NSX を構成したら、Arista CloudVision eXchange (CVX) の構成手順を完了して、CVX が NSX と通信できるようにします。
前提条件
NSX が CVX を適用ポイントとして登録していること。
手順
- root ユーザーとして NSX Manager にログインし、次のコマンドを実行して CVX が NSX Manager と通信するためのサムプリントを作成します。
openssl s_client -connect <IP address of nsx-manager>:443 | openssl x509 -pubkey -noout | openssl rsa -pubin -outform der | openssl dgst -sha256 -binary | openssl base64
出力例:
depth=0 C = US, ST = CA, L = Palo Alto, O = VMware Inc., OU = NSX, CN = nsx-mgr
verify error:num=18:self signed certificate
verify return:1
depth=0 C = US, ST = CA, L = Palo Alto, O = VMware Inc., OU = NSX, CN = nsx-mgr
verify return:1
writing RSA key
S+zwADluzeNf+dnffDpYvgs4YrS6QBgyeDry40bPgms=
- CVX CLI から次のコマンドを実行します。
cvx
no shutdown
service pcs
no shutdown
controller <IP address of nsx-manager>
username <NSX administrator user name>
password <NSX administrator password>
enforcement-point cvx-default-ep
pinned-public-key <thumbprint for CVX to communicate with NSX Manager>
notification-id <notification ID created while registering CVX with NSX>
end
- CVX CLI から次のコマンドを実行して、構成を確認します。
出力例:
cvx
no shutdown
source-interface Management1
!
service hsc
no shutdown
!
service pcs
no shutdown
controller 192.168.2.80
username admin
password 7 046D26110E33491F482F2800131909556B
enforcement-point cvx-default-ep
pinned-public-key sha256//S+zwADluzeNf+dnffDpYvgs4YrS6QBgyeDry40bPgms=
notification-id a0286cb6-de4d-41de-99a0-294465345b80
- 物理サーバに接続する物理スイッチのイーサネット インターフェイスで tag を構成します。CVX で管理されている物理スイッチで次のコマンドを実行します。
configure terminal
interface ethernet 4
tag phy_app_server
end
copy running-config startup-config
Copy completed successfully.
- 次のコマンドを実行して、スイッチの tag 構成を確認します。
show running-config section tag
出力例:
interface Ethernet4
description connected-to-7150s-3
switchport trunk allowed vlan 1-4093
switchport mode trunk
tag sx4_app_server
ARP を使用してタグ付きインターフェイスで学習された IP アドレスは NSX と共有されます。
- NSX Manager にログインして、CVX で管理される物理ワークロードのファイアウォール ルールを作成および公開します。ルール作成の詳細については、セキュリティを参照してください。次はその例です。
NSX で公開される NSX ポリシーとルールは、CVX で管理される物理スイッチ上の動的 ACL として表示されます。
