Cisco VSG for Microsoft Hyper-V リリース 5.2(1)VSG2(1.1b) および Cisco Prime NSC リリース 3.2 インストールおよびアップグレード ガイド
概要
概要

概要

この章は、次の内容で構成されています。

Cisco Prime NSC および Cisco VSG のインストールに関する情報

仮想システムを正常に動作させるには、Cisco Prime NSC およびCisco VSG を指定された順序で Cisco Nexus 1000V スイッチにインストールする必要があります。 Cisco Nexus 1000V スイッチでのインストールに必要な重要なシーケンスについては、第 2 章の「Cisco VSG および Cisco Prime NSC のインストール - クイック スタート」を参照してください。 Cisco Cloud Service Platform 仮想サービス アプライアンスで Cisco VSG をインストールするには、第 6 章の「Cisco Cloud Service Platform 仮想サービス アプライアンスでの Cisco VSG のインストール」を参照してください。

Cisco VSG に関する情報

Cisco VSG は仮想データセンターとクラウド環境への信頼されたアクセスを提供する仮想ファイアウォール アプライアンスで、ダイナミックなポリシーによる操作、透過的なモビリティによるエンフォースメントや高密度のマルチテナント向けのスケールアウトに対応しています。 Cisco VSG で 1 つ以上の仮想マシン(VM)を特定の信頼ゾーンと関連付けると、あらかじめ設定されたセキュリティ ポリシーに基づいて信頼ゾーンへのアクセスを確実に制御および監視されるようになります。 次の図に、Cisco VSG をテナントごとに適用するために使用する信頼ゾーン ベースのアクセス制御方法を示します。

図 1. Cisco VSG をテナントごとに適用した信頼ゾーン ベースのアクセス制御



Cisco Prime NSC および VSG のアーキテクチャ

Cisco VSG は、Microsoft Hyper-V または Cisco Cloud Service Platform 仮想サービス アプライアンスの Cisco Nexus 1000V シリーズ スイッチで動作し、Cisco VSG は仮想ネットワーク サービス データ パス(Cisco vPath)を利用します。 Cisco vPath は、外部から VM、VM 間、テナントの Cisco VSG へのトラフィックを誘導します。 Cisco VSG では初期パケットの処理が行われ、ポリシーが評価および適用されます。 ポリシーに関する決定が下されると、Cisco VSG は残りパケットのポリシー エンフォースメントを Cisco vPath にオフロードします。
図 2. Cisco Virtual Security Gateway の導入トポロジ

Cisco vPath は次の機能をサポートします。

  • テナントアウェアなフロー分類と、指定された Cisco VSG テナントへのリダイレクション

  • Cisco VSG から Cisco vPath にオフロードされたフローのテナントごとのポリシー エンフォースメント

Cisco VSG および VEM には次の利点があります。

  • Cisco VSG は複数の物理サーバ間で保護を提供することができます。そのため、物理サーバごとに仮想アプライアンスを導入する必要はありません。

  • ファストパスを 1 つ以上の Cisco vPath 仮想イーサネット モジュール(VEM)にオフロードすると、Cisco VSG は分散した Cisco vPath ベースのエンフォースメントを通じてセキュリティのパフォーマンスを高めます。
  • 複数のスイッチを作成したり、VM を別のスイッチやサーバに一時的に移行したりしなくても、Cisco VSG を使用できます。 セキュリティ プロファイルに基づくゾーン スケーリングは、セキュリティを損ねたり、アプリケーションを停止したりすることなく物理サーバのアップグレードを簡易化します。

  • テナントごとに Cisco VSG をアクティブスタンバイ モードで導入すると、プライマリ Cisco VSG が利用不可になったときに Cisco vPath がパケットをスタンバイ Cisco VSG にリダイレクトします。

  • 最大のコンピュート容量をアプリケーション ワークロードに割り当てられるよう、Cisco VSG を専用サーバに配置できます。 この機能により容量計画を独立して行え、セキュリティ、ネットワーク、およびサーバ グループ間の操作を分離できるようになります。

信頼できるマルチテナント アクセス

Cisco Nexus 1000V が導入されている Microsoft Hyper-V 環境に、Cisco VSG を透過的に挿入することができます。 Cisco VSG の 1 つ以上のインスタンスがテナントごとに導入されるため、多数のテナント間で高度にスケールアウトされた導入が可能になります。 テナントは分離されるので、トラフィックがテナントの境界を越えることはありません。 Hyper-V のテナント レベルで Cisco VSG を導入すると、Microsoft System Center Virtual Machine Manager(SCVMM)を使用して各テナント インスタンスを管理できます。

