皆様こんにちは。VMwareの進藤と申します。

昨年の VMworld では NSX の正式発表で大変盛り上がりましたが、今年の VMworld でもNSX 関係は大いに盛り上がっていました。基調講演では 、 マイクロ セグメンテーションによるデータセンタ ネットワークのセキュリティ向上のためにNSXを採用するケースが急激に増えており、キラーアプリケーション化している事が取り上げられていました。今年も50 以上の NSX 関連 Break Out セッションが開催され、NSX のハンズオンラボは昨年に引き続き今年も最も人気のあるハンズオンラボとなり、その関心度の高さを示す結果となっていました。

また、今回NSX 6.1 の新機能の発表もあり、Edgeルータでの等コストマルチパス（ECMP）ルーティングのサポート、DHCP Relayのサポート、vCloud Automation Center (vCAC) 6.1とのより密な統合、などが発表になりました。

今年のNSX関連の Breakoutセッションは、 NSX入門からルーティング、ファイヤーウォールなどの各種機能のDeep Dive、ユースケース紹介、3^rdパーティ製品との連携、運用＆トラブルシュート、さまざまなデモ、技術者認定資格、今後のNSXの方向性まで、非常に広範囲に渡っていましたのが印象的でした。

50以上あるセッションを一人で回るのは不可能でしたので、以下、私が参加したセッションのうちいくつかを簡単にご紹介したいと思います。

NET 1589 Reference Design for SDDC with NSX & vSphere

こちらのセッションは vSphere環境でNSXを使う際の設計上のベストプラクティスとリファレンスデザインについての解説をしてくれるセッションでした。NSXをvSphere環境で使う際の設計上の考慮点について、これまでさまざまなお客様でNSXを導入した際の経験から得られた知見を元に、どのようにNSXを適用すべきかを解説してくれていました。具体的にはNSX Edgeをどのように配置すべきか、論理ルーティングのトポロジー、典型的な企業ネットワークとクラウドのようなマルチテナント環境でのトポロジー設計の違い、分散ファイヤーウォールを使ったマイクロ セグメンテーションの実現方法など、それぞれのシナリオにおいて最も適切と思われる設計指針を示してくれていました。もちろん実際にはお客様の要件に応じて 設計を変更する必要があるかもしれませんが、このようなリファレンスデザインが示されれば、 よりスムーズなNSXの設計とデプロイメントにつながるので大きな意義があると思います。

 NET1674 Advanced Topics & Future Directions in Network Virtualization with NSX

MPLSの父の一人とされているBruce Davieが、今後のNSXで取り組んで行く幾つかの方向性について熱く語りました。大きなトラフィックフローと小さなトラフィックフロー（ElephantフローとMiceフローとも呼ばれます）を区別し、適切な処理をすることによるネットワークの最適化手法とその効果 、Geneveを含む 各種トンネル 方式 、次世代ネットワークで必要となるサービス・チェイニング、マルチサイトにおけるネットワークの仮想化、MPLSとNSXの連携、など幅広いトピックをカバーしていました。1,000人ほどの会場がほぼ満席という状態で、人気のほどを伺わせるセッションでした。
NET1949 VMware NSX for Docker, Containers & Mesos

こちらのセッションでは、vSphere、NSX、VSAN、OpenStackといったSDDC環境基盤上に、DockerとApache Mesosを使って伸縮性のある（elasticな）アプリケーション環境を実現するデモンストレーションを行っていました。今回のデモでは、 VoIPソフトウェアであるMarathonでコールを受け、その発信元の 電話番号をDatabaseに蓄え、後にその番号に対してSMSでメッセージを送るというアプリケーションをSDDC環境上に用意してありましたが、この環境はコール数に応じて MarathonとDatabaseがDockerでelasticに生成され、負荷に柔軟に追従できるようになっていました。実際に会場の参加者から電話をかけてもらい、このアプリケーションがコール数によって動的に伸縮するのをお見せするともに、その場でこのアプリケーションのコードを書き換え、Dockerの機動性を利用してその場で新しいアプリケーションをデプロイしてみせる、といった俊敏性も見せていました 。Dockerの各インスタンスはNSXが提供するセキュリティで保護されており、物理ネットワークに全く触る事なく、このようなアプリケーションを柔軟かつ俊敏に利用できるSDDC環境に会場からは拍手が湧いていました。

■来年にむけて
例年にも増してVMworld 2014では新しい発表がてんこ盛りでした。おかげさまで非常に多くの方に足を運んでいただく事ができ、大盛況のうちにイベントを終える事ができました。来年のVMworldでも、さらに進化をした ヴイエムウェアを皆さんに見ていただく事ができると思いますので、是非VMworld 2015にも足を運んでいただければと思います。また、11月5〜6日に東京で行うvForumもございますので、そちらでもお会いできる事を楽しみにしております。

■ご注意
VMworld 2014速報ブログシリーズでは、USで開催されているVMworld 2014について現地から速報でお届けしています。

発表時点での予定情報であり、本ブログに記載されている製品仕様やロードマップは将来予告無く変更になる可能性があります。

VMware ネットワーク仮想化 Blog

2014年8月のVMworld USにて、ネットワーク仮想化の資格が発表されました。

VMware Certified Professional – Network Virtualization (VCP-NVP)
VMware Certified Implementation Expert – Network Virtualization (VCIX-NV)
VMware Certified Design Expert – Network Virtualization (VCDX-NV)
があり、VCPレベルの資格がVCP-NVです。

一般的なL2スイッチングやL3ルーティング、vSphereのVSS、VDSを始め、NSXに関するインストールや設定、機能、運用、トラブルシューティング、VMware vCloud Networking and SecurityからNSXへのアップグレードまで、幅広い試験範囲となっています。

より詳細な情報は、

http://mylearn.vmware.com/portals/certification/

の [Network Virtualization] – [VMware Certified Professional – Network Virtualization（VCP-NV)] を選択すると、トレーニングコースや試験に関する方法が入手できます。
特に、[Download the Exam Blueprint] には、試験範囲と参考文献がまとめられています。

また、日本では11月にVMware社員有志によって、
「詳解VMware NSX ネットワーク仮想化の基礎と応用」
という本を出版しました。

書店での購入が可能です。NSXにご興味がある方も、もっとNSXを深く知りたい方にも、もちろん、VCP-NVを取得されたい方にもお役に立てるかと思います。
ぜひご一読ください。

みなさまこんにちは。ヴイエムウェアの進藤と申します。

本ブログから数回にわたり、ヴイエムウェアのINTEROP Tokyoへの取り組みについてご紹介をさせていただこうと思います。

ヴイエムウェアとINTEROP

ヴイエムウェアとしてINTEROP Tokyoに参加するのは今年で3回目となります。2013年はSDN Showcaseという特設会場に小さなブースを構え、NSXのご紹介とOpenStackなどとの連携のデモをさせていただきました。狭いブースにもかかわらず大変多くの方に足を運んでいただいたため、翌年の2014年は初めて自社のブースを構え、ヴイエムウェアのソリューション（ネットワーク、SDDC、EUC）を包括的にご紹介させていただきました。また、 この年にはHorizon 6がBest of Show Awardの「ワークスタイルイノベーション部門」においてグランプリをいただくことができました。

2015年は前年よりもさらにブース面積を拡大し、ネットワーク仮想化＆セキュリティ、ネットワーク・モバイル運用管理、ハイブリット/パブリッククラウドの３つのコーナーを設けヴイエムウェアの製品ソリューション群をご紹介させていただきました。ネットワーク仮想化＆セキュリティ・コーナーでは、NSXを中心にサードパーティ製のセキュリティーソリューションと組み合わせた例などをご紹介しました。また、ネットワーク・モバイル運用管理コーナーでは、vRealize OperationsやvRealize Log Insightなどの弊社運用管理ソフトウェアを展示するとともに、モバイル管理ソリューションとしてAirWatchのデモンストレーションもさせていただきました。ハイブリット/パブリッククラウド・コーナーにおいては、vCloud Airおよび新機能であるvCloud Air Advanced Networking Servicesのご紹介をさせていただきました。おかげさまでvCloud Air Advanced Networking Servicesは今年のBest of Show Awardの「クラウドプラットフォーム部門」でグランプリをいただくことができました。

なお、各コーナーでの出展内容の詳細につきましては、次回以降のブログエントリにてさらに詳しくご紹介をさせていただこうと思います。

基調講演

また、弊社Senior Vice President兼General Managerのマーティン・カサド（Martin Casado）による基調講演もここ３年連続で努めさせていただいます。今年の講演テーマは「クラウド時代の次世代ネットワーク＆セキュリティの姿〜VMware NSXのビジネスメリットとユースケース」として、自身の経験なども交えながら、ネットワーク仮想化の新しいユースケースとして大きな注目を集めている次世代ネットワークセキュリティの話をさせていただき、 大変盛況でした。

ShowNet

もう一つヴイエムウェアがINTEROPで取り組んでいることとして、ShowNetへのコントリビューションがあります。ShowNetとは、INTEROPの会場で実際に出展社や来場された方々へ提供しているネットワークのことで、このネットワークはINTEROPに参加している多くの企業様から機器の提供を受けて作られています。ShowNetは多種多様な機器が組み合わされて作られており、また最先端の技術を試す場ともなっているため、ShowNetの構築は簡単なことではありません。そのため、ShowNetへ機器やサービスを提供するコントリビュータはINTEROPの会期前10日間程度幕張の会場に泊まり込みShowNetの構築にあたります（この作業は「HotStage」と呼ばれています）。ヴイエムウェアもこのShowNetコントリビュータを努めさせており、ShowNetのサーバ基盤をささえるハイパーバイザとしてvSphereの提供はもちろんのこと、NSXや運用管理ソフトウェアのvRealize Log InsightやvRealize Operationsなどを提供させていただいています。以下、 今年のShowNetへのヴイエムウェアとしてのコントリビューション内容を簡単にご紹介したいと思います。

まず、vSphereの最新版であるvSphere 6.0を提供をさせていただき、ShowNetのサーバ仮想化基盤を提供させていただきました。

ShowNetではここ数年VXLANによるマルチベンダ相互接続試験を行ってきましたが、VXLANのデータプレーン自体は各社の実装もこなれてきており充分に「使える技術」になったと考え、今年 はVXLAN自体の相互接続試験は行わず、VXLANのためのコントロールプレーンの相互接続試験を行うことにしました。現在、VXLANのためのコントロールプレーンとして主に使われているのは「 EVPN」と「OVSDB」の二つです。今回EVPN陣営からは、Cisco、Juniperが機器を提供、またNTTソフトウェアイノベーション研究所（NTT-SIC）がCumulusスイッチの上にオープンソースのEVPN対応BGP実装を載せて相互接続に参加しました。一方、OVSDB陣営からは、弊社のネットワーク仮想化ソフトウェア「NSX」がコントローラとなり、JuniperやDELL（Cumulus）などのスイッチを制御しました。また、Juniperを使ったVXLANルーティングにも挑戦し無事に動作することを確認しました。

また、ShowNetのようなマルチベンダー環境でネットワークをいかに管理していくかというのも重要なポイントです。そこでヴイエムウェアとしてはvRealize Log Insightを提供し、さまざまな機器から出力されるログをvRealize Log Insightに集め、管理＆解析を行いました。INTEROP会期中はShowNetは世界中から攻撃の対象になります。そのような攻撃が来た場合でも各セキュリティ機器がそのような攻撃を検出し対処しますが、その際vRealize Log Insightにログを出力するようになっているため、Log InsightでShowNet全体のセキュリティ状況を可視化し 簡単に俯瞰するのに大変役立ちました。また、今回は vRealize Operationsというヴイエムウェアの統合管理システムもShowNetに提供し、vSphere環境の監視やNSX環境の監視管理に活用されました。

次回予告

次回は、「ネットワーク仮想化の運用管理〜全体 & vRealize Operations編」をお届けする予定です。どうぞお楽しみに！

The post INTEROP Tokyo 2015 パート1 appeared first on The Network Virtualization Blog.

