ゲートウェイ セキュリティの環境を構成する前に、インフラストラクチャの設定を行う必要があります。

1. NSX Edge トランスポート ノードの展開

最初に NSX Edge トランスポート ノードを展開する必要があります。

前提条件

NSX Manager を展開し、有効なライセンスを構成している。

手順

  1. ブラウザから、NSX Manager(https://<nsx-manager-ip-address> または https://<nsx-manager-fqdn>)に管理者権限でログインします。
  2. [システム] > [ファブリック] > [ノード] > [Edge トランスポート ノード] > [Edge ノードの追加] を選択します。

    Edge トランスポート ノードの追加

  3. NSX Edge の名前を入力します。
  4. VMware vCenter から、ホスト名または FQDN を subdomain.example.com の形式で入力します。
  5. NSX Edge 仮想マシン アプライアンスのフォーム ファクタを選択します。
  6. NSX Edge 仮想マシン アプライアンスに割り当てられた CPU とメモリをカスタマイズするには、次のパラメータを調整します。ただし、最高のパフォーマンスを得るには、使用可能なリソースの 100% を NSX Edge 仮想マシン アプライアンスに割り当てる必要があります。
    注意: NSX Edge 仮想マシンに割り当てられたリソースをカスタマイズする場合は、最大のパフォーマンスを得るため、後で予約を 100% に戻す必要があります。
    オプション 説明
    メモリの予約 (%)

    予約のパーセンテージは、フォーム ファクタに予め定義されている値に対する相対値を表します。

    100 は、NSX Edge 仮想マシン用に予約されているメモリの 100% を表します。
    50 を入力すると、割り当てられたメモリの 50% が Edge トランスポート ノードに予約されます。
    注: NSX Edge 仮想マシン データパス インターフェイスを UPT モードで使用する場合は、 NSX Edge トランスポート ノードに割り当てられたメモリの 100% を予約します。
    CPU 予約の優先順位 共有リソースを競合する他の仮想マシンとの比較で NSX Edge 仮想マシンに割り当てるシェア数を選択します。
    次のシェア数は、Medium フォーム ファクタの NSX Edge 仮想マシンに対する値です。
    • Low - 2,000 シェア
    • Normal - 4,000 シェア
    • High - 8,000 シェア
    • Extra High - 10,000 シェア
    CPU 予約 (MHz)
    注意: CPU 予約をきめ細かく制御する必要がない場合、このフィールドは使用しないでください。代わりに、 [CPU 予約の優先順位] フィールドで予約を変更してください。

    CPU 予約の最大値は、vCPU の数に物理 CPU コアの通常の CPU 稼動率を掛けた値を超えることはできません。

    入力した MHz 値が物理 CPU コアの最大 CPU キャパシティを超えていると、割り当てが受け入れられても NSX Edge 仮想マシンが起動できない場合があります。

    たとえば、2 つの Intel Xeon E5-2630 CPU を持つシステムについて考えてみましょう。各 CPU には、2.20 GHz で動作する 10 個のコアが含まれています。2 つの vCPU で構成された仮想マシンの最大 CPU 割り当ては、2 x 2,200 MHz = 4,400 MHz です。CPU 予約に 8,000 MHz を指定した場合、仮想マシンの再構成は正常に完了します。ただし、仮想マシンのパワーオンに失敗します。
  7. [認証情報] ウィンドウに次の詳細を入力します。
    • CLI と NSX Edge の root パスワードを指定します。パスワード強度の基準に準拠したパスワードを使用する必要があります。
      • 12 文字以上
      • 1 文字以上の小文字
      • 1 文字以上の大文字
      • 1 文字以上の数字
      • 1 文字以上の特殊文字
      • 5 文字以上の異なる文字
      • 辞書に登録されている単語が使われていない
      • パリンドローム(回文)になっていない
      • 使用できる単調な文字列は 4 つ以下です。
    • 管理者に SSH を許可するには、[SSH ログインを許可] ボタンをオンに切り替えます。
    • root ユーザーに SSH を許可するには、[root SSH ログインを許可] ボタンをオンに切り替えます。
    • 監査ロールの認証情報を入力します。[audit の認証情報] セクションに認証情報を入力しないと、監査ロールは無効のままになります。
      注: NSX Edge ノードを展開した後は、展開時に設定した root ユーザーの SSH 設定を変更することはできません。たとえば、展開中に root ユーザーの SSH を無効にした場合、後で有効にすることはできません。
  8. NSX Edge の詳細を入力します。
    オプション 説明
    コンピュート マネージャ ドロップダウン メニューからコンピュート マネージャを選択します。

