NSX Edge は、ISO、OVA/OVF、または PXE を起動してインストールできます。いずれのインストール方法でも、NSX Edge をインストールする前にホスト ネットワークの準備ができていることを確認します。

トランスポート ゾーンにおける NSX Edge の概要図

NSX Edge ノードは、キャパシティ プールを含むサービス アプライアンスで、ハイパーバイザーに配布できない実行中のネットワーク サービス専用です。最初に展開されたときに、Edge ノードは空のコンテナとして表示されます。

図 1. NSX Edge の概要

NSX Edge ノードは、物理インフラストラクチャに接続する物理 NIC を提供するアプライアンスです。これには、次の機能が含まれます。

  • 物理インフラストラクチャとの接続

  • NAT

  • DHCP サーバ

  • メタデータ プロキシ

  • Edge ファイアウォール

これらのサービスのいずれかが設定されているか、物理インフラストラクチャに接続するアップリンクが論理ルーターに定義されている場合、NSX Edge ノードで SR がインスタンス化されます。NSX Edge ノードは NSX-T Data Center のコンピューティング ノードのように、トランスポート ノードとしても機能します。また、コンピューティング ノードと同様に、NSX Edge は複数のトランスポート ゾーンに接続できます(1 つはオーバーレイ用のゾーン、その他は外部デバイスとの North-South ピアリング用のゾーン)。NSX Edge には 2 つのトランスポート ゾーンがあります。

オーバーレイ トランスポート ゾーン:NSX-T Data Center ドメインに参加している仮想マシンから送信されるトラフィックを外部のデバイスまたはネットワークに送信する場合があります。通常、これは外部の North-South トラフィックとして記述されます。NSX Edge ノードは、コンピュート ノードから受信したオーバーレイ トラフィックのカプセル化を解除し、コンピュート ノードに送信されるトラフィックをカプセル化します。

VLAN トランスポート ゾーン:NSX Edge ノードには、カプセル化またはカプセル化解除に加えて、物理インフラストラクチャとアップリンク接続を行うための VLAN トランスポート ゾーンが必要になります。

デフォルトでは、サービス ルーターと分散ルーター間のリンクは 169.254.0.0/28 サブネットを使用します。これらのルーター内の中継リンクは、Tier-0 または Tier-1 の論理ルーターの展開時に自動的に作成されます。環境内で 169.254.0.0/28 サブネットが使用中ではない限り、リンクを設定あるいは変更する必要はありません。Tier-1 の論理ルーターでは、この論理ルーターの作成時に NSX Edge を選択した場合にのみ SR があります。

Tier-0 から Tier-1 の接続に割り当てられるデフォルトのアドレス空間は 100.64.0.0/10 です。Tier-0 から Tier-1 の各ピア接続には、100.64.0.0/10 アドレス空間内で /31 サブネットが提供されます。このリンクは、Tier-1 ルーターを作成し、Tier-0 ルーターに接続するときに自動的に作成されます。環境内で 100.64.0.0/10 サブネットが使用中ではない限り、このリンクのインターフェイスを設定または変更する必要はありません。

NSX-T Data Center 環境には、それぞれ管理プレーン クラスタ (MP) と制御プレーン クラスタ (CCP) があります。管理プレーン クラスタと制御プレーン クラスタは、各トランスポート ゾーンのローカル制御プレーン (LCP) に設定をプッシュします。ホストまたは NSX Edge が管理プレーンに加わると、管理プレーン エージェント (MPA) がホストまたは NSX Edge と接続を確立し、ホストまたは NSX EdgeNSX-T Data Center のファブリック ノードになります。その後、ファブリック ノードがトランスポート ノードとして追加されると、ホストまたは NSX Edge との LCP 接続が確立されます。

NSX Edge の概要図では、高可用性を提供するために結合された 2 つの物理 NIC(pNIC1 と pNIC2)の例を示しています。物理 NIC はデータパスで管理されます。これらは、外部ネットワークへの VLAN アップリンクとして、または内部の NSX-T Data Center で管理された仮想マシン ネットワークへのトンネル エンドポイントとして機能します。

