システム本部 第三システム部営業⽀援グループ › files › pdf ›...
TRANSCRIPT
V2.3
システム本部第三システム部 営業⽀援グループ
2
VMware NSX概要
3
ネットワークの課題
ネットワークの構成変更作業に時間と⼈的リソースが必要●構成変更の影響範囲が拡⼤ーネットワーク機器の追加、構成変更の影響範囲がネットワーク全体へー全体へ影響を及ぼすため、事前検証範囲の拡⼤と⼿順書作成と⼿順書検証に時間が必要
ネットワークサービス(L3, FW, LB等)機器の⼊替えによるコスト増●分散から集約化によるトラフィック量の増加ーすべてが集約しているため、パフォーマンスのボトルネックにー集約している分、多様なサービスへの対応が必要なため、より⾼価な機器が必要
セキュリティリスクの増⼤●セキュリティーポリシー変更の頻繁な反映は不可能ー集約化されているFWの設定変更をする場合、どの程度の頻度で実施可能か?ー膨⼤なセキュリティルールを管理ーネットワークセキュリティーのため粒度が荒く、セキュリティポリシー定義が難しい
4
VMware NSXとは
vSphereと連携したネットワーク仮想化プラットフォームであるNSXを利⽤して既存のネットワークを仮想化し、
Software-Defined Data Centerの⼀部とすることができます。
インターネット
5
今すぐ始めるNSXのメリット
NFV(ネットワーク仮想化)
・ネットワーク機器を仮想化で統合・ネットワークのシンプル化・運⽤管理⼯数の削減・ネットワークの可視化
マイクロセグメンテーション(セキュリティ)
・標的型攻撃出⼝対策・ホスト単位にFWを実装・物理環境では実現できないセキュリティ対策
・物(端末)でなく⼈(ユーザ)ごとにアクセス制御
6
オーケストレーション
データプレーン
VMware NSXEdge™
VMware ESXi™ ハイパーバイザーカーネル モジュール
分散サービス
管理プレーンVMware NSX Manager™ with vCenter
制御プレーン
VMware NSX Controller™
分散ファイアウォール
分散論理ルータ
論理スイッチ
仮想アプライアンス
論理ルータ 論理ファイアウォール
論理ロードバランサー
論理VPN 物理環境との接続性
仮想アプライアンス
仮想アプライアンス
vCloud® Automation Center™
VMware NSX 簡単解説
vSphere Web Clientで管理
ネットワーク機器がカーネルで動く 仮想マシンごとに
FWを配置
ネットワーク機能を仮想化し既存の課題を解決します。仮想マシンとカーネルモジュールの2つの実装⽅式で仮想ネットワーク機能を提供します。
仮想アプライアンスのネットワーク機器
管理サーバ関連は仮想アプライアンス
7
SDNの実装方式の違い
Open FlowVMware NSX
専⽤HWが必要既存ネットワーク機器が利⽤可能
出展:http://www.atmarkit.co.jp/ait/articles/1308/02/news006_3.html
8
分散論理ルータ
従来の仮想マシンの通信ヘアピン構成
NSX環境の通信ヘアピンレス構成
9
分散ファイアウォール
仮想マシンごとに実装 vSphereの管理単位と連携 Active Directoryと連携 バーチャルアプライアンスではない 1台ごとに設定しない
10
仮想アプライアンスで物理ネットワーク機器を仮想化
ネットワーク機能を提供する仮想マシン NSXに備わっている機能で無制限に利⽤可能 レイヤ3-7の各種ネットワークサービスを提供 VXLANと物理NWの境界としても設置
NSX Edge Serv ice Gatewayとは?
