vm.gowatana.jp

NEOにほんごVMware(仮)

NSX-T 3.2 を vSphere Client からセットアップしてみる。分散ファイアウォール設定 Part-2 ウィザード設定 編

vSphere Client で、NSX-T 3.2 の 分散ファイアウォール(DFW)のルールを設定するウィザードを進めてみます。

前回はこちら。(ラボ環境や、設定する DFW ルールなどの説明)

 

今回の内容です。

 

手順開始時点の状態

今回は、以前の投稿にある「ホスト クラスタの準備」まで実施してあり、下記の画面で「次へ」をクリックした直後の状態から開始します。

そこにある「ファイアウォール ルールの作成」をキャンセルしないで、この投稿の手順を実施します。

f:id:gowatana:20220312135705p:plain

 

ファイアウォール ルールの作成: グループの作成

ウィザードでは、インフラストラクチャ サービス、環境、アプリケーション の3種類のグループを作成します。

 

1. インフラストラクチャ グループの作成

「グループの追加」をクリックして、インフラとなる VM を対象としたグループを作成します。デフォルトでは、Active Directory、DHCP、DNS、NTP が用意されています。ちなみに、選択肢にない「NSX Manager」のような名前も入力できます。

f:id:gowatana:20220312142252p:plain

 

今回は「DNS」を選択して、「グループの定義」をクリックします。

f:id:gowatana:20220312142324p:plain

 

グループとタグの名前は、選択 / 入力した名前(DNS)をもとに自動入力されます。

  • グループ名: DNS_Infra_Group
  • NSX タグ: DNS_Infra_Tag

DNS サーバにあたる VM「lab-dns-01」を選択して、「保存」をクリックします。

f:id:gowatana:20220312142406p:plain

 

グループが設定されたことを確認して、「NEXT」をクリックします。

f:id:gowatana:20220312142445p:plain

 

2. 環境グループの作成

環境グループとして、PRD、DEV、MGMT を作成します。

 

「グループの追加」をクリックします。

環境の選択肢には、本番、開発、テスト、パートナーがデフォルトで用意されていますが、これ以外の文字列も入力できます。

f:id:gowatana:20220312142637p:plain

 

環境の名前として選択した文字列は、グループとタグの名前の自動入力でも使用されます。

今回は、アルファベットにて「PRD」(本番というつもりで)を入力して、「グループの定義」をクリックします。

f:id:gowatana:20220312142739p:plain

 

グループとタグの名前は、選択 / 入力した名前(PRD)をもとに自動入力されます。

  • グループ名: PRD_Environment_Group
  • NSX タグ: PRD_Environment_Tag

ラボの本番サーバ役 VM は「prd-*」という名前にしてあるので、「prd」でフィルタリングしてから VM を選択して、「保存」をクリックします。

f:id:gowatana:20220312143000p:plain

 

つづけて、「グループの追加」をクリックして、環境に「DEV」(開発環境として)を入力してから、「グループの定義」をクリックします。

f:id:gowatana:20220312143316p:plain

 

さきほどと同様に、グループとタグの名前は、選択 / 入力した名前(DEV)をもとに自動入力されます。

  • グループ名: DEV_Environment_Group
  • NSX タグ: DEV_Environment_Tag

ラボの開発サーバ役 VM は「dev-*」という名前にしてあるので、「dev」でフィルタリングしてから VM を選択して、「保存」をクリックします。

f:id:gowatana:20220312143421p:plain

 

「グループの追加」をクリックして、環境に「MGMT」(管理ということで)を入力してから、「グループの定義」をクリックします。

※実際のところ管理系のサーバについては、ここでの「環境」ではなく、前手順での「インフラストラクチャ サービス」として定義してもよいと思います。

f:id:gowatana:20220312143517p:plain

 

さきほどと同様に、グループとタグの名前は、選択 / 入力した名前(MGMT)をもとに自動入力されます。

  • グループ名: MGMT_Environment_Group
  • NSX タグ: MGMT_Environment_Tag

VM を指定した場合との違いを確認できるので、今回はあえて IP アドレス(ネットワーク アドレスとして 192.168.10.0/24)を指定しています。

f:id:gowatana:20220312143631p:plain

 

