グローバル マネージャ から行う構成はすべてポリシー モードで行われます。NSX フェデレーションでマネージャ モードは使用できません。

2 つのモードの詳細については、「NSX Manager」を参照してください。

構成の最大値

NSX フェデレーション 環境における構成の最大値は次のとおりです。
  • ほとんどの構成では、ローカル マネージャ クラスタの構成の最大値は NSX Manager クラスタと同じです。VMware Configuration Maximums ツールに移動して、NSX を選択します。

    例外および他の NSX フェデレーション固有の値については、VMware Configuration Maximums ツールNSXNSX フェデレーション カテゴリを選択します。

  • 特定の場所について、次の構成が構成の最大値に影響します。
    • ローカル マネージャ で作成されたオブジェクト。
    • グローバル マネージャ で作成され、その範囲内の場所を含むオブジェクト。

    各ローカル マネージャの容量と使用量を確認できます。カテゴリごとのオブジェクトの使用量と容量の表示を参照してください。

機能のサポート

NSX フェデレーション では、サービス挿入(ネットワーク イントロスペクション)は、次の条件で グローバル マネージャ (GM) が展開されている NSX フェデレーション 環境でのみサポートされます。
  • パートナー サービスの登録、展開、使用など、サービス挿入に関連するすべての構成は、ローカル マネージャ (LM) から行われます。
  • サービス挿入では、LM で構成されたオブジェクトのみが使用されます。これには、グループ、セグメント、その他の構成要素が含まれます。サービス挿入は、GM から定義された拡張/グローバル セグメント、または GM から作成された論理ルーターに接続されているセグメントに適用できません。グローバル マネージャ から作成されたグループは、サービス挿入リダイレクト ポリシー内で使用しないでください。
重要:
  • NSX フェデレーション の場所は、管理者がアンダーレイ ファブリックを完全に制御できる環境で実行する必要があります。
  • NSX フェデレーション は現在、VMware Cloud on AWSVMware Cloud on DellAzure VMware SolutionGoogle Cloud VMware EngineOracle Cloud VMware SolutionAlibaba VMware Cloud Service にホストされている グローバル マネージャ および ローカル マネージャ をサポートしていません。
ローカル マネージャグローバル マネージャ に登録された後:
  • ローカル マネージャ で引き続き構成できます。詳細については、NSX フェデレーション についてを参照してください。
  • ローカル マネージャ から構成された一部のオブジェクトには、グローバル マネージャ オブジェクトであるオプション/設定があります。たとえば、LM_created-t1 を GM_created-t0 に接続できます。
  • ローカル マネージャ から構成された一部のオブジェクトは、グローバル マネージャ オブジェクトであるオプション/設定を使用して構成できません。たとえば、LM_created-segment セグメントを GM_created-t0 に接続することはできません。これらの LM オブジェクトは、ローカル マネージャ からのみ編集できます。グローバル マネージャ にはこれらのオブジェクトは表示されません。詳細については、ご使用のリリースの『NSX-T マルチロケーション設計ガイド』の「論理構成の所有権」を参照してください。

NSX フェデレーション でサポートされる機能」の表では、グローバル マネージャ で使用可能な機能について説明します。

表 1. NSX フェデレーションでサポートされる機能
機能 詳細 関連リンク
Tier-0 ゲートウェイ
  • アクティブ/アクティブとアクティブ/スタンバイ。
  • アクティブ/アクティブのみ
グローバル マネージャ での Tier-0 ゲートウェイの追加
Tier-1 ゲートウェイ グローバル マネージャ での Tier-1 ゲートウェイの追加
セグメント グローバル マネージャ のレイヤー 2 ブリッジ構成を含めることができます。 グローバル マネージャ からのセグメントの追加グローバル マネージャでのブリッジの構成
グループ いくつかの制限事項があります。「NSX フェデレーション のセキュリティ」を参照してください。 グローバル マネージャ からのグループの作成
分散ファイアウォール セキュリティ ポリシーのドラフトは現在、グローバル マネージャ で使用できます。これには、自動ドラフトと手動ドラフトのサポートが含まれます。 グローバル マネージャ でのドラフトの作成
ファイアウォール除外リスト 使用可能。 ファイアウォール除外リストの管理
時間ベースのファイアウォール ルール。 使用可能。 時間ベースのファイアウォール ポリシー
ゲートウェイ ファイアウォール レイヤー 3 および 4 のルールのみがサポートされます。 グローバル マネージャ からのゲートウェイ ポリシーとルールの作成
ネットワーク アドレス変換 (NAT)
  1. Tier-0 ゲートウェイ:
    • アクティブ/アクティブ:ステートレス NAT のみを構成できます。つまり、アクション タイプは「再帰」です。

    • アクティブ/スタンバイ:ステートフルまたはステートレス NAT ルールを作成できます。

  2. Tier-1 ゲートウェイ:
    • ステートフルまたはステートレス NAT ルールを作成できます。

    • ステートレス NAT ルールは、範囲が 1 つ以上の場所にまたがっていない限り、ゲートウェイの範囲内のすべての場所にプッシュされます。
    • ステートフル NAT ルールも、ゲートウェイの範囲内のすべての場所または選択した場所にプッシュされます。ただし、ステートフル NAT ルールはプライマリの場所でのみ認識され、適用されます。
NSX の NAT/DNAT/SNAT なし/DNAT なし/再帰 NAT の構成
DNS NSX の DNS フォワーダ サービスの追加」を参照してください
DHCP と SLAAC
  • DHCP リレーは、セグメントとゲートウェイでサポートされます。
  • DHCPv4 サーバは、セグメントに構成された DHCP 静的割り当てを使用するゲートウェイでサポートされます。
  • IPv6 アドレスは、SLAAC(RA を介した DNS)を使用して割り当てることができます(DAD は、1 つの場所内でのみ重複を検出します)。
分散マルウェア検出/防止 NSX 4.1.2 以降:
  • 各フェデレーション ローカル マネージャNSX アプリケーション プラットフォーム (NAPP) を展開します。
  • ローカル マネージャ ユーザー インターフェイスからマルウェア防止を展開および管理します。
  • 仮想マシン エンドポイントには、拡張セグメントと非拡張セグメントを使用できます。
NSX IDS/IPS と NSX Malware Prevention
ネットワークの検出と対応 NSX 4.1.2 以降:
  • 各フェデレーション ローカル マネージャ に NAPP を展開します。
  • ローカル マネージャ ユーザー インターフェイスから NSX Network Detection and Response (NDR) を展開および管理します。
  • 拡張セグメントと非拡張セグメントを使用して、NDR イベントを収集できます。
NSX Network Detection and Response
ローカル マネージャ 構成での グローバル マネージャ で作成されたオブジェクトの使用
  1. ほとんどの構成がサポートされます。次はその例です。
    • ローカル マネージャ Tier-1 ゲートウェイを グローバル マネージャ Tier-0 ゲートウェイに接続する。
    • ローカル マネージャ 分散ファイアウォール ルールで グローバル マネージャ グループを使用できます。
  2. 次の構成はサポート[されません]
    • ローカル マネージャ セグメントを グローバル マネージャ の Tier-0 または Tier-1 ゲートウェイに接続する。
    • ロード バランサをグローバル マネージャ Tier-1 ゲートウェイに接続する。
ネットワーク モニタリング
  • ローカル マネージャグローバル マネージャ 間の通信モニタリングの拡張。
  • 同じフェデレーション内の NSX インスタンス間のトレースフロー。
証明書 NSX 4.1 以降では、ローカル マネージャNSX フェデレーション 環境内にある場合にのみ、ローカル マネージャ の自己署名証明書が生成されます。ローカル マネージャNSX フェデレーション 環境から移動すると、同証明書は削除されます。 NSX と NSX フェデレーション の証明書
LDAP LDAP 経由の Active Directory や OpenLDAP などのディレクトリ サービスを使用して、グローバル マネージャ ユーザーを認証します。 LDAP との連携
バックアップとリストア FQDN または IP アドレスを使用したバックアップがサポートされています。 NSX フェデレーション でのバックアップとリストア
ユーザー NSX 4.1 以降では、新しいローカル ユーザーを追加し、audit ユーザーとゲスト ユーザーを削除できます。 ローカル ユーザー アカウントの管理
場所間の vMotion 複数の場所にわたるタグの複製がサポートされます。