VMware ハンズオン ラボ - HOL-1903-01-NET


実習ラボの概要:HOL-1903-01-NET:VMware NSX Data Center の導入

実習ラボのガイダンス


注意:この実習ラボの所要時間は 90 分以上を想定しています。1 回のラボ時間あたり 2 ~ 3 モジュールを目安に学習してください。モジュールは相互に独立しているため、どのモジュールから開始することも、どの順序で実施することもできます。各モジュールには、目次から直接移動できます。

目次を表示するには、実習ラボ マニュアルの右上の [目次] をクリックします。

NSX Data Center for vSphere は、VMware が提供する Software-Defined Data Center(SDDC)向けのネットワーク仮想化プラットフォームです。基盤となる物理インフラストラクチャからネットワーク機能とセキュリティ機能を完全に抽象化し、ソフトウェアで再現します。

この実習ラボでは、vSphere 環境における VMware NSX Data Center の主要機能を紹介します。論理スイッチ、分散論理ルーティング、ダイナミック ルーティング、論理ネットワーク サービスの動作や構成を実際に体験することができます。

実習ラボのモジュール リスト: 

実習ラボ責任者:

  • モジュール 1 ~ 4:NSX システム エンジニア スタッフ(米国)、ジョー・コロン(Joe Collon)

この実習ラボ マニュアルは、次のハンズオン ラボ ドキュメント サイトからダウンロードできます。

http://docs.hol.vmware.com

一部の実習ラボは、英語以外の言語でも提供されています。ご自身の言語に設定し、ローカライズされたマニュアルを実習ラボで利用する手順については、こちらのドキュメントをご確認ください。

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

メイン コンソールの表示位置

 

  1. 赤く囲われた領域に [Main Console] があります。実習ラボ マニュアルは、メイン コンソールの右側のタブに表示されます。
  2. 実習ラボによっては、左上のタブに別のコンソールが用意されていることがあります。その場合は、実習ラボ マニュアルの説明に従って、指定されたコンソールを開いてください。
  3. この実習ラボでは、開始時に 90 分のタイマーが表示されます。実習ラボで行った作業は保存できません。実習ラボを開始したら、そのセッション内ですべての作業を完了してください。必要であれば、[延長] をクリックして時間を延長できます。VMware イベントでご使用の場合は、実習ラボの時間を 2 回まで、最大 30 分延長できます。[延長] を 1 回クリックすると、時間が 15 分間延長されます。VMware イベント以外でご使用の場合は、実習ラボの時間を最大 9 時間 30 分延長できます。[延長] を 1 回クリックするたびに、時間が 1 時間延長されます。

 

 

キーボード以外の方法によるデータ入力

このモジュールでは、メイン コンソールでテキストを入力します。複雑なデータを入力する場合、キーボードから直接入力する以外に、次の 2 つの方法があります。

 

 

クリック アンド ドラッグによるコピー

 
 

実習ラボ マニュアルに記載されているテキストやコマンド ライン インターフェイス (CLI) のコマンドをクリック (選択) し、メイン コンソールのアクティブ ウィンドウまで直接ドラッグできます。 

 

 

オンラインの国際キーボードを使用する

 

キーボード配列によっては、特定の文字や記号が入力しにくいことがあります。そのような場合、メイン コンソールに、オンラインの国際キーボードを表示して使用すると便利です。

  1. 国際キーボードを表示するには、Windows のクイック起動タスク バーで、キーボードのアイコンをクリックします。

 

 

アクティブなコンソール ウィンドウをクリック

 

この例では、E メール アドレスで使用される 「@」 記号をオンライン キーボードから入力します。US 配列のキーボードで 「@」 記号を入力するには、 + <2> キーを押します。

  1. アクティブなコンソール ウィンドウを 1 回クリックします。
  2. キーをクリックします。

 

 

<@> キーをクリック

 

  1. キーをクリックします。

アクティブなコンソール ウィンドウに 「@」 記号が入力されました。

 

 

Windows アクティベーションに関するウォーターマーク

 

実習ラボを初めて開始すると、Windows のライセンス認証が完了していないことを知らせるウォーターマーク (透かし) がデスクトップに表示される場合があります。 

仮想化の大きなメリットの 1 つが、仮想マシンを移動して任意のプラットフォームで実行できることです。ハンズオン ラボも、このメリットを活用して複数のデータセンターから実行できるようになっています。ただし、こうしたデータセンターは必ずしも同じタイプのプロセッサーを使用しているとは限りません。そのため、インターネットを介して Microsoft のアクティベーション チェックが行われます。

