この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章は、次の項で構成されています。
Cisco Virtual Secure Gateway(VSG)コンテナ タイプは、強化されたセキュリティを仮想環境で提供するために使用します。Cisco UCS Director を使用して、Prime Network Services Controller(PNSC)とともに、その内部ファイアウォール(Cisco Virtual Security Gateway)を設定できます。このファイアウォールは、設定後、アプリケーション コンテナに統合されます。
Cisco VSG は仮想ファイアウォール アプライアンスで、仮想データセンターおよびクラウド環境への信頼できるアクセスを提供します。Cisco VSG では、さまざまなセキュリティ プロファイルを持つ複数のテナント ワークロードの広範な組み合わせによって、仮想データセンターのプライベート クラウドまたはパブリック クラウドにおける共通のコンピューティング インフラストラクチャの共有を可能にします。1 つ以上の仮想マシン(VM)を固有の信頼ゾーンに割り当てることで、Cisco VSG は確立されたセキュリティ ポリシーを通じて信頼ゾーンへのアクセスを制御し、モニタするようにします。
Cisco VSG には次の利点があります。
信頼できるマルチテナント アクセス:マルチテナント(スケールアウト)環境で適用されたコンテキスト認識型セキュリティ ポリシーに基づいた、きめ細かいゾーンベースの管理およびモニタリングにより、法規制の遵守を強化し、監査を簡略化します。セキュリティ ポリシーはセキュリティ プロファイル テンプレートとして構成され、数多くの Cisco VSG にわたる管理と展開を簡略にします。
動的操作:セキュリティ テンプレートと信頼ゾーンの VM インストール時のオンデマンド プロビジョニング、トランスペアレント モビリティの強化、および VM のライブ マイグレーションとしてのモニタリングがさまざまな物理サーバで実行されます。
中断のない管理:セキュリティ チームとサーバ チームの分別管理により、コラボレーションを強化しながら、管理上のエラーを排除し、監査を簡略にします。
Cisco VSG は次を実行します。
以下に示すのは、VSG コンテナ設定の前提条件です。
VSG アプリケーション コンテナの作成プロセス
PNSC は、Cisco 仮想サービスのデバイスおよびセキュリティ ポリシーを一元管理できる仮想アプライアンスで、Red Hat Enterprise Linux に基づいています。マルチテナント操作用に設計された PNSC は、シームレスで、拡張可能な自動化中心の管理を仮想データセンター環境およびクラウド環境で実現します。PNSC は基本的にセキュリティ コンポーネント(ファイアウォール)を VSG およびアプリケーション コンテナに提供し、VM を互いに分離します。PNSC は、管理者がシスコ仮想サービスの一元管理を Cisco UCS Director を通じて実行できるようにします。
(注) | PNSC は特定のポッドに関連付けられていません。 |
PNSC アカウントを作成後に、Cisco UCS Director を使用して関連レポートを表示できます。
メニューから、次のレポートを使用できます。
内部ファイアウォール(Cisco Virtual Security Gateway)に加えて PNSC を設定する Cisco UCS Director を使用し、アプリケーション コンテナに統合することができます。
統合プロセスには、いくつかの段階があります。
Cisco UCS Director では、管理者、グループ管理者、またはエンドユーザが事前に定義されたストレージの場所に OVA ファイルをアップロードできます。
(注) | OVA ファイルをアップロードする権限のある唯一のタイプが、グループ管理者とエンドユーザです。 |
適切なアクセス権があることを確認します。
ステップ 1 | を選択します。 | ||||||||||
ステップ 2 | [統合(Integration)] ページで [ユーザ OVF 管理(User OVF Management)] をクリックします。 | ||||||||||
ステップ 3 | [ファイルのアップロード(Upload File)] をクリックします。 | ||||||||||
ステップ 4 | [ファイルのアップロード(Upload File)] 画面で、次のフィールドに値を入力します。
| ||||||||||
ステップ 5 | [送信(Submit)] をクリックします。 |
ファイアウォール ポリシーを使用して Cisco VSG にネットワーク トラフィックを適用します。Cisco VSG は、PNSC の一環として使用される内部ファイアウォールです。Cisco VSG の主要コンポーネントはポリシー エンジンです。ポリシー エンジンは、Cisco VSG で受信するネットワーク トラフィックをフィルタする設定としてポリシーを使用します。
(注) | PNSC ファイアウォール ポリシーはスタンドアロン モードと高可用性(HA)モードの両方をサポートします。 |
ステップ 1 | を選択します。 | ||||||||||||||||||||||||||||||||||||||
ステップ 2 | [マルチドメイン マネージャ(Multi-Domain Managers)] の下にリストされている [PNSC アカウント(PNSC accounts)] を展開します。 | ||||||||||||||||||||||||||||||||||||||
ステップ 3 | ファイアウォール ポリシーを作成する PNSC アカウントをクリックします。 | ||||||||||||||||||||||||||||||||||||||
ステップ 4 | [PNSC ファイアウォール ポリシー(PNSC Firewall Policy)] をクリックします。 | ||||||||||||||||||||||||||||||||||||||
