS IP Address)]

RADIUS 属性番号 4 として設定および使用される IP アドレス (NAS-IP-Address) です。RADIUS パケット

の IP アドレスヘッダ内の送信元 IP アドレスは変更されません。

[再試行回数 (Retry Count)]

RADIUS サーバが応答しない場合に、認証が失敗する前に RADIUS サーバと通信する回数です。

[セカンダリ認証にこ

のサーバの使用



[認証に失敗した場合

はセッションを終了



u RSA-ACE 認証サーバ

NSX 管理ガイド

VMware, Inc. 240

RSA 認証は FIPS モードでは無効になります。

表 15-4. RSA-ACE 認証サーバのオプション


[タイムアウト


[構成ファイル

(Configuration File)]

[参照 (Browse)] をクリックして RSA Authentication Manager からダウンロードした sdconf.rec ファイルを選択します。

[ステータス


[送信元 IP アドレス

(Source IP Address)]

RSA サーバへのアクセスが可能な NSX Edge インターフェイスの IP アドレスです。









u ローカル認証サーバ

表 15-5. ローカル認証サーバのオプション


[パスワードポリシ

ーの有効化 (Enable password policy)]

選択すると、パスワードポリシーを定義します。必要な値を指定します。

[パスワードポリシ

ーの有効化 (Enable password policy)]

選択すると、アカウントロックアウトポリシーを定義します。必要な値を指定します。

1 [再試行回数] には、リモートユーザーが誤ったパスワードを入力した後、そのアカウントへのアクセスを試

みることができる回数を入力します。

2 [再試行期間] には、この期間中にログインが成功しなかった場合にリモートユーザーのアカウントがロック

される期間を入力します。

たとえば、[再試行回数] を 5 に、[再試行期間] を 1 分間に設定すると、1 分間のうちにログインに 5 回失敗

すると、そのリモートユーザーのアカウントがロックされることになります。

3 [ロックアウト期間] には、ユーザーアカウントがロック状態となっている期間を入力します。この期間が過

ぎると、アカウントのロックは自動的に解除されます。

[ステータス


NSX 管理ガイド

VMware, Inc. 241

表 15-5. ローカル認証サーバのオプション（続き）










5 （オプション）クライアント証明書認証の追加

a [証明書認証 (Certificate Authentication)] の横の [変更 (Change)] をクリックします。

b [クライアント証明書認証の有効化 (Enable client certificate authentication)] チェックボックスを選

択します。

c ルート認証局 (CA) から発行されたクライアント証明書を選択して、[OK] をクリックします。

制限: n SSL VPN-Plus Web ポータルと SSL VPN-Plus Full Access Client（PHAT クライアント）で

は、、ルート認証局 (CA) によって署名されたクライアント証明書またはユーザー証明書のみがサポー

トされます。中間認証局 (CA) に署名されたクライアント証明書はサポートされません。

n クライアント証明書認証は、Windows コンピュータにインストールされている SSL VPN-Plus Client でのみサポートされます。Linux および Mac コンピュータにインストールされている SSL VPN-Plus Client では、この認証はサポートされていません。

インストールパッケージの追加

リモートユーザーのための SSL VPN-Plus Client のインストールパッケージを作成します。

手順

1 [SSL VPN-Plus] タブで、左側のパネルから [インストールパッケージ (Installation Package)] を選択しま

す。


3 インストールパッケージのプロファイル名を入力します。

4 [ゲートウェイ (Gateway)] で、NSX Edge のパブリックインターフェイスの IP アドレスまたは FQDN を入力します。

この IP アドレスまたは FQDN は、SSL クライアントにバインドされます。クライアントのインストール時に、

この IP アドレスまたは FQDN が SSL クライアントに表示されます。

NSX 管理ガイド

VMware, Inc. 242

5 サーバ設定で SSL VPN-Plus に指定したポート番号を入力します。SSL VPN-Plus サーバ設定の追加を参照


6 （オプション）追加の NSX Edge アップリンクインターフェイスを SSL クライアントにバインドするには、

a [追加 (Add)]（）アイコンをクリックします。

b IP アドレスとポート番号を入力します。


7 インストールパッケージは、デフォルトでは Windows オペレーティングシステム用に作成されます。Linux または Mac を選択すると、Linux または Mac オペレーティングシステム用のインストールパッケージも作成

できます。

8 （オプション）インストールパッケージの説明を入力します。

9 [有効化 (Enable)] を選択し、インストールパッケージページにインストールパッケージを表示します。

10 必要に応じて次のオプションを選択します。


ログイン時にクライアントを起動リモートユーザーがこのシステムにログインすると、SSL VPN クライアントが起動されま

す。

パスワード記録を許可オプションを有効にします。

サイレントモードインストールの有効化リモートユーザーに対してインストールコマンドを表示しません。

SSL クライアントネットワークアダプタを

非表示にする

VMware SSL VPN-Plus アダプタを非表示にします。これは、SSL VPN インストールパッケージと併せてリモートユーザーのコンピュータにインストールされるものです。

クライアントシステムトレイアイコンを非

表示にする

VPN 接続がアクティブかアクティブでないかを示す SSL VPN トレイアイコンを非表示に

します。

デスクトップアイコンの作成ユーザーのデスクトップに SSL クライアントを起動するアイコンを作成します。

サイレントモードの操作の有効化インストールが完了したことを示すポップアップを非表示にします。

サーバセキュリティ証明書の検証 SSL VPN クライアントが安全な接続を確立する前に SSL VPN サーバ証明書を検証しま

す。

証明書の検証に失敗したときにユーザーをブ

ロック

証明書の検証に失敗すると、SSL VPN ユーザーをブロックします。

11 [OK (OK.)] をクリックします。

ユーザーの追加

ローカルデータベースにリモートユーザーを追加します。

手順

1 [SSL VPN-Plus] タブで、左側のパネルから [ユーザー (Users)] を選択します。


3 ユーザー ID を入力します。

NSX 管理ガイド

VMware, Inc. 243

4 パスワードを入力します。

5 パスワードを再入力します。

6 （オプション）ユーザーの姓名を入力します。

7 （オプション）ユーザーの説明を入力します。

8 [パスワードの詳細] で、[パスワードは無期限です (Password never expires)] を選択すると、そのユーザー

には常に同じパスワードが適用されます。

9 ユーザーにパスワードの変更を許可するには、[パスワードの変更を許可 (Allow change password)] を選択

します。

10 次回ログイン時にユーザーにパスワードの変更を求めるには、[次のログイン時にパスワードを変更 (Change password on next login)] をクリックします。

11 ユーザーステータスを設定します。


SSL VPN-Plus サービスを有効にする

SSL VPN-Plus サービスを設定したら、そのサービスを有効にして、リモートユーザーがプライベートネットワー

クへのアクセスを開始できるようにします。

手順

1 [SSL VPN-Plus] タブで、左側のパネルから [ダッシュボード (Dashboard)] を選択します。

2 [開始 (Start)] をクリックします。

ダッシュボードに、サービスのステータス、アクティブな SSL VPN セッションの数、およびセッションの統計

とデータフローの詳細が表示されます。[アクティブセッションの数] の隣にある [詳細 (Details)] をクリック

して、NSX Edge ゲートウェイの内側にあるプライベートネットワークへの同時接続に関する情報を表示しま

す。

次のステップ

1 SNAT ルールを追加して、NSX Edge アプライアンスの IP アドレスを VPN Edge の IP アドレスに変換し

ます。

2 Web ブラウザに https//NSXEdgeIPAddress と入力して、NSX Edge インターフェイスの IP アドレスに

移動します。

3 ユーザーの追加セクションで作成したユーザー名およびパスワードを使用してログインし、インストールパッケ

ージをダウンロードします。

4 SSL VPN-Plus サーバ設定の追加で使用したポート番号に対して、ルーターでのポート転送を有効にします。

5 VPN クライアントを起動し、VPN サーバを選択してログインします。ここで、ネットワーク上のサービスに移

動できるようになります。SSL VPN-Plus ゲートウェイのログが、NSX Edge アプライアンスで設定された

Syslog サーバに送信されます。SSL VPN-Plus Client のログは、リモートユーザーのコンピュータの

%PROGRAMFILES%/VMWARE/SSLVPN Client/ ディレクトリに格納されます。

NSX 管理ガイド

VMware, Inc. 244

スクリプトの追加

複数のログインまたはログオフスクリプトを追加できます。たとえば、Internet Explorer を gmail.com で開始

するようにログインスクリプトをバインドすることができます。リモートユーザーが SSL クライアントにログイ

ンすると、Internet Explorer が gmail.com を開きます。

手順

1 [SSL Vpn-Plus] タブで、左側のパネルから [ログイン/ログオフスクリプト (Login/Logoff Scripts)] を選択

します。


3 [スクリプト (Script)] で、[参照 (Browse)] をクリックし、NSX Edge Gateway にバインドするスクリプト


4 スクリプトの [タイプ (Type)] を選択します。


ログインリモートユーザーが SSL VPN にログインするときにスクリプトアクションを実行します。

ログオフリモートユーザーが SSL VPN からログアウトするときにスクリプトアクションを実行し

ます。

両方リモートユーザーが SSL VPN のログインおよびログアウトを実行するときにスクリプト

アクションを実行します。

5 スクリプトの説明を入力します。

6 [有効 (Enabled)] を選択してスクリプトを有効にします。


SSL VPN-Plus Client のインストール

SSL VPN Full Access (PHAT) クライアントを使用して、設定済みのプライベートネットワークにリモートユー

ザーとして接続します。このクライアントは、Windows、Mac、Linux デスクトップでサポートされています。

次のトピックでは、さまざまなオペレーティングシステムに SSL VPN-Plus Client をインストールする手順につ

いて説明します。

n リモートの Windows サイトへの SSL VPN-Plus Client のインストール

このトピックの手順に従って、リモートの Windows サイトに SSL VPN-Plus Client をインストールしま

す。

n リモートの Linux サイトへの SSL VPN-Plus Client のインストール

このトピックの手順に従って、リモートの Linux サイトに SSL VPN-Plus Client をインストールします。

n リモートの Mac サイトへの SSL VPN-Plus Client のインストール

このトピックの手順に従って、リモートの Mac コンピュータに SSL VPN-Plus Client をインストールしま

す。

NSX 管理ガイド

VMware, Inc. 245

リモートの Windows サイトへの SSL VPN-Plus Client のインストール

このトピックの手順に従って、リモートの Windows サイトに SSL VPN-Plus Client をインストールします。

手順

1 リモートクライアントのサイトでブラウザウィンドウを開き、

https://ExternalEdgeInterfaceIP/sslvpn-plus/ と入力します。ExternalEdgeInterfaceIP は

SSL VPN-Plus サービスが有効になっている Edge の外部インターフェイスの IP アドレスです。

2 リモートユーザーの認証情報を使用してポータルにログインします。

3 [フルアクセス (Full Access)] タブをクリックします。

4 リストからインストーラパッケージの名前をクリックします。

5 [ここをクリック (click here)] リンクをクリックして、インストーラパッケージをダウンロードします。

SSL クライアントがダウンロードされます。

6 ダウンロードしたファイルを解凍し、Installer.exe ファイルを実行してクライアントをインストールしま

す。

次のステップ

[ユーザー] セクションで指定した認証情報を使って、SSL クライアントにログインします。SSL VPN-Plus Client が SSL VPN サーバ証明書を検証します。

インストールパッケージが作成されたときに [サーバセキュリティ証明書の検証 (Server security certificate validation)] オプションがデフォルトで選択されていた場合は、Windows クライアントが認証されます。

Internet Explorer (IE) ブラウザでは、信頼された CA を証明書のトラストストアに追加します。サーバ証明書の

検証に失敗すると、システム管理者に連絡するように求めるメッセージが表示されます。サーバ証明書の検証が成功

した場合は、ログインプロンプトが表示されます。

信頼できる CA のトラストストアへの追加は、SSL VPN ワークフローとは独立した手順です。

リモートの Linux サイトへの SSL VPN-Plus Client のインストール

このトピックの手順に従って、リモートの Linux サイトに SSL VPN-Plus Client をインストールします。

前提条件

リモートコンピュータに Linux TCL と TK パッケージをインストールします。

SSL VPN-Plus Client をインストールするには、root 権限が必要です。

手順






NSX 管理ガイド

VMware, Inc. 246

4 インストーラパッケージの名前をクリックし、リモートコンピュータに linux_phat_client.tgz 圧縮ファ

イルを保存します。

5 圧縮ファイルを解凍します。linux_phat_client ディレクトリが作成されます。

6 Linux CLI を開き、linux_phat_client ディレクトリに移動します。

7 $./install_linux_phat_client.sh コマンドを実行します。

次のステップ

[ユーザー] セクションで指定した認証情報を使って、SSL VPN GUI にログインします。

注目: n Linux オペレーティングシステムで SSL VPN クライアントにログインする場合、二要素 RSA 認証は使用で

きません。

n SSL VPN Linux クライアント CLI は、サーバ証明書を検証しません。サーバ証明書の検証が必要な場合は、ゲ

ートウェイとの接続に SSL VPN GUI を使用します。

デフォルトでは、SSL VPN Linux クライアントはブラウザの証明書ストアでサーバ証明書を検証します。サーバ証

明書の検証に失敗すると、システム管理者に連絡するように求めるメッセージが表示されます。サーバ証明書の検証

に成功した場合は、ログインプロンプトが表示されます。

信頼できる認証局 (CA) のトラストストア（Firefox の証明書ストアなど）への追加は、SSL VPN ワークフロー

とは独立した手順です。

リモートの Mac サイトへの SSL VPN-Plus Client のインストール

このトピックの手順に従って、リモートの Mac コンピュータに SSL VPN-Plus Client をインストールします。

前提条件

SSL VPN-Plus Client をインストールするには、root 権限が必要です。

手順






4 インストーラパッケージの名前をクリックし、リモートコンピュータに mac_phat_client.tgz 圧縮ファイ

ルを保存します。

5 圧縮ファイルを抽出します。mac_phat_client ディレクトリが作成されます。

6 SSL VPN-Plus Client をインストールするには、naclient.pkg ファイルをダブルクリックします。

ウィザードの指示に従って、インストールを完了します。

NSX 管理ガイド

VMware, Inc. 247

SSL VPN クライアントのインストールに失敗した場合は、/tmp/naclient_install.log にあるインスト

ールログファイルを確認します。

Mac OS High Sierra のインストール問題のトラブルシューティングについては、『NSX トラブルシューティ

ングガイド』を参照してください。

次のステップ

[ユーザー] セクションで指定した認証情報を使って、SSL クライアントにログインします。

注目: Mac オペレーティングシステムで SSL VPN クライアントにログインするときに、二要素 RSA 認証は使

用できません。

デフォルトでは、SSL VPN Mac クライアントがキーチェーン（Mac OS で証明書が格納されているデータベース）

を使用してサーバ証明書を検証します。サーバ証明書の検証が失敗すると、システム管理者に問い合わせるように求

めるメッセージが表示されます。サーバ証明書の検証が成功した場合は、ログインプロンプトが表示されます。

SSL VPN-Plus Client でのプロキシサーバの設定

NSX 6.4.6 以降では、Windows、Mac、Linux コンピュータの SSL VPN-Plus Client でプロキシサーバの設定

がサポートされます。NSX 6.4.5 以前では、プロキシサーバの設定は、Windows コンピュータの SSL VPN-Plus Client でのみサポートされます。

注意： NSX 6.4.5 以前：

n Mac OS の SSL VPN-Plus Client にはプロキシサーバの設定機能が用意されていますが、リモートユーザー

はプロキシサーバを設定しないでください。

n リモートの Linux OS ユーザーは、Linux CLI を使用して SSL VPN-Plus Client のプロキシサーバを設定し

ないでください。

次の手順では、SSL VPN-Plus Client のプロキシサーバを設定する手順について説明します。

前提条件

SSL VPN-Plus Client は、リモートコンピュータにインストールされます。

手順

1 リモートコンピュータで SSL VPN-Plus Client のデスクトップアイコンをダブルクリックします。

[SSL VPN-Plus Client - ログイン] ウィンドウが開きます。

2 プロキシの設定に移動します。

n Windows および Mac コンピュータで、[設定] をクリックしてから、[プロキシ設定] タブをクリックしま

す。

n Linux コンピュータで、[プロキシ設定] をクリックします。

NSX 管理ガイド

VMware, Inc. 248

3 プロキシサーバの設定を指定します。

a [プロキシの使用 (Use Proxy)] チェックボックスを選択します。

b [プロキシのタイプ (Type Of Proxy)] で、プロキシサーバのタイプを設定します。


IE 設定の使用このオプションは、Windows SSL VPN-Plus Client でのみ使用できます。

IE ブラウザで指定されているプロキシサーバの設定を使用します。

HTTP HTTP プロキシサーバの次の設定を指定します。

n プロキシサーバ名またはプロキシサーバの IP アドレス。

n プロキシサーバのポート。デフォルトポートは 80 です。この値は編集できます。

SOCKS バージョン 4 このオプションは、Windows SSL VPN-Plus Client でのみ使用できます。

SOCKS 4.0 プロキシサーバの次の設定を指定します。


n プロキシサーバのポート。デフォルトポートは 1080 です。この値は編集できま

す。

SOCKS バージョン 5 SOCKS 5.0 プロキシサーバの次の設定を指定します。


n プロキシサーバのポート。デフォルトポートは 1080 です。この値は編集できま

す。

n （オプション）SOCKS 5.0 サーバへのアクセスに使用するユーザー名とパスワード。

4 プロキシサーバの設定を保存するには、[OK] をクリックします。

SSL VPN-Plus のログ

SSL VPN-Plus ゲートウェイのログが、NSX Edge アプライアンスで設定された Syslog サーバに送信されます。

次の表に、リモートユーザーのコンピュータで SSL VPN-Plus Client のログが保存される場所を示します。

オペレーティングシステムログファイルの場所

Windows 8 C:\Users\username\AppData\Local\VMware\vpn\svp_client.log

Windows 10 C:\Users\username\AppData\Local\VMware\vpn\svp_client.log

Linux システムログファイル

Mac インストールログファイル： /tmp/naclient_install.logシステムログファイル

SSL VPN-Plus Client ログとログレベルの変更

1 [SSL VPN-Plus] タブで、左側のパネルから [サーバ設定 (Server Settings)] をクリックします。

2 [ログポリシー] セクションに移動し、セクションを展開して現在の設定を表示します。

3 [変更 (Change)] をクリックします。

4 ログを有効にするには、[ログの有効化 (Enable logging)] チェックボックスを選択します。

また

NSX 管理ガイド

VMware, Inc. 249

ログを無効にするには、[ログの有効化 (Enable logging)] チェックボックスを選択解除します。

5 必要なログレベルを選択します。

注：デフォルトで、SSL VPN-Plus クライアントのログが有効になり、ログレベルが通知に設定されます。


クライアント設定の編集

リモートユーザーが SSL VPN にログインしたときに SSL VPN クライアントトンネルが応答する方法を変更で

きます。

手順

1 [SSL VPN-Plus] タブで、左側のパネルから [クライアント (Client Configuration)] を選択します。

2 [トンネルモード (Tunneling Mode)] を選択します。

分割トンネルモードでは、VPN のみが NSX Edge Gateway を通過します。フルトンネルの場合、NSX Edge Gateway はリモートユーザーのデフォルトゲートウェイとなり、すべてのトラフィック（VPN、ロー

カルおよびインターネット）がこのゲートウェイを通過します。

3 フルトンネルモードを選択した場合：

a [ローカルサブネットを除外 (Exclude local subnets)] を選択すると、VPN トンネルを通過するトラフ

ィックからローカルトラフィックが除外されます。

b リモートユーザーのシステムのデフォルトゲートウェイの IP アドレスを入力します。

4 リモートユーザーが切断後に自動的に SSL VPN クライアントに再接続するようにするには、[自動再接続の有

効化 (Enable auto reconnect)] を選択します。

5 [クライアントのアップグレードを通知 (Client upgrade notification)] を選択すると、クライアントのアップ

グレードが使用可能になったときに、リモートユーザーに通知が送信されます。リモートユーザーはそのとき

に、アップグレードのインストールを選択できます。


全般設定の編集

デフォルトの VPN 設定を編集することができます。

手順

1 [SSL VPN-Plus] タブで、左側のパネルから [全般設定 (General Settings)] を選択します。

2 必要な選択を行います。

選択宛先

複数のログインが同じユーザー名を使用する

ことを防ぐ

リモートユーザーが 1 つのユーザー名で 1 度だけログインすることを許可します。

圧縮の有効化 TCP ベースのインテリジェントデータ圧縮を有効にし、データ転送速度を改善します。

NSX 管理ガイド

VMware, Inc. 250

選択宛先

ログの有効化 SSL VPN ゲートウェイを通過するトラフィックのログを保持します。

強制仮想キーボードリモートユーザーによる Web またはクライアントのログイン情報の入力を、仮想キーボード

からの入力のみに限定します。

仮想キーボードのキーのランダム化仮想キーボードのキーをランダムに配置します。

強制タイムアウトの有効化指定したタイムアウト時間の経過後、リモートユーザーを切断します。タイムアウト時間を分

単位で入力します。

セッションアイドルタイムアウト一定期間ユーザーセッションにアクティビティがない場合、その期間の経過後にユーザーセッションを終了します。

SSLVPN アイドルタイムアウトでは、アプリケーションおよびユーザーデータによって送信

された制御パケットを含むすべてのパケットが検討され、タイムアウトが検出されます。この

ため、ユーザーデータがない場合でも、MDNS などの制御パケットを定期的に転送するアプ

リケーションがある場合、セッションはタイムアウトしません。

ユーザー通知ログイン後にリモートユーザーに表示されるメッセージを入力します。


Web ポータルデザインの編集

SSL VPN クライアントにバインドされたクライアントバナーを編集できます。

手順

1 [NSX Edge (NSX Edges)] タブで、NSX Edge をダブルクリックします。

2 [管理 (Manage)] タブをクリックして、[SSL VPN-Plus] タブをクリックします。

3 左側のパネルから [ポータルのカスタマイズ (Portal Customization)] を選択します。

4 ポータルタイトルを入力します。

5 リモートユーザーの会社名を入力します。

6 [ロゴ (Logo)] で、[変更 (Change)] をクリックします。可能であれば、会社のロゴの JPEG イメージを選択

します。

ロゴの優先サイズはありません。

7 [色 (Colors)] で、色を変更する対象の番号付き項目の横にある色ボックスをクリックし、好みの色を選択しま

す。

8 必要に応じてクライアントバナーを変更します。バナーの BMP イメージを選択します。

クライアントバナーの優先サイズは 390 x 75 ピクセルです。


SSL VPN での IP アドレスプールの使用

IP アドレスプールを編集または削除できます。

IP アドレスプール追加の詳細については、ネットワークアクセス SSL VPN-Plus の設定を参照してください。

NSX 管理ガイド

VMware, Inc. 251

IP アドレスプールの編集

IP アドレスプールを編集できます。

手順

1 [SSL VPN-Plus] タブで、左側のパネルから [IP アドレスプール (IP Pool)] をクリックします。

2 編集する IP アドレスプールを選択します。

3 [編集 (Edit)]（）アイコンをクリックします。

[IP アドレスプールの編集] ダイアログボックスが開きます。

4 必要に応じて編集します。


IP アドレスプールの削除

IP アドレスプールを削除できます。

手順


2 削除する IP アドレスプールを選択します。

3 [削除 (Delete)] （）アイコンをクリックします。

選択した IP アドレスプールが削除されます。

IP アドレスプールを有効にする

IP アドレスプールの IP アドレスがリモートユーザーに割り当てられるようにする場合は、その IP アドレスプー

ルを有効にする必要があります。

手順


2 有効にする IP アドレスプールを選択します。

3 [有効化 (Enable)] （）アイコンをクリックします。

IP アドレスプールを無効にする

リモートユーザーに IP プールから IP アドレスを割り当てない場合は、その IP アドレスプールを無効にすること

ができます。

手順

1 [SSL VPN-Plus] タブで、左側のパネルから [IP アドレスプール (IP Pool)] を選択します。

2 無効にする IP アドレスプールを選択します。

3 [無効化 (Disable)] （）アイコンをクリックします。

NSX 管理ガイド

VMware, Inc. 252

IP アドレスプールの順序の変更

SSL VPN は、IP アドレスプールテーブルの順序に基づいてリモートユーザーに IP アドレスプールから IP アド

レスを割り当てます。

手順


2 順序を変更する IP アドレスプールを選択します。

3 [上へ移動 (Move Up)]（）または [下へ移動]（）アイコンをクリックします。

プライベートネットワークの操作

リモートユーザーがアクセスできるプライベートネットワークを編集または削除できます。

プライベートネットワークの追加の詳細については、ネットワークアクセス SSL VPN-Plus の設定を参照してく

ださい。

プライベートネットワークの削除

プライベートネットワークを削除できます。

手順

1 [SSL VPN-Plus] タブで、左側のパネルから [非公開ネットワーク (Private Networks)] をクリックします。

2 削除するネットワークを選択し、[削除 (Delete)] （）アイコンをクリックします。

プライベートネットワークを有効にする

プライベートネットワークを有効にすると、リモートユーザーは SSL VPN-Plus を介してそのネットワークにア

クセスできます。

手順


2 有効にするネットワークをクリックします。

3 [有効化 (Enable)] アイコン（）をクリックします。

選択したネットワークが有効になります。

プライベートネットワークを無効にする

プライベートネットワークを無効にすると、リモートユーザーは SSL VPN-Plus を介してそのネットワークにア

クセスできなくなります。

手順


2 無効にするネットワークをクリックします。

NSX 管理ガイド

VMware, Inc. 253

3 [無効化 (Disable)] （）アイコンをクリックします。

選択したネットワークが無効になります。

プライベートネットワークの順序の変更

SSL VPN-Plus では、リモートユーザーがプライベートネットワークパネルに表示されている順番でプライベー

トネットワークにアクセスすることを許可します。

プライベートネットワークに [TCP 最適化の有効化 (Enable TCP Optimization)] を選択すると、アクティブモードの FTP など、一部のアプリケーションがサブネット内で機能しない場合があります。アクティブモードで設定

されている FTP サーバを追加するには、その FTP サーバに、TCP 最適化を無効にして別のプライベートネットワ

ークを追加する必要があります。また、アクティブな TCP プライベートネットワークを有効にし、サブネットプラ

イベートネットワークに配置する必要もあります。

手順


2 [順序の変更 (Change Order)]（）アイコンをクリックします。

3 順序を変更するネットワークを選択します。

4 [上へ移動 (Move Up)]（）または [下へ移動 (Move Down)]（）アイコンをクリックします。


次のステップ

アクティブモードに設定されている FTP サーバを追加するには、アクティブな FTP サーバでのプライベートネッ

トワークの設定を参照してください。

アクティブな FTP サーバでのプライベートネットワークの設定

アクティブモードに設定されている FTP サーバをプライベートネットワークに追加できます。アクティブな FTP の場合、バックエンドの FTP サーバが TCP の最適化に対応していないクライアントマシン用に、コントロールコネクションを開始します。

前提条件

FTP サーバがアクティブモードに設定されていること。

手順


2 アクティブ FTP に設定するプライベートネットワークを追加します。詳細については、プライベートネットワ

ークの追加を参照してください。

3 [TCP 最適化の有効化 (Enable TCP Optimization)] チェックボックスをオフにします。

4 [ポート (Ports)] フィールドに、プライベートネットワークのポート番号を追加します。

5 ステータスを [有効 (Enabled)] に設定し、プライベートネットワークを有効にします。

NSX 管理ガイド

VMware, Inc. 254

6 設定済みの他のプライベートネットワークよりも上位に、アクティブな FTP に設定するプライベートネットワ

ークを配置します。詳細については、プライベートネットワークの順序の変更を参照してください。

次のステップ

対応するファイアウォールルールを追加して、プライベートネットワークトラフィックを許可します。

インストールパッケージの操作

SSL クライアントのインストールパッケージを削除または編集できます。

インストールパッケージの作成の詳細については、ネットワークアクセス SSL VPN-Plus の設定を参照してくだ

さい。

インストールパッケージの編集

インストールパッケージを編集できます。

手順

1 [SSL VPN-Plus] タブの左側のパネルで、[インストールパッケージ (Installation Package)] をクリックし

ます。

2 編集するインストールパッケージを選択します。

3 [編集] （）アイコンをクリックします。

[インストールパッケージの編集] ダイアログボックスが開きます。



インストールパッケージの削除

インストールパッケージを削除できます。

手順

1 [SSL VPN-Plus] タブの左側のパネルで、[インストールパッケージ (Installation Package)] をクリックし

ます。

2 削除するインストールパッケージを選択します。

3 [削除 (Delete)] （）アイコンをクリックします。

ユーザーの操作

ローカルデータベースのユーザーを編集、または削除できます。

ユーザーの追加の詳細については、ネットワークアクセス SSL VPN-Plus の設定を参照してください。

ユーザーの編集

ユーザー ID を除くユーザーの詳細を編集できます。

NSX 管理ガイド

VMware, Inc. 255

手順

1 [SSL VPN-Plus] タブで、左側のパネルから [ユーザー (Users)] をクリックします。




ユーザーの削除

ユーザーを削除できます。

手順


2 [構成 (Configure)] パネルの[ユーザー (Users)]で、[ユーザー (Users)] をクリックします。

3 削除するユーザーを選択し、[削除 (Delete)] （）アイコンをクリックします。

ユーザーのパスワードの変更

ユーザーのパスワードを変更できます。

手順


2 [パスワードの変更 (Change Password)] アイコンをクリックします。

3 新しいパスワードを入力してから再入力します。

4 ユーザーが次にシステムにログインするときにパスワードを変更するには、[次のログイン時にパスワードを変

更] をクリックします。


ログインおよびログオフスクリプトの操作

ログインまたはログオフスクリプトを NSX Edge Gateway にバインドできます。

スクリプトの編集

NSX Edge Gateway にバインドされたログインまたはログオフスクリプトのタイプ、説明、およびステータス

は、編集することができます。

手順

1 [SSL VPN-Plus] タブで、左側のパネルから [ログイン/ログオフスクリプト (Login/Logoff Scripts)] をク


2 スクリプトを選択して、[編集 (Edit)] （）アイコンをクリックします。

NSX 管理ガイド

VMware, Inc. 256



スクリプトの削除

ログインまたはログオフスクリプトを削除できます。

手順



2 スクリプトを選択して、[削除 (Delete)] （）アイコンをクリックします。

スクリプトを有効にする

スクリプトを実行するには、有効にする必要があります

手順



2 スクリプトを選択して、[有効化 (Enable)] （）アイコンをクリックします。

スクリプトを無効にする

ログイン/ログオフスクリプトを無効にすることができます。

手順



2 スクリプトを選択して、[無効化 (Disable)] （）アイコンをクリックします。

スクリプトの順序の変更

スクリプトの順序を変更できます。たとえば、Internet Explorer で gmail.com を開くログインスクリプトを、

yahoo.com を開くログインスクリプトの上に配置してあるとします。リモートユーザーが SSL VPN にログイ

ンすると、yahoo.com の前に gmail.com が表示されます。ログインスクリプトの順序を逆にすると、

gmail.com の前に yahoo.com が表示されるようになります。

手順



2 順序を変更するスクリプトを選択し、[上へ移動 (Move Up)]（）または [下へ移動 (Move Down)]（）

アイコンをクリックします。


NSX 管理ガイド

VMware, Inc. 257

IPsec VPN の概要

NSX Edge は NSX Edge インスタンスとリモートサイトとのサイト間 IPsec VPN をサポートします。証明書

認証、プリシェアードキーモード、IP ユニキャストトラフィックは、NSX Edge インスタンスとリモート VPN サイト間でサポートされています。

NSX Data Center 6.4.2 以降では、ポリシーベースの IPsec VPN サービスとルートベースの IPsec VPN サー

ビスの両方を構成できます。ただし、ルートベースの IPsec VPN パラメータの構成、管理、編集を行うには、REST API を使用する必要があります。vSphere Web Client では、ルートベースの IPsec VPN パラメータを設定ま

たは編集できません。API を使用してルートベースの IPsec VPN を設定する方法については、『NSX API ガイド』


NSX 6.4.1 以前の場合は、ポリシーベースの IPsec VPN サービスのみを設定できます。

ポリシーベースの IPsec VPN

ポリシーベースの IPsec VPN では、ローカルサイトの NSX Edge の背後にあるサブネットを明示的に構成しま

す。ピアサイトのリモートサブネットとの通信は、暗号化で保護されている必要があります。

ローカル IPsec VPN サイトが、ピアサイトの保護されたリモートサブネット宛てのトラフィックを保護されていな

いローカルサブネットから送信した場合、このトラフィックはドロップされます。

NSX Edge の背後にあるローカルサブネットには、ピア VPN サイトの IP アドレスと重複しないアドレス範囲が

必要です。IPsec VPN トンネル間のローカルとリモートのピアで IP アドレスが重複している場合、トンネル経由

でのトラフィック転送が一貫しなくなる可能性があります。

NAT デバイスの背後に NSX Edge エージェントを展開できます。この展開で NAT デバイスは、NSX Edge インスタンスの VPN アドレスを、インターネットに接するパブリックにアクセス可能なアドレスに変換します。リモ

ート VPN サイトはこのパブリックアドレスを使用して NSX Edge インスタンスにアクセスします。

リモート VPN サイトを NAT デバイスの背後に設置することもできます。トンネルをセットアップするには、リモ

ート VPN サイトのパブリック IP アドレスとその ID（FQDN または IP アドレス）を指定する必要があります。両

端では、VPN アドレス用に静的な一対一の NAT が要求されます。

次の表に示すように、サポートされるトンネルの最大数は ESG のサイズで決まります。

表 15-6. サポートされる IPsec トンネルの数

ESG のサイ

ズ IPsec トンネルの数

Compact 512

Large 1600

Quad-Large

4096

X-Large 6000

制限: ポリシーベースの IPsec VPN のアーキテクチャでは、VPN トンネルの冗長性の設定に制限があります。

NSX Edge とリモート VPN ゲートウェイ間でポリシーベースの IPsec トンネルを設定する場合の例について

は、ポリシーベースの IPsec VPN サイトの構成例を参照してください。

NSX 管理ガイド

VMware, Inc. 258

ルートベースの IPsec VPN

ルートベースの IPsec VPN は、IPsec 経由の GRE (Generic Routing Encapsulation) に似ていますが、IPsec 処理を適用する前にパケットに追加のカプセル化が行われない点が異なります。

この VPN トンネリングアプローチでは、仮想トンネルインターフェイス (VTI) が ESG アプライアンスに作成さ

れます。各 VTI は IPsec トンネルに関連付けられます。暗号化されたトラフィックは、VTI インターフェイスを経

由してサイト間をルーティングされます。IPsec の処理は VTI インターフェイスでのみ発生します。

VPN トンネルの冗長性

ルートベースの IPsec VPN サービスを使用すると、VPN トンネルの冗長性を設定できます。トンネルの冗長性を

設定すると、ISP リンクでエラーが発生したり、リモート VPN ゲートウェイで障害が起きた場合でも、2 つのサイ

ト間のデータパスを維持することができます。

重要： n NSX Data Center 6.4.2 以降では、BGP を使用している場合にのみ、IPsec VPN トンネルの冗長性がサポ

ートされます。OSPF 動的ルーティングでは、IPsec VPN トンネル経由でルーティングを実行できません。

n VPN トンネルの冗長性を実現する場合は、ルートベースの IPsec VPN トンネルに静的ルーティングを使用し


次の図では、2 つのサイト間の IPsec VPN トンネルの冗長性を論理的に表現しています。この図で、サイト A とサイト B はそれぞれのデータセンターを表します。この例では、サイト A に NSX が管理していない Edge VPN ゲートウェイが存在し、サイト B には NSX が管理している Edge ゲートウェイ仮想アプライアンスが存在するこ

とを前提としています。

NSX 管理ガイド

VMware, Inc. 259

図 15-1. ルートベースの IPsec VPN トンネルの冗長性

サイト A

VPNトンネル

VPNトンネル

ルーター

BGPVTI

BGPVTI

アップリンク

アップリンク

アップリンクVTIBGP

VTIBGP

サブネットサブネット

サイト B

図のように、VTI を使用すると、2 つの独立した IPsec VPN トンネルを設定できます。トンネルの冗長性を実現す

るため、動的ルーティングは BGP プロトコルを使用するように設定されています。両方の IPsec VPN トンネルが

使用可能な場合、引き続きサービスを提供します。サイト A から ESG 経由でサイト B に送信されるトラフィック

はすべて、VTI 経由でルーティングされます。データトラフィックが IPsec の処理に進み、関連する ESG のアッ

プリンクインターフェイスから送信されます。ESG のアップリンクインターフェイスでサイト B の VPN ゲート

ウェイから受信したすべての IPsec トラフィックは、復号化されてから VTI に転送され、通常ルーティングが行わ

れます。

必要なフェイルオーバー時間内にピアとの切断を検出できるように、BGP HoldDown タイマーと KeepAlive タイマーの値を構成する必要があります。

ルートベースの IPsec VPN サービスで注意が必要なポイントは次のとおりです。

n ESG の同じアプライアンスに、ポリシーベースの IPsec VPN トンネルとルートベースの IPsec トンネルを設

定できます。ただし、同じ VPN ピアサイトでは、ポリシーベースのトンネルとルートベースのトンネルを併用

できません。

n NSX では、1 つの ESG アプライアンスに対して最大 32 個の VTI をサポートしています。つまり、最大 32 個までのルートベース VPN ピアサイトを設定できます。

n NSX は、既存のポリシーベースの IPsec VPN トンネルからルートベースのトンネルに移行できません。また、

その逆も同様です。

ルートベースの IPsec VPN サイトの構成方法については、ルートベースの IPsec VPN サイトの構成を参照して

ください。

ローカルの NSX Edge とリモートの Cisco CSR 1000V VPN ゲートウェイ間でルートベースの IPsec VPN トンネルを設定する詳細な例については、「Cisco CSR 1000V アプライアンスの使用」を参照してください。

NSX 管理ガイド

VMware, Inc. 260

ポリシーベースの IPsec VPN サイトの構成

ローカルサブネットとピアサブネット間にポリシーベースの IPsec VPN トンネルをセットアップできます。

注： IPsec VPN トンネルを使用してリモートサイトに接続する場合、Edge アップリンクの動的ルーティング

は、このサイトの IP アドレスを学習できません。

このセクションでタスクトピックでは、ポリシーベースの IPsec VPN サイトを構成する手順について説明します。

IPsec VPN サービスを有効にする

ローカルサブネットからピアサブネットにトラフィックが流れるようにするには、IPsec VPN サービスを有効にす


前提条件

IPsec VPN サービスを有効にする前に、NSX Edge で少なくとも 1 つの IPsec VPN サイトを構成する必要があ

ります。

手順




4 [管理] - [VPN] - [IPsec VPN] の順にクリックします。

5 [IPsec VPN サービスステータス] の横にある [開始 (Start)] をクリックします。

OpenSSL を使用した IPSec VPN 用の CA 署名証明書の生成

IPSec 用の証明書認証を有効にするには、サーバ証明書と対応する CA 署名証明書をインポートする必要がありま

す。または、OpenSSL などのオープンソースのコマンドラインツールを使用して CA 署名証明書を生成すること

もできます。

前提条件

OpenSSL がインストールされている必要があります。

手順

1 OpenSSL がインストールされた Linux または Mac マシンで、/opt/local/etc/openssl/openssl.cnf

ファイルまたは /System/Library/OpenSSL/openssl.cnf ファイルを開きます。

2 dir = . であることを確認します。

3 次のコマンドを実行します。

mkdir newcerts

mkdir certs

NSX 管理ガイド

VMware, Inc. 261

mkdir req

mkdir private

echo "01" > serial

touch index.txt

4 次のコマンドを実行して CA 署名証明書を生成します。

openssl req -new -x509 -newkey rsa:2048 -keyout private/cakey.pem -out cacert.pem -days 3650

5 NSX Edge1 で、次の操作を行います。

a 証明書署名リクエスト (CSR) を生成します。

詳細な手順については、CA 署名証明書の設定を参照してください。

b Privacy Enhanced Mail (PEM) ファイルの内容をコピーし、req/edge1.req ファイルとして保存しま

す。

6 次のコマンドを実行して CSR に署名します。

sudo openssl ca -policy policy_anything -out certs/edge1.pem -in req/edge1.req

7 NSX Edge2 で CSR を生成し、PEM ファイルの内容をコピーし、req/edge2.req ファイルとして保存しま

す。

8 次のコマンドを実行して CSR に署名します。

sudo openssl ca -policy policy_anything -out certs/edge2.pem -in req/edge2.req

9 certs/edge1.pem ファイルの最後にある PEM 証明書を Edge1 にアップロードします。

10 certs/edge2.pem ファイルの最後にある PEM 証明書を Edge2 にアップロードします。

11 署名付き証明書 (cacert.pem) を CA 署名証明書として Edge1 と Edge2 にインポートします。

12 Edge1 および Edge2 の IPsec グローバル設定で、アップロードした PEM 証明書と CA 証明書を選択し、設

定を保存します。

13 [管理] - [設定] - [証明書] の順に移動します。インポートした署名付き証明書を選択し、DN 文字列を記録しま

す。

14 DN 文字列を C=IN,ST=ka,L=blr,O=bmware,OU=vmware,CN=edge2.eng.vmware.com の形式に戻し、

Edge1 および Edge2 用に保存します。

15 ローカル ID とピア ID を指定形式の識別名 (DN) 文字列として使用して、Edge1 および Edge2 で IPsec VPN サイトを作成します。

結果

状態を確認するには、[統計の表示] または [IPsec 統計の表示 (Show IPSec Statistics)] をクリックします。チャ

ンネルをクリックしてトンネルステータスを表示します。チャネルのステータスが「有効」で、トンネルのステータ

スが「稼動中」になっているはずです。

NSX 管理ガイド

VMware, Inc. 262

グローバル IPsec VPN 設定の指定

このトピックの手順に従って、NSX Edge インスタンスで IPsec VPN を有効にします。

前提条件

証明書認証を有効にするには、サーバ証明書および対応する CA 署名の証明書をインポートする必要があります。ま

たは、OpenSSL などのオープンソースのコマンドラインツールを使用して CA 署名証明書を生成することもでき

ます。

自己署名証明書は IPsec VPN に使用できません。これらは、ロードバランシングと SSL VPN にしか使用できま

せん。

手順





5 [グローバル設定] の横にある [編集] または [変更 (Change)] をクリックします。

6 ピアエンドポイントが「任意」に設定されているサイトのグローバルプリシェアードキーを入力します。

プリシェアードキーを表示するには、[プリシェアードキーを表示]（）アイコンをクリックするか、[プリシ

ェアードキーの表示 (Display shared key)] チェックボックスを選択します。

NSX 管理ガイド

VMware, Inc. 263

7 グローバルの拡張機能を設定します。

次の表は、グローバルの拡張機能です。

拡張機能説明

add_spd 使用できる値は、on と off です。デフォルト値は on です。この拡張機能が設定されていな

い場合でも、この値がデフォルトとなります。

add_spd=off の場合:

n セキュリティポリシーは、トンネルが動作している場合にのみインストールされます。

n トンネルが動作している場合、パケットが暗号化され、トンネル経由で送信されます。

n トンネルが停止している場合、ルートが利用可能であれば、パケットは暗号化されずに送

信されます。

add_spd=on の場合:

n セキュリティポリシーは、トンネルが確立されているかどうかに関係なく配置されます。

n トンネルが動作している場合、パケットが暗号化され、トンネル経由で送信されます。

n トンネルが停止している場合、パケットはドロップされます。

ike_fragment_size 最大転送ユニット (MTU) が小さい場合、IKE ネゴシエーションの失敗を回避するために、こ

の拡張機能を使用して IKE フラグメントサイズを設定できます。たとえば、

ike_fragment_size=900 を実行します。

ignore_df 使用できる値は、on と off です。デフォルト値は off です。

n ignore_df=off にすると、NSX Edge は、クリアテキストパケットから暗号化された

パケットに DF (don't fragment) ビットの値をコピーします。この場合、暗号化の後で

クリアテキストパケットに DF ビットが設定されると、暗号化パケットにも DF ビット

が設定されます。

n ignore_df=on にすると、NSX Edge はクリアテキストパケットの DF ビット値を無

視します。暗号化パケットでは、DF ビットが常に 0 になります。

n クリアテキストパケットに DF ビットが設定され、暗号化後のパケットサイズが TCP パケットの MTU を超える場合は、このフラグを on に設定します。DF ビットを設定す

るとパケットがドロップされますが、ビットをクリアするとパケットが断片化されます。

8 証明書認証を有効にして、適切なサービスの証明書、認証局 (CA) 証明書、証明書失効リスト (CRL) を選択し

ます。

9 [保存] または [OK] をクリックして、[変更の発行 (Publish Changes)] をクリックします。

IPsec VPN のログの有効化

すべての IPsec VPN トラフィックのログを有効にできます。

デフォルトでは、ログが有効になり、「警告」レベルに設定されます。

手順





NSX 管理ガイド

VMware, Inc. 264

5 ローカルサブネットとピアサブネットの間のトラフィックフローをログに記録するように、ログを有効にしま

す。


6.4.6 以降 a [ログの設定] の横にある [編集] をクリックします。

b 切り替えスイッチをクリックしてログを有効にし、ログレベルを選択します。

c [保存] をクリックします。

6.4.5 以前 a [ログポリシー (Logging Policy)] の横にあるをクリックします。

b [ログの有効化 (Enable logging)] チェックボックスを選択して、ログレベルを選択し

ます。


IPsec VPN パラメータの設定

IPsec VPN サービスを提供するには、NSX Edge で少なくとも 1 つの外部 IP アドレスを設定する必要がありま

す。

手順






6 IPsec VPN サイトの名前を入力します。

7 IPsec VPN サイトのエンドポイントパラメータを設定します。

a ローカルの NSX Edge インスタンスを特定するローカル ID を入力します。このローカル ID がリモート

サイトのピア ID になります。

ローカル ID には任意の文字列を使用できます。可能であれば、ローカル ID として VPN のパブリック IP アドレスまたは VPN サービスの完全修飾ドメイン名 (FQDN) を使用します。

b ローカルエンドポイントの IP アドレスまたは FQDN を入力します。

プリシェアードキーを使用して IP トンネルに IP アドレスを追加する場合は、ローカル ID とローカルエンドポイント IP アドレスが同じになる可能性があります。

c IPsec VPN サイト間で共有するサブネットを CIDR 形式で入力します。複数のサブネットを入力する場

合は、コンマ区切りで入力します。

NSX 管理ガイド

VMware, Inc. 265

d ピアサイトを識別するため、ピア ID を入力します。

n 証明書認証を使用するピアの場合、この ID はピアの証明書の識別名 (DN) にする必要があります。カ

ンマ区切りの文字列として、スペースを入れずに証明書の識別名 (DN) を次の順序で入力します。

C=xxx,ST=xxx,L=xxx,O=xxx,OU=xxx,CN=xxx,E=xxx

n PSK ピアの場合、ピア ID に任意の文字列を指定できます。可能であれば、VPN のパブリック IP アドレス、または VPN サービスの FQDN をピア ID として使用します。

注： Edge にリモート IPsec ピアに到達可能なアップリンクインターフェイスが複数ある場合、ローカ

ルピア IP で構成された Edge インターフェイスから IPsec トラフィックが送信されるようにルーティン

グを行う必要があります。

e ピアエンドポイントの IP アドレスまたは FQDN を入力します。デフォルト値は any です。デフォルト

値を維持する場合は、グローバル PSK を設定する必要があります。

f ピアサブネットの内部 IP アドレスを CIDR 形式で入力します。複数のサブネットは、コンマ区切りで入力

します。

8 トンネルパラメータを設定します。

a （オプション）セキュリティコンプライアンススイートを選択して、スイートで事前に定義された値を持つ

IPsec VPN サイトのセキュリティプロファイルを設定します。

デフォルトの選択は「なし」です。この場合、認証方法、IKE プロファイル、トンネルプロファイルの設定

値を手動で指定する必要があります。コンプライアンススイートを選択すると、標準コンプライアンススイートの事前定義値が自動的に割り当てられます。これらの値は編集できません。コンプライアンススイ

ートの詳細については、サポートされているコンプライアンススイートを参照してください。

注： n コンプライアンススイートは、NSX Data Center 6.4.5 以降でサポートされています。

n Edge で FIPS モードが有効になっている場合、コンプライアンススイートは指定できません。

b 以下のいずれかの (IKE) プロトコルを使用して、IPsec プロトコルスイートで Security Association (SA) を設定します。


IKEv1 このオプションを選択すると、IPsec VPN が開始し、IKEv1 プロトコルのみに応答しま

す。

IKEv2 このオプションを選択すると、IPsec VPN が開始し、IKEv2 プロトコルのみに応答しま

す。

IKE-Flex このオプションを選択すると、IKEv2 プロトコルでトンネルの確立に失敗した場合に、送

信元サイトにフォールバックされず、IKEv1 プロトコルで接続が開始されます。リモート

サイトから IKEv1 プロトコルで接続を開始した場合、接続は許可されます。

重要：同じローカルエンドポイントとリモートエンドポイントを持つ複数のサイトを設定する場合は、

すべての IPsec VPN サイトで同じ IKE バージョンと PSK を使用する必要があります。

NSX 管理ガイド

VMware, Inc. 266

c [ダイジェストアルゴリズム (Digest Algorithm)] ドロップダウンメニューから、次のセキュアハッシュ

アルゴリズムのいずれかを選択します。

n SHA1

n SHA_256

d [暗号化アルゴリズム (Encryption Algorithm)] ドロップダウンメニューから、サポートされる次の暗号

化アルゴリズムのいずれかを選択します。

n AES (AES128-CBC)

n AES256 (AES256-CBC)

n Triple DES (3DES192-CBC)

n AES-GCM (AES128-GCM)

注： n AES-GCM 暗号化アルゴリズムは FIPS に準拠していません。

n NSX 6.4.5 以降では、IPsec VPN サービスで Triple DES 暗号化アルゴリズムが廃止されています。

次の表は、ピア VPN ゲートウェイで使用される暗号化設定とローカルの NSX Edge で選択する暗号化設

定を示したものです。

表 15-7. 暗号化設定

NSX Edge の暗号化

設定

ピア VPN ゲートウェイでの

IKE の設定ピア VPN ゲートウェイでの IPsec の設定

AES-256 AES-256 AES-256

AES-128 AES-128 AES-128

3DES 3DES 3DES

AES-GCM、IKEv1 AES-128 AES-GCM

AES-GCM、IKEv2 AES-128 または AES-GCM AES-GCM

e [認証方法] で、次のいずれかのオプションを選択します。


PSK (Pre Shared Key) このオプションを選択すると、NSX Edge とピアサイトが共有するシークレットキーが

認証に使用されます。シークレットキーは、最大長が 128 バイトの文字列です。

PSK 認証は FIPS モードでは無効になります。

証明書このオプションを選択すると、グローバルレベルで定義された証明書が認証に使用されま

す。

f （オプション）ピア IPsec VPN サイトの事前共有キーを入力します。

NSX 管理ガイド

VMware, Inc. 267

g ピアサイトのキーを表示するには、[プリシェアードキーを表示]（）アイコンをクリックするか、[プリ

シェアードキーの表示 (Display Shared Key)] チェックボックスを選択します。

h 安全でない通信チャネル経由でもピアサイトと NSX Edge が共有シークレットキーを発行できるよう

に、[Diffie-Hellman (DH) グループ (Diffie-Hellman (DH) Group)] ドロップダウンメニューから次の

いずれかの暗号化スキームを選択します。

n DH-2

n DH-5

n DH-14

n DH-15

n DH-16

FIPS モードおよび非 FIPS モードでは、DH14 がデフォルトで選択されます。FIPS モードが有効な場合

は、DH2 と DH5 を使用できません。

9 詳細パラメータを設定します。

a リモート IPsec VPN サイトで PFS がサポートされていない場合は、[PFS (Perfect Forward Secrecy) (Perfect forward secrecy (PFS))] オプションを無効にします。デフォルトでは、PFS は有

効になっています。

b （オプション）レスポンダのみのモードで IPsec VPN を稼動させるには、[レスポンダのみ (Responder only)] チェックボックスを選択します。

このモードでは IPsec VPN は接続を開始しません。

c （オプション） [エクステンション (Extension)] テキストボックスに、次のいずれかを入力します。

n securelocaltrafficbyip=IPAddress： Edge のローカルトラフィックを IPsec VPN トンネル経由

でリダイレクトします。デフォルト値は IP アドレスです。詳細については、http://kb.vmware.com/kb/20080007 を参照してください。

n passthroughSubnets=PeerSubnetIPAddress：サブネットの重複をサポートします。

10 [追加] または [OK] をクリックして、[変更の発行 (Publish Changes)] をクリックします。

IPsec VPN の構成が NSX Edge に保存されます。

NSX 管理ガイド

VMware, Inc. 268



次のステップ

IPsec VPN サービスを有効にします。

ヒント: vSphere Web Client の [IPsec VPN] ページで次の手順を行うと、ピア VPN ゲートウェイの構成スク

リプトを生成できます。

n NSX 6.4.6 以降では、IPsec VPN サイトを選択して [アクション] - [ピア構成の生成] の順にクリックします。

n NSX 6.4.5 以前では、IPsec VPN サイトを選択し、[ピア構成の生成] アイコンをクリックします。表示され

たダイアログボックスで、[ピア構成の生成] をクリックします。

構成スクリプトが生成されます。このスクリプトをリファレンスとして使用し、ピア VPN ゲートウェイに

IPsec VPN パラメータを設定できます。

サポートされているコンプライアンススイート

NSX Data Center 6.4.5 以降では、コンプライアンススイートを指定して、IPsec VPN サイトのセキュリティ

プロファイルにさまざまなパラメータを設定できます。

セキュリティコンプライアンススイートでは、さまざまなセキュリティパラメータに一連の値が事前に定義されて

います。コンプライアンススイートを事前定義のテンプレートとして使用できます。これにより、定義された標準に

従って IPsec VPN セッションのセキュリティプロファイルを自動的に設定できます。たとえば、米国の国家安全保

障局から公開されている CNSA スイートは、国家安全保障の用途で使用されています。コンプライアンススイート

を選択すると、IPsec VPN サイトのセキュリティプロファイルが事前定義の値で自動的に設定されます。これらの

値は編集できません。コンプライアンススイートを指定すると、セキュリティプロファイルのパラメータを個別に

設定する必要がなくなります。

NSX は、7 つのセキュリティコンプライアンススイートをサポートしています。次の表に、サポートされているコ

ンプライアンススイートのさまざまな構成パラメータに事前に定義されている値を示します。

表 15-8. コンプライアンススイート：事前定義の構成パラメータの値

構成パラメータコンプライアンススイート

[CNSA] [Suite-B-GCM-128]

[Suite-B-GCM-256 ]

[Suite-B-GMAC-128 ]

[Suite-B-GMAC-256 ]

[Prime] [Foundation]

IKE バージョン IKEv2 IKEv2 IKEv2 IKEv2 IKEv2 IKEv2 IKEv1

ダイジェストアルゴリズム

SHA 384 SHA 256 SHA 384 SHA 256 SHA 384 SHA 256 SHA 256

暗号化アルゴリ

ズム

AES 256 AES 128 AES 256 AES 128 AES 256 AES GCM 128

AES 128

トンネル暗号化 AES 256 AES GCM 128

AES GCM 256

AES GMAC 128

AES GMAC 256

AES GCM 128

AES 128

トンネルダイジ

ェストアルゴリ

ズム

SHA 384 NULL NULL NULL NULL NULL SHA 256

NSX 管理ガイド

VMware, Inc. 269

表 15-8. コンプライアンススイート：事前定義の構成パラメータの値（続き）

構成パラメータコンプライアンススイート

認証 n RSA 証明書

（3072 ビットキー）

n ECDSA 証明書

（P-384 曲線）

ECDSA 証明書

（P-256 曲線）

ECDSA 証明

書（P-384 曲線）

ECDSA 証明書（P-256 曲線）

ECDSA 証明書（P-384 曲線）

ECDSA 証明書

（P-256 曲線）

RSA 証明書（2048 ビット

キーと SHA-256）

DH グループ DH15 と

ECDH20ECDH19 ECDH20 ECDH19 ECDH20 ECDH19 DH14

注意： NSX 6.4.6 以降で、「Suite-B-GMAC-128」と「Suite-B-GMAC-256」のコンプライアンススイートは

廃止されます。NSX 6.4.5 で、廃止されるこれらのコンプライアンススイートを使用して IPsec VPN サイトを構

成した場合でも、Edge を 6.4.6 にアップグレードできます。ただし、IPsec VPN サイトが脆弱なコンプライアン

ススイートを使用していることを通知する警告メッセージが表示されます。

注目: Prime または Foundation コンプライアンススイートを使用して IPsec VPN サイトを設定する場合、

ikelifetime と salifetime サイトのエクステンションは設定できません。これらのサイトのエクステンション

は、標準に基づいて事前に設定されています。

「CNSA」コンプライアンススイートを選択すると、DH15 と ECDH20 の両方の DH グループが NSX Edge の内

部で設定されます。このコンプライアンススイートを選択する場合には、次の点に注意してください。

n NSX Edge の IPsec VPN サービスがイニシエータとして設定されている場合、NSX は ECDH20 のみを送

信し、リモートの IPsec VPN サイトと IKE Security Association を確立します。DH15 より安全であるた

め、NSX はデフォルトで ECDH20 を使用します。サードパーティレスポンダの IPsec VPN サイトが DH15 のみで設定されている場合、レスポンダは「無効な IKE ペイロード」エラーメッセージを送信し、イニシエー

タに DH15 グループの使用を要求します。イニシエータが DH15 グループで IKE SA を再開し、両方の IPsec VPN サイト間でトンネルが確立します。サードパーティの IPsec VPN ソリューションが「無効な IKE ペイロ

ード」エラーをサポートしていない場合、両方のサイト間でトンネルが確立されません。

n NSX Edge の IPsec VPN サービスがレスポンダとして設定されている場合は、イニシエータの IPsec VPN サイトで共有される DH グループに応じてトンネルが確立されます。

n イニシエータとレスポンダの両方の IPsec VPN サイトが NSX Edge を使用する場合、トンネルは常に

ECDH20 で確立されます。

ルートベースの IPsec VPN サイトの構成

ローカルサイトの NSX Edge とピアサイトのリモート VPN ゲートウェイ間で、ルートベースの IPsec トンネ

ルを構成します。

NSX 管理ガイド

VMware, Inc. 270

ローカルサブネットとリモートサブネットを構成するポリシーベースの IPsec トンネルの構成と異なり、ルートベ

ースの IPsec トンネル構成の場合は、相互に通信を行うローカルサブネットとピアサブネットを定義する必要はあ

りません。ルートベースの IPsec トンネル構成の場合、ローカルサイトとピアサイトの両方で、プライベート IP アドレスを使用して VTI を定義する必要があります。ローカルサブネットからのトラフィックは、VTI を介してピ

アサブネットにルーティングされます。BGP などの動的ルーティングプロトコルを使用して、IPsec トンネル経由

でトラフィックをルーティングします。動的ルーティングプロトコルは、ローカルサブネットから IPsec トンネル

経由でピアサブネットに転送するトラフィックを決定します。

次の手順では、2 つのサイト間にルートベースの IPsec トンネルを構成します。

1 ローカルの NSX Edge で IPsec VPN パラメータを構成します。NSX Data Center 6.4.2 以降でルートベ

ースの IPsec VPN パラメータを設定するには、REST API を使用する必要があります。詳細については、

『NSX API ガイド』を参照してください。

n ローカルの NSX Edge ゲートウェイを識別するローカルエンドポイントの IP アドレスとローカル ID。

n ピア VPN ゲートウェイを識別するピアエンドポイントの IP アドレスとピア ID。

n IKE バージョン両方のサイト間で Security Association を設定する IKE バージョン。

n ダイジェストアルゴリズム。

n 暗号化アルゴリズム。

n 認証メカニズム（事前共有キーまたは証明書）。

n Diffie-hellman (DH) グループのパブリックキーの暗号化スキーム。

n Perfect Forward Secrecy を有効または無効にします。

n レスポンダのみのモードを有効または無効にします。

n NSX Edge 上の仮想トンネルインターフェイス (VTI)。VTI の静的プライベート IP アドレスを提供しま

す。

注：構成する VTI は静的 VTI です。したがって、複数の IP アドレスは使用できません。ローカルとピアの両

方のサイトにある VTI の IP アドレスを同じサブネット上に配置するのがベストプラクティスです。

2 IPsec 構成のダウンロード API を使用して、参照用のピア設定を取得し、ピア VPN ゲートウェイを構成しま

す。

3 両方のサイトの VTI 間に BGP ピアリングを構成します。ピアリングにより、ローカルサイトの BGP がロー

カルサブネットをピア VPN ゲートウェイにアドバタイズします。同様に、ピアサイトの BGP がリモートサブネットをローカルの VPN ゲートウェイにアドバタイズします。BGP の構成の詳細については、『 NSX 管理

ガイド』の「ルーティング」をご覧ください。

重要： NSX 6.4.2 以降では、IPsec トンネル経由の静的ルーティングと OSPF 動的ルーティングはサポート

されません。

4 1 つ以上のトンネルを経由してトンネルの冗長性を維持するには、BGP の [ホールドダウン (Hold Down)] タイマーと [キープアライブ (Keep Alive)] タイマーの値を構成します。タイマーの値により、必要なフェイル

オーバー時間内でリモート VPN ゲートウェイとの切断を検出できます。

NSX 管理ガイド

VMware, Inc. 271

ローカルの NSX Edge とリモートの Cisco CSR 1000V VPN ゲートウェイの間でルートベースの IPsec トン

ネルを構成する詳細な例については、Cisco CSR 1000V アプライアンスの使用を参照してください。

IPsec VPN サイトの編集

IPsec VPN サイトを編集できます。

手順





5 編集する IPsec VPN サイトを選択します。

6 [編集 (Edit)]（または）アイコンをクリックします。

7 適切に編集します。

8 [保存] または [OK] をクリックして、[変更の発行 (Publish Changes)] をクリックします。

IPsec VPN サイトの無効化

IPsec VPN サイトを無効にできます。

手順





5 無効にする IPsec VPN サイトを選択します。

6 サイトを無効にします。

n NSX 6.4.6 以降では、[アクション] - [無効] の順にクリックします。

n NSX 6.4.5 以前では、[無効化 (Disable)]（）アイコンをクリックします。

IPsec VPN サイトの削除

IPsec VPN サイトを削除できます。

手順



NSX 管理ガイド

VMware, Inc. 272



5 削除する IPsec VPN サイトを選択します。


IPSec の用語集

IPSec はオープン標準のフレームワークです。IPSEC VPN のトラブルシューティングに使える NSX Edge やそ

の他の VPN アプライアンスのログには、多くの専門用語があります。

よく見かける用語の一部を説明します。

n ISAKMP (Internet Security Association and Key Management Protocol) は、Security Associations (SA) とインターネット環境の暗号化のために RFC 2408 によって策定されたプロトコルで

す。ISAKMP は認証のためのフレームワークと鍵交換のみを提供し、鍵交換からは独立しています。

n Oakley は鍵同意プロトコルの 1 つで、Diffie-Hellman 鍵交換アルゴリズムを使用することにより、安全でな

い接続においても認証された機関同士で鍵材料の交換ができるようになっています。

n IKE (Internet Key Exchange) は ISAKMP フレームワークと Oakley の組み合わせです。NSX Edge は、

IKEv1、IKEv2、IKE Flex を提供します。

n Diffie-Hellman (DH) 鍵交換は、安全でない通信チャネル経由でも、お互い認識のない 2 つの機関が共同で共

有秘密鍵を発行できる暗号プロトコルです。VSE は DH グループ 2（1024 ビット）とグループ 5（1536 ビッ

ト）をサポートしています。

IKEv1 フェーズ 1 とフェーズ 2

IKEv1 は安全で認証された通信に用いられる標準的な手法です。

フェーズ 1 のパラメータ

フェーズ 1 では手動でのピアの認証、暗号パラメータのネゴシエーション、およびセッションキーの生成を設定しま

す。NSX Edge で使用されるフェーズ 1 パラメータ

n メインモード。

n Triple DES、AES-128、AES-256（設定可能）。AES-128 は内部的に使用されるため、フェーズ 1 では AES-GCM はサポートされません。

n SHA1、SHA_256。

n MODP グループ 2、5、14、15、16。

n 事前共有シークレットキーと証明書（設定可能）。

n 28,800 秒間（8 時間）有効、lifebytes の再キー化不可の SA

NSX 管理ガイド

VMware, Inc. 273

n ISAKMP アグレッシブモードを無効にする

重要： n IPsec VPN は、時間ベースの再キー化のみをサポートします。lifebytes の再キー化を無効にする必要があり

ます。


フェーズ 2 のパラメータ

IKE フェーズ 2 では IPsec トンネル用のキーマテリアルを生成することで、IPsec トンネルをネゴシエーションし

ます（IKE フェーズ 1 キーをベースとして使用するか、新しいキーに交換）。NSX Edge でサポートする IKE フェ

ーズ 2 パラメータ

n Triple DES、AES-128、AES-256、AES-GCM（フェーズ 1 の設定に一致）。

n SHA1、SHA_256。

n ESP トンネルモード。

n MODP グループ 2、5、14、15、16。

n 再キー化のための Perfect Forward Secrecy。

n 3,600 秒間（1 時間）有効、lifebytes の再キー化不可の SA

n IPv4 サブネットを用いたすべての IP プロトコル、すべてのポート、2 ネットワーク間のセレクタ

重要： n IPsec VPN は、時間ベースの再キー化のみをサポートします。lifebytes の再キー化を無効にする必要があり

ます。


トランザクションモードのサンプル

NSX Edge はフェーズ 1 でメインモードを、フェーズ 2 でクイックモードをサポートしています。

NSX Edge は、PSK/証明書、3DES/AES128/AES256/AES-GCM、SHA1/SHA256、DH グループ

2/5/14/15/16 を必要とするポリシーを処理します。ピアがこのポリシーを受け入れる必要があります。そうでない

場合、ネゴシエーションフェーズで失敗します。

フェーズ 1：メインモードトランザクション

この例では NSX Edge から開始した Cisco デバイスへのフェーズ 1 のネゴシエーションの交換を示しています。

メインモードでの NSX Edge と Cisco VPN デバイス間の一連のトランザクションを以下に示します。

1 NSX Edge から Cisco へ

n プロポーザル：encrypt 3des-cbc、sha、psk、group5(group2)

n DPD 有効

NSX 管理ガイド

VMware, Inc. 274

2 Cisco から NSX Edge へ

n Cisco の選択によるプロポーザルを含む

n Cisco デバイスが、ステップ 1 で NSX Edge が送信したパラメータをすべて受け付けなかった場合、

Cisco デバイスは NO_PROPOSAL_CHOSEN というフラグでメッセージを送信し、ネゴシエーション

を終了します。


n DH キーとナンス


n DH キーとナンス

5 NSX Edge から Cisco へ（暗号化）

n ID (PSK) を含む。

6 Cisco から NSX Edge へ（暗号化）

n ID (PSK) を含む。

n Cisco デバイスが PSK と一致しないと判断すると、Cisco デバイスは INVALID_ID_INFORMATION というフラグでメッセージを送信し、フェーズ 1 は失敗します。

フェーズ 2：クイックモードトランザクション

クイックモードでの NSX Edge と Cisco VPN デバイスとの間の一連のトランザクションは以下のとおりです。


NSX Edge はピアにフェーズ 2 ポリシーを提示します。次はその例です。

Aug 26 12:16:09 weiqing-desktop

ipsec[5789]:

"s1-c1" #2: initiating Quick Mode

PSK+ENCRYPT+TUNNEL+PFS+UP+SAREFTRACK

{using isakmp#1 msgid:d20849ac

proposal=3DES(3)_192-SHA1(2)_160

pfsgroup=OAKLEY_GROUP_MODP1024}


Cisco デバイスがこのプロポーザルに対しマッチするポリシーが見つけられない場合は、

NO_PROPOSAL_CHOSEN を送信します。それ以外では、Cisco デバイスは選択した一連のパラメータを送

信します。


デバッグを行うには、NSX Edge の IPSec ログ設定をオンにし、Cisco の暗号デバッグを有効にします

(debug crypto isakmp <level>)。

NSX 管理ガイド

VMware, Inc. 275

ポリシーベースの IPsec VPN サイトの構成例

この例では、NSX Edge と相手側の Cisco または WatchGuard VPN の間の基本的なポイントツーポイントの

IPsec VPN 接続を構成する事例について説明します。

この事例では、NSX Edge が内部ネットワーク 192.168.5.0/24 をインターネットに接続します。NSX Edge インターフェイスは次のように設定されています。

n アップリンクインターフェイス：10.115.199.103

n 内部インターフェイス：192.168.5.1

リモートサイトの VPN ゲートウェイが、172.15.0.0/16 内部ネットワークをインターネットに接続します。リモー

トゲートウェイインターフェイスは以下のように設定されています。

n アップリンクインターフェイス：10.24.120.90

n 内部インターフェイス：172.16.0.1

図 15-2. リモート VPN ゲートウェイに接続する NSX Edge

V

NSX Edge

192.168.5.1

10.115.199.103 10.24.120.90

インターネット

192.168.5.0/24

172.16.0.1

172.15.0.0/16

注： NSX Edge から NSX Edge IPsec へのトンネルでは、2 番目の NSX Edge をリモートゲートウェイとし

てセットアップすることにより、同じシナリオを使用できます。

手順






6 [名前 (Name)]テキストボックスに IPsec VPN サイトの名前を入力します。

7 [ローカル ID (Local Id)] テキストボックスに、NSX Edge インスタンスの IP アドレスとして

10.115.199.103 を入力します。このローカル ID がリモートサイトのピア ID になります。

NSX 管理ガイド

VMware, Inc. 276

8 [ローカルエンドポイント (Local Endpoint)] テキストボックスで、10.115.199.103 を入力します。

プリシェアードキーを使用して IP トンネルに IP アドレスを追加する場合は、ローカル ID とローカルエンド

ポイント IP アドレスが同じになる可能性があります。

9 [ローカルサブネット (Local Subnets)] テキストボックスで、192.168.5.0/24 を入力します。

10 [ピア ID (Peer Id)] で、ピアサイトを一意に識別する 10.24.120.90 を入力します。

11 [ピアエンドポイント (Peer Endpoint)] テキストボックスで、10.24.120.90 を入力します。

12 [ピアサブネット (Peer Subnets)] テキストボックスで、172.15.0.0/16 を入力します。

13 [IKE バージョン (IKE Version)] で、IKE のバージョンを選択します。たとえば、[IKEv2] を選択します。

14 [ダイジェストアルゴリズム (Digest Algorithm)] を選択します。たとえば、[SHA_256] を選択します。

15 [暗号化アルゴリズム (Encryption Algorithm)] を選択します。たとえば、[AES] を選択します。

16 [認証方法 (Authentication Method)] を選択します。たとえば、[PSK] を選択します。

17 [プリシェアードキー (Pre-shared Key)] を入力します。

18 ピアサイトのプリシェアードキーを表示するには、[プリシェアードキーを表示]（）アイコンをクリックす

るか、[プリシェアードキーの表示 (Display Shared Key)] チェックボックスを選択します。

19 暗号化スキームに [Diffie-hellman (DH) グループ (Diffie-Hellman (DH) Group)] を選択します。たとえ

ば、[DH14] を選択します。

20 [追加] または [OK] をクリックします。

IPsec VPN のサイトの設定が NSX Edge に保存されます。

次のステップ

IPsec VPN サービスを有効にします。

Cisco 2821 を統合したサービスルーターの使用

ここでは、Cisco IOS を使用して実行された構成について説明します。

手順

1 インターフェイスとデフォルトルートの設定

interface GigabitEthernet0/0

ip address 10.24.120.90 255.255.252.0

duplex auto

speed auto

crypto map MYVPN

!


ip address 172.16.0.1 255.255.0.0

duplex auto

speed auto

!

ip route 0.0.0.0 0.0.0.0 10.24.123.253

NSX 管理ガイド

VMware, Inc. 277

2 IKE ポリシーの設定

Router# config term

Router(config)# crypto isakmp policy 1

Router(config-isakmp)# encryption 3des

Router(config-isakmp)# group 2

Router(config-isakmp)# hash sha

Router(config-isakmp)# lifetime 28800

Router(config-isakmp)# authentication

pre-share

Router(config-isakmp)# exit

3 プリシェアードシークレットで各ピアをマッチする

Router# config term

Router(config)# crypto isakmp key vshield

address 10.115.199.103


4 IPSEC 変換の定義

Router# config term

Router(config)# crypto ipsec transform-set

myset esp-3des esp-sha-hmac


5 IPSEC アクセスリストの作成

Router# config term

Enter configuration commands, one per line.

End with CNTL/Z.

Router(config)# access-list 101 permit ip

172.16.0.0 0.0.255.255 192.168.5.0 0.0.0.255

Router(config)# exit

6 ポリシーのクリプトマップとの紐付けとラベル付け

以下の例では、クリプトマップが MYVPN としてラベル付けされています。

Router# config term

Router(config)# crypto map MYVPN 1

ipsec-isakmp

% NOTE: This new crypto map will remain

disabled until a peer and a valid

access list have been configured.

Router(config-crypto-map)# set transform-set

myset

Router(config-crypto-map)# set pfs group1

Router(config-crypto-map)# set peer

10.115.199.103

Router(config-crypto-map)# match address 101

Router(config-crypto-map)# exit

NSX 管理ガイド

VMware, Inc. 278

例：設定

router2821#show running-config output

Building configuration...

Current configuration : 1263 bytes

!

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname router2821

!

boot-start-marker

boot-end-marker

!

! card type command needed for slot 0

! card type command needed for slot 1

enable password cisco

!

no aaa new-model

!

resource policy

!

ip subnet-zero

!

ip cef

!no ip dhcp use vrf connected

!

!

no ip ips deny-action ips-interface

!

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

crypto isakmp key vshield address 10.115.199.103

!

crypto ipsec transform-set myset esp-3des

esp-sha-hmac

!

crypto map MYVPN 1 ipsec-isakmp

set peer 10.115.199.103

set transform-set myset

set pfs group1

match address 101

!


ip address 10.24.120.90 255.255.252.0

duplex auto

speed auto

crypto map MYVPN

!


NSX 管理ガイド

VMware, Inc. 279

ip address 172.16.0.1 255.255.0.0

duplex auto

speed auto

!

ip classless

ip route 0.0.0.0 0.0.0.0 10.24.123.253

!

ip http server

no ip http secure-server

!

access-list 101 permit ip 172.16.0.0

0.0.255.255 192.168.5.0 0.0.0.255

!

control-plane

!

line con 0

line aux 0

line vty 0 4

password cisco

login

line vty 5 15

password cisco

login

!

scheduler allocate 20000 1000

!

end

Cisco ASA 5510 の使用

以下の出力を使用して Cisco ASA 5510 を設定します。

ciscoasa# show running-config output

: Saved

:

ASA Version 8.2(1)18

!

hostname ciscoasa

enable password 2KFQnbNIdI.2KYOU encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

names

!

interface Ethernet0/0

nameif untrusted

security-level 100

ip address 10.24.120.90 255.255.252.0

!


nameif trusted

security-level 90

ip address 172.16.0.1 255.255.0.0

!


shutdown

NSX 管理ガイド

VMware, Inc. 280

no nameif

no security-level

no ip address

!


shutdown

no nameif

no security-level

no ip address

!

interface Management0/0

shutdown

no nameif

no security-level

no ip address

!

boot system disk0:/asa821-18-k8.bin

ftp mode passive

access-list ACL1 extended permit ip 172.16.0.0 255.255.0.0

192.168.5.0 255.255.255.0

access-list ACL1 extended permit ip 192.168.5.0 255.255.255.0

172.16.0.0 255.255.0.0

access-list 101 extended permit icmp any any

pager lines 24

mtu untrusted 1500

mtu trusted 1500

no failover

icmp unreachable rate-limit 1 burst-size 1

icmp permit any untrusted

icmp permit any trusted

no asdm history enable

arp timeout 14400

access-group 101 in interface untrusted

access-group 101 out interface untrusted

access-group 101 in interface trusted

access-group 101 out interface trusted

route untrusted 10.115.0.0 255.255.0.0 10.24.123.253 1

route untrusted 192.168.5.0 255.255.255.0 10.115.199.103 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00

udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00

mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00

sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

dynamic-access-policy-record DfltAccessPolicy

no snmp-server location

no snmp-server contact

crypto ipsec transform-set MYSET esp-3des esp-sha-hmac

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

crypto map MYVPN 1 match address ACL1

crypto map MYVPN 1 set pfs

NSX 管理ガイド

VMware, Inc. 281

crypto map MYVPN 1 set peer 10.115.199.103

crypto map MYVPN 1 set transform-set MYSET

crypto map MYVPN interface untrusted

crypto isakmp enable untrusted

crypto isakmp policy 1

authentication pre-share

encryption 3des

hash sha

group 2

lifetime 86400

telnet 10.0.0.0 255.0.0.0 untrusted

telnet timeout 5

ssh timeout 5

console timeout 0

no threat-detection basic-threat

no threat-detection statistics access-list

no threat-detection statistics tcp-intercept

username admin password f3UhLvUj1QsXsuK7 encrypted

tunnel-group 10.115.199.103 type ipsec-l2l

tunnel-group 10.115.199.103 ipsec-attributes

pre-shared-key *

!

