table of...
TRANSCRIPT
Table of Contents実習ラボの概要: HOL-1822-01-NET: VMware NSX: AWS のネイティブ ワークロードの保護 ...................................................................................................................................... 2
実習ラボのガイダンス ................................................................................................ 3モジュール 1: AWS マネジメント コンソールの概要 (15 分) .............................................. 9
はじめに ................................................................................................................. 10ソリューションの概要とラボの?証 ............................................................................. 11Amazon Web Services および NSX ソリューション コンポーネントの概要 .................17Amazon Web Services マネジメント コンソールへのアクセス ...................................19Amazon Web Services のインベントリの確認 .......................................................... 24まとめ .................................................................................................................... 29
モジュール 2: アプリケーション機能の?証 (15 分).......................................................... 30はじめに ................................................................................................................. 31セキュリティ ポリシーの確認.................................................................................... 32WordPress アプリケーションの?証 ........................................................................... 43アプリケーション環境のポート スキャンの実行........................................................... 48まとめ .................................................................................................................... 55
モジュール 3: NSX 管理コンポーネントの概要 (30 分) .................................................... 56はじめに ................................................................................................................. 57NSX Cloud Services Manager へのログイン ............................................................ 58構成?みの AWS アカウントとインベントリの確認 ....................................................... 62NSX Manager へのログイン .................................................................................... 68NSX Manager のユーザー インターフェイスの確認 .................................................... 71まとめ .................................................................................................................... 80
モジュール 4: NSX を使用したアプリケーションの保護 (60 分) .......................................81はじめに ................................................................................................................. 82Amazon Web Services に NSX Cloud Gateway を展開 ............................................84論理グループおよびファイアウォール ポリシーの作成 ................................................. 91インスタンスの Elastic Network Interfaces にタグを適用........................................127NSX エージェントのインストール ........................................................................... 141NSX の展開を?証................................................................................................... 154WordPress アプリケーションの動作確認 ................................................................. 164アプリケーション環境のセキュリティ スキャンを実行 ............................................... 172トラフィックの視認性 ............................................................................................ 178まとめ .................................................................................................................. 186
HOL-1822-01-NET-LT
Page 1HOL-1822-01-NET-LT
実習実習ラボの概要概要:HOL-1822-01-NET:
VMware NSX: AWS のネイティブ ワーークローードの保護保護
HOL-1822-01-NET-LT
Page 2HOL-1822-01-NET-LT
実習実習ラボのガイダンス注注: この実習実習ラボの所要時間所要時間は 120 分以上分以上を想定想定しています。1 回回のラボ時間時間あたり 2 ~ 3 モジューールを目安目安に学習学習してください。モジューールは相互相互に独立独立しているため、どのモジューールから開始開始することも、どの順序順序で実施実施することもできます。各各モジューールには、目次目次から直接移動直接移動できます。
目次目次を表示表示するには、実習実習ラボ マニュアルの右上右上の [目次目次] をクリックします。
サービスとしての VMware NSX (NSXaaS) は、Amazon Web Services (AWS) などパブリック クラウド環境のネットワークとセキュリティ ポリシーを抽象化し、管理する機能を提供します。
ここでは、最小限のセキュリティで AWS に展開されているアプリケーションを想定し、既存のAWS 仮想プライベート クラウド (VPC) に NSXaaS を適用することで、AWS で実行されているネイティブ EC2 インスタンスを NSX の管理とマイクロ セグメンテーションで保護する方法を学習します。
実習ラボのモジュール リスト:
• モジューール 1: AWS マネジメント コンソーールの概要概要(15 分) (基本レベル) このモジュールでは、AWS マネジメント コンソールにログインし、作成されたリソースのインベントリを確認します。
• モジューール 2: アプリケーーション機能機能の?証証(15 分) (基本レベル) このモジュールでは、構成?みのアプリケーション環境、アプリケーション機能、構成?みのセキュリティ ポリシーとその状態を?証する方法を確認します。
• モジューール 3: NSX 管理管理コンポーーネントの概要概要(30 分) (基本レベル) このモジュールでは、NSX Manager および NSX Cloud Services Manager の機能と構成について?明します。
• モジューール 4: NSX を使用使用したアプリケーーションの保護保護(60 分) (上級レベル) このモジュールでは、AWS 環境に展開された NSX のインストールを構成および?証し、WordPress アプリケーションを保護する方法を確認します。
実習実習ラボ責任者責任者:
• Brian Heili (システム エンジニア、米国米国)• Puneet Chawla (ソリューーション アーーキテクト、米国米国)
この実習ラボ マニュアルは、次のハンズオン ラボ ドキュメント サイトからダウンロードできます。
http://docs.hol.vmware.com
HOL-1822-01-NET-LT
Page 3HOL-1822-01-NET-LT
一部の実習ラボは、ほかの言語でも提供されています。ご自身の言語に設定し、ローカライズされたマニュアルを実習ラボで使用する手順については、次のドキュメントをご確認ください。
http://docs.hol.vmware.com/announcements/nee-default-language.pdf
免責事項免責事項
このセッションには、現在開発中現在開発中の製品機能製品機能が含含まれている場合場合があります。
この新新しいテクノロジーーに関関するセッションおよび概要概要は、VMware が市販製品市販製品にこれらの機能機能を搭載搭載することを確約確約するものではありません。
機能機能は?更更される場合場合があり、したがってどのような種類種類の契約書契約書、発注書発注書、販売契約書販売契約書にも含含まれてはならないものとします。
技術的技術的な問題問題とマーーケットの需要需要により、最終的最終的に出荷出荷される製品製品に影響影響する場合場合があります。
ここで述述べられたり、提示提示されたりする新新しいテクノロジーーまたは機能機能の価格価格とパッケーージングは、決定決定されたものではありません。
• 「これら機能は、現在開発中のものです。記述された機能は?更される場合があり、したがってどのような種類の契約書、発注書、または販売契約書にも含まれてはならないものとします。技術的な問題とマーケットの需要により、最終的に出荷される製品に影響する場合があります」
メイン コンソーールの表示位置表示位置
1. 図の赤枠で?まれた領域がメイン コンソールです。メイン コンソールの右側のタブには、実習ラボ マニュアルが表示されます。
2. 実習ラボによっては、左上のタブに別のコンソールが用意されていることがあります。その場合、実習ラボ マニュアルの?明に従って、指定されたコンソールを開いてください。
3. 実習ラボを開始すると、90 分のタイマーが表示されます。このラボで行った作業内容は保存できません。すべての作業は、実習ラボ セッション内に完了してください。必要であれば、[延長] をクリックして時間を延長できます。VMware イベントでご使用の場合は、実習ラボの時間を 2 回まで、最大 30 分延長できます。[延長] を 1 回クリックするごとに、時間が 15 分間延長されます。VMware イベント以外でご使用の場合は、実習ラボの時間を最大 9 時間 30 分延長できます。[延長] を 1 回クリックするたびに、時間が 1 時間延長されます。
キーーボーード以外以外の方法方法によるデーータ入力入力
このモジュールでは、メイン コンソールでテキストを入力します。複?なデータを入力する場合、キーボードから直接入力する以外に、次の 2 つの方法があります。
HOL-1822-01-NET-LT
Page 4HOL-1822-01-NET-LT
クリック アンド ドラッグによるコピーー
実習ラボ マニュアルに記載されているテキストやコマンド ライン インターフェイス (CLI) のコマンドをクリック (選?) し、メイン コンソールのアクティブ ウィンドウまで直接ドラッグできます。
オンラインの国際国際キーーボーードを使用使用
キーボード配列によっては、特定の文字や記号が入力しにくいことがあります。そのような場合、メイン コンソールに、オンラインの国際キーボードを表示して使用すると便利です。
1. 国際キーボードを表示するには、Windows のクイック起動タスク バーで、キーボードのアイコンをクリックします。
<div class="player-unavailable"><h1 class="message">An error occurred.</h1><div class="submessage"><ahref="http://www.youtube.com/watch?v=xS07n6GzGuo" target="_blank">Try watching this video on www.youtube.com</a>, or enableJavaScript if it is disabled in your browser.</div></div>
HOL-1822-01-NET-LT
Page 5HOL-1822-01-NET-LT
アクティブなコンソーール ウィンドウをクリック
この例では、E メール アドレスで使用される 「@」 記号をオンライン キーボードから入力します。US 配列のキーボードで 「@」 記号を入力するには、<Shift> + <2> キーを押します。
1. アクティブなコンソール ウィンドウを 1 回クリックします。2. <Shift> キーをクリックします。
<@> キーーをクリック
1. <@> キーをクリックします。
アクティブなコンソール ウィンドウに 「@」 記号が入力されました。
HOL-1822-01-NET-LT
Page 6HOL-1822-01-NET-LT
Windows アクティベーーションに関関するウォーーターーマーーク
実習ラボを初めて開始すると、Windows のライセンス認証が完了していないことを知らせるウォーターマーク (透かし) がデスクトップに表示される場合があります。
仮想化の大きなメリットの 1 つは、仮想マシンを任意のプラットフォームに移動して実行できることです。ハンズオン ラボも、このメリットを活用して複数のデータセンターから実行できるようになっています。ただし、データセンターによってプロセッサーのタイプが異なることがあり、そのような場合、インターネット?由で Microsoft 社のアクティベーション チェックが行われます。
VMware とハンズオン ラボは Microsoft 社のライセンス要件に完全に準?しているので、安心してご利用ください。この実習ラボは自己完結型ポッドであり、Windows のアクティベーション チェックに必要なインターネットへのフル アクセス?限がありません。インターネットへの完全なアクセスがないと、この自動プロセスは失敗し、このようなウォーターマークが表示されます。
これは表面上の問題であり、実習ラボには影響しません。
HOL-1822-01-NET-LT
Page 7HOL-1822-01-NET-LT
画面右下画面右下でラボの準備完了準備完了を確認確認
画面の右下の [Lab Status] にラボの準備状況が表示されます。表示が [Ready] になってから、学習を開始してください。[Ready] になるまで数分間かかります。5 分?過しても [Ready] にならない場合は、サポートにお問い合わせください。
HOL-1822-01-NET-LT
Page 8HOL-1822-01-NET-LT
モジューール 1: AWS マネジメント コンソーールの概要概要 (15
分分)
HOL-1822-01-NET-LT
Page 9HOL-1822-01-NET-LT
はじめにNSX の管理プレーン コンポーネントと制御プレーン コンポーネントに加えて、2 層の WordPressアプリケーションが Amazon Web Services でプロビジョニングされています。コンポーネントのインベントリを詳しく見ていきましょう。
このモジュールは次のレッスンで構成されています。
• 実習ラボの概要と?証• Amazon Web Services および NSX ソリューション コンポーネントの概要• Amazon Web Services マネジメント コンソールへのアクセス• Amazon Web Services のインベントリの確認
HOL-1822-01-NET-LT
Page 10HOL-1822-01-NET-LT
ソリューーションの概要概要とラボの?証証この実習ラボには、後のレッスンで必要になる多くの事前設定?みの項目が含まれています。構成されたソリューションの概要および構成されたラボ環境の機能について?明します。
次の構成について?明します。
• 実習ラボのトポロジー• ラボのプロビジョニングのステータス• アドレスとアカウント情報
ソリューーションの概要概要
企業がワークロードをパブリック クラウド プロバイダーへ移行する場合、ネイティブ ワークロードを実行しつつ、SDDC ネットワークとセキュリティ ポリシーをこれらの環境に?張する方法が必要になります。NSX をパブリック クラウドに導入することで、エンタープライズ セキュリティ、コンプライアンス、ガバナンスを?張できるようになります。
NSX は、企業がパブリック クラウド環境で直面する、ネットワークとセキュリティに関する重要な課題に?するソリューションを提供します。
