ステートフル サービスを構成するために必要な主な概念について理解します。

Tier-0 アクティブ/アクティブと Tier-1 アクティブ/アクティブ ゲートウェイのステートフル サービス。

インターフェイス グループ

インターフェイス グループを使用して、サービス ルーター間で同等の外部(アップリンク)インターフェイスをグループ化します。同等のインターフェイスとは、ファイアウォール ルール、NAT ルールなど、同じ受信ポリシーを持ち、同等のネットワーク到達可能性を持つインターフェイスを指します。NSX は外部インターフェイスのみをサポートします。外部インターフェイスのみで構成されるインターフェイス グループなど、同種のインターフェイス グループのみを作成する必要があります。

インターフェイス グループを定義するには、次の条件を満たす必要があります。
  • NSX Edge クラスタの各サービス ルーターからインターフェイス グループに参加できるインターフェイス リンクは 1 つだけです。
  • すべてのインターフェイス リンクは、単一のインターフェイス グループに含める必要があります。
  • 各インターフェイス グループには、各サービス ルーターと同じ数のインターフェイスが必要です。
注: ステートフル アクティブ/アクティブ グループを作成するには、インターフェイス グループが必要です。これらの条件を満たしていない場合、 NSX は Tier-0 または Tier-1 ユーザー インターフェイス画面に状態アラームを表示します。

インターフェイス グループを使用すると、パケット転送をサポートしていた元のアップリンク インターフェイスで障害が発生した場合でも、ピア アップリンク インターフェースにトラフィックが引き継がれるため、トラフィック フローを中断せずに継続できます。したがって、アップリンク 1 または Edge 1 で障害が発生した場合、インターフェイス グループは次のパケットのパント先(同じサブクラスタ上のピア Edge ノードのピア シャドウ ポート)を決定します。

複数のインターフェイス グループを設定し、それぞれのグループを NSX Edge ノードの特定の要件を処理するために使用できます。たとえば、1 つのインターフェイス グループでインターネット トラフィックを処理し、別のグループを NSX Edge クラスタとルーター間の Direct Connect 接続に使用できます。

Tier-1 ゲートウェイでは、デフォルトのインターフェイス グループが作成されます。Tier-0 ゲートウェイでは、インターフェイス グループを作成する必要があります。

インターフェイス グループを作成するには、API PUT /infra/tier-0s/<name>/locale-services/<location>/interface-groups/<group-name> を実行します。

{
    "resource_type": "Tier0InterfaceGroup",
    "id": "uplinkgroup",
    "display_name": "uplinkgroup",
    "path": "/infra/tier-0s/Tier0Gateway1/locale-services/Tier0LocalServices-1/interface-groups/uplinkgroup",
    "relative_path": "uplinkgroup",
    "parent_path": "/infra/tier-0s/Tier0Gateway1/locale-services/Tier0LocalServices-1",
    "unique_id": "c5b2a758-7040-410b-a35d-298a16b55df0",
    "realization_id": "c5b2a758-7040-410b-a35d-298a16b55df0",
    "marked_for_delete": false,
    "overridden": false,
    "members": [
        {
            "interface_path": "/infra/tier-0s/Tier0Gateway1/locale-services/Tier0LocalServices-1/interfaces/tier0_interface1"
        },
        {
            "interface_path": "/infra/tier-0s/Tier0Gateway1/locale-services/Tier0LocalServices-1/interfaces/tier0_interface2"
        }
    ],
}

外部インターフェイス

物理インフラストラクチャ/ルーターに接続しているインターフェイス。これはスタティック ルーティングと BGP をサポートします。以前のリリースでは、このインターフェイスはアップリンク インターフェイスと呼ばれていました。このインターフェイスを使用して、VRF(仮想ルーティングと転送インスタンス)を物理ネットワーク ファブリックから NSX ドメインに拡張することもできます。

サブクラスタ

NSX Edge ノードでステートフル サービスを構成すると、NSX は、指定された NSX Edge クラスタにサブクラスタを自動的に作成します。4 つの NSX Edge ノードからなる NSX Edge クラスタが 2 つのサブクラスタになり、各サブクラスタは NSX Edge ノードのペアで構成されます。

インターフェイス グループに参加している NSX Edge ノード上のすべてのサービス ルーターがペアになります。

たとえば、サブクラスタ 1 で Edge ノード 1 が停止した場合、Edge 1 のすべての入力方向トラフィックまたは出力方向トラフィックは Edge 2 に引き継がれます。したがって、Edge 1 と Edge 2 は、サブクラスタ内の元の NSX Edge ノードとピア NSX Edge ノードとしてそれぞれ機能します。フェイルオーバー プロセス中に、Edge 2 は Edge 1 が提供していたバックプレーン IP アドレスを引き継ぐので、トラフィックが失われず、トラフィック フローが維持されます。障害が発生した Edge ノード 1 が復帰すると、初期状態がリストアされ、すべてのトラフィックが Edge 1 にリダイレクトされます。

障害ドメイン

障害ドメインを構成して、サブクラスタに選択された両方の NSX Edge ノードが同じ障害ドメインに属さないようにします。

障害ドメインが設計どおりに機能するようにするには、次の条件を満たす必要があります。
  • NSX Edge に障害ドメインのラベルを付け、各障害ドメインに 1 つの NSX Edge ノードを展開します。サブドメインの両方の NSX Edge ノードが同じ障害ドメインに属さないようにする必要があります。
  • サブクラスタの両方の NSX Edge ノードが同じサブクラスタの一部として残っていることを確認します。これらのノードが同じサブクラスタ内で自動的にペアリングされるようにするには、特定の順序に従って、これらのノードに障害ドメインを参照させる必要があります。たとえば、サブクラスタで、まず、NSX Edge-1 に障害ドメインを参照させてから、NSX Edge-2 に別の障害ドメインを参照させます。障害発生後に NSX Edge-1 が復帰すると、ノードが参照された障害ドメインにより、ノードが同じサブクラスタに参加できるようになります。