仮想ネットワークの可視性と制御
[Visibility and Control]セクションでは、ネットワークの動作を監視し、ネットワークポリシーを設定できます。このページにアクセスするには、vSwitch Controllerインターフェイスの上部にある [Visibility and Control] アイコンを選択します。
注:
vSwitch Controllerは 8.1で廃止され、今後のリリースから削除されます。
状態の表示
[Status] タブでは、リソースツリーで選択したノードに関する詳細な情報がテーブル形式で表示されます。表示される情報のタイプは、選択したノードによって異なります。ほとんどの個別のテーブルエントリはリンクです。これらのリンクをクリックすると、そのテーブルエントリに適用されるステータスページを表示できます。
すべてのバイト数とエラー数は、 サーバーの再起動時、またはVMの再起動時や移行時にも加算され続けます。カラーコードは、サイドパネルのカラーコードと同じ規則に従います。「色分けされたアイコン」を参照してください。
グローバルレベル
グローバルレベルでは、すべてのリソースプールを表示したテーブルが[Status]ページに表示され、以下の情報を確認できます:
- Resource pool:リソースプールの名前。
- # Servers:プール内のサーバーの数。
- # Networks:プール内のネットワークの数。
- # VMs:プール内のVMの数。
- \Status:現在のプールの状態を示す色分けされたアイコン
行の右側にある歯車のアイコンをクリックすると、リソースプールを変更するオプションが表示されます。
このページでは、ポート構成ポリシーに使用できるターゲットVLANを指定することもできます。「ポート構成ポリシーの設定」を参照してください。
リソースプールレベル
選択したリソースプールの[Status]ページには、以下の情報が表示されます:
- Status:現在のプールの状態を示す色分けされたアイコン
- Pool Master:プール内のマスターサーバーのIPアドレスまたはDNS名
- Pool-Wide Networks:プール内のネットワークの数
- :プール内のサーバーの数
- All VMs:プール内のVMの数
- Server list:サーバー名、ネットワーク数、VM数、ステータスなどを含む、プール内のサーバーのリスト。
ステータス情報を確認するだけでなく、プール内のサーバーによるNetflowデータの転送方法を構成できます。必要に応じて以下のチェックボックスをオンにして、[Save Netflow Configuration]をクリックします:
- vSwitch Controller(デフォルトで選択):GUIの[Flow Statistics]セクションで使用されるNetflow情報をvSwitch Controllerに転送します。このチェックボックスをオフにすると、NetflowデータはvSwitch Controllerに送信されず、[Flow Statistics]ページにはデータが表示されません。
- External Netflow Controller:外部のサードパーティ製NetflowコレクターにNetflowデータを転送できます。外部のコレクターのIPアドレスを入力します。
フェールセーフモード
[Fail Mode] セクションで、vSwitch Controllerに接続できない場合のvSwitchのアクセス制御規則の適用方法を構成できます。データ損失を避けるために、vSwitch Controllerの可用性を高いレベルに維持することが重要です。vSwitch Controllerが利用できない場合、次の失敗モードが適用されます:
- Fail-open:すべてのトラフィックが許可され、以前定義したACLはvSwitchがvSwitch Controllerに再接続できるまで適用されません。
- Fail-safe:既存のACLが引き続き適用されます。
通常の動作では、vSwitchは構成済みのvSwitch Controllerとの接続を維持し、ネットワーク管理とステータス情報を交換します。vSwitch Controllerが使用できなくなると、vSwitchは、無操作状態によるタイムアウトでネットワークトラフィックが切断されるまで待機します。無操作状態によるタイムアウト後、vSwitchは構成されたフェールモードに入ります。
フェールセーフモードでは、vSwitchが構成済みのvSwitch Controllerへの接続を失った後は、既存のACLが引き続き適用されます。既存のACLと一致しないトラフィックは拒否されます。Controllerによって提示されるポリシー階層のどのレベルでも、vSwitchのVIFに関する規則のセットとしてすべてのACLが適用されます。その結果、Controllerが使用できないときにフェールセーフモードで表示される新しいVIFは、Controllerが再び使用可能になるまで通信できません。プラグを抜いてから再接続した既存のVIFは、新しいVIFと同じ動作をします。この状況は、通信を可能にする上位のACLポリシー規則(グローバル、リソース単位プール、ネットワーク単位、またはVM単位)が既存のVIFに存在する場合でも発生します。さらに、vSwitch Controllerは、学習したIPアドレスに基づいてACLを定義できます。フェールセーフモードでは、使用できなくなる前にVMに関連付けられていないControllerのIPアドレスでVMが送信したパケットは拒否されます。たとえば、新しいIPアドレスを使用する既存のVMは、Controllerが再び到達可能になるまで通信できません。フェールセーフモードでトラフィックが拒否されるその他の例を以下に示します:
- 新しく接続されたVIF
- 新しいVM
- 移行されたVM(例:ライブマイグレーションやワークロードバランス)