• 一貫性一貫性のないネットワーークおよびセキュリティ ポリシーー: NSX では、UI と API の単一のエントリー ポイントにより、複数のパブリック クラウドにわたり一貫した構成およびポリシーを提供します。
• クラウド固有固有のセキュリティ ポリシーー: クラウド プロバイダーにはそれぞれ独自の要件があり、仮想環境、地域、クラウド間にまたがることのない静的なポリシー定義がある場合があります。NSX では、仮想マシンの属性に基づいた動的セキュリティ ポリシーをサポートしています。これは、環境、地域、およびパブリック クラウド間にまたがって使用できます。
• トラフィックの視認性視認性の欠如欠如: NSX では、syslog、IPFIX、ポート ミラーリングなど広く採用されているテクノロジーにより、トラフィックの視認性が提供されます。パブリッククラウド環境でも、Traceflow などの既存の NSX ツールを引き続き使用できます。
• 運用運用ツーールとプロセス: NSX で動作する既存のツールやプロセスは、さまざまなパブリック クラウドで活用でき、運用の一貫性を提供します。
HOL-1822-01-NET-LT
Page 11HOL-1822-01-NET-LT
ソリューーションのコンポーーネント
このソリューションは、次のコンポーネントで構成されています。それぞれのコンポーネントについては、各レッスンで?明します。
• 統合管理統合管理プレーーン: NSX Manager と NSX Cloud Services Manager• 統合制御統合制御プレーーン: NSX Controller• クラウド ゲーートウェイ: NSX クラウド ゲートウェイ• デーータ プレーーン: 各 AWS EC2 インスタンスにインストールされた NSX エージェント• パブリック クラウド インフラストラクチャ: Amazon Web Services のパブリック クラウド インフラストラクチャおよびハイパーバイザー
HOL-1822-01-NET-LT
Page 12HOL-1822-01-NET-LT
実習実習ラボのトポロジーー
このラボでプロビジョニングされ、各レッスンで使用される環境は、この図のとおりです。この環境を使用して、開発者が Amazon Web Services (AWS) で 2 層の WordPress アプリケーションを展開するシナリオに沿って実習を行います。この環境には、Elastic Load Balancer などのAWS のネイティブ機能を使用した、2 つの Web サーバー間のロードバランシングが含まれています。このアプリケーションの導入では、企業基準を?足させるセキュリティ ポリシーが欠けています。そのため、NSX を使用して一貫性のあるポリシーをアプリケーション環境に適用する必要があります。
HOL-1822-01-NET-LT
Page 13HOL-1822-01-NET-LT
パブリック クラウドへの NSX の導入には、1 個の管理 VPC と 1 個以上のコンピューティングVPC が必要です。NSX 統合管理プレーン コンポーネント (NSX Manager と Cloud ServicesManager) および統合制御プレーン (NSX Controller) コンポーネントは事前構成されています。
ラボのプロビジョニング ステーータス表示表示のペーージ
ラボのプロビジョニングのうち、AWS の部分は進行中です。ステータス確認の Web ページで、このラボ環境のスタートアップとして AWS でプロビジョニングされるラボ リソースの状態を確認できます。
注: Amazon Web Services でプロビジョニングされたリソースは、HOL 環境のメイン コンソールからのみアクセスできます。
このラボのプロビジョニングには 10 ? 15 分分かかります。
Google Chrome を開開く
1. Windows のクイック起動タスク バーで Chrome アイコンをクリックします。
HOL-1822-01-NET-LT
Page 14HOL-1822-01-NET-LT
アカウント情報情報のペーージ
Chrome のスタートページは、アカウント情報およびラボのプロビジョニング ステータスを表示するページに設定されています。
1. [Email Address] フィールドに、ラボへの登?時に使用したメール アドレスを入力します。2. [Password] フィールドに 「VMware1!」 と入力します。3. [Login] をクリックします。
HOL-1822-01-NET-LT
Page 15HOL-1822-01-NET-LT
ラボのプロビジョニングの完了完了
プロビジョニングのプロセスが完了すると、AWS のアカウント情報のページが表示されます。この処理処理には、10 ? 15 分分かかる場合場合があります。ラボ モジュールを進める間、このページをときどき確認してください。
HOL-1822-01-NET-LT
Page 16HOL-1822-01-NET-LT
Amazon Web Services および NSX ソリューーション コンポーーネントの概要概要ラボ環境で構成された Amazon Web Services および NSX コンポーネントを確認します。
管理管理 VPC
AWS の管理 VPC では、次のコンポーネントが構成されています。
AWS のサービス
• インターネット ゲートウェイ• 管理サブネット• ルート テーブル• コンピューティング VPC との VPC ピアリング• AWS セキュリティ グループ
NSX のコンポーネント
• NSX Manager インスタンス• NSX Cloud Services Manager インスタンス• NSX Controller インスタンス
HOL-1822-01-NET-LT
Page 17HOL-1822-01-NET-LT
コンピューーティング VPC
AWS のコンピューティング VPC では、次のコンポーネントが構成されています。
AWS のサービス
• インターネット ゲートウェイ• アップリンク サブネット• 管理サブネット• ダウンリンク サブネット• ルート テーブル• 管理 VPC との VPC ピアリング• AWS セキュリティ グループ
2 層 WordPress アプリケーションのコンポーネント
• nmap-01a インスタンス• wordpress-web-01a インスタンス• wordpress-web-02a インスタンス• wordpress-db-01a インスタンス• Web インスタンスの Elastic Load Balancer
図に示されている NSX Cloud Gateway は、このあとのラボ演習で展開します。
HOL-1822-01-NET-LT
Page 18HOL-1822-01-NET-LT
Amazon Web Services マネジメント コンソーールへのアクセスこのラボでは、すべてのアプリケーションおよび NSX コンポーネントのインスタンスを AmazonWeb Services で実行します。ラボの実習中に、インベントリと構成を確認するために AWS マネジメント コンソールにアクセスする必要があります。このレッスンでは、AWS マネジメント コンソールへのアクセス方法を学習します。
AWS マネジメント コンソーールにアクセス
1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。
HOL-1822-01-NET-LT
Page 19HOL-1822-01-NET-LT
AWS マネジメント コンソーールの URL を開開く
1. [Console URL] をクリックし、新しいブラウザー タブで AWS マネジメント コンソールに接続します。
AWS マネジメント コンソーールにログイン
1. AWS マネジメント コンソールのユーザー名フィールドに 「vmware_hol_user」 と入力します。
2. AWS マネジメント コンソールのパスワード入力フィールドに 「VMware1!!」 と入力します(感嘆符感嘆符の数数に注意注意)。
3. [Sign In] ボタンをクリックします。
HOL-1822-01-NET-LT
Page 20HOL-1822-01-NET-LT
AWS マネジメント コンソーール
AWS マネジメント コンソールのページが表示されます。
HOL-1822-01-NET-LT
Page 21HOL-1822-01-NET-LT
ブラウザーーのズーーム
ラボの各画面を見やすくするため、Chrome のズーム設定を 90 % 以下に縮小することをおすすめします。
1. ブラウザーの右上隅にあるメニュー アイコンをクリックして、ドロップダウン メニューを開きます。
2. [Zoom] の横にある [-] をクリックして、90 % に設定します。
HOL-1822-01-NET-LT
Page 22HOL-1822-01-NET-LT
リーージョンを選選?
コンソールで表示するリソースが、北カリフォルニアのリージョンのものであることを確認します。
1. 右上の [Support] の左にあるリージョン名をクリックします。2. [US West (N. California)] を選?します。
HOL-1822-01-NET-LT
Page 23HOL-1822-01-NET-LT
Amazon Web Services のインベントリの確確認認
このレッスンでは、ソリューションの一部に含まれる Amazon Web Services および NSX のコンポーネントについて学習します。
• 仮想プライベート クラウド• ピアリング接続• AWS セキュリティ グループ• EC2 インスタンス (2 層 WordPress アプリケーションと NSX コンポーネント)• AWS Elastic Load Balancer
注意注意: AWS のインベントリ画面画面には、削除削除、終了終了、切断切断など、本書本書のスクリーーンショットとは異異なる項目項目が表示表示される場合場合があります。これらは以前以前のラボ環境環境からは削除削除されたものの、AWSの UI には残残っている項目項目です。
構成構成?みの仮想仮想プライベーート クラウドを確認確認
1. AWS マネジメント コンソールの左上にある [Services] をクリックします。2. [Network & Content Delivery] の下にある [VPC] をクリックします。
HOL-1822-01-NET-LT
Page 24HOL-1822-01-NET-LT
ダッシュボーードの VPC をクリック
1. 左の [VPC Dashboard] のすぐ下にある [Your VPCs] をクリックします。
構成構成?みの VPC を確認確認
この AWS リージョンで構成?みの VPC は、複数あります。具体的には、管理プレーン コンポーネントと制御プレーン コンポーネント用の管理 VPC と、アプリケーション インスタンスが展開されているコンピューティング VPC です。VPC ID はラボ ポッドごとに異なります。
ピアリング接続接続をクリック
1. 左の [VPC Dashboard] の下にある [Peering Connections] をクリックします。
HOL-1822-01-NET-LT
Page 25HOL-1822-01-NET-LT
構成構成?みのピアリング接続接続を確認確認
アクティブな VPC ピアリング接続を、管理 VPC とコンピューティング VPC との間に構成することで、VPC 間でトラフィックが流れます。
[Security Groups] をクリック
1. 左の [Security] の下にある [Security Groups] をクリックします。
構成構成?みのセキュリティ グルーープを確認確認
EC2 インスタンスが通信できるように、管理 VPC とコンピューティング VPC で使用するセキュリティ グループが構成されています。
EC2 をクリック
1. AWS マネジメント コンソールの左上にある [Services] をクリックします。2. [Compute] のすぐ下にある [EC2] をクリックします。
HOL-1822-01-NET-LT
Page 26HOL-1822-01-NET-LT
[Instances] をクリック
1. 左の [EC2 Dashboard] の下にある [Instances] をクリックします。
NSX EC2 インスタンスを確認確認
NSX ソリューションを構成する 3 つの EC2 インスタンスが実行されています。
• nsxmgr-01a: NSX Manager• nsxc-01a: NSX 統合制御統合制御プレーーン• nsxcsm-01a: NSX Cloud Services Manager
WordPress アプリケーーションの EC2 インスタンスを確認確認
実行中のインスタンスには、2 層の WordPress アプリケーションを構成する 4 つの EC2 インスタンスと、このラボで後ほどセキュリティ スキャンに使用する nmap のインスタンスがあります。
• WordPress Web サーーバーー (2)• MySQL デーータベーース サーーバーー• nmap セキュリティ スキャン
HOL-1822-01-NET-LT
Page 27HOL-1822-01-NET-LT
構成構成?みのローード バランサーーを表示表示
1. 左の [Load Balancing] の下にある [Load Balancers] をクリックします。表示されていない場合は下にスクロールしてください。
Web ローード バランサーー
アプリケーション展開の一環として、Web 層のインスタンスに使用するロードバランサーが作成されています。後ほどアプリケーション機能を?証する際に、このロードバランサーが動作していることを確認します。
HOL-1822-01-NET-LT
Page 28HOL-1822-01-NET-LT
まとめモジュール 1 はこれで終了です。ここでは、Amazon Web Services に展開されたソリューションのコンポーネントを確認し、AWS マネジメント コンソールにログインして、AWS インベントリを確認しました。
これで、モジューール 1 は終了終了です
モジュール 2 の 「アプリケーション機能の?証」 に進んでください。または、ほかの興味のあるモジュールに進むこともできます。
• モジューール 1: AWS マネジメント コンソーールの概要概要(15 分) (基本レベル) このモジュールでは、AWS マネジメント コンソールにログインし、作成されたリソースのインベントリを確認します。
• モジューール 2: アプリケーーション機能機能の?証証(15 分) (基本レベル) このモジュールでは、構成?みのアプリケーション環境、アプリケーション機能、構成?みのセキュリティ ポリシーとその状態を?証する方法を確認します。
• モジューール 3: NSX 管理管理コンポーーネントの概要概要(30 分) (基本レベル) このモジュールでは、NSX Manager および NSX Cloud Services Manager の機能と構成について?明します。
• モジューール 4: NSX を使用使用したアプリケーーションの保護保護(60 分) (上級レベル) このモジュールでは、AWS 環境に展開された NSX のインストールを構成および?証し、WordPress アプリケーションを保護する方法を確認します。
HOL-1822-01-NET-LT
Page 29HOL-1822-01-NET-LT
モジューール 2: アプリケーーション機能機能の?証証 (15 分分)
HOL-1822-01-NET-LT
Page 30HOL-1822-01-NET-LT
はじめにこのラボ シナリオでは、アプリケーション開発者によって、2 層の WordPress アプリケーションがすでに Amazon Web Services に展開されています。このアプリケーション インスタンスの脆弱性を利用しようとするハッカーをシミュレートするため、さらに別のインスタンスも AWS に展開されています。
このモジュールは次のレッスンで構成されています。
• セキュリティ ポリシーの確認• WordPress アプリケーションの?証• アプリケーション環境のポート スキャンの実行
アプリケーーション図図
HOL-1822-01-NET-LT
Page 31HOL-1822-01-NET-LT
セキュリティ ポリシーーの確認確認WordPress アプリケーションの展開時に開発者によって設定され、アプリケーションに適用されているセキュリティ ポリシーを確認します。NSX が展開されていないため、Amazon WebServices で構成されたセキュリティ ポリシーが適用されています。
Google Chrome を開開く
1. Windows のクイック起動タスク バーで Chrome アイコンをクリックします。
HOL-1822-01-NET-LT
Page 32HOL-1822-01-NET-LT
アカウント情報情報のペーージ
Chrome のスタートページは、アカウント情報およびラボのプロビジョニング ステータスを表示するページに設定されています。前のレッスンからの続きで、すでにアカウント情報のタブが開いている場合は、そのまま次のステップへ進んでください。
1. [Email Address] フィールドに、ラボへの登?時に使用したメール アドレスを入力します。2. [Password] フィールドに 「VMware1!」 と入力します。3. [Login] をクリックします。
HOL-1822-01-NET-LT
Page 33HOL-1822-01-NET-LT
ラボのプロビジョニングの完了完了
プロビジョニングのプロセスが完了すると、AWS のアカウント情報のページが表示されます。この処理処理には、10 ? 15 分分かかる場合場合があります。ラボ モジュールを進める間、このページをときどき確認してください。
HOL-1822-01-NET-LT
Page 34HOL-1822-01-NET-LT
AWS マネジメント コンソーールの URL を開開く
1. [Console URL] をクリックし、新しいブラウザー タブで AWS マネジメント コンソールに接続します。
HOL-1822-01-NET-LT
Page 35HOL-1822-01-NET-LT
AWS マネジメント コンソーールにログイン
1. AWS マネジメント コンソールのユーザー名フィールドに 「vmware_hol_user」 と入力します。
2. AWS マネジメント コンソールのパスワード入力フィールドに 「VMware1!!」 と入力します(感嘆符感嘆符の数数に注意注意)。
3. [Sign In] ボタンをクリックします。
HOL-1822-01-NET-LT
Page 36HOL-1822-01-NET-LT
ブラウザーーのズーーム
ラボの各画面を見やすくするため、Chrome のズーム設定を 90 % 以下に縮小することをおすすめします。
1. ブラウザーの右上隅にあるメニュー アイコンをクリックして、ドロップダウン メニューを開きます。
2. [Zoom] の横にある [-] をクリックして、90 % に設定します。
HOL-1822-01-NET-LT
Page 37HOL-1822-01-NET-LT
リーージョンを選選?