VMware とハンズオン ラボは Microsoft 社のライセンス要件に完全に準拠しているので、安心してご利用ください。この実習ラボは自己完結型ポッドであり、Windows のアクティベーション チェックに必要なインターネットへのフル アクセス権限がありません。インターネットへのフル アクセス権限がないと、この自動プロセスは失敗し、このウォーターマークが表示されます。

これは表面上の問題であり、実習ラボには影響しません。 

 

 

画面右下でラボの準備完了を確認

 

画面の右下の [Lab Status] にラボの準備状況が表示されます。表示が [Ready] になってから、学習を開始してください。[Ready] になるまで数分間かかります。5 分経過しても [Ready] にならない場合は、サポートにお問い合わせください。

 

 

vmware-cip-launcher.exe を実行

 

状況によっては、実習ラボの Chrome 設定がデフォルト値にリセットされることがあります。その場合、この図のようなダイアログ ボックスが表示されます。次の手順に従い、vSphere Web Client(Flash)で vmware-cip-launcher.exe を実行してください。

  1. [Always open these types of links in the associated app] チェックボックスをオンにします。
  2. [Open vmware-cip-launcher.exe] をクリックします。

あとは、通常どおりに実習を進めてください。

 

 

vSphere Web Client で [Recent Tasks] と [Recent Objects] を最小化

 

ハンズオン ラボ デスクトップは画面解像度に制約があるため、実習中、NSX ユーザー インターフェイスの一部が適切に表示されなかったり、見えなかったりする場合があります。画面スペースを有効に利用するため、vSphere Web Client(Flash)で [Recent Objects] パネルと [Recent Tasks] パネルを最小化することをおすすめします。手順は次のとおりです。

  1. [Recent Objects] パネルの右上にある画鋲アイコンをクリックします。
  2. [Recent Tasks] パネルの右上にある画鋲アイコンをクリックします。

 

モジュール 1:NSX Manager のインストールと構成(15 分)

はじめに


VMware NSX Data Center は業界をリードするネットワーク仮想化プラットフォームであり、仮想マシンの運用モデルをネットワークに適用することでネットワークの仮想化を実現します。サーバ仮想化によりサーバ ハードウェアのプール上で稼動する仮想マシンを柔軟に制御できるのと同様、NSX Data Center を使用してネットワークを仮想化すれば、統合 API を介して、単一の物理ネットワーク上で稼動する仮想ネットワーク サービスをプロビジョニングおよび構成できます。

論理ネットワークを使用すると、仮想マシンの接続とネットワーク サービスが物理ネットワークから切り離されるため、レイヤー 2 とレイヤー 3 の接続およびレイヤー 4 ~ 7 のネットワーク サービスをサポートしつつ、データセンター内のどこにでも仮想マシンを配置または移行できます。

このモジュールでは対話型シミュレーションを使用し、実際の環境に NSX Data Center を導入する方法を学習します。ラボ環境内には、実際の導入はすでに完了しています。。

対話型シミュレーションでは次の方法を説明します。


 

NSX のコンポーネント

 

クラウド管理プラットフォーム(CMP)は NSX のコンポーネントではありませんが、NSX は VMware の CMP とのネイティブな連携はもとより、REST API を使用することで、ほぼすべての CMP と連携できます。

NSX の主要コンポーネントは 3 つのカテゴリに分けられます。

管理プレーン:NSX 管理プレーンは、NSX の一元的なネットワーク管理コンポーネントである NSX Manager で構成されます。NSX Manager ではすべての NSX コンポーネントを設定でき、REST API のエントリ ポイントを提供します。

制御プレーン:NSX 制御プレーンは NSX Controller クラスタで機能します。NSX Controller は、NSX の論理スイッチ機能およびルーティング機能の制御プレーンとして機能する高度な分散型状態管理システムです。ネットワーク内のすべての論理スイッチを一箇所で制御し、すべてのホスト、論理スイッチ(VXLAN)、および分散論理ルータに関する情報を保持します。

データ プレーン:NSX データ プレーンは NSX 仮想スイッチで構成されます。これは vSphere Distributed Switch(VDS)に、必要なサービスを実現するコンポーネントを追加したものです。NSX カーネル モジュール、ユーザー領域エージェント、構成ファイル、インストール スクリプトを VIB としてパッケージ化し、これをハイパーバイザー カーネル内で実行することで、分散ルーティングや論理ファイアウォールなどのサービスを提供するとともに、VXLAN のブリッジ機能を実現します。

 

ハンズオン ラボの対話型シミュレーション: NSX のインストールと構成 (パート 1)


