この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
This chapter contains the following sections:
Intercloud Fabric Firewall(VSG)は、クラウド プロバイダー環境内のセキュアな仮想化データセンターへの信頼できるアクセスを実現する仮想アプライアンスであり、動的なポリシーベースの運用、トランスペアレント モビリティの強化、高密度マルチテナント機能のスケールアウト展開などの要件を満たしています。 Intercloud Fabric Firewall では、確立されたセキュリティ ポリシーによって信頼ゾーンへのアクセスを確実に制御および監視することができます。
Intercloud Fabric Firewall は、ワークロードの仮想化、企業のセキュリティ ポリシーと業界規制の順守の強化、簡素化されたセキュリティ監査など、さまざまなメリットをもたらします。
また、クラウド環境の仮想マシンを有害なネットワーク トラフィックから保護すると共に、Intercloud Fabric Router(CSR)またはクラウド仮想マシンのパブリック インターフェイスを介して仮想マシンへのアクセスを試みる不正なインターネット ユーザや、サイト間のセキュア トンネルを介してアクセスを試みる不正な内部ユーザからも保護します。
Intercloud Fabric Firewall を展開することで、顧客はプライベート クラウドの セキュリティ ポリシーを拡張して、プロバイダー クラウドで実行する各自のアプリケーション ワークロードを保護することができます。 さらに、Intercloud Fabric Firewall は、Intercloud Fabric 環境で 3 層式アプリケーションをサポートすることによって、仮想マシン グループ間の論理的な分離を実現します。 セキュリティ要件に基づいて、仮想マシンを論理グループの一部として定義し、仮想マシン グループに Intercloud Fabric Firewall を適用することができます。
Intercloud Fabric Director がインストールされていること。
インフラストラクチャのセットアップと Intercloud Fabric Cloud のセットアップが完了していること。
Intercloud Fabric Extender トランク インターフェイスに対してポート グループを使用する場合は、Intercloud Fabric Extenderトランク ポートで無差別モードが有効になっていること。
Intercloud Fabric Extender のトランク インターフェイスにバインドされているポート グループで全 VLAN 範囲が有効になっていること。
Intercloud Fabric Cloud のインスタンスを作成した後で Intercloud Fabric Firewall サービスを追加することもできます。 サービスの管理 を参照してください。
次の図は、Intercloud Fabric Firewall の基本的なトポロジを示しています。
Intercloud Fabric Firewall のインストール ワークフローには以下の手順が含まれます。
ステップ 1 |
Intercloud Fabric から Intercloud Fabric Firewall テンプレートとサービス インターフェイスを作成する。
|
ステップ 2 |
Intercloud Fabric Firewall をインスタンス化する。 Intercloud Fabric Firewallのインスタンス化を参照してください。 |
ステップ 3 |
コンピュート セキュリティ プロファイルを設定する。 コンピュート セキュリティ プロファイルの設定を参照してください。 |
ステップ 4 |
サービス パスを作成する。 を参照してください。 |
ステップ 5 |
ポート プロファイルにサービス パスをバインドする。 ポート プロファイルへのサービス パスのバインドを参照してください。 |
ステップ 6 |
クラウド仮想マシンのポート プロファイルを編集して、ファイアウォール サービスを有効化する。 Intercloud Fabric Firewall 用のポート プロファイルの編集 を参照してください。 |
ステップ 7 |
インストールを確認する。 Intercloud Fabric Firewall のインストールの確認を参照してください。 |
Intercloud Fabric Cloud を作成するには、次の手順を実行します。
プロバイダー アカウントを作成しておきます。
クラウド プロバイダーの資格情報を確認します。
icfTunnelNet という名前のトンネル ネットワークを作成しておきます。
インフラストラクチャ コンポーネント(PNSC、Intercloud Fabric VSM など)をインストールしておきます。
Cisco Nexus 1000V、VMware vSwitch、VMware VDS、Microsoft Hyper-V スイッチなど、分散仮想スイッチのポート プロファイルをプライベート クラウドに設定しておきます。
デバイス プロファイル、MAC プール、トンネル プロファイル、スタティック IP グループなど、Intercloud Fabric インフラストラクチャのポリシーを作成しておきます。
プライベート クラウドで Cisco Nexus 1000V を使用する場合は、Intercloud Fabric に Cisco Nexus 1000V スイッチを追加しておきます。 ネットワーク要素の追加を参照してください。
拡張を要するネットワークに必要な VLAN を Intercloud Fabric Extender トランク ポート プロファイルに設定します。
サービスを管理するためのサービス バンドルをアップロードしておきます。
の順に選択し、サービス バンドルをアップロードします。(注) |
Intercloud Fabric Router (Integrated)を管理するためのサービス バンドルをアップロードする必要はありません。 |
ステップ 1 | Intercloud Fabricにログインします。 | ||||||||||||||||||||||||||||||||||||||||||||||||
ステップ 2 | の順に選択します。 | ||||||||||||||||||||||||||||||||||||||||||||||||
ステップ 3 | [IcfCloud] ウィンドウで、[IcfCloud] タブを選択します。 | ||||||||||||||||||||||||||||||||||||||||||||||||
ステップ 4 |
[IcfCloud] タブで、[Setup] ボタンをクリックします。 [Cloud Setup] ウィザードが表示されます。 |
