これまでの投稿にひき続き、NSX for vSphere の 分散ファイアウォール(DFW)の様子を、
vRealize Log Insight(vRLI)を利用して見てみます。
これまでで Drop のログを見てみたので、今回は DFW で通信が許可される様子を見てみようと思います。
ただし、システム負荷への考慮などにより、通常はファイアウォールの通信許可ログを定常取得することは少ないと思います。
ここでは DFW の様子見を目的として、あえて許可ルールのログを有効にしています。
この投稿での利用製品バージョンや環境については下記をご覧ください。
vRealize Log Insight で NSX DFW の Drop を確認してみる。Part.1
vRealize Log Insight で NSX DFW の Drop を確認してみる。Part.2
vRealize Log Insight で NSX DFW の Drop を確認してみる。Part.3
テスト用の通信を発生させる。
まず意図的に、現状だと Drop される通信を発生させます。
前回同様、curl で vm01(10.1.10.101)から ext-vm01(192.168.1.223)の 80 番ポートへひたすらアクセスします。
そして、期待どおり DFW により通信できない状態です。
root@vm01 [ ~ ]# while :; do curl --connect-timeout 1 192.168.1.223:80; sleep 2; done
curl: (28) Connection timed out after 1001 milliseconds
curl: (28) Connection timed out after 1001 milliseconds
curl: (28) Connection timed out after 1001 milliseconds
curl: (28) Connection timed out after 1001 milliseconds
(以下略・・・)
ただ、許可ルールが適用されると標準出力が多くなるので、
コマンドラインは下記のような感じでもよいかもしれません。
root@vm01 [ ~ ]# while :; do curl -s --connect-timeout 1 192.168.1.223:80; sleep 2; done > /dev/null
vRLI ダッシュ―ボードの準備。
vRLI のダッシュボードを見てみます。
まず 「Distributed Firewall - Traffic」ダッシュボードです。
- 10.1.10101 から
- 192.168.1.223 への
- (TCP の)80 番ポート 宛
の通信が Drop されている様子がわかります。
そして、「Distributed Firewall - Overview」ダッシュボードを見ます。
ずっと curl を実行しているので、「Firewall actions」チャートで drop 一定量あがり続けています。
ここで、右上のボタンで「プレゼンテーション モード」を開始しておきます。
プレゼンテーション モード がオンになりました。
画面がリアルタイム更新されるので、ここで DFW のルールが反映される様子を見てみます。
DFW での許可ルール追加。
vSphere Web Client で、vm01(10.1.10.101)→ ext-vm01(192.168.1.223)への、
HTTP サービス(TCP 80 番)を許可するルールを追加します。
今回は、ルール ID 1094 でルールが作成されました。
作成したルールの「操作」列の編集ボタンをクリックして・・・
あえて許可ルールで通信がとおったログを出力するため、
「ログに記録」を選択・保存したうえで「変更の発行」をクリックします。
許可ルールがは適用されて、vm01 で実行している curl で HTML が取得できるようになりました。
vRLI のダッシュボードでは「Firewall audit events y operation」チャートで、
DFW の設定変更をした「save configuration」のカウントがあがったタイミングから通信が通過するようになり、
「Firewall actions」チャートで DFW による drop が pass に置き換わった様子が分かります。
そして、追加した許可ルールである ルール ID 1094 がヒットするようになりました。
そしてインタラクティブ分析を開いてみると・・・
ESXi から転送されてきた、DFW が PASS を示す実ログ テキストを見ることができます。
通信が通過できているときも、DFW が作用していることが可視化されています。
DFW ルールのログ出力を停止する。
DFW に追加したルール ID 1094 を「ログに記録しない」に戻して・・・
「変更の発行」をすると、このルールは有効のまま、ログは ESXi に出力されなくなります。
そのため vRLI にも、このルールにかかわる pass のログは転送されなくなります。
vRLI のダッシュボードを見ると、
2度目の「save configuration」があがったタイミング以降、
pass についてのログが出力されなくなった様子がわかります。
※途中で pass ログが途切れているのは、一時的に curl コマンドを止めて再実行したためです。
このように、vRLI で DFW の作用する様子を見ることができます。
まだ続くかもしれない・・・