こんにちは。VMwareの高田です。

今回と次回は、INTEROP Tokyo 2015のVMwareブースで展示しましたネットワーク仮想化のための運用管理について、ご紹介します。

まず、現状のITで考えられる運用管理の課題として、どんなものがありますか？

1. ダウンタイムの発生とパフォーマンスの低下
   問題の原因追求を加速し、サービス品質の向上
2. コストと予算の削減
   IT資源の最適な使用率と運用の効率化が要求されている
3. サイロ化された運用で統合的に管理することが難しい
   物理、仮想、ストレージ、ネットワーク、アプリケーション等にわたって統合的なソリューションで運用を一本化

などが一般的に考えられます。近年は、物理や仮想環境に限らず、またプライベートクラウドやハイブリッドクラウドに限らず、アプリケーションに限らず、このような課題を解決する手段が求められているかと思います。

VMwareのネットワーク仮想化、NSX を運用するにあたっても同じで、特に求められる運用の要件としては従来のネットワーク同様、

1. モニタリング
   可用性、パフォーマンス、キャパシティ
2. トラブルシューティング
   トポロジーの可視化（物理と仮想の両方）、フローとパケットレベルの分析、より高度なトラブルシューティング
3. ロギング/監査
   ログ分析、イベントの収集、監査とコンプライアンスチェック

があります。これらを満たすために、まずVMware vSphereとNSXが提供する機能を利用できます。

例えば、vSphereとしては、

・vSphere Web Clientでのネットワークのパフォーマンス統計　
・ネットワークの監視と仮想マシントラフィックを監視するために分散スイッチで行うNetFlow/IPFIX
・分散ポートのトラフィックを他の分散ポートまたは特定にアップリンクやIPにミラーリングするパケットキャプチャ
・SNMPを使用した通知と要求の受信
・pktcap-uwユーティリティによるvSphere標準スイッチや分散スイッチのポートを通過するネットワークパケットの監視
・分散スイッチ設定のバックアップとリストア
・ESXiの各種コマンドラインインターフェース

の機能を利用でき、NSX（以降、NSX-vSphereを想定して説明します）は、

・論理スイッチの健全性確認のためのコネクティビティのモニタリング
・仮想マシンのトラフィックフローをvNICレベルで可視化するフローモニタリング
・Edgeゲートウェイ上のサービスのスループットや接続統計情報
・NSXが提供するRESTful APIによるデータセンタ、ポートグループ、仮想マシン、vNIC単位でのフロー統計データの収集
・NSXコンポーネントの各種コマンドラインインターフェース

などが用意されています。
具体的な方法については、NSXの運用ガイドをご参照ください。

さらに、トラブルシューティングやログ分析、視認性を向上させるために、VMwareでは、vRealize Operations（旧称：vCenter Operations Management Suite）と vRealize Log Insight（旧称：vCenter Log Insight）でのNSX向け対応を行っています。次は、それらをNSXのためにどのように利用できるかをご説明します。

NSXのためにvRealize Operationsを利用する

vRealize Operationsは、インフラストラクチャやビジネス クリティカルなアプリケーションのパフォーマンス、キャパシティ、健全性を把握し、トラブルシューティングや包括的な視認性を提供する製品です。VMware vSphere環境はもちろん、パートナーの製品やソリューション、アプリケーションなどのための「管理パック」というものを適用することで専用のダッシュボードを提供しています。NSX用にも管理パックを用意しており、vRealize Operations バージョン6.0以降とNSX-vSphere 6.0.4以降の組み合わせでは、NSX-vSphere 管理パック 2.0が利用でき、NSX単体では困難な、NSX環境全体の健全性やオブジェクトのトポロジやオブジェクトパス、トラブルシューティング方法などがひと目でわかる、メインビュー、トポロジ、オブジェクトパス、トラブルシューティング、の4つが利用できます。

まず、NSX-vSphere メイン ダッシュボードについて説明します。メインダッシュボードはNSXのネットワークオブジェクトの健全性や全体概要を提供します。

① [NSX-vSphere 環境] では、現在vRealize Operationsでモニタリングしている環境のリストで、複数ある場合は対象のものを選択します。
② [NSX-vSphere の主要コンポーネント] は、選択した環境のNSXに関連する主要なコンポーネントを、[健全性] [ワークロード]
[アノマリ] [障害] [リスク] [残り時間] [残りキャパシティ] [ストレス] をバッチから選択して、色によって確認できます。
③ [オブジェクト] は、NSXオブジェクトの [健全性] [リスク] [効率] を数値と共に一覧で表示します。
④ [オープンアラート] は、NSXマネージャー等からのアラートをクリティカルレベルと共に表示します。
⑤ [トラフィック別の上位論理ネットワーク (KBps) ] は、論理スイッチのトラフィック量をトップ5の使用率が高い順に表示します。
⑥ [トランスポート層] は、[トランスポートノードの健全性] [トランスポートノードのワークロード] [トランスポートノードのネットワークワークロード] [vSphere分散スイッチ] 別にヒートマップで表示します。
⑦ [トラフィック別の上位仮想マシン (KBps) ] は、仮想マシンのトラフィック量をトップ5の使用率が高い順に表示します。

次は、NSX-vSphere トポロジ ダッシュボードについて説明します。トポロジ ダッシュボードは、NSX環境で展開されたオブジェクトのトポロジを可視化するために使用します。

① [NSX-vSphere 環境] では、メインダッシュボード同様にvRealize Operations管理下の1つまたは複数から対象の環境を選択します。
② [オブジェクト] で、トポロジを確認したい対象のオブジェクトを選択します。
③ [論理トポロジ] は、選択したオブジェクトと関連するオブジェクトの論理トポロジを表示します。
④ [物理トポロジ] は、論理トポロジが接続されている物理インフラのトポロジを表示します。
⑤ [優先度の高い問題] は、物理トポロジと論理トポロジで選択したオブジェクトのアラートを表示します。
⑥ [メトリック] は、物理トポロジと論理トポロジで選択したオブジェクトのメトリックを表示します。

次は、NSX-vSphere オブジェクトパス ダッシュボードについて説明します。トポロジダッシュボードは、NSX環境で展開されたオブジェクトのトポロジを可視化するために使用します。

① [NSX-vSphere環境] では、メインダッシュボード同様にvRealize Operations管理下の1つまたは複数から対象の環境を選択します。
② [オブジェクト] で、対象の環境内のオブジェクトリストを表示し、パスを確認したい対象のオブジェクトを2つ選択します。
③ [論理パス] は、選択したオブジェクトが接続する論理ネットワークの論理パスを表示します。
④ [物理パス] は、選択したオブジェクトが接続する物理インフラの物理パスを表示します。

最後は、NSX-vSphere のトラブルシューティング ダッシュボードについて説明します。トラブルシューティング ダッシュボードは、NSX環境でのトラブルシューティングをサポートするために使用します。

① [NSX-vSphere 環境] は、メインダッシュボード同様にvRealize Operations管理下の1つまたは複数から対象の環境を選択します。
② [NSX-vSphere 論理スイッチ] は、選択した環境のNSXで構成された論理スイッチのリストを表示し、[健全性] [リスク] [効率] を数値と共に一覧で表示します。
③ [データ収集結果] は、選択したオブジェクトに関するアクションの結果を表示します。

このように、仮想化によるネットワークの要素やトラブルシューティングのための情報を、わかりやすく表示できることで、運用管理の工数軽減につながることをご理解いただけたかと思います。vRealize Operationsのその他の使い方は、Japan Cloud Infrastructure Blog (日本語) を、またvRealize Operationsの管理パックについてはVMware Solution Exchangeをご参照ください。

次回は、ネットワーク仮想化の運用管理の続きです。

The post INTEROP Tokyo 2015 パート2: ネットワーク仮想化の運用管理 1 appeared first on The Network Virtualization Blog.

前回に続き、INTEROP Tokyo 2015で展示のネットワーク仮想化のための運用管理をご紹介します。

まず、vRealize Log Insightを利用したネットワークの運用管理について、ご紹介します。

NSXのためにvRealize Log Insightを利用する

vRealize Log Insightは、システム監視、トラブルシューティング、根本原因の分析などに必要なログを収集、解析、検索できるログ管理機能を提供します。VMwareの仮想化環境に最適化されていますが、物理機器やWindows等のOSからのログデータにも利用できます。

vRealize Operations同様のVMware製品を含む特定の製品やログに関するダッシュボード、フィールドの抽出、クエリの保存、アラートを提供するためのコンテンツパックがあります。コンテンツパックはLog Insightのコンテンツパック マーケットプレイスから数クリックでインストールすることもできます。

現在提供しているNSX-vSphere用コンテンツパック 1.0は、vRealize Log Insight 2.5以降とNSX-vSphere 6.1以降の環境に対応し、

• 一般的なインストール/設定問題
• 論理スイッチ
• 論理ルータ
• 分散ファイアウォール
• Edgeサービス
• Edgeファイアウォール

について、14個のダッシュボードと80個のウィジェットを用意しています。

最初に見ていただきたいダッシュボードは、NSX-vSphere – Overview です。

NSX-vSphereコンテンツパックで表示される情報に関して、問題やアラートをまとめて表示します。各ウィジェットにどのような情報が表示されるか確認したい場合は、ウィジェットの右上の ”i” アイコンをクリックすると確認できます（例として、NSX-vSphere Edge System Events by severity ウィジェットで表示される情報がどんなものかを知りたい場合は、次の画面イメージの赤枠をクリックしてください）。

NSX-vSphere – Infrastructure ダッシュボードは、NSX-vSphereのインフラストラクチャに関するインストール時や運用開始後の問題について、ログデータから分析し、表示します。

NSXコントローラをデプロイ中に生成されたエラーメッセージやNSXコントローラ間の接続問題、NSX マネージャーとESXiホスト間、NSXマネージャーとNSXコントローラ間、ESXiホストとNSXコントローラ間の通信問題を表示します。

Logical Switch – Overview、Logical Switch – Alertsは、NSXの論理スイッチに関して、作成、削除、更新、問題やエラー等のイベント、VXLANやVTEPに関するアラートを表示します。

Logical Router – Overview、Logical Router – Alertsは、NSXの論理ルータに関して、作成、更新、問題やエラー等のイベント、論理ルータに関するハイパーバイザの問題、OSPFの設定ミスマッチなどを表示します。

Bridge – Alerts は、Bridge設定の追加、削除の問題やエラー等のイベントを表示します。

Distributed Firewall – Overview、Distributed Firewall – Alerts、Distributed Firewall – Traffic、Distributed Firewall – Hypervisor Data、Distributed Firewall – Rule Dataは、NSXの分散ファイアウォールに関して、ファイアウォール アクション（許可、ドロップ、却下）トラフィック、ファイアウォール ルールのヒット数、ファイアウォールルールで行った運用とその認証イベント、設定時の問題やアラート、SpoofGuardのエラー、ファイアウォールトラフィックの送信元や宛先IPアドレス別、ポート番号別の上位トラフィック量、ファイアウォール処理が上位のESXiホストやトラフィック量、ルールID別の上位トラフィック量など、多岐にわたるファイアウォールの情報を表示します。

NSX-vSphere Edge – Overview、NSX-vSphere Edge – Firewallは、NSX Edgeアプライアンスに関する問題やアラート、NSX Edge上で動作するロードバランサ、ファイアウォール、IPsec VPNに関する問題、ファイアウォールのアクション（許可、ドロップ）トラフィック、ファイアウォールトラフィックの送信元や宛先IPアドレス別、ポート番号別の上位トラフィック量、ルールID別上位トラフィック量などを表示します。

これまでご説明のとおり、人手だけでは大変なログの分析に非常に便利なことがご理解いただけたかと思います。特に、物理でも把握が難しいファイアウォールの意図した動作の確認やトラフィック変化の傾向を把握し、実際に具体的なログも追うことができるものとして、Log Insightは有効です。

次に、vRealize OperationsとvRealize Log Insightを組み合わせた利用についてご紹介します。

vRealize OperationsとvRealize Log Insightを組み合わせた利用

vRealize OperationsとvRealize Log Insightは、それぞれ単体でNSXの運用管理ツールとして利用できますが、両方を合わせて使うことで、vSphere等からの構造化されたデータとsyslogのような非構造化されたデータを収集し、より高度な運用管理が実現できます。

具体的な統合のメリットとして、vRealize Operationsへのアラートの統合、双方向の起動、があります。

vRealize Operationsへのアラートの統合

vRealize Operationsの機能として、環境内で問題が発生したことを通知する機能があります。例えば、特定の仮想マシンでパケットドロップの発生量を確認することも簡単にできます。さらにNSXと統合された環境では、個々の仮想マシンに対する細かなトラフィックフィルターが可能ですが、NSXの分散ファイアウォールの機能によって仮想マシンの特定のトラフィックは通し、その他のトラフィックをドロップさせている場合に、ルールにマッチしたトラフィックをsyslogとしてvRealize Log Insightで収集し、かつ一定量を超えた場合には任意のアラートを生成し、vRealize Operations上にアラートをあげ、一括して状況を確認できます。日々の運用で多く発生するアラートにうんざりしている方にとっては、その負荷を軽減できる仕組みとなるかと思います。

NSXのファイアウォールルールでドロップが発生したログをvRealize Log Insight側が受け取り、例えば5分間に100個以上発生している場合にvRealize Operationsにアラートを発行したい場合、次のように画面上で設定を行います。

vRealize Operations Managerでは、このアラートが次のように表示されます。

ちなみにもし、この対象のクラスタ上に他のアラートがあれば、同じ画面上にプロットされますので、相関的な問題がないかを一元的に確認することも可能です。

双方向の起動

両製品を連携することで、一方からもう一方を呼び出すことができます。vRealize Operationsに問題が通知され、その詳細を調べるためにどんなログが発生したのか調べるときにも、画面上のクリックでvRealize Log Insightへ移動したり、逆にvRealize Log Insightで表示されたログよりvRealize Operationsの機械分析でどう判断されているかワークロードや問題などを確認するために移動したり、といった具合です。

例えば、アラートが上がっているオブジェクトの状況をよく知るためにログを見たいときは、vRealize Operations Managerの[アクション]から、[vCenter Log Insightでのログの検索]をクリックするだけです。

対象のオブジェクトのみにフィルターされたログが、vRealize Operations Manager上で確認できます。

反対に、ログからそのオブジェクトの状況を確認したい場合、vRealize Log Insightでログを選択し、[Analysis in vRealize Operations Managerを開く] をクリックするだけです。

対象のオプジェクトのvRealize Operations Manager画面が開き、単一のログではわからない様々な状況を調べることができます。

vRealize OperationsもvRealize Log Insightも事前に用意されたマネージメントパックやコンテンツパックで、NSXに必要な情報を整理してみることができると共に、運用後に自由にカスタマイズしていただいて、それぞれの環境に合わせた運用管理ツールとしてお使いいただけます。

また、vRealize Log Insightはsyslogを収集する製品として利用できますので、ネットワーク機器やセキュリティ機器からのログを集めて分析することもでき、INTEROP ShowNetでは、その用途で2年連続でご利用していただいています。

次回のパートは、INTEROP VMwareブースでご紹介させていただいた、ネットワークセキュリティについてです。

The post INTEROP Tokyo 2015 パート2: ネットワーク仮想化の運用管理 2 appeared first on The Network Virtualization Blog.

