エージェントレス型による侵入防御/Webレピュテーションの実装

トレンドマイクロでVMwareテクニカルアライアンスを担当している栃沢です。

前回はエージェントレス型ウイルス対策を実現するために必要となるVMware NSXのサービス設定とDeep Securityとの連携について解説を行いました。
この連携を行うことで、ウイルス対策以外にも侵入防御（IDS/IPS）、Webレピュテーションなどの機能をエージェントレスで提供することも可能となります。
ウイルス対策は仮想マシン上でアクセス（読み取り/書き込み/コピーなど）をした「ファイル」に対して処理を行っています。一方、Deep Securityにおける侵入防御、Webレピュテーションは仮想マシンが送受信する「パケット」に含まれる情報に対して処理を行っており、ウイルス対策などの「ファイル」に対する処理とは異なる仕組みによってセキュリティ機能を提供しています。今回はそのアーキテクチャについて解説していきます。

NSX ManagerとGuest Introspectionの役割は変わらない

ウイルス対策に限らず、Deep Security Virtual Appliance（DSVA）を利用する場合には、NSXサービスが必要となりますので管理プレーンとしてのNSX Manager、制御プレーンとしてのGuest Introspectionが必要となります。（前回も記述）

• NSX Manager
  NSX Manager はすべての NSX コンポーネントの管理を実施する管理サーバとして動作します。vCenter Server とは別の仮想アプライアンスとして動作しますが、NSXが提供するサービスは vCenter Server から NSX Manager を経由して管理されます。
• Guest Introspection
  Deep Securityなどサードパーティ製品がセキュリティサービスなどを提供する際に必要な仮想アプライアンスとして保護対象となるESXiホストに配信されます。DSVAによる不正プログラム対策、変更監視、侵入防御、Webレピュテーションなどのセキュリティ機能をエージェントレスで提供するために必要な仮想マシン毎のNSXセキュリティポリシーの管理を行います。

ネットワークイントロスペクションサービス

実際に仮想マシンが送受信する通信を検査するためには、ハイパーバイザーからDSVAに対してパケットを転送（リダイレクト）をさせるが必要があります。そのためにはNSXセキュリティポリシーで必要なルールを設定する必要があります。パケットのリダイレクトにはネットワークイントロスペクションサービスを設定します。

ネットワークイントロスペクションサービスで「サービスのリダイレクト」を指定して、サービス名から「Trend Micro Deep Security」を選択することにより、NSXセキュリティポリシーが適用された仮想マシンに対する通信をDSVAに対して転送（リダイレクト）されるようになります。リダイレクトさせる通信は送信元・送信先・サービスで制限すること可能となるため、仮想マシンの送信方向、受信方向それぞれにネットワークイントロスペクションサービスのルールを設定することが必要です。

パケット処理の流れとDeep Securityでの処理

仮想マシンのVNICからのパケットはハイパーバイザー上の仮想スイッチ上のdvFilterによって、NSXセキュリティポリシーに設定したネットワークイントロスペクションのルールに則ってリダイレクトされます。
ネットワークイントロスペクションを理解する上で重要なコンポーネントがdvFilterです。

• dvFilterはネットワークイントロスペクションが有効化されると機能します。
• dvFilterにはスロット（Slot）が複数用意されており、リダイレクトするサービス毎にSlotが割り当てられます。Slotには入力パスと出力パスが設定されています。
• Slot 0-3はVMware用に予約されており、分散ファイアウォールを有効にした場合にはSlot 2が割り当てられます。
  DSVAをはじめとする3rd Party製品はSlot 4-11までに割り当てられます。
• 通信はSlot 0から若い番号から順次有効なSlotにリダイレクトされます。Slotに割り当てられたサービスを入れ替えることで適用されるサービスの順番を入れ変えることも可能です。

実際にどのようにパケットが処理されているのか、上の図を例に見ていきましょう。

1. 仮想マシンからの通信をパケットはdvFilterが分散ファイアウォールへのSlot の入力パス経由でリダイレクトされます。
2. 分散ファイアウォールは設定されたファイアウォールポリシーに従ってパケットの制御を行います。
3. 分散ファイアウォールを通過したパケットは、Slotの出力パス経由でdvFilterに戻され、ネットワークイントロスペクションサービスの設定に基づき、次に割り当てられているDeep SecurityのSlotにリダイレクトされます。
4. リダイレクト先となるDSVAはDeep Securityセキュリティポリシーに従って、ファイアウォール、侵入防御、Webレピュテーションなどの機能によりパケットを検査し、必要な処理を行います。
5. DSVAでの検索も通過したパケットはSlotの出力パス経由で再びdvFilterに戻され、仮想スイッチから外部のネットワークへ送信されます。

上記では仮想マシンからの送信トラフィックを例に記載をしましたが、仮想マシンへの受信トラフィックも同様にSlotの若い番号のサービスから順次パケットはリダイレクトされていきます。

まとめ

VMware NSXのパケット処理の仕組みをセキュリティ機能の観点から解説をしました。
DSVAはネットワークイントロスペクションサービスがリダイレクトするパケットに対してDeep Securityの機能を提供するように設計されていることがご理解いただけたのではないでしょうか。
VMware NSX環境でDSVAを利用する場合には、ファイアウォール機能はNSX分散ファイアウォールで実装して、Deep Securityのファイアウォール機能はOFFにしておくことを推奨しております。ファイアウォールのようなパケットヘッダーの処理を高速に行う処理は、仮想アプライアンスとして提供されるDSVAでソフトウェア処理するよりも、ハイパーバイザーで処理される分散ファイアウォールのほうが高速に処理することを期待できます。
シンプルなアクセス制御は分散型で高速に処理できるNSXで行い、パケットの内部を検査するような侵入防御やWebレピュテーションをDeep Securityで実施いただくことでサーバ環境のセキュリティを効率的に強化することも検討いただければと思います。

執筆者：
トレンドマイクロ株式会社
セキュリティエキスパート本部
パートナービジネスSE部 パートナーSE2課
栃沢 直樹（Tochizawa Naoki）

【VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化】

1. 1. Horizon インスタントクローンにも適用可能！仮想デスクトップ環境にフィットしたセキュリティ対策
   2. VMware NSX + Deep Secuirty連携によるエージェントレスセキュリティとは？
   3. VMware NSX + Deep Security連携にかかわるコンポーネントと基本構成
   4. VMware NSXとDeep Securityのユースケースと実現できることとは？
   5. エージェントレス型ウイルス対策のアーキテクチャ（１）
   6. エージェントレス型ウイルス対策のアーキテクチャ（２）
   7. エージェントレス型による侵入防御/Webレピュテーションの実装

The post VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化 (7) appeared first on Japan Cloud Infrastructure Blog.

読者の皆様こんにちは！2017 年 4 月に VMware に入社しました、新卒第 4 期生の馬場浩太と申します。
「新卒社員が贈る NSX のキソ！」も第 4 回となりました。ブログの第 1 回では、ネットワークを仮想化することで、ネットワーク機能を様々な物理環境の制約から解放し、運用負荷を軽減する、と説明しました。第 4 回は、 NSX Data Center の「ネットワークの仮想化」の本質である、論理スイッチをテーマに（図 1）、この仕組みを技術的に理解し、NSX スゴイ！使ってみたい！提案したい！と感じていただくことを目的としています。

図 1 論理スイッチ作成前のネットワーク図（仮想マシン同士は通信できていない）

さて、ネットワーク仮想化をすることで、その運用負荷が大幅に削減される？本当でしょうか？外資ベンダーはいつも都合のいいことばかり言いますので、疑ってかかることは重要です。ネットワークを仮想化する前の、仮想マシンを新規ネットワーク上に構築するオペレーションについて具体的に確認してみましょう。

【サーバ側】
・標準仮想スイッチ （vSS：vSphere Standard Switch）の場合、通信に関連するすべての ESXi ホストに対して、追加する VLAN のポートグループを作成し、仮想マシンを追加したポートグループに所属させる
・分散仮想スイッチ（vDS：vSphere Distributed Switch）の場合、追加する VLAN のポートグループを 1 つだけ作成し、仮想マシンを追加したポートグループに所属させる

【物理ネットワーク側】
・通信に関連するすべての物理スイッチに対して、VLAN を作成する
・通信に関連するすべてのトランクポートに対して、Allowed VLAN を設定する
・PVST+ など、VLAN 単位でスパニングツリーを構成している場合、追加する VLAN に応じてスパニングツリーの設定をする

【その他】
・ネットワーク担当者に連絡して動いてもらう

図 2 ネットワーク仮想化前に新規ネットワークを追加する場合のオペレーションの一例

なぜこのようなオペレーションが必要なのでしょうか？それは、物理ネットワーク機器が仮想マシンを認識しているからです。
「新卒 SE 社員が贈る vSphere のキソ！」第 2 回では、「仮想マシンに入っている OSはあたかも物理サーバ上で動作していると思い込んでいる」と紹介しました。当然、物理ネットワーク機器も、仮想マシンを 1 つの物理サーバ/物理マシンと思い込んでいます。彼らにとって、物理か仮想かは関係がないのです（図 3）。

図 3 物理ネットワーク機器の認識する通信は物理サーバではなく仮想マシン

具体的には、異なる ESXi ホスト上の仮想マシン同士が通信をする時、物理ネットワーク機器を通るパケットは、仮想マシンの MAC アドレス/IP アドレスを送信元/送信先とします（ESXi ホストを送信元/送信先とはしません！）。つまり、仮想の世界の通信にも関わらず、物理の世界にも影響を及ぼしているのです。
仮想マシンが増えれば増えるほど、物理ネットワーク機器が認識する仮想マシンの数も増えてしまいます。そして、それらが接続されるネットワークの数が増えれば増えるほど、物理ネットワーク機器へのオペレーションはますます複雑になり、新規ネットワークを追加するときにでさえ、物理機器への面倒な作業が不可欠となり、ネットワーク担当者に動いてもらう必要があるのです。

仮想の世界の通信は、仮想の世界で完結してしまいませんか？

このような、NSX Data Center のネットワークの仮想化を実現するのが論理スイッチです。VXLAN という技術を使うことで、vDS 上にある仮想マシンを、論理スイッチという仮想ネットワーク上に接続させることができます。NSX Data Center では、クラスタの集合であるトランスポートゾーンと呼ばれる単位で、論理スイッチを有効化します。
先ほど、どの仮想マシンがどの仮想マシンに通信したかを、物理ネットワーク機器が認識してしまう、と説明しました。すなわち、MAC アドレステーブルなどの各種テーブルや ACL（アクセスコントロールリスト）などの情報は、通常は仮想マシンの MAC アドレス/IP アドレスで照合されるというわけです。
NSX Data Center を導入した場合、仮想マシン間の通信は各 ESXi ホストが持つ VTEP と呼ばれるインターフェース間の通信への置き換えられ、物理ネットワーク機器が認識する通信は、仮想マシンではなく VTEP となります。したがって、物理ネットワーク機器の持つ各種テーブルや ACL などの情報は、VTEP の MAC アドレス/IP アドレスで照合されるようになります（図 4）。

図 4 物理ネットワーク機器の認識する通信は論理スイッチによりVTEP に

これによって何が変わるでしょうか？再び、仮想マシンを新規ネットワーク上に構築する場合を考えてみましょう。vSS や vDS の場合に必要なオペレーションが、論理スイッチの場合はどうなるでしょうか？

【サーバ側】
・vSS の場合、通信に関連するすべての ESXi ホストに対して、追加する VLAN のポートグループを作成し、仮想マシンを追加したポートグループに所属させる
・vDS の場合、追加する VLAN のポートグループを 1 つだけ作成し、仮想マシンを追加したポートグループに所属させる
→ ポートグループはもはや意識する必要がありません。作成した論理スイッチに、仮想マシンを接続するだけです。

【物理ネットワーク側】
・通信に関連するすべての物理スイッチに対して、VLAN を作成する
→ 必要ありません。物理ネットワーク機器が認識する VTEP に変化がないためです。
・通信に関連するすべてのトランクポートに対して、Allowed VLAN を設定する
→ 必要ありません。物理ネットワーク機器が認識する VTEP に変化がないためです。
・PVST+ など、VLAN 単位でスパニングツーを構成している場合、追加する VLAN に応じてスパニングツリーの設定をする
→ 必要ありません。物理ネットワーク機器が認識する VTEP に変化がないためです。

【その他】
・ネットワーク担当者に連絡して動いてもらう
→ 必要ありません。vCenter Server から新規ネットワークを作成できるためです。VTEP には影響がありませんので、物理ネットワーク機器にも影響はありません。

図 5 ネットワーク仮想化で新規ネットワーク作成の手間は大幅に削減

どうでしょう？あれだけ手間がかかっていた新規ネットワーク構築作業が、物理スイッチへのログインを一切することなく、vSphere Web Client 内だけで完結しました。不思議ですよね？これが NSX Data Center によるネットワーク仮想化のスゴさです。NSX Data Center の論理スイッチの本質は、このような仮想マシン間の通信を隠蔽する、というところにあります。これにより、仮想の世界でいくら新しいネットワークを作成しても、物理ネットワーク機器側からは VTEP 間の通信と認識され、その判断ができません。したがって、物理ネットワーク機器に手を加えず、サーバ側で自由にネットワークを払い出すことができるようになり、ネットワークの運用負荷が大幅に削減されるのです。NSX Data Center が構築する仮想ネットワーク、すなわちオーバーレイの世界にとって、VTEP 間の通信、すなわち仮想ネットワークを支えるアンダーレイの世界はどうだっていいのです。
最後にまとめとして、もう一度、皆様にこの言葉を捧げたいと思います。

仮想の世界の通信は、仮想の世界で完結してしまいませんか？

おわりに
いかがだったでしょうか？今回は論理スイッチについて説明いたしました。論理スイッチを作成することで、仮想マシン間は物理ネットワークの制約を受けず、自由に仮想ネットワーク上で L2 接続ができるようになります（図 6）。

図 6 論理スイッチ作成後のネットワーク図（仮想マシン同士は L2 で接続）

しかしながら、これは NSX Data Center の魅力のほんの一部でございます。NSX Data Center にはまだまだ紹介していない機能、それによってもたらされる価値がたくさんございます。例えば、今回はNSX Data Centerの論理スイッチという L2 の部分だけをお話しましたが、次回はこの論理スイッチ間の「ルーティング機能」を提供する分散論理ルータ、Edge ルータをご紹介します。

コラム ～VXLANについて～
お気づきになられた読者も多いかとは思いますが、NSX Data Center の論理スイッチでは、ESXi ホスト単位でトンネリングを行っています。これについて補足します。
スイッチは L2 レベル、すなわち MAC アドレスを見てパケットを判断し、適切なポートから他の機器へパケットを伝達します。ルータは L3 レベル、すなわち IP アドレスを見て、パケットを判断し、適切なポートから他の機器へパケットを伝達します。
この時、スイッチやルータは、図 7 のように、パケットの先頭にある情報しか見ません。つまり、もし図 7 のようにパケットの先頭に本来のものとは異なる MAC アドレス/IP アドレスが付与された場合、スイッチやルータは一番先頭にある MAC アドレス/IP アドレスしか見ませんので、本来のパケットの送信元/送信先を捻じ曲げることができます。これがカプセル化です。
NSX Data Center では、VTEP の MAC アドレス/IP アドレスで、本来のパケットをカプセル化します。パケットがカプセル化されたことを物理ネットワーク機器は判断できず、VTEP の MAC アドレス/IP アドレスを見て、送信先仮想マシンが存在するサーバの VTEP にそのままフォワーディング/ルーティングしますが、パケットを受け取った VTEP はカプセル化されたことを判断できます。すなわち L3 以上の VXLAN ヘッダを見ますので、そこでカプセルが外され、送信先仮想マシンが存在する ESXi カーネル上で本来のパケットを処理するわけです。実は、VTEP はトンネルの入り口や出口なのです。

図 7 物理ネットワーク機器が認識するパケットのヘッダの違い

さて、もう少し論理スイッチと VXLAN を深堀りしてみましょう。トンネリングをすることで、サーバ間のネットワークが何であれ、 1 本の仮想の専用線、L2 ネットワークで接続することができます。まさに、サーバ間の複雑なネットワークを、トンネルで束ねて隠してているイメージですね。この、複雑なネットワークをトンネルで束ねて隠し、同じ L2 ネットワークでつなぐことを「L2 延伸」と呼びます。L2 延伸をすることで、vMotion が必要とする L2 サービスを、安定的な標準化技術である L3 ネットワーク上で構成することが可能となります。そしてこれは、本ブログの最終回でお話しするような、複数のデータセンター間の仮想ネットワーク環境の構築や、VMware のビジョンでもあるクロスクラウドを実現するために必要な技術です。
L2 ネットワークを単に広げるのは簡単です。しかしながら、ある程度の規模の L2 ネットワークを、どのように安定的に構成・管理するかはネットワークエンジニアの長年の課題でした。ブロードキャスト範囲の増加、それによる帯域圧迫、ループを防ぐための STP、新たなソリューションが出たとしてもベンダー独自技術の習熟コストがかかってしまうなど、L2 ネットワークを「安定的に」広げるのは、案外難しいのです。
論理スイッチは、これらの課題に対する 1 つの答えと言えます。NSX Controller がVTEP とそれに紐づく仮想マシンのテーブルを持っているため、必要のない ESXi ホストにはブロードキャストは届きません。論理スイッチ上ではループは生じませんし、VXLAN は VMware 独自の技術でもありません。VMware の NSX Data Center は、ハイパーバイザーである ESXi と VXLAN を効果的に組み合わせることで、ネットワーク運用負荷の削減と、L2 延伸によるネットワークインフラの抽象化を実現するのです。

－VMware SE 馬場浩太

The post 新卒 SE 社員が贈る NSX のキソ︕第 4 回〜論理スイッチがもたらす NSX Data Center の オーバーレイネットワーク〜 appeared first on Japan Cloud Infrastructure Blog.