コンソールで表示するリソースが、北カリフォルニアのリージョンのものであることを確認します。
1. 右上の [Support] の左にあるリージョン名をクリックします。2. [US West (N. California)] を選?します。
HOL-1822-01-NET-LT
Page 38HOL-1822-01-NET-LT
EC2 ダッシュボーードへ移動移動
1. AWS マネジメント コンソールの左上にある [Services] をクリックします。2. [Compute] のすぐ下にある [EC2] をクリックします。
展開展開?みのインスタンスへ移動移動
1. 左の [EC2 Dashboard] の下にある [Instances] をクリックします。
HOL-1822-01-NET-LT
Page 39HOL-1822-01-NET-LT
wordpress-web-01a インスタンスを選選?
1. [wordpress-web-01a] インスタンスを選?します。
インバウンド ルーールを開開く
1. インスタンスを選?し、画面の下部に表示される [Description] タブで [view inboundrules] をクリックします。このインスタンスには、コンピューティング VPC 用のデフォルトの AWS セキュリティ グループが設定されています。
HOL-1822-01-NET-LT
Page 40HOL-1822-01-NET-LT
構成構成?みの AWS のセキュリティ ポリシーーを確認確認
このインスタンスに適用されているポリシーが一覧表示されます。HOL メイン コンソールからのWeb トラフィックおよび SSH トラフィックが許可されています (送信元 IP 範?はこの例と異なる場合があります)。AWS の VPC 環境内で発生する、アプリケーション インスタンス間のすべてのトラフィックが許可されています。
wordpress-db-01a インスタンスを選選?
1. [wordpress-db-01a] インスタンスを選?します。よく似た [wordpress-web-01a] を誤って選?しないように注意してください。
インバウンド ルーールを開開く
HOL-1822-01-NET-LT
Page 41HOL-1822-01-NET-LT
1. インスタンスを選?し、画面の下部に表示される [Description] タブで [view inboundrules] をクリックします。このインスタンスにも、コンピューティング VPC 用のデフォルトの AWS セキュリティ グループが設定されています。
構成構成?みの AWS のセキュリティ ポリシーーを確認確認
このインスタンスに適用されているポリシーが一覧表示されます。wordpress-web-01a インスタンスと同?に、HOL メイン コンソールからの Web トラフィックおよび SSH トラフィックが許可されています (送信元 IP 範?はこの例と異なる場合があります)。AWS の VPC 環境内で発生する、アプリケーション インスタンス間のすべてのトラフィックが許可されています。
HOL-1822-01-NET-LT
Page 42HOL-1822-01-NET-LT
WordPress アプリケーーションの?証証2 層の WordPress アプリケーションが、アプリケーション開発者によって Amazon WebServices に展開?みです。NSX を使用したアプリケーション保護については、後ほどのレッスンで?明します。ここでは、NSX より前の段階のアプリケーション機能について確認します。
AWS マネジメント コンソーールにアクセス
1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。
WordPress のアプリケーーション情報情報を確認確認
1. [WordPress Application Elastic Load Balancer DNS Name] のリンクをクリックし、新しいブラウザー タブで WordPress アプリケーションに接続します。
HOL-1822-01-NET-LT
Page 43HOL-1822-01-NET-LT
WordPress アプリケーーションが機能機能していることを確認確認
WordPress アプリケーションが機能していることを確認します。ページに表示されているサーバーの IP アドレスに注目します。ブラウザーの再読み込みを数回行って、Web サーバーの IP アドレスが切り替わることを確認します (172.16.10.10 と 172.16.10.11 など)。
アカウント情報情報のペーージを開開く
1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。
Web サーーバーーの情報情報を確認確認
1. [Wordpress-web-01a Instance Public IP Address] を確認し、これを使ってインスタンスにログインします。
HOL-1822-01-NET-LT
Page 44HOL-1822-01-NET-LT
メイン コンソーールで PuTTY を起動起動
1. Windows のクイック起動タスク バーで [PuTTY] アイコンをクリックします。
wordpress-web-01a インスタンスの IP アドレスを入力入力
1. wordpress-web-01a インスタンスの IP アドレスを入力します。2. [Open] をクリックします。
接続接続を確認確認
インスタンスに初めて接続するとき、接続先の了承を求める警告ダイアログが表示されます。
1. [Yes] をクリックします。
wordpress-web-02a インスタンスへの接続接続をテスト
1. 次のコマンドを入力し、wordpress-web-01a と wordpress-web-02a のインスタンス間の接続をテストします。
ping -c 5 172.16.10.11
HOL-1822-01-NET-LT
Page 45HOL-1822-01-NET-LT
インスタンス間間のアクセスを確認確認
AWS のセキュリティ ポリシーによりインスタンス間のすべてのトラフィックが許可されているため、ping は成功します。
wordpress-db-01a インスタンスへの接続接続をテスト
1. 次のコマンドを入力し、wordpress-web-01a と wordpress-db-01a のインスタンス間の接続をテストします。
ping -c 5 172.16.10.20
HOL-1822-01-NET-LT
Page 46HOL-1822-01-NET-LT
インスタンス間間のアクセスを確認確認
AWS のセキュリティ ポリシーによりインスタンス間のすべてのトラフィックが許可されているため、ping は成功します。
HOL-1822-01-NET-LT
Page 47HOL-1822-01-NET-LT
アプリケーーション環境環境のポーート スキャンの実行実行未知のハッカーをシミュレートするため、nmap が実行できる Ubuntu Linux インスタンスを構成し、Amazon Web Services のアプリケーション環境のポート スキャンを行えるようにしてあります。これから、アプリケーション インスタンスが展開されている IP サブネットのスキャンを行い、開いているポートを??します。
nmap インスタンスにログイン
1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。
HOL-1822-01-NET-LT
Page 48HOL-1822-01-NET-LT
nmap-01a 情報情報を確認確認
1. [nmap-01 instance Public IP Address] を確認し、これを使って nmap ポート スキャナー インスタンスにログインします。
PuTTY を起動起動
1. Windows のクイック起動タスク バーで [PuTTY] アイコンをクリックします。以前のPuTTY セッションが開いている場合は、そのウィンドウの左隅上の [PuTTY] アイコンをクリックし、[New Session] を選?します。
HOL-1822-01-NET-LT
Page 49HOL-1822-01-NET-LT
nmap-01a インスタンスの IP アドレスを入力入力
1. nmap-01a インスタンスの IP アドレスを入力します。2. [Open] をクリックします。
HOL-1822-01-NET-LT
Page 50HOL-1822-01-NET-LT
接続接続を確認確認
インスタンスに初めて接続するとき、接続先の了承を求める警告ダイアログが表示されます。
1. [Yes] をクリックします。
HOL-1822-01-NET-LT
Page 51HOL-1822-01-NET-LT
アプリケーーションの IP サブネット範範?の nmap スキャンを実行実行
1. 次のコマンドを入力して、nmap スキャンを開始します。
nmap -F -Pn -T5 --open 172.16.10.10-20
HOL-1822-01-NET-LT
Page 52HOL-1822-01-NET-LT
Web 層層のスキャン結果結果を確認確認
wordpress-web-01a と wordpress-web-02a のインスタンスでは、172.16.10.10 と172.16.10.11 においてポート 22 と 80 が開いています。
HOL-1822-01-NET-LT
Page 53HOL-1822-01-NET-LT
DB 層層のスキャン結果結果を確認確認
wordpress-db-01a のインスタンスでは、172.16.10.20 においてポート 22、80、3306 が開いています。データベース用のインスタンスでポート 80 が開いているのは好ましくありません。ポート 3306 のみが Web インスタンスに?して開いているようにします。
HOL-1822-01-NET-LT
Page 54HOL-1822-01-NET-LT
まとめモジュール 2 はこれで終了です。ロード バランサーを含めて、WordPress アプリケーションがAWS 環境で機能していることを確認しました。また、AWS に適用されているセキュリティ ポリシーの確認を通して、アプリケーションがインターネットに公開され、?意ある攻?の潜在的な?象になっていることがわかりました。最後に、一般的なセキュリティ スキャナーを使用して開いているポートを?証し、データベース用のサーバーで好ましくないポートが開いていることを発見しました。
これで、モジューール 2 は終了終了です
モジュール 3 の 「NSX 管理コンポーネントの概要」 に進んでください。または、ほかの興味のあるモジュールに進むこともできます。
• モジューール 1: AWS マネジメント コンソーールの概要概要(15 分) (基本レベル) このモジュールでは、AWS マネジメント コンソールにログインし、作成されたリソースのインベントリを確認します。
• モジューール 2: アプリケーーション機能機能の?証証(15 分) (基本レベル) このモジュールでは、構成?みのアプリケーション環境、アプリケーション機能、構成?みのセキュリティ ポリシーとその状態を?証する方法を確認します。
• モジューール 3: NSX 管理管理コンポーーネントの概要概要(30 分) (基本レベル) このモジュールでは、NSX Manager および NSX Cloud Services Manager の機能と構成について?明します。
• モジューール 4: NSX を使用使用したアプリケーーションの保護保護(60 分) (上級レベル) このモジュールでは、AWS 環境に展開された NSX のインストールを構成および?証し、WordPress アプリケーションを保護する方法を確認します。
HOL-1822-01-NET-LT
Page 55HOL-1822-01-NET-LT
モジューール 3: NSX 管理管理コンポーーネントの概要概要 (30 分分)
HOL-1822-01-NET-LT
Page 56HOL-1822-01-NET-LT
はじめにNSX をパブリック クラウドに導入するソリューションでは、ソリューションの管理および運用に使用するユーザー インターフェイスを提供するため、特別なインスタンスが Amazon WebServices に展開されます。次のインスタンスがあります。
• NSX Cloud Services Manager• NSX Manager
NSX Cloud Services Manager を使用すると、AWS に展開された NSX コンポーネントのライフサイクル全体を管理し、NSX Manager と AWS のインベントリを包括的に把握できます。NSXCloud Services Manager には次のような機能も含まれています。
• NSX Cloud Gateway の展開とアップグレード• NSX Cloud Gateway ?由の NSX Agent のアップグレード• バックアップとリストア
NSX Manager で提供されるグラフィカル ユーザー インターフェイス (GUI) と REST API を使用すると、NSX Controller や論理スイッチなどの NSX コンポーネントを作成、構成、監視できます。NSX Manager は、NSX のエコシステムにおける管理プレーンです。統合ビューを提供する、NSX の一元的なネットワーク管理コンポーネントです。NSX で作成した仮想ネットワークに接続されているワークロードを、監視およびトラブルシューティングする機能も提供します。また、次の項目を構成およびオーケストレーションする機能も提供されます。
• 論理ネットワーク コンポーネント: 論理スイッチングおよびルーティング• ネットワーク サービスと Edge サービス• セキュリティ サービスと分散ファイアウォール
このモジュールは次のレッスンで構成されています。
• NSX Cloud Services Manager へのログイン• 構成?みの AWS アカウントとインベントリの確認• NSX Manager へのログイン• NSX Manager のユーザー インターフェイスの確認
HOL-1822-01-NET-LT
Page 57HOL-1822-01-NET-LT
NSX Cloud Services Manager へのログインNSX Cloud Services Manager の機能の 1 つは、NSX と Amazon Web Services のインベントリの包括的な把握を可能にすることです。このレッスンでは、NSX Cloud Services Manager へのログイン方法を学習します。
