VMware Hands-on Labs - HOL-1803-01-NET


実習ラボの概要: HOL-1803-01-NET: VMware NSX の概要

実習ラボのガイダンス


注: この実習ラボの所要時間は 90 分以上を想定しています。1 回のラボ時間あたり 2 ~ 3 モジュールを目安に学習してください。モジュールは相互に独立しているため、どのモジュールから開始することも、どの順序で実施することもできます。各モジュールには、目次から直接移動できます。

目次を表示するには、実習ラボ マニュアルの右上の [目次] をクリックします。

VMware NSX はネットワーク仮想化のためのプラットフォームです。論理スイッチ、分散論理ルーティング、ダイナミック ルーティング、分散ファイアウォール、論理ネットワーク サービスを実際に体験できます。この実習ラボでは、ネットワークとセキュリティの仮想化を実現するために使用される、vSphere 環境における VMware NSX の主要機能を紹介します。

実習ラボのモジュール リスト:

実習ラボ責任者:

この実習ラボ マニュアルは、次のハンズオン ラボ ドキュメント サイトからダウンロードできます。

http://docs.hol.vmware.com

一部の実習ラボは、英語以外の言語でも提供されています。言語設定を変更し、翻訳版のマニュアルを実習ラボで使用する手順については、次のドキュメントを参照してください。

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

メイン コンソールの表示位置

 

  1. 図の赤枠で囲まれた領域がメイン コンソールです。 実習ラボ マニュアルは、メイン コンソールの右側のタブに表示されます。
  2. 実習ラボによっては、左上の別のタブに追加のコンソールが用意されていることがあります。その場合は、実習ラボ マニュアルの説明に従って、指定されたコンソールを開いてください。
  3. この実習ラボでは、開始時に 90 分のタイマーが表示されます。このラボで行った作業内容は保存できません。すべての作業は、実習ラボ セッション内に完了してください。必要であれば、[延長] をクリックして時間を延長できます。VMware イベントでご使用の場合は、実習ラボの時間を 2 回まで、最大 30 分延長できます。[延長] を 1 回クリックすると、時間が 15 分間延長されます。VMware イベント以外でご使用の場合は、実習ラボの時間を最大 9 時間 30 分延長できます。[延長] を 1 回クリックするたびに、時間が 1 時間延長されます。

 

 

キーボード以外の方法によるデータ入力

このモジュールでは、メイン コンソールでテキストを入力します。複雑なデータを入力する場合、キーボードから直接入力する以外に、次の 2 つの方法があります。

 

 

クリック アンド ドラッグによるコピー

実習ラボ マニュアルに記載されているテキストやコマンド ライン インターフェイス (CLI) のコマンドをクリック (選択) し、メイン コンソールのアクティブ ウィンドウまで直接ドラッグできます。 

 

 

オンラインの国際キーボードを使用する

 

キーボード配列によっては、特定の文字や記号が入力しにくいことがあります。そのような場合、メイン コンソールに、オンラインの国際キーボードを表示して使用すると便利です。

  1. 国際キーボードを表示するには、Windows のクイック起動タスク バーで、キーボードのアイコンをクリックします。

 

 

Windows アクティベーションに関するウォーターマーク

 

実習ラボを初めて開始すると、Windows のライセンス認証が完了していないことを知らせるウォーターマーク (透かし) がデスクトップに表示される場合があります。 

仮想化の大きなメリットの 1 つは、仮想マシンを任意のプラットフォームに移動して実行できることです。ハンズオン ラボも、このメリットを活用して複数のデータセンターから実行できるようになっています。ただし、データセンターによってプロセッサーのタイプが異なることがあり、そのような場合、インターネット経由で Microsoft 社のアクティベーション チェックが行われます。

VMware とハンズオン ラボは Microsoft 社のライセンス要件に完全に準拠しているので、安心してご利用ください。この実習ラボは自己完結型ポッドであり、Windows のアクティベーション チェックに必要なインターネットへのフル アクセス権限がありません。インターネットへの完全なアクセスがないと、この自動プロセスは失敗し、このようなウォーターマークが表示されます。

これは表面上の問題であり、実習ラボには影響しません。 

 

 

画面右下でラボの準備完了を確認

 

画面の右下の [Lab Status] にラボの準備状況が表示されます。表示が [Ready] になってから、学習を開始してください。[Ready] になるまで数分間かかります。5 分経過しても [Ready] にならない場合は、サポートにお問い合わせください。

 

モジュール 1: NSX Manager のインストールおよび構成 (15 分)

はじめに


VMware NSX は、ネットワークに仮想マシンの運用モデルを提供するネットワークの仮想化プラットフォームとして業界をリードしています。サーバー仮想化によってサーバー ハードウェアのプール上で実行中の仮想マシンを拡張性をもって制御できることと同様、NSX によるネットワークの仮想化では、単一の物理ネットワーク上で実行中の多数の分離された論理ネットワークをプロビジョニングおよび構成するための統合 API が提供されます。

論理ネットワークを使用すると、仮想マシンの接続とネットワーク サービスが物理ネットワークから切り離されます。このため、クラウドのプロバイダーと企業は、仮想マシンをデータセンター内の任意の場所に柔軟に配置または移行できます。この間、レイヤー 2 とレイヤー 3 の接続およびレイヤー 4 ~ 7 のネットワーク サービスのサポートは維持されます。

このモジュールでは対話型シミュレーションを使用して、ご使用の環境内に NSX を実際に導入する方法を中心に説明します。ラボ環境内には、実際の導入はすでに完了しています。

対話型シミュレーションでは次の方法を説明します。


 

NSX のコンポーネント

 

 

ハンズオン ラボの対話型シミュレーション: NSX のインストールと構成 (パート 1)


ラボのこの部分は、ハンズオン ラボの対話型シミュレーションとして提示されます。そのため、実習ラボ環境で実際に行うと時間がかかりすぎたり、大量のリソースが必要になったりする手順を手軽に確認できます。このシミュレーションでは、実際の環境で操作しているかのようにソフトウェア インターフェイスを使用できます。

  1. ここをクリックして対話型シミュレーションを表示します。新しいブラウザー タブまたは新しいブラウザー ウィンドウにシミュレーションが表示されます。
  2. 終了したら、[Return to the lab] リンクをクリックして、この実習ラボを続行してください。

ハンズオン ラボの対話型シミュレーション: NSX のインストールと構成 (パート 2)


ラボのこの部分は、ハンズオン ラボの対話型シミュレーションとして提示されます。そのため、実習ラボ環境で実際に行うと時間がかかりすぎたり、大量のリソースが必要になったりする手順を手軽に確認できます。このシミュレーションでは、実際の環境で操作しているかのようにソフトウェア インターフェイスを使用できます。

  1. ここをクリックして対話型シミュレーションを表示します。新しいブラウザー タブまたは新しいブラウザー ウィンドウにシミュレーションが表示されます。
  2. 終了したら、[Return to the lab] リンクをクリックして、この実習ラボを続行してください。

モジュール 1 のまとめ


このモジュールでは、NSX を簡単にインストールして構成し、ソフトウェアないの 7 つのサービスを通してレイヤー 2 を提供できることを説明しました。

NSX Manager アプライアンスのインストールと構成について、展開、vCenter との統合、ログ収集とバックアップの構成などを説明しました。次に、制御プレーンとしての NSX Controller の導入と、ハイパーバイザーにプッシュされるカーネル モジュールである VMware Infrastructure Bundles (VIB) のインストールについて説明しました。最後に、VXLAN トンネル エンドポイント (VTEP) の自動展開、VXLAN のネットワーク ID プール (VNI) の作成、トランスポート ゾーンの作成の方法を示しました。


 

モジュール 1 の終了

モジュール 1 はこれで終了です。

NSX の展開についてさらに詳しい情報が必要な場合は、表示されている URL から NSX 6.3 ドキュメント センターをご確認ください。

表示されている中から関心のあるモジュールに進んでください。

実習ラボのモジュール リスト:

実習ラボ責任者:

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

モジュール 2: 論理スイッチ (30 分)

論理スイッチ: モジュールの概要


このモジュールでは、VMware NSX の以下のコンポーネントについて詳しく見ていきます。


論理スイッチ


このセクションでは、次のことを行います。

  1. ホストの構成の準備状況を確認します。
  2. 論理ネットワークの準備を確認します。
  3. 新しい論理スイッチを作成します。
  4. 論理スイッチを NSX Edge Gateway に接続します。
  5. 論理スイッチに仮想マシンを追加します。
  6. 仮想マシン間の接続性をテストします。