11
一般的な3層アプリケーション構造
アプリ層
ウェブ層
データベース層
外部物理FW ネットワーク構成は複雑になりがち
物理ロードバランサ①
物理ロードバランサ②
• 複数のネットワークを作成/管理する必要がある• 構成に合わせた設計やアクセス制御が毎回必要
PortGroup: VLAN 10192.168.10.0/24
PortGroup: VLAN 20192.168.20.0/24
PortGroup: VLAN 30192.168.30.0/24
12
シンプル且つセキュアなネットワークを実現
NSX
マイクロセグメンテーション⾼セキュリティ
東⻄
南北
ヘアピンレストラフィックフローの最適化
セグメントフラット化構成のシンプル化
マルチテナント影響範囲の極⼩化
デスクトップ間の通信を遮断もし1台⽬が感染しても拡散させない
13
ネットワーク作業の効率化と工数低減
• サーバ担当者は vCenterから新規VM を作成
• 同時にスイッチ、FW、LB の設定を⾏う• あらかじめ⽤意されている VLAN に接続
• 同⼀設定画⾯で完結• VM と NW デプロイを数時間で完了• 影響範囲の極⼩化• 部⾨間(会社間)調整が不必要
・物理ネットワークはあらかじめ必要な設定をインプリするだけ
• 仮想サーバに割り当てるポート、VLAN を事前設定
• 共通の FW ルールのみ設定対応• VMデプロイ時の設定変更は不要
⇒都度のやり取りの⼯数削減
スピード UP ⼯数の低減
ネットワーク設定をサーバー側に移すことで管理・運⽤の最適化
サーバ担当者
NW担当者
14
NSXメリットまとめ
セキュリティ強化• 同セグメント内の通信(横の通信)をブロック• マルウェアの拡散防⽌• 同セグメント内での細かいポリシー制御• Active Directoryと連携したファイアウォールポリシー• 物理ネットワークに依存しない確実なセキュリティ
物理環境のフラット化• シンプルなL2物理ネットワークで実現可能• 今後の物理ネットワークに関わる⼯数が削減• ESXiの統合、台数削減
実施のスピード感と品質向上• 都度の機器購⼊は不要• 仮想マシン作成に同時にNW設定• 物理ネットワークの変更不要• 影響範囲の極⼩化と、メンテナンス性向上
15
VMware NSXの活用
16
EdgeGatewayによりテナント毎の独立ネットワークを構成
外部NW
Tenant 1 Tenant 2EdgeGateway
各テナント専⽤のルータ、ロードバランサ、VPNを利⽤ーNSX Edgeは、調達コストやリードタイムがなく、デプロイの⾃動化も可能ーシステム間の独⽴性を⾼めつつ、ラックスペースも節約
ネットワーク分離により、テナント間のIPアドレス重複も許容
17
IPv4とIPv6の混在
– IPv4環境上に独⽴したIPv6環境を作成することも可能
NSXはIPv6もサポート
18
アンチウィルス連携
セキュリティ グループ = 隔離ゾーンメンバー = {Tag = ‘ANTI_VIRUS.VirusFound’, L2 Isolated Network}
セキュリティ グループ = VDIメンバー = {Tag =VDI}
アンチウィルスと連携しネットワークからの⾃動隔離、復旧を実現
19
①単⼀vCenter管理下のDC間でNWを延伸
②複数vCenter間でNWを延伸-両サイトがNSX環境-DC間のNWはインターネットでもOK
DC間でのL2延伸
VM VM
VM VM
VXLAN
VXLAN
IPアドレスの変更をせずに仮想マシンをDC間で移動ー本サイトのリソース逼迫時に、余裕のあるDCに仮想マシンを移動ーDC間の移⾏作業をシームレスに実施
DR発動時の切り替え作業を迅速化ー最も時間の掛かるIPアドレスの付け替え作業が不要に(RTOを80%短縮)
※サイト間の通信をMTU=1,600に設定する必要あり
※サイト間の通信をMTU=1,600に設定する必要あり
分散ファイアウォール
21
標的型攻撃に求められるアプローチ
フ
イアウ
ル
IPS・IDS
次世代型
フ
イアウ
ル
各種
コンテンツフ
ルタ
“無害化”既存のセキュリティ対策
“最⼩化”脅威影響範囲の
最⼩化“健全化”
汚染環境の健全化“健全化”
汚染環境の健全化
ウイルス
対策 セグメント極⼩化・分離セグメント極⼩化・分離
⾼
脅威レベル
低
標的型攻撃の発⽣
標的型攻撃の発⽣
仮想化による初期化
既存防御が突破される既存防御が突破される
22
マイクロセグメンテーション