Google Chrome を開開く
1. Windows のクイック起動タスク バーで Chrome アイコンをクリックします。
アカウント情報情報のペーージ
Chrome のスタートページは、アカウント情報およびラボのプロビジョニング ステータスを表示するページに設定されています。前のレッスンからの続きで、すでにアカウント情報のタブが開いている場合は、そのまま次のステップへ進んでください。
1. [Email Address] フィールドに、ラボへの登?時に使用したメール アドレスを入力します。2. [Password] フィールドに 「VMware1!」 と入力します。3. [Login] をクリックします。
HOL-1822-01-NET-LT
Page 58HOL-1822-01-NET-LT
ラボのプロビジョニングの完了完了
プロビジョニングのプロセスが完了すると、AWS のアカウント情報のページが表示されます。この処理処理には、10 ? 15 分分かかる場合場合があります。ラボ モジュールを進める間、このページをときどき確認してください。
NSX Cloud Services Manager のアカウント情報情報
1. [NSX Cloud Services Manager DNS Name] リンクをクリックし、新しいブラウザー タブで NSX Cloud Services 管理コンソールに接続します。
HOL-1822-01-NET-LT
Page 59HOL-1822-01-NET-LT
証明書証明書の確認確認
ハンズオン ラボの環境はオンデマンドで構築されるため、証明書の信頼性は確立されていません。本番環境では、信頼性の高い証明書を生成し、接続を保護する必要があります。ここでは、次の手順のとおりに進めます。
1. [Advanced] をクリックします。2. [Proceed] のリンクをクリックします。
HOL-1822-01-NET-LT
Page 60HOL-1822-01-NET-LT
NSX Cloud Services Manager にログイン
1. [Username] フィールドに 「admin」 と入力します。2. [Password] フィールドに 「VMware1!」 と入力します。3. [Log In] をクリックします。
HOL-1822-01-NET-LT
Page 61HOL-1822-01-NET-LT
構成構成?みの AWS アカウントとインベントリの確確認認
NSX Cloud Services Manager を使用すると、NSX および AWS インベントリを包括的に把握できます。NSX Cloud Services Manager によってレポートされたインベントリを確認し、AWS のインベントリと照合します。
ブラウザーーのズーーム
ラボの各画面を見やすくするため、Chrome のズーム設定を 90 % 以下に縮小することをおすすめします。
1. ブラウザーの右上隅にあるメニュー アイコンをクリックして、ドロップダウン メニューを開きます。
2. [Zoom] の横にある [-] をクリックして、90 % に設定します。
CSM の構成構成とインベントリ
1. [Cross-Cloud] をクリックします。
HOL-1822-01-NET-LT
Page 62HOL-1822-01-NET-LT
AWS のアカウント情報情報を確認確認
AWS のアカウント情報は、Cloud Services Manager によってすでに設定されています。この情報はラボ ポッドごとに異なります。
構成構成?みの VPC 数数を確認確認
この AWS アカウントでは 15 個の VPC が構成?みです。
構成構成?みのインスタンス数数を確認確認
この AWS アカウントでは 7 個のインスタンスが構成されています。
HOL-1822-01-NET-LT
Page 63HOL-1822-01-NET-LT
VPC をクリック
1. [VPCs] をクリックします。
VPC のビューーを絞絞り込込む
1. [Region] のプルダウン メニューから [us-west-1] を選?して、VPC のビューを絞り込みます。
VPC を確認確認
これらが、前のレッスンの AWS のインベントリで?明した 2 個の VPC です。
• コンピューーティング VPC• 管理管理 VPC
HOL-1822-01-NET-LT
Page 64HOL-1822-01-NET-LT
管理管理 VPC の展開展開を確認確認
管理 VPC のアイコンで、この VPC に NSX 管理コンポーネントがインストールされていることを確認します。
管理管理 VPC のインスタンスを確認確認
1. 管理 VPC の [Instances] をクリックします。
管理管理 VPC のインスタンスと AWS のインベントリを照合照合
AWS のインベントリに表示されものと同じ NSX コンポーネントが一覧にあることがわかります。
HOL-1822-01-NET-LT
Page 65HOL-1822-01-NET-LT
VPC をクリック
1. 画面上部の [VPCS] をクリックし、VPC の一覧に?ります。
VPC が NSX に管理管理されていないことを確認確認
コンピューティング VPC のレポートでは、「NSX Unmanaged」 というステータスが確認できます。後ほどこのラボで、この VPC に NSX コンポーネントを展開して、実行中の AWS EC2 インスタンスを管理する方法を確認します。
HOL-1822-01-NET-LT
Page 66HOL-1822-01-NET-LT
[Instances] をクリック
1. コンピューティング VPC の [Instances] をクリックします。
インスタンスが NSX に管理管理されていないことを確認確認
AWS のインベントリに表示された 2 層の WordPress アプリケーションの AWS EC2 インスタンスと同じものが、一覧にあることがわかります。NSX コンポーネントが展開されていないため、[NSX State] は?色ではありません。
HOL-1822-01-NET-LT
Page 67HOL-1822-01-NET-LT
NSX Manager へのログインNSX Manager はソリューションの統合管理プレーンに位置付けられ、これを使用してWordPress アプリケーションのセキュリティ ポリシーを構成し、Amazon Web Services へのNSX の展開を?証します。このレッスンでは、NSX Manager へのログイン方法を学習します。
NSX Manager にアクセス
1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。
NSX Manager アカウント情報情報
1. [NSX Manager DNS Name] リンクをクリックし、新しいブラウザー タブで NSXManager コンソールに接続します。
HOL-1822-01-NET-LT
Page 68HOL-1822-01-NET-LT
証明書証明書の確認確認
ハンズオン ラボの環境はオンデマンドで構築されるため、証明書の信頼性は確立されていません。本番環境では、信頼性の高い証明書を生成し、接続を保護する必要があります。ここでは、次の手順のとおりに進めます。
1. [Advanced] をクリックします。2. [Proceed] のリンクをクリックします。
NSX Manager にログイン
HOL-1822-01-NET-LT
Page 69HOL-1822-01-NET-LT
1. [Username] フィールドに 「admin」 と入力します。2. [Password] フィールドに 「VMware1!」 と入力します。3. [Log In] をクリックします。
HOL-1822-01-NET-LT
Page 70HOL-1822-01-NET-LT
NSX Manager のユーーザーー インターーフェイスの確認確認NSX を Amazon Web Services に展開してアプリケーション管理を始めるための準備として、NSX Manager のユーザー インターフェイスの画面をいくつか見ていきます。ラボ環境の現在の構成を確認し、NSX の管理インフラストラクチャが機能していることを確かめ、HTML5 による最新のインターフェイスの操作に慣れてください。
ダッシュボーードをクリック
1. [Dashboard] をクリックします。
HOL-1822-01-NET-LT
Page 71HOL-1822-01-NET-LT
管理管理クラスターーの Up ステーータスを確認確認
[Management Cluster] (NSX Manager) のステータス レポートが表示されます。[ManagerConnection] が 「Up」 としてレポートされていることを確認します。
HOL-1822-01-NET-LT
Page 72HOL-1822-01-NET-LT
Controller クラスターーの Up ステーータスを確認確認
[Management Cluster] のステータスを下にスクロールします。[Controller Cluster] (NSXManager) のステータスが 「Up」 になっていることを確認します。
HOL-1822-01-NET-LT
Page 73HOL-1822-01-NET-LT
[Fabric] をクリック
1. 左側の [Fabric] をクリックします。
HOL-1822-01-NET-LT
Page 74HOL-1822-01-NET-LT
Fabric のステーータスを確認確認
NSX の新しい展開であるため、Fabric インベントリは空になります。
1. 画面上部にある [Hosts] から [Transport Nodes] までの各オプションをクリックして、それぞれが空であることを確認します。
後ほどのレッスンでこのインベントリを再度確認し、NSX の展開が機能していることを?証します。
HOL-1822-01-NET-LT
Page 75HOL-1822-01-NET-LT
[Inventory] をクリック
1. 左側の [Inventory] をクリックします。
HOL-1822-01-NET-LT
Page 76HOL-1822-01-NET-LT
構成構成?みのグルーープ化化オブジェクトを確認確認
このセクションには、NSX でのセキュリティ ポリシーの作成を簡単にするためのグループ化オブジェクトがあります。
1. 画面上部にある [Groups] から [MAC Sets] までの各オプションをクリックして、それぞれが空であることを確認します。
後ほどのレッスンでこの画面を再度表示し、アプリケーションのセキュリティ ポリシーに使用する動的なグループ化オブジェクトを作成します。
HOL-1822-01-NET-LT
Page 77HOL-1822-01-NET-LT
[Firewall] をクリック
1. 左側の [Firewall] をクリックします。
構成構成?みのデフォルトのファイアウォーール ポリシーーを確認確認
NSX のデフォルトのファイアウォール ポリシーが展開されていることがわかります。後ほどのレッスンでこの画面を再度表示し、アプリケーションのセキュリティ ポリシーを構成します。
HOL-1822-01-NET-LT
Page 78HOL-1822-01-NET-LT
[Switching] をクリック
1. 左側の [Switching] をクリックします。
Logical Switch のインベントリが空空であることを確認確認
論理スイッチがまだ作成されていないことを確認します。後ほどのレッスンで、新しい論理スイッチを作成してアプリケーションのインスタンスに接続します。
HOL-1822-01-NET-LT
Page 79HOL-1822-01-NET-LT
まとめモジュール 3 はこれで終了です。Amazon Web Services に展開された NSX Cloud ServicesManager (CSM) にログインし、パブリック クラウドに導入された NSX ソリューションで、NSX CSM が運用のためのユーザー インターフェイスとして機能することを確認しました。また、NSX CSM から AWS のインベントリを確認する方法を学習しました。さらに、Amazon WebServices に展開された NSX Manager にログインし、NSX オブジェクトのインベントリを表示してデフォルトの構成のみが存在することを確認しながら、新しい HTML5 インターフェイスに慣れるための操作を行いました。
これで、モジューール 3 は終了終了です。
モジュール 4 の 「NSX を使用したアプリケーションの保護」 に進んでください。または、ほかの興味のあるモジュールに進むこともできます。
• モジューール 1: AWS マネジメント コンソーールの概要概要(15 分) (基本レベル) このモジュールでは、AWS マネジメント コンソールにログインし、作成されたリソースのインベントリを確認します。
• モジューール 2: アプリケーーション機能機能の?証証(15 分) (基本レベル) このモジュールでは、構成?みのアプリケーション環境、アプリケーション機能、構成?みのセキュリティ ポリシーとその状態を?証する方法を確認します。
• モジューール 3: NSX 管理管理コンポーーネントの概要概要(30 分) (基本レベル) このモジュールでは、NSX Manager および NSX Cloud Services Manager の機能と構成について?明します。
• モジューール 4: NSX を使用使用したアプリケーーションの保護保護(60 分) (上級レベル) このモジュールでは、AWS 環境に展開された NSX のインストールを構成および?証し、WordPress アプリケーションを保護する方法を確認します。
HOL-1822-01-NET-LT
Page 80HOL-1822-01-NET-LT
モジューール 4: NSX を使用使用したアプリケーーションの保護保護 (60
分分)
HOL-1822-01-NET-LT
Page 81HOL-1822-01-NET-LT
はじめにAmazon Web Services (AWS) の WordPress アプリケーションを保護するには、NSX で管理するためのセキュリティ ポリシーを AWS のインスタンスに設定する必要があります。NSX は、構成の簡素化と一貫性を確保するための論理グループ化機能を備えた、分散型ファイアウォールを提供します。
