この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章は、次の内容で構成されています。
仮想システムを正常に動作させるには、Cisco Prime NSC およびCisco VSG を指定された順序で Cisco Nexus 1000V スイッチにインストールする必要があります。 Cisco Nexus 1000V スイッチでのインストールに必要な重要なシーケンスについては、第 2 章の「Cisco VSG および Cisco Prime NSC のインストール - クイック スタート」を参照してください。 Cisco Cloud Service Platform 仮想サービス アプライアンスで Cisco VSG をインストールするには、第 6 章の「Cisco Cloud Service Platform 仮想サービス アプライアンスでの Cisco VSG のインストール」を参照してください。
Cisco VSG は仮想データセンターとクラウド環境への信頼されたアクセスを提供する仮想ファイアウォール アプライアンスで、ダイナミックなポリシーによる操作、透過的なモビリティによるエンフォースメントや高密度のマルチテナント向けのスケールアウトに対応しています。 Cisco VSG で 1 つ以上の仮想マシン(VM)を特定の信頼ゾーンと関連付けると、あらかじめ設定されたセキュリティ ポリシーに基づいて信頼ゾーンへのアクセスを確実に制御および監視されるようになります。 次の図に、Cisco VSG をテナントごとに適用するために使用する信頼ゾーン ベースのアクセス制御方法を示します。
Cisco vPath は次の機能をサポートします。
テナントアウェアなフロー分類と、指定された Cisco VSG テナントへのリダイレクション
Cisco VSG から Cisco vPath にオフロードされたフローのテナントごとのポリシー エンフォースメント
Cisco VSG および VEM には次の利点があります。
各 Cisco VSG は複数の物理サーバ間で保護を提供することができます。そのため、物理サーバごとに仮想アプライアンスを導入する必要はありません。
複数のスイッチを作成したり、VM を別のスイッチやサーバに一時的に移行したりしなくても、Cisco VSG を使用できます。 セキュリティ プロファイルに基づくゾーン スケーリングは、セキュリティを損ねたり、アプリケーションを停止したりすることなく物理サーバのアップグレードを簡易化します。
テナントごとに Cisco VSG をアクティブスタンバイ モードで導入すると、プライマリ Cisco VSG が利用不可になったときに Cisco vPath がパケットをスタンバイ Cisco VSG にリダイレクトします。
最大のコンピュート容量をアプリケーション ワークロードに割り当てられるよう、Cisco VSG を専用サーバに配置できます。 この機能により容量計画を独立して行え、セキュリティ、ネットワーク、およびサーバ グループ間の操作を分離できるようになります。
Cisco Nexus 1000V が導入されている Microsoft Hyper-V 環境に、Cisco VSG を透過的に挿入することができます。 Cisco VSG の 1 つ以上のインスタンスがテナントごとに導入されるため、多数のテナント間で高度にスケールアウトされた導入が可能になります。 テナントは分離されるので、トラフィックがテナントの境界を越えることはありません。 Hyper-V のテナント レベルで Cisco VSG を導入すると、Microsoft System Center Virtual Machine Manager(SCVMM)を使用して各テナント インスタンスを管理できます。
指定テナントの VM をインスタンス化すると、セキュリティ プロファイル(またはゾーン メンバーシップ)への関連付けは Cisco Nexus 1000V ポート プロファイルとのバインディングを通じてただちに行われます。 各 VM は、インスタンス化が行われると論理的信頼ゾーンに配置されます。 セキュリティ プロファイルには、各ゾーンを出入りするトラフィックのアクセス ポリシーを設定するコンテキストアウェアなルール セットが含まれます。 ゾーン間トラフィックおよび外部からゾーン(およびゾーンから外部)へのトラフィックへのコントロールを適用できます。 VLAN がテナントの境界を定義することが多いため、ゾーンベースのエンフォースメントは VLAN 内で行われます。 Cisco VSG はアクセス制御ルールを評価し、Cisco Nexus 1000V VEM vPath モジュールにエンフォースメントをオフロードします。 エンフォースメントが行われると、Cisco VSG はアクセスを許可または拒否し、オプションのアクセス ログを生成できます。 Cisco VSG では、アクセス ログを使用したポリシーベースのトラフック モニタリングも実行できます。