ブロックログによるマルウェア検知どの仮想マシンが感染したかがすぐに判明
仮想マシン単位のセキュリティセキュリティゾーンの最⼩化
セキュリティゾーン
セキュリティゾーン
セキュリティゾーン
セキュリティゾーン
セキュリティゾーン
セキュリティゾーン
セキュリティゾーン
セキュリティゾーン
セキュリティゾーン
デスクトップ間の通信を遮断もし1台⽬が感染しても拡散させない
インターネット
VM名: “Develop” を含む セキュリティタグ: “管理” ADグループ: 協⼒会社
さまざまな対象にFWルールを適⽤可能
アイデンティティ分散ファイアウォール
分散ファイアウォールの対象オブジェクトにActive Directoryのセキュリティグループを選択可能
ユーザーに紐づいたファイアウォール設定
<demo01>
<nsxdemo グループ>Server Aに通信してOKServer Bに通信してOK
<nsxdemo グループ>Server Aに通信してOKServer Bに通信してOK
ログオン
Server A Server B
Server Aに通信してはNGServer Bに通信してはNG
異動後のポリシーも瞬時に反映
24
NSXのファイアウォールポリシーについて
ポリシールール オブジェクト番号 名前 ルールID ソース ターゲット サービス 操作 適⽤先 ログ 状態 コメント
SourceDestination
Description
IPv4/IPv6 IPv4/IPv6 Address
Datacenter vCenterのDatacenterを選択選択したDatacenter内の全てのVM/vNICに適用
Cluster vCetnerのClusterを選択選択したCluster内の全てのVM/vNICに適用
Network vCenterのNetwork(vSwitch)を選択選択したvSwitch内の全てのVM/vNICに適用
Virtual App vCenterのvAPPを選択選択したvAPP内の全てのVM/vNICに適用
Resource Pool vCenterのResource Poolを選択選択したResource Poolの全てのVM/vNICに適用
Virtual Machine VM nameを選択
vNIC VM vNICを選択
Logical Switch NSX Logical Switchを選択選択したLogical Switchの全てのVM/vNICに適用
Security Group NSXのSecurity Groupを選択選択したSecurity Groupの全てのVM/vNICに適用
IP Sets ホストアドレスの他、サブネット指定、レンジでの指定が可能 (L3/L4のみ)
MAC Sets MACアドレスを指定 (L2のみ)
サービス 詳細
プロトコル TCP, UDP, Oracle_TNS, FTP,SUN_RPC_TCP, SUN_RPC_UDP.NBNS_BROADCAST,NBDG_BROADCAST, ICMP, IGMP,IPCOMP, IPV6ROUTE, IPV6FRAG,IPV6ICMP, IPV6NONXT, IPV6OPTS,RSVP, GRE, ESP, AH, L2TP, SCTP,IPv4, ARP, X25, LLC, FR_ARP,BPQ, DEC, DNA_DL, DNA_RC,DNA_RT, LAT, DIAG, CUST, SCA,TEB, RAW_FR, RARP, AARP,ATALK, IEEE_802_1Q, IPX,NETBEUI, IPv6, PPP, ATMMPOA,PPP_DISC, PPP_SES, ATMFATE,LOOP※ New -> Service よりカスタムポートを設定可能
ポート番号 Destination L4 PortsUnique port or range of ports
AdvancedOptions
Source L4 PortsUnique port or range of ports
25
Group Objectの検討
Security Groupの概要
・静的/動的メンバーシップにより、セキュリティグループを定義し、セキュリティチームによって定義されたサービスプロファイルを利用するためのセキュリティポリシーを定義する
・定義方法は2種類
- 静的メンバーシップ
- 動的メンバーシップ
保護「対象」
SecurityGroups