 

Google Chrome の起動

 

デスクトップで [Google Chrome] アイコンをダブルクリックし、ブラウザーを開きます。

 

 

vSphere Web Client の [Networking & Security] セクションに移動

 

  1. [Home] アイコンをクリックします。
  2. [Networking & Security] をクリックします。

 

 

新たに作成した Prod_Logical_Switch に web-03a と web-04a を接続

 

  1. [Home] アイコンをクリックします。
  2. [Networking & Security] をクリックします。

 

 

Web-03a と Web-04a の間の接続性をテスト

 

スケーラビリティと可用性


このセクションでは、NSX Controller のスケーラビリティと可用性について取り上げます。NSX プラットフォームの NSX Controller クラスターは制御プレーンのコンポーネントです。ハイパーバイザーの、スイッチングとルーティング用のモジュールを管理します。NSX Controller クラスターは、特定の論理スイッチを管理する NSX Controller ノードから構成されています。VXLAN ベースの論理スイッチを管理する場合、NSX Controller クラスターを使用すれば、物理ネットワーク インフラストラクチャからのマルチキャスト サポートが不要になります。

耐障害性とパフォーマンスを確保するために、本番環境には複数の NSX Controller ノードを備えた NSX Controller クラスターを導入する必要があります。NSX Controller クラスターはスケールアウト分散システムであり、各 NSX Controller ノードには一連のロールが割り当てられています。割り当てられたロールによって、NSX Controller ノードに実装できるタスクのタイプが定義されます。NSX Controller ノードは奇数で展開されます。NSX クラスターの現在のベスト プラクティス (およびサポートされる唯一の構成) は、アクティブ - アクティブ - アクティブの負荷分散と冗長性を備える 3 つのノードを含めることです。

NSX アーキテクチャが持つスケーラビリティという特性を向上させるために、すべての NSX Controller ノードが常にアクティブな状態になるよう、「スライシング」 メカニズムが利用されます。

NSX Controller に障害が発生した場合でも、データ プレーン (仮想マシン) のトラフィックは影響を受けず、論理ネットワーク情報が論理スイッチ (データ プレーン) にプッシュされるため、トラフィックは継続します。ただし、制御プレーン (NSX Controller クラスター) なしで編集 (追加/移動/変更) を行うことはできません。


 

NSX Controller のスケーラビリティと可用性

 

  1. [Home] アイコンをクリックします。
  2. [Networking & Security] をクリックします。

 

モジュール 2 のまとめ


このモジュールでは、NSX プラットフォームの次のメリットを実演しました。

  1. 論理スイッチを迅速にプロビジョニングして、仮想マシンおよび外部ネットワークとのインターフェイスを確立するなど、ネットワークの俊敏性。
  2. トランスポート ゾーンが迅速に複数のコンピューティング クラスターにまたがることができる機能や、NSX Controller クラスターのスケールアウ分散システムの機能など、NSX アーキテクチャーのスケーラビリティ。

 

モジュール 2 の終了

モジュール 2 はこれで終了です。

NSX についてさらに詳しく学びたい場合は、表示されている URL から NSX 6.3 ドキュメント センターをご確認ください。

次のモジュールのいずれかに進みます。

実習ラボのモジュール リスト:

実習ラボ責任者:

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

モジュール 3: 論理ルーティング (60 分)

ルーティングの概要


ラボ モジュールの概要

ここまでのモジュールで、数回のクリックで、分離した論理スイッチ/ネットワークを作成できる簡単さと便利さを経験しました。このように分離されたレイヤー 2 論理ネットワーク間で通信を提供するには、ルーティングのサポートが非常に重要です。NSX プラットフォームでは、分散論理ルーターによって論理スイッチ間でトラフィックをルーティングでき、ルーティング機能はハイパーバイザー内で分散されています。この論理ルーティング コンポーネントを組み込むことによって、NSX は論理空間内で複雑なルーティング トポロジーを再現できます。たとえば、3 層アプリケーションは 3 台の論理スイッチに接続され、この分散論理ルーターによってレイヤー間のルーティングが処理されます。

このモジュールでは、NSX プラットフォームでサポートされるいくつかのルーティング機能について説明するとともに、3 層アプリケーションの展開時にこれらの機能を利用する方法についても説明します。

このモジュールでは、次のことを行います。


 

CLI コマンドに関する特記事項

 

多くのモジュールで、コマンド ライン インターフェイス (CLI) コマンドを入力します。 CLI コマンドを実習ラボに送信するには 2 つの方法があります。

1 つ目は、次の手順で CLI コマンドを実習ラボのコンソールに送信する方法です。

  1. マニュアル内の CLI コマンドを強調表示し、 + キーを押してクリップボードにコピーします。
  2. コンソール メニューで [テキストの送信] をクリックします。
  3. + キーを押して、先ほどコピーした CLI コマンドをクリップボードからウィンドウに貼り付けます。
  4. [送信] ボタンをクリックします。

2 つ目は、テキスト ファイル (README.txt) を使用する方法です。実習ラボ環境のデスクトップに用意されているこのファイルを使用すれば、関連するユーティリティ (CMD、PuTTY、コンソールなど) で、複雑なコマンドやパスワードを簡単にコピーして貼り付けることができます。各国で使用されているさまざまなキーボードの中には、一部の文字が存在しないものがあります。 このテキスト ファイルは、こうした文字が存在しないキーボード レイアウトにも対応したものとなっています。

この README.txt ファイルはデスクトップにあります。 

 

ダイナミック ルーティングと分散ルーティング


最初に、分散ルーティングの構成を確認した後、カーネル レベルでルーティングを実行するメリットについて確認します。


 

現在のトポロジーとパケット フローの確認

 

上の図は、アプリケーション仮想マシンとデータベース仮想マシンが両方とも同じ物理ホスト上にある、この実習ラボの環境を示しています。赤い矢印は 2 つの仮想マシン間のトラフィック フローを示します。

  1. トラフィックはアプリケーション仮想マシンを出てホストに到達します。
  2. アプリケーション仮想マシンとデータベース仮想マシンが同じネットワーク サブネットにないため、ホストはこのトラフィックをレイヤー 3 デバイスに送信する必要があります。NSX Edge (Perimeter ゲートウェイ) は管理クラスターにあり、レイヤー 3 デバイスの機能を実行します。トラフィックは Perimeter Gateway (NSX Edge) が配置されているホストに送信されます。
  3. トラフィックが Perimeter Gateway (NSX Edge) からホストに到達します。
  4. Perimeter Gateway (NSX Edge) がトラフィックをホストに送信します。
  5. トラフィックはデータベース仮想マシンが配置されているホストに送信されます。
  6. トラフィックがホストからデータベース仮想マシンに到達します。

この実習ラボの最後に、分散ルーティングの構成後のトラフィック フローを確認します。そうすることで、分散ルーティングがネットワーク トラフィックに与える好影響を理解できます。

 

 

vSphere Web Client にアクセス

 

 

 

vSphere Web Client にログイン

 

ホームページは vSphere Web Client です。それ以外の場合は、vSphere Web Client タスクバーにある Google Chrome のアイコンをクリックします。

  1. [User name] に 「administrator@vsphere.local」 と入力します。
  2. [Password] に 「VMware1!」 と入力します。
  3. [Login] をクリックします。

 

 

3 層アプリケーションの機能を確認

 

  1. 新しいブラウザー タブを開きます。
  2. ブックマーク [Customer DB App] をクリックします。

 

 

アプリケーション インターフェイスとデータベース インターフェイスを境界エッジから削除

 

前述のトポロジーで確認したように、3 台の論理スイッチまたはアプリケーションの 3 層は Perimeter Gateway (NSX Edge) 上で終端されています。Perimeter Gateway (NSX Edge) は、3 層間のルーティングを提供します。Perimeter Gateway (NSX Edge) からアプリケーション インターフェイスとデータベース インターフェイスを削除することにより、このトポロジーを変更します。インターフェイスを削除してから、これらのインターフェイスを分散ルーター (NSX Edge) に移動します。時間を節約するために、分散ルーター (NSX Edge) はすでに展開されています。

  1. [vSphere Web Client] ブラウザー タブをクリックします。
  2. [Home] アイコンをクリックします。
  3. [Networking & Security] をクリックします。

 

 

アプリケーション インターフェイスとデータベース インターフェイスを分散ルーターに追加

 

次に、アプリケーション インターフェイスとデータベース インターフェイスを分散ルーター (NSX Edge) に追加することによって、分散ルーティングの構成を開始します。

  1. [Distributed-Router-01] をダブルクリックします。

 

 

分散ルーターでのダイナミック ルーティングを構成

 

[vSphere Web Client] ブラウザー タブに戻ります。

  1. [Routing] をクリックします。
  2. [Global Configuration] をクリックします。
  3. [Dynamic Routing Configuration] の [Edit] をクリックします。

 

 

ダイナミック ルーティングの構成を編集

 

  1. アップリンク インターフェイスの IP アドレスをデフォルト ルーター ID として選択します。ここでは、アップリンク インターフェイスは [Transit_Network_01]、IP アドレスは [192.168.5.2] です。
  2. [OK] をクリックします。

注: ルーター ID は、IP アドレスとして示される 32 ビットの ID で、自律システム内でのルーターの ID を示すため、OSPF の動作において重要です。実習ラボのシナリオでは、使用されているルーター ID は、NSX edge 上のアップリンク インターフェイスの IP アドレスと同じです。これで問題はありませんが、必ずしもこのようにする必要はありません。画面は [Global Configuration] セクションに戻り、[Publish Changes] オプションが表示されます。

 

 

OSPF 固有のパラメーターを構成

 

ダイナミック ルーティング プロトコルとして OSPF を使用します。

  1. [OSPF] をクリックします。
  2. OSPF 構成を変更するため、[Edit] をクリックします。[OSPF Configuration] ダイアログ ボックスが開きます。

 

 

境界エッジでの OSPF ルーティングを構成

 

次に、3 層アプリケーションへの接続を回復するために、Perimeter-Gateway-01 (NSX Edge) にダイナミック ルーティングを構成します。

  1. [NSX Edges] セクションに戻るまで [Back] ボタンをクリックします。

 

 

新しいトポロジーの確認

 

新しいトポロジーでは、分散ルーターと境界ゲートウェイ (NSX Edge) との間にルート ピアリングがあります。分散ルーターにネットワーク接続されたルートは、境界ゲートウェイ (NSX Edge) に配布されます。さらに、境界ゲートウェイから物理ネットワークへのルーティングも制御できます。

これについては、次のセクションで詳しく取り上げます。

 

 

3 層アプリケーションへの通信を確認

 

ルーティング情報は、分散ルーターと境界ゲートウェイとの間で交換されています。2 つの NSX Edge 間のルーティングが確立されると、3 層 Web アプリケーションへの接続が回復します。3 層 Web アプリケーションにアクセスして、ルーティングが機能していることを確認しましょう。

  1. [HOL - Customer Database] ブラウザー タブをクリックします (このタブは前の手順で開きました)。ただし、[504 Gateway Time-out] と表示される場合があります。
  2. 更新アイコンをクリックします。

注: 実習ラボはネスト環境のため、ルーティング情報の送信に 1 分ほどかかる場合があります。

 

 

ダイナミック ルーティングと分散ルーティングの構成を完了

このセクションでは、分散動的ルーティングの構成を行いました。次のセクションでは、境界ゲートウェイ (NSX Edge) を使用した中央集中型ルーティングについて確認します。

 

中央集中型ルーティング


このセクションでは、エッジからのノースバウンド ルーティングがどのように実行されるかを確認するため、さまざまな要素を確認します。また、OSPF 動的ルーティングがシステム全体でどのように制御され、更新され、伝達されるのかも確認します。実習ラボ全体の運用とルーティングに使用される仮想ルーティング アプライアンスによって、境界エッジ アプライアンス上のルーティングを調べます。

特記事項: デスクトップにある README.txt ファイルには、実習ラボの演習に必要な CLI コマンドが含まれています。CLI コマンドを直接入力できない場合は、このファイルのコマンドをコピーして PuTTY セッションに貼り付けてください。「波括弧 - {1}」 の付いた番号が示されている場合、このモジュールに対応する CLI コマンドが README.txt ファイルに記載されています。


 

実習ラボの現在のトポロジー

 

新しいトポロジーでは、OSPF が境界ゲートウェイと分散ルーターとの間にルートを再配布しています。さらに、境界ゲートウェイから vPod ルーターへのノースバウンド リンクもあります。

 

 

境界ゲートウェイの OSPF ルーティングを確認

まず Web アプリケーションが機能していることを確認し、次に NSX Perimeter Gateway にログインして OSPF ネイバーを表示し、既存のルート配布を確認します。これにより、境界ゲートウェイが分散ルーターのみではなく実習ラボ全体で実行されている vPod ルーターからもルートを学習する方法がわかります。

 

 

3 層アプリケーションの機能を確認

 

  1. 新しいブラウザー タブを開きます。
  2. ブックマーク [Customer DB App] をクリックします。

 

 

CLI コマンドに関する特記事項

 

多くのモジュールで、コマンド ライン インターフェイス (CLI) コマンドを入力します。 CLI コマンドを実習ラボに送信するには 2 つの方法があります。

1 つ目は、次の手順で CLI コマンドを実習ラボのコンソールに送信する方法です。

  1. マニュアル内の CLI コマンドを強調表示し、 + キーを押してクリップボードにコピーします。
  2. コンソール メニューで [テキストの送信] をクリックします。
  3. + キーを押して、先ほどコピーした CLI コマンドをクリップボードからウィンドウに貼り付けます。
  4. [送信] ボタンをクリックします。

2 つ目は、テキスト ファイル (README.txt) を使用する方法です。実習ラボ環境のデスクトップに用意されているこのファイルを使用すれば、関連するユーティリティ (CMD、PuTTY、コンソールなど) で、複雑なコマンドやパスワードを簡単にコピーして貼り付けることができます。各国で使用されているさまざまなキーボードの中には、一部の文字が存在しないものがあります。 このテキスト ファイルは、こうした文字が存在しないキーボード レイアウトにも対応したものとなっています。

この README.txt ファイルはデスクトップにあります。 

 

 

BGP ルート配布の制御

状況によっては、仮想環境内にのみ BGP ルートを配布し、物理環境には配布したくない場合もあります。ルート配布は、NSX Edge インターフェイスから簡単に制御できます。

 

ECMP と高可用性


このセクションでは、境界ゲートウェイをもう 1 つネットワークに追加します。さらに、等コスト マルチパス ルーティング (ECMP) を使用して、エッジの容量を拡張し、可用性を高めます。NSX では、エッジ デバイスをその場で追加し、ECMP を有効にできます。

ECMP は、ネクスト ホップ パケットを複数の最適パス経由で 1 つの送信先に転送するためのルーティング方法です。この最適パスは、静的に追加することも、OSPF や BGP などのダイナミック ルーティング プロトコルによるメトリック計算の結果として追加することも可能です。Edge サービス ゲートウェイは Linux ネットワーク スタック実装、ランダム性コンポーネントを備えたラウンド ロビン アルゴリズムを利用します。特定の送信元と送信先の IP アドレスのペアに対してネクスト ホップを選択した後、ルート キャッシュに選択されたネクスト ホップが保存されます。そのフローのすべてのパケットは、選択されたネクスト ホップに向かいます。分散論理ルーターは XOR アルゴリズムを使用して、可能な ECMP ネクスト ホップのリストからネクスト ホップを決定します。このアルゴリズムでは、送信パケットの送信元および送信先の IP アドレスを、エントロピーのソースとして使用します。

ここで新しい境界ゲートウェイを構成し、分散論理ルーターの境界ゲートウェイとの間に ECMP クラスターを確立して、容量と可用性の向上のために利用します。1 台の境界ゲートウェイをシャット ダウンしてトラフィック パスの変化を観察することで、可用性をテストします。


 

vSphere Web Client で NSX へ移動

 

  1. [vSphere Web Client] ブラウザー タブをクリックします。
  2. [Home] アイコンをクリックします。
  3. [Networking & Security] をクリックします。

 

 

境界ゲートウェイ エッジを追加

 

境界ゲートウェイ NSX Edge をさらに追加しましょう。

  1. [NSX Edges] をクリックします。
  2. 緑色のプラス アイコンをクリックします。

 

 

新しいエッジ デバイスでルーティングを構成

 

ECMP を有効にする前に、Perimeter-Gateway-02 (NSX Edge) を構成する必要があります。

  1. [Perimeter-Gateway-02] をダブルクリックします。

 

 

ECMP を有効にする

 

分散論理ルーターと境界ゲートウェイの ECMP を有効にします。

  1. [NSX Edges] セクションに戻るまで [Back] ボタンをクリックします。

 

 

トポロジーの概要

 

この段階では、実習ラボのトポロジーは以下のようになっています。これには追加してルーティングを構成し、ECMP をオンにした、新しい境界ゲートウェイが含まれます。

 

 

分散ルーターから ECMP の機能を確認

 

ここで、分散ルーターにアクセスして、OSPF の通信と ECMP の機能を確認してみましょう。

  1. [Home] アイコンをクリックします。
  2. [VMs and Templates] をクリックします。

 

 

vPod ルーターから ECMP の機能を確認

 

注: ウィンドウからカーソルを解放するには、 + キーを押します。

次に、ネットワーク内の物理ルーターをシミュレートしている vPod ルーターから ECMP を見ていきます。

  1. タスクバーの PuTTY アイコンをクリックします。

 

 

Perimeter-Gateway-01 をシャットダウン

 

Perimeter-Gateway-01 をシャットダウンして、ノードがオフラインになった状態をシミュレートします。

[vSphere Web Client] ブラウザー タブに戻ります。

  1. [RegionA01] を展開します。
  2. [Perimeter-Gateway-01-0] を右クリックします。
  3. [Power] をクリックします。
  4. [Shut Down Guest OS] をクリックします。

 

 

ECMP の高可用性をテスト

 

環境で ECMP、BGP、OSPF を使用していると、特定のパスで障害が発生した場合にルートを動的に変更できます。次に、いずれかのパスがダウンして、ルートが再配布される状況をシミュレートします。

  1. タスクバーのコマンド プロンプトのアイコンをクリックします。

 

 

分散ルーター仮想マシン コンソールにアクセス

 

  1. [Distributed-01-0] ブラウザー タブをクリックします。

ブラウザー タブで仮想マシン コンソールが起動すると、ブラック スクリーンが表示されます。ブラック スクリーン内をクリックし、 キーを数回押すと、スクリーンセーバーが終了して仮想マシンが表示されます。

 

 

Perimeter-Gateway-01 のパワーオン

 

[vSphere Web Client] ブラウザー タブに戻ります。

  1. [RegionA01] を展開します。
  2. [Perimeter-Gateway-01-0] を右クリックします。
  3. [Power] をクリックします。
  4. [Power On] をクリックします。

 

 

ping テストに戻る

 

 

 

分散ルーター仮想マシン コンソールにアクセス

 

  1. [Distributed-01-0] ブラウザー タブをクリックします。

ブラウザー タブで仮想マシン コンソールが起動すると、ブラック スクリーンが表示されます。ブラック スクリーン内をクリックし、 キーを数回押すと、スクリーンセーバーが終了して仮想マシンが表示されます。

 

モジュール 3 に移る前に完了すべきクリーンアップ手順


モジュール 2 のあと、この実習ラボのほかのモジュールを引き続き実行する場合は、必ず次の手順に従ってください。この操作を行わないと、実習ラボは適切に機能しません。


 

2 番目の境界エッジ デバイスを削除

 

[vSphere Web Client] ブラウザー タブに戻ります。

  1. [Home] アイコンをクリックします。
  2. [Networking & Security] をクリックします。

 

 

DLR と Perimeter-Gateway-01 で ECMP を無効にする

 

  1. [Distributed-Router-01] をダブルクリックします。

 

モジュール 3 のまとめ


このモジュールでは、NSX 分散論理リーターと Edge サービス ゲートウェイのルーティング機能について説明しました。

  1. 論理スイッチを Edge サービス ゲートウェイ (ESG) から分散論理ルーター (DLR) に移行しました。
  2. ESG と DLR との間にダイナミック ルーティング プロトコルを構成しました。
  3. ESG の中央集中型ルーティング機能とダイナミック ルーティング ピアリング情報を確認します。
  4. 2 台目の ESG を導入して 2 つの ESG の間に等コスト マルチパス (ECMP) 経由でルート ピアリングを確立することにより、ESG のスケーラビリティと可用性のデモを行いました。
  5. ESG2 および ECMP ルート構成を削除しました。

 

モジュール 3 の終了

モジュール 3 はこれで終了です。

NSX についてさらに詳しく学びたい場合は、表示されている URL から NSX 6.3 ドキュメント センターをご確認ください。

次のモジュールのいずれかに進みます。

実習ラボのモジュール リスト:

実習ラボ責任者:

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

モジュール 4: Edge サービス ゲートウェイ (60 分)

NSX Edge サービス ゲートウェイの概要


NSX Edge は、仮想ネットワークを分離するために、ネットワーク エッジのセキュリティとゲートウェイ サービスを提供します。NSX Edge は論理 (分散) ルーターまたはサービス ゲートウェイのいずれかとしてインストールできます。

NSX Edge 分散論理ルーターは、テナント IP アドレス空間とデータ パス分離を備えた East-West 分散ルーティングを提供します。異なるサブネット上にある同一のホスト上に配置された仮想マシンまたはワークロードは、従来のルーティング インターフェイスを経由せずに相互通信できます。

NSX Edge Gateway は、DHCP、VPN、NAT、ダイナミック ルーティング、ロード バランシングなどの一般的なゲートウェイ サービスを提供することにより、共有 (アップリンク) ネットワークに分離したスタブ ネットワークを接続します。NSX Edge の一般的な展開には、DMZ、VPN、エクストラネット、そして NSX Edge が各テナントの仮想境界を作成するマルチテナント クラウド環境が含まれます。

このモジュールでは、次のことを行います。


ロード バランサー用 Edge サービス ゲートウェイの導入


NSX Edge サービス ゲートウェイでは、ロード バランシング機能を提供できます。ロード バランサーを使用することは、リソースをより効率的に使用するために有効です。例としては、ネットワーク スループットのより効率的な使用、アプリケーションの応答時間の短縮、拡張性などが含まれ、またサービス冗長性および可用性を保証する戦略の一環とすることもできます。

NSX Edge サービス ゲートウェイを利用して、TCP、UDP、HTTP、または HTTPS リクエストでロード バランシングを適用できます。Edge サービス ゲートウェイは Open Systems Interconnection (OSI) モデル レイヤー 7 にまでロード バランシングを提供できます。 

このセクションでは、新しい NSX Edge アプライアンスを導入して 「ワンアーム構成」 のロード バランサーとして構成します。


 

実験ラボの準備状況を確認

 

検証チェックにより、実習ラボのすべてのコンポーネントが正しく展開されていることを確認します。検証が完了するとステータスは緑色の [Ready] に更新されます。環境リソースの制約により、実習ラボの展開が失敗している可能性があります。

 

 

表示スペースの確保

 

押しピンをクリックすると、タスク ペインが折りたたまれ、メイン ペインの表示スペースが拡大します。左側のペインも折りたたむと、表示スペースがさらに広くなります。

 

 

vSphere Web Client の [Networking & Security] セクションに移動

 

  1. [Home] アイコンをクリックします。
  2. [Networking & Security] をクリックします。

 

 

新しい Edge サービス ゲートウェイを作成

 

このセクションでは、新しい Edge サービス ゲートウェイにワンアーム構成のロード バランシング サービスを構成します。新しい Edge サービス ゲートウェイ作成プロセスを開始するため、vSphere Web Client の [Networking & Security] セクションが表示されていることを確認します。

  1. [NSX Edges] をクリックします。
  2. 緑色の [+] アイコンをクリックします。

 

 

名前とタイプを設定

 

新しい NSX Edge サービス ゲートウェイで、次の構成オプションを設定します。

  1. [Name] に 「OneArm-LoadBalancer」 と入力します。
  2. [Next] をクリックします。

 

 

管理者アカウントの構成

 

  1. [Password] に 「VMware1!VMware1!」 と入力します。
  2. [Confirm Password] フィールドに 「VMware1!VMware1!」 と入力します。
  3. [Enable SSH access] をオンにします。
  4. [Next] をクリックします。

注: NSX エッジでは、12 文字の複雑なパスワードを使用する必要があります。

 

