ゲートウェイ セキュリティの環境を構成する前に、インフラストラクチャの設定を行う必要があります。
1. NSX Edge トランスポート ノードの展開
最初に NSX Edge トランスポート ノードを展開する必要があります。
前提条件
NSX Manager を展開し、有効なライセンスを構成している。
手順
1.1:NSX Edge クラスタのプロビジョニング
高可用性を実現するには、Edge クラスタに 2 つの Edge ノードが必要です。
手順
- Edge クラスタを追加します。[Edge クラスタの追加] をクリックします。 に移動して、
- [名前] テキスト ボックスに、Edge クラスタの名前を入力します。例:Edge-cluster-1
- 作成した Edge ノード (Edge-1) を [使用可能] から [選択済み] ウィンドウに移動し、[追加] をクリックします。
2. Tier-0 または Tier-1 ゲートウェイの作成
ユースケースに応じて、Tier-1 または Tier-0 ゲートウェイを作成します。
手順
3. Tier-0 または Tier-1 ゲートウェイでのインターフェイスの作成
NSX ゲートウェイには異なるインターフェイス タイプがあります。ネットワーク トポロジーに基づいて、ネットワーク接続に必要なインターフェイスを選択して、ゲートウェイを通過するトラフィックにファイアウォール機能を提供できます。
Tier-0 外部インターフェイス:
- 外部接続用の物理ルーターに接続します。
- このインターフェイスは、Tier-0 ゲートウェイの VLAN セグメントに作成します。
Tier-1 アップリンク インターフェイス:
- Tier-0 に接続します。
- Tier-1 が Tier-0 に接続するときに、システムがこのインターフェイスを作成します。
サービス インターフェイス:
- NSX 管理対象外の VLAN ワークロードに NSX サービス(GFW など)を提供するために使用されます。
- VLAN セグメントに接続します。
- Tier-0 と Tier-1 の両方でサポートされます。
ダウンリンク インターフェイス:
- ゲートウェイのオーバーレイ セグメント インターフェイス。
- Tier-0 と Tier-1 の両方でサポートされます。
- GFW サポートはありません。
- VLAN 接続ワークロード
- NSX ネットワーク オーバーレイ セグメントに接続されたワークロード
これらのシナリオでは、このセクションで後述するように、ネットワーク インターフェイスの作成手順が若干異なります。
3.1:VLAN 接続ワークロード用の NSX ゲートウェイ ファイアウォール インターフェイスの作成
環境を設定するには、次の手順を実行する必要があります。
- NSX に VLAN セグメントを作成します。
- [NSX Manager] で、 の順にクリックします。
- 次の情報を指定します。
セグメント名 セグメントの名前を入力します。例:VLAN-100 トランスポート ゾーン VLAN トラフィックのデフォルト トランスポート ゾーンを選択します。例:nsx-vlan-transportzone VLAN 100 を入力します。 - [保存] をクリックします。
- Tier-0 または Tier-1 ゲートウェイにサービス インターフェイスを作成します。
- [NSX Manager]で、 の順にクリックします。
- 作成したゲートウェイを編集します。例:T1-gateway-1
- [サービス インターフェイス] で [設定] をクリックします。
- [インターフェイスの追加] をクリックします。
- 次の情報を指定します。
名前 インターフェイスの名前を入力します。例:SI-VLAN-100 IP アドレス/マスク IP アドレスを入力します。例:192.168.50.12/24 接続先(セグメント) 構成済みのセグメントを選択します。例:VLAN-100 - [保存] をクリックします。
ネットワーク要件に基づいて、追加のサービス インターフェイスを作成します。
Tier-0 では、外部インターフェイスを作成するか、接続要件に基づいてサービス インターフェイスを作成するかを選択できます。外部インターフェイスを作成する場合は、Edge クラスタに含まれる Edge ごとに 1 つの外部インターフェイスを作成する必要があります。
ワークフローの一部として、上記のパラメータのほかに、インターフェイスを作成する Edge ノードを選択します。
詳細については、NSX 管理ガイドを参照してください。
3.2:ネットワーク オーバーレイ ワークロード用の NSX ゲートウェイ ファイアウォール インターフェイスの作成
- Tier-1 ゲートウェイを作成します。
- をクリックします。
- Tier-1 ゲートウェイの名前を入力します。例:PROD-Tier1
- Tier-0 ゲートウェイを選択して、Tier-1 にアップリンクを作成します。
- ゲートウェイ サービスを実装する Edge クラスタを選択します。
- [保存] をクリックします。
- さらに、ワークロードを接続するためのオーバーレイ セグメントを作成する必要があります。これにより、ゲートウェイにダウンリンク インターフェイスが作成され、仮想マシンとのネットワーク接続用に NSX セグメントが ESXi で使用可能になります。
- の順にクリックします。
- 次の情報を指定します。
名前 セグメントの名前を入力します。例:LS1.1 接続 構成済みの Tier-1 ゲートウェイを選択します。例:T1-Tenant1 トランスポート ゾーン オーバーレイ トラフィックのデフォルト トランスポート ゾーンを選択します。例:nsx-overlay-transportzone サブネット 必要なサブネットを入力します。例:10.x.x.1/24 - [保存] をクリックします。
- 構成されたオーバーレイ セグメントが VMware vCenter で使用できることを確認します。VMware vCenter で、[ホストおよびクラスタ] に移動し、構成されたオーバーレイ セグメントに接続されている仮想マシンを確認します。
詳細については、NSX インストール ガイドを参照してください。