||||||||||||||||||||||||||||||||||||||||||||||||
ステップ 5 |
[Account Credentials] の次のフィールドに値を入力します。
|
||||||||||||||||||||||||||||||||||||||||||||||||
ステップ 6 | [Next] をクリックします。 | ||||||||||||||||||||||||||||||||||||||||||||||||
ステップ 7 |
[Configuration Details] の次のフィールドに値を入力します。
|
||||||||||||||||||||||||||||||||||||||||||||||||
ステップ 8 | [Next] をクリックします。 | ||||||||||||||||||||||||||||||||||||||||||||||||
ステップ 9 |
[Secure Cloud Extension] の次のフィールドに値を入力します。
|
||||||||||||||||||||||||||||||||||||||||||||||||
ステップ 10 |
[Next] をクリックします。 [Summary] ウィンドウに Intercloud Fabric Cloud のサマリーが一覧表示されます。 |
||||||||||||||||||||||||||||||||||||||||||||||||
ステップ 11 | [Submit] をクリックして、Intercloud Fabric Cloud を作成します。 | ||||||||||||||||||||||||||||||||||||||||||||||||
ステップ 12 | タスクの状態を表示するには、[IcfCloud] タブで、タスクのサービス リクエスト番号を検索します。 | ||||||||||||||||||||||||||||||||||||||||||||||||
ステップ 13 | の順に選択します。 | ||||||||||||||||||||||||||||||||||||||||||||||||
ステップ 14 | [Service Request] タブを選択します。 サービス リクエスト番号を検索するか、検索フィールドにサービス リクエスト番号を入力します。 | ||||||||||||||||||||||||||||||||||||||||||||||||
ステップ 15 | [View] をクリックして、ワークフロー ステータス、ログ、入力情報など、サービス リクエストの詳細情報を表示します。 |
Intercloud Fabric Cloud の作成後にサービスを管理するには、次の手順を実行します。
ステップ 1 | Intercloud Fabricにログインします。 | ||||||||||||||||||
ステップ 2 | の順に選択します。 | ||||||||||||||||||
ステップ 3 | [IcfCloud] ウィンドウで、[IcfCloud] タブを選択します。 | ||||||||||||||||||
ステップ 4 |
IcfCloud を選択し、[Manage Services] をクリックします。 [Manage Services] ウィンドウが表示されます。 |
||||||||||||||||||
ステップ 5 |
[Manage Services] の次のフィールドに値を入力します。
|
||||||||||||||||||
ステップ 6 | [Submit] をクリックします。 |
Intercloud Fabric Cloud を設定して Intercloud Fabric Firewallテンプレートを導入すると、PNSC からインスタンス化できるようになります。 Intercloud Fabric Firewall, をインスタンス化するには、次の作業を実行します。
Cisco Prime Network Services Controller(PNSC)では、テナント レベルでコンピュート セキュリティ プロファイルを作成することができます。
ステップ 1 | Intercloud Fabricにログインします。 | ||||||||||||||||||||||||||||||||||||||||
ステップ 2 | の順に選択します。 | ||||||||||||||||||||||||||||||||||||||||
ステップ 3 |
[Infrastructure] タブで、[Launch PNSC] ボタンをクリックします。 PNSC GUI が表示されます。 |
||||||||||||||||||||||||||||||||||||||||
ステップ 4 | PNSC GUI で、 の順に選択します。 | ||||||||||||||||||||||||||||||||||||||||
ステップ 5 | [General] タブで、[Add Compute Security Profile] をクリックします。 | ||||||||||||||||||||||||||||||||||||||||
ステップ 6 |
[Add Compute Security Profile] の次のフィールドに値を入力します。
|
||||||||||||||||||||||||||||||||||||||||
ステップ 7 | [OK] をクリックします。 |
サービス パスを作成するには、次の手順を実行します。
(注) |
サービス パスではサービス ノードを複数回使用できません。 |
コマンドまたはアクション | 目的 | |||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
ステップ 1 | にログインします。 | |||||||||||||||||||
ステップ 2 | の順に選択します。 | |||||||||||||||||||
ステップ 3 | [Infrastructure]タブで、[Launch PNSC]ボタンをクリックします。 | PNSC GUI が表示されます。 |
||||||||||||||||||
ステップ 4 | PNSC GUIで、[Policy Management] > [Service Policies] > [root]> tenant > [Policies] > [Service Path]の順に選択し、[Add Service Path] | |||||||||||||||||||
ステップ 5 | [Add Service Path] ダイアログボックスで、サービス パスの名前と説明を入力し、[Add Service Entry]をクリックします。 | |||||||||||||||||||
ステップ 6 | 次の詳細を入力します。 |
|
||||||||||||||||||
ステップ 7 | サービス パスでの必要に応じて、追加のサービス エントリを入力し、[OK]をクリックします。 |
ポート プロファイルにサービス パスをバインドすると、そのポート プロファイルを使用するすべてのトラフィックが、設定されているサービス パスに従うようになります。
