グローバル マネージャ からすべての構成を行う場合は、ポリシー モードを使用します。NSX フェデレーション でマネージャ モードは使用できません。

2 つのモードの詳細については、NSX Managerを参照してください。

構成の最大値

NSX フェデレーション 環境における構成の最大値は次のとおりです。

  • ほとんどの構成では、ローカル マネージャ クラスタの構成の最大値は NSX Manager クラスタと同じです。VMware Configuration Maximums ツールに移動して、NSX を選択します。

    例外および他の NSX フェデレーション固有の値については、VMware Configuration Maximums ツールNSXNSX フェデレーション カテゴリを選択します。

  • 特定の場所について、次の構成が構成の最大値に影響します。
    • ローカル マネージャ で作成されたオブジェクト。
    • グローバル マネージャ で作成され、その範囲内の場所を含むオブジェクト。

    各ローカル マネージャの容量と使用量を確認できます。カテゴリごとのオブジェクトの使用量と容量の表示を参照してください。

機能のサポート

NSX フェデレーション では、サービス挿入(ネットワーク イントロスペクション)は、次の条件で グローバル マネージャ (GM) が展開されている NSX フェデレーション 環境でのみサポートされます。
  • パートナー サービスの登録、展開、使用など、サービス挿入に関連するすべての構成は、ローカル マネージャ (LM) から行われます。
  • サービス挿入では、LM で構成されたオブジェクトのみが使用されます。これには、グループ、セグメント、その他の構成要素が含まれます。サービス挿入は、GM から定義された拡張/グローバル セグメント、または GM から作成された論理ルーターに接続されているセグメントに適用できません。グローバル マネージャ から作成されたグループは、サービス挿入リダイレクト ポリシー内で使用しないでください。
重要:
  • NSX フェデレーション の場所は、管理者がアンダーレイ ファブリックを完全に制御できる環境で実行する必要があります。
  • NSX フェデレーション は、VMware Cloud on AWS (VMC on AWS)、Azure VMware Solution (AVS)、Google Cloud VMware Engine (GCVE)、Oracle Cloud VMware Solution (OCVS)、Alibaba Cloud VMware Service (ACVS) にホストされている ローカル マネージャ または グローバル マネージャ をサポートしていません。
表 1. NSX フェデレーションでサポートされる機能
機能 詳細 関連リンク
Tier-0 ゲートウェイ
  • アクティブ/アクティブとアクティブ/スタンバイ。
  • スタティック ルーティングと BGP のみがサポートされます。
 グローバル マネージャ での Tier-0 ゲートウェイの追加
Tier-1 ゲートウェイ グローバル マネージャ での Tier-1 ゲートウェイの追加
セグメント グローバル マネージャ のレイヤー 2 ブリッジ構成が含まれます。 グローバル マネージャ からのセグメントの追加およびグローバル マネージャでのブリッジの構成
グループ いくつかの制限事項があります。「NSX フェデレーション のセキュリティ」を参照してください。 グローバル マネージャ からのグループの作成
分散ファイアウォール グローバル マネージャでセキュリティ ポリシーのドラフトを使用できます。これには、自動ドラフトと手動ドラフトのサポートが含まれます。 グローバル マネージャ でのドラフトの作成
ファイアウォール除外リスト 4.0.1.1 以降で使用可能。 ファイアウォール除外リストの管理
時間ベースのファイアウォール ルール。 4.0.1.1 以降で使用可能。 時間ベースのファイアウォール ポリシー
ゲートウェイ ファイアウォール レイヤー 3 および 4 のルールのみがサポートされます。 グローバル マネージャ からのゲートウェイ ポリシーとルールの作成
ネットワーク アドレス変換 (NAT)
  1. Tier-0 ゲートウェイ:

    • アクティブ/アクティブ:ステートレス NAT のみを構成できます。つまり、アクション タイプは「再帰」です。

    • アクティブ/スタンバイ:ステートフルまたはステートレス NAT ルールを作成できます。

  2. Tier-1 ゲートウェイ:

    • ステートフルまたはステートレス NAT ルールを作成できます。

    • ステートレス NAT ルールは、範囲が 1 つ以上の場所にまたがっていない限り、ゲートウェイの範囲内のすべての場所にプッシュされます。
    • ステートフル NAT ルールも、ゲートウェイの範囲内のすべての場所または選択した場所にプッシュされます。ただし、ステートフル NAT ルールはプライマリの場所でのみ認識され、適用されます。
 NAT/DNAT/SNAT なし/DNAT なし/再帰 NAT の構成
DNS DNS フォワーダ サービスの追加」を参照してください
DHCP と SLAAC
  • DHCP リレーは、セグメントとゲートウェイでサポートされます。
  • DHCPv4 サーバは、セグメントに構成された DHCP 静的割り当てを使用するゲートウェイでサポートされます。
  • IPv6 アドレスは、SLAAC(RA を介した DNS)を使用して割り当てることができます(DAD は、1 つの場所内でのみ重複を検出します)。
ローカル マネージャ構成のグローバル マネージャで作成されたオブジェクトの使用
  1. ほとんどの構成がサポートされます。次はその例です。
    • ローカル マネージャ Tier-1 ゲートウェイを グローバル マネージャ Tier-0 ゲートウェイに接続する。
    • ローカル マネージャ 分散ファイアウォール ルールで グローバル マネージャ グループを使用する。
  2. 次の構成はサポート[されません]
    • ローカル マネージャ セグメントを グローバル マネージャ の Tier-0 または Tier-1 ゲートウェイに接続する。
    • ロード バランサをグローバル マネージャ Tier-1 ゲートウェイに接続する。
ネットワーク モニタリング
  • ローカル マネージャグローバル マネージャ 間の通信モニタリングの拡張。
  • 同じフェデレーション内の NSX インスタンス間のトレースフロー。
LDAP LDAP 経由の Active Directory や OpenLDAP などのディレクトリ サービスを使用して、グローバル マネージャ ユーザーを認証します。 LDAP との連携
バックアップとリストア
  • FQDN または IP アドレスを使用したバックアップがサポートされています。
 NSX フェデレーション でのバックアップとリストア
場所間の vMotion
  • 複数の場所にわたるタグの複製がサポートされます。