ラボのこの部分は、ハンズオン ラボの対話型シミュレーションとして提示されます。そのため、実習ラボ環境で実際に行うと時間がかかりすぎたり、大量のリソースが必要になったりする手順を手軽に確認できます。このシミュレーションでは、実際の環境で操作しているかのようにソフトウェア インターフェイスを使用できます。

*** 特記事項 ***    これから実行するシミュレーションは 2 つのパートで構成されています。NSX Manager の構成が完了すると、パート 1 が終了します。引き続きシミュレーションのパート 2 を実行するには、画面右上にある [ラボに戻る] をクリックする必要があります。マニュアルの「NSX Manager の構成のまとめ」にも、手順の概要が記載されています。

  1. ここをクリックして対話型シミュレーションを表示します。新しいブラウザー タブまたは新しいブラウザー ウィンドウにシミュレーションが表示されます。
  2. 終了したら、[ラボに戻る] リンクをクリックして、この実習ラボを続行してください。

 


ハンズオン ラボの対話型シミュレーション: NSX のインストールと構成 (パート 2)


ラボのこの部分は、ハンズオン ラボの対話型シミュレーションとして提示されます。そのため、実習ラボ環境で実際に行うと時間がかかりすぎたり、大量のリソースが必要になったりする手順を手軽に確認できます。このシミュレーションでは、実際の環境で操作しているかのようにソフトウェア インターフェイスを使用できます。

  1. ここをクリックして対話型シミュレーションを表示します。新しいブラウザー タブまたは新しいブラウザー ウィンドウにシミュレーションが表示されます。
  2. 終了したら、[ラボに戻る] リンクをクリックして、この実習ラボを続行してください。

 


モジュール 1 のまとめ


このモジュールでは、簡単な手順で NSX をインストールして構成し、ソフトウェア内の 7 つのサービスを通してレイヤー 2 を提供できることを学習しました。

NSX Manager アプライアンスのインストールと構成について、展開、vCenter との統合、ログ収集とバックアップの構成などを説明しました。次に NSX Controller を展開し、ハイパーバイザーにプッシュされて NSX サービスを提供するカーネル モジュール、VMware Infrastructure Bundle(VIB)をインストールしました。最後に、VXLAN トンネル エンドポイント(VTEP)を自動的に展開し、VXLAN ネットワーク ID(VNI)プールとトランスポート ゾーンを作成しました。


 

モジュール 1 の終了

モジュール 1 はこれで終了です。

NSX の導入についてさらに詳しい情報が必要な場合は、以下の URL から NSX 6.4 ドキュメント センターにアクセスしてください。

次のモジュールのいずれかに進みます。

実習ラボのモジュール リスト:

実習ラボ責任者:

  • モジュール 1 ~ 4:NSX システム エンジニア スタッフ(米国)、ジョー・コロン(Joe Collon)

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

モジュール 2: 論理スイッチ (30 分)

論理スイッチ: モジュールの概要


このモジュールでは、VMware NSX の以下のコンポーネントについて詳しく見ていきます。

  • NSX Controller クラスターを確認します。NSX Controller クラスタを使用すると、物理ファブリックでマルチキャスト プロトコルをサポートする必要がありません。さらに、VTEP、IP、MAC のアドレス解決などの機能も提供します。
  • 論理スイッチを作成し、その論理スイッチに 2 つの仮想マシンを接続します。
  • NSX プラットフォームのスケーラビリティと高可用性について確認します。

論理スイッチ


このセクションでは、次のことを行います。

  1. ホストの構成の準備状況を確認します。
  2. 論理ネットワークの状態を確認します。
  3. 新しい論理スイッチを作成します。
  4. 作成した論理スイッチを NSX Edge サービス ゲートウェイに接続します。
  5. 論理スイッチに仮想マシンを追加します。
  6. 仮想マシン間の接続性をテストします。

 

vSphere Web Client(Flash)にアクセス

 

  1. デスクトップ上にある [Google Chrome] アイコンをクリックして、vSphere Web Client(Flash)を起動します。

 

 

vSphere Web Client(Flash)にログイン

 

vSphere Web Client にまだログインしていない場合

(ホームページは vSphere Web Client です。そうでない場合は、Google Chrome で [vSphere Web (Flash)] アイコンをクリックしてください)。

  1. [User name] に 「administrator@vsphere.local」 と入力します。
  2. [Password] に 「VMware1!」 と入力します。
  3. [Login] をクリックします。

 

 

vSphere Web Client の [Networking & Security] セクションに移動

 

  1. [Home] アイコンをクリックします。
  2. [Networking & Security] をクリックします。

 

 

展開されたコンポーネントを表示

 