サービス パスが存在することを確認します。
ステップ 1 | Intercloud Fabricにログインします。 |
ステップ 2 | の順に選択します。 |
ステップ 3 |
[Infrastructure] タブで、[Launch PNSC] ボタンをクリックします。 PNSC GUI が表示されます。 |
ステップ 4 | PNSC GUI で、 の順に選択します。 |
ステップ 5 | [Port Profiles] テーブルで、サービス パスをバインドするポート プロファイルを選択し、[Edit] をクリックします。 |
ステップ 6 | [Service Path] フィールドで、[Select] をクリックします。 |
ステップ 7 | [Select Service Path] ダイアログボックスで 、必要なサービス パスを選択し、[OK] をクリックします。 |
ステップ 8 | [Edit Port Profile] ダイアログボックスで、[Apply]、[OK] の順にクリックし、変更を適用して保存します。 |
Intercloud Fabric Firewall 用のポート プロファイルを編集するには、次の手順を実行します。
ステップ 1 | Intercloud Fabricにログインします。 | ||||||||||||
ステップ 2 | の順に選択します。 | ||||||||||||
ステップ 3 | [All Clouds] ドロップダウン リストからクラウドを選択します。 | ||||||||||||
ステップ 4 | [Port Profile] タブで、ポート プロファイルを選択します。 | ||||||||||||
ステップ 5 |
[Edit] ボタンをクリックします。 [Edit Port Profile] ウィンドウが表示されます。 |
||||||||||||
ステップ 6 |
ポート プロファイルの次のフィールドに値を入力します。
|
||||||||||||
ステップ 7 | [Submit] をクリックします。 |
Intercloud Fabric Firewall のインストールを確認するには、次の手順を実行します。
ステップ 1 | Intercloud Fabricにログインします。 |
ステップ 2 | の順に選択します。 |
ステップ 3 |
[Infrastructure] タブで、[Launch PNSC] ボタンをクリックします。 PNSC GUI が表示されます。 |
ステップ 4 | PNSC GUI で、 の順に選択します。 |
ステップ 5 |
icfCloud を選択し、[Network Services] を選択します。 テーブルで Intercloud Fabric Firewall のインストールのステータスを確認できます。 |
目次
- Intercloud Fabric ファイアウォールのインストール
- Intercloud Fabric Firewall について
- 前提条件
- 注意事項と制約事項
- 基本的なトポロジ
- Intercloud Fabric Firewall のインストール ワークフロー
- Intercloud Fabric Cloud の作成
- サービスの管理
- Intercloud Fabric Firewallのインスタンス化
- コンピュート セキュリティ プロファイルの設定
- サービス パスの作成
- ポート プロファイルへのサービス パスのバインド
- Intercloud Fabric Firewall 用のポート プロファイルの編集
- Intercloud Fabric Firewall のインストールの確認
This chapter contains the following sections:
Intercloud Fabric Firewall について
Intercloud Fabric Firewall(VSG)は、クラウド プロバイダー環境内のセキュアな仮想化データセンターへの信頼できるアクセスを実現する仮想アプライアンスであり、動的なポリシーベースの運用、トランスペアレント モビリティの強化、高密度マルチテナント機能のスケールアウト展開などの要件を満たしています。 Intercloud Fabric Firewall では、確立されたセキュリティ ポリシーによって信頼ゾーンへのアクセスを確実に制御および監視することができます。
Intercloud Fabric Firewall は、ワークロードの仮想化、企業のセキュリティ ポリシーと業界規制の順守の強化、簡素化されたセキュリティ監査など、さまざまなメリットをもたらします。
また、クラウド環境の仮想マシンを有害なネットワーク トラフィックから保護すると共に、Intercloud Fabric Router(CSR)またはクラウド仮想マシンのパブリック インターフェイスを介して仮想マシンへのアクセスを試みる不正なインターネット ユーザや、サイト間のセキュア トンネルを介してアクセスを試みる不正な内部ユーザからも保護します。
Intercloud Fabric Firewall を展開することで、顧客はプライベート クラウドの セキュリティ ポリシーを拡張して、プロバイダー クラウドで実行する各自のアプリケーション ワークロードを保護することができます。 さらに、Intercloud Fabric Firewall は、Intercloud Fabric 環境で 3 層式アプリケーションをサポートすることによって、仮想マシン グループ間の論理的な分離を実現します。 セキュリティ要件に基づいて、仮想マシンを論理グループの一部として定義し、仮想マシン グループに Intercloud Fabric Firewall を適用することができます。
前提条件
Intercloud Fabric Director がインストールされていること。
インフラストラクチャのセットアップと Intercloud Fabric Cloud のセットアップが完了していること。
Intercloud Fabric Extender トランク インターフェイスに対してポート グループを使用する場合は、Intercloud Fabric Extenderトランク ポートで無差別モードが有効になっていること。
Intercloud Fabric Extender のトランク インターフェイスにバインドされているポート グループで全 VLAN 範囲が有効になっていること。
注意事項と制約事項
Intercloud Fabric Cloud のインスタンスを作成した後で Intercloud Fabric Firewall サービスを追加することもできます。 サービスの管理 を参照してください。
Intercloud Fabric Firewall のインストール ワークフロー
手順
ステップ 1 Intercloud Fabric から Intercloud Fabric Firewall テンプレートとサービス インターフェイスを作成する。