仮想化環境はダイナミックです。つまり、追加、削除、変更の操作がテナント間、および VM 間で頻繁に行われます。 次の図に、ダイナミック VM を導入することで、構造化された環境が時間の経過とともにどのように変化するかを示します。
Cisco Nexus 1000V(および Cisco vPath)で動作する Cisco VSG は動的な VM 環境をサポートします。 Cisco Prime NSC に Cisco VSG(スタンドアロンまたはアクティブなスタンバイ ペア)を持つテナントを作成すると、信頼ゾーン定義とアクセス制御ルールを含む関連セキュリティ プロファイルが定義されます。 各セキュリティ プロファイルは、Cisco Nexus 1000V ポート プロファイルにバインドされます(Cisco Nexus 1000V Virtual Supervisor Module(VSM)で説明され、Microsoft SCVMM に公開)。
新しい VM がインスタンス化されると、サーバ管理者は適切なポート プロファイルを VM の仮想イーサネット ポートに割り当てます。 ポート プロファイルはセキュリティ プロファイルと VM ゾーン メンバーシップを一意に参照するため、Cisco VSG はセキュリティ制御をただちに適用します。 VM を異なるポート プロファイルまたはセキュリティ プロファイルに割り当てると、VM を二次利用できます。
VM 移行イベントがトリガされると、VM は物理サーバ上で移動します。 Cisco Nexus 1000V では、ポート プロファイル ポリシーは VM に追随するよう設定されているため、関連するセキュリティ プロファイルも移動する VM に追随します。セキュリティ エンフォースメントとモニタリングは、vMotion イベントからはトランスペアレントな状態を保持します。
VM が Cisco VSG の場所に関係なく到達できるようにするために、Cisco VSG をオーバーレイによって設定することができます。 Cisco Nexus 1000V VEM の Cisco vPath コンポーネントは、Cisco VM からのパケットを代行受信し、さらなる処理を行うために Cisco VSG に送信します。
サービス VLAN は、物理ルータを介して Cisco Nexus 1000V VEM と Cisco VSG 間の通信を提供します。 Cisco VSG のデータ インターフェイスと VEM インターフェイスは異なるサブネット上に設定されます。 すべての Cisco VSG データ インターフェイスは、サービス VLAN の一部であり、VEM はルータを使用して Cisco VSG と対話します。
管理 VLAN は、Microsoft SCVMM、Cisco Prime NSC、Cisco Nexus 1000V VSM、および管理対象の Cisco VSG などの管理プラットフォームを接続します。 Cisco VSG の管理 vNIC は、管理 VLAN の一部です。
HA VLAN はハートビート メカニズムを提供し、Cisco VSG 間のアクティブおよびスタンバイ関係を識別します。 Cisco VSG vNIC は、HA VLAN の一部です。
VM 間の通信に 1 つ以上の VM データ VLAN を割り当てることができます。 一般的なマルチテナント環境では、管理 VLAN はすべてのテナント、サービス VLAN、HA VLAN、および VM データ間で共有されます。 VLAN はテナントごとに割り当てられます。 ただし、VLAN リソースが少なくなってくると、サービスおよび HA 機能に対して 1 つの VLAN を使用してもかまいません。
Cisco Prime NSC 仮想アプライアンスは Red Hat Enterprise Linux(RHEL)をベースにしており、Cisco Nexus 1000V スイッチ向けに Cisco VSG の一元的なデバイスおよびセキュリティ ポリシー管理を提供します。 Cisco Prime NSC はマルチテナント操作用に設計されており、仮想データセンターおよびクラウド環境をシームレスかつスケーラブルに、自動化ベースで一元管理します。 Web ベースの GUI、CLI、および XML API を搭載した Cisco Prime NSC を使用すれば、1 つの場所から、データセンター全体に導入された Cisco VSG を管理できます。
(注) |
マルチテナント機能とは、ソフトウェアの単一のインスタンスが Software-as-a-Service(SaaS)サーバで動作し、複数のクライアント組織またはテナントを処理することです。 反対に、マルチインスタンス アーキテクチャではクライアント組織ごとに個別のソフトウェア インスタンスが設定されています。 マルチテナント アーキテクチャでは、各テナントがカスタマイズされた仮想アプリケーション インスタンスと連動するよう、ソフトウェア アプリケーションは、データや構成を仮想的にパーティショニングできます。 |
Cisco Prime NSC は、各管理対象デバイスがサブコンポーネント別に表示される情報モデル主導のアーキテクチャに基づいて構築されています。