こんにちは！「新卒 SE 社員が贈る NSX のキソ！」第 5 回を担当する VMware 新卒第 4 期生の笠井伶花と申します。
前回の第 4 回では、論理スイッチをテーマに仮想環境のネットワークを VXLAN で払い出すことで物理環境に手を加えず、サーバ側で自由に仮想ネットワークを払い出すことができるというお話をしてきました。
構成図で見ると、図 1 のところまで完成している状態ですね。

図 1 第 4 回で完成した構成図

しかし、ここまでのお話で VXLAN によるセグメントをまたいだ通信はどうするんだろう？という疑問を持ったかたもいらっしゃるのではないでしょうか。そこで、第 5 回では、異なるセグメントネットワーク間の通信に欠かせない「NSX Data Center のルーティング機能」についてご紹介いたします。

VXLAN によるセグメントをまたいだ通信をする場合、もちろんルーティングが必要になります。しかし、VXLAN で払い出した仮想ネットワークのセグメント間のルーティングを従来通り物理のルータで行うとしたらどうなるでしょうか？ 第 4 回でもお話がありましたが、結局はトラフィックが 1 度仮想化されたネットワークの外に出てしまいます。また物理ルータへの設定が都度必要になってしまうのです。折角サーバ側で自由にネットワークを払い出すことが出来るようになったのに、ルーティングで結局物理ネットワーク側での設定変更が必要になっては意味がありません。
しかし、NSX Data Center ではルーティング機能に関しても仮想の世界の中だけで行う機能を備えているんです！

1. NSX Data Center のルーティング機能

NSX Data Center には実は 2 種類のルーティング機能があります。1 つは NSX Edge の機能の 1 つである仮想ルータによるルーティング、もう 1 つは、ハイパーバイザのカーネルに組み込まれた分散論理ルータによるルーティングです。
しかしこの 2 種類のルーティングは一体何が違っているのか、ややこしいですよね。そこで、ここからは NSX Edge のルータ、分散論理ルータについてそれぞれ特徴を見ながら、2 つのルータの違いとメリットについて理解していきましょう。

2. NSX Edge Service Gateway とは ～NSX Edge を使うメリット～

第 2 回の主要コンポーネントの紹介の部分で簡単に説明しましたが、NSX Edge はネットワーク機能を提供する仮想アプライアンスです（図 2）。従来、物理ネットワーク機器で提供されていた各種ネットワーク機能を仮想マシンで提供しているというと分かりやすいかもしれません。NSX Edge はルータ、NAT、ファイアウォール、ロードバランサー、VPN、DHCP といった機能を提供することができます。

仮想アプライアンスの NSX Edge を使うと、例えば、従来では物理ネットワーク機器での運用が必要だったネットワーク機能と比較して、「仮想マシンだからこそ」の簡単かつ素早いネットワーク機能の展開、展開が簡単だからこその短期間でのスケールアウトの実現、そして、物理ネットワーク機器のダウンサイジングによるコスト縮小、といったメリットが得られます。また、NSX Edge の管理・運用についてもバラバラの管理コンソールではなく、vSphere Web Client で一元的に管理可能なことも管理者側から見て魅力的な部分です。

図 2 NSX Edge によるルータを含む構成図

2.1 NSX Edge Service Gateway のルータ　～North-South 方向のルーティング～

NSX Edge は物理ネットワーク機器が仮想アプライアンスになったイメージと言いましたが、物理ネットワーク機器のルータを使った場合と NSX Edge のルータを使った場合のトラフィックの流れと比べると図 3 のようになります。物理ネットワーク機器の代わりに NSX Edge のルータがルーティング処理していますね。また、ネットワーク仮想化環境で通信が完結する場合は、L3 スイッチまでトラフィックがあがらずに Edge で処理することができます。
このように NSX Edge ルータは、特に仮想ネットワークと外部ネットワーク間の通信、すなわち North-South 方向の通信のルーティングを処理するときに適しています。

図 3 物理ルータと NSX Edge ルータのルーティング経路の比較

では、データセンター内の通信、いわゆる East-West 方向のルーティングでは NSX Edgeルータを使わないのでしょうか？実は East-West 方向のルーティングに関しては、もっとトラフィックを減らせる最適な方法を NSX Data Center は持っているんです。

それが次に説明する「分散論理ルータ」です。

3. 分散論理ルータ（Distributed Logical Router/DLR）

さて、NSX Data Center が持つもう 1 つのルーティング機能、「分散論理ルータ」。この機能は NSX Data Center だからこそ、という特徴を持っています。この回の最初にお話した通り、従来の物理ルータによるルーティングは、同じホスト上にあるセグメントが異なる仮想マシン同士が通信しようとすると、1 度必ずホストからパケットが出て物理ルータで処理されてから、再度同じホスト上にある送信先仮想マシンにパケットが届きます。

なんだか遠回りしていると思いませんか？

このルーティングでは、同じホスト上に仮想マシンがあるにも関わらず 1 度通信がホストからネットワークに出てしまうため、その分ヘアピン通信（同じホスト上にある仮想マシン間の通信がホストから 1 度出て、また元のホストに戻るような通信）が発生してしまいネットワーク機器が処理するパケットの量が増大してしまいます。また、仮想ネットワークの追加・変更時には、物理ネットワーク機器への設定変更が必要になってしまいます。

実はこれらの問題を「分散論理ルータ」で一気に解決できてしまうんです！

3.1 分散論理ルータによるメリット　～East-West 方向トラフィックの最適化～

まず、ヘアピン通信の問題から見ていきましょう。
実はデータセンター内における通信のうち約 7 割はマシン-マシン間での通信であるとも言われています。つまり、仮想サーバで構成されたデータセンターでは、仮想マシン同士の通信によるトラフィックの量が大きいのです。この East-West 方向のトラフィックの最適化を分散論理ルータはどう実現しているのでしょうか？

実は分散論理ルータの正体はハイパーバイザー カーネル モジュールに組み込まれたルーティング機能です。もう少し噛み砕いて言うと、同じ設定のルーティングテーブルを持ったルータが複数の ESXi ホストのカーネル モジュールに実装されるイメージです。分散論理ルータでは、送信元の仮想マシンからパケットが投げられると、そのホスト内の分散論理ルータでルーティング処理され、そのまま送信先の仮想マシンにパケットが届けられます。

分散論理ルータでは、ダイナミックルーティングで構成する場合、ルーティング情報を集中して制御している「分散論理ルータコントロール仮想マシン」がルーティング情報を NSX Controller クラスタに集約し、NSX Controller から各ホストに情報をプッシュすることでルーティングの構成が各分散論理ルータに共有されます（図 4）。

図 4 分散論理ルータのルーティング情報の共有の仕方

ちなみに、スタティックルートで構成する場合は、新たにルートを学習することはないため、分散論理ルータコントロール仮想マシンは必要なく、静的に設定された分散論理ルータの構成が Controller クラスタから各 ESXi ホストにプッシュされます。

このように、各ホストのカーネル モジュールに構成された分散論理ルータがルーティングの情報を持っているため、ホスト内の分散論理ルータでルーティング処理ができるのです！

分散論理ルータを使った場合のトラフィックの流れは、図 5 のようになっています。まず、ルーティング処理は送信元の仮想マシンがのっているホスト内の分散論理ルータで処理されるため、1 度、物理ルータ、もしくは Edge を使用している場合は Edge に行く必要がなくなります。

もう少し詳しく説明しますと、図 5 の赤い線が示すように、送信先の仮想マシンがローカルのホスト上に存在する場合、ネットワーク側にパケットが転送されることなく、ローカルのホスト内でルーティングが完結するんです！
また、図 5 の橙色の線を見てもらうと分かるように、送信先の仮想マシンが別のホストに存在する場合は、分散論理ルータでルーティング処理が行われた後に VXLAN で該当の仮想マシンが起動しているホストまでパケットが転送されます。どちらの場合も仮想マシン間でルーティングを行うにあたり、物理ルータや Edge にパケットを転送する必要がありません！
このようにして East-West 方向におけるルーティングのトラフィックの最適化を可能にしているのです。

図 5 分散論理ルータによるルーティングの経路

そして皆様、本ブログ第 4 回の VXLAN の話を思い出してください！
VXLAN を使えば、物理ネットワーク機器への VLAN 設定変更は必要ない、というお話がありましたね。つまり分散論理ルータでルーティング処理された後は VXLAN による通信で転送される、すなわち L2 の通信ということですから、このときの物理ネットワークはただのパケットの通り道になっているんです。

ここまでくるとお気づきでしょう。
分散論理ルータを使うと、仮想マシン間のルーティングを行うための物理ルータは必要ありません！そして、ルーティング処理の追加・変更時においても物理ネットワーク機器への設定変更も必要ありません！
従来の物理ルータによるルーティングの問題が仮想ネットワークのルータにより解決されたのがお分かり頂けたでしょうか？

4. まとめ

最後に改めて NSX Data Center の持つ 2 種類のルーティング機能の特徴とメリットをそれぞれ整理しましょう。

① NSX Edge のルータと分散論理ルータは適しているトラフィックの方向が違います！
分散論理ルータは East-West 方向のルーティングのトラフィックを最適化します。NSX Edge のルータの使いどころは、外部（物理）ネットワーク-仮想ネットワーク間の通信をルーティングすること、すなわち North-South 方向の通信のルーティングです。

図 6 論理図で見る NSX Data Center の 2 種類のルーティング

② VXLAN による L2 通信と同様、仮想ネットワーク内におけるルーティングまわりの設定追加・変更を物理ネットワークから切り離して実施できるため、ネットワーク運用の工程削減の実現が可能になります！

③ 2 種類のルーティングのデザインを活用し、ネットワーク処理の最適化を行うことで、物理ネットワーク機器のダウンサイジングが可能になります！

5. おわりに

ここまででスイッチ、ルータといったネットワークの基本が NSX Data Center の機能で仮想化の世界で閉じて実現しましたね（図 7）。

図 7 NSX Data Center のルーティング機能を実装した構成図

でもこれではまだセキュアなネットワーク環境にはなっていません。VXLAN で払い出した仮想ネットワークのセグメント間でも通信をさせたくない・・そんな状況ももちろん出てきますよね。

そこで次回の「新卒社員が贈る NSX のキソ！」では、セキュアなネットワークを実現する NSX Data Center のファイアウォール機能についてご紹介します！お楽しみに！

－ VMware SE 笠井伶花

The post 新卒 SE 社員が贈る NSX のキソ！第 5 回～仮想化されたネットワークのルーティング～ appeared first on Japan Cloud Infrastructure Blog.

こんにちは！「新卒 SE 社員が贈る NSX のキソ！」、第 6 回を担当する、VMware 新卒第4 期生の黒沢勇です。前回は、異なるセグメント間の通信に欠かせない「NSX Data Center のルーティング機能」についてご紹介させて頂きました。第 5 回までの内容で図 1 のような VXLAN、分散論理ルータ、Edge ルータを組み合わせた柔軟なネットワークを構築することが可能となりました（図 1）。

図 1 第 5 回で完成したサンプル構成図

さて、前回まで NSX Data Center を使うと、いかにネットワークを柔軟に構築できることをお話してきました。ですがここで気になることは、「セキュリティはどうなっているの？」というところです。従来はセグメントの境界に対して物理ファイアウォールを設置し、セグメント内に対してはアクセスリストを使用したセキュリティを用いていることが一般的でした。しかし、物理機器のみで構成されたセキュリティにはいくつかの課題が出てきています。今回は、NSX Data Center がどのように仮想環境でファイアウォール機能を提供し、課題を解決するのかをお話します！まずは、NSX Data Center のファイアウォールの概要についてお話していきましょう。

1. NSX Data Center が提供する2種類のファイアウォールの機能
第 5 回で NSX Data Center が提供するルーティング機能は 2 種類あるというご説明をさせていただきましたが、実はファイアウォールについても NSX Data Center は２種類の機能を提供しています。

1.1 NSX Edge Service Gatawayのファイアウォール機能
1 つ目は、NSX Edge Service Gateway（以下 NSX Edge）が提供するネットワーク機能の １ つである仮想ファイアウォールです（図 2）。

図 2 NSX Edge ファイアウォール

第 5 回で NSX Edge で North-South 方向のルーティングを行えることをご説明しましたが、NSX Edge にはルーティング以外の機能を持たせることもできます。ファイアウォール機能も NSX Edge  機能の一部であり、従来の境界ファイアウォールと同様にセグメントの境界に設置することで、トラフィックの制御を行うことができます。ファイアウォール機能を持った仮想マシンとして機能を提供するため、素早い払い出しや、物理コストをかけずにすむなど、物理ネットワーク機器にはなかったメリットを得ることができます。

1.2 分散ファイアウォール
2 つ目は分散ファイアウォールと呼ばれる機能です。ハイパーバイザー カーネル モジュールに組み込まれており、仮想マシン1 つ 1 つに対して個別にファイアウォールルールやアクセスコントロールなどのセキュリティポリシーを適用することができます（図 3）。さらに、分散ファイアウォールのルール情報はホスト間で共有されているので、vMotion や DRS で仮想マシンが移動しても設定が引き継がれるという特徴を持っています。

図 3 分散ファイアウォール

どちらのファイアウォールも、これまで物理ファイアウォールで処理していたトラフィック制御をハイパーバイザや仮想マシンへ分散することが可能となります。その結果、トラフィックを最適化したり、セキュリティをより強固にしたり、柔軟な設定を行うことができるようになります。

2. 従来の物理ファイアウォールの課題を NSX Data Center が解決！
さて、NSX Data Center のファイアウォールが 2 種類あることはおわかりいただけたと思いますが、この 2 つのファイアウォールがどのように従来の課題を解決するのでしょうか？３ つの課題から考えてみましょう。

2.1 標的型攻撃の被害が広範囲に広がる
今回は図のような、事業部ごとに Web3 層構成のシステムが存在するケースを考えてみましょう（図 4）。

図 4 サンプルシステム図

今回の例ではシステムがフラットな L2 セグメントを持っており、社外との通信に対して境界ファイアウォールで制御を行っています。しかし、内部通信を行うときにはファイアウォールを通過しないため、社内のセキュリティレベルが同じ状態になっています。でも、よく考えてみると同じ L2 セグメントにあるからといってセキュリティレベルが一緒とは限りませんよね？財務部のサーバと、個人情報が詰まっている人事部のサーバは明らかにセキュリティレベルが異なります。
ここで、財務部のサーバがもしインターネット上からウィルスやマルウェアなどの標的型攻撃を仕掛けられてしまった場合を考えてみましょう。（図 5）

図 5 財務部のサーバが感染

標的型攻撃は感染をすると同じセグメントのマシンへ被害を広げようとします。そのため、感染したサーバが他のサーバへと通信できる状態だと、サーバ １ つが感染しただけで、被害は同じセグメント全体に及んでしまいます（図 6）。

図 6 同じセグメントに感染が拡大

さらに、同じセグメントからの通信はファイアウォールを通らないため、アラートすら上がらないことも多いです。気づかない内に攻撃されて、気づいた時には機密情報や個人情報が盗まれていた…なんてことも起こり得ます(図 7)。

図 7感染したサーバから情報が漏えい

では、どのように NSX Data Center のファイアウォールがこの課題を解決するのかをお話させていただきます。実は、L2 セグメントが同じシステムであったとしても、通信が必要ないという場合は多々あります。しかし、従来の境界ファイアウォールはセグメント内の通信には手が出せないため、通信を許す状態になっていました。
ここに分散ファイアウォールを設定することにより、L2 セグメント内の通信を厳しく制限をかけることができます。このファイアウォール設定により、感染したサーバは他のマシンと通信が行えないので感染を広げることができなくなります（図 8）。

図 8 分散ファイアウォールで標的型攻撃の感染を抑制

境界型ファイアウォールを設置するだけではセグメント内の通信ができる状態なので被害が拡大してしまいますが、分散ファイアウォールを使えば他のマシンとの通信を遮断することができるので、感染が拡大しなくて済むのです！
ご存知とは思いますが、境界型のファイアウォールは突破される可能性が ０ ではありません。分散ファイアウォールを設定することによって被害を最小限にとどめられるのは、とても安心ですよね。

2.2 ヘアピン通信を分散ファイアウォールで解決
セキュリティレベルを高めるために、常にファイアウォールを通過する形で、通信を行うようにしているお客様もいらっしゃると思います。この場合、ネットワークのトラフィックパターンが複雑になり、余計な経路を通るヘアピン通信が発生してしまいます。1 回 1 回物理ファイアウォールを通ると、物理機器に負担がかかるうえに、遅延も大きくなってしまいます。
ここに分散ファイアウォールを導入するとどうなるのか考えてみましょう。ハイパーバイザー内部にファイアウォール機能を持っているので、いちいち物理ファイアウォールを通過する必要がなくなります。これで、仮想マシン間のヘアピン通信が発生しなくなるので、物理機器への負担を小さくすることができます。そのためシンプルなトラフィックパターンとなるので、物理機器のダウンサイジングや運用コストの低下も期待できます（図 9）。

図 9 ヘアピン通信と分散ファイアウォール

2.3 どっちを取る！？ vMotion の自由度とセキュリティ
これまでのネットワーク環境はセキュリティ機能が物理機器頼りになっているため、vMotion の自由度と、セキュリティのどちらかを犠牲にしているような形が多々見られます。ご存知と思いますが、仮想マシンを vMotion で移動する際には移動先と移動元が同じセグメントでないと、移動先で正常に通信ができなくなってしまいます。つまり、仮想マシンの移動先を多くするためには広い L2  ネットワークが必要になります（図 10）。

図 10 フラットな L2 ネットワークを使った従来管理

従来の管理方法で L2 ネットワークを広く取ってしまうと、多くの仮想マシンを同じセキュリティポリシーで管理することになってしまいます。本来は別々のセキュリティポリシーを適用すべきですが、仮想マシンが移動できる代わりにセキュリティを犠牲にしていることになります。
一方、セグメントを細かく切り、仮想マシンのセキュリティポリシーを厳しく適用する運用方針もあります。しかし、セグメントを細かくすると今度は仮想マシンの vMotion 先が少なくなってしまいます。また、このように自由度の低い構成は集約率の低下を招いてしまうことも多々あります。せっかく仮想マシンを使っているのに vMotion ができない…なんていうのはもったいないですよね（図 11）。

図 11 細かくセグメントを分けた従来管理

では、NSX Data Center を導入するとどうなるのかを見てみましょう。分散ファイアウォールを導入すれば仮想マシン毎にセキュリティポリシーを適用できるようになるので、フラットな L2 ネットワークを作りつつ、セキュリティレベルを維持することができます。加えて、ホスト間で分散ファイアウォールの情報を共有しているため、仮想マシンが移動できるようにしても、移動先でセキュリティレベルを維持することができます。

図 12 分散ファイアウォールの活用で自由度とセキュリティポリシーを両立

NSX Data Center を使えばセキュアな環境も維持しつつ、仮想マシンのメリットも最大限に引き出すことが可能となるんですね。

これまでは NSX Data Center のファイアウォール機能について、どのようなメリットが出るのかについてご説明させて頂きました。ところでみなさんはファイアウォールの設定というと、IP アドレスや MAC アドレスをコマンドで入力しながら 1 つ 1 つ設定を行っていくイメージがあると思います。今まで当たり前のことでしたが、もっとわかりやすく設定が行えたらいいな…と思ったことはありませんか？

実は NSX Data Center のファイアウォールは設定も従来のファイアウォールよりも柔軟に行えるんです。

3. 機能だけじゃない！簡単で柔軟な NSX Data Center のファイアウォール設定
では、実際に NSX Data Center のファイアウォールを設定する画面を見てみましょう（図 13）

図 13 NSX Data Center のファイアウォール設定画面

設定項目は以下の 5 項目となります。全て GUI 上から設定を行えるため、従来の IP、MAC アドレスを対象とした従来の CUI で行う設定よりも可視性に優れており、簡単にセキュリティポリシーを適用できるようになります。

・ソース
サービスの送信元を IP、MAC アドレスに加え vCenter オブジェクトから設定可能
・ターゲット
サービスの送信元を IP、MACアドレスに加え vCenter オブジェクトから設定可能
・サービス
物理ファイアウォールでセッティングできるサービスの大半を選択可能
・操作
サービスを許可/ブロック/却下するかを選択可能
・適用先
ルールの適用先を分散 FW もしくは Edge FW から選択可能

ここで注目していただきたいのは、ソースとターゲットを IP アドレスや MAC アドレスだけでなく、仮想マシンやポートグループ、クラスタ、ホスト、データセンタ、論理スイッチ、vApp、vNIC といった vCenter オブジェクトでも設定可能な点です。
従来のファイアウォールは文字が羅列されているだけので見にくいだけでなく、セキュリティポリシーの適用先が IP、MAC アドレスのみに縛られていました。vCenter オブジェクトで設定を行えるようになると、ソースとターゲット設定を直感的にできるため、従来のファイアウォールと柔軟に設定が可能となります。
ここで、さらに NSX Data Center のファイアウォールの柔軟性に足を踏み入れてみましょう。その秘密はセキュリティグループという概念にあります。

4. セキュリティグループで俊敏性を向上！！
先の節で仮想マシンや、ホストごと、ポートごとにセキュリティポリシーを設定できることをお話しました。しかし、仮想マシンは何度も作成されます。GUI になったとはいえ、仮想マシンを作成するたびに、ファイアウォールのルールを変更するのは少々手間です。できることであれば、もう少しグルーピングをし、なおかつ追加、削除される仮想マシンに対して動的にセキュリティポリシーを適用していきたいものです。
NSX Data Center では動的にグループメンバーを追加、削除してくれるセキュリティグループというオブジェクトをてソース・ターゲットとして選択できます。
セキュリティグループは、”仮想マシンに Tech の名前を含むもの”といった形でグルーピングをすることができ、あとから仮想マシンを追加しても動的にグループへ対象の仮想マシンを追加してくれます。