メンバー(VM、vNIC)や、Context(ユーザID、セキュリティの状況)
保護「⽅法」
SecurityPolicies
Services(Firewall、アンチウィルス)とProfiles(特定のポリシーラベル)
適⽤
26
Group Objectの検討
Security Group : 静的メンバーシップ
・以下のオブジェクトを利用して静的メンバーシップを定義可能
- Security Group
- クラスタ
- 論理スイッチ
- ネットワーク(vSSポートグループ)
- 仮想App(vApp)
- データセンター
- IPセット(NSX Managerのグループオブジェクトとして定義)
- ディレクトリグループ
- MACセット
- セキュリティタグ
- vNIC
- 仮想マシン
- リソースプール
- 分散仮想ポートグループ
27
Group Objectの検討
Security Group : 動的メンバーシップ
・Security Groupの動的メンバーシップにより、Security Groupのメンバーを動的に構成することが可能
・動的メンバーシップの基準には、以下のフィルターを利用可能
基準 内容 評価式 例
コンピュータOS名 仮想マシン 含む末尾が次の値と等しい次の値と等しくない先頭が
Windows2012
仮想マシン名 仮想マシンインベントリ名 Tenant1-WebVM001Tenant1-DBVM001
コンピュータ名 OSホスト名 WebVM001DBVM001
セキュリティタグ - 含む末尾が次の値と等しい先頭が正規表現に⼀致します
“Anti_VIRUS.virusFound.threat=high”
エンティティ 所属先(セキュリティグループ、もしくはvSphereオブジェクト)
- Datacenter
28
部門内VDI環境のマイクロセグメンテーション例
社内NW
同⼀セグメント
業務サーバ
部⾨内利⽤VDI
・横の通信禁⽌・業務サーバは利⽤可能 ○
デモVDI
・横の通信禁⽌・業務サーバは利⽤不可 ×
ドメインコントローラ
・AD関連の管理系通信以外はブロック
バックアップ⽤ファイルサーバー
・VDIからアクセス禁⽌・ランサムウェア対策
部⾨環境のため1セグメントで運⽤
ログイン画面
vSphere Web Clientにログインし、Networking & Securityを選択
拡⼤した絵を張る
NSXホーム画面
NSX設定のホーム画⾯から、ファイアウォールを選択
ファイアウォール設定
各ポリシーに沿ったファイアウォール設定が表⽰
ファイアウォール設定
vCenterの管理オブジェクトや任意設定のグループを対象とすることが可能
任意に設定したグループ
vCenterの管理オブジェクト・仮想マシン
・リソースプール
グループを作ってみましょう
任意グループの作成
NSX Manager ⇒ グループオブジェクト ⇒ 新規作成
①グループ名
②メンバー定義
たった2⾏!!ほぼこれだけの設定で完了
③例外的に含めるオブジェクト
④例外的に除外するオブジェクト
⑤完了
ファイアウォール設定
ソースとターゲットに、作成したグループや仮想マシンを選択ソース ターゲット
ファイアウォール設定
対象サービスとアクションを設定Raw IPで
サービスを追加
GUIでサービスを選択
アクション
36
構成、ライセンス、動作要件
37
構成例とコンポーネント
必須コンポーネント vSpherevDS
・vSphere ESXi・vCenter・vSphere Distributed Switch
※利⽤権はNSXライセンスに含むvCenter
分散ファイアウォールのみ利⽤ vSphere
vDSNSX
vCenter
・必須コンポーネント①・NSX ※ESXiにVIBをインストール・NSX Manager(仮想アプライアンス)・ESXiは1台から利⽤可能・NSX Controller×3台(サポート観点)
NSX Manager / Controller×3(仮想アプライアンス)
NSX Edge利⽤
vSpherevDSNSX
・①②のコンポーネント・NSX Edge ※必要数デプロイ・DLR Controll VM ※ルータ利⽤時・ESXiは3台以上を推奨
※Controllerを物理的に分散+アンチアフィニティルールでの移動制御
①
②
③ NSX Controller×3
vCenter
NSXManager
NSX Edge
⼤規模の推奨構成
参考構成
ControllVM
vSpherevDSNSX