!

prompt hostname context

Cryptochecksum:29c3cc49460831ff6c070671098085a9

: end

Cisco CSR 1000V アプライアンスの使用

NSX Edge と Cisco CSR 1000V 仮想アプライアンス間に、ルートベースの IPsec VPN トンネルを構成します。

NSX Edge 設定

次の CLI 出力は、NSX Edge でのルートベースの IPsec VPN 設定を示しています。

Edge IPsec VPN Config:

{

"ipsec" : {

"global" : {

"extension" : null,

"crlCertificates" : [],

"pskForDynamicIp" : null,

"id" : null,

"caCertificates" : [],

"serviceCertificate" : null

},

"logging" : {

"logLevel" : "debug",

"enable" : true

},

"disableEvent" : null,

"enable" : true,

NSX 管理ガイド

VMware, Inc. 282

"sites" : [

{

"name" : "VPN2 to edge-ext tun 2 192.168.14.2",

"encryptionAlgorithm" : "3des",

"psk" : "****",

"tunnelInterfaceId" : 1,

"authenticationMode" : "psk",

"peerIp" : "111.111.111.5",

"ipsecSessionType" : "routebasedsession",

"pskEncryption" : null,

"digestAlgorithm" : "sha1",

"enabled" : true,

"localSubnets" : [

"0.0.0.0/0"

],

"description" : "VPN to edge subnet2",

"mtu" : null,

"peerId" : "111.111.111.5",

"extension" : null,

"ikeOption" : "ikev2",

"localIp" : "51.51.51.1",

"peerSubnets" : [

"0.0.0.0/0"

],

"responderOnly" : false,

"certificate" : null,

"dhGroup" : "dh2",

"siteId" : "ipsecsite-53",

"localId" : "51.51.51.1",

"tunnelInterfaceLabel" : "vti-1",

"enablePfs" : true

},

{

"peerIp" : "71.71.71.5",

"authenticationMode" : "psk",

"ipsecSessionType" : "routebasedsession",

"tunnelInterfaceId" : 2,

"psk" : "****",

"name" : "VPN to edge-ext tun 1 192.168.13.2",

"encryptionAlgorithm" : "3des",

"description" : "VPN to edge subnet1",

"localSubnets" : [

"0.0.0.0/0"

],

"enabled" : true,

"pskEncryption" : null,

"digestAlgorithm" : "sha1",

"ikeOption" : "ikev2",

"extension" : null,

"peerSubnets" : [

"0.0.0.0/0"

],

"localIp" : "61.61.61.1",

"peerId" : "71.71.71.5",

"mtu" : null,

NSX 管理ガイド

VMware, Inc. 283

"siteId" : "ipsecsite-54",

"localId" : "61.61.61.1",

"enablePfs" : true,

"tunnelInterfaceLabel" : "vti-2",

"responderOnly" : false,

"certificate" : null,

"dhGroup" : "dh2"

}

]

}

}

次の CLI 出力は、NSX Edge での VTI 設定を示しています。

Edge VTI Tunnels Config:

{

"vtiTunnels" : [

{

"name" : "vti-1",

"mtu" : 1416,

"label" : "vti-1",

"sourceAddress" : "51.51.51.1",

"destinationAddress" : "111.111.111.5",

"tunnelAddresses" : [

"192.168.14.2/24"

],

"mode" : "VTI",

"enabled" : true

},

{

"enabled" : false,

"tunnelAddresses" : [

"192.168.13.2/24"

],

"mode" : "VTI",

"sourceAddress" : "61.61.61.1",

"destinationAddress" : "71.71.71.5",

"label" : "vti-2",

"mtu" : 1416,

"name" : "vti-2"

}

]

}

Cisco CSR 1000V アプライアンスの構成

次のスクリプトを実行すると、一致する 2 つのルートベースの IPsec トンネルが Cisco CSR 1000V アプライア

ンスに設定されます。

crypto ikev2 proposal PH1PROPOSAL

encryption 3des

integrity sha1

group 2

crypto ikev2 proposal PH2PROPOSAL

NSX 管理ガイド

VMware, Inc. 284

encryption 3des

integrity sha1

group 2

crypto ikev2 policy PH1POLICY

proposal PH1PROPOSAL

crypto ikev2 policy PH2POLICY

proposal PH2PROPOSAL

crypto ikev2 keyring PH1KEY

peer SITE1

address 61.61.61.1

pre-shared-key sharedvalue

!

crypto ikev2 keyring PH2KEY

peer SITE2

address 51.51.51.1

pre-shared-key sharedvalue

!

crypto ikev2 profile PH1PROFILE

match identity remote address 61.61.61.1 255.255.255.0

identity local address 71.71.71.5

authentication remote pre-share key sharedvalue

authentication local pre-share key sharedvalue

crypto ikev2 profile PH2PROFILE

match identity remote address 51.51.51.1 255.255.255.0

identity local address 111.111.111.5

authentication remote pre-share key sharedvalue

authentication local pre-share key sharedvalue

crypto ipsec transform-set TSET esp-3des esp-sha-hmac

mode tunnel

crypto ipsec profile IPSEC_PROF1

set transform-set TSET

set ikev2-profile PH1PROFILE

responder-only

crypto ipsec profile IPSEC_PROF2

set transform-set TSET

set ikev2-profile PH2PROFILE

responder-only

interface Tunnel1

ip address 192.168.13.1 255.255.255.0

tunnel source 71.71.71.5

tunnel mode ipsec ipv4

tunnel destination 61.61.61.1

tunnel protection ipsec profile IPSEC_PROF1

interface Tunnel2

ip address 192.168.14.1 255.255.255.0

tunnel source 111.111.111.5

tunnel mode ipsec ipv4

tunnel destination 51.51.51.1

tunnel protection ipsec profile IPSEC_PROF2

interface GigabitEthernet1

ip address dhcp

negotiation auto

interface GigabitEthernet2

NSX 管理ガイド

VMware, Inc. 285

no ip address

negotiation auto

interface GigabitEthernet2.2

encapsulation dot1Q 23

ip address 81.81.81.5 255.255.255.0



ip address 111.111.111.5 255.255.255.0



ip address 71.71.71.5 255.255.255.0

WatchGuard Firebox X500 の設定

WatchGuard Firebox X500 をリモートゲートウェイとして設定できます。

注：正確な手順については、お使いの WatchGuard Firebox ドキュメントを参照してください。

手順

1 Firebox System Manager で、[Tools] - [Policy Manager] の順に選択します。

2 Policy Manager で、[Network] - [Configuration] の順に選択します。

3 インターフェイスを設定し、[OK] をクリックします。

4 （オプション） [Network] - [Routes] を選択して、デフォルトルートを設定します。

5 [Network] - [Branch Office VPN] - [Manual IP ｓ ec (Manual IPSec)] を選択して、リモートゲートウ

ェイを設定します。

6 IPsec Configuration ダイアログボックスで、[Gateways] をクリックして IPsec Remote Gateway を設

定します。

7 IPsec Configuration ダイアログボックスで、[Tunnels] をクリックしてトンネルを設定します。

8 IPsec Configuration ダイアログボックスで、[Add] をクリックしてルーティングポリシーを追加します。

9 [閉じる (Close)] をクリックします。

10 トンネルが動作していることを確認します。

L2 VPN の概要

L2 VPN を使用すると、複数の論理ネットワーク（VLAN と VXLAN の両方）を地理的に離れた場所に拡張するこ

とができます。また、L2 VPN サーバに複数のサイトを構成できます。

L2 VPN では、SSL VPN 内のトンネリングによって、L3 境界を超えて複数の論理 L2 ネットワーク（VLAN と

VXLAN の両方）を拡張できます。出力方向を最適化することで、Edge は出力方向最適化 IP アドレスに向けて送

られるすべてのパケットをローカルでルーティングし、その他すべてのものをブリッジできます。

NSX 管理ガイド

VMware, Inc. 286

L2 VPN サービスを使用すると、企業は異なる物理サイト間でワークロードをシームレスに移行できます。ワークロ

ードは、VXLAN ベースネットワークまたは VLAN ベースネットワークのいずれかで実行できます。また、L2 VPN は、クラウドサービスプロバイダに対して、ワークロードやアプリケーションの既存の IP アドレスを変更せ

ずに、各テナントのオンボードを行うためのメカニズムを提供します。

注： n NSX Data Center 6.4.2 以降では、SSL 経由と IPsec トンネル経由の両方で L2 VPN サービスを設定でき

ます。ただし、IPsec トンネル経由で L2 VPN サービスを設定するには、REST API を使用する必要がありま

す。IPsec 経由で L2 VPN を設定する方法については、『NSX API ガイド』を参照してください。

n NSX 6.4.1 以前では、SSL トンネル経由でのみ L2 VPN サービスを設定できます。

図 15-3. L2 VPN を使用した複数サイト間での VXLAN の拡張

NSX

アップリンクネットワーク

VPN

レイヤー 3ネットワーク

NSX Edge

サイト A：VXLAN でバッキングされたネットワークサイト B：VXLAN でバッキングされたネットワーク

vNicVXLAN トランク

VXLAN5010

VM 1 VM 2

VM 3 VM 4

VXLAN5011

NSX


VPN

NSX Edge

vNicVXLAN

トランク

VXLAN5010

VM 5 VM 6

VM 7 VM 8

VXLAN5011

SSL クライアント/IPsec ピア

SSL サーバ/IPsec ピア

NSX 管理ガイド

VMware, Inc. 287

L2 VPN クライアントおよびサーバは、ローカルサイトとリモートサイト間のトラフィックに基づいて、両方のサ

イトの MAC アドレスを取得します。すべての仮想マシンのデフォルトゲートウェイが、ファイアウォールルール

を使用して常にローカルゲートウェイに解決されるため、出力方向最適化によってローカルルーティングが維持さ

れます。サイト B に移動した仮想マシンから、サイト A に拡張されていない L2 セグメントにアクセスできます。

一方のサイトに NSX が展開されていない場合は、そのサイトにスタンドアローンの Edge を展開できます。

次の図では、L2 VPN がネットワーク VLAN 10 を VXLAN 5010 に、ネットワーク VLAN 11 を VXLAN 5011 に拡張しています。VLAN 10 でブリッジされた VM 1 は、VM 2、5、および 6 にアクセスできます。

図 15-4. L2 VPN による VLAN ベースネットワークの非 NSX サイトから VXLAN ベースネットワークの

NSX サイトへの拡張


VPN


デフォルトルーター


NSXスタンドアローンEdge

サイト A：VLAN でバッキングされたネットワークサイト B：VXLAN でバッキングされたネットワーク

vnicトランクVLAN 10-11

VM 1 VM 2 VM 3 VM 4

VLAN 10 VLAN 11

NSX


VPN


NSX Edge

vNicVXLAN トランク

VXLAN5010

VM 5 VM 6

VM 7 VM 8

VXLAN5011

NSX 管理ガイド

VMware, Inc. 288

L2 VPN のベストプラクティス

このセクションで説明するベストプラクティスは、SSL トンネル経由の L2 VPN と IPsec トンネル経由の L2 VPN の両方に適用されます。

推奨 L2 VPN のパフォーマンスを最適化するため、次の理由により、クライアントとサーバの両方に XLarge フォームファクタの NSX Edge を展開することを推奨します。

n TCP バッファサイズの増加。

n 仮想 CPU 1、3、5 では CPU の固定化が可能です。Large および Quad Large フォームファクタでは、CPU の固定化はできません。

ベストプラクティスに従って L2 VPN を設定することで問題（ルーピング、ping と応答の重複など）を回避でき

ます。

ルーピングを軽減するための L2VPN のオプション

ルーピングを軽減するには、2 つのオプションがあります。NSX Edge と仮想マシンを別々の ESXi ホストに配置

するか、NSX Edge と仮想マシンを同じ ESXi ホストに配置するかです。

オプション 1：L2VPN Edge と仮想マシンを異なる ESXi ホストに配置する場合

1.個別の ESXi ホストでの L2VPN Edge と仮想マシンの展開

アップリンク

有効

スタンバイ

アップリンク

有効

有効

発信元の仮想ポートに基づいたルート

チーミングポリシー

無作為検出モード：無効

dvPortGroup

トランクインターフェイス

vDS

シンク

dvPortGroup

チーミングアクティブ/アクティブ：サポート対象外

1 Edge と仮想マシンを個別の ESXi ホストでデプロイします。

2 Edge のトランク vNIC に関連付けられた分散ポートグループのチーミングおよびフェイルオーバポリシー

を次のように設定します。

a 「発信元の仮想ポートに基づいたルート」で、ロードバランシングを行います。

b 1 つのアップリンクのみをアクティブとして、他のアップリンクをスタンバイとして設定します。

NSX 管理ガイド

VMware, Inc. 289

3 仮想マシンに関連付けられた分散ポートグループのチーミングおよびフェイルオーバポリシーを次のように設

定します。

a 任意のチーミングポリシーを使用できます。

b 複数のアクティブアップリンクを設定できます。

4 シンクポートモードを使用してトランク vNIC で無差別モードを無効にするように Edge を設定します。

注： n vSphere Distributed Switch を使用している場合は、無差別モードを無効にします。

n 仮想スイッチを使用してトランクインターフェイスを設定している場合は、無差別モードを有効にします。

仮想スイッチで無差別モードが有効になっている場合は、無差別ポートが使用していないアップリンクから送信され

るパケットの一部が破棄されません。使用していないアップリンクから無差別ポートに送信されるすべてのパケット

を明示的に破棄するには、ReversePathFwdCheckPromisc を有効にしてから無効にする必要があります。

重複するパケットをブロックするには、NSX Edge が配置された ESXi の CLI から無差別モードの RPF チェック

を有効にします。

esxcli system settings advanced set -o /Net/ReversePathFwdCheckPromisc -i 1

esxcli system settings advanced list -o /Net/ReversePathFwdCheckPromisc

Path: /Net/ReversePathFwdCheckPromisc

Type: integer

Int Value: 1

Default Int Value: 0

Max Value: 1

Min Value: 0

String Value:

Default String Value:

Valid Characters:

Description: Block duplicate packet in a teamed environment when the virtual switch is set to

Promiscuous mode.

[ポートグループ (PortGroup)] セキュリティポリシーで、[無差別モード (Promiscous Mode)] を [許可

(Accept)] から [拒否 (Reject)] に変更し、再度 [許可 (Accept)] に戻して、設定済みの変更を有効にします。

n オプション 2：Edge と仮想マシンを同じ ESXi ホストに配置する場合

NSX 管理ガイド

VMware, Inc. 290

2.同じホストでの L2VPN Edge と仮想マシンの展開

アクティブ/スタンバイアップリンクの順序は、両方の dvPortGroup で同じである必要

があります。

アップリンク

有効

スタンバイスタンバイ

アップリンク

有効



無作為検出モード：無効

dvPortGroup

トランクインターフェイス

vDS

シンク

dvPortGroup

a Edge のトランク vNIC に関連付けられた分散ポートグループのチーミングおよびフェイルオーバポリ

シーを次のように設定します。

1 「発信元の仮想ポートに基づいたルート」で、ロードバランシングを行います。

2 1 つのアップリンクをアクティブとして、他のアップリンクをスタンバイとして設定します。

b 仮想マシンに関連付けられた分散ポートグループのチーミングおよびフェイルオーバポリシーを次のよう

に設定します。

1 任意のチーミングポリシーを使用できます。

2 アクティブにできるアップリンクは 1 つだけです。

3 アクティブ/スタンバイのアップリンクの順序は仮想マシンの分散ポートグループおよび Edge のト

ランク vNIC 分散ポートグループと同じである必要があります。

c シンクポートモードを使用するようにクライアント側のスタンドアローン Edge を設定し、トランク

vNIC 上で無差別モードを無効にします。

シンクポートの設定

NSX で管理する Edge を L2 VPN クライアントとしてセットアップすると、一部の設定が NSX によって自動的

に実行されます。スタンドアローン NSX Edge を L2 VPN クライアントとしてセットアップする場合、この設定

手順を手動で行う必要があります。

VPN サイトのいずれかに NSX がデプロイされていない場合、そのサイトにスタンドアローンの NSX Edge をデ

プロイすることで L2 VPN を設定できます。スタンドアローンの Edge をデプロイするには、NSX で管理されて

いないホストで OVF ファイルを使用します。これにより、Edge Services Gateway アプライアンスがデプロイ

され、L2 VPN クライアントとして機能します。

NSX 管理ガイド

VMware, Inc. 291

スタンドアローン Edge のトランク vNIC を vSphere Distributed Switch に接続する場合、L2 VPN 機能用に

無差別モードまたはシンクポートが必要になります。無差別モードを使用すると、ping が重複するために応答も重

複する可能性があります。このため、L2 VPN のスタンドアローン NSX Edge の設定ではシンクポートモードを

使用してください。

手順

1 シンクポートとして設定するトランク vNIC のポート番号を取得します。

a vSphere Web Client にログインして、[ホーム (Home)] - [ネットワーク (Networking)] の順に移動

します。

b NSX Edge のトランクインターフェイスが接続している分散ポートグループをクリックし、[ポート

(Ports)] をクリックして、仮想マシンが接続しているポートを確認します。トランクインターフェイスに

関連付けられているポート番号をメモします。

不明なデータを取得して更新する場合は、このポート番号を使用します。

2 vSphere Distributed Switch の dvsUuid 値を取得します。

a vCenter Server Mob ユーザーインターフェイス https://<vc-ip>/mob にログインします。

b [内容 (content)] をクリックします。

c [rootFolder] に関連付けられたリンクをクリックします（例：group-d1 (Datacenters)）。

d [childEntity] に関連付けられたリンクをクリックします（例：datacenter-1）。

e [networkFolder] に関連付けられたリンクをクリックします（例：group-n6）。

f NSX Edge に関連付けられた vSphere Distributed Switch の分散仮想スイッチ名のリンクをクリック

します（例：dvs-1 (Mgmt_VDS)）。

g uuid 文字列の値をコピーします。

不明なデータを取得して更新する場合は、dvsUuid にこの値を使用します。

3 指定されたポートに不明なデータが存在するかどうか確認します。

a https://<vc-ip>/mob/?moid=DVSManager&vmodl=1 に移動します。

b [fetchOpaqueDataEx] をクリックします。

c [selectionSet] 値ボックスに、次の XML 入力を貼り付けます。

<selectionSet xsi:type="DVPortSelection">

<dvsUuid>c2 1d 11 50 6a 7c 77 68-e6 ba ce 6a 1d 96 2a 15</dvsUuid> 

</selectionSet>

NSX Edge のトランクインターフェイスに取得したポート番号と dvsUuid 値を使用します。

d isRuntime を false に設定します。

e [[Invoke Method] (Invoke Method)] をクリックします。

NSX 管理ガイド

VMware, Inc. 292

vim.dvs.OpaqueData.ConfigInfo の値が表示された場合、不明なデータセットが存在します。シンクポート

を設定するときに、edit 操作を使用します。vim.dvs.OpaqueData.ConfigInfo の値が空の場合は、シンクポートを設定するときに add 操作を使用します。

4 vCenter Server 管理対象オブジェクトブラウザ (MOB) でシンクポートを設定します。

a https://<vc-ip>/mob/?moid=DVSManager&vmodl=1 に移動します。

b [updateOpaqueDataEx] をクリックします。

c [selectionSet] 値ボックスに、次の XML 入力を貼り付けます。

<selectionSet xsi:type="DVPortSelection">

<dvsUuid>c2 1d 11 50 6a 7c 77 68-e6 ba ce 6a 1d 96 2a 15</dvsUuid> 

</selectionSet>

vCenter Server 管理対象オブジェクトブラウザから取得した dvsUuid 値を使用します。

NSX 管理ガイド

VMware, Inc. 293

d opaqueDataSpec 値ボックスで、次のいずれかの XML 入力を貼り付けます。

不明なデータが設定されていない場合（operation が add に設定されている場合）、この入力を使用してシ

ンクポートを有効にします。

<opaqueDataSpec>

<operation>add</operation>

<opaqueData>

<key>com.vmware.etherswitch.port.extraEthFRP</key>

<opaqueData

xsi:type="vmodl.Binary">AAABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA


AAAAAAAAA=</opaqueData>

</opaqueData>

</opaqueDataSpec>

不明なデータはすでに設定されている場合（operation が edit に設定されている場合）、この入力を使用

してシンクポートを有効にします。

<opaqueDataSpec>

<operation>edit</operation>

<opaqueData>


<opaqueData

xsi:type="vmodl.Binary">AAABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA




</opaqueData>

</opaqueDataSpec>

この入力を使用してシンクポートを無効にします。

<opaqueDataSpec>

<operation>edit</operation>

<opaqueData>


<opaqueData

xsi:type="vmodl.Binary">AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA




</opaqueData>

</opaqueDataSpec>

e isRuntime を false に設定します。

f [[Invoke Method] (Invoke Method)] をクリックします。

NSX 管理ガイド

VMware, Inc. 294

SSL 経由の L2 VPN

L2 VPN を使用してネットワークを拡張するには、L2 VPN サーバ（ターゲット Edge）と L2 VPN クライアント

（ソース Edge）を構成します。次に、サーバとクライアントの両方で L2 VPN サービスを有効にする必要がありま

す。

このセクションでタスクトピックでは、SSL トンネル経由の L2 VPN サービスを設定する手順について説明しま

す。

前提条件

サブインターフェイスが NSX Edge のトランクインターフェイスに追加されている必要があります。サブイン

ターフェイスの追加を参照してください。

L2 VPN サーバの設定

L2 VPN サーバは、クライアントの接続先であるターゲット NSX Edge です。

手順




4 [管理] - [VPN] - [L2 VPN] の順にクリックします。

5 [L2 VPN モード (L2 VPN Mode)] の横にある [サーバ (Server)] を選択します。

6 [グローバル設定の詳細] の横にある [編集] または [変更] をクリックします。

7 [リスナー IP (Listener IP)] で、NSX Edge の外部インターフェイスのプライマリまたはセカンダリ IP アドレ

スを入力します。

8 L2 VPN サービスのデフォルトポートは 443 です。必要に応じてポート番号を編集します。

9 サーバとクライアント間の通信を暗号化するには、1 つまたは複数の暗号化アルゴリズムを選択します。

n NSX 6.4.6 以降では、[編集]（）アイコンをクリックします。1 つ以上の暗号化アルゴリズムを選択し

て、[保存] をクリックします。

n NSX 6.4.5 以前では、リストボックスからアルゴリズムを選択します。複数の値を選択するには、Ctrl キーを押しながら、リスト内のアルゴリズムをクリックします。

10 SSL VPN サーバにバインドする証明書を選択します。

重要： SSL 経由の L2 VPN がサポートしているのは、RSA 証明書のみです。

11 [保存] または [OK] をクリックします。

ピアサイトの追加

複数のサイトを L2 VPN サーバに接続できます。

注：サイトの設定を変更すると、NSX Edge は既存の接続をすべて切断して、再接続します。

NSX 管理ガイド

VMware, Inc. 295

手順




4 [L2 VPN モード (L2 VPN Mode)] の横にある [サーバ (Server)] を選択します。

5 [サイト構成の詳細 (Site Configuration Details)] で、[追加 (Add)] をクリックします。

6 L2 VPN ピアサイトの設定を指定します。

a ピアサイトの一意の名前を入力します。

b ピアサイトの認証に使用するユーザー名とパスワードを入力します。ピアサイトのユーザー認証情報は、

クライアント側と同じものにする必要があります。

c [ストレッチインターフェイス (Stretched Interfaces)] で、または [サブインターフェイスの選択

(Select Sub Interfaces)] をクリックし、クライアントで拡張されるサブインターフェイスを選択しま

す。

d Edge のトランクインターフェイスを選択します。

トランク vNIC で設定されたサブインターフェイスが表示されます。

e 拡張するサブインターフェイスをダブルクリックします。

f [追加] または [OK] をクリックします。

g 2 つのサイトで仮想マシンのデフォルトゲートウェイが同じ場合は、[出力側を最適化するゲートウェイアドレス (Egress Optimization Gateway Address)] テキストボックスにゲートウェイ IP アドレスを

入力します。これらの IP アドレスは、トラフィックをローカルでルーティングする場合や、トンネル経由

のトラフィックをブロックする場合に使用されます。

NSX 管理ガイド

VMware, Inc. 296

h （オプション）拡張ネットワークの L2 VPN クライアントエッジの背後にある仮想マシンと非拡張ネット

ワークの仮想マシンが通信を行う場合は、[非ストレッチネットワーク (Unstretched Networks)] を有

効にします。さらに、この通信を同じ L2 VPN トンネル経由でルーティングします。非拡張サブネットは、

L2 VPN サーバエッジ、L2 VPN クライアントエッジまたはその両方の背後にある場合があります。

たとえば、L2 VPN トンネルを作成し、NSX L2 VPN サービスを使用して 2 つのデータセンターサイト

間で 192.168.10.0/24 サブネットワークを拡張しているとします。

L2 VPN サーバエッジの背後には、さらに 2 つのサブネットがあります（たとえば、192.168.20.0/24、

192.168.30.0/24）。非拡張ネットワークを有効にすると、192.168.20.0/24 と 192.168.30.0/24 サブネ

ット上の仮想マシンが、拡張ネットワーク (192.168.10.0/24) 上で L2 VPN クライアントエッジの背後に

ある仮想マシンと通信できます。この通信は、同じ L2 VPN トンネル経由でルーティングされます。

i 非拡張ネットワークを有効にした場合、非拡張サブネットの場所に応じて次の手順を行います。

n 非拡張サブネットが L2 VPN クライアントエッジの背後にある場合は、L2 VPN サーバエッジでピ

ア（クライアント）サイトを追加するときに、非拡張ネットワークのネットワークアドレスを CIDR 形式で入力します。複数の非拡張ネットワークを入力する場合は、ネットワークアドレスをカンマで区

切ります。

n 非拡張サブネットが L2 VPN サーバエッジの背後にある場合は、[非拡張ネットワーク

(Unstretched Networks)] テキストボックスは空白のままにします。つまり、L2 VPN サーバでク

ライアント（ピア）サイトを追加するときには、非拡張ネットワークのネットワークアドレスを入力し


以前の例では、非拡張サブネットが L2 VPN サーバエッジの背後にあるため、[ピアサイトの追加] ウィン

ドウの [非拡張ネットワーク (Unstretched Networks)] テキストボックスを空白のままにする必要があ

ります。

7 [追加] または [OK] をクリックして、[変更の発行 (Publish Changes)] をクリックします。

サーバ上で L2 VPN サービスを有効にする

L2 VPN サービスを L2 VPN サーバ（ターゲット NSX Edge）で有効にする必要があります。この Edge アプラ

イアンスで高可用性が構成済みの場合は、Edge に複数の内部インターフェイスが設定されていることを確認しま

す。インターフェイスが 1 つしかなく、高可用性によって既に使用されている場合は、同じ内部インターフェイス上

での L2 VPN の設定に失敗します。

手順



3 宛先の NSX Edge をダブルクリックして、[管理 (Manage)] - [VPN] - [L2 VPN] の順に移動します。

4 [L2 VPN サービスステータス (L2 VPN Service Status)] の横にある [開始 (Start)] をクリックします。

次のステップ

インターネット側のファイアウォールで NAT またはファイアウォールルールを作成して、クライアントとサーバが

相互に接続できるようにします。

NSX 管理ガイド

VMware, Inc. 297

L2 VPN クライアントの設定

L2 VPN クライアントは、宛先の Edge（L2 VPN サーバ）との通信を開始する送信元 NSX Edge です。

スタンドアロン Edge を L2 VPN クライアントとして設定することもできます。スタンドアローン Edge を L2 VPN クライアントとして設定するを参照してください。

手順



3 L2 VPN クライアントとして設定する Edge をダブルクリックします。


5 [L2 VPN モード (L2 VPN Mode)] の横にある [クライアント (Client)] を選択します。

6 [グローバル設定の詳細] の横にある [編集] または [変更] をクリックします。

7 L2 VPN クライアントの詳細を指定します。

a このクライアントが接続する L2 VPN サーバのアドレスを入力します。アドレスは、ホスト名または IP アドレスになります。

b 必要に応じて、L2 VPN クライアントの接続先となるデフォルトポートを編集します。

c サーバとの通信のための暗号化アルゴリズムを選択します。

d [ストレッチインターフェイス (Stretched Interfaces)] で、または [サブインターフェイスの選択

(Select Sub Interfaces)] をクリックし、サーバで拡張されるサブインターフェイスを選択します。

e Edge のトランクインターフェイスを選択します。

トランク vNIC で設定されたサブインターフェイスが表示されます。

f 拡張するサブインターフェイスをダブルクリックして、[追加] または [OK] をクリックします。

g [出力側を最適化するゲートウェイアドレス (Egress Optimization Gateway Address)] に、サブイン

ターフェイスのゲートウェイ IP アドレス、またはトラフィックがトンネル経由でフローされない IP アドレ


h （オプション）拡張ネットワークの L2 VPN サーバエッジの背後にある仮想マシンと非拡張ネットワーク

の仮想マシンが通信を行う場合は、[非ストレッチネットワーク (Unstretched Networks)] チェックボックスを選択します。さらに、この通信を同じ L2 VPN トンネル経由でルーティングします。非拡張サブ

ネットは、L2 VPN サーバエッジ、L2 VPN クライアントエッジまたはその両方の背後にある場合があり

ます。

たとえば、L2 VPN トンネルを作成し、NSX L2 VPN サービスを使用して 2 つのデータセンターサイト

間で 192.168.10.0/24 サブネットワークを拡張しているとします。

L2 VPN サーバエッジの背後には、さらに 2 つのサブネットがあります（たとえば、192.168.20.0/24、

192.168.30.0/24）。非拡張ネットワークを有効にすると、192.168.20.0/24 と 192.168.30.0/24 サブネ

ット上の仮想マシンが、拡張ネットワーク (192.168.10.0/24) 上で L2 VPN サーバエッジの背後にある仮

想マシンと通信できます。この通信は、同じ L2 VPN トンネル経由でルーティングされます。

NSX 管理ガイド

VMware, Inc. 298

i 非拡張ネットワークを有効にした場合、非拡張サブネットの場所に応じて次の手順を行います。

n 非拡張サブネットが L2 VPN サーバエッジの背後にある場合は、L2 VPN クライアントエッジを設

定するときに、非拡張ネットワークのネットワークアドレスを CIDR 形式で入力します。複数の非拡

張ネットワークを入力する場合は、ネットワークアドレスをカンマで区切ります。

n 非拡張サブネットが L2 VPN クライアントエッジの背後にある場合は、[非拡張ネットワーク

(Unstretched Networks)] テキストボックスは空白のままにします。つまり、L2 VPN クライアン

トエッジの非拡張ネットワークのネットワークアドレスを入力しないでください。

前の例では、非拡張サブネットが L2 VPN サーバエッジの背後にあるため、L2 VPN クライアントエッ

ジを設定するときに、非拡張ネットワークとして 192.168.20.0/24, 192.168.30.0/24 を入力する必


j [ユーザー詳細 (User Details)] で、サーバで認証されるためのユーザー認証情報を入力します。

8 [詳細 (Advanced)] タブをクリックし、その他のクライアントの詳細を指定します。

a （オプション）セキュアなプロキシ接続のみを有効にします。

インターネットに直接アクセスできないクライアント Edge がプロキシサーバ経由で送信元（サーバ）

NSX Edge にアクセスする必要がある場合、プロキシサーバの設定を指定します。

b プロキシサーバのアドレス、ポート、ユーザー名、およびパスワードを入力します。

c サーバ証明書の検証を有効にするには、[サーバ証明書の検証 (Validate Server Certificate)] を選択し、

適切な CA 証明書を選択します。

d [保存] または [OK] をクリックして、[変更の発行 (Publish Changes)] をクリックします。

次のステップ

ファイアウォールに接するインターネットで、L2 VPN Edge からインターネットへのトラフィックのフローが許可

されていることを確認します。宛先ポートは 443 です。

クライアント上で L2 VPN サービスを有効にする

L2 VPN サービスを L2 VPN クライアント（送信元 NSX Edge）で有効にする必要があります。

手順



3 L2 VPN クライアントモードで設定した NSX Edge をダブルクリックします。


5 [L2 VPN サービスステータス (L2 VPN Service Status)] の横にある [開始 (Start)] をクリックします。

次のステップ

n クライアントとサーバを相互に接続できるようにするには、インターネットに接するファイアウォール側で

NAT またはファイアウォールルールを作成します。

NSX 管理ガイド

VMware, Inc. 299

n 標準のポートグループによってバッキングされているトランク vNIC を拡張する場合は、次の手順に従って L2 VPN トラフィックを手動で有効にします。

a [無差別モード (Promiscuous mode)] を [許可 (Accept)] に設定します。

b [偽装転送 (Forged Transmits)] を [許可 (Accept)] に設定します。

無作為検出モード操作と偽装転送の詳細については、 VMware vSphere ® ドキュメントの「vSphere 標準

スイッチの保護」を参照してください。

L2 VPN 統計の表示

L2 VPN のサーバエッジとクライアントエッジの両方で、トンネルステータスや送受信バイト数などの L2 VPN トンネル統計情報を表示できます。

手順

1 L2 VPN クライアントエッジの統計情報を表示します。

a L2 VPN クライアントモードで設定した NSX Edge をダブルクリックします。

b [管理] - [VPN] - [L2 VPN] の順にクリックします。

c [トンネルステータス] セクションを展開し、[更新] アイコンをクリックして、トンネル統計情報を表示し

ます。

2 L2 VPN サーバエッジの統計情報を表示します。

a L2 VPN サーバモードで設定した NSX Edge をダブルクリックします。

b [L2 VPN] ページに移動します。

c [サイト設定の詳細] セクションで、[統計の表示] または [L2 VPN 統計情報の表示 (Show L2VPN Statistics)] リンクをクリックします。

L2 VPN サーバで設定されているすべてのピアサイトの統計情報が表示されます。

次のステップ

トランクインターフェイス上に設定のネットワークを表示するには、Edge の [管理 (Manage)] - [設定

(Settings)] - [インターフェイス (Interfaces)] に移動し、[タイプ] 列の [トランク (Trunk)] をクリックします。

IPsec 経由での L2 VPN

NSX Data Center 6.4.2 以降では、IPsec 経由で L2 VPN サービスを使用して、2 つのサイト間のレイヤー 2 ネットワークを拡張できます。IPsec 経由の L2 VPN サービスを設定する前に、ルートベースの IPsec VPN トンネ

ルを作成する必要があります。さらに、このルートベースの IPsec VPN トンネルを使用して、2 つのサイト間の

L2 VPN トンネルを作成します。

vSphere Web Client を使用して、ルートベースの IPsec VPN トンネルを作成および編集することはできませ

ん。NSX REST API を使用する必要があります。ルートベースの IPsec VPN トンネルの作成方法については、

『NSX API ガイド』を参照してください。

NSX 管理ガイド

VMware, Inc. 300

IPsec 経由で L2 VPN サービスを設定する場合のワークフロー

サーバとクライアントの両方の Edge で IPsec 経由の L2 VPN サービスを設定するには、NSX REST API を使用


最初に、次の手順に従って、NSX Edge でサーバ（ハブ）モードの L2 VPN サービスを設定します。サーバモー

ドで設定した Edge は、NSX Edge にする必要があります。

1 L2 VPN サーバ（ハブ）として設定する Edge で、ルートベースの IPsec VPN トンネルを作成します。トン

ネルを作成すると、サイト ID が自動的に生成されます。

2 クライアントに L2 VPN トンネルを作成し、手順 1 で生成されたサイト ID を使用して、この L2 VPN トンネ

ルをバインドします。

3 このクライアントのピアコードを取得します。このピアコードは、クライアントの Edge で L2 VPN サービ

スを構成するため入力コード（共有コード）になります。

4 IPsec サービス経由の L2 VPN を有効にします。

L2 ネットワークを他のサイトに拡張する場合は、他のサイトの L2 VPN クライアントのサーバで前述の 3 つの手

順を繰り返します。

次の手順に従って、別の Edge でクライアント（スポーク）モードの L2 VPN サービスを設定します。この Edge は、NSX で管理される Edge、またはスタンドアローンの Edge のいずれかです。

1 サーバの Edge で、ルートベースの IPsec VPN トンネルの設定で使用した同じパラメータを使用して、ルー

トベースの IPsec VPN トンネルを作成します。

2 スポークモードで Edge を設定します。

3 サーバから取得したピアコードとサーバで生成されたサイト ID を使用して、L2 VPN トンネルを作成します。

4 IPsec サービス経由の L2 VPN を有効にします。

L2 VPN クライアントとしてのスタンドアローン Edge

NSX では、NSX がクライアントサイトに展開されているかどうかに関係なく、クライアントサイトの Edge デバ

イスまたは Edge 仮想アプライアンスと L2 VPN 接続をセットアップできます。

NSX が展開されていないクライアントサイトの Edge アプライアンスはスタンドアローン Edge といいます。ス

タンドアローン Edge をデプロイするには、NSX で管理されていないホストで OVF ファイルを使用します。

スタンドアローン Edge を L2 VPN クライアントとして設定する

拡張するサイトの 1 つが NSX によってバッキングされていない場合は、スタンドアローン Edge を L2 VPN クラ

イアントとしてそのサイトにデプロイできます。

スタンドアローン Edge の FIPS モードを変更する場合、fips enable コマンドまたは fips disable コマン

ドを使用します。詳細については、『NSX コマンドラインインターフェイスリファレンス』を参照してください。

スタンドアローン L2 VPN Edge クライアントのペアをデプロイし、クライアント間で高可用性 (HA) を有効にす

ると、VPN の冗長性がサポートされます。2 台のスタンドアローン L2 VPN Edge クライアントは、ノード 0 とノード 1 といいます。両方のスタンドアローン L2 VPN Edge アプライアンスをデプロイするときに高可用性

(HA) を指定する必要はありません。ただし、デプロイ時に高可用性を有効にする必要があります。

NSX 管理ガイド

VMware, Inc. 301

次の手順では、SSL トンネルまたは IPsec VPN トンネル経由でトラフィックをルーティングする場合に、L2 VPN クライアントとしてスタンドアローン Edge をデプロイします。

前提条件

スタンドアローン Edge のトランクインターフェイスが接続するためのトランクポートグループが作成されまし

た。このポートグループの一部の設定を手動で行う必要があります。

n トランクポートグループが vSphere Standard スイッチ上にある場合、次の操作を行う必要があります。

n 偽装転送を有効にする。

n 無差別モードを有効にする。

『vSphere ネットワークガイド』を参照してください。

n トランクポートグループが vSphere Distributed Switch 上にある場合、次の操作を行う必要があります。

n 偽装転送を有効にする。『vSphere ネットワークガイド』を参照してください。

n トランク vNIC のシンクポートを有効にするか、無差別モードを有効にする。シンクポートの有効化はお

すすめします。

スタンドアローン Edge をデプロイした後、シンクポートの設定を行う必要があります。Edge のトランク

vNIC に接続したポートの設定を変更する必要があるためです。

手順

1 vSphere Web Client を使用して、非 NSX 環境を管理している vCenter Server にログインします。

2 [ホストおよびクラスタ (Hosts and Clusters)] を選択し、クラスタを展開して、利用可能なホストを表示しま

す。

3 スタンドアローン Edge をインストールするホストを右クリックして、[OVF テンプレートのデプロイ

(Deploy OVF Template)] を選択します。

4 URL を入力し、インターネットから OVF ファイルをダウンロードしてインストールするか、[参照 (Browse)] をクリックし、スタンドアローン Edge OVF ファイルが格納されているコンピュータ上のフォルダに移動し

て、[次へ (Next)] をクリックします。

5 [OVF テンプレートの詳細] ページで、テンプレートの詳細を確認して、[次へ (Next)] をクリックします。

6 [名前およびフォルダの選択] ページで、スタンドアローン Edge の名前を入力して、デプロイ先のフォルダま

たはデータセンターを選択します。その後、[次へ (Next)] をクリックします。

7 [ストレージの選択] ページで、デプロイするテンプレートのファイルを格納する場所を選択します。

8 [ネットワークの選択] ページで、デプロイしたテンプレートで使用するネットワークを設定します。[次へ

(Next)] をクリックします。

n パブリックインターフェイスは、アップリンクインターフェイスです。

n トランクインターフェイスを使用して、拡張するネットワークのサブインターフェイスを作成します。この

インターフェイスを、作成したトランクポートグループに接続します。

n 高可用性インターフェイスは、スタンドアローン L2 VPN Edge アプライアンスで高可用性を設定する場

合に使用します。高可用性インターフェイスの分散ポートグループを選択します。

NSX 管理ガイド

VMware, Inc. 302

9 [テンプレートのカスタマイズ] ページで、次の値を指定します。

a CLI の admin パスワードを 2 回入力します。

b CLI を有効にするためのパスワード 2 回入力します。

c CLI の root パスワードを 2 回入力します。

d アップリンク IP アドレスと、プリフィックス長を入力し、オプションでデフォルトゲートウェイと DNS の IP アドレスを入力します。

e 認証に使用する暗号を選択します。選択した値は、L2 VPN サーバで使用される暗号と一致する必要があり

ます。

注：この手順は、SSL 経由で L2 VPN を構成する場合にのみ実行します。

f 出力方向 (Egress) の最適化を有効にするには、トラフィックがローカルにルーティングされるゲートウェ

イ IP アドレス、つまりトラフィックがトンネルを介してブロックされるゲートウェイ IP アドレスを入力し

ます。

g （オプション）仮想マシンの移行後も、L2 VPN 経由での仮想マシンとの既存の TCP 接続（SSH セッショ

ンなど）をアクティブな状態にしておくには、[TCP Loose 設定を有効にする] チェックボックスをオンに

します。

デフォルトでは、このオプションは有効になっていません。この設定を無効にすると、L2 VPN 経由での仮

想マシンとの既存の TCP 接続は、仮想マシンの移行後に失われます。移行が完了したら、仮想マシンとの

新しい TCP 接続を確立する必要があります。

h スタンドアローンの L2 VPN Edge アプライアンスで高可用性を有効にするには、[このアプライアンスの

高可用性を有効にする (Enable High Availability for this appliance)] チェックボックスを選択しま

す。

i （オプション）最初のスタンドアローン L2 VPN Edge アプライアンス (node 0) の IP アドレスを入力し

ます。IP アドレスは、/30 IP サブネットにする必要があります。

j （オプション） 2 番目のスタンドアローン L2 VPN Edge アプライアンス (node 1) の IP アドレスを入力

します。IP アドレスは、/30 IP サブネットにする必要があります。

k （オプション） node 0 アプライアンスで 0 を選択して、高可用性インターフェイスに node 0 の IP アド

レスを割り当てます。同様に、node 1 アプライアンスで 1 を選択して、高可用性インターフェイスに node 1 の IP アドレスを割り当てます。

l （オプション） dead 間隔 (秒単位) に整数値を指定します。たとえば、15 と入力します。

注：スタンドアローン L2 VPN Edge クライアントの展開中に HA 構成設定を指定すると、HA が完全

に構成されるまで、スタンドアローン Edge アプライアンス仮想マシンはスタンバイ HA ステータスにな

ります。つまり、Edge アプライアンス仮想マシンのネットワークインターフェイスが無効になります。ア

クティブアプライアンスとスタンバイアプライアンスを作成するには、HA ピアノードを設定してくださ

い。詳細な手順については、スタンドアローン L2 VPN クライアントでの高可用性 (HA) の設定を参照し

てください。

NSX 管理ガイド

VMware, Inc. 303

m L2 VPN サーバアドレスとポートを入力します。

IPsec VPN トンネル経由でトラフィックをルーティングするように L2 VPN クライアントを構成する場

合、ピアサイトとピアコードの IP アドレスを指定する必要があります。

n ピアサイトの認証に使用するユーザー名とパスワードを入力します。

注：この手順は、SSL 経由で L2 VPN を構成する場合にのみ実行します。

o サブインターフェイスの VLAN（トンネル ID）に、拡張するネットワークの VLAN ID を入力します。

VLAN ID は、カンマ区切りリストまたは範囲で指定できます。たとえば、2,3,10-20 のように指定しま

す。

ネットワークをスタンドアローン Edge サイトに拡張する前に、ネットワークの VLAN ID を変更する場

合は、ネットワークの VLAN ID を入力し、次に括弧で囲んだトンネル ID を入力します。たとえば、

2(100),3(200) のように入力します。トンネル ID は、拡張されるネットワークをマッピングするために使

用されます。ただし、トンネル ID の範囲は指定できません。つまり、10(100)-14(104) のようには指定で

きません。これを 10(100),11(101),12(102),13(103),14(104) に変更する必要があります。

p インターネットに直接アクセスできないスタンドアローン Edge がプロキシサーバ経由でソース（サーバ）

NSX Edge にアクセスする必要がある場合は、プロキシアドレス、ポート、ユーザー名、パスワードを入

力します。

q ルート認証局 (CA) を利用できる場合は、それを [証明書] セクションに貼り付けることができます。

r [次へ (Next)] をクリックします。

10 [設定の確認] ページでスタンドアローン Edge 設定を確認して、[終了 (Finish)] をクリックします。

次のステップ

n スタンドアローンの Edge アプライアンスをパワーオンします。

n トランク vNIC のポート番号をメモし、シンクポートを設定します。シンクポートの設定を参照してくださ

い。

n 高可用性の IP アドレス、高可用性のインデックス値、スタンドアローン L2 VPN Edge アプライアンスをデプ

ロイしているときの Dead 間隔などの高可用性の設定を指定した場合、デプロイされたノードのコンソールで

show configuration コマンドを実行すると、高可用性の設定を確認できます。

n デプロイで高可用性の設定を指定していない場合は、NSX Edge コンソールから各ノードに ha set-config コマンドを実行すると、設定を行うことができます。

スタンドアローン Edge のコマンドラインインターフェイスを使用して、他の設定を変更します。『NSX コマンド

ラインインターフェイスリファレンス』を参照してください。

スタンドアローン L2 VPN クライアントでの高可用性 (HA) の設定

スタンドアローン L2 VPN Edge アプライアンスの NSX Edge コンソールにログインして、高可用性 (HA) を設

定し、両方の L2 VPN Edge アプライアンス間で高可用性 (HA) を有効にします。

同じ設定の 2 つの L2 VPN Edge クライアント（L2VPN-Client-01 と L2VPN-Client-02）がデプロイされてい

ます。L2VPN-Client-01 の /30 IP サブネットアドレスは 192.168.1.1 で、L2VPN-Client-02 は 192.168.1.2 です。ここでは、Node-1 が L2VPN-Client-01 で、Node-2 が L2VPN-Client-02 です。

NSX 管理ガイド

VMware, Inc. 304

前提条件

n 両方の L2 VPN Edge アプライアンスで高可用性 (HA) を有効にします。

n 高可用性の IP アドレス、高可用性のインデックス値、Dead 間隔などの高可用性の設定が両方のノードで行わ

れていることを確認します。

n 両方のスタンドアローン L2 VPN Edge クライアントに同じ VPN が設定されていることを確認します。

手順

1 各ノードにログインし、両方のノードで ha get-local node コマンドを実行して、3 つの vNIC インターフ

ェイスカードの MAC アドレスを取得します。

Node-1 の場合：

nsx-l2vpn-edge(config)# ha get-localnode

00:50:56:90:12:ea 00:50:56:90:97:ca 00:50:56:90:d9:69

Node-2 の場合：

nsx-l2vpn-edge(config)# ha get-localnode

00:50:56:90:1c:75 00:50:56:90:34:c1 00:50:56:90:36:80

2 両方のノードで ha set-peernode コマンドを実行し、Node-1 の MAC アドレスを Node-2 に割り当て、

Node-2 の MAC アドレスを Node-1 に割り当てます。

たとえば、Node-2 の MAC アドレスを Node-1 に割り当てます。

nsx-l2vpn-edge(config)# ha set-peernode 00:50:56:90:1c:75 00:50:56:90:34:c1 00:50:56:90:36:80

たとえば、Node-1 の MAC アドレスを Node-2 に割り当てます。

nsx-l2vpn-edge(config)# ha set-peernode 0:50:56:90:12:ea 00:50:56:90:97:ca 00:50:56:90:d9:69

3 高可用性を開始するには、各ノードで ha admin-state UP コマンドを実行します。

たとえば、Node-1 と Node-2 で次のコマンドを実行します。

nsx-l2vpn-edge(config)# ha admin-state UP

注：次の例のように、UP は大文字で入力します。

4 両方のノードで commit コマンドを実行して、高可用性の設定を保存し、Node-1 と Node-2 の間で高可用性


たとえば、Node-1 と Node-2 で次のコマンドを実行します。

nsx-l2vpn-edge(config)# commit

High Availability Feature is enabled on this appliance. Please make sure to make

similar configuration on paired Standalone Edge appliance.

NSX 管理ガイド

VMware, Inc. 305

結果

高可用性の設定が両方のノードで保存され、ノード間で高可用性が有効になります。

次のステップ

各ノードにログインし、両方のノードで show service highavailability コマンドを実行して、高可用性の

ステータスを確認します。

L2VPN-Client-01 ノードの CLI に次の出力が表示されます。

L2VPN-Client-1 の高可用性のステータスは「アクティブ」

ピアノード 192.168.1.2 の到達可能性のステータスは「稼動中」

L2VPN-Client-02 ノードの CLI に次の出力が表示されます。

NSX 管理ガイド

VMware, Inc. 306

L2VPN-Client-2 の高可用性のステータスは「スタンバイ」

ピアノード 192.168.1.1 の到達可能性のステータスは「稼動中」

どの段階でも、高可用性のリンクステータスを確認する場合は、各ノードで show service highavailability link コマンドを実行します。このコマンドを実行すると、ローカルとピアの /30 IP サブネットアドレスが表示さ

れます。これは、スタンドアローン L2 VPN ノードのデプロイで設定したアドレスです。

Node-1 の場合：

nsx-l2vpn-edge> show service highavailability link

Local IP address: 192.168.1.1/30

Peer IP Address: 192.168.1.2/30

スタンドアローンの L2VPN Edge で高可用性を無効にするには

NSX では、スタンドアローンの L2VPN Edge アプライアンスで高可用性を無効にするには、2 つの方法がありま

す。

L2VPN-Client-1 と L2VPN-Client-2 という 2 台のスタンドアローン L2VPN Edge アプライアンスを展開し、

このアプライアンス間で高可用性を設定するとします。L2VPN-Client-1 がアクティブで、L2VPN-Client-2 がス

タンバイのアプライアンスです。

1 つ目の方法では、次の手順に従って高可用性を無効にします。

1 スタンバイアプライアンス (L2-VPN-Client-2) を削除するか、直接パワーオフします。

2 アクティブアプライアンス (L2-VPN-Client-1) のコンソールにログインして、ha disable コマンドを実行

します。

NSX 管理ガイド

VMware, Inc. 307

この方法のメリットは、高可用性のフェイルオーバーにかかる時間が最小になる点です。ただし、次のような制限が

あります。

n スタンバイ L2VPN アプライアンスは手動でパワーオフする必要があります。

n この方法では、2 台のアプライアンスがアクティブ状態になる可能性があります。たとえば、スタンバイアプラ

イアンスをパワーオフし忘れて起動したままにすると、両方の L2VPN アプライアンスがアクティブになる可能

性があります。

2 つ目の方法では、次の手順に従って高可用性を無効にします。

1 アクティブまたはスタンバイのいずれかの L2VPN アプライアンスを削除するか、パワーオフします。

2 もう一方のアプライアンスのコンソールにログインして ha disable コマンドを実行し、このアプライアンス

の高可用性機能を無効にします。

2 つ目の方法でも、高可用性のフェイルオーバーにかかる時間は最小になります。ただし、次のような制限がありま

す。

n L2VPN アプライアンスを手動でパワーオフする必要があります。

n この方法でも、2 台のアプライアンスがアクティブ状態になる可能性があります。たとえば、アプライアンスを

パワーオフし忘れて起動したままにすると、両方の L2VPN アプライアンスがアクティブになる可能性がありま

す。

n 高可用性のフェールオーバーでは、スタンバイアプライアンスがすぐにアクティブにならないことがあるため、

アクティブなアプライアンスを削除するとサービスが中断します。

障害が起きたスタンドアローン L2 VPN クライアントの交換

スタンドアローン L2 VPN クライアントで障害が発生したり、クラッシュした場合、新しいスタンドアローン L2 VPN クライアントをデプロイし、デプロイされたアプライアンスを NSX Edge コンソールから設定することで、

障害の起きたアプライアンスを交換することができます。

L2VPN-Client-01 と L2VPN-Client-02 という 2 台のスタンドアローン L2 VPN クライアントアプライアンス

をデプロイし、このアプライアンス間で高可用性を有効にしているとします。L2VPN-Client-01 ノードは、障害が

発生したかクラッシュしています。障害が起きたノードを置換するには、L2VPN-Client-Replace という新しいス

タンドアローン L2 VPN クライアントアプライアンスをデプロイし、アクティブノードと同じ VPN 設定を指定し

ます。

手順

1 アクティブノード (L2VPN-Client-02) のコンソールにログインし、高可用性のインデックスを確認します。

2 L2VPN-Client-02 ノードで ha get-localnode コマンドを実行して、vNIC の MAC アドレスを取得し、

このコマンドの CLI 出力をコピーします。

NSX 管理ガイド

VMware, Inc. 308

3 新しいスタンドアローン L2 VPN クライアントのアプライアンスをデプロイし、名前を L2VPN-Client-Replace に変更します。デプロイ中に次の詳細設定を指定します。

a 高可用性機能を有効にします。

b ノード 0 とノード 1 の両方に適切な高可用性 IP アドレスを入力します。IP アドレスは、/30 IP サブネッ

トにする必要があります。

c 高可用性インデックス値を選択します。

n 高可用性インデックス 1 のノードで障害が発生した場合、L2VPN-Client-Replace アプライアンスの

高可用性インデックスを 0 に選択します。

n 高可用性インデックス 0 のノードで障害が発生した場合、L2VPN-Client-Replace アプライアンスの

高可用性インデックスを 1 に選択します。

4 新しい L2VPN-Client-Replace アプライアンスのコンソールにログインし、次の操作を行います。

a ha set-peernode コマンドを実行して、ピアノード (L2VPN-Client-02) の MAC アドレスを設定しま

す。

b ha get-localnode コマンドを実行して、このコマンドの CLI 出力をコピーします。

5 アクティブノード (L2VPN-Client-02) のコンソールにログインして ha set-peernode コマンドを実行

し、新しくデプロイしたアプライアンス (L2VPN-Client-Replace) の vNIC MAC アドレスを設定します。

6 最後に、L2VPN-Client-02 と L2VPN-Client-Replace の両方のアプライアンスで commit コマンドを実行

します。

シナリオ：拡張 VLAN または VXLAN ネットワークの追加

ACME Enterprise には、サイト A とサイト B という 2 つのプライベートデータセンターがあります。NSX Data Center は両方のデータセンターに展開されています。NSX の管理者は、サイト A の VLAN ネットワーク

をサイト B の VXLAN ネットワークに拡大または拡張して、ワークロード（アプリケーション）をサイト A からサ

イト B に移行したいと考えています。

NSX L2 VPN は、両方のサイトで同じゲートウェイ IP アドレスを使用することで、出力方向最適化をサポートし

ます。このシナリオでは、出力方向最適化機能を使用して、移行後にアプリケーションの IP アドレスが変更されな

いようにします。

次の図は、NSX Edge で L2 VPN サービスを使用して 2 つのサイトを接続し、ネットワークを拡張している論理

トポロジーを示しています。

NSX 管理ガイド

VMware, Inc. 309


VPN


デフォルトルーター


NSX Edge

サイト A：VLAN でバッキングされたネットワークサイト B：VXLAN でバッキングされたネットワーク

vNicトランクVLAN 10-11

VM 1 VM 2 VM 3 VM 4

VLAN 10 VLAN 11

NSX

NSX


VPN


NSX Edge

vNicVXLAN

トランクVXLAN5010

VM 5 VM 6

VM 7 VM 8

VXLAN5011

サイト A の NSX Edge の L2 VPN サービスはクライアントモードに設定され、サイト B の NSX Edge の L2 VPN サービスはサーバモードに設定されています。この管理者の目的を達成するため、L2 VPN トンネルを作成

し、サイト A と B の間で L2 拡張を実行します。

n トンネル ID 200 は、サイト A の VLAN 10 ネットワークをサイト B の VXLAN 5010 ネットワークに拡張

します。

n トンネル ID 201 は、サイト A の VLAN 11 ネットワークをサイト B の VXLAN 5011 ネットワークに拡張し

ます。

次の図は、両方のサイト間の L2 拡張を論理的に表現しています。

NSX 管理ガイド

VMware, Inc. 310

仮想マシン

仮想マシン

仮想マシン

仮想マシン

NSX Edge

L2 VPN クライアント

NSX Edge

トンネル ID: 200L2 拡張

トンネル ID: 201VLAN 11

VLAN 10

VXLAN 5011

VXLAN 5010

L2 拡張

L2 VPN サーバ

注意: このシナリオでは、両方のサイトに NSX が管理するエッジが存在します。2 つのサイト間で L2 拡張を実行

するには、サーバモードに設定されているエッジが NSX Edge である必要があります。ただし、クライアントモードに設定されたエッジは、NSX Edge でも、スタンドアローンエッジ（NSX に管理されていないエッジ）でも

かまいません。

クライアントサイトがスタンドアローンエッジを使用している場合、クライアントサイトの VLAN ネットワーク

のみをサーバサイトの VLAN または VXLAN ネットワークに拡張できます。

L2 拡張を実行するには、SSL 経由の L2 VPN サービスを設定するか、IPsec 経由の L2 VPN を設定します。以下

では、SSL 経由の L2 VPN を使用して L2 ネットワークを拡張する手順について説明します。

手順

1 サイト B の L2 VPN エッジに移動し、トランクタイプの vnic インターフェイスを設定します。このインター

フェイスに 2 つのサブインターフェイスを追加します。

Edge でのインターフェイスの構成とサブインターフェイスの追加方法については、インターフェイスの設定


たとえば、このシナリオでは、分散ポートグループに接続するようにサーバエッジで vnic 1 を設定します。

VNI 5010 と 5011 を使用して、論理スイッチに接続するサブインターフェイスを追加します。各サブインター

フェイスには、一意のトンネル ID が必要です。次の表に、L2 VPN サーバエッジのサブインターフェイスの

構成を示します。

表 15-9. L2 VPN サーバエッジの vnic 1 のサブインターフェイス

名前 IP アドレスネットワーク VNI トンネル ID ステータス

sub_vxlan1 192.168.10.10/24 VXLAN-Network1

5010 200 接続済み

sub_vxlan2 192.168.100.10/24

VXLAN-Network2

5011 201 接続済み

NSX 管理ガイド

VMware, Inc. 311

2 サイト A の L2 VPN エッジに移動し、トランクタイプの vnic インターフェイスを設定します。このインター

フェイスに 2 つのサブインターフェイスを追加します。

たとえば、このシナリオでは、標準ポートグループに接続するようにクライアントエッジで vnic 2 を設定しま

す。VLAN 10 と 11 に接続するサブインターフェイスを追加します。クライアントエッジのトンネル ID は、

サーバエッジで指定したトンネル ID と一致する必要があります。次の表に、L2 VPN クライアントエッジの

サブインターフェイスの構成を示します。

表 15-10. L2 VPN クライアントエッジの vnic 2 のサブインターフェイス

名前 IP アドレス VLAN トンネル ID ステータス

sub_vlan1 192.168.10.10/24 10 200 接続済み

sub_vlan2 192.168.100.10/24 11 201 接続済み

3 サイト B で L2 VPN エッジを設定します。

a L2 VPN モードを [サーバ] に設定します。

b グローバル設定を指定します。

L2 VPN サーバの設定方法については、L2 VPN サーバの設定を参照してください。

c [サイト設定の詳細] で、[追加] をクリックし、L2 VPN クライアント（ピア）サイトの設定を指定します。

L2 VPN ピアサイトの追加方法については、ピアサイトの追加を参照してください。

たとえば、このシナリオでは、次のようなピアサイトを設定します。

n Site-A という名前のピアサイトを追加します。サーバエッジで vnic 1 トランクインターフェイス

を選択し、ストレッチネットワークとして 2 つのサブインターフェイス sub_vxlan1 と

sub_vxlan2 を追加します。ピアサイトが有効になっていることを確認します。次の表は、ピアサイ

ト A のサブインターフェイス（ストレッチインターフェイス）を示しています。

表 15-11. ピアサイト A のサブインターフェイス

名前親インデックス親名 IP アドレスネットワーク VNI トンネル ID

sub_vxlan1 1 vnic1 192.168.10.10/24

VXLAN-Network1

5010 200

sub_vxlan2 1 vnic1 192.168.100.10/24

VXLAN-Network2

5011 201

n [出力側を最適化するゲートウェイアドレス] テキストボックスに、

192.168.10.10,192.168.100.10 を入力します。

d サーバエッジで L2 VPN サービスを開始します。

e 変更を発行します。

NSX 管理ガイド

VMware, Inc. 312

4 サイト A で L2 VPN エッジを設定します。

a L2 VPN モードを [クライアント] に設定します。

b ログ作成の設定とグローバル設定を指定します。

L2 VPN クライアントの設定方法については、L2 VPN クライアントの設定を参照してください。

たとえば、このシナリオでは、L2 VPN クライアントで次のように設定します。

n クライアントで vnic 2 トランクインターフェイスを選択し、ストレッチネットワークとして 2 つの

サブインターフェイス sub_vlan1 と sub_vlan2 を追加します。次の表に、L2 VPN クライアント

エッジのサブインターフェイス（拡張インターフェイス）を示します。

表 15-12. L2 VPN クライアントエッジの拡張インターフェイス

名前親インデックス親名 IP アドレス VLAN トンネル ID

sub_vlan1 2 vnic2 192.168.10.10/24

10 200

sub_vlan2 2 vnic2 192.168.100.10/24

11 201

n [出力側を最適化するゲートウェイアドレス] テキストボックスに、

192.168.10.10,192.168.100.10 を入力します。

c クライアントエッジで L2 VPN サービスを開始します。

d 変更を発行します。

結果

サイト A とサイト B 間で L2 VPN トンネルが確立されます。拡張された L2 ネットワークを使用して、2 つのサイ

ト間でワークロードを移行できるようになりました。

次のステップ

L2 VPN サーバエッジとクライアントエッジで、次の操作を行います。

n L2 VPN トンネルのステータスが「Up」になっていることを確認します。

n トンネルの統計情報を表示します。

詳細な手順については、L2 VPN 統計の表示を参照してください。

また、L2 VPN サーバ edge エッジとクライアントエッジの CLI コンソールにログインして、show service

l2vpn コマンドでトンネルのステータスを確認することもできます。

このコマンドの詳細については、『NSX コマンドラインインターフェイスリファレンスガイド』を参照してくださ

い。

シナリオ：拡張 VLAN または VXLAN ネットワークの削除

このシナリオでは、サイト A の VLAN 10 ネットワークをサイト B の VXLAN 5010 ネットワークに拡張する L2 ストレッチを削除します。

NSX 管理ガイド

VMware, Inc. 313

前提条件

サイト A の VLAN ネットワーク (VLAN ID: 10, 11) からサイト B の VXLAN ネットワーク (VNI: 5010, 5011) への L2 ストレッチが設定されていることを確認します。シナリオ：拡張 VLAN または VXLAN ネットワークの追

加を参照してください。

手順


2 （必須）サイト A の L2 VPN クライアントエッジに移動し、L2 VPN サービスを停止します。

3 （必須）サイト A の L2 VPN サーバエッジに移動し、L2 VPN サービスを停止します。

4 L2 VPN サーバエッジで、vnic1 トランクインターフェイスの sub_vxlan1 サブインターフェイスを削除し

ます。

a [管理] - [設定] - [インターフェイス] の順にクリックして、Edge インターフェイスの設定に移動します。

b [vnic1] インターフェイスを選択して [編集]（または）アイコンをクリックします。

c [サブインターフェイス] で、[sub_vxlan1] を選択し、[削除] （または）アイコンをクリックしま

す。

d [保存] または [OK] をクリックします。

5 L2 VPN クライアントエッジで、vnic2 トランクインターフェイスの sub_vlan1 サブインターフェイスを削

除します。

a [管理] - [設定] - [インターフェイス] の順にクリックして、Edge インターフェイスの設定に移動します。

b [vnic2] インターフェイスを選択して [編集]（または）アイコンをクリックします。

c [サブインターフェイス] で、[sub_vlan1] を選択し、[削除] （または）アイコンをクリックします。

d [保存] または [OK] をクリックします。

結果

サイト A の VLAN 10 ネットワークをサイト B の VXLAN 5010 ネットワークに拡張するサブインターフェイス

が削除されます。

次のステップ

n サイト A で、クライアントエッジの [L2 VPN ] 画面に移動します。[ストレッチインターフェイス] に、

sub_vlan1 インターフェイスが表示されていないことを確認します。もう 1 つのストレッチインターフェイス

sub_vlan2 はまだ存在しています。

n サイト B で、サーバエッジの [L2 VPN ] 画面に移動します。ピアサイト（サイト A）の [ストレッチインタ

ーフェイス] に、sub_vxlan1 インターフェイスが表示されていないことを確認します。もう 1 つのストレッチ

インターフェイス sub_vxlan2 はまだ存在しています。

NSX 管理ガイド

VMware, Inc. 314

論理ロードバランサ 16NSX Edge ロードバランサは、高可用性サービスにより複数のサーバ間でネットワークトラフィックの負荷を分散

します。負荷の配分がユーザーにとって透過的になるように、受信サービスリクエストを複数のサーバ間で均等に配

分します。このように、ロードバランシングは、最適なリソース使用率の実現、スループットの最大化、応答時間の

最小化、過負荷の回避に役立ちます。NSX Edge は、レイヤー 7 までのロードバランシングを提供します。

ロードバランシングのために、外部（またはパブリック）IP アドレスを内部サーバのセットにマッピングします。

ロードバランサは外部 IP アドレスによる TCP、UDP、HTTP、または HTTPS リクエストを受け入れ、どの内部

サーバを使用するか決定します。ポート 80 は HTTP のデフォルトポートであり、ポート 443 は HTTP のデフォ

ルトポートです。

ロードバランシングを設定するには、あらかじめ、NSX Edge インスタンスを動作させておく必要があります。

NSX Edge のセットアップの詳細については、NSX Edge 設定を参照してください。

NSX Edge 証明書の設定に関する詳細については、証明書の操作を参照してください。

NSX のロードバランシングでは、次の機能を利用できます。

n プロトコル：TCP、UDP、HTTP、HTTPS

n アルゴリズム：重み付きラウンドロビン、IP ハッシュ、URI、最小接続数

n AES-NI アクセラレーションによる SSL Termination

n SSL ブリッジ（クライアント側 SSL + サーバ側 SSL）

n SSL 証明書管理

n クライアントの識別のための X-header 転送

n L4/L7 透過モード

n 接続スロットリング

n メンテナンスのために個々のサーバ（プールメンバー）を有効/無効にできる

n 健全性チェックの方法（TCP、UDP、HTTP、HTTPS）

n 拡張健全性チェックモニター

n セッション維持/継続的な方法：SourceIP、MSRDP、COOKIE、SSLSESSIONID

n ワンアームモード

VMware, Inc. 315

n インラインモード

n URL の書き換えとリダイレクト

n 高度なトラフィック管理のためのアプリケーションルール

n L7 プロキシロードバランシングでの高可用性セッションの継続的なサポート

n IPv6 のサポート

n トラブルシューティングのための拡張ロードバランサ CLI

n NSX Edge Services Gateway のすべてのサイズで使用可能。本番トラフィックには X-Large または

Quad Large をお勧めします。

トポロジ

NSX では、ワンアームモード（プロキシモードとも呼ばれます）またはインラインモード（透過モードとも呼ば

れます）の 2 つのタイプのロードバランシングサービスを設定できます。

NSX 論理ロードバランシング：インライントポロジ

インライン（透過）モードでは、サーバファームに宛てたトラフィックに対して NSX Edge がインラインにデプロ

イされます。透過モードでは、トラフィックフローは次のように処理されます。

n 外部クライアントは、ロードバランサが公開する仮想 IP アドレス (VIP) にトラフィックを送信します。

n ロードバランサ（統合 NSX Edge）は、宛先 NAT (DNAT) のみを実行し、仮想 IP アドレスをサーバファー

ムにデプロイされたいずれかのサーバの IP アドレスに置き換えます。

n サーバファームのこのサーバは、元のクライアント IP アドレスに応答します。ロードバランサは、通常はサー

バファームのデフォルトゲートウェイとしてインラインにデプロイされているため、トラフィックが再びロー

ドバランサによって受信されます。

n ロードバランサは送信元 NAT を実行し、仮想 IP アドレスを送信元 IP アドレスとして利用して、トラフィッ

クを外部クライアントに送信します。

NSX 管理ガイド

VMware, Inc. 316

V

フェーズ 1IP

アドレス

IP アドレス

IP アドレス

IP アドレス

DST 192.168.20.20

DST 80

VLAN

192.168.20.20 TCP 80

サーバのトラフィックは常に SLB に戻る

ルーティングによってSLB のリソースを消費

192.168.1.3（選択済み）

192.168.1.2

192.168.1.1

論理スイッチ(VXLAN)

クライアントアドレス172.30.40.7

NSX Edge Services Gateway

SRC 172.30.40.7

SRC 1025

TCP

フェーズ 4

DST 172.30.40.7

DST 1025

SRC 192.168.20.20

SRC 80

TCP

フェーズ 2 (DNAT)

DST 192.168.1.3

DST 80

SRC 172.30.40.7

SRC 1025

TCP

フェーズ 3

DST 172.30.40.7

DST 1025

SRC 192.168.1.3

SRC 80

TCP

NSX 論理ロードバランシング：ワンアームトポロジ

ワンアーム（プロキシ）モードでは、ロードバランシングサービスが必要な論理ネットワークに直接接続する NSX Edge がデプロイされます。

n 外部クライアントは、ロードバランサが公開する仮想 IP アドレス (VIP) にトラフィックを送信します。

n ロードバランサは、クライアントから受信した元のパケットに対して、宛先 NAT (DNAT) と送信元 NAT (SNAT) の 2 種類のアドレス変換を実行します。宛先 NAT では、サーバファームにデプロイされたいずれか

のサーバの IP アドレスで仮想 IP アドレスが置き換えられます。また、送信元 NAT では、ロードバランサ自

体を表す IP アドレスでクライアントの IP アドレスが置き換えられます。サーバファームからクライアントに

戻るトラフィックがロードバランサを通過するように強制するには SNAT が必要です。

n サーバファームのサーバは、SNAT 機能を通じてロードバランサにトラフィックを送信することにより応答し

ます。

n ロードバランサは送信元と宛先 NAT のサービスを再度実行し、仮想 IP アドレスを送信元 IP アドレスとして

利用して、トラフィックを外部クライアントに送信します。

NSX 管理ガイド

VMware, Inc. 317

V

フェーズ 1IP

アドレス

DST 192.168.1.20

DST 80

VLAN

192.168.1.20TCP 80

挿入が容易クライアント IP アドレスは検出されない

HTTP X-Forwarded- For HTTP

ヘッダーのための回避策

192.168.1.3（選択済み）

192.168.1.2

192.168.1.1



NSX EdgeServices Gateway

SRC 172.30.40.7

SRC 1025

TCP

フェーズ 4

DST 172.30.40.7

DST 1025

SRC 192.168.1.20

SRC 80

TCP

フェーズ 2 (DNAT+SNAT)

DST 192.168.1.3

DST 80

SRC 192.168.1.20

SRC 4099

TCP

フェーズ 3

DST 192.168.1.20

DST 4099

SRC 192.168.1.3

SRC 80

TCP

SLB

IP アドレス

IP アドレス

IP アドレス


n ロードバランシングの設定

n アプリケーションプロファイルの管理

NSX 管理ガイド

VMware, Inc. 318

n サービスモニターの管理

n サーバプールの管理

n 仮想サーバの管理

n アプリケーションルールの管理

n NTLM 認証を使用する Web サーバのロードバランシング

n ロードバランサの HTTP 接続モード

n NSX ロードバランサ構成のシナリオ

ロードバランシングの設定

NSX Edge ロードバランサはネットワークトラフィックを複数のサーバに分散することにより、リソースの最適な

使用、冗長性を実現し、リソースを分散して使用できるようにします。

NSX ロードバランサは、レイヤー 4 およびレイヤー 7 のロードバランシングエンジンをサポートします。レイヤ

ー 4 のロードバランサは接続ベースで高速パス処理を行います。一方、レイヤー 7 ロードバランサは HTTP ソケ

ットベースです。バックエンドサービスで高度なトラフィック処理を実現し、DDoS を緩和します。

接続ベースのロードバランシングは、TCP および UDP レイヤーに実装されます。接続ベースのロードバランシン

グは、接続の停止や要求全体のバッファの作成は行わず、パケット処理後に選択されたサーバに直接パケットを送信

します。TCP および UDP セッションはロードバランサで維持され、これによって単一セッションのパケットが同

一サーバに送信されます。接続ベースのロードバランシングは、アクセラレーションが無効になっている TCP と

UDP の仮想 IP アドレスか、アクセラレーションが有効になっている TCP の仮想 IP アドレスによって実行されま

す。

ソケットベースのロードバランシングは、ソケットインターフェイスの上位に実装されます。1 つの要求について、

クライアント方向とサーバ方向の 2 つの接続が確立されます。サーバ方向の接続は、サーバを選択した後に確立され

ます。HTTP ソケットベースの実装では、オプションの L7 処理を使用して選択されたサーバに送信される前に、す

べての要求が受信されます。HTTPS ソケットベースの実装については、クライアント方向の接続またはサーバ方向

の接続のいずれかで、認証情報が交換されます。ソケットベースのロードバランシングは、TCP、HTTP、および

HTTPS 仮想サーバのデフォルトのモードです。

NSX ロードバランサの重要な概念は次のとおりです。

仮想サーバ

アプリケーションサービスを抽象化したもので、IP アドレス、ポート、プロトコル、およびアプリケーション

プロファイル（TCP、UDP など）の一意の組み合わせで表されます。

サーバプール

バックエンドサーバのグループです。

サーバプールメンバー

プール内のメンバーとしてのバックエンドサーバです。

サービスモニター

NSX 管理ガイド

VMware, Inc. 319

バックエンドサーバの健全性ステータスの検証方法を定義します。

アプリケーションプロファイル

特定のアプリケーションの TCP、UDP、セッション維持、および証明書設定が含まれます。

バックエンドサーバを効率的に管理および共有するため、ロードバランサにグローバルオプションを設定して、バ

ックエンドサーバメンバーのサーバプールを作成し、サービスモニターとプールを関連付けます。

次に、アプリケーションプロファイルを作成して、クライアント SSL、サーバ SSL、x-forwarded-for、セッショ

ン維持など、アプリケーションの共通の動作をロードバランサに定義します。セッション維持を設定すると、送信元

の IP アドレスや Cookie などの特性が類似する後続の要求は、ロードバランシングアルゴリズムを実行せずに、

同じプールメンバーに送信されます。アプリケーションプロファイルは、仮想サーバ全体で再利用できます。

次に、オプションのアプリケーションルールを作成して、アプリケーション固有のトラフィック処理を設定します。

たとえば、特定の URL やホスト名との一致により、異なる要求を異なるプールで処理するように定義します。次に、

アプリケーション固有のサービスモニターを作成するか、以前に作成したサービスモニターを使用します。

必要に応じて、L7 仮想サーバの高度な機能をサポートするアプリケーションルールを作成することもできます。ア

プリケーションルールは、コンテンツの切り替え、ヘッダの操作、セキュリティルール、DOS 保護などに使用でき

ます。

最後に、サーバプール、アプリケーションプロファイル、あらゆる潜在的なアプリケーションルールを関連付ける

仮想サーバを作成します。

仮想サーバが要求を受信するとき、ロードバランシングアルゴリズムではプールメンバーの設定とランタイムステ

ータスが考慮されます。次に、アルゴリズムは適切なプールを計算して、1 つ以上のメンバーにトラフィックを分散

します。プールメンバーの設定には、重み、最大接続数、状態ステータスなどの設定が含まれます。ランタイムステータスには、現在の接続、応答時間、健全性チェックのステータス情報などが含まれます。計算方法としては、ラ

ウンドロビン、重み付きラウンドロビン、最小接続数、ソース IP アドレスハッシュ、重み付き最小接続数、URL、

URI、HTTP ヘッダを使用できます。

各プールは、関連付けられたサービスモニターで監視されます。ロードバランサがプールメンバーの問題を検出す

ると、メンバーの状態は「切断」とマークされます。サーバプールからプールメンバーを選択するときには、状態

が「接続中」のサーバのみが選択されます。サーバプールにサービスモニターが設定されていない場合は、すべて

のメンバーが「接続中」であるとみなされます。

注：ロードバランサのトラブルシューティング情報については、『NSX トラブルシューティングガイド』を参照


n ロードバランササービスの設定

n サービスモニターの作成

ネットワークトラフィックの特定のタイプの健全性チェックパラメータを定義するには、サービスモニター

を作成します。サービスモニターとプールを関連付けると、サービスモニターのパラメータに従ってプール

メンバーが監視されます。

NSX 管理ガイド

VMware, Inc. 320

n サーバプールの追加

サーバプールを追加すると、バックエンドサーバを柔軟かつ効率的に管理、共有することができますサーバプールはロードバランサの分散方法を管理するもので、サービスモニターで健全性チェックパラメータを確認

できます。

n アプリケーションプロファイルの作成

アプリケーションプロファイルを使用すると、ネットワークトラフィックの管理機能を強化し、トラフィック

管理タスクをより簡単に、効率的に行うことができます。

n アプリケーションルールの追加

アプリケーショントラフィックの操作と管理に HAProxy 構文を使用して、仮想サーバ側のアプリケーション

ルールを作成できます。

n 仮想サーバの追加

仮想サーバとして NSX Edge 内部インターフェイスまたはアップリンクインターフェイスを追加します。

ロードバランササービスの設定

手順




4 [管理 (Manage)] - [ロードバランサ (Load Balancer)] - [グローバル設定 (Global Configuration)] の順

にクリックします。

5 [ロードバランサのグローバル設定] の横にある [編集 (Edit)] をクリックします。

NSX 管理ガイド

VMware, Inc. 321

6 グローバルロードバランサの設定パラメータを指定します。


ロードバランサ NSX Edge ロードバランサで、トラフィックを内部サーバに分散してロードバランシングで

きるようにします。

アクセラレーション無効にすると、すべての仮想 IP アドレス (VIP) で L7 LB エンジンが使用されます。

有効にすると、仮想 IP アドレスでは、より高速な L4 LB エンジンまたは L7 LB エンジン

（仮想 IP アドレスの設定による）が使用されます。

仮想 IP アドレス設定で「アクセラレーションが有効」になっており、Cookie のセッション

維持または SSL オフロードが設定された AppProfile などの L7 設定のない L4 仮想 IP アドレスは、Edge ファイアウォールの前に処理されます。仮想 IP アドレスへのアクセスに

Edge ファイアウォールルールは必要ありません。ただし、仮想 IP アドレスが非透過モード

でプールを使用している場合は、SNAT ルールの自動生成を許可するため、Edge ファイア

ウォールを有効にする必要があります。

L7 HTTP/HTTPS 仮想 IP アドレス（「アクセラレーションが無効」または、Cookie のセッ

ション維持または SSL オフロードが設定された AppProfile などの L7 設定）は、Edge ファイアウォールの後に処理され、仮想 IP アドレスにアクセスするには Edge ファイアウォー

ルルールが必要です。

注：NSX ロードバランサが各仮想 IP アドレスでどの LB エンジンを使用しているかを検証

するには、NSX Edge CLI（SSH またはコンソール）で、「show service loadbalancer virtual」というコマンドを実行し、「LB PROTOCOL [L4|L7]」を確認します

ログ NSX Edge ロードバランサは、トラフィックのログを収集します。

ログレベルはドロップダウンメニューから選択できます。ログは、設定されている Syslog サーバにエクスポートされます。また、show log follow コマンドを使用すると、ロード

バランシングログを表示できます。

[デバッグ] オプションと [情報] オプションは、エンドユーザーの要求のログを収集します。

[警告] オプション、[エラー] オプション、[重大] オプションは、エンドユーザーの要求のログ

を収集しません。NSX Edge の制御レベルログを [デバッグ] または [情報] に設定すると、

ロードバランサは lb、仮想 IP アドレス、プール、プールメンバーの統計情報を 1 分ごとに

記録します。

[デバッグ] オプションまたは [情報] オプションで実行すると、CPU と Edge ログパーティ

ション領域が消費され、最大トラフィック管理機能にわずかに影響する可能性があります。

サービス挿入の有効化ロードバランサで、サードパーティベンダーのサービスを操作できるようにします。

サードパーティベンダーのロードバランササービスをご使用の環境に展開する場合は、パー

トナーのロードバランサの使用を参照してください。

注目: NSX 6.4.5 以降では、サードパーティサービスの統合サポートが廃止されています。


サービスモニターの作成

ネットワークトラフィックの特定のタイプの健全性チェックパラメータを定義するには、サービスモニターを作成

します。サービスモニターとプールを関連付けると、サービスモニターのパラメータに従ってプールメンバーが監

視されます。

サポートされているモニタータイプは、ICMP、TCP、UDP、HTTP、HTTPS、DNS、MSSQL、LDAP です。

NSX 管理ガイド

VMware, Inc. 322

手順




4 [管理 (Manage)] - [ロードバランサ (Load Balancer)] - [サービスモニタリング (Service Monitoring)] の順にクリックします。


6 サービスモニターの [名前 (Name)] を入力します。

[間隔]、[タイムアウト]、[最大試行回数] は、すべてのタイプの健全性チェックで共通のパラメータです。

7 サーバをテストする [間隔 (Interval)] を秒単位で入力します。

この間隔（秒単位）は、モニターがバックエンドサーバに要求を送信する期間となります。

8 [タイムアウト (Timeout)] 値を入力します。それぞれの健全性チェックで、サーバからの応答を受信できるの

は、このタイムアウトの値の時間（秒単位）以内となります。

9 [最大試行回数 (Max Retries)] を入力します。この値は、サーバが切断された判断する前にサーバを検証する回

数です。

たとえば、[間隔 (Interval)] を 5 秒、[タイムアウト (Timeout)] を 15 秒に設定し、[最大試行回数 (Max Retries)] を 3 回にすると、NSX ロードバランサは 5 秒ごとにバックエンドサーバを検証します。それぞれ

の検証で、15 秒以内に予期した応答がサーバから返された場合、健全性チェックの結果は [OK] になります。そ

うでない場合、結果は [重大] になります。最近実行した 3 回の健全性チェックの結果がすべて [切断] の場合、

そのサーバは [切断] とマークされます。

10 [タイプ (Type)] ドロップダウンメニューから、サーバに健全性チェック要求を送信する方法を選択します。サ

ポートされているモニタータイプは、ICMP、TCP、UDP、HTTP、HTTPS、DNS、MSSQL、LDAP です。

事前定義された 3 つのモニターである default_tcp_monitor、default_http_monitor、および

default_https_monitor が、システムに組み込まれています。

11 モニタータイプとして [ICMP] を選択する場合、他のパラメータは適用されません。他のパラメータは空のまま

にします。

NSX 管理ガイド

VMware, Inc. 323

12 モニターのタイプに [TCP] を選択した場合は、[送信]、[受信]、[エクステンション] の 3 つのパラメータを追

加で設定できます。

a [送信 (Send)]（オプション）：接続の確立後にバックエンドサーバに送信される文字列です。有効な文字

列の長さは最大 256 文字です。

b [受信 (Receive)]（オプション）：一致対させる文字列を入力します。この文字列は、応答のヘッダである

か、または本文内にあります。受信した文字列がこの定義と一致する場合、サーバが稼動状態と見なされま

す。

c [エクステンション (Extension)]：詳細なモニターパラメータを key=value ペアとして [エクステンショ

ン] セクションに入力します。

たとえば、エクステンションを warning=10 と指定すると、サーバが 10 秒以内に応答しない場合に、ス

テータスが警告に設定されます。

すべてのエクステンション項目を、キャリッジリターン文字で区切る必要があります。

表 16-1. TCP プロトコルのエクステンション

監視の拡張機能説明

escape send 文字列または quit 文字列で、\n、\r、\t、または \ を使用

できます。send オプションまたは quit オプションの前に指定す

る必要があります。デフォルト：send には何も追加されません。

quit の最後に \r\n が追加されます。

all すべての expect 文字列がサーバ応答に含まれている必要があり

ます。デフォルトは any です。

quit=STRING 接続の正常な終了を開始するために、サーバに送信する文字列。

refuse=ok|warn|crit OK、警告、重大ステータスで TCP 拒否を受け入れます。デフォル

トは crit です。

mismatch=ok|warn|crit OK、警告、重大ステータスで、想定される文字列の不一致を受け

入れます。デフォルトは warn です。

jail TCP ソケットからの出力を非表示にします。

maxbytes=INTEGER 指定数より多いバイト数を受信すると、接続を閉じます。

delay=INTEGER 文字列の送信から応答のポーリングまでの待ち時間（秒数）。

certificate=INTEGER[,INTEGER] 証明書の最小有効期間（日数）。最初の値は警告ステータスまでの日

数、2 番目の値は重大ステータスまでの日数（指定されない場合は

0）。

warning=DOUBLE 警告ステータスになる応答時間（秒）

critical=DOUBLE 重大ステータスになる応答時間（秒）

NSX 管理ガイド

VMware, Inc. 324

13 モニターのタイプに [HTTP] または [HTTPS] を選択した場合は、次の手順を実行します。

a [期待値（期待される文字列） (Expected)]（オプション）：[期待値] セクションの HTTP 応答のステータ

ス行で、モニターと一致する文字列を入力します。これはコンマ区切りのリストです。

たとえば、200,301,302,401 と指定します。

b [方法 (Method)]（オプション）：サーバのステータスを検出する方法をドロップダウンメニュー（[GET]、[OPTIONS]、または [POST]）から選択します。

c [URL]（オプション）：GET または POST を実行する URL を入力します（デフォルトは「/」）。

d POST メソッドを選択した場合は、[ボールド (Bold)] セクションに送信されるデータを入力します。

NSX 管理ガイド

VMware, Inc. 325

e 応答内容で一致する文字列を、[受信 (Receive)] セクションに入力します。この文字列は、応答のヘッダで

あるか、または本文内にあります。

[期待値] セクションの文字列が一致しない場合、モニターは [受信] の内容との一致を試行しません。

JSON 形式の例：検証応答に "{"Healthy":true}": receive={\"Healthy\":true} が含まれています。

f [エクステンション (Extension)]：詳細なモニターパラメータを key=value ペアとして [エクステンショ





注： eregi、regex または ereg で、文字列に { } と “ が含まれている場合は、JSON 形式の文字列を解

析する前に \ 文字を追加する必要があります。JSON 形式の例：検証応答に "{"Healthy":true}": eregi="\{\"Healthy\":true\}" が含まれています。

表 16-2. HTTP/HTTPS プロトコルのエクステンション


no-body ドキュメントの本文を待たない：ヘッダの読み込み後に処理を停止

します。それでも、HEAD ではなく、HTTP GET や POST を実

行することに注意してください。

ssl-version=3 SSLv3 を使用する SSL ハンドシェイクを強制的に実行します。

健全性チェックオプションで、SSLv3 と TLSv1 はデフォルトで

無効になっています。

ssl-version=10 TLS 1.0 を使用する SSL ハンドシェイクを強制的に実行します。



max-age=SECONDS ドキュメントが SECONDS より古い場合は警告します。数値は、

分の場合は 10m、時間の場合は 10h、日の場合は 10d の書式で指

定することもできます。

content-type=STRING POST 呼び出しでの Content-Type ヘッダーのメディアタイプ

を指定します。

linespan 正規表現で改行記号を許可します（-r または -R より前に指定する

必要があります）。

regex=STRING または ereg=STRING 正規表現の文字列をページで検索します。

eregi=STRING 正規表現の文字列をページで検索します（大文字小文字は区別され

ません）。


n 検証応答には、"OK1" または "OK2": eregi="(OK1|OK2)" が含まれています。

n 検証応答に "{"Healthy":true}": eregi="{\"Healthy\":true}" が含まれています。

invert-regex 見つかれば CRITICAL を返し、見つからなければ OK を返します。

NSX 管理ガイド

VMware, Inc. 326

表 16-2. HTTP/HTTPS プロトコルのエクステンション（続き）


proxy-authorization=AUTH_PAIR 基本認証を使用しているプロキシサーバ上のユーザー名：パスワー

ド。

useragent=STRING User Agent として、HTTP ヘッダで送信される文字列。

header=STRING HTTP ヘッダで送信されるその他のタグ。追加のヘッダで複数回

使用できます。


header="Host: app1.xyz.com

onredirect=ok|warning|critical|follow|sticky|stickyport リダイレクトページの処理方法。sticky は follow に似ていま

