vCenter Server (2)
レイヤー 3 ルール ルール セクションの展開 セクションの展開
表示スペースの確保 表示スペースの確保
1. 押しピンをクリックすると、タスク ペインが折りたたまれて、メインペインの表示スペー スが拡大します。左側のペインも折りたたむと、表示スペースが最大になります。
新しいルール (3 番目のルール) の [名前] フィールドの右上にカーソルを合わせます。鉛筆のア イコンが表示されます。鉛筆のアイコンをクリックして、ルールの名前を編集します。
ルールの命名
ルールの命名 (2)
1. [ルール名]: LogInsight_Reject 2. [Save] をクリックします。
送信元の設定 送信元の設定
新しいルール (3 番目のルール) の [ソース] フィールドの右上にカーソルを合わせます。鉛筆の アイコンが表示されます。鉛筆のアイコンをクリックして、ルールの送信元を編集します。
送信元への
送信元への VDI ネットワークの追加 ネットワークの追加
まず、VDI ネットワークから Log Insight サーバへのすべての接続を拒否するルールを作成しま す。その後、それより優先順位の高いルールを作成して、LogInsight_Users グループのユーザー にアクセスを許可します。
1. ドロップダウン メニューを使用して、[オブジェクトタイプ] を [論理スイッチ] に設定しま す。
2. [使用可能なオブジェクト] の一覧で [VDI Network] を選択します。
3. 右矢印のアイコンをクリックして [VDI Network] オブジェクトを追加します。 4. [OK] をクリックして続行します。
送信先の設定 送信先の設定
Log Insight サーバは物理マシンであり、vCenter Server インベントリには含まれていないた め、IP アドレス (192.168.110.24) で参照します。
新しいルール (3 番目のルール) の [ターゲット] フィールドの右下にカーソルを合わせます。IP のアイコンが表示されます。IP のアイコンをクリックして、ルールの送信先を編集します。
1. [値]: 192.168.110.24/32 (ネットワークではなくホストを指定していることを明示する
ために /32 というサフィックスを追加しています)
2. [Save] をクリックして続行します。
サービスの設定 サービスの設定
新しいルール (3 番目のルール) の [サービス] フィールドの右上にカーソルを合わせます。鉛筆 のアイコンが表示されます。鉛筆のアイコンをクリックして、ルールのサービスを編集します。
サービスの指定 サービスの指定
Log Insight Management Console は HTTPS で実行されるため、このサービスを大半のユーザ ーに対して拒否します。
1. 検索ボックスをクリックして、「HTTPS」 と入力します。 2. [使用可能なオブジェクト] の一覧で [HTTPS] を選択します。 3. 右矢印のアイコンをクリックしてこのサービスを追加します。 4. [OK] をクリックして続行します。
アクションの設定 アクションの設定
新しいルール (3 番目のルール) の [操作] フィールドの右上にカーソルを合わせます。鉛筆のア イコンが表示されます。鉛筆のアイコンをクリックして、ルールのアクションを編集します。
1. ドロップダウン メニューで [却下] アクションを選択します。 2. [Save] をクリックして続行します。
追加課題: [ブロック] アクションと [却下] アクションの違いは何ですか。ヒント: 答えは 『NSX 管理ガイド』 (https://pubs.vmware.com/NSX-62/topic/com.vmware.nsx.admin.doc/GUID-C7A0093A-4AFA-47EC-9187-778BDDAD1C65.html) で確認できます。
「Reject」 ルールをコピーして ルールをコピーして 「Allow」 ルールを作成 ルールを作成
作成したファイアウォール ルールを右クリックして [コピー] を選択します。
「Reject」 ルールを張り付けて ルールを張り付けて 「Allow」 ルールを作成 ルールを作成
作成したファイアウォール ルールを右クリックして [上に貼り付け] を選択します。
「Allow」 ルールの命名 ルールの命名 (1)
新しいルール (3 番目のルール) の [名前] フィールドの右上にカーソルを合わせます。鉛筆のア イコンが表示されます。鉛筆のアイコンをクリックして、ルールの名前を編集します。
「Allow」 ルールの命名 ルールの命名 (2)
1. [ルール名]: LogInsight_Allow 2. [Save] をクリックします。
新しいルール (3 番目のルール) の [ソース] フィールドの右上にカーソルを合わせます。鉛筆の アイコンが表示されます。鉛筆のアイコンをクリックして、ルールの送信元を編集します。
送信元からの
送信元からの VDI ネットワークの削除 ネットワークの削除
1. [選択したオブジェクト] の一覧で [VDI Network] を選択します。
2. 左矢印のアイコンをクリックして [VDI Network] オブジェクトを削除します。
送信元への
送信元への LogInsight_Users グループの追加 グループの追加
今度は、LogInsight_Users からの Log Insight サーバへの接続を受け入れるルールを作成しま す。これは、先ほど作成した、AD セキュリティ グループを参照する NSX セキュリティ グループ です。
1. ドロップダウン メニューを使用して、[オブジェクトタイプ] を [Security Group] に設定 します。
2. [使用可能なオブジェクト] の一覧で [LogInsight_Users] を選択します。
3. 右矢印のアイコンをクリックして [LogInsight_Users] オブジェクトを追加します。 4. [OK] をクリックして続行します。
アクションの設定 アクションの設定
新しいルール (3 番目のルール) の [操作] フィールドの右上にカーソルを合わせます。鉛筆のア イコンが表示されます。鉛筆のアイコンをクリックして、ルールのアクションを編集します。
1. ドロップダウン メニューで [許可] アクションを選択します。 2. [Save] をクリックして続行します。
変更の発行 変更の発行
作成したファイアウォール ルールは、[変更の発行] ボタンをクリックしないと分散ファイアウォー ルに展開されません。[変更の発行] ボタンをクリックします。
確認 確認
以上で、必要なセキュリティ構成が完了しました。あとは、この構成が正しく動作することを確認 するだけです。
構成を確認するには、次の作業を行います。
• CEO ユーザーとして Rainpole Desktop (VDI) にログインする
◦ Log Insight Management Console に接続できることを確認する
• CFO ユーザーとして Rainpole Desktop (VDI) にログインする
◦ Log Insight Management Console に接続できないことを確認する
追加課題: すでにモジュール 6 (ジャストイン タイムのデスクトップ) を完了している場合は、 ユーザーがログオフした後にデスクトップが破棄されてもアプリケーションの構成が保持されるこ と、動的な IP 構成を使用しているためにデスクトップの IP アドレスがセッションごとに変わるこ とを確認できます。
VMware Horizon Client の起動 の起動
メイン コンソールのデスクトップから、VMware Horizon Client を起動します。
「view-01a.corp.local」 のアイコンをダブルクリックします。
CEO としてログイン としてログイン
1. [User name]: ceo 2. [Password]: VMware1!