Cisco Prime NSC には、主に次のような利点があります。
Cisco Prime NSC アーキテクチャには、次のコンポーネントが含まれます。
Cisco Prime NSC アーキテクチャには、次の図のコンポーネントが含まれます。
Cisco Prime NSC は、セキュリティ ポリシーのテナント中心テンプレート ベースの設定にセキュリティ プロファイルを使用します。 セキュリティ プロファイルとは、事前定義可能なセキュリティ ポリシーの集合で、Virtual Machine(VM; 仮想マシン)のインスタンス化時にオンデマンド ベースで適用できます。 これらのプロファイルは、密度の高いマルチテナント環境でセキュリティ ポリシーの作成、導入、および管理を簡易化し、管理エラーを削減し、監査を簡素化します。
Cisco Prime NSC API を使用すると、Cisco VSG のプログラム的なプロビジョニングと管理を行うサードパーティ プロビジョニング ツールと連動することができます。 この機能により、データセンターの操作プロセスを簡易化し、インフラストラクチャの管理コストを抑えることが可能になります。
Cisco Prime NSC はCisco Nexus 1000V シリーズ VSM と連動し、次のシナリオを実現します。
セキュリティ プロファイルの作成と管理を行い、Cisco VSG インスタンスを管理するセキュリティ管理者。 セキュリティ プロファイルは、Cisco Prime NSC インターフェイスを通じて Cisco Nexus 1000V シリーズ ポート プロファイルで参照されます。
ポート プロファイルの作成と管理を行い、Cisco Nexus 1000V シリーズ スイッチを管理するネットワーク管理者。 ポート プロファイルは、Cisco Nexus 1000V シリーズの VSM インターフェイスを通じて Microsoft SCVMM で参照されます。
仮想マシンをインスタンス化するときに Microsoft SCVMM で適切なポート プロファイルを選択するサーバ管理者。
Cisco Prime NSC のシステム要件は次のとおりです。
SCVMM 2012 SP1 または SCVMM 2012 R2 を搭載した Microsoft Windows Server。
BIOS でイネーブルになった Intel VT。
Prime NSC ISO のインストール用に 4 GB の RAM。
共有 NFS または SAN で 40 GB。2 個のハード ディスク上に次のように構成します。
Adobe Flash Player プラグイン 11.2 以降
次のブラウザのいずれかになります。
Web ブラウザおよび次のポートを使用した Cisco Prime NSC アプリケーションへのアクセス(導入においてファイアウォールが使用される場合は、次のポートも許可してください):
(注) |
Firefox または IE を使用しているが Flash がない場合、またはお使いの Flash のバージョンが 11.2 よりも古い場合は、Flash をインストールするよう求めるメッセージが Adobe の Web サイトへのリンクと共に表示されます。 |
目次
この章は、次の内容で構成されています。
仮想システムを正常に動作させるには、Cisco Prime NSC およびCisco VSG を指定された順序で Cisco Nexus 1000V スイッチにインストールする必要があります。 Cisco Nexus 1000V スイッチでのインストールに必要な重要なシーケンスについては、第 2 章の「Cisco VSG および Cisco Prime NSC のインストール - クイック スタート」を参照してください。 Cisco Cloud Service Platform 仮想サービス アプライアンスで Cisco VSG をインストールするには、第 6 章の「Cisco Cloud Service Platform 仮想サービス アプライアンスでの Cisco VSG のインストール」を参照してください。
Cisco VSG は仮想データセンターとクラウド環境への信頼されたアクセスを提供する仮想ファイアウォール アプライアンスで、ダイナミックなポリシーによる操作、透過的なモビリティによるエンフォースメントや高密度のマルチテナント向けのスケールアウトに対応しています。 Cisco VSG で 1 つ以上の仮想マシン(VM)を特定の信頼ゾーンと関連付けると、あらかじめ設定されたセキュリティ ポリシーに基づいて信頼ゾーンへのアクセスを確実に制御および監視されるようになります。 次の図に、Cisco VSG をテナントごとに適用するために使用する信頼ゾーン ベースのアクセス制御方法を示します。
Cisco vPath は次の機能をサポートします。
テナントアウェアなフロー分類と、指定された Cisco VSG テナントへのリダイレクション
Cisco VSG から Cisco vPath にオフロードされたフローのテナントごとのポリシー エンフォースメント
Cisco VSG および VEM には次の利点があります。