環境グループが作成されたことを確認して、「NEXT」をクリックします。

f:id:gowatana:20220312143913p:plain

 

3. アプリケーション グループの作成

アプリケーション グループとして、WEB と DB を作成します。

 

「グループの追加」をクリックして、アプリケーション名に「WEB」を入力してから、「グループの定義」をクリックします。

f:id:gowatana:20220312144031p:plain

 

グループとタグの名前は、選択 / 入力したアプリケーション名(WEB)をもとに自動入力されます。

  • グループ名: WEB_App_Group
  • NSX タグ: WEB_App_Tag

ラボの開発サーバ役 VM は「*-web-*」という名前にしてあるので、「web」でフィルタリングしてから VM を選択して、「保存」をクリックします。

f:id:gowatana:20220312144131p:plain

 

つづけて、「グループの追加」をクリックして、アプリケーション名に「DB」を入力してから、「グループの定義」をクリックします。

f:id:gowatana:20220312144215p:plain

 

グループとタグの名前は、選択 / 入力したアプリケーション名(DB)をもとに自動入力されます。

  • グループ名: DB_App_Group
  • NSX タグ: DB_App_Tag

ラボの開発サーバ役 VM は「*-db-*」という名前にしてあるので、「db」でフィルタリングしてから VM を選択して、「保存」をクリックします。

f:id:gowatana:20220312144411p:plain

 

アプリケーション グループが作成されたことを確認して、「次へ」をクリックします。

f:id:gowatana:20220312144453p:plain

 

ファイアウォール ルールの作成: 通信の定義

先に作成したグループをもとに、DFW のファイアウォール ルールを設定していきます。ここでは、下記の「←」方向の環境間通信を許可します。

  • 本番 環境(PRD)← 管理 環境(MGMT)
  • 開発 環境(DEV) ← 管理 環境(MGMT)

 

1. インフラストラクチャ サービスへのアクセス

インフラストラクチャ サービスで DNS のグループ(DNS_Infra_Group)だけ作成したので、ここでは1行だけ表示されています。

「任意」のあたりをクリックします。

f:id:gowatana:20220312144729p:plain

 

この DNS サーバは、ラボ内の 本番環境と開発環境からのみ利用する想定なので、送信元で「PRD_Environment_Group」と「DEV_Environment_Group」を選択して、「適用」をクリックします。

f:id:gowatana:20220312144838p:plain

 

「2個のワークロード グループ」と表示されたことを確認して、「NEXT」をクリックします。

f:id:gowatana:20220312144930p:plain

 

2. 環境間の通信を定義する

本番 / 開発 / 管理 環境間での通信可否を設定します。

 

まず、本番環境の設定をします。

宛先が PRD_Environment_Group の行で「> 環境なし」のあたりをクリックします。

f:id:gowatana:20220312145032p:plain

 

環境グループ同士の通信を定義する図が表示されます。デフォルトでは、すべてが拒否(赤アイコン)になっています。

f:id:gowatana:20220312145107p:plain

 

MGMT → PRD 環境の通信は許可したいので、「MGMT_Environment_Group」をクリックして緑アイコンに変更して、「適用」をクリックします。

f:id:gowatana:20220312145141p:plain

 

つづけて、宛先が DEV_Environment_Group の行で「> 環境なし」のあたりをクリックします。

f:id:gowatana:20220312145218p:plain

 

MGMT → DEV 環境の通信も許可したいので、「MGMT_Environment_Group」をクリックして緑アイコンに変更して、「適用」をクリックします。

f:id:gowatana:20220312145251p:plain

 

PRD と DEV から MGMT 環境への通信は許可しない(インフラストラクチャ サービスとして設定した DNS のみ許可する)ので、MGMT_Environment_Group に向かう DEV_Env~ と PRD_Env~ は赤アイコンのままにしておきます。

f:id:gowatana:20220312145330p:plain

 

3行とも設定したら、「NEXT」をクリックします。

f:id:gowatana:20220312145424p:plain

 