みなさんこんにちは。ヴイエムウェアの進藤です。

ここまで数回にわたりヴイエムウェアのINTEROPに対する取り組みについて紹介をしてきました。

• INTEROP Tokyo 2015パート1
• INTEROP Tokyo 2015パート2〜ネットワーク仮想化の運用管理1
• INTEROP Tokyo 2015パート2〜ネットワーク仮想化の運用管理2

今回は本シリーズの最後として、 INTEROP Tokyo2015のヴイエムウェア・ブースで行った3つの展示の柱のうち「ネットワーク仮想化＆セキュリティ」に関する展示内容についてご紹介をしたいと思います。

ネットワーク仮想化＆セキュリティコーナーでは、ヴイエムウェアのネットワーク仮想化プラットフォームであるNSXを中心に、サードパーティ製のセキュリティ製品と組み合わせたソリューションやNSXの持つ分散ファイアウォール機能のデモなどを行いました。

NSXの持つ豊富な基本機能

ネットワーク仮想化＆セキュリティコーナーのうち1つめのブースでは、NSXの持つ機能を一通りご紹介するコーナーです。米国側に用意した弊社のクラウド上にNSX環境と典型的なWeb/App/DBの3階層アプリケーションを用意し、この環境を使ってNSXの基本機能であるコントローラ、VXLANによる仮想L2スイッチ、分散論理ルータ、Edge論理ルータ、ロードバランサ、SNAT/DNAT、フローモニタリング、アクティビティ・モニタリング、ユーザIDベースのファイアウォール機能、API機能などを 紹介をしました。

次世代データセンタ・セキュリティソリューション

2つめのブースでは、トレンドマイクロ社のセキュリティ製品「TrendMicro Deep Security」とNSXの連携ソリューションのデモを行いました。NSXとDeep Securityを組み合わせると、一種の「検疫ネットワーク」のようなソリューションを実現することができます。Deep Securityは仮想マシンがマルウェアに感染するなど、何か問題を発見すると仮想マシンに対して特定の「タグ」と呼ばれる目印をつけてくれます。一方、NSXの動的Security Group機能を利用すると、 タグが付いている仮想マシンを特定のSecurity Groupに自動的に追加することができます。このSecurity Groupに対してセキュリティ・ポリシー（例えば他の仮想マシンとは一切通信のできないようなポリシー）を適用しておけば検疫ネットワークを実現することができるわけです。このようなNSXの持つ仮想ネットワーク機能とTrendMicroのDeep Securityの組み合わせは、次世代データセンタセキュリティ・ソリューションとして高く評価され、Best of Show Awardの最終候補に選ばれました（残念ながらグランプリ受賞は逃してしまいましたが・・）。

分散ファイアウォール機能

ネットワーク仮想化＆セキュリティコーナーの3つめのブースでは、NSXの持つ分散ファアウォール機能のデモを行いました。NSXの分散ファイアウォール機能は典型的なファイアウォールと異なり、仮想マシンの仮想インターフェースごとにファイアウォールを適用することができるため、仮想マシン間のトラフィック（East-Westトラフィック）を守ることができます。したがって、仮に仮想マシンがウィルスやマルウェアに侵されてしまっても、それが他の仮想マシンに拡散してしまうのを防ぐことができ、いわゆる「マイクロセグメンテーション」を実現することができます。また、今回のデモンストレーションでは 、「仮想スイッチ名」や「仮想マシン名」を ファイアウォールのルールとして使用し、従来のIPアドレスベースの ファイアウォールと比べて非常に柔軟なファイアウォール管理ができることをご覧いただきました。

シアター

今年の弊社ブースは、メインシアターに加えサブシアターを設けて、メインシアターでは弊社の持つさまざまなソリューションやサービスの紹介をするとともに、サブシアターのほうではそれらのよりの詳しい説明をじっくりとさせていただくようにしました。おかげさまでどちらのシアターも大変盛況で、多くのかたに足を運んでいただくことができました。

INTEROP Tokyo 2016に向けて

ヴイエムウェアとして来年のINTEROP Tokyoへ出展するかどうかはまだ現時点においてはっきり決まってはおりませんが、可能な限りまた参加をしたいと考えています。INTEROPはネットワーク分野では世界最大のイベントです。従来はネットワークハードウェアベンダが中心となってINTEROPを作り上げてきましたが、最近になってソフトウェアベンダも加わってINTEROPが構成されるようになっています。今後もヴイエムウェアとしてINTEROPのインフラストラクチャをささえるソフトウェアやサービスを提供していきたいと考えています。ぜひINTEROP Tokyo 2016のヴイエムウェアの活躍にご期待をください！

The post INTEROP Tokyo 2015 パート3 appeared first on The Network Virtualization Blog.

みなさんこんにちは。ヴイエムウェアの進藤です。

VMware NSXの最新バージョン6.2が2015年8月にリリースされました。バージョン番号的には6.1から一つマイナーバージョンが上がっただけですが、実際には非常に多くの新機能が盛り込まれた意欲的なリリースとなっています。今回から数回にわたり、NSX 6.2で追加・拡張された機能のうち主要なものをピックアップして、本Blogでご紹介をしたいと思います。

複数vCenterをまたぐ環境でNSXが利用可能に！

NSX 6.2で追加された機能のうちで最も目を引くものは「Cross vCenter Networking and Security（通称Cross vCenter NSX）」機能でしょう。これにより複数vCenterをまたぐような環境でNSXの機能が利用可能になります。

vSphere 6.0で、Cross vCenter vMotion（異なるvCenter環境間でのvMotion）やLong Distance vMotion（RTT 150ms以内の２地点間のvMotion）がサポートされましたが、その機能を一層有用なものにするために、NSXでも複数vCenter環境をサポートし、複数vCenterにまたがった仮想ネットワークを構築してその上で自由にvMotionができるようにしました。

Cross vCenter NSXを実現するにあたり、NSXのアーキテクチャにも変更が加えられました。NSX 6.1までは、NSX環境を管理するNSX ManagerはvCenterと1:1で紐付けがされており、1つのNSXで管理できる環境は1 つのvCenter環境内に限られていました。NSX 6.2でも依然NSX ManagerとvCenterは1:1に紐付けられますが、NSX Manager間同士で連携ができるようになり、これによりをすることにより、複数のvCenterをまたいだ管理ができるようになりました。

具体的には、NSX Managerが「プライマリ」または「セカンダリ」というロール（役割）を持つことができるようなり、プライマリなNSX Managerが複数vCenter間をまたいだ管理に関する責任を持ちます。また、セカンダリなNSX Managerは、自分の管理下の環境は自分で管理をしますが、複数vCenterにまたがった管理に関しては、マスターのNSX Managerに任せるようになっています。プライマリなNSX ManagerでvCenterにまたがる設定の変更を行うと、それらは自動的に他のセカンダリNSX Managerにレプリケーションされます。

一方、NSX コントローラは、vCenter環境ごとには配置されず、一つのコントローラ クラスタが複数のvCenter環境の管理をします。一つのコントローラ クラスタで管理できるvCenterの数は現状8までとなっていますので、Cross vCenter NSXで管理できるvCenter環境の数も8つまでということになります。

NSX 6.2のCross vCenter NSXで利用出来る機能は次の３つです。

• ユニバーサル論理スイッチ
• ユニバーサル分散論理ルーティング
• ユニバーサル分散ファイアウォール

以下、それぞれについて簡単に説明をします。

ユニバーサル論理スイッチ

NSXには「トランスポートゾーン」という概念がありますが、NSX 6.2ではこの概念が拡張され、複数vCenter環境にまたがった「ユニバーザル トランスポートゾーン」を新たに作成できるようになりました。このユニバーサル  トランスポートゾーン上に作られた論理スイッチは自動的に「ユニバーサル論理スイッチ」となり、仮想マシンに対して複数のvCenter環境にまたがったVXLANによるL2環境を提供できるようになります。

ユニバーサル論理スイッチに接続された仮想マシンは、同一L2ネットワーク上にいることになりますので、vSphere 6.0を使っていればこのユニバーサル論理スイッチ上にいる仮想マシンをCross vCenter vMotionで別のvCenter環境に移動することが可能です。また、vCenter環境が別々のサイト（データセンター）にあるような場合でも、Long Distance vMotionの条件を満たしていれば、サイト間で仮想マシンを移動することができますので、アクティブ−アクティブなデータセンターを実現することもできます。

ユニバーサル分散論理ルーティング

Cross vCenter NSXでは、L2ネットワークだけでなく、L3ネットワークもvCenterをまたいで作成することができます。具体的には分散論理ルータ作成時に「ユニバーサル分散論理ルータ」を作るように指示することで、複数のvCenter環境にまたがったルーティング機能を提供できるようになります。

サイトにまたがってユニバーサル分散論理ルータを作った場合、問題になってくるのが「マルチサイト トラフィックの最適化」です。例えば、サイトAとサイトBの二つのサイトがあるケースを考えてみましょう。各データセンターから外部（インターネット）方向に出るトラフィックに関して、サイトAにある仮想マシンはサイトAから、サイトBにある仮想マシンはサイトBから出て行くようにしたい、というのはごく自然な要求でしょう。しかし、複数サイトにまたがった１つの論理ルータがある場合は、必ずしも最適な箇所からトラフィックが出て行くとは限りません。

このような問題に対処するためNSX 6.2は出力方向トラフィックに関する最適化機能を備えています。NSX 6.2では新たに「Locale ID」という概念が導入されており、コントローラに送られる経路情報にLocale IDを付与して送ることができるようなっています。デフォルトではこのLocale IDはNSX ManagerのUUIDが付与されるようになっていますので、通常サイトAとサイトBは異なったLocale IDを持つことになります。コントローラは経路情報をハイパーバイザに配布する際に、同じLocale IDを持つ経路情報のみを送るようにフィルターをかけますので、サイトAから得られた経路はサイトAにのみ、サイトBから得られた経路はサイトBにのみ配布されるようになります。したがって、サイトAにある仮想マシンはサイトAのルータを経由して外に出て行き、サイトBにある仮想マシンはサイトBのルータを経由して外に出て行く、すなわち出力方向に関するトラフィックの最適を実現できるわけです。

一方、外側から内側に入ってくる方向（入力方向）のトラフィクの最適化に関しては別途考える必要があります。GSLBを使う、あるいは外部にホストルートを広告するなどの方法が考えられるでしょう。

ユニバーサル分散論理ファイアウォール

ネットワーク的にはユニバーサル論理スイッチ機能によって複数vCenter環境間でvMotionができるようになりますが、これだけでは本当の意味でCross vCenter vMotionを実現したとは言えません。なぜならセキュリティ的にもvMotion可能な環境を実現する必要があるからです。通常、仮想マシンの移動前と移動後で同じセキュリティポリシーが担保できていなければ、仮想マシンを移動することはできないでしょう。

NSX 6.2では、論理スイッチ（L2）、論理ルータ（L3）だけでなく、ファイアウォール設定も複数vCenter間で同期をして、仮想マシンがvCenter間で移動しても同じセキュリティポリシーが担保できるようになっています。

NSX 6.2では、従来の「ファイアウォール セクション」に加え、新たに「ユニバーサル ファイアウォール セクション」を定義できるようになりました。このセクション内に作ったファイアウォール ルールは複数のNSX Manager間で自動的に同期され、異なるvCenter配下のすべてのハイパーバイザに設定されます。これにより仮想マシンがCross vCenter vMotionをした場合でも、移動前と同じセキュリティポリシーが移動先でも適用されるようになっています。

ただし、ユニバーサルファイアウォールセクションに設定できるルールには若干の制限があります。ユニバーサルファイアウォールセクションに設定できるルールは、IPアドレスやMACアドレス、あるいはそれらを含んだセキュリティグループに限られます。vCenterオブジェクト（例えばデータセンター名、クラスタ名、仮想マシン名、など）を使用することは現状できませんので注意してください。

まとめ

今回はNSX 6.2で新たにサポートされたCross vCenter NSX機能をご紹介しました。この機能を使うことで、複数vCenterがある環境（またそれらが複数サイトに分散している環境）でもNSXでネットワークとセキュリティを一元管理することができることをご理解いただけたと思います。

今回ご紹介したCross vCenter NSX機能を使ってアクティブ−アクティブなマルチサイトデータセンタを構築したり、Site Recovery Manager（SRM）と組み合わせることにより、さらに本格的なディサスタ・リカバリなどを実現することも可能です。

NSX 6.2及びCross vCenter NSX機能についてさらに深く知りたいという方のために「VMware Hands On Labs」というどなたでもお使いただける環境を用意していますので、ぜひ一度NSXを実際に触って試してみてください。

• HOL-SDC-1603 — VMware NSX Introduction
• HOL-SDC-1625 — VMware NSX Advanced

また、次回はNSX 6.2のセキュリティサービスの機能強化についてご紹介をする予定です。

The post NSX 6.2 新機能のご紹介 Part 1 〜 Cross vCenter NSX 〜 appeared first on The Network Virtualization Blog.