各 Cisco VSG は複数の物理サーバ間で保護を提供することができます。そのため、物理サーバごとに仮想アプライアンスを導入する必要はありません。
複数のスイッチを作成したり、VM を別のスイッチやサーバに一時的に移行したりしなくても、Cisco VSG を使用できます。 セキュリティ プロファイルに基づくゾーン スケーリングは、セキュリティを損ねたり、アプリケーションを停止したりすることなく物理サーバのアップグレードを簡易化します。
テナントごとに Cisco VSG をアクティブスタンバイ モードで導入すると、プライマリ Cisco VSG が利用不可になったときに Cisco vPath がパケットをスタンバイ Cisco VSG にリダイレクトします。
最大のコンピュート容量をアプリケーション ワークロードに割り当てられるよう、Cisco VSG を専用サーバに配置できます。 この機能により容量計画を独立して行え、セキュリティ、ネットワーク、およびサーバ グループ間の操作を分離できるようになります。
Cisco Nexus 1000V が導入されている Microsoft Hyper-V 環境に、Cisco VSG を透過的に挿入することができます。 Cisco VSG の 1 つ以上のインスタンスがテナントごとに導入されるため、多数のテナント間で高度にスケールアウトされた導入が可能になります。 テナントは分離されるので、トラフィックがテナントの境界を越えることはありません。 Hyper-V のテナント レベルで Cisco VSG を導入すると、Microsoft System Center Virtual Machine Manager(SCVMM)を使用して各テナント インスタンスを管理できます。
指定テナントの VM をインスタンス化すると、セキュリティ プロファイル(またはゾーン メンバーシップ)への関連付けは Cisco Nexus 1000V ポート プロファイルとのバインディングを通じてただちに行われます。 各 VM は、インスタンス化が行われると論理的信頼ゾーンに配置されます。 セキュリティ プロファイルには、各ゾーンを出入りするトラフィックのアクセス ポリシーを設定するコンテキストアウェアなルール セットが含まれます。 ゾーン間トラフィックおよび外部からゾーン(およびゾーンから外部)へのトラフィックへのコントロールを適用できます。 VLAN がテナントの境界を定義することが多いため、ゾーンベースのエンフォースメントは VLAN 内で行われます。 Cisco VSG はアクセス制御ルールを評価し、Cisco Nexus 1000V VEM vPath モジュールにエンフォースメントをオフロードします。 エンフォースメントが行われると、Cisco VSG はアクセスを許可または拒否し、オプションのアクセス ログを生成できます。 Cisco VSG では、アクセス ログを使用したポリシーベースのトラフック モニタリングも実行できます。
仮想化環境はダイナミックです。つまり、追加、削除、変更の操作がテナント間、および VM 間で頻繁に行われます。 次の図に、ダイナミック VM を導入することで、構造化された環境が時間の経過とともにどのように変化するかを示します。
Cisco Nexus 1000V(および Cisco vPath)で動作する Cisco VSG は動的な VM 環境をサポートします。 Cisco Prime NSC に Cisco VSG(スタンドアロンまたはアクティブなスタンバイ ペア)を持つテナントを作成すると、信頼ゾーン定義とアクセス制御ルールを含む関連セキュリティ プロファイルが定義されます。 各セキュリティ プロファイルは、Cisco Nexus 1000V ポート プロファイルにバインドされます(Cisco Nexus 1000V Virtual Supervisor Module(VSM)で説明され、Microsoft SCVMM に公開)。
新しい VM がインスタンス化されると、サーバ管理者は適切なポート プロファイルを VM の仮想イーサネット ポートに割り当てます。 ポート プロファイルはセキュリティ プロファイルと VM ゾーン メンバーシップを一意に参照するため、Cisco VSG はセキュリティ制御をただちに適用します。 VM を異なるポート プロファイルまたはセキュリティ プロファイルに割り当てると、VM を二次利用できます。
VM 移行イベントがトリガされると、VM は物理サーバ上で移動します。 Cisco Nexus 1000V では、ポート プロファイル ポリシーは VM に追随するよう設定されているため、関連するセキュリティ プロファイルも移動する VM に追随します。セキュリティ エンフォースメントとモニタリングは、vMotion イベントからはトランスペアレントな状態を保持します。
VM が Cisco VSG の場所に関係なく到達できるようにするために、Cisco VSG をオーバーレイによって設定することができます。 Cisco Nexus 1000V VEM の Cisco vPath コンポーネントは、Cisco VM からのパケットを代行受信し、さらなる処理を行うために Cisco VSG に送信します。
