データセンターには、複数の NSX Edge Services Gateway 仮想アプライアンスをインストールできます。各 NSX Edge 仮想アプライアンスには、アップリンクと内部のネットワーク インターフェイスを合計で 10 個指定できます。内部インターフェイスは保護されたポート グループに接続され、そのポート グループ内の保護された仮想マシンすべてのゲートウェイとして機能します。内部インターフェイスに割り当てられたサブネットは、パブリックにルーティングされる IP アドレス空間にも、ネットワーク アドレス変換またはルーティングされる RFC 1918 専用空間にもなります。ファイアウォール ルールと他の NSX Edge サービスは、インターフェイス間のトラフィックに適用されます。

ESG のアップリンク インターフェイスは、社内共有ネットワークや、アクセス レイヤー ネットワークを提供するサービスに対するアクセス権を持つアップリンク ポート グループに接続します。

次のリストに、ESG でのインターフェイス タイプ(内部およびアップリンク)ごとの機能のサポートを示します。

  • DHCP:アップリンク インターフェイスではサポートされません。

  • DNS フォワーダ:アップリンク インターフェイスではサポートされません。

  • HA:アップリンク インターフェイスではサポートされていません。少なくとも 1 つの内部インターフェイスが必要です。

  • SSL VPN:リスナー IP がアップリンク インターフェイスに属している必要があります。

  • IPsec VPN:ローカル サイト IP アドレスがアップリンク インターフェイスに属している必要があります。

  • L2 VPN:内部ネットワークのみを拡張できます。

次の図に示すサンプルのトポロジでは、ESG のアップリンク インターフェイスが vSphere Distributed Switch を介して物理インフラストラクチャに接続され、ESG の内部インターフェイスが NSX 論理中継スイッチを介して NSX 論理ルーターに接続されています。

ロード バランシング、サイト間 VPN、および NAT サービス用に複数の外部 IP アドレスを設定できます。

前提条件

Enterprise Administrator または NSX Administrator のロールが割り当てられている必要があります。

Edge Services Gateway (ESG) 仮想アプライアンスをデプロイするのに十分な容量がリソース プールにあることを確認してください。NSX のシステム要件を参照してください。

手順

  1. vSphere Web Client で、[ホーム (Home)] > [Networking and Security (Networking & Security)] > [NSX Edges] に移動し、[追加 (Add)]追加)アイコンをクリックします。
  2. [Edge Services Gateway] を選択し、デバイスの名前を入力します。

    この名前は vCenter インベントリに表示されます。1 つのテナントのすべての ESG の中で一意の名前を付けてください。

    必要に応じて、ホスト名を入力することもできます。この名前は CLI に表示されます。ホスト名を指定しない場合は、自動的に作成される Edge ID が CLI に表示されます。

    オプションで、説明とテナントを入力し、高可用性を有効にできます。

    次はその例です。

  3. ESG のパスワードを入力し、再入力します。

    パスワードは 12 文字以上で、次の 4 つのルールのうち 3 つに従っている必要があります。

    • 1 文字以上の大文字

    • 1 文字以上の小文字

    • 1 文字以上の数字

    • 1 文字以上の特殊文字

  4. (オプション) SSH、高可用性、および自動ルール生成を有効にして、ログ レベルを設定します。

    自動ルール生成を有効にしない場合は、ファイアウォール、NAT、およびルーティングを手動で設定して、ロード バランシングや VPN などの特定の NSX Edge サービスの制御トラフィックを許可する必要があります。自動ルール生成では、データチャネル トラフィックのルールが作成されません。

    デフォルトでは、SSH と高可用性が無効になり、自動ルール生成が有効になります。デフォルトでは、ログ レベルが「緊急」に設定されます。

    すべての新しい NSX Edge アプライアンスでは、デフォルトでログが有効になっています。デフォルトのログ レベルは「注意」です。

    次はその例です。

  5. システム リソースに基づいて NSX Edge インスタンスのサイズを選択します。

    [Large] NSX Edge は、[Compact] NSX Edge よりも CPU、メモリ、およびディスク容量が多く、より多くの同時 SSL VPN-Plus ユーザーをサポートします。[X-Large] NSX Edge は、百万単位の同時セッションを処理するロード バランサが実装されている環境に適しています。高いスループットが要求される場合は、Quad Large NSX Edge をお勧めします。この NSX Edge では高い接続速度が必要になります。