3. アプリケーションの通信戦略を定義する

Web サーバと DB サーバへの通信ルールを設定します。

今回は、下記の通信を許可するルールを設定します。本番 / 開発 / 管理 環境間の通信可否は、前の手順で設定してあるので、ここではアプリ間の通信許可だけ設定します。

  • 任意の送信元 → Web サーバの HTTP / HTTPS(TCP 80 / TCP 443)
  • Web サーバ → DB サーバへの DB 接続(TCP 1521)

「戦略」については、デフォルトで「受信トラフィックを拒否し、送信トラフィックを許可」が選択されているので、そのままにしておきます。つまり、VM からの送信は全部許可で、受信は全部拒否となり、そこに例外として受信を許可するルールを設定します。

f:id:gowatana:20220312145827p:plain

 

まず、「任意の送信元 → Web サーバ」の通信許可ルールを設定します。

Web_App_Group の行で「例外なし」のあたりをクリックします。

f:id:gowatana:20220312145920p:plain

 

「例外の追加」をクリックして、送信元は「任意」のまま、サービス エントリの「任意」をクリックします。

f:id:gowatana:20220312150039p:plain

 

例外にするサービス エントリを設定する画面が表示されるので、下記を指定して「適用」をクリックします。

  • タイプ: TCP
  • ポート: 80,443

f:id:gowatana:20220312150140p:plain

 

送信元とサービス エントリの設定を確認して、「適用」をクリックします。

f:id:gowatana:20220312150236p:plain

 

つづけて、「Web サーバ → DB サーバ」の通信許可ルールを設定します。

DB_App_Group の行で「例外なし」のあたりをクリックします。

f:id:gowatana:20220312150328p:plain

 

「例外の追加」をクリックして、送信元の「任意」をクリックします。

f:id:gowatana:20220312150415p:plain

 

ワークロードの選択 画面で、「Web_App_Group」を選択して「適用」をクリックします。

f:id:gowatana:20220312150456p:plain

 

サービス エントリの「任意」をクリックして、下記を指定してから「適用」をクリックします。

  • タイプ: TCP
  • ポート: 1521

f:id:gowatana:20220312150600p:plain

 

送信元とサービス エントリが設定されたことを確認して、「適用」をクリックします。

f:id:gowatana:20220312150656p:plain

 

Web_App_Group と DB_App_Group を設定できたので、「NEXT」をクリックします。

f:id:gowatana:20220312150729p:plain

 

4. デフォルト ファイアウォール ルールのアクションの定義

DFW での、デフォルトのアクションを選択します。

許可、ドロップ、却下の 3種類のうち、デフォルトでは「許可」になっているので、ここではそのまま「次へ」をクリックします。

ちなみに、vCenter Server や NSX Manager が DFW 適用対象になっている場合は、ほかの VM と同様にルールが適用されてしまいます。(このラボ構成では大丈夫ですが)vCener / NSX-T 関連 VM を除外するルールを設定していない状態でドロップや却下を選択してしまうと、次に遷移する画面の「ポリシーの公開」をクリックした時点で通信不可になるので要注意です。

f:id:gowatana:20220312150819p:plain

 

なお、ここでのアクション設定は NSX-T 分散ファイアウォールでの「アプリケーション」→「Default Layer3 Section」→「Default Layer3 Rule」に反映されるようです。あとで NSX Manager を DFW の除外リストに追加したり、ルール設定を十分に確認してたうえで「ドロップ」または「却下」に変更するとよいと思います。

f:id:gowatana:20220312232344p:plain

 

ファイアウォール ルールの作成: 確認と公開

設定を確認して 「ポリシーの公開」をクリックすることで、DFW のルールを反映させます。

 「ポリシーの公開」をクリックした時点で DFW のルールが有効になりますが、今回はデフォルトのアクションを「許可」にしているので、ここで即座に通信が遮断されることはありません。

f:id:gowatana:20220312151055p:plain

 

下記の画面が表示されるので「完了」をクリックすると・・・

f:id:gowatana:20220312151146p:plain

 

vSphere Client の一部として、いつもの NSX Manager 画面が表示されます。

f:id:gowatana:20220312151155p:plain

 

つづく・・・