ベスト プラクティスは、仮想マシンとして展開されている各 NSX Edge に 2 つ以上の物理リンクを割り当てることです。任意で、同じ pNIC のポート グループを、異なる VLAN ID を使用して重複させることができます。最初に見つかったネットワーク リンクが管理に使用されます。たとえば、NSX Edge 仮想マシンでは、vnic1 が最初に見つかる場合があります。

ベアメタル インストールでは、eth0 または em0 が最初に見つかる場合があります。残りのリンクは、アップリンクやトンネルに使用されます。たとえば、1 つは、NSX-T Data Center によって管理されている仮想マシンのトンネル エンドポイントとして使用できます。もう 1 つは NSX Edge から外部 ToR へのアップリンクに使用できます。

管理者として CLI にログインし、get interfacesget physical-ports コマンドを実行することによって、NSX Edge の物理リンク情報を表示できます。API では、GET fabric/nodes/<edge-node-id>/network/interfaces API 呼び出しを使用できます。

NSX Edge を仮想マシン アプライアンスとしてインストールするか、ベア メタルにインストールするかにかかわらず、ネットワーク設定には複数のオプションがあります。

トランスポート ゾーンと N-VDS

トランスポート ゾーンは NSX-T Data Center におけるレイヤー 2 ネットワークの到達範囲を制御します。N-VDS は、トランスポート ノードに作成されるソフトウェア スイッチです。トランスポート ノードのデータ プレーンに含まれるプライマリ コンポーネントは N-VDS です。N-VDS は、トランスポート ノードで実行されているコンポーネント間でトラフィックを転送します。たとえば、仮想マシン間や、内部コンポーネントと物理ネットワーク間でトラフィックを転送します。後者の場合、N-VDS はトランスポート ノードで 1 つ以上の物理インターフェイス(物理 NIC)を所有している必要があります。他の仮想スイッチと同様に、N-VDS は、他の N-VDS と物理インターフェイスを共有できません。別の物理 NIC セットを使用すると、他の N-VDS との共存が可能になる場合があります。

トランスポート ゾーンには次の 2 種類があります。

  • トランスポート ノード間の内部 NSX-T Data Center トンネル用のオーバーレイ

  • NSX-T Data Center 外部のアップリンク用 VLAN

NSX Edge に N-VDS を 1 つだけ設定する場合は、このようにできます。別の設計オプションとして、NSX Edge をアップリンクごとに 1 つずつ、複数の VLAN トランスポート ゾーンに加えることができます。

最も一般的な設計オプションは、3 つのトランスポート ゾーンです。1 つのオーバーレイと、冗長アップリンク用に 2 つの VLAN トランスポート ゾーンを設定します。

トランスポート ゾーンの詳細については、「トランストランスポート ゾーンについて」を参照してください。

仮想アプライアンス/仮想マシンの NSX Edge ネットワーク

NSX Edge 仮想マシンには、eth0、fp-eth0、fp-eth1、fp-eth2 という 4 つの内部インターフェイスがあります。eth0 は管理用に予約されていますが、残りのインターフェイスは DPDK Fastpath に割り当てられます。これらのインターフェイスは、TOR スイッチへのアップリンク用と、NSX-T Data Center のオーバーレイ トンネル用に割り当てられます。インターフェイスは、アップリンクまたはオーバーレイに柔軟に割り当てることができます。たとえば、fp-eth0 をオーバーレイ トラフィックに割り当て、fp-eth1、fp-eth2 またはその両方をアップリンク トラフィックに割り当てることができます。

vSphere Distributed Switch または vSphere 標準スイッチでは、冗長性を確保するため、少なくとも 2 つの vmnic を NSX Edge に割り当てる必要があります。

次の物理トポロジの例では、管理ネットワークに eth0 が使用され、NSX-T Data Center のオーバーレイ トラフィックに fp-eth0 が使用されています。fp-eth1 は VLAN アップリンクに使用されていますが、eth2 は使用されていません。fp-eth2 が使用されていない場合は、切断する必要があります。

図 2. NSX Edge 仮想マシン ネットワークのリンク設定の例

この例に示す NSX Edge は 2 つのトランスポート ゾーンに属しています(オーバーレイ 1 つと VLAN 1 つ)。このため、トンネル用とアップリンク トラフィック用に 2 つの N-VDS があります。