先ほどのモジュールでは、統合管理プレーン (NSX Manager および NSX Cloud ServicesManager) および統合制御プレーン (NSX Controller) を管理 VPC に展開しました。このあと、次の手順に従って AWS のインスタンスを保護します。
1. インスタンスの各コンピューティング VPC に NSX Cloud Gateway を展開し、NSX で管理できるようにする
2. クラウド管理者が、NSX Manager の UI または API を使用して、論理ネットワークおよびセキュリティ ポリシーを作成する
3. クラウド管理者が、NSX Cloud Services Manager にタグを設定する4. 開発者が、AWS のインスタンスにタグを設定し、インスタンス作成時に NSX のポリシーが適用されるようにする
5. 各 AWS のインスタンスに NSX エージェントをインストールし、NSX で管理されるようにする
このモジュールは、WordPress アプリケーションを保護する手順を学習するための、次のレッスンで構成されています。
• Amazon Web Services に NSX Cloud Gateway を展開• 論理グループおよびファイアウォール ポリシーの作成• インスタンスの Elastic Network Interfaces にタグを適用• NSX エージェントのインストール• NSX の展開を?証• WordPress アプリケーションの動作確認• アプリケーション環境のセキュリティ スキャンを実行• トラフィックの視認性
HOL-1822-01-NET-LT
Page 82HOL-1822-01-NET-LT
必要必要なセキュリティ ポリシーー
次のセキュリティ ポリシーが WordPress アプリケーションに必要となります。
• インターネットから Web インスタンスへの HTTP (80) を許可• Web インスタンスから DB インスタンスへの MySQL (3306) を許可• インターネットから Web インスタンスへの SSH (22) を許可• それ以外のすべてをブロック
nmap インスタンスは、このラボでアプリケーションのセキュリティ状態を評価するためのツールとして使用しているため、セキュリティ ポリシーの適用の?象外です。
HOL-1822-01-NET-LT
Page 83HOL-1822-01-NET-LT
Amazon Web Services に NSX CloudGateway を展開展開Amazon Web Services のアプリケーション インスタンスにセキュリティ ポリシーを設定するには、次の手順に従って、NSX を展開します。最初のステップでは、アプリケーション インスタンスが展開されているコンピューティング VPC に NSX Cloud Gateway を展開します。
NSX Cloud Gateway は、NSX のエッジ トランスポート ノードとして、展開された各 VPC で次のサービスを提供します。
• NSX エージェントのプロキシ (ローカル) 制御プレーン• NAT および Edge ファイアウォールなどのステートフル サービス• NSX エージェントのソフトウェアのホストおよびプッシュ• Amazon Web Services のタグのポーリング
Google Chrome を開開く
1. Windows のクイック起動タスク バーで Chrome アイコンをクリックします。
アカウント情報情報のペーージ
Chrome のスタートページは、アカウント情報およびラボのプロビジョニング ステータスを表示するページに設定されています。前のレッスンからの続きで、すでにアカウント情報のタブが開いている場合は、そのまま次のステップへ進んでください。
1. [Email Address] フィールドに、ラボへの登?時に使用したメール アドレスを入力します。
HOL-1822-01-NET-LT
Page 84HOL-1822-01-NET-LT
2. [Password] フィールドに 「VMware1!」 と入力します。3. [Login] をクリックします。
ラボのプロビジョニングの完了完了
プロビジョニングのプロセスが完了すると、AWS のアカウント情報のページが表示されます。この処理処理には、10 ? 15 分分かかる場合場合があります。ラボ モジュールを進める間、このページをときどき確認してください。
NSX Cloud Services Manager のアカウント情報情報
1. [NSX Cloud Services Manager DNS Name] リンクをクリックし、新しいブラウザー タブで NSX Cloud Services 管理コンソールに接続します。
証明書証明書の確認確認
ハンズオン ラボの環境はオンデマンドで構築されるため、証明書の信頼性は確立されていません。本番環境では、信頼性の高い証明書を生成し、接続を保護する必要があります。ここでは、次の手順のとおりに進めます。
1. [Advanced] をクリックします。2. [Proceed] のリンクをクリックします。
HOL-1822-01-NET-LT
Page 85HOL-1822-01-NET-LT
NSX Cloud Services Manager にログイン
1. [Username] フィールドに 「admin」 と入力します。2. [Password] フィールドに 「VMware1!」 と入力します。3. [Log In] をクリックします。
ブラウザーーのズーーム
ラボの各画面を見やすくするため、Chrome のズーム設定を 90 % 以下に縮小することをおすすめします。
1. ブラウザーの右上隅にあるメニュー アイコンをクリックして、ドロップダウン メニューを開きます。
2. [Zoom] の横にある [-] をクリックして、90 % に設定します。
CSM の構成構成とインベントリ
1. [Cross-Cloud] をクリックします。
VPC をクリック
1. [VPCs] をクリックして、管理 VPC とコンピューティング VPC のビューに?ります。
HOL-1822-01-NET-LT
Page 86HOL-1822-01-NET-LT
VPC のビューーを絞絞り込込む
1. [Region] のプルダウン メニューから [us-west-1] を選?して、VPC のビューを絞り込みます。
Actions メニューーをクリック
1. コンピューティング VPC のボックスにある [Actions] をクリックします。2. [Deploy NSX Cloud Gateway] をクリックします。
AMI の情報情報を確認確認
1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。
AMI の情報情報を確認確認
1. [NSX Cloud Gateway AMI ID] で、NSX Cloud Gateway の展開で使用する AMI ID を確認します。
HOL-1822-01-NET-LT
Page 87HOL-1822-01-NET-LT
CSM のタブに?る
1. [CSM] のタブに?り、NSX Cloud Gateway の展開を進めます。
NSX Cloud Gateway の構成構成を設定設定
1. [Private IP] を選?します。2. [PEM File] のドロップダウンから [nsx-management] を選?します。3. 隔離ポリシーを無効にします。4. [Advanced] をクリックします。5. [Override AMI ID] に、先ほど確認した NSX Cloud Gateway AMI ID を貼り付けるか入力します。この情報は、アカウント情報のページで確認できます。
6. [Next] をクリックします。
HOL-1822-01-NET-LT
Page 88HOL-1822-01-NET-LT
高可用性高可用性を設定設定
1. [Enable HA for NSX Cloud Gateway] チェック ボックスをオフにします。2. [Availability Zone] を正しく選?します。注: 間違ったものを選?すると、手順 3 ? 5 でサブネット メニューが空になります。
3. [Uplink Subnet] で [nsx-uplink-subnet] を選?します。4. [Downlink Subnet] で [nsx-downlink-subnet] を選?します。5. [Management Subnet] で [nsx-compute-mgmt-subnet] を選?します。6. [Deploy] をクリックします。
HOL-1822-01-NET-LT
Page 89HOL-1822-01-NET-LT
NSX Cloud Gateway の展開展開が開始開始される
この VPC についての展開プロセスが始まります。完了完了までには約約 5 分分かかります。展開の進捗と処理中のアクションが画面に表示されます。
NSX Cloud Gateway の展開が終わるのを待つ間に、次のレッスンに進み、論理グループおよびファイアウォール ポリシーを設定します。そのあと再び NSX Cloud Services Manager に?り、展開の完了を確認します。
HOL-1822-01-NET-LT
Page 90HOL-1822-01-NET-LT
論理論理グルーープおよびファイアウォーール ポリシーーの作成作成NSX では、ワークロードのコンテキスト情報を利用して、ポリシー グループを動的に作成できます。これにより、セキュリティ ポリシーの管理において、運用モデルを大幅に簡素化できます。このレッスンでは、いくつかの動的なセキュリティ グループを作成し、ポリシー管理を簡素化できることを学習します。
NSX Manager にアクセス
1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。
HOL-1822-01-NET-LT
Page 91HOL-1822-01-NET-LT
NSX Manager アカウント情報情報
1. [NSX Manager DNS Name] リンクをクリックし、新しいブラウザー タブで NSXManager コンソールに接続します。
証明書証明書の確認確認
ハンズオン ラボの環境はオンデマンドで構築されるため、証明書の信頼性は確立されていません。本番環境では、信頼性の高い証明書を生成し、接続を保護する必要があります。ここでは、次の手順のとおりに進めます。
HOL-1822-01-NET-LT
Page 92HOL-1822-01-NET-LT
1. [Advanced] をクリックします。2. [Proceed] のリンクをクリックします。
NSX Manager にログイン
1. [Username] フィールドに 「admin」 と入力します。2. [Password] フィールドに 「VMware1!」 と入力します。3. [Log In] をクリックします。
[Inventory] メニューーで [Groups] をクリック
1. [Inventory] をクリックします。2. [Groups] をクリックします。
HOL-1822-01-NET-LT
Page 93HOL-1822-01-NET-LT
Web グルーープを作成作成
1. 画面上部にある [Groups] をクリックします。2. [Add] をクリックします。
グルーープ名名に Web を指定指定
1. グループの [Name] フィールドに 「Web」 と入力します。2. [Membership Criteria] をクリックします。
HOL-1822-01-NET-LT
Page 94HOL-1822-01-NET-LT
[Criteria] をクリック
1. [Criteria] をクリックします。
メンバーーシップ条件条件として仮想仮想マシン名名 (web) を指定指定
1. [Virtual Machine] を選?します。2. [Name] を選?します。3. [Contains] を選?します。4. 「web」 と入力します。5. [Save] をクリックします。
HOL-1822-01-NET-LT
Page 95HOL-1822-01-NET-LT
DB グルーープを作成作成
1. [Add] をクリックします。
グルーープ名名に DB を指定指定
1. グループの [Name] フィールドに 「DB」 と入力します。2. [Membership Criteria] をクリックします。
HOL-1822-01-NET-LT
Page 96HOL-1822-01-NET-LT
[Criteria] をクリック
1. [Criteria] をクリックします。
メンバーーシップ条件条件として仮想仮想マシン名名 (DB) を指定指定
1. [Virtual Machine] を選?します。2. [Name] を選?します。3. [Contains] を選?します。4. 「db」 と入力します。5. [Save] をクリックします。
HOL-1822-01-NET-LT
Page 97HOL-1822-01-NET-LT
アプリケーーションの分離分離グルーープを作成作成
1. [Add] をクリックします。
グルーープ名名に Wordpress-app を指定指定
1. グループの [Name] フィールドに 「Wordpress-app」 と入力します。2. [Membership Criteria] をクリックします。
HOL-1822-01-NET-LT
Page 98HOL-1822-01-NET-LT
[Criteria] をクリック
1. [Criteria] をクリックします。
名前名前に Wordpress を含含むすべての仮想仮想マシンをメンバーーにする
1. [Virtual Machine] を選?します。2. [Name] を選?します。3. [Contains] を選?します。4. 「wordpress」 と入力します。5. [Save] をクリックします。
HOL-1822-01-NET-LT
Page 99HOL-1822-01-NET-LT
作成作成した NSGroup を確認確認
3 つの NSGroup が正しく作成されたことを確認します。
[Firewall] をクリック
1. 左側の [Firewall] をクリックします。
[Default Layer3 Section] を選選?