こんにちは。VMwareの高田です。

今回は、NSX 6.2のセキュリティサービスの機能強化についてご紹介します。

ユニバーサル分散ファイアウォール

前回のCross vCenter NSXでご紹介済みのユニバーサル分散ファイアウォールについて、設定方法を含めてご説明します。

「ユニバーサル」は、Cross vCenter NSXで複数のvCenterをわたってご使用いただくための機能に付く用語で、ユニバーサル 分散ファイアウォールで使われるルールを設定するためには、まず、新しいセクション作成時に、ユニバーサル同期の対象としてマークします。

ユニバーサル同期としてマークするセクションは、全般（レイヤ3）とイーサネット（レイヤ2）にそれぞれ1つずつ作成できます。そのセクション内に分散ファイアウォールのルールを設定しますが、前のブログの通り、使用できるオブジェクトは、ソースおよびターゲットにユニバーサルIPセット、ユニバーサルMACセット、それらを含んだユニバーサル セキュリティグループのみ使用できます。また、適用先はユニバーサル論理スイッチか、VLANの場合は分散ポートグループになります。

下記は、ソースが任意、ターゲットがユニバーサルIPセット、サービスはHTTPとHTTPSを、操作として許可を選択し、適用先としてユニバーサル論理スイッチを選択した、ユニバーサル分散ファイアウォールのL3ルール設定例です。

仮想マシンの新しいIPアドレス検出メカニズム 

もう1つは、分散ファイアウォールに関連する機能で、仮想マシンの新しいIPアドレス検出メカニズムです。

分散ファイアウォールは、仮想マシンのvNICの単位でファイアウォールが適用できる特徴的な機能(詳しくは、こちら)ですが、分散ファイアウォールはvCenterのオブジェクトを含むルールを設定した場合、仮想マシンのIPを特定したうえで処理をしています。その仮想マシンのIPアドレスを検出するメカニズムとして、自動と手動があります。NSX 6.2以前のバージョン、6.0と6.1は、自動で検出するためには、仮想マシンにVMware Toolsのインストールが必要でした（※VMwareでは、IPアドレス検出を提供する以外のメリットとしても、VMware Toolsを環境内のすべての仮想マシンにインストールすることを推奨しています）。NSX 6.2は、さらにDHCPスヌーピング、ARPスヌーピング、またはその両方でIPアドレスを検出することができます。DHCPスヌーピングは、DHCPプロトコルメッセージを追跡して、ARPスヌーピングは仮想マシンの出力するARPメッセージを監視して、VMware Toolsがインストールされていない場合でも、IPアドレスを検出できます。

新しく加わったメカニズムが、緑の矢印です。

DHCPスヌーピング、ARPスヌーピングは、ホスト クラスタ単位で選択できます。IPアドレス検出に、それらを使う場合は追加設定が必要です。vSphere Web Clientから [Networking & Security] – [インストール手順] – [ホストの準備] – 対象のクラスタを選択後、[アクション] – [IP 検出タイプの変更] で、使用したい検出方法を選択します。

どの機能が有効化されていて、どの方法でIPアドレスを検知したかを調べるためには、下記のコマンドで調べることができます。

まず、任意の仮想マシンが稼働するクラスタのクラスタID、ホストのIDを確認します。

nsx-mgr> show cluster all

nsx-mgr> show cluster [クラスタID]

次に、仮想マシン IDを確認します。

nsx-mgr> show dfw host [ホストID]

そして、仮想マシンのフィルターIDを確認します。

nsx-mgr> show vm [仮想マシン ID]

次のコマンドで、有効化されているIP検出方法を含め、実際の検出されたIPが確認できます。

nsx-mgr> show dfw host [ホストID] filter [フィルター ID] discoveredips stats

ちなみに、IPアドレスの検出に自動の方法が使えない、または使いたくない場合は、手動設定が可能で、そのためにはSpoofGuardが利用できます。SpoofGuardは本来、IPアドレスを認証し、成りすましを防止する機能です。詳しいSpoofGuardの設定については、NSX管理ガイドのSpoofGuardの使用、をご参照ください。

補足ですが、IPセットやIPアドレスだけを使ったルールを設定している場合は、VMware Toolsは必須ではありません。

このように、新しい機能によって、VMware Toolsを使わない方法でも分散ファイアウォールが使えることで、より利用しやすくなったかと思います。

次回は、NSX 6.2 操作とトラブルシューティングの拡張機能をご紹介予定です。

The post NSX 6.2 新機能のご紹介 Part 2 〜 セキュリティサービスの機能強化 〜 appeared first on The Network Virtualization Blog.

みなさんこんにちは。ヴイエムウェアの進藤です。

おかげさまで今日までに大変多くのお客様でNSXを導入していただいていますが、それに伴ってNSXをしっかりと運用していくための機能に関するリクエストをいただくことも多くなってきました。NSX 6.2は、このようないわゆる “Day 2 オペレーション” 機能にも力を入れたリリースになっています。今回はNSX 6.2で追加された新機能のうち、運用まわりやトラブルシューティングに関わる機能などをご紹介したいと思います。

集中管理CLIでNSX Managerから一括管理可能に！

NSXはNSX Manager、vCenter Server、NSXコントローラ クラスタ、分散論理ルータ制御VM、ハイパーバイザ、NSX Edge、などたくさんの要素から構成されています。万一、NSXが期待した動作をしていない場合には、これらの構成要素のいずれかにログインし、CLIを使って問題の切り分けを行いながら、必要があれば別の構成要素にログインをして問題箇所の特定をしていく必要があります。NSXには多くの構成要素があるため、一般的にはこのような切り分け作業は時間と手間のかかるものでした。

この問題に対処するため、NSX6.2では「集中管理CLI」機能が追加されました。この集中管理CLI機能を使えば、NSX Managerにログインするだけで、そこから他の構成要素に関する情報を取得することができます。この集中管理CLIは皆さんが普段から慣れ親しんでいるCLIインターフェースを踏襲しており、タブキーでの補完、？キーでの選択肢表示、ページング、ヒストリ機能などを備えていますので直感的にお使いいただけると思います。なお、現在この集中管理CLIでサポートされているのは「show系」コマンドのみとなっています。設定系のコマンドは使用できません。

それではこの集中管理CLIを使った例を見てみましょう。

nsxmgr-01a> show logical-switch list all 
NAME                 UUID                                 VNI        Trans Zone Name      Trans Zone ID 
Transit-Network-01   7ad8bc71-5857-475c-af2a-a9e5337b0944 5000       Local-Transport-Zone-A vdnscope-1 
Web-Tier-01          be6871fb-cefb-4488-9b16-3e77cf0a3482 5001       Local-Transport-Zone-A vdnscope-1 
App-Tier-01          33fec704-41f5-4f58-b41d-65d78c2439b5 5002       Local-Transport-Zone-A vdnscope-1 
DB-Tier-01           80e964af-5a77-4b18-a5aa-d479c1447b1b 5003       Local-Transport-Zone-A vdnscope-1

この例では論理スイッチの一覧を取得しています。

次に、コントローラが保持しているVXLAN Network Identifier (VNI) 5001の論理スイッチに関するVTEP、MACアドレス、ARPテーブルをそれぞれ確認してみましょう。

nsxmgr-01a> show logical-switch controller master vni 5001 vtep
VNI      IP              Segment         MAC               Connection-ID
5001     192.168.130.51  192.168.130.0   00:50:56:6a:e8:3f 11
5001     192.168.130.52  192.168.130.0   00:50:56:60:2d:44 10
5001     192.168.120.52  192.168.120.0   00:50:56:60:47:af 12
masterControllerIp=192.168.110.32
nsxmgr-01a> show logical-switch controller master vni 5001 mac 
VNI      MAC               VTEP-IP         Connection-ID
5001     00:50:56:ae:ab:9f 192.168.120.52  12
5001     00:50:56:ae:3e:3d 192.168.130.51  11
5001     00:50:56:ae:f8:6b 192.168.130.52  10
masterControllerIp=192.168.110.32
nsxmgr-01a> show logical-switch controller master vni 5001 arp
VNI      IP              MAC               Connection-ID 
5001     172.16.10.12    00:50:56:ae:f8:6b 10
5001     172.16.10.10    00:50:56:ae:ab:9f 12
5001     172.16.10.11    00:50:56:ae:3e:3d 11
masterControllerIp=192.168.110.32

ここでコマンドラインに “master” と言うパラメータが指定されていることに注意ください。NSXのコントローラは通常3台のノードから構成されるクラスタで、VNI単位に処理が複数のコントローラノードに分散されるようになっています。特定のVNIがどのコントローラノードに割り当てられているか（どのコントローラノードがmasterになっているのか）を簡単に知る方法はないため、今まではコントローラノードに一台ずつログインして当該のVNI情報を保持しているかを確認する必要がありました。しかし、集中管理CLIのコントローラ関連コマンドではこのように “master” と言うキーワードを指定することで、指定したVNIに関するmasterコントローラノードに自動的に問い合わせてくれるようになっています。これはとても便利な機能です。

次はNSX Edge関係のCLIの例を見てみましょう。

nsxmgr-01a> show edge all 
NOTE: CLI commands for Edge ServiceGateway(ESG) start with 'show edge'
      CLI commands for Distributed Logical Router(DLR) Control VM start with 'show edge'
      CLI commands for Distributed Logical Router(DLR) start with 'show logical-router'
      Edges with version >= 6.2 support Central CLI and are listed here
Legend:
Edge Size: Compact - C, Large - L, X-Large - X, Quad-Large - Q
Edge ID                                    Name                     Size Version Status 
edge-2                                     Local-Distributed-Router C    6.2.0   GREEN  
edge-3                                     Perimeter-Gateway-01     C    6.2.0   GREEN  
edge-4                                     OneArm-LoadBalancer-01   C    6.2.0   GREEN  
edge-5                                     Perimeter-Gateway-02     C    6.2.0   GREEN  
edge-6                                     OneArm-LoadBalancer-02   C    6.2.0   GREEN  
nsxmgr-01a> show edge edge-3 ip route
haIndex:              0

Codes: O - OSPF derived, i - IS-IS derived, B - BGP derived,
C - connected, S - static, L1 - IS-IS level-1, L2 - IS-IS level-2,
IA - OSPF inter area, E1 - OSPF external type 1, E2 - OSPF external type 2,
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

Total number of routes: 6

B       0.0.0.0/0            [20/0]        via 192.168.100.1   
O   E2  172.16.10.0/24       [110/1]       via 192.168.5.2     
O   E2  172.16.20.0/24       [110/1]       via 192.168.5.2     
O   E2  172.16.30.0/24       [110/1]       via 192.168.5.2     
C       192.168.5.0/29       [0/0]         via 192.168.5.1     
C       192.168.100.0/24     [0/0]         via 192.168.100.3   

このように各々のNSX Edgeにログインすることなく指定したNSX Edgeの情報を取得できることがわかると思います。この例ではIP経路情報を取得しましたが、その他の情報を取ることもできます。例えば、以下はロードバランサの情報を取得している例です。

nsxmgr-01a> show edge edge-4 service loadbalancer 
haIndex:              0
-----------------------------------------------------------------------
Loadbalancer Services Status: 

L7 Loadbalancer     : running             
-----------------------------------------------------------------------
L7 Loadbalancer Status Information: 
STATUS     PID        MAX_MEM_MB MAX_SOCK   MAX_CONN   MAX_PIPE   CUR_CONN   CONN_RATE  CONN_RATE_LIMIT MAX_CONN_RATE  
running    1490       0          2081       1024       0          0          0          0               0              
-----------------------------------------------------------------------
L4 Loadbalancer Statistics: 
Prot LocalAddress:Port Scheduler Flags
  -> RemoteAddress:Port           Forward Weight ActiveConn InActConn

ロードバランサ情報の他にもDHCP、DNS、冗長構成、IPsec、モニタ関連情報も取得できます。

NSX 6.2の集中管理CLIには、今回紹介した “show logical-switch”、”show edge” 以外にも

• show logical-router
• show dfw
• show dlb
• show vm
• show vnic
• show cluster
• show host
• show controller

などのコマンドがサポートされています。

トレースフロー機能でエンド〜エンド間のトラフィックパスを可視化

NSX 6.2で追加されたもう一つの大きな管理系機能に「トレースフロー機能」があります。この機能は、指定した2つの仮想マシン間のトラフィックパスを視覚的に表示し、パケットが正常に到達するか、到達しない場合はどこでパケットが落ちているのか、といった情報を知ることができる大変便利なものです。

トレースフローの使い方はとても簡単です。まず、トラフィックのタイプとして「ユニキャスト」、「L2マルチキャスト」、「L2ブロードキャスト」のいずれかを選択します。次に、「ソース」としてパケットの送信元となる仮想マシンのインターフェースを選びます。次に「ターゲット」（送信先）を指定しますが、ターゲットとしてMAC/IPアドレスをあらわに指定する方法と仮想マシンのインターフェースを指定する方法と2種類用意されています。

また、詳細オプションとして、タイムアウト時間、フレームサイズ、TTLやプロトコル（TCP、UDP、ICMP）、またそれぞれのプロトコルに固有のパラメータ（ポート番号、TCPフラグ、ICMP Echo ID/シーケンス番号、など）も指定することができます。

それではトレーフローを使った例を見てみましょう。以下は仮想マシン「web-01a」の仮想インターフェース「Network adapter 1」から仮想マシン「app-01a」の仮想インターフェース「Network adapter 1」にトレースフローした場合の実行例です。詳細オプションは指定していませんので、デフォルトでICMP Echoパケットが出ます。

トレース結果が「配信済み」となっていることから、パケットがソースの仮想マシンからターゲットの仮想マシンに無事届いたことが分かります。また、その下にパケットが経由したパスが表示されています。これを見ると分かる通り、パケットは仮想インターフェース（vNIC）、ファイアウォール、論理スイッチ（Web-Tier-01）、論理分散ルータ、論理スイッチ（App-Tier-01）、ハイパーバイザ、ファイアウォールを経由してターゲットの仮想インターフェース（vNIC）まで届いていることがわかります。

次にパケットがドロップされる例を見てみましょう。今度は仮想マシンweb-01aから別の仮想マシンweb-02aにトレースフローしてみます。今回の例では、Web用論理スイッチに接続された仮想マシン間のトラフィックはブロックするようなファイアウォールルールを適用していますので（いわゆる「マイクロセグメンテーション」を実現していることになります）、トレースフローでそのようなパケットを送信してもパケットはドロップされるはずです。

HTTPトラフィックを模擬するために、詳細オプションでTCPを指定し、接続先ポートに80番、TCPフラグとしてSYNを指定してみることにします。

今回はトレース結果が「ドロップ済み」になっていますので、トレースフローのパケットがターゲットまで届かなかったことがわかります。また、その下の画面を見ると、パケットがドロップした箇所はファイアウォールで、そのルールIDは1008であったこともわかります。このようにトレースフローを使えばどこでパケットが落ちているのか、また、その原因も一目瞭然です。

なお、トレースフロー機能は実際にパケットを仮想ネットワークに送り出して、そのパケットが通るパスを調べることによりトラフィックパスを表示するようになっていますが、仮想マシンに届く直前のところでトレーフフローのためのパケットは捨てられるようになっていますので、仮想マシン自身にトレースフロー用のパケットが届くことはありません（従って仮想マシンのインターフェースのカウンタが上がることもありません）。

トレースフロー機能はNSXのAPI経由で呼び出すこともできるので、他のツールとインテグレーションすることも可能です。

まとめ

今回はNSX 6.2で追加された運用・トラブルシューティング関連機能として集中管理CLIとトレースフローの機能を紹介しました。NSX 6.2には今回紹介した機能の他にも、NSX内部プロセスの通信状態監視や、IPFIX機能、syslog機能の改善など、多くの運用関連機能に関するエンハンスが盛り込まれています。

仮想ネットワークをたとえ導入したとしても、実際に運用できなければ結局宝の持ち腐れです。製品選定時には目先の機能に目を奪われがちですが、日々のオペレーションをまわしていくためには、今回ご紹介したような運用関連機能に目を向けることも大切です。

次回はNSX 6.2で実験的に実装された「分散論理ロードバランサー」機能についてご紹介をする予定です。ご期待ください！

The post NSX 6.2 新機能のご紹介 Part 3 〜 運用・トラブルシュート機能強化 〜 appeared first on The Network Virtualization Blog.

