NSX Public Cloud Gateway (PCG) は、パブリック クラウドと NSX-T Data Center のオンプレミス管理コンポーネント間の North-South 接続を可能にします。

PCG のアーキテクチャとワークロード仮想マシン管理の展開モードに関する次の用語について理解しておく必要があります。
注: PCG は、サポートされているパブリック クラウドごとに 1 つのデフォルトサイズで展開されます。
パブリック クラウド PCG インスタンス タイプ
AWS c5.xlarge
一部のリージョンでは、このインスタンス タイプをサポートしていない場合があります。詳細については、AWS のドキュメントを参照してください。
注: このインスタンス タイプで、CPU 使用率が高いことを示すアラートが表示される場合は、PCG インスタンスのサイズを c5.2xlarge に変更します。

PCG インスタンスの高可用性ペアを使用している場合は、まずスタンバイ PCG を停止、サイズ変更、および再起動して、サイズを変更します。現在アクティブな PCG を停止し、スタンバイ PCG がアクティブになるまで待機します。この PCG のサイズを変更して再起動すると、アクティブになります。

インスタンス タイプ別のサイズ変更の詳細については、AWS のドキュメントを参照してください。
Microsoft Azure Standard DS3 v.2

アーキテクチャ

PCG は、スタンドアローンのゲートウェイ アプライアンスにすることも、パブリック クラウド VPC または VNet 間で共有してハブ アンド スポーク トポロジを実現することもできます。

展開のモード

[自己管理 VPC/VNet]PCG を VPC または VNet に展開すると、VPC または VNet は自己管理として見なされます。したがって、この VPC または VNet でホストされている仮想マシンは、NSX で管理することができます。

[中継 VPC/VNet]:コンピュート VPC/VNet をリンクすると、自己管理 VPC/VNet が 中継 VPC/VNet になります。

[コンピューティング VPC/VNet]PCG が展開されておらず、トランジット VPC/VNet にリンクされている VPC/VNet は、コンピューティング VPC/VNet と呼ばれます。

[AWS Transit Gateway と PCG]:NSX-T Data Center 3.1.1 以降では、AWS Transit Gateway を使用して、1 つの中継 VPC を複数のコンピュート VPC と接続できます。詳細については、PCG と AWS Transit Gateway の使用を参照してください。

PCG を展開するために VPC/VNet で必要なサブネット

PCG は、VPC または VNet に設定される次のサブネットを利用します。 Microsoft Azure とオンプレミス NSX-T Data Center の接続または AWS とオンプレミス NSX-T Data Center の接続を参照してください。
  • [管理サブネット]:このサブネットは、オンプレミス NSX-T Data CenterPCG 間の管理トラフィックに使用されます。範囲の例:/28。
  • [アップリンク サブネット]:このサブネットは、North-South のインターネット トラフィックに使用されます。範囲の例:/24。
  • [ダウンリンク サブネット]:このサブネットには、ワークロード仮想マシンの IP アドレス範囲が含まれています。このサブネットのサイズを変更すると、デバッグのためにワークロード仮想マシンに追加のインターフェイスが必要になることがあることに注意してください。

PCG 環境は、NSX-T Data Center コンポーネントの完全修飾ドメイン名 (FQDN) と、これらの FQDN を解決できる DNS サーバを使用した、既存のネットワーク アドレス プランに適応します。

注: PCG を使用したパブリック クラウドと NSX-T Data Center との接続に IP アドレスを使用することは推奨されませんが、使用する場合は、IP アドレスを変更しないでください。

接続モード(オンプレミスとパブリック クラウド)が PCG の CSM 検出に及ぼす影響

PCG は、パブリック クラウドに展開された後、パブリック クラウド インベントリの管理インターフェイスとして CSM と通信する必要があります。PCG が CSM の IP アドレスに到達できるようにするには、次のガイドラインに従ってください。
  • PCG がプライベート IP モード (VGW) で展開された場合:PCG は、実際の CSM IP アドレスまたは指定のサブネット範囲のいずれかの IP アドレスを使用して CSM を検出します。
    図 1. VGW 接続を使用した NSX Public Cloud Gateway アーキテクチャ
    VGW 接続を使用した NSX Public Cloud Gateway アーキテクチャ
  • PCG がパブリック IP モード (IGW) で展開された場合:PCG は、NAT で変換された CSM の IP アドレスを使用して CSM を検出し、CSM の実際の IP アドレスまたはサブネット範囲にアクセスします。
    図 2. IGW 接続を使用した NSX Public Cloud Gateway アーキテクチャ
    IGW 接続を使用した NSX Public Cloud Gateway アーキテクチャ

仮想マシン管理のモード

NSX 強制モード:このモードでは、パブリック クラウドでタグ nsx.network=default を適用する各ワークロード仮想マシンに NSX Tools をインストールすることにより、ワークロード仮想マシンが NSX 管理下に置かれます。

Native Cloud 強制モード:このモードの場合、ワークロード仮想マシンは NSX Tools を使用せずに NSX で管理されます。

検疫ポリシー

検疫ポリシー:パブリック クラウドのセキュリティ グループと連動する NSX Cloud の脅威検出機能。
  • NSX 強制モード では、検疫ポリシーを有効または無効にすることができます。ベスト プラクティスとして、ワークロード仮想マシンをオンボーディングするときに隔離ポリシーを無効にして、すべての仮想マシンを [ユーザー管理] リストに追加します。
  • Native Cloud 強制モード では、検疫ポリシーは常に有効で、無効にすることはできません。

設計オプション

PCG の展開モードに関係なく、どちらのモードでもコンピュート VPC/VNet をリンクできます。

表 1. PCG 展開モードを含む設計オプション
トランジット VPC/VNet での PCG 展開モード このトランジット VPC/VNet にコンピュート VPC/VNet をリンクするときにサポートされるモード
NSX 強制モード
  • NSX 強制モード
  • Native Cloud 強制モード
Native Cloud 強制モード
  • NSX 強制モード
  • Native Cloud 強制モード
注:

トランジットまたはコンピュート VPC/VNet にモードを選択した後で、そのモードを変更することはできません。モードを切り替える場合は、PCG の展開を解除し、目的のモードで再展開する必要があります。