NSX VPC は、アプリケーション所有者がセルフサービス消費モデルを使用してアプリケーションをホストし、ネットワーク オブジェクトおよびセキュリティ オブジェクトを使用するための隔離された領域を提供します。

前提条件

次のいずれかのロールが割り当てられている必要があります。
  • プロジェクト管理者
  • エンタープライズ管理者

手順

  1. ブラウザから、NSX Manager (https://nsx-manager-ip-address) にログインします。
  2. [プロジェクト] ドロップダウン メニューを展開し、NSX VPC を追加するプロジェクトを選択します。
  3. [VPC] タブをクリックして、[VPC の追加] をクリックします。
  4. (必須) NSX VPC の名前を入力します。
  5. [Tier-0/VRF ゲートウェイ] ドロップダウン メニューから、ワークロードがこの NSX VPC 外の North-South 接続に使用できる Tier-0 または Tier-0 VRF ゲートウェイを選択します。

    このドロップダウン メニューには、プロジェクトの作成時にプロジェクトに割り当てられた Tier-0 または Tier-0 VRF ゲートウェイのみが表示されます。

    ゲートウェイが選択されていない場合、NSX VPC のワークロードに North-South 接続はありません。

  6. [IP の割り当て] の設定を構成します。
    1. [外部 IPv4 ブロック] フィールドで、システムが NSX VPC のパブリック サブネットに使用できる IPv4 ブロックを選択します。

      プロジェクトに割り当てられている外部 IP アドレス ブロックは、NSX VPC で選択できます。これらの IPv4 ブロックは、NSX VPC の外部からルーティング可能である必要があります。

      選択した外部 IPv4 ブロックは、サブネットの作成時に [IP の割り当て] オプションが [自動] に設定されている場合にのみパブリック サブネットに使用されます。

    2. [プライベート IPv4 ブロック] フィールドで、システムがこの NSX VPC のプライベート サブネットに使用できる IPv4 ブロックを選択します。

      可視性が [プライベート] に設定されたプロジェクトに追加された IPv4 ブロックは、NSX VPC で選択できます。

      選択できる IPv4 ブロックがない場合は、アクション メニュー をクリックし、[新規作成] をクリックしてプライベート IPv4 ブロックを追加します。

      選択したプライベート IPv4 ブロックは、サブネットの作成時に [IP の割り当て] オプションが [自動] に設定されている場合にのみプライベート サブネットに使用されます。

      外部 IPv4 ブロックまたはプライベート IPv4 ブロック、またはその両方を選択する必要があります。どちらも選択されていない場合、NSX VPC を保存するときにエラー メッセージが表示されます。

    3. [DHCP] で、次のいずれかのオプションを選択します。
      オプション 説明
      NSX で管理 デフォルト オプション。システムは、NSX VPC のサブネットごとにセグメント DHCP サーバを構成します。DHCP サーバは、NSX VPC のサブネットに接続されているワークロード仮想マシンに IP アドレスを動的に割り当てます。
      外部

      システムは、外部またはリモートの DHCP サーバを使用して、NSX VPC のサブネットに接続されているワークロード仮想マシンに IP アドレスを動的に割り当てます。NSX VPC 用に選択した DHCP リレー プロファイルで、外部 DHCP サーバの IP アドレスを指定できます。

      注: パブリック VPC サブネット上のワークロードのみが外部 DHCP サーバから IP アドレスを受信できます。現在、プライベート VPC サブネットのワークロードは、DHCP サーバ自体がプライベート VPC サブネットまたはパブリック VPC サブネットに接続されていない限り、外部 DHCP サーバから IP アドレスを受信できません。

      [DHCP リレー プロファイル] ドロップダウン メニューで、既存のリレー プロファイルを選択します。DHCP リレー プロファイルが使用できない場合は、アクション メニュー をクリックして、新しい DHCP リレー プロファイルを作成します。

      DHCP リレー プロファイルの追加の詳細については、「NSX の DHCP リレー プロファイルの追加」を参照してください。

      外部 DHCP サーバの構成は、NSX によって管理されません。
      なし

      システムは、NSX VPC のサブネットの DHCP を構成しません

      この場合、NSX VPC のサブネットに接続されているワークロード仮想マシンに IP アドレスを手動で割り当てる必要があります。
  7. DHCP 構成が NSX によって管理されている場合は、必要に応じて DNS サーバの IP アドレスを入力できます。

    指定されない場合、NSX VPC のサブネットに接続されているワークロード(DHCP クライアント)に DNS が割り当てられません。

  8. [サービス設定] を構成します。
    1. デフォルトでは、[N-S サービス] オプションがオンになっています。必要に応じて、オフにすることができます。

      このオプションをオンにすると、接続されたサブネット用にサービス ルーターが作成され、N-S ファイアウォール、NAT、ゲートウェイ QoS プロファイルなどの中央集中型サービスがサポートされます。

      このオプションをオフにすると、分散ルーターのみが作成されます。

      注意: システムで NSX VPC が認識されたら、 [N-S サービス] オプションをオフにしないことをお勧めします。これは、中央集中型サービスが NSX VPC のサブネットに適用されないためです。たとえば、N-S ファイアウォール、NAT などのサービスは、 NSX VPC で構成されていても適用されません。
    2. デフォルトでは、[デフォルトの送信 NAT] オプションはオンになっています。必要に応じて、オフにすることができます。

