Ansible 使用して、Windows Server 2016 でアプリケーション VIF を構成し、NSX-T と統合します。サーバにインストールされている NSX-T エージェントは、ベアメタル ワークロードとの接続とセキュリティを提供します。

この手順では、ワークロードと NSX Manager 間の接続を確立します。次に、DFW ルールを構成し、仮想または物理ワークロードと Windows Server 2016 ベアメタル ワークロード間で送受信される入力方向トラフィックと出力方向トラフィックを保護します。

手順

  1. Windows Server 2016 で Windows リモート管理 (WinRM) を有効にして、Windows サーバがサードパーティ製のソフトウェアおよびハードウェアと相互運用できるようにします。自己署名証明書を使用して WinRM サービスを有効にします。
    1. PS$ wget -o ConfigureWinRMService.ps1 https://github.com/vmware/bare-metal-server-integration-with-nsxt/blob/master/bms-ansible-nsx/windows/ConfigureWinRMService.ps1 を実行します。
    2. PS$ powershell.exe -ExecutionPolicy ByPass -File ConfigureWinRMService.ps1 を実行します。
  2. HTTPS を使用するように WinRM を構成します。HTTPS のデフォルト ポート番号は 5986 です。
    1. 管理者として Powershell を実行します。
    2. winrm quickconfig を実行します。
    3. winrm set winrm/config/service/auth @{Basic="true"} を実行します。
    4. winrm set winrm/config/service @{AllowUnencrypted="true"} を実行します。
    5. winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname="win16-colib-001";CertificateThumbprint="cd 65 61 d8 b2 25 a7 ca 99 f8 1f a5 0c 55 8b f1 38 0d 06 26"} を実行します。
    6. WinRM の構成を確認します。winrm e winrm/config/listener を実行します。
  3. Ansible 使用して、Windows サーバのアプリケーション インターフェイスを作成します。
  4. Ansible 使用して、WinRM チャネル経由で NSX Manager にセグメントとセグメント ポートを作成します。
    アプリケーション仮想インターフェイス、 NSX Manager、Windows リモート管理は、アプリケーション仮想インターフェイスに作成したセグメントおよびポートと同期されます。
  5. Windows で、Windows サーバの OVSIM ドライバをカスタマイズして、オーバーレイでバッキングされたワークロードに 2 つの新しいネットワーク アダプタを作成します。つまり、アプリケーション仮想インターフェイス用と仮想トンネル エンドポイント (VTEP) 用のアダプタを作成します。
    $:> Get-NetAdapter
    vEthernet1-VTEP:オーバーレイでバッキングされた VTEP インターフェイスに使用します。VLAN でバッキングされたワークロードには必要ありません。
    vEthernet1-VIF1:ベアメタル Windows サーバの仮想インターフェイスまたはアプリケーション インターフェイスに使用します。
  6. ネットワーク アダプタを確認するには、Windows サーバで Get-NetAdapter を実行します。
  7. スタンドアローン トランスポート ノードとしてベアメタル サーバを追加します。NSX Manager で、[システム] > [ファブリック] > [ノード] > [ホスト トランスポート ノード] の順に移動します。
  8. [管理元] ドロップダウン メニューで [スタンドアローン ホスト] を選択し、[+ 追加] をクリックします。
  9. トランスポート ノードの作成時に、次の条件が満たされていることを確認します。
    • [アップリンク] フィールドで、Windows サーバで使用可能な IP アドレスにアップリンクをマッピングします。Windows サーバで Get-NetAdapter を実行して、ベアメタル トランスポート ノードのアップリンクとして構成するイーサネット アドレスを確認します。
    • オーバーレイでバッキングされたワークロードで、ホストに VTEP アドレスを割り当てるモードとして、IP プール、静的 IP アドレスまたは DHCP を選択します。
    • VLAN でバッキングされたワークロードの場合、ホストに IP アドレスを割り当てる必要はありません。
      注: NSX-T は、Windows Server 2016 サーバで NIC チーミングまたは OVS ボンディングの構成をサポートしていません。
    NSX Manager は、必要な NSX-T VIB と NSX-T エージェントをベアメタル サーバに自動的にインストールします。詳細については、 スタンドアローン ホストまたはベア メタル サーバ トランスポート ノードの作成を参照してください。
  10. また、手動でトランスポート ノードとしてベアメタル サーバを準備することも、インタラクティブ モードでトランスポート ノードとしてサーバを準備することもできます。
    1. wget コマンドを使用して、NSX-T LCP Windows バンドルをダウンロードしてインストールします。
    2. NSX-T をサイレント インストールするには、\\install_helper.ps1 -operation install -setupFile VMware-NSX-<version>_baremetal-server_setup.exe -installPath <path> を実行します。
    3. NSX-T をインタラクティブでインストールするには、setup.exe ファイルをダブルクリックし、ウィザードの指示に従ってインストールを完了します。
    4. nsxcli コマンドを実行して、Windows サーバを NSX Manager に参加させます。
    5. NSX Manager ユーザー インターフェイスまたは REST API のいずれかを使用して、ホストをトランスポートノードとして構成します。詳細については、スタンドアローン ホストまたはベア メタル サーバ トランスポート ノードの作成を参照してください。
  11. Windows サーバに OVS ブリッジが作成されているかどうかを確認します。OVS ブリッジは、アプリケーション仮想インターフェイスをトランスポート ノードの NSX スイッチに接続します。
    ovs-vsctl show
    出力には、 nsxswitchnsx managed ホスト コンポーネントで作成されたブリッジが表示されます。 nsxswitch ブリッジは、作成されたトランスポート ノード用です。 nsx managed ブリッジは、Windows ホストのアプリケーション仮想インターフェイス用に作成されます。これらのブリッジ エントリは、NSX スイッチと Windows リモート リスナー間で通信チャネルが確立していることを示します。
  12. Ansible クライアントを使用して、オーバーレイまたは VLAN でバッキングされたセグメントに静的 IP アドレスを構成します。
    vi win_hosts を実行します。
  13. サービスの Ansible Playbook を起動して、Windows ベアメタル サーバを構成します。
    ansible-playbook -i win_hosts win_static_config.yml を実行します。
  14. オーバーレイでバッキングされたトランスポート ノードで、次のことを確認します。
    • 静的 IP アドレスに、Windows サーバ ワークロードが接続しているオーバーレイ セグメントの IP アドレスが反映されている。
    • Windows ホストの NSX 管理対象ホスト コンポーネントと NSX スイッチの間に GENEVE トンネルが作成されている。
    注: 同様に、VLAN でバッキングされたトランポート ノードで、Windows サーバ ワークロードが接続しているオーバーレイ セグメントの IP アドレスが静的 IP アドレスに反映されていることを確認します。
  15. アプリケーション、Windows ベアメタル サーバ、NSX Manager 間の接続を確認します。
  16. オーバーレイまたは VLAN でバッキングされたベアメタル ワークロードに L2 または L3 DFW ルールを追加して公開します。
  17. 仮想および物理ワークロードとベアメタル ワークロード間の入力方向トラフィックと出力方向トラフィックが、公開した DFW ルールに従って処理されます。