NSX for vSphere の分散ファイアウォールでは、許可された通信のログを出力することができます。
そこで、特定の対象の通信をすべて許可するルールを作成して、
vRalize Log Insight(vRLI)で通信を可視化してみます。
今回の構成概要です。
ひとつの論理スイッチに接続された 3つの VM で、どのような通信が発生しているかを見てみます。
通信を確認する対象として VM を3台用意していますが、それらはすべて「ls-tenant-03」という
NSX 論理スイッチに接続しています。
DFW で許可された通信は「pass」として ESXi のログファイルに出力されるので、
それを vRLI に Syslog 転送しています。
今回の製品構成は、以前に投稿した下記と同様です。
vRealize Log Insight で NSX DFW の Drop を確認してみる。Part.1
分散ファイアウォールに許可ルールを追加してあります。
- すべての通信を許可するかわりに、適用先を論理スイッチ「ls-tenant-03」に絞っています。
- ルール ID は、1095 です。
このルールは「ログを記録」に変更してあります。
「ls-tenant-03」には、通信を見る対象にする VM 3台だけが接続されています。
それぞれの VM には、10.1.30.0/24 の IP アドレスが付与されています。
すでに、それぞれの VM からは通信が発生している状態です。
「Distributed Firewall - Overview」ダッシュボードで、
ルール ID 1095 にヒットして、通信が許可されている(pass している)ことがわかります。
ちなみに今回の環境では、ID 1095 のルールのみで「ログの出力」をしているので、
対象の VM にまったく関係しない通信ログは出力されません。
「Distributed Firewall - Traffic」ダッシュボードを見ると、受信したログの
通信の、通信元 / 先 の IP アドレス、宛先ポート番号がわかります。
「Firewall top sources」には、期待どおり 10.1.30.100 ~ 10.1.30.102 が表示されています。
この受信したログを、インタラクティブ分析で見てみます。
つづく・・・