データセンターグループネットワーク操作手順¶
複数の組織仮想データセンター(OvDC)間でネットワークを構築するには、最初にOvDCをグループ化してから、これらと共有されるグループネットワークを作成します。
本機能を用いる事でOvDC間のレイヤー2ネットワーク共有、単一のアクティブな出力方向ポイント構成、および分散ファイアウォール (DFW) のルールを提供します。
データセンターグループは、クロス仮想データセンタールーターとして機能します。
これにより、一元化されたネットワーク管理、出力方向ポイントの構成、グループ内のすべてのネットワーク間のEast-Westトラフィックが提供されます。
データセンターグループでは、1~16個の仮想データセンター(OvDC)を含めることができます。
マルチサイト機能と併用することによりサイト間仮想データセンタールーターとして利用する事が可能です。
データセンターグループ設定¶
1. データセンターグループの作成¶
- テナントポータル画面上部の[ネットワーク]タブをクリックし、[データセンター グループ]タブをクリックします。
- [新規] をクリックします。
- [起動中のVDC]よりデータセンターグループを構築するOvDCを選択します。
- 新しいデータセンターグループの名前と、オプションで説明を入力します。
- [参加しているVDC] 画面で、新しいデータセンターグループに含める追加のデータセンターを選択して、[次へ] をクリックします。
- データセンターグループの詳細を確認し、[完了] をクリックします。
1.1. サイト間データセンターグループの作成¶
マルチサイト機能と併用することによりサイト(Org)間共有ネットワークを実現するクロス仮想データセンタールーターとして利用する事が可能です。
注釈
事前にマルチサイト機能有効化手順にてマルチサイト化を行って下さい。
- テナントポータル画面上部の[ネットワーク]タブをクリックし、[データセンター グループ]タブをクリックします。
- [新規] をクリックします。
- [起動中のVDC]よりサイト間データセンターグループを構築するOvDCを選択します。
- 新しいデータセンターグループの名前と、オプションで説明を入力します。
- [参加しているVDC] 画面で、サイト間データセンターグループに含める各サイトのデータセンター(OvDC)を選択して、[次へ] をクリックします。
- データセンターグループの詳細を確認し、[完了] をクリックします。
警告
既に"Organization"が生成されている状態で再度作成を行うと以下のエラーメッセージが表示されます。
■メッセージ
・エラー
詳細メッセージ:{"detail":"An organization with specified name already exists"}
警告
マルチサイト機能により関連付けされているテナント(Org)の削除に伴い、
Org配下のOvDCを削除する場合、所属しているデータセンターグループのメンバーが0となる場合はエラーとなります。
削除対象でないテナント(Org)へデータセンターグループのメンバーとしてOvDCを新規に作成頂き、
データセンターグループのメンバーが0とならない環境をご用意頂くことで回避可能です。
注釈
以降の工程は初回作成時は不要です。
既にデータセンターグループを作成した後にサイト間データセンターグループを作成する場合に実施して下さい。
また、事前に起動中のVDCに作成されているデータセンターグループからEdge Gatewayの削除を行って下さい。
※サイト間データセンターグループにてEdge Gatewayを利用となります。
- テナントポータル画面上部の[ネットワーク]タブをクリックし、[データセンター グループ]タブをクリックします。
- 編集対象のデータセンターグループをクリックし全般設定を表示します。
- [Edge Gateway]ペインで[EDGEの追加]をクリックします。リストより接続するEdge Gatewayを選択します。
注釈
既に作成されているデータセンターグループよりEdge Gatewayを削除する場合は本ペインで[EDGE の削除]を選択します。
この際、IPVコンソール[NSX-T External Network]項目にてデータセンターグループからvDC接続に変更をして下さい。
2. データセンターグループ全般設定の表示および編集¶
- テナントポータル画面上部の[ネットワーク]タブをクリックし、[データセンター グループ]タブをクリックします。
- 編集対象のデータセンターグループをクリックし全般設定を表示します。
- [全般設定]ペインで[編集]をクリックします。
- データセンターグループの名前、および必要に応じて説明を入力し、[保存] をクリックして確認します。
3. データセンターグループの管理¶
- テナントポータル画面上部の[ネットワーク]タブをクリックし、[データセンター グループ]タブをクリックします。
- 編集対象のデータセンターグループをクリックし全般設定を表示します。
- [参加しているVDC] をクリックし、[管理] をクリックします。
- データセンターグループに追加するOvDCを選択し、[保存] をクリックして確認します。
注釈
