NSX VPC は、アプリケーション所有者がセルフサービス消費モデルを使用してアプリケーションをホストし、ネットワーク オブジェクトおよびセキュリティ オブジェクトを使用するための隔離された領域を提供します。
前提条件
- プロジェクト管理者
- エンタープライズ管理者
手順
- ブラウザから、NSX Manager (https://nsx-manager-ip-address) にログインします。
- [プロジェクト] ドロップダウン メニューを展開し、NSX VPC を追加するプロジェクトを選択します。
- [VPC] タブをクリックして、[VPC の追加] をクリックします。
- (必須) NSX VPC の名前を入力します。
- NSX VPC のワークロードがこの VPC の外部にある North-South 接続に使用できる、Tier-0 または Tier-0 VRF ゲートウェイを選択します。
このドロップダウン メニューには、プロジェクトの作成時にプロジェクトに割り当てられた Tier-0 または Tier-0 VRF ゲートウェイのみが表示されます。
ゲートウェイが選択されていない場合、NSX VPC のワークロードに North-South 接続はありません。
- [IP の割り当て] の設定を構成します。
- [外部 IPv4 ブロック] フィールドで、システムが NSX VPC のパブリック サブネットに使用できる IPv4 ブロックを選択します。
プロジェクトに割り当てられている外部 IP アドレス ブロックは、NSX VPC で選択できます。これらの IPv4 ブロックは、NSX VPC の外部からルーティング可能である必要があります。プロジェクト内の各 NSX VPC に最大 5 つの外部 IPv4 ブロックを割り当てることができます。
選択した外部 IPv4 ブロックは、サブネットの作成時に [IP の割り当て] オプションが [自動] に設定されている場合にのみパブリック サブネットに使用されます。
- [プライベート IPv4 ブロック] フィールドで、システムがこの NSX VPC のプライベート サブネットに使用できる IPv4 ブロックを選択します。
可視性が [プライベート] に設定されたプロジェクトに追加された IPv4 ブロックは、NSX VPC で選択できます。
選択できる IPv4 ブロックがない場合は、 をクリックし、[新規作成] をクリックしてプライベート IPv4 ブロックを追加します。
選択したプライベート IPv4 ブロックは、サブネットの作成時に [IP の割り当て] オプションが [自動] に設定されている場合にのみプライベート サブネットに使用されます。
外部 IPv4 ブロックまたはプライベート IPv4 ブロック、またはその両方を選択する必要があります。どちらも選択されていない場合、NSX VPC を保存するときにエラー メッセージが表示されます。
- [DHCP] で、次のいずれかのオプションを選択します。
オプション 説明 NSX Policy Management で管理 デフォルト オプション。システムは、NSX VPC のサブネットごとにセグメント DHCP サーバを構成します。DHCP サーバは、NSX VPC のサブネットに接続されているワークロード仮想マシンに IP アドレスを動的に割り当てます。 外部 システムは、外部またはリモートの DHCP サーバを使用して、NSX VPC のサブネットに接続されているワークロード仮想マシンに IP アドレスを動的に割り当てます。NSX VPC 用に選択した DHCP リレー プロファイルで、外部 DHCP サーバの IP アドレスを指定できます。
注: パブリック VPC サブネット上のワークロードのみが外部 DHCP サーバから IP アドレスを受信できます。現在、プライベート VPC サブネットのワークロードは、DHCP サーバ自体がプライベート VPC サブネットまたはパブリック VPC サブネットに接続されていない限り、外部 DHCP サーバから IP アドレスを受信できません。[DHCP リレー プロファイル] ドロップダウン メニューで、既存のリレー プロファイルを選択します。DHCP リレー プロファイルが使用できない場合は、 をクリックして、新しい DHCP リレー プロファイルを作成します。
DHCP リレー プロファイルの追加の詳細については、「NSX の DHCP リレー プロファイルの追加」を参照してください。
外部 DHCP サーバの構成は、NSX によって管理されません。
なし システムは、NSX VPC のサブネットの DHCP を構成しません
この場合、NSX VPC のサブネットに接続されているワークロード仮想マシンに IP アドレスを手動で割り当てる必要があります。
- [外部 IPv4 ブロック] フィールドで、システムが NSX VPC のパブリック サブネットに使用できる IPv4 ブロックを選択します。
- DHCP 構成が NSX によって管理されている場合は、必要に応じて DNS サーバの IP アドレスを入力できます。
指定されない場合、NSX VPC のサブネットに接続されているワークロード(DHCP クライアント)に DNS が割り当てられません。
