NSX Application Platform を正常にインストールし、ホストする NSX 機能を有効にするには、最低限必要なリソースを満たすように展開環境を準備する必要があります。

NSX Application Platform の展開を開始する前に、次のセクションに記載されている前提条件を満たす必要があります。

NSX バージョンの要件

使用している NSX 製品のバージョンが、展開予定の NSX Application Platform バージョンおよび関連する NSX 機能(NSX IntelligenceNSX Network Detection and ResponseNSX マルウェア防止、および NSX Metrics)と互換性があることを確認します。

NSX Application Platform でホストされている NSX 機能のバージョン管理は、NSX 製品のバージョン番号ではなく、NSX Application Platform のバージョン番号と一致します。

重要:

NSX フェデレーション 環境では、ローカル マネージャ にのみ NSX Application Platform を展開できます。グローバル マネージャ を使用して NSX Application Platform を展開することはできません。NSX Application Platform にアクセスするには、ローカル マネージャ を使用する必要があります。

NSX バージョンで展開できる NSX Application Platform バージョンを確認するには、次の互換性マトリックスを使用します。

NSX のバージョン

互換性のある NSX Application Platform のバージョン

3.2.x

3.2.0, 3.2.1, 4.0.1

4.0.0.1

 3.2.1、4.0.1

4.0.1

 4.0.1
特定の NSX Application Platform アクティベーション ワークフローに使用するドキュメントを決定するには、次の情報を使用します。

  • 新しい NSX をインストールする必要がある場合は、VMware NSX ドキュメント セットに含まれているバージョン 3.2 以降の『NSX インストール ガイド』を参照してください。

  • NSX Application Platform バージョン 3.2.x 以降からのアップグレードの詳細については、「NSX Application Platform のアップグレード」を参照してください。

  • NSX Intelligence がインストールされていない NSX 3.1.x 以前からアップグレードする場合は、VMware NSX ドキュメント セットにある『NSX アップグレード ガイド』を参照してください。

  • NSX Intelligence 1.2.x 以前のインストールを使用した NSX 3.1.x 以前からアップグレードする場合は、NSX Intelligence 3.2.x および NSX 3.2.x にアップグレードする前に、現在の NSX Intelligence のインストールを準備する必要があります。VMware NSX Intelligence ドキュメント セットにあるバージョン 3.2 以降の『VMware NSX Intelligence の有効化とアップグレード』を参照してください。

有効な NSX または NSX Data Center ライセンスの要件

NSX Application Platform を展開するには、NSX Application Platform の展開中に、使用中の NSX Manager セッションで有効なライセンスを使用する必要があります。

有効なライセンスのリストについては、NSX Application Platform 展開のライセンス要件を参照してください。

有効な NSX ユーザー ロール

NSX Application Platform を展開するには、エンタープライズ管理者ロールの権限が必要です。

有効な CA 署名付き証明書

  • NSX Manager アプライアンスが NSX Manager Unified Appliance クラスタで不完全なチェーンの CA 署名付き証明書を使用している場合は、証明書を完全な証明書チェーンに置き換える必要があります。詳細については、VMware のナレッジベースの記事 KB78317 を参照してください。

  • 複数の NSX Manager アプライアンスを使用する場合は、ご使用の環境が次のいずれかの証明書の前提条件を満たしている必要があります。

    • すべてのアプライアンスで同じ SSL 証明書を共有する必要があります。

    • アプライアンスごとに専用の SSL 証明書を発行する必要があります。証明書のコモン ネーム (CN) はすべてのノードで一意である必要があります。

    • 仮想 IP アドレス (VIP) を使用する場合、クラスタ証明書は個々のアプライアンスによって共有される証明書と同じか、すべてのノードで一意である必要があります。

Kubernetes クラスタに必要なリソース

  • VMware は、スーパーバイザーまたはアップストリーム Kubernetes クラスタ上の Tanzu Kubernetes Grid (TKG) クラスタでの NSX Application Platform の展開をサポートします。
    重要: アップストリーム Kubernetes は、クラウド ネイティブ コンピューティング基盤によって維持される基本的なオープンソース Kubernetes を指し、次の表に明示的に記載されていない Kubernetes のディストリビューションやリリースについては説明しません。