すが、指定された IP アドレスと連携します。stickyport ではさ

らに、ポートが同じであることを確認します。

pagesize=INTEGER:INTEGER 必要な最小ページサイズ（バイト）：必要な最大ページサイズ（バ

イト）。

warning=DOUBLE 警告ステータスになる応答時間（秒）

critical=DOUBLE 重大ステータスになる応答時間（秒）

expect = STRING コンマ区切りの文字列のリストで、少なくともそのうちの 1 つがサ

ーバ応答の最初の（ステータス）行に来ることを想定します（デフ

ォルトは HTTP/1 です。指定した場合、その他すべてのステータス

行のロジック（3xx、4xx、5xx 処理など）はスキップされます）

string = STRING コンテンツに想定される文字列。

url = PATH GET または POST を実行する URL（デフォルトは「/」）。

post = STRING HTTP POST データをエンコードする URL。

method = STRING HTTP メソッド（HEAD、OPTIONS、TRACE、PUT、DELETE など）を設定します。

timeout = INTEGER 接続がタイムアウトになるまでの秒数（デフォルトは 10 秒）。

header=Host:host_name -H host_name --sni host_name は、有効なホスト名またはホストの FQDN です。

仮想ホストごとに個別のサービスモニターを作成し、各サービス

モニターにサーバ名表示 (SNI) 拡張機能を追加します。

表 16-3. HTTPS プロトコルのエクステンション


certificate=INTEGER 証明書の最小有効期間（日数）。ポート番号のデフォルトは 443 です。このオプションを使用すると、URL はチェックされません。

authorization=AUTH_PAIR 基本認証を使用しているサイト上のユーザー名：パスワード。

ciphers=’ECDHE-RSA-AES256-GCM-SHA384’ HTTPS 健全性チェックで使用される暗号を表示します。

NSX 管理ガイド

VMware, Inc. 327

14 モニタータイプとして [UDP] を選択する場合は、次の手順を実行します。

a [送信 (Send)]（必須）：接続が確立された後でバックエンドサーバに送信する文字列を入力します。

b [受信 (Receive)]（必須）：バックエンドサーバから受信する文字列を入力します。受信した文字列がこの

定義と一致する場合にのみ、サーバが稼動状態と見なされます。

注： UDP モニターではエクステンションがサポートされません。

15 モニタータイプとして [DNS] を選択する場合は、次の手順を実行します。

a [送信 (Send)]（必須）：接続が確立された後でバックエンドサーバに送信する文字列を入力します。

b [受信 (Receive)]：バックエンドサーバから受信する文字列を入力します。受信した文字列がこの定義と一

致する場合にのみ、サーバが稼動状態と見なされます。

c [エクステンション (Extension)]：詳細なモニターパラメータを key=value ペアとして [エクステンショ



テータスが警告に設定されます。このモニタータイプは、TCP プロトコルのみをサポートします。


表 16-4. DNS プロトコルの拡張機能


querytype=TYPE オプション：DNS レコードのクエリの種類。TYPE =A, AAAA, SRV, TXT, MX, CNAME, ANY

n A=IPv4 ホストアドレス

n AAAA = IPv6 ホストアドレス

n SRV = サービスロケータ

n TXT = テキストレコード

n MX = ドメインレコードのメール交換

n CNAME = エイリアスレコードの正規名

デフォルトのクエリタイプは A です。

expect-authority オプション：DNS サーバで検索が許可されている必要があります。

accept-cname オプション：クエリに有効な結果として、cname 応答を受け入れま

す。querytype=CNAME と一緒に使用します。

デフォルトでは、結果の一部として、cname 応答を無視します。

warning=seconds オプション：指定した時間が経過すると、警告メッセージを返します。

デフォルトでは、オフに設定されています。

critical=seconds オプション：指定した時間が経過すると、重大メッセージを返します。

デフォルトでは、オフに設定されています。

16 モニタータイプとして [MSSQL] を選択する場合は、次の手順を実行します。

a [送信 (Send)]：接続が確立された後でバックエンドサーバに実行される文字列を入力します。

b [受信 (Receive)]：バックエンドサーバから受信する文字列を入力します。受信した文字列がこの定義と一

致する場合にのみ、サーバが稼動状態と見なされます。

NSX 管理ガイド

VMware, Inc. 328

c [ユーザー名 (User Name)]、[パスワード (Password)]、[パスワードの確認 (Confirm password)]（必

須）：必要なユーザー名とパスワードを入力し、確認のため、パスワードを再度入力します。監視はプールに

関連付けられています。ここで指定したユーザー名とパスワードを使用して、プール内に MSSQL サーバを

設定する必要があります。

d [エクステンション (Extension)]：詳細なモニターパラメータを key=value ペアとして [エクステンショ





表 16-5. MSSQL プロトコルの拡張機能


database=DBNAME オプション：接続先のデータベース名。

Send または storedproc パラメータを使用する場合、このエクステ

ンションは必須です。

storedproc=STOREPROC オプション：MSSQL サーバに実行されるストアドプロシージャ

17 モニタータイプとして [LDAP] を選択する場合は、次の手順を実行します。

a [パスワード (Password)] と [パスワードの確認 (Confirm password)]（オプション）：必要なパスワー

ドを入力し、確認のため、パスワードを再度入力します。

b [エクステンション (Extension)]：詳細なモニターパラメータを key=value ペアとして [エクステンショ





表 16-6. LDAP プロトコルの拡張機能


attr=’ATTR’ オプション：検索する LDAP 属性 (default: ‘(objectclass=*)’

crit-entires 範囲と attr を使用する必要があります。

base=’cn=admin,dc=example,dc=com’ 必須：LDAP ベース（例: ou=my unit, o=my org, c=at）

ver2 または ver3 オプション：

n ver2：LDAP プロトコルバージョン 2 を使用します。

n ver3：LDAP プロトコルバージョン 3 を使用します。

デフォルトのプロトコルバージョンは、ver2 です。

bind=BINDDN オプション：LDAP バインドの識別名 (DN)（必要な場合）。

詳細については、https://www.ldap.com/the-ldap-bind-operation を参照してください。

NSX 管理ガイド

VMware, Inc. 329

https://www.ldap.com/the-ldap-bind-operation

https://www.ldap.com/the-ldap-bind-operation

表 16-6. LDAP プロトコルの拡張機能（続き）


crit=DOUBLE オプション：ステータスが重大になる応答時間（秒）

crit-entries=low:high オプション：ステータスが重大になってしまうエントリ数。

見つかったエントリ数が範囲（[低]、[高]）外の場合、健全性チェック

のステータスが重大になります。


次のステップ

サービスモニターとプールを関連付けます。

サーバプールの追加

サーバプールを追加すると、バックエンドサーバを柔軟かつ効率的に管理、共有することができますサーバプール

はロードバランサの分散方法を管理するもので、サービスモニターで健全性チェックパラメータを確認できます。

手順




4 [管理 (Manage)] - [ロードバランサ (Load Balancer)] - [プール (Pools)] の順にクリックします。


6 ロードバランサプールの名前と説明を入力します。

7 有効にしたサービスごとにアルゴリズム調整方法を選択できます。


IP-HASH 送信元 IP アドレスのハッシュ、および実行されているすべてのサーバの重みの合計に基づい

て、サーバを選択します。

このオプションでは、アルゴリズムのパラメータは無効になります。

LEASTCONN サーバの既存の接続数に基づいて、クライアント要求を複数のサーバに配信します。

新しい接続は、接続数が最も少ないサーバに送信されます。


ROUND_ROBIN 各サーバは、割り当てられている重みに従って順番に使用されます。

これは、サーバの処理時間が等分されたままになる場合に、最も円滑で公平なアルゴリズムで

す。


NSX 管理ガイド

VMware, Inc. 330


URI URI の左側の部分 (疑問符の前の部分) がハッシュされ、実行中のサーバの合計重みによって

除算されます。

結果により、要求を受信するサーバが指定されます。これにより、サーバが起動したり停止し

たりしない限り、URI がいつも同じサーバに送信されるようにします。

URI アルゴリズムパラメータには 2 つのオプション（uriLength=<len> 、

uriDepth=<dep>）があります。長さのパラメータの範囲は 1<=len<256 です。深さのパ

ラメータの範囲は 1<=dep<10 です。

長さと深さのパラメータには、正の整数が続きます。これらのオプションでは、URI の最初の

部分のみに基づいてサーバの調整を行うことができます。長さのパラメータは、アルゴリズム

が URI の最初の部分に定義された文字だけを対象としてハッシュを計算することを示します。

深さのパラメータは、ハッシュの計算に使用されるディレクトリの最大の深さを示します。要

求に含まれる各スラッシュが 1 つのレベルとして数えられます。両方のパラメータが指定され

ている場合は、いずれかのパラメータに達したときに評価が停止します。

HTTPHEADER 各 HTTP 要求で HTTP ヘッダー名の検索が行われます。

かっこで囲まれたヘッダー名は、ACL の hdr() 関数と同様に大文字と小文字が区別されませ

ん。ヘッダーがない、または値を含んでいない場合は、ラウンドロビンアルゴリズムが適用

されます。

HTTPHEADER アルゴリズムパラメータのオプションは 1 つ (headerName=<name>) です。たとえば、host を HTTPHEADER アルゴリズムパラメータとして使用できます。

URL 引数に指定される URL パラメータは、各 HTTP GET 要求のクエリ文字列内で検索されま

す。

パラメータの後ろに等号の = と値が続く場合、その値がハッシュされ、実行されるサーバの重

みの合計で割られます。結果により、要求を受信するサーバが指定されます。このプロセスを

使用して要求に含まれるユーザー ID が追跡され、サーバの起動または停止が起こらない限り、

常に同じユーザー ID が同じサーバに送信されます。

値またはパラメータが検出されない場合は、ラウンドロビンアルゴリズムが適用されます。

URL アルゴリズムパラメータのオプションは 1 つ (urlParam=<url>) です。

8 （オプション） [モニター (Monitors)] ドロップダウンメニューから、既存のデフォルトまたはカスタムのモニ

ターを選択します。

9 （オプション）プールに IP トラフィックのタイプを選択します。デフォルトは、任意の IP トラフィックです。

10 バックエンドサーバがクライアント IP アドレスを認識できるようにするには、[透過的 (Transparent)] オプ

ションを有効にします。詳細については、16 章論理ロードバランサを参照してください。

デフォルト値である [透過的] を選択しないと、バックエンドサーバは、トラフィックの送信元の IP アドレスを

ロードバランサの内部 IP アドレスと認識します。[透過的] を選択する場合、送信元の IP アドレスは実際のク

ライアント IP アドレスになり、戻りパケットに NSX Edge デバイスを経由させるには、NSX Edge をデフォ

ルトゲートウェイとして設定する必要があります。

NSX 管理ガイド

VMware, Inc. 331

11 メンバーをプールに追加します。


b サーバメンバーの名前と IP アドレスを入力するか、または [選択 (Select)] をクリックしてグループオブ

ジェクトを割り当てます。

注： IP アドレスではなくグループオブジェクトを使用する場合は、各仮想マシンに VMware Tools がインストールされているか、有効な IP アドレス検出方法（DHCP スヌーピング、ARP スヌーピング、ま

たはその両方）が設定されている必要があります。詳細については、仮想マシンの IP アドレス検出を参照


グループオブジェクトは、vCenter Server または NSX のいずれかになります。

c メンバーのステータスとして [有効 (Enable)]、[無効 (Disable)]、または [ドレイン (Drain)] を選択しま

す。

n [ドレイン (Drain)] - メンテナンスのため、サーバを正常な手順で強制的にシャットダウンします。プ

ールメンバーを「ドレイン」に設定すると、ロードバランシングからバックエンドサーバが削除され

ますが、このサーバは、クライアントのパーシステンス用の既存または新規の接続に使用できます。ド

レイン状態で動作するパーシステンスは、送信元の IP アドレスのパーシステンス、Cookie の挿入、

Cookie へのプリフィックスの追加です。

注： [アクセラレーションの有効化 (Enable Acceleration)] が設定されている NSX Edge ロード

バランサでは、ドレイン状態を有効にできません。詳細についてはロードバランササービスの設定を


注： NSX Edge で高可用性設定を有効にして無効にすると、送信元 IP アドレスのセッション維持で

は、セッション維持とドレイン状態が解除されます。

n [有効 (Enable)] - サーバがメンテナンスモードから運用モードに切り替わります。プールメンバー

の状態は、[ドレイン (Drain)] または [無効 (Disabled)] である必要があります。

n [無効 (Disable)] - サーバはメンテナンスモードのままになります。

注：プールメンバーの状態を [無効 (Disabled)] から [ドレイン (Drain)] には変更できません。

d メンバーがトラフィックを受信するポートと、メンバーが健全性を監視する ping を受信する監視ポートを

入力します。

関連する仮想サーバにポート範囲が設定されている場合、ポートの値は Null になります。

e [重み] に、このメンバーが処理できるトラフィックの割合を入力します。

f メンバーが処理できる最大同時接続数を入力します。

受信要求は、最大数を超えるとキューに入れられ、接続が解放されるまで待機します。

g メンバーが常に受け入れる最小同時接続数を入力します。

h [OK] をクリックします。


NSX 管理ガイド

VMware, Inc. 332

アプリケーションプロファイルの作成

アプリケーションプロファイルを使用すると、ネットワークトラフィックの管理機能を強化し、トラフィック管理

タスクをより簡単に、効率的に行うことができます。

特定のタイプのネットワークトラフィックの動作を定義するには、アプリケーションプロファイルを作成します。

プロファイルを設定したら、仮想サーバに関連付けます。関連付けられた仮想サーバは、プロファイルに指定された

値に従ってトラフィックを処理します。

次のトピックでは、さまざまなアプリケーションプロファイルタイプを作成する手順について説明します。

n TCP または UDP アプリケーションプロファイルの作成

TCP または UDP トラフィックを分散するアプリケーションプロファイルを作成するには、プロファイルに名

前とパーシステンスのタイプを指定します。

n HTTP アプリケーションプロファイルの作成

HTTP トラフィックを分散するアプリケーションプロファイルを作成するには、プロファイルに名前、HTTP リダイレクト URL、パーシステンスのタイプを指定します。X-forwarded-for-HTTP ヘッダーを挿入するこ

ともできます。

n HTTPS アプリケーションプロファイルの作成

SSL パススルー、HTTPS オフロード、HTTPS End-To-End の 3 種類の HTTPS トラフィックに、HTTPS アプリケーションプロファイルを作成できます。アプリケーションプロファイルを作成するワークフローは、

HTTPS トラフィックのタイプによって異なります。

TCP または UDP アプリケーションプロファイルの作成

TCP または UDP トラフィックを分散するアプリケーションプロファイルを作成するには、プロファイルに名前と

パーシステンスのタイプを指定します。

手順




4 [管理 (Manage)] - [ロードバランサ (Load Balancer)] - [アプリケーションプロファイル (Application Profiles)] の順にクリックします。


[新しいアプリケーションプロファイル] ウィンドウが開きます。

NSX 管理ガイド

VMware, Inc. 333

6 アプリケーションプロファイルのパラメータを指定します。

a プロファイルのタイプ（TCP または UDP）を選択します。

b アプリケーションプロファイルの名前を入力します。

c パーシステンスのタイプを選択します。

セッション維持の設定により、クライアント要求を処理した特定のプールメンバーなど、セッションデー

タが追跡されて保存されます。また、同じセッションまたは後続のセッションでは、クライアント要求が同

じプールメンバーにリダイレクトされます。

パーシステンス説明

送信元 IP アドレスこのパーシステンスタイプは、送信元の IP アドレスに基づいてセッションを追跡します。

クライアントが、送信元の IP アドレスのパーシステンスをサポートしている仮想サーバへ

の接続を要求すると、ロードバランサは、以前に接続したクライアントかどうかを確認し

ます。接続している場合、ロードバランサは同じプールメンバーにクライアントを返しま

す。

MSRDP このパーシステンスタイプは、Windows クライアントと、Microsoft Remote Desktop Protocol (RDP) サービスが実行されているサーバ間の永続セッションを維持

します。

たとえば、MSRDP パーシステンスを有効にすると、Windows Server 2003 または

Windows Server 2008 を実行しているメンバーで構成されるロードバランシングプールが作成されます。このシナリオでは、すべてのメンバーが Windows クラスタに属

し、Windows セッションのディレクトリに参加します。

このパーシステンスタイプは、TCP アプリケーションプロファイルでのみ使用できます。


HTTP アプリケーションプロファイルの作成

HTTP トラフィックを分散するアプリケーションプロファイルを作成するには、プロファイルに名前、HTTP リダ

イレクト URL、パーシステンスのタイプを指定します。X-forwarded-for-HTTP ヘッダーを挿入することもでき

ます。

手順







NSX 管理ガイド

VMware, Inc. 334

6 アプリケーションプロファイルのプロパティを指定します。

a プロファイルのタイプとして [HTTP] を選択します。

b アプリケーションプロファイルの名前を入力します。

c HTTP トラフィックのリダイレクト先となる URL を入力します。

たとえば、トラフィックを http://myweb.com から https://myweb.com に転送できます。

d パーシステンスのタイプを選択します。

セッション維持の設定により、クライアント要求を処理した特定のプールメンバーなど、セッションデー

タが追跡されて保存されます。また、同じセッションまたは後続のセッションでは、クライアント要求が同

じプールメンバーにリダイレクトされます。


送信元 IP このパーシステンスタイプは、送信元の IP アドレスに基づいてセッションを追跡します。

クライアントが、送信元の IP アドレスのパーシステンスをサポートしている仮想サーバへ

の接続を要求すると、ロードバランサは、以前に接続したクライアントかどうかを確認し

ます。接続している場合、ロードバランサは同じプールメンバーにクライアントを返しま

す。

Cookie このパーシステンスタイプは、クライアントで特定のサイトに初めてアクセスするときに

一意の Cookie を挿入し、セッションを識別できるようにします。

その後の要求で Cookie が参照され、適切なサーバへの接続が維持されます。

7 Cookie パーシステンスタイプを選択した場合、Cookie 名を入力して、Cookie を挿入するモードを選択しま

す。それ以外の場合は、次の手順に進みます。

モード説明

挿入 NSX Edge が Cookie を送信します。

サーバが 1 つ以上の Cookie を送信すると、クライアントはもう 1 つ Cookie（サーバの

Cookie と Edge の Cookie）を受信します。サーバが Cookie を送信しない場合は、クラ

イアントは Edge の Cookie を受信します。

プリフィックスクライアントが複数の Cookie をサポートしていない場合は、このモードを選択します。

すべてのブラウザは、複数の Cookie を受け付けます。1 つの Cookie のみをサポートする専

用クライアントを使用するアプリケーションがある場合、Web サーバはその Cookie を通常

どおり送信します。NSX Edge は、サーバの Cookie 値のプリフィックスとして Cookie 情報を挿入します。この追加された Cookie の情報は、Edge がサーバに送信したときに削除

されます。

アプリケーションセッションこのモードの場合、アプリケーションは仮想サーバによって追加（挿入）された新しい Cookie をサポートしません。また、変更後の Cookie（プリフィックス）もサポートしません。

仮想サーバは、バックエンドサーバによって挿入された Cookie を学習します。クライアン

トがその Cookie を送信すると、仮想サーバは、同じバックエンドサーバにクライアント要

求を転送します。トラブルシューティングのために、アプリケーションのセッション維持テー

ブルを見ることはできません。

8 （オプション）ロードバランサを介して Web サーバに接続するクライアントの送信元の IP アドレスを特定す

るには、[X-Forwarded-For HTTP ヘッダーの挿入 (Insert X-Forwarded-For HTTP header)] オプショ

ンを有効にします。

NSX 管理ガイド

VMware, Inc. 335


HTTPS アプリケーションプロファイルの作成

SSL パススルー、HTTPS オフロード、HTTPS End-To-End の 3 種類の HTTPS トラフィックに、HTTPS アプ

リケーションプロファイルを作成できます。アプリケーションプロファイルを作成するワークフローは、HTTPS トラフィックのタイプによって異なります。

注： n NSX 6.4.5 以降では、[アプリケーションプロファイルタイプ (Application Profile Type)] ドロップダウン

メニューから、3 つの HTTPS トラフィックタイプごとにプロファイルの作成オプションを選択できます。

n NSX 6.4.4 以前では、[タイプ (Type)] ドロップダウンメニューで HTTPS オプションのみを選択できます。

3 つの HTTPS トラフィックタイプごとにプロファイルを作成するには、適切なプロファイルパラメータを指

定する必要があります。

n NSX ロードバランサは、プロキシ SSL パススルーをサポートしていません。

NSX 6.4.5 以降では、UI に表示される HTTPS プロファイルパラメータの名称が一部変更されています。次の表

に、変更内容を示します。

NSX 6.4.4 以前 NSX 6.4.5 以降

仮想サーバ証明書クライアント SSL

プール証明書サーバ SSL

次の表に、3 つの HTTPS トラフィックタイプを示します。

表 16-7. HTTPS トラフィックタイプ

HTTPS トラフィックタイプ説明

SSL パススルー SSL 属性に関連するアプリケーションルールは、ロードバランサでの SSL ターミネーションを行わずに

許可されます。

トラフィックパターン：クライアント -> HTTPS -> LB（SSL パススルー）-> HTTPS -> サーバ

HTTPS のオフロード HTTP ベースのロードバランシングが発生します。ロードバランサで SSL が終了します。ロードバラ

ンサとサーバプール間で HTTP が使用されます。

トラフィックパターン：クライアント -> HTTPS -> LB（SSL 終了）-> HTTP -> サーバ

HTTPS End-To-End HTTP ベースのロードバランシングが発生します。ロードバランサで SSL が終了します。ロードバラ

ンサとサーバプール間で HTTPS が使用されます。

トラフィックパターン：クライアント -> HTTPS -> LB（SSL 終了）-> HTTPS -> サーバ

次の表に、HTTPS トラフィックタイプでサポートされるパーシステンスを示します。

NSX 管理ガイド

VMware, Inc. 336

表 16-8. サポートされているパーシステンスのタイプ


送信元 IP このパーシステンスタイプは、送信元の IP アドレスに基づいてセッションを追跡します。

クライアントが、送信元の IP アドレスのパーシステンスをサポートしている仮想サーバへの接続を要求す

ると、ロードバランサは、以前に接続したクライアントかどうかを確認します。接続している場合、ロード

バランサは同じプールメンバーにクライアントを返します。

SSL セッション ID このパーシステンスタイプは、SSL パススルートラフィックタイプのプロファイルを作成するときに使用

できます。

SSL セッション ID パーシステンスにより、同じクライアントからの接続が常に同じサーバに送信されま

す。セッション ID のパーシステンスにより、SSL セッションの再開が可能になるため、クライアントとサ

ーバの両方の処理時間を節約できます。

Cookie このパーシステンスタイプは、クライアントで特定のサイトに初めてアクセスするときに一意の Cookie を挿入し、セッションを識別できるようにします。

その後の要求で Cookie が参照され、適切なサーバへの接続が維持されます。

[送信元の IP アドレス (Source IP)] と [SSL セッション ID (SSL Session ID)] パーシステンスタイプの場合、パ

ーシステンスの有効期限を秒単位で入力できます。パーシステンスの有効期間のデフォルトは 300 秒（5 分）です。

注意: パーシステンステーブルのサイズには制限があります。トラフィックが集中している場合、タイムアウト値

を大きくすると、パーシステンステーブルがすぐにいっぱいになる可能性があります。パーシステンステーブルが

いっぱいになると、新しいエントリを受け入れるため、最も古いエントリが削除されます。

ロードバランサのセッション維持のテーブルには、同じプールメンバーにクライアント要求が転送されたことを記

録したエントリが維持されます。

n タイムアウト期間内に同じクライアントから新しい接続要求を受信しなかった場合、パーシステンスのエントリ

は期限切れになり、削除されます。

n タイムアウト期間内に同じクライアントからの新しい接続要求を受信した場合、タイマーがリセットされ、クラ

イアント要求がスティッキープールメンバーに送信されます。

n タイムアウト期間が経過すると、ロードバランシングアルゴリズムで割り当てられたプールメンバーに新しい

接続要求が送信されます。

L7 ロードバランシングの TCP で、送信元 IP アドレスによるパーシステンスを使用するシナリオでは、一定期間に

新規の TCP 接続がない場合、接続が継続中であってもパーシステンスエントリがタイムアウトします。

次の表に、SSL または TLS ハンドシェイク中にセキュリティ設定のネゴシエーションで使用できる承認済みの暗号

スイートを示します。

表 16-9. 承認済みの暗号スイート

暗号の値暗号の名前

DEFAULT DEFAULT

ECDHE-RSA-AES128-GCM-SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

ECDHE-RSA-AES256-GCM-SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

ECDHE-RSA-AES256-SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

ECDHE-ECDSA-AES256-SHA TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

NSX 管理ガイド

VMware, Inc. 337

表 16-9. 承認済みの暗号スイート（続き）

暗号の値暗号の名前

ECDH-ECDSA-AES256-SHA TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA

ECDH-RSA-AES256-SHA TLS_ECDH_RSA_WITH_AES_256_CBC_SHA

AES256-SHA TLS_RSA_WITH_AES_256_CBC_SHA

AES128-SHA TLS_RSA_WITH_AES_128_CBC_SHA

DES-CBC3-SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

ECDHE-RSA-AES128-SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

ECDHE-RSA-AES128-SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

ECDHE-RSA-AES256-SHA384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

AES128-SHA256 TLS_RSA_WITH_AES_128_CBC_SHA256

AES128-GCM-SHA256 TLS_RSA_WITH_AES_128_GCM_SHA256

AES256-SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256

AES256-GCM-SHA384 TLS_RSA_WITH_AES_256_GCM_SHA384

次の手順では、3 つの HTTPS トラフィックタイプごとにアプリケーションプロファイルを作成する手順について

説明します。

手順







NSX 管理ガイド

VMware, Inc. 338

6 アプリケーションプロファイルのパラメータを指定します。

[SSL パススルー (SSL Passthrough)] トラフィックタイプの手順。

NSX のバージョン手順

6.4.5 以降 a [アプリケーションプロファイルタイプ (Application Profile Type)] ドロップダウ

ンメニューで、[SSL パススルー (SSL Passthrough)] を選択します。

b プロファイルの名前を入力します。

c パーシステンスのタイプを選択します。

d パーシステンスの有効期間を入力します。

e [追加 (Add)] をクリックします。

6.4.4 以前 a プロファイルの名前を入力します。

b [タイプ (Type)] ドロップダウンメニューで、[HTTPS] を選択します。

c [SSL パススルーの有効化 (Enable SSL Passthrough)] チェックボックスを選択し

ます。


e パーシステンスの有効期間を入力します。

f [OK] をクリックします。

NSX 管理ガイド

VMware, Inc. 339

[HTTPS のオフロード (HTTPS Offloading)] トラフィックタイプの手順。



ンメニューで、[HTTPS のオフロード (HTTPS Offloading)] を選択します。


c HTTP トラフィックのリダイレクト先となる URL を入力します。


n Cookie パーシステンスの場合、Cookie 名を入力して、Cookie の挿入モードを選

択します。Cookie モードの詳細については、HTTP アプリケーションプロファイ

ルの作成を参照してください。

n 送信元の IP アドレスパーシステンスの場合、パーシステンスの有効期間を入力しま

す。

e オプション：ロードバランサを介して Web サーバに接続するクライアントの送信元の

IP アドレスを特定するには、[X-Forwarded-For HTTP ヘッダーの挿入 (Insert X-Forwarded-For HTTP header)] オプションを有効にします。

f [クライアント SSL (Client SSL)] タブをクリックします。

g SSL ハンドシェイクで使用する 1 つ以上の暗号アルゴリズムまたは暗号スイートを選択

します。承認済みの暗号に 1024 ビット以上の DH キーが含まれていることを確認しま

す。

h クライアント認証を無視するか、必須にするかを指定します。必須の場合、要求またはハ

ンドシェイクが中止された後に、クライアントが証明書を提供する必要があります。

i 必要なサービス証明書と認証局 (CA) 証明書を選択します。また、ロードバランサでクラ

イアントから HTTPS トラフィックを終了する場合にプロファイルが使用する CRL を選択します。

j [追加 (Add)] をクリックします。



c NSX 6.4.5 以降で次のアプリケーションプロファイルパラメータを定義する場合は、こ

の表の手順に従います。

n HTTP リダイレクト URL

n パーシステンス

n X-Forwarded-For HTTP ヘッダーの挿入

d [仮想サーバ証明書 (Virtual Server Certificates)] タブをクリックします。

e NSX 6.4.5 以降で暗号アルゴリズムとクライアント認証を定義する場合は、この表の手

順に従います。

f [サービス証明書の設定 (Configure Service Certificates)] をクリックします。必要

なサービス証明書と認証局 (CA) 証明書を選択します。また、ロードバランサでクライア

ントから HTTPS トラフィックを終了する場合にプロファイルが使用する CRL を選択

します。

g [OK] をクリックします。

[HTTPS End-to-End] トラフィックタイプの手順。

このアプリケーションプロファイルタイプでは、クライアント SSL（仮想サーバの証明書）のパラメータとサ

ーバ SSL（プール側の SSL）のパラメータの両方を指定します。

NSX 管理ガイド

VMware, Inc. 340

サーバ SSL パラメータは、サーバ側からロードバランサの認証を行う場合に使用されます。Edge ロードバラ

ンサに認証局 (CA) 証明書があり、CRL が設定済みで、ロードバランサがバックエンドサーバからのサービス

証明書を確認する必要がある場合は、サービス証明書を選択します。バックエンドサーバでロードバランサの

サービス証明書を確認する必要がある場合は、ロードバランサの証明書をバックエンドサーバに提供すること

もできます。



ンメニューで、[HTTPS End-to-End] を選択します。


c HTTPS のオフロードプロファイルを作成して、次のアプリケーションプロファイルパラメータを定義する場合は、この表の手順に従います。




n クライアント SSL：暗号アルゴリズム、クライアント認証、サービス証明書、認証局

(CA) 証明書、CRL

d [サーバ SSL (Server SSL)] タブをクリックして、暗号化アルゴリズム、必要なサービ

ス証明書、認証局 (CA) 証明書、CRL を選択して、サーバ側からロードバランサの認証

を行います。

e [追加 (Add)] をクリックします。



c HTTPS のオフロードプロファイルを作成して、次のアプリケーションプロファイルパラメータを定義する場合は、この表の手順に従います。




n 仮想サーバ証明書：暗号アルゴリズム、クライアント認証、サービス証明書、認証局

(CA) 証明書、CRL

d [プール側の SSL の有効化 (Enable Pool Side SSL)] チェックボックスを選択して、

ロードバランサとバックエンドサーバの間の HTTPS 通信を有効にします。

e 暗号化アルゴリズムと必要なサービス証明書、認証局 (CA) 証明書、CRL を選択して、

サーバ側からロードバランサの認証を行います。

f [OK] をクリックします。

アプリケーションルールの追加

アプリケーショントラフィックの操作と管理に HAProxy 構文を使用して、仮想サーバ側のアプリケーションルー

ルを作成できます。

NSX Data Center では、仮想サーバ側のアプリケーションルールのみがサポートされます。NSX ロードバラン

サは内部で HAProxy を使用します。これは、仮想サーバに追加するアプリケーションルールが、HAProxy 設定

ファイルの仮想サーバの frontend セクションに挿入されることを意味します。プール側のアプリケーションルー

ル（HAProxy の backend セクション）はサポートされていません。

アプリケーションルールの構文の詳細については、http://cbonte.github.io/haproxy-dconv/にある HAProxy のドキュメントを参照してください。

NSX 管理ガイド

VMware, Inc. 341

http://cbonte.github.io/haproxy-dconv/

よく使用されるアプリケーションルールの例については、アプリケーションルールの例を参照してください。

手順




4 [管理 (Manage)] - [ロードバランサ (Load Balancer)] - [アプリケーションルール (Application Rules)] の順にクリックします。


6 ルールの名前とスクリプトを入力します。


アプリケーションルールの例

一般的なアプリケーションルールは次のとおりです。

条件に基づく HTTP/HTTPS のリダイレクト

アプリケーションプロファイルでは、要求 URL に関係なく常にトラフィックをリダイレクトする、HTTP/HTTPS のリダイレクトを指定できます。また、HTTP/HTTPS トラフィックをリダイレクトする条件を柔軟に指定できま

す。

move the login URL only to HTTPS.

acl clear dst_port 80

acl secure dst_port 8080

acl login_page url_beg /login

acl logout url_beg /logout

acl uid_given url_reg /login?userid=[^&]+

acl cookie_set hdr_sub(cookie) SEEN=1

redirect prefix https://mysite.com set-cookie SEEN=1 if !cookie_set

redirect prefix https://mysite.com if login_page !secure

redirect prefix http://mysite.com drop-query if login_page !uid_given

redirect location http://mysite.com/ if !login_page secure

redirect location / clear-cookie USERID= if logout

ドメイン名によるルーティング

ドメイン名に応じて要求を特定のロードバランサプールにダイレクトするアプリケーションルールを作成できま

す。次のルールは、foo.com への要求を pool_1 に、bar.com への要求を pool_2 にダイレクトします。

acl is_foo hdr_dom(host) -i foo

acl is_bar hdr_dom(host) -i bar

use_backend pool_1 if is_foo

use_backend pool_2 if is_bar

NSX 管理ガイド

VMware, Inc. 342

Microsoft RDP のロードバランシングおよび保護

次のサンプルシナリオでは、ロードバランサが負荷の少ないサーバに新しいユーザーを分散し、切断されたセッシ

ョンを再開します。このシナリオでは、NSX Edge の内部インターフェイス IP アドレスが 10.0.0.18、内部インタ

ーフェイス IP アドレスが 192.168.1.1、仮想サーバが 192.168.1.100、192.168.1.101、192.168.1.102 になります。

1 MSRDP セッション維持を含む TCP トラフィックのアプリケーションプロファイルを作成します。

2 TCP 健全性モニター (tcp_monitor) を作成します。

3 192.168.1.100:3389、192.168.1.101:3389、192.168.1.102:3389 をメンバーとする（rdp-pool という名前

の）プールを作成します。

4 tcp_monitor を rdp-pool に関連付けます。

5 次のアプリケーションルールを作成します。

tcp-request content track-sc1 rdp_cookie(mstshash) table rdp-pool

tcp-request content track-sc2 src table ipv4_ip_table

# each single IP can have up to 2 connections on the VDI infrastructure

tcp-request content reject if { sc2_conn_cur ge 2 }

# each single IP can try up to 5 connections in a single minute

tcp-request content reject if { sc2_conn_rate ge 10 }

# Each user is supposed to get a single active connection at a time, block the second one

tcp-request content reject if { sc1_conn_cur ge 2 }

# if a user tried to get connected at least 10 times over the last minute,

# it could be a brute force

tcp-request content reject if { sc1_conn_rate ge 10 }

6 （rdp-vs という名前の）仮想サーバを作成します。

7 アプリケーションプロファイルをこの仮想サーバに関連付け、手順 4 で作成したアプリケーションルールを追

加します。

仮想サーバで新規に適用されるアプリケーションルールは、RDP サーバを保護します。

高度なログ

NSX ロードバランサは、デフォルトで基本的なログ作成をサポートしています。トラブルシューティングで、より

詳細なログメッセージを表示するには、次のようなアプリケーションルールを作成します。

# log the name of the virtual server

capture request header Host len 32

# log the amount of data uploaded during a POST

capture request header Content-Length len 10

# log the beginning of the referrer

capture request header Referer len 20

# server name (useful for outgoing proxies only)

capture response header Server len 20

NSX 管理ガイド

VMware, Inc. 343

# logging the content-length is useful with "option logasap"

capture response header Content-Length len 10

# log the expected cache behaviour on the response

capture response header Cache-Control len 8

# the Via header will report the next proxy's name

capture response header Via len 20

# log the URL location during a redirection

capture response header Location len 20

アプリケーションルールを仮想サーバに関連付けると、ログには次の例のように、詳細なメッセージが記載されま

す。

2013-04-25T09:18:17+00:00 edge-187 loadbalancer[18498]: [org1]: 10.117.7.117 - - [25/Apr/

2013:09:18:16 +0000] "GET /favicon.ico HTTP/1.1" 404 1440 "" "" 51656 856 "vip-http-complete"

"pool-http-complete" "m2" 145 0 1 26 172 --NI 1 1 0 0 0 0 0 "" "" "10.117.35.187" "Mozilla/5.0

(Windows NT 6.1; WOW64) AppleWebKit/537.31

(KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31" "Apache/2.2.15 (Linux" ""

2013-04-25T09:18:17+00:00 edge-187 loadbalancer[18498]: [org1]: 10.117.7.117 - - [25/Apr/

2013:09:18:16 +0000] "GET /favicon.ico HTTP/1.1" 404 1440 "" "" 51657 856 "vip-http-complete"

"pool-http-complete" "m2" 412 0 0 2 414 --NI 0 0 0 0 0 0 0 "" "" "10.117.35.187" "Mozilla/5.0

(Windows NT 6.1; WOW64) AppleWebKit/537.31

(KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31" "Apache/2.2.15 (Linux" ""

HTTPS トラフィックのトラブルシューティングでは、複数のルールが必要になる場合があります。ほとんどの

Web アプリケーションでは、（通常、ログインまたは POST 呼び出しの後に）クライアントをページにリダイレク

トするロケーションヘッダの付いた 301/302 応答を使用します。また、アプリケーションの Cookie が必要です。

そのため、アプリケーションサーバがクライアントの接続情報を認識することが難しい場合や、適切に応答できない

場合があります。また、アプリケーションが機能しなくなる場合もあります。

Web アプリケーションで SSL オフロードをサポートするには、次のルールを追加します。

# See clearly in the log if the application is setting up response for HTTP or HTTPS

capture response header Location len 32

capture response header Set-Cookie len 32

# Provide client side connection info to application server over HTTP header

http-request set-header X-Forwarded-Proto https if { ssl_fc }

http-request set-header X-Forwarded-Proto http if !{ ssl_fc }

SSL 経由で接続される場合は、ロードバランサにより次のヘッダが挿入されます。

X-Forwarded-Proto: https

HTTP 経由で接続される場合は、ロードバランサにより次のヘッダが挿入されます。

X-Forwarded-Proto: http

NSX 管理ガイド

VMware, Inc. 344

特定の URL のブロック

URL に特定のキーワードが含まれる要求をブロックできます。次のサンプルルールは、要求が /private または /finance で始まるかどうかを確認して、これらのキーワードを含む要求をブロックします。

# Check if the request starts with "/private" or "/finance" (case insensitive)

acl block_url_list path_beg -i /private /finance

# If the request is part of the list forbidden urls,reply "Forbidden"(HTTP response code

403)

http-request deny if block_url_list

Cookie を含まない場合の認証への　HTTP リダイレクト

Cookie を含まないクライアント要求が認証を受けるようにリダイレクトできます。次のサンプルルールは、HTTP 要求が信頼できるものであり、Cookie をヘッダーに含んでいることを確認します。要求が Cookie を含まない場

合、ルールは要求が認証を受けるように /authent.php にリダイレクトします。

acl authent_url url /authent.php

acl cookie_present hdr_sub(cookie) cookie1=

redirect prefix /authent.php if !authent_url !cookie_present

デフォルトページへのリダイレクト

クライアント要求 / をデフォルトのページにリダイレクトできます。次のサンプルルールは、HTTP 要求が / であ

るかどうかを確認して、そのような要求をデフォルトのログインページにリダイレクトします。

acl default_url url /

redirect location /login.php if default_url

メンテナンスサイトへのリダイレクト

プライマリプールがダウンしているときに、メンテナンスサーバプールを使用して、URL をメンテナンス Web サイトにリダイレクトできます。

redirect location http://maitenance.xyz.com/maintenance.htm

NT LAN Manager (NTLM) 認証

デフォルトでは、NSX は各要求の後に TCP 接続をサーバ側で終了します。各要求の後にサーバセッションを終了

しないようにする場合、NTLM プロトコルを使用することで、サーバセッションを保持および保護できます。

no option http-server-close

デフォルトでは、NSX は各要求の間に確立された TCP 接続を、クライアント側で維持します。ただし「X-Forwarded-For」オプションが設定されている場合は、セッションは各要求の後に終了します。次のオプションで

は、XFF が設定されている場合でも、各要求間でクライアント接続が開かれた状態が維持されます。

no option httpclose

NSX 管理ガイド

VMware, Inc. 345

サーバヘッダーの置き換え

既存の応答サーバヘッダーを削除して、別のサーバに置き換えることができます。次のサンプルルールは、サーバ

ヘッダーを削除して NGINX Web サーバに置き換えます。NGINX Web サーバは、HTTP、HTTPS、SMTP、

POP3 および IMAP プロトコルのリバースプロキシサーバ、HTTP キャッシュ、およびロードバランサとして機

能することが可能です。

rspidel Server

rspadd Server:\ nginx

リダイレクトの書き換え

ロケーションヘッダーを HTTP から HTTPS に書き換えることができます。次のサンプルルールは、ロケーション

ヘッダーを特定して、HTTP を HTTP に置き換えます。

rspirep ^Location:\ http://(.*) Location:\ https://\1

ホストベースの特定プールの選択

特定のホストが指定された要求を、定義されたプールにリダイレクトできます。次のサンプルルールは、特定のホス

ト（app1.xyz.com、app2.xyz.com、host_any_app3）が指定された要求を確認して、これらの要求をそれぞ

れに定義されたプール（pool_app1、pool_app2、pool_app3）にリダイレクトします。その他すべての要求は、

仮想サーバに定義された既存のプールにリダイレクトされます。

acl host_app1 hdr(Host) -i app1.xyz.com

acl host_app2 hdr(Host) -i app2.xyz.com

acl host_any_app3 hdr_beg(host) -i app3

各ホスト名で特定のプールを使用します。

use_backend pool_app1 if host_app1

use_backend pool_app2 if host_app2

use_backend pool_app3 if host_any_app3

URL に基づく特定プールの選択

URL キーワードが指定された要求を、特定のプールにリダイレクトできます。次のサンプルルールは、要求が /private または /finance で始まるかどうかを確認して、これらの要求を定義されたプール（pool_private または

pool_finance）にリダイレクトします。その他すべての要求は、仮想サーバに定義された既存のプールにリダイレ

クトされます。

acl site_private path_beg -i /private

acl site_finance path_beg -i /finance

use_backend pool_private if site_private

use_backend pool_finance if site_finance

NSX 管理ガイド

VMware, Inc. 346

プライマリプールがダウンしている場合のリダイレクト

プライマリプールのサーバがダウンしている場合に、セカンダリプールのサーバを使用するようにユーザーをリダ

イレクトできます。次のサンプルルールは、pool_production がダウンしているかどうかを確認して、ユーザーを

pool_sorry_server に転送します。

acl pool_production_down nbsrv(pool_production) eq 0

use_backend pool_sorry_server if pool_production_down

TCP 接続のホワイトリスト

クライアント IP アドレスがサーバにアクセスしないようにブロックできます。次のサンプルルールでは、定義され

た IP アドレスをブロックし、クライアントの IP アドレスがホワイトリストに含まれていない場合に接続をリセット

します。

acl whitelist src 10.10.10.0 20.20.20.0

tcp-request connection reject if !whitelist

SSLv3 と TLSv1 を有効にする

デフォルトでは、SSLv3 と TLSv1 は無効に設定されているサービスモニターエクステンションです。次のアプリ

ケーションルールを使用して、これらを有効にすることができます。

sslv3 enable

tlsv1 enable

クライアントのセッションタイムアウト設定

セッションタイムアウトとは、クライアント接続が非アクティブ状態になった場合の最長期限のことです。非アクテ

ィブ状態のタイムアウトは、想定していたクライアントからのデータが確認または送信されない場合に適用されます。

HTTP モードでは、クライアントが要求を送信する最初の段階、およびサーバから送信されたデータをクライアント

が読み取る応答時に、このタイムアウトを考慮することが特に重要です。デフォルトのタイムアウトは、5 分間です。

次のサンプルルールでは、タイムアウト期間を 100 秒に設定します。

timeout client 100s

時間は、ミリ秒、秒、分、時間、または日を単位として整数で設定できます。

HTTPS サイトへのリダイレクト

HTTP にアクセスするクライアントを HTTPS の同じページにリダイレクトできます。

# Redirect all HTTP requests to same URI but HTTPS redirect scheme

https if !{ ssl_fc }

他のオプションは次のとおりです。

rspirep ^Location:\ http://(.*) Location:\ https://\1

認証されないクライアントのリダイレクト

NSX 管理ガイド

VMware, Inc. 347

Cookie のないクライアント要求は "/authent.php" にリダイレクトします。

# Check the HTTP request if request is "/authent.php"

acl authent_url url /authent.php

# Check the cookie "cookie1" is present

acl cookie_present hdr_sub(cookie) cookie1=

# If the request is NOT "/authent.php" and there is no cookie, then redirect to "/authent.php"

redirect prefix /authent.php if !authent_url !cookie_present

HTTP 応答ヘッダの書き換え

応答サーバヘッダ "Server" を値 "nginx" に書き換えます。

# Delete the existing Response Server header "Server"

rspidel Server

# Add the Response Server header "Server" with the value "nginx"

rspadd Server:\ nginx

Sorry サーバ

プライマリプール内のサーバがすべて停止している場合は、セカンダリプール内のサーバを使用します。

# detect if pool "pool_production" is still up

acl pool_production_down nbsrv(pool_production) eq 0

# use pool "pool_sorry_server" if "pool_production" is dead

use_backend pool_sorry_server if pool_production_down

# Option 1: # Redirect everything to maintenance site

redirect location http://maintenance.xyz.com/maintenance.htm

# Option 2: #Use a specific maintenance server pool and rewrite all URLs to maintenance.php

acl match_all always_true

use_backend maint_pool if match_all

reqirep ^GET\(.*)\HTTP/(.*) GET\ /maintenance.php\ HTTP/\2

仮想サーバの追加

仮想サーバとして NSX Edge 内部インターフェイスまたはアップリンクインターフェイスを追加します。

前提条件

n アプリケーションプロファイルが使用可能であること。

n アクセラレーションを有効にして、より高速なロードバランサを使用する場合は、ロードバランサのグローバ

ル設定でアクセラレーションが有効になっていること。ロードバランササービスの設定を参照してください。

手順




NSX 管理ガイド

VMware, Inc. 348

4 [管理 (Manage)] - [ロードバランサ (Load Balancer)] - [仮想サーバ (Virtual Servers)] の順にクリック

します。


[新規仮想サーバ] ウィンドウが開きます。

6 仮想サーバの詳細を指定します。

a この仮想サーバを使用可能にするには、仮想サーバを有効にします。

b （オプション） L7 ロードバランサエンジンではなく、より高速な L4 ロードバランサエンジンを使用す

るようにロードバランサを設定するには、アクセラレーションを有効にします。

注：この設定では、ファイアウォールが Edge 上で有効になっている必要があります。

アプリケーションルール、HTTP タイプ、Cookie パーシステンスなどの仮想サーバ設定で L7 ロードバランサエンジンを使用する場合は、アクセラレーションが有効かどうかに関係なく、L7 ロードバランサエンジンが使用されます。グローバル設定でアクセラレーションが選択されている必要があります。

CLI コマンド show service loadbalancer virtual を使用すると、使用中のロードバランサエン

ジンを確認できます。

c 仮想サーバに関連付けるアプリケーションプロファイルを選択します。

追加する仮想サーバとして同じプロトコルに関連付けることができるアプリケーションプロファイルは 1 つのみです。選択したプールにサポートされているサービスが表示されます。

d 仮想サーバの名前と説明を入力します。

e IP アドレスを入力します。または、[IP アドレスの選択 (Select IP Address)] をクリックして、ロードバランサが待機する IP アドレスを設定します。

[IP アドレスの選択] ウィンドウには、プライマリ IP アドレスのみが表示されます。セカンダリ IP アドレ

スを使用して仮想 IP アドレスを作成する場合は、手動で入力します。

f 仮想サーバが処理するプロトコルを選択します。

g ロードバランサが listen するポート番号を入力します。

ポートの範囲を入力することもできます。たとえば、サーバプール、アプリケーションプロファイル、ア

プリケーションルールなどの仮想サーバの設定を共有するには、80,8001-8004,443 と入力します。

FTP を使用するには、TCP プロトコルにポート 21 が割り当てられている必要があります。

h アプリケーションルールを選択します。

i [接続の制限 (Connection Limit)] テキストボックスに、仮想サーバが処理できる最大同時接続数を入力し

ます。

j [接続速度の制限 (Connection Rate Limit)] テキストボックスに、1 秒あたりの最大新規受信接続要求数

を入力します。

NSX 管理ガイド

VMware, Inc. 349

k （オプション） [詳細 (Advanced)] タブをクリックして、仮想サーバに関連付けるアプリケーションルー

ルを追加します。

l [追加 (Add)] または [OK] をクリックします。

アプリケーションプロファイルの管理

アプリケーションプロファイルを作成して仮想サーバに関連付けます。作成したプロファイルを更新したり、システ

ムリソースを節約するために削除することができます。

アプリケーションプロファイルの編集

アプリケーションプロファイルを編集できます。

手順





5 プロファイルを選択して、[編集 (Edit)]（または）アイコンをクリックします。

6 トラフィック、パーシステンス、証明書、または暗号の設定を適切に変更して、[保存 (Save)] または [OK] をクリックします。

ロードバランサ用 SSL Termination の設定

SSL Termination を設定していない場合、HTTP 要求は検査されません。ロードバランサは、送信元と宛先の IP アドレスや、暗号化されたデータを認識します。HTTP 要求を精査する場合、ロードバランサで SSL セッションを

終了して、セルプールに対する新しい SSL セッションを作成します。

前提条件

[管理 (Manage)] - [設定 (Settings)] - [証明書 (Certificates)] の順に移動して、有効な証明書があることを確認

します。次の方法のいずれかで、ロードバランサの証明書を追加できます。

n PEM でエンコードされたファイルをインポートします。

n 証明書署名要求 (CSR) を生成します。

n 自己署名証明書を作成します。

手順




NSX 管理ガイド

VMware, Inc. 350


5 [追加 (Add)] をクリックして、アプリケーションプロファイルのパラメータを指定します。



ンメニューで、[HTTPS のオフロード (HTTPS Offloading)] を選択します。

b [パーシステンス (Persistence)] ドロップダウンメニューで、[なし (None)] を選択し

ます。

c [クライアント SSL (Client SSL)] - [サービス証明書 (Service Certificates)] の順に

クリックします。

d NSX Edge ロードバランサに追加したサービス証明書を選択します。

6.4.4 以前 a [タイプ (Type)] ドロップダウンメニューで、[HTTPS] を選択します。

b [SSL パススルーの有効化 (Enable SSL Passthrough)] チェックボックスが選択さ

れていないことを確認します。

c [仮想サーバ証明書 (Virtual Server Certificates)] - [サービス証明書 (Service Certificates)] の順に移動して、[サービス証明書の設定 (Configure Service Certificate)] チェックボックスをクリックします。

d NSX Edge ロードバランサに追加したサービス証明書を選択します。


アプリケーションプロファイルの削除

アプリケーションプロファイルを削除できます。

手順





5 プロファイルを選択して、[削除 (Delete)]（または）アイコンをクリックします。

サービスモニターの管理

サービスモニターでは、ロードバランサの健全性チェックパラメータを定義します。

ロードバランササービスモニターを高可用性 (HA) で使用している場合は、専用インターフェイスで高可用性を有

効にする必要があります。

サービスモニターを作成してサーバプールに関連付けたら、既存のサービスモニターの更新や削除を行うことで、

システムリソースを節約できます。

サービスモニターの詳細については、サービスモニターの作成を参照してください。

NSX 管理ガイド

VMware, Inc. 351

サービスモニターの編集

サービスモニターを編集できます。

手順





5 サービスモニターを選択して、[編集 (Edit)]（または）アイコンをクリックします。

6 必要な変更を行い、[保存 (Save)] または [OK] をクリックします。

サービスモニターの削除

サービスモニターを削除できます。

手順





5 サービスモニターを選択して、[削除 (Delete)]（または）アイコンをクリックします。

サーバプールの管理

ロードバランサによる分散を管理するためにサーバプールを追加した後で、既存のプールを更新したり、システム

リソースを節約するために削除したりできます。

サーバプールの編集

サーバプールを編集できます。

手順





NSX 管理ガイド

VMware, Inc. 352

5 編集するプールを選択します。



ロードバランサでの透過モードの設定

透過的とは、クライアント IP アドレスがバックエンドサーバで確認できることを意味します。

サーバプールを追加するときに、透過モードはデフォルトで無効になっています。透過モードが無効になっている場

合、バックエンドサーバは、トラフィックの送信元の IP アドレスをロードバランサの内部 IP アドレスとして認識

します。このモードが有効になっている場合、送信元の IP アドレスは実際のクライアント IP アドレスになり、NSX Edge がサーバ応答のパス上に存在する必要があります。典型的な設計では、NSX Edge をサーバのデフォルトゲートウェイとして設定します。透過モードでは、SNAT は必要ありません。

インラインまたは透過モードの詳細については、16 章論理ロードバランサを参照してください。

手順





5 プールに次のパラメータを指定します。

n 名前

n 説明

n アルゴリズム

n 監視

n IP アドレスフィルタ

さまざまなアルゴリズムの詳細については、サーバプールの追加を参照してください。

6 透過モードを有効にするには、切り替えスイッチをクリックするか、[透過的 (Transparent)] チェックボック

スを選択します。

サーバプールの削除

サーバプールを削除できます。

手順





NSX 管理ガイド

VMware, Inc. 353

5 削除するプールを選択します。


プールステータスの表示

プールおよび関連するプールメンバーの最新の健全性ステータスを表示できます。

手順





5 [ステータスの表示 (Show Status)] または [プール統計の表示 (Show Pool Statistics)] をクリックします。

[プールとメンバーステータス] ウィンドウが開き、すべてのサーバプールのステータスが表示されます。

6 [プールステータスと統計] テーブルからプールを選択します。[メンバーステータスと統計] テーブルに、その

プールのすべてのメンバーのステータスが表示されます。

プールのステータスは UP または DOWN です。プールに含まれるメンバーがすべて DOWN の場合、プール

は DOWN とマークされます。それ以外の場合、プールのステータスは UP になります。

メンバーのステータスは次のいずれかです。

n UP：メンバーは有効になっていて、健全性ステータスは UP です。または、プールでモニターが定義され

ていません。

n DOWN：メンバーは有効になっていて、健全性ステータスは DOWN です。

n MAINT：メンバーは無効です。

n DRAIN：メンバーはドレイン状態です。

ヒント: NSX 6.4.5 以降では、[メンバーステータスと統計] テーブルで DOWN ステータスをクリックする

と、メンバーが停止している原因を確認できます。バージョン 6.4.4 以前の NSX でメンバーの停止原因を特定

するには、show service loadbalancer pool Edge CLI コマンドを実行する必要があります。

仮想サーバの管理

仮想サーバを追加した後で、既存の仮想サーバの設定を更新または削除できます。

仮想サーバの編集

仮想サーバを編集できます。

手順


NSX 管理ガイド

VMware, Inc. 354




します。

5 編集する仮想サーバを選択します。


7 必要な変更を行い、[保存 (Save)] または [終了 (Finish)] をクリックします。

仮想サーバの削除

仮想サーバを削除できます。

手順





します。

5 削除する仮想サーバを選択します。


アプリケーションルールの管理

アプリケーションルールを作成して、アプリケーショントラフィックを設定します。作成したルールは編集または

削除できます。

アプリケーションルールの編集

アプリケーショントラフィックを操作するアプリケーションルールを追加または編集するには、HAProxy 構文を

使用します。

アプリケーションルールの構文の詳細については、http://cbonte.github.io/haproxy-dconv/にある HAProxy のドキュメントを参照してください。

一般的に使用されるアプリケーションルールの例については、アプリケーションルールの例を参照してください。

手順




NSX 管理ガイド

VMware, Inc. 355

http://cbonte.github.io/haproxy-dconv/


5 ルールを選択して、[編集 (Edit)]（または）アイコンをクリックします。


アプリケーションルールの削除

アプリケーションルールを削除できます。

手順





5 アプリケーションルールを選択して、[削除 (Delete)]（または）アイコンをクリックします。

NTLM 認証を使用する Web サーバのロードバランシング

NSX ロードバランサと NTLM 認証では、サーバの接続を維持する必要があります。

デフォルトでは、各クライアント要求の後に NSX ロードバランサがサーバの TCP 接続を終了します。ただし、

Windows NT LAN Manager (NTLM) 認証の場合、認証済み要求の有効期間が切れるまで、同じ接続を維持する

必要があるため、要求が終了するまで接続が維持されます。

要求の処理中にサーバの接続を維持するには、NTLM 認証を使用して Web サーバのロードバランシングを行う仮

想 IP アドレスに次のアプリケーションルールを追加します。

add # NTLM authentication and keep the server connection open between requests


ロードバランサの HTTP 接続モード

NSX Data Center for vSphere 6.1.5 以降では、x-forwarded-for を有効にすると、HTTP 接続モードがパッシ

ブクローズ (option httpclose) からデフォルトの HTTP サーバクローズ (option http-server-close) モー

ドに変わります。サーバクローズオプションでは、クライアント側の接続はオープン状態を維持し、サーバからの

応答の受信後にサーバ側の接続が終了します。NSX Data Center for vSphere 6.1.5 より前のバージョンでは、

ロードバランサは接続を事前に終了せず、Connection:close ヘッダーを両方向に挿入し、クライアントまたはサ

ーバに接続の終了を指示します。NSX Data Center for vSphere 6.1.5 以降へのアップグレード後に、ロードバランサで HTTP/HTTPS トランザクションエラーが発生する場合には、option httpclose スクリプトを指定して

アプリケーションルールを追加し、動作していない仮想サーバに関連付けます。

NSX 管理ガイド

VMware, Inc. 356

HTTP サーバクローズ（デフォルト）：応答の終わりを受信すると、サーバ側の接続が終了しますが、クライアント

側の接続はオープン状態を維持します。HTTP サーバクローズでは、クライアント側（低速ネットワーク）が待機

状態になり、サーバ側で高速セッションが再利用されるので、サーバリソースの使用を抑制します。また、キープアライブに対応していないサーバに、クライアント側からキープアライブを提供することもできます。このモードは一

般的なユースケースに適しています。特に、クライアント側のネットワークが低速で、サーバ側のネットワークが高

速の場合に有効です。

HTTP キープアライブ：すべての要求と応答が処理され、接続は維持されますが、応答から新しい要求までの間は

アイドル状態になります。このモードでは、トランザクション間の待機時間が短く、サーバに要求する処理能力を低

く抑えることができます。アクティブセッションの数に合わせてメモリ要件が増加します。要求ごとに接続を終了

することがないため、必要なメモリ量が多くなります。クライアント側のアイドルタイムアウトは、アプリケーショ

ンルールの timeout http-keep-alive [time] で設定できます。デフォルトのアイドルタイムアウトは 1 秒で

す。アプリケーションで NTLM 認証が必要な場合、このモードは必須です。

HTTP トンネル：最初の要求と応答のみが処理され、クライアントとサーバ間でトンネルが確立します。これによ

り、HTTP プロトコルを分析することなく、通信を行うことができます。トンネルが確立すると、クライアント側と

サーバ側の両方で接続が維持されます。このモードを有効にするには、passive-close mode、server-close

mode、force-close mode のすべてのオプションを設定しません。

HTTP トンネルモードは次の機能に影響を及ぼします。また、セッションの最初の要求と応答にのみに適用されま

す。

n ログの生成

n HTTP ヘッダーの解析

n HTTP ヘッダーの操作

n Cookie の処理

n コンテンツの切り替え

n X-Forwarded-For ヘッダーの挿入

HTTP パッシブクローズ：トンネルモードと同じですが、クライアントとサーバの両方に Connection: close ヘッダーが追加されます。最初の要求と応答の交換が終わると、両端で接続を終了します。option httpclose が設定

されている場合、ロードバランサは HTTP トンネルモードで動作し、各方向で Connection: close ヘッダーが設

定されているかどうか確認します。ヘッダーがない場合、Connection: close ヘッダーを追加します。転送後、両

端が TCP を終了し、HTTP クローズモードに切り替わります。close 以外の接続ヘッダーは削除されます。アプリ

ケーションで 2 番目以降の要求が正しく処理できない場合、たとえば、ロードバランサによって挿入された Cookie がクライアントからの要求で戻された場合は、トンネルモードまたはパッシブクローズモードを使用します。

HTTP サーバによっては、option httpclose で設定された Connection: close を受信しても、接続を終了する

必要がない場合があります。クライアントが終了しない場合、タイムアウトになるまで接続が持続されます。この場

合、サーバの同時接続数が多くなり、ログには長時間のグローバルセッション時間が記録されます。このため、古い

HTTP 1.0 ブラウザとは互換性がありません。この状態が発生した場合には、option forceclose を使用して、サ

ーバの応答を受信後、すぐに接続を終了します。forceclose を使用すると、クライアントの承認を待つ必要がない

ため、サーバ接続の解放が早くなります。

NSX 管理ガイド

VMware, Inc. 357

HTTP 強制終了：応答の終了後、ロードバランサがクライアントとサーバの両方の接続を終了します。HTTP サー

バによっては、option httpclose で設定された Connection: close を受信しても、接続を終了する必要がない場

合があります。クライアントが終了しない場合、タイムアウトになるまで接続が持続されます。この場合、サーバの

同時接続数が多くなり、ログには長時間のグローバルセッション時間が記録されます。この問題が発生した場合、

option forceclose を使用すると、サーバが応答を完了するとすぐに実行中のサーバチャネルが終了し、option

httpclose を使用した場合よりも早くリソースの一部が解放されます。

バージョン

デフォルトの接続モ

ード

接続モード（

X-Forwarded-For

が有効な場合）

接続モードの切り替えに使用可能な

アプリケーションルール

NSX 6.0.x、6.1.0、6.1.1 HTTP サーバクロ

ーズ

仮想サーバに option httpclose が自動的に

追加され、HAProxy ドキュメントの仕様に

従って各要求に xff が強制的に追加されます。

バックエンドサーバにディスパッチするとき

に、クライアントからの要求に xff ヘッダーが

追加されます。

いいえ

NSX 6.1.2 - 6.1.4 HTTP サーバクロ

ーズ

HTTP パッシブクローズ（仮想サーバに

option httpclose が自動的に追加される）


option httpclose

no option httpclose

NSX 6.1.5 - 6.1.x、NSX 6.2.0 - 6.2.2

HTTP サーバクロ

ーズ


に、クライアントからの要求に HTTP サーバ

クローズ xff ヘッダーが追加されます。


option httpclose

no option httpclose


ーズ





option httpclose

no option httpclose


ーズ





no option httpclose

option httpclose

NSX 6.2.5 - 6.2.x HTTP サーバクロ

ーズ





option http-keep-alive

option http-tunnel

option httpclose

option forceclose

NSX ロードバランサ構成のシナリオ

NSX ロードバランサ構成シナリオを使用して、必要な End-to-End のワークフローを理解します。

シナリオ：ワンアームロードバランサの設定

Edge Services Gateway (ESG) は、受信するクライアントトラフィックのプロキシとして考えることができま

す。

NSX 管理ガイド

VMware, Inc. 358

V

フェーズ 1IP

アドレス

DST 192.168.1.20

DST 80

VLAN

192.168.1.20TCP 80

挿入が容易クライアント IP アドレスは検出されない

HTTP X-Forwarded- For HTTP

ヘッダーのための回避策

192.168.1.3（選択済み）

192.168.1.2

192.168.1.1



NSX EdgeServices Gateway

SRC 172.30.40.7

SRC 1025

TCP

フェーズ 4

DST 172.30.40.7

DST 1025

SRC 192.168.1.20

SRC 80

TCP

フェーズ 2 (DNAT+SNAT)

DST 192.168.1.3

DST 80

SRC 192.168.1.20

SRC 4099

TCP

フェーズ 3

DST 192.168.1.20

DST 4099

SRC 192.168.1.3

SRC 80

TCP

SLB

IP アドレス

IP アドレス

IP アドレス

NSX 管理ガイド

VMware, Inc. 359

プロキシモードでは、ロードバランサは、自身の IP アドレスを送信元のアドレスとして使用して、リクエストをバ

ックエンドサーバに送信します。バックエンドサーバには、ロードバランサから送信されるときにすべてのトラフ

ィックが表示され、このサーバはロードバランサに直接応答します。このモードは、SNAT モードまたは非透過モ

ードとも呼ばれます。詳細については、『NSX 管理ガイド』を参照してください。

一般的な NSX ワンアームロードバランサは、バックエンドサーバと同じで分散論理ルーターとは異なるサブネッ

トにデプロイされます。NSX ロードバランサ仮想サーバは、クライアントから受信したリクエストを仮想 IP アド

レスで待機し、バックエンドサーバにリクエストを送信します。リターントラフィックについては、リバース NAT が必要となります。これは、バックエンドサーバの送信元の IP アドレスを仮想 IP アドレス (VIP) に変更してから、

クライアントに仮想 IP アドレスを送信するためです。この操作を行わないと、クライアントへの接続が切断されま

す。

トラフィックの受信後、ESG は次の 2 つの処理を実行します。

n 宛先ネットワークアドレス変換 (DNAT)。仮想 IP アドレスが、ロードバランシングされているいずれかのマ

シンの IP アドレスに変更されます。

n 送信元ネットワークアドレス変換 (SNAT)。ESG の IP アドレスとクライアントの IP アドレスが交換されま

す。

次に、ESG サーバはトラフィックをロードバランササーバに送信し、ロードバランササーバは応答を ESG に返

し、さらにクライアントに返します。このオプションでは、インラインモードよりもが大幅に容易になりますが、2 つの注意点があります。最初の注意点は、専用の ESG サーバが必要となることであり、2 番目の注意点はロードバランサは元のクライアント IP アドレスを認識しないことです。HTTP/HTTPS アプリケーションでの 1 つの回避策

として、HTTP アプリケーションプロファイルで [X-Forwarded-For HTTP ヘッダーの挿入 (Insert X-Forwarded-For)] を有効にすることによって、バックエンドサーバに送信される要求の X-Forwarded-For HTTP ヘッダーにクライアント IP アドレスが追加されます。

バックエンドサーバでのクライアント IP アドレスの可視化が、HTTP/HTTPS 以外のアプリケーションで必要とな

る場合には、透過的になるように IP アドレスプールを設定できます。クライアントがバックエンドサーバと同じサ

ブネットにない場合には、インラインモードが推奨されます。インラインモードを使用しない場合には、バックエ

ンドサーバのデフォルトゲートウェイとしてロードバランサの IP アドレスを使用する必要があります。

注：接続の整合性を保証する方法には、通常、次の 3 つがあります。

n インライン/透過モード

n SNAT/プロキシ/非透過モード（上記で説明）

n DSR (Direct Server Return)：現在サポートされていません

DSR モードでは、バックエンドサーバが直接クライアントに応答します。現在、NSX ロードバランサは、DSR をサポートしていません。

以下では、HTTPS オフロード（SSL オフロード）アプリケーションプロファイルタイプを使用して、ワンアーム

ロードバランサの設定手順について説明します。

手順



NSX 管理ガイド

VMware, Inc. 360


4 [管理 (Manage)] - [設定 (Settings)] - [証明書 (Certificate)] の順にクリックします。

このシナリオでは、自己署名証明書を追加します。

5 ロードバランササービスを有効にします。

a [管理 (Manage)] - [ロードバランサ (Load Balancer)] - [グローバル設定 (Global Configuration)] の順にクリックします。

b [編集 (Edit)] をクリックして、ロードバランサを有効にします。

6 HTTPS アプリケーションプロファイルを作成します。

a [管理 (Manage)] - [ロードバランサ (Load Balancer)] - [アプリケーションプロファイル

(Application Profiles)] の順にクリックします。

b [追加 (Add)] をクリックして、アプリケーションプロファイルのパラメータを指定します。


NSX 6.4.5 以降 1 [アプリケーションプロファイルタイプ (Application Profile Type)] ドロップダ

ウンメニューで、[HTTPS のオフロード (HTTPS Offloading)] を選択します。

2 [名前 (Name)] テキストボックスに、プロファイルの名前を入力します。たとえば、

Web-SSL-Profile を入力します。

3 [クライアント SSL (Client SSL)] - [サービス証明書 (Service Certificates)] の順にクリックします。

4 前に追加した自己署名証明書を選択します。

NSX 6.4.4 以前 1 [タイプ (Type)] ドロップダウンメニューで、[HTTPS] を選択します。


Web-SSL-Profile を入力します。

3 [サービス証明書の設定 (Configure Service Certificate)] チェックボックスを選

択します。

4 前に追加した自己署名証明書を選択します。

7 （オプション） [管理 (Manage)] - [ロードバランサ (Load Balancer)] - [サービスモニタリング (Service

Monitoring)] の順にクリックします。必要であれば、デフォルトのサービスモニタリングを編集して、基本の

HTTP または HTTPS から特定の URL または URI に変更します。

8 サーバプールを作成します。

a [管理 (Manage)] - [ロードバランサ (Load Balancer)] - [プール (Pools)] の順にクリックして、[追加

(Add)] をクリックします。

b [名前 (Name)] テキストボックスに、サーバプールの名前を入力します。たとえば、Web-Tier-Pool-01


c [アルゴリズム (Algorithm)] ドロップダウンメニューで、[ラウンドロビン (Round-Robin)] を選択しま

す。

d [モニター (Monitors)] ドロップダウンメニューで、[default_https_monitor] を選択します。

NSX 管理ガイド

VMware, Inc. 361

e 2 つのメンバーをプールに追加します。

たとえば、次の設定を指定します。

状態名前 IP アドレス重み監視ポートポート最大接続数最小接続数

有効 web-01a 172.16.10.11 1 443 443 0 0

有効 web-02a 172.16.10.12 1 443 443 0 0

f SNAT モードを使用するには、[透過的 (Transparent)] オプションが有効になっていないことを確認しま

す。

9 [ステータスの表示 (Show Status)] または [プール統計の表示 (Show Pool Statistics)] をクリックして、

Web-Tier-Pool-01 プールのステータスが UP になっていることを確認します。

プールを選択して、このプールの両方のメンバーのステータスが UP であることを確認します。

10 仮想サーバを作成します。

a [管理 (Manage)] - [ロードバランサ (Load Balancer)] - [仮想サーバ (Virtual Servers)] の順にクリ

ックして、[追加 (Add)] をクリックします。

b 仮想サーバのパラメータを指定します。



仮想サーバ仮想サーバを有効にします。

アクセラレーション UDP やさらに高パフォーマンスの TCP に L4 ロードバランサを使用する場合には、ア

クセラレーションを有効にします。このオプションを有効にする場合は、NSX Edge ロー

ドバランサでファイアウォールのステータスが有効になっていることを確認します。L4 SNAT ではファイアウォールが必須です。

アプリケーションプロファイル OneArmWeb-01 を入力します。

IP アドレス [172.16.10.110] を選択します。

プロトコル [HTTPS] を選択します。

ポート 443 を入力します。

デフォルトプール前に作成した [Web-Tier-Pool-01] サーバプールを選択します。

接続の制限 0 を入力します。

接続速度の制限 0 を入力します。

c （オプション） [詳細 (Advanced)] タブをクリックして、仮想サーバにアプリケーションルールを関連付

けます。

サポートされる例については、https://communities.vmware.com/docs/DOC-31772 を参照してく

ださい。

NSX 管理ガイド

VMware, Inc. 362


非透過モードでは、バックエンドサーバはクライアント IP アドレスを確認できませんが、ロードバランサ内部

の IP アドレスは確認できます。HTTP または HTTPS トラフィックの回避策として、アプリケーションプロフ

ァイルで [X-Forwarded-For HTTP ヘッダーの挿入 (Insert X-Forwarded-For HTTP header)] を選択

します。このオプションを選択すると、Edge ロードバランサは、クライアントの送信元の IP アドレスの値に

ヘッダー「X-Forwarded-For」を追加します。

シナリオ：インラインロードバランサの設定

このシナリオでは、HTTP アプリケーションプロファイルタイプを使用して、NSX Edge でインラインロードバランサを設定してます。

次の図は、インラインロードバランサを使用するネットワークの論理トポロジを示しています。ネットワークの境

界にある NSX Edge は、North-South のルーティングとロードバランシングの両方の機能を実行します。

VP

ネットワーク

外部クライアント

10.30.20.100 10.30.20.101

サーバプール

10.30.20.102

VXLAN 5000 (10.30.20.0/24)

NSX Edge

192.168.100.30/24

10.30.20.1/24

インラインロード

バランサ

DNAT ルール

Web-1 仮想マシン



このシナリオでは、NSX Edge に次のインターフェイスが設定されている点に注意してください。

n アップリンクインターフェイス：192.168.100.30/24

n 内部インターフェイス：10.30.20.1/24

ロードバランサは、仮想 IP アドレス (VIP) に Edge 上のアップリンクインターフェイスを使用します。Edge の内部インターフェイスは、サーバプール内のバックエンド Web サーバのデフォルトゲートウェイとして機能しま

す。

NSX Edge の外部クライアントから受信した HTTP トラフィックのロードバランシングを行い、VXLAN 5000 論理スイッチに接続している Web サーバにトラフィックを分散するとします。

以下では、NSX Edge にインラインロードバランサを設定する手順について説明します。

前提条件

ネットワークには、NSX Edge サービスゲートウェイが展開されている必要があります。

NSX 管理ガイド

VMware, Inc. 363

手順





a [管理] - [ロードバランサ] - [グローバル設定] の順にクリックします。

b [編集] をクリックして、ロードバランサを有効にします。

5 HTTP アプリケーションプロファイルを作成します。

a [管理] - [ロードバランサ] - [アプリケーションプロファイル] の順にクリックします。

b [追加] をクリックして、アプリケーションプロファイルのパラメータを指定します。



タイプ [HTTP] を選択します。

名前 Web-App-Profile を入力します。

パーシステンスデフォルト値（なし）をそのまま使います。

NSX 管理ガイド

VMware, Inc. 364

6 サーバプールを作成します。

a [管理] - [ロードバランサ] - [プール] の順にクリックして、[追加] をクリックします。

b プールパラメータを指定します。



名前 Web-Server-Pool を入力します。

アルゴリズム [ラウンドロビン] を選択します。

モニター [default_http_monitor] を選択します。

透過的このオプションを有効にすると、送信元クライアントの IP アドレスがプール内のバックエ

ンドサーバから見えるようになります。

c メンバーをサーバプールに追加します。

たとえば、プールメンバーに次の設定を指定します。


有効 Web-1 10.30.20.100

1 80 80 0 0

有効 Web-2 10.30.20.101

1 80 80 0 0

有効 Web-3 10.30.20.102

1 80 80 0 0

7 [ステータスの表示] または [プール統計の表示] をクリックして、Web-Server-Pool プールのステータスが

UP になっていることを確認します。

プールを選択して、このプールのすべてのメンバーのステータスが UP であることを確認します。

NSX 管理ガイド

VMware, Inc. 365


a [管理] - [ロードバランサ] - [仮想サーバ] の順にクリックして、[追加] をクリックします。

b 仮想サーバのパラメータを指定します。




アクセラレーションこのオプションは無効のままにします。

アプリケーションプロファイル前の手順で作成した [Web-App-Profile] を選択します。

IP アドレス Edge のアップリンク（外部）インターフェイスに設定した IP アドレスを入力または選

択します。

このシナリオでは、[192.168.100.30] を選択します。

プロトコル [HTTP] を選択します。

デフォルトプール前の手順で作成した [Web-Server-Pool] を選択します。



シナリオ：Platform Services Controller 用 NSX ロードバランサの設定

Platform Services Controller (PSC) は、vCenter Single Sign-On、ライセンス、証明書管理、サーバの予約

など、インフラストラクチャのセキュリティ機能を提供します。

NSX ロードバランサを設定したら、vCenter Single Sign-On で NSX Edge デバイスのアップリンクインター

フェイスの IP アドレスを指定します。

注：以下では、Platform Services Controller 6.0 と一緒に使用できるように NSX Edge ロードバランサを

設定する手順について説明します。Platform Services Controller 6.5 と一緒に使用するように Edge ロードバランサを設定する方法については、https://kb.vmware.com/s/article/2147046 にある VMware ナレッジベ

ースの記事を参照してください。

前提条件

n http://kb.vmware.com/kb/2113315 の VMware ナレッジベースの記事に記載されている PSC 高可用性

の準備タスクを実行します。

n 証明書を設定するため、最初の PSC ノードの /ha/lb.crt と /ha/lb_rsa.key を保存します。

n NSX Edge デバイスが設定されていることを確認します。

n 仮想 IP アドレスの設定用アップリンクと内部論理スイッチに接続するインターフェイスが、それぞれ 1 つ以上

設定されていることを確認します。

NSX 管理ガイド

VMware, Inc. 366


http://kb.vmware.com/kb/2113315

手順

1 NSX Edge に PSC 証明書を追加します。

a OpenSSL コマンドを使用して、PSC の root.cer、証明書、RSA、パスフレーズを生成して保存しま

す。

b Edge をダブルクリックして、[管理 (Manage)] - [設定 (Settings)] - [証明書 (Certificates)] の順にク


c [追加 (Add)] - [証明書 (Certificate)] の順にクリックします。

d [証明書のコンテンツ (Certificate Contents)] テキストボックスに、root.cer ファイルの内容を追加し

ます。

e [プライベートキー (Private key)] テキストボックスに、パスフレーズを追加します。


a [管理 (Manage)] - [ロードバランサ (Load Balancer)] - [グローバル設定 (Global Configuration)] の順にクリックします。

b [編集 (Edit)] をクリックして、ロードバランサを有効にします。

NSX 管理ガイド

VMware, Inc. 367

3 TCP および HTTPS プロトコルを使用してアプリケーションプロファイルを作成します。

a [管理 (Manage)] - [ロードバランサ (Load Balancer)] - [アプリケーションプロファイル


b [追加 (Add)] をクリックして、TCP アプリケーションプロファイルを作成します。

たとえば、TCP プロファイルに次のパラメータを指定します。


アプリケーションプロファイルタイプ [TCP] を選択します。

名前たとえば、sso_tcp_profile と入力します。

パーシステンス [送信元の IP アドレス (Source IP)] を選択します。

c HTTPS アプリケーションプロファイルを作成します。

たとえば、HTTPS プロファイルに次のパラメータを指定します。





sso_https_profile と入力します。


4 前に追加した PSC 証明書を選択します。



sso_https_profile と入力します。

3 [サービス証明書の設定 (Configure Service Certificate)] チェックボックスを選

択します。

4 前に追加した PSC 証明書を選択します。

NSX 管理ガイド

VMware, Inc. 368

4 サーバプールを作成して、メンバー PSC ノードを追加します。

a [管理 (Manage)] - [ロードバランサ (Load Balancer)] - [プール (Pools)] の順にクリックして、[追加

(Add)] をクリックします。

b 次の設定でプールを作成します。



名前 sso_tcp_pool1 を入力します。

アルゴリズム [ラウンドロビン (Round-Robin)] を選択します。

モニター [default_tcp_monitor] を選択します。

次のメンバーを sso_tcp_pool1 プールに追加して、監視ポート 443 を指定します。


有効 PSC01 192.168.1.1 1 443 0 0

有効 PSC02 192.168.1.2 1 443 0 0

c 次の設定で別のプールを作成します。



名前 sso_tcp_pool2 を入力します。

アルゴリズム [ラウンドロビン (Round-Robin)] を選択します。

モニター [default_tcp_monitor] を選択します。

次のメンバーを sso_tcp_pool2 プールに追加して、監視ポート 389 を指定します。


有効 PSC01 192.168.1.1 1 389 0 0

有効 PSC02 192.168.1.2 1 389 0 0

NSX 管理ガイド

VMware, Inc. 369

5 TCP および HTTPS プロトコル用の仮想サーバを作成します。

a [管理 (Manage)] - [ロードバランサ (Load Balancer)] - [仮想サーバ (Virtual Servers)] の順に選択

して、[追加 (Add)] をクリックします。

b 次の設定で、TCP 仮想 IP アドレスの仮想サーバを作成します。




アクセラレーションアクセラレーションを無効にします。

アプリケーションプロファイル sso_tcp_profile を入力します。

名前 sso_tcp_vip を入力します。

IP アドレス [10.156.209.158] を選択します。

プロトコル [TCP] を選択します。

ポート 389,636,2012,2014,2020 を入力します。

デフォルトプール前に作成した [sso_tcp_pool2] サーバプールを選択します。



c 次の設定で、HTTPS 仮想 IP アドレスの仮想サーバを作成します。




アクセラレーションアクセラレーションを無効にします。

アプリケーションプロファイル sso_https_profile を入力します。

名前 sso_https_vip を入力します。

IP アドレス [10.156.209.158] を選択します。

プロトコル [HTTPS] を選択します。

ポート 443 を入力します。

デフォルトプール前に作成した [sso_tcp_pool1] サーバプールを選択します。



シナリオ：SSL オフロード

このシナリオでは、HTTPS オフロード（SSL オフロード）アプリケーションプロファイルタイプを使用します。

Edge はクライアントの HTTPS（SSL セッション）を終了します。サーバへの HTTP でクライアントをロードバランシングを行います。L7 アプリケーションルールを適用できます。

NSX 管理ガイド

VMware, Inc. 370

手順

1 Web サーバ証明書を追加します。


b [ネットワークとセキュリティ (Networking & Security)] - [NSX Edge] の順にクリックします。

c NSX Edge をダブルクリックします。

d [管理 (Manage)] - [設定 (Settings)] - [証明書 (Certificates)] の順に移動します。

e [追加 (Add)] をクリックして、[証明書 (Certificate)] をクリックします。

NSX 管理ガイド

VMware, Inc. 371

f 証明書の内容をコピーして、[証明書の内容 (Certificate Contents)] テキストボックスに貼り付けます。

入力するテキストには「-----BEGIN xxx-----」と「-----END xxx-----」を含める必要があります。

チェーン証明書（サーバ証明書と中間認証局 (CA) 証明書）の場合は、[証明書 (Certificate)] オプション

を選択します。チェーン証明書の内容は、次の例のようになります。


Server cert



Intermediate cert



Root cert


g [プライベートキー (Private Key)] テキストボックスで、プライベートキーの内容をコピーして貼り付け

ます。





証明書の内容（証明書またはプライベートキーの PEM）の先頭には、次のいずれかのプリフィックス文字

列が必要です。

-----BEGIN PUBLIC KEY-----

-----BEGIN RSA PUBLIC KEY-----

-----BEGIN CERTIFICATE REQUEST-----

-----BEGIN NEW CERTIFICATE REQUEST-----


-----BEGIN PKCS7-----

-----BEGIN X509 CERTIFICATE-----

-----BEGIN X509 CRL-----

-----BEGIN ATTRIBUTE CERTIFICATE-----


-----BEGIN DSA PRIVATE KEY-----

-----BEGIN EC PARAMETERS-----

-----BEGIN EC PRIVATE KEY-----

証明書とプライベートキーの例については、例：証明書とプライベートキーを参照してください。

注： NSX Manager では、次のプリフィックスはサポートされていません。

-----BEGIN ENCRYPTED PRIVATE KEY-----

NSX 管理ガイド

VMware, Inc. 372





d [管理 (Manage)] - [ロードバランサ (Load Balancer)] - [アプリケーションプロファイル


e [追加 (Add)] をクリックして、アプリケーションプロファイルのパラメータを指定します。





3 手順 1 で追加した Web サーバ証明書を選択します。


2 [サービス証明書の設定 (Configure Service Certificates)] チェックボックスを

選択します。






d [管理 (Manage)] - [ロードバランサ (Load Balancer)] - [仮想サーバ (Virtual Servers)] の順にクリ

ックします。

e [追加 (Add)] をクリックして、仮想サーバのパラメータを指定します。

1 この仮想サーバを使用可能にするには、仮想サーバを有効にします。

2 プロトコルに [HTTPS] を選択します。

3 HTTP サーバ（HTTPS サーバではない）で設定されるデフォルトプールを選択します。

4 手順 2 で設定したアプリケーションプロファイルを選択します。

[新規仮想サーバ] ウィンドウで他のパラメータを指定する方法については、仮想サーバの追加を参照してく

ださい。

例：証明書とプライベートキー

次は、証明書とプライベートキーの例です。

NSX 管理ガイド

VMware, Inc. 373

Web サーバ証明書


MIID0DCCArigAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MQswCQYDVQQGEwJGUjET