- Intercloud Fabric Cloud の作成時にサービスを有効化する場合は、Intercloud Fabric Cloud の作成 を参照してください。
- Intercloud Fabric Cloud の作成時にサービスを有効化しなかった場合は、サービスの管理 を参照してください。
ステップ 2 Intercloud Fabric Firewall をインスタンス化する。 Intercloud Fabric Firewallのインスタンス化を参照してください。
ステップ 3 コンピュート セキュリティ プロファイルを設定する。 コンピュート セキュリティ プロファイルの設定を参照してください。
ステップ 4 サービス パスを作成する。 を参照してください。
ステップ 5 ポート プロファイルにサービス パスをバインドする。 ポート プロファイルへのサービス パスのバインドを参照してください。
ステップ 6 クラウド仮想マシンのポート プロファイルを編集して、ファイアウォール サービスを有効化する。 Intercloud Fabric Firewall 用のポート プロファイルの編集 を参照してください。
ステップ 7 インストールを確認する。 Intercloud Fabric Firewall のインストールの確認を参照してください。
Intercloud Fabric Cloud の作成
はじめる前に手順
プロバイダー アカウントを作成しておきます。
クラウド プロバイダーの資格情報を確認します。
icfTunnelNet という名前のトンネル ネットワークを作成しておきます。
インフラストラクチャ コンポーネント(PNSC、Intercloud Fabric VSM など)をインストールしておきます。
Cisco Nexus 1000V、VMware vSwitch、VMware VDS、Microsoft Hyper-V スイッチなど、分散仮想スイッチのポート プロファイルをプライベート クラウドに設定しておきます。
デバイス プロファイル、MAC プール、トンネル プロファイル、スタティック IP グループなど、Intercloud Fabric インフラストラクチャのポリシーを作成しておきます。
プライベート クラウドで Cisco Nexus 1000V を使用する場合は、Intercloud Fabric に Cisco Nexus 1000V スイッチを追加しておきます。 ネットワーク要素の追加を参照してください。
拡張を要するネットワークに必要な VLAN を Intercloud Fabric Extender トランク ポート プロファイルに設定します。
サービスを管理するためのサービス バンドルをアップロードしておきます。
の順に選択し、サービス バンドルをアップロードします。
(注)
Intercloud Fabric Router (Integrated)を管理するためのサービス バンドルをアップロードする必要はありません。
ステップ 1 Intercloud Fabricにログインします。 ステップ 2 の順に選択します。 ステップ 3 [IcfCloud] ウィンドウで、[IcfCloud] タブを選択します。 ステップ 4 [IcfCloud] タブで、[Setup] ボタンをクリックします。 [Cloud Setup] ウィザードが表示されます。
ステップ 5 [Account Credentials] の次のフィールドに値を入力します。
(注) 次の表のフィールドの多くは、新しいプロバイダー アカウントの作成を選択した場合にのみ表示されます。 また、表示されるフィールドはプロバイダーに固有のものです。
名前 説明 [Cloud Name] フィールド
Intercloud Fabric Director で作成した仮想アカウントの名前。 この名前には、ハイフン、下線、ピリオド、コロンを含めて、1 ~ 16 文字の英数字を指定することができます。 オブジェクトの作成後は、この名前は変更できません。
[Cloud Type] ドロップダウン リスト
プロバイダー クラウドのタイプを選択します。
[Provider Account] ドロップダウン リスト
既存のプロバイダーを選択するか、新しいプロバイダー アカウントを作成することを選択します。
選択したプロバイダー アカウントに基づいて、該当するフィールドが表示されます。
[Provider Account Name] フィールド
プロバイダー アカウントの名前。
[Access ID] フィールド
アカウントの所有者を識別する英数字のテキスト文字列。
[Access Key] フィールド
アカウントの一意のキー。
[URI] フィールド
アカウントの一意のリソース識別子。
[Username] フィールド
ユーザ名。
[Password] フィールド
パスワード。
[Validate Credentials] ボタン
資格情報を検証する場合にクリックします。 残りのフィールドに入力するには、資格情報を検証する必要があります。
[Location] ドロップダウン リスト
プロバイダー クラウドの場所を選択します。
[Provider VPC] ドロップダウン リスト
プロバイダー クラウドのプロバイダー VPC を選択します。
[Provider Private Subnet] ドロップダウン リスト
プロバイダー クラウドのプロバイダー プライベート サブネットを選択します。
ステップ 6 [Next] をクリックします。 ステップ 7 [Configuration Details] の次のフィールドに値を入力します。
名前
説明
Network Configuration
[Advanced] チェックボックスをクリックして新しいポリシーを作成するか、[Next] をクリックしてデフォルト値で続行します。
[MAC Pool] ドロップダウン リスト
デフォルトまたは既存の MAC プールを選択するか、新しい MAC プールを作成することを選択します。
新しい MAC プールの作成については、MAC アドレス プールの追加 を参照してください。
[Tunnel Profile] ドロップダウン リスト
デフォルトまたは既存のトンネル プロファイルを選択するか、新しいトンネル プロファイルを作成することを選択します。
新しいトンネル プロファイルの作成については、トンネル プロファイルの設定 を参照してください。
[IP Group] ドロップダウン リスト
デフォルトまたは既存の IP グループを選択するか、新しい IP グループを作成することを選択します。
新しい IP グループの作成については、IP グループの追加 を参照してください。
[Private Subnet] ドロップダウン リスト
デフォルトまたは既存のプライベート サブネットを選択するか、プライベート サブネットを作成することを選択します。
新しいプライベート サブネットの作成については、プライベート サブネットの追加 を参照してください。
