vm.gowatana.jp

NEOにほんごVMware(仮)

NSX-T 3.2 を vSphere Client からセットアップしてみる。Part-3 セキュリティ専用 構成編

NSX-T 3.2 を、vSphere Client 経由でセットアップしてみます。今回は「セキュリティ専用」のワークフローを進めてみます。

ただし、まずは vSphere Client 経由で NSX-T の操作画面を表示してみたいと思います。検証環境には管理サーバ群やテスト用の VM がまだないこともあり、ファイアウォールのルール設定はスキップしてしまいます。

 

前回はこちら。

そして今回の内容です。

 

ドキュメントでは、下記のあたりです。

 

ラボ環境むけの調整

今回は検証環境では、24GB のメモリを割り当てた ESXi で NSX Manager を起動させています。しかし、このままではリソース不足で NSX-T のインストールが失敗します。

そこで、このタイミングで NSX Manager のメモリ予約を解除しておきます。NSX Manager の仮想マシンを右クリックして、「設定の変更」からメモリの予約を解除(16 GB → 0)に変更しておきます。

ついでに、CPU の予約も解除(4000 MHz → 0 MHz に変更)しておきます。

f:id:gowatana:20220301001526p:plain

 

「セキュリティ専用」クラスタの作成開始

前回までの手順を実施した状態で vSphere Client の「NSX」メニューを開くと、下記ようような画面が表示されます。「セキュリティ専用」の、「はじめに」をクリックします。

f:id:gowatana:20220228031134p:plain

 

セキュリティ -「ホスト クラスタの準備」

「セキュリティ」のワークフローが開始されます。

NSX-T では、コンピュート マネージャ(つまり vCenter)との連携が、自動設定されています。そして、vSphere クラスタ(今回は lab-cluster-02)が表示されています。

f:id:gowatana:20220228031749p:plain


クラスタを開くと、2台の ESXi が所属していることが確認できます。

今回はこのクラスタに NSX-T のモジュールをインストールするので、クラスタの先頭にあるチェックボックスをオンにして、「NSX のインストール」をクリックします。

f:id:gowatana:20220228032016p:plain

 

確認画面が表示されるので、「インストール」をクリックします。

f:id:gowatana:20220228033008p:plain

 

ちなみに、この時点で vDS の作成と ESXi への接続ができていないと、下記のようなエラーが表示されます。この場合は、vDS の設定を見直してから「NSX のインストール」をあらためてクリックします。 

f:id:gowatana:20220228033149p:plain

 

ESXi へのインストール処理が開始されるので、しばらく待ちます。

f:id:gowatana:20220228033240p:plain

 

従来の NSX-T セットアップと同様、ESXi の「監視」→「イベント」画面などでも、NSX-T のインストール処理が開始されたことが確認できます。

f:id:gowatana:20220228032803p:plain

 

しばらく待つと、インストールが完了するので、「次へ」をクリックします。

なお、ここでエラーになってしまった場合は、下記のような NSX Manager 側での対処が必要になります。

f:id:gowatana:20220228032411p:plain

 

ちなみに、ここまでのワークフローは、NSX Manager の「システム」→「クイック スタート」から開始できるものと同様です。

 

セキュリティ -「ファイアウォール ルールの作成」

「ファイアウォール ルールの作成」画面に遷移します。

これは、ウィザードに従うとベスト プラクティスに基づいた分散ファイアウォールのルール定義ができるという NSX-T 3.2 の新機能なのですが、今回はすみやかに vSphere Client 経由での NSX Manager 画面が見たいので、スキップしてしまいます。

 

通常どおりウィザードを進める場合は、下記投稿のような設定ができます。

 

一見すると、ウィザードに従わないと進めないようになっていそうですが、「キャンセル」をクリックするとスキップできてしまいます。

ちなみに、このウィザードは後で再実行できないようです。しかし、結果的に分散ファイアウォール ルールを設定するものなので、手作業で頑張れば同様のルールが実装できるはずです。

f:id:gowatana:20220301024109p:plain

 

「はい」をクリックすると、もう戻れません。つまり、分散ファイアウォールのルールを、すべて手作業で設定することになります。

f:id:gowatana:20220301025115p:plain


そして、vSphere Client に、これまで NSX Manager にアクセスしてみていた NSX-T の管理画面が表示されます。

f:id:gowatana:20220301025157p:plain

 

これで、vSphere Client に、NSX Manager の画面が表示されるようになります。

投入したライセンス キーのエディションが十分であれば、ここから分散ファイアウォール以外の(仮想ネットワークの)機能も操作できるようです。

f:id:gowatana:20220228040546p:plain

 

NSX-T の様子

NSX Manager でも、「システム」→「設定」→「ファブリック」→「コンピュート マネージャ」で、vCenter が「VcLink」という名前で登録されていることが確認できます。

f:id:gowatana:20220228230843p:plain

 

「システム」→「設定」→「ファブリック」→「ノード」→「トランスポート ノード」を開いて、「管理元」で「VcLink」を選択すると、ESXi で NSX-T が利用可能になっている(NSX 構成: 成功)ことが確認できます。

f:id:gowatana:20220228231340p:plain

 

「ネットワーク」→「接続」→「セグメント」→「分散ポート グループ」には、vDS の分散ポートグループが表示されます。この環境では、DSwitch-01 という名前の vDS に「dvpg-vlan-0011」という分散ポートグループを作成してあるので、ここには「DSwitch-01.dvpg-vlan-0011」と表示されています。

分散ポートグループはここでは作成できず、従来どおり vSphere Client のメニューから作成すると、ここにも自動的に表示されるようになります。そして、分散ファイアウォールの対象になります。

f:id:gowatana:20220301030352p:plain

 

「セキュリティ」→「ポリシー管理」→「分散ファイアウォール」を開くと、今回はデフォルトのルールが「アプリケーション」カテゴリに3つ設定されています。

その一方で、さきほどの「ファイアウォール ルールの作成」をスキップせず進めると、「インフラストラクチャ」「環境」「アプリケーション」カテゴリに、分散ファイアウォールのルールとして設定されます。ただ、設定されたルールについても、通常のものと同様、手作業で編集や削除ができます。

f:id:gowatana:20220301030743p:plain

 

以上、vSphere Client から NSX-T をセットアップしてみる話でした。