- プールに追加されたホスト上のVM
- ルーターのように動作するアプリケーション
vSwitchがフェールセーフモードで再起動し、vSwitchの起動後もControllerが使用できない場合は、すべてのACLが失われ、すべてのトラフィックが拒否されます。vSwitchは、Controllerとの接続が再確立され、ACLがControllerによってvSwitchまで引き下げられるまで、フェールセーフモードにとどまります。
警告:
フェールセーフモードでvSwitch Controllerの管理からリソースプールを削除すると、vSwitchがネットワーク接続を失い、緊急リセットの状況が発生する可能性があります。このような状況を回避するには、ステータスが緑色の間にリソースプールを削除するだけです。
このページのポート構成ポリシーに使用可能なターゲットVLANを指定することもできます。詳しくは、「ポート構成ポリシーの設定」を参照してください。
サーバーレベル
選択したサーバーの[Status]ページには、以下の情報が表示されます:
- Server Status:現在のサーバーのステータスを示す色分けされたアイコン。
- Server Networks:リソースプール内のネットワークの数。
- MAC Address:サーバー管理インターフェイスのMACアドレス。
- IP Address:サーバー管理インターフェイスのIPアドレス。
- vSwitch Version:こので実行中のvSwitchのビルドとバージョン番号。
- Server Networks:サーバーに関連付けられているすべてのネットワークのリスト。この情報には、以下が含まれます:
- そのネットワークを使用するサーバー上のVMの数
- 関連する物理インターフェイス
- VLAN
- 送受信されたバイト数
- エラーの数
- ステータス
- Server VMs:サーバーに関連付けられたすべてのVMのリスト。VM上の各VIFには、以下の情報も含まれます:
- MACアドレス
- ネットワーク
- IPアドレス
- VMが起動されてから送受信された合計バイト数
- ステータス
このページでは、ポート構成ポリシーに使用できるターゲットVLANを指定することもできます。「ポート構成ポリシーの設定」を参照してください。
ネットワークレベル
プール全体のネットワークの[Status]タブには、リソースプール内の各ネットワークに関する概要情報が表示されます。個々のネットワークの[Status]タブには、ネットワーク自体に関する情報が表示されます。このタブには、現在ネットワークに接続されている物理インターフェイスとVMインターフェイスに関するハイパーリンクテーブルが含まれています。
ステータスアイコンは、以下の色で表示できます:
- 緑色(ネットワークがアクティブで、vSwitch Controllerにより適切に管理されている場合)
- 赤色(接続されたインターフェイスがネットワークにない場合)
- オレンジ色(エラー状態がある場合)。関連するテキストでエラーが説明されています。
プール全体のネットワークの場合は、以下の情報が表示されます:
- Network name:特定のネットワーク。
- VMs:ネットワークに関連付けられたVMの数。
- :ネットワーク用サーバー。
- Physical Interface:ネットワークのサーバーインターフェイス。
- Transmit (Tx) and receive (Rx) packets:指定されたネットワーク上のすべてのVIF間で集計されたパケット数。
- Errors:指定したネットワーク上のすべてのVIF間で集計されたエラー数。
- Statsu:現在のネットワークを示す色分けされたアイコン。
選択したネットワークについて、以下の情報が表示されます:
- Network Status:現在のネットワークを示す色分けされたアイコン。
- VMs:ネットワークに関連付けられたVMの数。
- Physical interfaces:VLAN、送受信されたバイト数、エラー、ステータスなどを含む物理インターフェイスのリスト。
- Switching (サーバー間のプライベートネットワークのみ):ネットワークの現在アクティブなスイッチングホストを指定します。 サーバー間のプライベートネットワークは、物理ネットワークの追加構成を必要とせずに、同じリソースプール内の仮想マシン間の通信を可能にします。VMは異なるホスト上で実行できます。この機能は、「スイッチングホスト」がプール内の他の各ホストへのGREトンネルを確立することによって実現されます。GREトンネルはスタートポロジでセットアップされています。他のホストには、プライベートネットワーク上で実行中のアクティブなVMがあります。 スイッチングホストが使用できなくなるか削除されると、新しいスイッチングホストが自動的に選択され、新しいGREトンネルが設定されます。詳しくは、「ネットワーク」を参照してください。
- VM interfaces:MACアドレス、IPアドレス、送受信されたバイト数、ステータスなどを含むVMのリスト。
このページでは、ポート構成ポリシーに使用できるターゲットVLANを指定することもできます。詳しくは、「ポート構成ポリシーの設定」を参照してください。
仮想マシン(VM)レベル
すべてのVMについて、以下の情報が表示されます:
- VM name:特定のVMの名前。
- MAC address:VMに割り当てられたMACアドレス。
- Network name:VMが割り当てられているネットワーク。
- Detected IP address:VMに割り当てられたIPアドレス。
- Transmit (Tx) and receive (Rx) packets:指定されたVM上のすべてのVIF間で集計されたパケット数。
- Errors:指定したVM上のすべてのVIF間で集計されたエラー数。
