NSX は、広範なネットワーク ソリューションおよびセキュリティ ソリューションをサポートしています。
NSX は、大規模なさまざまなデータセンター環境を特にサポートするように設計されており、コンテナとクラウドに堅牢性をもたらします。
注:
NSX の構成の上限は、VMware 構成の上限に含まれるようになりました。
ネットワークと接続の機能
NSX は、SDDC で実行されているワークロードに必要なすべてのネットワーク機能を提供します。これらの機能により、次のことが可能になります。
- ネットワーク(L2、L3、および分離)を展開し、そこに配置されるワークロードのサブネットとゲートウェイを定義します。
- L2VPN は、オンプレミスの L2 ドメインを SDDC に拡張して、IP アドレスを変更しなくてもワークロードを移行できるようにします。
- ルートベースの IPsec VPN は、オンプレミス ネットワーク、VPC、またはその他の SDDC に接続できます。ルートベースの VPN は BGP を使用して、ネットワークが利用可能になったときに新しいルートを学習します。
- ポリシーベースの IPsec VPN も、オンプレミス ネットワーク、VPC、またはその他の SDDC との接続に使用できます。
- 分離されたネットワークにはアップリンクがないため、アクセスできるのは接続されている仮想マシンのみです。
- AWS Direct Connect (DX) を使用して、広帯域、低遅延の接続を介してオンプレミス ネットワークと SDDC ネットワーク間でトラフィックを送信します。ルートベースの VPN を DX トラフィックのバックアップとして使用することもできます。
- ネットワーク セグメントに対してネイティブ DHCP を選択的に有効にするか、DHCP リレーを使用してオンプレミスの IP アドレス管理ソリューションとリンクします。
- 複数の DNS ゾーンを作成し、ネットワーク サブドメインごとに異なる DNS サーバを使用できるようにします。
- ワークロードの配置先となるホストで実行中の NSX カーネル モジュールで管理されている分散ルーティングを利用して、ワークロードの相互通信を効率的に行うことができます。
セキュリティ機能
NSX セキュリティ機能には、ネットワーク アドレス変換 (NAT) 機能および高度なファイアウォール機能が含まれています。
- 送信元 NAT (SNAT) は SDDC 内のすべてのワークロードに自動的に適用されて、インターネット アクセスが有効になります。安全な環境を実現するためにインターネット アクセスは Edge ファイアウォールでブロックされますが、管理アクセスを許可するようにファイアウォール ポリシーを変更することができます。また、ワークロード用のパブリック IP アドレスを要求し、それらに対してカスタム NAT ポリシーを作成することもできます。
- Edge ファイアウォールは、管理ゲートウェイとコンピューティング ゲートウェイで実行されます。これらのステートフル ファイアウォールは、SDDC との間で送受信されるすべてのトラフィックを調べます。
- 分散ファイアウォール (DFW) は、すべての SDDC ホストで実行されるステートフル ファイアウォールです。SDDC 内のトラフィックを保護し、マイクロセグメンテーションを有効にして、ワークロード間のトラフィックを詳細に制御できるようにします。
ネットワーク運用ツール
NSX には、一般的なネットワーク運用管理ツールもいくつか用意されています。
- ポート ミラーリングは、送信元から SDDC またはオンプレミス ネットワーク内の宛先アプライアンスにミラーリング済みのトラフィックを送信できます。
- IPFIX は、トラフィック フローを IPFIX コレクタに送信することによって、セグメント固有のネットワーク トラフィック分析をサポートします。