図 14 セキュリティグループを使えば後からポリシーを適用可能

例えば、技術部の Web サーバを追加する例を考えてみましょう。仮想マシン名に“Tech という文字が含まれば、技術グループ”、“Web という文字が含まれれば Web サーバグループ”というように事前にセキュリティグループを定義しておきます。すると、追加した Tech-Web という仮想マシンの分散ファイアウォールには、技術グループと Web サーバグループの 2 つのセキュリティグループのルールが適用されます。
これで、仮想環境に新しく仮想マシンを追加したときに、毎回毎回煩わしいファイアウォールの設定を追加していく必要もなくなります。セキュリティグループを活用すれば柔軟かつ俊敏に設定を適用できるようになります。NSX Data Center でネットワークを仮想化することで、ネットワークを最適化するだけでなく、ファイアウォール機能を強化したり、柔軟に設定できるようになるメリットも得られることができることがお分かりいただけたでしょうか？

5. まとめ
最後に改めて、NSX Data Center の持つファイアウォール機能の特徴とメリットをそれぞれ整理しておきましょう。
NSX Data Center のファイアウォールで従来の物理ファイアウォールの課題を解決！
・標的型攻撃に対しては分散ファイアウォールで感染拡大を抑制
・仮想マシンの可搬性を最大限にして運用
・ヘアピン通信を抑制して物理機器をダウンサイジング
設定は GUI 上で簡単に行える上、設定項目が豊富！
・物理ファイアウォールと違い、GUI 上で簡単に設定
・ターゲットとソースを vCenter オブジェクトを使って柔軟に設定可能
・セキュリティグループを使えば動的にセキュリティポリシーを適用可能

6. おわりに
今回は NSX Data Center のファイアウォールについてお話させて頂きました。次回は NSX Edge について詳しく触れます！実は NSX Edge にはルーティング機能や、今回お話したファイアウォール機能以外にも様々な機能があるんです！！
次回、さらなる NSX Data Center の魅力に触れていきましょう！お楽しみに！

コラム ～ 3rd party連携について ～
NSX Data Center は 3rd party 製品との連携も可能となっております。Symantiecs 社、Palo Alto Network 社、Fortinet 社、Juniper 社製品など様々なベンダー製品との連携が可能ですが、今回はトレンドマイクロ社の Deep Security との連携がどのように行われるのか、見てみましょう。昨今流行している標的型攻撃に対して、Deep Security と連携することによって、標的型攻撃の被害にあった被害にあった仮想マシンを物理的に隔離することが可能となります。さらに、Deep Security を活用することで仮想マシンの浄化まで行うことができる上に、仮想マシンの再接続を行うことも可能です。
これにより、NSX Data Center 単体での運用以上に安全な仮想環境を運用することが可能となります。
トレンドマイクロ社との連携についてはこちらの記事をご参照下さい。
–VMware NSX と Trend Micro Deep Security で実現する仮想化セキュリティの最適化–

The post 新卒 SE 社員が贈る NSX のキソ︕第 6 回〜 NSX Data Center が提供するファイアウォール機能とは ～ appeared first on Japan Cloud Infrastructure Blog.

皆さん、はじめまして。株式会社ネットワールドでバックアップ製品のSEをしております臼井と申します。VMware vSANを導入するお客様の増加に伴い、多くのバックアップ製品を扱っている弊社にもvSAN環境のバックアップについて、お問い合わせいただく機会が増えてきました。そこで、VMware様のJapan Cloud Infrastructure Blogの場をお借りして、仮想環境のバックアップで多くの実績があるVeeam Backup & Replication(以下、VBR)を使用してのvSAN環境のバックアップについて掲載させていただくことになりました。
前後編の2回に分けて、vSAN環境でVBRを使うメリットや特徴をご紹介させていただきたいと思いますので、宜しくお願い致します。

Veeam(ヴィーム)って？

個人的には、Veeamという名前も仮想環境のバックアップとして日本で浸透してきたかなと勝手に思っているのですが、ご存じない方のために改めてご紹介させていただきます。
メーカーの正式名称はVeeam Softwareで、データ保護や監視ツールのソフトウェアを主に開発している会社です。本社はスイスのバールにあり、設立は2006年ですが、ここ数年で急速に顧客数や売り上げを伸ばしている注目のベンダーです。

Veeam Backup & Replicationとは？

VBRという製品を簡潔に言えば、VMware vSphere Storage APIs – Data Protection （通称、VADP）と連携して、仮想マシンを丸ごとバックアップする製品です。VMware様の製品で言うと、vSphere Data Protectionと同種の製品になります。vSphere Data ProtectionはvSphere 6.5での提供が最後になりましたので、今後のバックアップの選択肢の1つとしてVBRをご検討いただければ幸いです。

VBRの歴史は古く、2008年にVADPの前身のVMware Consolidated Backup対応のバックアップ製品としてバージョン1.0がリリースされました。その後、VADP対応や数々の機能追加や機能拡張を重ねて、現在は昨年末にリリースされたバージョン9.5 Update 3が最新バージョンとなっております。

他のバックアップソフトとVBRは何が違うのかというと、以下の３つの特徴が挙げられます。

アプリケーション対応

柔軟なリカバリ

ストレージ連携

それぞれの特徴を見ていきましょう。

特徴その1<アプリケーション対応>

VBRはVADPによるVMwareスナップショットと連携して仮想マシンをバックアップしますが、その際に、Active Directory, Exchange, SharePoint, MS SQL Server, Oracleについてはデータの整合性を保持してバックアップすることが可能です。

仮想マシンの静止スナップショットにより、VMware Toolsに含まれるVSS(Volume Shadow copy Service)を利用することで、ファイルシステムの整合性や一部のVSS対応アプリケーションの整合性を保持したバックアップできる製品もありますが、 VBRでは独自のVSSを提供しており、アプリケーションに合わせて、完全VSSバックアップの実施やバックアップ成功後のトランザクションログの切り捨て、カスタムスクリプトの実行などを行うことができ、より信頼性の高いバックアップを行うことが可能です。また、Oracleについては、Windowsだけでなく、Linux上のOracleにも対応しております。

特徴その2<柔軟なリカバリ>

VBRは仮想マシン単位でバックアップを行いますが、リストアは仮想マシン全体だけでなく、フォルダ・ファイル単位、仮想ディスク単位、アプリケーション単位など、シチュエーションに応じて様々なリストア方式を選択できます。

フォルダ・ファイルのリストアについては、17種類もの多数のファイルシステムに対応しております。アプリケーションについては、Active Directory のユーザーアカウントやExchangeのメールメッセージ、SharePointのドキュメントやSQL Server/Oracleはデータベースなど、粒度の細かいリストアをエージェントレスで実行することが可能です。

リストア操作も専用のリストアツールとして、Veeam Explorerが提供されており、直感的な操作が可能です。

特徴その３<ストレージ連携>

Veeam Softwareはアライアンスパートナーが多く、様々なベンダーのストレージと連携できることも大きな特徴です。プライマリストレージとして、Dell EMC, NetApp, HPE, IBM, Pure Storage等のハードウェアストレージのスナップショットと連携しての安定したバックアップやDell EMC Data Domain(Boost), HPE StoreOnce(Catalyst)といった重複排除ストレージと連携してバックアップすることもできます。

まず、ハードウェアストレージスナップショットとの連携ですが、仮想マシンのスナップショットのみを使用してVADPによるバックアップを行うと、スナップショット作成後の仮想マシンに対しての変更はスナップショットファイル(通称:デルタファイル)に変更ログが書き込まれ、バックアップが完了するまで保持し続けます。バックアップが長時間に及ぶケースや仮想マシンへの変更が多い環境ではスナップショットファイルの容量が肥大化し、データストアの空き容量不足やシステムのパフォーマンス低下などが起きる可能性があります。スナップショット削除時においてもスナップショットの統合処理に時間がかかるケースや仮想マシンが応答を停止する可能性があります。

スナップショットの仕組みや問題点については、下記のKBでも紹介されておりますので、参考にしていただければと思います。

-ESXi / ESX における仮想マシン スナップショットについて (1033239)

https://kb.vmware.com/kb/1033239

-vSphere 環境でスナップショットを使用するベスト プラクティス (1038295)

https://kb.vmware.com/kb/1038295

-仮想マシンのスナップショットを統合するのに必要な時間の推定 (2096780)

https://kb.vmware.com/kb/2096780

-スナップショットの削除で仮想マシンが長時間停止する可能性 (2079323)

https://kb.vmware.com/kb/2079323

このような問題を回避するには、ストレージスナップショットとの連携が有効です。ストレージスナップショットと連携することで、仮想マシンのスナップショット作成後にストレージスナップショットを作成し、仮想マシンスナップショットはすぐに削除されます。そのため、仮想マシンのスナップショットがある時間が最小限になり、前述の問題が起きる可能性も低くしてなります。仮想マシンスナップショットだけの場合とストレージスナップショットを組み合わせた場合をバックアップ時間の流れを比較すると下の図のようになります。

次に、重複排除ストレージとの連携です。VBR自身にも重複排除機能はありますが、重複排除ストレージと組み合わせることでバックアップデータ全体の重複排除され、より高い重複排除率を実現することが可能です。

また、vSphere Data ProtectionとData Domainを組み合わせた場合と同様、DD Boostを利用することにより、VBRサーバ上で重複排除処理を行い、Data Domain上に存在していないブロックのみを転送することでネットワークに流れるデータ量を削減でき、更に論理的な仮想合成フルバックアップ作成により、バックアップのパフォーマンスを高速化することも可能です。

vSphere Data ProtectionはData Domainのみの対応でしたが、VBRでは DD Boostと同様、Open Storage Technology (OST)を使う、HPE StoreOnceのCatalystとの連携も可能です。

ここに書き切れないほど、VBRならではの機能や特徴はまだまだ沢山ありますが、厳選してVBRの特徴を紹介させていただきました。後半は、いよいよvSAN環境でのVBRについてご紹介させていただきますので、お楽しみに。

執筆者：

株式会社ネットワールド

SI技術本部　ストレージ基盤技術部

ストレージソリューション2課

臼井　守（Usui Mamoru）

■ネットワールド Veeam製品情報

https://www.networld.co.jp/product/veeam/

■ネットワールドらぼ　(ネットワールド ブログ)
https://blogs.networld.co.jp/

The post Veeam Backup & ReplicationのvSANバックアップ(前編) appeared first on Japan Cloud Infrastructure Blog.

エージェントレス型とエージェントレス型の使い分けのポイント

トレンドマイクロ VMwareテクニカルアライアンス担当 栃沢です。

前回までエージェントレス型セキュリティ対策を提供するDSVAでウイルス対策、侵入防御をどのような仕組みで提供しているかを解説してきました。
Deep Securityにはエージェントによるセキュリティ保護も可能ですが、うまく使い分けて頂くことでよりセキュアなインフラ環境を構築することが可能です。
今回はこれからDeep Securityの導入を検討している、またはこれから実装する！といった皆様に向けて、エージェントレス型のDeep Security Virtual Appliance（DSVA）とエージェント型Deep Security Agent（DSA）の使い分け、組み合わせのポイントを解説していきたいと思います。

DSVA/DSAで提供できる機能の違い

まずは、DSVAとDSAで提供できる機能について見てみましょう。

※GI：VMware NSX にてGuest Introspectionが有効である必要がある機能
※NI：VMware NSX にてNetwork Introspectionが有効である必要がある機能
※OSのバージョン、ディストリビューション毎の対応状況の詳細については、Supported features by platformをご確認ください。

詳細部分で機能、OS毎に対応できる内容に差異がありますが、大枠は上記で確認を頂けると思いますが、特に以下の点は見落としがちな内容ですので、留意してください。

• DSVAによる推奨設定の検索は、Guest Introspectionが有効である必要がありますので、Linux OSの仮想マシンで侵入防御機能を利用する場合には利用できません。推奨設定の検索を利用する場合にはDSAが必要となります。
• Webレピュテーションはネットワーク系のプロセスで処理を行うため、DSVA環境ではNetwork Introspectionを有効にする必要があります。
  （Deep Security Virtual Appliance ウイルス対策では不正プログラム対策とWebレピュテーションが利用できますが、Network Introspectionが利用できるVMware NSXライセンスが必要になります。）

DSVAとDSAを組み合わせて利用もできる

DSVAはVMware vSphere/VMware NSXと連携をしてセキュリティ機能を提供していますが、DSVAで保護しているESXiホスト上にDSAが導入された仮想マシンを稼動させることも可能です。
Windows系仮想マシンとLinux系仮想マシンでは動作仕様が異なります。

1. Linux OSの場合
   DSVAによる保護は行われず、DSAがすべてのセキュリティ機能を提供します。（DSVAが稼動するESXiホスト上で、DSAがすべてのセキュリティ機能を提供）

2. Windows OSの場合
   DSVAとDSAで予め決められたルール（アフィニティルール）に従って、保護機能を分担してセキュリティ機能を提供します。これをコンバインモードといいます。コンバインモードについては次回詳しく解説します。

上記のようにDSVAとDSAが混在した環境でも利用することができるため、サーバ環境で複数の機能を利用したい場合でも柔軟に設計することが可能です。

まとめ　～　DSVAとDSAを使い分ける上でのポイント
DSVAとDSAの機能の違いとESXiホスト上での基本的な動作仕様を踏まえて、導入されるケースとして多い組み合わせをいくつかご紹介しておきます。

• 仮想デスクトップ環境でWindows OSを展開してウイルス対策を行いたい場合にDSVAを利用する。（Webレピュテーションを利用する場合にはVMware NSXでNetwork Introspectionを有効化する必要あり）
• LinuxサーバとWindowsサーバが混在する、またはWindowsサーバが大多数を占める環境において、Windowsサーバは機能に応じてDSVA、LinuxサーバはDSAにて保護する。
• セキュリティログ監視、アプリケーションコントロールが利用したいユーザでサーバ環境を全面的にDSAで保護する。実際にはシステム環境に応じてさまざまなケースがあると思いますが、DSVA/DSAそれぞれでできることを理解頂きながら、うまく使い分けて頂ければと思います。

執筆者：
トレンドマイクロ株式会社
セキュリティエキスパート本部
パートナービジネスSE部 パートナーSE2課
栃沢 直樹（Tochizawa Naoki）

【VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化】

1. 1. Horizon インスタントクローンにも適用可能！仮想デスクトップ環境にフィットしたセキュリティ対策
   2. VMware NSX + Deep Secuirty連携によるエージェントレスセキュリティとは？
   3. VMware NSX + Deep Security連携にかかわるコンポーネントと基本構成
   4. VMware NSXとDeep Securityのユースケースと実現できることとは？
   5. エージェントレス型ウイルス対策のアーキテクチャ（１）
   6. エージェントレス型ウイルス対策のアーキテクチャ（２）
   7. エージェントレス型による侵入防御/Webレピュテーションの実装
   8. エージェントレス型とエージェントレス型の使い分けのポイント

The post VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化（８） appeared first on Japan Cloud Infrastructure Blog.

こんにちは。株式会社ネットワールドのバックアップ製品担当SEの臼井です。前編では初回ということで、Veeam Backup & Replication(VBR)の概要について、ご紹介させていただきした。後編となる今回はvSAN環境でのVBRについてご紹介してきます。

vSAN対応バックアップソフト

バックアップ製品によって、多少の違いはあるものの、最近ではほとんどバックアップ製品がvSAN対応を謳っていますが、VBRは独自にvSAN上でテストしているだけでなく、VMware様のvSAN認定を受けています。

VMware様のvSAN認定を受けているバックアップソフトは、下記のvSANのCompatibility Guideから確認することができます。

https://www.vmware.com/resources/compatibility/search.php?deviceCategory=vsanps

このブログを書いている時点(2018年5月)では、Data Protectionのタイプで検索すると下記のバックアップ製品がリストされました。VBRも掲載されており、認定済みですので、安心してvSAN環境でご利用いただけます。

VBRのvSANサポート

vSANは2014年3月11日にリリースされたvSphere 5.5 Update1において、vSAN1.0(vSAN 5.5)として最初にリリースされましたが、VBRはその3か月後の2014年6月にリリースしたVBR 7.0 Patch4でいち早くvSANのサポートを開始しました。そして、vSANのバージョンアップに合わせて、VBRも対応し、昨年末にリリースされたVBR 9.5 Update 3では vSAN 6.6.1まで対応しております。

現在はvSphere 6.7がリリースされておりますので、vSANの最新は6.7になりますが、VBRは次のアップデートでvSphere 6.7をサポートする予定になっておりますので、vSAN 6.7もすぐにサポートされることでしょう。

Veeam Backup & Replication support for VMware vSphere

https://www.veeam.com/kb2443

vSAN環境でのVBR

VBRのvSAN対応の特徴の１つとして、ストレージ ポリシーベース管理 (SPBM) への対応があります。vSANを使用する場合、パフォーマンスや可用性などの仮想マシンのストレージ要件(冗長化)を仮想マシンストレージポリシーという形で定義します。

バックアップソフトによっては、デフォルトの仮想マシンストレージポリシー(Virtual SAN Default Storage Policy)以外を割り当てていても、リストアするとデフォルトの仮想マシンストレージポリシーが割り当てられてしまい、リストア後に仮想マシンストレージポリシーの再適用が必要になることがあります。

それに対して、VBRは仮想マシンストレージポリシーを認識し、仮想マシンストレージポリシーの情報を含めてバックアップしているため、仮想マシンストレージポリシーの再適用は不要です。また、バックアップ時と異なる仮想マシンストレージポリシーを割り当ててリストアするといったことも可能です。

VxRailでの検証

実際に弊社環境で仮想マシンストレージポリシーがリストアされるのか検証してみました。vSAN環境としてDell EMC社のVxRail を使用し、非vSANのESXiホスト上に展開したData Domain Virtual EditionへDD Boostを使用してバックアップする構成です。

新規でRAID1-(Mirroring)の仮想マシンストレージポリシーを作成し、バックアップ対象の仮想マシンに割り当ててから、バックアップを取得しました。

仮想マシンのリストアウィザードのリストア先のデータストアの指定する箇所を見てみると、割り当てていた仮想マシンストレージポリシー(Mirror Policy)が表示されています。

検証では新しい別の仮想マシンとしてリストアしましたが、元通りに仮想マシンストレージポリシーが適用された状態でリストアされており、VBRが仮想マシンストレージポリシーに対応していることが確認できました。

vSANバックアップのベストプラクティス

vSAN上でVADPを使用して仮想マシンをバックアップする際、転送モードとしては、SANモードは使用できず、NBD(SSL)モードかHotAddモードのどちらかを使用する必要があります。

今回のVxRail上での検証では、VBRサーバを仮想マシンで用意しましたが、VBRは転送モードを選択することが可能です。追加でNBDモードとHotAddでバックアップ・リストアの時間がどれほど違うのか検証してみました。

バックアップ結果が下の表になります。47GBの少量のデータの場合、HotAddモードとNBDモードでバックアップ時間に大きな違いはありませんが、プロセスレートでは、HotAddモードはNBDモードの2倍以上のスループットが出ています。1.1TBのデータをバックアップした場合には、バックアップ時間としてもNBDモードはHotAddモードの2.5倍以上の時間がかかりました。

下の表はリストア時の結果ですが、リストア処理ではData Domain上の重複排除されたデータを元の状態に戻してリストアされる(データストアに書き込まれる)ため、バックアップよりプロセスレートは落ちます。47.6GBのリストアにおいては、NBDモードとHotAddモードは誤差の範囲で差はありませんが、1.1TBのリストアでは差が表れており、HotAddモードの方が早い結果となっています。

以上の結果から、vSAN環境では物理のバックアップサーバを構成して、NBDモードでバックアップするより、仮想でバックアップサーバを構成してHotAddモードでバックアップした方がより高速にバックアップ・リストアすることができると考えられます。

更に、Data DomainのDD BoostやStoreOnceの Catalystを利用すれば、VBRサーバ上で重複排除処理をしてからバックアップストレージにデータを転送することで、データ転送量を減らし、より高速なバックアップが期待できます。

まとめ

vSAN環境のバックアップの視点でVBRをご紹介させていただきましたが、如何でしたでしょうか？もっと詳しくvSANのバックアップやVBRについて知りたいという方は、お気軽に弊社までご相談いただければ幸いです。弊社ではVBR以外にも多くのバックアップソフトを扱っておりますので、お客様の環境や要件に合わせて最適なバックアップソリューションをご提案させていただきます。

執筆者：

株式会社ネットワールド

SI技術本部　ストレージ基盤技術部

ストレージソリューション2課

臼井　守（Usui Mamoru）

■ネットワールド Veeam製品情報

https://www.networld.co.jp/product/veeam/

■ネットワールドらぼ　(ネットワールド ブログ)
https://blogs.networld.co.jp/

The post Veeam Backup & ReplicationのvSANバックアップ(後編) appeared first on Japan Cloud Infrastructure Blog.

