Latest Posts

NSX 6.2 新機能のご紹介 Part 3 〜 運用・トラブルシュート機能強化 〜

posted

みなさんこんにちは。ヴイエムウェアの進藤です。 おかげさまで今日までに大変多くのお客様でNSXを導入していただいていますが、それに伴ってNSXをしっかりと運用していくための機能に関するリクエストをいただくことも多くなってきました。NSX 6.2は、このようないわゆる “Day 2 オペレーション” 機能にも力を入れたリリースになっています。今回はNSX 6.2で追加された新機能のうち、運用まわりやトラブルシューティングに関わる機能などをご紹介したいと思います。 集中管理CLIでNSX Managerから一括管理可能に! NSXはNSX Manager、vCenter Server、NSXコントローラ クラスタ、分散論理ルータ制御VM、ハイパーバイザ、NSX Edge、などたくさんの要素から構成されています。万一、NSXが期待した動作をしていない場合には、これらの構成要素のいずれかにログインし、CLIを使って問題の切り分けを行いながら、必要があれば別の構成要素にログインをして問題箇所の特定をしていく必要があります。NSXには多くの構成要素があるため、一般的にはこのような切り分け作業は時間と手間のかかるものでした。 この問題に対処するため、NSX6.2では「集中管理CLI」機能が追加されました。この集中管理CLI機能を使えば、NSX Managerにログインするだけで、そこから他の構成要素に関する情報を取得することができます。この集中管理CLIは皆さんが普段から慣れ親しんでいるCLIインターフェースを踏襲しており、タブキーでの補完、?キーでの選択肢表示、ページング、ヒストリ機能などを備えていますので直感的にお使いいただけると思います。なお、現在この集中管理CLIでサポートされているのは「show系」コマンドのみとなっています。設定系のコマンドは使用できません。 それではこの集中管理CLIを使った例を見てみましょう。 [crayon-5b29d1f6eeb0c261453971/] この例では論理スイッチの一覧を取得しています。 次に、コントローラが保持しているVXLAN Network Identifier (VNI) 5001の論理スイッチに関するVTEP、MACアドレス、ARPテーブルをそれぞれ確認してみましょう。 [crayon-5b29d1f6eeb24899054720/] ここでコマンドラインに “master” と言うパラメータが指定されていることに注意ください。NSXのコントローラは通常3台のノードから構成されるクラスタで、VNI単位に処理が複数のコントローラノードに分散されるようになっています。特定のVNIがどのコントローラノードに割り当てられているか(どのコントローラノードがmasterになっているのか)を簡単に知る方法はないため、今まではコントローラノードに一台ずつログインして当該のVNI情報を保持しているかを確認する必要がありました。しかし、集中管理CLIのコントローラ関連コマンドではこのように “master” と言うキーワードを指定することで、指定したVNIに関するmasterコントローラノードに自動的に問い合わせてくれるようになっています。これはとても便利な機能です。 次はNSX Edge関係のCLIの例を見てみましょう。 [crayon-5b29d1f6eeb2d620485445/] このように各々のNSX Edgeにログインすることなく指定したNSX Edgeの情報を取得できることがわかると思います。この例ではIP経路情報を取得しましたが、その他の情報を取ることもできます。例えば、以下はロードバランサの情報を取得している例です。 [crayon-5b29d1f6eeb41748054803/] ロードバランサ情報の他にもDHCP、DNS、冗長構成、IPsec、モニタ関連情報も取得できます。 NSX 6.2の集中管理CLIには、今回紹介した “show logical-switch”、”show edge” 以外にも show logical-router show dfw show dlb show vm show vnic Read more...