    スーパーバイザー上の TKG クラスタのインストールと構成の情報については、「vSphere with Tanzu のインストールと構成(バージョン 8.0)を参照してください。他のバージョンについては、VMware vSphere ドキュメント サイト」を参照してください。

    VMware では、次のバージョンをテストし、サポートしています。
    NSX Application Platform のバージョン スーパーバイザー バージョンの TKG クラスタ アップストリーム Kubernetes クラスタのバージョン

    3.2.0、3.2.1

    1.17 - 1.21

    1.17 1.21

    4.0.1

    1.20 - 1.22

    1.20 - 1.24

  • インフラストラクチャ管理者は、NSX Application Platform とプラットフォームがホストする NSX 機能を展開できるように、Kubernetes クラスタを構成する必要があります。NSX Application Platform ポッドを展開するには、Kubernetes クラスタに十分なリソースを割り当てる必要があります。サポートされている各 NSX 機能には特定のリソース要件があるため、使用するホステッド NSX 機能を決定します。

    サポートされるフォーム ファクタとそのリソース要件については、NSX Application Platform のシステム要件トピックを参照してください。

  • 重要: NSX Application Platform に使用される Kubernetes ゲスト クラスタでは、デフォルトのサービス ドメイン cluster.local を使用する必要があります。これはデフォルト値で、クラスタ構成で定義されます。 
    settings: network: serviceDomain: cluster.local
    NSX Application Platform の場合は、この値を変更したり、デフォルト以外のサービス ドメインを設定したりしないでください。

  • インフラストラクチャ管理者は、次のインフラストラクチャも事前にインストールして構成する必要があります。

    • Antrea、Calico、Flannel などのコンテナ ネットワーク インターフェイス (CNI)。

    • コンテナ ストレージ インターフェイス (CSI)。動的ボリュームをプロビジョニングするには、使用している Kubernetes クラスタに使用可能なストレージ クラスが必要です。データ ストレージ ボリュームをスケール アップするには、ストレージ クラスがボリュームのサイズ変更をサポートしている必要があります。

インターネット アクセスの要件

VMware のパブリック ホストにあり、パッケージ化された NSX Application Platform Helm チャートと Docker イメージを取得できるレジストリおよびリポジトリに NSX システムがアクセスできることを確認します。インターネットへの直接アクセスは、インストールおよびアップグレード操作中にのみ必要になります。このアクセスは、NSX Application Platform Helm チャートと Docker イメージにアクセスする目的で、TCP ポート 443 (HTTPS) から https://projects.registry.vmware.com への送信アクセスに制限されます。受信アクセスまたは永続的な送信アクセスは必要ありません。

NSX Unified Appliance 仮想マシンと NSX Application Platform ゲスト クラスタ ワーカー ノードの両方に、送信インターネット アクセスが必要です。

[システム] > [全般設定] > [インターネット プロキシ サーバ] タブで、インターネット プロキシ サーバを使用するように NSX 環境を構成した場合は、インターネット プロキシ サーバを使用して NSX Application Platform を展開できないことに注意してください。Kubernetes クラスタがインターネットにアクセスできない場合、またはセキュリティ制限がある場合は、チャート リポジトリ サービスを含むプライベート コンテナ レジストリに関する次のオプションの要件を参照してください。

(オプションの要件)チャート リポジトリ サービスを含むプライベート コンテナ レジストリ

NSX Application Platform の展開プロセスを簡素化するには、VMware にホストされているレジストリとリポジトリを使用します。この展開プロセスでは送信接続のみが使用され、ユーザーのデータは保持されません。

(オプション)Kubernetes クラスタがインターネットにアクセスできない場合、またはセキュリティ制限がある場合は、インフラストラクチャ管理者がチャート リポジトリ サービスを使用してプライベート コンテナ レジストリを設定する必要があります。このプライベート コンテナ レジストリを使用して、NSX Application Platform の展開に必要な NSX Application Platform Helm チャートと Docker イメージをアップロードします。VMware では、プライベート コンテナ レジストリを使用する展開プロセスの検証に Harbor を使用していましたが、NSX Application Platform の展開は標準ベースです。詳細については、NSX Application Platform Docker イメージと Helm チャートのプライベート コンテナ レジストリへのアップロードを参照してください。