  1. [Installation and Upgrade] をクリックします。
  2. [Host Preparation] をクリックします。
  3. リストでクラスタをクリックし、選択します(この例では RegionA01-COMP01)。選択したクラスタに属するホストの NSX 状態に関する情報が表示されます。

このクラスタのホストには、ネットワークの仮想化コンポーネント(データ プレーン コンポーネントとも呼ばれます)がインストールされています。これらのコンポーネントには、ポート セキュリティ、VXLAN、分散ファイアウォール、分散ルーティング用のハイパーバイザー レベルのカーネル モジュールなどがあります。

ネットワークの仮想化コンポーネントのインストール後、各クラスターでファイアウォールと VXLAN の機能が構成され有効になっていることを確認します。VXLAN 機能はポート セキュリティ モジュールが提供します。また、NSX Edge 論理ルータ コントロール仮想マシンを構成すると、分散ルーティング モジュールが有効になります。

 

 

ホストでデータ パス コンポーネントを準備した後のトポロジー

 

 

 

Virtual Tunnel Environment (VTEP) 構成の表示

 

  1. 表示されているホスト一覧を右方向にスクロールし、[VIEW DETAILS] リンクを表示します。
  2. [VIEW DETAILS] をクリックし、ホストの VTEP カーネル ポートと IP アドレスに関する情報を表示します。

VXLAN 構成は、次の 3 つの重要なステップから成ります。

  • 各ホストでの VXLAN Tunnel Endpoint (VTEP) の構成。
  • 論理ネットワーク プールを作成するためのセグメント ID 範囲の構成。この実習ラボではユニキャスト モードを利用するため、マルチキャスト範囲を指定する必要はありません。そうでない場合は、このステップでマルチキャスト グループ アドレスの構成が必要になる場合があります。
  • トランスポート ゾーンを構成することにより、論理ネットワークのスパンを定義。

図に示されているように、これらのホストは VXLAN トンネル エンドポイント(VTEP)インターフェイスで構成されています。この環境では、VTEP プールに 192.168.130.0/24 サブネットを使用します。

 

 

セグメント ID およびマルチキャスト グループ アドレスの構成

これまで、VXLAN の展開に伴う重要な課題の 1 つが、物理ネットワーク デバイスでマルチキャスト プロトコルをサポートする必要があることでした。NSX プラットフォームではコントローラ ベースで VXLAN を実装するため、物理ネットワークでマルチキャストを構成する必要がありません。NSX ではブロードキャスト、宛先不明、マルチキャスト(BUM)のトラフィックについて、3 つのオプション(マルチキャスト、ユニキャスト、ハイブリッド)が用意されています。このオプションは、トランスポート ゾーンの一部としてグローバルに適用されますが、論理スイッチ単位で明示的に指定することもできます。

NSX で使用できる 3 つのレプリケーション モードは次のとおりです。

  • マルチキャスト:NSX は、物理ネットワークに備わっているネイティブの L2/L3 マルチキャスト機能を使用して、VXLAN のカプセル化された BUM トラフィックがすべての VTEP へ送信されるようにします。このモードでは、定義されている各 VXLAN L2 セグメント(論理スイッチ)にマルチキャスト IP アドレスを割り当てる必要があります。この構成では、L2 マルチキャスト機能を使用して、ローカル セグメント内のすべての VTEP(同じ IP サブネットに属する VTEP IP アドレス)にトラフィックがレプリケートされます。さらに、物理スイッチ上で IGMP スヌーピングを構成し、L2 マルチキャスト トラフィックの送信を最適化する必要があります。
  • ユニキャスト:ヘッドエンド レプリケーションを使用し、NSX Controller が制御プレーンを処理します。このレプリケーション モードを使用する場合、マルチキャスト IP アドレスや特殊な構成は不要です。
  • ハイブリッド:ユニキャストをさらに最適化したモードです。L2 マルチキャストを使用して、ローカル トラフィックのレプリケーションを物理ネットワークにオフロードします。この場合、ローカル スイッチ上で IGMP スヌーピングを構成する必要がありますが、PIM などのマルチキャスト ルーティング プロトコルは不要です。ハイブリッド モードは大規模な NSX 環境に適しています。

 

 

セグメント ID 構成を表示

 

  1. [Logical Network Settings] をクリックします。
  2. [Segment ID Pool] を見ると、この環境にセグメント ID プールが割り当てられていることがわかります。NSX で論理スイッチを作成すると、未使用の次のセグメント ID が新しい各論理スイッチに割り当てられます。
  3. [Multicast addresses] フィールドは空白になっています。前述のように、この実習環境のデフォルト モードはユニキャストであるため、マルチキャスト アドレスを割り当てる必要がありません。このフィールドが空白なのはそのためです。

