NSX は、大規模なさまざまなデータセンター環境を特にサポートするように設計されており、コンテナとクラウドに堅牢性をもたらします。

ネットワークと接続の機能

NSX は、SDDC で実行されているワークロードに必要なすべてのネットワーク機能を提供します。これらの機能により、次のことが可能になります。

• ネットワーク（L2、L3、および分離）を展開し、そこに配置されるワークロードのサブネットとゲートウェイを定義します。
  • L2VPN は、オンプレミスの L2 ドメインを SDDC に拡張して、IP アドレスを変更しなくてもワークロードを移行できるようにします。
  • ルートベースの IPsec VPN は、オンプレミス ネットワーク、VPC、またはその他の SDDC に接続できます。ルートベースの VPN は BGP を使用して、ネットワークが利用可能になったときに新しいルートを学習します。
  • ポリシーベースの IPsec VPN も、オンプレミス ネットワーク、VPC、またはその他の SDDC との接続に使用できます。
  • 分離されたネットワークにはアップリンクがないため、アクセスできるのは接続されている仮想マシンのみです。
• AWS Direct Connect (DX) を使用して、広帯域、低遅延の接続を介してオンプレミス ネットワークと SDDC ネットワーク間でトラフィックを送信します。ルートベースの VPN を DX トラフィックのバックアップとして使用することもできます。
• ネットワーク セグメントに対してネイティブ DHCP を選択的に有効にするか、DHCP リレーを使用してオンプレミスの IP アドレス管理ソリューションとリンクします。
• 複数の DNS ゾーンを作成し、ネットワーク サブドメインごとに異なる DNS サーバを使用できるようにします。
• ワークロードの配置先となるホストで実行中の NSX カーネル モジュールで管理されている分散ルーティングを利用して、ワークロードの相互通信を効率的に行うことができます。

セキュリティ機能

NSX セキュリティ機能には、ネットワーク アドレス変換 (NAT) 機能および高度なファイアウォール機能が含まれています。

• 送信元 NAT (SNAT) は SDDC 内のすべてのワークロードに自動的に適用されて、インターネット アクセスが有効になります。安全な環境を実現するためにインターネット アクセスは Edge ファイアウォールでブロックされますが、管理アクセスを許可するようにファイアウォール ポリシーを変更することができます。また、ワークロード用のパブリック IP アドレスを要求し、それらに対してカスタム NAT ポリシーを作成することもできます。
• Edge ファイアウォールは、管理ゲートウェイとコンピューティング ゲートウェイで実行されます。これらのステートフル ファイアウォールは、SDDC との間で送受信されるすべてのトラフィックを調べます。
• 分散ファイアウォール (DFW) は、すべての SDDC ホストで実行されるステートフル ファイアウォールです。SDDC 内のトラフィックを保護し、マイクロセグメンテーションを有効にして、ワークロード間のトラフィックを詳細に制御できるようにします。

ネットワーク運用ツール

NSX には、一般的なネットワーク運用管理ツールもいくつか用意されています。

• ポート ミラーリングは、送信元から SDDC またはオンプレミス ネットワーク内の宛先アプライアンスにミラーリング済みのトラフィックを送信できます。
• IPFIX は、トラフィック フローを IPFIX コレクタに送信することによって、セグメント固有のネットワーク トラフィック分析をサポートします。