vRealize Log Insight で NSX DFW の Drop を確認してみる。Part.2

vRealize Log Insight で NSX DFW の Drop を確認してみる。Part.2

NSX for vSphere の 分散ファイアウォール(DFW)の様子を、

vRealize Log Insight(vRLI)を利用してみてみようと思います。

前回は、製品構成を説明しました。

vRealize Log Insight で NSX DFW の Drop を確認してみる。Part.1

今回は、実際に見てみる環境の概要を説明しておこうと思います。

ネットワーク構成と VM 配置。

下記のような簡易的なネットワーク環境を構成しました。

DFW が作用する通信を発生させるため、2台の Linux VM を

アクセス元 VM「vm01」と、アクセス先 VM「ext-vm01」として用意しました。

  • ext-vm01 (IP: 192.168.1.223)  ※Web サーバ
  • vm01(IP: 10.1.10.101)
  • 実際は他にも何台か VM あり。

DFW 環境内から外部の Web サーバ(Yum や GitHub なども)にアクセスするようなケースもあるかなと思い、

アクセス先の ext-vm01 では、Web サーバを起動してみました。

vrli-dfw-02-1a.PNG

ちなみに、ext-vm01 の Web サーバはただ nginx の Docker コンテナを起動しているだけです。

root@ext-vm01 [ ~ ]# ip a show eth0 | grep inet -m 1

  inet 192.168.1.223/24 brd 192.168.1.255 scope global dynamic eth0

root@ext-vm01 [ ~ ]# cat /etc/photon-release

VMware Photon Linux 1.0

PHOTON_BUILD_NUMBER=62c543d

root@ext-vm01 [ ~ ]# systemctl start docker

root@ext-vm01 [ ~ ]# docker run -d -p 80:80 nginx

Unable to find image 'nginx:latest' locally

latest: Pulling from library/nginx

e6e142a99202: Pull complete

8c317a037432: Pull complete

af2ddac66ed0: Pull complete

Digest: sha256:72c7191585e9b79cde433c89955547685db00f3a8595a750339549f6acef7702

Status: Downloaded newer image for nginx:latest

925d315458f74068fba33a907e33e4690c448b25646cad585a9f4a766109f842

root@ext-vm01 [ ~ ]#

コンテンツも、ただ Welcome ページが置かれているだけです。

root@ext-vm01 [ ~ ]# curl -s 192.168.1.223:80 | head -n 4

<!DOCTYPE html>

<html>

<head>

<title>Welcome to nginx!</title>

通信経路と、利用するファイアウォール機能。

今回は、すでに vm01 と ext-vm01 が相互に通信可能になるようにルーティングしてある状態です。

NSX で利用できるファイアウォールは、2種類あります。

NSX Edge Service Gateway(ESG)の Edge Firewall

  • ESG の VM がもつファイアウォール機能。
  • ESXi は関与せず、ESG がファイアウォール仮想アプライアンスとして動作する。

分散ファイアウォール(DFW)

  • ESXi の VMkernel がもつファイアウォール機能。
  • DFW を有効にしているクラスタで起動する VM の vNIC で作用する。

どちらも vSphere Web Client の NSX 管理画面(Network and Security)から

設定変更することができます。

両方同時に利用することも、片方だけ利用することも可能です。

今回は、Edge Firewall は特に使用せず、DFW だけ扱います。

ちなみに、ESXi がもつ ESXi Firewall もありますが、これは VMkernel の通信を制御するもので、

基本的に VM の通信には作用しないファイアウォールです。

vrli-dfw-02-2a.PNG

DFW は、VM の vNIC で作用するファイアウォールなので、

ファイアウォールの動作(許可や拒否など)は、ESXi のログとして出力することが可能です。

ESXi はこのログを Syslog 転送することが可能なので、Log Insight に転送して分析 / 可視化することができます。

vrli-dfw-02-3a.PNG

つづく・・・

vRealize Log Insight で NSX DFW の Drop を確認してみる。Part.3

0 Kudos
Version history
Revision #:
1 of 1
Last update:
‎06-27-2017 10:48 AM
Updated by:
Leadership
 
View Article History