    NSX のシステム要件を参照してください。

  6. Edge Appliance を作成します。

    vCenter インベントリに追加する ESG 仮想アプライアンスの設定を入力します。NSX Edge のインストール時にアプライアンスを追加しないと、NSX Edge はアプライアンスが追加されるまでオフライン モードのままになります。

    HA を有効にした場合は、アプライアンスを 2 台追加できます。アプライアンスを 1 つ追加すると、NSX Edge はその設定をスタンバイ アプライアンス用にレプリケートします。これにより、DRS や vMotion を実行した後でも、2 台の HA NSX Edge 仮想マシンを手動でホストに移動(vMotion)しない限り、これらの仮想マシンが同じ ESX ホストに存在することはありません。HA を正しく機能させるには、両方のアプライアンスを共有データストアにデプロイする必要があります。

    次はその例です。

  7. [NSX Edge のデプロイ (Deploy NSX Edge)] を選択し、デプロイ済みモードで Edge を追加します。Edge をデプロイするには、Edge のアプライアンスとインターフェイスを設定する必要があります。
  8. インターフェイスを設定します。

    ESG では、IPv4 および IPv6 アドレスの両方がサポートされます。

    HA を有効にするには、内部インターフェイスを少なくとも 1 つ追加する必要があります。

    1 つのインターフェイスには、重複しない複数のサブネットを設定できます。

    インターフェイスに複数の IP アドレスを入力した場合は、プライマリ IP アドレスを選択できます。1 つのインターフェイスには、1 つのプライマリ IP アドレスと複数のセカンダリ IP アドレスを設定できます。NSX Edge は、プライマリ IP アドレスをローカルに生成されるトラフィック(リモート Syslog やオペレータが開始した ping など)のソース アドレスと見なします。

    何らかの機能に使用する前に、インターフェイスに IP アドレスを追加する必要があります。

    オプションで、インターフェイスの MAC アドレスを入力できます。

    HA が有効な場合は、オプションとして 2 つの管理 IP アドレスを CIDR 形式で入力できます。2 台の NSX Edge HA 仮想マシンのハートビートは、これらの管理 IP アドレスを介して通信されます。管理 IP アドレスは、同じ L2/サブネットに存在し、相互に通信可能になっている必要があります。

    オプションで、MTU を変更することができます。

    他のマシンに対する ARP 要求に ESG が応答できるようにする場合は、プロキシ ARP を有効にします。これは、WAN 接続の両側に同じサブネットがある場合などに便利です。

    ICMP リダイレクトを有効にして、ルーティング情報が各ホストに伝達されるようにします。

    転送するパケット内にあるソース アドレスの到達可能性を確認するには、リバース パス フィルタを有効にします。有効モードでは、ルーターが戻りパケットの転送に使用するインターフェイスで、パケットを受信する必要があります。Loose モードの場合、送信元アドレスがルーティング テーブルに含まれている必要があります。

    複数のフェンスされた環境で IP アドレスと MAC アドレスを再使用する場合は、フェンス パラメータを設定します。たとえば、Cloud Management Platform (CMP) では、フェンスを設定することで、同じ IP アドレスと MAC アドレスを完全に分離して、つまり「フェンスして」、複数のクラウド インスタンスを同時に実行できるようになります。

    次はその例です。

    次の例は 2 つのインターフェイスを示しています。1 つは vSphere Distributed Switch 上のアップリンク ポートグループを介して ESG を外部のネットワークに接続し、もう 1 つは分散論理ルーターが接続されている論理中継スイッチに ESG を接続します。