 

 

トランスポート ゾーンを表示

 

  1. [Transport Zones] をクリックします。
  2. [RegionA0_Global_TZ] のラジオ ボタンをクリックして、このトランスポート ゾーンを選択します。

さまざまな NSX コンポーネントと VXLAN 構成を確認したところで、次は NSX 論理スイッチを作成しましょう。NSX 論理スイッチは、アプリケーションや仮想マシンから論理的に接続できる、論理ブロードキャスト ドメインまたはネットワーク セグメントを定義します。NSX 論理スイッチはレイヤー 2 ブロードキャスト ドメインを定義します。これは VLAN と似ていますが、通常 VLAN に関連付けられている物理ネットワーク構成がありません。

 

 

論理スイッチを表示

 

  1. 左側の [Logical Switches] をクリックします。

この実習では、すでに多数の論理スイッチが定義されています。事前に入力されているこれらの論理スイッチは、この実習のさまざまなモジュールで使用します。NSX を新しく展開した場合は、論理スイッチの一覧になにも表示されません。

次は、新しい論理スイッチを作成しましょう。論理スイッチを作成した後、既存の仮想マシンを新しく作成したネットワークへ移行し、NSX 環境への接続を設定します。

 

 

新しい論理スイッチを作成

 

  1. 新しい論理スイッチを作成するため、緑色のプラス アイコンをクリックします。
  2. 論理スイッチに 「Prod_Logical_Switch」 という名前を付けます。
  3. [Transport Zone] で、[RegionA0_Global_TZ] が選択されていることを確認します。
  4. [Replication mode] で、[Unicast] が選択されていることを確認します。
  5. [Enable IP Discovery] チェックボックスがオンになっていることを確認します。IP 検出を有効にすると、ARP 抑制が有効になります。これについては次に説明します。
  6. [OK] をクリックします。

[Enable IP Discovery] を選択すると、Address Resolution Protocol(ARP)抑制が有効になります。ARP では、レイヤー 2 セグメントにブロードキャストを送信して、IP アドレスから送信先の Media Access Control (MAC) アドレスを特定します。この NSX Virtual Switch を使用する ESXi ホストは、仮想マシンから ARP トラフィックを受信したり、イーサネット要求を受け取ったりした場合に、ARP テーブルを保持している NSX Controller にその要求を送信します。NSX Controller の ARP テーブルに目的の情報がある場合は、その情報がホストへ返され、さらにホストから仮想マシンへ返送されます。

 

 

外部アクセス用の NSX Edge サービス ゲートウェイに新しい論理スイッチを接続

 

  1. 新しく作成した Prod_Logical_Switch をクリックして選択します。
  2. [Actions] メニューをクリックします。
  3. [Connect Edge] をクリックします。

 

 

論理スイッチを NSX Edge に接続

 

NSX Edge は、論理(分散)ルータまたは Edge サービス ゲートウェイとしてインストールできます。

  • Edge サービス ゲートウェイ「Perimeter-Gateway-01」は、DHCP、NAT、ロードバランシング、ファイアウォール、VPN などのネットワーク サービスを提供し、ダイナミック ルーティング機能を備えています。
  • 論理分散ルーター 「Distributed-Router-01」 は、分散ルーティングとダイナミック ルーティングをサポートします。

NSX Edge とルーティングについては、この後のモジュールで詳しく説明します。

ここでは、NSX Edge サービス ゲートウェイ「Perimeter-Gateway-01」に論理スイッチを接続します。これにより、論理スイッチに接続された仮想マシンと、環境内のその他の仮想マシンが接続されます。

  1. [Perimeter-Gateway-01] の左側にあるラジオ ボタンをクリックして選択します。
  2. [Next] をクリックします。

 

 

論理スイッチを NSX Edge に接続

 

  1. [vnic7] の左側にあるラジオ ボタンをクリックして選択します。
  2. [Next] をクリックします。

 

 

インターフェイスに名前を付ける

 

  1. インターフェイスの名前として、「Prod_Interface」と入力します。
  2. [Connected] を選択します。
  3. このインターフェイスの IP アドレスとサブネット情報を設定するため、緑色のプラス アイコンをクリックします。

 

 

インターフェイスに IP アドレスを割り当てる

 

  1. [Primary IP Address] として「172.16.40.1」と入力します([Secondary IP Address] は空白のままにします)。
  2. [Subnet Prefix Length] のボックスに「24」と入力します。
  3. 設定が正しいことを確認し、[Next] をクリックします。

 

 

インターフェイス編集プロセスの完了

 

  1. [Finish] をクリックします。

 