こんにちは！「新卒社員が贈る NSX のキソ！」第 ７ 回を担当する VMware 新卒第 4 期生の村田太郎です。
6 回では、NSX Data Center for vSphere の特徴的な機能である、分散ファイアウォールについてご紹介いたしました。この回では、NSX Data Center が提供する各種ネットワーク機能についてご紹介いたします。

NSX Data Center を導入した vSphere 環境では、NSX Edge を用いることで、ファイアウォール、ロードバランサ、DHCP、NAT などの各種ネットワーク機能を統合的に実現することができます。

今までの仮想環境では、仮想マシンの展開スピードにネットワークの構築が追い付けないという問題がありましたが、今回ご紹介する NSX Data Center の機能を用いることで、仮想マシンの展開スピードに合わせたネットワークの展開が可能になります。サーバ仮想化は、NSX Data Center によるネットワークの仮想化と合わせて使用することで、その真価を発揮すると言えます。

NSX Edge は、5 回でもご紹介した通り、仮想アプライアンスとして簡単に展開することができますので、必要なときにほぼリアルタイムでネットワークサービスを展開することができ、スケールアウトも簡単に実施することが可能です。

システムの運用を進めるにつれてネットワークのパフォーマンスが足りなくなってきた、といった場合、物理機器の買い替えはなかなか難しく、購入しても実際に届くまでには時間がかかりますが、NSX Data Center を利用している環境では NSX Edge の設定を変更するだけですぐに対応することができます。

それでは、簡単に NSX Data Center の提供する機能についてご紹介いたします。

1. ファイアウォール
第 6 回でご紹介した分散ファイアウォールに加え、NSX Edge による境界型ファイアウォールも提供可能です。NSX Edge は、主に North-South トラフィックフローに対するファイアウォール機能を提供します。

NSX Edge のファイアウォールでも、6 回の 2 節でご紹介した分散ファイアウォールと同様に、IP アドレスによる指定だけでなく、vCenter のオブジェクト単位でルールを作成することができます。

vCenter のオブジェクト単位で設定が可能であるということは、例えば「仮想マシン A から仮想マシン B への通信を禁止」というような設定ができるということです。仮想マシンの IP アドレスが変わったり、 vMotion などによって利用する物理ポートが変わったりしてもファイアウォールルールが仮想マシンに追従できるというメリットがあります。

図 1 Edge FW の設定画面

2. NAT/NAPT
NAT/NAPT（Network Address Translation/Network Address and Port Translation）は、IP アドレスを変換する機能です。IP アドレスを節約したい場合や、外部に社内 IP アドレスを公開したくない場合、システム統合時のテナント間での IP 重複を回避する場合などに用いられます。

NSX Edge では、NSX Edge を経由する通信に対して、SNAT（送信元 NAT）と DNAT（送信先NAT）を提供することができます。SNAT は送信元の IP アドレスを変換する機能、DNAT は送信先の IP アドレスを変換する機能です。

図 2 Edge NAT の設定画面

図 3 SNAT の動作

図 4 DNAT の動作

3. ロードバランサ
NSX Edge ロードバランサでは、アプリケーション要求、サービス要求をプール内の複数のバックエンドサーバ間に分散することができます。ロードバランサを使用する際には、ユーザがアクセスする際に使用する VIP アドレス（仮想 IP アドレス）と、実際にサービスを提供するサーバのプールを用意します。
例：VIP アドレス – 192.168.1.1 ポート 80、サーバプール – 10.10.10.1 から 10.10.10.3

NSX Edge ロードバランサでは以下のようなプロトコル、機能が提供されます。

NSX Edge ロードバランサのデザインとしては、ワンアームロードバランサとインラインロードバランサの 2 種類が存在します。

図 5 ワンアームロードバランサ

ワンアーム構成では、NSX Edge はロードバランス対象の仮想マシンと同じセグメントに存在し、その名の通り、ネットワークと 1 つのリンクでつながるデザインとなります。

アクセスの流れは以下のようになります。
① 外部クライアントからロードバランサによって外部に公開されている VIP アドレスにパケットを送信する。
② ロードバランサはクライアントから受け取ったパケットに対しアドレス変換を行い、送信元 IP アドレスをロードバランサのアドレスへ、送信先 IP アドレスを VIP からサーバプール内の １ 台のサーバの IP アドレスに変換します（SNAT/DNAT）。
どのサーバが選択されるかは設定されたアルゴリズムによって異なります。
③ パケットを受け取ったサーバは、クライアントへのパケットをロードバランサに送信。
④ ロードバランサは再度 SNAT/DNAT を行い、送信元を VIP、送信先を外部クライアントとしてパケットを送信します。

ワンアーム型のロードバランサは、展開と構成がシンプルで、既存の NSX Edge に手を加えずに済む、ロードバランサの障害時の影響範囲が少ないなどのメリットがあります。

図 6 インラインロードバランサ

インライン構成では、NSX Edge をサーバプールのセグメントと外部セグメントとの境界に配置し、２ つのリンクでそれぞれに接続するデザインとなります。

インラインロードバランサ利用時のアクセスの流れは以下のようになります。
① 外部クライアントは、ロードバランサによって外部に公開された VIP アドレスにパケットを送信します。
② ロードバランサは DNAT により外部クライアントから受け取ったパケットの宛先を VIP から設定されたアルゴリズムに従いサーバプールに展開されているサーバの内の 1 台の IP アドレスに変換します。
③ サーバは、元のクライアントの IP アドレスを宛先 IP アドレスとして、ロードバランサにパケットを送信します。これは、上記の構成では NSX Edge ロードバランサがインラインで展開されており、サーバのデフォルトゲートウェイであるためです。
④ ロードバランサはサーバから受け取ったパケットに対して SNAT を実行し、送信元を自身の VIP に変換したうえで外部クライアントに送信します。

ワンアーム型との違いは、インライン型の場合はサーバにクライアントのアドレスが透過的であるということが挙げられます。また、インライン構成では内部セグメントと外部セグメントの中間にロードバランサが配置されるので、内部セグメントを外部から隠ぺいすることができるというメリットもあります。

インライン構成時には、サーバプール内のサーバで NSX Edge ゲートウェイがデフォルトゲートウェイとして指定されている必要があります。

4. IPsec VPN/SSL VPN/L2 VPN
NSX Data Center では、IPsec VPN、SSL VPN、L2 VPN の 3 種類の VPN をサポートしています。それぞれ、拠点間の VPN 接続、クライアントのリモート接続、データセンター間の接続に利用されます。

図 7 VPN の設定画面

図 8 IPsec VPN

図 9 SSL-VPN

図 10 L2 VPN

5. NSX Edge の高可用性
少しここまでの流れと話が変わりますが、NSX Edge には個別の機能として高可用性機能（HA）が存在します。NSX Edge で HA を有効化するには、設定画面で有効化ボタンをクリックするだけです。有効化すると、HA 用の NSX Edge が追加され、片方がアクティブ、もう片方はスタンバイ状態になります。

図 11 NSX Edge HA の設定画面

物理機器でロードバランサなどの機能を実現して可用性を担保するためには、同一の製品を 2 台購入し、配線し、HA の設定も複雑で、可用性を上げるはずがトラブルの原因になることもありました。これが NSX Edge の場合は設定画面から有効を選ぶだけで完了します。これもソフトウェアだからこそなせる業です。

6. おわりに
今回は、NSX Edge が提供する主要なネットワーク機能についてお話してきました。
NSX Edge を用いると、さまざまなネットワーク機能を簡単に展開することができるようになります。

この回の冒頭でも申し上げましたが、仮想環境は NSX Data Center を用いることでその真価を発揮します。NSX Data Center のメリットは、何と言っても今までご紹介した機能をすべてソフトウェアとして提供できることにあります。

今まで仮想サーバの展開が数クリックで終了していたとしても、サービスを開始するまでには物理環境上でさまざまな作業が必要でした。物理機器の選定をし、ラッキングして、配線して、バージョンアップや管理系の初期設定をして、、、これらの物理作業は NSX Data Center を使うことですべて不要になります。ほんの数クリックで新規ネットワークセグメントを作成したり、ロードバランサ、ファイアウォールの設定を行うことも可能です。物理配線を変えることなくネットワーク構成の変更も行えますし、トラフィック量が増えた場合に物理機器を購入することなく性能を向上させることも可能です。ネットワークが不要になった場合は簡単にネットワークの削除、リソースの開放ができます。

これらは物理ネットワーク環境では考えられなかった運用方法で、NSX Data Center だからこそ実現できることです。

さて、今まで 1 データセンターでの NSX Data Center の利用に関する説明をしてきました。NSX Data Center は複数のデータセンターにまたがる展開も可能であり、そういった環境でこそ活きる機能も持っています。

次の回では、複数データセンターにまたがった NSX Data Center に関してご紹介いたします。ご期待ください。

コラム ～ ハンズオンラボ（HOL）～
みなさんはVMware のハンズオンラボというものをご存知でしょうか？ハンズオンラボとは、簡単に言うとVMware の製品のお試し環境のことで、VMware の提供するさまざまな製品を実際に触ってみることができます。
このコラムでは、ハンズオンラボの使い方を簡単に説明いたします。

まず、ウェブブラウザで次のリンクにアクセスします。
https://www.vmware.com/jp/try-vmware/try-hands-on-labs.html
すると図 12 のような画面になるので、「VMware NSX：入門」の [ラボを開始する] をクリックします。

図 12 VMware HOL

図 13 VMware NSX ハンズオンラボ

既に My VMware のアカウントをお持ちの方はそのアカウントのメールアドレスとパスワードを用いてログインします。お持ちでない方は [アカウントの作成] からアカウントを作成したのち、ログインします。ログインが完了したら [開始] をクリックしてハンズオンラボを開始します。

図 14 HOL コンソール画面

右上の [LANGUAGE] をクリックし、日本語を選択するとハンズオン環境の日本語化ができます（図 15）。既に日本語環境になっている場合はそのままで OK です。

図 15 日本語への言語変更

図 16 Chrome の言語設定

このラボ環境内で用いるブラウザ（Google Chrome）の設定もデフォルトでは英語になっていますが、Google Chrome の右上のアイコンから Japanese を選択すると言語を日本語にすることができます（図 16）。2 重に設定がありややこしいですが、ハンズオンラボの環境と、ハンズオンラボで利用する仮想端末内のブラウザの設定です。

図 17 HOL の vSphere Web Client 画面

これでハンズオン環境への接続は完了です。あとは、右側のハンズオンガイドに従って機能を試してみるのもよし、自分で自由に触ってみるのもよしです。今まで説明してきたさまざまな機能、メリットをぜひ体感してみてください。

ハンズオンラボについてはこちらもぜひ御覧ください！
ハンズオンラボの始め方など、動画付きで詳しくご紹介しています。

The post 新卒 SE 社員が贈る NSX のキソ︕第 7 回〜NSX Edgeが提供する各種ネットワーク機能〜 appeared first on Japan Cloud Infrastructure Blog.

おひさしぶりです。第 1 回からご無沙汰しておりました大田です。
この回は最終回になります。「新卒 SE 社員が贈る NSX のキソ！」最終回のテーマはこちら！「Cross-vCenter NSX」
うわ、なに Cross て！ていうかもう NSX Data Centerでなにができるかわかったんだけどまだあるの？サンプル構成完成したじゃん！
そうです、まだあるのです。皆様はまだ NSX Data Center の最強奥義を知らないのです。最終奥義を習得しないと、この NSX Data Centerアドベンチャーは全クリできません！それはもったいない！あれ、何の話でしたっけ。とにかく、最後に Cross-vCenter NSX を理解して、気持ちよく終わりましょう。

1. 一般的な企業の事情
世の中には色々な事情がありますが、企業にも当然色々な事情があります。

事情① 災害が起きた時も事業を継続するための対策考えなきゃ！
事情② 海外にも事業を展開してガンガン成長するぞ！
事情③ 買収だ！合併だ！てんやわんや！
事情④ 古いデータセンターから新しいデータセンターに移行しなきゃ（汗）
事情⑤ あっちとこっちに 2 個データセンター持ってるけど、あっち余裕そうだからちょっと使わせてほしいなー。。

。。。と、このような事情から、企業はすでにマルチサイトでデータセンターを複数もっていたり、あるいはマルチサイトでデータセンターがほしくなったりするわけです。そして、すでに持っている場合にも、これからほしいという場合にも、いずれにせよせっかく複数あるのだからたとえ災害対策用だけにあるサイトだとしても Active-Standby ではなく Active-Active で上手いこと日ごろからサイトを意識せずに仮想マシン（以下 VM）を稼働させてどちらのサイトも有効活用できないかなと思うところではないでしょうか。

図 1 複数拠点のデータセンターの扱い

ということで、従来の別々のデータセンターをそのまま利用しようとしたら、どのような問題が生じるかといいますと、

・サイトをまたいだ vMotion には IP アドレスの変更が必要→システム停止
・IP アドレスの変更に伴い物理ネットワーク構成やロードバランスの設定変更が生じることも
・セキュリティポリシーは手動で同期したり、vMotion 時に設定変更の必要が生じたりする

といった具合に、サイト内の仮想マシン移行なら難なくできるどころかもはやこっちがvMotion しているつもりがなくても勝手に物理サーバの負荷を見て vCenter がよしなに vMotion してくれているくらいなのに、ネットワークをまたいでサイト間でワークロードを移行しようとした途端に影響範囲が物理構成やセキュリティ設定まで非常に大きい話になってしまい、一言で言うと「こんなのやだ！」といった状況でした。

図 2 データセンター間のワークロード移行

2. 従来のマルチサイトソリューション
では、今まで「こんなのやだ！」で終わりにしていたのかといいますと、そうではありません。データセンター内では簡単に移行でも負荷分散でも何でもできるんだからということで、複数サイトをまたいでも、まるで 1 つのデータセンターかのように扱えるように工夫しよう！ということで、L2 ネットワークを延伸しデータセンター間で 1 つのネットワーク環境を作るための様々なソリューションが生まれました。そんな今までの文明の利器を軽くご紹介したいと思います。突然専門用語が出てきたりしますが、「実に興味深い」程度でスルーしていただいて大丈夫です。

① キャリアの広域 Ethernet サービス＋STP

図 3 キャリアの L2 サービスを借りるの巻

通信キャリアが提供する L2 サービス（広域 Ethernet）を使用するというのはどうでしょう。うんうん、L2 サービスね、、、ん？なんか赤字の Block Port っていうのが気になりますね。今この図、なんで黄緑の線が 2 本あるのかというと、1 本だと物理的な障害が起きた時に一発アウト！…っていうのを防ぐためです。こうやって物理障害対策で冗長構成を取ると、L2 のEthernet フレームはその仕組み上延々とループしてしまうことがあり、それを防ぐためにはこのようにBlock Port を作らなくてはならないのです。この技術を STP （スパニングツリープロトコル）といいますが、ざっくり言うとこちら管理がすごく大変です。これが 3 拠点とかになっちゃったら、もっと大変です、つまり拡張性に欠けています。しかもそもそも、Block Port の存在自体、Mottainai！そして設定ミスか何かでもしサイトをまたいだ広範囲でループを起こしたら、つまりブロードキャストストームを起こしたら、、、全シャットダウンで大惨事、なんてこともありえるのです。L2 サービス自体には様々なメリットもあるかと思いますが、大切なデータセンター間を STP で直接 L2 接続っていうのは、あまり現実的ではないでしょう。

② キャリアサービス or ダークファイバの上で専用のハードウェアによるオーバーレイの実装

図 4 専用ハードウェアによるオーバーレイ

こちらもまずはキャリアのネットワークを借りるか、ダークファイバというただの線を借りてネットワークを構築し、その上にオーバーレイネットワークを、秘密道具、「専用ハードウェア」によって構築する（例：MPLS/VPLS or EVPN ・ OTV）という方法です。つまりやりたいことはハードウェアがやってくれますが、ハードウェアを購入する手続きとか、サポートの期間とか、なんだか腰が重いですね。。。やっていることといえば、片方のサイトで作られた Ethernet フレームにさらにヘッダをかぶせてなにかのプロトコルでなんやかんやで宛先のサイトにお届けして、ついたところでしれっとヘッダを外し、宛先のサイトからしたら、これまで IP ヘッダやら MPLS のラベルやらつけられていたことなどつゆ知らずのんきに Ethernet フレームを受け取り、はい、L2 延伸のできあがり～、、と、第 4 回でもお伝えしたトンネリングの技術です。

このように 2 つの手法をご紹介させていただきましたが、何か思いませんでしたか？この 2 つ、どちらも物理ネットワークの世界でなにかしら頑張っているんですね。①だと L2 ネットワークの上で頑張って STP を設定する、②だと専用のハードウェアに物理ネットワークのトンネリングを頑張ってもらう。。。でももっとシンプルに、それぞれのデータセンター内で設定をいじっただけでそのデータセンター同士が L2 でつながっちゃった、みたいな、お手軽なこと、ソフトウェアで頑張れないの？って思いませんか？だって NSX Data Centerでネットワークは仮想化されて仮想環境内にソフトウェアで定義されてるんですし、物理ネットワークを延伸するんじゃなくて、それぞれのデータセンターで仮想化されたネットワークをデータセンター同士でソフトウェア的につながっていると認識してくれればよくない？と。はい、お察しの通り、それを実現できるのが Cross-vCenter NSX の機能となりますので、前置きが長くなりましたが本題に入りたいと思います。

3. Cross-vCenter NSX 概要
Cross-vCenter NSX とはズバリ、「複数サイトをまたいで 1 つの仮想ネットワーク環境を構築することを実現する NSX Data Centerの機能」です。言葉では伝わりにくいので、図にします。

図 5 物理ネットワーク延伸

今まで L2 延伸をしようとしたら、物理ネットワークを延伸しようとするので、物理ネットワークの領域でがちゃがちゃと工夫をする必要がありました。

図 6 仮想ネットワーク延伸

NSX Data Centerでは、ネットワークは物理ではなく仮想環境で定義されていますので、物理的に頑張る必要はありません。サイト 1 に存在する仮想的なネットワークセグメントが、サイト 2 にも仮想的に存在すればいいのです。このようなことは、ネットワークが仮想化されなければ不可能であり、逆に言えば、ネットワークが仮想化された環境においては当然ともいえる仕組みではないでしょうか。

と、ここまで物理ネットワークの延伸と仮想ネットワークの延伸の比較という観点でご説明してきましたが、前回まで説明していた NSX Data Centerのネットワーク世界の観点で図にすると、次のようになります。
まず、NSX Data Centerを各サイトに導入しているものの、Cross-vCenter NSX の機能は使用しないといった場合、このような図になります。