既存データセンターグループをサイト間データセンターグループにする際には本項目で各サイトのOvDCを追加します。
4. データセンターグループの削除¶
注釈
削除時にはデータセンターグループにて設定できる機能群を削除、無効化を行って下さい。
利用機能が残っている場合、削除エラーとなります。
- テナントポータル画面上部の[ネットワーク]タブをクリックし、[データセンター グループ]タブをクリックします。
- 削除対象データセンターグループのラジオボタンをクリックします。上部メニュー[削除]をクリックします。
- 警告ダイアログ内の削除対象名を確認し[削除]をクリックします。画面内データセンターグループリストから対象データセンターグループが削除されたことを確認し削除完了となります。
IPセット設定¶
NSX Edge Gatewayが提供する各種機能(ファイアウォール、ロードバランサー)にてルール適用する際に利用するオブジェクトグループです。
複数のオブジェクトを IP セットにまとめることで、作成するルールの合計数を減らすことができます。
1. IP セットの追加¶
分散ファイアウォールルールを作成してデータセンターグループに追加するには、まずIPセットを作成する必要があります。
IPセットは、分散ファイアウォールルールが適用されるIP アドレスとネットワークのグループです。
複数のオブジェクトをIPセットにまとめると、作成する分散ファイアウォール ルールの合計数を削減できます。
- テナントポータル画面上部の[ネットワーク]タブをクリックし、[データセンター グループ]タブをクリックします。
- 分散ファイアウォール ルールを設定するデータセンターグループを選択します。
- [セキュリティ]->[IP セット]をクリックします。画面上部の[新規]をクリックします。
- [新規のIPセット]ダイアログの設定項目に従いIPセットを作成し、[保存]をクリックします。
設定項目 | 概要 |
---|---|
名前 | IPセットの名前を入力します。
|
説明 | IPセットの説明を入力します。
|
IPアドレス | IPセットに含めるIPアドレスをCIDRにて入力します。
例)
192.168.100.0/24
|
2. IP セットの削除¶
- テナントポータル画面上部の[ネットワーク]タブをクリックし、[データセンター グループ]タブをクリックします。
- [セキュリティ]->[IP セット]をクリックします。削除対象IPセットのラジオボタンをクリックします。画面上部の[削除]をクリックします。
- 警告ダイアログ内の削除対象IPセット名を確認し[削除]をクリックします。画面内IPセットリストから対象IPセットが削除されたことを確認し削除完了となります。
カスタムアプリケーションポートプロファイル設定¶
ファイアウォール、NATルールを作成する際に利用できるカスタム アプリケーション ポート プロファイルを作成できます。
アプリケーションポートプロファイルには、プロトコルとポートまたはポートのグループの組み合わせが含まれます。
Edge Gatewayにカスタムアプリケーションポートプロファイルを作成すると、同じOvDC内にある他のすべてのEdge Gatewayからそのプロファイルを表示できるようになります。
1. アプリケーション ポート プロファイルの追加¶
分散ファイアウォールルールを作成するには、アプリケーションポートプロファイルを使用します。
アプリケーションポートプロファイルには事前構成されたアプリケーションポートプロファイルとご利用者様にて定義可能なカスタムアプリケーションポートプロファイルがあります。
アプリケーションポートプロファイルには、プロトコル、ポートまたはポートグループの組み合わせが含まれます。
ポートグループは、ファイアウォールサービスにも使用されます。
- テナントポータル画面上部の[ネットワーク]タブをクリックし、[データセンター グループ]タブをクリックします。
- 分散ファイアウォール ルールを設定するデータセンターグループを選択します。
- [セキュリティ]->[アプリケーション ポートプロファイル]をクリックします。画面上部カスタムアプリケーションの[新規]をクリックします。
- [新規アプリケーション ポート プロファイル]ダイアログの設定項目に従いアプリケーションポートプロファイルを作成し、[保存]をクリックします。
設定項目 | 概要 |
---|---|
名前 | アプリケーションポートプロファイルの名前を入力します。
|
説明 | アプリケーションポートプロファイルの説明を入力します。
|
プロトコル | ポートプロファイルにて定義するプロトコルを指定します。
指定可能なプロトコルは以下となります。
1.TCP
2.UDP
3.ICMPv4
4.ICMPv6
|
ポート | ポートプロファイルにて定義するポートを指定します。
ポートはカンマ区切りにより複数入力可能です。
|
2. アプリケーション ポート プロファイルの削除¶
注釈
削除可能対象は"カスタムアプリケーション"のみとなります。
- テナントポータル画面上部の[ネットワーク]タブをクリックし、[データセンター グループ]タブをクリックします。