    コンピュート マネージャは、管理プレーンに登録されている VMware vCenter です。

    クラスタ ドロップダウン メニューから、NSX Edge が参加するクラスタを指定します。
    リソース プールまたはホスト ドロップダウン メニューから NSX Edge にリソース プールまたは特定のホストを割り当てます。
    データストア ドロップダウン メニューから NSX Edge ファイルのデータストアを選択します。
  9. NSX Edge 管理インターフェイスの詳細を入力します。
    オプション 説明
    管理 IP の割り当て

    これは、NSX Edge および NSX Manager との通信に必要な NSX Controller ノードに割り当てられた IP アドレスに使用される IP バージョンを指定します。

    [IPv4 のみ] または [IPv4 と IPv6] を選択します。

    • [IPv4 のみ] を選択した場合は、[DHCP] または [静的] IP を選択します。

      [固定] を選択した場合は、次の値を入力します。
      • 管理 IP:NSX Edge の IP アドレスを CIDR 表記で入力します。
      • デフォルト ゲートウェイ:NSX Edge のゲートウェイ IP アドレスを入力します。
    • [IPv4 と IPv6] を選択した場合は、次の値を入力します。
      • 管理 IP:NSX Edge の IP アドレスを CIDR 表記で入力します。
      • デフォルト ゲートウェイ:NSX Edge のゲートウェイ IP アドレスを入力します。
    管理インターフェイス ドロップダウン メニューから、NSX Edge 管理ネットワークに接続するインターフェイスを選択します。このインターフェイスは、NSX Manager から到達可能か、NSX Manager および NSX Controller と同じ管理インターフェイスに含まれている必要があります。

    NSX Edge 管理インターフェイスは、NSX Manager 管理インターフェイスと通信を確立します。

    NSX Edge 管理インターフェイスは、分散ポート グループまたはセグメントに接続されます。
    ドメイン名の検索 ドメイン名を example.com の形式で入力するか、IP アドレスを入力します。
    DNS サーバ DNS サーバの IP アドレスを入力します。
    NTP サーバ NTP サーバの IP アドレスまたは FQDN を入力します。

    データパス インターフェイスの UPT モードの有効化

    		 NSX Edge データパス インターフェイスで Uniform Passthrough (UPT) モードを有効にして、仮想ネットワーク アダプタへの直接 I/O アクセスまたはパススルーを行います。NSX Edge ノードの全体的なパフォーマンスが向上します。
    このフィールドを有効にする前に、次のことを確認してください。
    • NSX Edge ハードウェア バージョンが 20 または vmx-20 以降である。以前のハードウェア バージョンは UPT モードをサポートしていません。
    • ESXi ホスト バージョンは 8.0 以降にする必要があります。
    注意: NSX Edge仮想ネットワーク アダプタで UPT 設定を有効にするため、 NSX Manager は、 NSX Edge 仮想マシンをメンテナンス モードに切り替え、パワーオフしてから再度パワーオンします。
  10. N-VDS の情報を入力します。

    NSX Edge ノードの vNIC を構成する前に、次の点を考慮してください。

    N-VDS スイッチが、4 つの高速パス vNIC と 1 つの管理 vNIC を持つ Edge ノード仮想マシン内でホストされています。

    • 1 つの vNIC は管理トラフィック専用です。
    • 1 つの vNIC はオーバーレイ トラフィック専用です(fp-eth0 DPDK Fastpath インターフェイス)。
    • 2 つの vNIC は外部トラフィック専用です(fp-eth1、fp-eth2 DPDK Fastpath インターフェイス)。
    オプション 説明
    Edge スイッチ名 スイッチの名前を入力するか、デフォルトの名前をそのまま使用します。
    トランスポート ゾーン このトランスポート ノードが属するトランスポート ゾーンを選択します。NSX Edge トランスポート ノードは 2 つ以上のトランスポート ゾーン(NSX 接続用のオーバーレイとアップリンク接続用の VLAN)に属します。
    注: 次の前提条件を満たしている場合、 NSX Edge ノードは複数のオーバーレイ トンネル(マルチ TEP)をサポートします。
    • TEP 構成が 1 つの N-VDS でのみ設定されている。
    • すべての TEP が、オーバーレイ トラフィックに同じトランスポート VLAN を使用している。
    • すべての TEP IP が同じサブネットに存在し、同じデフォルト ゲートウェイを使用している。
    アップリンク プロファイル ドロップダウン メニューからアップリンク プロファイルを選択します。使用可能なアップリンクは、選択したアップリンク プロファイルでの構成によって異なります。
    注: NSX Edge は、複数のアクティブ アップリンクで構成されたアップリンク プロファイル、またはスタンバイ アップリンクを使用して構成したアップリンクで構成されたアップリンク プロファイルをサポートしていません。
    IP アドレス タイプ (TEP) トンネル エンドポイント (TEP) に使用する IP バージョンを選択します。オプションは、[IPv4][IPv6] です。
    重要: トランスポート ノードの転送モードと TEP の IP アドレス タイプが同じであることを確認します。たとえば、トランスポート ノードの転送モードが IPv6 に設定されている場合は、TEP の IP アドレス タイプを IPv6 に設定します。これらが異なる場合は、トラフィックが失われる可能性があります。
    IPv4 割り当て (TEP)