 

新たに作成した Prod_Logical_Switch に web-03a と web-04a を接続

 

  1. 新しく作成した Prod_Logical_Switch をクリックして選択します。
  2. [Actions] メニューをクリックします。
  3. [Add VM] をクリックします。

 

 

仮想マシンを論理スイッチに追加

 

  1. 名前に「web」が含まれる仮想マシンを検索します。
  2. [web-03a.corp.local] と [web-04a.corp.local] を選択します。
  3. 右矢印をクリックして、選択した仮想マシンをこの論理スイッチに追加します。
  4. [Next] をクリックします。

 

 

論理スイッチに追加する(仮想マシンの)仮想 NIC を選択

 

  1. 2 台の Web 仮想マシンの仮想 NIC を選択します。
  2. [Next] をクリックします。

 

 

仮想マシンを論理スイッチに追加 (完了)

 

  1. [Finish] をクリックします。

 

 

Prod_Logical_Switch を NSX Edge サービス ゲートウェイに接続した後のトポロジー

 

新しい論理スイッチを構成し、「Perimeter-Gateway-01」Edge ゲートウェイを介して外部ネットワークに接続しました。さらに、この新しい論理スイッチに 2 台の仮想マシンを追加しました。

 

 

web-03a と web-04a の接続性をテスト

次に、web-03a と web-04a の接続性をテストします。

 

 

[Hosts and Clusters] に戻る

 

  1. [Home] アイコンをクリックします。
  2. [Hosts and Clusters] をクリックします。

 

 

クラスターの拡張

 

RegionA01-COMP01 クラスタと RegionA01-COMP02 クラスタを展開します。2 台の仮想マシン、web-03a.corp.local と web-04a.corp.local が、それぞれ異なるコンピューティング クラスタに属していることがわかります。これら 2 台の仮想マシンは、前の手順で論理スイッチに追加されています。

 

 

PuTTY を起動

 

  1. Windows の [スタート] ボタンをクリックします。
  2. [スタート] メニューから PuTTY アプリケーションのアイコンをクリックします。

サブネット 192.168.110.0/24 にあるメイン コンソールから接続しています。トラフィックは、NSX Edge「Perimeter-Gateway-01」を経由して Web サーバに到達します。

 

 

web-03a への SSH セッションを開く

 

  1. [Saved Sessions] のリストをスクロールをして [web-03a.corp.local] を表示します。
  2. [web-03a.corp.local] をクリックして選択します。
  3. [Load] をクリックして、セッション情報を取得します。
  4. [Open] をクリックして、仮想マシンへの PuTTY セッションを開始します。

 

 

仮想マシンにログイン

 

  • [PuTTY Security Alert] が表示された場合は、[Yes] をクリックして、サーバのホスト キーを許可します。
  • 自動的にログインされない場合は、ユーザー「root」としてログインし、パスワードは「VMware1!」を使用します。

注:web-03a.corp.local に接続できない場合は、これまでの手順を見直し、すべて正しく設定されていることを確認してください。

 

 

Web サーバ web-04a.corp.local に ping を送信

 

ping を継続的に送信するのではなく、2 回だけ送信するため、「ping -c 2 web-04a」と入力します。

ping -c 2 web-04a

注意: web-04a.corp.local の IP アドレスは 172.16.40.12 です。必要に応じて、IP アドレスでも ping を送信できます。

DUP! パケットが表示される場合、これは、VMware のネストした実習ラボ環境の特性によるものです。本番環境では発生しません。

PuTTY セッションは閉じないでください。後で使用するためにウィンドウを最小化します。

 

スケーラビリティと可用性


このセクションでは、NSX Controller のスケーラビリティと可用性について取り上げます。NSX Controller クラスタは制御プレーンのコンポーネントで、すべてのハイパーバイザーのスイッチング モジュールとルーティング モジュールを管理します。NSX Controller クラスタは 3 つの NSX Controller ノードで構成され、それぞれが特定の論理オブジェクトを管理します。VXLAN ベースの論理スイッチを管理する場合、NSX Controller クラスタを使用すれば、物理ネットワーク インフラストラクチャでマルチキャストをサポートする必要がありません。

耐障害性とパフォーマンスを高めるため、本番環境には、3 つの NSX Controller ノードからなる NSX Controller クラスタを展開する必要があります。NSX Controller クラスターはスケールアウト分散システムであり、各 NSX Controller ノードには一連のロールが割り当てられています。割り当てられたロールによって、NSX Controller ノードに実装できるタスクのタイプが定義されます。現在サポートされている構成は、完全な負荷分散機能と冗長性を備えています。