3. [Domain]: CORP
4. [Login] をクリックします。
Rainpole Desktop の起動 の起動
[Rainpole Desktop] アイコンをダブルクリックします。
すでにモジュール 6 を完了している場合は、代わりに [JIT Desktops] を使用します。
Microsoft Edge の起動 の起動
デスクトップが起動するまで待ちます。
Windows エクスプローラの読み込みが完了したら、クイック起動バーのアイコンをクリックして
Microsoft Edge を起動します。
Log Insight Management Console への接続 への接続
Log Insight Management Console に接続します。
Log Insight Management Console への接続に成功するはずです。図のような認証画面が表示さ れます。
デスクトップからのサインアウト デスクトップからのサインアウト
[Start] ボタンを右クリックし、[Shut down or sign out] を選択して、[Sign out] をクリックし ます。
Horizon からの接続解除 からの接続解除
[Disconnect] ボタンを使用して Horizon からサインアウトします。[OK] をクリックして確認し ます。
ユーザーの変更
ユーザーの変更
仮想デスクトップの割り当てを解除する必要がある場合は、まず、Google Chrome で新しいタブ を開いて [View Administrator] ブックマークをクリックします。アドレス バーに
「https://view-01a.corp.local/admin/」 と入力して、View 管理コンソールを直接起動することも できます。
仮想デスクトップの割り当て解除
仮想デスクトップの割り当て解除 (2)
ドメイン管理者の認証情報を使用してログインします。 1. [ユーザー名]: administrator
2. [パスワード]: VMware1!
3. [ドメイン]: CORP
4. [ログイン] ボタンをクリックします。
仮想デスクトップの割り当て解除
仮想デスクトップの割り当て解除 (3)
左側の [インベントリ] メニューで [マシン] を選択します。
仮想デスクトップの割り当て解除
仮想デスクトップの割り当て解除 (4)
[WIN10-VDI-01] マシンを右クリックして [ユーザーの割り当てを解除...] を選択します。
[OK] をクリックして、割り当て解除を確定します。
View Connection Server への接続 への接続
「view-01a.corp.local」 のアイコンをダブルクリックします。
CFO としての認証 としての認証
1. [User name]: cfo 2. [Password]: VMware1!
3. [Domain]: CORP
4. [Login] をクリックします。
Rainpole Desktop の起動 の起動
[Rainpole Desktop] アイコンをダブルクリックします。
すでにモジュール 6 を完了している場合は、代わりに [JIT Desktops] を使用します。
デスクトップが起動するまで待ちます。
Windows エクスプローラの読み込みが完了したら、クイック起動バーのアイコンをクリックして
Microsoft Edge を起動します。
Log Insight Management Console への接続 への接続
Log Insight Management Console に接続します。
接続の拒否 接続の拒否
接続が拒否されるはずです。これで、すべてが正しく動作している (CEO ユーザーはアクセスを 許可され、その他のユーザー (この場合は CFO) は拒否される) ことになります。
重要なポイント 重要なポイント
VDI / RDSH 環境で NSX を使用すると、従来の物理環境を上回るセキュリティを実現できます。 ルールを作成する際には、IP アドレス、ポート、ネットワーク セグメントなどの物理構成に限定さ れずに、ビジネス プロセスに直接関係するユーザー ID やグループ メンバーシップを活用できま す。
たとえば、バックエンド データベースへのユーザー アクセスを制限して、すべてのユーザーがア プリケーション レイヤーに接続し、アプリケーションレイヤーがデータベースに接続するように 設定できます。
NSX と Horizon の詳細については、次のページを参照してください。 https://www.vmware.com/products/horizon/horizon-nsx.html
まとめ まとめ
これで、「モジュール 7: Horizon デスクトップを保護する」 は終了です。実習ラボをご利用いた だきありがとうございました。最後にアンケートへのご記入をお願いします。