 

エッジ サイズと仮想マシンの配置を設定

 

Edge サービス ゲートウェイのアプライアンスには 4 種類のサイズがあります。仕様 (CPU の数、メモリー) は次のとおりです。

この新しい Edge サービス ゲートウェイではコンパクト サイズのエッジを選択しますが、こうした Edge サービス ゲートウェイは展開後により大きなサイズにアップグレードできることに注意してください。次の手順に従って、新しい Edge サービス ゲートウェイを作成します。

  1. 緑色の [+] アイコンをクリックします。[Add NSX Edge Appliances] ポップアップ ウィンドウが表示されます。

 

 

クラスター/データストアの配置

 

  1. [Cluster/Resource Pool] として [RegionA01-MGMT01] を選択します。
  2. [Datastore] として [RegionA01-ISCSI01-MGMT01] を選択します。
  3. [Host] として [esx-05a.corp.local] を選択します。
  4. [Folder] として [Discovered virtual machine] を選択します。
  5. [OK] をクリックします。

 

 

展開の構成

 

  1. [Next] をクリックします。

 

 

NSX Edge に新しいネットワーク インターフェイスを配置

 

これはワンアーム ロード バランサーであるため、単一のネットワーク インターフェイスのみが必要です。

  1. 緑色の [+] アイコンをクリックします。

 

 

NSX Edge の新しいネットワーク インターフェイスを構成

 

新しい NSX Edge の最初のネットワーク インターフェイスを構成します。 

  1. 「Name」 に 「WebNetwork」 と入力します。
  2. [Type] で [Internal] を選択します。
  3. [Select] をクリックします。

 

 

新しい Edge インターフェイスのネットワークを選択

 

このワンアーム ロード バランサー インターフェイスは、このエッジがロード バランシング サービスを提供する 2 台の Web サーバーと同じネットワーク上に存在する必要があります。

  1. [Logical Switch] をクリックします。
  2. [Web_Tier_Logical_Switch (5000)] を選択します。
  3. [OK] をクリックします。

 

 

サブネットの構成

 

  1. 緑色の [+] アイコンをクリックします。このインターフェイスの IP アドレスを構成します。

 

 

サブネット ポップアップの構成

 

このインターフェイスに新しい IP アドレスを追加するには、次の手順を実行します。

  1. [Primary IP Address] に 「172.16.10.10」 と入力します。
  2. [Subnet Prefix Length] として 「24」 を入力します。
  3. [OK] をクリックします。

 

 

インターフェイスのリストを確認

 

IP アドレスとサブネット プレフィックスの長さの情報が上図に示すとおりであることを確認します。

  1. [Next] をクリックします。

 

 

デフォルト ゲートウェイの構成

 

  1. [Gateway IP] に 「172.16.10.1」 と入力します。
  2. [Next] をクリックします。

 

 

ファイアウォールおよび高可用性のオプションを構成

 

  1. [Configure Firewall default policy] チェック ボックスをオンにします。
  2. [Default Traffic Policy] で [Accept] を選択します。
  3. [Next] をクリックします。

 

 

全体的な構成を確認して終了

 

  1. [Finish] をクリックします。これにより、導入が開始されます。

 

 

導入の進行状況を確認

 

NSX Edge の導入には数分間かかります。

  1. [NSX Edges] セクションには、OneArm-LoadBalancer の導入中に [1 Installing] と表示されます。
  2. OneArm-LoadBalancer の状態が [Busy] になっています。これは、展開中であることを意味します。
  3. vSphere Web Client の更新アイコンをクリックして、OneArm-LoadBalancer の導入状態を表示します。

OneArm-LoadBalancer の状態が [Deployed] になったら、次のステップに進みます。

 

ロード バランサーの Edge サービス ゲートウェイを構成


Edge サービス ゲートウェイが導入されたので、今度はロード バランシング サービスを構成します。


 

ロード バランサー サービスの構成

 

上図は、先に展開した NSX Edge サービス ゲートウェイによって提供されるロード バランサー サービスに対する最終的なトポロジーを示しています。まず、vSphere Web Client の Networking & Security プラグインの [NSX Edges] エリア内から、先に作成したエッジをダブルクリックすることによって、管理ページに移動します。

 

 

ワンアーム ロード バランサーのロード バランサー機能を構成

 

  1. [OneArm-LoadBalancer] をダブルクリックします。

 

 

[NSX Edge] に移動します。

 

  1. [Manage] をクリックします。
  2. [Load Balancer] をクリックします。
  3. [Global Configuration] をクリックします。
  4. ロード バランサーのグローバル構成を変更するため、[Edit] をクリックします。

 

 

ロード バランサーのグローバル構成を編集

 

ロード バランサー サービスを有効にする手順は次のとおりです。

  1. [Enable Load Balancer] チェック ボックスをオンにします。
  2. [OK] をクリックします。

 

 

新しいアプリケーション プロファイルを作成

 

アプリケーション プロファイルでは、一般的なタイプのネットワーク トラフィックの動作を定義します。これらのプロファイルは、アプリケーション プロファイルで指定された値に基づいてトラフィックを処理する仮想サーバー (VIP) に適用されます。 

プロファイルを利用することで、トラフィック管理タスクはエラーがより少なくなり、より効率的になります。 

  1. [Application Profiles] をクリックします。
  2. 緑色の [+] アイコンをクリックします。[New Profile] ポップアップ ウィンドウが開きます。

 

 

新しいアプリケーション プロファイルを HTTPS として構成

 

新しいアプリケーション プロファイルについて、次を構成します。

  1. [Name] に 「OneArmWeb-01」 と入力します。
  2. [Type] として [HTTPS] を選択します。
  3. [Enable SSL Passthrough] チェック ボックスをオンにします。これにより、HTTPS はプール サーバー上で終端します。
  4. [OK] をクリックします。

 

 

デフォルト HTTPS モニターの変更

 

モニターにより、仮想サーバーに対応するプール メンバーが機能していることを確認できます。デフォルト HTTPS モニターは、「/」 で 「GET」 を実行します。アプリケーション固有の URL で健全性チェックを実行するように、デフォルト モニターを変更します。これにより、プール メンバーのサーバーだけでなく、アプリケーションも機能しているかどうかを判断できます。

  1. [Service Monitoring] をクリックします。
  2. [monitor-3 (default_https_monitor)] をクリックします。
  3. 鉛筆アイコンをクリックします。
  4. [URL] に 「/cgi-bin/app.py」 と入力します。
  5. [OK] をクリックします。

 

 

新しいプールを作成

 

プールのサーバー グループは、トラフィックのロード バランシングの対象となるノードを表すエンティティです。新しいプールに、2 台の Web サーバー web-01a および web-02a を追加します。新しいプールを作成する手順は次のとおりです。

  1. [Pools] をクリックします。
  2. 緑色の [+] アイコンをクリックします。[New Pool] ポップアップ ウィンドウが開きます。

 

 

新しいプールを構成

 

この新しいプールの設定では、次の構成を行います。

  1. [Name] に 「Web-Tier-Pool-01」 と入力します。
  2. [Monitors] として [default_https_monitor] を選択します。
  3. 緑色の [+] アイコンをクリックします。

 

 

プールにメンバーを追加

 

  1. 「Name」 に 「web-01a」 と入力します。
  2. [IP Address / VC Container] に 「172.16.10.11」 と入力します。
  3. [Port] に 「443」 と入力します。
  4. [Monitor Port] に 「443」 と入力します。
  5. [OK] をクリックします。

上記のプロセスを繰り返して、次の情報を使用してもう 1 台のプール メンバーを追加します。

 

 

プールの設定を保存

 

  1. [OK] をクリックします。

 

 

新しい仮想サーバーを作成

 

仮想サーバーは、ロード バランシング サービス構成の 「フロント エンド」 からトラフィックを受け入れるエンティティです。ユーザー トラフィックは、仮想サーバーに対応する IP アドレスに向かった後、ロード バランサーの 「バックエンド」 のノードに再分散されます。Edge サービス ゲートウェイに新しい仮想サーバーを作成する手順は次のとおりです。

  1. [Virtual Servers] をクリックします。
  2. 緑色の [+] アイコンをクリックします。[New Virtual Server] ポップアップ ウィンドウが開きます。

 

 

新しい仮想サーバーを構成

 