選択したVMの[Status]ページには、以下の情報が表示されます:
- Status:現在のVMステータスを表示する色分けされたアイコン。
- Resource Pool:VMが属するリソースプール。
- Server Name:VMが割り当てられているサーバーの名前。この情報は、VMが実行されておらず特定のサーバーに関連付けられていない場合は、空白になります。
- VM Group Membership:VMが割り当てられている管理グループのリスト。
- VM interfaces:VM上のVIFのリスト。この情報には、以下が含まれます:
- MACアドレス
- ネットワーク名
- 検出されたIPアドレス
- 送受信バイト、パケット、エラー数
- ステータス
- Network Events:優先順位、日付/時刻、説明などを含む、VMに関連するネットワークイベントのリスト。
仮想インターフェイス(VIF)レベル
選択したVIFの[Status]ページには、以下の情報が表示されます:
- Status:現在のVIFステータスを示す色分けされたアイコン。
- Resource Pool:VIFが属するリソースプール。
- Network:VIFが属するネットワーク。
- VM Name:VIFが属するVM。
- MAC Address:VIFのMACアドレス。
- IP Address:VIFのIPアドレス。
- Transmit and Receive bytes, packets, and errors:VIFのトラフィック数。
- Switch Port ACL Statistics:送受信数とは異なり、ACLヒット数は、現在のvSwitchのACL規則統計から読み取られた即時統計です。そのため、ポリシーの変更や、停止、シャットダウン、移行などのVMアクションによって、これらの統計情報はリセットされます。 vSwitch ACL統計では、IPアドレスをネットワーク上で識別し、IPベースのプロトコルの統計を収集できるようにする必要があります。IPベースの規則に数値が表示されない場合は、IPアドレスのフィールドにIPアドレスが表示されているかを確認します。
フロー統計情報の表示
デフォルトでは、各管理対象上のvSwitchはNetflowデータをvSwitch Controllerに送信します。このControllerは、このデータを使用して[Flow Statistics]テーブルとチャートを生成します。vSwitchは、5秒間アクティビティがなかった、または60秒間の全アクティビティを集計した後、すべてのIPv4フローのNetflowレコードを生成します。
フローのデータレートは、フローが継続した期間の平均のフロー総トラフィックとして表されます。たとえば、フローが10秒間継続し、最初の1秒間に900KB送信され、残りの9秒間に10KB送信された場合、結果のデータレートはフロー期間全体で100KB/秒であるかのようにプロットされます。
Netflowは、スイッチとコレクター(vSwitch Controllerなど)の間でNetFlowレコードを転送するために、UDPデータグラムを使用します。NetFlowはUDPデータグラムを使用するため、NetFlowレコードが受信されなかった理由をコレクターが把握する方法は通常ありません。拒否されたレコードは、[Flow Statistics]テーブルまたはチャートで非決定性データになる場合があります。たとえば、1秒間に10回のフローを生成するネットワークで、10秒間継続する単一の1GBのファイル転送があるとします。このネットワークは、合計202のフロー(100のhping刺激、100のhping応答、1のファイル転送刺激、1のファイル転送応答)を生成します。UDPデータグラムの50%が拒否された場合、コレクターがデータを1GBと2KBのいずれかで報告する確率は50/50です。
プール内の各vSwitchはNetflowレコードを生成するため、異なるサーバーで実行された送信元と送信先は2つのレコードになり、統計の数値が倍になります。
NetFlowレコードを送信するために使用されるvSwitch Controller仮想アプライアンスおよびネットワークのオーバーロードを避けるために、100を超えるVM環境でフロー可視性を無効にします。
[Flow Statistics] タブには、選択したノードのフローを表示するためのグラフと関連テーブルが表示されます。
ページの上部にあるリストを使用して、以下を指定します:
- 方向:Bidirectional(送受信)、Inward(受信)、Outbound(送信)
- 単位:Bytes(バイト)、Bits(ビット)、Packets(パケット)、Flows(フロー)
- 以下のいずれかのグループのTop(上位)またはBottom(下位)の項目(最高値または最低値):
- VMs:リソースプール内に属しているトラフィックの送信元または送信先としてのVM
- IP Addresses:トラフィックの送信元または送信先としてのIPアドレス
- Protocols:ICMP、TCP、UDPなどのIPプロトコルトラフィック
注:
結果の生成に使用されるNetflowプロトコルを制限するため、イーサネットレイヤープロトコル(ARPなど)は表示されません。
- Application:TCP/UDPポートまたはICMPタイプ/コードで識別される「アプリケーション」レベルのプロトコルトラフィック
- Traffic(タイプ別):VM、IPアドレス、プロトコル、アプリケーション(プロトコルのタイプとポート番号で示されます。この情報によりサービスを推測できます)
- 時間間隔
グラフの下の表には、リストで選択されている項目のタイプに応じて、以下の情報の一部またはすべてが表示されます:
- 仮想マシン
- IP
- 受信バイト数
- 受信データレート(Kbit/秒)
- 送信バイト数
- 送信データレート(Kbit/秒)
- 合計バイト数
- 合計データレート(bps)
NetFlowがvSwitch Controllerに転送されていない場合は、[Flow Statistics]タブの下に青色の警告ステータステキストが表示されます:One or more selected pools are not configured to forward NetFlow records to vSwitch Controller
転送を再構成するには、この青色のステータステキストをクリックしてリソースプールのリストを表示します。リストから目的のリソースプールを選択して、プールステータスページに移動します。ステータスページから、NetFlowデータ転送を構成できます。
アドレスグループの管理
アドレスグループを設定して、ACLおよびフロー統計情報レポートの送信元または送信先として使用するIPアドレスを指定できます。
アドレスグループを追加するには:
- [Visibility & Control] で、サイドパネルにあるリソースツリーの [Address Groups] を選択し、すべてのアドレスグループの[Status]ページを開きます。
- [Create Group] をクリックします。
- グループを識別するための名前と、オプションの説明を入力します。
- [Create Group] をクリックします。新しいグループがアドレスグループのリストに追加されます。
- リソースツリーで新しいグループを選択して、その [Status] ページを開きます。
- [Add Members] ボタンをクリックします。
- ポップアップウィンドウで、1つまたは複数のIPアドレスやサブネット(コンマ区切り)を指定します。例:192.168.12.5、192.168.1.0/24
- [追加] をクリックします。必要に応じて、さらにネットワークを追加します。アドレスの各セットは、アドレスグループリストのネットワークの下にノードとして追加されます。
新しいアドレスグループは、ACLポリシーおよびフロー統計情報で使用できるようになりました。
このアドレスグループの[All Address Groups]行にある[Remove]リンクをクリックすると、既存のアドレスグループを削除できます。
また、グループの名前や説明を更新することもできます:
- リソースツリーで新しいグループを選択して、その [Status] ページを開きます。
- [Modify Group] ボタンをクリックします。
- 表示されるダイアログボックスで、名前と説明を変更します。
- [Modify Group] ボタンをクリックして、変更を保存します。
仮想マシングループの管理
VMグループは、ステータスとフローの統計情報を表示するための、グループとして識別されるVMセットです。VMグループ内の各VMは、すでにリソースプール内に存在している必要があります。それ以外は、グループはリソースプールとサーバーから独立しています。
VMグループを追加するには:
- [Visibility & Control] で、サイドパネルにあるリソースツリーの [VM Groups] を選択し、すべてのVMグループの[Status]ページを開きます。
- [Create Group]ボタンをクリックします。
- グループを識別するための名前と、オプションの説明を入力します。
- [Create Group] をクリックします。新しいグループがVMグループのリストに追加されます。
- リソースツリーで新しいグループを選択して、その [Status] ページを開きます。
- [Add Member] をクリックします。
- ポップアップウィンドウで、リストからVMを選択します。
- [追加] をクリックします。必要に応じて、さらにVMを追加します。各VMは、VMグループリストのグループの下にサブノードとして追加されます。
各VMグループでは、以下の右クリックオプションを使用できます:
- Add VM to group:新しいグループメンバーを追加します。
- Modify Name/Description:名前または説明を変更します。
- Remove Group:グループを削除します。
DVSポリシー構成階層
[Visitility & Control] 内の[Access Control and Port Configuration] タブを使用して、仮想マシン環境内のアクセス制御、QoS(サービス品質)、トラフィックミラーリングポリシーを構成します。すべてのポリシーはVIFレベルで適用されますが、vSwitch Controllerでは、VIFコレクション全体のデフォルトポリシーの宣言をサポートする階層型ポリシーモデルを使用します。また、vSwitch Controllerでは、必要に応じてきめ細かな例外を作成することにより、このデフォルトポリシーを上書きすることもできます。たとえば、デフォルトのリソースプールポリシーから特定のVMを除外できます。
リソースツリーで使用されている階層と同様に、ポリシー階層には以下のレベルがあります:
- Global(最も一般的なレベル):すべてのリソースプールにすべてのVIFが含まれます。
- Resource pools:特定のリソースプール内のすべてのVIF。
- Networks:特定のネットワークに接続されているすべてのVIF。
- VMs:特定のVMに接続されているすべてのVIF。
- VIF(最も具体的なレベル):単一のVIF。
注:
リソースプール内のがVMを実行しているかどうかにかかわらずポリシーが適用される必要があるため、サーバーはポリシー階層には含まれません。
アクセス制御ポリシーの設定
[Access Control] タブを選択して、パケット属性に基づいてVMトラフィックを許可または拒否するポリシーを設定します。
ACLポリシーは規則のセットで構成され、それぞれに以下の情報が含まれます:
- Action:規則に一致するトラフィックが許可される(Allow)か拒否される(Deny)かを示します。
- Protocol:規則が適用されるネットワークプロトコル。規則をすべてのプロトコル(Any)に適用、既存のプロトコルリストから選択、または、新しいプロトコルを指定できます。
- Direction:規則が適用されるトラフィックの方向。Read the text of the rules from left to right:「to」はVMからの送信トラフィックを意味し、「from」はVMへの受信トラフィックを意味します。
- Remote Addresses:規則が、リモートIPアドレスの特定のセットとの間のトラフィックに制限されているかどうかを示します。
ACLポリシーの管理は、リソースツリー階層に厳密に従います。サポートされている階層レベルでポリシーを指定できます。各レベルで、規則は以下のように整理されます:
- 必須規則:これらの規則は、子ポリシー規則の前に評価されます。これらに優先する唯一の規則は、親(あまり具体的ではない)ポリシーの必須規則です。必須規則は、子(より具体的な)ポリシーでは上書きできない規則を指定するために使用されます。
- 子規則:子ポリシープレースホルダーは、子ポリシーの規則が評価される順序における場所を示します。これにより、必須規則がデフォルトの規則と分類されます。
- デフォルトの規則:これらの規則は、すべての必須規則とすべての子ポリシーのデフォルトの規則の後に、最後に評価されます。これらの規則は、親ポリシーのデフォルトの規則に対してのみ優先されます。競合する動作がより具体的な子ポリシーで指定されていない場合にのみ適用される動作を指定するために、これらの規則を使用します。
グローバルアクセス制御リスト(ACL)規則
グローバルACL規則を設定するには、リソースツリーの [All Resource Pools] をクリックします。このページには、グローバルレベルで定義されているすべてのACL規則が表示されます。
リソースプールのアクセス制御リスト(ACL)規則
リソースプールのACL規則を設定するには、リソースツリーでリソースプールを選択します。
このページには、グローバルポリシーの展開可能なバーと、リソースプール規則の展開された領域が表示されます。[Expand All] ボタンをクリックすると、グローバルポリシーの枠内にリソースプール規則が組み込まれている様子を確認できます。
ネットワークアクセス制御リスト(ACL)規則
ネットワークレベルでACL規則を設定するには、リソースツリーでネットワークをクリックします。
このページには、以下の情報が表示されます:
- グローバル規則の展開可能なバー
- ネットワークが属するリソースプールの展開可能なバー
- ネットワーク規則の展開された領域
[Expand All] をクリックすると、リソースプールの枠内およびグローバルポリシーの枠内にネットワークポリシーが組み込まれている様子を確認できます。
VMアクセス制御リスト(ACL)規則
VMレベルでポリシーを設定するには、リソースツリーでVMをクリックします。
このページには、以下の情報が表示されます:
- グローバル規則の展開可能なバー
- VMが属するリソースプールとネットワークの展開可能なバー
- VM規則の展開された領域
[Expand All] ボタンをクリックすると、ネットワーク、リソースプール、グローバルの枠内にVM規則が組み込まれている様子を確認できます。
複数のネットワーク上にあるVIFがVMに含まれている場合、ネットワークのサンプルバーの右側に[Change Network] リンクが表示されます。このリンクをクリックすると、そのVM上のVIFに適用される可能性がある各ネットワークレベルポリシーの規則を表示できます。
VIFアクセス制御リスト(ACL)規則
VIFレベルでポリシーを設定するには、リソースツリーでVIFをクリックします。ポリシーはVIFレベルでのみパッケージ化され適用されるため、VIFページを表示してポリシーのすべてのコンテキストを表示する必要があります。
このページには、以下の情報が表示されます:
- グローバル規則の展開可能なバー
- VIFが属するリソースプール、ネットワーク、VMの展開可能なバー
- VIF規則の展開された領域
[Expand All] ボタンをクリックすると、VM、ネットワーク、リソースプール、グローバルの枠内にVIF規則が組み込まれている様子を確認できます。
アクセス制御リスト(ACL)規則の適用順序
ACLはポリシー構成階層のさまざまなレベルで定義できますが、ACLはVIF単位で適用されます。実際に適用される場合、このセクションで説明されている順序で階層が結合され、各VIFに適用されます。VIFおよび関連する統計情報に現在適用されている規則を確認するには、リソースツリーでVIFを選択します。[Status]タブでACLリストを表示します。
適用順序は以下のとおりです:
- グローバルレベルでの必須規則
- VIFを含むリソースプールの必須規則
- VIFを含むネットワークの必須規則
- VIFを含むVMの必須規則
- VIFを含むVIFの規則
- VIFを含むVMのデフォルト規則
- VIFを含むネットワークのデフォルト規則
- VIFを含むリソースプールのデフォルト規則
- VIFを含むグローバルのデフォルト規則
一致する最初の規則が実行され、それ以外の規則は評価されません。
注:
vSwitch Controllerが使用できない場合、リソースプールは構成済みのフェールモードに基づいてアクセス制御規則を適用します。リソースプールのフェールモードについて詳しくは、「ステータスの表示」の「リソースプールレベル」セクションを参照してください。
アクセス制御リスト(ACL)規則の定義