- [サービス設定] を構成します。
- デフォルトでは、[N-S サービス] オプションがオンになっています。必要に応じて、オフにすることができます。
このオプションをオンにすると、接続されたサブネット用にサービス ルーターが作成され、N-S ファイアウォール、NAT、ゲートウェイ QoS プロファイルなどの中央集中型サービスがサポートされます。
このオプションをオフにすると、分散ルーターのみが作成されます。
注意: システムで NSX VPC が認識されたら、 [N-S サービス] オプションをオフにしないことをお勧めします。これは、中央集中型サービスが NSX VPC のサブネットに適用されないためです。たとえば、N-S ファイアウォール、NAT などのサービスは、 NSX VPC で構成されていても適用されません。 - [Edge クラスタ] ドロップダウン メニューから、NSX VPC に関連付ける Edge クラスタを選択します。
プロジェクトに Edge クラスタが割り当てられていない場合、このドロップダウン メニューは空になります。NSX VPC を追加するときに選択できるように、少なくとも 1 つの Edge クラスタがプロジェクトに割り当てられていることを確認します。
選択した Edge クラスタは、NSX VPC で NAT、DHCP、N-S ファイアウォールなどの中央集中型サービスを実行するために使用されます。これらのサービスでは、Edge クラスタを NSX VPC に関連付ける必要があります。
[DHCP] が [なし] に設定されていて、[N-S サービス] オプションがオフになっている場合、Edge クラスタはオプションです。
- デフォルトでは、[デフォルトの送信 NAT] オプションはオンになっています。必要に応じて、オフにすることができます。
このオプションは、NSX VPC で [N-S サービス] オプションがオンになっている場合にのみ使用できます。
[デフォルトの送信 NAT] がオンになっている場合、プライベート サブネット上のワークロードからのトラフィックを NSX VPC の外部にルーティングできることを意味します。システムは、NSX VPC のデフォルト SNAT ルールを自動的に 1 つ作成します。SNAT ルールの変換された IP アドレスは、NSX VPC の外部 IPv4 ブロックから取得されます。
注: システムで NSX VPC が認識されたら、 [デフォルトの送信 NAT] オプションをオフにしないことをお勧めします。これは、プライベート サブネット上のワークロードが NSX VPC の外部で通信できなくなるためです。 - [デフォルトの E-W ファイアウォール ルールの有効化] 切り替えボタンを使用して、この NSX VPC のデフォルトの East-West ファイアウォール ルールをオンにするかオフにするかを指定します。
デフォルトの East-West ファイアウォール ルールでは、NSX VPC のサブネットに接続されているワークロードからのすべての送信トラフィックが許可され、VPC へのすべての受信トラフィックがドロップされます。
この切り替えボタンは、分散ファイアウォール セキュリティ機能の使用資格をシステムに付与する適切なセキュリティ ライセンスを NSX 環境に適用する場合にのみ編集できます。この設定は、NSX VPC のデフォルトの E-W ファイアウォール ルールのみをオンまたはオフにします。NSX VPC 内の E-W ファイアウォールをオフにすることはしません。
たとえば、NSX プラットフォームで分散ファイアウォール サービスが有効になっている場合でも、NSX VPC のデフォルトの E-W ファイアウォール ルールを無効にできます。この場合、デフォルトの領域で構成されているシステム全体のデフォルトの分散ファイアウォール ルールと、プロジェクトで構成されているデフォルトの分散ファイアウォール ルールが NSX VPC に適用されます。
次の表では、さまざまなシナリオで NSX VPC の [デフォルトの E-W ファイアウォール ルールの有効化] 切り替えボタンのデフォルトの状態について説明します。この表で使用される「ベース ライセンス」という用語は、次の 2 つのライセンスのいずれかを意味します。
- VMware Cloud Foundation の NSX ネットワーク
- VCF のソリューション ライセンス
シリアル番号 シナリオ 切り替えボタンのデフォルトの状態 メモ 1
新しい NSX ユーザーが、NSX のネットワーク機能のみを使用する資格をシステムに付与するベース ライセンスを適用しました。
オフ
現在適用されているライセンスは E-W(分散)ファイアウォール セキュリティ ルールの構成をサポートしていないため、この切り替えボタンは編集できません。
NSX VPC でデフォルトの E-W ファイアウォール ルールを有効にするには、システムに適切なセキュリティ ライセンスを適用し、この切り替えボタンをオンにする必要があります。
2