NSX 6.2 新機能のご紹介 Part 2 〜 セキュリティサービスの機能強化 〜

posted

こんにちは。VMwareの高田です。 今回は、NSX 6.2のセキュリティサービスの機能強化についてご紹介します。 ユニバーサル分散ファイアウォール 前回のCross vCenter NSXでご紹介済みのユニバーサル分散ファイアウォールについて、設定方法を含めてご説明します。 「ユニバーサル」は、Cross vCenter NSXで複数のvCenterをわたってご使用いただくための機能に付く用語で、ユニバーサル 分散ファイアウォールで使われるルールを設定するためには、まず、新しいセクション作成時に、ユニバーサル同期の対象としてマークします。 ユニバーサル同期としてマークするセクションは、全般(レイヤ3)とイーサネット(レイヤ2)にそれぞれ1つずつ作成できます。そのセクション内に分散ファイアウォールのルールを設定しますが、前のブログの通り、使用できるオブジェクトは、ソースおよびターゲットにユニバーサルIPセット、ユニバーサルMACセット、それらを含んだユニバーサル セキュリティグループのみ使用できます。また、適用先はユニバーサル論理スイッチか、VLANの場合は分散ポートグループになります。 下記は、ソースが任意、ターゲットがユニバーサルIPセット、サービスはHTTPとHTTPSを、操作として許可を選択し、適用先としてユニバーサル論理スイッチを選択した、ユニバーサル分散ファイアウォールのL3ルール設定例です。 仮想マシンの新しいIPアドレス検出メカニズム  もう1つは、分散ファイアウォールに関連する機能で、仮想マシンの新しいIPアドレス検出メカニズムです。 分散ファイアウォールは、仮想マシンのvNICの単位でファイアウォールが適用できる特徴的な機能(詳しくは、こちら)ですが、分散ファイアウォールはvCenterのオブジェクトを含むルールを設定した場合、仮想マシンのIPを特定したうえで処理をしています。その仮想マシンのIPアドレスを検出するメカニズムとして、自動と手動があります。NSX 6.2以前のバージョン、6.0と6.1は、自動で検出するためには、仮想マシンにVMware Toolsのインストールが必要でした(※VMwareでは、IPアドレス検出を提供する以外のメリットとしても、VMware Toolsを環境内のすべての仮想マシンにインストールすることを推奨しています)。NSX 6.2は、さらにDHCPスヌーピング、ARPスヌーピング、またはその両方でIPアドレスを検出することができます。DHCPスヌーピングは、DHCPプロトコルメッセージを追跡して、ARPスヌーピングは仮想マシンの出力するARPメッセージを監視して、VMware Toolsがインストールされていない場合でも、IPアドレスを検出できます。 新しく加わったメカニズムが、緑の矢印です。 DHCPスヌーピング、ARPスヌーピングは、ホスト クラスタ単位で選択できます。IPアドレス検出に、それらを使う場合は追加設定が必要です。vSphere Web Clientから [Networking & Security] – [インストール手順] – [ホストの準備] – 対象のクラスタを選択後、[アクション] – [IP 検出タイプの変更] で、使用したい検出方法を選択します。 どの機能が有効化されていて、どの方法でIPアドレスを検知したかを調べるためには、下記のコマンドで調べることができます。 まず、任意の仮想マシンが稼働するクラスタのクラスタID、ホストのIDを確認します。 nsx-mgr> show cluster all nsx-mgr> show cluster [クラスタID] 次に、仮想マシン IDを確認します。 nsx-mgr> show dfw Read more...

VMware NSX and vRealize Automation Overview – Part 1

posted

VMware NSX network virtualization and vRealize Automation deliver a feature rich, dynamic integration that provides the capability to deploy applications along with network and security services at provisioning time while maintaining compliance with the required security and connectivity policies. This native integration highlights the value of NSX when combined with automation and self-service and shows Read more...