サービス VLAN は、物理ルータを介して Cisco Nexus 1000V VEM と Cisco VSG 間の通信を提供します。 Cisco VSG のデータ インターフェイスと VEM インターフェイスは異なるサブネット上に設定されます。 すべての Cisco VSG データ インターフェイスは、サービス VLAN の一部であり、VEM はルータを使用して Cisco VSG と対話します。
管理 VLAN は、Microsoft SCVMM、Cisco Prime NSC、Cisco Nexus 1000V VSM、および管理対象の Cisco VSG などの管理プラットフォームを接続します。 Cisco VSG の管理 vNIC は、管理 VLAN の一部です。
HA VLAN はハートビート メカニズムを提供し、Cisco VSG 間のアクティブおよびスタンバイ関係を識別します。 Cisco VSG vNIC は、HA VLAN の一部です。
VM 間の通信に 1 つ以上の VM データ VLAN を割り当てることができます。 一般的なマルチテナント環境では、管理 VLAN はすべてのテナント、サービス VLAN、HA VLAN、および VM データ間で共有されます。 VLAN はテナントごとに割り当てられます。 ただし、VLAN リソースが少なくなってくると、サービスおよび HA 機能に対して 1 つの VLAN を使用してもかまいません。
Cisco Prime NSC 仮想アプライアンスは Red Hat Enterprise Linux(RHEL)をベースにしており、Cisco Nexus 1000V スイッチ向けに Cisco VSG の一元的なデバイスおよびセキュリティ ポリシー管理を提供します。 Cisco Prime NSC はマルチテナント操作用に設計されており、仮想データセンターおよびクラウド環境をシームレスかつスケーラブルに、自動化ベースで一元管理します。 Web ベースの GUI、CLI、および XML API を搭載した Cisco Prime NSC を使用すれば、1 つの場所から、データセンター全体に導入された Cisco VSG を管理できます。
(注) |
マルチテナント機能とは、ソフトウェアの単一のインスタンスが Software-as-a-Service(SaaS)サーバで動作し、複数のクライアント組織またはテナントを処理することです。 反対に、マルチインスタンス アーキテクチャではクライアント組織ごとに個別のソフトウェア インスタンスが設定されています。 マルチテナント アーキテクチャでは、各テナントがカスタマイズされた仮想アプリケーション インスタンスと連動するよう、ソフトウェア アプリケーションは、データや構成を仮想的にパーティショニングできます。 |
Cisco Prime NSC は、各管理対象デバイスがサブコンポーネント別に表示される情報モデル主導のアーキテクチャに基づいて構築されています。
Cisco Prime NSC はCisco Nexus 1000V シリーズ VSM と連動し、次のシナリオを実現します。
セキュリティ プロファイルの作成と管理を行い、Cisco VSG インスタンスを管理するセキュリティ管理者。 セキュリティ プロファイルは、Cisco Prime NSC インターフェイスを通じて Cisco Nexus 1000V シリーズ ポート プロファイルで参照されます。
ポート プロファイルの作成と管理を行い、Cisco Nexus 1000V シリーズ スイッチを管理するネットワーク管理者。 ポート プロファイルは、Cisco Nexus 1000V シリーズの VSM インターフェイスを通じて Microsoft SCVMM で参照されます。
仮想マシンをインスタンス化するときに Microsoft SCVMM で適切なポート プロファイルを選択するサーバ管理者。
Cisco Prime NSC のシステム要件は次のとおりです。
SCVMM 2012 SP1 または SCVMM 2012 R2 を搭載した Microsoft Windows Server。
BIOS でイネーブルになった Intel VT。
Prime NSC ISO のインストール用に 4 GB の RAM。
共有 NFS または SAN で 40 GB。2 個のハード ディスク上に次のように構成します。
Adobe Flash Player プラグイン 11.2 以降
次のブラウザのいずれかになります。
Web ブラウザおよび次のポートを使用した Cisco Prime NSC アプリケーションへのアクセス(導入においてファイアウォールが使用される場合は、次のポートも許可してください):
(注) |
Firefox または IE を使用しているが Flash がない場合、またはお使いの Flash のバージョンが 11.2 よりも古い場合は、Flash をインストールするよう求めるメッセージが Adobe の Web サイトへのリンクと共に表示されます。 |