サービス
[ICF Firewall (VSG)] チェックボックス
Intercloud Fabric Firewall(VSG)テンプレートを作成するには、[ICF Firewall] チェックボックスをオンにします。
サービスを選択すると、そのサービスのテンプレートをこのクラウドで利用できるようになります。 サービスを設定するには、PNSC を使用します。
Intercloud Fabric ファイアウォールのインストールを参照してください。
[ICF Router (Integrated)] チェックボックス
Azure クラウドでのみサポートされます。
関連する Intercloud Fabric Cloud インスタンスで [ICF Router (Integrated)] インスタンスを作成するには、[ICF Router (Integrated)] チェックボックスをオンにします。
[ICF Router (Integrated)] をインスタンス化した後、それを Prime Network Services Controller で設定できます(Intercloud Fabric Router (Integrated) のインストールと設定に関するワークフローを参照)。
[ICF Router (CSR)] チェックボックス
Intercloud Fabric Router(CSR)テンプレートを作成するには、[ICF Router (CSR)] チェックボックスをオンにします。
サービスを選択すると、そのサービスのテンプレートをこのクラウドで利用できるようになります。 サービスを設定するには、PNSC を使用します。
Intercloud Fabric Router(CSR)のインストールと設定を参照してください。
[Cloud Services Router (CSR) Management VLAN] フィールド
Intercloud Fabric Router(CSR)の管理 VLAN ID を入力します。
この VLAN は、Intercloud Fabric Router(CSR)を管理するために使用されます。このプロパティを選択できるようにするには、[ICF Router (CSR)] チェックボックスをオンにする必要があります。
ステップ 8 [Next] をクリックします。 ステップ 9 [Secure Cloud Extension] の次のフィールドに値を入力します。
名前 説明 [Intercloud Extender Network]
Intercloud Fabric Extender の次のフィールドに値を入力します。
[VM Manager] ドロップダウン リスト
Intercloud Fabric Extender の VM マネージャを選択します。
[Datacenter] ドロップダウン リスト
Intercloud Fabric Extender を展開するデータセンターを選択します。
このフィールドは、Microsoft 環境で Intercloud Fabric Cloud を作成する場合には適用できません。
[Data Trunk Network] ドロップダウン リスト
データ トラフィックの Intercloud Fabric Extender 上のトランク インターフェイスを選択します。
このフィールドは、Microsoft 環境で Intercloud Fabric Cloud を作成する場合には適用できません。
[Management Interface Network] ドロップダウン リスト
データ トラフィックの Intercloud Fabric Extender 上の管理インターフェイスを選択します。
このフィールドは、Microsoft 環境で Intercloud Fabric Cloud を作成する場合には適用できません。
[Management VLAN] フィールド
管理インターフェイスの VLAN を選択します。 この VLAN は、管理 IP プール ポリシーで指定された VLAN と一致させる必要があります。
[Management IP Pool Policy] ドロップダウン リスト
管理インターフェイスの IP プール ポリシーを選択するか、新しい IP プール ポリシーを作成します。
新しい IP プール ポリシーの作成については、スタティック IP プール ポリシーの作成 を参照してください。
このフィールドは、Microsoft 環境で Intercloud Fabric Cloud を作成する場合には適用できません。
[Separate Mgmt and Tunnel Interface] チェックボックス
管理インターフェイスとトンネル インターフェイスに対して異なる VLAN を使用する場合は、このチェックボックスをオンにします。 このチェックボックスをオンにしない場合は、デフォルトで、トンネル インターフェイスと管理インターフェイスに同じ VLAN が使用されます。
このプロパティを選択できるようにするには、[Advanced] チェックボックスをオンにする必要があります。
このフィールドは、Microsoft 環境で Intercloud Fabric Cloud を作成する場合には適用できません。
[Tunnel Interface Network] ドロップダウン リスト
データ トラフィックの Intercloud Fabric Extender 上のトンネル インターフェイスを選択します。
このドロップダウン リストは、[Separate Mgmt and Tunnel Interface] チェックボックスを選択した場合にのみ表示されます。
このフィールドは、Microsoft 環境で Intercloud Fabric Cloud を作成する場合には適用できません。
[Tunnel VLAN] フィールド
トンネル インターフェイスの VLAN を選択します。
このフィールドは、[Separate Mgmt and Tunnel Interface] チェックボックスを選択した場合にのみ表示されます。
このフィールドは、Microsoft 環境で Intercloud Fabric Cloud を作成する場合には適用できません。
[Tunnel IP Pool Policy] ドロップダウン リスト
トンネル インターフェイスの IP プール ポリシーを選択するか、新しい IP プール ポリシーを作成します。
新しい IP プール ポリシーの作成については、スタティック IP プール ポリシーの作成 を参照してください。
このドロップダウン リストは、[Separate Mgmt and Tunnel Interface] チェックボックスを選択した場合にのみ表示されます。
このフィールドは、Microsoft 環境で Intercloud Fabric Cloud を作成する場合には適用できません。
[Intercloud Extender Placement / Association]
[ICX] ドロップダウン リスト