HOL-1822-01-NET-LT
Page 100HOL-1822-01-NET-LT
1. [Default Layer3 Section] がまだ選?されていない場合は、クリックして選?します (選?されると青い枠が付きます)。
上上に新新しいセクションを追加追加
1. [Add Section] をクリックします。2. [Add Section Above] をクリックします。
セクション名名に Wordpress-app を指定指定
1. セクション名フィールドに 「Wordpress-app」 と入力します。2. [Applied To] の [Type] のドロップダウンから [NSGroup] を選?します。3. 先ほど作成した [Wordpress-app] グループを選?します。4. 右矢印をクリックして [Selected] ボックスに追加します。5. [Save] をクリックします。
下下に新新しいルーールを追加追加
1. [Add Rule] をクリックします。2. [Add Rule Below] をクリックします。
HOL-1822-01-NET-LT
Page 101HOL-1822-01-NET-LT
名前名前のセルにカーーソルを合合わせて鉛筆鉛筆アイコンをクリック
1. [Name] の下にある空白のセルにカーソルを合わせます。2. 鉛筆アイコンをクリックします。
ルーール名名に Any to Web を指定指定
1. [Rule Name] フィールドに 「Any to Web」 と入力します。2. [OK] をクリックします。
HOL-1822-01-NET-LT
Page 102HOL-1822-01-NET-LT
送信先送信先のセルにカーーソルを合合わせて鉛筆鉛筆アイコンをクリック
1. [Destinations] の下にある空白のセルにカーソルを合わせます。2. 鉛筆アイコンをクリックします。
HOL-1822-01-NET-LT
Page 103HOL-1822-01-NET-LT
送信先送信先に Web グルーープを選選?
1. プルダウン メニューから [NSGroup] を選?します。2. [Web] グループを選?します。3. 右矢印をクリックして [Selected] ボックスに移動させます。4. [OK] をクリックします。
HOL-1822-01-NET-LT
Page 104HOL-1822-01-NET-LT
サーービスのセルにカーーソルを合合わせて鉛筆鉛筆アイコンをクリック
1. [Services] の下にある空白のセルにカーソルを合わせます。2. 鉛筆アイコンをクリックします。
HOL-1822-01-NET-LT
Page 105HOL-1822-01-NET-LT
HTTP サーービスを選選?
1. 「http」 と入力します。2. [HTTP] を選?します。3. 右矢印をクリックして [Selected] ボックスに移動させます。4. [OK] をクリックします。
HOL-1822-01-NET-LT
Page 106HOL-1822-01-NET-LT
下下に新新しいルーールを追加追加
1. [Add Rule] をクリックします。2. [Add Rule Below] をクリックします。
HOL-1822-01-NET-LT
Page 107HOL-1822-01-NET-LT
名前名前のセルにカーーソルを合合わせて鉛筆鉛筆アイコンをクリック
1. [Name] の下にある空白のセルにカーソルを合わせます。2. 鉛筆アイコンをクリックします。
HOL-1822-01-NET-LT
Page 108HOL-1822-01-NET-LT
ルーール名名に Web to DB を指定指定
1. [Rule Name] フィールドに 「Web to DB」 と入力します。2. [OK] をクリックします。
HOL-1822-01-NET-LT
Page 109HOL-1822-01-NET-LT
送信元送信元のセルにカーーソルを合合わせて鉛筆鉛筆アイコンをクリック
1. [Sources] の下にある空白のセルにカーソルを合わせます。2. 鉛筆アイコンをクリックします。
HOL-1822-01-NET-LT
Page 110HOL-1822-01-NET-LT
送信元送信元に Web グルーープを選選?
1. プルダウン メニューから [NSGroup] を選?します。2. [Web] グループを選?します。3. 右矢印をクリックして [Selected] ボックスに移動させます。4. [OK] をクリックします。
HOL-1822-01-NET-LT
Page 111HOL-1822-01-NET-LT
送信先送信先のセルにカーーソルを合合わせて鉛筆鉛筆アイコンをクリック
1. [Destinations] の下にある空白のセルにカーソルを合わせます。2. 鉛筆アイコンをクリックします。
送信先送信先に DB グルーープを選選?
1. プルダウン メニューから [NSGroup] を選?します。2. [DB] グループを選?します。3. 右矢印をクリックして [Selected] ボックスに移動させます。4. [OK] をクリックします。
HOL-1822-01-NET-LT
Page 112HOL-1822-01-NET-LT
サーービスのセルにカーーソルを合合わせて鉛筆鉛筆アイコンをクリック
1. [Services] の下にある空白のセルにカーソルを合わせます。2. 鉛筆アイコンをクリックします。
MySQL サーービスを選選?
1. 「MYSQL」 と入力します。2. [MySQL] を選?します。3. 右矢印をクリックして [Selected] ボックスに移動させます。4. [OK] をクリックします。
HOL-1822-01-NET-LT
Page 113HOL-1822-01-NET-LT
ルーールをもう 1 つ追加追加
1. [Add Rule] をクリックします。2. [Add Rule Below] をクリックします。
名前名前のセルにカーーソルを合合わせて鉛筆鉛筆アイコンをクリック
1. [Name] の下にある空白のセルにカーソルを合わせます。2. 鉛筆アイコンをクリックします。
HOL-1822-01-NET-LT
Page 114HOL-1822-01-NET-LT
グルーープ名名に Allow SSH を指定指定
1. [Rule Name] フィールドに 「Allow SSH」 と入力します。2. [OK] をクリックします。
HOL-1822-01-NET-LT
Page 115HOL-1822-01-NET-LT
送信先送信先のセルにカーーソルを合合わせて鉛筆鉛筆アイコンをクリック
1. [Destinations] の下にある空白のセルにカーソルを合わせます。2. 鉛筆アイコンをクリックします。
HOL-1822-01-NET-LT
Page 116HOL-1822-01-NET-LT
送信先送信先に wordpress-app グルーープを選選?
1. プルダウン メニューから [NSGroup] を選?します。2. [Wordpress-app] グループを選?します。3. 右矢印をクリックして [Selected] ボックスに移動させます。4. [OK] をクリックします。
HOL-1822-01-NET-LT
Page 117HOL-1822-01-NET-LT
サーービスのセルにカーーソルを合合わせて鉛筆鉛筆アイコンをクリック
1. [Services] の下にある空白のセルにカーソルを合わせます。2. 鉛筆アイコンをクリックします。
HOL-1822-01-NET-LT
Page 118HOL-1822-01-NET-LT
SSH サーービスを選選?
1. 「SSH」 と入力します。2. [SSH] を選?します。3. 右矢印をクリックして [Selected] ボックスに移動させます。4. [OK] をクリックします。
HOL-1822-01-NET-LT
Page 119HOL-1822-01-NET-LT
ルーールをもう 1 つ追加追加
1. [Add Rule] をクリックします。2. [Add Rule Below] をクリックします。
名前名前のセルにカーーソルを合合わせて鉛筆鉛筆アイコンをクリック
1. [Name] の下にある空白のセルにカーソルを合わせます。2. 鉛筆アイコンをクリックします。
HOL-1822-01-NET-LT
Page 120HOL-1822-01-NET-LT
ルーール名名に Deny All を指定指定
1. [Rule Name] フィールドに 「Deny All」 と入力します。2. [OK] をクリックします。
アクションのセルにカーーソルを合合わせて鉛筆鉛筆アイコンをクリック
1. [Action] の下にある空白のセルにカーソルを合わせます。2. 鉛筆アイコンをクリックします。
HOL-1822-01-NET-LT
Page 121HOL-1822-01-NET-LT
トラフィックを破棄破棄するオプションを選選?
1. [Action] のドロップダウン メニューで [Drop] を選?します。2. [OK] をクリックします。
[Save] をクリック
HOL-1822-01-NET-LT
Page 122HOL-1822-01-NET-LT
1. [Save] をクリックします。注: 表示されていない場合は、最上部までスクロールしてください。
セクションを保存保存
1. [Save] をクリックします。
HOL-1822-01-NET-LT
Page 123HOL-1822-01-NET-LT
構成構成したポリシーーを確認確認
WordPress アプリケーションのセキュリティ ポリシーの作成が完了しました。これで、アプリケーションに?して特定のトラフィックのみを許可し、それ以外を拒否するように設定できました。
HOL-1822-01-NET-LT
Page 124HOL-1822-01-NET-LT
NSX Cloud Services Manager に?る
1. 先ほど Google Chrome で開いた [NSX Cloud Services Manager] のタブを選?します。注: ブラウザーのタブの順序は、モジュールの受講状況により異なる場合があります。
HOL-1822-01-NET-LT
Page 125HOL-1822-01-NET-LT
NSX Cloud Gateway の展開展開が完了完了したことを確認確認
1. 展開が完了したら、[Finish] をクリックします。
コンピューーティング VPC が NSX に管理管理されていることを確認確認
コンピューティング VPC のレポートで、[NSX Managed] および Cloud Gateway の展開?みの表示を確認します。
HOL-1822-01-NET-LT
Page 126HOL-1822-01-NET-LT
インスタンスの Elastic Network Interfacesにタグを適用適用NSX 固有の Amazon Web Services のタグは、EC2 インスタンスのネットワーク インターフェイスを、NSX のどこに論理的に 「接続」 するかを示すために使用されます。接続時に、セキュリティ ポリシーがプッシュされます。AWS の WordPress アプリケーション インスタンスに NSX エージェントを展開する手順に進む前に、ネットワーク インターフェイスへのタグの設定を行います。
AWS マネジメント コンソーールにアクセス
1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。
AWS マネジメント コンソーールの URL を開開く
1. [Console URL] をクリックし、新しいブラウザー タブで AWS マネジメント コンソールに接続します。
HOL-1822-01-NET-LT
Page 127HOL-1822-01-NET-LT
AWS マネジメント コンソーールにログイン
1. AWS マネジメント コンソールのユーザー名フィールドに 「vmware_hol_user」 と入力します。
2. AWS マネジメント コンソールのパスワード入力フィールドに 「VMware1!!」 と入力します(感嘆符感嘆符の数数に注意注意)。
3. [Sign In] ボタンをクリックします。
HOL-1822-01-NET-LT
Page 128HOL-1822-01-NET-LT
リーージョンを選選?
コンソールで表示するリソースが、北カリフォルニアのリージョンのものであることを確認します。
1. 右上の [Support] の左にあるリージョン名をクリックします。2. [US West (N. California)] を選?します。
EC2 インスタンスへ移動移動
HOL-1822-01-NET-LT
Page 129HOL-1822-01-NET-LT
1. AWS マネジメント コンソールの左上にある [Services] をクリックします。2. [Compute] のすぐ下にある [EC2] をクリックします。
[Instances] をクリック
1. 左側のメニューで、[Instances] をクリックします。
名前名前の列列の幅幅を広広げる
HOL-1822-01-NET-LT
Page 130HOL-1822-01-NET-LT
1. 列の境界線にカーソルを合わせ、クリックして右にドラッグし、[Name] 列の幅を広げます。
WordPress の 1 つ目目の Web インスタンスを選選?
1. [wordpress-web-01a] インスタンスを選?します。
このインスタンスの eth0 インターーフェイスをクリック
HOL-1822-01-NET-LT
Page 131HOL-1822-01-NET-LT
1. 画面下部の [Network Interfaces] の横にある [eth0] をクリックします。[NetworkInterfaces] が見えない場合は、下の画面でスクロール操作してください。
インターーフェイス ID をクリック
1. インターフェイス ID をクリックします。注: インターフェイス ID は、EC2 インスタンスごとに異なります。
Actions メニューーでタグの追加追加と編集編集を選選?