この新しい仮想サーバーで次のオプションを構成します。

  1. [Name] に 「Web-Tier-VIP-01」 と入力します。
  2. [IP Address] に 「172.16.10.10」 と入力します。
  3. [Protocol] として [HTTPS] を選択します。
  4. [Web-Tier-Pool-01] を選択します。
  5. [OK] をクリックします。

 

Edge サービス ゲートウェイ ロード バランサー: 構成の検証


ロード バランシング サービスを構成したので、構成を検証します。


 

仮想サーバーへのアクセスをテスト

 

  1. 新しいブラウザー タブを開きます。
  2. ブックマーク [1-Arm LB Customer DB] をクリックします。
  3. [Advanced] をクリックします。

 

 

SSL エラーを無視

 

  1. [Proceed to 172.16.10.10 (unsafe)] をクリックします。

 

 

仮想サーバーへのアクセスをテスト

 

ワンアーム ロード バランサーの構成が正しければ、アクセスが成功します。

  1. 更新アイコンをクリックします。プール内の 2 台のプール メンバーでラウンド ロビンが実行されることを確認できます。

注: ブラウザー キャッシュ外でブラウザーを更新するには、数回クリックしなければならない場合があります。 

 

 

プールの統計情報を表示

 

[vSphere Web Client] ブラウザー タブに戻ります。

プールの各メンバーのステータスを確認する手順は次のとおりです。

  1. [Pools] をクリックします。
  2. [Show Pool Statistics] をクリックします。
  3. [pool-1] をクリックします。各メンバーの現在のステータスが表示されます。
  4. [X] をクリックしてウィンドウを閉じます。

 

 

モニター (健全性チェック) の応答を強化

 

トラブルシューティングを支援するため、NSX ロード バランサーの 「show ...pool」 コマンドは、プールのメンバーの障害に関する解説情報を表示します。2 種類の障害を作成し、ロード バランサー Edge Gateway に show コマンドを使用して応答を調べます。

  1. 検索ボックスに 「LoadBalancer」 と入力します。検索ボックスは vSphere Web Client の右上隅にあります。
  2. [OneArm-LoadBalancer-0] をクリックします。

 

 

ロード バランサー コンソールを開く

 

  1. [Summary] をクリックします。
  2. [VM console] をクリックします。

 

 

OneArm-LoadBalancer-0へのログイン

 

  1. [admin] としてログインします。
  2. パスワードとして 「VMware1!VMware1!」 と入力します。

 

 

CLI コマンドに関する特記事項

 

多くのモジュールで、コマンド ライン インターフェイス (CLI) コマンドを入力します。CLI コマンドを実習ラボに送信するには 2 つの方法があります。

1 つ目は、次の手順で CLI コマンドを実習ラボのコンソールに送信する方法です。

  1. マニュアル内の CLI コマンドを強調表示し、 + キーを押してクリップボードにコピーします。
  2. コンソール メニューで [テキストの送信] をクリックします。
  3. + キーを押して、クリップボードからウィンドウに貼り付けます。
  4. [送信] ボタンをクリックします。

2 つ目は、テキスト ファイル (README.txt) を使用する方法です。実習ラボ環境のデスクトップに用意されているこのファイルには、この環境のすべてのユーザー アカウントとパスワードがあります。

 

 

障害前のプールのステータスを確認

 

  1. 「show service loadbalancer pool」 と入力します。
show service loadbalancer pool

注: プールのメンバー web-01a と web-02a のステータスは [UP] と表示されます。

 

 

PuTTY の起動

 

  1. タスクバーの PuTTY をクリックします。

 

 

web-01a.corp.local に SSH 接続する

 

  1. [web-01a.corp.local] まで下にスクロールします。
  2. [web-01a.corp.local] を選択します。
  3. [Load] をクリックします。
  4. [Open] をクリックします。

 

 

Nginx サービスを停止

 

HTTPS をシャットダウンして最初の障害条件をシミュレーションします。

  1. 「systemctl stop nginx」 と入力します。
systemctl stop nginx

 

 

ロード バランサーのコンソール

 

  1. 「show service loadbalancer pool」 と入力します。
show service loadbalancer pool

サービスはダウンしているため、クライアントが SSL セッションを確立できないことが障害詳細に示されます。

 

 

Nginx サービスを開始

 

web-01a の PuTTY SSH セッションに戻ります。

1. 「systemctl start nginx」 と入力します。

systemctl start nginx

 

 

web-01a のシャットダウン

 

[vSphere Web Client] ブラウザー タブに戻ります。

  1. 検索ボックスに 「web-01a」 と入力します。検索ボックスは vSphere Web Client の右上隅にあります。
  2. [web-01a] をリックします。

 

 

web-01a のパワーオフ

 

  1. [Actions] をクリックします。
  2. [Power] をクリックします。
  3. [Power Off] をクリックします。
  4. [Yes] をクリックします。

 

 

プールのステータスを確認

 

  1. 「show service loadbalancer pool」 と入力します。
show service loadbalancer pool

現在、仮想マシンはダウンしているため、前の手順の L7 (SSL) 接続の場合とは異なり、クライアントが L4 接続を確立できないことが障害詳細に示されます。

 

 

web-01a のパワーオン

 

[vSphere Web Client] ブラウザー タブに戻ります。

  1. [Actions] をクリックします。
  2. [Power] をクリックします。
  3. [Power On] をクリックします。

 

 

まとめ

この実習ラボでは、新しい Edge サービス ゲートウェイを構成して、1-Arm LB Customer DB アプリケーションのロード バランシング サービスを有効にしました。

これで Edge サービス ゲートウェイのロード バランサーのレッスンは終了です。次は、Edge サービス ゲートウェイ ファイアウォールについて、より詳しく学びます。

 

Edge サービス ゲートウェイ ファイアウォール


NSX Edge ファイアウォールは North-South トラフィックの監視を通じて、ファイアウォール、ネットワーク アドレス変換 (NAT)、サイト間 IPSec および SSL VPN 機能などの境界セキュリティ機能を提供します。ファイアウォール設定は、ユーザー定義のファイアウォール ルールに一致しないトラフィックに適用されます。デフォルトの Edge ファイアウォール ポリシーは、すべての受信トラフィックをブロックします。


 

NSX Edge ファイアウォール ルールの操作

NSX Edge にアクセスして、適用されるファイアウォール ルールを表示できます。論理ルーターに適用されるファイアウォール ルールは、論理ルーター制御仮想マシンとの間の制御プレーン トラフィックのみを保護します。データ プレーンの保護は適用しません。データ プレーンのトラフィックを保護するには、East-West 保護の論理ファイアウォール ルールまたは North-South 保護の NSX Edge サービス ゲートウェイ レベルのルールを作成します。

ファイアウォール ユーザー インターフェイス上に作成され、この NSX Edge に適用されるルールは、読み取り専用モードで表示されます。ルールは次の順序で表示および適用されます。

  1. ファイアウォール ユーザー インターフェイスからのユーザー定義ルール (読み取り専用)
  2. 自動接続ルール (Edge サービスの制御トラフィックを流せるルール)
  3. NSX Edge ファイアウォール ユーザー インターフェイスのユーザー定義ルール
  4. デフォルト ルール

 

 

[Networking & Security] を開く

 

  1. [Home] アイコンをクリックします。
  2. [Networking & Security] をクリックします。

 

 

NSX Edge を開く

 

  1. [NSX Edges] をクリックします。
  2. [Perimeter-Gateway-01] をダブルクリックします。

 

 

[Manage] タブを開く

 

  1. [Manage] をクリックします。
  2. [Firewall] をクリックします。
  3. [Default Rule] をクリックします。
  4. [Action] 列にある [+] アイコンをクリックします。
  5. [Action] で [Deny] をクリックします。

 

 

変更の発行

 

Edge サービス ゲートウェイ ファイアウォール設定に恒久的な変更は行いません。

  1. [Revert] をクリックして変更をロールバックします。

 

 

Edge サービス ゲートウェイのファイアウォール ルールを追加

 

既存の Edge サービス ゲートウェイ ファイアウォールの編集に慣れたところで、コントロール センターによるお客様 DB アプリケーションへのアクセスをブロックする、新しい Edge ファイアウォール ルールを追加します。

  1. 新しいファイアウォール ルールを追加するため、緑色の [+] アイコンをクリックます。
  2. [Name] 列の右上にカーソルを合わせ、[+] アイコンをクリックします。
  3. [Rule Name] に 「Main Console FW Rule」 と入力します。
  4. [OK] をクリックします。

 

 

ソースの指定

 

[Source] 列の右上にカーソルを合わせ、鉛筆アイコンをクリックします。

  1. [Object Type] ドロップダウン メニューをクリックして [IP Sets] を選択します。
  2. [New IP Set...] ハイパーリンクをクリックします。
  3. [Name] に 「Main Console」 と入力します。
  4. [IP Address] に 「192.168.110.10」 と入力します。
  5. [OK] をクリックします。

 

 

ソースの確認

 

  1. [Selected Objects] に [Main Console] が追加されていることを確認します。
  2. [OK] をクリックします。

 

 

送信先の指定

 

[Destination] 列の右上にカーソルを合わせ、鉛筆アイコンをクリックします。

  1. [Object Type] ドロップダウン メニューをクリックして [Logical Switch] を選択します。
  2. [Web_Tier_Logical_Switch] をクリックします。
  3. 右矢印をクリックします。[Web_Tier_Logical_Switch] が [Selected Objects] に移動します。
  4. [OK] をクリックします。

 

 

アクションの構成

 

  1. [Action] 列にある [+] アイコンをクリックします。
  2. [Action] で [Deny] をクリックします。
  3. [OK] をクリックします。

 

 

変更の発行

 

  1. [Publish Changes] をクリックして、Perimeter-Gateway-01 (NSX Edge) 上の構成を更新します。

 

 

新しいファイアウォール (FW) ルールをテスト

 

コントロール センターが Web 層の論理スイッチにアクセスするのをブロックする新しい FW ルールを構成したので、簡単にテストを行いましょう。

  1. 新しいブラウザー タブを開きます。
  2. ブックマーク [Customer DB App] をクリックします。

[Main Console] が [Customer DB App] にアクセスできないことを確認します。 Web サイトにアクセスできないことを示すブラウザー ページが表示されます。今度は FW ルールを変更して、[Main Console] が [Customer DB App] にアクセスできるようにしましょう。

 

 

Main Console FW ルールを承諾に変更

 

[vSphere Web Client] ブラウザー タブに戻ります。

  1. Console FW ルールの [Action] 列の右上にある [+] アイコンをクリックします。
  2. [Action] の下の [Accept] ボタンをクリックします。
  3. [OK] をクリックします。

 

 

 

変更の発行

 

  1. [Publish Changes] をクリックして、Perimeter-Gateway-01 (NSX Edge) 上の構成を更新します。

 

 

Customer DB App へのアクセスを確認

 

[Customer DB App] ブラウザー タブに戻ります。

  1. 更新アイコンをクリックします。

[Main Console FW] ルールが承諾に変更されたため、[Main Console] が [Customer DB App] にアクセスできるようになりました。

 

 

Main Console FW ルールの削除

 

  1. [Main Console FW Rule] をクリックします。
  2. 赤色の [X] マークをクリックしてファイアウォール ルールを削除します。
  3. [OK] をクリックします。

 

 

変更の発行

 

  1. [Publish Changes] をクリックして、Perimeter-Gateway-01 (NSX Edge) 上の構成を更新します。

 

 

まとめ

この実習ラボでは、既存の Edge サービス ゲートウェイ ファイアウォール ルールを変更して、Customer DB App への外部アクセスをブロックする新しい Edge サービス ゲートウェイ ファイアウォール ルールを構成することを学びました。

これで Edge サービス ゲートウェイ ファイアウォールのレッスンは終了です。次は、Edge サービス ゲートウェイ が管理する DHCP サービスについて、より詳しく学びます。

 

DHCP リレー


単一のネットワーク セグメントのみのネットワークでは、DHCP クライアントは DHCP サーバーと直接通信できます。DHCP サーバーは、複数のネットワークに対して、自身と同じセグメントにない場合でも IP アドレスを提供することもできます。ただし、自身の IP 範囲外の IP アドレスを提供する場合、これらのクライアントと直接通信することはできません。これは、ルーティング可能な IP アドレスまたは認識しているゲートウェイが、クライアントにないためです。

このような状況では、DHCP クライアントから受信したブロードキャストをユニキャストで DHCP サーバーに送信することによって中継するために、DHCP リレー エージェントが必要です。DHCP サーバーは、ユニキャストを受信する範囲に基づいて DHCP スコープを選択し、エージェントのアドレスに戻します。これは次に、クライアントの元のネットワークにブロードキャストされます。

この実習ラボで取り上げる分野

この実習ラボでは、次の項目は事前に設定されています。


 

実習ラボのトポロジー

 

この図は、この実習ラボ モジュールで作成して使用する最終的なトポロジーを示しています。

 

 

vSphere Web Client 経由で NSX にアクセス

 

  1. [Home] アイコンをクリックします。
  2. [Networking & Security] をクリックします。

 

 

新しい論理スイッチを作成

 

最初に、新しい 172.16.50.0/24 ネットワークを実行する、新しい論理スイッチを作成する必要があります。

  1. [Logical Switches] をクリックします。
  2. 新しい論理スイッチを作成するため、緑色の [+] アイコンをクリックします。

 

 

論理スイッチを境界ゲートウェイに接続

 

論理スイッチを境界ゲートウェイのインターフェイスに接続します。このインターフェイスはアドレスが 172.16.50.1 で、172.16.50.0/24 ネットワークのデフォルト ゲートウェイになります。

  1. [NSX Edges] をクリックします。
  2. [Perimeter-Gateway-01] をダブルクリックします。

 

 

DHCP リレーの構成

 

境界ゲートウェイにいるため、DHCP リレーのグローバル構成が必要です。

  1. [Manage] をクリックします。
  2. [DHCP] をクリックします。
  3. [Relay] をクリックします。
  4. [Edit] をクリックします。

 

 

PXE ブート用の空の仮想マシンを作成

 

今度は、中継先の DHCP サーバーから PXE ブートする空の仮想マシンを作成します。

  1. [Home] アイコンをクリックします。
  2. [Hosts and Clusters] をクリックします。

 

 

新しく作成した仮想マシンにアクセス

 

次に、この仮想マシンへのコンソールを開いて PXE イメージからブートする様子を観察します。この情報は、前に構成したリモート DHCP サーバーから受信します。

  1. [PXE VM] をクリックします。
  2. [Summary] をクリックします。
  3. [VM console] をクリックします。

 

 

DHCP リースの確認

 

仮想マシンがブートするのを待つ間に、DHCP リースで使用されるアドレスを確認できます。

  1. メイン コンソールのデスクトップに移動し、[DHCP] アイコンをダブルクリックします。

 

 

ブートした仮想マシンにアクセス

 

  1. [PXE VM] ブラウザー タブをクリックします。

 

 

アドレスと接続性を確認

 

仮想マシンの右上のウィジェットに、仮想マシンの IP とともに統計が表示されます。これは前に DHCP に表示された IP と一致するはずです。

 

 

まとめ

このセクションでは、新しいネットワーク セグメントを作成し、そのネットワークからの DHCP 要求を外部の DHCP サーバーに中継しました。そうすることで、この外部 DHCP サーバーのブート オプションにもアクセスでき、Linux OS に PXE できました。

次は、Edge サービス ゲートウェイ が管理する L2VPN サービスについて、より詳しく学びます。

 

L2VPN の構成


このセクションでは、NSX Edge Gateway の L2VPN 機能を活用して、2 つの独立した vSphere クラスター間の L2 境界を拡張します。この機能をデモンストレーションするため、NSX Edge L2VPN サーバーを RegionA01-MGMT01 クラスター、NSX Edge L2VPN クライアントを RegionA01-COMP01 クラスターに導入し、最後にトンネル ステータスをテストして構成が成功したことを確認します。


 

Google Chrome を開いて vSphere Web Client にアクセス

 

  1. Google Chrome Web ブラウザーをデスクトップから開きます (まだ開いていない場合)。

 

 

vSphere Web Client の [Networking & Security] セクションに移動します。

 

  1. [Home] アイコンをクリックします。
  2. [Networking & Security] をクリックします。

 

 

L2VPN サーバー用の NSX Edge Gateway を作成

 

L2VPN サーバー サービスを作成するには、まず、そのサービスを実行する NSX Edge Gateway を導入する必要があります。 

  1. [NSX Edges] をクリックします。
  2. 緑色の [+] アイコンをクリックします。

 

 

新しい NSX Edge Gateway の構成: L2VPN-Server

 

New NSX Edge ウィザードが開き、最初のセクション [Name and Description] が表示されます。次の番号に対応する次の値を入力します。その他のフィールドは空白またはデフォルト値のままにします。

  1. [Name] に 「L2VPN-Server」 と入力します。
  2. [Next] をクリックします。

 

 

新しい NSX Edge Gateway の構成を設定: L2VPN-Server

 

  1. [Password] に 「VMware1!VMware1!」 と入力します。
  2. [Confirm password] に 「VMware1!VMware1!」 と入力します。
  3. [Enable SSH access] をオンにします。
  4. [Next] をクリックします。

 

 

L2VPN-Server NSX Edge の L2VPN 接続の準備

新しく導入した NSX Edge の L2VPN 接続を構成する前に、次の準備手順を完了する必要があります。

  1. L2VPN-Server Edge Gateway にトランク インターフェイスを追加する。
  2. L2VPN-Server Edge Gateway にサブ インターフェイスを追加する。
  3. L2VPN-Server Edge Gateway にダイナミック ルーティング (OSPF) を構成する。

 

 

この NSX Edge のルーター ID を設定

 

次に、この Edge Gateway にダイナミック ルーティングを構成します。

  1. [Routing] をクリックします。
  2. [Global Configuration] をクリックします。
  3. [Edit] をクリックして [Dynamic Routing Configuration] を変更します。

 

 

L2VPN-Server NSX Edge の OSPF を構成

 

  1. [OSPF] をクリックします。
  2. [Area to Interface Mapping] の緑色の [+] アイコンをクリックします。

 

 

OSPF ルート再配布を有効化

 

  1. [Route Redistribution] をクリックします。
  2. ルート再配布状態を変更するため、[Edit] をクリックします。
  3. [OSPF] チェック ボックスをオンにします。
  4. [OK] をクリックします。

 

 

L2VPN-Server NSX Edge の L2VPN を構成

172.16.10.1 アドレスは L2VPN-Server Edge Gateway に所属し、ルートは OSPF 経由で動的に分散されます。次に、Edge が L2VPN 内で 「サーバー」 として機能するように、この Edge Gateway に L2VPN サービスを構成します。

 

 

L2VPN-Client NSX Edge Gateway の導入

サーバー側の L2VPN を構成したので、今度は新しい NSX Edge Gateway を導入して L2 VPN クライアントとして機能するようにします。NSX Edge Gateway L2VPN クライアントを導入する前に、分散仮想スイッチ上に、アップリンクおよびトランクの分散ポート グループを構成する必要があります。

 

 

L2VPN-Client NSX Edge Gateway の構成

 

  1. [L2VPN-Client] をダブルクリックします。

 

ネイティブ ブリッジ


NSX では、カーネル内ソフトウェア L2 ブリッジ機能を利用して、従来のワークロードとレガシー VLAN を、VXLAN を使用して仮想化ネットワークをシームレスに接続できます。L2 ブリッジは、論理ネットワークの導入や、仮想マシンへの L2 接続性を必要とする物理システムに関するその他のシナリオを簡素化するために、既存環境で広く使用されています。

論理ルーターは、NSX 内の論理ネットワーク空間から、VLAN を利用する物理ネットワークへの L2 ブリッジを実現できます。これにより、論理スイッチと VLAN との間に L2 ブリッジを作成でき、IP アドレスに影響を与えずに、仮想ワークロードを物理デバイスに移行できます。論理ネットワークは、論理スイッチのブロードキャスト ドメインから VLAN ブロードキャスト ドメインにブリッジを作成することによって、物理 L3 ゲートウェイを利用して既存の物理ネットワークとセキュリティ リソースにアクセスできます。NSX-V 6.2 以降では、ブリッジ接続された論理スイッチを分散論理ルーターに接続できるため、この機能が強化されています。この操作は、NSX の以前のバージョンでは許可されていませんでした。

このモジュールでは、従来の VLAN と NSX 論理スイッチとの間の L2 ブリッジインスタンスを構成する方法を学びます。


 

はじめに

 

上の図は、NSX 6.2 以降の L2 ブリッジの強化を示しています。

新しくサポートされた NSX の L2 ブリッジを構成します。

 

 

CLI コマンドに関する特記事項

 

多くのモジュールで、コマンド ライン インターフェイス (CLI) コマンドを入力します。 CLI コマンドを実習ラボに送信するには 2 つの方法があります。

1 つ目は、次の手順で CLI コマンドを実習ラボのコンソールに送信する方法です。

  1. マニュアル内の CLI コマンドを強調表示し、 + キーを押してクリップボードにコピーします。
  2. コンソール メニューで [テキストの送信] をクリックします。
  3. + キーを押して、クリップボードからウィンドウに貼り付けます。
  4. [送信] ボタンをクリックします。

2 つ目は、テキスト ファイル (README.txt) を使用する方法です。実習ラボ環境のデスクトップに用意されているこのファイルを使用すれば、関連するユーティリティ (CMD、PuTTY、コンソールなど) で、複雑なコマンドやパスワードを簡単にコピーして貼り付けることができます。各国で使用されているさまざまなキーボードの中には、一部の文字が存在しないものがあります。このテキスト ファイルは、こうした文字が存在しないキーボード レイアウトにも対応したものとなっています。

この README.txt ファイルはデスクトップにあります。 

 

 

vSphere Web Client へのアクセス

 

 

 

初期構成の確認

 

初期構成が上図に示すとおりであることを確認します。この環境には Management & Edge クラスター上に 「Bridged-Net-RegionA0-vDS-MGMT」 という名前のポート グループがあります。「web-01a」 と 「web-02a」 という名前の Web サーバーの仮想マシンは、Web-Tier-01 論理スイッチに接続されています。Web-Tier-01 論理スイッチは Bridged-Net から分離されています。

 

 

Web-01a を RegionA01-MGMT01 クラスターへ移行

 

  1. [Home] アイコンをクリックします。
  2. [VMs and Templates] をクリックします。

 

 

接続された仮想マシンを表示

 

  1. [Home] アイコンをクリックします。
  2. [Networking] をクリックします。

 

 

Web_Tier_Logical_Switch を分散ルータに移行

 

  1. [Home] アイコンをクリックします。
  2. [Network & Security] をクリックします。

 

 

NSX L2 ブリッジの構成

 

VLAN 101 と Web-Tier-01 論理スイッチとの間の NSX L2 ブリッジを有効にして、web-01a.corp.local がネットワークのほかの部分と通信できるようにします。 NSX-V 6.2 以降では、L2 ブリッジと分散論理ルーターを同じ論理スイッチに接続できます。これによって既存環境の NSX の統合とレガシーから仮想ネットワークへの移行が簡潔になるため、重要な機能拡張です。

 

 

L2 ブリッジの確認

NSX L2 ブリッジを構成できました。今度は、VLAN 101 に接続された 「web-01a」 仮想マシン と 「Web-Tier-01」 論理スイッチに接続されたマシンとの L2 接続性を確認します。

 

 

L2 ブリッジ モジュールのクリーンアップ

このハンズオン ラボの別のモジュールに進む場合は、必ず次の手順に従って、L2 ブリッジを無効にしてください。この環境で実現されたサンプルの構成が、L2VPN など、別のセクションと衝突する可能性があるためです。

 

 

Web-01a の RegionA01-COMP01 クラスターへの移行

 

  1. [Home] アイコンをクリックします。
  2. [VMs and Templates] をクリックします。

 

モジュール 4 のまとめ


このモジュールでは、NSX Edge サービス ゲートウェイの高度な機能を取り上げました。

  1. 新しい Edge サービス ゲートウェイ (ESG) を導入して 「ワンアーム構成」 のロード バランサーとして構成しました。
  2. 既存の ESG のファイアウォール ルールを変更して作成しました。
  3. ESG から DCHP リレーを構成しました。
  4. ESG から L2VPN を構成しました。

 

モジュール 4 の終了

モジュール 4 はこれで終了です。

NSX についてさらに詳しく学びたい場合は、表示されている URL から NSX 6.3 ドキュメント センターをご確認ください。

次のモジュールのいずれかに進みます。

実習ラボのモジュール リスト:

実習ラボ責任者:

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: hol-1803-01-net

Version: 20171101-151210