こんにちは。VMwareの高田です。

今回は、NSX 6.2 ロードバランサの機能強化についてご紹介します。

Edge ロードバランサの機能拡張

まず、NSX Edgeのロードバランサ機能がより使いやすくなるように拡張されました。機能拡張は3つあります。

1. 仮想IPアドレス(VIP)のサポート最大数が、64から1024に大幅に拡張されました。この値は、各Edge Service Gateway毎の最大値、かつ超特大(X-Large)をデプロイした場合の最大値です。 
2. VIPとポートの範囲の組み合わせがサポートされました。NSX 6.2以前は、IPアドレスとポートの組み合わせでVIPが提供されていましたが、VIPのIPとポートの範囲を指定できるようになり、ポート範囲の指定が必要なアプリケーションにも利用できるようになりました。
   
   
3. ロードバランサの健全性監視で、最新の健全性チェックとステータス変更の追跡、障害理由の表示が可能になりました。NSX6.2以前は、現在の状態として宛先サーバがUPなのかDOWNしか見えなかったのですが、NSX6.2ではステータス変更の時刻、DOWNの場合はその情報、例えばTCPハンドシェイクの失敗、SSLハンドシェイクの失敗、HTTPリクエストの失敗、ホストへのルートがない、などが表示され、より障害解決の時間短縮を図ることができます。
   

サードパーティ製ロードバランサとの連携

NSXの以前のバージョンでも、サードパーティ製ロードバランサと連携していましたが、6.2以降では更に連携を強化しています。例えばF5社のサポート済みの構成については、すでにデザインガイドが提供されており、VMwareではこちらで、F5社のほうではこちらで提供しております。今後、このガイドが更新され、新しい構成のパターンをサポート予定です。
既存でお使いのロードバランサを、NSX環境でも使いたいというご要望に合わせた対応です。

分散ロードバランサ（テックプレビュー機能）

VMwareコミュニティのNSXグループに、テックプレビュー機能としてNSX 分散ロードバランサの情報が公開されています。すでにNSX Edge上のロードバランサで仮想マシンへのNorth-Southトラフィックを処理に利用されているケースも増えていますが、分散ロードバランサは仮想マシン間のEast-Westトラフィックを処理するためのものです。分散ファイアウォール同様に各ESXiホスト上で機能します。

分散ロードバランサがない場合に、East-Westの仮想マシン間を処理する場合は、NSX環境上のどこかのESXiホストで動作しているEdgeによってロードバランスされる、次の図のような流れになります。

分散ロードバランスを使うと、分散ファイアウォール同様に各ESXiホスト上でロードバランス処理が行われます。

では、この図を元に設定手順をご紹介します。

1. 新しい分散ロードバランササービスを作成します。
   1. vSphere Web Clientから [Networking & Security] – [サービス定義] – [サービス]タブ – [+(新規サービス定義)] で、任意の名前を入力し、デプロイ メカニズムで [ホストベースのvNIC] を選択します。
      
      
   2. サービスカテゴリで、[ロードバランサ] を選択します。
      
      
   3. Service Managerの構成で、任意の名前を入力します。他の項目は、デフォルトのまま（ブランク）にしておきます。
      
2. 分散ロードバランサの機能を提供するクラスタを指定します。
   1. 前のステップで作成した分散ロードバランサ サービスを選択し、[設定の編集] で編集します。左に表示される [サービス インスタンス] をクリックし、[NSX DLB-GlobalInstance] を選択します。そして、[管理]タブ – [デプロイ] – [+(作成)] をクリックします。
      
      
   2. クラスタの追加で、サービスを提供したいクラスタを選択します。選択できるクラスタは現在1つのみです。
      
      
3. 新規サービスプロファイルを作成します。
   1. 上記のサービスインスタンスで、[関連オブジェクト]タブ – [+(作成)] をクリックします。
   2. 任意のプロファイル名を入力します。
      
      
4. 分散ロードバランサのVIPを設定します。
   1. 2つのSecurity Groupを作成します。まず、分散ロードバランサのVIPへ通信する送信元となる仮想マシンのグループです。作成は、[Networking & Security] – [Service Composer] – [Security Group]タブ –  [新規Security Group] をクリックし、そのグループに入れたい仮想マシンを選択します。作成すると、そのSecurity Groupに所属する仮想マシンが表示されます。下記の例は、Security Group “SG_Web”に仮想マシン、sv1とsv2が含まれていることを指しています。
      
      
   2. 同様に、VIPを経由し実際のトラフィックを処理する仮想マシンのSecurity Groupを作成します。この例では、”SG_App”で仮想マシン、sv3とsv4が含まれています。
      
      
   3. [Networking & Security] – [サービス定義] – [サービス]タブ で、1. で作成済みの分散ロードバランサ サービスを選択し、[NSX DLB-GlobalInstance] を選択します。そして、[関連オブジェクト]タブ で、2. で作成済みのサービス プロファイルを選択し、 [適用されたオブジェクト]タブ を選択後、[適用されたオブジェクトの変更] をクリックします。
      
      
   4. 1.で作成したSecurity Groupを適用します。この例では”SG_Web”を選択します。
      
      
      
   5. [設定]タブで、[発行] をクリックします。
      
      
5. VIPを設定します。
   [Networking & Security] – [ファイアウォール] – [構成]タブ – [パートナー セキュリティ サービス] で、任意のセクションにルールを追加します。この例では、ソースが”SG_Web”、ターゲットが”SG_App”、サービスは”HTTP”、操作でバランス、リダイレクト先として作成済みのサービスプロファイル、方向が”送信”、VIPとして”10.0.2.10”を設定した例です。ルール追加後は [変更の発行] で設定を有効にします。
   

動作の確認方法や、デモなどが記載された資料はこちらで公開しています。

注意事項として、テックプレビュー版の機能のため、実環境でのご使用は正式リリースまで避けてください。また、ロードバランス手法はラウンドロビンによるもののみ、Edge上のロードバランサはレイヤ4やレイヤ7で動作しますが、現時点の分散ロードバランサはレイヤ4 の機能です。

今回、シリーズでNSX 6.2をご紹介してきましたが、ご紹介した機能以外にも拡張された機能があります。詳しくは、NSX 6.2 リリースノートをご参照ください。

The post NSX 6.2 新機能のご紹介 Part 4 〜 ロードバランシングサービスの機能強化 〜 appeared first on The Network Virtualization Blog.

Data Center cyber security is a fast-moving target where the IT teams need to constantly stay ahead of those that wish to do evil things. As security attacks can come from all directions, externally, and internally as well, the IT teams must fortify all the data, with a zero-trust security approach.  Perimeter security augmented with intrusion detection and protection at the application level are the tools of choice for most data centers. This protects outsiders from getting in, as well as ensuring that the applications do not get impacted by a virus or other forms of malicious activities.

What has not been addressed is the intercommunications of applications amongst themselves, especially within the hypervisor layer, where virtual machines are communicating in an East-West traffic pattern. Traffic never hits the perimeter, and the conversations are happening several layers below the application layers where IDS sits.  East-west traffic, from within the data center, has been an area overlooked as there is a gap organizationally. Simply put no one is paying attention to this area of vulnerability. The network infrastructure security teams are fortifying the perimeter, while the server teams are deploying IDS/IPS solutions. What has gone unnoticed is the East-West traffic that is flowing between virtual machines and the ease that an intruder could tap into these conversation, as there is little, to no firewalling, for denying access.

The VMware NSX Distributed Firewall (DFW) protects East-West L2-L4 traffic within the virtual data center. The DFW operates in the vSphere kernel and provides a firewall at the NIC of every VM.  This enables micro-segmented, zero-trust networking with dynamic security policy leveraging the vCenter knowledge of VMs and applications to build policy rather than using IP or MAC addresses that may change.  Tools for automation and orchestration as well as a rich set of APIs for partner and customer extensibility complete the toolset for security without impossible management overhead.  While this is a dramatic improvement in the security posture of most data centers, layer 4 policies may not prevent malware or other threats that propagate via standard, likely permitted, protocols.

The NSX NetX API allows the insertion of 3^rd party security services into the VM traffic flow, including streamlining their deployment and the sharing of security tags in order that security policy can still be dynamic.  Palo Alto Networks integration with NSX automatically deploys a Palo Alto Next-Generation firewall to every host in a cluster then steers traffic to it within the host for inspection according to policy.  Combining the high throughput DFW with the inspection depth of the App-ID and Threat prevention feature sets from Palo Alto Networks permits the blocking of malware and tunneled bad traffic while retaining the distributed nature of NSX traffic flow.  Flows take an optimal path between VMs, remaining within the host where possible, delivering on the NSX objective of controlling lateral movement within the data center with micro-segmentation without becoming an administrative burden. Identifying legitimate East-West traffic is a key step to setup micro-segmentation in an existing data center.

VMware offers an analytic tool known as vRealize Network Insight (vRNI) for observing traffic conversations within the hypervisor. vRNI identifies and documents traffic flows, and provides suggested security policies which can be applied to both NSX and Palo Alto firewalls. vRNI analyzes IPFIX output from the Distributed Virtual Switch to provide suggested security policies and security groups.  Additionally,  including Palo Alto Networks either using existing production devices or during the planning phase of a deployment adding a device temporarily in tap mode, to provide more data for the assessment. The vRNI assessment results enable the addition of NSX based micro-segmentation and the Palo Alto Next-Generation firewall to a brownfield data center with confidence that existing application flows will not be erroneously blocked.  The Palo Alto services can either be deployed as virtual appliances to give Threat and anti-malware protection to East-West traffic or hardware to protect North-South traffic at the edge of the data center.

Join us for an Upcoming Webinar:

Using vRNI to Visualize and Secure Your Data Center Virtual Network

Learn how to analyze traffic patterns non-disruptively within your production vSphere data centers, and how to use the vRNI assessment to fortify your data center virtual machines, with zero trust security and enforcement policies.

Speaker: Frank Snyder, Sr. Systems Engineer, VMware

Thursday, May 4, 2017 | 12:00pm – 1:00pm Central Time

Register today!

We also have a session at Palo Alto Networks Ignite:

Real World Perspectives on Implementing and Operationalizing Software Defined Security and Micro-Segmentation in Data Center and Cloud

Thursday, June 15, 1:30-2:20 PM

It’s 2017. Software continues to eat the world. Data centers are undergoing rapid transformation and becoming software-defined (SDDC). Workloads are moving to public clouds creating a hybrid environment for IT to manage. Amidst this sea change, Security continues to be the #1 priority and driver. Micro-segmentation has emerged as a clear winner among all security models to protecting next generation and cloud ready applications. A key obstacle to successful micro-segmentation is lack of visibility and operational readiness. In this session, we will have real world customers talk about how they overcame this obstacle and went about successfully implementing a SDDC. You will learn how they used VMware vRealize Network Insight (vRNI) platform to get pervasive visibility, high automation and efficient operations for their SDDC, built upon VMware NSX platform and Palo Alto Networks Firewalls.

Ignite registrants, click here to select your sessions.

To learn more about VMware NSX and Palo Alto Networks

• Solution Brief
• Watch our joint customer sessions from VMworld 2016 SEC10020 – Managing Cybersecurity Risks Within SDDC: VMware and Palo Alto Networks Customers Discuss Their Perspectives and Experiences with NSX and VM-Series Deployments
• Test drive a free Hands-On-Lab (HOL)
  • Intro to vRealize Network Insight
  • Palo Alto Networks Next-Generation Security Platform with VMware NSX

The post vRealize Network Insight, NSX and Palo Alto Networks for micro-segmentation appeared first on Network Virtualization.

The NSX Mindset: one’s mental capability to be a determined leader and catalyst for change in the way a company designs, implements, manages, and operates networking and security.

Change isn’t easy.  Especially when it involves something personal.  Unfortunately, though, it happens whether we like it or not.  In the world of information technology change is upon us.  IT Automation, micro-segmentation, application availability, and cross cloud services are no longer buzz words in marketing materials and executive meetings.  These are realities designed and deployed in some of the world’s largest IT environments.  The common thread among these concepts is the new capabilities in networking and security brought to life by VMware NSX.

VMware NSX is a platform for the next generation data center architecture.  The capabilities are transforming the way enterprises approach traditional business problems and it is solving new business problems brought about by a company’s digital transformation.

As an IT professional your long term success hinges on your ability to adapt to new technologies and solutions.  While VMware NSX is disruptive to the status quo, it is at the same time an opportunity for admins, engineers, and architects to become leaders in a new paradigm of networking and security.  This requires two things: 1) a mindset focused on finding opportunities to grow and 2) education.