HOL-1822-01-NET-LT
Page 132HOL-1822-01-NET-LT
1. [Actions] をクリックします。2. [Add/Edit Tags] をクリックします。
[Create Tag] をクリック
1. [Create Tag] をクリックします。2. [Key] の下にあるボックスに 「nsx:network」 と入力します。3. [Value] の下にあるボックスに 「default」 と入力します。4. [Save] をクリックします。
HOL-1822-01-NET-LT
Page 133HOL-1822-01-NET-LT
[Instances] をクリック
1. 左側のメニューで、[Instances] をクリックします。
WordPress の 2 つ目目の Web インスタンスを選選?
1. [wordpress-web-02a] を選?します。
HOL-1822-01-NET-LT
Page 134HOL-1822-01-NET-LT
このインスタンスの eth0 インターーフェイスをクリック
1. 画面下部の [Network Interfaces] の横にある [eth0] をクリックします。[NetworkInterfaces] が見えない場合は、下の画面でスクロール操作してください。
インターーフェイス ID をクリック
HOL-1822-01-NET-LT
Page 135HOL-1822-01-NET-LT
1. インターフェイス ID をクリックします。注: インターフェイス ID は、EC2 インスタンスごとに異なります。
Actions メニューーでタグの追加追加と編集編集を選選?
1. [Actions] をクリックします。2. [Add/Edit Tags] をクリックします。
[Create Tag] をクリック
1. [Create Tag] をクリックします。2. [Key] の下にあるボックスに 「nsx:network」 と入力します。3. [Value] の下にあるボックスに 「default」 と入力します。4. [Save] をクリックします。
HOL-1822-01-NET-LT
Page 136HOL-1822-01-NET-LT
[Instances] をクリック
1. 左側のメニューで、[Instances] をクリックします。
WordPress の DB インスタンスを選選?
1. [wordpress-db-01a] を選?します。
HOL-1822-01-NET-LT
Page 137HOL-1822-01-NET-LT
このインスタンスの eth0 インターーフェイスをクリック
1. 画面下部の [Network Interfaces] の横にある [eth0] をクリックします。[NetworkInterfaces] が見えない場合は、下の画面でスクロール操作してください。
インターーフェイス ID をクリック
1. インターフェイス ID をクリックします。注: インターフェイス ID は、EC2 インスタンスごとに異なります。
HOL-1822-01-NET-LT
Page 138HOL-1822-01-NET-LT
Actions メニューーでタグの追加追加と編集編集を選選?
1. [Actions] をクリックします。2. [Add/Edit Tags] をクリックします。
[Create Tag] をクリック
1. [Create Tag] をクリックします。2. [Key] の下にあるボックスに 「nsx:network」 と入力します。3. [Value] の下にあるボックスに 「default」 と入力します。4. [Save] をクリックします。
まとめ
NSX 固有の AWS タグを、WordPress アプリケーション インスタンスのネットワーク インターフェイスに付ける練習を行いました。NSX エージェントの展開を行うと、各インターフェイスはこの
HOL-1822-01-NET-LT
Page 139HOL-1822-01-NET-LT
タグによって、NSX Cloud Gateway の展開時に作成されたデフォルトの NSX 論理スイッチに関連付けされます。これらのインスタンスにもセキュリティ ポリシーが適用されます。
HOL-1822-01-NET-LT
Page 140HOL-1822-01-NET-LT
NSX エーージェントのインストーールWordPress アプリケーション インスタンスを保護する手順を進め、NSX エージェントを各インスタンスに展開します。NSX エージェントを各 Amazon Web Services のインスタンスにインストールすることで、データ プレーンの機能が利用できます。これには次のものが含まれます。
• 分散ファイアウォール適用エンジン• オーバーレイ ネットワークのトンネル終端ポイント
ベスト プラクティスとして、各組織の Amazon Web Services 環境の 「ゴールド マスター」 イメージに NSX エージェントを含めることが推?されます。また、NSX エージェントは展開?みの既存環境のインスタンスにインストールすることも容易です。
ここで扱う NSX エージェントは、WordPress アプリケーション インスタンスの一部としてすでに展開されています。このレッスンでは NSX エージェントを有効化する方法を?明します。
1 つ目目の Web インスタンスを有効有効にする
1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。
インスタンスの情報情報を確認確認
HOL-1822-01-NET-LT
Page 141HOL-1822-01-NET-LT
1. [Wordpress-web-01a Instance Public IP address] を確認し、これを使ってインスタンスにログインします。
PuTTY を起動起動
1. Windows のクイック起動タスク バーで [PuTTY] アイコンをクリックします。先ほどのwordpress-web-01a PuTTY セッション (172.16.10.10) をまだ開いている場合は、タスク バーからそのウィンドウを選?し、先に進み、NSX エージェントを有効にします。
wordpress-web-01 の IP アドレスを入力入力
1. wordpress-web-01a インスタンスの IP アドレスを入力します。2. [Open] をクリックします。
HOL-1822-01-NET-LT
Page 142HOL-1822-01-NET-LT
接続接続を確認確認
インスタンスに初めて接続するとき、接続先の了承を求める警告ダイアログが表示されます。
1. [Yes] をクリックします。
NSX エーージェントを有効有効にする
1. 次のコマンドを入力して、NSX エージェントを開始します。
sudo service nsx-agent start
HOL-1822-01-NET-LT
Page 143HOL-1822-01-NET-LT
NSX エーージェントが有効化有効化されたことを確認確認
NSX エージェントが開始され、[OK] のステータスになったことを確認します。
2 つ目目の Web インスタンスを有効有効にする
1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。
HOL-1822-01-NET-LT
Page 144HOL-1822-01-NET-LT
インスタンスの情報情報を確認確認
1. [Wordpress-web-02a Instance Public IP address] を確認し、これを使ってインスタンスにログインします。
PuTTY を起動起動
1. PuTTY ウィンドウに切り替え、開いている PuTTY セッションの左上にある [PuTTY] アイコンをクリックします。
2. [New Session] を選?します。
HOL-1822-01-NET-LT
Page 145HOL-1822-01-NET-LT
wordpress-web-02a の IP アドレスを入力入力
1. wordpress-web-02a インスタンスの IP アドレスを入力します。2. [Open] をクリックします。
接続接続を確認確認
インスタンスに初めて接続するとき、接続先の了承を求める警告ダイアログが表示されます。
1. [Yes] をクリックします。
HOL-1822-01-NET-LT
Page 146HOL-1822-01-NET-LT
NSX エーージェントを有効有効にする
1. 次のコマンドを入力して、NSX エージェントを開始します。
sudo service nsx-agent start
HOL-1822-01-NET-LT
Page 147HOL-1822-01-NET-LT
NSX エーージェントが有効化有効化されたことを確認確認
NSX エージェントが開始され、[OK] のステータスになったことを確認します。
HOL-1822-01-NET-LT
Page 148HOL-1822-01-NET-LT
DB インスタンスを有効有効にする
1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。
HOL-1822-01-NET-LT
Page 149HOL-1822-01-NET-LT
インスタンスの情報情報を確認確認
1. [Wordpress-db-01a Instance Public IP address] を確認し、これを使ってインスタンスにログインします。
HOL-1822-01-NET-LT
Page 150HOL-1822-01-NET-LT
PuTTY を起動起動
1. PuTTY ウィンドウに切り替え、開いている PuTTY セッションの左上にある [PuTTY] アイコンをクリックします。
2. [New Session] を選?します。
wordpress-db-01a の IP アドレスを入力入力
1. wordpress-db-01a インスタンスの IP アドレスを入力します。2. [Open] をクリックします。
HOL-1822-01-NET-LT
Page 151HOL-1822-01-NET-LT
接続接続を確認確認
インスタンスに初めて接続するとき、接続先の了承を求める警告ダイアログが表示されます。
1. [Yes] をクリックします。
NSX エーージェントを有効有効にする
1. 次のコマンドを入力して、NSX エージェントを開始します。
sudo service nsx-agent start
HOL-1822-01-NET-LT
Page 152HOL-1822-01-NET-LT
NSX エーージェントが有効化有効化されたことを確認確認
NSX エージェントが開始され、[OK] のステータスになったことを確認します。
HOL-1822-01-NET-LT
Page 153HOL-1822-01-NET-LT
NSX の展開展開を?証証コンピューティング VPC への NSX コンポーネントの展開が終わりました。ここでは、NSXManager および NSX Cloud Services Manager の動作を確認しながら、NSX の構成について紹介します。
NSX Manager にログイン
先ほど Google Chrome で開いた [NSX Manager] のタブを選?します。このブラウザー タブを閉じてしまった場合は、[Account Information] のブラウザー タブにある [NSX Manager URL] のリンクから、新しいブラウザー タブを開きます。
注: ページにタイム アウトと表示された場合、続行するには、ユーザー名フィールドに「admin」、パスワード名フィールドに 「VMware1!」 と入力し、[Log In] をクリックします。
1. [AWS] タブをクリックします。2. [NSX Manager DNS Name] のリンクをクリックします。
[Fabric] をクリック
1. 左側の [Fabric] をクリックします。
HOL-1822-01-NET-LT
Page 154HOL-1822-01-NET-LT
[Edges] をクリック
1. 画面上部にある [Edges] をクリックします。
Edge ノーードが新規作成新規作成されていることを確認確認
[Edge] ノードが新規作成されていることを確認します。
[Edge Clusters] をクリック
1. 画面上部にある [Edge Clusters] をクリックします。
Edge クラスターーが新規作成新規作成されていることを確認確認
[Edge Cluster] が新規作成されていることを確認します。
[Transport Nodes] をクリック
1. 画面上部にある [Transport Nodes] をクリックします。
HOL-1822-01-NET-LT
Page 155HOL-1822-01-NET-LT
トランスポーート ノーードが新規作成新規作成されていることを確認確認
トランスポート ノードが新規作成されていることを確認します (新しいクラウド ゲートウェイが展開されていること)。
[Switching] をクリック
1. 左側の [Switching] をクリックします。
[Switches] をクリック
1. 画面上部にある [Switches] をクリックします。
スイッチ インベントリの?更点更点を確認確認
HOL-1822-01-NET-LT
Page 156HOL-1822-01-NET-LT
2 つの論理スイッチが作成され、デフォルトの論理スイッチには 4 つの論理ポートがあることを確認します。
[Inventory] - [Groups] をクリック
1. [Inventory] をクリックします。2. [Groups] をクリックします。
NSGroup の Wordpress-app をクリック
1. [Wordpress-app] をクリックします。
グルーープ メンバーーシップを確認確認
Wordpress-app グループの有効なメンバーには、3 つの仮想マシンがあります。
HOL-1822-01-NET-LT
Page 157HOL-1822-01-NET-LT
1. [Virtual Machine] の横にある [3] をクリックします。
注意: このラボでは、現在開発中のソフトウェア リリースを使用しています。一覧に表示される仮想マシンの数が、期待される 「3」 と異なるという問題が発生する場合があります。これが発生した場合は、監督者に補助を依頼するか、ご自身でメンバーシップのリセット操作を行ってください。リセットするには、左側の [Inventory] から [Groups] メニューに?り、Wordpress-appNSGroup の条件を編集して 「wordpress」 を含めない設定にして保存します。その後、再度「wordpress」 を含める条件に?します。この操作でメンバーシップがリセットされます。
WordPress インスタンスがメンバーーとしてリスト表示表示されていることを確認確認
すべての WordPress アプリケーション インスタンスが、このグループの有効なメンバーとして表示されていることを確認します (仮想マシンの名称に 「wordpress」 が含まれることが条件です)。
AWS マネジメント コンソーールを開開く
先ほど Chrome で開いた AWS マネジメント コンソールのタブを選?します。このブラウザー タブを閉じてしまった場合は、[Account Information] のブラウザー タブにある [AWS ConsoleURL] のリンクから、新しいブラウザーのタブを開きます。ユーザー名フィールドに「vmware_hol_user」、パスワード フィールドに 「VMware1!!」 と入力します。
注: AWS マネジメント コンソールのページにタイム アウトと表示された場合、続行するには、ユーザー名フィールドに 「vmware_hol_user」、パスワード名フィールドに 「VMware1!!」 と入力します。
HOL-1822-01-NET-LT
Page 158HOL-1822-01-NET-LT
AWS マネジメント コンソーールの EC2 ダッシュボーードへ移動移動