(オプションの要件)プライベート コンテナ レジストリの URL

プライベート コンテナ レジストリを使用している場合は、インフラストラクチャ管理者からそのレジストリの URL を入手します。この URL は、展開プロセス中に使用します。

必要な Kubernetes 構成ファイル

インフラストラクチャ管理者から Kubernetes 構成ファイルを取得する必要もあります。安全に使用している Kubernetes クラスタにアクセスするには、NSX ManagerNSX Application Platform の展開時に kubeconfig ファイルが必要です。使用している Kubernetes クラスタのすべてのリソースにアクセスするには、kubeconfig ファイルにすべての権限が必要です。

重要:

VMware vSphere® with Tanzu Kubernetes ゲスト クラスタのデフォルトの kubeconfig ファイルには、デフォルトで 10 時間後に期限切れになるトークンが含まれています。この期限切れのトークンは機能に影響しませんが、期限切れの認証情報に関する警告メッセージが表示されます。この警告を回避するには、NSX Application Platform をスーパーバイザーの TKG クラスタに展開する前に、インフラストラクチャ管理者と協力して、NSX Application Platform の展開中に使用可能な有効期限の長いトークンを作成します。トークンの抽出方法の詳細については、有効期限のないトークンを使用したスーパーバイザー上の TKG クラスタ構成ファイルの生成を参照してください。

必要なサービス名またはインターフェイス サービス名 (FQDN)

NSX 3.2.0 展開の場合は、NSX Application Platform の展開時に [サービス名] テキスト ボックスに有効な完全修飾ドメイン名 (FQDN) 値を入力します。NSX 3.2.1 以降の展開の場合は、[インターフェイス サービス名] テキスト ボックスに入力します。

[サービス名] または [インターフェイス サービス名] の値は、NSX Application Platform に接続するための HTTPS エンドポイントとして使用されます。

FQDN 値を取得するには、次のいずれかのワークフローを使用します。

  • NSX Application Platform を展開する前に、DNS サーバで静的 IP アドレスを使用して FQDN を構成する必要があります。使用している Kubernetes クラスタ インフラストラクチャには、静的 IP アドレスの割り当てが可能である必要があります。サポートされている Kubernetes 環境は次のとおりです。

    • MetalLB:アップストリーム Kubernetes クラスタ用の外部ロード バランサ。

    • VMware Tanzu® Kubernetes for VMware vSphere® 7.0 U2 と VMware vSphere 7.0 U3 with NSX

    • vSphere ネットワークを使用した VMware vSphere with Tanzu。詳細については、VMware vSphere のドキュメントvSphere ネットワークを使用したワークロード管理の有効化を参照してください。

  • 外部 DNS がインストールされている場合(Kubernetes SIG - 外部 DNSの Web ページを参照)、サービス名の入力を求められた場合に FQDN のみを指定する必要があります。Kubernetes インフラストラクチャは、DNS サーバの動的 IP アドレスを使用して FQDN を自動的に構成します。

    外部 DNS がインストールされたワークロード制御プレーン (WCP) は、サポートされている Kubernetes 環境です。

必要なメッセージング サービス名(NSX 3.2.1 以降の展開の場合)

メッセージング サービス名の値は、NSX データ ソースから効率的にデータを受信するために使用される HTTPS エンドポイントの FQDN です。

必要なポートとプロトコル

Kubernetes クラスタ ホストの必要なポートが、NSX Application Platform がアクセスするために開いていることを確認します。VMware Ports and Protocols の Web ページを参照してください。

Kubernetes クラスタ ノードからの必要な通信

使用している Kubernetes クラスタ ノードが NSX Manager アプライアンスにアクセスできることを確認します。

システム時刻の同期の要件

Kubernetes クラスタ ノードと、使用している NSX Manager アプライアンスのシステム時刻を同期します。