The NSX Mindset is up to you.

The education is on us.

VMware and VMUG have come together to create an exciting new community as a means of helping educate the IT professionals on VMware NSX.  We launched the community 1 month ago today and have seen it grow to over 23,000 members and over 300 unique discussions.  Over the last 30 days we have rewarded active community members with stickers, shirts, hats, VMUG Advantage memberships, and a VMUG NSX Training package worth more than $4,200.

Today we launch the next phase of our community in order to reach our goals of broadening the audience of people that are trained and certified on VMware NSX.  To do this we are announcing the sale of the VMUG NSX Training package for the deeply discounted price of $1,995.  

By joining the VMUG NSX Community and enrolling in the VMUG Advantage program you will have the opportunity to buy this training package for less than $2,000.  This product will be available at this price for the next 60 days and will include:

• VMware NSX Install, Configure, Manage On-Demand E-Learning
• Two VCP exam vouchers, 1 for vSphere Foundations exam and 1 for VCP-NV
• Two certification exam preparation courses, 1 for vSphere Foundations exam and 1 for VCP-NV
• A detailed training plan to help you through the course and certification

In addition to making this package available to anyone we are going to be providing incentives for you to not just buy the program but to complete the program and earn your VCP-NV.  Over the next few months we want you to post your results to the community.  We want those who are VCP-NV certified to share their experience and their results with the community.  We are going to be giving away VCIX-NV exam vouchers and additional FREE training courses so that you can continue down the path of becoming a VMware NSX expert.

Become a catalyst for change.

Embrace the #NSXMindset.

Train and certify on NSX.

Change your life.

As always, stay up to date on the capabilities and advancements in networking, by following us on Facebook and Twitter.

The post The NSX Mindset appeared first on Network Virtualization.

Five example customers using NSX to enable application continuity for their business

No one looks forward to data center outages. Not the business leaders who fear revenue loss from applications being down, nor the heroic IT admin whose pager is going off at 3:00 AM. Therefore many critical data centers have a sister location and some form of a disaster recovery plan, should something go awry. At the same time, infrastructure teams are under pressure to be more agile and more responsive to the business, across the board, while still lowering costs and making the most out of what they already have. So what exactly happens in the case of a disaster?

The Ponemon Institute reports the average cost of a data center outage to be $740,357, but with massive variance – some known examples going up to $150 million. As businesses move to accelerate to keep up with changes in their industry, each minute lost to downtime can have an impact not only on company resources but also on brand reputation. This is why enabling business continuity or application continuity in a manner that doesn’t require new infrastructure is vital. VMware NSX can offer companies a competitive edge through networking and security virtualization when facing internal or external threats, such as natural disasters or security breaches.

Example Logical Multi-Site Topology

1. Disaster Recovery

Due to outage infrequency, businesses are often unprepared for downtime, overlooking the amount of manual effort that will eventually be required in the event of the outage. Although solutions for data center storage and workload recovery exist, turning on backup sites often requires manual moving of workloads, manual syncing of networking and security hardware configuration, or in some cases, manual reconfiguration of network IP addresses on a per application basis. This can add hours, if not days. VMware NSX opens up the static nature of networking, providing a network virtualization and security platform that enables workload mobility by defining network services in software, opening the door for a more flexible business.

 AeroData (Manufacturing)

For companies like AeroData, which launches approximately 21,000 flights per day worldwide, extensive time lost to outages isn’t an option. When the AeroData team couldn’t achieve its desired architecture with a hardware-based approach, it leveraged NSX’s network site mobility to provide a platform that seamlessly integrates on-premises resources and reduces the manual efforts normally required. As Terry McDonough, President and CEO of AeroData said, “With the help of VMware, we have transformed our environment and have moved from being ‘hardware dependent’ to ‘software managed’ while dramatically improving the availability of our applications by eliminating single points of failure.” This exhibits how alleviating unnecessary manual processes can prevent outages from negatively impacting system operations.

 2. Multi Data Center Pooling: Multiple sites, one pool of resources

While network extension across sites can smoothen disaster recovery plans (active/passive), the same foundation can also allow for multi data center pooling. Mobility across sites helps businesses gain flexibility when establishing consolidation activities, application level redundancy and disaster recovery. Through increased mobility, companies can utilize existing infrastructure resources in various sites for a single operation. This has come up after a merger or acquisition and a company finds itself with more data center locations they’d like to consolidate without downtime, or even something as simple as wanting to take hardware out of service to perform an upgrade. The network no longer has to prevent hosting from another building from being a feasible option.

KNPC (Energy)

When Kuwait Natural Petroleum Corporation (KNPC) was looking to increase mobility in order to accelerate service delivery, improve IT efficiency and deliver a better customer experience, it selected VMware NSX to ensure cloud transformation enabled its IT operations to parallel its business growth speed. With VMware NSX allowing KNPC to migrate VMs or entire data centers from one location to another with minimal or no application downtime, KNPC was able to successfully leverage its resources from various physical data centers to operate as a single logical cloud.

Baystate Heath (Health Care)

Other industries have benefited from this centralized model as well. In the healthcare sector, Baystate Health utilized VMware NSX to ensure optimal application performance for doctors and staff while containing costs and matching increasing healthcare demands. CIO Joel Vengo stated “there’s no difference between data centers in different physical locations—it’s as if they’re in a single rack,” which drives home how VMware NSX helps companies effectively streamline and leverage IT resources.

3. Cross-Cloud: A new industry approach to cloud

In today’s IT industry, the public cloud’s flexibility and elasticity has already altered business workflow and market innovation, but a challenge customers face is cloud capabilities being considered as completely separate entities. These siloed and disparate projects can prevent organizations from fully utilizing private and public clouds for applications, as networking and security solution barriers can obstruct this collaboration. Additionally, with the market becoming increasingly competitive, companies are now searching for ways to institutionalize the public cloud through services like VMware NSX.

Marriott (Hospitality)

Using NSX as part of VMware Cloud Foundation, Marriott extended their data center security and IT model into the public cloud, giving them a consistent way to manage services in both private and public environments, and enabling a consistent experience for their users. Alan Rosa, Senior Vice President for Marriott International can be seen discussing their strategy here, and more details can be found here.

Plains Capital Bank (Finance)

Plains Capital Bank is already leveraging the NSX integration with Site Recovery Manager (SRM) to streamline and automate their disaster recovery processes, but moving forward, they’re looking at how NSX can be used to make their journey to the cloud. “The cross-cloud initiative fits in with what we’ve been looking to do,” explained David Stanaway, VP & Sr. Systems Administrator at Plains Capital Bank, in this video:

Plains Capital Bank

If you’re interested in learning how NSX can help prevent your next disaster, or provide consistent networking and security across your environment, here are some resources to get you started:

• Solution brief providing an overview on how the platform empowers organizations to increase business application continuity
• Disaster recovery overview and demo
• Ongoing blog series on Cross vCenter NSX by Humair Ahmed
• Walkthrough detailing the latest Cross vCenter NSX security enhancements
• NSX-V Multi-site options and cross-VC NSX Design Guide, which outlines several NSX solutions available for multi-site data center connectivity
• Our Hands-On Labs, which give you hands-on experience with the platform, without requiring your own setup

 For more information about how VMware NSX can help your organization, stay updated on capabilities and advancements by following along on Facebook and Twitter.

The post 3 Ways Organizations Use NSX for Application Continuity appeared first on Network Virtualization.

Reimagining the edge

While the importance of the cloud is obvious to anyone, the increasing importance of the edge is often overlooked.  As digitization and the Internet of Things are  leading to an exponential growth in the number of devices, the amount of data that is being generated by sensors in devices such as self-driving-cars, mobile endpoints and  people tracking systems for retail is astronomical. Analyzing and turning that data into immediate actions is key to success in the era of digitization. The cloud enables massive data storage and processing, but it does not always lend itself to real time processing and immediate actions. Latency and the sheer amount of data to be transmitted are much less of a factor for the edge compared to the data center. In order to make instant decisions, some of the data processing needs to happen at the edge.  At the same time, a large number of employees no longer work form the corporate HQ, but have ever increasing expectations with regards to application access regardless of their physical location.  Distributed computing across the edge, along with high performance cloud access and distributed security enforcement give organizations “the edge”. Centralizing management and operations with distributed control and enforcement could define the Next-Generation Branch.

Challenges with legacy branch architecture

While digital transformation has lead to organizations embracing the Software-Defined Data Center, the Remote and Branch Office (ROBO) infrastructure has remained largely unchanged. The static nature of branch architecture does not only result in high operational expenses, but also slows down the organization as it impacts the rollout of new applications to those branches.  Bringing up a new branch typically involves shipping and configuring a number of infrastructure hardware and appliances, such as pairs of firewalls, routers, file/print servers, point of sale, etc. The logistics involved with getting those appliances delivered and configured is complex, slow, and often requires specialized personnel to spend time on site.  Sending CCIE certified engineers out to branch locations to configure a branch router is not a rarity, and yet certainly not scalable nor efficient. These challenges extend beyond the initial branch deployment, as any change to the branch infrastructure or even day-to-day management and operations of a large number of branches, each with their own stack of appliances is a heavy lift operation.

In addition, while branches often don’t have the same  level of security controls as the corporate HQ, employees at the branches have the same expectations as employees at the HQ when it comes to accessing corporate resources; as a result, branches are often leveraged as an attack vector to target the corporate data center.  While many companies still backhaul all branch traffic to a centralized location and provide Internet access services and security from that central location, organizations are increasingly leveraging public broadband connections to provide Internet access services and access to cloud applications from the branch. This effectively introduces a new perimeter at every branch, which in turn needs to be secured.

The increase in cloud utilization, massive uptake in number of connected devices, as well as customer and employee expectations are at the base of another challenge with the traditional branch.  Often branches are using private links such as MPLS through a service provider. Those circuits come with a very high operational expense, take multiple months to get provisioned, and are very inflexible.

Building a Software-Defined Branch

Given the above challenges with traditional branch infrastructure, what are the characteristics of a next-generation branch solution? What would a Software-Defined Branch look like?

Key requirements of the Software-Defined Branch solution are depicted in the diagram. With these, the branch can evolve to be more agile asset of the organization, adaptable and open to new innovations. In addition, these can lower capital and operating expenses compared to the traditional branch infrastructure by enabling a more streamlined operational IT model.

Central Management and Operations

Managing infrastructure and applications across a large number of geographically dispersed branches is challenging due to distributed nature of these appliances. In addition, the multitude of services that exist at those branches often forces a siloed and costly model of operations and management.  In order to deal with those challenges, enterprises are looking at how branch management and operations can be centralized, with fewer panes of glass. The VMware ROBO solution allows the management plane to be centralized, so that the central management functions vCenter, NSX, and partner solutions can be deployed at the HQ to manage branch IT remotely.

Infrastructure Consolidation

Another branch pain point is the quantity and footprint of physical appliances that are deployed at each branch. Each appliance is a potential point of failure, and replacing hardware either requires costly RMA contracts or a large number of different purpose-built spare devices collecting dust in a depot. Many of the services that run as physical appliances in the branch can be virtualized and consolidated on a single x86 server with ESXi and NSX as the converged software platform. The VMware stack provides a smart fabric, leveraging native network and security services. Additional infrastructure solutions such as SD-WAN along with branch applications can be deployed over this platform.

Streamlined Provisioning

Enterprises want to drastically reduce the time and expense associated with bringing up new branch infrastructure. Because remote and branch offices often have such similar requirements, virtualization and automation are key in solving the provisioning problem.  With VMware vSphere and NSX, templates and policies (such as security groups and security policies) can be used to pre-define the ROBO software stack and security requirements for a set of branches.  Leveraging IT automation tools or vSphere and NSX APIs and tools such as PXE, the provisioning of x86 from bare-metal to branch-ready can be automated.

Reliability and Availability

Corporations need their branch infrastructure to be resilient to failure such as failure of individual appliances or applications, or failure of a WAN link. vSphere for ROBO includes vSphere HA and vSphere Replication for High Availability and Resiliency. vSAN for ROBO enables hyper-converged storage optimized for VMs. NSX for ROBO provides high availability functionality for the Edge Services Gateway, and 3rd party SD-WAN solutions enable a highly available WAN which can typically be deployed as a HA pair of VMs.

Adaptable Network

Organizations want to be able to define local area networking in software, distributed across the branches and controlled centrally, which enables them to provision applications and infrastructure rapidly with great flexibility. Additionally, there’s a growing interest in using multiple business broadband links in an active/active fashion, with business policies defining how different applications use the available pool of Internet/WAN connectivity, and/or use secured tunnels to connect branches to each other and to the data center.  NSX allows network connectivity, services, and security policies between applications to be orchestrated or manually changed remotely and without physical changes. Software-Defined WAN enables the use of multiple different types of WAN/Internet circuits in an active/active fashion based on an administratively defined business-policy. By running an SD-WAN Virtual Machine on the branch ESXi host running NSX, enterprises can implement hybrid WAN as a function of a software defined branch platform, as well as security and visibility for East-West and Internet/WAN traffic through the NSX Distributed Firewall and partner firewall services. Alternatively, an existing router can remain in place or can be replaced by the NSX Edge Services Gateway which provides functionality including first hop routing for all users, workloads and physical compute resources, DHCP server/relay and security for all North/South traffic (in addition to East/West traffic) from the branch to the Internet or WAN. The ESG also enables IPSec VPN tunnel termination between the branches and data center. NSX allows networking to be centrally defined in software, and distributed across the hypervisors in the data center and in the branches.