1. AWS マネジメント コンソールの左上にある [Services] をクリックします。2. [Compute] のすぐ下にある [EC2] をクリックします。
[Instances] をクリック
1. 左の [EC2 Dashboard] の下にある [Instances] をクリックします。
HOL-1822-01-NET-LT
Page 159HOL-1822-01-NET-LT
NSX Cloud Gateway の新新しいインスタンスを確認確認
NSX Cloud Gateway の新しい EC2 インスタンスが作成されていることを確認します。
[Security Groups] をクリック
1. 左の [Network & Security] の下にある [Security Groups] をクリックします。
AWS の NSX Cloud Gateway セキュリティ グルーープを確認確認
HOL-1822-01-NET-LT
Page 160HOL-1822-01-NET-LT
複数の AWS セキュリティ グループがアプリケーション インスタンス用に新規作成されていることを確認します。これによって NSX Cloud Gateway で送受信されるトラフィックが制御されます。
NSX Cloud Services Manager にログイン
先ほど Google Chrome で開いた [NSX Cloud Services Manager] のタブを選?します。このブラウザー タブを閉じてしまった場合は、[Account Information] のブラウザー タブにある [NSXCloud Services Manager URL] のリンクから、新しいブラウザー タブを開きます。
注: ページにタイム アウトと表示された場合、続行するには、ユーザー名フィールドに「admin」、パスワード名フィールドに 「VMware1!」 と入力し、[Log In] をクリックします。
CSM の構成構成とインベントリ
1. [VPC-AWS] コンソール タブをクリックします。2. 画面上部にある [Accounts] をクリックします。
AWS のアカウント情報情報を更新更新
1. [Actions] をクリックします。
HOL-1822-01-NET-LT
Page 161HOL-1822-01-NET-LT
2. [Refresh Account] をクリックします。
完了完了までには約約 20 ~ 60 秒秒かかります。
VPC をクリック
1. [VPCs] をクリックします。
VPC のビューーを絞絞り込込む
1. [Region] のプルダウン メニューから [us-west-1] を選?して、VPC のビューを絞り込みます。
HOL-1822-01-NET-LT
Page 162HOL-1822-01-NET-LT
[Instances] をクリック
1. コンピューティング VPC の [Instances] をクリックします。
WordPress インスタンスが NSX に管理管理されていることを確認確認
1. WordPress アプリケーション インスタンスが NSX に管理されていることを確認します。2. nmap-01 インスタンスには、AWS Tag が付けられていません。また、NSX エージェントもインストールされていません。
HOL-1822-01-NET-LT
Page 163HOL-1822-01-NET-LT
WordPress アプリケーーションの動作確認動作確認
NSX を展開する前、Amazon Web Services で動作する 2 層 WordPress アプリケーションはインターネットに公開されていたため、いくつかの不要なポートが潜在的な攻??象にさらされていました。このレッスンでは、アプリケーションの動作を再確認し、基本的な接続をテストします。
アカウント情報情報
1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。
WordPress のアプリケーーション情報情報を確認確認
1. [WordPress Application Elastic Load Balancer DNS Name] のリンクをクリックし、新しいブラウザー タブで WordPress アプリケーションに接続します。
HOL-1822-01-NET-LT
Page 164HOL-1822-01-NET-LT
WordPress サイトを再読再読み込込みして動作動作を確認確認
WordPress アプリケーションが機能していることを確認します。ページに表示されているサーバーの IP アドレスに注目します。
1. ブラウザーの再読み込みを数回行って、Web サーバーの IP アドレスが切り替わることを確認します (172.16.10.10 と 172.16.10.11 など)。
HOL-1822-01-NET-LT
Page 165HOL-1822-01-NET-LT
アカウント情報情報のペーージを開開く
1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。
HOL-1822-01-NET-LT
Page 166HOL-1822-01-NET-LT
Web サーーバーーの情報情報を確認確認
1. [Wordpress-web-01a Instance Public IP address] を確認し、これを使ってインスタンスにログインします。
HOL-1822-01-NET-LT
Page 167HOL-1822-01-NET-LT
PuTTY を起動起動
1. Windows のクイック起動タスク バーで [PuTTY] アイコンをクリックします。以前のPuTTY セッションが開いている場合は、そのウィンドウの左隅上の [PuTTY] アイコンをクリックし、[New Session] を選?します。
HOL-1822-01-NET-LT
Page 168HOL-1822-01-NET-LT
wordpress-web-01a の IP アドレスを入力入力
1. wordpress-web-01a インスタンスの IP アドレスを入力します。2. [Open] をクリックします。
wordpress-web-02a への接続接続をテスト
1. 次のコマンドを入力し、wordpress-web-01a と wordpress-web-02a のインスタンス間の接続をテストします。
ping -c 5 172.16.10.11
HOL-1822-01-NET-LT
Page 169HOL-1822-01-NET-LT
ICMP でインスタンスにアクセスできないことを確認確認
この ping が失敗することを確認します。これは、NSX に構成したセキュリティ ポリシーに合致する動作です。
wordpress-db-01a への接続接続をテスト
1. 次のコマンドを入力し、wordpress-web-01a と wordpress-db-01a のインスタンス間の接続をテストします。
ping -c 5 172.16.10.20
HOL-1822-01-NET-LT
Page 170HOL-1822-01-NET-LT
ICMP でインスタンスにアクセスできないことを確認確認
この ping が失敗することを確認します。これは、NSX に構成したセキュリティ ポリシーに合致する動作です。
HOL-1822-01-NET-LT
Page 171HOL-1822-01-NET-LT
アプリケーーション環境環境のセキュリティ スキャンを実行実行nmap 実行用の Ubuntu Linux インスタンスを再び使って、Amazon Web Services のアプリケーション環境のポート スキャンを行います。アプリケーション インスタンスが展開されている IPサブネットをスキャンして、NSX の展開後の環境で開いているポートを確認し、不要なポートが閉じられていることを確認します。
nmap インスタンスにログイン
1. 先ほど開いた [Account Information] タブをクリックします。このタブを閉じてしまった場合は、新しいタブを開き、[Account Info] のブックマークをクリックします。
nmap-01a 情報情報を確認確認
1. [nmap-01a Public IP Address] を確認し、これを使って nmap ポート スキャナー インスタンスにログインします。
HOL-1822-01-NET-LT
Page 172HOL-1822-01-NET-LT
PuTTY を起動起動
1. Windows のクイック起動タスク バーで [PuTTY] アイコンをクリックします。以前のPuTTY セッションが開いている場合は、そのウィンドウの左隅上の [PuTTY] アイコンをクリックし、[New Session] を選?します。
HOL-1822-01-NET-LT
Page 173HOL-1822-01-NET-LT
nmap-01a の IP アドレスを入力入力
1. nmap-01a インスタンスの IP アドレスを入力します。2. [Open] をクリックします。
HOL-1822-01-NET-LT
Page 174HOL-1822-01-NET-LT
nmap スキャンを実行実行
1. 次のコマンドを入力して、nmap スキャンを開始します。
nmap -F -Pn -T5 --open 172.16.10.10-20
HOL-1822-01-NET-LT
Page 175HOL-1822-01-NET-LT
Web インスタンスの結果結果を確認確認
wordpress-web-01a と wordpress-web-02a のインスタンスでは、172.16.10.10 と172.16.10.11 においてポート 22 と 80 が開いています。構成した NSX のセキュリティ ポリシーに合致します。
HOL-1822-01-NET-LT
Page 176HOL-1822-01-NET-LT
DB インスタンスの結果結果を確認確認
wordpress-db-01a インスタンスでは、172.16.10.20 のポート 22 のみが nmap インスタンスに?して開いています。構成した NSX のセキュリティ ポリシーに合致します。
HOL-1822-01-NET-LT
Page 177HOL-1822-01-NET-LT
トラフィックの視認性視認性
NSX が提供する既存の運用ツールを使用すると、Amazon Web Services で実行されるアプリケーション環境で発生するトラフィックを可視化できます。このモジュールでは、NSX のトラフィック統計の集約機能の一部を紹介します。
NSX Manager にログイン
先ほど Google Chrome で開いた [NSX Manager] のタブを選?します。このブラウザー タブを閉じてしまった場合は、[Account Information] のブラウザー タブにある [NSX Manager URL] のリンクから、新しいブラウザー タブを開きます。
注: ページにタイム アウトと表示された場合、続行するには、ユーザー名フィールドに「admin」、パスワード名フィールドに 「VMware1!」 と入力し、[Log In] をクリックします。
[Firewall] をクリック
1. 左側の [Firewall] をクリックします。
HOL-1822-01-NET-LT
Page 178HOL-1822-01-NET-LT
ファイアウォーールの統計情報統計情報を確認確認
1. [Stats] 列には、ルールごとのパケット、バイト、セッション数が表示されます。
[Switching] をクリック
HOL-1822-01-NET-LT
Page 179HOL-1822-01-NET-LT
1. [Switching] をクリックします。
デフォルト スイッチの論理論理ポーートをクリック
1. [Logical Ports] の下にある [4] をクリックします。
HOL-1822-01-NET-LT
Page 180HOL-1822-01-NET-LT
論理論理ポーートをクリック
ここでは、NSX によるセキュリティ保護を有効化した WordPress アプリケーション インスタンス3 つと、アップリンク ポート 1 つが表示されます。
1. 「Cloud」 で始まる、1 行目の論理ポートをクリックします。
HOL-1822-01-NET-LT
Page 181HOL-1822-01-NET-LT
[Monitor] をクリック
このポートの詳細情報が表示されます。
1. [Monitor] をクリックします。
HOL-1822-01-NET-LT
Page 182HOL-1822-01-NET-LT
ポーートの統計情報統計情報を表示表示
NSX によって提供される、この WordPress アプリケーション インスタンスについてのトラフィック統計情報です。
HOL-1822-01-NET-LT
Page 183HOL-1822-01-NET-LT
[Begin Tracking] をクリック
1. [Begin Tracking] をクリックし、スイッチ ポート統計情報のトラッキング機能の利用を開始します (新しいブラウザー タブが開きます)。
HOL-1822-01-NET-LT
Page 184HOL-1822-01-NET-LT
スイッチ ポーートの統計情報統計情報を追跡追跡
NSX では、スイッチ ポートの統計情報を、ほぼリアルタイムで追跡できます。WordPress のWeb サイトのブラウザー タブに移動して、ページの再読み込みを数回行います。トラフィックが発生し、このページでその内容を確認できます。
HOL-1822-01-NET-LT
Page 185HOL-1822-01-NET-LT
まとめこれで、モジュール 4 とこのハンズオン ラボは終了です。Amazon Web Services に NSX コンポーネントをインストールして、Amazon Web Services に展開された WordPress アプリケーションを正しく保護し、各アプリケーション インスタンスに一貫したセキュリティ ポリシーを適用する方法を学習しました。
お疲疲れ?でした。これで、モジューール 4 とハンズオン ラボは終了終了です。
このレッスンの最後にある指示に従って、ラボを終了します。または、ほかの興味のあるモジュールに進むこともできます。
• モジューール 1: AWS マネジメント コンソーールの概要概要(15 分) (基本レベル) このモジュールでは、AWS マネジメント コンソールにログインし、作成されたリソースのインベントリを確認します。
• モジューール 2: アプリケーーション機能機能の?証証(15 分) (基本レベル) このモジュールでは、構成?みのアプリケーション環境、アプリケーション機能、構成?みのセキュリティ ポリシーとその状態を?証する方法を確認します。
• モジューール 3: NSX 管理管理コンポーーネントの概要概要(30 分) (基本レベル) このモジュールでは、NSX Manager および NSX Cloud Services Manager の機能と構成について?明します。
• モジューール 4: NSX を使用使用したアプリケーーションの保護保護(60 分) (上級レベル) このモジュールでは、AWS 環境に展開された NSX のインストールを構成および?証し、WordPress アプリケーションを保護する方法を確認します。
実習実習ラボの終了方法終了方法
実習ラボを終了するには、[終了] ボタンをクリックします。
HOL-1822-01-NET-LT
Page 186HOL-1822-01-NET-LT
ConclusionThank you for participating in the VMware Hands-on Labs. Be sure to visithttp://hol.vmware.com/ to continue your lab experience online.
Lab SKU: ManualExport-HOL-1822-01-NET-LT.zip
Version: 20171227-162817
HOL-1822-01-NET-LT
Page 187HOL-1822-01-NET-LT