このスクリーン ショットは、仮想マシンのポート グループ、nsx-tunnel と vlan-uplink を示しています。

展開時には、仮想マシンのポート グループで設定されている名前と一致するネットワーク名を指定する必要があります。たとえば、NSX Edge の展開に ovftool を使用している場合に、この例の仮想マシン ポート グループと一致させるには、ネットワークの ovftool 設定を次のように行うことができます。

--net:"Network 0-Mgmt" --net:"Network 1-nsx-tunnel" --net:"Network 2=vlan-uplink"

この例では、仮想マシンのポート グループ名、Mgmt、nsx-tunnel、vlan-uplink を使用しています。仮想マシンのポート グループには任意の名前を使用できます。

たとえば、標準の vSwitch では、トランク ポートを次のように設定します。[ホスト] > [設定] > [ネットワーク] > [ネットワークの追加] > [仮想マシン] > [VLAN ID すべて (4095)]

NSX Edge 仮想マシンは、vSphere Distributed Switch または vSphere 標準スイッチにインストールできます。

準備が完了した NSX-T Data Center ホストに NSX Edge 仮想マシンをインストールして、トランスポート ノードとして設定することができます。展開には 2 つのタイプがあります。

  • NSX Edge 仮想マシンを展開するには、VSS/VDS がホスト上の個別の pNIC を使用する VSS/VDS ポート グループを使用します。ホスト トランスポート ノードは、ホストにインストールされた N-VDS に対して独立した pNIC を使用します。ホスト トランスポート ノードの N-VDS は、VSS または VDS と共存します。いずれも、独立した pNIC を使用します。ホスト TEP (Tunnel End Point) および NSX Edge TEP は同じサブネットに配置することも、異なるサブネットに配置することもできます。

  • NSX Edge 仮想マシンを展開するには、ホスト トランスポート ノードの N-VDS 上の VLAN によってバッキングされている論理スイッチを使用します。ホスト TEP および NSX Edge TEP は異なるサブネットに配置する必要があります。

複数の NSX Edge 仮想マシンを単一のホストにインストールして、同じ管理、VLAN、オーバーレイ ポート グループを使用できます。

vSphere が含まれ、N-VDS が含まれない ESXi ホスト上で展開されている NSX Edge 仮想マシンの場合は、次の操作が必要です。

  • この NSX Edge で実行されている DHCP サーバで偽装転送を有効にします。

  • NSX Edge 仮想マシンが不明なユニキャスト パケットを受信できるようにするため、無作為検出モードを有効にします。これは、MAC アドレスの学習がデフォルトで無効になっているためです。MAC アドレスの学習がデフォルトで有効になっている vDS 6.6 以降では、これは必要ありません。

ベア メタルの NSX Edge ネットワーク

NSX-T Data Center ベアメタル NSX Edge は、物理サーバ上で実行され、ISO ファイルまたは PXE ブートでインストールされます。レイヤー 3 のユニキャスト転送に加えて、NAT、ファイアウォール、ロード バランサなどのサービスが必要な本番環境では、ベアメタル NSX Edge が推奨されます。パフォーマンスの点で、ベアメタル NSX Edge は仮想マシン フォーム ファクタの NSX Edge と異なります。これは、1 秒未満での統合が可能で、より高速なフェイルオーバーとスループットの向上を実現します。

ベアメタル NSX Edge ノードがインストールされている場合、管理用に専用のインターフェイスが維持されます。冗長性が必要な場合は、2 つの NIC を使用して管理プレーンの高可用性を実現できます。これらの管理インターフェイスは 1G にすることもできます。

ベアメタル NSX Edge ノードは、TOR スイッチに対するオーバーレイ トラフィックとアップリンク トラフィック用に最大 8 個までの物理 NIC をサポートします。サーバ上のこれら 8 つの物理 NIC のそれぞれに、内部インターフェイスが fp-ethX という形式の名前で作成されます。これらの内部インターフェイスは、DPDK Fastpath に割り当てられます。オーバーレイまたはアップリンク接続に fp-eth インターフェイスを柔軟に割り当てることができます。

次の物理トポロジ例では、fp-eth0 と fp-eth1 が結合され、NSX-T Data Center のオーバーレイ トンネルに使用されています。fp-eth2 と fp-eth3 は、ToR への冗長 VLAN アップリンクとして使用されています。

図 3. ベア メタルの NSX Edge ネットワークのリンク設定の一例