    このフィールドは、[IP アドレス タイプ (TEP)][IPv4] に設定されている場合に表示されます。

    構成されている NSX Edge スイッチに IPv4 アドレスを割り当てる方法を選択します。これは、NSX Edge のトンネル エンドポイントとして使用されます。次のオプションがあります。

    • [IP アドレス プールを使用]:IPv4 プールを選択します。
    • [静的 IPv4 リストを使用]:次のフィールドを指定します。
      • [静的 IP リスト]NSX Edge で使用される IPv4 アドレスをカンマ区切りのリストで入力します。
      • [IPv4 ゲートウェイ]:TEP のデフォルト ゲートウェイを入力します。これは、別のネットワークの TEP にパケットをルーティングするために使用されます。たとえば、ESXi TEP が 20.20.20.0/24 にあり、NSX Edge TEP が 10.10.10.0/24 にある場合、これらのネットワーク間でパケットをルーティングするためにデフォルト ゲートウェイを使用します。
      • [IPv4 サブネット マスク]NSX Edge で使用される TEP ネットワークのサブネット マスクを入力します。
    IPv6 割り当て (TEP)

    このフィールドは、[IP アドレス タイプ (TEP)]IPv6 に設定されている場合に表示されます。

    構成されている NSX Edge スイッチに IPv6 アドレスを割り当てる方法を選択します。これは、NSX Edge のトンネル エンドポイントとして使用されます。次のオプションがあります。

    • [IP アドレス プールを使用]:IPv4 プールを選択します。
    • [静的 IPv6 リストを使用]:次のフィールドを指定します。
      • [静的 IP リスト]NSX Edge で使用される IPv4 アドレスをカンマ区切りのリストで入力します。
      • [IPv6 ゲートウェイ]:TEP のデフォルト ゲートウェイを入力します。これは、別のネットワークの TEP にパケットをルーティングするために使用されます。
      • [IPv6 サブネット マスク]NSX Edge で使用される TEP ネットワークのサブネット マスクを入力します。
    DPDK Fastpath インターフェイス/仮想 NIC

    アップリンクを DPDK Fastpath インターフェイスにマッピングします。

    NSX 4.0.1 以降では、smartNIC が有効な DVPG、VLAN 論理スイッチ、またはセグメントによってバッキングされている DPDK Fastpath インターフェイスにアップリンクをマッピングできます。前提条件は、NSX Edge 仮想ネットワーク アダプタで UPT モードを有効にすることです。UPT モードでは、少なくとも 1 つの DPDK インターフェイスを SmartNIC 対応のハードウェア(データ処理ユニット (DPU) でバッキングされたネットワークとも呼ばれる)でバッキングする必要があります。

    注: NSX Edge ノードに適用されたアップリンク プロファイルが、名前付きチーミング ポリシーを使用している場合は、次の条件を満たしていることを確認します。
    • デフォルトのチーミング ポリシーのすべてのアップリンクが、名前付きチーミング ポリシーを使用する論理スイッチを介してトラフィックが転送されるように、対応する Edge 仮想マシンの物理ネットワーク インターフェイスにマッピングされている必要があります。参照

    NSX Edge 仮想マシンで最大 4 つまで一意のデータ パス インターフェイスをアップリンクとして構成できます。

    アップリンクを DPDK Fastpath インターフェイスにマッピングするときに、NSX Edge で使用可能なすべてのインターフェイス(合計で 4 つ)が表示されない場合は、追加のインターフェイスがまだ NSX Edge 仮想マシンに追加されていないか、アップリンク プロファイルのアップリンク数が少ないことを意味します。

