こんにちは。VMwareの高田です。

今回は、NSX 6.2のセキュリティサービスの機能強化についてご紹介します。

ユニバーサル分散ファイアウォール

前回のCross vCenter NSXでご紹介済みのユニバーサル分散ファイアウォールについて、設定方法を含めてご説明します。

「ユニバーサル」は、Cross vCenter NSXで複数のvCenterをわたってご使用いただくための機能に付く用語で、ユニバーサル 分散ファイアウォールで使われるルールを設定するためには、まず、新しいセクション作成時に、ユニバーサル同期の対象としてマークします。

universal_section

ユニバーサル同期としてマークするセクションは、全般(レイヤ3)とイーサネット(レイヤ2)にそれぞれ1つずつ作成できます。そのセクション内に分散ファイアウォールのルールを設定しますが、前のブログの通り、使用できるオブジェクトは、ソースおよびターゲットにユニバーサルIPセット、ユニバーサルMACセット、それらを含んだユニバーサル セキュリティグループのみ使用できます。また、適用先はユニバーサル論理スイッチか、VLANの場合は分散ポートグループになります。

下記は、ソースが任意、ターゲットがユニバーサルIPセット、サービスはHTTPとHTTPSを、操作として許可を選択し、適用先としてユニバーサル論理スイッチを選択した、ユニバーサル分散ファイアウォールのL3ルール設定例です。

universal_dfw

仮想マシンの新しいIPアドレス検出メカニズム 

もう1つは、分散ファイアウォールに関連する機能で、仮想マシンの新しいIPアドレス検出メカニズムです。

分散ファイアウォールは、仮想マシンのvNICの単位でファイアウォールが適用できる特徴的な機能(詳しくは、こちら)ですが、分散ファイアウォールはvCenterのオブジェクトを含むルールを設定した場合、仮想マシンのIPを特定したうえで処理をしています。その仮想マシンのIPアドレスを検出するメカニズムとして、自動と手動があります。NSX 6.2以前のバージョン、6.0と6.1は、自動で検出するためには、仮想マシンにVMware Toolsのインストールが必要でした(※VMwareでは、IPアドレス検出を提供する以外のメリットとしても、VMware Toolsを環境内のすべての仮想マシンにインストールすることを推奨しています)。NSX 6.2は、さらにDHCPスヌーピング、ARPスヌーピング、またはその両方でIPアドレスを検出することができます。DHCPスヌーピングは、DHCPプロトコルメッセージを追跡して、ARPスヌーピングは仮想マシンの出力するARPメッセージを監視して、VMware Toolsがインストールされていない場合でも、IPアドレスを検出できます。

IP_discovery_new

新しく加わったメカニズムが、緑の矢印です。

DHCPスヌーピング、ARPスヌーピングは、ホスト クラスタ単位で選択できます。IPアドレス検出に、それらを使う場合は追加設定が必要です。vSphere Web Clientから [Networking & Security] – [インストール手順] – [ホストの準備] – 対象のクラスタを選択後、[アクション] – [IP 検出タイプの変更] で、使用したい検出方法を選択します。

IP_discovery2

どの機能が有効化されていて、どの方法でIPアドレスを検知したかを調べるためには、下記のコマンドで調べることができます。

まず、任意の仮想マシンが稼働するクラスタのクラスタID、ホストのIDを確認します。

nsx-mgr> show cluster all

nsx-mgr> show cluster [クラスタID]

show_cluster_all

次に、仮想マシン IDを確認します。

nsx-mgr> show dfw host [ホストID]

show_dfw_host

そして、仮想マシンのフィルターIDを確認します。

nsx-mgr> show vm [仮想マシン ID]

show_vm_

次のコマンドで、有効化されているIP検出方法を含め、実際の検出されたIPが確認できます。

nsx-mgr> show dfw host [ホストID] filter [フィルター ID] discoveredips stats

ip_discovery_arp

ちなみに、IPアドレスの検出に自動の方法が使えない、または使いたくない場合は、手動設定が可能で、そのためにはSpoofGuardが利用できます。SpoofGuardは本来、IPアドレスを認証し、成りすましを防止する機能です。詳しいSpoofGuardの設定については、NSX管理ガイドのSpoofGuardの使用、をご参照ください。

補足ですが、IPセットやIPアドレスだけを使ったルールを設定している場合は、VMware Toolsは必須ではありません。

このように、新しい機能によって、VMware Toolsを使わない方法でも分散ファイアウォールが使えることで、より利用しやすくなったかと思います。

次回は、NSX 6.2 操作とトラブルシューティングの拡張機能をご紹介予定です。