新しい NSX ユーザーです。Day 0 で、NSX のネットワーク機能の使用資格をシステムに付与するベース ライセンスを適用しました。また、分散ファイアウォール セキュリティの使用資格をシステムに付与する適切なセキュリティ ライセンスも適用しました。
オン
デフォルトの E-W ファイアウォール ルールが NSX VPC に対して有効になります。
必要に応じて、オフにすることができます。
3
新しい NSX ユーザーです。Day 0 では、NSX のネットワーク機能の使用資格のみをシステムに付与するベース ライセンスのみを適用しました。システムにいくつかの NSX VPC(VPC A と B)を追加しました。
その後、Day 2 の運用中に、分散ファイアウォール セキュリティの使用資格をシステムに付与する適切なセキュリティ ライセンスを適用しました。
既存の VPC A と B にユーザー定義の E-W ファイアウォール ルールを追加し、また、プロジェクトに新しい VPC(VPC C と D)を作成しました。
オフ:プロジェクト内の既存の VPC の場合
オン:プロジェクト内の新しい VPC の場合
このシナリオでは、「既存の VPC」という用語は、セキュリティ ライセンスが Day 2 で適用される前にプロジェクトに存在していた NSX VPC を意味します。このシナリオでは、VPC A と B を指します。「新しい VPC」という用語は、セキュリティ ライセンスが Day 2 で適用された後にプロジェクトに追加された NSX VPC を意味します。このシナリオでは、VPC C と D を指します。
既存の VPC A および B の場合、システムの動作は次のようになります。
この切り替えボタンは、デフォルトでオフ状態になります。ユーザー定義の E-W ルールは、VPC A と B で有効です。これらの VPC でデフォルトの E-W ルールを有効にする場合は、これらの VPC を編集モードで開き、この切り替えボタンを手動でオンにします。ただし、オンにすると、VPC A と B の East-West トラフィックの動作に影響する可能性があります。
新しい VPC C および D の場合、システムの動作は次のようになります。
この切り替えボタンは、デフォルトでオン状態になります。つまり、VPC C と D の場合、デフォルトの E-W ルールがデフォルトで有効になります。必要に応じてオフに切り替え、これらの VPC でユーザー定義の E-W ルールのみが有効になるようにすることができます。
4
システムに完全な DFW アクセス権を付与するレガシーの NSX ライセンスを持つ既存の NSX ユーザーです。
レガシー ライセンスの有効期限が切れた後、NSX のネットワーク機能の使用資格をシステムに付与するベース ライセンスを適用し、また、分散ファイアウォール セキュリティの使用資格をシステムに付与するセキュリティ ライセンスも適用しました。
オン
デフォルトの E-W ファイアウォール ルールとユーザー定義の E-W ファイアウォール ルールは、新しいライセンスに変更する前に作成した既存の VPC で引き続き実行されます。システムの動作に変更はありません。
ライセンスを変更した後に追加するすべての新しい VPC では、この切り替えボタンはデフォルトでオンになっています。必要に応じて、オフにすることができます。
5
システムに完全な DFW アクセス権を付与するレガシーの NSX ライセンスを持つ既存の NSX ユーザーです。システムに 2 つの NSX VPC(VPC A と B)を追加しました。
現在のレガシー ライセンスの有効期限が切れた後、NSX のネットワーク機能の使用資格のみをシステムに付与するベース ライセンスを適用しました。セキュリティ ライセンスは適用されていません。
次に、システムに 2 つの新しい NSX VPC(VPC C と D)を作成しました。
オン:プロジェクト内の既存の VPC の場合
オフ:プロジェクト内の新しい VPC の場合
このシナリオでは、「既存の VPC」という用語は、レガシーの NSX ライセンスが有効のときにシステムに追加された NSX VPC を意味します。このシナリオでは、VPC A と B を指します。「新しい VPC」という用語は、ベース ライセンスが適用された後にシステムに追加された NSX VPC を意味します。このシナリオでは、VPC C と D を指します。
既存の VPC A および B の場合、システムの動作は次のようになります。
この切り替えボタンは、デフォルトでオン状態になります。必要に応じて、オフにすることができます。ただし、この操作を元に戻すことはできません。つまり、VPC A と B でデフォルトの E-W ファイアウォール ルールを再度有効にすることはできません。
デフォルトの E-W ファイアウォール ルールとユーザー定義の E-W ファイアウォール ルールは、VPC A と B で引き続き実行されます。ただし、これらのルールは編集できません。また、新しい E-W ファイアウォール ルールを追加することもできません。ただし、既存のユーザー定義のファイアウォール ルールは削除できます。
分散ファイアウォール ルールへのフル アクセス権を持つには、適切なセキュリティ ライセンスを適用する必要があります。
