トランスポート ゾーンは、論理スイッチがアクセスできるホストを制御します。トランスポート ゾーンは 1 つ以上の vSphere クラスタにまたがって設定できます。トランスポート ゾーンでは、特定のネットワークを使用できるクラスタと仮想マシンを指定します。Cross-vCenter NSX 環境では、ユニバーサル トランスポート ゾーンを作成し、そこに環境内の任意の vCenter Server からのクラスタを含めることができます。ユニバーサル トランスポート ゾーンは 1 つしか作成できません。

NSX Data Center for vSphere 環境には、要件に基づいて 1 つ以上のトランスポート ゾーンを含めることができます。ホスト クラスタは、複数のトランスポート ゾーンに属することができます。論理スイッチは、1 つのトランスポート ゾーンのみに属することができます。

NSX Data Center for vSphere では、異なるトランスポート ゾーンに属する仮想マシン同士の接続は許可されません。論理スイッチの範囲は 1 つのトランスポート ゾーンに制限されるため、異なるトランスポート ゾーンにある仮想マシンは同じレイヤー 2 ネットワーク上に配置できません。 分散論理ルーターを、異なるトランスポート ゾーンに属する論理スイッチに接続することはできません。最初の論理スイッチを接続したら、それ以降の論理スイッチは、同じトランスポート ゾーンにある論理スイッチから選択する必要があります。

トランスポート ゾーンを設計する際には、次のガイドラインを参考にしてください。
  • レイヤー 3 接続が必要なクラスタは、Edge クラスタ(レイヤー 3 Edge デバイス(分散論理ルーターや Edge Services Gateway)があるクラスタ)と同じトランスポート ゾーンに属している必要があります。
  • Web サービス用とアプリケーション サービス用の 2 つのクラスタがあるとします。これらの 2 つのクラスタの仮想マシン間で VXLAN 接続を行うには、両方のクラスタが同じトランスポート ゾーンに属している必要があります。
  • 同じトランスポート ゾーンに属しているすべての論理スイッチは、そのトランスポート ゾーンに属しているクラスタ内のすべての仮想マシンで認識され、使用することができます。セキュリティで保護された環境がクラスタに含まれている場合、他のクラスタの仮想マシンがその環境を使用できることは望ましくありません。この場合は、セキュリティで保護されたクラスタを隔離されたトランスポート ゾーンに配置できます。
  • vSphere Distributed Switch(VDS または DVS)の範囲は、トランスポート ゾーンの範囲と一致している必要があります。マルチクラスタ VDS 設定でトランスポート ゾーンを作成する場合、選択した VDS 内のすべてのクラスタがそのトランスポート ゾーンに属していることを確認します。これにより、VDS dvPortgroup が使用可能なすべてのクラスタで分散論理ルーターが使用できるようになります。

次の図では、トランスポート ゾーンが VDS 境界に正しく合わせられています。

この図は、トランスポート ゾーンが Distributed Switch に合っていることを示しています。

このベスト プラクティスを使用しない場合に注意すべき点があります。それは、VDS が複数のホスト クラスタにまたがっている場合に、トランスポート ゾーンにそれらのクラスタの 1 つ(またはサブセット)が含まれていると、そのトランスポート ゾーン内のすべての論理スイッチが、VDS の範囲に含まれるすべてのクラスタの仮想マシンにアクセスできることです。つまり、トランスポート ゾーンによって論理スイッチの範囲をクラスタのサブセットに制限することはできません。この論理スイッチが後で分散論理ルーターに接続される場合、レイヤー 3 の問題を回避するために、トランスポート ゾーンに属しているクラスタにのみルーター インスタンスが作成されていることを確認する必要があります。

たとえば、トランスポート ゾーンが VDS 境界と合っていないと、論理スイッチ(5001、5002、5003)とそれらの論理スイッチが接続される分散論理ルーター インスタンスの範囲の結合が解除されて、クラスタ Comp A 内の仮想マシンが分散論理ルーター論理インターフェイス (LIF) にアクセスできなくなります。

この図は、5001、5002、5003 論理スイッチの範囲とこれらの論理スイッチに関連付けられている分散論理ルーターを表しています。