DSVA展開時にオーバーレイトランスポートゾーンが必須となる点についての解説

公開日
2021年3月11日

<本記事の対象:VMware NSX-T(NSX-T Data Center)3.x>

トレンドマイクロ VMwareテクニカルアライアンス担当の野村です。

VMware NSX-T 3.x環境でのDeep Security Virtual Appliance(DSVA)の展開にあたって、よくお問い合わせをいただく仕様について、今回はご案内していきます。本内容は既に紹介させていただいているDeep Security 20.0(DS 20.0)/NSX-T Data Center 3.0(NSX-T 3.0)のインテグレーションガイドにも記載している内容となります。まだご覧になっていない方は、併せてご覧いただければと思います。
Trend Micro Deep Security 20.0 & VMware NSX-T Data Center 3.0 インテグレーションガイドリリース

今回の記事のサマリ:
・DS 20.0/NSX-T 3.xの環境においてDSVAを展開する際オーバーレイトランスポートゾーンの指定が必須

今回は、こちらの仕様について、必要となる背景と設定の手順について触れていきます。
また、ページの最後には参考情報も記載しておりますので、併せてご覧ください。

オーバーレイトランスポートゾーンが必要となる背景

DS 20.0/NSX-T 3.0の組み合わせから、NSX-Tのネットワークイントロスペクション(SI)を利用したDSVAのネットワーク系機能(侵入防御機能やファイアウォール機能)を利用できるようになりました。そちらに伴い、NSX-TへのDSサービスを登録する際に、ゲストイントロスペクション(GI、DSの不正プログラム対策機能等で利用するNSX-Tのサービス)とSIのどちらも利用するサービスとして登録がなされるようになりました。

この変更に伴って、DSVAを展開する際に、サービスセグメントを指定することが必須となりました。サービスセグメントはネットワークイントロスペクションを利用できるセグメントとなります。このサービスセグメントとして設定可能であるのが、オーバーレイトランスポートゾーンとなります。そのため、DSVA展開時にはオーバーレイトランスポートゾーンの設定が必要となります。

ここで注意が必要な点としては、不正プログラム対策等のGI機能のみを利用する場合においても、サービスセグメントの設定が必須であるという点です。DSVAのネットワーク設定において、DSVAが接続する3つのネットワークの設定(NICの設定)のうち、ens2-Data1-NICのチェックが必須となります。
ens2-Data1-NICは、ネットワークイントロスペクションを利用したDSVAのネットワーク系機能(侵入防御機能やファイアウォール機能)において、パケットのリダイレクト先となるスイッチに接続されます。このスイッチは、サービスセグメントとして指定したオーバーレイトランスポートゾーンのノードスイッチの配下に設置されるスイッチで、DSVAの展開時にNSXによって自動で生成される論理スイッチとなります。DSVAの展開時にens2-Data1-NICの設定にチェックを入れないと、この論理スイッチを自動作成することができず、DSVAのデプロイに失敗しますのでご注意ください。

なお、DSVAのネットワーク系機能(侵入防御機能やファイアウォール機能)をご利用の際には、保護対象の仮想マシンを、サービスセグメントに配置したNSX論理スイッチ/セグメントの配下に接続させる必要があります。

設定の手順

今回の箇所を含む、DSVAの展開の手順についてもインテグレーションガイドの中で紹介しております。
今回の箇所についてご注意いただく点を抜粋してご案内します。

<DSVA展開の設定前>
・トランスポートノードプロファイルの編集にて、オーバーレイトランスポートゾーンを選択し(例:VDI-TZ)、ノードスイッチの設定としてアップリンクおよびVTEP用のIPアドレスを設定
・編集したトランスポートノードプロファイルをDSVA展開先のクラスタホストに割り当て

<DSVA展開の設定時>
ネットワーク設定にて、ens2-Data1-NICにチェックを入れて、サービスセグメントとして、上記のオーバーレイトランスポートゾーンを指定(例:VDI-TZ)

執筆者:
トレンドマイクロ株式会社
エンタープライズSE本部
セールスエンジニアリング部 サーバセキュリティチーム
ソリューションアーキテクト
野村 達広(Tatsuhiro Nomura)

お役立ちリンク集
Deep Security製品紹介
サポート
ヘルプ
製品ダウンロード

メールでのお問い合わせ
VMwareTech@trendmicro.com

Copyright © 2022 Trend Micro Incorporated. All rights reserved.