- [セキュリティ]->[アプリケーション ポートプロファイル]をクリックします。"カスタム アプリケーション"リストより削除対象カスタムアプリケーションのラジオボタンをクリックします。画面上部の[削除]をクリックします。
- 警告ダイアログ内の削除対象カスタム アプリケーション名を確認し[削除]をクリックします。画面内カスタム アプリケーションリストから対象カスタム アプリケーションが削除されたことを確認し削除完了となります。
分散ファイアウォール設定¶
分散ファイアウォール機能を構成する方法を記載します。
VMWare NSXソフトウェアが提供する分散ファイアウォール機能は水平方向のトラフィック(レイヤー2までの仮想マシンとアプリケーションに対する隔離と保護機能)に関するアクセス制御を提供します。
注釈
分散ファイアウォール ルールは、データセンターグループネットワークに接続されているワークロードにのみ適用されます。
本資料では標準的な分散ファイアウォールルール設定について記載します。
1. 分散ファイアウォール有効化¶
- テナントポータル画面上部の[ネットワーク]タブをクリックし、[データセンター グループ]タブをクリックします。
- 分散ファイアウォール ルールを設定するデータセンターグループを選択します。
- 左パネルメニューより[分散ファイアウォール]を選択します。「デフォルト ポリシーのステータス」を確認し、無効化されている場合は有効にします。※ステータスにて既に有効化状態か判別が行えます。
2. 分散ファイアウォールルールの追加¶
- 左ペインメニューより[分散ファイアウォール] を選択します。
- [ルールの編集]をクリックします。
- ルールを追加する場合は[最上部に新規作成]をクリックします。
- ルール名を名前欄に入力し、ルールを作成していきます。
アクション | 説明 |
---|---|
名前 | ルールの名前を入力します。
|
状態 | 作成時にルールを有効にするには、[状態]トグルをオンにします。
|
アプリケーション | ルールが適用される特定のポートプロファイルを選択する際に設定します。
[アプリケーションの選択]より"特定のアプリケーションを選択します"を有効にしてプロファイルを選択し[保存]をクリックします。(オプション)
|
コンテキスト | ルールが適用される特定のコンテキストプロファイルを選択する際に設定します。
"特定のプロファイルを選択します"を有効にしてプロファイルを選択し[保存]をクリックします。(オプション)
|
ソース | 鉛筆アイコンより設定内容を選択し[保持]をクリックします。
1.任意のソースアドレスからのトラフィックを許可または拒否するには、[任意のソース]を有効にします。(Anyとなります。)
2.特定のファイアウォールグループからのトラフィックを許可または拒否するには、リストからファイアウォールグループを選択します。
|
ターゲット | 鉛筆アイコンより設定内容を選択し[保持]をクリックします。
1.任意のターゲットアドレスからのトラフィックを許可または拒否するには、[任意のソース]を有効にします。(Anyとなります。)
2.特定のファイアウォールグループからのトラフィックを許可または拒否するには、リストからファイアウォールグループを選択します。
|
アクション | [アクション] ドロップダウン メニューからオプションを選択します。
1.指定されたソース、ターゲット、およびサービスとの間のトラフィックを許可するには[許可]を選択します。
2.ブロックされたクライアントに通知せずに指定されたソース、ターゲット、およびサービスとの間のトラフィックをブロックするには、[ドロップ] を選択します。
3.指定されたソース、ターゲット、およびサービスとの間のトラフィックをブロックし、ブロックされたクライアントにトラフィックが拒否されたことを通知するには、[拒否]を選択します。
|
IPプロトコル | IPv4またはIPv6のトラフィックにルールを適用するかどうかを選択します。
|
ログ記録 | このルールによって実行されたアドレス変換をログに記録する際に有効化します。
|
コメント | このルールの備考を入力できます。
|
- [保存]をクリックします。
3. 分散ファイアウォールルールの編集¶
- 上部ナビゲーションメニュー[ネットワーク]->[データセンターグループ] を選択します。
- 分散ファイアウォール ルールを設定するデータセンターグループを選択します。
- 左部パネルメニュー内[分散ファイアウォール] をクリックします。
- [ルールの編集]をクリックし作成ルールの編集を実行します。
アクション | 編集方法 |
---|---|
ルールの有効/無効化 | [状態]トグルにて有効/無効化を行います。
|
ルール名を編集 | [名前]セルをクリックして、新しい名前を入力することで行います。
|
ルールの設定(ソース設定やアクション設定など)変更 | 変更対象セル内"鉛筆アイコン"を選択し、表示されたコントロールを用いて行います。
|
ルールの削除 | ルールテーブル上部の[削除]ボタンをクリックすることで行います。
|
ルールの移動 | 移動対象ルールを選択し、ルールテーブル上部にある[上へ移動][下へ移動]をクリックすることで行います。
|
- [保存]をクリックします。