Visibility and Security

A branch security solution needs to be able to protect the perimeter, which typically involves Next-Generation Firewall functionality such as Application Visibility and Control and URL filtering. This perimeter protection should be able to protect users, virtual workloads and physical appliances.  In addition to protecting the perimeter, the branch security solution should also provide the ability to segment branch workloads, and enable organizations to move to extend the Zero Trust architecture from the data center to their branches. As the WannaCry global ransomware attack – which spreads laterally through SMB and RPD – made painfully clear, a least privilege/ zero-trust security model is foundational to security in the datacenter and beyond in order to contain laterally moving attacks..  NSX Micro-Segmentation can be leveraged in the branch in order to segment different workloads from each other within a branch or across branch locations.  In addition, the NSX Service Insertion framework allows for additional partner services such as NGFW, IPS or AV to be applied granularly to select VM traffic.  The NSX Edge Services Gateway provides L3/L4 filtering and can act as a router for all traffic, including traffic from users and physical appliances. If SD-WAN is deployed as a virtual machine on the branch host, the NSX Distributed Firewall can be applied to the SD-WAN VM to provide native L3/L4 filtering  as well as NGFW partners services to all traffic crossing the perimeter.

The below diagram depicts VMware ESXi and NSX as the converged software platform for the branch, consolidating branch application workloads and virtual network functions:

NSX for ROBO Licensing

In addition to existing ROBO licenses for vSphere and vSAN, ROBO Licensing for NSX is now available as of the release of NSX for vSphere® 6.3 . Licensed features include distributed switching and firewalling, edge services, service insertion and more.

Learn More

If you want to learn more about how the VMware ROBO solution enables the Software-Defined Branch, check out this whitepaper: NSX for Remote and Branch Offices (ROBO) .

The post Enabling the Software-Defined Branch with NSX appeared first on Network Virtualization.

Micro-segmentation with VMware NSX compartmentalizes the data center to contain the lateral spread of ransomware attacks such as WannaCry

On May 12 2017, reports began to appear of the WannaCry malware attacking organizations worldwide in one of the largest ransomware cyber incidents to date. The European Union Agency for Law Enforcement Cooperation (Europol) has reported more than 200,000 attacks in over 150 countries and in 27, with the full scope of the attack yet to be determined.  Victims include organizations from all verticals.

WannaCry targets Microsoft Windows machines, seizing control of computer systems through a critical vulnerability in Windows SMB. It also utilizes RDP as an attack vector for propagation. It encrypts seized systems and demands a ransom be paid before decrypting the system and giving back control. The threat propagates laterally to other systems on the network via SMB or RDP and then repeats the process. An initial analysis of WannaCry by the US Computer Emergency Readiness Team (US-CERT) can be found here, with a detailed analysis from Malware Bytes here.

One foundational aspect of increasing cybersecurity hygiene in an organization to help mitigate such attacks from proliferating is enabling a least privilege (zero trust) model by embedding security directly into the data center network. The core concept of zero trust is to only allow for necessary communication between systems using a stateful firewall, assuming all network traffic is untrusted. This dramatically reduces the attack surface area.

VMware NSX micro-segmentation provides this intrinsic level of security to effectively compartmentalize the data center to contain the lateral spread of ransomware attacks such as WannaCry.

In this blog, we will focus on how NSX can help:

• Contain the spread of the malware such as WannaCry
• Provide visibility into on-going attacks
• Identify systems that are still infected
• Mitigate future risk through a micro-segmentation approach

Stages of the WannaCry cyber attack 

Before we provide our attack mitigation recommendations, let us review the WannaCry ransomware attack lifecycle.

1. Weaponization:

WannaCry uses the EternalBlue exploit that was leaked from the NSA to exploit the MS17-010 vulnerability in Windows. WannaCry then encrypts data on the system including office files, emails, databases, and source code, as well as network shares, using RSA-2048 encryption keys with AES-128 encryption that are extremely difficult to break with current technology. WannaCry ends the “weaponization” stage by posting a message to the user demanding $300 in bitcoin as a ransom in order to decrypt the data.

2. Installation / Exploitation / Encryption / Command and Control:

WannaCry cycles through every open RDP session since it is also a worm that contains the malware payload that drops itself onto systems and spreads itself. As soon as the ransomware is dropped, it tries to connect to a command and control URL to seize control and encrypt the system. The code has both direct as well a proxy access to the internet. Next step for the worm is to install a service called “mssecsvc2.0” with display name “Microsoft Security Center (2.0) service”. The worm loads the crypto module when the service is installed and proceeds to encrypt the system.

3. Propagation:

WannaCry enters through email phishing or other means of breaching the network perimeter and scans all of the systems on the network based and spreads laterally from vulnerable system-to-system. Scans are not just restricted to systems actively communicating but also IP addresses obtained via multicast traffic, unicast traffic, and DNS traffic. Once WannaCry obtains a list of IPs to target, it probes port 445 with a randomly generated spoofed source IP address. If the connection on port 445 of a vulnerable system is successful, WannaCry proceeds to infect and encrypt the system. Additionally, it scans for the entire /24 subnet for the system (10 IP addresses at a time), probing for additional vulnerable systems.

Preventing the attack with VMware NSX 

NSX can be used to implement micro-segmentation to compartmentalize the data center, containing the lateral spread of ransomware attacks such as WannaCry and achieving a zero trust network security model.

The following are recommendations in order of priority, to create a micro-segmented environment that can interrupt the WannaCry attack lifecycle.

1. Monitor traffic on port 445 with the NSX distributed firewall. This would provide visibility into SMB traffic, that may include attack traffic or attempts. Once endpoint infection is determined, Allow or Block, logs from NSX can be correlated or analyzed in SIEM, log analyzer or network behavior analyzer.
2. Enable environmental re-direction rules in NSX so that any traffic destined for critical systems is steered to an NSX-integrated IPS solutions to detect network indicators of this attack. Even if the perimeter did not detect the malware, east-west traffic within the environment can be analyzed to detect the attack indicators.
3. Create an NSX Security Group for all VMs running the Windows Operating System, to identify potentially vulnerable machines. This is really simple to do in NSX as you can group VMs based on attributes like operating system, regardless of their IP address.
4. Enable Endpoint Monitoring (NSX 6.3+ feature) on VMs that are part of the Windows operating system to detect mssecsvc2.0. If detected, verify and check what VMs it has started communicating with on port 445.
5. Create a distributed firewall rule to immediately block/monitor all traffic with a destination port of 445 on the /24 subnet of any VMs that is found on that list.
6. Use Endpoint Monitoring to detect if mssecssvc2.0 is running on systems that are not patched so that NSX can detect if a new attack starts.

Additional precautions include blocking RDP communication between systems and blocking all desktop-to-desktop communications in VDI environments. With NSX, this level of enforcement can be achieved with a single rule.

Architecting a secure datacenter using NSX Micro-segmentation 

With NSX micro-segmentation, organizations can enable a least privilege, zero trust model in their environment. For environments utilizing NSX, the distributed firewall applies security controls to every vNIC of every VM. This controls communications between all VMs in the environment (even if they are on the same subnet), unlike the traditional firewall model in which flows within a subnet are typically not restricted, allowing malware to spread laterally with ease.  With a zero trust architecture enabled by NSX, any non-approved flow will be discarded by default, regardless of what services have been enabled the VM, and ransomware like WannaCry will not be able to propagate – immediately blunting the amount of damage to data center operations and hence the organization.

The post Use a Zero Trust Approach to Protect Against WannaCry appeared first on Network Virtualization.

With Memorial Day weekend coming up, for me, it’s all about hot dogs, hamburgers, and fast car racing. I am huge Formula 1 fanatic, but Memorial Day is a bonanza of racing from the F1 Monaco Grand Prix, to NASCAR’s Coke 600, and of course the Indianapolis 500 all on the same day! The raw speed and performance of these races remind me of a 2016 VMworld presentation (NET8030) on NSX performance.

The argument still comes up now and again that “hardware is faster than software.” Network guys like me just assume that’s true. So, it came as a surprise to me when I watched the session which turned that assumption on its head. In this session, the presenter demonstrated that software is faster than hardware, way faster. Of course, I was dubious at first but quickly learned that physical networking and virtual networking is like the difference between the pace car and the race car. I always assumed the physical switch was the race car, but in the throughput presentation, Samuel showed two VM’s running on the same host with NSX routing, switching, and firewalling between them could get up to 106G! This information surprised me. Sort of like the same experience I had when I saw my first Daytona race and 40 cars took the green flag at 190 mph. The presentation went further to demonstrate throughput between two different hosts connected by a physical switch was 77G (w/2 40G uplinks). What caught my attention is that the physical switch was now the bottleneck compared to the NSX virtual switch. Like the restrictor plate NASCAR mandates in the Daytona cars to slow them down, I learned software could be faster than hardware. So, what this means is by running NSX a customer can not only get line rate performance but possibly improve performance as compared to their physical switch uplinks which today are usually multiples of 10G. You may have seen VMwares’ vRealize Network Insight product show routed traffic as a percentage of the total flows.  What this means is the physical switch is performing that routing function at host uplink speeds (~10G). By deploying NSX, that same traffic could run up to 100G or a 10x improvement.

Full disclosure, this is a nuanced conversation and most application communication is across hosts, but it is fast nonetheless. There are some optimizations that pNICs and vNICs leverage to deliver the performance numbers I mentioned above. TSO (TCP segmentation offload), LRO (large receive offload), and RSS (receive side scaling) are all optimizations required to deliver on those numbers. However, these optimizations are common in modern operating systems and newer pNICs. The interesting difference between physical and virtual is how packets are segmented. You may be familiar with MTU (maximum transmission unit). MTU is the size of the largest network layer PDU (protocol data unit) transmitted in a single network transaction. You may have heard presenters of NSX say we need a minimum 1600 byte MTU (for VXLAN overhead). Ethernet defaults are 1500, but switches can go up to 9K. The larger MTU brings greater efficiency because each network packet carries more user data and the higher efficiency means an improvement in bulk protocol throughput. Within a hypervisor, MTU is irrelevant with some of these optimizations as all the communication between VM’s is done in memory and not fragmented. So, a more critical maximum is MSS (maximum segment size). Since we skip fragmenting packets down to MTU sized packets, we could work with segments as large as 65K thanks to TSO and LRO within the host.  Even across hosts, a NIC card that supports LRO for VXLAN helps push the throughput up tremendously. We play by a different set of rules in the hypervisor. Call it cheating, call it lower tire pressure, call it an illegal spoiler, call it what you want, but the NSX race car is very competitive in the game of speed.

Green, white, checker…

To learn more about NSX and performance, I recommend these two blogs:

• NSX Performance at Telefonica
• Game Changing: Day 2 Enterprise Data Management Tasks with VMware NSX and vRealize Operations

The post Speed, Power, Performance: NSX & Memorial Day Motorsports appeared first on Network Virtualization.

Summary: Municipality of Zoetermeer implements Zero-Trust model with VMware NSX-enabled micro-segmentation for advanced security inside data centers. Zoetermeer follows the Dutch BIG (Baseline Information Security Dutch Municipalities) regulations

Zoetermeer is a modern, fast-growing municipality in the province of South Holland. It provides local services such as water supply, sewage and garbage disposal to around 125,000 residents. As a forward-thinking organization, the municipality of Zoetermeer recognizes that the increasing volume of cyber attacks against organizations today has shown that traditional, perimeter-centric security models are no longer effective.

The municipality responded by working with VMware partner ON2IT IT Services on a solution that wouldn’t treat everything inside the network as trusted. Zoetermeer deployed VMware NSX® network virtualization to facilitate a Zero Trust security model. This Zero Trust model is enabled by the unique micro-segmentation capabilities of VMware NSX.  Zoetermeer is now compartmentalizing different segments of its network and applying automated, fine-grained security policies to individual applications.

“The municipality of Zoetermeer is committed to delivering digital services to our citizens, and also digital tools to enable the best experience for our employees,” said Mr. Van Gaalen, IT Manager, Municipality of Zoetermeer. “But security must remain paramount. Thanks to VMware, we can provide the right person – citizen or employee – with secure access to the right data, from anywhere.”

In addition to providing advanced security inside its data center, the solutions have enabled the municipality to meet rigorous regulatory compliance requirements. VMware NSX has been instrumental in enabling the municipality of Zoetermeer to conform to BIG (Baseline Information Security Dutch Municipalities). These BIG rules have been introduced by the information security service (IBD) of the Association of Dutch Municipalities (VNG) and consist of a set of security measures that ensure a good basic level of security for municipalities. To meet these guidelines, optimal and transparent IT processes and security rules are required.

Mr. Van Gaalen also noted,  “VMware helps us meet the rigorous government requirements for security and data protection. With micro-segmentation, we can better manage security policies across our network, aligning them with individual applications and ultimately reducing risk.  It was the clear next step in achieving a secure software-defined data center,” said

A longstanding VMware customer, Zoetermeer was the first Dutch municipality to use VMware Horizon desktop virtualization. As it continues on its journey of mobile digitization, the municipality will soon provide the majority of its employees with digital workspaces when its newly-built town hall opens. It will deploy VMware AirWatch® Mobile Device Management to securely manage its fleet of mobile devices and to support its growing mobile workforce.

The post Progressive Dutch Municipality Protects Citizen Data and Meets Compliance with VMware NSX appeared first on Network Virtualization.

I’ve written several prior blogs on multi-site solutions with NSX-V discussing topics such as fundamentals, design options, multi-site security, and disaster recovery; see below links to review some of the prior material. In this post, I’ll discuss how VMware NSX-V and F5 BIG-IP DNS (prior known as F5 GTM) can be used together for Active/Active solutions where an application is spanning multiple sites and site-local ingress/egress for the application is desired. F5 offers both virtual and physical appliances; in this post I demonstrate using only the virtual (VE) F5 appliances. Big thanks to my friend Kent Munson at F5 Networks for helping with the F5 deployment in my lab and for providing some of the details to help with this blog post. This is the first of several blog posts to come on this topic. 