vSpherevDSNSX
・・・・・
vCenter
・・・・・
上位NW
・NSX関連コンポーネントのみ独⽴したクラスタで構成※トラフィックフローの明確化※NSX関連のリソース確保
要件 構成概要 必要コンポーネント補⾜
38
NFVにおける構成例
• vDSが必須、NSXにライセンスが付属• MTU1600、XVLANホスト間通信• Edgeクラスタを構築
39
NSX動作要件
vSphere環境• ESXi / vCenter v5.5以上(Cross-vCenter環境では6.0以上)
• VMwareTools
分散仮想スイッチ(vDS)• vSphere 5.5 U2以前ではvSphere Enterprise Plusライセンスが必要• vSphere 5.5 U3/vSphere 6.0 以降はvSphereライセンス制限なし
(詳細:http://kb.vmware.com/kb/2135310)
※通常、vSphere Enterprise Plusライセンスが必要ですが、NSX側にvDSを利⽤するためのライセンスが含まれます(NSX環境のみで利⽤可)
各NSXコンポーネントをデプロイ可能な空きリソース(次ページに詳細)
物理ネットワーク機器のMTUサイズ 1,600以上• VXLAN利⽤時のみ
40
NSX関連コンポーネントとリソース
コンポーネント メモリ ディスク容量 vCPU
NSXマネージャ(1台)
16 GB(12 GB予約) 60 GB 4
NSXコントローラ(3台必須)
4 GB(2 GB予約) 20 GB 4
NSX Edge(必要数)
※HA構成時は2台分
Compact: 512 MBLarge: 1 GB
Quad Large: 1 GBX-Large: 8 GB
Compact: 500 MBLarge: 500 MB (+512 MB swap)
Quad Large: 500 MB (+512 MB swap)X-Large: 500 MB(+2 GB swap + 256MB)
Compact: 1Large: 2
Quad Large: 4X-Large: 6
Guest Introspection(各ESXiホスト 1台) 1 GB 5 GB 2
※Guest Introspectionは、AD連携・サードパーティ連携(後述)を利⽤する場合に必要な仮想マシンです。※NSXマネージャ以外のコンポーネントのリソースの設定変更はサポートされていません。
構成、利⽤する機能により、下記のコンポーネントが必要となります。
41
NSXライセンスの考え方
vSphere
NSXvSphere vSphere
NSXvSphere vSphere
NSXvSphere
NSX Standard
NSX Advanced
NSX Enterprise
NSX Advancedfor Desktop
NSX Enterprise1 Year Term
【課⾦対象:物理CPU数】NSXを利⽤する物理サーバに
搭載されているCPUのソケット数のライセンスが必要
【課⾦対象:仮想マシン数】NSX上に存在する仮想マシンの数だけ
25単位でライセンスが必要
【課⾦対象:同時接続数】NSX上の仮想デスクトップに
同時接続するユーザー(CCU)の最⼤数のライセンスが必要
NSX Enterprisefor Desktop
42
NSXエディションと利用可能機能
43
NSXライセンス定価
種類・エディション ライセンス定価 保守(24x365) / 1年
保守(平⽇)/ 1年
購⼊単位
Standard ¥346,000 ¥84,200 ¥70,700 ESXi 物理CPU
Advanced ¥779,800 ¥189,600 ¥159,300 ESXi 物理CPU
Enteprise ¥1,213,200 ¥295,000 ¥247,800 ESXi 物理CPU
Advanced for Desktop10 user
¥156,300 ¥38,000 ¥31,900 仮想デスクトップに同時接続する最⼤ユーザー数(CCU)※10ユーザー単位
Enterprise for Desktop10 user
¥242,700 ¥59,100 ¥49,600 仮想デスクトップに同時接続する最⼤ユーザー数(CCU)※10ユーザー単位
Advanced for Desktop100 user
¥1,562,400 ¥379,500 ¥318,800 仮想デスクトップに同時接続する最⼤ユーザー数(CCU)※100ユーザー単位