      このオプションは、NSX VPC[N-S サービス] オプションがオンになっている場合にのみ使用できます。

      [デフォルトの送信 NAT] がオンになっている場合、プライベート サブネット上のワークロードからのトラフィックを NSX VPC の外部にルーティングできることを意味します。システムは、NSX VPC のデフォルト SNAT ルールを自動的に 1 つ作成します。SNAT ルールの変換された IP アドレスは、NSX VPC の外部 IPv4 ブロックから取得されます。

      注: システムで NSX VPC が認識されたら、 [デフォルトの送信 NAT] オプションをオフにしないことをお勧めします。これは、プライベート サブネット上のワークロードが NSX VPC の外部で通信できなくなるためです。
    3. [Edge クラスタ] ドロップダウン メニューから、NSX VPC に関連付ける Edge クラスタを選択します。

      プロジェクトに Edge クラスタが割り当てられていない場合、このドロップダウン メニューは空になります。NSX VPC を追加するときに選択できるように、少なくとも 1 つの Edge クラスタがプロジェクトに割り当てられていることを確認します。

      選択した Edge クラスタは、NSX VPC で NAT、DHCP、N-S ファイアウォールなどの中央集中型サービスを実行するために使用されます。これらのサービスでは、Edge クラスタを NSX VPC に関連付ける必要があります。

      [DHCP][なし] に設定されていて、[N-S サービス] オプションがオフになっている場合、Edge クラスタはオプションです。

    4. NSX Advanced Load Balancer ControllerNSX VPC を検出する場合は、[NSX Advanced Load Balancer 用に有効化] オプションをオンにします。

      デフォルトでは、このオプションはオフになっています。オンにすると、NSX のマルチテナントを NSX Advanced Load Balancer Controller に拡張できるため、このコンテキストでロード バランサの構成が可能になります。

      このオプションは、次の条件が満たされた場合にのみオンにできます。
      • 少なくとも 1 つのプライベート IP アドレス ブロックが NSX VPC に割り当てられています。
      • 少なくとも 1 つの Edge クラスタが NSX VPC に割り当てられています。

      NSX VPC にはプライベート IP アドレス ブロックが必要です。これは、ロード バランサの仮想サービス IP アドレス (VIP) はプライベート サブネット上に存在する必要があるためです。NSX Advanced Load Balancer サービス エンジンが DHCP サーバから IP アドレスを動的に受信できるように、Edge クラスタが必要です。

      NSX Advanced Load Balancer の詳細については、VMware NSX Advanced Load Balancer のドキュメントを参照してください。

  9. オプションで、NSX VPC のサブネットで使用される次のプロファイルを適用します。
    • N-S 出力方向サービス品質 (QoS) プロファイル
    • N-S 入力方向 QoS プロファイル
    • IP 検出プロファイル
    • Spoofguard プロファイル
    • MAC アドレス検出プロファイル
    • セグメント セキュリティ プロファイル
    • QoS

    これらのプロファイルの目的については、「セグメント プロファイル」を参照してください。

  10. [短いログ ID] テキスト ボックスに、NSX VPC のコンテキストで生成されるログの識別に使用できる文字列を入力します。

    この識別子は、すべての NSX VPC で一意である必要があります。ID は 8 文字以下の英数字にする必要があります。

    ID を指定しない場合、NSX VPC の保存時に自動的に生成されます。設定された ID を後から変更することはできません。

  11. 必要に応じて、NSX VPC の説明を入力します。
  12. [保存] をクリックします。

結果

NSX VPC が正常に作成されると、システムは暗黙的にゲートウェイを作成します。ただし、この暗黙的なゲートウェイは読み取り専用モードでプロジェクト管理者に公開され、NSX VPC ユーザーには表示されません。

認識された暗黙的なゲートウェイを表示するには、プロジェクト管理者は次の手順を実行できます。
  1. [ネットワーク] > [Tier-1 ゲートウェイ] の順に移動します。
  2. [Tier-1 ゲートウェイ] ページの下部にある [VPC] オブジェクトのチェック ボックスをクリックします。
  3. ゲートウェイを展開して、読み取り専用モードで構成を表示します。

    暗黙的なゲートウェイには、次の命名規則が使用されます。

    _TIER1-VPC_Name

この暗黙的なゲートウェイのライフサイクルは、システムによって管理されます。NSX VPC が削除されると、暗黙的なゲートウェイが自動的に削除されます。

[デフォルトの送信 NAT] オプションを有効にしている場合は、システムが作成したデフォルトの SNAT ルールを NSX VPC に表示できます。次の操作を行います。

  1. NSX VPC[ネットワーク サービス] セクションを展開します。
  2. [NAT] の横にあるカウントをクリックします。
  3. NSX VPC のプライベート IPv4 ブロックに対する SNAT アクションを含むデフォルトの NAT ルールを確認します。この NAT ルールは編集できません。NSX VPC に複数のプライベート IPv4 ブロックが割り当てられている場合は、各プライベート IPv4 ブロックに SNAT アクションを含む 1 つのデフォルト NAT ルールが作成されます。

    次はその例です。


    この画面キャプチャは、周囲のテキストで説明されています。

    SNAT ルールの送信元 IP アドレスは、NSX VPC のプライベート IPv4 ブロックです。この例では、193.0.1.0/24 です。この SNAT ルールの変換された IP アドレスは、NSX VPC の外部 IPv4 ブロックから割り当てられます。この例では、192.168.1.0 です。