East-West ネットワーク イントロスペクションの場合は、サービス セグメントとオーバーレイ トランスポート ゾーンを作成します。ただし、他のすべてのセグメントまたは論理スイッチは VLAN トランスポート ゾーンでバッキングできます。

East-West ネットワーク イントロスペクションは、NSX-T Data Center の展開全体に適用されます。クラスタ レベルまたはホスト レベルでサービスを展開できます。

複数の展開方法がサポートされています。その 1 つがホストベースの展開です。展開のタイプによって、特定のサービスのサービス仮想マシンの実行場所が決まります。ただし、展開のタイプに関係なく、サービス仮想マシンはすべての East-West ネットワーク イントロスペクション ワークロードからアクセスできます。たとえば、クラスタ A で実行されているワークロードは、より良い選択がない場合に、クラスタ B で実行されているサービス仮想マシンを使用できます。そのため、クラスタ ベースの展開を選択しても、East-West ネットワーク イントロスペクションはそのクラスタに限定されません。

VLAN でバッキングされたセグメントのみを使用して展開する場合でも、East-West トラフィックはオーバーレイ トランスポート ゾーンとオーバーレイでバッキングされたセグメントを通過します。East-West ネットワーク イントロスペクションは、オーバーレイまたは VLAN トランスポート ゾーンによってバッキングされているかどうかにかかわらず、トポロジ内のすべてのセグメントに適用されます。

East-West ネットワーク イントロスペクションの要件

  • IPv4 トラフィックのみ。
  • ゲスト仮想マシンとサービス仮想マシンをホストするトランスポート ノードがオーバーレイ トランスポート ゾーンで構成されていることを確認します。オーバーレイ トランスポート ゾーンは、システム内のすべてのトランスポート ノードで East-West ネットワーク イントロスペクションを使用するための要件です。
  • East-West ネットワーク イントロスペクション サービスで使用されるオーバーレイ バッキング サービス セグメントを作成します。

  • すべてのセグメントは、各ホストの同じホスト スイッチによってバッキングされる必要があります。

  • ESXi ホストで実行されているゲスト仮想マシンが VLAN セグメントに接続されているが、その ESXi ホストがオーバーレイ トランスポート ゾーンで構成されていない場合、サービス仮想マシンへのトラフィックは中断されます。このような構成では、トラフィックがブラック ホールにルーティングされることもあります。

ゲスト仮想マシンの vMotion

vMotion 中に、ターゲット仮想マシンを別のホストに正常に移行できるのは、ターゲット ホストにオーバーレイ トランスポート ゾーンが構成されていて、単一のホスト スイッチがある場合のみです。ただし、サービス セグメントが作成されるオーバーレイ トランスポート ゾーンがない場合、または複数のホスト スイッチが構成されている場合は、vMotion の実行後もゲスト仮想マシンの仮想 NIC が切断状態になります。

サービス仮想マシンの vMotion

  • ホストベースの SVM 展開:NSX は、個々のホストに展開されたサービス仮想マシン (SVM) の vMotion をサポートしていません。

  • クラスタベースの SVM 展開:NSX でクラスタベースの SVM 展開での SVM の vMotion が許可されていても、トラフィックの損失を回避するため、SVM の vMotion は実行しないでください。

サポートされていない環境

  • IPv6 トラフィック。
  • いくつかのトランスポート ノードは VLAN トランスポート ゾーン用に構成され、残りのホストは VLAN および GENEVE(オーバーレイ)トランスポート ゾーン用に構成されます。VLAN と GENEVE(オーバーレイ)の両方のトランスポート ゾーンに対してすべてのトランスポート ノードが構成されていることを確認します。
  • ゲスト仮想マシンの仮想 NIC から送信されるトラフィックが、.1q VLAN タグを伝達します。
  • トランク ポート(ゲスト仮想マシンから複数の VLAN を伝送できる)でバッキングされたゲスト仮想マシン。
  • 複数のホスト スイッチを含むトポロジでは、East-West ネットワーク イントロスペクションはサポートされません。

オーバーレイによってバッキングされた(GENEVE によってバッキングされた)セグメントは、East-West ネットワーク イントロスペクションによる内部使用のためにプロビジョニングされます。NSX Manager ユーザー インターフェイスで、[セキュリティ → ネットワーク イントロスペクションの設定 → サービス セグメント] の順に移動します。

サポートされるトラフィック クラス

  • L3 (IPv4) ユニキャスト
  • L3 (IPv4) マルチキャスト
  • L3 (IPv4) ブロードキャスト
  • L3(非 IP)(GRE および IPsec トラフィックなど)