図 7 Cross-vCenter NSX 以前

それと比較して、Cross-vCenter NSX を導入した環境は、このような構成となります。

図 8 Cross-vCenter NSX 以後

前回までは、1 つの vCenter 配下に、NSX Manager と NSX Controller がそれぞれ存在し、ルーティングや FW ルールの情報については 1 つの vCenter 配下で完結しておりました。
Cross-vCenter NSX では、1 つのサイトの NSX Manager がプライマリロールを持ち、ルーティングや FW ルールの情報をほかのサイトのセカンダリ NSX Manager と同期し、1 つの NSX Controller クラスタが複数サイトにまたがって一貫したルーティング情報や FW ルールの情報をすべてのホストにプッシュするといった形になり、サイト 間で情報の一貫性を保ちます。これらの設定は、全て今まで通り、vSphere Web Client のコンソールから設定をポチポチするだけで実現でき、物理ネットワークの設定や構成は全く触る必要がありません！（サイト間で物理的にルーティングが可能であることは前提となりますが。）この「L2 延伸をソフトウェア的な設定だけでお手軽に実現できる！」ということ自体が、従来の物理的な L2 延伸の費用や大がかりな作業を削減するという意味で Cross-vCenter NSX のすごいメリットとなります。

4. Cross-vCenter NSX の使いどころ
ということで、L2 延伸それ自体について、従来との比較をさせていただきましたが、Cross-vCenter NSX を導入する気になりましたか？。。。。。。実際に Cross-vCenter NSX を導入して、どんなことを実現できるのかがわからないと、わざわざ Cross-vCenter NSX なんてしませんよね。ということで、ここからは Cross-vCenter NSX がどんな場面で力を発揮するのか、しっかりお伝えしたいと思います。

その 1：災害用サイトリソースの有効活用
たとえば、東京にデータセンターを持っていて、東京でなにか災害があったときのために、東京ではないどこかにもデータセンターをもっているとしましょう。

図 9 災害用のマルチサイト構成

従来でしたら、普段のデータセンターと災害時用データセンターはネットワーク的に完全に違うセグメントにおり、災害が起きた時だけアクセス先をバシっと切り替える形になりますが、普段は災害時用のサイトは完全に災害に備えて静かにスタンバっているということになります。これ、もったいなくないですか？こう、うまいこと工夫して、災害時の事業継続性も確保しつつ、2 つのデータセンターのリソースをもっと活用できないですかね？うーん、、、、あ、こんなのはどうでしょう。

図 10 システムごとにアクティブとなるサイトを分散

このように、システムごとにアクティブになるサイトをばらけさせる方法がとれると思います。これなら、どちらかのサイトが障害にあったときに、生きている方のサイトで元々稼働していた VM は引き続きそちらで稼働し、障害にあった VM のみリカバリさせればいいですね。でも、これ、どこに Cross-vCenter NSX を活用する必要があるんでしょう？
1 つ目に、障害時のサイト切替にあたって、VM の IP アドレスを変更する必要がないというところがポイントになります。今まででしたら、別サイトでリカバリする際に、別サイトは違うセグメントになるので、切替用の IP アドレスを事前に設定する必要がありましたが、これからは単純にサイトが変わるだけでネットワーク的な変更は無し、ということになり、よりリカバリ作業が単純な話になります。
2 つ目に、今までだと FW ルールがサイト間で共有されず、サイト障害に備えてどちらのサイトにも同じ FW ルールを設定する必要がありました。こちら、口だけで言うと簡単そうですが、L2 延伸無しの場合 VM が移行先で IP アドレスを変更しているので、単純に FW ルールをコピーすればいいという話ではないのです。そのような状態で図 10 のような構成をしようとしたら、どうでしょう？えーと、システム A は災害用サイトではこんな IP アドレスで、セキュリティポリシーは、、、といった設定を、2 つのサイトでシステムごとにごちゃごちゃ計画・実施しなくてはならないんですね。そもそも、災害対策なんて、実際に災害が起きた時にしか必要ないしコストでしかないのに、こんなに苦労したくないというのが企業の本音ですよね。

その 2：マルチサイトでかしこく経路選択
以前にもご紹介した、NSX Data Centerの賢いルーティング経路選択について、サイトをまたいだ場合にはどうなるのか、ご紹介します。

図 11 マルチサイトのネットワーク

図 11 は、マルチサイトにおけるネットワークを少々詳しく表しております。ユニバーサル分散論理ルータは、今までご紹介した分散論理ルータと同じ役割をもち、この図に 1 つ書いてある NSX Controller Cluster が、別サイトのホストにも同じルーティング情報を一生懸命お届けしております。

図 12 別サイトに移行したい VM

注：DGW=Default Gate Way, UDLR=Universal Distributed logical router（ユニバーサル分散論理ルーター）

さて、ここで落ち着きのない VM 君が現れたようです。どうやら今いるサイトでリソースが足りてなくて、もう 1 つのサイトに移動したいようです。この VM のネットワーク設定において、デフォルトゲートウェイはいつでもどこでも分散論理ルータになります。そう、たとえサイトを移動しても、この VM がおしゃべりしたいエンドポイントとセグメントをまたいだ通信をするには、VM が送信したパケット君は、分散論理ルータ、つまり VM がそのとき乗っているホストにこう聞くのです。「ネクストホップはー？」

仮にこの VM がインターネット上のエンドポイントと通信したいとしましょう。インターネットにいくには、パケット君は一度仮想環境から脱出しなくてはなりません。仮想環境と物理環境の窓口は Edge ルータになります。ここで問題です、インターネットに出るためには、もし VM 君が別サイトに移行しても、同じ Edge ルータを通る必要があるでしょうか？？

図 13 移行した VM の物理ネットワークへの出口

答えは NO です。ユニバーサル分散論理ルータは、どのホスト上でも冷静にルーティングします。インターネットに出たいなら、普通にその VM がいるホストから 1 番いきやすく、インターネット上のエンドポイントにパケット君が最短で到着できる Edge にルーティングするのです。これ自体はルーティングという観点でいうとごくごく普通の話ですが、従来こんな風に分散してルーティングする機能なんてありましたっけ？この機能があるから、移行しても変わらず VM 君のデフォルトゲートウェイはホスト上に散らばっている分散論理ルータの IP アドレスのままでいいのです。しかし物理環境へのゲートウェイという意味だと、VM の設定は変えずに、勝手に最適なゲートウェイが選択されるという意味で、まるで VM のゲートウェイ設定が自動で適切に変更されているようですね。この機能、あたりまえのようで、あたりまえではないのです！

5. さらなるポイント：ハイブリッド環境の将来像
最近ハイブリッドクラウド環境に移行している企業は多くあると思います。移行作業、大変じゃないですか？FW ルールなど色々な設定をパブリッククラウド側で用意して、移行して、IP アドレスとかデフォルトゲートウェイとか設定しなおして、、、って、VM たちがめっちゃダルがっていますね既に。オンプレミスとパブリッククラウドをまたいで NSX Data Center で 1 つの仮想ネットワークを構築すれば、VM にとってパブリッククラウドへの移行はホスト間の vMotion となんら変わらなくなります。ユーザーからしても当然 VM 自体にネットワーク的にも FW ルール的にもなんの変化もないのですからハイブリッド環境であるからといって気にしなければならないことがなくなります。このようなことは、クラウドプロバイダーの IaaS を利用してオンプレミスと IaaS 間で NSX Data Centerを構築すれば実現可能です！これを活用すれば、移行作業の計画に長い間骨を折るのではなく、Cross-vCenter NSX の構築さえすれば移行自体は通常の vMotion と変わらないスタンスで実行することができますね。
また、パブリッククラウドを活用し、インフラ管理から解放されるということ以外のもう一つの重要なメリットとして、必要なときに必要な分だけ使って、従量課金ができるというポイントがありますので、これについて考えてみましょう。ある一定の時期だけめちゃくちゃ利用負荷が増える Web サーバーがあったとします。例えばキャンペーン中だけアクセスが 10 倍になるとか。こんなとき、その 10 倍のアクセスに備えて自社のデータセンターに 10 倍のアクセスが必要になったときに必要なリソースを常にスタンバらせておきたいですか？普段全然使わないのに。うーん、、嫌ですね。絶対嫌だ！じゃあ、パブリッククラウドをその時だけ使えばよくないですか？
でも、簡単にはいかないですよね。だって、リソースが足りなくなりそうになったらパブリッククラウドに移行するっていったって、IP アドレス体系変えなきゃだし、Web サーバだけ増やしたいのに IP アドレス体系変えたら App サーバに通信できるようにルーティング設定しなきゃ。FW ルールだって事前にパブリッククラウド側にも準備しておかなきゃ。。。
こんなとき、もしオンプレミス環境と従量課金のパブリッククラウド環境を、先ほどご紹介したサイト間 L2 延伸と同様につなぐことができたら、こうなります。

図 14 VM にとってオンプレミスかパブリックか全く関係ない様子

いやいや、こんなこと、ほんとにできるの？と、この雑すぎる図解を見る限りでは到底真に受けられないかと思いますが、実際にすでにこのようなことが我々のテクノロジーで実現が可能になってきております。Cross-vCenter NSX でマルチサイト間で実現していることと同様に、パブリッククラウドと複数サイトのオンプレミスを含めて統合的なネットワークやセキュリティポリシーで管理運用できる将来もすぐそこに実現できる段階にきつつあります！弊社の Vision としては、このようにサーバやストレージ、ネットワークといった物理インフラ環境に左右されない柔軟な世界を創りたく、さらに将来的にはパブリッククラウドすらも自由に選択できるような、人間様のご都合に難なく適応してくれるインフラ環境を作るべく絶賛奮闘中です！乞うご期待！

6．おわりに
さあ、遂に最終回もまとめに入ってしまいましたが、この回はお伝えしたことが多かったので内容を整理したいと思います。

まず初めに、企業が複数データセンターを持つにいたる事情を色々と上げさせていただきました。
次に、複数データセンターをひとまとめに扱うために、従来物理ネットワークの範疇でお金や手間をかけて頑張らなくてはならなかったということをお伝えしました。
そして、Cross-vCenter NSX では複数データセンターをソフトウェア的に 1 つのデータセンターのように扱うことが可能になるということをご紹介し、それ自体が従来の手間と比較してメリットになるということと、L2 延伸、FW ルールの共有によってワークロード移行の手間が軽減され災害対策の工数の簡素化やリソースの有効活用、そして経路選択の最適化といった具体的なメリットもご紹介させていただきました。実のところ、ユースケースとしてお伝えできることはまだまだたくさんありますが、今回はぐっとこらえて、皆様の探求欲、クリエイティビティを刺激したところで締めさせていただきたいと思います。最後の最後になりましたが、この冊子では、NSX という名の下の NSX Data Center for vSphere について解説してきました。実は NSX SD-WAN、NSX Cloud、NSX Hybrid Connect、など続々と仮想ネットワークを支える NSX ファミリーが弊社のラインナップに加わっております。こちらの最新情報もぜひチェックしていただき、VMware NSX による仮想ネットワークの最先端を一緒に突っ走りましょう！それでは、またいつか！

－VMware SE 大田愛里香

The post 新卒 SE 社員が贈る NSX のキソ！第 8 回～Cross-vCenter NSX で実現するマルチサイト環境～ appeared first on Japan Cloud Infrastructure Blog.

コンバインモードの正しい理解と知っておきたいこと

トレンドマイクロ VMwareテクニカルアライアンス担当 栃沢です。

前回、DSVAとDSAの使い分けについて解説をしましたが、Deep Security Virtual Appliance（DSVA）で保護しているESXiホスト上にDeep Security Agent(DSA)がインストールされたWindows仮想マシンが配置された場合、Deep Securityでは“コンバインモード”というモードで動作します。
コンバインモードについては、誤解しやすい点もあるので、今回はその正しい理解と抑えておいていただきたい点をまとめてお伝えしたいと思います。

コンバインモードの有効化と状態

前回のブログにも書きましたが、コンバインモードが有効化されるのはWindows仮想マシンのみとなります。
コンバインモードを有効にするために必要な設定は特段ありません。対象の仮想マシンが DSVA で保護可能な状態になっており、かつDSA がインストールされていると自動的にコンバインモードによる保護が有効になります。そして、コンバインモードが有効になるのはWindows OSのみです。（前回も解説しましたが、設定が特に必要ないという点では、DSAをインストールしたLinux OSをDSVAが稼動しているESXiホスト上で動作させる際にDSAでの保護が自動的に継続されることと共通しています。詳細は前回ブログをご確認ください。）

コンバインモードで動作していることは、Deep Security Manager（DSM）コンソール、DSAがインストールされたWindows OSのタスクトレイから確認することができます。

■Deep Security Managerコンソール

■Deep Security Agentタスクトレイ

コンバインモードのアフィニティルール

コンバインモードでは、機能群ごとにDSA、DSVAどちらの防御コンポーネントで保護を実施するか（保護ソース）選択できるようになっています。
デフォルトでは以下のように動作するように設定されています。

• 不正プログラム対策　　　　　　　　　　　　　　　　　Appliance優先
• Web レピュテーション/ファイアウォール/侵入防御　　　Agent優先
• 変更監視　　　　　　　　　　　　　　　　　　　　　　Appliance優先

DSVAで対応していない機能であるセキュリティログ監視、アプリケーションコントロールは、DSAでの保護となるためコンバインモードのアフィニティルールの設定項目はありません。
また、コンバインモードはDeep Security 9.6から実装された機能ですが、アフィニティルールをデフォルトの設定から変更できるのはDeep Security 10.0以降になります。

機能群毎に選択できるコンポーネントの保護ソースの選択には以下の4つがあります。

• Appliance 優先　：　Appliance 有効化不可時に Agent にてセキュリティ機能を提供
• Agent優先　　　：　Agent 有効化不可時に Appliance にてセキュリティ機能を提供
• Appliance のみ　：　Appliance 有効化不可時に Agent でのセキュリティ機能の移行を行わない
• Agentのみ　　　：　Agent 有効化不可時に Appliance でのセキュリティ機能の移行を行わない

このアフィニティルールの設定は、利用したい機能と仮想マシンに対するDeep Securityの機能利用による負荷を考慮して適宜変更することが可能です。

コンバインモードの保護ソースの変更のトリガー

Appliance優先、Agent優先を選択した場合、選択された保護ソース（DSVAまたはDSA）が無効化された場合に、もう一方の保護ソース（DSAまたはDSVA）に保護機能を移行するためのDSMからポリシーの配信が実行され、保護ソースが変更されます。各機能のステータスにエラーがあった場合などに保護ソースが変更されるようなフェイルオーバー（エラーに備えた冗長化）には対応していませんので、留意してください。

コンバインモード利用にあたって知っておくべきこと

コンバインモードの利用にあたって、知っておいて頂きたい点をいくつか挙げておきたいと思います。

• Appliance優先、Agent優先を選択した場合、前述のとおりDSMからのポリシー配信が実行されます。Appliance優先でAgentに保護ソースが切り替わった場合、該当の機能モジュールがインストールされていない場合、機能モジュールのインストールが行われた後、ポリシーの配信が行われます。コンバインモードの保護ソース変更時にモジュールの自動インストールをさせたくない場合にはあらかじめ機能モジュールをインストールしておくか、Applianceのみを選択する必要があります。
• コンバインモードでは、DSVA による保護を仮想マシン単位で無効化することはできません。
• Deep Security Virtual ApplianceのCPU課金、かつ、侵入防御・ファイアウォール・Webレピュテーションを利用できるライセンスをご購入いただいている場合に限り、DSAで上記の機能を実装することが許諾されています。（vShield Endpoint環境でDSVAを利用していた場合に利用できた機能をDSAにて補完するための措置）ライセンスの詳細はこちらをご覧ください。

まとめ　～　DSVAとDSAを使い分ける上でのポイント

コンバインモードについてご理解をいただけたでしょうか？
少し複雑な部分もありますが、ポイントを抑えてコンバインモードもうまく活用を頂ければと思っております。
コンバインモードについてはこちらのFAQにも記載されておりますので、ご参照ください。

執筆者：
トレンドマイクロ株式会社
セキュリティエキスパート本部
パートナービジネスSE部 パートナーSE2課
栃沢 直樹（Tochizawa Naoki）

【VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化】

1. 1. Horizon インスタントクローンにも適用可能！仮想デスクトップ環境にフィットしたセキュリティ対策
   2. VMware NSX + Deep Secuirty連携によるエージェントレスセキュリティとは？
   3. VMware NSX + Deep Security連携にかかわるコンポーネントと基本構成
   4. VMware NSXとDeep Securityのユースケースと実現できることとは？
   5. エージェントレス型ウイルス対策のアーキテクチャ（１）
   6. エージェントレス型ウイルス対策のアーキテクチャ（２）
   7. エージェントレス型による侵入防御/Webレピュテーションの実装
   8. エージェントレス型とエージェントレス型の使い分けのポイント
   9. コンバインモードの正しい理解と知っておきたいこと

The post VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化（９） appeared first on Japan Cloud Infrastructure Blog.

4回目：仮想スイッチのお作法#4    (分散スイッチの管理①#4)

– Back Number –
#1…仮想スイッチのお作法#1
#2…仮想スイッチのお作法#2
#3…vSphere 6. 5の分散スイッチの機能とアーキテクチャ#3
#4…分散スイッチの管理①#4
#5…分散スイッチの管理②#5
#6…Network I/O Control#6

日本ヒューレット・パッカード株式会社の中川明美です。

4回目は、分散スイッチの特長であるポートの管理機能および分散スイッチで提供されるアラームや権限付与についてご紹介します。

◆ポートバインド

「ポートバインド」設定によって、仮想マシンの仮想NICを分散スイッチのポートに割り当てるタイミングと方法を指定します。ポートバインドは分散ポートグループで設定します。

下図は、仮想マシンの分散ポートグループの編集画面です。

ポートバインドには、次の3つのオプションがあります。

• 静的バインド　(デフォルト設定)
• 動的バインド　(ESXi 5.0から廃止)
• 短期-バインドなし

「静的バインド」と「短期-バインドなし」の違いをまとめます。

<KBのご紹介>Choosing a port binding type in ESX/ESXi (1022312)

https://kb.vmware.com/s/article/1022312

<参考>標準スイッチのポート数

ESXi 5.5以降の標準スイッチのポート数は、分散スイッチのポート割り当ての弾性と同様に8個ずつポートが追加されます。標準スイッチではポートバインドはされません。

標準スイッチは、ESXiホストでサポートされているポートの最大数まで拡張できます。vSphere 6.5の標準スイッチ1台あたりの最大作成ポート数は4,088です。

◆ポート単位の管理

分散スイッチでは、ポート単位でポリシーを設定することができます。

下図は分散ポートグループの編集画面です。「詳細」ページで、各ポリシーのオーバーライドを「許可」に設定します。この設定により、分散ポートグループのポリシーをポートのポリシーで上書きすることができます。

下図はアップリンクチーミングでオーバーライドの許可をした後のポート0の編集画面です。

許可していない項目はオーバーライドを選択することができません。

◆アップリンクポートの管理

分散スイッチでは、アップリンクポートグループやアップリンクポート単位でポリシーを設定することもできます。

下図はアップリンクポートグループのオーバーライドを設定する画面です。この画面でベンダー設定を「許可」にすると、「VLAN」「NetFlow」「トラフィックのフィルタリングとマーキング」に対して、一度にオーバーライドの許可を行うことができます。

◆監視機能

監視機能には、「NetFlow」「ポート状態の監視」「アラーム」があります。

<NetFlow>

NetFlowを有効にすると、分散ポートグループのポートまたは分散ポートを通過するIPパケットを監視することができます。

分散スイッチでNetFlowの構成をする場合は、分散スイッチの設定で、「NetFlow」を選択し、「編集」をクリックします。

編集画面で、コレクタのIPとポート番号を指定します。コレクタから分散スイッチを識別できるように、スイッチIPアドレスに分散スイッチ用のIPアドレスを指定します。

<ポート状態の監視>

「ポート状態の監視を開始」アイコンをクリックすると、ランタイム統計情報を表示することができます。

<アラーム>

分散スイッチでは、「分散スイッチ」「アップリンクポートグループ」「分散スイッチポートグループ」で、新しいアラームを定義することができます。標準スイッチでは定義することはできません。

下図は分散スイッチの新しいアラームの定義を設定する画面です。

<参考>

パケットのキャプチャ用のコマンド「pktcap-uw」をご紹介します。

下図はVMkernelアダプタの「vmk0」をキャプチャした画面です。他に物理アダプタ、vmxnet3仮想マシンアダプタ、ドロップされたパケットのキャプチャを行うこともできます。

3パケットの内容を保存し、Wiresharkなどのツールで表示することもできます。

◆まとめ

4回目は、分散スイッチの分散ポートにフォーカスし、どのような機能があるのかをご紹介しました。物理スイッチの運用管理をされている方には、ポートを番号で管理するのは当然と思われるかもしれませんが、仮想スイッチも分散スイッチなら可能です。

今回ご紹介した機能は、私がインストラクターをしていた時に、「仮想スイッチで〇〇の機能はありますか」とご質問いただいた機能でもあります。

標準スイッチをお使いの方は、運用の効率性もふまえ、分散スイッチの使用をぜひご検討いただけたらと思います。

The post 仮想スイッチのお作法～標準スイッチから分散スイッチへの道～ appeared first on Japan Cloud Infrastructure Blog.

