複数の NSX-T Data Center 環境でルーティングおよび TEP 間通信に使用できるのは、NSX Edge 仮想マシンを展開した NSX Manager だけです。同じ vCenter Server に登録されている他の NSX Manager は、ルーティングおよび TEP 間の通信に使用できません。他の NSX Manager インスタンスは、NSX Edge 仮想マシンを通常の仮想マシンと見なします。このシナリオの場合、NSX Edge 仮想マシンでトラフィック パフォーマンスの問題が発生する可能性があります。

問題

複数の NSX-T Data Center のシナリオでは、次のような構成を使用します。
  • NSX Manager-1 と NSX Manager-2 が同じ vCenter Server(コンピュート マネージャ)に登録されています。
  • NSX Manager-1 が NSX Edge 仮想マシンを展開しました。
  • NSX Manager-2 が ESXi ホストを準備しました。
  • vSphere Web Client から、NSX Manager-2 によって準備された ESXi ホストへの NSX Edge 仮想マシンの vMotion を実行します。NSX Manager-2 は NSX Edge 仮想マシンを展開しませんでした。
  • NSX Manager-1 は、インベントリ仮想マシンとして NSX Edge を認識しません。したがって、NSX Manager-1 は DFW ルールを適用しません。

NSX Edge 仮想マシンを新しい ESXi ホストに移動した後:

  • NSX Manager-2 は、NSX EdgeNSX Edge 仮想マシンとしてではなく、通常の仮想マシンとして分類します。DFW ルールが構成されている場合、NSX Manager-2 は NSX Edge 仮想マシンに DFW ルールを適用します。

    サンプル出力を参照してください。

    https://<NSX Manager-2>/api/v1/fabric/virtual-machines
    {
                “host_id”: “59ac4c38-56b1-4b82-a131-dd9ad119f53d”,
                “source”: {
                    “target_id”: “59ac4c38-56b1-4b82-a131-dd9ad119f53d”,
                    “target_display_name”: “10.172.17.133”,
                    “target_type”: “HostNode”,
                    “is_valid”: true
                },
               …..
                “type”: “REGULAR”,
                “guest_info”: {
                    “os_name”: “Ubuntu Linux (64-bit)“,
                    “computer_name”: “vm”
                },
                “resource_type”: “VirtualMachine”,
                “display_name”: “mgr2_edge1",
                “_last_sync_time”: 1663802733277
            },
    

原因

NSX Manager-2 除外リストで NSX Edge 仮想マシンが除外されないため、NSX Edge 仮想マシンとしてではなく、通常の仮想マシンと見なされます。したがって、ワークロード用に構成された DFW ルールまたはサードパーティのファイアウォール ルールが NSX Edge 仮想マシンにも適用されます。このシナリオでは、トラフィックが中断する可能性があります。

解決方法

  1. vCenter Server (https://vCenter-Server-IP) にログインします。
  2. NSX Manager-2 は、NSX Edge 仮想マシンを通常の仮想マシンと見なすため、NS グループ Edge-VMs-From-Other-Managers を作成して、Edge 仮想マシンを NS グループに追加します。
  3. NSX Manager-2 の除外リストに追加する必要がある Edge 仮想マシンを NSX Manager-1 から特定するには、次の手順を実行します。
    1. API https://<NSX Manager-1>/api/v1/transport-nodes?node_types=EdgeNode を呼び出して取得した display_name を使用します。
    2. NSX Manager-2 からの API https://<NSX Manager-2>/api/v1/fabric/virtual-machines の応答で、display_name と名前を照合します。
  4. NS グループ Edge-VMs-From-Other-Manager を NSX Manager-2 の DFW 除外リストと SI 除外リストに追加します。
  5. NSX Edge 仮想マシンを確認して、サードパーティのファイアウォールから除外します。
  6. Edge 仮想マシン ID が変更された場合は、NS グループを更新します。
  7. Edge 仮想マシンを削除する前に、そのエントリを除外リストから削除します。
    注: NSX Manager-2 では、 NSX Edge 仮想マシンの TEP 間通信はサポートされていません。