(Microsoft 環境のみ)Intercloud Fabric Extender のホストを選択します。
[Primary Intercloud Extender] と [Secondary Intercloud Extender] のデータストアを指定するには、[Advanced] チェックボックスをオンにして、次に [High Availability] チェックボックスをオンにします。
[Host] ドロップダウン リスト
Intercloud Fabric Extender のホストを選択します。
ハイ アベラビリティ構成の場合は、[Advanced] チェックボックスをオンにしてから、[High-Availability] チェックボックスをオンにして、[Primary Intercloud Extender] と [Secondary Intercloud Extender] のホストを指定します。
このフィールドは、Microsoft 環境で Intercloud Fabric Cloud を作成する場合には適用できません。
[Datastore] ドロップダウン リスト
Intercloud Fabric Extender のデータストアを選択します。
ハイ アベラビリティ構成の場合は、[Advanced] チェックボックスをオンにしてから、[High-Availability] チェックボックスをオンにして、[Primary Intercloud Extender] と [Secondary Intercloud Extender] のデータストアを指定します。
このプロパティを選択できるようにするには、[Advanced] チェックボックスをオンにする必要があります。
このフィールドは、Microsoft 環境で Intercloud Fabric Cloud を作成する場合には適用できません。
[Intercloud Switch Network]
クラウドの Intercloud Fabric スイッチに対して次のフィールドに値を入力します。
このプロパティを選択できるようにするには、[Advanced] チェックボックスをオンにする必要があります。
[Management VLAN] フィールド
管理インターフェイスの VLAN を選択します。
[Management IP Pool Policy] ドロップダウン リスト
管理インターフェイスの IP ポリシーを選択するか、新しい IP プール ポリシーを作成します。
新しい IP プール ポリシーの作成については、スタティック IP プール ポリシーの作成 を参照してください。
[VSG Service Interface]
このプロパティを選択できるようにするには、[ICF Firewall (VSG)] チェックボックスをオンにする必要があります。
このサービス インターフェイスは Intercloud Fabric Switch で作成され、Intercloud Fabric Firewall のデータ インターフェイスとの通信に使用されます。
[VLAN] フィールド
サービス インターフェイスの VLAN を選択します。 この VLAN は Intercloud Fabric Switch と Intercloud Fabric Firewall 間の通信に使用され、他の VLAN から完全に隔離されたプライベート VLAN の場合もあります。
[IP Pool Policy] ドロップダウン リスト
サービス インターフェイスの IP ポリシーを選択するか、新しい IP プール ポリシーを作成します。
[VSG Management]
このプロパティを選択できるようにするには、[ICF Firewall (VSG)] チェックボックスをオンにする必要があります。
[VSG Management VLAN] フィールド
管理インターフェイスの VLAN を選択します。 この VLAN は Intercloud Fabric Firewall を管理するために使用されます。
ステップ 10 [Next] をクリックします。 [Summary] ウィンドウに Intercloud Fabric Cloud のサマリーが一覧表示されます。
ステップ 11 [Submit] をクリックして、Intercloud Fabric Cloud を作成します。 ステップ 12 タスクの状態を表示するには、[IcfCloud] タブで、タスクのサービス リクエスト番号を検索します。 ステップ 13 の順に選択します。 ステップ 14 [Service Request] タブを選択します。 サービス リクエスト番号を検索するか、検索フィールドにサービス リクエスト番号を入力します。 ステップ 15 [View] をクリックして、ワークフロー ステータス、ログ、入力情報など、サービス リクエストの詳細情報を表示します。
サービスの管理
手順
ステップ 1 Intercloud Fabricにログインします。 ステップ 2 の順に選択します。 ステップ 3 [IcfCloud] ウィンドウで、[IcfCloud] タブを選択します。 ステップ 4 IcfCloud を選択し、[Manage Services] をクリックします。 [Manage Services] ウィンドウが表示されます。
ステップ 5 [Manage Services] の次のフィールドに値を入力します。
名前
説明
[ICF Firewall] チェックボックス
Intercloud Fabric Firewall(VSG)テンプレートを作成するには、[ICF Firewall] チェックボックスをオンにします。
[Service Interface VLAN] フィールド
このサービス インターフェイスは Intercloud Fabric Switch で作成され、Intercloud Fabric Firewall のデータ インターフェイスとの通信に使用されます。
サービス インターフェイスの VLAN。 この VLAN は Intercloud Fabric Switch と Intercloud Fabric Firewall 間の通信に使用され、他の VLAN から完全に隔離されたプライベート VLAN の場合もあります。
このフィールドは、[ICF Firewall] チェックボックスを選択した場合にのみ表示されます。
[Service Interface IP Pool Policy] ドロップダウン リスト
サービス インターフェイスの IP ポリシーを選択するか、新しい IP プール ポリシーを作成します。
新しい IP プール ポリシーの作成については、スタティック IP プール ポリシーの作成 を参照してください。
このフィールドは、[ICF Firewall] チェックボックスを選択した場合にのみ表示されます。
[VSG Management VLAN] フィールド
管理インターフェイスの VLAN。 この VLAN は Intercloud Fabric Firewall を管理するために使用されます。