5回目：仮想スイッチのお作法#5  (分散スイッチの管理②#5)

– Back Number –
#1…仮想スイッチのお作法#1
#2…仮想スイッチのお作法#2
#3…vSphere 6. 5の分散スイッチの機能とアーキテクチャ#3
#4…分散スイッチの管理①#4
#5…分散スイッチの管理②#5
#6…Network I/O Control#6

日本ヒューレット・パッカード株式会社の中川明美です。

5回目は、分散スイッチの障害からのリカバリ方法、vCenter ServerとESXiホスト間のネットワーク接続に問題が生じた場合の対処方法をおもにご紹介します。

◆分散スイッチのネットワーク構成のバックアップとリストア

分散スイッチのネットワーク構成のバックアップとリストアは、次の目的で使用します。

• vCenter Serverデータベースの破損または誤った設定からの復旧
• アップグレードでエラーが発生した場合に以前の設定へロールバック
• 分散スイッチのコピーを作成するためのテンプレート

次の操作により、上記目的を達成します。

• 非同期でディスク上へ分散スイッチ/分散ポートグループ/アップリンクポートグループ設定のバックアップ (エクスポート)
• バックアップから分散スイッチ/分散ポートグループ/アップリンクポートグループを復旧 (リストア)
• 変更後に以前の分散ポートグループ/アップリンクポートグループ設定にロールバック (リストア)
• バックアップから新しい分散スイッチの作成 (インポート)

◆ネットワーク構成のバックアップ

<分散スイッチのバックアップ>

「設定のエクスポート」メニューで、分散スイッチ/分散ポートグループ/アップリンクポートグループの設定をバックアップします。

ここでは、分散スイッチのバックアップを行います。

「分散スイッチを右クリック → 設定 → 設定のエクスポート」を選択します。

次にエクスポート対象を選択します。

バックアップデータを保存して、終了です。

以前、vCenter Serverデータベースの障害により、複数のVLANを構成した分散スイッチにエラーが発生しました。再作成を前に、導入エンジニアが嘆いていたのを思い出します。

新規作成や構成変更のタイミングで、バックアップを取得しておくことは心の安定を得られますね。様々な設定を構成した分散スイッチのエラーを解消できず、最初から作成するのは心が折れます！

◆ネットワーク構成のリストア

設定ミスを想定し、次の内容に変更しています。

リストアは、分散スイッチ単位/分散ポートグループ単位/アップリンクポートグループ単位で行うことができます。

<分散スイッチのリストア>

分散スイッチ単位でリストアする場合は、「分散スイッチを右クリック → 設定 → 設定のリストア」を選択します。次にバックアップファイルとリストア対象を選択します。

<分散ポートグループのリストア>

分散スイッチのバックアップデータから、分散ポートグループのみをリストアすることもできます。リストアしたい分散ポートグループを右クリックし、「設定のリストア」を選択します。

次に、バックアップデータから戻すのか(「設定を次のファイルからリストア」)、正常に動作していた以前の設定にロールバックするのか(「以前の設定にリストア」)を選択します。

バックアップ時の設定に戻されているかは、「設定」 → 「ポリシー」で確認します。下の画面では、先のリストア操作で変更前の状態に戻っています。

◆分散スイッチのインポート

バックアップした構成ファイルのインポートから、「新しい分散スイッチの作成」「削除された分散スイッチの再作成」「アップグレードに失敗した分散スイッチの復元」を行うことができます。

また既存の分散スイッチに、エクスポートした分散ポートグループのインポートすることもできます。

ここでは分散スイッチのインポートを行います。データセンターを右クリック、「Distributed Switch」 → 「Distributed Switchのインポート」を選択します。

次に、バックアップファイルを選択します。再作成や復元をする場合は、「元のDistributed Switchとポートグループ識別子を保存します」オプションを選択します。

◆管理ネットワークのロールバックとリカバリ

管理ネットワークの構成ミスのためにvCenter Serverへの接続を失った場合、分散スイッチでは管理ネットワークのロールバックとリカバリを行うことができます。

<ロールバック>

ロールバックはデフォルトで有効の設定になっています。接続を失ったことを検知後、30秒 (デフォルトのタイムアウト値) でロールバックします。タイムアウト値の変更方法はKB2096691を参照ください。

分散スイッチのロールバックは、分散スイッチ/分散ポートグループ/分散ポートに不適切な変更が行われると自動で起動します。

ロールバックを無効にするには、vCenter Serverの詳細設定で「config.vpxd.network.rollback」を「false」にします。

<リストア>

ロールバックを無効にした場合や物理ネットワークの変更によって管理ネットワークに問題を生じた場合、ダイレクトコンソール ユーザーインターフェイス (DCUI) を使用して、管理ネットワークの復旧を行います。

DCUIには次の3つのリストア設定があります。

• Restore Network Settings
• Restore Standard Switch
• Restore vDS

「Restore Standard Switch」「Restore vDS」は、分散スイッチで管理ネットワークが構成されている場合に選択可能になります。管理ネットワークが構成されていない場合はグレーアウト表示になります。

「Restore Network Settings」を選択し、次の画面で<F11>を選択すると、工場出荷時の状態に戻ります。

管理ネットワークの構成エラーから復旧する場合は「Restore vDS」を選択します。次の画面で、ポートバインドの方法を選択します。

分散スイッチを標準スイッチに復元する場合は「Restore Standard Switch」を選択します。

「Restore Standard Switch」を選択すると、IPアドレスを割り当てることができる新しいVMkernelポートと標準仮想スイッチがESXiホスト上に作成されます。分散スイッチのアップリンクは、新しい標準仮想スイッチに移動されます。

<KBのご紹介>

• Understanding network rollback and recovery in vSphere 5.1 and later (2032908)
• Migrating an ESXi management interface from vSphere Standard Virtual Switch to vSphere Distributed Virtual Switch fails and results in a rollback (2096691)

◆分散スイッチのアップグレード

アップグレード対象の分散スイッチを右クリックし、「アップグレード」 → 「Distributed Switchのアップグレード」を選択します。

アップグレードメニューには、他に「Network I/O Controlのアップグレード」「LACPサポートの強化」があります。

< Network I/O Controlのアップグレード>

Network I/O Controlをバージョン3へアップグレードすると、システムトラフィックおよび個々の仮想マシン (仮想NIC) へバンド幅割り当てることができます。#6で紹介します。

<LACPサポートの強化>

バージョン5.1の分散スイッチからバージョン5.5/6.0にアップグレードした分散スイッチで、拡張LACPサポートに変換すると、複数のLAGを作成することができます。

アップグレード前に分散スイッチで基本LACPサポートが有効になっていた場合、拡張LACPサポートへは手動で拡張します。

次の画面で、アップグレードするバージョンを指定します。

アップグレード前には、分散スイッチの設定のエクスポートをおすすめします！

◆まとめ

今回ご紹介した、「ネットワーク構成のバックアップとリストア」や「管理ネットワークのロールバックとリカバリ」は、バージョン5.1から提供されている機能です。分散スイッチはvSphere 4.0から提供されていますから、こなれた仮想スイッチではありますね。

10Gbpsの物理NICの使用が一般的となり、管理するESXiホストが増設され、分散スイッチを活用する機会が増えてきたのではないかと個人的には思います。

管理ネットワークを分散スイッチで構成するなら、設計も変わってきますよね。分散スイッチで管理ネットワークを構成し、接続が失われた時に慌てた方もいらっしゃると思います。実際に正常に復元するの？と問われたこともあります。事前の復元検証は必須かと思いますが、分散スイッチが提供する復旧機能をぜひ活用いただけたらと思います。

次回は、Network I/O Control バージョン3をご紹介します。

The post 仮想スイッチのお作法～分散スイッチの管理②#5～ appeared first on Japan Cloud Infrastructure Blog.

6回目：仮想スイッチのお作法#6    (Network I/O Control#6)

– Back Number –
#1…仮想スイッチのお作法#1
#2…仮想スイッチのお作法#2
#3…vSphere 6. 5の分散スイッチの機能とアーキテクチャ#3
#4…分散スイッチの管理①#4
#5…分散スイッチの管理②#5
#6…Network I/O Control#6

日本ヒューレット・パッカード株式会社の中川明美です。

6回目は、分散スイッチが提供する「vSphere Network I/O Control バージョン3」についてご紹介します。「Network I/O Control」は、複数の種類のトラフィックが共通のリソースを使用する場合に、競合する問題を解決します。

サーバーの最新モデルによっては、10Gbpsの物理NICを16個まで搭載することができるようになりました。16個もあれば、10Gbpsの物理NICを必要なトラフィックで占有できそうですね。参考までに、vSphere 6.5の10Gbps物理NICの最大構成数は、Intel製は16個、QLogic製またはEmulex製は8個です。

数年前までは10Gbps物理NICは2個が大半で、物理NICを共有する複数の種類のトラフィックをどのようにコントロールするかは設計者の腕の見せ所だったのではないかと思います。

また、Network I/O Controlバージョン2をお使いの方で、物理NICのコントロールはNetwork I/O Controlを、仮想NICのコントロール (制限) はトラフィックシェーピングを使用されていた方もいらっしゃったのではないかと思います。

バージョン3では物理NICおよび仮想NICのリソースコントロール機能を提供しています。ぜひこの機会に、Network I/O Control バージョン3の使いどころを知っていただけたら幸いです。

◆vSphere Network I/O Control バージョン2とバージョン3

vSphere 6.0から提供されたNetwork I/O Control バージョン3では、vSphere 5.5までのバージョン2にいくつかの機能を追加しています。バージョン2と3の違いを確認します。

<バージョン2>

バージョン2では、たとえば仮想マシンのネットワークトラフィックで、物理NICを対象に異なるコントロールを行いたい場合、ユーザー定義のネットワークリソースプールを使用します。

新規ネットワークリソースプールで、「制限」「シェア値」「CoS優先順位タグ」を指定します。作成したネットワークリソースプールを分散ポートグループに割り当てます。

<バージョン3>

バージョン3では、仮想マシンのネットワークトラフィックで、物理NICを対象にコントロールを行いたい場合は「仮想マシンシステムトラフィック」を、仮想NICを対象にする場合は「ネットワークリソースプール」または「仮想マシンの設定」を使用します。

ネットワークリソースプールを作成する前に、仮想マシンシステムトラフィックでバンド幅の予約設定が必要です。

◆システムトラフィックのバンド幅割り当て

システムトラフィックには、事前に定義された9つのトラフィックタイプがあります。

物理NICを対象に、「シェア」「予約」「制限」の設定値を使用して、各システムトラフィックにバンド幅を割り当てます。バージョン3から、設定値に「予約」が追加されました。

下図は、vMotionトラフィックの設定の編集画面です。この分散スイッチには1Gbpsの物理NICが割り当てられています。

<10Gbps物理NIC上のシステムトラフィックのバンド幅予約例>

たとえば、次の予約設定によって、1つの物理NICを対象に、仮想マシン用の0.5Gbpsのバンド幅を確保できたことになります。

◆仮想マシントラフィックのバンド幅割り当て

仮想マシンを対象に異なるコントロールを行いたい場合には、「ネットワークリソースプール」を使用する方法と、仮想マシンの設定の編集で設定する方法の2つがあります。

<ネットワークリソースプール>

ネットワークリソースプールのバンド幅割り当ては、そのプールに関連付けられている分散ポートグループ間で共有されます。仮想マシンには、その仮想マシンが接続されている分散ポートグループを介して、ネットワークリソースプールからバンド幅が割り当てられます。

デフォルトでは、分散スイッチ上の分散ポートグループは、割り当てが構成されていない「デフォルト」と呼ばれるネットワークリソースプールに割り当てられています。

下図を例にすると、分散ポートグループAに接続される仮想マシンに割り当てられるバンド幅の合計が最小2Gbps確保 (保証) されます。

先に述べたように、ネットワークリソースプールを使用するには、仮想マシンシステムトラフィックで予約の設定をします。

下図は、仮想マシンシステムトラフィックの設定の編集画面です。物理NICのバンド幅の75%を超えない値を設定します。

下図は、新規ネットワークリソースプールの画面です。ここで予約値 (最小バンド幅) を設定します。最大割り当て値は、仮想マシントラフィックで設定した予約値×アップリンク (物理NIC) の数です。このアップリンク数は分散スイッチで設定した値です。

下図は、分散ポートグループの設定の編集画面です。ここで作成したネットワークリソースプールを割り当てます。

<仮想マシン>

各仮想マシンのバンド幅割り当ては、仮想マシンの設定の編集で行います。

「制限」と「予約」は、仮想NICが接続されている分散ポートグループのトラフィックシェーピングポリシーにも依存します。たとえば、トラフィックシェーピングポリシーで平均バンド幅を100Mbpsに設定したなら、仮想マシンの仮想NICの予約値によって仮想マシンが200Mbpsを要求したとしても、実際のバンド幅は100Mbpsになります。

下図は、仮想マシンの設定の編集画面です。ネットワークアダプタを分散ポートグループへ変更し、「シェア」「予約」「制限」を設定します。

◆仮想マシンバンド幅のアドミッションコントロール

仮想マシンに十分なバンド幅を確実に割り当てられるようにするため、バンド幅予約とチーミングポリシーにしたがい、ESXiホストおよびクラスタレベルでアドミッションコントロールを実装します。

仮想マシンをパワーオンすると、分散スイッチのNetwork I/O Control機能が、ESXiホストで次の条件が満たされることを確認します。

• ESXiホスト上の物理NICが、チーミングポリシーと予約に従って、仮想NICに最小限のバンド幅を提供できる
• 仮想NIC用の予約が、ネットワークリソースプール内の空き割り当て量より小さい

<vSphere DRSのバンド幅のアドミッションコントロール>

DRSクラスタ内の仮想マシンをパワーオンすると、vSphere DRSはアクティブなチーミングポリシーに従って、その仮想マシン用に予約されたバンド幅が確保されるキャパシティを持つESXiホストに、その仮想マシンを配置します。下図は極端な例です。

<vSphere HAのバンド幅のアドミッションコントロール>

HAクラスタ内のESXiホストでエラーが発生するかホストが隔離されると、vSphere HAはバンド幅予約とチーミングポリシーに基づき、HAクラスタ内の別のESXiホスト上で仮想マシンをパワーオンします。

◆まとめ

仮想マシン上のアプリケーションによっては、ネットワークリソースが競合した場合により多くのリソースを割り当てたい、最小限のバンド幅を割り当てたい等のご要望はあると思います。

Network I/O Control バージョン3であれば、これらの要望を仮想NICレベルで満たすことができます。CPUやメモリと同様のコントロール方法ですから、取り組みやすいと思います。予約は仮想マシンがパワーオンできない要因になりますから、その点は注意が必要です。

今回で分散スイッチの投稿は終了です。今後はNSXのご紹介を予定しています。ネットワークは詳しくないと思われているサーバー管理者の方がNSXを検討するなら、を前提に進めたいと考えています。引き続きよろしくお願いします。

The post 仮想スイッチのお作法～Network I/O Control#6～ appeared first on Japan Cloud Infrastructure Blog.

エージェントレス型セキュリティ環境におけるWindows 10 Creators Updateの対応

トレンドマイクロ VMwareテクニカルアライアンス担当 栃沢です。

Windows 10環境への移行が進む中でWindows 10 Creators Updateへの対応についてご質問を頂くことが多くなってきております。
仮想デスクトップ環境では、Creators Updateがリリースされた場合にVMware vSphere、VMware NSX、VMware Horizon、VMware Toolsを確認する必要があります。そして、エージェントレス型セキュリティ対策ではさらにDeep Security Virtual Appliance（DSVA）との互換性を意識していく必要があります。今回は各ソリューションが互換性の面でどのような関係性があり、どのようなポイントを確認していけばよいか、順を追って解説したいと思います。

仮想マシンOSがVMware仮想環境で利用できるか確認するポイント

仮想マシンにはポップアップツールであるNotifierを除いてセキュリティ機能を提供するDeep Securityのコンポーネントは導入されません。DSVAによるエージェントレス型セキュリティを提供するためには、仮想マシン側にVMware Tools のVMCIドライバに含まれるNSXファイル自己検証ドライバ（vsepflt）を導入しておく必要があり、NSXファイル自己検証ドライバがフックする情報を基に不正プログラム対策などの機能を提供しています。
詳細は第5回ブログをご覧ください。

VMwareの仮想環境上でどのWindows OSが利用できるかを確認するためには、VMware Tools とOSの互換性をチェックする必要があります。
確認のポイントは以下の2つです。

1) 仮想マシンに導入するOSがVMware Toolsに対応しているかを確認する
　VMware Compatibility Guide にて確認することができます。

2) VMware Toolsが利用を予定している vSphere / NSX に対応しているかを確認する
　VMware Product Interoperability Matrices にて確認することができます。

ここでのポイントは、該当するWindows OSがサポートするVMware Toolsを確認し、VMware Toolsが利用可能なvSphere、NSXの組み合わせを把握する、という点です。この組み合わせ（＝互換性）が満たされていないとVMwareのサポートを受けられなくなる可能性がありますので、必ずチェックをしましょう。

エージェントレス型セキュリティ提供可否を確認するためのDSVA互換性チェック

導入する仮想環境のバージョンが確認できたら、その環境でDSVAが利用可能かを確認します。
DSVAの互換性は、vSphere及びNSXのバージョンに依存します。VMware Toolsとは直接の互換性を持っていません。また、仮想デスクトップ環境において利用されるHorizonとも依存関係はないので意識する必要はありません（もう少し踏み込むとvCenter Server、NSX ManagerがDeep Security Managerと連携できれば、仮想デスクトップ展開ソフトウェアは意識しない）。
以下のサイトにてDSVAがvSphere及びNSXのどのバージョンと互換性があることをDeep Securityのバージョン毎に確認することができます。

Deep Security and VMware compatibility matrix

DSVA利用時のWindows 10 Creators Update の対応について

ここまでの解説を見てお分かりいただけたかと思いますが、DSVA環境における利用可能なOSは直接的にはVMware Toolsのバージョンに依存します。VMware Toolsについては、仮想マシンのOS種別単位で対応が定義されており、Windows 10のCreators Update（RS3、RS4など)のサービスオプションごとの互換性を意識する必要はありません。　対応OSについては、VMware Toolsのリリースノートを参照してください。

[参考情報]VMware HorizonのWindows10のサポート

DSVAとの互換性とは直接関係ありませんが、Horizonによる仮想デスクトップ環境の導入の際にはOSがどのようにサポートしているかを確認する必要があり、よくご質問をいただきますので、その情報もここでご案内しておきたいと思います。

以下のKBにはHorizonのWindows 10のサポートバージョンが記載されていますが、あくまでHorizonの互換性であり、VMware Toolsの対応バージョンは考慮されていませんので上記の互換性の確認を行って対応OSの確認をする必要があります。
https://kb.vmware.com/s/article/2149393

また、Horizon環境のサポートポリシーとして、Windows10サービスオプションが「対象（Targeted）」となっているバージョンについてはTech Preview Supportということで上記KBでもサポートされないステータスとして管理されています。
Microsoftが公開しているWindowsのリリース情報も適宜確認するようにしましょう。
https://www.microsoft.com/ja-jp/itpro/windows-10/release-information

まとめ

仮想マシンのOSの利用できる環境を確認する方法についてご理解いただけたでしょうか？
簡単な互換性の関係をまとめると以下のようになります。

Windows 10を例にここではお話してきましたが、レガシーOS（Windows Server 2003など）の対応も同様に確認することができます。
ただし、VMware、トレンドマイクロそれぞれでレガシーサポートの対応について定義しておりますので、必ずサポートの可否、対応条件および制限事項について事前に確認するようにしましょう。

執筆者：
トレンドマイクロ株式会社
セキュリティエキスパート本部
パートナービジネスSE部 パートナーSE2課
栃沢 直樹（Tochizawa Naoki）

【VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化】

1. 1. Horizon インスタントクローンにも適用可能！仮想デスクトップ環境にフィットしたセキュリティ対策
   2. VMware NSX + Deep Secuirty連携によるエージェントレスセキュリティとは？
   3. VMware NSX + Deep Security連携にかかわるコンポーネントと基本構成
   4. VMware NSXとDeep Securityのユースケースと実現できることとは？
   5. エージェントレス型ウイルス対策のアーキテクチャ（１）
   6. エージェントレス型ウイルス対策のアーキテクチャ（２）
   7. エージェントレス型による侵入防御/Webレピュテーションの実装
   8. エージェントレス型とエージェントレス型の使い分けのポイント
   9. コンバインモードの正しい理解と知っておきたいこと
   10. エージェントレス型セキュリティ環境におけるWindows 10 Creators Updateの対応

The post VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化（１０）　 appeared first on Japan Cloud Infrastructure Blog.