NSX アーキテクチャのスケーラビリティを高めるため、「スライシング」メカニズムを取り入れて、すべての NSX Controller ノードをいつでもアクティブ化できるようにしています。

NSX Controller に障害が発生した場合でも、データ プレーン(仮想マシン)トラフィックは影響を受けません。論理ネットワーク情報が論理スイッチ(データ プレーン)へすでに送信されているため、トラフィックは引き続き配信されます。ただし、制御プレーン (NSX Controller クラスター) なしで編集 (追加/移動/変更) を行うことはできません。

さらに、NSX に Controller Disconnected Operation(CDO)機能が追加されました。CDO モードでは、すべてのホストを網羅する特殊な論理スイッチが作成されます。これにより、コントローラが NSX 環境のホストにアクセスできない場合、データ プレーン接続の冗長性がさらに高まります。CDO モードの詳細については、このモジュールのまとめのセクションに記載されているリンクを参照してください。


 

NSX Controller のスケーラビリティと可用性

 

  1. [Home] アイコンをクリックします。
  2. [Networking & Security] をクリックします。

 

モジュール 2 のまとめ


このモジュールでは、NSX プラットフォームの次のメリットを実演しました。

  1. ネットワークの俊敏性:仮想マシンや外部ネットワークとのインターフェイスとなる論理スイッチを簡単にプロビジョニングして、構成できます。
  2. NSX アーキテクチャのスケーラビリティ:複数のクラスタにまたがるトランスポート ゾーンを構成できます。また、NSX Controller クラスタにより、物理ネットワークを再構成しなくてもネットワーク サービスを提供できます。

 

モジュール 2 の終了

モジュール 2 はこれで終了です。

NSX の導入についてさらに詳しい情報が必要な場合は、以下の URL から NSX 6.4 ドキュメント センターにアクセスしてください。

NSX Controller Disconnected Operation(CDO)モードの詳細については、以下のリンクのドキュメントをご覧ください。

次のモジュールのいずれかに進みます。

実習ラボのモジュール リスト:

実習ラボ責任者:

  • モジュール 1 ~ 4:NSX システム エンジニア スタッフ(米国)、ジョー・コロン(Joe Collon)

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

モジュール 3: 論理ルーティング (60 分)

論理ルーティング:モジュールの概要


前のモジュールでは、分離した論理スイッチ/ネットワークを数回のクリックで簡単に作成できることを学習しました。これらの分離したレイヤー 2 ネットワーク間で通信を行うには、ルーティングのサポートが欠かせません。NSX プラットフォームでは、分散論理ルータを使用することで、完全にハイパーバイザー内で論理スイッチ間のトラフィック ルーティングを行えます。この論理ルーティング コンポーネントを組み込むことによって、NSX は論理空間内で複雑なルーティング トポロジーを再現できます。たとえば、3 層アプリケーションを 3 台の論理スイッチに接続し、この分散論理ルータでレイヤー間のルーティングを処理できます。

このモジュールでは、NSX プラットフォームに備わっているルーティング機能をいくつか確認するとともに、3 層アプリケーションの展開時にそれらの機能を利用する方法を学習します。

このモジュールでは、次のことを行います。

  • 外部物理ルーターまたは NSX Edge サービス ゲートウェイによってルーティングが処理される場合に、トラフィックがどのように流れるかを確認します。
  • 分散論理ルータとその論理インターフェイス(LIF)を構成し、3 層アプリケーションの Web 層、アプリケーション層、データベース層の間でルーティングできるようにします。
  • 分散論理ルータと Edge サービス ゲートウェイ上でダイナミック ルーティング プロトコルを構成し、上流の外部ルータに対する内部ルート アドバタイズの仕組みを確認します。
  • ルーティング プロトコルと等コスト マルチパス(ECMP)ルーティングを使用して、NSX Edge サービス ゲートウェイを拡張および保護します。

 

CLI コマンドに関する特記事項

 

多くのモジュールで、コマンド ライン インターフェイス (CLI) コマンドを入力します。CLI コマンドを実習ラボに送信するには 2 つの方法があります。

1 つ目は、次の手順で CLI コマンドを実習ラボのコンソールに送信する方法です。

  1. マニュアル内の CLI コマンドを強調表示し、 + キーを押してクリップボードにコピーします。
  2. コンソール メニューで [テキストの送信] をクリックします。
  3. + キーを押して、先ほどコピーした CLI コマンドをクリップボードからウィンドウに貼り付けます。
  4. [送信] ボタンをクリックします。