MBEGA1UECAwKU29tZS1TdGF0ZTEOMAwGA1UEBwwFUGFyaXMxDTALBgNVBAoMBERp

bWkxDTALBgNVBAsMBE5TQlUxEDAOBgNVBAMMB0RpbWkgQ0ExGzAZBgkqhkiG9w0B

CQEWDGRpbWlAZGltaS5mcjAeFw0xNDAxMjgyMDM2NTVaFw0yNDAxMjYyMDM2NTVa

MFsxCzAJBgNVBAYTAkZSMRMwEQYDVQQIDApTb21lLVN0YXRlMSEwHwYDVQQKDBhJ

bnRlcm5ldCBXaWRnaXRzIFB0eSBMdGQxFDASBgNVBAMMC3d3dy5kaW1pLmZyMIIB

IjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAvpnaPKLIKdvx98KW68lz8pGa

RRcYersNGqPjpifMVjjE8LuCoXgPU0HePnNTUjpShBnynKCvrtWhN+haKbSp+QWX

SxiTrW99HBfAl1MDQyWcukoEb9Cw6INctVUN4iRvkn9T8E6q174RbcnwA/7yTc7p

1NCvw+6B/aAN9l1G2pQXgRdYC/+G6o1IZEHtWhqzE97nY5QKNuUVD0V09dc5CDYB

aKjqetwwv6DFk/GRdOSEd/6bW+20z0qSHpa3YNW6qSp+x5pyYmDrzRIR03os6Dau

ZkChSRyc/Whvurx6o85D6qpzywo8xwNaLZHxTQPgcIA5su9ZIytv9LH2E+lSwwID

AQABo3sweTAJBgNVHRMEAjAAMCwGCWCGSAGG+EIBDQQfFh1PcGVuU1NMIEdlbmVy

YXRlZCBDZXJ0aWZpY2F0ZTAdBgNVHQ4EFgQU+tugFtyN+cXe1wxUqeA7X+yS3bgw

HwYDVR0jBBgwFoAUhMwqkbBrGp87HxfvwgPnlGgVR64wDQYJKoZIhvcNAQEFBQAD

ggEBAIEEmqqhEzeXZ4CKhE5UM9vCKzkj5Iv9TFs/a9CcQuepzplt7YVmevBFNOc0

+1ZyR4tXgi4+5MHGzhYCIVvHo4hKqYm+J+o5mwQInf1qoAHuO7CLD3WNa1sKcVUV

vepIxc/1aHZrG+dPeEHt0MdFfOw13YdUc2FH6AqEdcEL4aV5PXq2eYR8hR4zKbc1

fBtuqUsvA8NWSIyzQ16fyGve+ANf6vXvUizyvwDrPRv/kfvLNa3ZPnLMMxU98Mvh

PXy3PkB8++6U4Y3vdk2Ni2WYYlIls8yqbM4327IKmkDc2TimS8u60CT47mKU7aDY

cbTV5RDkrlaYwm5yqlTIglvCv7o=


チェーンを含む Web サーバ証明書（ルート CA を含む）


MIID0DCCArigAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MQswCQYDVQQGEwJGUjET



CQEWDGRpbWlAZGltaS5mcjAeFw0xNDAxMjgyMDM2NTVaFw0yNDAxMjYyMDM2NTVa

MFsxCzAJBgNVBAYTAkZSMRMwEQYDVQQIDApTb21lLVN0YXRlMSEwHwYDVQQKDBhJ

bnRlcm5ldCBXaWRnaXRzIFB0eSBMdGQxFDASBgNVBAMMC3d3dy5kaW1pLmZyMIIB

IjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAvpnaPKLIKdvx98KW68lz8pGa

RRcYersNGqPjpifMVjjE8LuCoXgPU0HePnNTUjpShBnynKCvrtWhN+haKbSp+QWX

SxiTrW99HBfAl1MDQyWcukoEb9Cw6INctVUN4iRvkn9T8E6q174RbcnwA/7yTc7p

1NCvw+6B/aAN9l1G2pQXgRdYC/+G6o1IZEHtWhqzE97nY5QKNuUVD0V09dc5CDYB

aKjqetwwv6DFk/GRdOSEd/6bW+20z0qSHpa3YNW6qSp+x5pyYmDrzRIR03os6Dau

ZkChSRyc/Whvurx6o85D6qpzywo8xwNaLZHxTQPgcIA5su9ZIytv9LH2E+lSwwID

AQABo3sweTAJBgNVHRMEAjAAMCwGCWCGSAGG+EIBDQQfFh1PcGVuU1NMIEdlbmVy

YXRlZCBDZXJ0aWZpY2F0ZTAdBgNVHQ4EFgQU+tugFtyN+cXe1wxUqeA7X+yS3bgw

HwYDVR0jBBgwFoAUhMwqkbBrGp87HxfvwgPnlGgVR64wDQYJKoZIhvcNAQEFBQAD

ggEBAIEEmqqhEzeXZ4CKhE5UM9vCKzkj5Iv9TFs/a9CcQuepzplt7YVmevBFNOc0

+1ZyR4tXgi4+5MHGzhYCIVvHo4hKqYm+J+o5mwQInf1qoAHuO7CLD3WNa1sKcVUV

vepIxc/1aHZrG+dPeEHt0MdFfOw13YdUc2FH6AqEdcEL4aV5PXq2eYR8hR4zKbc1

fBtuqUsvA8NWSIyzQ16fyGve+ANf6vXvUizyvwDrPRv/kfvLNa3ZPnLMMxU98Mvh

PXy3PkB8++6U4Y3vdk2Ni2WYYlIls8yqbM4327IKmkDc2TimS8u60CT47mKU7aDY

cbTV5RDkrlaYwm5yqlTIglvCv7o=



MIIDyTCCArGgAwIBAgIBADANBgkqhkiG9w0BAQUFADB/MQswCQYDVQQGEwJGUjET



NSX 管理ガイド

VMware, Inc. 374

CQEWDGRpbWlAZGltaS5mcjAeFw0xNDAxMjgyMDI2NDRaFw0yNDAxMjYyMDI2NDRa

MH8xCzAJBgNVBAYTAkZSMRMwEQYDVQQIDApTb21lLVN0YXRlMQ4wDAYDVQQHDAVQ

YXJpczENMAsGA1UECgwERGltaTENMAsGA1UECwwETlNCVTEQMA4GA1UEAwwHRGlt

aSBDQTEbMBkGCSqGSIb3DQEJARYMZGltaUBkaW1pLmZyMIIBIjANBgkqhkiG9w0B

AQEFAAOCAQ8AMIIBCgKCAQEAuxuG4QeBIGXj/AB/YRLLtpgpTpGnDntVlgsycZrL

3qqyOdBNlwnvcB9etfY5iWzjeq7YZRr6i0dIV4sFNBR2NoK+YvdD9j1TRi7njZg0

d6zth0xlsOhCsDlV/YCL1CTcYDlKA/QiKeIQa7GU3Rhf0t/KnAkr6mwoDbdKBQX1

D5HgQuXJiFdh5XRebxF1ZB3gH+0kCEaEZPrjFDApkOXNxEARZdpBLpbvQljtVXtj

HMsvrIOc7QqUSOU3GcbBMSHjT8cgg8ssf492Go3bDQkIzTROz9QgDHaqDqTC9Hoe

vlIpTS+q/3BCY5AGWKl3CCR6dDyK6honnOR/8srezaN4PwIDAQABo1AwTjAdBgNV

HQ4EFgQUhMwqkbBrGp87HxfvwgPnlGgVR64wHwYDVR0jBBgwFoAUhMwqkbBrGp87

HxfvwgPnlGgVR64wDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAQEAVqYq

vhm5wAEKmvrKXRjeb5kiEIp7oZAFkYp6sKODuZ1VdkjMDD4wv46iqAe1QIIsfGwd

Dmv0oqSl+iPPy24ATMSZQbPLO5K64Hw7Q8KPos0yD8gHSg2d4SOukj+FD2IjAH17

a8auMw7TTHu6976JprQQKtPADRcfodGd5UFiz/6ZgLzUE23cktJMc2Bt18B9OZII

J9ef2PZxZirJg1OqF2KssDlJP5ECo9K3EmovC5M5Aly++s8ayjBnNivtklYL1VOT

ZrpPgcndTHUA5KS/Duf40dXm0snCxLAKNP28pMowDLSYc6IjVrD4+qqw3f1b7yGb

bJcFgxKDeg5YecQOSg==


プライベートキー（パスフレーズなし）


MIIEowIBAAKCAQEAvpnaPKLIKdvx98KW68lz8pGaRRcYersNGqPjpifMVjjE8LuC

oXgPU0HePnNTUjpShBnynKCvrtWhN+haKbSp+QWXSxiTrW99HBfAl1MDQyWcukoE

b9Cw6INctVUN4iRvkn9T8E6q174RbcnwA/7yTc7p1NCvw+6B/aAN9l1G2pQXgRdY

C/+G6o1IZEHtWhqzE97nY5QKNuUVD0V09dc5CDYBaKjqetwwv6DFk/GRdOSEd/6b

W+20z0qSHpa3YNW6qSp+x5pyYmDrzRIR03os6DauZkChSRyc/Whvurx6o85D6qpz

ywo8xwNaLZHxTQPgcIA5su9ZIytv9LH2E+lSwwIDAQABAoIBAFml8cD9a5pMqlW3

f9btTQz1sRL4Fvp7CmHSXhvjsjeHwhHckEe0ObkWTRsgkTsm1XLu5W8IITnhn0+1

iNr+78eB+rRGngdAXh8diOdkEy+8/Cee8tFI3jyutKdRlxMbwiKsouVviumoq3fx

OGQYwQ0Z2l/PvCwy/Y82ffq3ysC5gAJsbBYsCrg14bQo44ulrELe4SDWs5HCjKYb

EI2b8cOMucqZSOtxg9niLN/je2bo/I2HGSawibgcOdBms8k6TvsSrZMr3kJ5O6J+

77LGwKH37brVgbVYvbq6nWPL0xLG7dUv+7LWEo5qQaPy6aXb/zbckqLqu6/EjOVe

ydG5JQECgYEA9kKfTZD/WEVAreA0dzfeJRu8vlnwoagL7cJaoDxqXos4mcr5mPDT

kbWgFkLFFH/AyUnPBlK6BcJp1XK67B13ETUa3i9Q5t1WuZEobiKKBLFm9DDQJt43

uKZWJxBKFGSvFrYPtGZst719mZVcPct2CzPjEgN3Hlpt6fyw3eOrnoECgYEAxiOu

jwXCOmuGaB7+OW2tR0PGEzbvVlEGdkAJ6TC/HoKM1A8r2u4hLTEJJCrLLTfw++4I

ddHE2dLeR4Q7O58SfLphwgPmLDezN7WRLGr7Vyfuv7VmaHjGuC3Gv9agnhWDlA2Q

gBG9/R9oVfL0Dc7CgJgLeUtItCYC31bGT3yhV0MCgYEA4k3DG4L+RN4PXDpHvK9I

pA1jXAJHEifeHnaW1d3vWkbSkvJmgVf+9U5VeV+OwRHN1qzPZV4suRI6M/8lK8rA

Gr4UnM4aqK4K/qkY4G05LKrik9Ev2CgqSLQDRA7CJQ+Jn3Nb50qg6hFnFPafN+J7

7juWln08wFYV4Atpdd+9XQECgYBxizkZFL+9IqkfOcONvWAzGo+Dq1N0L3J4iTIk

w56CKWXyj88d4qB4eUU3yJ4uB4S9miaW/eLEwKZIbWpUPFAn0db7i6h3ZmP5ZL8Q

qS3nQCb9DULmU2/tU641eRUKAmIoka1g9sndKAZuWo+o6fdkIb1RgObk9XNn8R4r

psv+aQKBgB+CIcExR30vycv5bnZN9EFlIXNKaeMJUrYCXcRQNvrnUIUBvAO8+jAe

CdLygS5RtgOLZib0IVErqWsP3EI1ACGuLts0vQ9GFLQGaN1SaMS40C9kvns1mlDu

LhIhYpJ8UsCVt5snWo2N+M+6ANh5tpWdQnEK6zILh4tRbuzaiHgb


NSX 管理ガイド

VMware, Inc. 375

シナリオ：SSL 証明書のインポート

このシナリオでは、HTTPS End-To-End (SSL End-To-End) アプリケーションプロファイルタイプを使用しま

す。NSX Edge がクライアントの HTTPS（SSL セッション）を終了します。NSX Edge は、サーバへの新しい

HTTPS 接続を使用して、クライアントのロードバランシングを行います。L7 アプリケーションルールを適用でき

ます。

手順

1 Web サーバ証明書を追加します。




d [管理 (Manage)] - [設定 (Settings)] - [証明書 (Certificates)] の順に移動します。

e [追加 (Add)] をクリックして、[証明書 (Certificate)] をクリックします。

NSX 管理ガイド

VMware, Inc. 376

f 証明書の内容をコピーして、[証明書の内容 (Certificate Contents)] テキストボックスに貼り付けます。

入力するテキストには「-----BEGIN xxx-----」と「-----END xxx-----」を含める必要があります。

チェーン証明書（サーバ証明書と中間認証局 (CA) 証明書）の場合は、[証明書 (Certificate)] オプション

を選択します。チェーン証明書の内容は、次の例のようになります。


Server cert



Intermediate cert



Root cert


g [プライベートキー (Private Key)] テキストボックスで、プライベートキーの内容をコピーして貼り付け

ます。

プライベートキーの内容は、次の例のようになります。




証明書の内容（証明書またはプライベートキーの PEM）の先頭には、次のいずれかのプリフィックス文字

列が必要です。

-----BEGIN PUBLIC KEY-----

-----BEGIN RSA PUBLIC KEY-----

-----BEGIN CERTIFICATE REQUEST-----

-----BEGIN NEW CERTIFICATE REQUEST-----


-----BEGIN PKCS7-----

-----BEGIN X509 CERTIFICATE-----

-----BEGIN X509 CRL-----

-----BEGIN ATTRIBUTE CERTIFICATE-----


-----BEGIN DSA PRIVATE KEY-----

-----BEGIN EC PARAMETERS-----

-----BEGIN EC PRIVATE KEY-----

証明書とプライベートキーの例については、例：証明書とプライベートキーを参照してください。

注： NSX Manager では、次のプリフィックスはサポートされていません。

-----BEGIN ENCRYPTED PRIVATE KEY-----

NSX 管理ガイド

VMware, Inc. 377










ウンメニューで、[HTTPS End-to-End] を選択します。

2 [サーバ SSL (Server SSL)] - [サービス証明書 (Service Certificates)] の順にク




2 [プール側の SSL の有効化 (Enable Pool Side SSL)] チェックボックスを選択し

ます。

3 [サービス証明書の設定 (Configure Service Certificates)] チェックボックスを

選択します。







ックします。




3 HTTPS サーバで設定されるデフォルトプールを選択します。



ださい。

シナリオ：SSL パススルー

このシナリオでは、SSL パススルーアプリケーションプロファイルタイプを使用します。Edge は、クライアント

の HTTPS（SSL セッション）を終了しません。サーバへの TCP セッションのロードバランシングを行います。ク

NSX 管理ガイド

VMware, Inc. 378

ライアントの SSL セッションは、Edge ではなく、サーバで終了します。L7 アプリケーションルールを適用でき

ません。

注： SSL パススルーのアプリケーションプロファイルに証明書は必要ありません。

手順

1 SSL パススルーアプリケーションプロファイルを作成します。









ウンメニューで、[SSL パススルー (SSL Passthrough)] を選択します。

2 [パーシステンス (Persistence)] ドロップダウンメニューで、[なし (None)] を選

択します。


2 [SSL パススルーの有効化 (Enable SSL Passthrough)] チェックボックスを選択

します。

3 [パーシステンス (Persistence)] ドロップダウンメニューで、[なし (None)] を選

択します。





NSX 管理ガイド

VMware, Inc. 379


ックします。




3 HTTPS サーバで設定されるデフォルトプールを選択します。



ださい。

注： n [アクセラレーション (Acceleration)] が有効で、L7 関連の設定がない場合、Edge はセッションを

終了しません。

n [アクセラレーション (Acceleration)] が無効な場合、セッションが L7 TCP モードとして扱われ、

Edge がこのセッションを終了して、2 つのセッションにします。

シナリオ：SSL クライアントとサーバ認証

このシナリオでは、SSL クライアントとサーバ認証で HTTPS End-To-End アプリケーションプロファイルタイ

プを使用します。

クライアント認証

クライアントは HTTPS 経由で Web アプリケーションにアクセスします。Edge 仮想 IP アドレスで HTTPS セッションが終了し、セッションがクライアント証明書を要求します。

1 ルート認証局 (CA) によって署名された Web サーバ証明書を追加します。詳細については、シナリオ：SSL 証明書のインポートを参照してください。



NSX 6.4.5 以降 1 [アプリケーションプロファイルタイプ (Application Profile Type)] ドロップダウンメニューで、

[HTTPS End-to-End] を選択します。

2 [クライアント SSL (Client SSL)] - [認証局 (CA) 証明書 (CA Certificates)] の順にクリックします。


4 [クライアント認証 (Client Authentication)] ドロップダウンメニューで、[必要 (Required)] を選択しま

す。


2 [仮想サーバ証明書 (Virtual Server Certificates)] - [認証局 (CA) 証明書 (CA Certificates)] の順にク

リックします。認証局 (CA) がクライアント証明書を確認します。



す。

NSX 管理ガイド

VMware, Inc. 380

3 仮想サーバを作成します。仮想サーバのパラメータを指定する方法については、シナリオ：SSL 証明書のインポ

ートを参照してください。

注： NSX 6.4.4 以前で、アプリケーションプロファイルで [プール側の SSL の有効化 (Enable Pool Side SSL)] オプションが無効になっていると、選択したプールは HTTP サーバで設定されています。アプリケーシ

ョンプロファイルで [プール側の SSL の有効化 (Enable Pool Side SSL)] オプションが有効になっている場

合、選択したプールは HTTPS サーバで設定されています。

4 ルート認証局 (CA) により署名されたクライアント証明書をブラウザに追加します。

5 a Web サイト https://www.sslshopper.com/ssl-converter.html に移動します。

b 証明書とプライベートキーを pfx ファイルに変換します。証明書とプライベートキーの例については、

例：証明書とプライベートキーを参照してください。

c pfx ファイルをブラウザにインポートします。

サーバ認証

クライアントは HTTPS 経由で Web アプリケーションにアクセスします。HTTPS セッションが Edge 仮想 IP アドレスで終了します。この Edge はサーバへの HTTPS 接続を新たに確立し、サーバ証明書を要求して検証しま

す。

NSX Edge は、特定の暗号を受け入れます。

1 サーバー証明書認証のルート CA 証明書とチェーンされている Web サーバ証明書を追加します。詳細につい

ては、シナリオ：SSL 証明書のインポートを参照してください。

NSX 管理ガイド

VMware, Inc. 381

https://www.sslshopper.com/ssl-converter.html



NSX 6.4.5 以降 1 [アプリケーションプロファイルタイプ (Application Profile Type)] ドロップダウンメニューで、

[HTTPS End-to-End] を選択します。

2 [サーバ SSL (Server SSL)] - [認証局 (CA) 証明書 (CA Certificates)] の順にクリックします。

3 [暗号 (Cypher)] の横にある [編集 (Edit)]（）アイコンをクリックして、暗号を選択します。

4 [サーバ認証 (Server Authentication)] オプションを有効にします。

5 手順 1 で追加した認証局 (CA) 証明書を選択します。


2 [プール側の SSL の有効化 (Enable Pool Side SSL)] チェックボックスを選択します。

3 [プール証明書 (Pool Certificates)] - [認証局 (CA) 証明書 (CA Certificates)] の順にクリックします。

認証局 (CA) が、バックエンドの HTTPS サーバのクライアント証明書を確認します

4 [サーバ認証 (Server Authentication)] チェックボックスを選択します。

5 手順 1 で追加した認証局 (CA) 証明書を選択します。

6 [暗号 (Cipher)] リストから、必要な暗号を選択します。

注：選択した暗号が承認済みの暗号スイートリストに含まれていない場合、デフォルトにリセットされます。

以前の NSX バージョンからアップグレードした後に、暗号が null または空になったり、古いバージョンの承

認済み暗号リストに含まれていない場合は、デフォルトにリセットされます。


す。

3 仮想サーバを作成します。仮想サーバのパラメータを指定する方法については、シナリオ：SSL 証明書のインポ

ートを参照してください。

注： NSX 6.4.4 以前では、アプリケーションプロファイルで [プール側の SSL の有効化 (Enable Pool Side SSL)] オプションが無効になっている場合、選択したプールは HTTP サーバで設定されています。アプリケー

ションプロファイルで [プール側の SSL の有効化 (Enable Pool Side SSL)] オプションが有効になっている

場合、選択したプールは HTTPS サーバで設定されています。

NSX 管理ガイド

VMware, Inc. 382

その他の Edge サービス 17NSX Services ゲートウェイは、IP アドレスのプーリング、1 対 1 の固定 IP アドレス割り当て、外部 DNS サーバ

構成をサポートします。

上記のサービスを使用する前に、NSX Edge インスタンスが動作している必要があります。NSX Edge のセット

アップの詳細については、NSX Edge 設定を参照してください。


n DHCP サービスの管理

n DHCP リレーの設定

n DNS サーバの構成

DHCP サービスの管理

NSX Edge は、IP アドレスのプーリングと 1 対 1 の固定 IP アドレス割り当てをサポートします。固定 IP アドレス

バインディングは vCenter Server の管理するオブジェクト ID と、リクエストするクライアントのインターフェイ

ス ID を基にします。

NSX Edge DHCP サービスは以下のガイドラインに従います。

n DHCP 検出のために、NSX Edge の内部インターフェイスで待機します。

n NSX Edge 上の内部インターフェイスの IP アドレスを、すべてのクライアント（ただし、直接接続されていな

いプールを除く）のデフォルトゲートウェイアドレスとして、またコンテナネットワークの内部インターフェ

イスのブロードキャストとサブネットマスクの値として使います。

注：設計上、DHCP サービスは、NSX Edge の内部インターフェイスでサポートされます。ただし、場合によっ

ては、Edge のアップリンクインターフェイスで DHCP を設定して、内部インターフェイスを設定しないことも可

能です。この場合、Edge はアップリンクインターフェイスで DHCP クライアント要求を待機し、DHCP クライ

アントに IP アドレスを動的に割り当てます。その後、同じ Edge で内部インターフェイスを設定すると、Edge が内部インターフェイスで DHCP クライアント要求の待機を開始するため、DHCP サービスは動作を停止します。

以下の状況では、クライアントの仮想マシン上の DHCP サービスを再起動する必要があります。

n DHCP プール、デフォルトゲートウェイ、または DNS サーバを変更または削除した場合。

n NSX Edge インスタンスの内部 IP アドレスを変更した場合。

VMware, Inc. 383

DHCP IP アドレスプールの追加

DHCP サーバには IP アドレスプールが必要です。

IP アドレスプールとは、ネットワーク内の連続した IP アドレスの範囲です。アドレスバインディングを持たない

NSX Edge によって保護されている仮想マシンには、このプールから IP アドレスが割り当てられます。IP アドレ

スプールの範囲は互いに交わることはないため、1 つの IP アドレスは、必ず 1 つの IP アドレスプールに属するこ

とになります。

手順




4 [管理 (Manage)] - [DHCP] の順にクリックします。


6 新しい DHCP IP アドレスプールに次の一般オプションを設定します。

オプションアクション

開始 IP アドレスプールの開始 IP アドレスを入力します。

終了 IP アドレスプールの終了 IP アドレスを入力します。

ドメイン名 DNS サーバのドメイン名を入力します。この設定はオプションです。

DNS の自動設定 DHCP 割り当てに DNS サービス設定を使用することを選択します。

プライマリネームサーバ [DNS の自動設定 (Auto Configure DNS)] を選択していない場合は、DNS サービスの

[プライマリネームサーバ (Primary Nameserver)] を入力します。hostname-to-IP アドレス解決のために DNS サーバの IP アドレスを入力する必要があります。この設定はオプ

ションです。

セカンダリネームサーバ [DNS の自動設定 (Auto Configure DNS)] を選択していない場合は、DNS サービスの

[セカンダリネームサーバ (Secondary Nameserver)] を入力します。hostname-to-IP アドレス解決のために DNS サーバの IP アドレスを入力する必要があります。この設定は

オプションです。

デフォルトゲートウェイデフォルトのゲートウェイアドレスを入力します。デフォルトのゲートウェイ IP アドレスを

指定しない場合は、NSX Edge インスタンスの内部インターフェイスがデフォルトゲートウ

ェイとして取得されます。この設定はオプションです。

サブネットマスクサブネットマスクを指定します。分散ルーターの場合に備えて、サブネットマスクは Edge インターフェイスまたは DHCP リレーのサブネットマスクと同じにする必要があります。

リースの有効期限なしアドレスを仮想マシンの MAC アドレスに永久に割り当てることを選択します。これを選択

すると、[リース時間 (Lease Time)] が無効になります。

リース時間クライアントへの IP アドレスのリース期間を、デフォルトの期間（1 日）にするか、秒数で指

定します。[リースの有効期限なし (Lease never expires)] を選択した場合、リース時間は

指定できません。この設定はオプションです。

NSX 管理ガイド

VMware, Inc. 384

7 （オプション）次の DHCP オプションを設定します。


次のサーバ PXE ブートまたは bootp が使用し、次にブートする TFTP サーバ。

TFTP サーバ名（オプション 66）デバイスが Bootfile 名（オプション 67）で指定されたファイルをダウンロードするときに使

用するユニキャスト IPv4 アドレスまたはホスト名を入力します。

TFTP サーバアドレス（オプション 150） 1 台以上の TFTP サーバの IPv4 アドレスを入力します。

Bootfile 名（オプション 67） TFTP サーバ名（オプション 66）で指定されたサーバからダウンロードする Bootfile ファ

イルの名前を入力します。

インターフェイス MTU（オプション 26）最大転送ユニット (MTU) は、2 台のホスト間でパケットを分割せずに送信可能な最大フレー

ムサイズです。このオプションでは、インターフェイスで使用される MTU サイズを指定しま

す。各プールおよび静的割り当てには、1 つの MTU サイズ（バイト単位）を設定できます。

MTU の最小値は 68 バイトで、最大値は 65535 バイトです。DHCP サーバにインターフェ

イス MTU が設定されていない場合、DHCP クライアントは、OS に設定されたインターフ

ェイス MTU のデフォルト値を使用します。

クラスレススタティックルート（オプション

121）1 つのクラスレススタティックルートオプションで、同じ宛先に複数のルートを指定できま

す。各ルートは、宛先サブネット、サブネットマスク、ネクストホップルーターで構成され

ます。スタティックルートでは、0.0.0.0/0 は無効なサブネットになります。クラスレススタティックルートとオプション 121 の詳細については、RFC 3442 を参照してください。


b 宛先とネクストホップルーターの IP アドレスを入力します。

NSX 6.2.5 以降では、クラスレススタティックルートとデフォルトゲートウェイの両方を

持つ Edge Services Gateway で DHCP プールを構成すると、デフォルトゲートウェイ

がクラスレススタティックルートとして追加されます。


DHCP サービスの開始

DHCP サービスを開始すると、NSX Edge が、指定した IP アドレスプールから仮想マシンに IP アドレスを自動

的に割り当てます。

前提条件

DHCP IP アドレスプールが追加されている必要があります。

手順





5 [開始 (Start)] をクリックします。

6 （オプション）ログポリシーを有効にして、ログレベルを選択します。


NSX 管理ガイド

VMware, Inc. 385

結果

重要：悪意のあるユーザーが不正な DHCP サーバを展開できないように、ファイアウォールルールを作成するこ

とをおすすめします。これを実行するには、DHCP サーバの有効な IP アドレスでトラフィックが送受信されるとき

に、ポート 67 と 68 にのみ UDP トラフィックを許可するファイアウォールルールを追加します。詳細について

は、ファイアウォールルールの使用を参照してください。

次のステップ

IP アドレスプールと割り当てを作成します。

DHCP IP アドレスプールの編集

DHCP IP アドレスプールを編集して、IP アドレスを追加または削除できます。

手順





5 DHCP プールを選択し、[編集 (Edit)] アイコンをクリックします。

6 必要な変更を行い、[追加 (Add)] または [OK] をクリックします。

DHCP 静的割り当ての追加

仮想マシン上で動作しているサービスがあり、IP アドレスを変更したくない場合は、IP アドレスを仮想マシンの

MAC アドレスに割り当てることができます。割り当てる IP アドレスは、IP アドレスプールと重複しないようにし

てください。

手順





5 左側のパネルから [割り当て (Bindings)] を選択します。


7 2 つの割り当てオプションのいずれかを選択します。

n [仮想マシン NIC 割り当ての使用 (Use VM NIC Binding)]：仮想マシンの vNIC インデックスが分かって

いる場合に、このオプションを選択します。NSX は、vNIC インデックスから MAC アドレスを決定し、

仮想マシンの IP アドレスを MAC アドレスに割り当てます。

NSX 管理ガイド

VMware, Inc. 386

n [MAC 割り当ての使用 (Use MAC Binding)]：仮想マシンの MAC アドレスを分かっていて、このアドレ

スを IP アドレスの静的割り当てに使用する場合、このオプションを選択します。

8 DHCP 割り当ての全般設定を行います。

a 次のいずれかを行います。

n [仮想マシン NIC 割り当ての使用 (Use VM NIC Binding)] オプションを選択した場合は、割り当てる

インターフェイス、仮想マシン、IP アドレスに割り当てる仮想マシンの vNIC インデックスを選択しま

す。

n [MAC 割り当ての使用 (Use MAC Binding)] オプションを選択した場合は、静的割り当てに使用する

仮想マシンの MAC アドレスを入力します。

b 他の全般設定を指定します。

これらのオプションは、仮想マシンの NIC 割り当てと MAC 割り当てで共通です。


ホスト名 DHCP クライアント仮想マシンのホスト名を入力します。

IP アドレス選択した仮想マシンの MAC アドレスを割り当てるアドレスを入力します。

[サブネットマスク (Subnet Mask)] サブネットマスクを指定します。分散ルーターの場合に備えて、サブネットマスクは

Edge インターフェイスまたは DHCP リレーのサブネットマスクと同じである必要があ

ります。

[ドメイン名 (Domain Name)] DNS サーバのドメイン名を入力します。

[デフォルトゲートウェイ (Default Gateway)]

デフォルトのゲートウェイアドレスを入力します。デフォルトのゲートウェイ IP アドレ

スを指定しない場合は、NSX Edge インスタンスの内部インターフェイスがデフォルト

ゲートウェイとして取得されます。

[リースの有効期限なし (Lease never expires)]

アドレスを仮想マシンの MAC アドレスに永久に割り当てることを選択します。

[リース時間 (Lease Time)] [リースの有効期限なし (Lease never expires)] を選択していない場合は、アドレスを

クライアントにデフォルトの期間（1 日）リースするか、秒数で値を指定するかを選択しま

す。

9 DNS を設定します。


DNS の自動設定 DHCP 割り当てに DNS サービス設定を使用することを選択します。

プライマリネームサーバ [DNS の自動設定 (Auto Configure DNS)] を選択していない場合は、DNS サービスの

[プライマリネームサーバ (Primary Nameserver)] を入力します。hostname-to-IP アドレス解決のために DNS サーバの IP アドレスを入力する必要があります。

セカンダリネームサーバ [DNS の自動設定 (Auto Configure DNS)] を選択していない場合は、DNS サービスの

[セカンダリネームサーバ (Secondary Nameserver)] を入力します。hostname-to-IP アドレス解決のために DNS サーバの IP アドレスを入力する必要があります。

10 （オプション） DHCP オプションを指定します。DHCP オプションの設定の詳細については、DHCP IP アドレ

スプールの追加の手順 7 を参照してください。

11 [追加 (Add)] をクリックして、[変更の発行 (Publish Changes)] をクリックします。

NSX 管理ガイド

VMware, Inc. 387

DHCP 割り当ての編集

仮想マシンの MAC アドレスに割り当てる固定 IP アドレスに、異なるアドレスを割り当てます。

手順





5 左側のパネルから [割り当て (Bindings)] を選択し、編集する割り当てをクリックします。

6 [編集 (Edit)] アイコンをクリックします。


DHCP リレーの設定

DHCP (Dynamic Host Configuration Protocol) リレーを使用すると、環境で IP アドレス管理を中断すること

なく、NSX 内から既存の DHCP インフラストラクチャを活用することが可能になります。DHCP メッセージは、

仮想マシンから、物理環境にある指定された DHCP サーバにリレーされます。これにより、NSX 内の IP アドレス

が他の環境の IP アドレスと同期した状態を維持できます。

DHCP は分散論理ルーターポートに適用され、複数の DHCP サーバがリストされる可能性があります。要求は、

リストされたすべてのサーバに送信されます。DHCP 要求がクライアントからリレーされている間に、ゲートウェイ

IP アドレスがその要求に追加されます。外部の DHCP サーバは、このゲートウェイアドレスを使用してプールを照

合し、要求に対する IP アドレスを割り当てます。ゲートウェイアドレスは、リレーが実行されている NSX ポート

のサブネットに属している必要があります。

複数の IP アドレスドメインをサポートするために、論理スイッチごとに異なる DHCP サーバを指定し、分散論理ル

ーターごとに複数の DHCP サーバを設定することができます。

注： DHCP OFFER に論理インターフェイス (LIF) と異なる IP アドレスがある場合、分散論理ルーターは仮想マ

シンにリレーしません。パケットがドロップされます。

DHCP サーバでプールおよびバインドを設定する場合、リレーされるクエリのプール/バインドのサブネットマスク

が DHCP リレーのインターフェイスと同じであることを確認してください。サブネットマスク情報は、仮想マシン

と DHCP サービスを提供する Edge の間で分散論理ルーターが DHCP リレーとして機能しているときに、API で提供する必要があります。このサブネットマスクは、分散論理ルーターの仮想マシンのゲートウェイインターフェ

イスで設定したものと一致する必要があります。

NSX 管理ガイド

VMware, Inc. 388


論理スイッチ

論理スイッチ

NSX

DHCPサーバ Y

リレー

DHCPサーバ X

サーバ Y

注： n DHCP リレーでは、重複する IP アドレス空間はサポートしません（オプション 82）。

n DHCP リレーと DHCP サービスを 1 つのポート/vNIC で同時に実行することはできません。ポート上でリレ

ーエージェントが設定されている場合、DHCP プールをこのポートのサブネットに設定することはできません。

DHCP リレーサーバの追加

DHCP メッセージのリレー先となる外部リレーサーバを追加します。リレーサーバは、IP セット、IP アドレスブロック、ドメイン、またはこれらのすべての組み合わせになります。メッセージは、リストされている各 DHCP サーバにリレーされます。

前提条件

n DHCP リレーでは、重複する IP アドレス空間はサポートしません（オプション 82）。

n DHCP リレーと DHCP サービスを 1 つのポート/vNIC で同時に実行することはできません。ポート上でリレ

ーエージェントが設定されている場合、DHCP プールをこのポートのサブネットに設定することはできません。

n DHCP OFFER に論理インターフェイス (LIF) と異なる IP アドレスが含まれる場合、分散論理ルーターは仮想

マシンにリレーしません。パケットはドロップします。

NSX 管理ガイド

VMware, Inc. 389

手順




3 [管理 (Manage)] - [DHCP] - [リレー (Relay)] の順にクリックします。

4 [DHCP リレーグローバル設定 (DHCP Relay Global Configuration)] の横にある [編集 (Edit)] をクリッ

クします。

5 これらのいずれかの方法を使用するか、これらの方法を組み合わせて DHCP リレーサーバを追加します。

方法説明

IP セットの選択 NSX 6.4.4 以降：

n [使用可能なオブジェクト (Available Objects)] リストから IP セットを選択し、[選択

したオブジェクト (Selected Objects)] リストに移動します。

NSX 6.4.3 以前：

a [追加 (Add)]アイコンをクリックします。

b [使用可能なオブジェクト (Available Objects)] リストから IP セットを選択し、[選択

したオブジェクト (Selected Objects)] リストに移動します。

IP アドレスの指定 IP アドレスのリストをカンマ区切りで入力します。

ドメイン名の指定ドメイン名のリストをカンマ区切りで入力します。たとえば、

group1.vmware.com,group2.vmware.com と入力します。

ファイアウォールにドメインの IP アドレスが手動で追加されていることを確認します。


DHCP リレーエージェントの追加

DHCP 要求を外部 DHCP リレーサーバにリレーする Edge インターフェイスを追加します。

手順




3 [管理 (Manage)] - [DHCP] - [リレー (Relay)] の順にクリックします。

4 [DHCP リレーエージェント (DHCP Relay Agent)] 領域で、[追加 (Add)] をクリックします。

5 [vNIC] で、内部 vNIC が選択されていることを確認します。

[ゲートウェイ IP アドレス (Gateway IP Address)] には、選択した vNIC のプライマリ IP アドレスが表示さ

れます。


NSX 管理ガイド

VMware, Inc. 390

DNS サーバの構成

NSX Edge では、外部の DNS サーバを構成できます。Edge は、ネットワーク名を解決するため、クライアント

アプリケーションから DNS サーバに DNS 要求を転送します。Edge は、DNS サーバから受信した応答をキャッ

シュに保存する場合があります。DNS サービスは、Cross-vCenter NSX 環境の Edge Services Gateway、分

散論理ルーター、ユニバーサル分散論理ルーターでサポートされます。

手順




4 移動して、DNS の設定を編集します。


NSX 6.4.4 以降 a [管理 (Manage)] - [DNS] の順にクリックします。

b [DNS 設定] の横にある [変更 (Change)] をクリックします。


す。

b [DNS 設定 (DNS Configuration)] パネルで、[変更 (Change)] をクリックします。

5 [DNS サービスの有効化 (Enable DNS Service)] をクリックします。

6 1 つまたは両方の DNS サーバの IP アドレスを入力します。

7 必要に応じてデフォルトのキャッシュサイズを変更します。デフォルトのサイズは 16 MB です。

8 DNS トラフィックをログに記録するには、[ログの有効化 (Enable Logging)] をクリックして、ログレベル

を選択します。デフォルトのログレベルは info です。

生成されたログは Syslog サーバに送信されます。


NSX 管理ガイド

VMware, Inc. 391

Service Composer 18Service Composer では、ネットワークおよびセキュリティサービスを仮想インフラストラクチャ内のアプリケー

ションにプロビジョニングして割り当てることができます。これらのサービスをセキュリティグループにマッピン

グすると、サービスがセキュリティグループの仮想マシンに適用されます。

セキュリティグループ

まず、保護する資産を定義するためにセキュリティグループを作成します。特定の仮想マシンを含む固定のセキュリ

ティグループか、動的なセキュリティグループを作成できます。動的なセキュリティグループの場合は、次の方法

でメンバーシップを定義できます。

n vCenter Server コンテナ（クラスタ、ポートグループ、またはデータセンター）

n セキュリティタグ、IPset、MACset、または他のセキュリティグループ。たとえば、指定したセキュリティ

タグ（AntiVirus.virusFound など）でタグ付けされたメンバーのすべてをセキュリティグループに追加する

ための基準を含めることができます。

n ディレクトリグループ（NSX Manager が Active Directory に登録されている場合）

n VM1 という名前の仮想マシンなどの正規表現

セキュリティグループメンバーシップは常に変動します。たとえば、AntiVirus.virusFound タグが付けられた仮

想マシンは、検疫セキュリティグループに追加されます。ウイルスがクリーンアップされ、このタグが仮想マシンか

ら削除されると、検疫セキュリティグループから除外されます。

重要：移動またはコピーで仮想マシンの仮想マシン ID が再生成された場合、セキュリティタグは新しい仮想マシ

ン ID に伝達されません。

セキュリティポリシー

セキュリティポリシーは、次のサービス設定の集合体です。

VMware, Inc. 392

表 18-1. セキュリティポリシーに含まれるセキュリティサービス

サービス説明適用先

ファイアウォール

ルール

セキュリティグループとの間、またはセキュリティグループ内で許可されるトラフィック

を定義するルール。

vNIC

Endpoint サービ

ス

アンチウイルスや脆弱性管理サービスなどのサードパーティソリューションプロバイダの

サービス。

仮想マシン

ネットワークイン

トロスペクション

サービス

ネットワークを監視するサービス（IPS など）。仮想マシン

サードパーティベンダーのサービスは、NSX でのサービスのデプロイ時にサービスカテゴリを選択します。各ベ

ンダーテンプレートに、デフォルトのサービスプロファイルが作成されます。

サードパーティベンダーのサービスが NSX 6.1 にアップグレードされる際、アップグレードされるベンダーテン

プレートに、デフォルトのサービスプロファイルが作成されます。ゲストイントロスペクションルールを含む既存

のサービスポリシーは、アップグレード中に作成されたサービスプロファイルを参照するように更新されます。

セキュリティグループへのセキュリティポリシーのマッピング

セキュリティポリシー（SP1 など）をセキュリティグループ（SG1 など）にマッピングします。SP1 に設定された

サービスは、SG1 のメンバーであるすべての仮想マシンに適用されます。

注：同じセキュリティポリシーを適用する必要がある多数のセキュリティグループがある場合、1 つのアンブレラ

セキュリティグループを作成し、その中にそれらのすべての子セキュリティグループを格納して、そのアンブレラ

セキュリティグループに共通セキュリティポリシーを適用します。これにより、NSX 分散ファイアウォールが

ESXi ホストメモリを効率的に利用できるようになります。

図 18-1. Service Composer の概要


仮想マシンが複数のセキュリティグループに属している場合は、セキュリティグループにマッピングされたセキュ

リティポリシーの優先順位に応じて、仮想マシンにサービスが適用されます。

Service Composer プロファイルをエクスポートおよびインポートして、他の環境で使用することができます。ネ

ットワークおよびセキュリティサービスをこの方法で管理すると、繰り返し利用可能で実用的なセキュリティポリ

シー管理が可能になります。

NSX 管理ガイド

VMware, Inc. 393


n Service Composer の使用

n Service Composer キャンバス

n セキュリティタグの操作

n 有効なサービスの表示

n セキュリティポリシーの操作

n セキュリティポリシー設定のインポートとエクスポート

n Service Composer のシナリオ

Service Composer の使用

Service Composer を使用すると、セキュリティサービス容易に利用できます。

ここでは、例を追いながら、ネットワークのエンドツーエンドの保護に　Service Composer をどのように利用す

るかを確認します。環境に次のセキュリティポリシーが定義されているとします。

n 脆弱性スキャンサービスを含む、初期状態のセキュリティポリシー (InitStatePolicy)

n ファイアウォールルール、アンチウイルスサービス、およびネットワーク IPS サービスを含む、修正セキュリ

ティポリシー (RemPolicy)

RemPolicy の重み（優先順位）が InitStatePolicy の重みよりも高いことを確認します。

また、次のセキュリティグループも設定しているとします。

n 環境内の業務上重要なアプリケーションを含むアプリケーション資産グループ (AssetGroup)

n 仮想マシンが脆弱であることを示すタグ

(VULNERABILITY_MGMT.VulnerabilityFound.threat=medium) で定義された、RemGroup という名

前の修正セキュリティグループ

次に、InitStatePolicy を AssetGroup にマッピングして環境内の業務上重要なアプリケーションすべてを保護し

ます。また、RemPolicy を RemGroup にマッピングして脆弱な仮想マシンを保護します。

脆弱性スキャンを開始すると、AssetGroup 内のすべての仮想マシンがスキャンされます。スキャンで脆弱性のあ

る仮想マシンが特定された場合、VULNERABILITY_MGMT.VulnerabilityFound.threat=medium タグがその

仮想マシンに適用されます。

Service Composer は即座にこのタグ付けされた仮想マシンを RemGroup に追加します。RemGroup には、追

加された脆弱な仮想マシンは保護するためのネットワーク IPS ソリューションが設定されています。

NSX 管理ガイド

VMware, Inc. 394

図 18-2. 動作中の Service Composer

パートナーソリューションパートナーソリューション

ビジネスクリティカルなアプリケーションの


VULNERABILITY_MGMT,VulnerabilityFound.threat

=medium

タグ付きの仮想マシン


=medium

修正セキュリティグループ


=medium

ビジネスクリティカルなアプリケーション

脆弱性スキャン

次に、このトピックでは Service Composer が提供するセキュリティサービスを使用するための手順について説

明します。

手順

1 Service Composer でのセキュリティグループの作成

NSX Manager レベルでセキュリティグループを作成できます。

2 グローバル設定

3 セキュリティポリシーの作成

セキュリティポリシーは、セキュリティグループに適用可能な一連のゲストイントロスペクション、ファイ

アウォール、およびネットワークイントロスペクションサービスです。セキュリティポリシーが表示される

順序は、ポリシーに関連付けられた重みによって決まります。デフォルトでは、新しいポリシーには、テーブ

ルの最上位になるように最も大きい重みが割り当てられます。ただし、デフォルトの推奨される重みを変更し

て、新しいポリシーに割り当てられた順序を変更できます。

4 セキュリティグループへのセキュリティポリシーの適用

セキュリティポリシーをセキュリティグループに適用して、仮想デスクトップ、ビジネス上重要なアプリケー

ション、およびその間の接続を保護することができます。適用されなかったサービスと適用に失敗した理由の

リストも表示できます。

Service Composer でのセキュリティグループの作成


NSX 管理ガイド

VMware, Inc. 395

前提条件

RDSH で使用するセキュリティポリシーを作成する場合は、次のことを確認してください。









手順

手順


(Security)] - [Service Composer] の順に移動します。

2 [セキュリティグループ (Security Groups)] タブを表示していることを確認します。

3 [セキュリティグループの追加 (Add Security Group)] または [追加 (Add)] アイコンをクリックします。

RDSH の Identity Firewall で使用するセキュリティグループでは、作成時に[送信元でユーザー ID を有効に

する]が選択されたセキュリティポリシーを使用する必要があります。RDSH の Identity Firewall で使用す

るセキュリティグループには、Active Directory (AD) グループのみを含める必要があります。ネストされた

セキュリティグループもすべて AD グループにする必要があります。

4 セキュリティグループの名前と説明を入力して、[次へ (Next)] をクリックします。

5 [動的メンバーシップ] ページで、作成中のセキュリティグループに追加するオブジェクトに必要となる基準を定

義します。

たとえば、指定したセキュリティタグ（AntiVirus.virusFound など）でタグ付けされたメンバーのすべてを

セキュリティグループに追加するための基準を含めることができます。

または、W2008 という名前を含むすべての仮想マシンや、論理スイッチ global_wire に含まれる仮想マシン

をセキュリティグループに追加することもできます。

セキュリティタグでは大文字と小文字が区別されます。

注：特定のセキュリティタグが適用された仮想マシンでセキュリティグループを定義する場合、動的ワーク

フローまたは条件付きワークフローを作成できます。タグが仮想マシンに適用されるとすぐに、仮想マシンは自

動的にそのセキュリティグループに追加されます。


NSX 管理ガイド

VMware, Inc. 396

7 [含めるオブジェクトの選択] ページで、ドロップダウンからオブジェクトタイプを選択します。

リモートデスクトップセッションで使用するセキュリティグループには、ディレクトリグループのみを含める


8 リストに追加するオブジェクトを選択します。セキュリティグループには次のオブジェクトを含めることがで

きます。

n 作成中のセキュリティグループ内にネストされた他のセキュリティグループ。

n クラスタ


n ネットワーク

n 仮想アプリケーション


n IP セット

n Active Directory グループ

注： NSX セキュリティグループの Active Directory 設定は、vSphere SSO の Active Directory 設定とは異なります。NSX Active Directory グループの設定はゲスト仮想マシンにアクセスするエンド

ユーザー用であり、vSphere SSO は vSphere および NSX を使用する管理者用です。

n MAC セット

注： Service Composer では、ポリシー設定に MAC セットが含まれているセキュリティグループの使

用が許可されていますが、特定の MAC セット用のルールを適用することはできません。Service Composer はレイヤー 3 で動作し、レイヤー 2 構造をサポートしません。

n セキュリティタグ

n vNIC

n 仮想マシン


n 分散仮想ポートグループ

ここで選択したオブジェクトは、動的基準を満たすかどうかにかかわらず、常にセキュリティグループに含まれ

ます。

セキュリティグループに 1 つのリソースを追加すると、関連するすべてのリソースも自動的に追加されます。た

とえば、仮想マシンを選択すると、関連する vNIC が自動的にセキュリティグループに追加されます。

9 [次へ (Next)] をクリックして、セキュリティグループから除外するオブジェクトをダブルクリックします。

ここで選択されるオブジェクトは、動的基準に一致する場合やリストに選定されている場合でも、常にセキュリ

ティグループから除外されます。


NSX 管理ガイド

VMware, Inc. 397

例

セキュリティグループのメンバーシップは、次のように決まります。

{式の結果（手順手順 5 から派生）+ 含まれるアイテム（手順手順 8 で指定} - 除外されるアイテム（手順手順 9 で指定）。つまり、式の結果では、含まれるアイテムが最初に追加されます。次に、除外されるアイテムが、結合され

た結果から差し引かれます。

グローバル設定

Service Composer ファイアウォールの適用先設定の編集

Service Composer から作成されたすべてのファイアウォールルールの適用先を、分散ファイアウォールまたはポ

リシーのセキュリティグループに設定できます。デフォルトでは、適用先は分散ファイアウォールに設定されていま

す。

Service Composer ファイアウォールルールの適用先が分散ファイアウォールに設定されているとき、ルールは分

散ファイアウォールがインストールされているすべてのクラスタに適用されます。ファイアウォールルールがポリ

シーのセキュリティグループに適用されるように設定されている場合は、ファイアウォールルールをより詳細に制

御できます。ただし、場合によっては、複数のセキュリティポリシーまたはファイアウォールルールが必要になり

ます。

手順



2 [セキュリティポリシー (Security Policies)] タブをクリックします。

3 グローバルファイアウォールの設定を編集するには、次の手順に従います。

u NSX 6.4.1 以降では、[グローバルファイアウォールの設定] の横にある編集 ( ) アイコンをクリックしま

す。

u NSX 6.4.0 では、[グローバル設定] の横にあるファイアウォールルールの適用先で、[編集 (Edit)] をクリ

ックします。

4 [適用先] のデフォルト設定を選択して、[[OK]] をクリックします。この値により、ファイアウォールルールが

適用される vNIC が決まります。


分散ファイアウォールファイアウォールルールは、分散ファイアウォールがインストールされているすべてのクラス

タに適用されます。

ポリシーのセキュリティグループファイアウォールルールは、セキュリティポリシーが適用されているセキュリティグループ

に適用されます。

適用先のデフォルト設定は、API を介して表示や変更ができます。『NSX API ガイド』を参照してください。

RDSH ファイアウォールルールを使用する場合、設定の適用先は [分散ファイアウォール (Distributed Firewall)] にします。RDSH ルールの適用先として [ポリシーのセキュリティグループ (Policy's Security Groups)] は使用できません。

NSX 管理ガイド

VMware, Inc. 398

例：適用先の動作

ここに例として示すシナリオでは、サービスに対するファイアウォールルールのデフォルトアクションが「ブロッ

ク」に設定されています。セキュリティグループは「web-servers」と「app-servers」の 2 種類あり、それぞ

れ仮想マシンが含まれます。次のファイアウォールルールを含むセキュリティポリシー allow-ssh-from-web を作成し、これをセキュリティグループの「app-servers」に適用します。

n 名前：allow-ssh-from-web

n 送信元：web-servers

n 宛先：ポリシーのセキュリティグループ

n サービス：ssh


ファイアウォールルールが分散ファイアウォールに適用される場合は、セキュリティグループ「web-servers」の

仮想マシンからセキュリティグループ「app-servers」の仮想マシンに対して SSL 通信を使用できます。

ファイアウォールルールがポリシーのセキュリティグループに適用される場合は、「app-servers」へのトラフィ

ックがブロックされるため、SSL 通信を使用できません。「app-servers」への SSL 通信を許可するための追加の

セキュリティポリシーを作成して、このポリシーをセキュリティグループ「web-servers」に適用する必要があり

ます。

n 名前：allow-ssh-to-app

n 送信元：ポリシーのセキュリティグループ

n 宛先：app-servers

n サービス：ssh


ファイアウォール設定の同期

ファイアウォールの設定を同期すると、ファイアウォールが設定された Service Composer の設定を同期し、

Service Composer 関連のファイアウォールセクションとルールをファイアウォール側に再作成できます。

ファイアウォールの設定を同期すると、ファイアウォールが設定されたすべての Service Composer の設定を再同

期できます。ファイアウォール側に Service Composer 関連のファイアウォールセクションとルールが再作成さ

れます。この再同期は、ファイアウォールとネットワークイントロスペクションに関連するポリシー構成にのみ使用

できます。この操作を行うと、ファイアウォールのデフォルトセクションの優先順位に従って、すべてのポリシーセクションが作成されます。

注：この処理には時間がかかる場合があります。必要な場合にのみ開始してください。

手順




NSX 管理ガイド

VMware, Inc. 399

3 ファイアウォール設定を同期するには、次の手順に従います。

u NSX 6.4.1 以降では、[同期ステータス] の横にある [同期 (Synchronize)] をクリックします。

u NSX 6.4.0 では、[グローバル設定] の横にある [同期 (Synchronize)] をクリックします。

分散ファイアウォールまたはポリシーセキュリティグループのいずれかにグローバル同期が実行されます。す

べての Service Composer 関連のファイアウォールセクションとルールが同期され、[適用先 (Applied To)] の選択に合わせて変更されます。Service Composer ファイアウォールの適用先設定の編集を参照してくだ

さい。

セキュリティポリシーの作成

セキュリティポリシーは、セキュリティグループに適用可能な一連のゲストイントロスペクション、ファイアウォ

ール、およびネットワークイントロスペクションサービスです。セキュリティポリシーが表示される順序は、ポリ

シーに関連付けられた重みによって決まります。デフォルトでは、新しいポリシーには、テーブルの最上位になるよ

うに最も大きい重みが割り当てられます。ただし、デフォルトの推奨される重みを変更して、新しいポリシーに割り

当てられた順序を変更できます。

前提条件

次のように設定されていることを確認します。

n 必要な VMware 組み込みサービス（分散ファイアウォール、ゲストイントロスペクションなど）がインストー

ルされている。

n 必要なパートナーサービスが NSX Manager サービスに登録されている。

n デフォルトの適用先設定が Service Composer のファイアウォールルールに設定されている。Service Composer ファイアウォールの適用先設定の編集を参照してください。

RDSH の Identity Firewall にセキュリティポリシーフレームワークを作成する場合は、次の条件を満たす必要が

あります。









手順




NSX 管理ガイド

VMware, Inc. 400

3 新しいセキュリティポリシーを作成するには、次の手順に従います。

u NSX 6.4.1 では、[追加 (Add)] をクリックします。

u NSX 6.4.0 では、[セキュリティポリシーの作成 (Create Security Policy)]（）アイコンをクリック

します。

4 [セキュリティポリシーの作成] または [新しいセキュリティポリシー] ダイアログボックスで、セキュリティ

ポリシーの名前を入力します。

5 セキュリティポリシーの説明を入力します。説明は 255 文字以下にする必要があります。

NSX では、ポリシーにデフォルトの重み（最大の重み + 1000）が割り当てられます。たとえば、既存のポリ

シーの最大の重みが 1200 の場合、新しいポリシーには重み 2200 が割り当てられます。

セキュリティポリシーはその重みに応じて適用されます。つまり、重みが大きいポリシーは重みが小さいポリシ

ーよりも優先順位が高くなります。

6 作成しているポリシーで別のセキュリティポリシーからサービスを受け取るには、[セキュリティポリシーの継

承 (Inherit security policy)] を選択します。親ポリシーを選択します。

新しいポリシーでは、親ポリシーからすべてのサービスが継承されます。


8 [ゲストイントロスペクションサービス] ページで、[追加 (Add)] または [ゲストイントロスペクションサー

ビスの追加 (Add Guest Introspection Service)]（）アイコンをクリックします。

a [ゲストイントロスペクションサービスの追加] ダイアログボックスで、サービスの名前と説明を入力しま

す。

b サービスを適用するか、ブロックするかを指定します。

セキュリティポリシーを継承する場合に、親ポリシーからのサービスをブロックするように選択することも

できます。

サービスを適用する場合、サービスとサービスプロファイルを選択する必要があります。サービスをブロッ

クする場合、ブロックするサービスのタイプを選択する必要があります。

c サービスのブロックを選択する場合、サービスのタイプを選択します。

d ゲストイントロスペクションサービスの適用を選択する場合、[]サービス名を選択します。

選択したサービスのデフォルトのサービスプロファイルが表示されます。これには、関連付けられたベンダ

ーテンプレートでサポートされているサービス機能タイプの情報が含まれます。

e [状態 (State)] で、選択したゲストイントロスペクションサービスを有効にするか、無効にするかを指定

します。

ゲストイントロスペクションサービスを、後で有効にするサービスのプレースホルダとして追加できます。

これは、サービスをオンデマンドで追加する必要がある場合に（新しいアプリケーションなど）特に便利で

す。

NSX 管理ガイド

VMware, Inc. 401

f ゲストイントロスペクションサービスを適用するかどうかを選択します（オーバーライドできません）。選

択したサービスプロファイルで複数のサービス機能タイプがサポートされている場合、これは、デフォルト

で [強制 (Enforce)] に設定されており、変更できません。

セキュリティポリシーでゲストイントロスペクションサービスを適用する場合、このセキュリティポリ

シーを継承する他のポリシーでは、他の子ポリシーより前にこのポリシーを適用する必要があります。この

サービスが適用されていない場合、継承の選択により、子ポリシーが適用された後に親ポリシーが追加され

ます。


上記の手順に従ってさらにゲストイントロスペクションサービスを追加できます。ゲストイントロスペクショ

ンサービスは、サービステーブルの上にあるアイコンを使用して管理できます。

NSX 6.4.0 では、このページのサービスをエクスポートまたはコピーするには、[ゲストイントロスペクション

サービス] ページの右下にあるアイコンをクリックします。


10 [ファイアウォール] ページで、このセキュリティポリシーが適用されるセキュリティグループのファイアウォ

ールルールを定義します。

RDSH の Identity Firewall にセキュリティポリシーを作成するときは、[送信元でユーザー ID を有効にする] を選択する必要があります。この設定を行うと、コンテキストを識別するために TCP 接続の状態が追跡される

ため、ステートレスファイアウォールの有効化オプションが無効になります。ポリシーの更新中に、このフラグ

を変更することはできません。[送信元でユーザー ID を有効にする] を選択してセキュリティポリシーを作成

する場合、継承は使用できません。

a 次のオプションパラメータを有効にするチェックボックスをクリックします。


送信元でユーザー ID を有効にする RDSH の Identity Firewall を使用する場合は、[送信元でユーザ

ー ID を有効にする] を選択する必要があります。この設定を行う

と、コンテキストを識別するために TCP 接続の状態が追跡される

ため、ステートレスファイアウォールの有効化オプションが無効に

なります。

TCP Strict を有効にする各ファイアウォールセクションに TCP Strict を設定できます。

ステートレスファイアウォールを有効にする各ファイアウォールセクションでステートレスファイアウォール


b [追加 (Add)] または[ファイアウォールルールの追加 (Add Firewall Rule)]（）アイコンをクリックし

ます。

c 追加するファイアウォールルールの名前と説明を入力します。

d [許可 (Allow)]、[ブロック (Block)] または [拒否 (Reject)] を選択して、選択された宛先へのトラフィッ

クをルールで許可、ブロック、拒否するのかを示します。

e ルールの送信元を選択します。デフォルトでは、ルールは、このポリシーが適用されるセキュリティグルー

プから受信するトラフィックに適用されます。デフォルトの送信元を変更するには、[選択 (Select)] また

は [変更 (Change)] をクリックし、適切なセキュリティグループを選択します。

NSX 管理ガイド

VMware, Inc. 402

f ルールの宛先を選択します。

注： [送信元] または [宛先]（あるいはその両方）が、このポリシーの適用対象セキュリティグループであ


たとえば、デフォルトの送信元でルールを作成し、[宛先] に Payroll を指定し、[宛先の無効化 (Negate Destination)] を選択したとします。次に、このセキュリティポリシーを Engineering というセキュリテ

ィグループに適用します。これにより、Engineering は Payroll サーバを除くすべてにアクセスできるよ

うになります。

g ルールを適用するサービスまたはサービスグループ、あるいはその両方を選択します。

h [有効 (Enabled)] または [無効 (Disabled)] を選択してルールの状態を指定します。

i このルールに一致するセッションをログに記録するには、[ログ (Log)] を選択します。

ログを有効にするとパフォーマンスに影響が出る場合があります。

j ファイアウォールルールを追加または編集するときに、追加するテキストを [タグ (Tag)] テキストボック

スに入力します。

k [OK] をクリックします。

上記の手順に従ってさらにファイアウォールルールを追加できます。ファイアウォールルールは、ファイアウ

ォールテーブルの上にあるアイコンを使用して管理できます。

NSX 6.4.0 で、このページのルールをエクスポートまたはコピーするには、[ファイアウォール] ページの右下

にあるアイコンをクリックします。

ここで追加したファイアウォールルールは、ファイアウォールテーブルに表示されます。ファイアウォールテーブルの Service Composer ルールは編集しないことをお勧めします。緊急のトラブルシューティングを行

う必要がある場合は、次のように、Service Composer ルールをファイアウォールルールと再同期する必要が

あります。

n NSX 6.4.1 以降では、[セキュリティポリシー] タブで [同期 (Synchronize)] を選択します。

n NSX 6.4.0 では、[セキュリティポリシー] タブの [アクション (Actions)] メニューから [ファイアウォー

ルルールの同期 (Synchronize Firewall Rules)] を選択します。


[ネットワークイントロスペクションサービス] ページには、VMware 仮想環境と統合した NetX サービスが


12 次のオプションパラメータを有効にするチェックボックスをクリックします。



ステートレスファイアウォールを有効にする各ファイアウォールセクションでステートレスファイアウォールを


NSX 管理ガイド

VMware, Inc. 403

13 [追加 (Add)] または [ネットワークイントロスペクションサービスの追加 (Add Network Introspection

Service)]（）アイコンをクリックします。

a 追加するサービスの名前と説明を入力します。

b サービスにリダイレクトするかどうかを選択します。

c サービスの名前とプロファイルを選択します。

d 送信元と宛先を選択します。

e 追加するネットワークサービスを選択します。

選択したサービスに基づいて追加の選択を行うことができます。

f サービスを有効にするか、無効にするかを選択します。

g このルールに一致するセッションをログに記録するには、[ログ] を選択します。

h 追加するテキストを [タグ (Tag)]テキストボックスに入力します。

i [OK] をクリックします。

上記の手順に従ってさらにネットワークイントロスペクションサービスを追加できます。ネットワークイント

ロスペクションサービスは、サービステーブルの上にあるアイコンを使用して管理できます。

NSX 6.4.0 では、このページのサービスをエクスポートまたはコピーするには、[ネットワークイントロスペク

ションサービス] ページの右下にあるアイコンをクリックします。

注： Service Composer ポリシーで使用されるサービスプロファイル用に手動で作成したバインドが上書き

されます。


セキュリティポリシーがポリシーテーブルに追加されます。ポリシーに関連付けられたサービスのサマリの表

示、サービスエラーの表示、またはサービスの編集を行うには、ポリシー名をクリックし、適切なタブを選択し

ます。

次のステップ

セキュリティポリシーをセキュリティグループにマッピングします。

セキュリティグループへのセキュリティポリシーの適用

セキュリティポリシーをセキュリティグループに適用して、仮想デスクトップ、ビジネス上重要なアプリケーショ

ン、およびその間の接続を保護することができます。適用されなかったサービスと適用に失敗した理由のリストも表

示できます。

手順




NSX 管理ガイド

VMware, Inc. 404

3 セキュリティポリシーを選択し、[適用 (Apply)] または [セキュリティポリシーの適用 (Apply Security

Policy)] （）アイコンをクリックします。

4 ポリシーを適用するセキュリティグループを選択します。

RDSH の Identity Firewall で使用するセキュリティグループでは、作成時に[送信元でユーザー ID を有効に

する]が選択されたセキュリティポリシーを使用する必要があります。RDSH の Identity Firewall で使用す

るセキュリティグループには、Active Directory (AD) グループのみを含める必要があります。ネストされた

セキュリティグループもすべて AD グループにする必要があります。

特定のセキュリティタグが適用されている仮想マシンによって定義されるセキュリティグループを選択した場

合、動的または条件付きワークフローを作成できます。タグが仮想マシンに適用されるとすぐに、仮想マシンは

自動的にそのセキュリティグループに追加されます。

ポリシーに関連付けられたネットワークイントロスペクションルールおよび Endpoint ルールは、IPSet およ

び MacSet のメンバー（またはそのいずれか）を含むセキュリティグループに対しては、有効になりません。

5 （オプション）（NSX 6.4.0 の場合のみ）選択したセキュリティグループに適用できないサービスと失敗した

理由を表示するには、[サービスステータスのプレビュー (Preview Service Status)] アイコンをクリックし

ます。

たとえば、セキュリティグループに含まれている仮想マシンが属するクラスタに、ポリシーサービスのいずれ

かがインストールされていない場合があります。セキュリティポリシーが目的どおりに機能するには、そのサー

ビスを該当するクラスタにインストールする必要があります。


Service Composer キャンバス

Service Composer のキャンバスタブでは、選択された NSX Manager 内のすべてのセキュリティグループを

グラフィカルに表示できます。このビューにはまた、各セキュリティグループのメンバーやセキュリティグループ

に適用されているセキュリティポリシーなどの詳細も表示されます。

注： NSX 6.4.1 以降では、[Service Composer] の [キャンバス (Canvas)] タブが削除されています。

ここでは、部分的に設定されたシステムで Service Composer の手順を追うことで、キャンバスビューから概要

レベルでセキュリティグループと Security Policy Object 間のマッピングを視覚的に理解する方法を説明しま

す。

手順



2 [キャンバス (Canvas)] タブをクリックします。

画面上部にある [同期のステータス (Synchronization Status)] に、エラーまたは警告が表示されます。また、

[ファイアウォール発行ステータス (Firewall Publish Status)] には、ファイアウォールルールが最後に発行さ

れた日付と時刻のタイムスタンプが表示されます。

NSX 管理ガイド

VMware, Inc. 405

選択された NSX Manager 内のすべてのセキュリティグループ（他のセキュリティグループには含まれてい

ないもの）が、適用されているポリシーとともに表示されます。[NSX Manager] ドロップダウンリストには、

現在ログインしているユーザーにロールが割り当てられている NSX Manager がすべて表示されます。

結果

キャンバスに表示される長方形のボックスはそれぞれセキュリティグループを表し、ボックス内のアイコンはセキュ

リティグループメンバーとセキュリティグループにマッピングされているセキュリティポリシーに関する詳細を

表します。

図 18-3. セキュリティグループ

各アイコンの横にある数値は、インスタンス数を示します。たとえば、は、そのセキュリティグループに 1 個のセキュリティポリシーがマッピングされていることを示します。

アイ

コンクリックして表示

メインのセキュリティグループ内にネストされているセキュリティグループ。

メインのセキュリティグループとネストされているセキュリティグループに現在含まれる仮想マシン。サービスエラーのある仮想マシンを

表示するには、[エラー] タブをクリックします。

セキュリティグループにマッピングされた有効なセキュリティポリシー。

n 新しいセキュリティポリシーを作成するには、[Security Policy の作成 (Security Policy)] （）アイコンをクリックします。新

しく作成された Security Policy Object は、自動的にセキュリティグループにマッピングされます。

n セキュリティグループに追加のセキュリティポリシーをマッピングするには、[セキュリティポリシーの適用 (Apply Security


セキュリティグループにマッピングされたセキュリティポリシーに関連付けられた有効なエンドポイントサービス。2 つのポリシーがセキ

ュリティグループに適用されていて、どちらにも同じカテゴリの Endpoint サービスが設定されているとします。この場合、有効なサービ

ス数は 1 です（2 つ目の優先度が低い方のサービスはオーバーライドされるため）。

Endpoint サービスの障害があった場合は、アラートアイコンで示されます。アイコンをクリックするとエラーが表示されます。

セキュリティグループにマッピングされたセキュリティポリシーに関連付けられた有効なファイアウォールルール。

失敗したサービスがある場合、アラートアイコンで示されます。アイコンをクリックするとエラーが表示されます。

セキュリティグループにマッピングされたセキュリティポリシーに関連付けられた有効なネットワークイントロスペクションサービス。

失敗したサービスがある場合、アラートアイコンで示されます。アイコンをクリックするとエラーが表示されます。

アイコンをクリックすると、適切な詳細がダイアログボックスに表示されます。

NSX 管理ガイド

VMware, Inc. 406

図 18-4. セキュリティグループでアイコンをクリックすると表示される詳細

セキュリティグループを名前で検索できます。たとえば、キャンバスビューの右上隅にある検索フィールドに PCI と入力すると、名前に PCI が含まれるセキュリティグループのみが表示されます。

セキュリティグループ階層を表示するには、ウィンドウ左上部にある [トップレベル (Top Level)] （）アイコ

ンをクリックして、表示するセキュリティグループを選択します。セキュリティグループにネストされたセキュリ

ティグループが含まれる場合、をクリックするとネストされているグループが表示されます。上部バーには親セ

キュリティグループの名前が表示され、バーのアイコンには、親グループに適用されるセキュリティポリシー、エ

ンドポイントサービス、ファイアウォールサービス、およびネットワークイントロスペクションサービスの総数が

表示されます。元の最上位レベルに戻るには、ウィンドウの左上部分にある [1 つ上のレベルへ移動 (Go up one

level)] （）アイコンをクリックします。

キャンバスビューのズームイン/アウトをスムーズに行うには、ウィンドウの右上隅にあるズームスライダを動かし

ます。[ナビゲータ] ボックスに、キャンバス全体のズームアウトビューが表示されます。キャンバスが大きすぎて画

面に収まらない場合、実際に表示されている領域の周囲にボックスが表示され、そのボックスを動かしてキャンバス

の表示される部分を変更できます。

次のステップ

これでセキュリティグループとセキュリティポリシー間のマッピングの仕組みを確認できたので、セキュリティポリシーの作成を開始して、セキュリティグループに適用するセキュリティサービスを定義できます。

セキュリティポリシーへのセキュリティグループのマッピング

選択されたセキュリティグループをセキュリティポリシーにマッピングできます。

手順

1 セキュリティグループに適用するセキュリティポリシーを選択します。

2 新しいポリシーを作成するには、[新規セキュリティグループ] を選択します。

セキュリティポリシーの作成を参照してください。

3 [保存 (Save)] をクリックします。

セキュリティタグの操作

仮想マシンに適用されているセキュリティタグの表示や、ユーザー定義のセキュリティタグの作成が可能です。

NSX 管理ガイド

VMware, Inc. 407

セキュリティタグはラベルの一種で、仮想マシン (VM) と関連付けることができます。特定のワークロードを識別

するため、複数のセキュリティタグを作成できます。セキュリティグループを照合する際の基準としてセキュリテ

ィタグを使用したり、タグ付けされたワークロードをセキュリティグループに自動的に配置することも可能です。

仮想マシンへのセキュリティタグの追加または削除は、アンチウィルス、脆弱性スキャン、侵入防止システムなどの

さまざまな基準に応じて動的に実行されます。管理者が、タグを手動で追加または削除することもできます。



Cross-vCenter NSX 環境では、ユニバーサルセキュリティタグはプライマリ NSX Manager で作成され、セカ

ンダリ NSX Manager とのユニバーサル同期の対象としてマークされます。ユニバーサルセキュリティタグは、

一意の ID を選択することで、仮想マシンに静的に割り当てることができます。

一意の ID の選択

一意の ID 選択基準は、タグをアクティブ/スタンバイ環境の仮想マシンに割り当てるときに使用されます。

一意の ID は、仮想マシンがスタンバイからアクティブ環境に移動する際に NSX Manager によって使用されます。

一意の ID は、仮想マシンインスタンスの UUID、仮想マシン BIOS の UUID、仮想マシン名、あるいはそれらを組

み合わせてできます。ユニバーサルセキュリティタグが作成され、仮想マシンに接続された後に基準が変わると（仮

想マシン名が変わった場合など）、セキュリティタグを接続解除してから、仮想マシンに再度接続する必要がありま

す。

手順

1 vSphere Web Client で [ホーム (Home)] > [ネットワークとセキュリティ (Networking & Security)] > [インストールとアップグレード (Installation and Upgrade)] の順に移動して [管理 (Management)] タブ


2 プライマリ NSX Manager をクリックして [アクション (Actions)] > [一意の ID 選択基準 (Unique ID Selection Criteria.)] の順に選択します。

3 次の一意の ID のオプションを 1 つ以上選択します。

n 仮想マシンのインスタンス UUID を使用します（推奨）：仮想マシンインスタンスの UUID は vCenter Server ドメイン内で一意ですが、スナップショットを使用した展開などの例外があります。仮想マシンインスタンスの UUID が一意でない場合、仮想マシン BIOS の UUID を仮想マシン名と組み合わせて使用し

てください。

n 仮想マシンの BIOS UUID を使用： BIOS UUID は vCenter Server ドメインで一意であるとは限りませ

んが、災害の発生に備えて常に予約されます。BIOS UUID を仮想マシン名と組み合わせて使用します。

n 仮想マシン名を使用：環境のすべての仮想マシン名が一意の場合、仮想マシン名を使用して vCenter Server 全体の仮想マシンを識別できます。仮想マシン名は、仮想マシンの BIOS UUID と組み合わせて使

用します。


NSX 管理ガイド

VMware, Inc. 408

次のステップ

次に、セキュリティタグを作成します。

適用されているセキュリティタグの表示

環境内の仮想マシンに適用されているセキュリティタグを表示できます。

前提条件

アンチウイルスのスキャンが実行され、適切な仮想マシンにタグが適用されている必要があります。

注：サードパーティのソリューションによって適用されたタグの詳細については、そのソリューションのドキュメ

ントを参照してください。

手順



2 [セキュリティタグ (Security Tags)] タブをクリックします。

環境内で適用されたタグのリストが、タグを適用した仮想マシンの詳細とともに表示されます。特定のタグを使

用する仮想マシンを含めるためにセキュリティグループを追加する場合は、正確なタグ名をメモしておいてくだ

さい。

3 [仮想マシン数 (VM Count)] 列の数値をクリックすると、その行でそのタグが適用された仮想マシンが表示さ

れます。

セキュリティタグの作成

セキュリティタグを作成し、仮想マシンに適用できます。Cross-vCenter NSX 環境では、プライマリとセカンダ

リの NSX Manager 間でセキュリティタグが同期されます。

前提条件

アクティブ/スタンバイ環境にユニバーサルセキュリティタグを作成する場合は、まず、プライマリ NSX Manager に一意の ID 選択基準を設定します。

手順




3 [追加 (Add)] または [新規セキュリティタグ (New Security Tag)] アイコンをクリックします。

4 （オプション） Cross-vCenter NSX 環境で使用するユニバーサルセキュリティタグを作成するには、次の手

順に従います。

n NSX 6.4.1 以降では、[ユニバーサル同期 (Universal Synchronization)] トグルボタンをクリックし、

[有効 (On)] にします。

NSX 管理ガイド

VMware, Inc. 409

n NSX 6.4.0 では、[このオブジェクトをユニバーサル同期の対象としてマーク (Mark this object for Universal Synchronization)] を選択します。

5 タグの名前と説明を入力し、[OK] をクリックします。

次のステップ

セキュリティタグに仮想マシンを割り当てます。

セキュリティタグの割り当て

動的なメンバーシップベースのセキュリティタグを使用して条件付きワークフローを作成するほか、仮想マシンに

手動でセキュリティタグを割り当てることができます。

セキュリティタグを、一致条件としてセキュリティグループで使用できます。Cross-vCenter NSX 環境では、プ

ライマリとセカンダリの NSX Manager 間でセキュリティタグが同期されます。

手順




3 仮想マシンにセキュリティタグを割り当てるには、次の手順に従います。

u NSX 6.4.1 以降では、必要なセキュリティタグの選択して、[仮想マシンの割り当て (Assign VM)] をク


u NSX 6.4.0 では、セキュリティタグを右クリックし、[セキュリティタグの割り当て (Assign Security Tag)] を選択します。

[仮想マシンへのセキュリティタグの割り当て (Assign Security Tag to Virtual Machine)] ウィンドウが

表示され、使用可能な仮想マシンが示されます。

4 1 台以上の仮想マシンを選択して、[選択したオブジェクト (Selected Objects)] 列に移動します。


[セキュリティタグ (Security Tags)] タブが表示され、そのセキュリティタグの更新された仮想マシン数が示

されます。

セキュリティタグの編集

ユーザー定義のセキュリティタグを編集できます。編集するタグに特定のセキュリティグループが紐づいている場

合、そのタグへの変更はセキュリティグループメンバーシップに影響します。

手順




NSX 管理ガイド

VMware, Inc. 410

3 セキュリティタグを編集するには、次の手順に従います。

u NSX 6.4.1 以降では、必要なセキュリティタグの選択して、[編集 (Edit)] をクリックします。

u NSX 6.4.0 では、セキュリティタグを右クリックし、[セキュリティタグの編集 (Edit Security Tag)] を選択します。


セキュリティタグの削除

ユーザー定義のセキュリティタグを削除できます。特定のセキュリティグループが削除するタグに基づいている場

合、そのタグへの変更はセキュリティグループメンバーシップに影響します。

手順




3 セキュリティタグを選択して、[削除 (Delete)] または [セキュリティタグの削除 (Delete Security Tag)]

（）アイコンをクリックします。

有効なサービスの表示

Security Policy Object または仮想マシンで有効なサービスを表示できます。

セキュリティポリシーの有効なサービスの表示

セキュリティボリシーで有効なサービスを表示できます。このサービスには、親ポリシーから継承したサービスが含

まれます。

手順




3 [名前 (Name)] 列のセキュリティポリシーをクリックします。

NSX 管理ガイド

VMware, Inc. 411

4 [セキュリティポリシー] ウィンドウが表示されます。


NSX 6.4.1 以降左側のナビゲーションに、[サマリ (Summary)]、[ファイアウォール

ルール (Firewall Rules)]、[ゲストイントロスペクションサービス

(Guest Introspection Services)]、[ネットワークイントロスペク

ションサービス (Network Introspection Services)]、[子ポリシ

ー (Child Policies)] が表示されます。

ポリシーを編集したり、削除できます。また、セキュリティグループ

に適用することもできます。

NSX 6.4.0 [管理 (Manage)] - [情報セキュリティ (Information Security)] タブの順に移動します。

3 つのタブ（[ゲストイントロスペクションサービス (Guest Introspection Services)]、[ファイアウォールルール (Firewall Rules)]、[ネットワークイントロスペクションサービス (Network Introspection Services)]）それぞれに、対応するセキュリティポリシーのサービスが表示されます。

有効になっていないサービスは淡色表示されます。[オーバーライドさ

れました (Overridden)] 列に実際にセキュリティポリシーに適用さ

れているサービスが表示されます。[設定 (Settings)] で、[全般

(General)]>[継承元 (Inherits from)] 列の順に移動すると、サービ

スの継承元のセキュリティポリシーが表示されます。

セキュリティポリシーのサービス障害の表示

セキュリティポリシーにマッピングされたセキュリティグループへの適用で障害が発生した、セキュリティポリシ

ーに関連付けられているサービスを表示できます。

手順




3 [名前 (Name)] 列のセキュリティポリシーをクリックします。

4 （オプション）（NSX 6.4.0 の場合のみ）[監視 (Monitor)] - [サービスエラー (Service Errors)] タブが開

いていることを確認します。

[ステータス (Status)] 列内のリンクをクリックすると [サービスデプロイ] ページが表示され、サービスエラ

ーを修正できます。

仮想マシンでの有効なサービスの表示

仮想マシンで有効なサービスを表示できます。1 台の仮想マシンに複数のセキュリティポリシーが適用されている

場合（仮想マシンが、ポリシーがマッピングされた複数のセキュリティグループに含まれる場合）、この表示には、

これらのポリシーすべてで有効なすべてのサービスが、適用された順序で一覧表示されます。[サービスステータス] 列には、各サービスのステータスが表示されます。

NSX 管理ガイド

VMware, Inc. 412

手順


2 [vCenter] をクリックし、[仮想マシン (Virtual Machines)] をクリックします。

3 [名前 (Name)] 列の仮想マシンをクリックします。

4 [監視 (Monitor)] - [Service Composer] タブが開かれていることを確認します。

セキュリティポリシーの操作

セキュリティポリシーは、ネットワークサービスとセキュリティサービスのグループです。

次のネットワークサービスとセキュリティサービスは、セキュリティポリシーとしてグループ化できます。

n エンドポイントサービス：アンチウイルスと脆弱性管理

n 分散ファイアウォールルール

n ネットワークイントロスペクションサービス：ネットワーク IPS とネットワークフォレンジック

セキュリティポリシーの優先順位の管理

セキュリティポリシーはその重みに応じて適用されます。つまり、重みが大きいポリシーほど、優先順位が高くなり

ます。テーブル内でポリシーの位置を上下に移動すると、それに応じてポリシーの重みが調整されます。

仮想マシンを含むセキュリティグループに複数のポリシーが関連付けられているか、異なるポリシーが関連付けられ

ている複数のセキュリティグループに仮想マシンが含まれているため、1 台の仮想マシンに複数のセキュリティポリ

シーが適用されることがあります。それぞれのポリシーを使用してグループ化されたサービスの間に競合がある場合

は、ポリシーの重みによって、仮想マシンに適用されるサービスが決まります。たとえば、インターネットアクセス

をブロックするポリシー 1 は重みの値が 1000 で、インターネットアクセスを許可するポリシー 2 は重みの値が

2000 であるとします。この場合は、ポリシー 2 の重みが大きいため、仮想マシンではインターネットアクセスが

許可されます。

手順




3 [管理 (Manage)] または [優先順位の管理 (Manage Priority)]（）アイコンをクリックします。

4 [優先順位の管理] ダイアログボックスで、優先順位を変更するセキュリティポリシーを選択し、[上へ移動

(Move Up)]（）または [下へ移動 (Move Down)]（）をクリックします。

5 オブジェクトを特定のランクに移動するには、[移動先 (Move To)] をクリックします。

必須のランクを入力して、緑色のチェックマークまたは [OK] をクリックします。

新しいランクに応じて重みが再計算されます。

NSX 管理ガイド

VMware, Inc. 413

6 ポリシーの重みを編集するには、[重みの編集 (Edit Weight)] をクリックします。

必須の重みを入力して、緑色のチェックマークまたは [OK] をクリックします。


セキュリティポリシーの編集

セキュリティポリシーの名前、説明、関連付けられているサービスおよびルールを編集できます。

手順




3 編集するセキュリティポリシーを選択し、[編集 (Edit)] または [セキュリティポリシーの編集 (Edit Security


4 [セキュリティポリシーの編集] ダイアログボックスで必要な変更を行い、[終了 (Finish)] をクリックします。

セキュリティポリシーの削除

セキュリティポリシーを削除できます。

手順




3 削除するセキュリティポリシーを選択し、[削除 (Delete)] または [セキュリティポリシーの削除 (Delete

Security Policy)] （）アイコンをクリックします。

セキュリティポリシー設定のインポートとエクスポート

Service Composer を使用すると、NSX Manager から特定のファイル形式でセキュリティポリシー設定をエク

スポートし、別の NSX Manager にインポートできます。

Service Composer では、セキュリティグループを直接エクスポートすることはできません。まず、セキュリティ

ポリシーがセキュリティグループに割り当てられていることを確認してから、そのセキュリティポリシーをエクス

ポートする必要があります。分散ファイアウォールルール、ゲストイントロスペクションルール、ネットワークイントロスペクションルールなどのセキュリティポリシーのすべてのコンテンツと、セキュリティポリシーにバイン

ドされているセキュリティグループがエクスポートされます。

コンテナセキュリティグループにネストされたセキュリティグループが含まれている場合、ネストされたセキュリ

ティグループはエクスポートされません。エクスポート中に、ポリシーにプリフィックスを追加できます。プリフィ

ックスは、ポリシー名、ポリシーアクション名、セキュリティグループ名に適用されます。

NSX 管理ガイド

VMware, Inc. 414

設定を別の NSX Manager にインポートするときに、サフィックスを指定できます。サフィックスは、ポリシー名、

ポリシーアクション名、セキュリティグループ名に適用されます。インポートの実行中に、NSX Manager で同じ

名前のセキュリティグループまたはセキュリティポリシーが見つかると、セキュリティポリシー設定のインポート

に失敗します。

セキュリティポリシー設定のエクスポート

セキュリティポリシーの設定をエクスポートし、デスクトップに保存できます。保存した設定は、ポリシーを誤って

削除した場合のバックアップとして使用したり、別の NSX Manager 環境で使用できるようにエクスポートしたり

できます。

手順




3 エクスポートするセキュリティポリシーを選択します。

4 [詳細 (More)] または [アクション (Actions)] をクリックして、[設定のエクスポート (Export Configuration)] をクリックします。