ステップ 5 | [追加(Add)] をクリックします。 | ||||||||||||||||||||||||||||||||||||||
ステップ 6 | [ファイアウォール ポリシーの作成(Create Firewall Policy)] 画面で、次のフィールドに入力します。
| ||||||||||||||||||||||||||||||||||||||
ステップ 7 | [次へ(Next)] をクリックします。 | ||||||||||||||||||||||||||||||||||||||
ステップ 8 | PNSC ゾーンを展開し、[追加(+)(Add (+))] をクリックしてゾーンを作成します。 | ||||||||||||||||||||||||||||||||||||||
ステップ 9 | [PNSC ゾーンへのエントリの追加(Add Entry to PNSC Zones)] 画面で、次のフィールドに入力します。
| ||||||||||||||||||||||||||||||||||||||
ステップ 10 | [送信(Submit)] をクリックします。 | ||||||||||||||||||||||||||||||||||||||
ステップ 11 | [次へ(Next)] をクリックします。 | ||||||||||||||||||||||||||||||||||||||
ステップ 12 | [PNSC ACL ルール(PNSC ACL Rules)] を展開し、[追加(+)(Add (+))] をクリックして PNSC ACL ルール エントリを作成します。 | ||||||||||||||||||||||||||||||||||||||
ステップ 13 | [PNSC ACL ルールへのエントリの追加(Add Entry to PNSC ACL Rules)] 画面で、次のフィールドに入力します。
| ||||||||||||||||||||||||||||||||||||||
ステップ 14 | [送信(Submit)] をクリックします。 | ||||||||||||||||||||||||||||||||||||||
ステップ 15 | [次へ(Next)] をクリックします。 | ||||||||||||||||||||||||||||||||||||||
ステップ 16 | [PNSC-VSG 設定(PNSC-VSG Configuration)] 画面で、次のフィールドに入力します。
| ||||||||||||||||||||||||||||||||||||||
ステップ 17 | [送信(Submit)] をクリックします。 | ||||||||||||||||||||||||||||||||||||||
ステップ 18 | [OK] をクリックします。 |
仮想インフラストラクチャ ポリシーは、使用する VM やプロビジョニングするコンテナのタイプを定義します。また、このポリシーは、この特定のアカウントに関連付ける PNSC アカウントも定義します。
(注) | ゲートウェイ関連の Linux ベースの VM イメージ パラメータをこのポリシーに追加できます。 |
ステップ 1 | を選択します。 | ||||||||||
ステップ 2 | [アプリケーション コンテナ(Application Containers)] ページで [仮想インフラストラクチャ ポリシー(Virtual Infrastructure Policies)] をクリックします。 | ||||||||||
ステップ 3 | [ポリシーを追加(+)(Add Policy (+))] をクリックします。 | ||||||||||
ステップ 4 | [仮想インフラストラクチャ ポリシーの作成(Create a virtual infrastructure policy)] 画面で、次のフィールドに入力します。
| ||||||||||
ステップ 5 | [次へ(Next)] をクリックします。 | ||||||||||
ステップ 6 | [仮想インフラストラクチャ ポリシー:PNSC 情報(Virtual Infrastructure Policy - PNSC Information)] 画面で、次のフィールドに入力します。
| ||||||||||
ステップ 7 | [次へ(Next)] をクリックします。 | ||||||||||
ステップ 8 | [仮想インフラストラクチャ ポリシー:フェンシング ゲートウェイ(Virtual Infrastructure Policy - Fencing Gateway)] 画面で、次のフィールドに入力します。
| ||||||||||
ステップ 9 | [次へ(Next)] をクリックします。[仮想インフラストラクチャ ポリシー:概要(Virtual Infrastructure Policy - Summary)] 画面が表示され、現在の設定が示されます。 | ||||||||||
ステップ 10 | [送信(Submit)] をクリックします。 |
ステップ 1 | を選択します。 | ||||||||||||||||||||||||||||||||||||
ステップ 2 | [アプリケーション コンテナ(Application Containers)] ページで [アプリケーション コンテナのテンプレート(Application Container Templates)] をクリックします。 | ||||||||||||||||||||||||||||||||||||
ステップ 3 | [テンプレートの追加(Add Template)] をクリックします。[アプリケーション コンテナ テンプレートの追加(Add Application Container Template)] ページが表示されます。次のフィールドに入力します。
| ||||||||||||||||||||||||||||||||||||
ステップ 4 | [次へ(Next)] をクリックします。[アプリケーション コンテナ テンプレート:仮想インフラストラクチャ ポリシーの選択(Application Container Template - Select a Virtual Infrastructure policy)] 画面が表示されます。この画面で、アプリケーション コンテナを展開するクラウドを選択します。次のフィールドに入力します。
