概要
VMware NSX-T Data Center(以下NSX-T) 2.5.XへのDSVAのサービス展開方法を教えてください。
詳細
NSX-T2.5.XではGuest Introspectionの仕様の変更により、DSVAなど3rd Party Security VMを各ホストへデプロイする際にNSX Managerがソフトウェアパッケージに対するデジタル署名のチェックが実行するプロセスが追加されています。そのため、NSX-T2.5.XにてDSVAを展開する場合はデジタル署名がされたDSVAのOVFファイルを使用いただく必要がございます。
NSX-T2.5.X に関しましてはデジタル署名がされたパッケージである Appliance-ESX-12.0.0-682.x86_64.zipをご利用ください。Deep Securityソフトウェア内のApplianceの項からダウンロード可能です。
デジタル署名がされていない従来(Appliance-ESX-12.0.0-682.x86_64.zipより前)のDSVAソフトウェアパッケージを利用してデプロイした場合、またはDSVAソフトウェアパッケージ内のovfファイルを修正(vCPU及びメモリ設定の変更など)しデプロイした場合にはデジタル署名のチェックに失敗してデプロイが行えないものとなります。
デプロイ失敗時の画像例:
DSVAをデプロイする際にvCPU及びメモリを指定する場合はデプロイするソフトウェアパッケージを指定することで可能となります。
Appliance-ESX-12.0.0-682.x86_64.zipでは以下4つのタイプのソフトウェアパッケージ(ovf)に対してVMware社のデジタル署名がされた形で提供されます。
指定にはDSMにてNSX-T ManagerがアクセスするDSVAソフトウェアパッケージのダウンロード先を指定して、DSVAデプロイ時にOVFファイルをダウンロードできるように設定します。
[管理コンソール]>[コンピュータ]> [該当vCenterのプロパティ]>[NSX設定]>[Virtual Appliance OVFのURL:]
参考ドキュメント:アプライアンスのOVFの場所を設定する
現在のところ上記問題の影響から、NSX-T 2.5.0の環境にてDSVAの展開を行う場合、DSVAソフトウェアパッケージを配置された別途HTTPサーバが必要となります。Appliance-ESX-12.0.0-682.x86_64.zipの展開をいただきHTTPサーバに配置の上、対象のovfファイルのURLをDSMにて指定ください。
設定例:
http://[HTTPサーバのURL]/[ディレクトリ名]/dsva-xxxx.ovf
NSX-T2.5.X に関しましてはデジタル署名がされたパッケージである Appliance-ESX-12.0.0-682.x86_64.zipをご利用ください。Deep Securityソフトウェア内のApplianceの項からダウンロード可能です。
デプロイ前のDSVAのリソース指定に関して
デジタル署名がされていない従来(Appliance-ESX-12.0.0-682.x86_64.zipより前)のDSVAソフトウェアパッケージを利用してデプロイした場合、またはDSVAソフトウェアパッケージ内のovfファイルを修正(vCPU及びメモリ設定の変更など)しデプロイした場合にはデジタル署名のチェックに失敗してデプロイが行えないものとなります。
デプロイ失敗時の画像例:
DSVAをデプロイする際にvCPU及びメモリを指定する場合はデプロイするソフトウェアパッケージを指定することで可能となります。
Appliance-ESX-12.0.0-682.x86_64.zipでは以下4つのタイプのソフトウェアパッケージ(ovf)に対してVMware社のデジタル署名がされた形で提供されます。
| OVF Files | vCPU | Memory |
| dsva.ovf | 2 | 4096MB |
| dsva-small.ovf | 2 | 8192MB |
| dsva-middle.ovf | 4 | 16384MB |
| dsva-large.ovf | 6 | 24576MB |
指定にはDSMにてNSX-T ManagerがアクセスするDSVAソフトウェアパッケージのダウンロード先を指定して、DSVAデプロイ時にOVFファイルをダウンロードできるように設定します。
[管理コンソール]>[コンピュータ]> [該当vCenterのプロパティ]>[NSX設定]>[Virtual Appliance OVFのURL:]
参考ドキュメント:アプライアンスのOVFの場所を設定する
NSX-T 2.5.X ご利用時の留意事項
DSMなどの3rd Partyコンソールが自己署名証明書を提供する場合、NSX-T 2.5.0では証明書チェックメカニズムにおいてSSL証明書に関する問題が確認されております(詳細はVMware社様のKB:Using the correct untar tool and appropriate MIME types for NSX intelligence (74962)を参照ください)。DSMのURLはHTTPSのため本影響により、NSX-T Managerはソフトウェアパッケージの取得を行うことができずSecurity VM(DSVA)のデプロイに失敗が発生する問題がございます。現在のところ上記問題の影響から、NSX-T 2.5.0の環境にてDSVAの展開を行う場合、DSVAソフトウェアパッケージを配置された別途HTTPサーバが必要となります。Appliance-ESX-12.0.0-682.x86_64.zipの展開をいただきHTTPサーバに配置の上、対象のovfファイルのURLをDSMにて指定ください。
設定例:
http://[HTTPサーバのURL]/[ディレクトリ名]/dsva-xxxx.ovf
本事象に関しましてはNSX-T 2.5.1以降のバージョンにて修正がされておりますが、HTTPサーバなしでのDSVAのデプロイを行うにはDeep Security Managerが12.0 Update8以降である必要がございます。詳細は以下のマトリクスをご確認ください。なお、本事象はNSX-T 3.0/DS 20.0の環境では解消されております。
|
NSX-Tのバージョン |
DSMのバージョン | |
|
DSM 12.0 Update7以前 |
DSM 12.0 Update8以降 | |
|
2.5.0 |
HTTPサーバが必要 |
HTTPサーバが必要 |
|
2.5.1 |
HTTPサーバが必要 |
原則としてHTTPサーバが必要になります。しかしながら回避策として、NSX-T Managerにて以下のコマンドの実施によるiptablesへのレコード追加によりDSMの4119ポート(DSMがOVFを提供するポート)に関する通信を使用可能となりDSMからOVFファイルをダウンロードできるようになります。 そのため、本回避策の実施の場合はHTTPサーバは不要となります。 iptables -A OUTPUT -p tcp --dport 4119 -j ACCEPT 本コマンドにつきましては以下のVMware側のKBに基づきます。具体的な実行方法などコマンド自体に関するお問い合わせはVMware社様へお問い合わせください。 https://kb.vmware.com/kb/76707 |
|
2.5.2以降 |
HTTPサーバが必要 |
HTTPサーバは不要 |