5 エクスポートするの名前および説明を入力します。

6 必要に応じて、エクスポートするセキュリティポリシーおよびセキュリティグループに追加するプリフィック


指定した接頭辞は、エクスポート先のセキュリティポリシー名に追加されるため、名前が一意になります。


8 [セキュリティポリシーの選択] 画面で、エクスポートするセキュリティポリシーを選択し、[次へ (Next)] をクリックします。

9 [選択項目のプレビュー] または [設定内容の確認] ページに、エクスポートされるセキュリティポリシー、エン

ドポイントサービス、ファイアウォールルール、ネットワークイントロスペクションサービスが表示されま

す。

この画面には、セキュリティポリシーが適用されているセキュリティグループも表示されます。


11 ブループリントファイルのエクスポート先となるコンピュータのディレクトリを選択し、[保存 (Save)] をクリ

ックします。

指定した場所にセキュリティポリシー設定ファイルが保存されます。

セキュリティポリシー設定のインポート

保存したセキュリティポリシー設定をインポートして、バックアップとして利用したり、類似した設定を別の NSX Manager にリストアしたりできます。

NSX 管理ガイド

VMware, Inc. 415

設定をインポートすると、空のセキュリティグループが作成されます。インポート先の環境にすべてのサービス、サ

ービスプロファイル、アプリケーション、アプリケーショングループが存在しないと、インポートが失敗します。

手順




3 [詳細 (More)] または [アクション (Actions)] をクリックして、[設定のインポート (Import Configuration)] をクリックします。

4 インポートするセキュリティポリシー設定ファイルを選択します。

5 必要に応じて、インポートするセキュリティポリシーおよびセキュリティグループに追加するサフィックスを

入力します。

接尾辞を指定すると、インポートするセキュリティポリシー名にその接尾辞が追加されるため、名前が一意にな

ります。


Service Composer によって、構成で参照されるすべてのサービスがインポート先の環境で使用できるかどう

かが検証されます。使用できない場合、[見つからないサービスの管理] 画面が表示されます。このページでは、

見つからないサービスを使用可能なインポート先のサービスにマッピングできます。

[設定内容の確認] 画面に、インポートされるセキュリティポリシー、エンドポイントサービス、ファイアウォ

ールルール、ネットワークイントロスペクションサービスが表示されます。この画面には、セキュリティポリ

シーが適用されているセキュリティグループも表示されます。


インポートされたセキュリティポリシー設定は、インポート先の NSX Manager のセキュリティポリシーテーブルの上部（既存のポリシーの上）に追加されます。セキュリティポリシーで、インポートされたルールとセ

キュリティサービスの元の順序は維持されます。

Service Composer のシナリオ

このセクションでは、Service Composer の仮説シナリオをいくつか説明します。各使用事例では、Security Administrator ロールがすでに作成され、管理者に割り当てられていることが前提となっています。

感染しているマシンを隔離するシナリオ

Service Composer では、サードパーティのアンチウイルスソリューションを使用して感染しているシステムをネ

ットワークで識別し、感染の拡散を防止します。

サンプルシナリオでは、デスクトップを完全に保護する方法を示します。

NSX 管理ガイド

VMware, Inc. 416

図 18-5. Service Composer の設定

管理者のタスク

デスクトップ用のセキュリティポリシーの作成(DesktopPolicy)

デスクトップをスキャンするためのセキュリティポリシーの作成

(DesktopPolicy)

感染したシステムを隔離するためのセキュリティポリシーの作成

(QuarantinePolicy)

感染した仮想マシン用のセキュリティポリシーの作成

(QuarantinePolicy)

Quarantine の QuarantineSecurityGroup

へのマッピング

パートナーソリューションのスキャン実行

DesktopPolicy の DesktopSecurityGroup

へのマッピング

NSX 管理ガイド

VMware, Inc. 417

図 18-6. Service Composer の条件付きワークフロー

管理者のタスク

Service Composer による自動処理

VulnerabilityManagementのスキャン

脆弱性のある仮想マシンのタグ付け

タグ付けされた仮想マシンを QuarantineSecurityGroup に

即座に追加

QuarantineSecurityGroup 内の仮想マシンを IPS で保護

前提条件

Symantec によって、感染した仮想マシンに AntiVirus.virusFound というタグが付けられることがわかって

います。

手順

1 Symantec アンチマルウェアソリューションをインストール、登録、デプロイします。

2 デスクトップにセキュリティポリシーを作成します。

a [セキュリティポリシー (Security Policies)] タブをクリックし、[セキュリティポリシーの追加 (Add Security Policy)] アイコンをクリックします。

b [名前 (Name)] に DesktopPolicy と入力します。

c [説明 (Description)] に、Antivirus scan for all desktops と入力します。

d 重みを 51000 に変更します。他のすべてのポリシーより常に優先されるようにするため、このポリシーの

優先順位は非常に高く設定されています。

e [次へ (Next)] をクリックします。

NSX 管理ガイド

VMware, Inc. 418

f [Endpoint サービスの追加] ページで、をクリックし、次の値を入力します。

オプション値

[アクション (Action)] デフォルト値は変更しないでください

[サービス種別 (Service Type)] Anti Virus

[サービス名 (Service Name)] Symantec アンチマルウェア

[サービス設定 (Service Configuration)]

シルバー

[状態 (State)] デフォルト値は変更しないでください

[強制 (Enforce)] デフォルト値は変更しないでください

[名前 (Name)] デスクトップ AV

[説明 (Description)] すべてのデスクトップに適用する必須ポリシー


h ファイアウォールまたはネットワークイントロスペクションサービスを追加せずに、[終了 (Finish)] をク


3 感染している仮想マシンにセキュリティポリシーを作成します。

a [セキュリティポリシー (Security Policies)] タブをクリックし、[セキュリティポリシーの追加 (Add Security Policy)] アイコンをクリックします。

b [名前] に QuarantinePolicy と入力します。

c [説明] に、Policy to be applied to all infected systems. と入力します。

d デフォルトの重みは変更しないでください。


f [Endpoint サービスの追加] ページでは何も行わず、[次へ (Next)] をクリックします。

g [ファイアウォール] で 3 つのルール（すべての送信トラフィックをブロックするルール、グループを使用し

てすべてのトラフィックをブロックするルール、修正ツールからの受信トラフィックのみ許可するルール）

を追加します。

h ネットワークイントロスペクションサービスを追加せずに、[終了 (Finish)] をクリックします。

4 QuarantinePolicy をセキュリティポリシーテーブルの一番上に移動して、他のすべてのポリシーより確実

に先に適用されるようにします。

a [優先順位の管理 (Manage Priority)] アイコンをクリックします。

b QuarantinePolicy を選択し、[上へ移動 (Move Up)] アイコンをクリックします。

5 環境内のすべてのデスクトップにセキュリティグループを作成します。


b [ネットワークとセキュリティ (Networking & Security)] をクリックし、[Service Composer] をクリ

ックします。

NSX 管理ガイド

VMware, Inc. 419

c [セキュリティグループ (Security Groups)] タブをクリックし、[セキュリティグループの追加 (Add Security Group)] アイコンをクリックします。

d [名前] に DesktopSecurityGroup と入力します。

e [説明] に、All desktops と入力します。

f 次の数ページで [次へ (Next)] をクリックします。

g [設定内容の確認] ページで選択内容を確認し、[終了 (Finish)] をクリックします。

6 感染している仮想マシンを配置する検疫セキュリティグループを作成します。

a [セキュリティグループ (Security Groups)] タブをクリックし、[セキュリティグループの追加 (Add Security Group)] アイコンをクリックします。

b [名前 (Name)] に QuarantineSecurityGroup と入力します。

c [説明 (Description)] に、

Dynamic group membership based on infected VMs identified by the antivirus

scan と入力します。

d [メンバーシップ基準の定義] ページで、をクリックし、次の基準を追加します。

e [含めるオブジェクトの選択] ページおよび [除外するオブジェクトの選択] ページでは何も行わず、[次へ

(Next)] をクリックします。

f [設定内容の確認] ページで選択内容を確認し、[終了 (Finish)] をクリックします。

7 DesktopPolicy ポリシーを DesktopSecurityGroup セキュリティグループにマッピングします。

a [セキュリティポリシー] タブで、DesktopPolicy ポリシーが選択されていることを確認します。

b [セキュリティポリシーの適用 (Apply Security Policy)] （）アイコンをクリックし、SG_Desktops グループを選択します。


このマッピングにより、アンチウイルススキャンがトリガーされたときに、すべてのデスクトップ

（DesktopSecurityGroup の一部）が確実にスキャンされます。

8 キャンバスビューに移動して、QuarantineSecurityGroup に仮想マシンがまだ含まれていないことを確認

します。

a [情報セキュリティ (Information Security)] タブをクリックします。

b グループ内の仮想マシンが 0 であることを確認します（）。

NSX 管理ガイド

VMware, Inc. 420

9 QuarantinePolicy を QuarantineSecurityGroup にマッピングします。

このマッピングにより、感染しているシステムにトラフィックが流れないようになります。

10 Symantec アンチマルウェアコンソールから、ネットワークでスキャンを起動します。

感染している仮想マシンがスキャンで検出され、セキュリティタグ AntiVirus.virusFound が付けられま

す。タグが付けられた仮想マシンは、即座に QuarantineSecurityGroup に追加されます。

QuarantinePolicy では、感染しているシステムとの間のトラフィックは許可されません。

セキュリティ設定のバックアップ

Service Composer を使用すると、セキュリティの設定をバックアップし、後から復旧する操作を効率的に行うこ


手順

1 Rapid 7 Vulnerability Management ソリューションをインストール、登録、デプロイします。

2 SharePoint アプリケーション（Web サーバ）の最初の階層にセキュリティグループを作成します。


b [ネットワークとセキュリティ (Networking & Security)] をクリックし、[Service Composer] をクリ

ックします。

c [セキュリティグループ (Security Groups)] タブをクリックし、[セキュリティグループの追加 (Add Security Group)] アイコンをクリックします。

d [名前 (Name)] に SG_Web と入力します。

e [説明 (Description)] に Security group for application tier と入力します。

f [メンバーシップ基準の定義] ページでは何も行わず、[次へ (Next)] をクリックします。

g [含めるオブジェクトの選択] ページで、Web サーバの仮想マシンを選択します。

h [除外するオブジェクトの選択] ページでは何も行わず、[次へ (Next)] をクリックします。

i [設定の確認] ページで選択内容を確認し、[終了 (Finish)] をクリックします。

3 データベースおよび SharePoint Server にセキュリティグループを作成し、それぞれ SG_Database および

SG_Server_SharePoint という名前を付けます。各グループに適切なオブジェクトを含めます。

4 アプリケーション階層に最上位のセキュリティグループを作成し、SG_App_Group という名前を付けます。こ

のグループに SG_Web、SG_Database、SG_Server_SharePoint を追加します。

5 Web サーバにセキュリティポリシーを作成します。

a [セキュリティポリシー] タブをクリックし、[セキュリティポリシーの追加] アイコンをクリックします。

b [名前] に SP_App と入力します。

c [説明] にアプリケーション Web サーバの SP と入力します。

d 重みを 50000 に変更します。（検疫を除き）他のほとんどのポリシーより常に優先されるようにするため、

このポリシーの優先順位は非常に高く設定されています。

NSX 管理ガイド

VMware, Inc. 421

e [次へ] をクリックします。

f [エンドポイントサービス] ページで、をクリックし、次の値を入力します。

オプション値

[アクション (Action)] デフォルト値は変更しないでください

[サービス種別 (Service Type)] Vulnerability Management

[サービス名 (Service Name)] Rapid 7

[サービス設定 (Service Configuration)]

シルバー

[状態 (State)] デフォルト値は変更しないでください

[強制 (Enforce)] デフォルト値は変更しないでください

g ファイアウォールまたはネットワークイントロスペクションサービスを追加せずに、[終了 (Finish)] をク


6 SP_App を SG_App_Group にマッピングします。

7 キャンバスビューに移動し、SP_App が SG_App_Group にマッピングされたことを確認します。

a [情報セキュリティ] タブをクリックします。

b アイコンの横にある数値をクリックして、SP_App がマッピングされていることを確認します。

8 SP_App ポリシーをエクスポートします。

a [セキュリティポリシー] タブをクリックし、[Blueprint のエクスポート (Export Blueprint)]（）ア

イコンをクリックします。

b [名前 (Name)] に Template_ App_ と入力し、[プリフィックス (Prefix)] に FromAppArchitect と入

力します。

c [次へ] をクリックします。

d SP_App ポリシーを選択し、[次へ] をクリックします。

e 選択内容を確認し、[終了] をクリックします。

f エクスポートしたファイルのダウンロード先となるコンピュータのディレクトリを選択し、[保存] をクリッ

クします。

セキュリティポリシーと、このポリシーが適用されたセキュリティグループがエクスポートされます（この場

合は、アプリケーションのセキュリティグループと、そこにネストされた 3 つのセキュリティグループ）。

9 エクスポートされたポリシーがどのように動作するかを示すには、SP_App ポリシーを削除します。

10 次に、手順 7 でエクスポートした Template_ App_ DevTest ポリシーをリストアします。

a [アクション (Actions)] をクリックし、[サービス設定のインポート (Import Service Configuration)] アイコンをクリックします。

b デスクトップから FromAppArtchitect_Template_App ファイル（手順 7 で保存済み）を選択します。

NSX 管理ガイド

VMware, Inc. 422

c [次へ (Next)] をクリックします。

d [設定の確認] ページには、セキュリティポリシーとインポートする関連オブジェクト（セキュリティポリ

シーが適用されたセキュリティグループ、エンドポイントサービス、ファイアウォールルール、ネットワ

ークイントロスペクションサービス）が表示されます。

e [終了 (Finish)] をクリックします。

構成オブジェクトおよび関連オブジェクトが vCenter Server インベントリにインポートされ、キャンバ

スビューに表示されます。

NSX 管理ガイド

VMware, Inc. 423

ゲストイントロスペクション 19ゲストイントロスペクションは、VMware パートナーが提供する専用のセキュアな仮想アプライアンスに、アンチ

ウイルスおよびアンチマルウェアエージェントの処理をオフロードします。ゲスト仮想マシンとは異なり、セキュア

な仮想アプライアンスはオフラインにならないため、アンチウイルスシグネチャを継続的に更新することができ、ホ

スト上の仮想マシンに中断なく保護を提供できます。また、新しい仮想マシンやオフライン状態の既存の仮想マシン

は、オンラインになった時点で、最も新しいアンチウイルスシグネチャにより即座に保護されます。

ゲストイントロスペクションの健全性ステータスは、vCenter Server コンソールに赤で表示されるアラームを使

用して示されます。さらに、イベントログを見ることで詳しいステータス情報が得られます。

重要：ゲストイントロスペクションのセキュリティ用に環境を正しく設定する必要があります。

n リソースプール内のホストに保護対象の仮想マシンが含まれる場合は、そのすべてにゲストイントロスペクシ

ョンの準備を行っておく必要があります。これは、リソースプール内の仮想マシンが別の ESXi ホストへ

vMotion で移行した場合でも、継続して保護するためです。 NSX 6.4.1 以降で、ホスト間での仮想マシンの移

行 (vMotion) 中にゲストイントロスペクションが仮想マシンの保護をサポートするには、仮想マシンのハード

ウェアを v9.0 以上にする必要があります。

n 仮想マシンには、ゲストイントロスペクションのセキュリティソリューションで保護されるゲストイントロス

ペクションシンエージェントがインストールされている必要があります。サポートされていないゲストオペレ

ーティングシステムもあります。サポート外のオペレーティングシステムを実行する仮想マシンは、セキュリ

ティソリューションによって保護されません。


n ゲストイントロスペクションのアーキテクチャ

n ホストクラスタへのゲストイントロスペクションのインストール

n Windows 仮想マシンへのゲストイントロスペクションシンエージェントのインストール

n Linux 仮想マシンへのゲストイントロスペクションシンエージェントのインストール

n ゲストイントロスペクションのステータスの表示

n ゲストイントロスペクションの監査メッセージ

n ゲストイントロスペクションのイベント

n ゲストイントロスペクションモジュールのアンインストール

VMware, Inc. 424

ゲストイントロスペクションのアーキテクチャ

NSX ゲストイントロスペクションアーキテクチャ：パートナーとの連携

NSX ユーザーインターフェイスまたは REST API

NSX Manager

セキュリティグループと

ポリシーの設定

アラートパートナー登録REST API

設定/ステータス（パートナー定義）

パートナーサービス仮想マシンのデプロイ

ゲストイントロスペクションサービス仮想マ

シンのデプロイ

健全性イベント(RMQ)

設定データ(RMQ)

ESXi ハイパーバイザー

VMware ToolsEPSec

ライブラリ

ゲストイン

トロスペクションサービス仮想マシン

仮想マシン

凡例

VMCI

設定のデータフロー

健全性監視のデータフロー

パートナー登録データフロー

仮想マシン/サービス仮想マシンのデータフロー

パートナーの設定/ステータスフロー

VMware 仮想マシン通信インターフェイス

RabbitMQ メッセージバスRMQ

ゲストイントロスペクションの設定(VMCI)

(VMCI)

健全性監視イベント(TCP) ファイル、ネットワーク、

タイマーイベント、SVMクエリと応答

ServiceComposer とグループ化

設定マネージャ

設定/健全性の監視パススルー

ゲスト仮想マシンパートナーサービス仮想マシン

ゲストイントロ

スペクションシン

エージェント

ゲストイントロスペクション ESXi モジュール

健全性監視

サービス挿入

フレームワーク

vCenterServer

vSphere ESXiAgent Manager

(EAM)

パートナー管理

コンソール

ゲストイントロスペクションは、いくつかの関連コンポーネントから構成されます。

n パートナー管理コンソールでは、NSX Data Center for vSphere へのサービスの登録（エージェントのない

アンチウイルスなど）、デプロイ済みのパートナーセキュリティ仮想マシン（パートナー SVM）の設定や監視、

仮想マシンタグ付け操作メッセージの NSX Manager への送信などを行うことができます。

NSX 管理ガイド

VMware, Inc. 425

n vCenter Server が管理する ESX Agent Manager (EAM) で、パートナーサービスが設定されているクラ

スタのホストに、パートナー SVM とゲストイントロスペクションセキュリティ仮想マシン (GI-SVM) をデプ

ロイします。

n NSX Manager はゲストイントロスペクションを統合管理します。また、パートナー SVM および GI-SVM のデプロイが必要なホストについての情報を提供します。NSX Manager は、GI-SVM にゲストイントロスペ

クションの設定情報を送信するほか、ゲストイントロスペクションの健全性情報をホストから受信し、パートナ

ー管理コンソールから受信したタグ付けコマンドを実行します。

ホストでは、パートナー SVM が EPSEC ライブラリ経由でゲストイントロスペクションのコンポーネントからア

クティビティイベントと情報を受信し、セキュリティ分析を行い、潜在的な脅威や脆弱性を検出します。パートナー

SVM は、これらのイベントをパートナー管理コンソールに送信し、グループ分けやタグ付けなどの NSX Data Center for vSphere アクションを実行します。ハイパーバイザーのゲストイントロスペクション ESX モジュー

ルはスイッチのように機能します。仮想マシンにインストールされているシンエージェントの関連イベントを、該当

のパートナーサービス仮想マシンに提供し、分析を行います。仮想マシンのインスタンス化または移行が行われる

と、GI-SVM が、NSX Manager から受信した設定情報を使用してゲストイントロスペクション ESX モジュール

を設定し、Identity Firewall とエンドポイントの監視コンテキストを生成して、ゲストイントロスペクション関連

の健全性情報を NSX Manager に送信します。

SVM と GI-SVM に関する一般的な質問：

SVM と GI USVM に違いはありますか。SVM は、Trend、McAfee などのサードパーティ（パートナー）です

USVM は GI-SVM です。

SVM や GI-SVM と通常の仮想マシンとの違いは何ですか。ゲストイントロスペクションは、アンチウイルスやア

ンチマルウェアエージェントの処理を専用のセキュアな仮想アプライアンスにオフロードします。ゲスト仮想マシ

ンとは異なり、セキュアな仮想アプライアンスはオフラインにならないため、アンチウイルスシグネチャを継続的に

更新することができ、ホスト上の仮想マシンに中断なく保護を提供できます。

ゲストイントロスペクションユニバーサルサービス仮想マシン (GI USVM) は、外部のゲスト仮想マシン上でサー

ドパーティのアンチウイルス製品を実行するためのフレームワークを提供します。これにより、仮想マシンごとにア

ンチウイルスエージェントを用意する必要がなくなります。SVM には、サービス仮想マシンのベンダーが追加した

特定のバイナリとアプリケーションが含まれます。GI USVM のベンダーは NSX Data Center for vSphere です。

すべての仮想マシンは SVM としてデプロイされ、管理できますか。いいえ。SVM はベンダーによって事前に作成

され、提供されます。

SVM または GI USVM にログ収集の仕様はありますか。いいえ、ありません。

SVM/GI USVM 関連のイベントについて、公開されているガイドはありますか。いいえ。SVM のログは、トラブ

ルシューティング目的の内部用のログです。

NSX 管理ガイド

VMware, Inc. 426

ホストクラスタへのゲストイントロスペクションのインストール

ゲストイントロスペクションをインストールすると、クラスタ内の各ホストに新しい VIB とサービス仮想マシンが

自動的にインストールされます。ゲストイントロスペクションは、アクティビティモニタリングおよびいくつかの

サードパーティセキュリティソリューションに必要です。

注： vMotion/Storage vMotion を使用してサービス仮想マシンを移行することはできません。サービス仮想マ

シンが正常に動作するには、展開されたホストに配置しておく必要があります。

前提条件

このインストール手順の前提条件として、下記のシステムが必要です。

n データセンター内のクラスタの各ホストに、サポート対象のバージョンの vCenter Server および ESXi がイ

ンストールされている

n ゲストイントロスペクションをインストールするクラスタのホストで、NSX の準備が完了している『NSX インストールガイド』の「NSX 用ホストクラスタの準備」を参照してください。ゲストイントロスペクション

はスタンドアローンホストにはインストールできません。アンチウイルスのオフロード機能を使用する目的で、

ゲストイントロスペクションのデプロイと管理を行う場合、ホストで NSX の準備を行う必要はありません。

また、NSX for vShield Endpoint ライセンスでは、このような使い方は許可されません。

n NSX Manager のインストールと実行

n NSX Manager と、ゲストイントロスペクションサービスを実行する準備済みホストが同じ NTP サーバにリ

ンクされ、時刻が同期されていることを確認します。これを行わない場合、ゲストイントロスペクションとサー

ドパーティサービスに対して、クラスタのステータスが問題がないことを示す緑で表示されているにもかかわら

ず、仮想マシンがアンチウイルスサービスによって保護されていないことがあります。

NTP サーバを追加した場合、ゲストイントロスペクションとすべてのサードパーティサービスを再デプロイす

ることをお勧めします。

n ネットワークに vSphere 7.0 以降が存在する場合は、vCenter Server クラスタが ESXi ホストのライフサイ

クル管理に vSphere Lifecycle Manager (vLCM) イメージを使用していないことを確認します。vLCM イメージを使用する vCenter Server クラスタにゲストイントロスペクションサービスをインストールするこ

とはできません。

クラスタ内のホストの管理に vLCM イメージが使用されているかどうか確認するには、vSphere Client にロ

グインし、[ホストおよびクラスタ] に移動します。ナビゲーションペインでクラスタをクリックし、[アップデ

ート] - [イメージ] の順に移動します。クラスタで vLCM イメージが使用されていない場合は、[SetUp Image] ボタンが表示されます。クラスタで vLCM イメージが使用されている場合は、ESXi バージョン、ベン

ダーのアドオン、イメージのコンプライアンスの詳細など、イメージの詳細が表示されます。

NSX 管理ガイド

VMware, Inc. 427

ゲストイントロスペクションサービス仮想マシンに IP アドレスプールから IP アドレスを割り当てる場合は、ゲス

トイントロスペクションをインストールする前に IP アドレスプールを作成します。『NSX 管理ガイド』の「IP アドレスプールの使用」を参照してください。

注意：ゲストイントロスペクションは、169.254.x.x サブネットを使用して、内部的に GI サービスの IP アドレ

スを割り当てます。ESXi ホストの VMkernel インターフェイスに 169.254.1.1 の IP アドレスを割り当てると、ゲ

ストイントロスペクションのインストールが失敗します。GI サービスは、この IP アドレスを内部通信に使用しま

す。

vSphere Fault Tolerance は、ゲストイントロスペクションとは連携しません。

ステートレス ESXi ホストで vSphere Auto Deploy を使用している場合、ゲストイントロスペクションはサポ

ートされません。

手順

1 [ネットワークとセキュリティ (Networking & Security)] - [インストールとアップグレード (Installation and Upgrade)] - [サービスの展開 (Service Deployment)] の順に移動します。


3 [ネットワークおよびセキュリティサービスのデプロイ] ダイアログボックスで、[ゲストイントロスペクショ

ン (Guest Introspection)] を選択します。

4 [スケジュールを指定する (Specify schedule)] （ダイアログボックス下部）で、[今すぐデプロイする

(Deploy now)] を選択してゲストイントロスペクションがインストールされたらすぐにデプロイするか、また

はデプロイの日付と時間を選択します。


6 ゲストイントロスペクションをインストールするデータセンターおよびクラスタを選択し、[次へ (Next)] をク


7 [ストレージおよび管理ネットワークの選択] ページで、サービス仮想マシンストレージを追加するデータストア

を選択するか、[ホスト上が指定済み (Specified on host)] を選択します。デプロイワークフローを自動化す

るためには、[ホスト上が選択済み] ではなく、共有のデータストアとネットワークを使用することをお勧めしま

す。

選択したデータストアは、選択したクラスタ内のすべてのホストで利用可能である必要があります。

[ホスト上が指定済み (Specified on host)] を選択した場合は、クラスタ内の各ホストに対して次のサブステッ

プを実行します。

a ホームページで、[ホストおよびクラスタ (Hosts and Clusters)] をクリックします。

b [ナビゲータ] でホストをクリックし、[設定 (Configure)] をクリックします。

c 左側のナビゲーションペインで、[仮想マシン (Virtual Machines)] の下にある [エージェント仮想マシン

(Agent VMs)] をクリックし、[編集 (Edit)] をクリックします。

d データストアを選択し、[OK] をクリックします。

NSX 管理ガイド

VMware, Inc. 428

8 [ホスト上が指定済み (Specified on host)] としてデータストアを設定する場合、ネットワークも [ホスト上が

指定済み (Specified on host)]として設定する必要があります。

[ホスト上が指定済み (Specified on host)] を選択した場合は、ステップ 7 のサブステップを実行してホスト

上のネットワークを選択します。クラスタに 1 台以上のホストを追加する場合は、データストアおよびネットワ

ークを設定してからクラスタに追加する必要があります。

9 [IP 割り当て] で、次のいずれかを選択します。

選択宛先

DHCP DHCP (Dynamic Host Configuration Protocol) を使用してゲストイントロスペクシ

ョンサービス仮想マシンに IP アドレスを割り当てます。ホストが異なるサブネット上にある

場合に、このオプションを選択します。

IP アドレスプールの使用選択された IP アドレスプール内の IP アドレスをゲストイントロスペクションサービス仮

想マシンに割り当てます。

10 [次へ (Next)] をクリックし、[設定の確認] ページで [終了 (Finish)] をクリックします。

11 [インストールステータス (Installation Status)] 列に [成功 (Succeeded)] と表示されるまで、デプロイを監

視します。

NSX 6.4.0 以降では、vCenter Server のゲストイントロスペクションサービス仮想マシンの名前に、デプ

ロイされたホストの IP アドレスが表示されます。

12 [インストールステータス (Installation Status)] 列に [失敗 (Failed)] と表示された場合は、[失敗] の横にあ

るアイコンをクリックします。すべてのデプロイエラーが表示されます。[解決 (Resolve)] をクリックしてエ

ラーを修正します。エラーを解決すると、別のエラーが表示される場合があります。必要な操作を行い、再度

[解決 (Resolve)] をクリックします。

注意： vSphere 7.0 以降を含むネットワークでは、ゲストイントロスペクションサービスまたは他のサード

パーティパートナーサービスがインストールされた後に、vCenter Server クラスタで vLCM イメージを使

用することはできません。vCenter Server クラスタで vLCM イメージを使用しようとすると、ホストにスタ

ンドアローン VIB が存在することを通知する警告メッセージが vSphere Client に表示されます。

Windows 仮想マシンへのゲストイントロスペクションシンエージ

ェントのインストール

ゲストイントロスペクションのセキュリティソリューションを使用して仮想マシンを保護するには、仮想マシンに

ゲストイントロスペクションシンエージェント（ゲストイントロスペクションドライバともいいます）をインス

トールする必要があります。ゲストイントロスペクションドライバは、VMware Tools for Windows に含まれ

ていますが、デフォルトではインストールされません。Windows 仮想マシンにゲストイントロスペクションをイ

ンストールするには、カスタムインストールを実行し、ドライバを選択する必要があります。

n vSphere 6.0 を使用している場合は、次のサイトで VMware Tools のインストール手順を確認してくださ

い。http://pubs.vmware.com/vsphere-60/index.jsp?topic=%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-391BE4BF-89A9-4DC3-85E7-3D45F5124BC7.html

NSX 管理ガイド

VMware, Inc. 429

http://pubs.vmware.com/vsphere-60/index.jsp?topic=%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-391BE4BF-89A9-4DC3-85E7-3D45F5124BC7.html



n vSphere 6.5 以降を使用している場合には、次のサイトで VMware Tools のインストール手順を確認してく

ださい。https://www.vmware.com/support/pubs/vmware-tools-pubs.html.

ゲストイントロスペクションドライバがインストールされた Windows 仮想マシンは、セキュリティソリューシ

ョンがインストールされた ESXi ホストで起動されると自動的に保護されます。保護対象の仮想マシンは、シャット

ダウンから再起動の間や、vMotion がセキュリティソリューションのインストールされた別の ESXi に移動した後

でも、常に保護された状態が維持されます

Linux の手順については、Linux 仮想マシンへのゲストイントロスペクションシンエージェントのインストールを


前提条件

ゲスト仮想マシンにはサポートされているバージョンの Windows がインストールされていることを確認してくだ

さい。NSX のゲストイントロスペクションでは、次の Windows オペレーティングシステムがサポートされてい

ます。

n Windows XP SP3 以降（32 ビット）

n Windows Vista（32 ビット）

n Windows 7（32 ビットまたは 64 ビット）


n Windows 8.1（32 ビットまたは 64 ビット）-- vSphere 6.0 以降から

n Windows 10

n Windows 2003 SP2 以降（32 ビットまたは 64 ビット）

n Windows 2003 R2（32 ビットまたは 64 ビット）


n Windows 2008 R2（64 ビット）

n Windows 2012（64 ビット）

n Windows 2012 R2（64 ビット）-- vSphere 6.0 以降から

手順

1 vSphere のバージョンの手順に従って、VMware Tools のインストールを開始します。[カスタム

(Custom)] インストールを選択します。

2 [VMCI ドライバ (VMCI Driver)] セクションを展開します。

使用可能なオプションは、VMware Tools のバージョンによって異なります。

NSX 管理ガイド

VMware, Inc. 430

https://www.vmware.com/support/pubs/vmware-tools-pubs.html

ドライバ説明

vShield Endpoint ドライバファイルイントロスペクション (vsepflt) とネットワークイントロ

スペクション (vnetflt) のドライバをインストールします。

ゲストイントロスペクションドライバファイルイントロスペクション (vsepflt) とネットワークイントロ

スペクション (vnetflt) のドライバをインストールします。

NSX ファイルイントロスペクションドライバと NSX ネットワーク

イントロスペクションドライバ

NSX ファイルイントロスペクションドライバを選択して Vsepflt をインストールします。

必要に応じて、NSX ネットワークイントロスペクションドライバを

選択して vnetflt（Windows 10 以降の場合は vnetWFP）をイン

ストールします。

注： NSX ネットワークイントロスペクションドライバは、Identity Firewall またはエンドポイントの監視機能を使用している場合にの

み選択します。

3 追加するドライバの横にあるドロップダウンメニューで、[この機能はローカルハードドライブにインストー

ルされます (This feature will be installed on the local hard drive)] を選択します。

4 残りの手順に従います。

次のステップ

管理者権限を持つユーザーでログインし、fltmc コマンドを使って、シンエージェントが実行されているかどうか

を確認します。出力の [フィルタ名] 列に、該当するシンエージェントとともに、エントリ vsepflt が表示されます。

Linux 仮想マシンへのゲストイントロスペクションシンエージェン

トのインストール

ゲストイントロスペクションはアンチウイルスのみを目的として、Linux でファイルイントロスペクションをサポ

ートします。ゲストイントロスペクションのセキュリティソリューションを使用して Linux 仮想マシンを保護す

るには、ゲストイントロスペクションシンエージェントをインストールする必要があります。

GI シンエージェントは、VMware Tools オペレーティングシステム固有パッケージ (OSP) の一部として使用で

きます。VMware Tools をインストールする必要はありません。GI シンエージェントのインストールやアップグ

レードは、NSX のインストールやアップグレードとは連携しません。また、Enterprise Administrator または

Security Administrator（NSX Administrator ではない）は、NSX の外にあるゲスト仮想マシンに、このエー

ジェントをインストールすることもできます。

GI シンエージェントを RHEL、CentOS、または SLES Linux システムにインストールするには、RPM パッケー

ジを使用します。GI シンエージェントを Ubuntu Linux システムにインストールするには、DEB パッケージを使

用します。

Windows の手順については、Windows 仮想マシンへのゲストイントロスペクションシンエージェントのイン

ストールを参照してください。

NSX 管理ガイド

VMware, Inc. 431

前提条件

n ゲスト仮想マシンにサポートされているバージョンの Linux がインストールされていることを確認してくださ

い。

n Red Hat Enterprise Linux (RHEL) 7.0 - 7.4 GA（64 ビット）

n CentOS 7.4 GA

n SUSE Linux Enterprise Server (SLES) 12 GA（64 ビット）

n Ubuntu 16.04.5 LTS GA（64 ビット）

n Ubuntu 14.04 LTS GA（64 ビット）

注： NSX 6.4.6 から、Ubuntu 14.04 および RHEL 7.0 – 7.3 のサポートは廃止されました。NSX 6.4.6 以降では、Ubuntu 16.04.5 および RHEL 7.4 がサポートされます。

n Linux 仮想マシンに GLib 2.0 がインストールされていることを確認します。

手順

u 使用する Linux オペレーティングシステムに基づいて、次の手順を root 権限で実行します。

n Ubuntu システムの場合：

a 次のコマンドを使用して、VMware パッケージパブリックキーを取得しインポートします。

curl -O https://packages.vmware.com/packages/nsx-gi/keys/VMWARE-PACKAGING-NSX-GI-GPG-RSA-

KEY.pub

apt-key add VMWARE-PACKAGING-NSX-GI-GPG-RSA-KEY.pub

b vm.list という名前の新しいファイルを /etc/apt/sources.list.d の下に作成します。

c そのファイルを次の内容で編集します。

deb https://packages.vmware.com/packages/nsx-gi/latest/ubuntu/dists xenial main

d パッケージをインストールします。

apt-get update

apt-get install vmware-nsx-gi-file

n RHEL7 システムの場合：



KEY.pub

rpm --import VMWARE-PACKAGING-NSX-GI-GPG-RSA-KEY.pub

b vm.repo という名前の新しいファイルを /etc/yum.repos.d の下に作成します。

NSX 管理ガイド

VMware, Inc. 432


[vmware]

name = VMware

baseurl = https://packages.vmware.com/packages/nsx-gi/latest/rhel7/x86_64

enabled = 1

gpgcheck = 1

metadata_expire = 86400

ui_repoid_vars = basearch

d パッケージをインストールします。

yum install vmware-nsx-gi-file

n SLES システムの場合：



KEY.pub


b 次のリポジトリを追加します。

zypper ar -f "https://packages.vmware.com/packages/nsx-gi/latest/sles12/x86_64/" VMware

c パッケージをインストールします。

zypper install vmware-nsx-gi-file

n CentOS システムの場合：



KEY.pub


b vmware.repo という名前の新しいファイルを /etc/yum.repos.d の下に作成します。


[vmware]

name = VMware

baseurl = https://packages.vmware.com/packages/nsx-gi/latest/centos7/x86_64

enabled = 1

gpgcheck = 1

metadata_expire = 86400

ui_repoid_vars = basearch

NSX 管理ガイド

VMware, Inc. 433

次のステップ

管理者権限を持つユーザーでログインし、service vsepd status コマンドを使って、シンエージェントが実行

されているかどうかを確認します。実行されている場合、ステータスは running です。

ゲストイントロスペクションのステータスの表示

ゲストイントロスペクションインスタンスの監視では、セキュリティ仮想マシン (SVM)、ESXi ホストに常駐する

ゲストイントロスペクションモジュール、保護された仮想マシンに常駐するシンエージェントなどのゲストイント

ロスペクションコンポーネントのステータスチェックが行われます。

手順

1 vSphere Web Client で、[vCenter Server インベントリリスト (vCenter Inventory Lists)] をクリック

し、[データセンター (Datacenters)] をクリックします。

2 [名前 (Name)] 列で、データセンターをクリックします。

3 [監視 (Monitor)] をクリックし、[ゲストイントロスペクション (Guest Introspection)] をクリックします。

ゲストイントロスペクションの健全性およびアラームのページには、選択したデータセンターの下のオブジェク

トの健全性とアクティブなアラームが表示されます。健全性ステータスの変化は、その変化の原因となったイベ

ントが実際に発生してから 1 分以内に反映されます。

ゲストイントロスペクションの監査メッセージ

致命的なエラーやその他の重要な監査メッセージは vmware.log にログされます。

以下の状態が AUDIT メッセージとしてログされます。

n シンエージェント初期化成功（とバージョン情報）。

n シンエージェント初期化失敗。

n SVM との最初の接続確立。

n SVM との接続に失敗（初めての失敗の時）。

生成されたログメッセージには各ログメッセージの先頭近くに以下の従属文字列が付いています。vf-AUDIT、vf-

ERROR、vf-WARN、vf-INFO、vf-DEBUG

ゲストイントロスペクションのイベント

イベントは、ゲストイントロスペクションベースのセキュリティシステム内で発生する状況のログや監査に使われ

ます。

イベントはカスタム vSphere プラグインなしでも表示できます。イベントとアラームについては、『 vCenter Server 管理ガイド』を参照してください。

イベントはアラーム生成の基となるものです。NSX Manager が vCenter Server の拡張として登録されると、

NSX Manager はアラームを生成、解除するルールを定義します。

すべてのイベントに共通する引数は、イベントのタイムスタンプと NSX Manager event_id です。

NSX 管理ガイド

VMware, Inc. 434

イベントコード

イベントの

重要度

アラームのトリ

ガイベントメッセージ説明

26000 情報ゲスト仮想マシンで実行されているゲストイントロスペクション

シンエージェントが有効です。仮想マシンが vCenter Server インベントリに追加されるか、仮想マシンまたは NSX Manager を再起動すると、このイベントが報告されます。

アクション：情報通知のイベントです。

26001 情報ゲストイントロスペクションサービスのデプロイプロセスが成

功し、ゲストイントロスペクションサービス仮想マシン

(USVM) が稼動中です。

アクション：情報通知のイベントです。

26002 中規模ゲスト仮想マシンのシンエージェントのバージョンが、パートナ

ーサービス仮想マシンまたは USVM の EPsec ライブラリのバ

ージョンと互換性がありません。

アクション：ゲスト仮想マシンでシンエージェントのバージョン

を更新します。

26003 中規模 ESX GI モジュール (MUX) が USVM との接続に失敗しまし

た。このイベントは、ゲスト仮想マシンが USVM に接続して健

全性ステータスレポートを送信しようとしたときに報告される可


アクション：[サービスデプロイ] タブで、ゲストイントロスペク

ションサービス仮想マシン (USVM) がパワーオン状態で、サー

ビスのステータスが稼動中と表示されていることを確認します。

26004 中規模 ESX GI モジュール (MUX) が USVM との接続に失敗しまし

た。このイベントは、ゲスト仮想マシンが USVM に接続して健

全性ステータスレポートを送信しようとしたときに報告される可


アクション：[サービスデプロイ] タブで、ゲストイントロスペク

ションサービス仮想マシン (USVM) がパワーオン状態で、サー

ビスのステータスが稼動中と表示されていることを確認します。

26005 情報 ESX GI モジュール (MUX) が正常にインストールされました。

アクション：ゲストイントロスペクションがデプロイされている

ホストに対する情報通知のイベントです。

26006 情報 ESX GI モジュール (MUX) がアンインストールされました。

アクション：ゲストイントロスペクションホストモジュールが

実行されていないホストに対する情報通知のイベントです。

26007 情報最大 3 分間、NSX Manager がホストモジュールの健全性ステ

ータスレポートの受信に失敗しています。[サービスデプロイ] タブで、クラスタの [サービスステータス] 列は警告状態になりま

す。

アクション：サービスのデプロイ中に、このイベントが一時的に

発生する場合があります。問題が解決しない場合は、ゲストイン

トロスペクションサービス仮想マシンとホストのテクニカルサポートログ (vmware.log) を収集し、テクニカルサポートリク

エストを発行してください。

NSX 管理ガイド

VMware, Inc. 435

ゲストイントロスペクションモジュールのアンインストール

ゲストイントロスペクションをアンインストールすると、VIB がクラスタ内のホストから削除され、サービス仮想

マシンがクラスタ内の各ホストから削除されます。ゲストイントロスペクションは、Identity Firewall、エンドポ

イント監視、およびいくつかのサードパーティ製のセキュリティソリューションで必要になります。ゲストイント

ロスペクションをアンインストールすると、広い範囲に影響する可能性があります。

注意：クラスタからゲストイントロスペクションモジュールをアンインストールする前に、そのクラスタのホス

トから、ゲストイントロスペクションを使用しているすべてのサードパーティ製品をアンインストールする必要が

あります。ソリューションプロバイダから提供される説明書を使用してください。

ホストクラスタ内の仮想マシンの保護が失われます。アンインストールする前に、vMotion を使用して仮想マシン

をクラスタから移行する必要があります。

ゲストイントロスペクションをアンインストールするには、次の操作を実行します。


2 ゲストイントロスペクションインスタンスを選択し、[削除] アイコンをクリックします。

3 すぐに削除するか、後で削除するようにスケジュールを設定できます。

Linux 用ゲストイントロスペクションのアンインストール

ゲスト仮想マシンから、ゲストイントロスペクション用の Linux シンエージェントをアンインストールできます。

前提条件

Linux 用ゲストイントロスペクションがインストールされている。Linux システムの root 権限がある。

手順

u パッケージを Ubuntu システムからアンインストールするには、apt-get remove vmware-nsx-gi-file

コマンドを実行します。

u パッケージを RHEL7 システムからアンインストールするには、yum remove vmware-nsx-gi-file コマン

ドを実行します。

u パッケージを SLES システムからアンインストールするには、zypper remove vmware-nsx-gi-file コマ

ンドを実行します。

結果

Linux 仮想マシンにインストールされているシンエージェントはアンインストールされません。

NSX 管理ガイド

VMware, Inc. 436

ネットワークの拡張性 20データセンターネットワークには通常、スイッチング、ルーティング、ファイアウォール、ロードバランシングな

どのさまざまなネットワークサービスが関与しています。ほとんどの場合、これらのサービスはそれぞれ別のベンダ

ーによって提供されます。物理環境のネットワークでこれらのサービスを接続するためには、物理ネットワークデバ

イスのラックおよびスタック処理、物理的な接続の確立、各サービスの個別管理などの複雑な作業が必要になります。

NSX は、適切なサービスを適切なトラフィックパスに接続する方法を簡素化し、本番環境、テスト、開発などに使

用する、単一の ESXi ホストまたは複数の ESXi ホストの複雑なネットワークの構築に役立ちます。

任意のネットワークハードウェア

オーバーレイ転送

vSphere

任意のアプリケーション

NSX

NSX API

Edge サービス挿入


ハードウェアパートナーが提供する拡張機能

物理ワークロードまたは仮想ワークロード

ソフトウェアパートナーが提供する拡張機能

ゲストイントロスペクションおよびネットワークイントロ

スペクション

NSX にサードパーティのサービスを挿入するための、さまざまなデプロイ方法があります。


n 分散サービス挿入

VMware, Inc. 437

n Edge ベースのサービス挿入

n サードパーティのサービスの統合

n パートナーサービスの展開

n Service Composer を介したベンダーサービスの使用

n 論理ファイアウォールを使用したベンダーソリューションへのトラフィックのリダイレクト

n パートナーのロードバランサの使用

n サードパーティ統合の削除

分散サービス挿入

分散サービス挿入では、単一のホストが、すべてのサービスモジュール、カーネルモジュール、および仮想マシン

を単一の物理マシンで実装します。システムのすべてのコンポーネントが、物理ホスト内のコンポーネントと連携し

ます。これにより、モジュール間の通信が高速化し、デプロイモデルがコンパクトになります。拡張性を高めるため

に、サービスモジュールを宛先とする、またはサービスモジュールから vmkernel に送られるコントロールやデー

タプレーンのトラフィックを物理システム上に置いたままにして、同じをネットワーク内の各物理システムにレプリ

ケートすることができます。保護対象の仮想マシンに vMotion を実行している間に、パートナーセキュリティマシンが仮想マシンの状態を送信元から宛先のホストに移動します。

このような種類のサービス挿入を利用するベンダーソリューションに、侵入防止サービス (IPS)/侵入検知サービス

(IDS)、ファイアウォール、Anti Virus、ファイル ID 監視 (FIM)、および脆弱性管理があります。

Edge ベースのサービス挿入

NSX Edge は、Edge サービスクラスタ内で、他のネットワークサービスと一緒に仮想マシンとしてデプロイされ

ます。NSX Edge には、特定のトラフィックをサードパーティのネットワークサービスにリダイレクトする機能が

あります。

このような種類のサービス挿入を利用するベンダーソリューションに、ADC デバイスやロードバランサデバイス

があります。

サードパーティのサービスの統合

これは、サードパーティのサービスを NSX プラットフォームに挿入するための、一般的な高レベルのワークフロー

です。

手順

1 ベンダーのコンソール上の NSX Manager を使用して、サードパーティのサービスを登録します。

サービスの登録には、NSX のログイン認証情報が必要です。詳細については、ベンダーのドキュメントを参照


NSX 管理ガイド

VMware, Inc. 438

2 NSX にサービスをデプロイします。パートナーサービスの展開を参照してください。

デプロイされたサードパーティのサービスは、NSX の [サービス定義] ウィンドウに表示され、使用する準備が

整います。NSX でのサービスの使用手順は、挿入されたサービスの種類によって異なります。

たとえば、ホストベースのファイアウォールサービスは、Service Composer でセキュリティポリシーを作

成するか、トラフィックをそのサービスにリダイレクトするファイアウォールルールを作成することで有効にで

きます。Service Composer を介したベンダーサービスの使用または論理ファイアウォールを使用したベン

ダーソリューションへのトラフィックのリダイレクトを参照してください。Edge ベースサービスの使用の詳

細については、パートナーのロードバランサの使用を参照してください。

パートナーサービスの展開

パートナーソリューションにホスト配置型の仮想アプライアンスが含まれる場合は、ソリューションを NSX Manager で登録した後にサービスを展開できます。

重要： vMotion で別のクラスタに移行しているときに、パートナーサービスによるゲスト仮想マシンの保護が一

時的に失われます。この問題を回避するには、vMotion で同じクラスタ内のホストにのみゲスト仮想マシンを移行

します。

前提条件

次のように設定されていることを確認します。

n パートナーソリューションは、NSX Manager を使用して登録されます。

n NSX Manager から、パートナーソリューションの管理コンソールにアクセスできます。

n vSphere 7.0 以降の vCenter Server クラスタでは、ESXi ホストのライフサイクルを管理するために

vSphere Lifecycle Manager (vLCM) イメージを使用しません。vLCM イメージを使用する vCenter Server クラスタにパートナーサービスをインストールすることはできません。

クラスタ内のホストの管理に vLCM イメージが使用されているかどうか確認するには、vSphere Client にロ

グインし、[ホストおよびクラスタ] に移動します。ナビゲーションペインでクラスタをクリックし、[アップデ

ート] - [イメージ] の順に移動します。クラスタで vLCM イメージが使用されていない場合は、[SetUp Image] ボタンが表示されます。クラスタで vLCM イメージが使用されている場合は、ESXi バージョン、ベン

ダーのアドオン、イメージのコンプライアンスの詳細など、イメージの詳細が表示されます。

n 必要なライセンスエディションが割り当てられています。「https://kb.vmware.com/kb/2145269」を参照


手順



3 [ネットワークおよびセキュリティサービスのデプロイ] ダイアログボックスで、[ゲストイントロスペクショ

ン (Guest Introspection)] を選択します。

NSX 管理ガイド

VMware, Inc. 439

https://kb.vmware.com/kb/2145269

4 [スケジュールを指定する (Specify schedule)] （ダイアログボックス下部）で、[今すぐデプロイする

(Deploy now)] を選択してゲストイントロスペクションがインストールされたらすぐにデプロイするか、また

はデプロイの日付と時間を選択します。


6 ゲストイントロスペクションをインストールするデータセンターおよびクラスタを選択し、[次へ (Next)] をク


7 [ストレージおよび管理ネットワークの選択] ページで、サービス仮想マシンストレージを追加するデータストア

を選択するか、[ホスト上が指定済み (Specified on host)] を選択します。デプロイワークフローを自動化す

るためには、[ホスト上が選択済み] ではなく、共有のデータストアとネットワークを使用することをお勧めしま

す。

選択したデータストアは、選択したクラスタ内のすべてのホストで利用可能である必要があります。

[ホスト上が指定済み (Specified on host)] を選択した場合は、クラスタ内の各ホストに対して次のサブステッ

プを実行します。

a ホームページで、[ホストおよびクラスタ (Hosts and Clusters)] をクリックします。

b [ナビゲータ] でホストをクリックし、[設定 (Configure)] をクリックします。

c 左側のナビゲーションペインで、[仮想マシン (Virtual Machines)] の下にある [エージェント仮想マシン

(Agent VMs)] をクリックし、[編集 (Edit)] をクリックします。

d データストアを選択し、[OK] をクリックします。

8 [ホスト上が指定済み (Specified on host)] としてデータストアを設定する場合、ネットワークも [ホスト上が

指定済み (Specified on host)]として設定する必要があります。

[ホスト上が指定済み (Specified on host)] を選択した場合は、ステップ 7 のサブステップを実行してホスト

上のネットワークを選択します。クラスタに 1 台以上のホストを追加する場合は、データストアおよびネットワ

ークを設定してからクラスタに追加する必要があります。

9 [IP 割り当て] で、次のいずれかを選択します。

選択宛先

DHCP DHCP (Dynamic Host Configuration Protocol) を使用してゲストイントロスペクシ

ョンサービス仮想マシンに IP アドレスを割り当てます。ホストが異なるサブネット上にある

場合に、このオプションを選択します。

IP アドレスプールの使用選択された IP アドレスプール内の IP アドレスをゲストイントロスペクションサービス仮

想マシンに割り当てます。

10 [次へ (Next)] をクリックし、[設定の確認] ページで [終了 (Finish)] をクリックします。

11 [インストールステータス (Installation Status)] 列に [成功 (Succeeded)] と表示されるまで、デプロイを監

視します。

NSX 6.4.0 以降では、vCenter Server のゲストイントロスペクションサービス仮想マシンの名前に、デプ

ロイされたホストの IP アドレスが表示されます。

NSX 管理ガイド

VMware, Inc. 440

12 [インストールステータス (Installation Status)] 列に [失敗 (Failed)] と表示された場合は、[失敗] の横にあ

るアイコンをクリックします。すべてのデプロイエラーが表示されます。[解決 (Resolve)] をクリックしてエ

ラーを修正します。エラーを解決すると、別のエラーが表示される場合があります。必要な操作を行い、再度

[解決 (Resolve)] をクリックします。

注意： vSphere 7.0 以降を含むネットワークでは、ゲストイントロスペクションサービスまたは他のサード

パーティパートナーサービスがインストールされた後に、vCenter Server クラスタで vLCM イメージを使

用することはできません。vCenter Server クラスタで vLCM イメージを使用しようとすると、ホストにスタ

ンドアローン VIB が存在することを通知する警告メッセージが vSphere Client に表示されます。

次のステップ

NSX ユーザーインターフェイスまたは NSX API を介してパートナーサービスを使用できるようになりました。

Service Composer を介したベンダーサービスの使用

サードパーティベンダーサービスには、トラフィックのリダイレクト、ロードバランサ、およびデータ損失防止や

Anti Virus などのゲストセキュリティサービスなどがあります。Service Composer を使用すると、これらのサ

ービスを一連の vCenter Server オブジェクトに適用できます。

セキュリティグループは vCenter Server オブジェクトのセットであり、これにはクラスタ、仮想マシン、vNIC、

および論理スイッチが含まれます。セキュリティポリシーはゲストイントロスペクションサービス、ファイアウォ

ールルール、およびネットワークイントロスペクションサービスのセットです。

セキュリティポリシーをセキュリティグループにマッピングするときに、該当するサードパーティベンダーサー

ビスプロファイルにリダイレクションルールが作成されます。そのセキュリティグループに属する仮想マシンから

のトラフィックが流れるときは、このトラフィックのリダイレクト先は、登録済みサードパーティベンダーサービ

スになり、このサービスによって、トラフィックの処理方法が決定されます。Service Composer の詳細について

は、Service Composer の使用を参照してください。

論理ファイアウォールを使用したベンダーソリューションへのトラ

フィックのリダイレクト

登録済みのベンダーソリューションにトラフィックをリダイレクトするファイアウォールルールを追加できます。

リダイレクトされたトラフィックは、ベンダーサービスによって処理されます。

前提条件

n サードパーティのサービスは、NSX Manager に登録する必要があり、サービスは NSX 内にデプロイされて

いる必要があります。

n デフォルトのファイアウォールルールアクションがブロックに設定されている場合、ルールを追加することで、

トラフィックのリダイレクトを許可する必要があります。

手順

1 vSphere Web Client で、[ネットワークとセキュリティ (Networking & Security)] - [ファイアウォール

(Firewall)] の順に移動します。

NSX 管理ガイド

VMware, Inc. 441

2 [パートナーセキュリティサービス (Partner security services)] タブをクリックします。

3 ルールを追加するセクションで、[ルールの追加 (Add rule)] （）アイコンをクリックします。

セクションの一番上に新しい許可ルールが追加されます。

4 新しいルールの [名前 (Name)] セルをポイントし、をクリックし、ルールの名前を入力します。

5 ルールの [送信元 (Source)]、[宛先 (Destination)]、[サービス (Service)] を指定します。詳細については、

ファイアウォールルールの追加を参照してください。

6 新しいルールの [アクション (Action)] セルをポイントし、をクリックします。

a [操作 (Action)] で、[リダイレクト (Redirect.)] を選択します。

b [リダイレクト先 (Redirect To)] で、サービスプロファイルおよび論理スイッチ、またはサービスプロフ

ァイルをバインドするセキュリティグループを選択します。

このサービスプロファイルは、接続先の仮想マシンに適用されるか、選択した論理スイッチまたはセキュリ

ティグループに格納されます。

c リダイレクトされたトラフィックをログに記録するかどうかを示し、コメントがある場合は入力します。


選択したサービスプロファイルは、[操作 (Action)] 列にリンクとして表示されます。サービスプロファイ

ルリンクをクリックすると、サービスプロファイルのバインドが表示されます。


パートナーのロードバランサの使用

サードパーティのロードバランサを使用し、特定の NSX Edge のトラフィックを分散できます

前提条件

サードパーティのロードバランサは、NSX Manager に登録する必要があり、NSX 内でデプロイする必要があり

ます。

手順

1 vSphere Web Client で、[ネットワークとセキュリティ (Networking & Security)] - [NSX Edge (NSX Edges)] の順に移動します。

2 [NSX Edge] をダブルクリックします。

3 [管理 (Manage)] > [ロードバランサ (Load Balancer)] タブの順にクリックします。

4 [ロードバランサのグローバル設定] の横にある [編集 (Edit)] をクリックします。

5 [ロードバランサの有効化 (Enable Load Balancer)] および [サービス挿入の有効化 (Enable Service Insertion)] を選択します。

6 [サービス定義 (Service Definition)] で、該当するパートナーロードバランサを選択します。

NSX 管理ガイド

VMware, Inc. 442

7 [サービス設定 (Service Configuration)] で、該当するサービス設定を選択します。

8 その他のフィールドを入力し、サービス監視、サーバプール、アプリケーションプロファイル、アプリケーシ

ョンルール、仮想サーバを追加することによって、ロードバランサを設定します。仮想サーバを追加するとき

は、ベンダーが提供するテンプレートを選択します。詳細については、ロードバランシングの設定を参照してく

ださい。

結果

指定した Edge のトラフィックの負荷は、サードパーティベンダーの管理コンソールによって分散されます。

サードパーティ統合の削除

この例では、NSX からサードパーティ統合ソリューションを削除する方法について説明します。

サードパーティのソフトウェアソリューションを削除する場合、ソフトウェアを正しい順番で削除する必要がありま

す。この順序で削除しなかった場合、または NSX Manager から登録解除する前にサードパーティのソリューショ

ンがアンインストールまたは削除された場合、削除は失敗します。この問題を解決する方法については、https://kb.vmware.com/kb/2126678 を参照してください。

手順

1 vSphere Web Client で、[ネットワークとセキュリティ (Networking & Security)] > [Service Composer] の順に移動し、サードパーティのソリューションにトラフィックをリダイレクトするルール（また

はセキュリティポリシー）を削除します。

2 [サービス定義 (Service Definitions)] に移動し、サードパーティのソリューションの名前をダブルクリックし

ます。

3 [関連オブジェクト (Related Objects)] をクリックし、関連オブジェクトを削除します。

4 [インストールとアップグレード (Installation and Upgrade)] > [サービスデプロイ (Service Deployments)] の順に移動し、サードパーティのデプロイを削除します。

この操作により、関連付けられた仮想マシンがアンインストールされます。

5 [サービス定義 (Service Definitions)] に戻り、定義のサブコンポーネントを削除します。

6 サービスインスタンスで、サービスプロファイルを削除します。

7 サービスインスタンスを削除します。

8 サービス定義を削除します。

結果

サードパーティ統合ソリューションが NSX から削除されます。

次のステップ

設定をメモしてから、NSX をサードパーティのソリューションから削除します。たとえば、他のオブジェクトを参

照するルールを削除してからオブジェクトを削除する場合もあります。

NSX 管理ガイド

VMware, Inc. 443



ユーザー管理 21多くの組織では、ネットワークとセキュリティの作業は複数のチームまたはメンバーが対処します。このような組織

では、ある作業を特定のユーザーに限定する必要が生じることがあります。このトピックでは、このようなアクセス

コントロールを設定するために使用できる NSX のオプションについて説明します。

NSX は Single Sign-On (SSO) もサポートしています。SSO により NSX は、Active Directory、NIS、LDAP などの他の ID サービスからユーザーを認証できます。

vSphere Web Client のユーザー管理は、NSX コンポーネントの CLI でのユーザー管理とは異なります。


n 機能別の NSX ユーザーおよび権限

n シングルサインオンの構成

n ユーザー権限の管理

n デフォルトユーザーアカウントの管理

n vCenter Server ユーザーへのロールの割り当て

n グループベースのロール割り当て

n CLI を使用して Web インターフェイスのアクセス権を持つユーザーを作成する

n ユーザーアカウントの編集

n ユーザーロールの変更

n ユーザーアカウントを無効または有効にする

n ユーザーアカウントの削除

機能別の NSX ユーザーおよび権限

NSX Data Center for vSphere をデプロイして管理するには、vCenter Server の特定の権限が必要です。

NSX Data Center for vSphere では、さまざまなユーザーおよびロールに拡張して、読み取りおよび/書き込み権

限を付与できます。

VMware, Inc. 444

機能およびロールと権限の一覧

注： n セキュリティエンジニアとネットワークエンジニアのロールは、NSX 6.4.2 以降で利用できます。

n セキュリティ/ロール管理者のロールは NSX 6.4.5 で使用可能です。

機能説明ロール

監査

セキュ

リティ

管理者

セキュ

リティ

エンジ

ニア

NSX 管理者

ネット

ワーク

エンジ

ニア

セキュリ

ティ/ロ

ール管理

者

Enterprise Administrator

[管理者 (Administrator)]

設定 NSX を使った

vCenter Server および SSO 設定

読み取

り

読み取

り

読み取

り

読み取り読み取

り

読み取り読み取り、書き込み

更新アクセ

ス不可

アクセ

ス不可

アクセ

ス不可

読み取

り、書き

込み

読み取

り、書き

込み

アクセス

不可

読み取り、書き込み

システムイベントシステムイベント読み取

り

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み


監査ログ監査ログ読み取

り

読み取

り

読み取

り


り

読み取り読み取り

デバッグアクセ

ス不可

アクセ

ス不可

アクセ

ス不可

アクセス

不可

アクセ

ス不可

アクセス

不可

アクセス不可

ハウスキーピング

タスク

読み取

り

読み取

り

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


基本認証の無効化読み取

り

読み取

り

読み取

り


り


[ユーザーアカウントの管理 (URM) (User Account Management (URM))]

ユーザーアカウン

トの管理

ユーザー管理読み取

り

アクセ

ス不可

アクセ

ス不可


り

読み取

り、書き

込み


オブジェクトアク

セスの管理

アクセ

ス不可

アクセ

ス不可

アクセ

ス不可


り


機能アクセスの管理アクセ

ス不可

アクセ

ス不可

アクセ

ス不可


り


[Edge ]

システムシステムとは、一般

的なシステムパラ

メータのことです

読み取

り

読み取

り

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


NSX 管理ガイド

VMware, Inc. 445


監査

セキュ

リティ

管理者

セキュ

リティ

エンジ

ニア

NSX 管理者

ネット

ワーク

エンジ

ニア

セキュリ

ティ/ロ

ール管理

者


拡張サービス読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


り

読み取

り、書き

込み


アプライアンス NSX Edge の各種

フォームファクタ

(Compact/Large/X-Large/QuadLarge)

読み取

り

読み取

り

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


高可用性読み取

り

読み取

り

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


vNIC NSX Edge でのイ

ンターフェイス設

定

読み取

り

読み取

り、書き

込み

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


DNS 読み取

り

読み取

り、書き

込み

読み取

り


り、書き

込み


SSH NSX Edge での

SSH 設定

読み取

り

読み取

り、書き

込み

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


自動配置読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


り

読み取

り、書き

込み


統計読み取

り

読み取

り

読み取

り


り


NAT NSX Edge での

NAT 設定

読み取

り

読み取

り、書き

込み

読み取

り


り、書き

込み


DHCP 読み取

り

読み取

り、書き

込み

読み取

り


り、書き

込み


ロードバランシン

グ

読み取

り

読み取

り、書き

込み

読み取

り


り、書き

込み


L3 VPN L3 VPN 読み取

り

読み取

り、書き

込み

読み取

り


り、書き

込み


VPN L2 VPN、SSL VPN

読み取

り

読み取

り、書き

込み

読み取

り


り、書き

込み


NSX 管理ガイド

VMware, Inc. 446


監査

セキュ

リティ

管理者

セキュ

リティ

エンジ

ニア

NSX 管理者

ネット

ワーク

エンジ

ニア

セキュリ

ティ/ロ

ール管理

者


Syslog NSX Edge での

Syslog の設定

読み取

り

読み取

り、書き

込み

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


サポートバンドル読み取

り（ダウ

ンロー

ドアク

セス）

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み


ルーティング NSX Edge におけ

るすべてのスタテ

ィックルーティン

グと動的ルーティ

ング (BGP/OSPF)

読み取

り

読み取

り、書き

込み

読み取

り


り、書き

込み


ファイアウォール NSX Edge でのフ

ァイアウォール設

定

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


り

読み取

り、書き

込み


ブリッジ読み取

り

読み取

り、書き

込み

読み取

り


り、書き

込み


証明書読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


り

読み取

り、書き

込み


システムコントロ

ール

システムコントロ

ールとは、上限、IP フォワーディング、

ネットワーク、シス

テム設定など、シス

テムカーネルパラ

メータのことです。


ysctl.net.ipv4.conf.vNic_1.rp_filter

sysctl.net.netfilter.nf_conntrack_tcp_timeout_established

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み


[分散ファイアウォ

ール (Distributed Firewall)]

NSX 管理ガイド

VMware, Inc. 447


監査

セキュ

リティ

管理者

セキュ

リティ

エンジ

ニア

NSX 管理者

ネット

ワーク

エンジ

ニア

セキュリ

ティ/ロ

ール管理

者


ファイアウォール設

定

n レイヤー 3 ～

7（全般）ファ

イアウォール

ルール

n レイヤー 2（イ

ーサネット）フ

ァイアウォー

ルルール

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み

アクセ

ス不可

読み取

り、書き

込み


フローフローモニタリン

グは、システム内の

トラフィックフロ

ーを監視する機能

です。ライブフロ

ーも監視できます。

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み

アクセス

不可

読み取

り、書き

込み

読み取

り、書き

込み


IPFix 設定 IPFix を有効/無効

にして、コレクタを

割り当てます

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み

アクセス

不可

読み取

り、書き

込み

読み取

り、書き

込み


強制同期強制同期では、[イン

ストールとアップ

グレード

(Installation and Upgrade)] > [ホストの準備 (Host Preparation)] ページで完全同期を

行います。

読み取

り

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み

アクセ

ス不可

読み取

り、書き

込み


分散ファイアウォー

ルのインストール

（ホストの準備）

クラスタに VIB をインストールしま

す

読み取

り

読み取

り

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


設定の保存（ドラフ

ト）

発行のたびに、既存

の分散ファイアウ

ォール設定がドラ

フトとして自動的

に保存されます

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み

アクセス

不可

アクセ

ス不可

読み取

り、書き

込み


除外リスト仮想マシンを分散


で保護しない場合、

または削除する場

合は、除外リストに

追加します

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み

アクセス

不可

アクセ

ス不可

読み取

り、書き

込み


NSX 管理ガイド

VMware, Inc. 448


監査

セキュ

リティ

管理者

セキュ

リティ

エンジ

ニア

NSX 管理者

ネット

ワーク

エンジ

ニア

セキュリ

ティ/ロ

ール管理

者



ルテクニカルサポ

ート

ホストから分散フ

ァイアウォールテクニカルサポート

バンドルを収集し

ます（NSX 設定シ

ェルのみ）

アクセ

ス不可

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み

アクセ

ス不可

読み取

り、書き

込み



ルセッションタイ

マー

TCP/UDP/その他

のプロトコルのプ

ロトコル接続タイ

ムアウトを設定し

ます

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み

アクセス

不可

アクセ

ス不可

読み取

り、書き

込み


IP アドレス検出

（DHCP/ARP スヌ

ーピング）

ゲスト仮想マシン

で VMware Tools が実行され

ていない場合の IP アドレス検出

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み

読み取りアクセ

ス不可

読み取

り、書き

込み


Application Rule Manager

選択した一連のア

プリケーションの

フローを収集しま

す。ファイアウォ

ールルールは、収集

されたフローに基

づいて作成されま

す。

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み

アクセス

不可

アクセ

ス不可

読み取

り、書き

込み


app.syslog 読み取

り

読み取

り

アクセ

ス不可

読み取

り、書き

込み

アクセ

ス不可

アクセス

不可


パケットキャプチ

ャ

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み


[名前空間

(NameSpace)]

設定読み取

り

読み取

り

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


[SpoofGuard]

設定 TOFU または手動

モードで発行され

た SpoofGuard

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み

アクセス

不可

アクセ

ス不可

読み取

り、書き

込み


[エンドポイントセキュリティ (EPSEC) (Endpoint Security (EPSEC))]

NSX 管理ガイド

VMware, Inc. 449


監査

セキュ

リティ

管理者

セキュ

リティ

エンジ

ニア

NSX 管理者

ネット

ワーク

エンジ

ニア

セキュリ

ティ/ロ

ール管理

者


レポート読み取

り

読み取

り

読み取

り

読み取

り、書き

込み

読み取

り


登録ソリューションの

管理 [登録、登録解

除、登録済みソリュ

ーションのクエリ、

アクティブ化]

読み取

り

アクセ

ス不可

アクセ

ス不可

読み取

り、書き

込み

読み取

り、書き

込み

アクセス

不可


健全性の監視仮想マシン、サービ

ス仮想マシン

(SVM) の健全性ス

テータスを取得し、

NSX Manager に追加

アクセ

ス不可

読み取

り

読み取

り


り


ポリシーセキュリティポリ

シーの管理 [作成、

読み込み、更新、削

除]

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り

読み取

り、書き

込み


スケジュールのスキ

ャン

読み取

り

アクセ

ス不可

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り

読み取

り、書き

込み


[ライブラリ

(Library)]

ホストの準備クラスタでのホス

ト準備アクション

アクセ

ス不可

アクセ

ス不可

アクセ

ス不可

読み取

り、書き

込み

読み取

り、書き

込み

アクセス

不可


グループ化 IP セット、MAC セット、セキュリティ

グループ、サービ

ス、サービスグルー

プ

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


り

読み取

り、書き

込み


タグ付けセキュリティタグ

（例：仮想マシンの

接続または接続解

除）

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


り

読み取

り、書き

込み


[インストール

(Install)]

アプリケーションアクセ

ス不可

読み取

り

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


NSX 管理ガイド

VMware, Inc. 450


監査

セキュ

リティ

管理者

セキュ

リティ

エンジ

ニア

NSX 管理者

ネット

ワーク

エンジ

ニア

セキュリ

ティ/ロ

ール管理

者


EPSEC アクセ

ス不可

読み取

り

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


DLP アクセ

ス不可

読み取

り

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


[VDN]

NSM の設定ネットワークセキ

ュリティマネージ

ャ (NSM) を設定

します

読み取

り

読み取

り

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


プロビジョニング読み取

り

読み取

り

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


[ESX Agent Manager (EAM)]

インストール ESX Agent Manager

アクセ

ス不可

読み取

り

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


[サービス挿入 (Service Insertion)]

サービス読み取

り

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り

読み取

り、書き

込み


サービスプロファ

イル

読み取

り

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り

読み取

り、書き

込み


[トラストストア (Trust Store)]

trustentity_management

NSX 証明書管理読み取

り

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み


[IP アドレス管理 (IPAM) (IP Address Management (IPAM))]

設定 IP アドレスプール

の設定

読み取

り

読み取

り、書き

込み

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


IP アドレスの割り

当て

IP アドレスの割り

当てと解放

読み取

り

読み取

り、書き

込み

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


[セキュリティファブリック (Security Fabric)]

NSX 管理ガイド

VMware, Inc. 451


監査

セキュ

リティ

管理者

セキュ

リティ

エンジ

ニア

NSX 管理者

ネット

ワーク

エンジ

ニア

セキュリ

ティ/ロ

ール管理

者


デプロイ [サービスデプロイ

(Service Deployment)] ページを使用して、ク

ラスタ上にサービ

スまたはセキュリ

ティ仮想マシンを

デプロイします

読み取

り

読み取

り

読み取

り

読み取

り、書き

込み

読み取

り


アラーム [サービスデプロイ

(Service Deployment)] ページから、セキュリ

ティ仮想マシンが

生成するアラーム

を管理します

読み取

り

読み取

り、書き

込み

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


エージェントの健全

性ステータス

REST 呼び出しに

対するエージェン

トの健全性ステー

タスアラームを管

理するもので、主

に、パートナー仮想

マシンにより使用

されます

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み


[メッセージング

(Messaging)]

メッセージング NSX Manager との通信のために、

NSX Edge および

ゲストイントロス

ペクションにより

使用されるメッセ

ージングフレーム

ワークです

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み


[レプリケータ（セカンダリ NSX Manager を利用するマルチ vCenter Server セットアップ） (Replicator (Multi vCenter setup with secondary NSX Manager))]

NSX 管理ガイド

VMware, Inc. 452


監査

セキュ

リティ

管理者

セキュ

リティ

エンジ

ニア

NSX 管理者

ネット

ワーク

エンジ

ニア

セキュリ

ティ/ロ

ール管理

者


設定 NSX Manager のプライマリロール

の選択または選択

解除、およびセカン

ダリ NSX Manager の追加

または削除を行い

ます

読み取

り

読み取

り

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


[blueprint_sam.featurelist]

blueprint_sam.ad_config

Active Directory ドメイ

ンの設定に使用

読み取

り

読み取

り

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み


[セキュリティポリシー (Security Policy)]

設定セキュリティポリ

シーの作成、更新、

編集、削除を設定し

ます

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み

アクセス

不可

アクセ

ス不可

読み取

り、書き

込み


セキュリティグル

ープのバインド

セキュリティグル

ープとセキュリテ

ィポリシーを関連

付けます

読み取

り

読み取

り、書き

込み

読み取

り、書き

込み

アクセス

不可

アクセ

ス不可

読み取

り、書き

込み


ポリシーの適用読み取

り

読み取

り、書き

込み

読み取

り、書き

込み

アクセス

不可

アクセ

ス不可

読み取

り、書き

込み


ポリシーの同期分散ファイアウォ

ールのセキュリテ

ィポリシーを同期

読み取

り

同期可

能

同期可

能

アクセス

不可

アクセ

ス不可

同期可能読み取り、書き込み

[NSX アプライアンス管理 (NSX Appliance Management)]（NSX 6.4 以降）

NSX アプライアン

ス管理

NSX アプライアン

ス管理

読み取

り

読み取

り

読み取

り


り


[IP リポジトリ/IP アドレス検出 (IP Repository/IP Discovery)]

設定読み取

り

読み取

り、書き

込み

読み取

り、書き

込み

読み取りアクセ

ス不可

読み取

り、書き

込み


[ダッシュボード

(Dashboard)]

NSX 管理ガイド

VMware, Inc. 453


監査

セキュ

リティ

管理者

セキュ

リティ

エンジ

ニア

NSX 管理者

ネット

ワーク

エンジ

ニア

セキュリ

ティ/ロ

ール管理

者


ウィジェットの設定読み取

り

読み取

り、書き

込み

読み取

り

読み取

り、書き

込み

読み取

り


システム設定読み取

り

読み取

り、書き

込み

読み取

り

読み取

り、書き

込み

読み取

り


[アップグレードコーディネーター

(Upgrade Coordinator)]

アップグレードアクセ

ス不可

アクセ

ス不可

読み取

り

読み取

り、書き

込み

読み取

り


アップグレードプラン

読み取

り

読み取

り

読み取

り

読み取

り、書き

込み

読み取

り


[テクニカルサポー

トバンドル (Tech Support Bundle)]

設定 Endpoint 読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み

読み取

り、書き

込み


[トークンベースの

認証 (Token Based Authentication)]

無効化アクセ

ス不可

アクセ

ス不可

アクセ

ス不可

アクセス

不可

アクセ

ス不可

アクセス

不可


[Ops]

設定読み取

り

読み取

り

読み取

り

読み取

り、書き

込み

読み取

り


シングルサインオンの構成

SSO を使用することで、各コンポーネントが個別にユーザーを認証する代わりに、さまざまなコンポーネントがセ

キュアトークン交換メカニズムを介して相互に通信して、vSphere と NSX Data Center for vSphere の安全性

を高めることができます。

NSX 管理ガイド

VMware, Inc. 454

NSX Manager で Lookup Service を設定し、SSO 管理者の認証情報を入力して、NSX 管理サービスを SSO ユーザーとして登録することができます。シングルサインオン (SSO) サービスを NSX Data Center for vSphere に統合すると、vCenter Server ユーザーに対するユーザー認証の安全性が強化され、NSX Data Center for vSphere が Active Directory、NIS、LDAP など他の ID サービスからユーザーを認証できるように

なります。SSO により NSX Data Center for vSphere は、REST API 呼び出しを介して、信頼されるソースか

らの認証済み Security Assertion Markup Language (SAML) トークンを使用する認証をサポートします。ま

た NSX Manager では、他の VMware ソリューションで使用する認証 SAML トークンを取得できます。

NSX Data Center for vSphere は、SSO ユーザーのグループ情報をキャッシュします。グループメンバーシッ

プを変更すると、ID プロバイダ（Active Directory など）から NSX Data Center for vSphere への伝達に最

大 60 分かかります。

前提条件

n NSX Manager で SSO を使用するには、vCenter Server 6.0 以降が必要です。また、vCenter Server にシングルサインオン (SSO) 認証サービスがインストールされている必要があります。これは組み込みの SSO が対象であることに注意してください。代わりに、デプロイで、外部の一元化された SSO サーバが使用される


vSphere が提供するシングルサインオン (SSO) サービスの詳細については、『Platform Services Controller の管理』を参照してください。

重要：関連する vCenter Server システムで使用される SSO の設定を使用するように、NSX Manager アプライアンスを構成する必要があります。

n SSO サーバと NSX Manager の時間が同期するよう、NTP サーバを指定する必要があります。


手順


Web ブラウザで NSX Manager アプライアンスの GUI（https://<nsx-manager-ip> または https://<nsx-manager-hostname>）に移動し、admin または Enterprise Administrator 役割を持つアカウント

でログインします。


NSX 管理ガイド

VMware, Inc. 455

3 ホームページで [アプライアンス設定の管理 (Manage Appliance Settings)] - [NSX 管理サービス (NSX Management Service)] の順にクリックします。

4 [Lookup Service URL] セクションの [編集 (Edit)] をクリックします。

5 Lookup Service が実行されるホストの名前または IP アドレスを入力します。

6 ポート番号を入力します。

vSphere 6.0 以降を使用している場合は、ポート 443 を入力します。

Lookup Service の URL は、指定されたホストおよびポートに基づいて表示されます。

7 SSO 管理者のユーザー名とパスワードを入力し、[OK] をクリックします。

SSO サーバの証明書のサムプリントが表示されます。

8 証明書のサムプリントが SSO サーバの証明書と一致することを確認します。

認証局 (CA) サーバに CA 署名付き証明書をインストールした場合は、CA 署名付き証明書のサムプリントが表

示されます。CA 署名付き証明書をインストールしていない場合は、自己署名証明書が表示されます。

9 Lookup Service のステータスが [接続中 (Connected)] になっていることを確認します。

次のステップ

『NSX 管理ガイド』で「vCenter Server ユーザーへのロールの割り当て」を参照してください。

ユーザー権限の管理

ユーザーのロールによって、指定されたリソースに対してユーザーが実行できるアクションが定義されます。ユーザ

ーのロールに応じて、指定されたリソースのアクティビティへのアクセスが許可されます。また、ユーザーがアクセ

スできるのは、該当する操作を完了するために必要な機能のみです。これにより、特定のリソースに対するドメイン

の管理が可能になります。また、権限に制限がない場合は、システム全体を管理できます。

1 人のユーザーには 1 つのロールのみ割り当てることができます。次の表は、各ユーザーのロールの権限を示したも

のです。

表 21-1. NSX Manager ユーザーロール

ロール許可される処理

Enterprise Administrator このロールに割り当てられるユーザーは、NSX 製品のデプロイおよび設定と、この NSX Manager イン

スタンスの管理に関連したすべてのタスクを実行できます。

NSX Administrator このロールに割り当てられるユーザーは、この NSX Manager インスタンスのデプロイおよび管理に関連

したすべてのタスクを実行できます。たとえば、仮想アプライアンスのインストール、ポートグループの設

定などが可能です。

Security Administrator このロールに割り当てられるユーザーは、システムのレポートおよび監査情報の表示に加えて、セキュリテ

ィコンプライアンスポリシーの設定を行うことができます。たとえば、分散ファイアウォールルールの定

義、NAT の設定、ロードバランササービスなどが可能です。

Auditor このロールに割り当てられるユーザーは、システムの設定、監査、イベント、レポート情報を表示できます

が、設定を変更することはできません。

NSX 管理ガイド

VMware, Inc. 456

表 21-1. NSX Manager ユーザーロール（続き）

ロール許可される処理

Security Engineer（NSX Data Center for vSphere 6.4.2 で導

入）。

このロールに割り当てられるユーザーは、ポリシーやファイアウォールルールの設定など、すべてのセキュ

リティタスクを実行できます。ユーザーは、一部のネットワーク機能に対する読み取りアクセスが許可され

ますが、ホストの準備とユーザーアカウントの管理にはアクセスできません。

Network Engineer（NSX Data Center for vSphere 6.4.2 で導

入）。

このロールのユーザーは、ルーティング、DHCP、ブリッジなど、すべてのネットワークタスクを実行で

きます。このユーザーには、エンドポイントのセキュリティ機能の読み取りアクセスが許可されますが、他

のセキュリティ機能へのアクセスは許可されません。

セキュリティ/ロール管理者（NSX Data Center for vSphere 6.4.5 で導入）。

このロールのユーザーには、Security Engineer が持つすべての機能の権限が付与されます。ユーザー管

理タスクも実行できます。

SSO ユーザーにロールを割り当てると、次のインターフェイスにアクセスが許可されます。

n vSphere Web Client のネットワークとセキュリティプラグイン。

n NSX Manager アプライアンス（API を含む）。このアクセスは、NSX 6.4 以降でのみ許可されます。

エンタープライズ管理者ロールは、NSX Manager admin ユーザーと同じように NSX Manager アプライアンス

と API にアクセスできます。その他の NSX ロールは、NSX Manager アプライアンスと API に読み取り専用ア

クセスが許可されます。


エンタープライズ管理者以外のロールを持つ SSO ユーザーは、NSX Manager ユーザーインターフェイスにアク

セスして、読み取り専用モードで API 要求を実行できます。GET API 要求で NSX API にアクセスできますが、

PUT、POST および DELETE API 要求は実行できません。また、これらの SSO ユーザーは、NSX Manager ユーザーインターフェイスで停止、設定、編集などの操作を実行できません。

デフォルトユーザーアカウントの管理

NSX Manager ユーザーインターフェイスには、すべてのリソースへのアクセス権限が付与されたユーザーアカウ

ントがあります。このユーザーの権限を編集したり、削除したりすることはできません。デフォルトのユーザー名は

admin で、デフォルトのパスワードは default または NSX Manager のインストール時に指定したパスワードで

す。

NSX Manager アプライアンスの admin ユーザーは、CLI コマンドでのみ管理できます。

vCenter Server ユーザーへのロールの割り当て

SSO ユーザーにロールを割り当てると、vCenter Server はその SSO サーバで設定されている ID サービスを使

用してユーザーを認証します。SSO サーバが構成されていないか使用できない場合、ユーザーは vCenter Server の設定に基づいてローカルで、または Active Directory によって認証されます。

SSO ユーザーにロールを割り当てると、次のインターフェイスにアクセスが許可されます。

n vSphere Web Client のネットワークとセキュリティプラグイン。

n NSX Manager アプライアンス（API を含む）。このアクセスは、NSX 6.4 以降でのみ許可されます。

NSX 管理ガイド

VMware, Inc. 457

エンタープライズ管理者ロールは、NSX Manager admin ユーザーと同じように NSX Manager アプライアンス

と API にアクセスできます。その他の NSX ロールは、NSX Manager アプライアンスと API に読み取り専用ア

クセスが許可されます。

ロールは、個別に割り当てることも、グループメンバーシップによって割り当てることもできます。ユーザーには、

NSX ロールを個別に割り当てることができます。このユーザーは、別の NSX ロールが割り当てられているグルー

プのメンバーになることもできます。このような場合、ユーザーに個別に割り当てられたロールは、NSX Manager アプライアンスへのログインに使用されます。

手順



2 [ユーザー (Users)] タブが開かれていることを確認します。

3 [NSX Manager] ドロップダウンメニューで複数の IP アドレスが利用可能な場合は、IP アドレスを 1 つ選択

するか、デフォルトの IP アドレスを使用します。

4 [追加 (Add)]アイコンをクリックします。

[ロールの割り当て] ウィンドウが開きます。

5 [vCenter Server ユーザーを指定する (Specify a vCenter user)] または [vCenter Server グループを指

定する (Specify a vCenter group)] をクリックします。

6 vCenter Server ユーザーの詳細またはグループの詳細を入力します。


フィールド値の例

ドメイン名 corp.vmware.com

エイリアス corp

グループ名 [email protected]

ユーザー名 [email protected]

ユーザーエイリアス user1@corp

注： NSX Manager でグループにロールを割り当てると、このグループのすべてのユーザーが NSX Manager ユーザーインターフェイスにログインできるようになります。


8 このユーザーのロールを選択し、[次へ (Next)] をクリックします。使用可能なロールの詳細については、ユー

ザー権限の管理を参照してください。


作成したユーザーアカウントがユーザーテーブルに表示されます。

NSX 管理ガイド

VMware, Inc. 458

グループベースのロール割り当て

組織は、ユーザーを適切に管理するためにユーザーグループを作成します。SSO との統合後、NSX Manager はユーザーが属するグループの詳細情報を取得できます。同じグループに属する可能性がある個々のユーザーにロール

を割り当てる代わりに、NSX Manager はグループにロールを割り当てます。NSX Manager がロールをどのよう

に割り当てるかについて、次のシナリオで説明します。

例：ロールベースのアクセス制御のシナリオ

このシナリオでは、IT ネットワークエンジニア (Sally Moore) に、次の環境内の NSX コンポーネントへのアクセ

ス権を付与します。

n Active Directory ドメイン：corp.local

n vCenter Server グループ：[email protected]

n ユーザー名：[email protected]

前提条件：vCenter Server を NSX Manager に登録し、SSO を設定する必要があります。 SSO は、グループ

の場合にのみ必要になります。

1 ロールを Sally に割り当てます。


b [ネットワークとセキュリティ (Networking & Security)] - [システム (System)] - [ユーザーとドメイ

ン (Users and Domains)] の順に移動します。

c [ユーザー (Users)] タブが開かれていることを確認します。

d [追加 (Add)]アイコンをクリックします。

[ロールの割り当て] ウィンドウが開きます。

e [vCenter Server グループを指定する (Specify a vCenter group)] をクリックし、[グループ

(Group)] に [email protected] と入力します。

f [次へ (Next)] をクリックします。

g [ロールの選択 (Select Roles)] で [NSX 管理者 (NSX Administrator)] をクリックし、[次へ (Next)] をクリックします。

2 データセンターに対する権限を Sally に付与します。

a [ホーム] アイコンをクリックして、[ネットワーク (Networking)] をクリックします。

b データセンターを選択して、[アクション (Actions)] - [権限の追加 (Add Permission)] をクリックしま

す。

c [追加 (Add)] をクリックして、[corp.local] ドメインを選択します。

d [ユーザーとグループ (Users and Groups)] で [最初にグループを表示 (Show Groups First)] を選択

します。

e [NetEng] を選択し、[OK] をクリックします。

NSX 管理ガイド

VMware, Inc. 459

f [割り当てられたロール (Assigned Role)] で、[読み取り専用 (Read-only)] を選択し、[子へ伝達

(Propagate to children)] を選択解除して、[OK] をクリックします。

3 vSphere Web Client からログアウトし、[email protected] として再度ログインします。

Sally は NSX 操作のみを実行できます。たとえば、仮想アプライアンスのインストール、論理スイッチの作成

などの操作が可能です。

例：ユーザーグループのメンバーシップ経由で権限を継承するシナリオ

John は、Auditor ロールが割り当てられているグループ G1 に属しています。John は、グループロールとリソー

ス権限を継承します。

グループオプション値の例

名前 G1

割り当てられたロール Auditor（読み取り専用）

リソースグローバルルート

ユーザーオプション値の例

名前 John

属するグループ G1

割り当てられたロールなし。

例：複数グループに属するユーザーメンバーのシナリオ

Joseph はグループ G1 と G2 に属しており、Auditor ロールと Security Administrator ロールの権利と権限の

組み合わせを継承します。たとえば、Joseph には次の権限があります。

n Datacenter1 の読み取り、書き込み（Security Administrator ロール）

n グローバルルートの読み取り専用（Auditor ロール）


名前 G1

割り当てられたロール Auditor（読み取り専用）



名前 G2

割り当てられたロール Security Administrator（読み取りと書き込み）

リソース Datacenter1


名前 Joseph

属するグループ G1、G2

割り当てられたロールなし。

NSX 管理ガイド

VMware, Inc. 460

例：複数ロールを持つユーザーメンバーのシナリオ

このシナリオでは、Bob に Security Administrator ロールが割り当てられています。このため、グループロール

の権限は継承されません。Bob には次の権限があります。

n Datacenter1 とその子リソースの読み取り、書き込み（Security Administrator ロール）

n Datacenter1 での Enterprise Administrator ロール


名前 G1

割り当てられたロール Enterprise Administrator



名前 Bob

属するグループ G1

割り当てられたロール Security Administrator（読み取りと書き込み）

リソース Datacenter1

CLI を使用して Web インターフェイスのアクセス権を持つユーザー

を作成する

CLI を使用して Web インターフェイスのアクセス権を持つ NSX ユーザーを作成できます。このユーザーアカウ

ントを使用して複数のプラグインを操作したり、アカウントを監査目的で使用できます。

手順

1 CLI ユーザーアカウントを作成します。各 NSX 仮想アプライアンスに CLI ユーザーアカウントを作成できま

す。CLI ユーザーアカウントを作成するには、次の手順に従います。

a vSphere Web Client にログインし、NSX Manager 仮想アプライアンスを選択します。

b [コンソール (Console)] タブをクリックして、CLI セッションを開きます。

c NSX Manager のインストール時に指定した管理者アカウントとパスワードを使用して、CLI セッション

にログインします。次に例を示します。

nsx-mgr> enable

Password:

nsx-mgr>

d 次のように、enable コマンドを使用して、基本モードから特権モードに切り替えます。

nsx-mgr> enable

Password:

nsx-mgr#

NSX 管理ガイド

VMware, Inc. 461

e 次のように、configure terminal コマンドを使用して、特権モードから設定モードに切り替えます。

nsx-mgr# configure terminal

nsx-mgr(config)#

f user username password (hash | plaintext) password コマンドを使用して、CLI ユーザーアカウントを追加します。次に例を示します。

nsx-mgr(config)# user cliuser password plaintext abcd1234

注：大文字を含むユーザー名は指定できません。

g 次のように設定を保存します。

nsx-mgr(config)# write memory

Configuration saved

[OK]

2 次のように、NSX Manager 仮想アプライアンスへのログインをユーザーに許可する Web インターフェイス

権限を提供し、アプライアンスの管理 REST API の実行を許可します。

a 次のように、設定モードになっていることを確認します。

nsx-mgr# configure terminal

nsx-mgr(config)#

b user username privilege web-interface コマンドを使用して、作成した CLI ユーザーに REST API 呼び出しの実行を許可します。次はその例です。

nsx-mgr(config)# user userName privilege web-interface

nsx-mgr(config)# user cliuser privilege web-interface

3 （オプション）次のように、実行中の設定を確認できます。

nsx-mgr# show running-config

Building configuration...