1回目：vROps 6.7は初心者に優しい

– Back Number –

#1 … vROps 6.7は初心者に優しい

日本ヒューレット・パッカード株式会社の中川明美です。

VMware vRealize Operations Manager 6.7が2018年4月にリリースされましたね。

6.7を操作した感想は、「仮想基盤の運用管理に必要なメトリック (カウンタ) にフォーカスしている！」です。フォーカスされていると、覚えるべき項目が少なくなり、初めて仮想基盤の運用に携わる方は助かりますね。

6.7バージョンの一番の変更点は、「分析」タブがなくなったことです。分析タブがなくなったのは残念ですが、初心者に優しいダッシュボードが準備されています。

#1：仮想基盤のパフォーマンスは使用率だけでは図れない

#2：アラートからブレイクダウン

#3：仮想マシンのリストはカスタムビューで

#4：6.7バージョンはメトリックの活用がポイント

ここ数年vROpsに関わるお仕事で、現在も物理マシンと同様の手法で仮想マシンを監視されていらっしゃる方をお見受けします。よくあるのは「使用率」のみを監視する方法です。

仮想基盤は、「キャパシティ」と「パフォーマンス」の2つの視点で監視する必要があります。「使用率」に加え、仮想基盤特有のメトリックと合わせて監視するのがポイントです。

数バージョン前からVMware vRealize Operations Manager (以降はvROps) のワークロードには、CPUは「デマンド」、メモリは「消費 (実際に使用された物理メモリ量) 」を分析結果に表示しています。これらのメトリックを調査するのは仮想マシンのパフォーマンスを最適化する前提となります。標準で提供されるVMのトラブルシューティングダッシュボードでは、使用率と仮想基盤に特化するメトリックが並べて表示されています。

仮想基盤において、なぜ使用率のみでは正しい判断ができないのでしょうか。コンピュータリソースのCPUとメモリを例に検証します。

◆ワークロード◆

下図は、vROps 6.6まで提供されていた、「分析」タブの「ワークロード」画面です。

この画面はデータセンターを選択しています。ESXiホスト2台分で、CPUのキャパシティは16.76GHz、メモリは32GBです。

<CPU>

ESXiホストの使用率は23.2%です。物理マシンの使用率を監視するならば、問題なしと判断されます。しかしこの画面から2台の仮想マシンのワークロードが高い状態であることがわかります。この画面だけでは根本原因はわかりませんが、ホストの「デマンド」が「使用量」より高い状態であることが1つのヒントになります。

参考までに、この画面でオーバーヘッドが高いのは、CPUの省電力機能が原因です。

KB: Virtual machine application runs slower than expected in ESXi (1018206)

<メモリ>

ESXiホストの使用率は82.48%です。物理マシンの使用率を監視するならば、高い使用率から問題ありと判断されるのではないでしょうか。しかし仮想マシンのワークロードは高くありません。この結果から、仮想マシンからのデマンド(要求)により、物理マシンの多くの物理メモリが消費されていることがわかります。

ESXiホストの使用率は90%を超えないように監視するのがポイントです。

仮想マシンからの要求により割り当てられた物理メモリの回収の発生タイミングは、次のBlogにまとめられています。

https://blogs.vmware.com/vsphere/2012/05/memminfreepct-sliding-scale-function.html

ESXiホストに96GBの物理メモリが搭載されていた場合、バルーニングが発生するタイミングは残りメモリが10244.26MBになった時です。このスライディングスケールというアーキテクチャを知ると、90%を超えないように監視するというのも納得できますね。

そして物理マシンの高いメモリ使用率が単純に仮想マシンのパフォーマンスに影響を与えるわけではないこともわかると思います。

CPUの高いワークロードの原因を特定しましょう。

◆仮想マシンのCPU診断リスト◆

下図は、vROps 6.6まで提供されていた、「仮想マシンのCPU診断リスト」ビューの画面です。

高いワークロードの原因は、高い競合値です。仮想CPUに物理CPUが割り当てられず、待ちが発生すると、高い競合値となります。

さらにこのBlogのテーマである使用率を確認します。VM-2を例にします。

VM-2のCPUキャパシティは約2.8MHzです。使用量を確認すると、約1.4MHzですから、使用率は50%です。低い使用量は物理CPUが割り当てられないためと考えられます。

上記から、物理マシンや仮想マシンの使用率のみでは、仮想基盤のパフォーマンスを分析するための判断材料が不足していることはおわかりになるかと思います。

次にデマンドの値も確認しましょう。競合値が特に高い、2つの仮想マシンでは、「キャパシティ」よりも「デマンド」の方が高い値が表示されています。これも物理CPUが割り当てられないために、リソース要求 (デマンド) が高くなっているためです。

◆「VMのトラブルシューティング」ダッシュボード◆

vROps 6.7では、「VMのトラブルシューティング」ダッシュボードが標準で提供されています。

このダッシュボードの内容から、「慣れるまではこのダッシュボートを活用すれば問題ないよ」というメッセージを感じます。私が個人的にお勧めする初心者に優しいダッシュボートです。

左側のリストから仮想マシンを選択すると、仮想マシンの構成情報、アラート、ワークロード、稼働ホスト、格納先データストア、VMware Toolsのバージョンを一覧表示できます。

ダッシュボードをスクロールすると、左側に各リソースの使用量 (CPUはデマンド/メモリはワークロード/ディスクはIOPS総数/ネットワークは使用率)、右側にパフォーマンスに影響を与えるメトリックが表示されています。そのメトリックには、CPUとメモリは競合、ディスクは遅延、ネットワークはドロップパケット数が選択されています。

複数の画面を遷移せずとも、このダッシュボードから、パフォーマンスに影響を与える原因と対応方法のおおよその検討をつけることができます。

CPUを例にします。CPUのデマンドが高くかつ競合が高いのであれば、パフォーマンスに問題があると判断し、他のESXiホストへの移行を検討します。CPUのデマンドが高くかつ競合が低いのであれば、キャパシティに問題があると判断し、その仮想マシンの仮想CPUの追加を検討します。

◆「運用概要」ダッシュボード◆

「運用概要」ダッシュボードで表示される上位15でも、「使用率」ではなく、「CPU競合」「メモリ競合」「ディスク遅延」が選択されています。このダッシュボードも標準で提供されています。

なぜ使用率 (使用量) が選択されていないのかはもうおわかりですよね！

競合の詳細な原因や、ディスク遅延およびネットワークのドロップの発生原因は、「ビュー」または「メトリック」を使用して分析します。こちらについては、以降の回でご紹介します。

◆まとめ◆

仮想基盤のパフォーマンスに影響を与えるメトリックには仮想基盤特有のメトリックがあるにも関わらず、物理基盤と同様の方法で監視されている方がいらっしゃるのが気になっていました。それをご存じないために、物理基盤と同様の方法で監視されるのではないかと推測します。vROpsで仮想基盤に特化したメトリックが表示されていても、活用するには少々ハードルが高いというお話も私の耳には入っていました。

「VMのトラブルシューティング」ダッシュボードを見た時に、「そうそう、このメトリックが必要なの！」とうれしく思いました。仮想基盤の運用に慣れていない方も、VMのトラブルシューティングダッシュボードを活用すれば、一時切り分けが可能です。

vROps 6.7から、初心者が活用することを意識した構成になっていると個人的に感じています。知識習熟度レベルによって、使い分けられたら費用対効果もあります。

次回は、アラート対象のオブジェクトの原因を探る方法をご紹介します。

The post vROps 6.7は初心者に優しい！ appeared first on Japan Cloud Infrastructure Blog.

第2回 シュナイダー ( APC ) UPS と VMware vSAN はシャットダウン連携ができるんです！！ ～電力消費量計算編～

＃第1回 シュナイダー ( APC ) UPS と VMware vSAN はシャットダウン連携ができるんです！！
～導入構成編～

＃第2回 シュナイダー ( APC ) UPS と VMware vSAN はシャットダウン連携ができるんです！！
～電力消費量計算編～

＃第３回 シュナイダー ( APC ) UPS と VMware vSAN はシャットダウン連携ができるんです！！
～2 Node vSAN 対応とよくある QA編～

◆はじめに

はじめまして！ 田中電機工業株式会社 中野 (左) と 村上 (右) です。

田中電機工業は広島でシステム・ネットワーク構築、アプリケーション開発をはじめ、コンサルティングから設計、構築、運用、保守まで、システム全般のサポートを行っております。

http://www.tanaka-elec.co.jp

前回のシュナイダーエレクトリック 出口さんの続きとして、VMware vSANとシュナイダー UPSを自社の本番環境に導入した実績を基に、「構成と製品選定のコツ」、「バッテリー稼働時の耐久時間」「シャットダウン時の動き」をご紹介していきます。

１．構成と製品選定のコツ

2018年10月現在で、我々の会社では3ノードの vSAN 上で約50台のVMが稼働しています。

 vSAN を構成しているハードウェアはこちら

 vSAN と UPS の構成図

vSAN と UPS の物理接続構成はこの様になっています。

もし導入構成で迷われている方がいましたら、ぜひ参考にしてください！！

では具体的にUPS製品の選び方を見ていきましょう！

シュナイダー社が提供している UPS 製品のラインナップは以下の様に豊富に提供されていますが、HCI 環境で使う場合には赤字でマークしてある製品を検討いただくことが多くなるかと思います。 (2018年1月現在のラインナップ)

お気づきの方もいるかも知れませんが、製品名に書かれている「2200」や「3000」という数字は UPS の保持電力量になります。

vSAN 環境で UPS を使う場合は複数のノードの扱うことになりますので、上の表でマークしたような、ある程度の電源容量がある型番が選ばれることが多くなりそうですね。

２．電源容量とUPS稼働時間の計算方法

では、いよいよ UPS を選んでいくにあたって 皆様が気にされていると思われる電源容量と稼働時間の算出方法を見ていきたいと思います。

稼働時間を算出するには、以下のポイントを確認いただければ簡単に算出していくことが可能です。

• UPS の電源容量

  こちらは先程お見せしたリストのように、UPS型番をみれば電源容量は一目瞭然ですね (^^♪

• 接続するサーバーの合計消費電力

  弊社で導入したvSAN基盤は Lenovo 社のサーバーを使っていますので、こちらのサイトから詳細に電力を算出しました。
  http://dcsc.lenovo.com/

最大電力消費量は3ノードで1983.6 W。

運用中の負荷が70%  程度の使用率と考えた場合の消費量は以下になります。

「皮相電力」 ・・・ 2009.7 VA × 70% ＝ 1406.79 VA

「消費電力」 ・・・ 1983.6 W × 70% ＝ 1388.52 W

2台冗長構成で実装しており、3台の電源消費量を2台で分散して処理しますので、UPS 1台あたりの消費量は以下のとおりです。

「皮相電力」 ・・・  1406.79 VA ÷ 2 ＝ 703.395 VA

「消費電力」 ・・・  1388.52 W ÷ 2 ＝ 694.26 W

使っている UPS 型番と機器の消費電力が算出できたら、シュナイダー社の以下ドキュメントに記載されている各 UPS 毎のバックアップ時間表を確認することで、簡単に計算をすることができます。
http://catalog.clubapc.jp/pdf/ups/small-ups_1510.pdf

※P23 を参照。以下に抜粋

今回の使用している UPS は一番右の SMT3000RMJ2 です。

先程算出した皮相電力と消費電力が当てはまる部分を赤枠で囲ってみました。

ということで、今回の構成ではバッテリー稼働時に20分間は問題なく稼働できるということが確認できました。

• 以下リンク、第1回目ブログのサンプル構成にマッチする構成から製品選定をしたい場合も簡単ですね (^_^)
  https://blogs.vmware.com/jp-cim/2017/12/schneider_apc_ups_vsan66_1.html

３．UPS稼働時のシャットダウン動作と電源復旧時の起動方法

最後に望まないことではありますが、もし実際に電源障害が発生してしまい、UPSで vSAN を安全にシャットダウンしなければならない状況が発生した場合に、「どのような流れでシャットダウンが行われているか？」と「電源復旧時のシステム起動方法」を実際に運用した際の勘所を交えてお伝えします。

[シャットダウンフローはこちら]

[電源を復旧させる場合のフロー]

・vSAN ノードと vCenter Server が異なるホスト上にある場合

今回はこちらの流れになります。

１．UPSの通電を開始
２．vCenter Server の起動
３．ESXiホストの起動
４．ESXi ホストのメンテナンスモードを終了
５．各仮想マシンを起動

※２番でESXiホストよりも先にvCenter Server を起動していますが、Virtual Appliance 版のvCenter ServerをvSANノード上に配置している場合は、次にご紹介するフローで起動可能です。

・vSANノード上にvCenter Serverが配置してある場合

１．UPSの通電を開始
２．ESXi ホストの起動
３．ESXi ホストのメンテナンスモードを終了
４．vCenter Server の起動
５．各仮想マシンを起動

vSANの機能はESXiホストが実装している機能なので、vCenter Serverが起動していなくても
vSANデータストアは使用できるのです  ε-(´∀｀*)ﾎｯ

最後に実装と運用する際の勘所をサマリにまとめました。

・vSAN をメンテナンスモードに移行していく際に、一度に全てのホストがメンテナンスモードには移行するのではなく、1台ずつ順番にメンテナンスモードに移行します。

・PowerChute Network Shutdownでコマンド実行を行う場合、サービスを起動するユーザで実行します。うまくいかない場合は、管理者権限のあるユーザに変更する必要があります。

・ホストをメンテナンスモードに移行させるためにSSH接続を使用しますが、初回にセキュリティ警告が表示されますので、unknown_hostsリストに該当のESXiホストサーバを追加する必要があります。

実装するスクリプトや、詳細な情報については以下のURLが参考になりましたのでご覧ください。

https://www.schneider-electric.co.jp/ja/faqs/FA329212/

４．さいごに

いかがでしたでしょうか？

HCI を導入する際に vSAN を採用すれば、今まで vSphere で蓄えた知識を基に、簡単にUPSを導入できることがイメージしていただけたのではないかと思います。

弊社では検証環境用に 2 ノード vSAN も導入しています。
社内で身につけた 2 ノード vSAN 構築、運用、3rd パーティ製品連携の勘所なども、いずれご紹介したいと思いますのでご期待ください！！

PS : 広島へお越しの際は、お土産に平安堂梅坪にも寄ってみてください。
特にバターケーキが村上のオススメです。

平安堂梅坪

※株式会社平安堂梅坪は、田中電機工業の子会社になりました。

The post 第2回 シュナイダー ( APC ) UPS と VMware vSAN はシャットダウン連携ができるんです！！ appeared first on Japan Cloud Infrastructure Blog.

2回目：アラートからブレイクダウン

— Back Number —

#1：仮想基盤のパフォーマンスは使用率だけでは図れない
#2：アラートからブレイクダウン
#3：仮想マシンのリストはカスタムビューで
#4：6.7バージョンはメトリックの活用がポイント
#5：vSAN運用管理者にはvROpsは欠かせないツール（近日公開予定）

日本ヒューレット・パッカード株式会社の中川明美です。
2回目は「アラートからブレイクダウン」です。vROpsを使用してアセスメントをする時、私はアラートの確認から始めます。アラートの確認は現在の問題を把握するために最適なアプローチだからです。一般的にも問題が起きているオブジェクトを特定する場合、最初に行うステップはアラートの確認ですもんね。

アラートの説明の前に、ユーザーガイドのご紹介を！
VMware社が提供するドキュメント「vRealize Operations Manager ユーザー ガイド」では、次の3つのシチュエーションにしたがい、問題解決までのアプローチを提示しています。
• 問題が発生したユーザーから問い合わせがあった場合
• 受信箱にアラートが到着した場合
• オブジェクトの状態を監視しているときに問題を発見

◆vRealize Operations Manager ユーザー ガイド◆
https://docs.vmware.com/jp/vRealize-Operations-Manager/6.7/vrealize-operations-manager-67-user-guide.pdf
下図は、ユーザーガイドの目次です。先にご紹介した3つのシナリオにアラートの項目が続きます。ガイドの構成も、アラートから始め、次にパフォーマンスやキャパシティの状態を確認する手順になっています。私もこのプロセスでアセスメントを行っています。
こちらのユーザーガイドはとても参考になるのですが、文字だけの73ページのボリュームは文章を読みなれていない人には、ハードルが高いかもしれませんね。。。

では、vROpsのアラートの活用方法をご紹介します。

◆vSphere基盤全体の現状把握◆

vSphere基盤全体の現状を把握するために、vROpsのメインメニューのアラートを選択します。この画面で「すべてのアラート」を確認します。

下の画面ショットでは、2つの仮想マシンで同じ内容のアラートが表示されています。

この段階では、仮想マシンに何らかの問題が発生していることを認識します。

◆対象オブジェクトの現状把握◆

対象オブジェクトのアラートの詳細を確認するために、リンク文字列(青色表示)をクリックすると、下の画面が表示されます。

この画面から、４つの情報を得ることができます。

赤枠：アラートの原因

上の画面ショットでは電源管理の設定がなされていないことが原因として挙げられ、それによってパフォーマンスに影響を与えているのではと推測します。

電源管理のアラートはvROps 6.6から表示されるようになりました。それより前のバージョンでは、非常に高いCPU Ready値またはオーバーヘッドから電源管理が原因なのでは？と分析していました。

青枠：現状を解消するための推奨アクション

「推奨」には、現状を解消するための具体的な操作方法が表示されます。

他の推奨がある場合は、「>その他の推奨事項」の「＞」をクリックすると、表示されます。

上の画面ショットでは、BIOSとESXiホストで電源管理の設定方法を紹介しています。

BIOSの設定は、各サーバーベンダーに問い合わせることをお勧めします。この画面では、「OS Controlled」がありますが、ベンダーによってメニュー名は異なります。

BIOS設定の詳細については、VMware社の以下Knowledge Baseも参考になるかと思いますので是非ご参照下さい。
Virtual machine application runs slower than expected in ESXi

緑枠：詳細情報の表示

いつからパフォーマンスに影響がある状況になったのか、どのメトリックの値が原因なのかを知りたい場合に、次の３つのリンクをクリックします。「ログの表示」は、vRealize Log insightと連携すると表示されます。このBlogでは、「追加メトリックの表示」と「イベントの表示」を取り上げます。

• 追加メトリックの表示
• ログの表示
• イベントの表示

追加メトリックの表示

「追加メトリックの表示」をクリックすると、対象オブジェクトのメットリック画面に遷移します。

パフォーマンス低下の原因となるメトリックの左側の◆が黄色で表示されます。

次に、メトリックをダブルクリックすると、右側のウィンドウにグラフが表示されます。このグラフから値の変遷を確認することができます。

メトリックの詳細については、４回目で説明します。

イベントの表示

アラートで表示されているイベントが、いつ警告(またはアラート)レベルに至ったかを時系列で確認することができます。下図にあるように、赤い▲にマウスカーソルを合わせるとイベントの詳細が表示されます。この画面ショットでは、グレーの▲時点でCPUに高負荷がかかり、１０分以内に警告レベルに至っていることがわかります。

黒枠：シンプトン

シンプトンは「事象」と訳されます。ｖSphere仮想基盤で発生した、クリティカル (またはその兆候) な事象を確認することができます。

下の画面ショットで表示されているシンプトンは、「電源管理テクノロジーがOS Controlledに設定されていません」という事象です。このシンプトンには、「CPU競合」のメトリックとそのメトリックに指定された条件 (しきい値) が設定されています。競合値が30%以上の場合、クリティカルレベルのアラートが発生されます。

アラートは、問題の発生を知らせ
るだけでなく、「シンプトン」と「推奨アクション」を関連付けて構成 (作成) することもできます。

メインメニューのアラートはすべてのオブジェクトを対象とします。任意のオブジェクトの詳細な状況を確認する場合は、各オブジェクトを選択します。各オブジェクトのアラート機能をご紹介します。

◆任意オブジェクトのサマリ◆

環境メニューから、任意のオブジェクトを選択し、「サマリ」を確認します。

サマリでは、「健全性」「リスク」「効率」のステータスとアラートが表示されます。バッジ (赤い点線枠) で表示を切り替えます。

右下のパフォーマンス (青い点線枠) ではパフォーマンスに関わる主要なメトリックが表示されます。下の画面ショットでは、電源管理の設定により、競合値が高く、100%を超えるデマンド値になっています。物理CPUが割り当てられず、CPUリソースの要求が高くなっていますね。

◆任意のオブジェクトのアラート◆

アラートのシンプトンでは、リスト形式でクリティカルな事象を時系列で確認できます。

下の画面ショットでは、パフォーマンスに影響があるシンプトンが表示されています。

◆まとめ◆

今回はアラートを取り上げました。このBlogを書くにあたり、アラート画面をじっくり確認した結果、この画面だけで1時間は話せるなという情報量です (笑) 。

vSphere仮想基盤の運用担当者になったばかりという方は、アラート画面の情報量だけで原因を特定するための工数を短縮できるのではないかと思います。アラートによっては推奨アクションも表示されますしね。

vROpsは情報量が多いのが、よいところでもあり、初心者のハードルを上げてしまうところでもあります。しかし、理解度 (習熟度) レベルに合わせて使用するダッシュボード (ユーザーインターフェース) を使い分けると活用の幅が広がります。コンサルティングの場で、ユーザーの方に安心いただくために、順番に覚えればいいのですよとお伝えしています。

次回は少々レベルを上げて、カスタムビューの作成方法をご紹介します。

The post vROps 6.7は初心者に優しい！#2 appeared first on Japan Cloud Infrastructure Blog.

3回目：仮想マシンのリストはカスタムビューで

— Back Number —

#1：仮想基盤のパフォーマンスは使用率だけでは図れない
#2：アラートからブレイクダウン
#3：仮想マシンのリストはカスタムビューで
#4：6.7バージョンはメトリックの活用がポイント
#5：vSAN運用管理者にはvROpsは欠かせないツール（近日公開予定）

日本ヒューレット・パッカード株式会社の中川明美です。

3回目は「仮想マシンのリストはカスタムビューで」です。

vROps 6.7のビューでは、「仮想マシンの診断リスト」が提供されていません。私は仮想マシンの診断リストを使用して、各仮想マシンのデマンドや競合を比較分析していたため、かなりの痛手です(笑)

提供されないなら、「ビューをカスタム作成しよう、みなさんにもカスタムビューの作成方法を共有しよう」と今回テーマに取り上げました。

カスタムビューを作成するには、Advanced / Enterpriseエディションが必要です。

リリースノートに、次の記述があります。

「vRealize Operations Standardエディションでは、ビュー、ダッシュボード、スーパー メトリック、およびレポートを作成または編集する機能は使用できません。」

vROpsを活用するには、Advanced以上のエディションが必要ということですね。

<vRealize Operations Manager 6.7 リリースノート>

https://docs.vmware.com/jp/vRealize-Operations-Manager/6.7/rn/vRealize-Operations-Manager-67.html

仮想マシンの診断リストを作成する前に、「ホストのCPU診断リスト」の内容を確認します。「ホストの診断リスト」は6.7でも引き続き提供されています。

◆ホストのCPU診断リスト◆

メインメニュー「ダッシュボード」で「ビュー」を選択します。「ホストのCPU診断リスト」を選択し、「ビューの編集」アイコンをクリックします。

ビューの数が多いため、この画面では右上のフィルタ (赤点線枠) を使用しています。

下図は、「ビューの編集」画面です。

ビューのポイントは「データ」です。「データ」で表示したいメトリックを指定します。

表示される値は、「平均ですか」「最大値ですか」と算出方法を聞かれます。その場合は、編集画面で確認します。※ Standardエディションは編集画面を表示できません。

「変換」で算出方法のタイプを選択できます。また「詳細設定を表示」 (赤色点線枠) をクリックすると、「ロールアップ間隔」を選択できます。

「競合(%)」は、「CPU競合 (%) 」メトリックの5分間の最大値を表示していることがわかります。

「メトリック相関」は、指定した「相関メトリック」の変換タイプが最小値または最大値である時に、値を表示します。この画面では、競合 (CPU競合) に「最大値」が選択されているため(青色枠)、「デマンド」や「使用量」などのデータも表示されるよう設定されています。

◆カスタムビューの作成◆

仮想マシンの「仮想CPUの数」と「CPUのパフォーマンスに関するメトリック」、仮想マシンが配置されている「ESXiホストの名前」が表示されるビューを作成してみましょう。

「ホストのCPU診断リスト」のメトリックを参考に、仮想マシン用のCPU診断リスを作成します。

ビューの画面で、「ビューの作成」アイコンをクリックします。5つのStepを進めます。

「1. 名前と説明」ではビューの名前を、「2. プレゼンテーション」ではデータの見せ方(リストやトレンドなど)を指定します。下図ではプレゼンテーションで「リスト」を選択しています。

「3. サブジェクト」では、データ対象のオブジェクトを選択します。

ここでは、「vCenter Server アダプタ」内の「仮想マシン」を選択します。

「4. データ」では、表示するプロパティやメトリックを選択します。

対象を「プロパティ」に変更し、「サマリ-親ホスト」「構成-ハードウェア-仮想CPU数」を右側のウィンドウにドラッグします。

対象を「メトリック」に変更し、パフォーマンスに関するメトリックを追加します。「デマンド」「使用率」は、単位を「自動」から「GHz」に変更しています。

「5. 可視性」では、作成したビューを、「ダッシュボード」「レポート」「詳細タブ」で使用するのかしないのかを指定します。

◆詳細タブで確認◆

作成したビューは、環境の詳細タブで確認します。

変更したい場合は、「ビューの編集」アイコンをクリックします。確認しながら変更できるため、作成後はこの画面で作業するのが便利です。

私も確認後、検索を容易にするためビューの名前変更、プロパティの「仮想CPU数」からメトリックの「プロビジョニングvCPU数 (vCPU) 」へ変更、「キャパシティ合計」を追加しました。

ビューのクローン、エクスポート、インポートもこの画面から行うことができます。

ビューの編集画面の「時間設定」で、データ表示期間を変更することができます。デフォルトは直近7日間です。この画面で変更せず、詳細タブのビュー画面でカレンダーのアイコン (上図の緑色枠) で都度変更することもできます。

ビュー作成時の詳細な説明は、こちらのドキュメントをご確認ください。

https://docs.vmware.com/jp/vRealize-Operations-Manager/6.7/com.vmware.vcom.config.doc/GUID-BC800026-25B4-4EDD-AE6F-E4A82BDE88C0.html

◆まとめ◆

vROps 6.7になり、仮想マシンの診断リストを見つけられなかった時は、困ったなぁと思いましたが、必要なメトリックを考えながらの作成は楽しかったです。

vROpsの操作を始めた数年前は、カスタム作成はハードルが高いのではと思っていたのですが、やってみると簡単でした。提供されているビューを参考にしてもよいですしね。

ビューは、ダッシュボードやレポートの元になるオブジェクトでもありますから、vROpsを超活用するためには必要な知識です。ぜひトライしてみてください！

The post vROps 6.7は初心者に優しい！#3 appeared first on Japan Cloud Infrastructure Blog.

4回目：6.7バージョンはメトリックの活用がポイント

— Back Number —

#1：仮想基盤のパフォーマンスは使用率だけでは図れない
#2：アラートからブレイクダウン
#3：仮想マシンのリストはカスタムビューで
#4：6.7バージョンはメトリックの活用がポイント
#5：vSAN運用管理者にはvROpsは欠かせないツール（近日公開予定）

日本ヒューレット・パッカード株式会社の中川明美です。
4回目は「6.7バージョンはメトリックの活用がポイント」です。
vROpsを使用したコンサルティングサービスの場で、「メトリック」をご紹介すると、物理基盤を監視していた方々に概ね好評でした。
収集データが時系列でシンプルに表示されると安心されるのでしょうか。メトリックのご紹介後、「このソフトウェア欲しい、いくら？」と笑顔で尋ねられたことがあります(笑)

本題に入る前に、2018年9月20日、vROps 7.0がLaunchされましたね。6.7が4月12日でしたから、半年余りで次のバージョンが出ました。

次は7.0の主な新機能です。AWS連携の機能が目を引きますね！

• What if 分析の新機能 (キャパシティ(ホスト)追加が復活/クラウドへの移行プランニングが可能)
• 新しいカスタムダッシュボード作成画面 (ドラッグ&ドロップで簡易性の強化)
• AWS 3.0の管理パックの機能追加 (EC2以外のサービスも対象/デフォルトでダッシュボードの提供)

新機能については、あらためてご紹介できたらと思います。まずは6.7で基本を押さえて！

<vRealize Operations Manager 7.0 リリースノート>

https://docs.vmware.com/jp/vRealize-Operations-Manager/7.0/rn/vRealize-Operations-Manager-70.html

◆メトリックの画面◆

メトリックは、6.6バージョンから各オブジェクトのメインメニューに、「すべてのメトリック」と表示されるようになりました。下図は、#2でご紹介したアラートから遷移したメトリックの画面です。

警告のあるメトリックは、メトリック名の◆が黄色で表示されます。

◆メトリックの利点

関連するメトリックを並べて比較分析できるところがよい点です。

「仮想マシンのトラブルシューティング」ダッシュボードを例にしますが、仮想マシンのパフォーマンスを監視するために必要な4つのリソースのメトリックが並べて表示されています。

一目で何がボトルネックとなっているのかを確認することができます。

メトリックはデータが時系列で表示されますから、日時を参照しながら分析できますね。

たとえばワークロードの高い値だけを注目しても、正しい判断はできません。いつ高くなったかを確認するのもポイントです。vROpsを使用したアセスメントサービスの場で、高いワークロードの原因は仮想マシンのバックアップが要因ということがありました。時間帯も分析の必須要素ですね！

ここからはちょっとしたTipsをご紹介します。

◆メトリックの活用①◆

下図では、仮想マシンのCPUに関するメトリックとホストのCPU使用率のメトリックを表示しています。#1でお伝えしたように、ホストのCPU使用率と仮想マシンの使用率は比例していないことがわかります。関連する複数の要素(メトリック)を並べて表示することで、どこに(ESXiホストまたは仮想マシン)問題があるのかを特定できます。

◆メトリックの活用②◆

次の例も複数のメトリックを並べて表示し、ネットワークパフォーマンスの原因を分析します。

仮想CPUに物理CPUが割り当てられていない場合、仮想NICはパケットの受信処理を行うことができません。処理を行うことができず、受信パケットがドロップすることがあります。

ネットワークの受信ドロップパケット数を監視する場合は、同時にESXiホストや仮想マシンのCPU競合値も表示すれば、どこに原因があるのかを特定しやすくなります。

受信パケットをドロップしているESXiホストがあれば、仮想マシンのCPU競合値も調べ、どの仮想マシンが影響を受けているかを確認できます。仮想ネットワークアダプタがVMXNET3の場合は、リングバッファを大きく設定できるため、受信パケットのドロップを回避することができます。

◆メトリックの活用③◆

いくつか並べたメトリックを同時にズームしたい場合、「すべてのグラフのズーム(赤色枠)」をクリックします。1つのメトリックでズーム操作(ある日時をドラッグ)をすると、他のメトリックも同時にズームされ、日時を揃えることができます。この機能を知らない時、同じ日時でズームされるよう、各メトリックのドラッグ操作に苦戦してました。同じ日時に表示調整するのはテクニックを要します(笑)

元に戻したい場合は、右にある「ズームのリセット(緑色点線枠)」をクリックします。

◆メトリックの構成◆

「VMのトラブルシューティング」ダッシュボードを例に、メトリックの内容(XML構文)を確認します。「6.仮想マシンにデマンドの急増または異常があります」は、メトリック「Dash-VM-Troubleshooting-Utilization」から構成されています。

メトリック「Dash-VM-Troubleshooting-Utilization」のXML構文は、「管理」-「メトリック構成」で確認できます。CPUデマンドにしきい値(緑色点線)が設定されていますが、このダッシュボードでは使用されていないようです。

◆メトリックに関するドキュメント◆

各メトリックの説明は、次のドキュメントをご確認ください。

https://docs.vmware.com/jp/vRealize-Operations-Manager/6.7/com.vmware.vcom.metrics.doc/GUID-C272EDE0-49E0-44D6-B47F-C32723AC9246.html

◆まとめ◆

メトリックは目新しいものではないのですが、アラートと連携されていたり、関連するメトリックと並べて比較分析できるのは便利ですね。

どのメトリックを選択するかで、表示されるデータに意味を持たせることができます。メトリックの組み合わせによって原因の特定を早めることもできますから、エンジニアの力量が発揮されますね。vROpsを操作する機会があれば、どんなメトリックがあるかを眺めてみてください。

次回はvSANと連携したvROpsを紹介します。最近弊社にvROpsコースについてVMwareパートナー様からお問い合わせがあります。vSANを検討されるエンドユーザー様からの依頼でvROpsのニーズがあるそうです。次回の内容もぜひ参考にしてください。

The post vROps 6.7は初心者に優しい！#4 appeared first on Japan Cloud Infrastructure Blog.

トレンドマイクロ VMware テクニカルアライアンス担当 栃沢です。

2018年11月に VMware Cloud on AWS が東京リージョンでリリースをされました。
VMware Cloud on AWS のリリースにより、従来オンプレミス環境で vSphere を採用していたユーザはよりパブリッククラウドとの連携を生かした運用を実現する道が開けてきたと思います。
パブリッククラウドの活用にあたってもセキュリティ要素の検討は必ず必要となり、従来のセキュリティ対策との兼ね合いも気になるところでしょう。

トレンドマイクロはすでに VMware Cloud on AWS のユーザとして、当社のサーバセキュリティ製品である Deep Security での連携などをすでに進めています。
今回は VMware Cloud on AWS 環境に対して Deep Security がどのような連携が可能になっているかをご紹介します。
今回ご紹介するこのブログの内容は、トレンドマイクロの VMware マイクロサイトにも転載されています。

マルチクラウド環境に対する Deep Security の位置づけ

Deep Security は統合サーバセキュリティ製品として多くのお客様にご利用をいただいていますが、物理、仮想化環境だけではなくパブリッククラウド、コンテナサービス、サーバレスも含めたマルチクラウド環境への対応を日々目指して開発を継続しています。

そして、Deep Security はシングルコンソールでオンプレミス環境とクラウド環境を一元管理できる仕組みを提供しています。
これによりインフラ環境を問わずにセキュリティレベルを統一していくことが容易となると同時に仮想マシン、インスタンスの新規デプロイ、移行にもシームレスに対応することが可能です。

VMware Cloud on AWS 環境における Deep Security の連携

VMware Cloud on AWS 環境においても Deep Security を連携することが可能になっています。Deep Security Manager（以下DSM）が vCenter Server と連携する仕組みを利用することによってオンプレミスの vCenter Server、VMware Cloud on AWS の vCenter サービスと連携をしてインスタンス情報をリアルタイムに同期します。また、現時点（2018年12月時点）では、VMware Cloud on AWS 上で利用できる保護モジュールは Deep Security Agent（以下DSA）のみとなります。

実際にどのような手順で連携をすればよいかを順を追って解説します。

【VMware Cloud on AWS vCenter への接続準備】

1. VMware Cloud on AWS コンソール画面から展開する SDDC を選択して、“OPEN VCENTER” をクリック
2. vCenter へのアクセスを許可するための Management Gateway に対するインターネット経由での Firewall アクセスルール、または、オンプレミス環境からの VPN アクセス（vCenter への HTTPS（TCP443）を許可）が設定されていれば連携可能
   DSMとvCenter の連携についてもこのポートを利用します。（DSM から vCenter へ HTTPS セッションを利用してリアルタイムに情報連携）○Firewall ルール例

【VMware Cloud on AWS vCenter と DSM の連携設定】

1. DSM にアクセスして、[コンピュータ]画面から ”VMware vCenterの追加” を選択
   オンプレミスの vCenter Server との接続設定と同様の設定を行います。
2. vCenter の Administrator 権限を持つアカウントでアクセス設定
   vCenter とのアクセス情報を入力して “次へ” に進むと vCenter へのテストアクセスが実行されます。アクセスができない場合にはエラーとなり、次の設定画面に進めません。
   NSX Manager の設定画面はスキップして “次へ” に進みます。
3. vCenter からデータセンター配下のホスト、仮想マシン情報が取得されていることを確認して “完了” をクリック
4. オンプレミスの vCenter とともに VMware Cloud on AWS のリソース情報が一元管理できていることを確認。

このように Deep Security を利用することによって、オンプレミスも VMware Cloud on AWS の双方の仮想マシンを統合管理し、同一のセキュリティポリシーを適用することが可能になります。
（そのほかにも AWS マネジメントコンソール、Azure ポータルと連携することも可能です。）
マルチクラウド環境への移行が進むにつれて、仮想マシンがどういった環境にあるかに問わず、統一したセキュリティを担保するためには、セキュリティツールがインフラ環境にリアルタイムに連携できることが大前提となります。
そしてリアルタイムに連携できることで、仮想マシンの増減に対しても Deep Security 側で登録を行わなくてもシームレスにセキュリティの適用が可能となり、セキュリティの適用を忘れてしまう、ということも避けられます。
ぜひ、皆さんの環境でもオンプレミスの vCenter、VMware Cloud on AWS の vCenter と Deep Security を連携してみてください。きっと有効性を体感していただけると思います。

執筆者：
トレンドマイクロ株式会社
セキュリティエキスパート本部
パートナービジネスSE部 パートナーSE2課
栃沢 直樹（Tochizawa Naoki）

The post VMware Cloud on AWS 環境も Trend Micro Deep Security で守ることができるんです！ appeared first on Japan Cloud Infrastructure Blog.