参考情報
- ヘルプセンター:アプライアンスを配信する(NSX-T 3.x)
- ヘルプセンター:System requirements
- 英語版 製品Q&A:Overlay Transport Zone is requirement when deploying Trend Micro Deep Security with NSX-T
- Deep Security Virtual Appliance でサポートされるVMware製品、および仮想マシンのプラットフォーム
DSVAが使用するネットワークに関する質問
トランスポートゾーン、DSVAの配信/デプロイについて
Q. オーバーレイのトランスポートゾーンの設定は必須ですか?A. 必須です。DSVAを配信するために必要になります。
弊社コラム「DSVA展開時にオーバーレイトランスポートゾーンが必須となる点についての解説 」も併せてご覧ください。
Q. 標準仮想スイッチのみでDSVAを展開することはできますか。
A. できません。
Q. オーバーレイのトランスポートゾーンではなく、VLANを使用してDSVAを配信することはできませんか?
A. できません。
Q. DSVAを展開するホストトランスポートノードはN-VDS、vDSどちらの設定でも問題ないですか?
A. ご利用のESXiとNSX-Tの組み合わせによって利用できる方式が異なります。VMware社の公開情報に従ってください。
VMware LogoProduct Interoperability Matrix
Q. オーバーレイのトランスポートゾーンが必要なのは、DSVAのデプロイの際「だけ」ですか?それとも、その他オーバレイでどこかと通信が発生するのでしょうか。
A. デプロイ時だけではございません。
DSVAのネットワーク系の保護機能の有無にかかわらず、Network Introspection (NI)でも利用が必要となります。
解説については弊社コラム「DSVA展開後に仮想マシンをVLANセグメントに接続できなくなる件について 」も併せてご覧ください。
Q. TEP (Tunnel Endpoint) のIPアドレスはDSVAの台数分だけ必要になりますか。
A. DSVA自体はTEPを使用しません。
TEPはオーバレイネットワークの構築に必要な要素となります。詳細はVMware社へお問合せください。
DSVAに割り当てられるNICごとの通信要件などは「Q. DSVAの各NICの設定の変更可否と主な利用用途を教えてください。」をご覧ください。
DSVAのNICについて
Q. DSVAではどのようなスイッチをサポートしていますか?
A. DSVA側には特に制約はありません。
System requirements
Q. DSVAにNICを追加してもいいですか?
A. アプライアンス製品ですので、追加しないでください。
Q. DSVAの各NICの設定の変更可否と主な利用用途を教えてください。
A.
| インターフェース名 | 変更可否 | 用途 | 備考 |
|---|---|---|---|
| ens0 | 可能 | DSMとの接続に利用(管理用) | 論理スイッチ、およびNSX-Tからインストールされる論理スイッチの種類に制限はございません。 DSVAがDSM・Relayと接続できることだけが条件となります。 |
| ens1 | 変更不可 | GIとの接続に利用 | 自動的に標準スイッチ(vSS)が指定されます。 |
| ens2 | 変更不可 | NIとの接続に利用 | vDS, N-VDSどちらの利用でもかまいませんが、オーバーレイネットワークを指定する必要があります。 |
英語版製品Q&A「Overlay Transport Zone is requirement when deploying Trend Micro Deep Security with NSX-T 」の最下部にある画像(表)も併せてご覧ください。
Q. DSVAの ens0 のNICに何か要件はありますか?
A. DSMにつながる設定であることが必須条件になります。お客様ご自身の環境に合わせて設定してください。
英語版製品Q&A の最下部の表のSituation No.1の行が該当する説明の箇所になります。
Q. DSVAの eth1 のNICに何か要件はありますか?
A. ありません。DSVAがデプロイされる際に自動で設定されます。
英語版製品Q&A の最下部の表のSituation No.2の行が該当する説明の箇所になります。
Q. DSVAの eth2 のNICに何か要件はありますか?
A. ありません。DSVAがデプロイされる際に自動で設定されます。
英語版製品Q&A の最下部の表のSituation No.3の行が該当する説明の箇所になります。
仮想マシンが使用するネットワークに関する質問
Q. 保護対象の仮想マシンのNICはオーバーレイネットワークに接続する必要がありますか?A. ネットワーク系保護機能(※1)を使う場合、必須となります。
ファイル系の保護機能(※2)を使う場合は不要です。
将来的にネットワーク系保護機能の利用を検討されている場合は、ネットワーク構成変更の工数の観点から、構築当初から仮想マシンをオーバーレイネットワークに接続させることをお勧めします。
※1:
「ネットワーク系保護機能」とは次の機能群を指します。(カッコ内は英語版製品Q&A:Overlay Transport Zone is requirement when deploying Trend Micro Deep Security with NSX-T における略称を示します。)
- Webレピュテーション (WRS)
- ファイアウォール (FW)
- 侵入防御 (IPS)
※2:
「ファイル系の保護機能」とは次の機能群を指します。(カッコ内は※1と同様の表記)
- 不正プログラム対策 (AM)
- 変更監視 (IM)
Q. 不正プログラム対策 および ログ監視 機能を使用する予定ですが、自動隔離は使用する予定はありません。
使用できる論理スイッチ (LSW) に制限はありますか。
A. 特にありません。英語版製品Q&A の最下部の表のSituation No.4の行に「Available」と書かれているものがご利用いただけます。
Q. 不正プログラム対策 および ログ監視 機能を使用する予定です。加えて、自動隔離も使用します。
使用できる論理スイッチに制限はありますか。
A. 英語版製品Q&A の最下部の表のSituation No.5の行に「Available」と書かれているものがご利用いただけます。
Q. 英語版製品Q&A の最下部の表の No.4 ~ No.9 についての読み方を教えてください。
A. 有効にしたい機能に「ON」が、自動隔離を有効にする場合は「Using」が、利用可能な論理スイッチに「Available」が、それぞれ書かれています。1行ずつ横に読んでください。「-」はご利用にならない、またはご利用いただけないものを意味します。
機能名の略称は次の通りです。
- 不正プログラム対策 (AM)
- Webレピュテーション (WRS)
- ファイアウォール (FW)
- 侵入防御 (IPS)
- 変更監視 (IM)
- ログ監視 (LI)
- アプリケーションコントロール (AC)
ライセンス関する質問
Q. 「NSX-T for vShield Endpoint」(NSX-Tの無償版ライセンス)を利用予定です。DSVAのどのような機能を利用できますか。A. NSX for vShield Endpointをご利用のお客様でもDSVAを展開することが可能です。
ただし、DSVAで利用できる機能に制限があります。詳細についてはヘルプセンターをご覧ください。
VMware環境の保護 ~Virtual ApplianceおよびNSXを使用するVMware環境
Q. 「NSX-T for vShield Endpoint」(NSX-Tの無償版ライセンス)を利用予定です。VDS や N-VDS を利用せず、標準仮想スイッチのみで DSVA 環境は構築可能ですか。
A. 標準仮想スイッチのみでの構築はできません。ご利用いただける仮想スイッチの種別は、次の情報とともにVMware社へお問合せください。
- vSphereのバージョン
- vSphereのライセンス種別
- NSX-Tのバージョン
- NSX-Tのライセンス種別