NSX Public Cloud Gateway：展開のアーキテクチャとモード

NSX Public Cloud Gateway (PCG) は、パブリッククラウドと NSX-T Data Center のオンプレミス管理コンポーネント間の North-South 接続を可能にします。

PCG のアーキテクチャとワークロード仮想マシン管理の展開モードに関する次の用語について理解しておく必要があります。

注： PCG は、サポートされているパブリッククラウドごとに 1 つのデフォルトサイズで展開されます。

パブリッククラウド	PCG インスタンスタイプ
AWS	c5.xlarge。一部のリージョンでは、このインスタンスタイプをサポートしていない場合があります。詳細については、AWS のドキュメントを参照してください。注：このインスタンスタイプで、CPU 使用率が高いことを示すアラートが表示される場合は、PCG インスタンスのサイズを c5.2xlarge に変更します。 PCG インスタンスの高可用性ペアを使用している場合は、まずスタンバイ PCG を停止、サイズ変更、および再起動して、サイズを変更します。現在アクティブな PCG を停止し、スタンバイ PCG がアクティブになるまで待機します。この PCG のサイズを変更して再起動すると、アクティブになります。インスタンスタイプ別のサイズ変更の詳細については、AWS のドキュメントを参照してください。
Microsoft Azure	Standard DS3 v.2

パブリッククラウド

PCG インスタンスタイプ

AWS

c5.xlarge。

一部のリージョンでは、このインスタンスタイプをサポートしていない場合があります。詳細については、AWS のドキュメントを参照してください。

注：このインスタンスタイプで、CPU 使用率が高いことを示すアラートが表示される場合は、PCG インスタンスのサイズを c5.2xlarge に変更します。

PCG インスタンスの高可用性ペアを使用している場合は、まずスタンバイ PCG を停止、サイズ変更、および再起動して、サイズを変更します。現在アクティブな PCG を停止し、スタンバイ PCG がアクティブになるまで待機します。この PCG のサイズを変更して再起動すると、アクティブになります。

インスタンスタイプ別のサイズ変更の詳細については、AWS のドキュメントを参照してください。

Microsoft Azure

Standard DS3 v.2

アーキテクチャ

PCG は、スタンドアローンのゲートウェイアプライアンスにすることも、パブリッククラウド VPC または VNet 間で共有してハブアンドスポークトポロジを実現することもできます。

展開のモード

[自己管理 VPC/VNet]：PCG を VPC または VNet に展開すると、VPC または VNet は自己管理として見なされます。したがって、この VPC または VNet でホストされている仮想マシンは、NSX で管理することができます。

[中継 VPC/VNet]：コンピュート VPC/VNet をリンクすると、自己管理 VPC/VNet が中継 VPC/VNet になります。

[コンピューティング VPC/VNet]：PCG が展開されておらず、トランジット VPC/VNet にリンクされている VPC/VNet は、コンピューティング VPC/VNet と呼ばれます。

[AWS Transit Gateway と PCG]：NSX-T Data Center 3.1.1 以降では、AWS Transit Gateway を使用して、1 つの中継 VPC を複数のコンピュート VPC と接続できます。詳細については、PCG と AWS Transit Gateway の使用を参照してください。

PCG を展開するために VPC/VNet で必要なサブネット

PCG は、VPC または VNet に設定される次のサブネットを利用します。 Microsoft Azure とオンプレミス NSX-T Data Center の接続または AWS とオンプレミス NSX-T Data Center の接続を参照してください。

[管理サブネット]：このサブネットは、オンプレミス NSX-T Data Center と PCG 間の管理トラフィックに使用されます。範囲の例：/28。
[アップリンクサブネット]：このサブネットは、North-South のインターネットトラフィックに使用されます。範囲の例：/24。
[ダウンリンクサブネット]：このサブネットには、ワークロード仮想マシンの IP アドレス範囲が含まれています。このサブネットのサイズを変更すると、デバッグのためにワークロード仮想マシンに追加のインターフェイスが必要になることがあることに注意してください。

PCG 環境は、NSX-T Data Center コンポーネントの完全修飾ドメイン名 (FQDN) と、これらの FQDN を解決できる DNS サーバを使用した、既存のネットワークアドレスプランに適応します。

注： PCG を使用したパブリッククラウドと NSX-T Data Center との接続に IP アドレスを使用することは推奨されませんが、使用する場合は、IP アドレスを変更しないでください。

接続モード（オンプレミスとパブリッククラウド）が PCG の CSM 検出に及ぼす影響

PCG は、パブリッククラウドに展開された後、パブリッククラウドインベントリの管理インターフェイスとして CSM と通信する必要があります。PCG が CSM の IP アドレスに到達できるようにするには、次のガイドラインに従ってください。

PCG がプライベート IP モード (VGW) で展開された場合：PCG は、実際の CSM IP アドレスまたは指定のサブネット範囲のいずれかの IP アドレスを使用して CSM を検出します。

図 1. VGW 接続を使用した NSX Public Cloud Gateway アーキテクチャ
PCG がパブリック IP モード (IGW) で展開された場合：PCG は、NAT で変換された CSM の IP アドレスを使用して CSM を検出し、CSM の実際の IP アドレスまたはサブネット範囲にアクセスします。

図 2. IGW 接続を使用した NSX Public Cloud Gateway アーキテクチャ

仮想マシン管理のモード

NSX 強制モード：このモードでは、パブリッククラウドでタグ nsx.network=default を適用する各ワークロード仮想マシンに NSX Tools をインストールすることにより、ワークロード仮想マシンが NSX 管理下に置かれます。

Native Cloud 強制モード：このモードの場合、ワークロード仮想マシンは NSX Tools を使用せずに NSX で管理されます。

検疫ポリシー

検疫ポリシー：パブリッククラウドのセキュリティグループと連動する NSX Cloud の脅威検出機能。

NSX 強制モードでは、検疫ポリシーを有効または無効にすることができます。ベストプラクティスとして、ワークロード仮想マシンをオンボーディングするときに隔離ポリシーを無効にして、すべての仮想マシンを [ユーザー管理] リストに追加します。
Native Cloud 強制モードでは、検疫ポリシーは常に有効で、無効にすることはできません。

設計オプション

PCG の展開モードに関係なく、どちらのモードでもコンピュート VPC/VNet をリンクできます。

表 1. PCG 展開モードを含む設計オプション
トランジット VPC/VNet での PCG 展開モード	このトランジット VPC/VNet にコンピュート VPC/VNet をリンクするときにサポートされるモード
NSX 強制モード	NSX 強制モード Native Cloud 強制モード
Native Cloud 強制モード	NSX 強制モード Native Cloud 強制モード

注：

トランジットまたはコンピュート VPC/VNet にモードを選択した後で、そのモードを変更することはできません。モードを切り替える場合は、PCG の展開を解除し、目的のモードで再展開する必要があります。