新しいACL規則を定義するには、リソースツリーを使用して、ポリシー構成階層の適切なレベルにあるノードを選択します。レベルごとに、そのレベルおよび上位のレベルの規則を追加できます。たとえば、リソースプールを選択した場合は、そのリソースプールの規則とグローバル規則を追加できます。
ポリシー構成階層のレベルに対応していないリソースツリーノードを選択すると、メッセージが表示されます。このメッセージには、別のレベルを選択するためのリンクがあります。
新しい規則は、以下の方法で追加できます:
- 必須規則を追加するには、そのレベルのヘッダーバーにある歯車アイコンをクリックし、[Add New Mandatory ACL]を選択します。
- デフォルト規則を追加するには、そのレベルのヘッダーバーにある歯車アイコンをクリックし、[Add New Default ACL]を選択します。
- 既存の規則エントリの上に規則を追加するには、そのエントリの歯車アイコンをクリックし、[Add New ACL Above]を選択します。
- 既存の規則エントリの下に規則を追加するには、そのエントリの歯車アイコンをクリックし、[Add New ACL Below]を選択します。
次のデフォルト設定で新しいルールがページに追加されます:
- Action:Allow
- Protocol:Any
- Direction:To/From
- Remote Addresses:Any
- Description:None
規則内の特定のフィールドを変更するには、現在のフィールド値を表すリンクをクリックし、以下のリストの説明に従って変更を適用します。変更を適用すると、規則が更新されて値が表示されます。
- Action: リンクをクリックして [Change Action to Deny] または [Change Action to Allow] を選択します。
-
Protocol: 以下のオプションのいずれかをクリックして選択します:
- 規則をすべてのプロトコルに適用するには [Match Any Protocol] を選択します。
- プロトコルを指定するには [Use an Existing Protocol] を選択します。リストからプロトコルを選択し、[Use Protocol] をクリックします。
- カスタムプロトコル特性を指定するには [Use a New Protocol] を選択します。ポップアップウィンドウで以下の情報を指定し、[Save & Use]をクリックします:
- Ethertype:IPを選択するか、別のEthertypeを入力します。
- IP Protocol:リスト表示されたプロトコルのいずれかを選択するか、別のプロトコルを入力します。
- Destination Port(TCP/UDPのみ):ポート番号を入力するか、[Any] を指定します。
- Source Port(TCP/UDPのみ):ポート番号を入力するか、[Any] を指定します。ウェルノウンサーバーポートを使用するアプリケーションを定義する場合は、ウェルノウンポートをDestination Port(送信先ポート)に定義し、Source Port(送信元ポート)は [Any] のままにします。たとえば、ポート80を使用するHTTPをこのように定義できます。
- ICMP Type(ICMPのみ):[Any]を選択するか、特定のICMPタイプのプロトコル(ICMP)タイプを入力します。
- ICMP Code(ICMPのみ):[Any]を選択するか、特定のICMPコードを入力します。
- Match reply traffic:リターントラフィックが規則の一部として自動的に許可されるかどうかを示します。たとえば、VMから指定のリモートアドレスへのUDP送信先ポート7777トラフィックを規則で許可して[Match reply traffic]を選択している場合は、リモートアドレスの送信元ポート7777からVMへのUDPトラフィックも許可されます。双方向通信が必要なUDPプロトコルの場合は、このオプションを有効にします(このオプションはTCPの場合は常に有効になります)。
- One-time Use vs. Multiple Uses:このプロトコルを現在の規則に対してのみ使用するか、プロトコルメニューのプロトコルのリストに追加するかを選択します。
- 既に定義されたプロトコルの特性を変更するには、[View/Modify Current Protocol]を選択します。
- Direction: 指定のリモートアドレスをfrom(送信元)、to(送信先)、またはその両方として選択し、規則を適用します。
-
Remote Addresses: リモートアドレスを指定するには:
- [Any] リンクをクリックして、使用可能なアドレスグループを表示するポップアップウィンドウを開きます。
- 1つまたは複数のアドレスグループを選択し、矢印を使用して [Selected] 列にアドレスグループを移動します。
- [All] ボタンを使用して、すべてのグループを選択または選択解除します。
- 既存のアドレスグループの一部ではないIPアドレスまたはサブネットを指定するには、アドレスまたはサブネット(x.x.x.xまたはx.x.x.x/n)を入力します。[追加] をクリックします。アドレスの追加を繰り返します。
- [完了] をクリックします。
-
Description: 規則の説明テキストを追加するには:
- [Description] ボタンをクリックします。
- エントリをクリックします(現在説明がない場合は<None>)。 テキスト入力領域が表示されます。 テキストを入力し、キーを押します。Enter。
- Rule Details: [Rule Details] ボタンをクリックして、規則の概要を表示します。
