ビジネスサポートポータルアカウントでログイン
 

NSX-T 2.5.XへのDSVAのサービス展開方法

    • 更新日:
    • 13 Nov 2020
    • 製品/バージョン:
    • Trend Micro Deep Security 12.0
    • OS:
    • Virtual Appliance
概要

VMware NSX-T Data Center(以下NSX-T) 2.5.XへのDSVAのサービス展開方法を教えてください。

詳細
Public
NSX-T2.5.XではGuest Introspectionの仕様の変更により、DSVAなど3rd Party Security VMを各ホストへデプロイする際にNSX Managerがソフトウェアパッケージに対するデジタル署名のチェックが実行するプロセスが追加されています。そのため、NSX-T2.5.XにてDSVAを展開する場合はデジタル署名がされたDSVAのOVFファイルを使用いただく必要がございます。

NSX-T2.5.X に関しましてはデジタル署名がされたパッケージである Appliance-ESX-12.0.0-682.x86_64.zipをご利用ください。Deep Securityソフトウェア内のApplianceの項からダウンロード可能です。
 

デプロイ前のDSVAのリソース指定に関して


デジタル署名がされていない従来(Appliance-ESX-12.0.0-682.x86_64.zipより前)のDSVAソフトウェアパッケージを利用してデプロイした場合、またはDSVAソフトウェアパッケージ内のovfファイルを修正(vCPU及びメモリ設定の変更など)しデプロイした場合にはデジタル署名のチェックに失敗してデプロイが行えないものとなります。

デプロイ失敗時の画像例:
ユーザが追加した画像

DSVAをデプロイする際にvCPU及びメモリを指定する場合はデプロイするソフトウェアパッケージを指定することで可能となります。
Appliance-ESX-12.0.0-682.x86_64.zipでは以下4つのタイプのソフトウェアパッケージ(ovf)に対してVMware社のデジタル署名がされた形で提供されます。
 
OVF FilesvCPUMemory
dsva.ovf24096MB
dsva-small.ovf28192MB
dsva-middle.ovf416384MB
dsva-large.ovf624576MB

指定にはDSMにてNSX-T ManagerがアクセスするDSVAソフトウェアパッケージのダウンロード先を指定して、DSVAデプロイ時にOVFファイルをダウンロードできるように設定します。


[管理コンソール]>[コンピュータ]> [該当vCenterのプロパティ]>[NSX設定]>[Virtual Appliance OVFのURL:]

ユーザが追加した画像

参考ドキュメント:アプライアンスのOVFの場所を設定する
 

NSX-T 2.5.X ご利用時の留意事項

DSMなどの3rd Partyコンソールが自己署名証明書を提供する場合、NSX-T 2.5.0では証明書チェックメカニズムにおいてSSL証明書に関する問題が確認されております(詳細はVMware社様のKB:Using the correct untar tool and appropriate MIME types for NSX intelligence (74962)を参照ください)。DSMのURLはHTTPSのため本影響により、NSX-T Managerはソフトウェアパッケージの取得を行うことができずSecurity VM(DSVA)のデプロイに失敗が発生する問題がございます。

現在のところ上記問題の影響から、NSX-T 2.5.0の環境にてDSVAの展開を行う場合、DSVAソフトウェアパッケージを配置された別途HTTPサーバが必要となります。Appliance-ESX-12.0.0-682.x86_64.zipの展開をいただきHTTPサーバに配置の上、対象のovfファイルのURLをDSMにて指定ください。

設定例:
http://[HTTPサーバのURL]/[ディレクトリ名]/dsva-xxxx.ovf
 

本事象に関しましてはNSX-T 2.5.1以降のバージョンにて修正がされておりますが、HTTPサーバなしでのDSVAのデプロイを行うにはDeep Security Managerが12.0 Update8以降である必要がございます。詳細は以下のマトリクスをご確認ください。なお、本事象はNSX-T 3.0/DS 20.0の環境では解消されております。

NSX-Tのバージョン

DSMのバージョン

DSM 12.0 Update7以前

DSM 12.0 Update8以降

2.5.0

HTTPサーバが必要

HTTPサーバが必要

2.5.1

HTTPサーバが必要

原則としてHTTPサーバが必要になります。しかしながら回避策として、NSX-T Managerにて以下のコマンドの実施によるiptablesへのレコード追加によりDSMの4119ポート(DSMがOVFを提供するポート)に関する通信を使用可能となりDSMからOVFファイルをダウンロードできるようになります。 そのため、本回避策の実施の場合はHTTPサーバは不要となります。

iptables -A OUTPUT -p tcp --dport 4119 -j ACCEPT

本コマンドにつきましては以下のVMware側のKBに基づきます。具体的な実行方法などコマンド自体に関するお問い合わせはVMware社様へお問い合わせください。

https://kb.vmware.com/kb/76707

2.5.2以降

HTTPサーバが必要

HTTPサーバは不要

 
Premium
Internal
Partner
評価:
カテゴリ:
Deploy; Install; SPEC
Solution Id:
000158120
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!


*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド