トランスポート ゾーンにおける NSX Edge の概要図

NSX の概要図には、トランスポート ゾーンに 2 台のトランスポート ノードがあります。1 台のトランスポート ノードはホストです。もう 1 台は NSX Edge です。

展開直後の NSX Edge は、空のコンテナと考えることができます。ゲートウェイを作成するまで、NSX Edge は何も行いません。NSX Edge は、Tier-0 と Tier-1 のゲートウェイの処理をバッキングします。各ゲートウェイにはサービス ルーター (SR) と分散ルーター (DR) が含まれます。ルーターの分散とは、同じトランスポート ゾーンに属するすべてのトランスポート ノードにルーターを複製することです。この図では、ホスト トランスポート ノードに、Tier-0 および Tier-1 と同じ分散ルーターが含まれています。サービス ルーターは、NAT などのサービスを実行するようにゲートウェイを構成する場合に必要です。Tier-0 のゲートウェイにはすべてサービス ルーターがあります。Tier-1 のルーターには、設計上の検討事項に基づいて必要な場合にサービス ルーターを設定できます。

デフォルトでは、サービス ルーターと分散ルーター間のリンクは 169.254.0.0/28 サブネットを使用します。これらのルーター内の中継リンクは、Tier-0 または Tier-1 のゲートウェイの展開時に自動的に作成されます。環境内で 169.254.0.0/28 サブネットが使用中ではない限り、リンクを構成あるいは変更する必要はありません。

Tier-0 から Tier-1 の接続に割り当てられるデフォルトのアドレス空間は 100.64.0.0/10 です。Tier-0 から Tier-1 の各ピア接続には、100.64.0.0/10 アドレス空間内で /31 サブネットが提供されます。このリンクは、Tier-1 ルーターを作成し、Tier-0 ルーターに接続するときに自動的に作成されます。環境内で 100.64.0.0/10 サブネットが使用中ではない限り、このリンクのインターフェイスを設定または変更する必要はありません。

NSX 環境には、それぞれ管理プレーン クラスタ (MP) と制御プレーン クラスタ (CCP) があります。管理プレーン クラスタと制御プレーン クラスタは、各トランスポート ゾーンのローカル制御プレーン (LCP) に設定をプッシュします。ホストまたは NSX Edge が管理プレーンに加わると、管理プレーン エージェント (MPA) がホストまたは NSX Edge と接続を確立し、ホストまたは NSX Edge が NSX のファブリック ノードになります。その後、ファブリック ノードがトランスポート ノードとして追加されると、ホストまたは NSX Edge との LCP 接続が確立されます。

この図は、高可用性を提供するために結合された 2 つの物理 NIC（pNIC1 と pNIC2）の例を示しています。物理 NIC はデータパスで管理されます。これらは、外部ネットワークへの VLAN アップリンクとして、または内部の NSX で管理された仮想マシン ネットワークへのトンネル エンドポイントとして機能します。

ベスト プラクティスは、仮想マシンとして展開されている各 NSX Edge に 2 つ以上の物理リンクを割り当てることです。任意で、同じ pNIC のポート グループを、異なる VLAN ID を使用して重複させることができます。最初に見つかったネットワーク リンクが管理に使用されます。たとえば、NSX Edge 仮想マシンでは、vnic1 が最初に見つかったリンクだとします。ベア メタル インストールでは、eth0 または em0 が最初に見つかる場合があります。残りのリンクは、アップリンクやトンネルに使用されます。たとえば、1 つは、NSX によって管理されている仮想マシンのトンネル エンドポイントとして使用できます。もう 1 つは NSX Edge から外部 ToR へのアップリンクに使用できます。

管理者として CLI にログインし、コマンド get interfaces および get physical-ports を実行することによって、NSX Edge の物理リンク情報を表示できます。API では、GET fabric/nodes/<edge-node-id>/network/interfaces API 呼び出しを使用できます。物理リンクの詳細については、次のセクションを参照してください。

NSX Edge を仮想マシン アプライアンスとしてインストールするか、ベア メタルにインストールするかにかかわらず、ネットワーク構成には複数のオプションがあります。

トランスポート ゾーンと N-VDS

NSX Edge のネットワークを理解するには、トランスポート ゾーンと N-VDS についての知識が必要です。トランスポート ゾーンは NSX におけるレイヤー 2 ネットワークの到達範囲を制御します。N-VDS は、トランスポート ノードに作成されるソフトウェア スイッチです。N-VDS は、ゲートウェイのアップリンクとダウンリンクを物理 NIC にバインドします。NSX Edge が属するトランスポート ゾーンごとに、NSX Edge に個別の N-VDS がインストールされます。

NSX Edge は 0 個の VLAN トランスポート ゾーンまたは多数のトランスポート ゾーンに属することができます。VLAN トランスポート ゾーンが 0 個の場合も、NSX Edge でアップリンクを使用できます。NSX Edge のアップリンクは、オーバーレイ トランスポート ゾーン用にインストールされている N-VDS を使用できるためです。各 NSX Edge に N-VDS を 1 つだけ設定する場合は、このようにできます。別の設計オプションとして、NSX Edge をアップリンクごとに 1 つずつ、複数の VLAN トランスポート ゾーンに加えることができます。

最も一般的な設計オプションは、3 つのトランスポート ゾーンです。1 つのオーバーレイと、冗長アップリンク用に 2 つの VLAN トランスポート ゾーンを設定します。

トランスポート ネットワークでオーバーレイ トラフィックに同じ VLAN ID を使用し、VLAN トラフィック（VLAN アップリンクなど）に別の VLAN ID を使用するには、2 つの異なる N-VDS（VLAN 用とオーバーレイ用）に ID を構成します。