[Save Policy Changes] をクリックして、新しい規則を適用します。適用すると、仮想ネットワーク環境内で変更が直ちに反映されます。ルールをまだ保存していない場合は、[変更を元に戻す]をクリックして名前を付けた変更を元に戻します。
ACLを変更すると、vSwitch Controller GUIのすべての背景の更新が一時停止します。別の管理者が同時にポリシーを変更して先に変更を確定した場合は、ページを更新してサーバーから新しいポリシーを取得します。その後、変更を再入力します。
規則の歯車アイコンをクリックして [Move Up] または [Move Down] を選択すると、1つのレベルで規則の順序を変更できます。階層内のレベル間で規則を移動することはできません。規則を削除するには、歯車アイコンをクリックして [Delete] を選択します。[Description] ボタンをクリックして、ACLの説明を表示します。または、[Rule] ボタンをクリックして、作成したACLの規則を表示します。
ACL規則は、ポリシー階層の上位に構成されている場合でも、常にVMの仮想インターフェイスの観点から解釈されます。この動作は、規則の[Remote Addresses]フィールドの意味を考えるときに重要になります。
たとえば、プール内のVMのIPアドレスが10.1.1.1の場合、VMに到達するトラフィックを防ぐために「IP 10.1.1.1に対するすべてのプロトコルを拒否する」というプール上の規則を想定することがあります。この動作は、VMが送信するときに各VMがこの規則を適用するため、リソースプール内の他のすべてのVMの場合に当てはまります。ただし、リソースプールの外部にあるマシンは、IPアドレス10.1.1.1のVMと通信できます。このように動作するのは、外部マシンの送信動作を制御する規則がないためです。また、IPアドレスが10.1.1.1のVMのVIFには、そのアドレスの送信トラフィックを拒否する規則がないためです。ただし、この規則はそのアドレスの受信トラフィックを拒否しません。
ポリシーの動作が予想できない場合は、すべてのポリシーレベルの規則セット全体が視覚化されている仮想インターフェイスの[Status]タブを表示します。
ポート構成ポリシーの設定
[Port Configuration] タブを使用して、VIFポートに適用するポリシーを構成します。以下のポリシータイプがサポートされています:
- QoS:QoS(Quality of Service:サービス品質)ポリシーは、DVSポートに接続されたVMの最大送信レートを制御します。
- Traffic Mirroring:RSPAN(Remote Switched Port Analyzer:リモートスイッチポートアナライザー)ポリシーは、トラフィック監視アプリケーションをサポートするために、VIF上で送受信されたトラフィックのVLANへのミラーリングをサポートします。
- Disable MAC address spoof check:MACアドレスなりすましチェックポリシーは、VIFからのトラフィックの発信に対してMACアドレスを適用するかどうかを制御します。vSwitch ControllerがVIFからのMACアドレス不明のパケットを検出すると、VIFからのパケットとそれ以降のすべてのトラフィックを拒否します。MACアドレスなりすましチェックポリシーは、デフォルトでオンになっています。Microsoft Windowsサーバーでネットワーク負荷分散などのソフトウェアを実行しているVIFでは、これらのポリシーを無効にします。
警告:
物理ネットワークと仮想ネットワークを正しく構成せずにRSPANを有効にすると、重大なネットワーク停止状態が発生する可能性があります。この機能を有効にする前に、「RSPANの構成」の指示を注意深く確認してください。
グローバル、リソースプール、ネットワーク、VM、およびVIFレベルでQoSおよびトラフィックミラーリングポートポリシーを構成できます。リソースツリーでノードを選択し [Port Configuration] タブを選択すると、階層内のそれぞれの親レベルの構成が表示されます。ただし、変更できるのは選択したポリシーレベルの構成のみです。たとえば、VMを選択すると、[Port Configuration]タブには、グローバル、リソースプール、ネットワークのレベルで構成された値が表示されます。このタブでは、仮想マシンレベルで値を変更できます。
特定レベルでの[QoS]と[Traffic Mirroring]の構成は、上位レベルの構成より優先されます。構成が優先された場合、その構成の [Port Configuration] タブに表示される上位の構成は、取り消し線付きで表示されます。たとえば、次の図は、リソースプールレベルの構成に優先するネットワークレベルのQoS構成を示しています。
ポートポリシーを構成するには、リソースツリーのノードを選択して [Port Configuration] タブを選択します。ポート構成ポリシーをサポートしていないノードを選択した場合、ポート構成をサポートしているノードへのリンクが記載されたメッセージが表示されます。
QoSの構成
QoSポリシーでは、以下のオプションを選択します:
- Inherit QoS policy from parent(デフォルト):より上位の(つまり、あまり具体的ではない)階層レベルからポリシーを適用します。このオプションは、グローバルレベルにはありません。
- Disable inherited QoS policy:より上位の(つまり、あまり具体的ではない)レベルで設定されたポリシーを無視して、選択したポリシーレベルに含まれるすべてのVIFがQoS構成を持たないようにします。
- Apply a QoS limit:レート制限(単位付き)とバーストサイズ(単位付き)を選択します。選択したポリシーレベルに含まれるすべてのVIFへのトラフィックを指定のレートに制限し、個々のバーストを指定のパケット数に制限します。