NSX 6.2 新機能のご紹介 Part 1 〜 Cross vCenter NSX 〜

posted

みなさんこんにちは。ヴイエムウェアの進藤です。 VMware NSXの最新バージョン6.2が2015年8月にリリースされました。バージョン番号的には6.1から一つマイナーバージョンが上がっただけですが、実際には非常に多くの新機能が盛り込まれた意欲的なリリースとなっています。今回から数回にわたり、NSX 6.2で追加・拡張された機能のうち主要なものをピックアップして、本Blogでご紹介をしたいと思います。 複数vCenterをまたぐ環境でNSXが利用可能に! NSX 6.2で追加された機能のうちで最も目を引くものは「Cross vCenter Networking and Security(通称Cross vCenter NSX)」機能でしょう。これにより複数vCenterをまたぐような環境でNSXの機能が利用可能になります。 vSphere 6.0で、Cross vCenter vMotion(異なるvCenter環境間でのvMotion)やLong Distance vMotion(RTT 150ms以内の2地点間のvMotion)がサポートされましたが、その機能を一層有用なものにするために、NSXでも複数vCenter環境をサポートし、複数vCenterにまたがった仮想ネットワークを構築してその上で自由にvMotionができるようにしました。 Cross vCenter NSXを実現するにあたり、NSXのアーキテクチャにも変更が加えられました。NSX 6.1までは、NSX環境を管理するNSX ManagerはvCenterと1:1で紐付けがされており、1つのNSXで管理できる環境は1 つのvCenter環境内に限られていました。NSX 6.2でも依然NSX ManagerとvCenterは1:1に紐付けられますが、NSX Manager間同士で連携ができるようになり、これによりをすることにより、複数のvCenterをまたいだ管理ができるようになりました。 具体的には、NSX Managerが「プライマリ」または「セカンダリ」というロール(役割)を持つことができるようなり、プライマリなNSX Managerが複数vCenter間をまたいだ管理に関する責任を持ちます。また、セカンダリなNSX Managerは、自分の管理下の環境は自分で管理をしますが、複数vCenterにまたがった管理に関しては、マスターのNSX Managerに任せるようになっています。プライマリなNSX ManagerでvCenterにまたがる設定の変更を行うと、それらは自動的に他のセカンダリNSX Managerにレプリケーションされます。 一方、NSX コントローラは、vCenter環境ごとには配置されず、一つのコントローラ クラスタが複数のvCenter環境の管理をします。一つのコントローラ クラスタで管理できるvCenterの数は現状8までとなっていますので、Cross vCenter NSXで管理できるvCenter環境の数も8つまでということになります。 NSX 6.2のCross vCenter NSXで利用出来る機能は次の3つです。 ユニバーサル論理スイッチ ユニバーサル分散論理ルーティング ユニバーサル分散ファイアウォール 以下、それぞれについて簡単に説明をします。 ユニバーサル論理スイッチ NSXには「トランスポートゾーン」という概念がありますが、NSX 6.2ではこの概念が拡張され、複数vCenter環境にまたがった「ユニバーザル トランスポートゾーン」を新たに作成できるようになりました。このユニバーサル  トランスポートゾーン上に作られた論理スイッチは自動的に「ユニバーサル論理スイッチ」となり、仮想マシンに対して複数のvCenter環境にまたがったVXLANによるL2環境を提供できるようになります。 Read more...

Security for the New Battlefield

posted

What will be our security challenge in the coming decade? Running trusted services even on untrusted infrastructure. That means protecting the confidentiality and integrity of data as it moves through the network. One possible solution – distributed network encryption – a new approach made possible by network virtualization and the software-defined data center that addresses Read more...

The Next Horizon for Cloud Networking & Security

posted

VMware NSX has been around for more than two years now, and in that time software-defined networking and network virtualization have become inextricably integrated into modern data center architecture. It seems like an inconceivable amount of progress has been made. But the reality is that we’re only at the beginning of this journey. The transformation Read more...

Distributed Firewall ALG

posted

In the last post, VMware NSX™ Distributed Firewall installation and operation was verified. In this entry, the FTP (file transfer protocol) ALG (Application Level Gateway) is tested for associating data connections with originating control connections – something a stateless ACL (access control list) can’t do. An added benefit over stateless ACLs – most compliance standards more easily Read more...

Getting Started with VMware NSX Distributed Firewall – Part 2

posted

In Part 1, I covered traditional segmentation options. Here, I introduce VMware NSX Distributed Firewall for micro-segmentation, showing step-by-step how it can be deployed in an existing vSphere environment. Now, I have always wanted a distributed firewall. Never understood why I had to allow any more access to my servers than was absolutely necessary. Why Read more...

Getting Started with VMware NSX Distributed Firewall – Part 1

posted

Who saw it coming that segmentation would be a popular term in 2015?!? Gartner analyst Greg Young was almost apologetic when he kicked off the Network Segmentation Best Practices session at the last Gartner Security Summit. As a professional with a long history in the enterprise firewall space, I know I found it odd at Read more...