2017年6月10日土曜日

NSX6.3からの新機能セッションタイムアウトについて

NSX for vSphere 6.3の1つ大きな仕様変更が、分散ファイアーウォール機能にセッションタイムアウト機能がついたことです。
本来ファイアーウォールですから、一定時間利用していないポートを閉じるというのがセキュリティ上好ましいのですが、NSX6.2まではそのような機能実装はなくどちらかというとL3スイッチのような感じのACLで動作していた感があります。
今回のセッションタイマー機能は、まさに「ファイアーウォール」としては必要な機能が導入されたということになります。
このセッションタイマーについて紹介します。

まず、このセッションタイマー設定は、vSphere Web ClientのNetwork and Security→ファイアーウォールの画面から、新たに追加された"設定"タブ"を開きます。

ポリシーは、新規で追加可能ですので、自由にポリシーを作成できます。


まず各タイムアウト値ですが、TCP/UDP/ICMPで各パラメーターの設定が可能です。


ポリシーで設定できるパラメーターと範囲は以下の通りです。

TCP 説明
最初のパケット
(First Packet)
最初のパケットが送信された後の、接続のタイムアウト値です。デフォルトは 120 秒です。
設定範囲:10~4320000
開く
(Open)
2 番目のパケットが転送された後の、接続のタイムアウト値です。デフォルトは 30 秒です。
設定範囲:10~4320000
Established接続が完全に確立された後の、接続のタイムアウト値です。
設定範囲:120~4320000
Closing最初の FIN が送信された後の、接続のタイムアウト値です。デフォルトは 120 秒です。
設定範囲:10~4320000
Fin Wait両方の FIN が交換され、接続が閉じられた後の、接続のタイムアウト値です。デフォルトは 45 秒です。
設定範囲:10~4320000
Closed1 つのエンドポイントが RST を送信した後の、接続のタイムアウト値です。デフォルトは 20 秒です。
設定範囲:10~4320000
UDP 説明
最初のパケット
(First Packet)
最初のパケットが送信された後の、接続のタイムアウト値です。これは、新しい UDP フローの最初のタイムアウトになります。
設定範囲:10~4320000
単一
(Single)
送信元ホストが複数のパケットを送信し、宛先ホストが送り返さなかった場合の、接続のタイムアウト値です。
設定範囲:10~4320000
複数
(Multiple)
両方のホストがパケットを送信した場合の、接続のタイムアウト値です。
設定範囲:10~4320000
ICMP 説明
最初のパケット
(First Packet)
最初のパケットが送信された後の、接続のタイムアウト値です。これは、新しい ICMP フローの最初のタイムアウトになります。
設定範囲:10~4320000
応答エラー
(Error reply)
ICMP パケットへの応答で ICMP エラーが返された後の、接続のタイムアウト値です。
設定範囲:10~4320000

(参考)セッションタイマー
http://pubs.vmware.com/nsx-63/index.jsp#com.vmware.nsx.admin.doc/GUID-0A88046C-D77B-4380-99C3-A631A93E4999.html

なお、設定範囲はVMware提供のドキュメントには、設定できる範囲が記載されていませんが、画面上に設定範囲外の値を入力すると、設定できる範囲が表示されます。

また、このパラメーターの適用範囲は、「仮想マシン」と「vNIC」の2つから選択可能です。
仮想マシンの場合は、ポリシーに対して、仮想マシンを選択する形となります。

一方で、vNICの場合、仮想マシンから仮想NICを選択する形となります。

仮想NICごとにタイムアウトパラメーターを変更することが可能ですので、DBサーバーとアプリケーションサーバーのコネクションプールによる接続などが行われている場合、柔軟な設定が可能となります。

ちなみに、複数のポリシーを作成することが可能ですが、1つの仮想マシンや仮想NICなどのオブジェクトを複数のポリシーに適用させることはできません。1つのオブジェクト(仮想マシンまたは仮想NIC)は、かならず1つのポリシーにしか属せないという制約があります。なお、すでに別のポリシーが適用されたものを別のポリシーに二重で適用しようとした場合、「仮想マシンvNICはすでに別のタイマーの一部として設定されています。[解決]をクリックして、選択されたリストから削除してください」とエラー画面が表示されます。


ただし、タイムアウト値を「0」つまりタイムアウトさせないという設定はできませんので、注意が必要です。NSX6.3にアップデートした場合は、重要な仕様変更ですので、注意が必要です。




0 件のコメント:

コメントを投稿