警告:
レート制限に対してバーストサイズを小さくしすぎると、VIFがそのレート制限に到達するだけの十分なトラフィックを送信できなくなります。この動作は、TCPなどの輻輳制御を行うプロトコルで特に発生しやすくなります。
バーストレートは少なくとも、ローカルネットワークのMTU(Maximum Transmission Unit:最大転送単位)より大きい数値である必要があります。
vSwitch Controllerが管理しているインターフェイスでQoSに不適切に低いバーストレートを設定すると、vSwitch Controllerとのすべての通信が失われる可能性があります。この通信ロスにより、緊急リセット状況に陥ります。
継承されないようにするには、VMレベルでQoSポリシーを無効にします。
[Save Port Configuration Changes] をクリックして変更を反映するか、[Undo Changes]をクリックして保存していない変更を削除します。ポリシーは保存後すぐに有効になります。
RSPANの構成
警告:
VLANを把握していないスイッチにサーバーが接続されている場合、または、RSPAN VLANをサポートするよう適切に構成されていない場合にRSPANを構成すると、トラフィックの重複やネットワークの停止状態を発生させることがあります。RSPAN機能を有効にする前に、ドキュメントと物理スイッチの構成を確認してください。複数の物理スイッチが関与する可能性がある階層の上位レベルでは、この確認が特に重要になります。
RSPANを有効にするには、以下に示す一連の手順が必要です:
RSPAN VLANの特定
RSPANがVIFで有効になっている場合、そのVIFのvSwitchは各パケットのコピーをそのVIFに対して、またはそのVIFから送信します。このvSwitchは、ターゲットVLANと呼ばれるVLAN値がタグ付けされたパケットのコピーを送信します。次に、管理者は、ターゲットVLANを使用するよう構成したスイッチポートに、監視を実行するホストを配置します。監視ホストのインターフェイスで無作為検出モードを使用する場合は、RSPANを使用する構成にしたVIFとの間で送受信されるすべてのトラフィックを確認できます。
ターゲットVLANを使用する物理ネットワークの構成
ネットワークの停止を避けるためには、物理ネットワークを正しく構成してRSPANトラフィックを把握することが極めて重要です。RSPANが有効なすべてのVIFに接続している物理スイッチインフラストラクチャが、ターゲットVLAN上のラーニングを無効化する構成にできる場合のみ、RSPANを有効にします。詳しくは、スイッチの製造元のドキュメントを参照してください。
また、ターゲットVLAN上で送信されるトラフィックは、各vSwitchから監視ホストに転送される必要があります。物理インフラストラクチャが1つの階層内に多くのスイッチを含んでいる場合、この転送を行うには、異なるスイッチ間でターゲットVLANをトランク接続する必要があります。詳しくは、スイッチの製造元のドキュメントを参照してください。
ターゲットVLANを使用するvSwitch Controllerの構成
RSPANポート構成用のVLAN IDを使用する前に、vSwitch Controllerに各ターゲットVLANについて知らせます。使用可能なターゲットVLAN IDを、リソースプール 、ネットワーク、またはサーバーのレベルで指定できます。階層内の1つのレベルに追加されたターゲットVLANは、そのレベル、およびその階層内のすべての下位レベルで、RSPANポート構成を構成する際に使用できます。ターゲットVLANを指定したレベルが正しいかどうかは、物理インフラストラクチャがターゲットVLANを把握できるようどれだけ幅広く構成したかによります。
使用可能なターゲットVLANを指定するには:
- [Visibility & Control] で、すべてのリソースプール、指定したリソースプール、指定したサーバー、または指定したネットワークの [Status] タブを開きます。
- [RSPAN Target VLAN IDs] 領域で、[+]をクリックし、VLAN IDを入力します。
- VLAN IDの追加を繰り返します。
- [Save Target VLAN Change] をクリックします。
このセクションで説明したとおり、VLANは[Port Configuration]タブで選択できます。
ポート構成を変更しVIFセット用にRSPANを有効化
[Port Configuration] タブ内でRSPANポリシーを構成するには、リソースツリーで適切なノードを選択し、以下からオプションを選択します:
- Inherit RSPAN policy from parent(デフォルト):次の上位の(つまり、あまり具体的ではない)階層レベルからポリシーを適用します。
- Disable inherited RSPAN policy:より上位の(つまり、あまり具体的ではない)レベルで設定されたポリシーを無視して、選択したポリシーレベルに含まれるすべてのVIFがRSPAN構成を持たないようにします。
- RSPAN traffic on VLAN:ターゲットVLANのリストからVLANを選択します。リストに表示されるターゲットVLANは、現在選択中のノードがあるポリシーレベルに構成されたVLANのみです。
MACアドレスなりすましチェックの構成
MACアドレスの適用を無効にするには、[MAC address spoof checking]を選択します。適用はVIF単位でのみ構成でき、継承や、親の構成より優先させることはできません。
変更の保存
[Save Port Configuration Changes] をクリックして変更を反映するか、[Undo Changes]をクリックして保存していない変更を削除します。ポリシーは保存後すぐに有効になります。