Enterprise for Desktop100 user
¥2,426,400 ¥590,300 ¥495,900 仮想デスクトップに同時接続する最⼤ユーザー数(CCU)※100ユーザー単位
Enterprise 1 Year Term
¥2,080,800 ¥506,000 ¥425,100 NSX環境の25VM / 1年
44
FWログを可視化 vRealize Log Insight
感染元の特定を迅速に実施可能ですNSXでの利⽤に限りNSXにライセンスが内包されています
VMware製品と親和性の⾼いログ管理(Content Packs)
⇒すぐに管理者へメール通知可能
45
vROps Management Pack for NSX
vROps連携でNSXのトポロジー管理機能を提供
vRealize OperationsAdvanced以上で利⽤可能
46
VMware NSX 導入事例
47
KEL 導入事例① 某製造業様 ネットワーク仮想化
番号 課題 導⼊効果① マルチテナント環境のセキュリティ NSXの分散ファイアウォールとVTEPの設定により、共通基盤でマルチテナント環境を実現
② 個⼈情報・医療情報を扱うシステムのセキュリティ NSXの分散ファイアウォールにより、マルチテナント間のセキュリティからさらに強化したファイアウォールポリシーを適⽤
③ NW構築、変更に伴うリードタイム 仮想マシンのNW設定(ルーティング、ファイアウォール)を仮想化環境側(vCenter)から実施可能になり、設定変更に伴うリードタイムを75%削減(約1カ⽉→約1週間)
④ NW構築、変更に伴う品質向上 仮想マシンのNW設定(ルーティング、ファイアウォール)を仮想化環境側(vCenter)から⾃社で実施することで、業者間の認識齟齬を回避し、品質向上を実現
⑤ NW構築、変更に伴う影響極⼩化 NSXの分散ファイアウォール、分散論理ルータにより、1社のNW設定の変更時、他社のNWに影響を及ぼさない(物理NWは共通、同セグメント)
⑥ NW構築、変更に伴う費⽤削減 仮想マシンのNW設定(ルーティング、ファイアウォール)を⾃社で実施することで、上記③〜⑤の作業を業者に依頼した場合の費⽤削減
⑦ L3通信のヘアピン構成 分散論理ルータにより、仮想化環境内でL3通信を実現(ヘアピン構成の解消)
⑧ NW機器の削減、リプレイス時のコスト削減 ロードバランサ、DHCPアプライアンス6台の仮想化により物理HWの調達コストの削減また、今後追加の際もHWコストがかからない
2015年 某製造業様事例・1,000VM規模の⼤規模仮想化基盤・約100社の関連会社のシステムを共通基盤で稼働・東京 – ⼤阪間の災害対策を実施(VMware SRM利⽤)・ESXi台数は東京45台、⼤阪38台・物理NWは別業者が構築、保守
お客様課題とNSX導⼊効果
48
KEL 導入事例② 某製造業様 ネットワーク仮想化
分散仮想スイッチ(VDS)
既存物理NW
Edge Service Gateway(ESG)
Edge Service Gateway
分散ファイアウォール
論理スイッチ
テナントA⽤VM
分散論理ルータ
基盤管理領域
テナント、基盤管理領域
共⽤領域
基盤mgt
テナントmgtService
○基盤管理者テナントに対するバックアップやジョブ管理、監視を⾏う
○テナント管理者、サーバ管理者テナントA⽤VMの管理やサーバ毎に任意でジョブ管理を⾏う
○基盤管理者テナントの要望に応じたネットワーク機能(ファイアウォール、ルーティング等)の配備やネットワークアドレスの管理を⾏う
管理⽤VM
○基盤管理者既存NWとプライベートクラウド基盤との接続管理を⾏うテナントの要望に応じてネットワーク機能を配備する
物理NWとの境界に配置既存NW環境やインターネットとの通信制御(FW、Router、LB・・)
テナント間およびテナント内のシステム単位でネットワーク機能を提供(FW、Router、LB・・)上位ESGの負荷を軽減
同⼀セグメント内の通信制御
テナント内の別セグメント間通信を制御ルーティングの際上位NWにトラフィックを流さない
サーバ、論理スイッチ単位およびプロトコル単位での通信制御マイクロセグメンテーションの実装
<NSX提供コンポーネント>
49
KELはトータルソリューでNSXをご提供します
VMwareプレミアパートナー
EUCエリートパートナーHrizon View
AirWatch
NSXエリートパートナー