NSX Edge は、Edge Services Gateway (ESG) または分散論理ルーター (DLR) としてインストールできます。ESG や分散論理ルーターを含むエッジ アプライアンスの数は、ホストあたり 250 個までに制限されています。

Edge Services Gateway

この ESG を利用することで、ファイアウォール、NAT、DHCP、VPN、ロード バランシング、高可用性などのすべての NSX Edge サービスにアクセスできます。データセンターには、複数の ESG 仮想アプライアンスをインストールできます。各 ESG 仮想アプライアンスには、アップリンクと内部のネットワーク インターフェイスを合計で 10 個指定できます。トランクを使用すると、ESG には最大で 200 のサブインターフェイスを指定できます。内部インターフェイスは保護されたポート グループに接続され、そのポート グループ内の保護された仮想マシンすべてのゲートウェイとして機能します。内部インターフェイスに割り当てられたサブネットは、パブリックにルーティングされる IP 空間にも、ネットワーク アドレス変換またはルーティングされる RFC 1918 専用空間にもなります。ファイアウォール ルールなどの NSX Edge サービスは、ネットワーク インターフェイス間のトラフィックに適用されます。

ESG のアップリンク インターフェイスは、社内共有ネットワークや、アクセス レイヤー ネットワーキングを提供するサービスに対するアクセス権を持つアップリンク ポート グループに接続します。ロード バランサ、サイト間 VPN、NAT サービス用に複数の外部 IP アドレスを設定できます。

分散論理ルーター

分散論理ルーターは、テナント IP アドレス空間とデータ パス分離による水平方向の分散ルーティングを提供します。複数のサブネットにわたっている同一ホスト上に存在する仮想マシンまたはワークロードは、従来のルーティング インターフェイスをトラバースすることなく相互に通信できます。

分散論理ルーターには、8 個のアップリンク インターフェイスと、最大 1,000 個の内部インターフェイスを割り当てることができます。分散論理ルーター上のアップリンク インターフェイスは、分散論理ルーターと ESG 間のレイヤー 2 論理中継スイッチを介して、ESG とピアを形成します。分散論理ルーターの内部インターフェイスは、仮想マシンと分散論理ルーター間の論理スイッチを介して、ESXi ハイパーバイザーにホストされている仮想マシンとピアを形成します。

分散論理ルーターには、以下の 2 つの主なコンポーネントがあります。

  • 分散論理ルーター制御プレーンが分散論理ルーター仮想アプライアンスから提供されます(制御仮想マシンとも呼ばれます)。この仮想マシンは、動的なルーティング プロトコル(BGP または OSPF)をサポートし、ルーティングの更新情報を次のレイヤー 3 ホップ デバイス(通常、Edge Services Gateway)と交換し、NSX Manager および NSX Controller クラスタと通信します。分散論理ルーター仮想アプライアンスでは、アクティブ-スタンバイ構成による高可用性がサポートされます。高可用性を有効にして分散論理ルーターを作成すると、アクティブ-スタンバイ モードで機能する仮想マシンのペアが提供されます。

  • データプレーン レベルで分散論理ルーター カーネル モジュール (VIB) が存在します。これは、NSX ドメインに含まれる ESXi ホストにインストールされます。このカーネル モジュールは、レイヤー 3 ルーティングをサポートするモジュール型シャーシに組み込まれたライン カードに似ています。カーネル モジュールには、コントローラ クラスタからプッシュされるルーティング情報ベース (RIB)(ルーティング テーブルとも呼ばれる)が含まれます。ルート参照と ARP エントリ参照のデータ プレーン機能はカーネル モジュールによって実行されます。カーネル モジュールには論理インターフェイス(LIF と呼ばれる)が搭載されており、さまざまな論理スイッチと、VLAN にバッキングされたあらゆるポート グループに接続されます。各 LIF には、接続先の論理 L2 セグメントのデフォルト IP ゲートウェイを表す IP アドレスと、vMAC アドレスが割り当てられます。IP アドレスは LIF ごとに一意ですが、定義されたすべての LIF に同じ vMAC が割り当てられます。

図 1. 論理ルーティング コンポーネント
この図では、分散論理ルーターの仮想アプライアンスが NSX Manager や NSX Controller クラスタと通信を行っています。
  1. NSX Manager の ユーザー インターフェイス(または API 呼び出し)を使用して分散論理ルーター インスタンスを作成し、ルーティングを有効にして、OSPF または BGP を利用します。

  2. NSX Controller は、ESXi ホストが含まれる制御プレーンを利用して、LIF および関連付けられた IP アドレスと vMAC アドレスを含め、新しい分散論理ルーター設定をプッシュします。

  3. ネクスト ホップ デバイス(この例では NSX Edge [ESG])でルーティング プロトコルも有効になっていると仮定すると、ESG と分散論理ルーター制御仮想マシンとの間で OSPF または BGP のピアリングが確立されます。これで、ESG と分散論理ルーターはルーティング情報を交換できます。

    • 接続されたすべての論理ネットワーク用の IP プリフィックスを OSPF に再配分するように分散論理ルーター制御仮想マシンを設定できます(この例では 172.16.10.0/24 と 172.16.20.0/24)。この結果、このルートのアドバタイズが NSX Edge にプッシュされます。このプリフィックスのネクスト ホップは、制御仮想マシンに割り当てられた IP アドレス (192.168.10.3) ではなく、分散論理ルーターのデータプレーン コンポーネントを特定する IP アドレス (192.168.10.2) です。前者は分散論理ルーターの「プロトコル アドレス」、後者は「転送アドレス」と呼ばれます。

    • NSX Edge は、外部ネットワーク内の IP ネットワークに到達するためのプリフィックスを制御仮想マシンにプッシュします。多くの環境では、NSX Edge は 1 つのデフォルト ルートを送信します。そのデフォルト ルートが物理ネットワーク インフラストラクチャへの単一出口点を表しているためです。

  4. 分散論理ルーター制御仮想マシンは、NSX Edge から学習した IP ルートをコントローラ クラスタにプッシュします。

  5. コントローラ クラスタは、分散論理ルーター制御仮想マシンから学習したルートをハイパーバイザーに配布します。クラスタ内の各コントローラ ノードは、特定の分散論理ルーター インスタンスに対する情報を配布します。複数の分散論理ルーター インスタンスがデプロイされているデプロイでは、コントローラ ノード全体で負荷が分散されます。通常、個々の分散論理ルーター インスタンスは、デプロイされた各テナントに関連付けられます。

  6. ホスト上の分散論理ルーター ルーティング カーネル モジュールは、NSX Edge 経由で外部ネットワークと通信するためのデータパス トラフィックを処理します。