このフィールドは、[ICF Firewall] チェックボックスを選択した場合にのみ表示されます。
(注) ファイアウォール管理ポート プロファイルは、Intercloud Fabric Cloud の作成時に Intercloud Fabric Firewall サービスを選択すると自動的に作成されます。 Intercloud Fabric Cloud の名前は、プレフィックスとしてポート プロファイルの名前に追加され、VLAN ID はサフィックスとしてポート プロファイルの名前に追加されます。例:icf-amz1_VSG_Management_72
[ICF Router (CSR)] チェックボックス
Intercloud Fabric Router(CSR)のテンプレートを作成するには、[ICF Router (CSR)] チェックボックスをオンにします。
[CSR Management VLAN]
Intercloud Fabric Router(CSR)の管理 VLAN ID を入力します。
このフィールドは、[ICF Router (CSR)] チェックボックスを選択した場合にのみ表示されます。
[ICF Router (Integrated)] チェックボックス
ICF ルータ(統合型)を作成するには、[ICF Router (Integrated)] チェックボックスをオンにします。
ステップ 6 [Submit] をクリックします。
Intercloud Fabric Firewallのインスタンス化
ProcedureIntercloud Fabric Cloud を設定して Intercloud Fabric Firewallテンプレートを導入すると、PNSC からインスタンス化できるようになります。 Intercloud Fabric Firewall, をインスタンス化するには、次の作業を実行します。
Step 1 Intercloud Fabricにログインします。 Step 2 の順に選択します。 Step 3 [Infrastructure] タブで、[Launch PNSC] Launch PNSCボタンをクリックします。 PNSC GUI が表示されます。
Step 4 [Resource Management] タブをクリックします。 Step 5 ルート構造をナビゲートして、インスタンス化するテナントを選択しますIntercloud Fabric Firewall。 Step 6 [tenant] ペインで、[Actions] ドロップダウン リストから [Add Compute Firewall] を選択します。 Step 7 [Add Compute Firewall] ダイアログ ボックスで、次を入力します。 Step 8 [Select] をクリックしてデバイス プロファイルを選択し、[OK] をクリックします。 Step 9 [Next] をクリックします。 Step 10 [Select Service Device] ページで、[Instantiate in Cloud] オプションを選択します。 Step 11 リストから Intercloud Fabric Firewall テンプレートを選択します。 Step 12 [VM Access] セクションで、管理者アクセス用のパスワードを入力して確認します。 Step 13 [Next] をクリックします。 Step 14 [VPC] ページの [Select Intercloud Link] セクションで、適切な Intercloud Fabric Cloudをナビゲートして選択します。 Step 15 [Next] をクリックします。 Step 16 [Configure Service VM Interfaces] ページで、[Add Interface] をクリックします。 Step 17 [Add Interface] ダイアログ ボックスで、インターフェイス タイプとして [Management] を選択し、次の詳細を入力します。
Name Description [IP Addressフィールド
管理インターフェイスの IP アドレス。
[Subnet] フィールド
管理インターフェイスのサブネット マスク。
Gateway] フィールド
管理インターフェイスのゲートウェイ。
[Port Group] ドロップダウン リスト
Intercloud Fabric から作成したファイアウォール管理ポート プロファイル。
Note ファイアウォール管理ポート プロファイルは、 Intercloud Fabricから自動的に作成されます。Intercloud Fabric Cloud の名前はプレフィックスとしてポート プロファイルの名前に追加され、VLAN ID はサフィックスとしてポート プロファイルの名前に追加されます。例: icf-amz1_VSG_Management_72
Step 18 [OK] をクリックして、[Add Interface]ダイアログ ボックスを閉じます。 Step 19 [Configure Service VM Interfaces] ページで、[Add Interface] をクリックします。 Step 20 [Add Interface] ダイアログ ボックスで、インターフェイス タイプとして [Data] を選択し、次の詳細を入力します。
Name Description [IP Address] フィールド
データ インターフェイスの IP アドレス。
[Subnet] フィールド
データ インターフェイスのサブネット マスク。
[Port Group]ドロップダウン リスト
Intercloud Fabricから作成したファイアウォール データ ポート プロファイル。
Note ファイアウォール データ ポート プロファイルは、Intercloud Fabricから自動的に作成されます。 Intercloud Fabric Cloudの名前はプレフィックスとしてポート プロファイルの名前に追加され、VLAN ID はサフィックスとしてポート プロファイルの名前に追加されます。 例: icf-amz1_VSG_Data_710
Step 21 [OK] をクリックします。 Step 22 [Next]をクリックします。 Step 23 [Summary] ページで詳細を確認し、[Finish] をクリックして Intercloud Fabric Firewallをインスタンス化します。
コンピュート セキュリティ プロファイルの設定
手順
ステップ 1 Intercloud Fabricにログインします。 ステップ 2 の順に選択します。 ステップ 3 [Infrastructure] タブで、[Launch PNSC] ボタンをクリックします。 PNSC GUI が表示されます。
ステップ 4 PNSC GUI で、 の順に選択します。 ステップ 5 [General] タブで、[Add Compute Security Profile] をクリックします。 ステップ 6 [Add Compute Security Profile] の次のフィールドに値を入力します。