Current configuration:

!

user cliuser

!

ntp server 192.168.110.1

!

ip name server 192.168.110.10

!

hostname nsxmgr-01a

!

interface mgmt

ip address 192.168.110.15/24

NSX 管理ガイド

VMware, Inc. 462

!

ip route 0.0.0.0/0 192.168.110.1

!

web-manager

4 CLI セッションを終了します。

nsx-mgr#(config)# exit

nsx-mgr# exit

[ネットワークとセキュリティ (Networking & Security)] - [システム (System)] - [ユーザーとドメイン

(Users and Domains)] - [ユーザー (Users)] タブの順に移動しても、作成したユーザーは表示されません。

また、ユーザーにロールは割り当てられません。

5 REST API を使用して、必要なロールをユーザーに割り当てます。次のように、auditor (Auditor)、security_admin (Security Administrator)、super_user (System Administrator) ロールを割り当てる


POST - https://<NSX-IP>/api/2.0/services/usermgmt/role/<username>?isCli=true

<accessControlEntry>

<role>auditor</role> # Enter the required role #

<resource>

<resourceId>globalroot-0</resourceId>

</resource>

</accessControlEntry>

結果

Web インターフェイスのアクセス権を持つ NSX CLI ユーザーが作成されます。

次のステップ

ユーザーの作成で指定した認証情報を使用して、vSphere Web Client にログインできます。

CLI の詳細については、『NSX コマンドラインインターフェイスリファレンス』を参照してください。

API の詳細については、『NSX API ガイド』を参照してください。

ユーザーアカウントの編集

ユーザーアカウントを編集して、ロールまたはスコープを変更することができます。admin アカウントは編集でき

ません。

手順






NSX 管理ガイド

VMware, Inc. 463

4 編集するユーザーを選択します。


6 必要な変更を実行します。

7 [終了 (Finish)] をクリックして、変更内容を保存します。

ユーザーロールの変更

admin ユーザーを除くすべてのユーザーについて、ロールの割り当てを変更できます。

手順






4 ロールを編集するユーザーを選択します。


6 必要な変更を実行します。

7 [終了 (Finish)] をクリックして、変更内容を保存します。

ユーザーアカウントを無効または有効にする

ユーザーアカウントを無効にして、そのユーザーが NSX Manager にログインできないようにすることができま

す。admin ユーザーまたは現在 NSX Manager にログインしているユーザーを無効にできません。

手順






4 ユーザーを選択して、[有効 (Enable)] または [無効 (Disable)] アイコンをクリックします。

ユーザーアカウントの削除

作成したユーザーアカウントは削除できます。admin アカウントは削除できません。削除されたユーザーに対する

監査レコードは、データベースに保持され、監査ログレポートで参照できます。

NSX 管理ガイド

VMware, Inc. 464

手順






4 ユーザーを選択して、[削除 (Delete)]（または）アイコンをクリックします。

5 削除を実行するため、[削除 (Delete)] または [はい] をクリックします。

vCenter Server のユーザーアカウントを削除する場合、NSX Manager 用のロール割り当てだけが削除され

ます。vCenter Server 上のユーザーアカウントは削除されません。

NSX 管理ガイド

VMware, Inc. 465

ネットワークおよびセキュリティオブジェクト 22このセクションでは、カスタムネットワークとセキュリティコンテナについて説明します。これらのコンテナは、

分散ファイアウォールと Service Composer で使用できます。Cross-vCenter NSX 環境では、ユニバーサル分

散ファイアウォールルールで使用するユニバーサルネットワークとセキュリティコンテナを作成できます。ユニバ

ーサルネットワークおよびセキュリティオブジェクトを Service Composer で使用することはできません。

注：ユニバーサルスコープを持つグループを作成する場合には、重複する名前も使用できます。次のグループを作

成するときに、[このオブジェクトをユニバーサル同期の対象としてマーク (Mark this object for Universal Synchronization)] オプションを選択すると、重複する名前を指定できます。

n IP アドレスグループ（IP セット）

n MAC アドレスグループ（MAC セット）


n サービスおよびサービスグループ


n IP アドレスグループの操作

n MAC アドレスグループの操作

n IP アドレスプールの操作

n セキュリティグループの操作

n サービスおよびサービスグループの操作

IP アドレスグループの操作

IP アドレスグループ（IP セット）は、IP アドレスのリストまたは IP アドレス範囲をグループ化したものです。

Edge ファイアウォールルールや分散ファイアウォールルールを定義する際に、IP アドレスグループを使用できま

す。

IP アドレスグループを作成するには、IP アドレスを手動で入力するか、IP アドレスのカンマ区切りのリストを含

む .csv ファイルまたは .txt ファイルをインポートします。また、既存の IP アドレスグループを IP アドレスの

カンマ区切りリストとして .txt ファイルにエクスポートすることもできます。

VMware, Inc. 466

IP アドレスグループの作成

IP アドレスグループを作成してから、このグループを送信元または宛先としてファイアウォールルールに追加でき

ます。このルールにより、仮想マシンから物理マシンを、または物理マシンから仮想マシンを保護することができま

す。

前提条件

n 各仮想マシンへ VMware Tools をインストールします。

n IP アドレスの代わりにグループオブジェクトを使用する場合は、IP アドレスの検出方法（DHCP スヌーピン

グ、ARP スヌーピング、またはその両方など）を有効にします。詳細については、仮想マシンの IP アドレス検

出を参照してください。

手順



2 [IP セット (IP Sets)] に移動します。

n NSX 6.4.1 以降では、[IP セット (IP Sets)] タブに移動します。

n NSX 6.4.0 では、[グループオブジェクト (Grouping Objects)] - [IP セット (IP Sets)] タブの順に移動

します。



u ユニバーサル IP アドレスグループの管理が必要な場合は、プライマリ NSX Manager を選択します。

4 [追加 (Add)] または [追加 (Add)]（）アイコンをクリックします。

5 アドレスグループの名前を入力します。

6 （オプション）アドレスグループの説明を入力します。

7 グループに含める IP アドレスまたは IP アドレス範囲を入力します。

注意： IP セットに IPv6 アドレス範囲を入力する場合は、アドレス範囲を /64 に分割します。この設定を行

わないと、ファイアウォールルールの発行に失敗します。

8 （オプション） [継承 (Inheritance)] または [継承を有効にし、下層にある範囲で表示できるようにする

(Enable inheritance to allow visibility at underlying scopes.)] を選択します。

継承を有効にすると、グローバルスコープで作成されたグループオブジェクトが、データセンターや Edge などの派生スコープからアクセス可能になります。

9 （オプション）ユニバーサル IP アドレスグループを作成するには、次の手順に従います。

u NSX 6.4.1 以降では、[ユニバーサル同期 (Universal Synchronization)] トグルボタンをクリックし、

[有効 (On)] にします。

u NSX 6.4.0 では、[このオブジェクトをユニバーサル同期の対象としてマーク (Mark this object for Universal Synchronization)] を選択します。

NSX 管理ガイド

VMware, Inc. 467


IP アドレスグループの編集

手順






します。




4 編集するグループを選択して、[編集 (Edit)] （または）アイコンをクリックします。


IP アドレスグループの削除

手順






します。




4 削除するグループを選択し、[削除 (Delete)]（または）アイコンをクリックします。

MAC アドレスグループの操作

NSX 管理ガイド

VMware, Inc. 468

MAC アドレスグループの作成

一定範囲の MAC アドレスで設定される MAC アドレスグループ（MAC セット）を作成してから、そのグループ

を分散ファイアウォールルールに送信元または宛先として追加できます。このルールにより、仮想マシンから物理マ

シンを、または物理マシンから仮想マシンを保護することができます。

手順



2 [MAC セット (MAC Sets)] に移動します。

n NSX 6.4.1 以降では、[MAC セット (MAC Sets)] タブに移動します。

n NSX 6.4.0 では、[グループオブジェクト (Grouping Objects)] - [MAC セット (MAC Sets)] タブの

順に移動します。



u ユニバーサル MAC アドレスグループを管理するには、プライマリ NSX Manager を選択する必要があり

ます。


5 アドレスグループの名前を入力します。

6 （オプション）アドレスグループの説明を入力します。

7 グループに含める MAC アドレスを入力します。




9 （オプション）ユニバーサル MAC アドレスグループを作成する場合は、[ユニバーサル同期 (Universal Synchronization)] または [このオブジェクトをユニバーサル同期の対象としてマーク (Mark this object for Universal Synchronization)] を選択します。


MAC アドレスグループの編集

手順





NSX 管理ガイド

VMware, Inc. 469






ます。



MAC アドレスグループの削除

手順










ます。


IP アドレスプールの操作

IP アドレスプールを作成して、IP アドレスの範囲を指定できます。

IP アドレスプールの作成

IP アドレスプールに含める IP アドレス範囲を追加できます。すでにネットワークで使用されている IP アドレス範

囲または IP アドレスが IP アドレスプールに含まれていないことを確認します。

手順



2 [IP アドレスプール (IP Pools)] に移動します。

n NSX 6.4.1 以降では、[IP アドレスプール (IP Pools)] タブに移動します。

NSX 管理ガイド

VMware, Inc. 470

n NSX 6.4.0 では、[グループオブジェクト (Grouping Objects)] - [IP アドレスプール (IP Pools)] タブ

の順に移動します。



4 [追加 (Add)] または [新規 IP アドレスプールの追加 (Add New IP Pool)] アイコンをクリックします。

5 IP アドレスプールの名前を入力し、デフォルトゲートウェイとプリフィックスの長さを入力します。

6 （オプション）プライマリおよびセカンダリ DNS と、DNS サフィックスを入力します。

7 プールに含める IP アドレス範囲を入力し、[追加 (Add)] または [OK] をクリックします。

IP アドレスプールの編集

IP アドレスプールの名前と IP アドレス範囲を編集できます。ただし、IP アドレスプールを使用した後で、ゲート

ウェイとプリフィックス長を編集することはできません。

手順









4 IP アドレスプールを選択し、[編集 (Edit)]（または）アイコンをクリックします。


IP アドレスプールの削除

IP アドレスプールを削除できます。

手順









NSX 管理ガイド

VMware, Inc. 471

4 削除する IP アドレスプールを選択し、[削除 (Delete)]（または）アイコンをクリックします。

セキュリティグループの操作

セキュリティグループは、vSphere インベントリの資産またはグループオブジェクトの集合です。

セキュリティグループは、論理スイッチ、vNIC、IP セット、仮想マシン (VM) など、さまざまなタイプのオブジェ

クトを入れるためのコンテナです。セキュリティグループには、セキュリティタグ、仮想マシン名、または論理ス

イッチ名に基づく動的なメンバーシップ基準を含めることができます。たとえば、セキュリティタグ「web」を持

つすべての仮想マシンは、Web サーバを対象にしたセキュリティグループへ自動的に追加されます。セキュリティ

グループを作成した後、そのグループにセキュリティポリシーを適用します。



RDSH の Identity Firewall で使用するセキュリティグループでは、作成時に[送信元でユーザー ID を有効にする]が選択されたセキュリティポリシーを使用する必要があります。RDSH の Identity Firewall で使用するセキュリ

ティグループには、Active Directory (AD) グループのみを含める必要があります。ネストされたセキュリティグループもすべて AD グループにする必要があります。

Identity Firewall で使用されているセキュリティグループには、Active Directory ディレクトリグループのみを

含めることができます。ネストされたグループには、Active Directory 以外のグループや仮想マシンなどの他の論

理エンティティを含めることができます。

詳細についてはセキュリティグループでのファイアウォールルールの動作を参照してください。

Cross-vCenter NSX 環境では、ユニバーサルセキュリティグループはプライマリ NSX Manager で定義され、

セカンダリ NSX Manager とのユニバーサル同期の対象としてマークされます。アクティブ/スタンバイ環境で使

用するとマークしない限り、ユニバーサルセキュリティグループで、動的なメンバーシップ基準を定義することは

できません。

Cross-vCenter NSX 環境でアクティブ/スタンバイ環境シナリオを使用する場合、SRM はリカバリサイトに、ア

クティブサイトにある保護対象のすべての仮想マシン用のプレースホルダ仮想マシンを作成します。プレースホル

ダ仮想マシンはアクティブではなく、スダンバイモードのままになります。保護対象の仮想マシンが停止すると、リ

カバリサイトのプレースホルダ仮想マシンがパワーオンされ、保護対象の仮想マシンのタスクを引き継ぎます。ユー

ザーは、ユニバーサルセキュリティタグを使用したユニバーサルセキュリティグループを含む分散ファイアウォー

ルルールを作成します。NSX Manager は、ユニバーサルセキュリティタグを使用したユニバーサルセキュリテ

ィグループを含む分散ファイアウォールルールをプレースホルダ仮想マシンにレプリケートします。プレースホル

ダ仮想マシンがパワーオンすると、ユニバーサルセキュリティタグを使用したユニバーサルセキュリティグループ

を含むレプリケートされたファイアウォールルールが正しく適用されます。

注： n NSX 6.3 より前に作成されたユニバーサルセキュリティグループを編集して、アクティブ/スタンバイ環境で

使用することはできません。

セキュリティグループでのファイアウォールルールの動作

ファイアウォールルールの動作は、セキュリティグループによって異なります。

NSX 管理ガイド

VMware, Inc. 472

表 22-1. RDSH セクションと RDSH 以外のセクションでのファイアウォールルールの動作

ユーザー ID のセキュリティグループを有効に

する（RDSH セクション）

ID のセキュリティグループ（RDSH セクシ

ョン）

任意のセキュリティグループ（RDSH 以外のセ

クション）

送信元 - SID ベースのルールがハイパーバイザ

ーに事前にプッシュされます。最初のパケット

にルールが適用されます。

送信元 - IP アドレスベースのルール送信元 - IP アドレスベースのルール

宛先 - IP アドレスベースのルール宛先 - IP アドレスベースのルール宛先 - IP アドレスベースのルール

ID ベースのセキュリティグループの適用先 - すべてのホストに適用ユーザーベースの適用先

ID ベース以外のセキュリティグループの適用先 - ユーザーベースの適用先ユーザーベースの適用先

セキュリティグループの作成


ユニバーサルセキュリティグループは、アクティブ環境とアクティブ/スタンバイ環境の 2 種類の Cross-vCenter NSX 環境で使用されます。アクティブ/スタンバイ環境の場合は、一度に 1 つのサイトがアクティブな環境となり、

残りのサイトはスタンバイ状態になります。

n アクティブ環境のユニバーサルセキュリティグループには、セキュリティグループ、IP セット、MAC セット

の対象オブジェクトのみを含めることができます。動的メンバーシップや除外されたオブジェクトは設定できま

せん。

n アクティブ/スタンバイ環境のユニバーサルセキュリティグループには、セキュリティグループ、IP セット、

MAC セット、ユニバーサルセキュリティタグの対象オブジェクトを含めることができます。仮想マシン名を

のみを使用して動的メンバーシップを設定することもできます。除外されたオブジェクトは設定できません。

注：コンピュータの OS 名やコンピュータ名などの動的基準に基づいてパワーオフされた仮想マシンは、セキュリ

ティグループに含まれません。動的基準は、仮想マシンのパワーオン時に NSX によって 1 回のみ受信されます。パ

ワーオン後は、ゲストの詳細が NSX Manager と同期され、仮想マシンがパワーオフした後も NSX Manager で維持されます。

注： NSX 6.3 より前に作成されたユニバーサルセキュリティグループを編集して、アクティブ/スタンバイ環境

で使用することはできません。

前提条件

Active Directory グループオブジェクトに基づいてセキュリティグループを作成する場合、1 つ以上のドメインが

NSX Manager に登録されていることを確認します。NSX Manager は、グループ、ユーザー情報、およびこれら

の関係を登録先の各ドメインから取得します。「NSX Manager への Windows ドメインの登録」を参照してくだ

さい。

手順



2 [セキュリティグループ (Security Group)] に移動します。

n NSX 6.4.1 以降では、[セキュリティグループ (Security Groups)] タブに移動します。

NSX 管理ガイド

VMware, Inc. 473

n NSX 6.4.0 では、[グループオブジェクト (Grouping Objects)] - [セキュリティグループ (Security Group)] タブの順に移動します。



u ユニバーサルセキュリティグループを管理するには、プライマリ NSX Manager を選択する必要があり

ます。

4 [追加 (Add)] または [新規セキュリティグループの追加 (Add New Security Group)] アイコンをクリック

します。

5 セキュリティグループの名前と説明（説明は任意）を入力します。

6 （オプション）ユニバーサルセキュリティグループを作成する場合は、[ユニバーサル同期 (Universal Synchronization)] または [このオブジェクトをユニバーサル同期の対象としてマーク (Mark this object for universal synchronization)] を選択します。

7 （オプション）アクティブ/スタンバイ環境で使用するユニバーサルセキュリティグループを作成する場合は、

[ユニバーサル同期/このオブジェクトをユニバーサル同期の対象としてマーク (Universal Synchronization / Mark this object for universal synchronization)] と [アクティブ/スタンバイ環境

での使用 (Use for active standby deployments)] の両方を選択します。アクティブ/スタンバイ環境で

は、仮想マシン名に基づいたユニバーサルセキュリティグループの動的メンバーシップが使用されます。


9 [動的メンバーシップ] ページで、作成中のセキュリティグループに追加するオブジェクトに必要となる基準を定

義します。これにより、フィルタ基準を定義して、検索基準を満たす仮想マシンを含めることができます。フィ

ルタ基準では、多数のパラメータがサポートされています。

注：ユニバーサルセキュリティグループを作成する場合、アクティブ/アクティブ環境で [動的メンバーシッ

プの定義 (Define dynamic membership)] の手順は利用できません。アクティブ/スタンバイ環境では、仮

想マシン名のみに基づいて使用できます。

たとえば、指定したセキュリティタグ（AntiVirus.virusFound など）でタグ付けされた仮想マシンのすべて

をセキュリティグループに追加するための基準を含めることができます。セキュリティタグでは大文字と小文

字が区別されます。

または、W2008 という名前を含むすべての仮想マシンや、論理スイッチ global_wire に含まれる仮想マシン

をセキュリティグループに追加できます。


NSX 管理ガイド

VMware, Inc. 474

11 [含めるオブジェクトの選択] ページで、追加するリソースのタブを選択し、セキュリティグループに追加するリ

ソースを 1 つ以上選択します。セキュリティグループには次のオブジェクトを含めることができます。

表 22-2. セキュリティグループおよびユニバーサルセキュリティグループに含めることができるオブジェク

ト。

セキュリティグループユニバーサルセキュリティグループ

n 作成中のセキュリティグループ内にネストされた他のセキュリテ

ィグループ。

n クラスタ


n ネットワーク

n 仮想アプリケーション


n IP セット

n ディレクトリグループ

注： NSX セキュリティグループの Active Directory の設定

は、vSphere SSO の Active Directory の設定とは異なりま

す。NSX Active Directory グループの設定はゲスト仮想マシ

ンにアクセスするエンドユーザー用であり、vSphere SSO は

vSphere および NSX を使用する管理者用です。これらのディ

レクトリグループを使用するには、Active Directory との同期

が必要です。「12 章 Identity Firewall の概要」を参照してくだ

さい。

n MAC セット

n セキュリティタグ

n vNIC

n 仮想マシン


n 分散仮想ポートグループ

n 作成中のユニバーサルセキュリティグループ内にネストされた

他のユニバーサルセキュリティグループ。



n ユニバーサルセキュリティタグ（アクティブ/スタンバイ環境の

み）

ここで選択したオブジェクトは、[動的メンバーシップ] ページで以前に定義した基準を満たすかどうかにかかわ

らず、常にセキュリティグループに含まれます。

セキュリティグループに 1 つのリソースを追加すると、関連するすべてのリソースも自動的に追加されます。た

とえば、仮想マシンを選択すると、関連する vNIC が自動的にセキュリティグループに追加されます。

12 [次へ (Next)] をクリックして、セキュリティグループから除外するオブジェクトを選択します。

注：ユニバーサルセキュリティグループを作成する場合、[除外するオブジェクトの選択] の手順は使用でき

ません。

ここで選択したオブジェクトは、動的基準を満たすかどうかにかかわらず、常にセキュリティグループから除外

されます。


[設定内容の確認 (Ready to Complete)] ウィンドウが表示され、セキュリティグループの概要が示されます。


NSX 管理ガイド

VMware, Inc. 475

例

セキュリティグループのメンバーシップは、次のように決まります。

{式の結果（[動的メンバーシップの定義 (Define dynamic membership)] から派生）+ 含まれるアイテム（[含め

るオブジェクトの選択 (Select objects to include)] で指定）} - 除外されるアイテム（[除外するオブジェクトの選

択 (Select objects to exclude)] で指定）

つまり、含まれるアイテムが最初に式の結果に追加されます。次に、除外されるアイテムが、結合された結果から差

し引かれます。

セキュリティグループの編集

手順









ます。


注： NSX 6.3 より前に作成されたユニバーサルセキュリティグループを編集して、アクティブ/スタンバイ

環境で使用することはできません。

5 [セキュリティグループの編集] ダイアログボックスで、必要な変更を行います。

6 [終了 (Finish)] または [OK] をクリックします。

セキュリティグループの削除

手順






NSX 管理ガイド

VMware, Inc. 476




ます。


サービスおよびサービスグループの操作

サービスはプロトコルとポートの組み合わせで、サービスグループはサービスや他のサービスグループの集合です。

サービスの作成

ファイアウォールルールでサービスを使用できます。事前定義のサービスを使用することも、他のサービスを作成す


アプリケーションが未定義であったり、標準のプロトコルを使用している場合は、デフォルト以外のポートを使用し

たサービスの作成が必要になることがあります。次はその例です。

n デフォルト以外のポートの HTTP： TCP:8080

n デフォルト以外のポートの FTP： FTP:8021

n NoMachine サーバポート： UDP:4000

注： Edge ファイアウォールでは、SCTP プロトコルはサポートされません。

手順



2 [サービス (Services)] に移動します。

n NSX 6.4.1 以降では、[サービス (Services)] タブに移動します。

n NSX 6.4.0 では、[グループオブジェクト (Grouping Objects)] - [サービス (Service)] タブの順に移動

します。



u ユニバーサルサービスを管理するには、プライマリ NSX Manager を選択する必要があります。


5 [名前 (Name)] にサービス名を入力します。

6 （オプション） [説明 (Description)] にサービスの説明を入力します。

7 [レイヤー (Layer)] を選択します。

レイヤー 7 を選択する場合、アプリケーション ID の選択が求められます。

NSX 管理ガイド

VMware, Inc. 477

8 [プロトコル (Protocol)] を選択します。

たとえば、TCP、UDP または FTP を選択します。

選択したプロトコルによっては、宛先ポートなどのその他の情報の入力を求められる場合があります。[詳細オプ

ション (Advanced Options)] を展開して、送信元ポートを入力します。

注： Edge ファイアウォールでは、SCTP プロトコルはサポートされません。




10 （オプション）ユニバーサルサービスを作成する場合は、[ユニバーサル同期 (Universal Synchronization)] または [このオブジェクトをユニバーサル同期の対象としてマーク (Mark this object for Universal Synchronization)] を選択します。


結果

サービスが [サービス] テーブルに表示されます。

サービスグループの作成

サービスグループを作成して、そのサービスグループに適用するルールを定義できます。

手順



2 [サービスグループ (Service Groups)] に移動します。

n NSX 6.4.1 以降では、[サービスグループ (Service Groups)] タブに移動します。

n NSX 6.4.0 では、[グループオブジェクト (Grouping Objects)] - [サービスグループ (Service Groups)] タブの順に移動します。




ます。


5 サービスグループを識別する [名前 (Name)] を入力します。

6 （オプション）サービスグループの [説明 (Description)] を入力します。

7 [メンバー] で、グループに追加するサービスまたはサービスグループを選択します。

NSX 管理ガイド

VMware, Inc. 478

8 （オプション）ユニバーサルサービスグループを作成する場合は、[ユニバーサル同期 (Universal Synchronization)] または [このオブジェクトをユニバーサル同期の対象としてマーク (Mark this object for Universal Synchronization)] を選択します。





サービスまたはサービスグループの編集

サービスおよびサービスグループを編集できます。

手順



2 [サービス (Service)] タブまたは [サービスグループ (Service Groups)] タブをクリックします。

3 カスタムサービスまたはサービスグループを選択し、[編集 (Edit)] （または）アイコンをクリックしま

す。


サービスまたはサービスグループの削除

サービスまたはサービスグループを削除できます。

手順



2 [サービス (Service)] タブまたは [サービスグループ (Service Groups)] タブをクリックします。

3 カスタムサービスまたはサービスグループを選択し、[削除 (Delete)]（または）アイコンをクリックし

ます。

NSX 管理ガイド

VMware, Inc. 479

運用管理 23この章には、次のトピックが含まれています。

n ライセンスの追加と割り当て

n ダッシュボードの使用

n 通信チャネルの健全性の確認

n NSX Controller の管理

n 複数サイトでのコントローラ切断モード

n VXLAN ポートの変更

n カスタマーエクスペリエンス向上プログラム

n NSX のログについて

n 監査ログ

n システムイベント

n システム設定の管理

n NSX のバックアップとリストア

n NSX の監視と診断ツール

ライセンスの追加と割り当て

vSphere Web Client を使用して、ライセンスの追加や割り当てを行います。

NSX 6.4.0 以降では、ライセンスを管理するには、LicenseService.Administrators グループのメンバーである

必要があります。

VMware, Inc. 480

インストール時のデフォルトライセンスは、NSX for vShield Endpoint です。このライセンスは、アンチウイル

スオフロード機能のみを使用する目的で vShield Endpoint をデプロイおよび管理するために、NSX を使用でき

ます。また、ハードコーディングによって強制的にホストの準備と NSX Edge の作成をブロックすることにより、

VXLAN、ファイアウォール、および Edge サービスの使用を制限しています。論理スイッチ、分散論理ルーター、

分散ファイアウォール、NSX Edge を含む他の機能を使用する場合は、ライセンスを購入してこれらの機能を使用

するか、これらの機能を短期間使用して評価するための評価版ライセンスが必要になります。

n NSX 6.2.2 以降では、NSX for vSphere Standard、Advanced、Enterprise のライセンスキーが有効で

す。

n NSX 6.4.1 以降では、NSX Data Center Standard、Professional、Advanced、Enterprise Plus、

Remote Office Branch Office のライセンスキーが有効です。

NSX Data Center、NSX、NSX for vShield Endpoint のライセンスエディションとその関連機能の詳細につい

ては、https://kb.vmware.com/kb/2145269 を参照してください。

VMware 製品のライセンスの詳細については、http://www.vmware.com/files/pdf/vmware-product-guide.pdf を参照してください。

vSphere でのライセンス管理の詳細については、vSphere の使用バージョンの『vCenter Server およびホスト

管理』ドキュメントを参照してください。

前提条件

ライセンスを管理するすべての vCenter Server ユーザーが LicenseService.Administrators グループに属し

ていることを確認します。

同じ Platform Services Controller を使用する複数の vCenter Server システムがあり、これらの vCenter Server で複数の NSX Manager が登録されている場合、NSX Manager アプライアンスを 1 つのライセンスに結

合する必要があります。詳細については https://kb.vmware.com/s/article/53750 を参照してください。ライ

センスの結合については、https://kb.vmware.com/s/article/2006973 を参照してください。

手順


2 [管理 (Administration)] をクリックして、[ライセンス (Licenses)] をクリックします。

3 [資産 (Assets)] タブをクリックして、[ソリューション (Solutions)] タブをクリックします。

4 [ソリューション] リストで NSX for vSphere を選択します。[すべてのアクション (All Actions)] ドロップ

ダウンメニューから、[ライセンスの割り当て... (Assign license...)] を選択します。

5 [追加（） (Add)]アイコンをクリックします。ライセンスキーを入力して、[次へ (Next)] をクリックしま

す。ライセンスの名前を追加して、[次へ (Next)] をクリックします。[終了 (Finish)] をクリックして、ライセ

ンスを追加します。

6 新しいライセンスを選択します。

7 （オプション） [機能の表示 (View Features)] アイコンをクリックして、このライセンスで有効になっている

機能を表示します。

8 [OK] をクリックして、新しいライセンスを NSX に割り当てます。

NSX 管理ガイド

VMware, Inc. 481


http://www.vmware.com/files/pdf/vmware-product-guide.pdf

http://www.vmware.com/files/pdf/vmware-product-guide.pdf



ダッシュボードの使用

ダッシュボードでは、NSX コンポーネントの全体的な健全性をまとめて表示できます。ダッシュボードを使用する

と、NSX Manager、コントローラ、論理スイッチ、ホストの準備、サービスのデプロイ、バックアップ、Edge 通知など、異なる NSX コンポーネントのステータスを表示し、トラブルシューティングを容易に行うことができます。


2 [ネットワークとセキュリティ (Networking & Security)] をクリックします。デフォルトのトップ　ページ

に、[][ダッシュボード (Dashboard)] - [概要 (Overview)] ページが表示されます。

既存のシステム定義のウィジェットとカスタムウィジェットを表示できます。

ウィジェットコンポーネント

システムの概要 NSX Manager：

n CPU 使用率

n NSX Manager のディスク使用率

n データベースサービス、メッセージバスサービス、およびレプリケータサービ

スのサービスステータス。セカンダリ NSX Manager でのレプリケーション

エラー

n コントローラの同期ステータス

コントローラノード：

n コントローラノードのステータス

n コントローラのピア接続ステータス

n コントローラ仮想マシンのステータス（パワーオフ/削除済み）

n コントローラ　ディスク遅延アラート

外部コンポーネント：

n vSphere ESX Agent Manager (EAM) サービスのステータス

ファイアウォールの発行ステータスファイアウォールの発行ステータスが失敗になっているホスト数。発行した分散ファ

イアウォール設定の適用に失敗したホストがある場合、ステータスは赤色になります。

論理スイッチステータスステータスがエラーまたは警告の論理スイッチ数バッキングされている分散仮想ポー

トグループが vCenter Server から削除されたことを示すフラグ

サービスデプロイステータス n 失敗したデプロイのインストールステータス

n 失敗したすべてのサービスのサービスステータス

ホストの通知ホストのセキュリティアラート。DHCP クライアントのハードウェアアドレスがス

プーフィングされている場合、このアラートが表示されます。DHCP で DoS (denial-of-service) 攻撃が発生している可能性があります。

ファブリックのステータスホスト準備のステータス：

n インストール失敗、アップグレードを保留中、インストールを実行中のクラスタ

など、デプロイのステータスが表示されます。

n ファイアウォール

n ファイアウォールが無効のクラスタ数

n 分散ファイアウォールのステータス

n VXLAN

n VXLAN が設定されていないクラスタ数

n VXLAN のステータス

通信チャネルの健全性ステータス

NSX 管理ガイド

VMware, Inc. 482

ウィジェットコンポーネント

バックアップステータス NSX Manager のバックアップステータス

n バックアップスケジュール

n 最新のバックアップステータス（失敗/成功/日時指定のスケジュールなし）

n 実行した最新のバックアップ（日時と詳細）

n 成功した最新のバックアップ（日時と詳細）

Edge 通知特定のサービスのアクティブなアラームが表示されます。ここでは、重要なイベント

が監視され、問題が解決されるまで追跡されます。アラームは、リカバリイベントが

レポートされたとき、または Edge が強制同期、再デプロイ、アップグレードされた

ときに自動的に解決されます。

ツール n フローモニタリングのステータス

n エンドポイント監視のステータス

システムのスケールダッシュボードスケーリングの警告とアラートの概要が表示されます。パラメータとスケール番号の

一覧を表示するには、[詳細 (Details)] をクリックして、システムのスケールダッシ

ュボードに移動します。

カスタムウィジェット API で作成されたカスタムウィジェットが表示されます。

カスタムウィジェット

REST API を使用して、ダッシュボードにカスタムウィジェットを追加できます。ダッシュボードでは、個人閲覧

用に 5 つのカスタムウィジェットを作成できます。

ウィジェットの設定で shared パラメータを true に設定すると、カスタムウィジェットを他のユーザーと共有でき

ます。共有できるウィジェットの上限は 10 個です。つまり、すべてのユーザー間で共有可能なウィジェットの合計

数は 10 個までとなります。

カスタムウィジェットの API

ダッシュボードでカスタムウィジェットを表示、作成、変更または削除するには、次の API を使用します。

n 特定のウィジェットの設定に関する情報を表示する：GET /api/2.0/services/dashboard/ui-views/

dashboard/widgetconfigurations/<widgetconfiguration-id> API を使用します。

n カスタムウィジェットを作成する：POST /api/2.0/services/dashboard/ui-views/dashboard/

widgetconfigurations API を使用します。

n 既存のウィジェットの設定を変更する：PUT /api/2.0/services/dashboard/ui-views/dashboard/

widgetconfigurations/<widgetconfiguration-id> API を使用します。

n 以前に作成するカスタムウィジェットを削除する：DELETE /api/2.0/services/dashboard/ui-views/

dashboard/widgetconfigurations/<widgetconfiguration-id> API を使用します。


システムのスケールダッシュボード

[システムのスケール (System Scale)] ダッシュボードには、システムのスケーリーングに関する情報や、サポート

対象のスケーリングパラメータの上限が表示されます。システムスケールに警告しきい値を設定して、しきい値を

NSX 管理ガイド

VMware, Inc. 483

超えた場合にアラートを生成できます。しきい値を超えるとシステムイベントが生成され、これに基づいて通知が設

定されます。この情報はログに記録され、サポートバンドルに追加されます。

値が指定のしきい値の割合を超えた場合、スケーリングの上限に近づいていることを警告するインジケータが表示さ

れます。赤いインジケータは、その設定の上限に達したことを表します。リストは、その時点のスケーリングの割合

(%) の高い順であるため、警告のインジケータは常に先頭に表示されます。

1 時間ごとにデータを収集して、しきい値を超えたかどうか確認され、しきい値を超えている場合はインジケータが

作成されます。この情報は、1 日に 2 回 NSX Manager テクニカルサポートログに記録されます。

次のように、条件を満たすとシステムイベントが生成されます。

n パラメータがしきい値を超えると、警告イベントが生成される。

n パラメータが、サポートされているシステムスケール設定を超えると、重大イベントが生成される。

n パラメータがしきい値を超えていない場合は、情報イベントが生成される。

すべてのパラメータのスケールしきい値の取得

GET /api/2.0/capacity-parameters/report API を使用すると、システムスケールの実際の設定とサポートさ

れている設定を確認できます。API 出力には、スケーリングの概要、現在のスケール値、サポートされるシステムスケール値、各パラメータのしきい値が表示されます。

システムのスケールしきい値の設定

システムのスケールしきい値を設定できます。

しきい値を設定するには：

1 GET /api/2.0/capacity-parameters/thresholds API を使用して、グローバルシステムしきい値を取得し

ます。たとえば、API 出力で、グローバルしきい値は 80 と表示されます。つまり、[システムのスケール

(System Scale)] ダッシュボードで、[使用率の警告しきい値 (Usage Warning Threshold)] が 80% と表

示されます。

注：デフォルトでは、グローバルしきい値は 80 に設定されています。

2 システムのしきい値を変更するには、PUT /api/2.0/capacity-parameters/thresholds API を使用します。

たとえば、グローバルしきい値を 70 に変更します。これで、[システムのスケール (System Scale)] ダッシュ

ボードで、[使用量の警告のしきい値 (Usage Warning Threshold)] が 70% と表示されます。


システムスケールの詳細については、NSX 推奨設定の最大値を参照してください。

通信チャネルの健全性の確認

NSX は、NSX Manager とファイアウォールエージェント間、NSX Manager と制御プレーンエージェント間、

および制御プレーンエージェントとコントローラ間の通信の状態を確認します。

[ファブリックのステータス] セクションで、[ネットワークとセキュリティ (Networking & Security)] - [ダッシュ

ボード (Dashboard)] の順に移動して、ダッシュボードで通信チャネルの健全性を確認することもできます。

NSX 管理ガイド

VMware, Inc. 484

手順

1 [ネットワークとセキュリティ (Networking & Security)] - [インストールとアップグレード (Installation and Upgrade)] - [ホストの準備 (Host Preparation)] の順に移動します。

2 通信チャネルの健全性を表示するには、次の手順に従います。


NSX 6.4.1 以降 a 左側のペインからクラスタをクリックします。右側のペインで、選択したクラスタ内のホ

ストがホストテーブルに表示されます。

b ホストテーブルの [通信チャネル] 列で、ステータスアイコンをクリックします。

NSX 6.4.0 a 通信チャネルの健全性を表示するホストが含まれているクラスタを展開します。

b ホストをクリックし、[アクション (Actions)] - [通信チャネルの健全性

(Communication Channel Health)] の順にクリックします。

ポップアップウィンドウが開き、次の通信チャネルの健全性ステータスが表示されます。

n NSX Manager からファイアウォールエージェント

n NSX Manager から制御プレーンエージェント

n 制御プレーンエージェントからコントローラ

NSX Controller の管理

NSX Controller のノードの設定を変更できます。たとえば、名前やパスワードを変更したり、NTP を設定できま

す。NSX Controller ノードからテクニカルサポート情報をダウンロードすることも可能です。

コントローラクラスタの問題のトラブルシューティングについては、『NSX トラブルシューティングガイド』で

NSX Controller に関するセクションを参照してください。

NSX Controller 名の変更

各 NSX Controller ノードの名前を変更できます。

NSX Data Center for vSphere 6.4.0 以降では、API を使用してコントローラ名を変更できます。詳細について

は、『NSX API ガイド』を参照してください。NSX Data Center for vSphere 6.4.2 以降では、vSphere Web Client または vSphere Client を使用して、コントローラ名を変更できます。

コントローラノードを作成するときに、名前の入力が求められます。コントローラノードには、controller-X の形式でコントローラ ID が割り当てられます（例: controller-5）。いくつかの場所では、コントローラの名前と ID からコントローラの識別子が設定されます。

n ユーザーインターフェイスの [ネットワークとセキュリティ] に表示される名前は name に設定されます。

n vSphere の仮想マシン名は name-NSX-<controller_id> に設定されます。

n 仮想マシンのホスト名は nsx-controller に設定されます。

コントローラ名を更新すると、次の変更が行われます。

n ユーザーインターフェイスの [ネットワークとセキュリティ] に表示される名前が newName に変更されます。

n vSphere の仮想マシン名が newName-NSX-<controller_id> に変更されます。

NSX 管理ガイド

VMware, Inc. 485

n 仮想マシンのホスト名が newName-NSX-<controller_id> に変更されます。

注：ホスト名は、コントローラのログエントリで使用されます。コントローラのホスト名を変更すると、ログ

エントリに新しいホスト名が表示されます。

手順

1 [ネットワークとセキュリティ (Networking & Security)] - [インストールとアップグレード (Installation and Upgrade)] - [管理 (Management)] - [NSX Controller ノード (NSX Controller Nodes)] の順に移

動します。

2 コントローラノードを選択して、[アクション (Actions)] - [コントローラ名の変更 (Change Controller Name)] の順にクリックします。

3 新しい名前を入力して、[保存 (Save)] をクリックします。

コントローラパスワードの変更

セキュリティを確保するために、NSX Controller のパスワードを変更できます。

手順


動します。

2 パスワードを変更するコントローラを選択します。

3 [アクション (Actions)] - [コントローラクラスタのパスワードの変更 (Change Controller Cluster Password)] の順にクリックします。

4 新しいパスワードを入力し、[OK] をクリックします。

これで、コントローラのパスワードが変更されました。

NSX Controller クラスタの DNS、NTP、Syslog の設定

NSX Controller クラスタに DNS、NTP、Syslog サーバを設定できます。クラスタ内のすべての NSX Controller ノードに同じ設定が適用されます。

NSX Data Center for vSphere 6.4.2 以降では、vSphere Web Client または vSphere Client を使用して、

これらの変更を実行できます。6.4 より前のバージョンでは、API でのみ NTP と Syslog の設定を変更できます。

詳細については、『NSX API ガイド』を参照してください。

重要：到達不能な NTP サーバなど、無効な設定でコントローラをデプロイすると、コントローラノードのデプロ

イに失敗します。設定を確認して修正し、コントローラノードを再デプロイします。

NSX Controller クラスタの DNS 設定は、コントローラの IP アドレスプールの DNS 設定をオーバーライドしま

す。

NSX 管理ガイド

VMware, Inc. 486

手順


動します。

2 変更する NSX Controller ノードを管理する NSX Manager を選択します。

3 コントローラの共通属性の [の編集 (EDIT)] リンクをクリックします。

4 （オプション） DNS サーバのリストをカンマ区切りで入力します。DNS サフィックスを指定することもできま

す。

DNS の設定値の例

DNS サーバ 192.168.110.10, 192.168.110.11

DNS サフィックス eng.example.com, corp.example.com, example.com

5 （オプション） NTP サーバのリストをカンマ区切りで入力します。

NTP サーバは、IPv4 アドレスまたは完全修飾ドメイン名 (FQDN) として入力します。FQDN を使用する場

合は、名前が解決されるように DNS を設定する必要があります。

6 （オプション） 1 台以上の Syslog サーバを設定します。

a [Syslog サーバ] パネルで [追加 (ADD)] をクリックします。

b Syslog サーバの名前またはアドレスを入力します。

Syslog サーバは、IPv4 アドレスまたは完全修飾ドメイン名 (FQDN) として入力します。FQDN を使用

する場合は、名前が解決されるように DNS を設定する必要があります。

NSX 管理ガイド

VMware, Inc. 487

c プロトコルを選択します。

TLS を選択する場合は、PEM でエンコードされた X.509 証明書を提供する必要があります。

重要： TCP または TLS を選択すると、バッファ用に追加のメモリが消費され、コントローラのパフォー

マンスが低下する可能性があります。極端な場合、バッファ内のネットワークログ呼び出しが排出されるま

で、コントローラの処理が停止することもあります。

注： n Syslog サーバが自己署名証明書を使用している場合は、[証明書] テキストボックスに、Syslog の自

己署名付き証明書の内容を貼り付けます。

n Syslog サーバが CA 署名付きの証明書を使用している場合は、中間証明書とルート証明書の内容を貼

り付けます。証明書チェーンでは、証明書の順序を次のようにする必要があります。

n 任意の数の中間 CA 証明書

n ルート CA 証明書

次の例のように、各証明書には -----BEGIN CERTIFICATE----- 行と -----END CERTIFICATE---- 行が含まれている必要があります。


Intermediate cert



Root cert


d （オプション）ポートを編集します。

TCP および UDP Syslog のデフォルトポートは 514 です。TLS Syslog の場合、デフォルトポートは

6514 です。

e （オプション）ログレベルを選択します。

デフォルトでは、「情報」が選択されています。

NSX Controller のテクニカルサポートログのダウンロード

テクニカルサポートログは、NSX Controller インスタンスごとにダウンロードできます。製品固有のこれらのロ

グには、分析に使用する診断情報が含まれています。[サポートバンドル (Support Bundle)] 収集ツールを使用し

て、コントローラのサポートバンドルのデータを収集することもできます。詳細については、『NSX 管理ガイド』を


NSX Controller のログを収集するには、次の手順を実行します。

手順


動します。

NSX 管理ガイド

VMware, Inc. 488

2 テクニカルサポートログを生成するコントローラを選択します。

注意：一度に 1 つのコントローラのサポートログを生成します。同時に複数のコントローラのサポートログ

を生成しようとすると、エラーが発生する可能性があります。

3 [サポートログ (Support Logs)]（または）をクリックします。

NSX がテクニカルサポートログの収集を開始します。ログファイルの生成には数分かかります。プロセスを

キャンセルして、後でサポートログを生成するには、[キャンセル (Cancel)] をクリックします。

4 サポートログが生成されたら、[ダウンロード (Download)] をクリックします。

サポートログは、コンピュータに .tgz 形式の圧縮ファイルで保存されます。

結果

これで、ダウンロードしたログを分析できます。

次のステップ

診断情報を VMware のテクニカルサポートにアップロードする場合は、ナレッジベースの記事 KB2070100 を参


複数サイトでのコントローラ切断モード

コントローラ切断オペレーション (CDO) モードにすると、プライマリサイトが接続を失っても、複数サイト環境の

データプレーンの接続性に影響することはありません。プライマリサイトが停止しているか、到達できない場合は、

データプレーンに関連する一時的な接続問題を回避するため、セカンダリサイトで CDO モードを有効にできます。

また、プライマリサイトで CDO モードを有効にすると、制御プレーンの障害に備えることができます。

CDO モードを有効にすることで、次のような障害が発生したときの接続の問題を回避できます。

n Cross-vCenter NSX 環境のプライマリサイトが完全に停止している。

n WAN が停止している。

n 制御プレーンに障害が発生した。

注： NSX 6.4.0 以降では、CDO は NSX Manager レベルでサポートされますが、トランスポートゾーンレベ

ルではサポートされません。

デフォルトでは、CDO モードは無効です。

CDO モードを有効にすると、ホストで制御プレーンの障害を検出できます。問題が見つかると、ホストが所定の時

間待機し、CDO モードに入ります。CDO モードに切り替わるまでのホストの待機時間を設定できます。デフォル

トの待機時間は 5 分間です。

NSX 管理ガイド

VMware, Inc. 489


NSX Manager で、コントローラ上で特別な CDO 論理スイッチ (4999) を作成します。特別な CDO 論理スイッ

チの VXLAN ネットワーク識別子 (VNI) は、他のすべての論理スイッチとは別の一意の識別子です。CDO モード

を有効にすると、クラスタ内の 1 台のコントローラが、すべてのトランスポートノードからレポートされたすべての

VTEP 情報を収集し、更新された VTEP 情報を他のすべてのトランスポートノードにレプリケートします。CDO モードを検出すると、ARP/GARP や RARP などのブロードキャストパケットがグローバル VTEP リストに送信

されます。これにより、vCenter Server 全体での vMotion による仮想マシンアクセスが可能になり、データプレーンでの接続性の問題を回避できます。

CDO モードを無効にすると、NSX Manager はコントローラから CDO 論理スイッチを削除します。

Controller Disconnected Operation (CDO) モードの有効化

NSX Manager の Controller Disconnected Operation (CDO) モードを有効にすることができます。CDO モードはデフォルトでは無効になっています。

前提条件

n NSX 6.4 にアップグレード後、NSX Manager は、既存のトランスポートノードで CDO モードを無効にし

ます。アップグレード前に NSX Manager の 1 つ以上のトランスポートノードで CDO が有効になっていた

場合には、事前定義されたグローバル VNI を使用して vSphere Distributed Switch (VDS) を設定します。

手順

1 [ネットワークとセキュリティ (Networking & Security)] - [インストールとアップグレード (Installation and Upgrade)] - [管理 (Management)] - [NSX Manager (NSX Managers)] の順に移動します。

2 必要な NSX Manager を選択します。

3 [アクション (Actions)] - [CDO モードの有効化 (Enable CDO mode)] の順にクリックします。

確認のダイアログボックスが表示されます。

4 [はい (Yes)] をクリックします。

選択した NSX Manager の CDO モードが有効になります。

結果

[CDO モード] 列の [状態] に [有効 (Enabled)] が表示され、[ステータス] に [成功 (Successful)] が表示されま

す。

NSX Manager は、CDO 論理スイッチをコントローラ上で作成します。CDO 論理スイッチの詳細を表示するに

は、管理者ユーザーとして NSX Manager CLI にログインし、次のコマンドを実行します。

nsxmgr> show logical-switch controller controllerID host host_IP joined-vnis


nsxmgr> show logical-switch controller controller-1 host 192.168.110.54 joined-vnis

VNI Controller BUM-Replication ARP-Proxy Connections VTEPs Active

5000 192.168.110.31 Enabled Enabled 2 2 true



NSX 管理ガイド

VMware, Inc. 490





VNI 4999 の CDO 論理スイッチが作成されていることを確認します。

Controller Disconnected Operation (CDO) モードの無効化

セカンダリサイトとの接続問題が解決したら、すでに有効になっている Controller Disconnected Operation (CDO) モードを無効にできます。CDO モードはデフォルトでは無効になっています。

手順


2 必要な NSX Manager を選択します。

3 [アクション (Actions)] - [CDO モードの無効化 (Disable CDO mode)] の順にクリックします。



選択した NSX Manager の CDO モードが無効になります。

結果

[CDO モード] 列の [状態] に [無効 (Disabled)] が表示され、[ステータス] に [成功 (Successful)] が表示されま

す。

NSX Manager は、CDO 論理スイッチをコントローラから削除します。CDO 論理スイッチが削除されているかど

うかを確認するには、管理者ユーザーとして NSX Manager CLI にログインし、次のコマンドを実行します。

nsxmgr> show logical-switch controller controllerID host host_IP joined-vnis


nsxmgr> show logical-switch controller controller-1 host 192.168.110.54 joined-vnis

VNI Controller BUM-Replication ARP-Proxy Connections VTEPs Active







コントローラで VNI 4999 の CDO 論理スイッチが使用できないことを確認します。

CDO 設定の再同期

CDO モードの操作が失敗する場合は、再同期機能を使用して同じ操作を実行できます。

NSX 管理ガイド

VMware, Inc. 491

例：vSphere Distributed Switch (VDS) に関連付けられている最後のクラスタが VXLAN 構成から削除される

ときに、この VDS が NSX Manager データベースから削除されます。次に、NSX Manager が VDS から CDO 関連の不透明プロパティを削除します。何らかの理由で不透明プロパティの削除に失敗した場合、不透明プロパティ

が VDS に残ります。CDO モードを無効にし、この VDS に関連付けられているホストで VXLAN を構成すると、

不透明プロパティが存在し、コントローラに VNI が存在するため、このホストで CDO が有効になります。この場

合、再同期機能を使用して、CDO モードの無効モードを再度適用します。これにより、NSX Manager が VDS から不透明プロパティを削除しようとします。

前提条件

CDO モードの有効化または無効化に失敗していること。

手順


2 セカンダリ NSX Manager を選択して、[アクション (Actions)] - [CDO モードの有効化 (Enable CDO mode)] の順にクリックし、CDO モードを有効にします。

3 次に、必要な NSX Manager を選択して、[アクション (Actions)] - [CDO 設定モードの再同期 (Resync CDO configuration mode)] の順にクリックします。



選択した NSX Manager の CDO モードが同期されます。

VXLAN ポートの変更

VXLAN トラフィックに使用するポートを変更できます。

NSX 6.2.3 以降では、デフォルトの VXLAN ポートは 4789 となり、標準ポートは IANA により割り当てられま

す。NSX 6.2.3 より前では、デフォルトの VXLAN UDP ポート番号は 8472 でした。

すべての新しい NSX インストール環境では、VXLAN に UDP ポート 4789 が使用されます。

NSX 6.2.2 以前のバージョンから NSX 6.2.3 以降にアップグレードする場合、アップグレード前の NSX で以前の

デフォルト (8472) またはカスタムポート番号（8888 など）が使用されていた場合は、アップグレード後も、ユー

ザーが変更しない限り、引き続きそのポートが使用されます。

アップグレードされた NSX でハードウェア VTEP ゲートウェイ（ToR ゲートウェイ）が使用されている、または

その予定がある場合は、VXLAN ポート 4789 に切り替える必要があります。

Cross-vCenter NSX では、VXLAN ポートに 4789 を使用する必要はありませんが、同じ VXLAN ポートを使

用するように Cross-vCenter NSX 環境にあるすべてのホストを設定する必要があります。ポート 4789 に切り

替えると、Cross-vCenter NSX に追加される新しいすべての NSX インストール環境では、既存の NSX 環境と同

じポートが使用されます。

NSX 管理ガイド

VMware, Inc. 492

VXLAN ポートの変更は 3 つのプロセスで行われ、処理中に VXLAN のトラフィックが中断されることはありませ

ん。

1 NSX Manager は、古いポートと新しいポートの両方で VXLAN トラフィックを待機するようにすべてのホス

トを設定します。ホストは引き続き、古いポートで VXLAN トラフィックを送信します。

2 NSX Manager は、新しいポートでトラフィックを送信するようにすべてのホストを設定します。

3 NSX Manager は、古いポートでの待機を停止するようにすべてのホストを設定します。すべてのトラフィッ

クは新しいポートで送受信されます。

Cross-vCenter NSX 環境では、プライマリ NSX Manager でポート変更を開始する必要があります。各ステー

ジにおいて、次のステージに進む前に、Cross-vCenter NSX 環境内のすべてのホストで設定変更が行われます。

前提条件

n VXLAN に使用するポートがファイアウォールによってブロックされていないことを確認します。

n VXLAN ポートの変更時にホストの準備が実行されないことを確認します。

手順

1 VXLAN 転送の設定に移動します。


アップグレード (Installation and Upgrade)] - [論理ネットワークの設定 (Logical Network Settings)] - [VXLAN 設定 (VXLAN Settings)] の順に移動します。


プグレード (Installation and Upgrade)] - [論理ネットワークの準備 (Logical Network Preparation)] - [VXLAN 転送 (VXLAN Transport)] の順に移動します。

2 [VXLAN ポート (VXLAN Port)] の横にある [編集 (Edit)] または [変更 (Change)] をクリックします。切

り替え先のポートを入力します。4789 は、IANA が VXLAN 用に割り当てているポート番号です。

すべてのホストにポートの変更が適用されるまで、少し時間がかかります。

3 （オプション）ポート変更の進捗状況を確認するには、API 要求 GET /api/2.0/vdn/config/vxlan/udp/port/taskStatus を使用します。

GET https://nsxmgr-01a/api/2.0/vdn/config/vxlan/udp/port/taskStatus

<?xml version="1.0" encoding="UTF-8"?>

<vxlanPortUpdatingStatus>

<prevPort>8472</prevPort>

<targetPort>4789</targetPort>

<taskPhase>PHASE_TWO</taskPhase>

<taskStatus>PAUSED</taskStatus>

</vxlanPortUpdatingStatus>

NSX 管理ガイド

VMware, Inc. 493

...

<?xml version="1.0" encoding="UTF-8"?>

<vxlanPortUpdatingStatus>

<prevPort>8472</prevPort>

<targetPort>4789</targetPort>

<taskPhase>FINISHED</taskPhase>

<taskStatus>SUCCEED</taskStatus>

</vxlanPortUpdatingStatus>

カスタマーエクスペリエンス向上プログラム

NSX は、VMware のカスタマーエクスペリエンス向上プログラム (CEIP) に参加しています。

CEIP を通して収集されるデータおよび VMware のその使用目的に関する詳細は、Trust & Assurance センター

(https://www.vmware.com/solutions/trustvmware/ceip.html) に記載されています。

NSX の CEIP への参加/参加中止、またはプログラム設定の編集を操作するには、カスタマーエクスペリエンス向上

プログラムのオプションの編集を参照してください。

カスタマーエクスペリエンス向上プログラムのオプションの編集

NSX Manager をインストールまたはアップグレードするときに、CEIP への参加を選択できます。後で CEIP に参

加したり、参加を中止することも可能です。また、情報の収集頻度や収集日も指定できます。

前提条件

n NSX Manager が接続されていて、vCenter Server と同期可能である。

n NSX Manager で DNS が設定されている。

n データのアップロードのために、NSX がパブリックネットワークに接続されている。

手順

1 vSphere Web Client で、カスタマーエクスペリエンス向上プログラムの設定に移動します。

n NSX 6.4.6 以降の場合は、[ネットワークとセキュリティ] - [NSX について] の順にクリックします。

n NSX 6.4.5 以前の場合は、[ネットワークとセキュリティ] - [NSX ホーム] - [サマリ] の順にクリックしま

す。

2 [カスタマーエクスペリエンス向上プログラム] ペインで [編集 (Edit)] をクリックします。

3 CEIP プログラムに参加します。

n NSX 6.4.6 以降では、[プログラムステータス] の横にある [参加] をクリックします。

n NSX 6.4.5 以前の場合は、[VMware カスタマーエクスペリエンス向上プログラムに参加する] チェック

ボックスをクリックします。

4 （オプション）スケジュールを設定します。

5 [保存] または [OK] をクリックします。

NSX 管理ガイド

VMware, Inc. 494

https://www.vmware.com/solutions/trustvmware/ceip.html

NSX のログについて

Syslog サーバを設定し、各 NSX コンポーネントのテクニカルサポートログを表示できます。管理プレーンのログ

は NSX Manager から、データプレーンのログは vCenter Server を通じて提供されます。そのため、Syslog サーバで環境全体のログが記録できるように、NSX コンポーネントと vCenter Server で同じ Syslog サーバを指

定することが推奨されます。

vCenter Server が管理するホストの Syslog サーバの設定については、https://docs.vmware.com にある、該

当するバージョンの vSphere ドキュメントを参照してください。

注：ログの収集や NSX 分散論理ルーター (DLR) 制御仮想マシンへのアクセスに使用する Syslog サーバまたは

ジャンプサーバは、分散論理ルーターの論理インターフェイスに直接接続された論理スイッチ上に配置することはで

きません。

表 23-1. NSX のログ

コンポーネント説明

ESXi のログこれらのログは、vCenter Server から生成される仮想マシンサポートバンドルの一部として収集

されます。

ESXi ログファイルの詳細については、vSphere のドキュメントを参照してください。

NSX Edge のログ NSX Edge CLI で show log [follow | reverse] コマンドを使用します。

NSX Edge ユーザーインターフェイスでテクニカルサポートログバンドルをダウンロードしま

す。

NSX Manager のログ NSX Manager CLI で show log CLI コマンドを使用します。

NSX Manager 仮想アプライアンスユーザーインターフェイスでテクニカルサポートログバン

ドルをダウンロードします。

ルーティングのログ『NSX のログ作成とシステムイベント』ガイドを参照してください。

ファイアウォールのログ『NSX のログ作成とシステムイベント』ガイドを参照してください。

ゲストイントロスペクションのログ『NSX のログ作成とシステムイベント』ガイドを参照してください。

NSX Manager

Syslog サーバを指定するには、 NSX Manager の Syslog サーバの設定を参照してください。

テクニカルサポートログをダウンロードするには、NSX のテクニカルサポートログのダウンロードを参照してく

ださい。

NSX Edge

Syslog サーバを指定するには、 NSX Edge の Syslog サーバの設定を参照してください。

テクニカルサポートログをダウンロードするには、 NSX Edge のテクニカルサポートログのダウンロードを参照


NSX Controller

Syslog サーバを指定するには、NSX Controller クラスタの DNS、NTP、Syslog の設定を参照してください。

NSX 管理ガイド

VMware, Inc. 495

https://docs.vmware.com

テクニカルサポートログをダウンロードするには、NSX Controller のテクニカルサポートログのダウンロードを



詳細については、ファイアウォールのログを参照してください。

監査ログ

チケットによって追跡された操作の監査ログにはチケット ID が含まれます。NSX チケットロガー機能を使用し

て、行った変更をチケット ID で追跡できます。

NSX チケットロガーの使用

NSX チケットロガーを使用すると、インフラストラクチャに行った変更を追跡できます。すべての操作に指定した

チケット ID がタグ付けされ、これらの操作の監査ログにもチケット ID が記載されます。また、これらの操作のロ

グファイルにも同じチケット ID がタグ付けされます。

手順



2 [管理 (Manage)] タブをクリックして、[NSX チケットロガー (NSX Ticket Logger)] をクリックします。

3 [NSX チケットロガー設定 (NSX Ticket Logger Settings)] の横にある [編集 (Edit)] をクリックします。

4 チケット ID を入力して、[オンにする (Turn On)] をクリックします。

[vSphere Web Client] ウィンドウの右側に [NSX チケットログ] ペインが表示されます。監査ログの [操作

タグ (Operation Tags)] 列に、現在のユーザーインターフェースセッションで実行した操作のチケット ID が記載されます。

図 23-1. [NSX チケットロガー] ペイン

vSphere Web Client で複数の vCenter Server を管理している場合は、適用可能なすべての NSX Manager のログにチケット ID が使用されます。

NSX 管理ガイド

VMware, Inc. 496

次のステップ

チケットログはセッションに基づきます。チケットログがオンのままユーザーがログアウトした場合、またはセッ

ションが失われた場合、デフォルトではユーザーがユーザーインターフェースに再度ログインしたときにチケット

ログがオフになります。チケットの操作が完了したら、手順 2 および 3 を繰り返して [オフにする (Turn Off)] をクリックし、ログをオフにします。

監査ログの表示

[監査ログ (Audit Logs)] タブには、すべての NSX Manager ユーザーが実行したアクションが表示されます。

NSX Manager では、最大 10 万件の監査ログが保持されます。

手順






監査ログの詳細が [監査ログ (Audit Logs)] タブに表示されます。

4 監査ログに関する詳細情報がある場合は、そのログの [操作 (Operation)] 列のテキストがクリック可能になり

ます。監査ログの詳細を表示するには、[操作 (Operation)] 列のテキストをクリックします。

5 [監査ログ変更の詳細 (Audit Log Change Details)] で、[変更された行 (Changed Rows)] を選択すると、

この監査ログ操作で値が変更されたプロパティのみが表示されます。

システムイベント

システムイベントは NSX の操作に関連したイベントです。すべての操作イベントの詳細を通知するために発行さ

れます。イベントは基本操作（情報）に関連するものと、クリティカルエラー（重大）に関連するものがあります。

システムイベントのレポートの表示

vSphere Web Client では、NSX Manager が管理しているすべてのコンポーネントのシステムイベントを確認

できます。

手順




3 [システムイベント (System Events)] タブをクリックします。

列ヘッダーの矢印をクリックすると、イベントを並べ替えることができます。また、[フィルタ (Filter)] テキス

トボックスを使用すると、イベントをフィルタリングできます。

NSX 管理ガイド

VMware, Inc. 497

システムイベントの形式

Syslog サーバを指定すると、NSX Manager は、その Syslog サーバにすべてのシステムイベントを送信しま

す。

これらのメッセージは、以下に示すメッセージと類似した形式になっています。

Jan 8 04:35:00 NSXMGR 2017-01-08 04:35:00.422 GMT+00:00

INFO TaskFrameworkExecutor-18 SystemEventDaoImpl:133 -

[SystemEvent] Time:'Tue Nov 08 04:35:00.410 GMT+00:00 2016',

Severity:'High', Event Source:'Security Fabric', Code:'250024',

Event Message:'The backing EAM agency for this deployment could not be found.

It is possible that the VC services may still be initializing.

Please try to resolve the alarm to check existence of the agency.

In case you have deleted the agency manually, please delete the deployment

entry from NSX.', Module:'Security Fabric', Universal Object:'false

システムイベントには、次の情報が含まれています。

Event ID and Time

Severity: Possible values include informational, low, medium, major, critical, high.

Event Source: Source where you should look to resolve the reported event.

Event Code: Unique identifier for the event.

Event Message: Text containing detailed information about the event.

Module: Event component. May be the same as event source.

Universal Object: Value displayed is True or False.

アラーム

アラームは、イベント、条件のセット、またはオブジェクトの状態に応じて起動される通知です。NSX ダッシュボ

ードや vSphere Web Client ユーザーインターフェイスの他の画面で、別のアラートと一緒にアラームが表示さ

れます。

GET api/2.0/services/systemalarms API を使用すると、NSX オブジェクトでアラームを表示できます。

NSX では、アラームに次の 2 つの方法がサポートされています。

n アラームは、システムイベントに対応し、アラームの発生原因となった問題を解決するリゾルバが関連付けられ

ています。このアプローチは、ネットワークやセキュリティファブリック環境（EAM、メッセージバス、プラ

グインのデプロイなど）向けに設計され、Service Composer にもサポートされています。これらのアラーム

は、イベントコードをアラームコードとして使用します。詳細については、『NSX のログとシステムイベン

ト』のドキュメントを参照してください。

n Edge の通知アラームは、アラームペアをトリガし、解決できるように設定されています。この方法は、IPSec VPN、ロードバランサ、高可用性、健全性チェック、Edge ファイルシステム、リソースの予約など、いくつ

かの Edge の機能で利用できます。アラームは、イベントコードとは別のアラームコードを使用します。詳細

については、『NSX のログとシステムイベント』のドキュメントを参照してください。

通常、エラー状態が修復されると、アラームは自動的に削除されます。一部のアラームは、設定を更新する際に自動

的にクリアされません。問題が解決したら、アラームを手動でクリアする必要があります。

次に、アラームのクリアに使用する API について説明します。

NSX 管理ガイド

VMware, Inc. 498

クラスタ、ホスト、リソースプール、セキュリティグループ、NSX Edge のアラームなど、特定の送信元にアラー

ムを個別に設定できます。送信元のアラームを表示するには、sourceId を使用します。

GET https://<<NSX-IP>>/api/2.0/services/alarms/{sourceId}

送信元のアラームをすべて解決するには、sourceId を使用します。

POST https://<<NSX-IP>>/api/2.0/services/alarms/{sourceId}?action=resolve

メッセージバス、プラグインのデプロイ、Service Composer、Edge アラームなどの NSX アラームを確認でき

ます。

GET https://<<NSX-IP>>/api/2.0/services/systemalarms

特定の NSX アラームを表示するには、alarmId を使用します。

GET https://<<NSX-IP>>/api/2.0/services/systemalarms/<alarmId>

特定の NSX アラームを解決するには、alarmId を使用します。

POST https://<<NSX-IP>>/api/2.0/services/systemalarms/<alarmId>?action=resolve


アラームの形式

API を使用してアラームの形式を表示できます。

アラームの形式には、次の情報が含まれています。

Event ID and Time

Severity: Possible values include informational, low, medium, major, critical, high.

Event Source: Source where you should look to resolve the reported event.

Event Code: Unique identifier for the event.

Message: Text containing detailed information about the event.

Alarm ID: ID of an alarm.

Alarm Code: Event code which uniquely identifies the system alarm.

Alarm Source: Source where you should look to resolve the reported event.

