Tier-0 論理ルーター

Tier-0 論理ルーターは、論理ネットワークと物理ネットワーク間のゲートウェイサービスを提供します。

NSX Cloud の注 NSX Cloud を使用する場合は、パブリッククラウドで NSX の機能を使用する方法を参照して、自動生成される論理エンティティ、サポートされる機能、 NSX Cloud に必要な構成を確認してください。

Edge ノードは、1 つの Tier-0 ゲートウェイまたは論理ルーターのみをサポートします。Tier-0 ゲートウェイまたは論理ルーターを作成する場合は、NSX Edge クラスタの Edge ノードの数以上の Tier-0 ゲートウェイまたは論理ルーターを作成しないようにしてください。

Tier-0 論理ルーターを追加する場合、構築しているネットワークトポロジについてのプランニングが重要です。

Tier-0 および Tier-1 ルーターとスイッチの図 — 図 1. Tier-0 論理ルーターのトポロジ

説明を簡単にするため、サンプルトポロジは、単一の NSX Edge ノード上でホストされ、単一の Tier-0 論理ルーターに接続された、単一の Tier-1 論理ルーターを示します。これは推奨されるトポロジではないことに注意してください。論理ルーターの設計を十分に活用するには、最低でも 2 台の NSX Edge ノードが必要です。

Tier-1 論理ルーターには Web 論理スイッチおよび App 論理スイッチがあり、それぞれに仮想マシンが接続されています。Tier-1 ルーターと Tier-0 ルーター間のルーターリンクスイッチは、Tier-0 ルーターに Tier-1 ルーターを接続すると自動的に作成されます。これで、このスイッチには「システムにより生成」というラベルが付けられます。

一部のシナリオでは、外部クライアントはループバックまたは IKE IP ポートにバインドされた MAC アドレスに ARP 要求を送信します。ただし、ループバックおよび IKE IP ポートでは MAC アドレスを使用しないため、このようなクエリを処理できません。ループバックと IKE IP ポートの代わりに ARP 要求を処理するために、Tier-0 論理ルーターのアップリンクおよび中央集中型サービスポートにプロキシ ARP が実装されています。

Tier-0 論理ルーターに DNAT、IPsec、Edge ファイアウォールを構成すると、トラフィックは、IPsec、DNAT、Edge ファイアウォールの順に処理されます。

Tier-0 または Tier-1 論理ルーターで、さまざまなタイプのポートを構成できます。その 1 つが中央集中型サービスポート (CSP) です。VLAN でバッキングされた論理スイッチに接続するか、スタンドアローンの Tier-1 論理ルーターを作成する場合は、アクティブ/スタンバイモードの Tier-0 論理ルーターまたは Tier-1 論理ルーターで CSP を構成する必要があります。CSP は、アクティブ/スタンバイモードの Tier-0 論理ルーターまたは Tier-1 論理ルーターで次のサービスをサポートします。

NAT
ロードバランシング
ステートフルファイアウォール
VPN (IPsec および L2VPN)