    以前のバージョンの NSX Edge から 3.2.1 以降にアップグレードされた NSX 仮想マシンの場合は、再展開 API を呼び出して、NSX Edge 仮想マシンを再展開します。再展開 API を呼び出すと、展開された NSX Edge 仮想マシンが NSX Manager ユーザー インターフェイスで使用可能なすべてのデータパス インターフェイスを認識するようになります。追加のデータパス NIC を使用するようにアップリンク プロファイルが正しく構成されていることを確認します。

    • 自動展開された NSX EdgeNSX Manager ユーザー インターフェイスまたは API から展開された Edge ノード)の場合は、再展開 API を呼び出します。次の API は廃止されました。
      POST api/v1/transport-nodes/<transport-node-id>?action=redeploy
    • 手動で展開された Edge(VMware vCenter ユーザー インターフェイスから OVA/OVF ファイルを使用して展開された Edge)の場合は、新しい NSX Edge 仮想マシンを展開します。古い NSX Edge 仮想マシンのすべての vmx カスタマイズが新しい NSX Edge 仮想マシンに実行されていることを確認します。

    NSX Edge 仮想マシンで vMotion を実行すると、大きなサイズのリング バッファを使用する複数の vNIC を持つ大規模な仮想マシンを作成した場合に、ESXi で共有バッファ プールのリソースが不足する可能性があります。共有バッファのサイズを増やすには、ESXiShareCOSBufSize パラメータを変更します。バッファ サイズを構成するには、「https://kb.vmware.com/s/article/76387」を参照してください。
    注:
    • LLDP プロファイルは、NSX Edge 仮想マシン アプライアンスでサポートされていません。
    • NSX Manager またはベアメタル サーバを使用して NSX Edge がインストールされている場合、アップリンク インターフェイスは [DPDK Fastpath インターフェイス] として表示されます。
    • vCenter Server を使用して NSX Edge が手動でインストールされている場合、アップリンク インターフェイスは [仮想 NIC] として表示されます。
  11. [トランスポート ノード] ページで接続状態を表示します。
    NSX Edge をトランスポート ノードとして追加すると、約 10 ~ 12 分後に [Edge トランスポート ノード] ページの [構成] 状態が「 成功」として表示され、[ノードの状態] が「 稼動中」として表示されます。

1.1:NSX Edge クラスタのプロビジョニング

高可用性を実現するには、Edge クラスタに 2 つの Edge ノードが必要です。

手順

  1. Edge クラスタを追加します。[システム] > [ファブリック] > [ノード] > [Edge クラスタ] に移動して、[Edge クラスタの追加] をクリックします。
  2. [名前] テキスト ボックスに、Edge クラスタの名前を入力します。例:Edge-cluster-1
  3. 作成した Edge ノード (Edge-1) を [使用可能] から [選択済み] ウィンドウに移動し、[追加] をクリックします。

2. Tier-0 または Tier-1 ゲートウェイの作成

ユースケースに応じて、Tier-1 または Tier-0 ゲートウェイを作成します。

手順

  1. ゲートウェイを追加するには:
    • Tier-0 ゲートウェイを追加するには、[NSX Manager] ユーザー インターフェイスで [ネットワーク] > [Tier-0 ゲートウェイ] > [ゲートウェイの追加] > [Tier-0] の順にクリックします。

      Tier-0 ゲートウェイの追加

    • Tier-1 ゲートウェイを追加するには、[NSX Manager] ユーザー インターフェイスで [ネットワーク] > [Tier-1 ゲートウェイ] > [ゲートウェイの追加] > [Tier-1] の順にクリックします。
  2. 次の情報を指定します。
    名前 ゲートウェイの名前を入力します。たとえば、T0-gateway-1
    Edge クラスタ 作成した Edge クラスタを選択します。例:Edge-cluster-1
  3. [保存] をクリックします。

    詳細については、『NSX 管理ガイド』を参照してください。

3. Tier-0 または Tier-1 ゲートウェイでのインターフェイスの作成

NSX ゲートウェイには異なるインターフェイス タイプがあります。ネットワーク トポロジーに基づいて、ネットワーク接続に必要なインターフェイスを選択して、ゲートウェイを通過するトラフィックにファイアウォール機能を提供できます。

NSX ゲートウェイのさまざまなインターフェイス タイプを表す図

Tier-0 外部インターフェイス:

  • 外部接続用の物理ルーターに接続します。
  • このインターフェイスは、Tier-0 ゲートウェイの VLAN セグメントに作成します。

Tier-1 アップリンク インターフェイス:

  • Tier-0 に接続します。
  • Tier-1 が Tier-0 に接続するときに、システムがこのインターフェイスを作成します。

サービス インターフェイス:

  • NSX 管理対象外の VLAN ワークロードに NSX サービス(GFW など)を提供するために使用されます。
  • VLAN セグメントに接続します。
  • Tier-0 と Tier-1 の両方でサポートされます。

ダウンリンク インターフェイス:

  • ゲートウェイのオーバーレイ セグメント インターフェイス。
  • Tier-0 と Tier-1 の両方でサポートされます。
  • GFW サポートはありません。
ゲートウェイ ファイアウォールは、ワークロードがネットワークに接続している方法に基づいて、主に次の 2 つのシナリオで使用できます。
  • VLAN 接続ワークロード
  • NSX ネットワーク オーバーレイ セグメントに接続されたワークロード

これらのシナリオでは、このセクションで後述するように、ネットワーク インターフェイスの作成手順が若干異なります。

3.1:VLAN 接続ワークロード用の NSX ゲートウェイ ファイアウォール インターフェイスの作成

環境を設定するには、次の手順を実行する必要があります。

  1. NSX に VLAN セグメントを作成します。
    1. [NSX Manager] で、[ネットワーク] > [セグメント] > [セグメントの追加] の順にクリックします。
    2. 次の情報を指定します。
      セグメント名 セグメントの名前を入力します。例:VLAN-100
      トランスポート ゾーン VLAN トラフィックのデフォルト トランスポート ゾーンを選択します。例:nsx-vlan-transportzone
      VLAN 100 を入力します。
    3. [保存] をクリックします。
  2. Tier-0 または Tier-1 ゲートウェイにサービス インターフェイスを作成します。
    1. [NSX Manager]で、[ネットワーク] > [Tier-1 ゲートウェイ][ゲートウェイの追加] > [Tier-1] の順にクリックします。
    2. 作成したゲートウェイを編集します。例:T1-gateway-1
    3. [サービス インターフェイス][設定] をクリックします。
    4. [インターフェイスの追加] をクリックします。
    5. 次の情報を指定します。
      名前 インターフェイスの名前を入力します。例:SI-VLAN-100
      IP アドレス/マスク IP アドレスを入力します。例:192.168.50.12/24
      接続先(セグメント) 構成済みのセグメントを選択します。例:VLAN-100
    6. [保存] をクリックします。

    ネットワーク要件に基づいて、追加のサービス インターフェイスを作成します。

    Tier-0 では、外部インターフェイスを作成するか、接続要件に基づいてサービス インターフェイスを作成するかを選択できます。外部インターフェイスを作成する場合は、Edge クラスタに含まれる Edge ごとに 1 つの外部インターフェイスを作成する必要があります。

    ワークフローの一部として、上記のパラメータのほかに、インターフェイスを作成する Edge ノードを選択します。

詳細については、NSX 管理ガイドを参照してください。

3.2:ネットワーク オーバーレイ ワークロード用の NSX ゲートウェイ ファイアウォール インターフェイスの作成

次の手順を実行してください。
  1. Tier-1 ゲートウェイを作成します。
    1. [ネットワーク] > [Tier-1 ゲートウェイ][] > [Tier-1 ゲートウェイの追加] をクリックします。
    2. Tier-1 ゲートウェイの名前を入力します。例:PROD-Tier1

      Tier-1 ゲートウェイの追加

    3. Tier-0 ゲートウェイを選択して、Tier-1 にアップリンクを作成します。
    4. ゲートウェイ サービスを実装する Edge クラスタを選択します。

      Tier-1 ゲートウェイを追加した後、データを追加します

    5. [保存] をクリックします。
  2. さらに、ワークロードを接続するためのオーバーレイ セグメントを作成する必要があります。これにより、ゲートウェイにダウンリンク インターフェイスが作成され、仮想マシンとのネットワーク接続用に NSX セグメントが ESXi で使用可能になります。
    1. [ネットワーク] > [セグメント] > [NSX] > [セグメントの追加] の順にクリックします。

      セグメントの追加

    2. 次の情報を指定します。
      名前 セグメントの名前を入力します。例:LS1.1
      接続 構成済みの Tier-1 ゲートウェイを選択します。例:T1-Tenant1
      トランスポート ゾーン オーバーレイ トラフィックのデフォルト トランスポート ゾーンを選択します。例:nsx-overlay-transportzone
      サブネット 必要なサブネットを入力します。例:10.x.x.1/24
    3. [保存] をクリックします。
  3. 構成されたオーバーレイ セグメントが VMware vCenter で使用できることを確認します。VMware vCenter で、[ホストおよびクラスタ] に移動し、構成されたオーバーレイ セグメントに接続されている仮想マシンを確認します。

詳細については、NSX インストール ガイドを参照してください。