DSVA展開時にオーバーレイトランスポートゾーンが必須となる点についての解説

<本記事の対象：VMware NSX-T（NSX-T Data Center）3.x>

トレンドマイクロ VMwareテクニカルアライアンス担当の野村です。

VMware NSX-T 3.x環境でのDeep Security Virtual Appliance(DSVA)の展開にあたって、よくお問い合わせをいただく仕様について、今回はご案内していきます。本内容は既に紹介させていただいているDeep Security 20.0(DS 20.0)/NSX-T Data Center 3.0(NSX-T 3.0)のインテグレーションガイドにも記載している内容となります。まだご覧になっていない方は、併せてご覧いただければと思います。
Trend Micro Deep Security 20.0 ＆ VMware NSX-T Data Center 3.0 インテグレーションガイドリリース

今回の記事のサマリ：
・DS 20.0／NSX-T 3.xの環境においてDSVAを展開する際オーバーレイトランスポートゾーンの指定が必須

今回は、こちらの仕様について、必要となる背景と設定の手順について触れていきます。
また、ページの最後には参考情報も記載しておりますので、併せてご覧ください。

オーバーレイトランスポートゾーンが必要となる背景

DS 20.0/NSX-T 3.0の組み合わせから、NSX-Tのネットワークイントロスペクション(SI)を利用したDSVAのネットワーク系機能(侵入防御機能やファイアウォール機能)を利用できるようになりました。そちらに伴い、NSX-TへのDSサービスを登録する際に、ゲストイントロスペクション(GI、DSの不正プログラム対策機能等で利用するNSX-Tのサービス)とSIのどちらも利用するサービスとして登録がなされるようになりました。

この変更に伴って、DSVAを展開する際に、サービスセグメントを指定することが必須となりました。サービスセグメントはネットワークイントロスペクションを利用できるセグメントとなります。このサービスセグメントとして設定可能であるのが、オーバーレイトランスポートゾーンとなります。そのため、DSVA展開時にはオーバーレイトランスポートゾーンの設定が必要となります。

ここで注意が必要な点としては、不正プログラム対策等のGI機能のみを利用する場合においても、サービスセグメントの設定が必須であるという点です。DSVAのネットワーク設定において、DSVAが接続する3つのネットワークの設定(NICの設定)のうち、ens2-Data1-NICのチェックが必須となります。
ens2-Data1-NICは、ネットワークイントロスペクションを利用したDSVAのネットワーク系機能(侵入防御機能やファイアウォール機能)において、パケットのリダイレクト先となるスイッチに接続されます。このスイッチは、サービスセグメントとして指定したオーバーレイトランスポートゾーンのノードスイッチの配下に設置されるスイッチで、DSVAの展開時にNSXによって自動で生成される論理スイッチとなります。DSVAの展開時にens2-Data1-NICの設定にチェックを入れないと、この論理スイッチを自動作成することができず、DSVAのデプロイに失敗しますのでご注意ください。

なお、DSVAのネットワーク系機能(侵入防御機能やファイアウォール機能)をご利用の際には、保護対象の仮想マシンを、サービスセグメントに配置したNSX論理スイッチ/セグメントの配下に接続させる必要があります。

＜DSVA展開の設定時＞
ネットワーク設定にて、ens2-Data1-NICにチェックを入れて、サービスセグメントとして、上記のオーバーレイトランスポートゾーンを指定（例：VDI-TZ）