SNMP トラップの操作

NSX Manager は、NSX Edge やハイパーバイザーなどから、「情報」、「警告」、および「重大」のシステムイベ

ントを受信します。SNMP エージェントは、OID を含む SNMP トラップを SNMP レシーバに転送します。

SNMP トラップは SNMPv2c バージョンを使用する必要があります。SNMP レシーバがオブジェクト識別子

(OID) を含むトラップを処理できるように、トラップが管理情報ベース (MIB) に関連付けられている必要がありま

す。

NSX 管理ガイド

VMware, Inc. 499

デフォルトでは、SNMP トラップのメカニズムは無効に設定されています。SNMP トラップを有効にすると、

SNMP マネージャが膨大な数の通知を受け取ることがないように、重大な通知および重要度の高い通知のみが有効

になります。IP アドレスまたはホスト名により、トラップのターゲットが指定されます。ホスト名がトラップのター

ゲット用として機能するには、Domain Name System (DNS) サーバに対してクエリを実行するようにデバイス

が設定されている必要があります。

SNMP サービスを有効にすると、OID 1.3.6.1.6.3.1.1.5.1 を含む coldStart トラップが最初に送信されます。その後

は、停止と開始が実行されるたびに、OID 1.3.6.1.6.3.1.1.5.2 を含む warmStart トラップが、設定されている SNMP レシーバに送信されます。

SNMP サービスが引き続き有効になっている場合は、OID 1.3.6.1.4.1.6876.4.190.0.401 を含むハートビートトラ

ップの vmwHbHeartbeat が 5 分ごとに送信されます。サービスを無効にすると、、OID 1.3.6.1.4.1.6876.90.1.2.1.0.1 を含む vmwNsxMSnmpDisabled トラップが送信されます。このプロセスは、

vmwHbHeartbeat トラップがサービスを実行したり無効にしたりしないように抑制します。

SNMP レシーバの値を追加、変更、または削除すると、OID 1.3.6.1.6.3.1.1.5.2 を含む warmStart トラップ、およ

び OID 1.3.6.1.4.1.6876.90.1.2.1.0.2 を含む vmwNsxMSnmpManagerConfigUpdated トラップが、SNMP レシーバの新規セットまたは更新されたセットに対して送信されます。

注： SNMP のポーリングはサポートされません。

SNMP の設定

SNMP 設定を有効にし、重要度が「重大」、「高」、または「情報」のトラップを宛先のレシーバが送信するように設

定します。

前提条件

n SNMP トラップのメカニズムについての知識を深めていただくことをお勧めします。SNMP トラップの操作


n SNMP レシーバが設定されていることを確認します。

n SNMP レシーバが OID を含むトラップを処理できるように、NSX Manager の MIB モジュールをダウンロー

ドしてインストールします。http://kb.vmware.com/kb/1013445 を参照してください。

手順



2 [管理 (Manage)] タブをクリックします。複数の NSX Manager が使用可能な場合は、[NSX Manager]ドロップダウンメニューから NSX Manager の IP アドレスを選択します。

3 [SNMP イベント (SNMP Events)] タブが選択されていることを確認します。

NSX 管理ガイド

VMware, Inc. 500


4 [編集 (Edit)] をクリックして、SNMP を設定します。


サービス SNMP トラップを送信します。

デフォルトでは、このオプションは無効です。

グループ通知システムイベント用グループの事前定義セットで、発生したイベントをグループ化します。こ

のオプションはデフォルトで有効です。

たとえば、システムイベントが特定のグループに属する場合、これらのグループ化したイベン

トについてはトラップが保留になります。5 分ごとに、NSX Manager から受信したシステ

ムイベント数の詳細を含むトラップが送信されます。送信されるトラップ数を減らすことで、

SNMP レシーバのリソースを節約することができます。

レシーバトラップの宛先のレシーバを最大 4 つ設定できます。

SNMP レシーバを追加するときには、次のセクションを設定する必要があります。

[レシーバアドレス]：レシーバホストの IP アドレスまたは完全修飾ドメイン名です。

[レシーバポート]： SNMP レシーバのデフォルトの UDP ポートは 162 です。

[コミュニティストリング]：通知トラップの一部として送信される情報です。

[有効]：このレシーバがトラップを送信することを示します。


結果

SNMP サービスが有効になり、トラップがレシーバに送信されます。

次のステップ

SNMP 設定が機能するかどうかを確認します。SNMP トラップ設定の確認を参照してください。

SNMP トラップ設定の確認

既存のシステムトラップを編集する前に、新たに有効にした SNMP サービスや更新した SNMP が適切に動作して

いるかどうかを確認する必要があります。

前提条件

SNMP が設定済みであることを確認します。SNMP の設定を参照してください。

手順

1 SNMP の設定とレシーバの接続を確認します。

a [管理 (Manage)] - [SNMP イベント (SNMP Events)] タブの順にクリックします。

b [編集 (Edit)] をクリックして、SNMP を設定します。

ダイアログボックスの設定は変更しないでください。


OID 1.3.6.1.6.3.1.1.5.2 を含む warmStart トラップが、すべての SNMP レシーバに送信されます。

NSX 管理ガイド

VMware, Inc. 501

2 SNMP の設定またはレシーバの問題のデバッグを実行します。

a SNMP レシーバがトラップを受信しない場合は、設定したポートで　SNMP レシーバが実行されているこ

とを確認します。

b SNMP 設定セクションで、レシーバの情報が正しいことを確認します。

c SNMP レシーバが OID 1.3.6.1.4.1.6876.4.190.0.401 を含む vmwHbHeartbeat トラップを 5 分おき

に受信しなくなった場合は、NSX Manager アプライアンスまたは NSX Manager SNMP エージェント

が動作していることを確認します。

d ハートビートトラップが停止した場合は、SNMP サービスが無効になっていないかを確認し、NSX Manager と SNMP レシーバの間のネットワーク接続が動作しているかどうかをテストします。

システムトラップの編集

システムトラップを編集してトラップの重要度や有効/無効設定を変更し、これによってトラップがレシーバに送信

されるか抑制されるかを指定できます。

モジュール、SNMP OID、または SNMP のトラップが有効になっている列で、値が -- と表示されている場合は、

トラップの OID がこれらのイベントに割り当てられていないことを意味します。したがって、これらのイベントの

トラップは送信されません。

システムトラップには、システムイベントのさまざまな側面について示す複数の列が含まれます。


イベントコードイベントに関連付けられている固定のイベントコードです。

説明イベントの概要説明です。

モジュールイベントをトリガーするサブコンポーネント。

重要度イベントのレベルは、「情報」、「低」、「中」、「メジャー」、「重大」、「高」のいずれかとなります。

デフォルトでは、SNMP サービスが有効になっているとき、即座に対応する必要のあるトラップを強調するため、重要度が「重

大」と「高」のイベントについてのみトラップが送信されます。

SNMP OID 個別の OID を示します。この OID は、システムイベントが発せられた場合に送信されます。

グループ通知はデフォルトで有効になっています。グループ通知が有効な場合、このグループの下位のイベントまたはトラップ

には、イベントまたはトラップが属するグループの OID が表示されます。

たとえば、構成グループの下に分類されたグループ通知の OID は、1.3.6.1.4.1.6876.90.1.2.0.1.0.1 となります。

有効な SNMP トラップ

このイベントについてのトラップの送信が有効か無効かを示します

アイコンを使用して、イベントまたはトラップの有効/無効設定を個別に切り替えることができます。グループ通知が有効にな

っているとき、トラップの有効/無効設定を切り替えることはできません。

フィルタキーワードを検索して、システムトラップをフィルタリングします。

前提条件

SNMP 設定を使用できることを確認します。SNMP の設定を参照してください。

手順



NSX 管理ガイド

VMware, Inc. 502

2 [管理 (Manage)] タブをクリックして、NSX Manager IP アドレスを選択します。

3 [システムトラップ] セクションで、システムイベントを選択します。


グループ通知が有効になっているときは、トラップの有効/無効設定を編集できません。グループに属さないトラ

ップの有効/無効設定は変更できます。

5 システムイベントの重要度を、ドロップダウンメニューから選択して変更します。

6 重要度を「情報」から「重大」へ変更する場合は、[SNMP トラップとして有効にする (Enable as SNMP Trap)] チェックボックスを選択します。


8 （オプション）システムトラップの送信を有効または無効に指定するには、ヘッダーの [有効 (Enable)]（）

アイコンまたは [無効 (Disable)]（）アイコンをクリックします。

9 （オプション） 1 つ以上のイベント行をクリップボードにコピーするには、[コピー (Copy)]（）アイコンを

クリックします。

システム設定の管理

初期ログイン時に指定した、vCenter Server、DNS と NTP サーバ、および Lookup サーバを編集できます。

NSX Manager では、VMware Infrastructure インベントリの詳細を取得するためには、vCenter Server およ

び DNS や NTP などのサービスと通信する必要があります。

NSX Manager 仮想アプライアンスへのログイン

NSX Manager 仮想マシンのインストールと構成が済んだら、NSX Manager 仮想アプライアンスへログインし、

インストール中に指定した設定を確認します。

手順

1 Web ブラウザウィンドウを開き、NSX Manager に割り当てた IP アドレスを入力します。たとえば、

https://192.168.110.42 と入力します。

NSX Manager ユーザーインターフェイスが、SSL を使用して Web ブラウザウィンドウで開きます。

2 セキュリティ証明書を受け入れます。

注： SSL 証明書を認証に使用できます。

NSX Manager のログイン画面が表示されます。

3 ユーザー名 admin とインストール時に設定したパスワードを使用して、NSX Manager 仮想アプライアンスに

ログインします。

4 [ログイン (Log In)] をクリックします。

NSX Manager 仮想アプライアンスのイベント

NSX 管理ガイド

VMware, Inc. 503

次のイベントは、NSX Manager 仮想アプライアンスに固有のイベントです。

表 23-2. NSX Manager 仮想アプライアンスのイベント

パワーオフパワーオンインターフェイスの切断インターフェイスの接続中

ローカル CLI show log follow コマンド

を実行

show log follow コマンド

を実行


を実行


を実行

GUI NA NA NA NA

表 23-3. NSX Manager 仮想アプライアンスのイベント

CPU メモリストレージ

ローカル CLI show process monitor コマンドを実

行

show system memory コマンドを実行 show filesystem コマンドを実行

GUI NA NA NA

NSX Manager の日時の編集

最初のログインのときに指定した NTP サーバは変更することができます。

手順


2 [[Appliance Management] (Appliance Management)]で、[[Manage Appliance Settings] (Manage Appliance Settings)] をクリックします。

3 [時間設定 (Time Settings)] の横にある [編集 (Edit)] をクリックします。



6 NSX Manager を再起動します。

NSX Manager アプライアンスの IP アドレスの変更

NSX 6.4.0 以降では、NSX Manager アプライアンスの IP アドレスを変更できます。スタンドアロン、プライマ

リ、セカンダリのすべてのタイプの NSX Manager の IP アドレスを変更できます。

重要： NSX Manager のホスト名は変更できません。

パートナーソリューションの構成で NSX Manager の IP アドレスが参照されているときに、NSX Manager の

IP アドレスを変更する場合、パートナーソリューションの更新が必要になります。NSX Manager の IP アドレス

変更後のパートナーソリューションの更新を参照してください。

Cross-vCenter NSX 環境のセカンダリ NSX Manager のネットワーク構成を変更する場合は、プライマリ NSX Manager でセカンダリ NSX Manager の設定を更新する必要があります。プライマリ NSX Manager でのセカ

ンダリ NSX Manager の更新を参照してください。

NSX 管理ガイド

VMware, Inc. 504

前提条件

n 新しい IP アドレスが DNS に追加され、関連するすべての vCenter Server、Platform Services Controller、ESXi システムから解決可能であることを確認します。

手順




2 ホームページで [アプライアンス設定の管理 (Manage Appliance Settings)] - [ネットワーク (Network)] の順にクリックします。

3 全般ネットワーク設定ペインで [編集 (Edit)] をクリックし、IPv4 または IPv6 の設定セクションを更新しま

す。

4 NSX Manager アプライアンスを再起動します。[アクション] ( ) をクリックして、[アプライアンスを再起

動 (Reboot Appliance)] をクリックします。

5 NSX Manager アプライアンスの再起動後、Web インターフェイスにログインして、[ホーム (Home)] - [サマリの表示 (View Summary)] の順に移動します。NSX 管理サービスが稼動中であることを確認します。

Cross-vCenter NSX 環境の場合は、NSX ユニバーサル同期サービスが稼動中であることも確認します。

NSX Manger アプライアンスの仮想マシンが実行されているときに、NSX Manager アプライアンスの

Web インターフェイスに接続できない場合は、コンピュータまたはブラウザのキャッシュに古い IP アドレス

が保存されている可能性があります。すべてのブラウザウィンドウを閉じて、ブラウザを再起動し、キャッシュ

をクリアしてください。または、ホスト名ではなく、新しい IP アドレスを使用してアプライアンスにアクセス


6 vSphere Web Client からログアウトして、再度ログインします。

7 [ネットワークとセキュリティ (Networking & Security)] - [インストールとアップグレード (Installation and Upgrade)] の順に移動します。

ネットワーク構成を変更して再起動した後、NSX Manager が vCenter Server システムに接続するまでに数

分かかる場合があります。「NSX Manager が見つかりません」というエラーメッセージが表示された場合は、

vSphere Web Client からログアウトして、数分待ってから再度ログインしてください。

8 [ホストの準備 (Host Preparation)] をクリックします。各ホストクラスタが「準備ができていません」と表

示されます。[準備ができていません (Not Ready)] をクリックして、[すべてを解決 (Resolve all)] をクリッ

クします。

IP アドレスを変更すると、VIB にアクセスする URL も変わります。[すべてを解決 (Resolve All)] をクリック

すると、URL が更新されます。

NSX 管理ガイド

VMware, Inc. 505

次のステップ

パートナーソリューションの構成で NSX Manager の IP アドレスを参照している場合は、パートナーソリューシ

ョンを更新します。NSX Manager の IP アドレス変更後のパートナーソリューションの更新を参照してくださ

い。

セカンダリ NSX Manager のネットワーク設定を変更した場合は、プライマリ NSX Manager でセカンダリ

NSX Manager の設定を更新します。プライマリ NSX Manager でのセカンダリ NSX Manager の更新を参照


NSX Manager の IP アドレス変更後のパートナーソリューションの更新

パートナーソリューションの構成で NSX Manager の IP アドレスが参照されているときに、NSX Manager の

IP アドレスを変更する場合、パートナーソリューションの更新が必要になります。

前提条件

n NSX Manager の IP アドレスが変更されていることを確認します。NSX Manager アプライアンスの IP アドレスの変更を参照してください。

n パートナーソリューションの設定で NSX Manager の IP アドレスを更新する方法については、パートナーの

ドキュメントを参照してください。

手順

1 パートナーソリューションの設定で NSX Manager の IP アドレスが参照されている場合は、新しい NSX Manager の IP アドレスでパートナーソリューションを更新します。

詳細については、パートナーのドキュメントを参照してください。


3 [インストールとアップグレード (Installation and Upgrade)] - [サービスデプロイ (Service Deployments)] の順に移動します。

4 パートナーサービスでゲストイントロスペクションを使用している場合、ゲストイントロスペクションのイン

ストールステータス列で、[準備ができていません (Not Ready)]、[すべて解決 (Resolve all)] の順にクリッ

クします。

5 パートナーソリューションのインストールステータス列で、[準備ができていません (Not Ready)]、[すべて

解決 (Resolve all)] の順にクリックします。

プライマリ NSX Manager でのセカンダリ NSX Manager の更新

セカンダリ NSX Manager の IP アドレスを変更すると、プライマリ NSX Manager でセカンダリ NSX Manager の IP アドレス情報を更新するまで、プライマリ NSX Manager で同期エラーが表示されます。

前提条件

n Cross-vCenter NSX 環境のセカンダリ NSX Manager の IP アドレスが変更されたことを確認します。

NSX Manager アプライアンスの IP アドレスの変更を参照してください。

NSX 管理ガイド

VMware, Inc. 506

手順


2 [ネットワークとセキュリティ (Networking & Security)] をクリックし、[インストールとアップグレード

(Installation and Upgrade)] をクリックします。

3 [管理 (Management)] タブをクリックします。NSX Manager のペインで、[アクション (Actions)] - [セカ

ンダリ NSX Manager の更新 (Update Secondary NSX Manager)] の順にクリックします。セカンダリ

NSX Manager に割り当てた新しい IP アドレスを入力します。

4 表示されたサムプリントが、セカンダリ NSX Manager の正しいサムプリントであることを確認します。[OK] をクリックします。

NSX Manager の Syslog サーバの設定

Syslog サーバを指定すると、NSX Manager は、その Syslog サーバにすべての監査ログとシステムイベントを

送信します。NSX Manager は、5 台の Syslog サーバをサポートします。

Syslog データは、トラブルシューティングや、インストールおよび構成中、ログに記録されたデータを確認する際

に役立ちます。

手順




2 ホームページで [アプライアンス設定の管理 (Manage Appliance Settings)] - [全般 (General)] の順にク


3 [Syslog サーバ (Edit)] の横にある [編集 (Syslog Server)] をクリックします。

4 Syslog サーバの IP アドレス/ホスト名、ポート、およびプロトコルを指定します。



結果

NSX Manager のリモートログが有効になり、Syslog サーバにログが保存されます。複数の Syslog サーバを構

成している場合、構成されたすべての Syslog サーバにログが保存されます。

NSX 管理ガイド

VMware, Inc. 507

次のステップ


NSX Manager での FIPS モードと TLS 設定の変更

FIPS モードを有効にすると、NSX Manager が送受信するすべてのセキュアな通信には、United States Federal Information Processing Standards (FIPS) で許可された暗号化アルゴリズムとプロトコルが使用されます。

n Cross-vCenter NSX 環境では、NSX Manager ごとに個別に FIPS モードを有効にする必要があります。

n NSX Manager のいずれかで FIPS が設定されていない場合、FIPS 標準に準拠する安全な通信手段を使用して

いることを確認する必要があります。

n ユニバーサル同期を正常に機能させるには、プライマリとセカンダリの NSX Manager は同じ TLS バージョ

ンを使用する必要があります。

重要： FIPS モードを変更すると、NSX Manager 仮想アプライアンスが再起動します。

前提条件

n パートナーソリューションが FIPS モード認定であることを確認します。http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security にある『VMware 互換性ガイド』を


n NSX の前のバージョンからアップグレードした場合、NSX 6.3.0 へのアップグレードが完了するまで FIPS モードを有効にしないでください。『NSX アップグレードガイド』の「FIPS モードと NSX アップグレードにつ

いて」を参照してください。

n NSX Manager が NSX 6.3.0 以降であることを確認します。

n NSX Controller クラスタが NSX 6.3.0 以降であることを確認します。

n NSX ワークロードを実行しているすべてのホストクラスタに NSX 6.3.0 以降が準備されていることを確認し

ます。

n すべての NSX Edge アプライアンスがバージョン 6.3.0 以降で、FIPS モードが必要な NSX Edge アプライ

アンスで有効になっていることを確認します。NSX Edge での FIPS モードの変更を参照してください。

手順



3 [設定] パネルから [全般 (General)] をクリックします。

NSX 管理ガイド

VMware, Inc. 508



4 [FIPS モードと TLS の設定 (FIPS Mode and TLS settings)] の横にある [編集 (Edit)] をクリックします。

5 FIPS モードを有効にするには、[FIPS を有効にする (Enable FIPS Mode)] チェックボックスを選択します。

6 サーバとクライアントについては、必要な TLS プロトコルバージョンのチェックボックスを選択します。

注： n FIPS モードが有効になると、NSX Manager は、FIPS 標準に準拠していない TLS プロトコルを無効に

します。

n NSX 6.4.0 以降では、TLS 1.0 はデフォルトで無効になります。

NSX 6.4.0 以降にアップグレードすると、アップグレード前の TLS の設定は変更されず、そのまま残りま

す。


NSX Manager アプライアンスが再起動し、FIPS が有効になります。

DNS サーバの編集

Manager のインストール時に指定した DNS サーバは変更することができます。

手順



3 [SETTINGS] パネルで、[[Network] (Network)] をクリックします。

4 [DNS サーバ (DNS Servers)] の横にある [編集 (Edit)] をクリックします。



Lookup Service の詳細の編集

最初のログインのときに指定した Lookup Service の詳細は変更することができます。

NSX 管理ガイド

VMware, Inc. 509

手順



3 [設定] パネルで、[NSX 管理サービス (NSX Management Service)] をクリックします。

4 [Lookup Service] の横にある [編集 (Edit)] をクリックします。



vCenter Server の編集

インストール時に NSX Manager を登録した vCenter Server を変更できます。この変更は、現在の vCenter Server の IP アドレスを変更する場合にのみ行ってください。

手順

1 vSphere Web Client にログインしている場合は、ログアウトします。



4 [設定] パネルで、[NSX 管理サービス (NSX Management Service)] をクリックします。

5 [vCenter Server (Edit)] の横にある [編集 (vCenter Server)] をクリックします。



NSX のテクニカルサポートログのダウンロード

自分のデスクトップに NSX Manager のシステムログと Web Manager のログをダウンロードできます。[サポ

ートバンドル (Support Bundle)] 収集ツールを使用して、NSX Manager のサポートバンドルのデータを収集す

ることもできます。詳細については、『NSX 管理ガイド』を参照してください。

手順


2 [アプライアンス管理] で、[アプライアンス設定の管理 (Manage Appliance Settings)] をクリックします。

3 をクリックし、[テクニカルサポートログのダウンロード (Download Tech Support Log)] をクリック

します。

4 [ダウンロード (Download)] をクリックします。

5 ログの準備ができたら、[保存 (Save)] をクリックして、デスクトップにログをダウンロードします。

ログは圧縮され、ファイル拡張子 .gz が付加されます。

NSX 管理ガイド

VMware, Inc. 510

次のステップ

解凍ユーティリティを使用して、ファイルを保存したディレクトリの [すべてのファイル (All Files)] を参照してロ

グを開くことができます。

NSX Manager の SSL 証明書

NSX Manager では、NSX Manager の Web サービスの ID を認証して NSX Manager の Web サーバに送信

される情報を暗号化するために、署名付き証明書が必要です。このプロセスでは、証明書署名要求 (CSR) を生成し、

CA に署名してもらい、署名付き SSL 署名書を NSX Manager にインポートする必要があります。セキュリティの

ベストプラクティスとしては、プライベートキーと公開鍵を生成し、NSX Manager にプライベートキーが保存

されるという証明書発行オプションを使用することを推奨します。

NSX Manager の証明書を取得するには、NSX Manager のビルトイン CSR ジェネレータを使用するか、

OpenSSL などの別のツールを使用します。

NSX Manager のビルトイン証明書署名要求ジェネレータを使用して生成された CSR には、サブジェクトの代替名

(SAN) などの拡張属性を含めることができません。拡張属性を含める場合、別の証明書署名要求生成ツールを使用す

る必要があります。OpenSSL などの別のツールを使用して証明書署名要求を生成する場合、このプロセスは 1) 証明書署名要求を生成する、2) 署名してもらう、3) NSX Manager 証明書ファイルの PKCS 12 形式への変換のセク

ションに進む、となります。

ビルトイン証明書署名要求 (CSR) ジェネレータの使用

NSX Manager 用の SSL 証明書を取得する方法の 1 つとして、ビルトイン証明書署名要求ジェネレータを使用する

方法があります。

この方法には、証明書署名要求にサブジェクトの代替名 (SAN) などの拡張属性を含めることができないという制約

があります。拡張属性を含める場合、別の証明書署名要求生成ツールを使用する必要があります。別の証明書署名要

求生成ツールを使用している場合、この手順はスキップします。

手順


2 [アプライアンス設定の管理 (Manage Appliance Settings)] をクリックします。

3 [設定] パネルで、[SSL 証明書 (SSL Certificates)] をクリックします。

4 [CSR の生成 (Generate CSR)] をクリックします。

NSX 管理ガイド

VMware, Inc. 511

5 次のフィールドに入力してフォームを完成させます。


[キーのサイズ (Key Size)] 選択したアルゴリズムで使用される鍵の長さを選択します。

[共通名 (Common Name)] NSX Manager の IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力します。FQDN を入力することをお勧めします。

[組織単位 (Organization Unit)] 証明書を注文する会社・組織の部署名を記入します。

[組織名 (Organization Name)] 法人名を登記通りに記入します。

[市区町村名 (City Name)] 組織の所在地（市）を記入します。

[都道府県名 (State Name)] 組織の所在地（都道府県）を記入します。

[国コード (Country Code)] アルファベット 2 文字の国識別コードを記入します。たとえば米国の場合、US となります。


7 証明書署名要求を CA に送信して署名してもらいます。

a [CSR のダウンロード (Download CSR)] をクリックして、生成された要求をダウンロードします。

この方法を使用すると、プライベートキーが NSX Manager の外部には出ません。

b この要求を CA に送信します。

c PEM 形式の署名付き証明書、ルート CA、中間 CA 証明書を取得します。

d CER/DER 形式の証明書を PEM に変換するには、次の OpenSSL コマンドを使用します。

openssl x509 -inform der -in Cert.cer -out 4-nsx_signed.pem

e すべての証明書（サーバ、中間、ルート証明書）をテキストファイルで連結します。

f NSX Manager ユーザーインターフェースで [インポート (Import)] をクリックし、すべての証明書が含

まれるテキストファイルを参照します。

g インポートに成功すると、サーバ証明書とすべての CA 証明書が [SSL 証明書] ページに表示されます。

次のステップ

署名付き SSL 証明書を NSX Manager にインポートします。

NSX Manager 証明書ファイルの PKCS 12 形式への変換

OpenSSL などの他のツールを使用して NSX Manager 証明書を作成した場合、証明書とプライベートキーが

PKCS 12 形式であることを確認してください。NSX Manager 証明書とプライベートキーが PKCS 12 形式でな

い場合は、それらを PKCS 12 形式に変換してから、PKCS 12 証明書ファイルを NSX Manager にインポートする

必要があります。

前提条件

n OpenSSL がシステムにインストールされていることを確認します。OpenSSL は http://www.openssl.org からダウンロードできます。

NSX 管理ガイド

VMware, Inc. 512

http://www.openssl.org

http://www.openssl.org

n パブリックキーとプライベートキーのペアを生成します。たとえば、次の OpenSSL コマンドを実行します。

openssl req -x509 -days [number of days] -newkey rsa:2048 -keyout my-key.pem -out my-cert.pem

手順

u 承認済み署名者から署名付き証明書を受け取った後で、OpenSSL コマンドを使用して PKCS 12（.pfx また

は .p12）キーストアファイルをパブリック証明書ファイルとプライベートキーから生成します。


openssl pkcs12 -export -in my-cert.pem -inkey my-key.pem -out nsx-manager.p12

ここで：

n my-cert.pem は署名付き証明書です。

n my-key.pem はプライベートキーです。

n nsx-manager.p12 は、PKCS 12 形式への変換後に生成された出力ファイルの名前です。

次のステップ

PKCS 12 証明書ファイルを NSX Manager にインポートします。

SSL 証明書のインポート

以前から存在するか CA 署名の SSL 証明書をインポートして NSX Manager で使用することができます。

前提条件

証明書を NSX Manager にインストールする場合、PKCS#12 キーストア形式のみがサポートされ、1 つのプライ

ベートキーと対応する署名付き証明書または証明書チェーンが含まれている必要があります。

手順


2 [アプライアンス設定の管理 (Manage Appliance Settings)] をクリックします。

3 [設定] パネルで、[SSL 証明書 (SSL Certificates)] をクリックします。

4 [PKCS#12 キーストアのアップロード (Upload PKCS#12 Keystore)] をクリックします。

5 [ファイルの選択 (Choose File)] をクリックしてファイルを見つけます。


NSX 管理ガイド

VMware, Inc. 513

7 証明書を適用するには、NSX Manager アプライアンスを再起動します。

結果

証明書が NSX Manager に保存されます。

NSX のバックアップとリストア

すべての NSX Data Center for vSphere コンポーネントを正しくバックアップすることは、障害が発生した場合

にシステムを正常動作の状態にリストアするために重要です。

NSX Manager のバックアップには、コントローラ、論理スイッチ、ルーティングエンティティ、セキュリティ、

ファイアウォールルール、および NSX Manager ユーザーインターフェイスや API でユーザーが設定したその他

のすべてを含む、あらゆる NSX Data Center for vSphere 設定が含まれます。vCenter Server データベース

と仮想スイッチのような関連要素は、別々にバックアップする必要があります。

少なくとも、定期的に NSX Manager と vCenter Server のバックアップを作成することをお勧めします。バッ

クアップの頻度とスケジュールは、ビジネス上のニーズと操作手順によって異なる場合があります。設定の変更を何

度も行う場合は、頻繁に NSX バックアップを作成することをお勧めします。

NSX Manager のバックアップは、オンデマンドで作成することも、時間単位、日単位、または週単位で作成する

こともできます。

次の場合にバックアップを作成することをお勧めします。

n NSX Data Center for vSphere または vCenter Server をアップグレードする前。

n NSX Data Center for vSphere または vCenter Server をアップグレードした後。

n NSX Controller クラスタ、論理スイッチ、分散論理ルーター、Edge Services Gateway、セキュリティお

よびファイアウォールポリシーを作成した後など、0 日目に NSX Data Center for vSphere コンポーネン

トをデプロイして初期設定を行った後。

n インフラストラクチャまたはトポロジを変更した後。

n 2 日目に大きな変更を行った後。

任意の時点でシステム全体をロールバックできるように、NSX Data Center for vSphere コンポーネント（NSX Manager など）のバックアップを vCenter Server、クラウド管理システム、操作ツールなどの他の連携コンポー

ネントのバックアップと同時に行うことをお勧めします。

NSX Manager のバックアップとリストア

NSX Manager のバックアップおよびリストアは、NSX Manager 仮想アプライアンス Web インターフェイスか

ら、または NSX Manager API を使用して設定できます。バックアップは時間単位、日単位、週単位でスケジュー

ル設定できます。

バックアップファイルは、NSX Manager がアクセスできるリモート FTP または SFTP の場所に保存されます。

NSX Manager データには、構成テーブル、イベントテーブル、監査ログテーブルが含まれます。構成テーブル

は、すべてのバックアップに含まれます。

NSX 管理ガイド

VMware, Inc. 514

リストアは、バックアップバージョンと同じ NSX Manager バージョンでのみサポートされます。そのため、NSX アップグレードを実行する前と後にバックアップファイルを作成し、古いバージョンと新しいバージョンのそれぞれ

にバックアップを作成することが重要です。

NSX Manager データのバックアップ

NSX Manager データは、オンデマンドバックアップまたはスケジュール設定したバックアップを実行してバック

アップできます。

手順


2 [バックアップとリストア (Backup & Restore)] をクリックします。

3 バックアップ先を指定するには、[FTP サーバ設定] の横の [変更 (Change)] をクリックします。

a バックアップシステムの IP アドレスまたはホスト名を入力します。

b バックアップ先でサポートされるプロトコルに応じて、[転送プロトコル (Transfer Protocol)] ドロップ

ダウンメニューから [SFTP] または [FTP] を選択します。

c 必要に応じてデフォルトのポートを編集します。

d バックアップシステムにログインするために必要なユーザー名とパスワードを入力します。

e [バックアップディレクトリ (Backup Directory)] テキストボックスに、バックアップを保存する絶対パ


注：バックアップディレクトリを指定しない場合、FTP サーバのデフォルトディレクトリ（ホームディ

レクトリ）にバックアップが保存されます。

絶対パスを確認するには、FTP サーバにログインし、使用するディレクトリに移動して、現在のディレクト

リのフルパスを表示するコマンド (pwd) を実行します。次はその例です。

PS C:\Users\Administrator> ftp 192.168.110.60

Connected to 192.168.110.60.

220 server-nfs FTP server ready.

User (192.168.110.60:(none)): admin

331 Password required for admin.

Password:

230 User admin logged in.

ftp> ls

200 PORT command successful.

150 Opening BINARY mode data connection for 'file list'.

datastore-01

226 Transfer complete.

ftp: 22 bytes received in 0.00Seconds 22000.00Kbytes/sec.

ftp> cd datastore-01

250 CWD command successful.

ftp> pwd

257 "/datastore-01" is current directory.

NSX 管理ガイド

VMware, Inc. 515

f [ファイル名のプリフィックス (Filename Prefix)] に文字列を入力します。

バックアップシステム上のファイルを簡単に識別できるように、このテキストがバックアップファイル名

の先頭に付加されます。たとえば ppdb と入力すると、バックアップファイル名は

ppdbHH_MM_SS_YYYY_Mon_Day となります。

注：バックアップディレクトリ内のファイル数は、100 個以下にする必要があります。ディレクトリ内の

ファイル数がこの制限を超えると、警告メッセージが表示されます。

g パスフレーズを入力して、バックアップファイルを保護します。

パスフレーズは、バックアップのリストアで必要になります。

h [OK] をクリックします。


オプション例

IP アドレス/ホスト名 192.168.110.60

転送プロトコル FTP

ポート 21

ユーザー名 admin

パスワード *****

バックアップディレクトリ /datastore-01

ファイル名のプリフィックス nsxmgr-backup

パスフレーズ *****

4 オンデマンドバックアップの場合、[バックアップ (Backup)] をクリックします。

新しいファイルが [バックアップ履歴 (Backup History)] に追加されます。

5 （必須）スケジュール設定されたバックアップの場合、スケジュールの横にある [変更 (Change)] をクリックし

ます。

a [バックアップ頻度 (Backup Frequency)] ドロップダウンメニューで、[時間単位 (Hourly)]、[日単位

(Daily)]、または [週単位 (Weekly)] を選択します。選択したバックアップ頻度よっては、[曜日]、[時間]、および [分] ドロップダウンメニューが無効になります。たとえば、[日単位] を選択すると、[曜日] ドロップダウンメニューは日次バックアップには適用されないため、無効になります。

b 週単位バックアップの場合、データをバックアップする曜日を選択します。

c 週単位バックアップまたは日単位バックアップの場合、バックアップを開始する時間を選択します。

d 開始する分数を選択して、[スケジュール設定 (Schedule)] をクリックします。

オプション例

バックアップ頻度毎週

曜日金曜日

NSX 管理ガイド

VMware, Inc. 516

オプション例

時間 15

分 45

6 ログおよびフローデータをバックアップから除外するには、[除外] の横の [変更 (Change)] をクリックしま

す。

a バックアップから除外する項目を選択します。

b [OK] をクリックします。

7 FTP サーバの IP アドレス/ホスト名、認証情報、ディレクトリの詳細、パスフレーズを保存します。この情報

は、バックアップをリストアするために必要です。

NSX Manager バックアップのリストア

NSX Manager をリストアすると、バックアップファイルが NSX Manager アプライアンスでロードされます。

バックアップファイルは、NSX Manager がアクセスできるリモート FTP または SFTP の場所に保存する必要が

あります。NSX Manager データには、構成テーブル、イベントテーブル、監査ログテーブルが含まれます。

重要：バックアップファイルをリストアする前に、現在のデータをバックアップしてください。

前提条件

NSX Manager データをリストアする前に、NSX Manager アプライアンスを再インストールすることをお勧めし

ます。既存の NSX Manager アプライアンスでリストア操作を実行しても機能する可能性はありますが、サポート

されていません。既存の NSX Manager で障害が発生した場合は、新規の NSX Manager アプライアンスをデプ

ロイすることが想定されています。

ベストプラクティスとしては、新規でデプロイする NSX Manager アプライアンスの IP アドレス情報およびバッ

クアップ場所の情報の指定に使用できるように、既存の NSX Manager アプライアンスの現在の設定をメモします。

手順

1 既存の NSX Manager アプライアンスのすべての設定をメモします。また、FTP サーバの設定も書き留めてお

きます。

2 NSX Manager アプライアンスを新規にデプロイします。

バージョンはバックアップした NSX Manager アプライアンスと同じである必要があります。

3 新規の NSX Manager アプライアンスにログインします。

4 [アプライアンス管理] で、[バックアップとリストア (Backups & Restore)] をクリックします。

5 [FTP サーバ設定] で、[変更 (Change)] をクリックして FTP サーバ設定を追加します。

バックアップ先画面の [ホスト IP アドレス (Host IP Address)]、[ユーザー名 (User Name)]、[パスワード

(Password)]、[バックアップディレクトリ (Backup Directory)]、[ファイル名のプリフィックス (Filename Prefix)]、[パスフレーズ (Pass Phrase)] の各フィールドで、リストアするバックアップの場所を識別する必


NSX 管理ガイド

VMware, Inc. 517

[バックアップ履歴 (Backup History)] セクションにバックアップフォルダが表示されます。

注： [バックアップ履歴 (Backup History)] セクションにバックアップフォルダが表示されない場合は、FTP サーバ設定を確認します。FTP サーバに接続し、バックアップフォルダを表示できるかどうかを確認してくだ

さい。

6 [バックアップ履歴 (Backup History)] セクションで、リストアするバックアップフォルダを選択し、[リスト

ア (Restore)] をクリックします。

NSX Manager データのリストアが開始されます。

結果

NSX の設定が NSX Manager にリストアされます。

注意： NSX Manager のバックアップをリストアした後、NSX Edge アプライアンスと論理スイッチを正常に動

作させるため、追加のアクションが必要になる場合があります。NSX Edge のリストアおよび論理スイッチの非同

期エラーの解決を参照してください。

NSX Edge のリストア

すべての NSX Edge 設定（分散論理ルーターおよび Edge Services Gateway）は、NSX Manager データバックアップの一環としてバックアップされます。

NSX Edge のバックアップを個別に作成することは、サポートされていません。

NSX 管理ガイド

VMware, Inc. 518

正常に構成された NSX Manager があれば、NSX Edge の再デプロイによって Edge アプライアンス仮想マシン

にアクセスできなくなった、あるいは障害が発生した場合、 Edge アプライアンス仮想マシンを再作成できます。

NSX Edge を再デプロイするには、NSX Edge を選択して、[アクション (Actions)] - [再デプロイ (Redeploy)] の順にクリックします。『NSX 管理ガイド』の「NSX Edge の再デプロイ」を参照してください。

NSX 管理ガイド

VMware, Inc. 519

注意： NSX Manager のバックアップをリストアした後、NSX Edge アプライアンスが正常に動作するには、追

加のアクションが必要になる場合があります。

n 直近のバックアップ後に作成された Edge アプライアンスはリストア中に削除されません。仮想マシンを手動

で削除する必要があります。

n 直近のバックアップ後に削除された Edge アプライアンスは、再デプロイしない限りリストアされません。

n NSX Edge を設定した場所と現在の配置場所がバックアップに保存されていない場合、再デプロイ、移行、高

可用性の有効化や無効化などの処理に失敗します。アプライアンスの設定を編集し、正しい配置場所の情報を指

定する必要があります。PUT /api/4.0/edges/{edgeId}/appliances を使用して、アプライアンスの場所の設

定を編集します。必要に応じて、resourcePoolId、datastoreId、hostId、vmFolderId を編集します。

『NSX API ガイド』の「NSX Edge アプライアンスの設定の使用」を参照してください。

前回の NSX Manager のバックアップ後に次のいずれかの変更が行われると、リストアされた NSX Manager の設定と NSX Edge アプライアンスの現在の設定に差異が発生します。アプライアンスに対する変更を元に戻し、

NSX Edge を正常に動作させるには、NSX Edge を[強制同期 (Force Sync)]する必要があります。『NSX 管理

ガイド』の「NSX Edge と NSX Manager の強制同期」を参照してください。

n NSX Edge ファイアウォールの preRules に対して、分散ファイアウォール経由で行われた変更

n オブジェクトメンバーシップのグループ化に対する変更

前回の NSX Manager のバックアップ後に次のいずれかの変更が行われると、リストアされた NSX Manager の設定と NSX Edge アプライアンスの現在の設定に差異が発生します。アプライアンスに対する変更を元に戻し、

NSX Edge を正常に動作させるには、NSX Edge を[再デプロイ (Redeploy)]する必要があります。『NSX 管理

ガイド』の「NSX Edge の再デプロイ」を参照してください。

n Edge アプライアンスの設定に対する変更：

n 高可用性の有効化または無効化

n アプライアンスの状態の変更（デプロイ済みからデプロイ解除済み）

n アプライアンスの状態の変更（デプロイ解除済みからデプロイ済み）

n リソースの予約設定の変更

n Edge アプライアンスの vNIC 設定の変更：

n vNIC の追加、削除または切断

n ポートグループ

n トランクポート

n フェンスパラメータ

n シェーピングポリシー

注目: NSX 6.4.4 または 6.4.5 にアップグレードした後、Edge に新しく追加されたトランクインターフェ

イスのデフォルトの MTU 値が、誤って 1500 に設定されます。この問題は、6.4.4 または 6.4.5 の新規イン

ストールを行った後も発生します。この問題は 6.4.6 で修正されています。ただし、6.4.4 または 6.4.5 でこ

の問題を解決するには、Edge のすべてのトランクインターフェイスのデフォルトの MTU 値を 1600 に手動

で変更する必要があります。詳細については、https://kb.vmware.com/s/article/74878 にある VMware ナレッジベースの記事を参照してください。

NSX 管理ガイド

VMware, Inc. 520


論理スイッチの非同期エラーの解決

NSX Manager のバックアップの作成からリストアまでの間に論理スイッチの変更が発生すると、論理スイッチが

同期なし状態をレポートする場合があります。

手順


2 [ネットワークとセキュリティ (Networking & Security)] - [論理スイッチ (Logical Switches)] の順に移

動します。

3 [同期なし (Out of sync)] リンクが表示されている場合には、このリンクをクリックします。

4 [解決 (Resolve)] をクリックし、不足しているバッキングポートグループを論理スイッチに再作成します。

vSphere Distributed Switch のバックアップ

vSphere Distributed Switch および分散ポートグループの設定をファイルにエクスポートできます。

VXLAN のクラスタを準備する前に、vSphere Distributed Switch の設定をエクスポートして、バックアップを

作成します。vSphere Distributed Switch の設定をエクスポートする方法については、http://kb.vmware.com/kb/2034602 を参照してください。

vCenter Server のバックアップ

NSX デプロイを保護するには、vCenter Server データベースをバックアップして仮想マシンのスナップショット

を作成することが重要です。

vCenter Server のバックアップとリストアの手順、およびベストプラクティスについては、お使いのバージョン

の vCenter Server ドキュメントを参照してください。

vCenter Server のバックアップについては、次を参照してください。

n vSphere の使用バージョンの『vSphere のインストールとセットアップ』ドキュメント

n http://kb.vmware.com/kb/2110294

仮想マシンのスナップショットについては、http://kb.vmware.com/kb/1015180 を参照してください。

NSX の監視と診断ツール

NSX には、システムの監視や、問題の診断に役立つデータ収集を行うためのツールが用意されています。

フローモニタリング

フローモニタリングは、保護対象の仮想マシンへのトラフィックおよび保護対象の仮想マシンからのトラフィックの

詳細情報を提供する、トラフィック解析ツールです。

フローモニタリングが有効な場合、その出力では、どのマシンが、どのアプリケーションを使用してデータを交換し

ているかが定義されます。このデータにはセッション数やセッションごとのパケット転送数などが含まれます。セッ

ションの詳細には、使用されている転送元、転送先、アプリケーション、ポートなどの情報が含まれます。セッショ

ンの詳細は、ファイアウォールの作成や、ルールの許可またはブロックで使用できます。TCP、UDP、ARP、ICMP

NSX 管理ガイド

VMware, Inc. 521





など、さまざまなプロトコルタイプのフローデータを表示できます。フィルタを指定すると、フローを除外できま

す。選択した vNIC（接続元または接続先）との TCP 接続および UDP 接続をライブで監視できます。ライブフロ

ーモニタリングではフローが可視化されます。特定の vNIC に移動して、トラブルシューティングを迅速に行うこと

ができます。ライブフローモニタリングでは、L7 ファイアウォールルールに一致するフローのアプリケーション

コンテキストもキャプチャされます。

フローモニタリングデータの表示

指定した期間内の仮想マシンのトラフィックセッションを表示できます。デフォルトでは過去 24 時間のデータが

表示されます。最小時間範囲は 1 時間、最大時間は 2 週間です。

注意： n フローモニタリングが有効な場合、ダッシュボードに小さな黄色の警告アイコンが表示され、機能が有効であ

ることが示されます。フローモニタリングはパフォーマンスに影響します。フローデータの監視が終了した

ら、無効にしてください。

n フローモニタリング数が事前定義の最大数（しきい値値）を超えると、重大アラームが表示されます。このアラ

ームは環境に影響を与えません。無視してもかまいません。NSX 6.4.4 以前では、フローモニタリングの最大

数が 200 万に設定されています。NSX 6.4.5 以降では、フローモニタリングの最大数が 500 万に増えてい

ます。

前提条件

フローモニタリングデータは、ネットワーク仮想化コンポーネントがインストールされ、ファイアウォールが有効

になっているクラスタの仮想マシンでのみ利用できます。『NSX Data Center for vSphere インストールガイ

ド』を参照してください。

手順

1 vSphere Web Client で、[ネットワークとセキュリティ (Networking & Security)] - [ツール (Tools)] - [フローモニタリング (Flow Monitoring)] の順に移動します。

2 [ダッシュボード (Dashboard)] タブを表示していることを確認します。

NSX 管理ガイド

VMware, Inc. 522

3 [フローモニタリング (Flow Monitoring)] をクリックします。

このページのロードに数秒かかることがあります。ページの上部に、許可されたトラフィックの割合、ファイア

ウォールルールでブロックされたトラフィック、SpoofGuard でブロックされたトラフィックが表示されま

す。環境内の各サービスのデータフローが複数の折れ線グラフで表示されます。凡例の 1 つのサービスをポイ

ントすると、そのサービスの各点が強調表示されます。

トラフィック統計は次の 3 つのタブに表示されます。

n [トップフロー (Top Flows)] には、（セッション/パケットではなく）合計バイト数の値に基づいて、指定

された時間におけるサービスあたりの受信トラフィックと送信トラフィックの合計が表示されます。上位 5 つのサービスが表示されます。トップフローの計算時には、ブロックされたフローは考慮されません。

n [トップターゲット (Top Destinations)] には、指定された時間におけるターゲットあたりの受信トラフ

ィックが表示されます。上位 5 つのターゲットが表示されます。

n [トップソース (Top Sources)] には、指定された時間におけるソースあたりの送信トラフィックが表示さ

れます。上位 5 つのソースが表示されます。

4 [サービス別の詳細 (Details by Service)] タブをクリックします。

選択したサービスのすべてのトラフィックの詳細が表示されます。[許可されたフロー (Allowed Flows)] タブには許可されたトラフィックセッションが表示され、[ブロックされたフロー (Blocked Flows)] タブにはブ

ロックされたトラフィックが表示されます。

NSX 管理ガイド

VMware, Inc. 523

サービス名で検索できます。

5 そのトラフィックフローを許可またはブロックしたルールを表示するには、テーブルで項目をクリックします。

6 ルール詳細を表示するルールの [ルール ID (Rule Id)] をクリックします。

フローモニタリングチャートの日付範囲の変更

フローモニタリングデータの日付範囲は、[ダッシュボード] タブと [詳細] タブの両方で変更できます。

手順


2 [時間間隔 (Time interval)] の横にあるをクリックします。

3 期間を選択するか、新しい開始日および終了日を入力します。

トラフィックフローデータを表示できる最長期間は、過去 2 週間です。


フローモニタリングレポートからのファイアウォールルールの追加または編集

トラフィックデータにドリルダウンすると、リソースの使用について評価し、セッション情報を分散ファイアウォ

ールに送信して、任意のレベルで新しい許可/拒否ルールを作成できます。

NSX 管理ガイド

VMware, Inc. 524

手順


2 [サービス別の詳細 (Details by Service)] タブをクリックします。

3 トラフィックフローを表示するサービスをクリックします。

選択したタブに応じて、このサービスのトラフィックを許可または拒否したルールが表示されます。

4 ルールの詳細を表示するには、ルール ID をクリックします。


n ルールを編集するには：

1 [アクション (Actions)] 列の [ルールの編集 (Edit Rule)] をクリックします。

2 ルールの名前、アクション、またはコメントを変更します。


n ルールを追加するには：

1 [アクション (Actions)] 列の [ルールの追加 (Add Rule)] をクリックします。

2 フォームに入力し、ルールを追加します。ファイアウォールルールのフォームの記入については、ファ

イアウォールルールの追加を参照してください。


ルールは、ファイアウォールルールセクションの最上部に追加されます。

ライブフローの表示

選択した vNIC（接続先または接続元）との UDP 接続および TCP 接続を表示できます。2 台の仮想マシン間のト

ラフィックを表示するために、1 台のコンピュータ上にある一方の仮想マシンと、2 台目のコンピュータ上にあるも

う一方の仮想マシンのライブトラフィックを表示できます。ホストごとに最大 2 つの vNIC と、インフラストラク

チャごとに最大 5 つの vNIC のトラフィックを表示できます。

ライブフローを表示すると、NSX Manager や対応する仮想マシンのパフォーマンスに影響することがあります。

手順


2 [ライブフロー (Live Flow)] タブをクリックします。

3 必要な vNIC を選択します。

4 [開始 (Start)] をクリックしてライブフローの表示を開始します。

このページは 5 秒ごとに更新されます。[更新速度 (Refresh Rate)] ドロップダウンから別の頻度を選択する

ことも可能です。

NSX 管理ガイド

VMware, Inc. 525

5 デバッグやトラブルシューティングが終了したら [停止 (Stop)] をクリックして、NSX Manager や選択した

仮想マシンのパフォーマンスに影響が及ばないようにします。

フローモニタリングデータ収集の設定

収集するフローモニタリングデータを確認してフィルタリングした後で、データ収集を設定できます。

除外基準を指定すると、表示されるデータをフィルタできます。たとえば、重複するフローが表示されないようにプ

ロキシサーバを除外することができます。また、インベントリの仮想マシンで Nessus スキャンを実行している場

合に、スキャンフローを収集から除外しないでおくことができます。特定のフローの情報がファイアウォールからフ

ローコレクタに直接エクスポートされるように、IPFix を設定できます。フローモニタリングのグラフには IPFix フローは含まれません。IPFix フローは、IPFix コレクタのインターフェイスに表示されます。

手順


2 [設定 (Configuration)] タブを選択します。

3 [グローバルフロー収集構成ステータス (Global Flow Collection Status)] が [有効 (Enabled)] になってい

ることを確認します。

[除外設定 (Exclusion Settings)] で指定されているオブジェクトを除いて、インベントリ全体ですべてのファ

イアウォール関連フローが収集されます。

NSX 管理ガイド

VMware, Inc. 526

4 フィルタリング基準を指定するには、[フロー除外 (Flow Exclusion)] をクリックして、次の手順を実行しま

す。

a 除外するフローに対応するタブをクリックします。

b 必要な情報を指定します。

次の項目を選択した場合は次の情報を指定

ブロックされたフローの収集 [いいえ] を選択するとブロックされたフローが除外されます。

レイヤー 2 フローの収集 [いいえ] を選択するとレイヤー 2 のフローが除外されます。

送信元指定した送信元のフローが収集されません。


2 [ビュー] で、適切なコンテナを選択します。

3 除外するオブジェクトを選択します。

宛先指定した宛先のフローが収集されません。


2 [ビュー] で、適切なコンテナを選択します。

3 除外するオブジェクトを選択します。

宛先ポート指定したポートへのフローを除外します。

除外するポート番号を入力します。

サービス指定したサービスおよびサービスグループへのフローを除外します。


2 適切なサービスやサービスグループを選択します。

c [保存 (Save)] をクリックします。

5 フロー収集を設定するには、[IPFix] をクリックして、分散ファイアウォールの IPFIX の手順を実行します。

NSX 管理ガイド

VMware, Inc. 527


IPFIX の設定

IPFIX (Internet Protocol Flow Information Export) は ETF プロトコルで、エンドデバイスから監視システム

にフロー情報をエクスポートする際の標準を定義します。NSX では、IPFIX を使用して IP フロー情報をコレクタに

エクスポートします。

次の場所で IPFIX を有効にします。

n vSphere Distributed Switch (VDS)

n 分散ファイアウォール (DFW)

vSphere 環境では、vSphere Distributed Switch がエクスポータになり、ネットワークベンダーから提供され

る監視ツールがコレクタになります。

IPFIX 標準では、IP フロー情報の表示方法が指定されます。また、フロー情報をエクスポータからコレクタに転送す

る方法も定義されています。

vSphere Distributed Switch で IPFIX を有効にすると、コレクタツールに定期的にメッセージが送信されます。

メッセージの内容はテンプレートで定義されます。テンプレートの詳細については、IPFIX テンプレートを参照して

ください。

分散ファイアウォールの IPFIX

分散ファイアウォールで IPFIX を有効にできます。分散ファイアウォールは、フローのステートフル追跡機能を実装

しており、追跡するフローには状態の変化が反映されます。IPFIX は、フローの状態データをエクスポートするため

に使用できます。追跡対象のイベントには、フローの作成、拒否、更新、削除があります。

NSX 管理ガイド

VMware, Inc. 528

論理スイッチ

仮想（オーバーレイ）

物理（アンダーレイ）

フローコレクタ

ネットワーク

TOR1

IPFIX（分散ファイアウォール）

オーバーレイトンネル

TOR4TOR2 TOR3

HV1/vSwitch HV2/vSwitch

分散ファイアウォールの IPFIX でフローのエクスポートを有効にするには、次の手順を実行します。


2 [設定 (Configuration)] タブをクリックします。

3 [グローバルフロー収集構成ステータス (Global Flow Collection Status)] が [有効 (Enabled)] になってい

ることを確認します。

4 フロー収集を設定するには、IPFIX に移動します。

n NSX 6.4.1 以降では、[ネットワークとセキュリティ (Networking & Security)] - [ツール (Tools)] - [IPFIX] の順に移動します。

n NSX 6.4.0 では、[ネットワークとセキュリティ (Networking & Security)] - [ツール (Tools)] - [フロ

ーモニタリング (Flow Monitoring)] - [設定 (Configuration)] - [IPFIX] の順に移動します。

5 IPFIX 設定の横にある [編集 (Edit)] をクリックして、[IPFIX 設定の有効化 (Enable IPFIX Configuration)] をクリックします。

6 [観測ドメイン ID (Observation DomainID)] に、フローコレクタのファイアウォールエクスポータを示す

32 ビットの ID を入力します。有効な範囲は、0 ～ 65535 です。

NSX 管理ガイド

VMware, Inc. 529

7 [アクティブなフローエクスポートのタイムアウト (Active Flow Export Timeout)] に、アクティブなフロー

がフローコレクタにエクスポートされるまでの時間（分）を入力します。デフォルト値は 5 分です。たとえば、

フローが 30 分間アクティブであり、エクスポートのタイムアウト値が 5 分の場合、フローはアクティブな期間

に 7 回エクスポートされます。アクティブな期間に 5 回エクスポートされるほか、作成と削除で 1 回ずつエク

スポートされます。

8 [保存 (Save)] をクリックします。

9 [コレクタ IP アドレス (Collector IPs)] で、[追加 (Add)] をクリックし、フローコレクタの IP アドレスと

UDP ポートを入力します。ポート番号の確認方法については、NetFlow コレクタのドキュメントを参照して

ください。



IPFIX テンプレート

分散ファイアウォールは、フローのステートフル追跡機能を実装しており、追跡するフローには状態の変化が反映さ

れます。IPFIX プロトコルを使用して、フローの状態データをエクスポートできます。追跡対象のイベントには、フ

ローの作成、拒否、更新、削除があります。

IPFIX はテンプレートに基づくため、フローをエクスポートする前にエクスポータでデータの形式を宣言する必要が

あります。これにより、コレクタが受信フローレコードの分析方法を認識できるようになります。テンプレートでは

形式が宣言されています。この形式は <type,length> の設定で、レコード内のフィールドの意味と長さを 1 つずつ

定義します。

次の表は、分散ファイアウォールの IPFIX テンプレートで使用される情報の要素を示したものです。

表 23-4. IPFIX 情報の要素

名前データタイプサイズ（オクテット）説明

sourceMacAddress macAddress 6 IEEE 802 送信元 MAC アドレスフィールド。

destinationMacAddress macAddress 6 IEEE 802 宛先 MAC アドレスフィールド。

ethernetType unsigned16 2 ペイロードで転送される MAC クライアントプロト

コルを識別するイーサネットフレームのイーサネッ

トタイプフィールド。

sourceIPv4Address ipv4Address 4 IP パケットヘッダーの IPv4 送信元アドレス。

destinationIPv4Address ipv4Address 4 IP パケットヘッダーの IPv4 宛先アドレス。



sourceTransportPort unsigned16 2 トランスポートヘッダーの送信元ポートの ID。

destinationTransportPort unsigned16 2 トランスポートヘッダーの宛先ポートの ID。

octetDeltaCount unsigned64 8 前回のレポート（ある場合）以降に、観測点で発生し

たフローの受信パケット数（オクテット）。オクテッ

ト数には、IP ヘッダーと IP ペイロードが含まれま

す。

packetDeltaCount unsigned64 8 前回のレポート（ある場合）以降に、観測点で発生し

たフローの受信パケット数。

NSX 管理ガイド

VMware, Inc. 530

表 23-4. IPFIX 情報の要素（続き）


flowId unsigned64 8 観測ドメイン内で一意のフロー ID。IP アドレスと

ポート番号などのフローキーがレポートされない場

合、または異なるレコードとしてレポートされた場合

に、各フローを区別するために役立ちます。

flowStartSeconds dateTimeSeconds 4 フローの最初のパケットの絶対的なタイムスタンプ。

flowEndSeconds dateTimeSeconds 4 フローの最後のパケットの絶対的なタイムスタンプ。

protocolIdentifier unsigned8 1 IP パケットヘッダーのプロトコル番号の値。

firewallEvent unsigned8 1 有効な値：

n 1 - フローの作成

n 2 - フローの削除

n 3 - フローの拒否

n 4 - フローアラート（この実装では使用しませ

ん）

n 5 - フローの更新

direction unsigned8 1 観測点でフィルタに適用される有効な値：

n 0x00 - 仮想マシンへの入力方向のフロー

n 0x01 - 仮想マシンからの出力方向のフロー

icmpTypeIPv4 unsigned8 1 IPv4 ICMP メッセージのタイプ。

icmpCodeIPv4 unsigned8 1 IPv4 ICMP メッセージのコード。

icmpTypeIPv6 unsigned8 1 IPv6 ICMP メッセージのタイプ。

icmpCodeIPv6 unsigned8 1 IPv6 ICMP メッセージのコード。

ruleId unsigned32 4 ファイアウォールルール ID - 企業固有の IE。

vmUuid string 16 仮想マシンの UUID - 企業固有の IE。

仮想マシンを一意に識別します（16 のオクテット配

列）。

vnicIndex unsigned32 4 VNIC インデックス - 企業固有の IE。

指定された仮想マシンの VNIC のインデックス。

sessionFlags unsigned8 1 セッションフラグ - 企業固有の IE。有効な値：

n 0 - 不明

n 0x1 - 確立

flowDirection unsigned8 1 フローの方向 - 企業固有の IE。有効な値：

n 0 - 不明

n 1 - 前方向

n 2 - 逆方向

algControlFlowId unsigned64 8 ALG 制御フロー ID - 企業固有の IE。有効な値：

n 0

n ALG 制御フローのフロー ID

NSX 管理ガイド

VMware, Inc. 531



algType unsigned8 1 ALG 制御フロー ID - エンタープライズ固有の IE。

有効な値：

n 0 - なし

n 1 - FTP

n 2 - Oracle

n 3 - SUNRPC

n 4 - DCERPC

n 5 - TFTP

algFlowType unsigned8 1 ALG 制御フロー ID - 企業固有の IE。有効な値：

n 0 - なし

n 1 - 制御フロー

n 2 - データフロー

averageLatency unsigned32 4 TCP 平均遅延 - 企業固有の IE。

単位はマイクロ秒です。

vifUuid octetArray 16 VIF UUID - 企業固有の IE。

VIF を一意に識別します（16 のオクテット配列）。

分散ファイアウォールの次の IPFIX テンプレートは、UDP ペイロードでのみ使用できます。

UDP IPV4 テンプレート

このテンプレートに送信されるフィールドは、次のとおりです。

IPFIX_TEMPLATE_FIELD(sourceMacAddress,6)

IPFIX_TEMPLATE_FIELD(destinationMacAddress,6)

IPFIX_TEMPLATE_FIELD(sourceIPv4Address,4)

IPFIX_TEMPLATE_FIELD(destinationIPv4Address,4)

IPFIX_TEMPLATE_FIELD(sourceTransportPort,2)

IPFIX_TEMPLATE_FIELD(destinationTransportPort,2)

IPFIX_TEMPLATE_FIELD(protocolIdentifier,1)

IPFIX_TEMPLATE_FIELD(icmpTypeIPv4,1)

IPFIX_TEMPLATE_FIELD(icmpCodeIPv4,1)

IPFIX_TEMPLATE_FIELD(ethernetType,2)

IPFIX_TEMPLATE_FIELD(flowStartSeconds,4)

IPFIX_TEMPLATE_FIELD(flowEndSeconds,4)

IPFIX_TEMPLATE_FIELD(octetDeltaCount,8)

IPFIX_TEMPLATE_FIELD(packetDeltaCount,8)

IPFIX_TEMPLATE_FIELD(firewallEvent,1)

IPFIX_TEMPLATE_FIELD(direction,1)

IPFIX_TEMPLATE_FIELD(ruleId,4)

IPFIX_TEMPLATE_FIELD(vmUUId,16)

IPFIX_TEMPLATE_FIELD(vnicIndex,4)

IPFIX_TEMPLATE_FIELD(sessionFlags,1) /* Introduced in 6.4.2 */

IPFIX_TEMPLATE_FIELD(flowDirection,1) /* Introduced in 6.4.2 */

IPFIX_TEMPLATE_FIELD(flowId,8) /* Introduced in 6.4.4 */

NSX 管理ガイド

VMware, Inc. 532

IPFIX_TEMPLATE_FIELD(algControlFlowId,8) /* Introduced in 6.4.4 */

IPFIX_TEMPLATE_FIELD(algType,1) /* Introduced in 6.4.4 */

IPFIX_TEMPLATE_FIELD(algFlowType,1) /* Introduced in 6.4.4 */

IPFIX_TEMPLATE_FIELD(averageLatency,4) /* Introduced in 6.4.4 */

UDP IPV6 テンプレート

このテンプレートに送信されるフィールドは、次のとおりです。

IPFIX_TEMPLATE_FIELD(sourceMacAddress,6)

IPFIX_TEMPLATE_FIELD(destinationMacAddress,6)

IPFIX_TEMPLATE_FIELD(sourceIPv6Address,16)

IPFIX_TEMPLATE_FIELD(destinationIPv6Address,16)

IPFIX_TEMPLATE_FIELD(sourceTransportPort,2)

IPFIX_TEMPLATE_FIELD(destinationTransportPort,2)

IPFIX_TEMPLATE_FIELD(protocolIdentifier,1)

IPFIX_TEMPLATE_FIELD(icmpTypeIPv6,1)

IPFIX_TEMPLATE_FIELD(icmpCodeIPv6,1)

IPFIX_TEMPLATE_FIELD(ethernetType,2)

IPFIX_TEMPLATE_FIELD(flowStartSeconds,4)

IPFIX_TEMPLATE_FIELD(flowEndSeconds,4)

IPFIX_TEMPLATE_FIELD(octetDeltaCount,8)

IPFIX_TEMPLATE_FIELD(packetDeltaCount,8)

IPFIX_TEMPLATE_FIELD(firewallEvent,1)

IPFIX_TEMPLATE_FIELD(direction,1)

IPFIX_TEMPLATE_FIELD(ruleId,4)

IPFIX_TEMPLATE_FIELD(vmUUId,16)

IPFIX_TEMPLATE_FIELD(vnicIndex,4)

IPFIX_TEMPLATE_FIELD(sessionFlags,1) /* Introduced in 6.4.2 */

IPFIX_TEMPLATE_FIELD(flowDirection,1) /* Introduced in 6.4.2 */

IPFIX_TEMPLATE_FIELD(flowId,8) /* Introduced in 6.4.4 */

IPFIX_TEMPLATE_FIELD(algControlFlowId,8) /* Introduced in 6.4.4 */

IPFIX_TEMPLATE_FIELD(algType,1) /* Introduced in 6.4.4 */

IPFIX_TEMPLATE_FIELD(algFlowType,1) /* Introduced in 6.4.4 */

IPFIX_TEMPLATE_FIELD(averageLatency,4) /* Introduced in 6.4.4 */

論理スイッチの IPFIX

vSphere Distributed Switch で IPFIX を有効にできます。

NSX 管理ガイド

VMware, Inc. 533

論理スイッチ

仮想（オーバーレイ）

物理（アンダーレイ）

フローコレクタ

ネットワーク

TOR1

IPFIX (vNIC)

オーバーレイトンネル

TOR4TOR2 TOR3

HV1/vSwitch HV2/vSwitch

IPFIX（物理 NIC）

次のように、論理スイッチで IPFIX を有効にします。

1 NSX トランスポートゾーン（論理スイッチ）をバッキングする vSphere Distributed Switch で、NetFlow コレクタを設定します。NetFlow コレクタの設定方法については、『vSphere ネットワーク』ガイドの

「vSphere Distributed Switch のネットフロー設定の構成」を参照してください。

2 論理スイッチに対応する分散ポートグループで、NetFlow モニタリングを有効にできます。 NSX トランスポ

ートゾーンが複数の vSphere Distributed Switch (VDS) にまたがっている場合は、VDS/分散ポートグル

ープごとに次の手順を繰り返します。NetFlow モニタリングを有効にする方法については、『vSphere』ドキ

ュメントの「分散ポートグループまたは分散ポートでの NetFlow 監視の有効化または無効化」を参照してくだ

さい。

NSX 環境では、ESXi の NSX アップリンクを通過する、論理スイッチの仮想マシンデータトラフィックは、

VXLAN でカプセル化されます。ホストのアップリンクで NetFlow を有効にすると、カスタム IPFIX flow-record テンプレートを使用した IP フローレコードがエクスポートされます。テンプレートには、外部の VXLAN UDP/IP ヘッダー情報とカプセル化された内部の IP パケット情報が含まれます。このようなフローレコードによ

って、パケットをカプセル化している VTEP（外部ヘッダー）が可視化され、NSX 論理スイッチ (VXLAN) でホス

ト内トラフィック（内部ヘッダー）を生成した仮想マシンの詳細が提供されます。

vSphere Distributed Switch の IPFIX テンプレートの詳細については、IPFIX テンプレートを参照してくださ

い。

IPFIX テンプレート

IPFIX テンプレートを使用すると、VXLAN と VXLAN 以外のフローを確認できます。テンプレートには追加パラ

メータがあり、カプセル化されたトラフィックの詳細情報を提供します。

NSX 管理ガイド

VMware, Inc. 534

テンプレートは、vSphere Distributed Switch（エクスポータ）でサポートされます。vSphere Distributed Switch の IPFIX サポートにより、仮想マシンフローと VXLAN のフローに必要な可視化を実現できます。サード

パーティのコレクタツールベンダーを使用している場合、テンプレートの追加情報を使用して、内部/外部フローと

ポート接続を関連付け、相関分析を行うことができます。

次の表に、論理スイッチの IPFIX テンプレートで使用される情報の要素を示します。

表 23-5. IPFIX 情報の要素





destinationIPv6Address ipv^Address 16 IP パケットヘッダーの IPv6 宛先アドレス。

octetDeltaCount unsigned64 8 前回のレポート（ある場合）以降に、観測点で発生し

たフローの受信パケットのオクテット数。オクテッ

ト数には、IP ヘッダーと IP ペイロードが含まれま

す。

packetDeltaCount unsigned64 8 前回のレポート（ある場合）以降に、観測点で発生し

たフローの受信パケット数。

flowStartSysUpTime unsigned32 8 フローの最初のパケットの相対的なタイムスタンプ。

IPFIX デバイスが最後に再初期化されてからのミリ

秒数 (sysUpTime)。

flowEndSysUpTime unsigned32 8 フローの最後のパケットの相対的なタイムスタンプ。

IPFIX デバイスが最後に再初期化されてからのミリ

秒数 (sysUpTime)。

sourceTransportPort unsigned16 2 トランスポートヘッダーの送信元ポートの ID

destinationTransportPort unsigned16 2 トランスポートヘッダーの宛先ポートの ID

ingressInterface unsigned32 4 フローのパケットを受信する IP インターフェイスの

インデックス。

egressInterface unsigned32 4 フローのパケットを送信する IP インターフェイスの

インデックス。

vxlanId unsigned64 8 オーバーレイネットワークのレイヤー 2 ネットワー

クセグメントの ID。最上位バイトは、レイヤー 2 ネットワークのオーバーレイネットワークカプセル化

の種類を表します。

n 0x00 予約済み

n 0x01 VxLAN

n 0x02 NVGRE

最下位の 3 バイトには、レイヤー 2 のオーバーレイ

ネットワークセグメント ID が格納されます。


n 24 ビットのセグメント ID VXLAN ネットワ

ーク識別子 (VNI)

n NVGRE の 24 ビットテナントネットワーク

識別子 (TNI)

NSX 管理ガイド

VMware, Inc. 535



protocolIdentifier unsigned8 1 IP パケットヘッダーのプロトコル番号の値。

flowEndReason unsigned8 1 フローの終了理由。有効な値：

n 0x01 - アイドルタイムアウト

n 0x02 - アクティブタイムアウト

n 0x03 - フローの終わりを検出

n 0x04 - 強制終了

n 0x05 - リソース不足

tcpFlags unsigned8 1 フローのパケットで確認された TCP 制御ビット。

この情報は、ビットフィールドとしてエンコードさ

れます。TCP 制御ビットごとに 1 ビットが使用され

ます。確認されたフローパケットのいずれかの

TCP 制御ビットが 1 に設定されている場合、このビ

ットは 1 に設定されます。それ以外の場合は、0 にク

リアされます。

IPv4TOS unsigned8 1 IPv4 パケットヘッダーの TOS フィールドの値。

IPv6TOS unsigned8 1 IPv6 パケットヘッダーのトラフィッククラスフィ

ールドの値。

maxTTL unsigned8 1 フローの任意のパケットで確認された TTL の最大

値。

flowDir unsigned8 1 観測点で確認されたフローの方向。有効な値：

n 0x00 - 入力方向のフロー

n 0x01 - 出力方向のフロー

ingressInterfaceAttr unsigned16 2 入力方向のインターフェイス属性には、ポートのタイ

プに基づいて次の値を使用します。

n IPFIX_UPLINK_PORT 0X01

n IPFIX_ACCESS_PORT 0X02

n IPFIX_VXLAN_TUNNEL_PORT 0X03

egressInterfaceAttr unsigned16 2 出力方向のインターフェイス属性には、ポートのタイ

プに基づいて次の値を使用します。

n IPFIX_UPLINK_PORT 0X01

n IPFIX_ACCESS_PORT 0X02

n IPFIX_VXLAN_TUNNEL_PORT 0X03

vxlanExportRole unsigned8 1 エクスポータが ESXi ホストか、他のネットワーク

デバイスかを定義します。

IPFIX_END_POINT 0X01 は、ホストがデータを

エクスポートしていることを意味します。

他のデバイスが IPFIX テンプレートをエクスポート

した場合、このフィールドの値は異なる可能性があり

ます（未定義の場合）。

paddingOctets OctetArray 1 0x00 値のシーケンス。

tenantSourceIPv4 ipv4Address 4 テナントパケットの IP ヘッダーにある IPv4 送信

元アドレス。これは IP パケット内にあります。

NSX 管理ガイド

VMware, Inc. 536



tenantDestIPv4 ipv4Address 4 テナントパケットの IP ヘッダーにある IPv4 宛先

アドレス。これは IP パケット内にあります。

tenantSourceIPv6 ipv6Address 16 テナントパケットの IP ヘッダーにある IPv6 送信

元アドレス。これは IP パケット内にあります。

tenantDestIPv6 ipv6Address 16 テナントパケットの IP ヘッダーにある IPv6 宛先

アドレス。これは IP パケット内にあります。

tenantSourcePort unsigned16 2 テナントパケットのトランスポートヘッダーにある

送信元ポート ID。これは IP パケット内にあります。

tenantDestPort unsigned16 2 テナントパケットのトランスポートヘッダーにある

宛先ポートの ID。これは IP パケット内にあります。

tenantProtocol unsigned8 1 テナントパケットの IP ヘッダーにあるプロトコル

番号の値。これは IP パケット内にあります。

IPv4 テンプレート

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv4)

IPFIX_TEMPLATE_FIELD(sourceIPv4Address, 4)

IPFIX_TEMPLATE_FIELD(destinationIPv4Address, 4)

IPFIX_TEMPLATE_FIELD(octetDeltaCount, 8)

IPFIX_TEMPLATE_FIELD(packetDeltaCount, 8)

IPFIX_TEMPLATE_FIELD(flowStartSysUpTime, 8)

IPFIX_TEMPLATE_FIELD(flowEndSysUpTime, 8)

IPFIX_TEMPLATE_FIELD(sourceTransportPort, 2)

IPFIX_TEMPLATE_FIELD(destinationTransportPort, 2)

IPFIX_TEMPLATE_FIELD(ingressInterface, 4)

IPFIX_TEMPLATE_FIELD(egressInterface, 4)

IPFIX_TEMPLATE_FIELD(vxlanId, 8)

IPFIX_TEMPLATE_FIELD(protocolIdentifier, 1)

IPFIX_TEMPLATE_FIELD(flowEndReason, 1)

IPFIX_TEMPLATE_FIELD(tcpFlags, 1)

IPFIX_TEMPLATE_FIELD(IPv4TOS, 1)

IPFIX_TEMPLATE_FIELD(maxTTL, 1)

IPFIX_TEMPLATE_FIELD(flowDir, 1)

// Specify the Interface port- Uplink Port, Access port,N.A

IPFIX_VMW_TEMPLATE_FIELD(ingressInterfaceAttr, 2)

IPFIX_VMW_TEMPLATE_FIELD(egressInterfaceAttr, 2)

IPFIX_VMW_TEMPLATE_FIELD(vxlanExportRole, 1)

IPFIX_TEMPLATE_PADDING(paddingOctets, 1)

IPFIX_TEMPLATE_END()

IPv4 VXLAN テンプレート

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv4_VXLAN)





NSX 管理ガイド

VMware, Inc. 537














IPFIX_VMW_TEMPLATE_FIELD(tenantSourceIPv4, 4)

IPFIX_VMW_TEMPLATE_FIELD(tenantDestIPv4, 4)

IPFIX_VMW_TEMPLATE_FIELD(tenantSourcePort, 2)

IPFIX_VMW_TEMPLATE_FIELD(tenantDestPort, 2)

IPFIX_VMW_TEMPLATE_FIELD(tenantProtocol, 1)




// TUNNEL-GW or no.



IPv4 ICMP VXLAN テンプレート

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv4_ICMP_VXLAN)























// TUNNEL-GW or no.




NSX 管理ガイド

VMware, Inc. 538

IPv4 ICMP テンプレート

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv4_ICMP)















// Specify the Interface port- Uplink Port, Access Port,or NA.






IPv6 ICMP VXLAN テンプレート

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv6_ICMP_VXLAN)







IPFIX_VMW_TEMPLATE_FIELD(sourceTransportPort, 2)

IPFIX_VMW_TEMPLATE_FIELD(destinationTransportPort, 2)








//VXLAN Specific





// Specify the Interface port- Uplink Port, Access Port, or NA.



// TUNNEL-GW or no.




NSX 管理ガイド

VMware, Inc. 539

IPv6 ICMP テンプレート

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv6_ICMP)





















IPv6 テンプレート

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv6)















IPFIX_TEMPLATE_FIELD(IPv6TOS,1)



// Specify the Interface port- Uplink Port, Access Port, or NA.






NSX 管理ガイド

VMware, Inc. 540

IPv6 VXLAN テンプレート

















//VXLAN specific




IPFIX_VMW_TEMPLATE_FIELD(tenantSourcePort, 2)

IPFIX_VMW_TEMPLATE_FIELD(tenantDestPort, 2)





// TUNNEL-GW or no.



vSphere Distributed Switch の IPFIX で監視されるフロー

前述の図は、2 台の異なるホストで実行されている 2 台の仮想マシン間の通信と、vSphere Distributed Switch の IPFIX 機能によって監視されるフローを表しています。

NSX 管理ガイド

VMware, Inc. 541

図 23-2. ホスト 1 のフロー

vSphere

tenantProtocol：TCP

tenantSourceIPv4：IP1

tenantDestIPv4：IP2

tenantSourcePort：10000

tenantDestPort：80

IngressInterfaceAttr：0x03 - 管理ポート

EgressIngerfaceAttr：0x01 - dvuplink

vxlanExportRole：01

VTEP1 VTEP2

フロー 1：IPv4 テンプレート

標準的な要素...

IngressInterfaceAttr：0x02 - ポート 1

EgressIngerfaceAttr：0x03 - 管理ポート


フロー 2： IPv4 VXLAN テンプレート


vxlanID：5003

物理スイッチ

VDS

1312

2

IP2

VDS

1110

1

IP1

ホスト 2ホスト 1

vSphere

図 23-2. ホスト 1 のフローでは、フローはホスト 1 から収集されています。IPv4 テンプレートには、入力方向と出

力方向のポートと、標準的な要素に関する追加情報が含まれています。

ingressInterfaceAttr テキストボックスは 0x02 になっています。これは、仮想マシンが接続するアクセスポー

トであることを表しています。アクセスポートの番号は、テンプレートの ingressInterface パラメータに割り当て

られます。

egressInterfaceAttr の値は 0x03 になっています。これは VXLAN トンネルポートで、このポート番号が管理

用の VMKNic ポートであることを意味します。このポート番号は、テンプレートの egressInterface パラメータ

に割り当てられます。

NSX 管理ガイド

VMware, Inc. 542

もう一方の IPv4 VXLAN テンプレートには、VXLAN ID、内部の送信元と宛先のアドレス、ポート、およびプロ

トコルに関する追加情報が含まれます。入力方向と出力方向のインターフェイスは、それぞれ VXLAN トンネルポートと dvuplink ポートになります。

図 23-3. ホスト 2 のフロー

tenantProtocol：TCP

tenantSourceIPv4：IP1

tenantDestIPv4：IP2

tenantSourcePort：10000

tenantDestPort：80

IngressInterfaceAttr：0x01 - dvuplink

EgressIngerfaceAttr：0x03 - 管理ポート


VTEP1 VTEP2

物理スイッチ

フロー 4：IPv4 テンプレート

標準要素...

IngressInterfaceAttr：0x03 - 管理ポート

EgressIngerfaceAttr：0x02 - ポート 3


フロー 3： IPv4 VXLAN テンプレート


vxlanID：5003

ホスト 2

VDS

1312

3

IP2

vSphere

ホスト 1

VDS

1110

1

IP1

vSphere

図 23-2. ホスト 1 のフローは、ホスト 2 上のフローを表しています。

図 23-2. ホスト 1 のフローのテンプレートと図 23-2. ホスト 1 のフローのテンプレートで異なる点は、入力方向お

よび出力方向の属性とポート番号のみです。

このテンプレートで提供される追加情報により、コレクターツールのベンダーは、外部の VXLAN フローと内部の

仮想マシンフローを関連付けて分析できます。

NSX 管理ガイド

VMware, Inc. 543

コレクタツールベンダーに関連する情報

vSphere Distributed Switch の IPFIX サポートにより、仮想マシンフローと VXLAN のフローに必要な可視化

を実現できます。コレクタツールベンダーを使用している場合、テンプレートの追加情報を使用して、内部/外部フ

ローとポート接続を関連付け、相関分析を行うことができます。

次のセクションでは、VXLAN テンプレートに追加された新しいパラメータをデコードする方法について説明しま

す。IANA は、IPFIX 情報の要素 (Element) と、そのエレメント ID (Element ID) を定義しています。標準的な

エレメント ID のリストは、http://www.iana.org/assignments/ipfix/ipfix.xml で確認できます。

VXLAN テンプレートで定義されている新しい要素にはすべて、新しいエレメント ID が定義されています。

これらのカスタムパラメータまたは要素が、VXLAN と内部フローに関する追加情報を提供します。新しい要素と

そのエレメント ID は次のとおりです。

表 23-6. カスタムパラメータ

エレメント ID パラメータ名データタイプ単位

880 tenantProtocol unsigned8 1 バイト

881 tenantSourceIPv4 ipv4Address 4 バイト

882 tenantDestIPv4 ipv4Address 4 バイト

883 tenantSourceIPv6 ipv6Address 16 バイト

884 tenantDestIPv6 ipv6Address 16 バイト

886 tenantSourcePort unsigned16 2 バイト

887 tenantDestPort unsigned16 2 バイト

888 egressInterfaceAttr unsigned16 2 バイト

889 vxlanExportRole unsigned8 1 バイト

890 ingressInterfaceAttr unsigned16 2 バイト

注：上で設定したカスタム要素には、エンタープライズ ID が追加されます。VMware のエンタープライズ ID は、6876 です。

次の表は、エレメント ID の完全リストの一例です。標準的なエレメント ID のデータタイプとユニットは、http://www.iana.org/assignments/ipfix/ipfix.xml で確認できます。

エレメント ID パラメータ名

1 octetDeltaCount

2 packetDeltaCount

4 protocolIdentifier

5 IPv4TOS

5 IPv6TOS

6 tcpFlags

7 sourceTransportPort

8 sourceIPv4Address

NSX 管理ガイド

VMware, Inc. 544

http://www.iana.org/assignments/ipfix/ipfix.xml



エレメント ID パラメータ名

10 ingressInterface

11 destinationTransportPort

12 destinationIPv4Address

14 egressInterface

15 nextHopIPv4

27 sourceIPv6Address

28 destinationIPv6Address

53 maxTTL

61 flowDir

136 flowEndReason

152 flowStartSysUpTime

153 flowEndSysUpTime

210 paddingOctets

351 vxlanId

880 tenantProtocol

881 tenantSourceIPv4

882 tenantDestIPv4

883 tenantSourceIPv6

884 tenantDestIPv6

886 tenantSourcePort

887 tenantDestPort

888 egressInterfaceAttr

889 vxlanExportRole

890 ingressInterfaceAttr

Application Rule Manager

Application Rule Manager (ARM) ツールをは、既存のアプリケーション用にセキュリティグループとファイア

ウォールルールを作成することで、アプリケーションのマイクロセグメンテーションを簡素化します。

システム全体での長期的データ収集にはフローモニタリングが使用されますが、1 個のアプリケーションを対象とす

るモデリングには Application Rule Manager が使用されます。フローモニタリングフェーズで、ARM はプロ

ファイルを作成しているアプリケーション間のフローとアプリケーション層間のフローを学習します。また、検出し

たフローのレイヤー 7 アプリケーション ID も学習します。

NSX 管理ガイド

VMware, Inc. 545

Application Rule Manager のワークフローには 3 つのステップがあります。

1 アプリケーションを設定する仮想マシンで、監視する必要があるものを選択します。設定後、仮想マシン上の定

義済み vNIC（仮想ネットワークインターフェイスカード）のセットに送受信するすべてのフローが監視対象と

なります。一度に最大 5 つのセッションでフローを収集できます。

2 監視を停止してフローテーブルを生成します。フローを分析して、仮想マシン間の相互作用を明らかにします。

フローをフィルタリングして、フローレコードを限られた作業セットにすることができます。フローの分析後、

ARM は次のものを自動的に推奨します。

n フローパターンとサービスに基づくワークフローのセキュリティグループと IP セット

n 特定の ARM セッションの分析結果に基づくファイアウォールポリシー

n フローのレイヤー 7 アプリケーション ID

3 フローが分析され、セキュリティグループとポリシーが推奨されると、特定のアプリケーションのポリシーをフ

ァイアウォールルールテーブルのセクションとして発行できます。推奨されるファイアウォールルールは、ア

プリケーションに関連付けられている仮想マシンに適用範囲が制限されています。また、ユーザーはルールを変

更できます。たとえば、グループやルールの名前をわかりやすい名前に変更できます。

監視セッションの作成

監視セッションでは、1 つのセッションで最大 30 個の vNIC が送受信するすべてのフローを収集します。

前提条件

監視セッションを開始する前に、監視の対象となる仮想マシンと vNIC を定義する必要があります。

最新の VMware Tools が Windows デスクトップ仮想マシンで実行されている必要があります。

選択した仮想マシンは、ファイアウォールが有効になっているクラスタ内に置く必要があります。除外リストに加え

ることはできません。

監視セッション期間のデフォルトのファイアウォールルールとして「許可」のルールを作成し、これをの選択した

vNIC に適用する必要があります。これにより、vNIC が送受信するフローがその他のファイアウォールルールによ

ってドロップされないようにします。

手順

1 vSphere Web Client にログインして、アプリケーションルールマネージャに移動します。

n NSX 6.4.1 以降では、[ネットワークとセキュリティ (Networking & Security)] - [セキュリティ

(Security)] - [アプリケーションルールマネージャ (Application Rule Manager)] の順に移動します。

n NSX 6.4.0 では、[ネットワークとセキュリティ (Networking & Security)] - [ツール (Tools)] - [フロ

ーモニタリング (Flow Monitoring)] - [アプリケーションルールマネージャ (Application Rule Manager)] の順に移動します。

2 [新規セッションの開始 (Start New Session)] をクリックします。

3 [新規セッションの開始 (Start New Session)] ダイアログボックスに、セッションの名前を入力します。

4 オブジェクトタイプとして vNIC または仮想マシンを選択します。

[使用可能なオブジェクト (Available Objects)] 列に、使用可能なオブジェクトが表示されます。

NSX 管理ガイド

VMware, Inc. 546

5 監視する vNIC または仮想マシンを選択します。選択した vNIC または仮想マシンが [選択したオブジェクト


6 [OK] をクリックして収集フローを開始します。

ステータスは [データを収集しています (Collecting Data)] になります。収集された最新のフローのセットが

フローテーブルに表示されます。

7 [停止 (Stop)] をクリックして収集フローを終了します。

結果

選択した vNIC および仮想マシン用にフローモニタリングセッションが作成されました。

次のステップ

フロー収集の後、フローを分析します。

フローの分析と自動推奨

フローモニタリングセッションの収集後に結果が分析されます。この結果をフィルタリングして、オブジェクトや

ファイアウォールルールのグループ化に使用できます。ARM は、フローの分析結果に基づいてファイアウォールルールとセキュリティグループを自動的に推奨します。

分析後のフローをフィルタリングして、1 つの作業セット内のフロー数を制限することができます。フィルタオプシ

ョンアイコンは、右側の [処理されたビュー] ドロップダウンメニューの横にあります。

前提条件

分析前に、選択した vNIC または仮想マシンからフローモニタリングセッションを収集する必要があります。

手順

1 フローの収集後、[分析 (Analyze)] をクリックします。

定義済みサービスが解決され、IP アドレスから仮想マシンへの変換が開始されて、重複が削除されます。

2 分析によって、フロー用に次のデータが提供されます。

フィールドオプション

方向流入：フローは、入力シードの一部として選択した仮想マシンと vNIC のうちの 1 つに入ります。

流出：フローは、入力シードの一部として選択した仮想マシンと vNIC のうちの 1 つから生成されます。

内部：フローは、入力シードの一部として選択した仮想マシンと vNIC の間で発生します。

送信元仮想マシン名：フローレコードの送信元 IP アドレスが NSX インベントリ内の 1 台の仮想マシンに解決される場合。IP アドレスが仮想マシンに解決できるのは、VMware Tools がこれらの仮想マシンで有効になっている場合のみです。

Raw IP：この送信元 IP アドレスに対応する仮想マシンが NSX インベントリ内に見つからない場合。マルチキャスト IP アドレスおよびブロードキャスト IP アドレスは、仮想マシンに解決されません。

仮想マシンの数（例：仮想マシン 2 台）：IP アドレスが、異なるネットワークに置かれている複数の仮想マシンにマッピング

された重複する IP アドレスである場合、このフローレコードを関連する正しい仮想マシンに解決する必要があります。

NSX 管理ガイド

VMware, Inc. 547


宛先 [ソース] フィールドと同じ値です。

サービスプロトコル/ポート用の NSX 定義のサービス。

Raw プロトコル/ポート：NSX Manager で定義されたサービスがない場合。

サービスの数：複数のサービスが同じプロトコル/ポートにマッピングされている場合、ユーザーは、そのフローレコードに

該当する 1 つのサービスに解決する必要があります。

3 [ファイアウォールルール (Firewall Rules)] タブでは、ARM が自動的に推奨したグループワークフローとポ

リシーの作成や、選択したフローに基づいて作成されたファイアウォールルールを確認できます。ユーザーは、

推奨されたルールを変更できます。たとえば、グループやルールの名前をわかりやすい名前に変更できます。

フローの分析後、ARM は次のものを自動的に推奨します。

n フローパターンとサービスに基づいたワークフローのグループ化と IP セットを推奨します。たとえば、3 層アプリケーションの場合、4 つのセキュリティグループが推奨されます。各アプリケーション層ごとに 1 つのグループと、このアプリケーションのすべての仮想マシンに 1 つのグループを推奨します。また、ARM は、アプリケーション仮想マシンが使用するサービスに基づいて宛先の IP セットを推奨します。たとえば、

宛先 IP アドレスが vCenter Server のドメイン内にない場合、DNS または NTP サーバの IP セットを

推奨します。

n 分析したフローデータに基づいてセキュリティグループを推奨します。3 層アプリケーションの場合、ロ

ードバランサから Web への https ルール、Web からアプリケーションへの http ルール、アプリケー

ションからデータベースへの MYSQL ルール、DNS などのインフラサービスの共通ルールの 4 つのルー

ルを推奨します。

n アプリケーション層間のフローに対するアプリケーションコンテキスト（レイヤー 7）を識別します。たと

えば、使用されている TCP/UDP ポートに関係なく、実行中の L7 アプリケーションを識別します。また、

https で使用されている TLS バージョンも識別します。

4 [発行 (Publish)] をクリックして、ファイアウォールルールテーブルのセクションとして特定のアプリケーシ

ョンのポリシーを発行します。または、必要に応じてルールを変更します。推奨されるファイアウォールルール

は、アプリケーションに関連付けられている仮想マシンに適用範囲が制限されています。ファイアウォールルー

ルセクションの名前を入力し、チェックボックスをクリックして、次のオプションのパラメータを有効にしま

す。



ステートレスファイアウォールを有効にする各ファイアウォールセクションでステートレスファイアウォールを


フローの統合とカスタマイズ

システム分析が完了すると、[処理されたビュー (Processed View)] に分析後のフローテーブルが表示されます。

[送信元]、[宛先]、[サービス] フィールドを変更して、さらにフローを統合できます。フローレコードでのサービス

のカスタマイズおよびフローレコードの送信元および宛先のカスタマイズを参照してください。

処理されたビュー

NSX 管理ガイド

VMware, Inc. 548

収集されたフローはテーブルに表示されます。このテーブルには次の列があります。


方向 IN：フローは、入力シードの一部として選択した仮想マシンまたは vNIC のうちの 1 つに入ります。

OUT：フローは、入力シードの一部として選択した仮想マシンまたは vNIC のうちの 1 つから生成されます。

INTRA：フローは、入力シードの一部として選択した仮想マシンまたは vNIC 間で発生します。

送信元仮想マシン名：フローレコードの送信元 IP アドレスが NSX インベントリ内の 1 台の仮想マシンに解決される場合。

Raw IP：この送信元 IP アドレスに対応する仮想マシンが NSX インベントリ内に見つからない場合。マルチキャスト IP アドレ

スおよびブロードキャスト IP アドレスは、仮想マシンに解決されません。

仮想マシンの数：IP アドレスが、異なるネットワークに置かれている複数の仮想マシンにマッピングされており、重複する IP アドレスである場合。ユーザーは、複数の仮想マシンを、このフローレコードに関連する 1 台の仮想マシンに解決する必要がありま

す。

宛先 [ソース] フィールドと同じ値です。

サービスプロトコル/ポート用の NSX 定義のサービス。

Raw プロトコル/ポート：NSX Manager で定義されたサービスがない場合。

サービスの数：複数のサービスが同じプロトコル/ポートにマッピングされている場合、ユーザーは、そのフローレコードに該当

する 1 つのサービスに解決する必要があります。

フローテーブルを編集して、フローを統合し、ルールを作りやすくすることができます。たとえば、ソースフィー

ルドを任意の値で置き換えることができます。複数の仮想マシンが HTTP および HTTPS 経由でフローを受け取っ

ている場合は、これらの仮想マシンを、HTTP サービスと HTTPS サービスの両方を含む「WEB-Service」サービ

スグループに置き換えることができます。これにより、同じようなフローが複数できあがり、ファイアウォールルールに変換しやすいフローパターンが明確になってきます。

フローテーブルのセルは編集できますが、値が自動で入力されるわけではない点に注意してください。たとえば、

DHCP サーバの IP セットに IP アドレス 196.1.1.1 が指定されていても、次にこの IP アドレスを使用する場合に自

動入力が行われて DHCP サーバグループが表示されるわけではありません。その IP アドレスのすべてのインスタ

ンスをこの IP セットで置き換えるかどうかを確認するプロンプトが表示されます。これにより、複数の IP セットの

IP アドレス部分を柔軟にグループ化できるようになります。

統合ビュー

統合ビューを表示するには、右上にあるドロップダウンリストを使用します。統合ビューでは、重複するフローが省

かれ、必要最小限のフローだけが表示されます。このビューは、ファイアウォールルールの作成に使用できます。

[方向] 列の左隅にある矢印をクリックすると、次の対応する関連の Raw フロー情報が表示されます。

n INTRA フローについて、Raw データを含む対応する IN フローと OUT フローが表示されます

n レコードに統合されたすべての Raw フローの元の送信元 IP アドレス、宛先 IP アドレス、ポート、およびプロ

トコル情報

n ALG フローについて、管理フローの対応するデータフローが表示されます

フローレコードでのサービスのカスタマイズ

サービスフローセルは、セルごとにユーザーが個別にカスタマイズできます。

フロー分析後、ユーザーは未定義のプロトコル/ポートの組み合わせを関連付け、サービスを作成できます。サービス

グループは、収集されたフローにリストされているサービス用に作成できます。フローレコードの変更の詳細につい

ては、フローの統合とカスタマイズを参照してください。

NSX 管理ガイド

VMware, Inc. 549

前提条件

フローデータが、一連の vNIC および仮想マシンから収集されている必要があります。監視セッションの作成を参照


手順

u フローの状態が [分析完了 (Analysis Completed)] になると、[処理されたビュー (Processed View)] のフ

ローテーブルにデータが入力されます。セルデータをカスタマイズするには、セルの上にカーソルを置きます。

セルの右隅に歯車アイコンが表示されます。[サービス (Service)] 列の歯車アイコンをクリックし、次のいずれ

かのオプションを選択します。


サービスを解決ポートとプロトコルが複数のサービスに変換されている場合は、このオプションを使用して正

しいサービスを選択します。

サービスを作成して置き換えサービスを追加するには、次の手順を実行します。

a サービスの [名前 (name)] を入力します。

b ドロップダウンリストからプロトコルを選択します。

c サービスの宛先ポートを入力します。

d [詳細オプション (Advanced options)] をクリックして、サービスのソースポートを

入力します。このソースポートは、新しい受信接続およびデータストリームの追跡に使

用されます。

e オプション：個別の Edge のレベルで再使用できる共通のグループまたは基準を作成す

るには、[継承を有効にし、下層にある範囲で表示できるようにする (Enable inheritance to allow visibility at underlying scopes)] を選択します。

f [OK ] をクリックすると、新しいサービスが作成され、[サービス] 列に入力されます。同

じ未定義のポートとプロトコルの組み合わせを使用する別のフローレコードがある場合

は、それらすべてを新しく作成されたサービスに置き換えるかどうかを尋ねられます。こ

の処理は、未定義のサービスが分析フェーズで見つかったフローにのみ発生します。

サービスグループを作成して置き換えフローからのサービスが含まれている新しいサービスグループを作成できます。次に、新しい

サービスグループがそのサービスと置き換えられます。サービスグループを追加するには、

次の手順を実行します。

a サービスグループの [名前 (name)] を入力します。

b （オプション）サービスグループの説明を入力します。

c [オブジェクトタイプ (Object type)] を選択します。

d サービスグループに追加する使用可能なオブジェクトを選択し、矢印をクリックして、オ

ブジェクトを [選択したオブジェクト] 列に移動します。

e 新しいサービスグループが作成され、サービス列に入力されます。

サービスをいずれかで置き換え特定のサービスを任意のサービスで置換します。

サービスをサービスグループで置き換え選択したサービスが複数のサービスグループのメンバーである場合は、適用するサービスグループを選択します。

a 使用可能なオブジェクトのリストから、目的のサービスグループをクリックします。


プロトコルとポートを戻すセルの変更を元のデータに戻します。

NSX 管理ガイド

VMware, Inc. 550

結果

変更されたフローレコードには、横にピンクのバーが表示されます。変更されたセルにカーソルを合わせると、緑色

のチェックマークが表示されます。このチェックマークをクリックすると、ポップアップウィンドウにそのセルの以

前の値と新しい値が表示されます。変更されたフローレコードは、ファイアウォールルールに簡単に変換できます。

次のステップ

次に、フローレコードを使用してファイアウォールルールを作成できます。

変更後のフローをさらにグループ化して、一意の最小の作業セットにすることができます。[処理されたビュー

(Processed View)] を使用して、サービスグループと IP セットを作成し、フローを変更します。[統合ビュー

(Consolidated view)] では、それらの変更後のフローをさらに圧縮して、ファイアウォールルールを簡単に作成

できるようにします。

フローレコードの送信元および宛先のカスタマイズ

送信元および宛先のフローセルは、セルごとにユーザーが個別にカスタマイズできます。

フロー分析の完了後、ユーザーはフローセルをカスタマイズできます。

前提条件

フローデータが、一連の vNIC および仮想マシンから収集されている必要があります。監視セッションの作成を参


手順

u フローの状態が [分析完了 (Analysis Completed)] になると、フローテーブルにデータが入力されます。セル

データをカスタマイズするには、セルの上にカーソルを置きます。セルの右隅に歯車アイコンが表示されます。

[送信元 (Source)] 列または [宛先 (Destination)] 列の歯車アイコンをクリックし、次のいずれかのオプショ

ンを選択します。


仮想マシンを解決複数の仮想マシンの IP アドレスが同じである場合は、このオプションを選択できます。この

オプションを使用して、フローレコードの該当する仮想マシン名を選択します。

任意の IP アドレスと置き換えすべての人が送信元にアクセスできる場合は、どの送信元 IP アドレスも使用できます。それ

以外の場合は、ソースアドレスを指定する必要があります。宛先 IP アドレスのターゲット値

として任意の値を許可することは推奨されません。

メンバーシップで置き換えセキュリティグループに属する仮想マシンはここに表示され、仮想マシン名を置換できます。

NSX 管理ガイド

VMware, Inc. 551


セキュリティグループの作成 a セキュリティグループの名前と説明（オプション）を入力します。

b [次へ (Next)] をクリックします。

c 作成中のセキュリティグループに追加するオブジェクトの基準を定義します。これによ

り、フィルタ基準を定義して、検索基準を満たす仮想マシンを含めることができます。フ

ィルタ基準では、多数のパラメータがサポートされています。

d セキュリティグループに追加するリソースを 1 つ以上選択します。セキュリティグルー

プに 1 つのリソースを追加すると、関連するすべてのリソースも自動的に追加されます。

たとえば、仮想マシンを選択すると、関連する vNIC が自動的にセキュリティグループに

追加されます。セキュリティグループには次のオブジェクトを含めることができます。

クラスタ

論理スイッチ

レガシーポートグループ

vApp

データセンター


f セキュリティグループから除外するオブジェクトを選択します。ここで選択したオブジ

ェクトは、動的基準を満たすかどうかにかかわらず、常にセキュリティグループから除外

されます。

g [次へ (Next)] をクリックします。

h [設定の確認 (Ready to complete)] ウィンドウで、セキュリティグループの詳細を確

認します。[終了 (Finish)] をクリックします。

既存のセキュリティグループに追加して置き

換え

仮想マシンの場合、選択した仮想マシンが複数のセキュリティグループのメンバーである場合

は、適用するセキュリティグループを選択します。このオプションは、IP アドレスが送信元

フィールドまたは宛先フィールドにある場合は使用できません。Raw IP アドレスの場合、[既存の IP セットに追加して置き換え] オプションを使用します。

a 使用可能なオブジェクトのリストから、目的のサービスグループをクリックします。


IP セットを作成して置き換え IP セットを作成すると、IP アドレスのセット全体に、一度にファイアウォールルールを適用

できます。

a IP セットの名前を入力します。

b （オプション）説明を入力します。

c 新しい IP セットの IP アドレスまたは IP アドレス範囲を入力します。


既存の IP セットに追加して置き換え 1 つの IP アドレスが複数の IP セットに含まれている場合があります。このオプションを使用

すると、表示されている IP アドレスを別の IP アドレスに置き換えることができます。

a 使用可能なオブジェクトから目的の IP セットを選択します。


初期データに戻すセルの変更を元のデータに戻します。

次のステップ

フローモニタリングに基づいてファイアウォールルールを作成します。

アプリケーションルールマネージャでのファイアウォールルールの作成

Application Rule Manager で、ファイアウォールルールを編集、削除、上に移動、下に移動できます。

NSX 管理ガイド

VMware, Inc. 552

前提条件

フローレコードの分析後、ARM がファイアウォールルールを自動的に推奨します。推奨ルールを変更することも、

新しいファイアウォールルールを作成することもできます。

手順

1 フローセッションを開きます。[ 処理されたビュー (Processed View)] を表示している場合、単一のフロー

セルを右クリックするか、Shift キーを押しながら最初のセル、最後のセルの順にクリックして複数のセルを選

択し、右クリックします。[統合ビュー (Consolidated View)] を表示している場合、フローセルを選択し、

[アクション (Action)] アイコンをクリックします。[ファイアウォールルールの作成 (Create Firewall rule)] を選択します。

[新規ファイアウォールルール (New Firewall Rule)] ポップアップウィンドウが開き、選択した行のデータに

基づいてすべてのセルの内容が入力されます。複数のセルが選択されていた場合は、送信元、宛先、サービスの

各オブジェクトがすべて、ルールの対応するフィールドに追加されます。


3 （オプション）別の送信元または宛先を選択するには、[送信元] または [宛先] のボックスの横にある [選択

(Select)] をクリックします。使用可能なオブジェクトから新しい送信元または宛先を指定し、[OK] をクリッ

クします。

4 （オプション）別のサービスを選択するには、[サービス] のボックスの横にある [選択 (Select)] をクリックし

ます。分散ファイアウォールでは、FTP、CIFS、ORACLE TNS、MS-RPC、SUN-RPC のプロトコルの ALG（アプリケーションレベルゲートウェイ）がサポートされています。Edge では、FTP の ALG のみがサポー

トされています。使用可能なオブジェクトから新しいサービスを指定し、[OK] をクリックします。

5 （オプション）ルールを別のスコープに適用するには、[適用先] のボックスの横にある [選択 (Select)] をクリ

ックします。次の表の説明に従って適切な選択を行い、[OK] をクリックします。デフォルトで、ルールは最初

に右クリックした vNIC に適用されます。

ルールの適用先操作

環境内の準備ができているすべてのクラスタ [分散ファイアウォールがインストールされているすべてのクラスタに

このルールを適用します (Apply this rule on all clusters on which Distributed Firewall is enabled)] を選択します。[OK] をクリックすると、このルールの [適用先] 列に [分散ファイアウォー

ル (Distributed Firewall)] が表示されます。

1 つ以上のクラスタ、データセンター、分散仮想ポートグループ、NSX Edge、ネットワーク、仮想マシン、vNIC、または論理スイッチ

1 [コンテナタイプ (Container type)] で、適切なオブジェクトを

選択します。

2 [使用可能 (Available)] リストで、1 つ以上のオブジェクトを選

択し、をクリックします。

ルールの送信元フィールドと宛先フィールドに仮想マシンと vNIC が含まれる場合、ルールを正常に動作させる

には、[適用先 (Applied To)] に送信元と宛先の両方の仮想マシンと vNIC を追加する必要があります。

NSX 管理ガイド

VMware, Inc. 553

6 次の表で説明する [アクション (Action)] を選択します。

アクション結果

許可指定した送信元、宛先、サービスの送受信トラフィックを許可します。

ブロック指定した送信元、宛先、サービスの送受信トラフィックをブロックします。


TCP 接続では、RST パケットが送信されます。

UDP、ICMP およびその他の IP 接続では、管理上禁止されたコードが含まれる ICMP メッセ

ージが送信されます。

7 ドロップダウンの矢印をクリックして、ルールの [方向 (Direction)] を指定します。


次のステップ

ファイアウォールルールを発行します。アプリケーションルールマネージャでのファイアウォールルールの発行

と管理を参照してください。

アプリケーションルールマネージャでのファイアウォールルールの発行と管理

Application Rule Manager を使用してファイアウォールルールを編集および発行できます。

作成されたファイアウォールルールは、Application Rule Manager の [ファイアウォールルール (Firewall Rules)] タブで管理できます。

前提条件

フローセッションを分析して、推奨のファイアウォールルールを自動的に作成します。あるいは、フローモニタリ

ングセッションから独自のファイアウォールルールを作成します。

NSX 管理ガイド

VMware, Inc. 554

手順

u ファイアウォールルールは、[ファイアウォールルール (Firewall Rules)]タブに表示されます。次のオプショ

ンのいずれかを選択します。


発行 a 作成したファイアウォールルールを発行するには、[発行 (Publish)] をクリックします。

ルールは、新しいセクションとして発行されます。

b ファイアウォールルールの [セクション名 (Section Name)] に入力して、次のオプシ

ョンパラメータのチェックボックスをクリックして有効にします。



ステートレスファイアウォールを有効に

する

各ファイアウォールセクションでステー

トレスファイアウォールを有効にします。

c 既存のファイアウォール設定で、新しいファイアウォールセクションを挿入する場所を選

択します。


編集ファイアウォールルールを編集するには、鉛筆アイコンを選択します。

削除ファイアウォールルールを削除するには、赤い X アイコンを選択します。

下矢印ルールを下方向に移動するには、下矢印アイコンを選択します。

上矢印ルールを上方向に移動するには、上矢印アイコンを選択します。

注：ファイアウォールルールを [アプリケーションルールマネージャ (Application Rule Manager)] から

発行した場合、[発行 (Publish)] ボタンには、そのセクション名が追加されます。その後、[Application Rule Manager] から発行を行うと、ファイアウォール設定内の既存のセクションが、そのときに [Application Rule Manager] で使用可能なルールでオーバーライドされます。

ホストの健全性ステータスの監視

NSX Data Center では、ホストの全体的な健全性ステータスを診断できます。ホスト全体の健全性ステータスに

は、ホストの物理 NIC、トンネル、ホストと制御プレーン間の接続、ホストと管理プレーン間の接続のステータスが

含まれます。

ホストの健全性ステータスを監視するには NSX API を使用します。この診断機能は、vCenter Server の UI では

使用できません。

ホストの健全性ステータスには、次のサブステータスが含まれます。

n 物理 NIC のステータス

n トンネルのステータス

n 制御プレーンのステータス

n 管理プレーンのステータス

次の表では、これらのサブステータスについて説明します。

NSX 管理ガイド

VMware, Inc. 555

サブステータス説明

物理 NIC のステータスこのステータスは、物理レイヤーから取得されます。物理 NIC がリンク

集約グループ (LAG) に属している場合、ステータスは「接続中」、「切

断」、「低下」のいずれかになります。

n LAG のすべての物理 NIC が稼動している場合、LAG のステータス

は「接続中」になります。

n LAG のすべての物理 NIC が停止している場合、LAG のステータス

は「切断」になります。

n LAG の物理 NIC のいずれかが停止している場合、LAG のステータ

スは「低下」になります。

物理 NIC が LAG に属していない場合、ステータスは「接続中」か「切

断」のいずれかになります。

トンネルのステータスこれは、ホスト間の VTEP から VTEP へのトンネル接続のステータス

です。トンネルのステータスは、「接続中」、「切断」、「低下」のいずれか

になります。

n ホストのすべてのトンネルが稼動している場合、トンネルのステータ

スは「接続中」になります。

n ホストのすべてのトンネルが停止すると、トンネルのステータスは

「切断」になります。

n ホストのトンネルのいずれかが停止している場合、トンネルのステー

タスは「低下」になります。

制御プレーンのステータスこれは、ホストと NSX Controller 間の接続のステータスです。

管理プレーンのステータスこれは、ホストと NSX 管理プレーン間の接続のステータスです。

管理プレーンは、ホストの全体的なステータスを次のように判断します。

n すべてのサブステータスが「接続中」になっている場合、ホスト全体のステータスは「接続中」になります。

n いずれかのサブステータスが停止している場合、ホスト全体のステータスは「切断」になります。

n 1 つ以上のサブステータスが「低下」になっている場合、「接続中」または「切断」のサブステータスがあれば、

ホスト全体のステータスは「低下」になります。

ホストの健全性ステータスの監視の有効化

ホストの健全性ステータスの監視を有効にするには、ホストとグローバル BFD (Bidirectional Forwarding Detection) でグローバル物理 NIC のステータスチェックを有効にする必要があります。次の PUT API を実行し

ます。

ホストでグローバル物理 NIC のステータスチェックを有効にします

PUT <NSX_Manager_IP>/api/2.0/vdn/pnic-check/configuration/global

グローバル BFD の有効化

PUT <NSX_Manager_IP>/api/2.0/vdn/bfd/configuration/global

NSX 6.4.6 以前では、グローバル BFD を有効にすると、トンネルの遅延とトンネルの健全性の監視が同時に有効

になります。トンネルの遅延とトンネルの健全性の監視を個別に有効または無効にすることはできません。

NSX 6.4.7 以降では、グローバル BFD 構成 API には、トンネルの健全性とトンネルの遅延の監視を個別に有効ま

たは無効にする 2 つのパラメータが追加されています。

NSX 管理ガイド

VMware, Inc. 556

BFD が無効になっている場合、トンネルの遅延とトンネルの健全性の監視を有効にすることはできません。BFD が有効になっている場合、トンネルの健全性とトンネルの遅延の監視を個別に有効にすることができます。これにより、

柔軟性が向上し、ネットワーク内のホスト数が増加してもパフォーマンスの問題を回避することができます。

グローバル BFD パラメータの設定方法については、『NSX API ガイド』を参照してください。

ホストの健全性ステータスの表示

ホストの健全性ステータスとトンネルの詳細を診断するには、次の API を実行します。

n GET <NSX_Manager_IP>/api/2.0/vdn/pnic-check/configuration/global

n GET <NSX_Manager_IP>/api/2.0/vdn/host/status

n GET <NSX_Manager_IP>/api/2.0/vdn/host/{hostId}/status

n GET <NSX_Manager_IP>/api/2.0/vdn/host/{hostId}/tunnel

n GET <NSX_Manager_IP>/api/2.0/vdn/host/{hostId}/remote-host-status

パラメータの説明や API 応答の例など、これらの API の詳細については、『NSX API ガイド』を参照してくださ

い。

ネットワーク遅延のモニタリング

ネットワーク管理者は、ネットワークパフォーマンスのボトルネックを診断して問題を解決するために、仮想ネット

ワークの遅延をモニタリングする必要があります。

たとえば、NSX がインストールされ、VXLAN ベースのネットワークが展開されている場合、次のような遅延が発

生します。

n vNIC から pNIC（送信元のハイパーバイザー）

n pNIC から vNIC（宛先のハイパーバイザー）

n vNIC から vNIC

n トンネル遅延（VTEP から VTEP）

n データパス全体の遅延

ESXi ホストのネットワーク操作エージェント (netopa) が、vSphere、NSX など、さまざまな情報源からネット

ワーク遅延に関する情報を収集します。管理者が、vRealize Network Insight (vRNI) などの外部コレクタツール

を設定して、これらのコレクタに遅延情報をエクスポートする場合があります。最後に、ネットワーク固有の問題を

解決できるように、遅延情報を分析します。

注： netopa エージェントは、ネットワーク遅延情報を vRNI にのみエクスポートできます。現在、他のコレクタ

ツールはサポートされていません。

NSX が遅延メトリックを計算できるように設定し、NSX REST API を使用する必要があります。NSX が遅延メト

リックを正しく計算できるように、異なるホストの時計が NTP (Network Time Protocol) 経由で同期されている


NSX 管理ガイド

VMware, Inc. 557

トンネル遅延

ESXi ホスト間のトンネル遅延または VTEP 間の遅延を計算するため、NSX は各トンネルで双方向フロー検出

(BFD) パケットを定期的に転送します。BFD グローバル設定パラメータを設定するには、

PUT /api/2.0/vdn/bfd/configuration/global API を実行する必要があります。

BFD グローバル設定パラメータの詳細については、『NSX API ガイド』を参照してください。

全体的な遅延

NSX 6.4.5 以降では、同じまたは異なる ESXi ホスト間でトラフィックが移動するため、NSX でデータパス全体

の遅延を計算できます。ただし、両方の仮想マシンが同じ論理スイッチ（サブネット）に接続している必要がありま

す。

注：データトラフィックが分散論理ルーターを介して仮想マシン間でルーティングされる場合、NSX は全体の遅

延情報を計算できません。これは、仮想マシンが別の論理スイッチまたはサブネットに接続しているためです。

データパス全体の遅延を計算するために、NSX はハイパーバイザー内のデータパスパケットのタイムスタンプ属

性を使用します。データパス全体の遅延は、データパス内の複数のセグメントの遅延（vNIC から pNIC、pNIC から vNIC）に基づいて計算されます。

たとえば、同じホスト上の仮想マシン間でトラフィックが移動すると、vNIC 間の遅延が計算されます。トラフィッ

クが異なる ESXi ホスト上の仮想マシン間で移動する場合、送信元ハイパーバイザーで vNIC から pNIC の遅延が計

算され、宛先のハイパーバイザーで pNIC から vNIC の遅延が計算されます。ESXi ホスト間のトラフィックで、

BFD グローバル設定パラメータが設定されている場合、NSX はトンネル遅延のみを計算します。

特定の vSphere Distributed Switch と特定のホストでの遅延パラメータの設定方法については、『NSX API ガイ

ド』の次のセクションを参照してください。

n 特定の vSphere Distributed Switch の遅延設定の操作

n 特定のホストの遅延設定の操作

エンドポイントの監視データの収集

エンドポイントの監視では、ゲスト OS 内の特定のプロセスとそのプロセスが使用しているネットワーク接続をマッ

ピングできます。

データの収集後、毎日午前 2 時にデータの消去が実行されます。データを消去するときに、すべてのセッションのフ

ローレコード数が確認され、レコードの件数が 2,000 万を超えるか、合計サイズが 4 GB を超えている場合、レコ

ードが削除されます。削除は、最も古いセッションから開始し、データベース内のフローレコードの数が 1,500 万を下回るまで継続します。セッションでデータの消去が実行されているときに、レコードの一部が失われる可能性が

あります。

注意: エンドポイントの監視が有効な場合、ダッシュボードに小さな黄色の警告アイコンが表示され、機能が有効

であることが示されます。エンドポイントの監視はパフォーマンスに影響します。データの収集が終了したら、無効

にしてください。

前提条件

n エンドポイントの監視は、次の Windows オペレーティングシステムでサポートされます：

NSX 管理ガイド

VMware, Inc. 558

Windows Vista、Windows 7、Windows 8、Windows 8.1、Windows 2008、Windows 2008 R2、

Windows 2012、Windows 10、Windows 2016。Linux ではサポートされません。

n 仮想マシンにゲストイントロスペクションがインストールされている必要があります。

n 最新の VMware Tools が Windows デスクトップ仮想マシンで実行されている必要があります。

n 20 台以下の仮想マシンを含むセキュリティグループは、エンドポイントの監視が開始する前のデータ収集に必

要です。詳細についてはセキュリティグループの作成を参照してください。

n エンドポイント監視レポートを実行する前に、vCenter Server 上の 1 台以上の仮想マシンでデータ収集を有効

にする必要があります。レポートを実行する前に、有効にした仮想マシンがアクティブであり、ネットワークトラフィックを生成していることを確認してください。

手順

1 vSphere Web Client で、[ネットワークとセキュリティ (Networking & Security)] - [ツール (Tools)] - [エンドポイントの監視 (Endpoint Monitoring)] の順に移動します。

2 [サマリ] タブで、[データ収集の開始 (Start Collecting Data)] をクリックします。

3 [セキュリティグループのデータ収集の開始] ポップアップウィンドウで、データ収集の対象となるセキュリテ

ィグループを選択します。[OK] をクリックします。

仮想マシンがフィールドボックスに一覧表示されます。

4 データ収集を [有効 (ON)] にします。


メインのエンドポイント監視画面が表示されます。左隅のステータスは [データの収集] になります。

6 [データ収集の停止 (Stop Collecting Data)] をクリックしてデータ収集を終了します。

[サマリ] タブにデータが入力された状態で、エンドポイント監視画面が表示されます。

エンドポイントの監視

エンドポイントの監視では、特定のアプリケーションのプロセスとそのプロセスに関連するネットワーク接続を可視

化できます。

[サマリ] タブ

データ収集の完了後、サマリ画面には、NSX Manager の詳細、セキュリティグループ、収集されたデータのタイ

ムスロットが表示されます。実行中の仮想マシンの台数と、トラフィックを生成しているプロセスの総数が、最初の

ボックスに表示されます。実行中の仮想マシンの台数をクリックすると、次に説明する [仮想マシンのフロー] タブが

開きます。トラフィックを生成しているプロセスの数をクリックすると、次に説明する [プロセスのフロー] タブが開

きます。

2 番目のボックスには、フローの総数を示すドーナツ形の図が表示されます。フローは、ネットワークトラフィック

の一意のストリームであり、パケットタイプ、送信元 IP アドレス、宛先 IP アドレス、およびポートで識別されま

す。各セクションの上にカーソルを置くと、セキュリティグループ内外のフロー数が表示されます。

NSX 管理ガイド

VMware, Inc. 559

[仮想マシンのフロー] タブ

この画面には、仮想マシン内のフローの詳細が表示されます。

n 仮想マシン名：監視対象の仮想マシンの名前

n セキュリティグループ内のフロー：送信元または宛先が監視対象のセキュリティグループ内にある、仮想マシ

ン間のトラフィックフロー

n セキュリティグループ外のフロー：送信元または宛先が監視対象のセキュリティグループ外にある、仮想マシ


n グループ外の共有サービスフロー：監視対象のセキュリティグループ外の共有サービスフロー（DHCP、

LDAP、DNS、NTP など）

n セキュリティグループ内の共有サービスフロー：監視対象のセキュリティグループ内の共有サービス

（DHCP、LDAP、DNS、NTP など）

表内の特定の仮想マシン名をクリックすると、次の情報を示すバブルグラフが表示されます。

n 同じセキュリティグループ内の仮想マシン間のフロー

n 共有サービスを含むフロー

n 異なるセキュリティグループ間のフロー

バブルをクリックすると、仮想マシンの詳細が表示されます。詳細フロービューには、プロセス名、バージョン、各

プロセスで生成されているフローの数が表示されます。共有サービスが含まれる場合は、特別なアイコンが表示され

ます。2 個の仮想マシンバブルの間の線をクリックすると、それらの仮想マシン間のフローのプロセスフローの詳

細が表示されます。

n 送信元のプロセス：トラフィックを生成しフローを開始するアプリケーション/実行可能ファイルの名前

n 送信元のバージョン：送信元のファイルバージョン

n プロトコル：TCP

n 宛先プロセス：フローの宛先となるプロセスのサーバアプリケーション/実行可能ファイルの名前

n 宛先ポート：宛先のポート番号

[プロセスのフロー] タブ

この画面には、フローを生成しているすべてのアプリケーションのリストが表示されます。表には次の内容が表示さ

れます。

n プロセス名：トラフィックを生成しているアプリケーションの名前

n 仮想マシン名

n セキュリティグループ内のフロー：送信元または宛先が監視対象のセキュリティグループ内にある、仮想マシ


n セキュリティグループ外のフロー：送信元または宛先が監視対象のセキュリティグループ外にある、仮想マシ


n セキュリティグループ内の共有フロー：監視対象のセキュリティグループ内にある共有フロー

NSX 管理ガイド

VMware, Inc. 560

n セキュリティグループ外の共有フロー：監視対象のセキュリティグループ外にある共有フロー

バブルグラフは、選択した仮想マシン上のプロセスまたはアプリケーションで発生しているフローをアンカーとして

表します。バブルをクリックすると、プロセス名とバージョンが示されます。線をクリックすると、次の情報が表示

されます。

n 送信元仮想マシン：クライアントプロセスをホストしているクライアント仮想マシンの名前

n 送信元 IP アドレス：フローの IP アドレス

n プロトコル：TCP

n ターゲット仮想マシン：サーバプロセスをホストしているサーバ仮想マシンの名前

n 宛先 IP アドレス：宛先の IP アドレス

n 宛先ポート：宛先のポート番号

[Active Directory ユーザーフロー] タブ

この画面には、セキュリティグループ内で Active Directory に参加している、すべての仮想マシンの Active Directory ユーザーのフロー情報が表示されます。次の 3 つのテーブルがあります。

n Active Directory ユーザーテーブル：選択したセキュリティグループの仮想マシンとネットワークフローを

開始したすべてのユーザーが表示されます。

n Active Directory セッションテーブル：Active Directory ユーザーテーブルで選択したユーザーが作成し

たすべてのセッションが表示されます。ユーザーと送信元仮想マシンの IP アドレスのペアが一意のセッション

が表示されます。

n Active Directory ユーザーフローテーブル：ユーザーがセッションをクリックすると、このページが開き、

フローの詳細情報が表示されます。

トレースフロー

トレースフローは、パケットを挿入し、そのパケットが物理ネットワークおよび論理ネットワークを通過するときの

通り道を観察する機能を提供するトラブルシューティングのためのツールです。これを観察することで、ダウンして

いるノードや、パケットがターゲットに届くのを妨げているファイアウォールルールを特定するなど、ネットワーク

に関する情報を判断できます。

トレースフローについて

トレースフローは、オーバーレイネットワークおよびアンダーレイネットワークの物理エンティティや論理エンテ

ィティ（ESXi ホスト、論理スイッチ、分散論理ルーターなど）をトラバースするときに、パケットを vSphere Distributed Switch (VDS) ポートに挿入し、パケットのパスに沿ったさまざまな観測ポイントを提供します。こ

れにより、パケットが宛先に到達するまでに経由する 1 つ以上のパスを特定できます。つまり、逆にパケットが途中

でドロップされた場所を特定することができます。エンティティごとに入出力のパケット処理が報告されるため、パ

ケットの受信時に問題が発生したのか、パケットの転送時に問題が発生したのかがわかります。

NSX 管理ガイド

VMware, Inc. 561

トレースフローは、ゲスト仮想マシンのスタック間でやりとりされる ping の要求/応答と同じではないことに留意し

てください。トレースフローは、オーバーレイネットワークを経由するマーク付けされたパケットを観察します。各

パケットがオーバーレイネットワークを経由して宛先ゲスト仮想マシンに到達し、配信可能状態になるまでの様子が

観察されます。ただし、挿入されたトレースフローパケットは、実際には宛先ゲスト仮想マシンに配信されません。

これは、ゲスト仮想マシンがパワーオフの状態でもトレースフローが正常に動作することを意味します。

トレースフローでは、次のトラフィックタイプがサポートされています。

n レイヤー 2 ユニキャスト

n レイヤー 3 ユニキャスト

n レイヤー 2 ブロードキャスト

n レイヤー 2 マルチキャスト

カスタムヘッダフィールドやパケットサイズを指定してパケットを構築できます。トレースフローのソースは、常

に仮想マシンの仮想 NIC (vNIC) です。ターゲットエンドポイントは、NSX オーバーレイまたはアンダーレイの任

意のデバイスにすることができます。ただし、NSX Edge Services Gateway (ESG) のアップリンクの先にある

宛先を選択することはできません。宛先は、同じサブネット上に存在しているか、または NSX 分散論理ルーターを

経由して到達できる必要があります。

送信元 vNIC と宛先 vNIC が同じレイヤー 2 ドメイン内に存在する場合、トレースフロー操作はレイヤー 2 と見な

されます。NSX の場合、これは、VXLAN ネットワーク識別子（VNI またはセグメント ID）が同じであることを

意味します。これは、2 台の仮想マシンが同じ論理スイッチに接続されている場合などに発生します。

NSX ブリッジが設定されている場合、未知のレイヤー 2 パケットは常にブリッジに送信されます。通常、ブリッジ

はこれらのパケットを VLAN に転送し、トレースフローパケットを送信済みとして報告します。パケットが配信済

みと報告されたからといって、必ずしもトレースパケットが指定された宛先に配信されたことを意味するわけではあ

りません。

レイヤー 3 トレースフローユニキャストトラフィックの場合、2 つのエンドポイントは、別々の論理スイッチ上に

あり、異なる VNI が設定されていて、分散論理ルーター (DLR) に接続されています。

マルチキャストトラフィックの場合、送信元は仮想マシン vNIC で、宛先はマルチキャストグループアドレスにな

ります。

トレースフローの観察では、ブロードキャストされたトレースフローパケットが対象に含まれることがあります。

ESXi ホストは、宛先ホストの MAC アドレスが不明な場合にトレースフローパケットをブロードキャストします。

ブロードキャストトラフィックの場合、ソースは仮想マシン vNIC になります。ブロードキャストトラフィックの

レイヤー 2 ターゲット MAC アドレスは FF:FF:FF:FF:FF:FF です。ファイアウォール検査の有効なパケットを作

成するために、ブロードキャストトレースフロー操作では、サブネットプリフィックスの長さが必要になります。

サブネットマスクにより、NSX はパケットの IP ネットワークアドレスを計算できます。

注意：デプロイの論理ポート数によっては、マルチキャストおよびブロードキャストトレースフロー操作で大量の

トラフィックが生成される可能性があります。

トレースフローを使用する方法は、API と GUI の 2 種類があります。API は、GUI で使用される API と同じです

が、API ではパケットを詳細に設定することができます。GUI の設定はより限定的です。

NSX 管理ガイド

VMware, Inc. 562

GUI では、次の値を設定できます。

n プロトコル --- TCP、UDP、ICMP。

n 存続時間 (TTL)。デフォルトは 64 ホップです。

n TCP や UDP の送信元および宛先ポート数。デフォルト値は 0 です。

n TCP フラグ。

n ICMP ID およびシーケンス番号。どちらもデフォルトは 0 です。

n トレースフロー操作の有効期限切れタイムアウト（ミリ秒単位）。デフォルトは 10,000 ミリ秒です。

n イーサネットフレームサイズ。デフォルトは 128 バイト/フレームです。最大フレームサイズは 1000 バイ

ト/フレームです。

n ペイロードエンコード。デフォルトは Base64 です。

n ペイロード値。

トラブルシューティングのためのトレースフローの使用

トレースフローが役立つシナリオには、以下のように複数のシナリオがあります。

トレースフローは以下のシナリオで役立ちます。

n 正確なトラフィックの経由パスを確認することによるネットワーク障害のトラブルシューティング

n リンクの使用率を確認することによるパフォーマンス監視

n ネットワークが本番環境にあるときの動作を確認することよるネットワーク計画

前提条件

n トレースフローの操作には、vCenter Server、NSX Manager、NSX Controller クラスタ、およびホスト

上の netcpa ユーザーワールドエージェント間の通信が必要です。

n トレースフローを期待どおりに動作させるには、コントローラクラスタが接続され、健全な状態であることを確

認します。

手順

1 vSphere Web Client で、[ネットワークとセキュリティ (Networking & Security)] - [ツール (Tools)] - [トレースフロー (Traceflow)] の順に移動します。

2 トラフィックのタイプ（ユニキャスト、マルチキャストまたは L2 ブロードキャスト）を選択します。

3 送信元の仮想マシン vNIC を選択します。

その仮想マシンが、トレースフローの実行元と同じ vCenter Server 上で管理されている場合、リストから仮

想マシンと vNIC を選択できます。

注：論理スイッチがマルチキャストレプリケーションモードの場合、この論理スイッチに接続されている仮

想マシンはリストに表示されないため、トレースフローの送信元または宛先として選択できません。

NSX 管理ガイド

VMware, Inc. 563

4 ユニキャストトレースフローの場合、宛先 vNIC 情報を入力します。

宛先として、ホスト、仮想マシン、分散論理ルーター、Edge Services Gateway などの NSX オーバーレイ

または NSX アンダーレイ内の任意のデバイスの vNIC を指定できます。宛先が VMware Tools の実行元の

仮想マシンであり、トレースフローの実行元と同じ vCenter Server によって管理されている場合、リストか

ら仮想マシンと vNIC を選択できます。

そうでない場合、宛先 IP アドレス（さらに、ユニキャストレイヤー 2 トレースフローの場合は MAC アドレ

ス）を入力する必要があります。この情報は、デバイスコンソール、または SSH セッション内のデバイス自体

から収集できます。たとえば、このマシンが Linux 仮想マシンの場合、IP アドレスと MAC アドレスは、Linux ターミナルで ifconfig コマンドを実行することで取得できます。分散論理ルーターまたは Edge Services Gateway の場合、この情報は show interface CLI コマンドで収集できます。

5 マルチキャストトレースフローの場合、マルチキャストグループアドレスを入力します。

パケットは、MAC アドレスのみに基づいてスイッチされます。

IP パケットが有効であるためには、送信元 IP アドレスおよび宛先 IP アドレスの両方が必要です。マルチキャ

ストの場合、MAC アドレスは IP アドレスから推定されます。

6 レイヤー 2 ブロードキャストトレースフローの場合、サブネットのプリフィックスの長さを入力します。

パケットは、MAC アドレスのみに基づいてスイッチされます。宛先の MAC アドレスは FF:FF:FF:FF:FF:FF です。

IP パケットがファイアウォール検査に有効であるためには、送信元 IP アドレスおよび宛先 IP アドレスの両方

が必要です。

7 その他の必須およびオプション設定を行います。

8 [トレース (Trace)] をクリックします。

パケットキャプチャ

パケットキャプチャツールを使用すると、NSX Manager で必要なホストのパケットキャプチャセッションを作

成できます。パケットのキャプチャ後、ファイルをダウンロードできます。ホストが良好な状態でないことがダッシ

ュボードに表示されている場合、このホストのパケットをキャプチャして、さらにトラブルシューティングを行うこ


ホストの各セッションでのパケットキャプチャファイルの上限は 20 MB、キャプチャ時間の上限は 10 分です。セ

ッションは、10 分間あるいはキャプチャファイルが 20 MB または 20,000 パケットのいずれかに達するまで、

アクティブ状態を維持します（先に満たした条件が適用されます）。いずれかの上限に達すると、セッションが停止し

ます。UI では、最大で 16 個のパケットキャプチャセッションを作成できます。NSX 管理プレーンは、すべてのセ

ッションのキャプチャファイルの合計サイズを 400 MB に制限しています。パケットファイルの合計サイズ

400 MB に達すると、新しいキャプチャセッションは作成されません。ただし、以前のパケットキャプチャセッ

ションのファイルはダウンロードできます。400 MB のファイルサイズの上限に達した後に新しいセッションを開

始するには、古いセッションをクリアする必要があります。セッションが作成されてから 1 時間後に既存のセッショ

ンが削除されます。NSX を再起動すると、既存のセッションがすべてクリアされます。

NSX 仮想マシンインターフェイスはキャプチャできません。

次の手順を実行します。

NSX 管理ガイド

VMware, Inc. 564


NSX Manager パケットキャプチャセッションを作成する NSX Manager を選択し

ます。

セッションの作成新しいパケットキャプチャセッションを開始するには、[セッションの作

成 (CREATE SESSION)] をクリックします。詳細については、パケッ

トキャプチャセッションの作成を参照してください。

停止すでに開始しているセッションを選択して、[停止 (STOP)] をクリック

します。確認のダイアログボックスが表示されます。処理中の同じセッ

ションを停止するには、[はい (YES)] をクリックします。

再起動必要なセッションを選択し、[再起動 (RESTART)] をクリックします。

確認のダイアログボックスが表示されます。同じセッションをもう一度

再起動するには、[はい (YES)] をクリックします。

再起動すると、現在のセッションが削除され、キャプチャされたファイル

がクリアされます。さらに、同じ設定パラメータで新しいセッションを開

始します。

クリア必要なセッションを選択し、[クリア (CLEAR)] をクリックします。確認

のダイアログボックスが表示されます。セッションをクリアするには、

[はい (YES)] をクリックします。

すべてクリアすべてのセッションをクリアするには、[すべてクリア (CLEAR ALL)] をクリックします。確認のダイアログボックスが表示されます。表示さ

れているすべてのセッションをクリアするには、[はい (YES)] をクリッ

クします。

ダウンロード必要なセッションを選択し、[ダウンロード (DOWNLOAD)] をクリッ

クします。ダウンロードアイコンをクリックすることもできます。確認

のダイアログボックスが表示されます。キャプチャセッションをダウン

ロードするには、[はい (YES)] をクリックします。

アクティブセッションの数とファイルの合計サイズを確認できます。セッションのステータスは次のとおりです。

n 開始：セッションの完了を待機しています。

n エラー：エラーの詳細を表示するには、リンクをクリックします。

n 完了：セッションの終了後、セッションのダウンロードが可能になります。セッションを再起動またはクリアす


n 停止：セッションが強制的に停止されています。セッションを再起動またはクリアすることもできます。

パケットキャプチャセッションの作成

ホストが良好な状態でないことがダッシュボードに表示されている場合、このホストのパケットをキャプチャして、

さらにトラブルシューティングを行うことができます。

手順

1 vSphere Web Client で、[ネットワークとセキュリティ (Networking & Security)] - [ツール (Tools)] - [パケットキャプチャ (Packet Capture)] の順に移動します。

NSX 管理ガイド

VMware, Inc. 565

2 新しいパケットキャプチャセッションを作成するには、[セッションの作成 (CREATE SESSION)] をクリック

します。

[セッションの作成 (Create Session)] ウィンドウが表示されます。さらに、説明に従って必要な詳細を入力し

ます。

パラメータ説明

[全般 (General)] タブ [全般 (General)] タブはデフォルトのタブです。さらに、説明に従っ

て必要な詳細を入力します。

セッション名セッションのタイプ名。

ホスト必要なホストをリストから選択します。

アダプタ [アダプタ (Adapter)] または [フィルタ (Filter)] のいずれかを選択

できます。

選択したアダプタタイプに基づいてアダプタタイプを選択するには、

アダプタの名前を選択します。アダプタタイプを選択する場合は、[フィルタのタイプ (Filter Type)] または [フィルタモード (Filter Mode)] は選択しないでください。

dvPort は、選択したホストの [VdrPort] 専用になります。他のポー

トはサポートされていません。

フィルタのタイプ選択したホストに基づくリストからフィルタのタイプを選択します。

リストの内容は、設定済みのファイアウォールルールによって異なり

ます。

フィルタモード次のフィルタモードを選択します。

n [前 (Pre)]：フィルタの適用前にパケットをキャプチャする場合。

n [後 (Post)]: フィルタの適用後にパケットをキャプチャする場

合。

トラフィックタイプトラフィックタイプに [受信 (Incoming)] または [送信

(Outgoing)] を選択します。

仮想スイッチについて、フローの方向に基づいてパケットがキャプチ

ャされます。

[詳細 (Advanced)] タブキャプチャパケットをフィルタリングする追加オプションを設定する

には、[詳細 (Advanced)] タブをクリックして、必要な詳細を入力し

ます。

3 セッションを作成するには、[保存 (SAVE)] をクリックします。

パケットキャプチャセッションが開始されます。

結果

セッションの状態を確認できます。

次のステップ

n 完了後にキャプチャセッションをダウンロードすることも、Wireshark などのツールを使用してファイルを表

示することもできます。

n ファイルをダウンロードした後は、セッションをクリアできます。

n 処理中のセッションは、必要に応じて停止できます。

NSX 管理ガイド

VMware, Inc. 566

サポートバンドル収集ツール

NSX Manager、ホスト、Edge、コントローラなどの NSX コンポーネントのサポートバンドルデータを収集で

きます。これらのサポートバンドルは、NSX 関連の問題のトラブルシューティングで必要になります。サポートバンドルをまとめてダウンロードしたり、リモートサーバにバンドルを直接アップロードできます。データ収集の全体

的なステータスや各コンポーネントのステータスを確認できます。

また、API を使用して、バンドルの生成、ダウンロード、削除、バンドル収集のキャンセルを行うことができます。

要求されたログがすべて生成される前に NSX のサイズ制限に達すると、残りのログの生成はスキップされます。バ

ンドルは部分的なログが生成され、ローカルにダウンロードしたり、FTP でアップロードすることが可能になりま

す。スキップされたログのステータスが表示されます。

新しいログ収集要求を行うと、古いバンドルが削除されます。バンドルがリモートサーバにアップロードされた後、

バンドルが削除されます。あるいは、ログの生成処理がキャンセルされます。

注：集計されたサポートバンドルでは、ノード（NSX Manager、NSX Edge、ホスト、NSX Controller を含

む）の最大数は 200 台以下にする必要があります。

コンポーネントとログタイプ

コンポーネントログタイプログ

NSX Manager 該当なし NSX Manager のログ

ホスト該当なし n VMkernel のログ

n vsfwd ログ

n netcpa のログ

n Syslog

n 全般的なシステム情報

ホストゲストイントロスペクション n ゲストイントロスペクションホストモジ

ュール (MUX)

n ゲストイントロスペクションサービス仮

想マシン

ホストファイアウォール n vsfwd ログ

n netcpa のログ

NSX Edge 該当なし選択した Edge の Edge ログ

NSX Controller 該当なし選択したコントローラのコントローラログ

次のログは収集されません。

n vSphere ESX Agent Manager (EAM) のログ

n 仮想マシンゲストログ

注：サポートバンドルには、ホストの問題のトラブルシューティングで必要になるホストログファイルがすべて

含まれるわけではありません。完全なホストのログを収集するには、vCenter Server を使用します。vSphere ログファイルの収集方法については、『vSphere 監視とパフォーマンス』を参照してください。

NSX 管理ガイド

VMware, Inc. 567

ユーザーロールと権限

ユーザーロール許可される操作

NSX Administrator すべて

Security Administrator すべて

Enterprise Administrator すべて

監査ステータスの表示とバンドルのダウンロード

サポートバンドルの作成

NSX コンポーネントのデータをバンドルとして収集できます。NSX の問題のトラブルシューティングで、

VMware のテクニカルサポートにバンドルを提供できます。データ収集のステータスを確認し、バンドルをダウン

ロードしたり、構成済みのリモートサーバからバンドルを収集できます。

前提条件

この機能を使用するには、NSX 6.4.0 以降が必要です。

手順

1 vSphere Web Client で、[ネットワークとセキュリティ (Networking & Security)] - [ツール (Tools)] - [サポートバンドル (Support Bundle)] の順に移動します。

2 リストから必要な NSX Manager を選択します。

3 次のように、サポートログに含めるコンポーネントを選択します。

a NSX Manager ログを含めるには、[NSX Manager のログを含める (Include NSX Manager logs)] チェックボックスを選択します。

b 必要なオブジェクトタイプをリストから選択します。[ホスト (Hosts)]、[Edge (Edges)]、[コントロー

ラ (Controllers)] を選択できます。

c 選択したオブジェクトタイプに基づき、使用可能なコンポーネントが [使用可能なオブジェクト

(Available Objects)] 列に表示されます。

n ログに含めるコンポーネントの横にあるチェックボックスを選択し、矢印キー ( ) をクリックして、

コンポーネントを [選択したオブジェクト (Selected Objects)] リストに移動します。

n 選択したオブジェクトを削除するには、削除するコンポーネントの横にあるチェックボックスを選択

し、矢印キー ( ) をクリックして、コンポーネントを [使用可能なオブジェクト (Available Objects)] リストに移動します。

d [ホスト (Hosts)] では、追加のログオプションとして [ゲストイントロスペクション (Guest Introspection)] と [ファイアウォール (Firewall)] を選択できます。

4 選択したオブジェクトごとに、リストからバンドル収集プロセスのデフォルトのタイムアウト（分）を設定しま

す。

NSX 管理ガイド

VMware, Inc. 568

5 [リセット (RESET)] をクリックしてすべての選択を消去し、もう一度開始します。

注：サポートバンドルをダウンロードするか、リモートサーバにアップロードできます。バンドルをリモー

トサーバにアップロードしない場合、生成後にバンドルがダウンロード可能になります。

6 バンドルをリモートサーバにアップロードするには、次の手順を行います。

a [リモートファイルサーバにサポートバンドルをアップロード (Upload support bundle to remote file server)] チェックボックスを選択します。

b 転送プロトコルとして、[SFTP] または[FTP] サーバを選択します。

c 次のように、サーバの詳細を入力します。

n [ホスト名/IP アドレス (Hostname/IP)]：リモートサーバのホスト名または IP アドレスを入力しま

す。

n [ユーザー名 (Username)] と [パスワード (Password)]：リモートサーバのユーザー名とパスワード


n [ポート (Port)]：デフォルトでは、ポート番号が追加されています。必要に応じてポート番号を変更で

きます。番号を変更するには、矢印キーをクリックします。

n [バックアップディレクトリ (Backup Directory)]：バックアップディレクトリの名前を入力します。

7 [バンドルの収集を開始 (Start Bundle Collection)] をクリックします。

結果

バンドルの詳細を表示するには、[バンドルの詳細を表示 (View Bundle Details)] リンクをクリックします。

全体の進行状況 (%) と各コンポーネントのステータスを確認できます。リモートサーバにアップロードされるバン

ドルの進行状況 (%) を確認できます。次のようなステータスが表示されます。

n [保留中 (Pending)]：プロセスの開始を待機しています。

n [処理中 (In Progress)]：進行中のプロセスが完了するまでの状態です。

n [スキップされました (Skipped)]：ディスク容量が制限されていると、このステータスが表示される場合があり

ます。一部のログを使用したバンドルが生成されます。バンドルはローカルにダウンロード可能になるか、リモ

ートサーバにアップロードされます。スキップされたログのステータスが表示されます。

n [失敗 (Failed)]：接続の問題やタイムアウトエラーなど、さまざまな理由でログの収集に失敗しています。[新たに開始 (START NEW)] をクリックして、もう一度データ収集を開始します。

n [完了 (Completed)]：バンドルをダウンロードしたり、リモートサーバで確認できます。

n [中止 (Aborted)]：バンドルの生成プロセスがキャンセルされています。

n [一部完了 (Partially Completed)]：ログが部分的に収集されます。

次のタスクのいずれかの後にバンドルが削除されます。

n バンドルがリモートサーバにアップロードされた。

n 新しいログ収集要求を開始した。

NSX 管理ガイド

VMware, Inc. 569

次のステップ

n 生成後にサポートバンドルのダウンロードできます。あるいは、構成済みのリモートサーバにアップロードさ

れたファイル名を確認できます。

n [新たに開始 (START NEW)] をクリックして、もう一度データ収集を開始します。確認のダイアログボックス

が表示されます。[はい (Yes)] をクリックして、新しいデータ生成要求を開始します。

サポートバンドルのダウンロード

データ収集プロセスが完了したら、サポートバンドルをダウンロードできます。

前提条件

データ収集プロセスが 100% 完了します。

手順

1 [サポートバンドル (Support Bundle)] ページに移動します。

2 [ダウンロード (DOWNLOAD)] をクリックします。

3 ファイル名が tar.gz で終わるサポートバンドルがデフォルトのダウンロードフォルダにダウンロードされま

す。一部のブラウザでファイル拡張子が変更される場合があります。

たとえば、サポートバンドルのファイル名は、VMware-NSX-TechSupport-Bundle-YYYY-MM-DD_HH-MM-SS.tar.gz のようなになります。

4 [サポートバンドルを削除 (DELETE SUPPORT BUNDLE)] リンクをクリックします。


5 [はい (Yes)] をクリックします。この要求で生成されたログファイルが削除されます。

次のステップ

ダウンロードしたサポートバンドルを VMware テクニカルサポートを提供します。

サポートバンドル生成プロセスのキャンセル

処理中または保留中のサポートバンドルデータ収集プロセスをキャンセルできます。プロセスをキャンセルした後

にサポートバンドルを削除する必要があります。

前提条件

サポートバンドルの生成中であること。

手順

1 [サポートバンドル (Support Bundle)] ページに移動します。

2 ログの生成中の場合、プロセスをキャンセルできます。[生成の中止 (ABORT GENERATION)] をクリックし

ます。


NSX 管理ガイド

VMware, Inc. 570

3 [OK] をクリックして、プロセスをキャンセルします。

[サポートバンドル (Support Bundle)] ページで、データ収集が [中止 (Aborted)] として表示されます。

4 [サポートバンドルを削除 (DELETE SUPPORT BUNDLE)] リンクをクリックします。


5 [はい (Yes)] をクリックします。この要求で生成されたログファイルが削除されます。

結果

サポートバンドルのデータ収集プロセスがキャンセルされます。

次のステップ

[新たに開始 (START NEW)] をクリックして、もう一度データ収集を開始します。確認のダイアログボックスが表

示されます。[はい (Yes)] をクリックして、新しいデータ生成を開始します。

NSX 管理ガイド

VMware, Inc. 571

Cross-vCenter NSX でのディザスタリカバリのシナリオ 24ACME Enterprise 社では、米国で 2 つのプライベートデータセンターサイトを所有しています。1 つはパロアル

ト、もう 1 つはオースティンにあります。パロアルトのサイトで、予定のメンテナンスが実施されたり、予期しない

障害が発生すると、すべてのアプリケーションがオースティンのサイトにリカバリされます。

ACME Enterprise 社では現在、このディザスタリカバリが従来型の方法で実施されています。次の作業は手動で

行われています。

n IP アドレスの再マッピング

n セキュリティポリシーの同期

n DNS、セキュリティポリシー、他のサービスなど、アプリケーションの IP アドレスを使用するサービスの更新

この従来型のディザスタリカバリでは、オースティンのサイトでリカバリを 100% 完了するまで、かなり時間がか

かります。ダウンタイムを最小限に抑え、ディザスタリカバリを高速で行うため、ACME Enterprise 社は、次の

論理トポロジ図に示すように、Cross-vCenter 環境に NSX Data Center 6.4.5 以降を導入することにしました。

VMware, Inc. 572

図 24-1. アクティブ/パッシブモードでのマルチサイト Cross-vCenter NSX トポロジと Local Egress の無効

化

ESG（アクティブ）


クラスタ

サイト 1（プライマリ）物理

ルーター

サイト 2（セカンダリ）

ユニバーサル分散論理ルーター (UDLR)


BGP ピアリング

BGP ピアリング

BGP ピアリング

BGP ピアリング

vCenterServer 1

NSXManager 1プライマリ

WAN

DLRESG

（パッシブ）


クラスタ

BGP ピアリング

BGP ピアリング

BGP ピアリング

BGP ピアリング

vCenterServer 2

NSXManager 2セカンダリ

ユニバーサル論理スイッチで中継

ローカルストレージローカルストレージ

共有ストレージ

VMware ESXi VMware ESXi

ESXi ホスト ESXi ホスト


ユニバーサル分散ファイアウォール (UDFW)

管理クラスタ

Edge クラスタ

コンピューティングクラスタ

VMware ESXiVMware ESXi

ESXi ホスト ESXi ホスト

管理クラスタ

Edge クラスタ

コンピューティングクラスタ




物理ルーター

NSX 管理ガイド

VMware, Inc. 573

このトポロジーでは、パロアルトのサイト 1 がプライマリ（保護）データセンターで、オースティンのサイト 2 がセ

カンダリ（リカバリ）データセンターです。各サイトには、独自の NSX Manager とペアになっている単一の

vCenter Server があります。サイト 1（パロアルト）の NSX Manager にはプライマリ NSX Manager のロー

ルが割り当てられ、サイト 2（オースティン）の NSX Manager には、セカンダリ NSX Manager のロールが割

り当てられています。

ACME Enterprise 社では、両方のサイト間にアクティブ/パッシブモードで Cross-vCenter NSX を展開してい

ます。パロアルトのサイト 1 ですべてのアプリケーション（ワークロード）が実行され、オースティンのサイト 2 で実行されているアプリケーションはありません。つまり、デフォルトでは、サイト 2 はパッシブまたはスタンバイモードになっています。

両方のサイトのローカルに独自のコンピューティングクラスタ、Edge クラスタ、管理クラスタ、ESG があります。

ユニバーサル分散論理ルーターで Local Egress が無効になっているため、プライマリサイトに展開されているの

はユニバーサル分散論理ルーター制御仮想マシンは 1 台だけになります。ユニバーサル分散論理ルーター制御仮想

マシンは、ユニバーサル中継論理スイッチに接続されています。

NSX 管理者が、サイト 1 とサイト 2 で 2 つの vCenter Server ドメインにまたがるユニバーサルオブジェクトを

作成します。ユニバーサル論理ネットワークでは、ユニバーサル論理スイッチ (ULS)、ユニバーサル分散論理ルータ

ー (UDLR)、ユニバーサル分散ファイアウォール (UDFW) などのユニバーサルネットワークとセキュリティオブ

ジェクトが使用されています。

管理者がサイト 1 で次の設定タスクを行います。

n プライマリ NSX Manager からユニバーサルトランスポートゾーンを作成します。

n 3 台のコントローラノードを含むユニバーサルコントローラクラスタを展開します。

n プライマリ NSX Manager からユニバーサルトランスポートゾーンにローカルのコンピューティングクラス

タ、Edge クラスタ、管理クラスタを追加します。

n ユニバーサル分散論理ルーターの制御仮想マシン（Edge アプライアンスの仮想マシン）で、Local Egress を無効にし、ECMP を有効にします。さらに、グレースフルリスタートを有効にします。

n Edge Services Gateway (ESG) とユニバーサル分散論理ルーターの制御仮想マシンの間で BGP による動

的ルーティングを設定します。

n 両方の ESG で ECMP を無効にし、グレースフルリスタートを有効にします。

n ユニバーサル分散論理ルーターの制御仮想マシンで ECMP を有効にして、すべてのトラフィックを許可するた

め、両方の ESG でファイアウォールを無効にします。

以下の図に、サイト 1 の ESG とユニバーサル分散論理ルーターでのアップリンクインターフェイスとダウンリンク

インターフェイスの設定例を示します。

NSX 管理ガイド

VMware, Inc. 574

図 24-2. サイト 1：インターフェイスの設定例

ESG（アクティブ）

サイト 1

172.16.2.1/24

172.16.1.1/24

172.16.1.2/24

192.168.1.1/24 192.168.1.2/24

192.168.1.3/24

172.16.1.3/24

ユニバーサル分散論理ルーター (UDLR)

物理ルーター

ユニバーサル論理スイッチで中継

管理者がサイト 2 で次の設定タスクを行います。

n セカンダリ NSX Manager からユニバーサルトランスポートゾーンにローカルのコンピュートクラスタ、

Edge クラスタ、管理クラスタを追加します。

n サイト 1 の ESG で設定されたとおりに、ESG で同様のダウンリンクインターフェイスを指定します。

n サイト 1 の ESG で設定されたとおりに、ESG で同様の BGP 構成を指定します。

n サイト 1 がアクティブになっている場合、セカンダリサイトの ESG をパワーオフします。

それでは、次のシナリオで NSX 管理者がディザスタリカバリを行う手順をみてみましょう。

n シナリオ 1：サイト 1 全体の停止（予定のメンテナンス）

NSX 管理ガイド

VMware, Inc. 575

n シナリオ 2：サイト 1 全体の停止（予期しない障害）

n シナリオ 3：サイト 1 全体のフェイルバック


n シナリオ 1：サイト全体の停止（予定のメンテナンス）

n シナリオ 2：サイト全体の停止（予期しない障害）

n シナリオ 3：プライマリサイトへの完全なフェイルバック

シナリオ 1：サイト全体の停止（予定のメンテナンス）

このシナリオでは、NSX 管理者が、サイト 1 のネットワークインフラストラクチャに計画されたメンテナンスを実

施します。スケジュール設定されたメンテナンスウィンドウで、管理者はサイト 1 をシャットダウンし、セカンダリ

サイト 2 にフェイルオーバーします。

NSX 管理者の主な達成目標は次のとおりです。

n サイト 2 で、サイト全体のフェイルオーバーを最小限のダウンタイムで行う。

n フェイルオーバー後も、サイト 2 でサイト 1 のアプリケーションの IP アドレスを維持する。

n サイト 2 で、すべての Edge インターフェイスの設定と BGP プロトコルの設定を自動的に復旧する。

注： n 管理者は、vSphere Web Client を使用するか、NSX REST API を実行して、フェイルオーバータスクを手

動で実行できます。また、フェイルオーバー中に実行される API を含むスクリプトファイルを実行して、いく

つかのフェイルオーバータスクを自動化できます。このシナリオでは、vSphere Web Client を使用してフェ

イルオーバーを手動で行う手順について説明します。CLI または NSX REST API のいずれかが必要になる場

合には、適切な手順を説明します。

n このシナリオで使用するディザスタリカバリのワークフローは、以前に説明したトポロジに固有のものです。こ

のトポロジは、プライマリ NSX Manager と 1 つのセカンダリ NSX Manager から構成されています。複数

のセカンダリ NSX Manager を使用するワークフローは、このシナリオの範囲外です。

重要：セカンダリサイト 2 へのフェイルオーバーの進行中か、部分的に完了している場合は、サイト 1 で NSX Manager をパワーオンして、プライマリサイト 1 へのフェイルバックを行わないでください。まず、このシナリオ

の手順に従って、フェイルオーバープロセスが完了していることを確認します。セカンダリサイト 2 へのフェイル

オーバーが正常に完了している場合にのみ、すべてのワークロードを元のプライマリサイト 1 にリストアまたはフェ

イルバックします。フェイルバックプロセスの詳しい手順については、シナリオ 3：プライマリサイトへの完全な

フェイルバックを参照してください。

前提条件

n サイト 1 とサイト 2 の両方に NSX Data Center 6.4.5 以降がインストールされている。

n サイト 1 とサイト 2 の vCenter Server が拡張リンクモードで展開されている。

NSX 管理ガイド

VMware, Inc. 576

n サイト 1 とサイト 2 が次の条件を満たしている。

n NSX 以外のファイアウォールが存在する場合、そのファイアウォールにアプリケーション固有のセキュリ

ティポリシーが設定されていない。

n NSX 以外のファイアウォールが存在する場合、そのファイアウォールにアプリケーション固有のファイア

ウォールルールが設定されていない。

n ユニバーサル分散論理ルーターで ECMP を有効にして、すべてのトラフィックを許可するため、両方の

ESG でファイアウォールが無効になっている。

n サイト 2 で、フェイルオーバー前に次の条件を満たしている。

n サイト 1 の構成と同じように、ESG で類似のダウンリンクインターフェイスが手動で設定されている。

n サイト 1 の設定と同じように、ESG で類似の BGP 設定が手動で行われている。

n プライマリサイト 1 がアクティブまたは実行中の場合に、ESG がパワーダウン状態になっている。

手順

1 予定日にサイト 1 をシャットダウンします。

a プライマリ NSX Manager をパワーオフします。プライマリ NSX Manager に関連付けられている 3 台のコントローラノードもすべてパワーオフします。

b [インストールとアップグレード] ページで、[管理 (Management)] - [NSX Manager (NSX Managers)] の順に移動します。

n 現在のブラウザセッションで [NSX Manager] ウィンドウを更新すると、プライマリ NSX Manager のロールが Unknown に変わります。

n vSphere Web Client からログアウトして再度ログインする場合や、新しい vSphere Web Client ブラウザセッションを開始する場合、[NSX Manager] ウィンドウにプライマリ NSX Manager が表示されなくなります。

c [ネットワークとセキュリティ (Networking & Security)] - [ダッシュボード (Dashboard)] - [概要

(Overview)] の順にクリックします。

n 現在のブラウザセッションで [ダッシュボード] ウィンドウを更新すると、次のエラーメッセージが表

示されます。「NSX Manager と接続を確立できません。管理者に連絡してください。。このエラーは、プライ

マリ NSX Manager が到達可能ではないことを意味します。

n vSphere Web Client からログアウトして再度ログインする場合や、新しい vSphere Web Client ブラウザセッションを開始する場合、[NSX Manager] ドロップダウンメニューでプライマリ NSX Manager を選択できなくなります。

d [ネットワークとセキュリティ (Networking & Security)] - [インストールとアップグレード

(Installation and Upgrade)] - [管理 (Management)] - [NSX Controller ノード (NSX Controller Nodes)] の順に移動します。セカンダリ NSX Manager を選択して、3 台のコントローラノードのステ

ータスがすべて「切断」になっていることを確認します。

e すべての NSX Edge とユニバーサル分散論理ルーター (UDLR) 制御仮想マシンをパワーオフします。

NSX 管理ガイド

VMware, Inc. 577

2 セカンダリ NSX Manager をプライマリロールに昇格させます。

a [インストールとアップグレード] ページで、[管理 (Management)] - [NSX Manager (NSX Managers)] の順に移動します。

b セカンダリ NSX Manager を選択します。

c [アクション (Actions)] - [プライマリ NSX Manager から接続解除 (Disconnect from Primary NSX Manager)] の順にクリックします。切断操作の続行を確認するメッセージが表示されたら、[はい (Yes)] をクリックします。

セカンダリ NSX Manager がプライマリ NSX Manager から切断され、移行ロールに切り替わります。

d [アクション (Actions)] - [プライマリロールの割り当て (Assign Primary Role)] の順にクリックしま

す。

サイト 2 のセカンダリ NSX Manager がプライマリロールに昇格します。

注意：ユニバーサル分散論理ルーターで Local Egress が無効になっているため、ユニバーサル分散論理ルー

ターの制御仮想マシン（Edge アプライアンスの仮想マシン）は元のプライマリサイト（サイト 1）にのみ展開

されます。サイト 1 で障害が発生するまで、ユニバーサル分散論理ルーターの制御仮想マシンはセカンダリサイ

ト（サイト 2）で使用できません。このサイトはプライマリに昇格しています。このため、NSX Controller クラスタを再展開する前に、昇格したプライマリサイト（サイト 2）でユニバーサル分散論理ルーターの制御仮想

マシンを再展開します。

ユニバーサル分散論理ルーターの制御仮想マシンを展開する前にコントローラノードが展開されている場合、ユ

ニバーサル分散論理ルーターのフォワーディングテーブルがフラッシュされます。このため、最初のコントロー

ラノードがサイト 2 に展開された直後にダウンタイムが発生します。さらに、通信が停止する可能性がありま

す。この状況を回避するには、NSX Controller ノードを展開する前にユニバーサル分散論理ルーターの制御仮

想マシンを展開します。

3 パワーダウン状態の NSX Edge をパワーオンして、セカンダリサイト 2（昇格したプライマリ）でユニバーサ

ル分散論理ルーターの制御仮想マシン（Edge アプライアンスの仮想マシン）を展開します。

ユニバーサル分散論理ルーターの制御仮想マシンの展開手順については、『 NSXCross-vCenter インストール

ガイド』を参照してください。

ユニバーサル分散論理ルーターの制御仮想マシンを展開するときに、次のリソース設定を行います。

n データセンターにサイト 2 を選択します。

n クラスタ/リソースプールを選択します。

n データストアを選択します。

注：ユニバーサル分散論理ルーターの制御仮想マシンを展開すると、サイト 2 で次の設定が自動的にリカバリ

されます。

n BGP プロトコルのルーティング設定

n BGP パスワードの設定

n アップリンクと内部インターフェイスの設定

NSX 管理ガイド

VMware, Inc. 578

4 サイト 2（昇格したプライマリ）に 3 台の NSX Controller クラスタノードを展開します。

NSX Controller の展開手順については、『NSX Cross-vCenter インストールガイド』を参照してください。

5 NSX Controller クラスタの状態を更新します。

a [インストールとアップグレード] ページで、[NSX Manager (NSX Managers)] をクリックします。

b 昇格したプライマリ NSX Manager を選択します。

c [アクション (Actions)] - [コントローラ状態の更新 (Update Controller State)] の順に選択します。

6 サイト 2 で、各クラスタでのルーティングサービスを強制的に同期します。

a [インストールとアップグレード] 画面で、[ホストの準備 (Host Preparation)] をクリックします。


c 一度に 1 つのクラスタを選択し、[アクション (Actions)] - [サービスの強制同期 (Force Sync Services)] の順にクリックします。

d [ルーティング (Routing)] を選択して、[OK] をクリックします。

7 サイト 1 からサイト 2 にワークロード仮想マシンを移行します。

注：ワークロード仮想マシンは引き続きサイト 1 に存在します。このため、ワークロード仮想マシンをサイト

2 に手動で移行する必要があります。

結果

NSX のコンポーネントの手動リカバリと、プライマリサイト（サイト 1）からセカンダリサイト（サイト 2）への

フェイルオーバーが完了します。

次のステップ

サイト 2（昇格したプライマリサイト）で次の操作を行い、サイト 2 へのフェイルオーバーが 100% 完了している

かどうか確認します。

1 NSX Manager がプライマリロールを持っているかどうか確認します。

2 ユニバーサル分散論理ルーターに制御仮想マシン（Edge アプライアンスの仮想マシン）が展開されているかど

うか確認します。

3 すべてのコントローラクラスタノードのステータスが「接続中」になっているかどうか確認します。

4 ホストの準備のステータスが緑色になっているかどうか確認します。

5 ユニバーサル分散論理ルーターの制御仮想マシン（Edge アプライアンスの仮想マシン）の CLI コンソールにロ

グインして、次の操作を行います。

a show ip bgp neighbors コマンドを実行して、すべての BGP ネイバーが確立され、ステータスが UP になっているかどうか確認します。

b show ip route bgp コマンドを実行して、すべての BGP ルートがすべての BGP ネイバーから学習さ

れているかどうか確認します。

NSX 管理ガイド

VMware, Inc. 579

サイト 2 へのフェイルオーバーが完了すると、セカンダリサイト（昇格したプライマリ）ですべてのワークロード

が実行され、サイト 2 のユニバーサル分散論理ルーターと NSX Edge を介してトラフィックがルーティングされま

す。

スケジュールされたメンテナンスが完了したら、管理者がプライマリサイト 1 で NSX Manager とコントローラ

クラスタノードをパワーオンして、元のプライマリサイト 1 にすべてのワークロードをリストアします。プライマ

リサイトへの手動フェイルバックの詳細については、シナリオ 3：プライマリサイトへの完全なフェイルバックを


シナリオ 2：サイト全体の停止（予期しない障害）

このシナリオでは、パロアルトにあるプライマリサイト 1 が自然災害に遭い、サイト 1 が完全に停止した場合につい

て考えます。NSX 管理者が、オースティンにあるセカンダリサイト 2 へのフェイルオーバーを手動で行います。

プライマリサイトが予期しない状況で突然停止したため、管理者は、障害の発生前にフェイルオーバーの準備を行う

ことができません。


n サイト 2 で、サイト全体のフェイルオーバーを最小限のダウンタイムで行う。

n フェイルオーバー後も、サイト 2 でサイト 1 のアプリケーションの IP アドレスを維持する。


注： n 管理者は、vSphere Web Client を使用するか、NSX REST API を実行して、フェイルオーバータスクを手

動で実行できます。また、フェイルオーバー中に実行される API を含むスクリプトファイルを実行して、いく

つかのフェイルオーバータスクを自動化できます。このシナリオでは、vSphere Web Client を使用してフェ

イルオーバーを手動で行う手順について説明します。CLI または NSX REST API のいずれかが必要になる場

合には、適切な手順を説明します。




重要：セカンダリサイト 2 へのフェイルオーバーの進行中にプライマリサイト 1 がパワーオンされた場合は、こ

のシナリオの手順に従って、フェイルオーバープロセスが完了していることを確認します。セカンダリサイト 2 へのフェイルオーバーが正常に完了している場合にのみ、すべてのワークロードを元のプライマリサイト 1 にリストア

またはフェイルバックします。フェイルバックプロセスの詳しい手順については、シナリオ 3：プライマリサイト

への完全なフェイルバックを参照してください。

前提条件



NSX 管理ガイド

VMware, Inc. 580








n サイト 2 で、フェイルオーバー前に次の条件を満たしている。

n サイト 1 の構成と同じように、ESG で類似のダウンリンクインターフェイスが手動で設定されている。

n サイト 1 の設定と同じように、ESG で類似の BGP 設定が手動で行われている。

n プライマリサイト 1 がアクティブまたは実行中の場合に、ESG がパワーダウン状態になっている。

手順

1 サイト 1 のプライマリ NSX Manager が停止していることを確認します。


n 現在のブラウザセッションで [NSX Manager] ウィンドウを更新すると、プライマリ NSX Manager のロールが Unknown に変わります。

n vSphere Web Client からログアウトして再度ログインする場合や、新しい vSphere Web Client ブラウザセッションを開始する場合、[NSX Manager] ウィンドウにプライマリ NSX Manager が表示されなくなります。

b [ネットワークとセキュリティ (Networking & Security)] - [ダッシュボード (Dashboard)] - [概要


n 現在のブラウザセッションで [ダッシュボード] ウィンドウを更新すると、次のエラーメッセージが表

示されます。「NSX Manager と接続を確立できません。管理者に連絡してください。。このエラーは、プライ

マリ NSX Manager が到達可能ではないことを意味します。

n vSphere Web Client からログアウトして再度ログインする場合や、新しい vSphere Web Client ブラウザセッションを開始する場合、[NSX Manager] ドロップダウンメニューでプライマリ NSX Manager を選択できなくなります。

2 セカンダリ NSX Manager をプライマリロールに昇格させます。


b セカンダリ NSX Manager を選択します。

NSX 管理ガイド

VMware, Inc. 581

c [アクション (Actions)] - [プライマリ NSX Manager から接続解除 (Disconnect from Primary NSX Manager)] の順にクリックします。切断操作の続行を確認するメッセージが表示されたら、[はい (Yes)] をクリックします。

セカンダリ NSX Manager がプライマリ NSX Manager から切断され、移行ロールに切り替わります。

d [アクション (Actions)] - [プライマリロールの割り当て (Assign Primary Role)] の順にクリックしま

す。

サイト 2 のセカンダリ NSX Manager がプライマリロールに昇格します。

注意：ユニバーサル分散論理ルーターで Local Egress が無効になっているため、ユニバーサル分散論理ルー

ターの制御仮想マシン（Edge アプライアンスの仮想マシン）は元のプライマリサイト（サイト 1）にのみ展開

されます。サイト 1 で障害が発生するまで、ユニバーサル分散論理ルーターの制御仮想マシンはセカンダリサイ

ト（サイト 2）で使用できません。このサイトはプライマリに昇格しています。このため、NSX Controller クラスタを再展開する前に、昇格したプライマリサイト（サイト 2）でユニバーサル分散論理ルーターの制御仮想

マシンを再展開します。

ユニバーサル分散論理ルーターの制御仮想マシンを展開する前にコントローラノードが展開されている場合、ユ

ニバーサル分散論理ルーターのフォワーディングテーブルがフラッシュされます。このため、最初のコントロー

ラノードがサイト 2 に展開された直後にダウンタイムが発生します。さらに、通信が停止する可能性がありま

す。この状況を回避するには、NSX Controller ノードを展開する前にユニバーサル分散論理ルーターの制御仮

想マシンを展開します。

3 パワーダウン状態の NSX Edge をパワーオンして、セカンダリサイト 2（昇格したプライマリ）でユニバーサ

ル分散論理ルーターの制御仮想マシン（Edge アプライアンスの仮想マシン）を展開します。

ユニバーサル分散論理ルーターの制御仮想マシンの展開手順については、『 NSXCross-vCenter インストール

ガイド』を参照してください。

ユニバーサル分散論理ルーターの制御仮想マシンを展開するときに、次のリソース設定を行います。

n データセンターにサイト 2 を選択します。

n クラスタ/リソースプールを選択します。

n データストアを選択します。

注：ユニバーサル分散論理ルーターの制御仮想マシンを展開すると、サイト 2 で次の設定が自動的にリカバリ

されます。

n BGP プロトコルのルーティング設定

n BGP パスワードの設定

n アップリンクと内部インターフェイスの設定

4 サイト 2（昇格したプライマリ）に 3 台の NSX Controller クラスタノードを展開します。

NSX Controller の展開手順については、『NSX Cross-vCenter インストールガイド』を参照してください。

NSX 管理ガイド

VMware, Inc. 582

5 NSX Controller クラスタの状態を更新します。

a [インストールとアップグレード] ページで、[NSX Manager (NSX Managers)] をクリックします。



6 サイト 2 で、各クラスタでのルーティングサービスを強制的に同期します。

a [インストールとアップグレード] 画面で、[ホストの準備 (Host Preparation)] をクリックします。


c 一度に 1 つのクラスタを選択し、[アクション (Actions)] - [サービスの強制同期 (Force Sync Services)] の順にクリックします。

d [ルーティング (Routing)] を選択して、[OK] をクリックします。




結果

NSX のコンポーネントの手動リカバリと、プライマリサイト（サイト 1）からセカンダリサイト（サイト 2）への

フェイルオーバーが完了します。

次のステップ

サイト 2（昇格したプライマリサイト）で次の操作を行い、サイト 2 へのフェイルオーバーが 100% 完了している

かどうか確認します。





4 ホストの準備のステータスが緑色になっているかどうか確認します。






サイト 2 へのフェイルオーバーが完了すると、セカンダリサイト（昇格したプライマリ）ですべてのワークロード

が実行され、サイト 2 のユニバーサル分散論理ルーターと NSX Edge を介してトラフィックがルーティングされま

す。

NSX 管理ガイド

VMware, Inc. 583

シナリオ 3：プライマリサイトへの完全なフェイルバック

このシナリオでは、計画されたメンテナンスまたは突然の電源障害でプライマリサイト 1 が停止した場合について考

えてみます。すべてのワークロードがセカンダリサイト 2（昇格したプライマリサイト）で実行され、トラフィッ

クがサイト 2 のユニバーサル分散論理ルーターと NSX Edge 経由でルーティングされます。元のプライマリサイ

ト 1 が再起動した後、NSX 管理者が NSX コンポーネントを復旧し、すべてのワークロードを元のプライマリサイ

ト 1 にリストアします。


n 最小限のダウンタイムで、サイト 2 から元のプライマリサイト 1 にすべてのワークロードを完全にフェイルバ

ックする。

n サイト 1 へのフェイルバック後もアプリケーションの IP アドレスを維持する。


注： n 管理者は、vSphere Web Client を使用するか、NSX REST API を実行して、フェイルバックタスクを手動

で実行できます。また、フェイルバック中に実行される API を含むスクリプトファイルを実行して、いくつか

のフェイルバックタスクを自動化できます。このシナリオでは、vSphere Web Client を使用してフェイルバ

ックを手動で行う手順について説明します。CLI または NSX REST API のいずれかが必要になる場合には、適

切な手順を説明します。




前提条件










n サイト 2（プライマリに昇格）で、フェイルバックプロセスの前にユニバーサル論理スイッチが変更されていな

い。

NSX 管理ガイド

VMware, Inc. 584

手順

1 プライマリサイト 1 が再起動したら、NSX Manager とコントローラクラスタノードがパワーオンされ、実

行中であることを確認します。

a [ネットワークとセキュリティ (Networking & Security)] - [ダッシュボード (Dashboard)] - [概要


b ドロップダウンメニューからプライマリ NSX Manager を選択します。

c [システムの概要] ペインで、NSX Manager とコントローラクラスタノードのステータスを確認します。

NSX Manager とコントローラノードの横にある緑色のドットは、両方の NSX コンポーネントがパワー

オンされ、実行されていることを意味します。

2 フェイルバックプロセスを開始する前に、次のことを確認します。

a [インストールとアップグレード] ページで、[管理 (Management)] - [NSX Manager (NSX Managers)] の順に移動し、両方のサイトの NSX Manager にプライマリロールがあることを確認しま

す。

b [NSX Controller ノード] ページで、両方のサイトにユニバーサルコントローラクラスタ (UCC) ノード

が存在することを確認します。

3 サイト 2（昇格したプライマリ）に関連付けられた 3 台の UCC ノードをすべてシャットダウンします。

4 [NSX Controller ノード] ページで、サイト 2（昇格したプライマリ）に関連付けられた 3 台の UCC ノード

をすべて削除します。

ヒント: NSX REST API を使用すると、コントローラノードを 1 台ずつ削除できます。この操作を行うには、

https://NSX_Manager_IP/api/2.0/vdn/controller/{controllerID} API 呼び出しを実行します。ただ

し、最後のコントローラノードを強制的に削除するには、 https://NSX_Manager_IP/api/2.0/vdn/

controller/{controllerID}?forceRemoval=true API 呼び出しを実行します。

5 次の手順に進む前に、サイト 2（昇格したプライマリ）でユニバーサルコンポーネントが変更されていないこと

を確認します。

6 サイト 2（昇格したプライマリ）の NSX Manager でプライマリロールを削除します。


b サイト 2 の NSX Manager を選択して、[アクション (Actions)] - [プライマリロールの削除 (Remove Primary Role)] の順に選択します。

メッセージが表示され、プライマリロールを削除する前にサイト 2 の NSX Manager が所有するコント

ローラが削除されていることを確認するように求められます。

c [はい (Yes)] をクリックします。

サイト 2 の NSX Manager が移行ロールに切り替わります。

NSX 管理ガイド

VMware, Inc. 585

7 サイト 1 のプライマリ NSX Manager で、関連するセカンダリ NSX Manager を削除します。

a [NSX Manager] 画面で、サイト 1 に関連付けられている NSX Manager を選択します。

b [アクション (Actions)] - [セカンダリ NSX Manager の削除 (Remove Secondary Manager)] の順

にクリックします。

c [NSX Manager にアクセスできない場合でも操作を実行 (Perform Operation even if NSX Manager is inaccessible)] チェックボックスを選択します。

d [削除 (Remove)] をクリックします。

8 サイト 1 のプライマリ NSX Manager のセカンダリとしてサイト 2 の NSX Manager（移行モード）を登録

します。

注意：ユニバーサル分散論理ルーターの制御仮想マシン（Edge アプライアンスの仮想マシン）で Local Egress が無効になっているため、制御仮想マシンが自動的に削除されます。したがって、セカンダリロールを

持つサイト 2 の NSX Manager（現在は移行ロール）を登録する前に、サイト 2 のコントローラクラスタノードが削除されていることを確認します。コントローラクラスタノードが削除されていないと、ネットワーク

トラフィックの中断が発生します。

a [インストールとアップグレード] 画面で、[管理 (Management)] - [NSX Manager (NSX Managers)] の順に移動します。

b サイト 1 に関連付けられている NSX Manager を選択します。

c [アクション (Actions)] - [セカンダリ NSX Manager の追加 (Add Secondary Manager)] の順にク


d サイト 2 に関連付けられている NSX Manager を選択します。

e サイト 2 の NSX Manager のユーザー名とパスワードを入力し、セキュリティ証明書を受け入れます。

f [追加 (Add)] をクリックします。

これらすべての手順が完了したら、次の結果を確認します。

n サイト 1 の NSX Manager がプライマリロールで、サイト 2 の NSX Manager がセカンダリロールに

なっている。

n サイト 2 の NSX Manager で、3 台のシャドウコントローラノードのステータスが「切断」と表示され

ます。次のメッセージが表示されます。プライマリ NSX Manager またはスタンドアローン NSX Manager での

み、コントローラクラスタのプロパティの読み取りまたは更新を行うことができます。

このメッセージは、サイト 2 のセカンダリ NSX Manager がサイト 1 のプライマリ NSX Manager のユ

ニバーサルコントローラクラスタノードと接続できないことを意味します。ただし、数秒後に接続が再度

確立し、ステータスが「接続中」に変わります。

NSX 管理ガイド

VMware, Inc. 586

9 サイト 1 でユニバーサル分散論理ルーターと NSX Edge の制御仮想マシン（Edge アプライアンスの仮想マシ

ン）をパワーオンします。

a [ネットワーク (Networking)] - [仮想マシン (VMs)] - [仮想マシン (Virtual Machines)] の順に移動し

ます。

b ユニバーサル分散論理ルーターの制御仮想マシンの仮想マシン名（仮想マシン ID）を右クリックし、[パワ

ーオン (Power on)] をクリックします。

c パワーオンする Edge 仮想マシンに手順 (b) を繰り返します。

d 次の手順に進む前に、ユニバーサル分散論理ルーターの制御仮想マシンと Edge 仮想マシンが起動し、実行

されるまで待機します。

10 サイト 2 のセカンダリ NSX Manager に関連付けられているユニバーサル分散論理ルーターの制御仮想マシ

ン（Edge アプライアンスの仮想マシン）が自動的に削除されたことを確認します。

a [ネットワークとセキュリティ (Networking & Security)] - [NSX Edge (NSX Edges)] の順に移動し

ます。

b セカンダリ NSX Manager 選択して、ユニバーサル分散論理ルーターをクリックします。

c [ステータス] ページで、ユニバーサル分散論理ルーターに Edge アプライアンス仮想マシンが展開されて

いないことを確認します。

11 コントローラサービスがセカンダリサイト 2 と同期するように、プライマリサイト 1 で NSX Controller の状態を更新します。

a [インストールとアップグレード] 画面で、[NSX Manager (NSX Managers)] をクリックします。

b サイト 1 のプライマリ NSX Manager を選択します。





結果

セカンダリサイト（サイト 2）からプライマリサイト（サイト 1）にすべての NSX コンポーネントが手動でフェイ

ルバックされました。

次のステップ

サイト 1 で次の操作を行い、プライマリサイト 1 へのフェイルバックが 100% 完了しているかどうか確認します。





NSX 管理ガイド

VMware, Inc. 587

4 NSX に準備されたホストクラスタごとに通信の健全性チェックを実行します。

a [インストールとアップグレード (Installation and Upgrade)] - [ホストの準備 (Host Preparation)] の順に移動します。

b サイト 1 の NSX Manager を選択します。

c 一度に 1 つのクラスタを選択して、クラスタの通信チャネルの健全性ステータスが UP になっているかどう

かを確認します。

d クラスタ内のホストごとに、ホストの通信チャネルの健全性ステータスが UP になっているかどうか確認し

ます。

e ホストの準備のステータスが Green になっているかどうか確認します。






サイト 1 へのフェイルバックが完了すると、プライマリサイト 1 ですべてのワークロードが実行され、サイト 1 のユ

ニバーサル分散論理ルーターと NSX Edge を介してトラフィックがルーティングされます。

NSX 管理ガイド

VMware, Inc. 588

NSX 管理ガイド Update 11 - VMware...NSX Edge...

Documents

Transcript of NSX 管理ガイド Update 11 - VMware...NSX Edge...