新しい VPC C および D の場合、システムの動作は次のようになります。
この切り替えボタンは、デフォルトでオフ状態になります。現在適用されているライセンスが分散ファイアウォール機能の使用資格をシステムに付与していないため、オンにできません。
6
新しい NSX ユーザーであり、システムは 60 日間有効な評価モードになっています。
オフ
新しい NSX 環境の評価期間中、システムにはネットワーク機能のみを使用する資格が付与されます。セキュリティ機能の使用資格は付与されません。
- NSX Advanced Load Balancer Controller で NSX VPC を検出する場合は、[NSX Advanced Load Balancer 用に有効化] オプションをオンにします。
デフォルトでは、このオプションはオフになっています。オンにすると、NSX のマルチテナントを NSX Advanced Load Balancer Controller に拡張できるため、このコンテキストでロード バランサの構成が可能になります。
このオプションは、次の条件が満たされた場合にのみオンにできます。- 少なくとも 1 つのプライベート IP アドレス ブロックが NSX VPC に割り当てられています。
- 少なくとも 1 つの Edge クラスタが NSX VPC に割り当てられています。
NSX VPC にはプライベート IP アドレス ブロックが必要です。これは、ロード バランサの仮想サービス IP アドレス (VIP) はプライベート サブネット上に存在する必要があるためです。NSX Advanced Load Balancer サービス エンジンが DHCP サーバから IP アドレスを動的に受信できるように、Edge クラスタが必要です。
NSX Advanced Load Balancer の詳細については、VMware NSX Advanced Load Balancer のドキュメントを参照してください。
- デフォルトでは、[N-S サービス] オプションがオンになっています。必要に応じて、オフにすることができます。
- オプションで、NSX VPC のサブネットで使用される次のプロファイルを適用します。
- N-S 出力方向サービス品質 (QoS) プロファイル
- N-S 入力方向 QoS プロファイル
- IP 検出プロファイル
- Spoofguard プロファイル
- MAC アドレス検出プロファイル
- セグメント セキュリティ プロファイル
- QoS
これらのプロファイルの目的については、「セグメント プロファイル」を参照してください。
- [短いログ ID] テキスト ボックスに、NSX VPC のコンテキストで生成されるログの識別に使用できる文字列を入力します。
この識別子は、すべての NSX VPC で一意である必要があります。ID は 8 文字以下の英数字にする必要があります。
ID を指定しない場合、NSX VPC の保存時に自動的に生成されます。設定された ID を後から変更することはできません。
- 必要に応じて、NSX VPC の説明を入力します。
- [保存] をクリックします。
結果
NSX VPC が正常に作成されると、システムは暗黙的にゲートウェイを作成します。ただし、この暗黙的なゲートウェイは読み取り専用モードでプロジェクト管理者に公開され、NSX VPC ユーザーには表示されません。
- [ネットワーク] > [Tier-1 ゲートウェイ] の順に移動します。
- [Tier-1 ゲートウェイ] ページの下部にある [VPC] オブジェクトのチェック ボックスをクリックします。
- ゲートウェイを展開して、読み取り専用モードで構成を表示します。
暗黙的なゲートウェイには、次の命名規則が使用されます。
_TIER1-VPC_Name
この暗黙的なゲートウェイのライフサイクルは、システムによって管理されます。NSX VPC が削除されると、暗黙的なゲートウェイは自動的に削除されます。
[デフォルトの送信 NAT] オプションを有効にしている場合は、システムが作成したデフォルトの SNAT ルールを NSX VPC に表示できます。次の操作を行います。
- NSX VPC の [ネットワーク サービス] セクションを展開します。
- [NAT] の横にあるカウントをクリックします。
- NSX VPC のプライベート IPv4 ブロックに対する SNAT アクションを含むデフォルトの NAT ルールを確認します。この NAT ルールは編集できません。NSX VPC に複数のプライベート IPv4 ブロックが割り当てられている場合は、各プライベート IPv4 ブロックに SNAT アクションを含む 1 つのデフォルト NAT ルールが作成されます。
次はその例です。
SNAT ルールの送信元 IP アドレスは、NSX VPC のプライベート IPv4 ブロックです。この例では、193.0.1.0/24 です。この SNAT ルールの変換された IP アドレスは、NSX VPC の外部 IPv4 ブロックから割り当てられます。この例では、192.168.1.0 です。