East-West ネットワーク イントロスペクションの場合は、サービス セグメントとオーバーレイ トランスポート ゾーンを作成します。ただし、他のすべてのセグメントまたは論理スイッチは VLAN トランスポート ゾーンでバッキングできます。
East-West ネットワーク イントロスペクションは、NSX の展開全体に適用されます。クラスタ レベルまたはホスト レベルでサービスを展開できます。
複数の展開方法がサポートされています。その 1 つがホストベースの展開です。展開のタイプによって、特定のサービスのサービス仮想マシンの実行場所が決まります。ただし、展開のタイプに関係なく、サービス仮想マシンはすべての East-West ネットワーク イントロスペクション ワークロードからアクセスできます。たとえば、クラスタ A で実行されているワークロードは、より良い選択がない場合に、クラスタ B で実行されているサービス仮想マシンを使用できます。そのため、クラスタ ベースの展開を選択しても、East-West ネットワーク イントロスペクションはそのクラスタに限定されません。
VLAN でバッキングされたセグメントのみを使用して展開する場合でも、East-West トラフィックはオーバーレイ トランスポート ゾーンとオーバーレイでバッキングされたセグメントを通過します。East-West ネットワーク イントロスペクションは、オーバーレイまたは VLAN トランスポート ゾーンによってバッキングされているかどうかにかかわらず、トポロジ内のすべてのセグメントに適用されます。
East-West ネットワーク イントロスペクションの要件
- IPv4 トラフィックのみ。
- ゲスト仮想マシンとサービス仮想マシンをホストするトランスポート ノードがオーバーレイ トランスポート ゾーンで構成されていることを確認します。オーバーレイ トランスポート ゾーンは、システム内のすべてのトランスポート ノードで East-West ネットワーク イントロスペクションを使用するための要件です。
- East-West ネットワーク イントロスペクション サービスで使用されるオーバーレイ バッキング サービス セグメントを作成します。
すべてのセグメントは、各ホストの同じホスト スイッチによってバッキングされる必要があります。
- ESXi ホストで実行されているゲスト仮想マシンが VLAN セグメントに接続されているが、その ESXi ホストがオーバーレイ トランスポート ゾーンで構成されていない場合、サービス仮想マシンへのトラフィックは中断されます。このような構成では、トラフィックがブラック ホールにルーティングされることもあります。
ゲスト仮想マシンの vMotion
vMotion 中に、ターゲット仮想マシンを別のホストに正常に移行できるのは、ターゲット ホストにオーバーレイ トランスポート ゾーンが構成されていて、単一のホスト スイッチがある場合のみです。ただし、サービス セグメントが作成されるオーバーレイ トランスポート ゾーンがない場合、または複数のホスト スイッチが構成されている場合は、vMotion の実行後もゲスト仮想マシンの仮想 NIC が切断状態になります。
サービス仮想マシンの vMotion
ホストベースの SVM 展開:NSX は、個々のホストに展開されたサービス仮想マシン (SVM) の vMotion をサポートしていません。
クラスタベースの SVM 展開:NSX でクラスタベースの SVM 展開での SVM の vMotion が許可されていても、トラフィックの損失を回避するため、SVM の vMotion は実行しないでください。
サポートされていない環境
- IPv6 トラフィック。
- いくつかのトランスポート ノードは VLAN トランスポート ゾーン用に構成され、残りのホストは VLAN および GENEVE(オーバーレイ)トランスポート ゾーン用に構成されます。VLAN と GENEVE(オーバーレイ)の両方のトランスポート ゾーンに対してすべてのトランスポート ノードが構成されていることを確認します。
- ゲスト仮想マシンの仮想 NIC から送信されるトラフィックは、.1q VLAN タグを伝送します。
- トランク ポート(ゲスト仮想マシンから複数の VLAN を伝送できる)でバッキングされたゲスト仮想マシン。
- 複数のホスト スイッチを含むトポロジでは、East-West ネットワーク イントロスペクションはサポートされません。
オーバーレイによってバッキングされた(GENEVE によってバッキングされた)セグメントは、East-West ネットワーク イントロスペクションによる内部使用のためにプロビジョニングされます。NSX Manager ユーザー インターフェイスで、 の順に移動します。
サービス セグメント
NSX は、サービス セグメントが作成された VDS スイッチでのみサービス挿入ポリシーの実行をサポートします。サービス挿入ポリシーは、同じホストに構成されている他の VDS スイッチを通過するトラフィックに適用することはできません。
設計どおりにサービス挿入を機能させるには、サービス セグメントをバッキングしていない VDS スイッチに関連付けられているすべてのセグメント、仮想マシン、コンテナ、またはその他のオブジェクトでサービス挿入を無効にします。これは、サービス挿入ポリシーは、これらのオブジェクトにヒットするトラフィックには適用されないためです。
ただし、除外リストを使用して、API 呼び出しまたはユーザー インターフェイスから SI を選択的に無効にできます。特定のポートでサービス挿入が無効になっている場合、そのポートは、機能を失ったり問題を引き起こすことなく、サービス セグメントをバッキングする VDS、またはホスト上の他の VDS スイッチのいずれかに接続できます。サービス セグメントをバッキングしていない VDS スイッチによってバッキングされているインターフェイス上のトラフィックにサービス挿入が適用されると、NSX はアラームを発生させて、サービス挿入がトラフィックをリダイレクトするために正確に動作できないという通知を行います。
サポートされるトラフィック クラス
- L3 (IPv4) ユニキャスト
- L3 (IPv4) マルチキャスト
- L3 (IPv4) ブロードキャスト
- L3(非 IP)(GRE および IPsec トラフィックなど)