本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。
NSX環境での自動ポリシー管理
NSX環境のVMのセキュリティ設定は、VMのNSXセキュリティグループの変更に基づいて自動的に変更できます。セキュリティ設定の自動化は、NSX Security Group Changeイベントベースのタスクを使用して実行されます。
仮想マシンはNSXセキュリティグループ、NSXセキュリティグループはNSXセキュリティポリシー、NSXセキュリティポリシーはNSXサービスプロファイルに、それぞれ関連付けられます。
「NSXセキュリティグループの変更」イベントベースタスク
Deep Securityには、特定の条件で特定のイベントが検出されたときに処理を実行するように設定できるイベントベースタスク (EBT) があります。NSXセキュリティグループの変更EBTを使用すると、仮想マシンが属しているNSXセキュリティグループへの変更が検出されたときに、その仮想マシンの保護設定を変更できます。
このタスクを変更するには、Deep Security Managerで [管理]→[イベントベースタスク] に進みます。
NSXセキュリティグループの変更EBTは、次のいずれかのイベントが発生した場合に開始されます。
- Default (EBT) NSXサービスプロファイルに間接的に関連付けられたNSXグループに仮想マシンが追加された場合。
- Default (EBT) NSXサービスプロファイルに関連付けられたNSXグループから仮想マシンが削除された場合。
- Default (EBT) NSXサービスプロファイルに関連付けられたNSXポリシーがNSXグループに適用された場合。
- Default (EBT) NSXサービスプロファイルに関連付けられたNSXポリシーがNSXグループから削除された場合。
- NSXポリシーがDefault (EBT) NSXサービスプロファイルに関連付けられます。
- NSXポリシーがDefault (EBT) NSXサービスプロファイルから削除されます。
- Default (EBT) NSXサービスプロファイルに関連付けられたNSXグループの名前が変更された場合。
変更によって影響を受ける仮想マシンごとにイベントがトリガされます。
タスクを実行する条件
次の条件を「NSXセキュリティグループの変更」イベントベースタスクに適用して、処理を実行する前にテストすることができます。
- コンピュータ名: ゲスト仮想マシンのホスト名。
- ESXi名: ゲスト仮想マシンが実行されているESXiのホスト名。
- フォルダ名: ESXiフォルダ構造にあるゲスト仮想マシンのフォルダ名。
- NSXセキュリティグループ名: 変更されたNSXセキュリティグループの名前。
- プラットフォーム: ゲスト仮想マシンのOS。
- vCenter名: ゲスト仮想マシンが属するvCenterの名前。
- Appliance保護が利用可能: 仮想マシンがホストされているESXi上にDeep Security Virtual Applianceがあり、仮想マシンを保護できる。仮想マシンの状態が有効化済みになっているかどうかは問いません。
- Appliance保護が有効化済み: Deep Security Virtual Applianceを使用して、有効化されている仮想マシンをホストしているESXi上の仮想マシンを保護できます。
- 最後に使用されたIPアドレス: 仮想マシンコンピュータの現在の、または最後に確認されたIPアドレス。
これらの条件およびイベントベースタスクの概要については、コンピュータの追加または変更時にタスクを自動的に実行する(イベントベースのタスク)を参照してください。
NSXセキュリティグループ名条件は、NSXセキュリティグループの変更イベントベースタスクへの変更に対するものです。
プロパティが変更された、仮想マシンが属しているNSXセキュリティグループに一致するJava正規表現を受け付けます。次の2つの特殊なケースがあります。
- いずれかのグループのメンバーシップに対する一致。この場合に推奨される正規表現は「+」です。
- グループのメンバーシップに対する不一致。この場合に推奨される正規表現は「^$」です。
他の正規表現としては、特定のグループ名または部分名 (複数のグループに一致) などがあります。
実行可能な処理
仮想マシンが属しているNSXセキュリティグループへの変更を検出したときに、仮想マシンに対して次の処理を実行できます。
- コンピュータの有効化: Deep Security Virtual Applianceによる保護を有効化します。この処理は、Deep Securityで保護されたNSXセキュリティグループに仮想マシンを移動した場合に使用します。
- コンピュータの無効化: Deep Security Virtual Applianceによる保護を無効化します。この処理は、Deep Securityで保護されたNSXセキュリティグループから仮想マシンを移動した場合に使用します。仮想マシンが保護されなくなるため、Deep Securityで保護されたNSXセキュリティグループから仮想マシンを移動したときにこの処理が実行されない場合は、アラートが発生します。
- ポリシーの割り当て: Deep Securityポリシーを仮想マシンに割り当てます。
- Relayグループの割り当て: Relayグループを仮想マシンに割り当てます。
vCenterがDeep Security Managerに追加されたときに作成されるイベントベースタスク
NSX Managerと連携したvCenterをDSMに追加したときに、2つのイベントベースタスクを作成できます。vCenterの追加ウィザードの最後の画面にチェックボックスが表示されます。オンにした場合、2つのイベントベースタスクが作成されます。1つは、保護が追加されたときに仮想マシンを有効化し、もう1つは、保護が削除されたときに仮想マシンを無効化します。
最初のイベントベースタスクは、次のように設定されます。
- 名前: <vCenter名>を有効化します。この<vCenter名>は、vCenterプロパティの [名前] フィールドに表示される値です。
- イベント: NSXセキュリティグループの変更
- タスクの有効化: True
- 処理: 5分間の遅延後にコンピュータを有効化します
- 条件:
- vCenter名: EBTはvCenter固有のため、<vCenter名>が一致している必要があります。
- Appliance保護が利用可能: True。有効化されたDeep Security Virtual Applianceが同じESXi上に配置されている必要があります。
- Appliance保護が有効化済み: False。無効化されている仮想マシンにのみ適用されます。
- NSXセキュリティグループ:「.+」。1つ以上のDeep Securityグループのメンバーである必要があります。
たとえばDeep Security保護ポリシーを適用したり、別のRelayグループを割り当てたりして、このイベントベースタスクに関連付けられた処理を変更できます。既存のイベントベースタスクの処理 (およびその他のプロパティ) は、Deep Security Managerの [管理]→[イベントベースタスク] 画面で編集できます。
2つ目のイベントベースタスクは、次のように設定されます。
- 名前: <vCenter名>を無効化します。この<vCenter名>は、vCenterプロパティの [名前] フィールドに表示される値です。
- イベント: NSXセキュリティグループの変更
- タスクの有効化: False
- 処理: コンピュータを無効化します
- 条件:
- vCenter名: <vCenter名>。イベントベースタスクはvCenter固有のため、一致する必要があります。
- Appliance保護が有効化済み: True。有効化されている仮想マシンにのみ適用されます。
-
NSXセキュリティグループ:「^$」。グループのメンバーであってはなりません。
イベントベースタスクは初期設定で無効化されています。vCenterのインストールの完了後に、必要に応じて有効化したりカスタマイズしたりできます。
Deep Security ManagerからvCenterを削除する
vCenterをDeep Security Managerから削除すると、次の条件を満たすすべてのイベントベースタスクが無効化されます。
- vCenter名の条件は、削除するvCenterの名前に一致します。これは完全一致である必要があります。複数のvCenter名に一致するイベントベースタスクは、無効化されません。
- イベントベースタスク「イベントタイプ」は、「NSXセキュリティグループの変更」です。他のタイプのイベントベースタスクは、無効化されません。
Deep Security ManagerからvCenterを削除するには、最初にNSXからDeep Securityを削除する必要があります。NSXからDeep Securityを削除する手順と、Deep Security ManagerからvCenterを削除する手順については、NSX環境からのDeep Securityのアンインストールを参照してください。