指定テナントの VM をインスタンス化すると、セキュリティ プロファイル(またはゾーン メンバーシップ)への関連付けは Cisco Nexus 1000V ポート プロファイルとのバインディングを通じてただちに行われます。 各 VM は、インスタンス化が行われると論理的信頼ゾーンに配置されます。 セキュリティ プロファイルには、各ゾーンを出入りするトラフィックのアクセス ポリシーを設定するコンテキストアウェアなルール セットが含まれます。 ゾーン間トラフィックおよび外部からゾーン(およびゾーンから外部)へのトラフィックへのコントロールを適用できます。 VLAN がテナントの境界を定義することが多いため、ゾーンベースのエンフォースメントは VLAN 内で行われます。 Cisco VSG はアクセス制御ルールを評価し、Cisco Nexus 1000V VEM vPath モジュールにエンフォースメントをオフロードします。 エンフォースメントが行われると、Cisco VSG はアクセスを許可または拒否し、オプションのアクセス ログを生成できます。 Cisco VSG では、アクセス ログを使用したポリシーベースのトラフック モニタリングも実行できます。

ダイナミック Virtualization-Aware 動作

仮想化環境はダイナミックです。つまり、追加、削除、変更の操作がテナント間、および VM 間で頻繁に行われます。 次の図に、ダイナミック VM を導入することで、構造化された環境が時間の経過とともにどのように変化するかを示します。

図 3. ダイナミック VM 環境における Cisco VSG のセキュリティ、VM ライブ マイグレーションを含む

Cisco Nexus 1000V(および Cisco vPath)で動作する Cisco VSG は動的な VM 環境をサポートします。 Cisco Prime NSC に Cisco VSG(スタンドアロンまたはアクティブなスタンバイ ペア)を持つテナントを作成すると、信頼ゾーン定義とアクセス制御ルールを含む関連セキュリティ プロファイルが定義されます。 各セキュリティ プロファイルは、Cisco Nexus 1000V ポート プロファイルにバインドされます(Cisco Nexus 1000V Virtual Supervisor Module(VSM)で説明され、Microsoft SCVMM に公開)。

新しい VM がインスタンス化されると、サーバ管理者は適切なポート プロファイルを VM の仮想イーサネット ポートに割り当てます。 ポート プロファイルはセキュリティ プロファイルと VM ゾーン メンバーシップを一意に参照するため、Cisco VSG はセキュリティ制御をただちに適用します。 VM を異なるポート プロファイルまたはセキュリティ プロファイルに割り当てると、VM を二次利用できます。

VM 移行イベントがトリガされると、VM は物理サーバ上で移動します。 Cisco Nexus 1000V では、ポート プロファイル ポリシーは VM に追随するよう設定されているため、関連するセキュリティ プロファイルも移動する VM に追随します。セキュリティ エンフォースメントとモニタリングは、vMotion イベントからはトランスペアレントな状態を保持します。

Cisco VSG および VLAN の設定

VM が Cisco VSG の場所に関係なく到達できるようにするために、Cisco VSG をオーバーレイによって設定することができます。 Cisco Nexus 1000V VEM の Cisco vPath コンポーネントは、Cisco VM からのパケットを代行受信し、さらなる処理を行うために Cisco VSG に送信します。

図 4. Cisco Virtual Security Gateway VLAN の使用方法. 次の図では、Cisco VSG は 3 つの異なる VLAN(サービス VLAN、管理 VLAN、HA VLAN)に接続しています。 Cisco VSG には、データ vNIC(1)、管理 vNIC(2)、および HA vNIC(3)の 3 個の vNIC が搭載されています。各 vNICs は、ポート プロファイルを通じていずれかの VLAN に接続されています。

VLAN 機能は以下のとおりです。
  • サービス VLAN は、物理ルータを介して Cisco Nexus 1000V VEM と Cisco VSG 間の通信を提供します。 Cisco VSG のデータ インターフェイスと VEM インターフェイスは異なるサブネット上に設定されます。 すべての Cisco VSG データ インターフェイスは、サービス VLAN の一部であり、VEM はルータを使用して Cisco VSG と対話します。

  • 管理 VLAN は、Microsoft SCVMM、Cisco Prime NSCCisco Nexus 1000V VSM、および管理対象の Cisco VSG などの管理プラットフォームを接続します。 Cisco VSG の管理 vNIC は、管理 VLAN の一部です。

  • HA VLAN はハートビート メカニズムを提供し、Cisco VSG 間のアクティブおよびスタンバイ関係を識別します。 Cisco VSG vNIC は、HA VLAN の一部です。

VM 間の通信に 1 つ以上の VM データ VLAN を割り当てることができます。 一般的なマルチテナント環境では、管理 VLAN はすべてのテナント、サービス VLAN、HA VLAN、および VM データ間で共有されます。 VLAN はテナントごとに割り当てられます。 ただし、VLAN リソースが少なくなってくると、サービスおよび HA 機能に対して 1 つの VLAN を使用してもかまいません。

Cisco Prime NSC に関する情報

Cisco Prime NSC 仮想アプライアンスは Red Hat Enterprise Linux(RHEL)をベースにしており、Cisco Nexus 1000V スイッチ向けに Cisco VSG の一元的なデバイスおよびセキュリティ ポリシー管理を提供します。 Cisco Prime NSC はマルチテナント操作用に設計されており、仮想データセンターおよびクラウド環境をシームレスかつスケーラブルに、自動化ベースで一元管理します。 Web ベースの GUI、CLI、および XML API を搭載した Cisco Prime NSC を使用すれば、1 つの場所から、データセンター全体に導入された Cisco VSG を管理できます。


(注)  