Prior NSX-V Multi-site and Disaster Recovery Posts:

• Cross-VC NSX for Multi-site Solutions
• Enhanced Disaster Recovery with Cross-VC NSX and SRM
• NSX-V: Multi-site Options and Cross-VC NSX Design Guide
• Cross-VC NSX: Multi-site Deployments with Ease and Flexibility
• Multi-site with Cross-VC NSX: Consistent Security and Micro-segmentation Across Sites
• Multi-site with Cross-VC NSX and Palo Alto Networks Security
• VMware NSX and SRM: Disaster Recovery Overview and Demo

 
With Cross-VC NSX, as shown in my prior blog post, Cross-VC NSX: Multi-site Deployments with Ease and Flexibility, there are multiple deployment options. A popular deployment model is shown bellow in Figure 1 where a single Universal Control VM peers with ESGs at both sites. BGP weight is used to control the egress point. BGP weight is used to enforce that all North/South traffic across both sites be sent out site 1 ESGs. In this example, the VMs on the Web tier (same subnet) are spanning both sites, but the BGP weight dictates via routing that all traffic egress site 1 ESGs. There are multiple options to control ingress traffic in this model, for example via route filtering on the site 2 ESGs or AS Path prepend on the ToRs. I’ve prior outlined these options in detail in the NSX-V Multi-site Options and Cross-VC NSX Design Guide.

Figure 1:  Cross-VC NSX Deployment with Active/Passive Ingress/Egress

 
In this deployment model, a single egress point at site 1 is used for North/South traffic for both sites; this simplifies deployment, maintenance, and troubleshooting, and, typically, customers investing in such a multi-site solution have a robust data center interconnect (DCI) for the typical 15 – 20% or less North/South traffic seen within a data center.

 
If the requirement is simply to utilize ESGs at both sites for different applications, a deployment such as the below can also be done. In this example, Tenant 1 applications, primarily at site 1, use the site 1 ESGs for North/South traffic and Tenant 2 applications, primarily at site 2, use the site 2 ESGs for North/South traffic. This is accomplished by simply deploying another Universal Distributed Router (UDLR) for Tenant 2 and using BGP weight to prefer the routes out site 2 ESGs.

Figure 2:  Cross-VC NSX- Two UDLRs and Active/Passive Ingress/Egress Using ESGs at Both Sites

 
Sometimes it’s desired to have Active/Active North/South connectivity for an application that is stretching across sites. For example, Web servers at site 1 should use the site 1 ESGs and Web servers at site 2 on the same subnet should use site 2 ESGs.

 
The application in this case is stretched across sites and we want to use the site-local ESGs for ingress/egress. There are a couple options here such as the Local Egress NSX feature and possible /32 host routes advertised by the ESGs. However, although possible, /32 host route injection would require additional automation to be done to account for when a VM vMotions across sites. In this post, we’ll discuss a solution leveraging F5 BIG-IP DNS alone which provides Global Server Load Balancer (GSLB) functionality. It is also possible to leverage the Local Egress NSX feature in combination with F5 BIG-IP DNS for specific use cases. This would require a slightly different design and will be discussed in a later blog post.

 
By using a GSLB solution such as F5 BIG-IP DNS with Cross-VC NSX, a complete solution for Active-Active with local site ingress/egress can be achieved for the desired applications as shown below. It should be noted, there are multiple NSX with F5 BIG-IP DNS deployment models that can be leveraged. In the below model, traffic that is initiated from the client and needs to be load balanced will leverage the local F5 LTMs for ingress and the return egress while other traffic that doesn’t have this requirement will use the respective ESGs based on the routing metric.

Figure 3:  Cross-VC NSX and F5 BIG-IP DNS Multi-site Deployment

  
In this deployment two F5 LTM load balancers are deployed at each site in active/standby mode. There are four interfaces on the LTM VE appliance. In this example, the interfaces are used as such:

• Management interface: used for management of the LTM appliance and can be reached via web interface.
• HA interface: a heartbeat between the LTMs is used for monitoring and configuration synchronization purposes; in this case a NSX logical switch is used for this connectivity
• Internal interface: interface connected to the application network where servers that will be load balanced are connected; in this case the allocation network is also a NSX logical switch
• External interface: interface connected to the physical network

 
Source network address translation (SNAT) is done by the F5 LTM appliance and both an internal floating IP and external floating IP is configured as shown in Figure 3. As a client attempts to connect to a web server and makes a DNS request, the F5 BIG-IP DNS replies with the respective sites F5 LTM External Vitual IP (VIP) address. Which sites VIP is returned depends on the load balancing algorithm used. An example of this will be shown later in the post. Note, because this is a lab environment, private IP addresses were used.

 
In the below screenshot of the site 1 F5 BIG-IP DNS, it can be seen there is an entry in the F5 GSLB Wide IP List that responds to A queries for demoweb.nsxlab18.local.

Figure 4: F5 BIG-IP DNS GSLB Wide IP List

 
Looking at the associated pool (clicked 1 under Pools in Figure 4), we see that it has four members as shown below in Figure 5.

Figure 5: F5 BIG-IP DNS GSLB Pool

 
Clicking on the number 4 under members, we can see the site-specific LTMs and their associated VIPs. The active LTMs have a status of green and the standby LTMs have a status of red.

Figure 6: F5 BIG-IP DNS GSLB Pool Members

 
Also, note, in Figure 6, the Load Balancing Method is currently set to Round Robin. Since, in our current setup we have the Web application spanning both sites with one Web VM at each site, as clients make requests, they will be sent to the Web servers across sites in round-robin fashion. This is shown in the screen shots further below. The first query to the site 1 DNS server returns the External VIP for site 1: 10.100.9.14, a second query returns the External VIP for site 2: 10.200.9.14, a third query round-robins back to the External VIP for site 1: 10.100.9.14. The same behavior is seen when hitting the site 2 DNS.

Figure 7:  Site 1 DNS Reply to First Query

Figure 8:  Site 1 DNS Reply to Second Query

Figure 9:  Site 1 DNS Reply to Third Query

 
F5 BIG-IP DNS supports numerous load balancing algorithms and can also distribute DNS name resolution requests using proximity-based load balancing. F5 BIG-IP DNS determines the proximity of the resource by comparing location information derived from the DNS message to the topology records in a topology statement that has been preconfigured. The Topology Load Balancing Method should be used if it is desired to send requests from a client in a particular geographic region to a data center or server located in that region; this effectively helps achieve site-local routing for active-active solutions. Figure 10 below shows the numerous load balancing methods that are available.

Figure 10:  F5 BIG-IP DNS GSLB Load Balancing Options

 
The F5 LTMs are monitoring the web servers that are part of a defined application pool. Figure 11 below shows this application pool as configured on site 1 LTMs.

Figure 11:  F5 LTM Pool Members

 
In NSX-V, using local firewall rules, the local LTMs at both sites are blocked from load balancing received requests to web servers that are sitting at the other site. An example of the firewall configuration for site 1 is shown below in Figure 12. Thus, in Figure 11, since the Web VM with IP address 172.20.8.2 is sitting in site 2, the status on the pool member is red. In this case the setup is Active-Active, and the F5 BIG-IP DNS will load balance across sites to the Web servers as specified by the load balancing method.

Figure 12:  NSX-V DFW Configuration at Site 1 to Block Site 2 LTMs

 
If the Web VM at site 2 is vMotioned to site 1, the status of the respective pool member will turn green as shown below in Figure 13.

Figure 13: F5 LTM Pool Members

 
Now, if a DNS query is made, to any of the F5 BIG-IP DNS at either site, the External VIP IP address of site 1 (10.100.9.14) will always be returned as shown in Figure 14 below where 2 queries are made to the site 2 F5 BIG-IP DNS.

Figure 14: Site 2 DNS Reply to First Query

Figure 15: Site 2 DNS Reply to Second Query

 
As mentioned prior, there are several NSX-V with F5 BIG-IP DNS topologies that can be utilized for different use cases. In this post, I discussed how VMware NSX-V and F5 BIG-IP DNS can be used together for an Active/Active solution for web applications spanning multiple sites where site-local ingress/egress for the application is desired.  In future posts, we’ll look at additional topologies and how deployment of such a solution can be further automated. For more information on multi-site solutions with NSX-V, check-out my prior blog posts here and take a look at the NSX-V Multi-site Options and Cross-VC NSX Design Guide. For additional information on F5 BIG-IP DNS check-out the F5 Networks website.

The post Multi-site Active-Active Solutions with NSX-V and F5 BIG-IP DNS appeared first on Network Virtualization.

In the previous blog, we investigated the basic feature set of NSX Load Balancing, some of the business reasons to use it, and deployed an ESG (Edge Services Gateway), the NSX load balancing platform.  Today, we are going to setup our first virtual server.  When we look at load balancing, it operates at the Transport layer or above of the OSI model and is inclusive of the network layer.  In the most basic of terms, Load Balancing looks at a “session” from the transport layer and applies a load balancing algorithm and a NAT policy to the traffic. I put “session” in quotes because we can load balance both TCP and UDP based applications, but UDP does not have a stateful session, but we can still load balance UDP services.

Whenever someone has stated that and given application cannot be load balanced, I first ask them if the traffic can be processed by a NAT at either the client or server end. If the answer is yes, odds are that it can be load balanced with sufficient understanding of the application and the required ports, protocols and persistence to make the application function correctly. This is true with all load balancing platforms, but there are some corner cases where a very specific application proxy is required to function (such as SIP), so engage your partner SE or VMware NSX SE for help.  Ultimately you need to combine the knowledge of how the application functions and what it takes to bend the packets in the network to meet those requirements.

With NSX Load Balancing, we have two packet pipelines for load balancing.

1. Accelerated Virtual Server, which supports TCP and UDP traffic, and makes all the decisions based on layer 4 and lower data. Accelerated virtual servers do not proxy the TCP connection, and thus these deployments support larger session concurrency and higher transactions per second.  Note that the only difference in configuring a TCP to UDP virtual server is the application profile so we will not build one for each.
2. TCP-proxy (aka Full Proxy Virtual Server) which supports TCP and TCP-based applications such as HTTP and SSL. These virtual services are much more flexible than Accelerated Virtual Servers, as they have the ability to use a traffic policy language, perform SSL offload, and HTTP parsing. While they are more flexible they consume greater compute resources because the proxy the TCP connection and parse higher layer data.

The accelerated virtual server will be the focus of our investigation for the rest of this blog, and more information can be found in the NSX Administration Guide

For the basic topology depicted below, we have a client, NAT and an Application Server.  We are running a basic web application on the server. We have created Destination NAT (DNAT) to allow inbound connections to the web application.  A DNAT simply looks at the IP Header, makes the address translation per policy, and then it updates all the required fields in the packet.  The response packet is processed via the same pipeline, and the IP addresses and checksums are updated as well.  

In this more advanced topology depicted below, we have a client, Virtual Server (which contains the DNAT), a monitor and a Pool with one Application Server.  This is slightly more complex than the first NAT described above because we added in logic that also interrogates the transport layer (TCP/UDP) via an Application Profile.

In this next topology depicted below, we have a Client, Virtual server and a Pool with three Application Servers. This example is more complex because not only do we have a DNAT and an application profile, but also because we add a load balancing decision.  By adding pool members, we have increased the capacity of the application as well as provided high availability, though adding additional complexity. Once you add pool members, it is important that you understand the persistence requirements of the application, as this will not show itself by a simple DNAT or using a pool with a single member.

We will first build an accelerated virtual server on TCP port 80.  Navigate to the vCenter Web Client → Networking & Security → NSX Edges and select the ESG that we had previously deployed.

First, we will assign an IP address to the uplink interface to use for the virtual server.

Next, we will create a pool of application servers.  Navigate to Load Balancer → Pools and click on the green + sign.  We will give the pool the name, and for each member, we will assign a name, IP address, and port that the application is running on.  By default, the monitor will use the application port, but you can add a custom port if necessary.

 Next, we will create application profile that does not have persistence.  Navigate to Load Balancer → Application Profiles and click on the green + sign. Select the Type of “TCP”, and leave the Persistence set to “None”.

Finally, we will create an accelerated virtual server.  Navigate to Load Balancer → Virtual Servers and click on the green + sign.  Ensure the Enable Virtual Server and Enable Acceleration check boxes are selected. Next, select your Application Profile, assign a Name, select your IP Address and assign the Port and Default Pool.

Now that we have created a virtual server we should generate some traffic to it and then look at the load balancing and related statistics.  You can generate this traffic with a web browser or with tools like CURL, WGET or Apache Bench.   In the screen shots below, I will SSH into our example ESG and take a look.

Looking at an Accelerated Virtual Server, you will see the IP address and the pool members that are bound to the virtual server.

After running some traffic, you will notice that each server in the pool will have statistics in the Session row.

Now we will look at the virtual server as a whole which.  Notice that you can see the aggregate session statistics equal the pool session statistics.

Now to update our profile with source IP persistence to consistently get connected to the same backend server from the same client. Navigate to the Load Balancer → Application Profiles, select the TCP profile you created before and click on the pencil symbol.  Select “Source IP” from the Persistence drop down.

Now generate new traffic, and you will notice that all the traffic goes to only one of the backend servers from your client.  In the screen shot below, I generated 100 new requests, and you will notice that they all persisted to SERVER-2.

Now that we have built a basic virtual server, investigated load balancing and setup persistence, we have all we need to establish a basic load balanced service that provides high availability and scalability.  In our next installment, we will look at a full virtual server (proxies the TCP connection) so we can leverage application rules, insect the SSL or HTTP data.

Want to learn more about NSX load balancing before the next blog installment?

• Watch VMware NSX Load Balancing Light Board Video
• Explore the capabilities in the free NSX Hands-On-Lab (HOL)
• Deep-Dive into the Admin Guide and KBs

The post NSX Load Balancing – Accelerated Layer 4 Virtual Servers appeared first on Network Virtualization.