| ||||||||||||||||||||||||||||||||||||
ステップ 5 | [次へ(Next)] をクリックします。[アプリケーション コンテナ:テンプレート:内部ネットワーク(Application Container Template - Internal Networks)] 画面が表示されます。
| ||||||||||||||||||||||||||||||||||||
ステップ 6 | [追加(+)(Add (+))] アイコンをクリックしてネットワークを追加します。[ネットワークへのエントリの追加(Add Entry to Networks)] 画面が表示されます。次のフィールドに入力します。
| ||||||||||||||||||||||||||||||||||||
ステップ 7 | [送信(Submit)] をクリックします。
この後、アプリケーション コンテナでプロビジョニングされるゲートウェイ VM を追加および設定できます。 | ||||||||||||||||||||||||||||||||||||
ステップ 8 | [OK] をクリックします。 | ||||||||||||||||||||||||||||||||||||
ステップ 9 | [次へ(Next)] をクリックします。 [アプリケーション コンテナ テンプレート:VM(Application Container Template - VMs)] 画面が表示されます。 | ||||||||||||||||||||||||||||||||||||
ステップ 10 | [追加(+)(Add (+))] をクリックして VM を追加します。次のフィールドに入力します。
| ||||||||||||||||||||||||||||||||||||
ステップ 11 | (任意)
[追加(+)(Add (+))] をクリックして、新しい(複数の)VM ネットワーク インターフェイスを追加します。次のフィールドに入力します。
| ||||||||||||||||||||||||||||||||||||
ステップ 12 | [次へ(Next)] をクリックします。 | ||||||||||||||||||||||||||||||||||||
ステップ 13 | [OK] をクリックします。 [アプリケーション コンテナ テンプレート:外部ゲートウェイ セキュリティ設定(Application Container Template - External Gateway Security Configuration)] 画面が表示されます。ポート マッピングや発信アクセス制御リスト(ACL)などのセキュリティ設定コンポーネントを指定できます。 | ||||||||||||||||||||||||||||||||||||
ステップ 14 | [追加(+)(Add (+))] をクリックし、ポート マッピングを追加します。次のフィールドに入力します。
| ||||||||||||||||||||||||||||||||||||
ステップ 15 | [送信(Submit)] をクリックします。 | ||||||||||||||||||||||||||||||||||||
ステップ 16 | [OK] をクリックします。 | ||||||||||||||||||||||||||||||||||||
ステップ 17 | [アプリケーション コンテナ テンプレート:外部ゲートウェイ セキュリティの設定(Application Container Template - External Gateway Security Configuration)] 画面で、[追加(+)(Add (+))] アイコンをクリックしてアウトバウンド ACL を追加します。次のフィールドに入力します。
| ||||||||||||||||||||||||||||||||||||
ステップ 18 | [送信(Submit)] をクリックします。 | ||||||||||||||||||||||||||||||||||||
ステップ 19 | [OK] をクリックします。 | ||||||||||||||||||||||||||||||||||||
ステップ 20 | [次へ(Next)] をクリックします。 | ||||||||||||||||||||||||||||||||||||
ステップ 21 | [アプリケーション コンテナ テンプレート:ポリシーの展開(Application Container Template - Deployment Policies)] 画面で、次のフィールドに入力します。
| ||||||||||||||||||||||||||||||||||||
ステップ 22 | [次へ(Next)] をクリックします。 | ||||||||||||||||||||||||||||||||||||
ステップ 23 | [アプリケーション コンテナ テンプレート:オプション(Application Container Template - Options)] 画面で、次のフィールドに入力します。
| ||||||||||||||||||||||||||||||||||||
ステップ 24 | [次へ(Next)] をクリックします。 | ||||||||||||||||||||||||||||||||||||
ステップ 25 | コンテナをセットアップするワークフローを選択します。 | ||||||||||||||||||||||||||||||||||||
ステップ 26 | ワークフロー リストを展開し、ワークフロー(たとえば、ワークフロー ID 431 フェンスド コンテナ セットアップ:VSG(Workflow Id 431 Fenced Container Setup - VSG))を選択します。
| ||||||||||||||||||||||||||||||||||||
ステップ 27 | [選択(Select)] をクリックします。 | ||||||||||||||||||||||||||||||||||||
ステップ 28 | [送信(Submit)] をクリックします。 |