(注)
表 1 [General] タブ フィールド 説明 Name
プロファイル名。識別子として 2 ~ 32 文字を使用できます。 ハイフン、下線、ピリオド、コロンを含む英数字を使用できます。 保存後は、この名前を変更できません。
Description
プロファイルの簡単な説明。識別子として 1 ~ 256 文字を使用できます。 ハイフン、下線、ピリオド、コロンを含む英数字を使用できます。
Policy Set
ポリシー セットのドロップダウン リスト。
Add ACL Policy Set
このリンクをクリックすると、ACL ポリシー セットを追加できます。
Resolved Policy Set
このリンクをクリックすると、解決されたポリシー セットを編集できます。
[Resolved Policies] 領域
(Un)assign Policy
このリンクをクリックすると、ポリシーを割り当てまたは割り当て解除できます。
Name
ルール名。
Source Condition
ルールの送信元条件。
Destination Condition
ルールの宛先条件。
Service/Protocol
ルールが適用されるプロトコルまたはサービス。
EtherType
ルールが適用される、カプセル化されているプロトコル。
Action
ルール条件が満たされた場合に実行するアクション。
Description
ルールの説明。
ステップ 7 [OK] をクリックします。
サービス パスの作成
手順
コマンドまたはアクション 目的 ステップ 1 にログインします。 ステップ 2 の順に選択します。 ステップ 3 [Infrastructure]タブで、[Launch PNSC]ボタンをクリックします。 PNSC GUI が表示されます。
ステップ 4 PNSC GUIで、[Policy Management] > [Service Policies] > [root]> tenant > [Policies] > [Service Path]の順に選択し、[Add Service Path] ステップ 5 [Add Service Path] ダイアログボックスで、サービス パスの名前と説明を入力し、[Add Service Entry]をクリックします。 ステップ 6 次の詳細を入力します。
名前 説明 [Service Type]オプション ボタン
サービス タイプを選択します。
[Service Nodeドロップダウン リスト
既存のサービス ノードを選択するか、新しいサービス ノードを作成します。
[Name]フィールド
サービス ノードの名前。
このフィールドは、新しいサービス ノードを作成する場合にのみ表示されます。
[Service Type]オプション ボタン
サービス タイプを選択します。
このフィールドは、新しいサービス ノードを作成する場合にのみ表示されます。
[Network Service]ドロップダウン リスト
論理サービス デバイスの名前。
このフィールドは、新しいサービス ノードを作成する場合にのみ表示されます
[Fail Mode]オプション ボタン
サービス ノードが接続を失った場合に実行するアクション。
このフィールドは、新しいサービス ノードを作成する場合にのみ表示されます。
[Adjacency Type]オプション ボタン
レイヤ 3 隣接タイプを選択します。
このフィールドは、新しいサービス ノードを作成する場合にのみ表示されます。
[Service Profile]ドロップダウン リスト
サービス プロファイルを選択します。
サービス プロファイルは、サービス パスを使用しているトラフィックに適用するポリシーを識別します。
ステップ 7 サービス パスでの必要に応じて、追加のサービス エントリを入力し、[OK]をクリックします。 ポート プロファイルへのサービス パスのバインド
手順
ステップ 1 Intercloud Fabricにログインします。 ステップ 2 の順に選択します。 ステップ 3 [Infrastructure] タブで、[Launch PNSC] ボタンをクリックします。 PNSC GUI が表示されます。
ステップ 4 PNSC GUI で、 の順に選択します。 ステップ 5 [Port Profiles] テーブルで、サービス パスをバインドするポート プロファイルを選択し、[Edit] をクリックします。 ステップ 6 [Service Path] フィールドで、[Select] をクリックします。 ステップ 7 [Select Service Path] ダイアログボックスで 、必要なサービス パスを選択し、[OK] をクリックします。 ステップ 8 [Edit Port Profile] ダイアログボックスで、[Apply]、[OK] の順にクリックし、変更を適用して保存します。
Intercloud Fabric Firewall 用のポート プロファイルの編集
手順
ステップ 1 Intercloud Fabricにログインします。 ステップ 2 の順に選択します。 ステップ 3 [All Clouds] ドロップダウン リストからクラウドを選択します。 ステップ 4 [Port Profile] タブで、ポート プロファイルを選択します。 ステップ 5 [Edit] ボタンをクリックします。 [Edit Port Profile] ウィンドウが表示されます。
ステップ 6 ポート プロファイルの次のフィールドに値を入力します。
名前 説明 [VLAN ID] フィールド
ポート プロファイルの VLAN ID。
[Enable for Services] チェックボックス
サービスに対してポート プロファイルを有効にするには、このチェックボックスをオンにします。
(注) 管理ポート プロファイルやデータ ポート プロファイルを作成する場合は、このオプションを選択しないでください。 このオプションは、クラウド VM でファイアウォール サービスを有効にする場合にのみ適用できます。
[Org] ドロップダウン リスト
既存の組織を選択するか、新しい組織を作成します。 組織とは、IP バインディング情報を保存するための構造です。 orgorg_name コマンドを使用して、Intercloud Fabric Switch(VEM)での IP バインディングの学習を有効にできます。 VEM で IP バインディングが学習されると、その情報は PNSC および Intercloud Fabric ファイアウォールに同期されます。
このフィールドは、[Enable for Services] チェックボックスを選択した場合にのみ表示されます。
[New Org Name] フィールド
組織の名前。
このフィールドは、[Enable for Services] チェックボックスを選択した場合にのみ表示されます。
ステップ 7 [Submit] をクリックします。