マルチテナント機能とは、ソフトウェアの単一のインスタンスが Software-as-a-Service(SaaS)サーバで動作し、複数のクライアント組織またはテナントを処理することです。 反対に、マルチインスタンス アーキテクチャではクライアント組織ごとに個別のソフトウェア インスタンスが設定されています。 マルチテナント アーキテクチャでは、各テナントがカスタマイズされた仮想アプリケーション インスタンスと連動するよう、ソフトウェア アプリケーションは、データや構成を仮想的にパーティショニングできます。


Cisco Prime NSC は、各管理対象デバイスがサブコンポーネント別に表示される情報モデル主導のアーキテクチャに基づいて構築されています。

Cisco Prime NSC 主な利点

Cisco Prime NSC には、主に次のような利点があります。

  • セキュリティ プロファイルに基づいた、ダイナミックでテンプレート主導型のポリシー管理に対応した、迅速かつスケーラブルな導入

  • サードパーティの管理ツールとの統合を可能にする XML API を使用したシームレスな動作管理

  • セキュリティ管理者とサーバ管理者の連携を向上しながら、管理の切り分けと管理エラーの削減を実現

Cisco Prime NSC コンポーネント

Cisco Prime NSC アーキテクチャには、次のコンポーネントが含まれます。

  • セキュリティ ポリシー(セキュリティ テンプレート)とオブジェクト設定を管理するための一元的なリポジトリで、管理対象デバイスをステートレスにします。

  • 動作中のデバイスのプールと動作可能なデバイスのプールを管理するリソースの一元管理機能。 この機能は、次のようにして大規模な導入を簡素化します。

    • デバイスを事前にインスタンス化し、オンデマンドで設定する

    • 動作中のプールと動作していないプールでデバイスをダイナミックに割り当てたり、割り当てを解除したりできる

  • 各デバイスに埋め込まれた管理エージェントを使用し、スケーラブルな管理フレームワークを提供する分散管理プレーン機能

Cisco Prime NSC アーキテクチャ

Cisco Prime NSC アーキテクチャには、次の図のコンポーネントが含まれます。

図 5. Cisco Prime NSC コンポーネント

Cisco Prime NSC セキュリティ

Cisco Prime NSC は、セキュリティ ポリシーのテナント中心テンプレート ベースの設定にセキュリティ プロファイルを使用します。 セキュリティ プロファイルとは、事前定義可能なセキュリティ ポリシーの集合で、Virtual Machine(VM; 仮想マシン)のインスタンス化時にオンデマンド ベースで適用できます。 これらのプロファイルは、密度の高いマルチテナント環境でセキュリティ ポリシーの作成、導入、および管理を簡易化し、管理エラーを削減し、監査を簡素化します。

Cisco Prime NSC API

Cisco Prime NSC API を使用すると、Cisco VSG のプログラム的なプロビジョニングと管理を行うサードパーティ プロビジョニング ツールと連動することができます。 この機能により、データセンターの操作プロセスを簡易化し、インフラストラクチャの管理コストを抑えることが可能になります。

Cisco Prime NSC および VSG

Cisco Prime NSC はCisco Nexus 1000V シリーズ VSM と連動し、次のシナリオを実現します。

  • セキュリティ プロファイルの作成と管理を行い、Cisco VSG インスタンスを管理するセキュリティ管理者。 セキュリティ プロファイルは、Cisco Prime NSC インターフェイスを通じて Cisco Nexus 1000V シリーズ ポート プロファイルで参照されます。

  • ポート プロファイルの作成と管理を行い、Cisco Nexus 1000V シリーズ スイッチを管理するネットワーク管理者。 ポート プロファイルは、Cisco Nexus 1000V シリーズの VSM インターフェイスを通じて Microsoft SCVMM で参照されます。

  • 仮想マシンをインスタンス化するときに Microsoft SCVMM で適切なポート プロファイルを選択するサーバ管理者。

システム要件

Cisco Prime NSC のシステム要件は次のとおりです。

  • SCVMM 2012 SP1 または SCVMM 2012 R2 を搭載した Microsoft Windows Server。

  • BIOS でイネーブルになった Intel VT。

  • Prime NSC ISO のインストール用に 4 GB の RAM。

  • 共有 NFS または SAN で 40 GB。2 個のハード ディスク上に次のように構成します。

    • ディスク 1:20 GB

    • ディスク 2:20 GB

  • Adobe Flash Player プラグイン 11.2 以降

  • 次のブラウザのいずれかになります。

    • Internet Explorer 9.0 以降
    • Mozilla Firefox 23.0 以降
    • Google Chrome 29.0 以降

    Web ブラウザおよび次のポートを使用した Cisco Prime NSC アプリケーションへのアクセス(導入においてファイアウォールが使用される場合は、次のポートも許可してください):

    • 443(HTTPS)

    • 80(HTTP/TCP)

    • 843(Adobe Flash)


(注)  


Firefox または IE を使用しているが Flash がない場合、またはお使いの Flash のバージョンが 11.2 よりも古い場合は、Flash をインストールするよう求めるメッセージが Adobe の Web サイトへのリンクと共に表示されます。