  9. デフォルト ゲートウェイを設定します。

    MTU 値は編集可能ですが、インターフェイスに設定されている MTU より大きくすることはできません。

    次はその例です。

  10. ファイアウォール ポリシー、ログ、および HA パラメータを設定します。
    警告:

    ファイアウォール ポリシーを設定しない場合、すべてのトラフィックを拒否するようにデフォルトのポリシーが設定されます。

    すべての新しい NSX Edge アプライアンスでは、デフォルトでログが有効になっています。デフォルトのログ レベルは「注意」です。ログを ESG 上でローカルに保存する場合にログを有効にすると、ログが大量に生成されて NSX Edge のパフォーマンスに影響する可能性があります。そのため、リモートの Syslog サーバを構成して、すべてのログを統合コレクタに転送し、分析と監視を行うことをお勧めします。

    高可用性を有効にした場合は、HA セクションをすべて記入してください。デフォルトでは、HA で内部インターフェイスが自動的に選択され、リンクローカルな IP アドレスが自動的に割り当てられます。NSX Edge は高可用性で 2 台の仮想マシンをサポートし、どちらの仮想マシンのユーザー設定も最新の状態に維持されます。プライマリ仮想マシンでハートビート障害が発生すると、セカンダリ仮想マシンの状態がアクティブに変化します。このようにして、ネットワーク上では常に 1 台の NSX Edge 仮想マシンがアクティブの状態になります。NSX Edge はスタンバイ アプライアンス用にプライマリ アプライアンスの設定をレプリケートし、DRS や vMotion の使用後であっても、2 台の HA NSX Edge 仮想マシンが同じ ESX ホストに存在することのないようにします。2 台の仮想マシンは、構成したアプライアンスと同じリソース プールおよびデータストアにある vCenter Server にデプロイされます。NSX Edge HA の HA 仮想マシンにはローカル リンク IP アドレスが割り当てられるため、それらの仮想マシンは相互に通信できます。HA パラメータを設定する内部インターフェイスを選択します。内部インターフェイスが設定されていない状態でインターフェイスに「任意」を選択した場合、ユーザー インターフェイスではエラーが表示されません。2 台の Edge Appliance が作成されますが、内部インターフェイスが設定されていないため、新しい Edge はスタンバイのままとなり、HA は無効になります。内部インターフェイスを設定すると、Edge Appliance 上で HA が有効になります。バックアップ アプライアンスがプライマリ アプライアンスからハートビート信号を受信しない場合に、プライマリ アプライアンスを非アクティブと見なし、バックアップ アプライアンスで引き継ぐまでの最大期間を秒単位で入力します。デフォルトの間隔は 15 秒です。オプションとして、2 つの管理 IP アドレスを CIDR 形式で入力して、HA 仮想マシンに割り当てられたローカル リンク IP アドレスをオーバーライドすることができます。管理 IP アドレスが他のインターフェイスに使用されている IP アドレスと重複しておらず、トラフィックのルーティングを妨げていないことを確認します。ネットワーク上の他の場所に存在する IPアドレス を使用しないでください。これは、そのネットワークが NSX Edge に直接接続されていない場合でも同様です。

    次はその例です。

タスクの結果

ESG がデプロイされたら、[ホストおよびクラスタ] ビューに移動し、Edge 仮想アプライアンスのコンソールを開きます。このコンソールから、接続されたインターフェイスに ping を送信できることを確認します。

次のタスク

NSX Edge アプライアンスを最初にデプロイしたホストでは、NSX が仮想マシンの自動起動/シャットダウンを有効にします。その後、アプライアンス仮想マシンを別のホストに移行した場合、新しいホストで仮想マシンの自動起動/シャットダウンが有効にならない場合があります。そのため、クラスタ内のすべてのホストをチェックし、仮想マシンの自動起動/シャットダウンが有効になっていることを確認することをお勧めします。http://pubs.vmware.com/vsphere-60/index.jsp?topic=%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-5FE08AC7-4486-438E-AF88-80D6C7928810.html を参照してください。

これで、外部デバイスから仮想マシンへの接続を可能にするルーティングを設定できます。