NSX 2.5 以降では、単一の N-VDS スイッチを使用してネットワークを構成できます。このスイッチは、単一のクラスタ上の NSX Edge、ホスト トランスポート ノードおよび NSX Manager トラフィックを管理します。「N-VDS スイッチを実行するホストでの最小の単一 vSphere クラスタの展開」を参照してください。

仮想アプライアンス/仮想マシンの NSX Edge ネットワーク

NSX Edge を仮想アプライアンスまたは仮想マシンとしてインストールすると、fp-ethX という内部インターフェイスが作成されます。ここで X は 0、1、2、3 です。これらのインターフェイスは、トップオブラック (ToR) スイッチへのアップリンク用と、NSX のオーバーレイ トンネル用に割り当てられます。

NSX Edge のトランスポート ノードを作成するときに、アップリンクとオーバーレイ トンネルに関連付ける fp-ethX インターフェイスを選択できます。fp-ethX インターフェイスの使用方法は任意に決められます。

vSphere Distributed Switch または vSphere Standard スイッチで、NSX Edge に 2 つ以上の vmnics を割り当てる必要があります。1 つは NSX Edge の管理用で、もう 1 つはアップリンクやトンネル用です。

次の物理トポロジ例では、fp-eth0 がオーバーレイ トンネル トラフィックに使用されます。このトラフィックは TEP IP アドレスを伝送します。fp-eth1 は、North-South トラフィックをサポートする Tier-0 ゲートウェイ アップリンクに使用されます。このトポロジはゲートウェイのみで構成されているため、fp-eth2 は使用されていません。L2 ブリッジが構成されている場合は、fp-eth2 を使用できます。管理ネットワークには eth0/vNIC1 が割り当てられます。

この例に示す NSX Edge は 2 つのトランスポート ゾーンに属しています（オーバーレイ 1 つと VLAN 1 つ）。このため、トンネル用とアップリンク トラフィック用に 2 つの N-VDS があります。

このスクリーン ショットは、仮想マシンのポート グループ、nsx-tunnel と vlan-uplink を示しています。

--net:"Network 0-Mgmt" --net:"Network 1-nsx-tunnel" --net:"Network 2=vlan-uplink"

この例では、仮想マシンのポート グループ名、Mgmt、nsx-tunnel、vlan-uplink を使用しています。仮想マシンのポート グループには任意の名前を使用できます。

NSX Edge でトンネルとアップリンク用に設定する仮想マシン ポート グループを、VMkernel ポートや、特定の IP アドレスに関連付ける必要はありません。これらは、レイヤー 2 でのみ使用されるためです。環境で DHCP を使用して管理インターフェイスにアドレスを提供する場合は、管理ネットワークに割り当てられている NIC が 1 つだけであることを確認します。N-VDS スイッチに割り当てられている fp-eth インターフェイスの 1 つが停止すると、NSX Edge の状態は [劣化] になります。NSX Edge のすべてのトンネルが停止すると、ノードの状態は [停止] になります。

VLAN とトンネルのポート グループはトランク ポートとして設定されています。これは必須です。たとえば、標準の vSwitch では、トランク ポートを次のように構成します。[ホスト] > [構成] > [ネットワーク] > [ネットワークの追加] > [仮想マシン] > [VLAN ID All (4095)]。

アプライアンス ベースまたは仮想マシンの NSX Edge を使用する場合は、標準の vSwitch または vSphere Distributed Switch を使用できます。

準備が完了した NSX ホストに NSX Edge 仮想マシンをインストールして、トランスポート ノードとして設定することができます。展開には 2 つのタイプがあります。

• NSX Edge 仮想マシンを展開するには、VSS/VDS がホスト上の個別の pNIC を使用する VSS/VDS ポート グループを使用します。ホスト トランスポート ノードは、ホストにインストールされた N-VDS に対して独立した pNIC を使用します。ホスト トランスポート ノードの N-VDS は、VSS または VDS と共存します。いずれも、独立した pNIC を使用します。ホスト TEP (Tunnel End Point) および NSX Edge TEP は同じサブネットに配置することも、異なるサブネットに配置することもできます。
• NSX Edge 仮想マシンを展開するには、ホスト トランスポート ノードの N-VDS 上の VLAN によってバッキングされている論理スイッチを使用します。ホスト TEP と NSX Edge TEP は、同じ VLAN またはサブネットに配置できます。

また、複数の NSX Edge アプライアンス/仮想マシンを 1 台のホストにインストールし、同じ管理、VLAN、トンネル エンドポイントのポート グループを、インストールされているすべての NSX Edge に使用できます。

基盤となる物理リンクが稼動し、仮想マシンのポート グループ設定が完了したら、NSX Edge をインストールできます。

ベア メタルの NSX Edge ネットワーク

ベアメタルの NSX Edge には、fp-ethX という内部インターフェイスが含まれます。この X は、最大 16 個のインターフェイスを示します。作成される fp-ethX インターフェイス数は、ベア メタルの NSX Edge にある物理 NIC の数によって異なります。これらのインターフェイスの 4 つまでは、トップオブラック (ToR) スイッチへのアップリンクや、NSX のオーバーレイ トンネルに割り当てることができます。

NSX Edge のトランスポート ノードを作成するときに、アップリンクとオーバーレイ トンネルに関連付ける fp-ethX インターフェイスを選択できます。

fp-ethX インターフェイスの使用方法は任意に決められます。次の物理トポロジ例では、fp-eth0 と afp-eth1 が結合され、オーバーレイ トンネル トラフィックに使用されます。このトラフィックは TEP IP アドレスを伝送します。fp-eth2 と fp-eth3 は、North-South トラフィックをサポートする Tier-0 ゲートウェイ アップリンクに使用されます。管理ネットワークには eth0/vNIC1 が割り当てられます。