2 つ目は、テキスト ファイル (README.txt) を使用する方法です。実習ラボ環境のデスクトップに用意されているこのファイルを使用すれば、関連するユーティリティ (CMD、PuTTY、コンソールなど) で、複雑なコマンドやパスワードを簡単にコピーして貼り付けることができます。各国で使用されているさまざまなキーボードの中には、一部の文字が存在しないものがあります。このテキスト ファイルは、こうした文字が存在しないキーボード レイアウトにも対応したものとなっています。

この README.txt ファイルはデスクトップにあります。 

 

ダイナミック ルーティングと分散ルーティング


分散論理ルータ(DLR)はルーティング制御プレーンを含む仮想アプライアンスであり、同時に、カーネル モジュールのデータ プレーンを各ハイパーバイザー ホストに分散します。DLR 制御プレーンは NSX Controller クラスタを使用して、ルーティングの更新情報をカーネル モジュールに送信します。これによって、各ローカル ハイパーバイザー内での East-West ルーティングが最適化されるため、ネットワーク上の単一ポイントを介してトラフィックをヘアピン転送する必要がなくなります。

まず、分散ルーティングの構成を確認し、カーネル レベルでルーティングを実行するメリットについて説明します。


 

現在のトポロジーとパケット フローを確認

 

この図は、この実習ラボの環境を示しています。アプリケーション仮想マシンとデータベース仮想マシンが両方とも同じ物理ホスト上にあることに注意してください。赤い矢印は、2 つの仮想マシン間のトラフィック フローを示します。

  1. トラフィックはアプリケーション仮想マシンを出てホストに到達します。
  2. アプリケーション仮想マシンとデータベース仮想マシンは同じネットワーク サブネットにないため、このトラフィックをレイヤー 3 デバイスへ送信する必要があります。管理クラスタにある NSX Edge(境界ゲートウェイ)は、レイヤー 3 ゲートウェイとして機能します。トラフィックは、この境界ゲートウェイが配置されているホストへ送信されます。
  3. トラフィックが境界ゲートウェイに到達します。
  4. 境界ゲートウェイはパケットをルーティングし、宛先ネットワーク上のホストに返送します。
  5. ルーティングされたトラフィックは、データベース仮想マシンが配置されているホストへ返送されます。
  6. ホストがトラフィックをデータベース仮想マシンへ送信します。

この実習ラボの最後に、分散ルーティングを構成した後のトラフィック フローを確認します。そうすることで、分散ルーティングがネットワーク トラフィックにもたらすメリットを理解できます。

 

 

vSphere Web Client(Flash)にアクセス

 

  1. デスクトップ上にある [Google Chrome] アイコンをクリックして、vSphere Web Client(Flash)を起動します。

 

 

vSphere Web Client(Flash)にログイン

 

vSphere Web Client にまだログインしていない場合

(ホームページは vSphere Web Client です。そうでない場合は、Google Chrome で [vSphere Web (Flash)] アイコンをクリックしてください)。

  1. [User name] に 「administrator@vsphere.local」 と入力します。
  2. [Password] に 「VMware1!」 と入力します。
  3. [Login] をクリックします。

 

 

3 層アプリケーションの機能を確認

 

  1. 新しいブラウザー タブを開きます。
  2. [Customer DB App] ブックマークをクリックします。

 

アプリケーションの分散ルーティングを構成する前に、3 層アプリケーションが正常に動作していることを確認しましょう。アプリケーションの 3 つの層(Web、アプリケーション、データベース)はそれぞれ異なる論理スイッチ上にあり、NSX Edge サービス ゲートウェイが 3 層間のルーティングを担っています。

  • Web サーバは、データベースに格納された顧客情報を含むページを返します。

 

 

アプリケーション インターフェイスとデータベース インターフェイスを境界エッジから削除

 

前述のトポロジーで確認したように、アプリケーションの 3 つの層はそれぞれ異なる論理スイッチ上にあり、3 層間のルーティングを境界ゲートウェイ(NSX ESG)が担っています。このトポロジーを変更するため、アプリケーション インターフェイスとデータベース インターフェイスを境界ゲートウェイから削除します。その後、削除したインターフェイスを分散ルータ(NSX DLR)へ移動します。時間を節約するため、分散ルータはすでに展開されています。

  1. [vSphere Web Client] ブラウザー タブをクリックします。
  2. [Home] アイコンをクリックします。
  3. [Networking & Security] をクリックします。

 

 

アプリケーション インターフェイスとデータベース インターフェイスを分散ルーターに追加

 

次に、アプリケーション インターフェイスとデータベース インターフェイスを分散ルーター (NSX Edge) に追加することによって、分散ルーティングの構成を開始します。

  1. [Distributed-Router-01] をダブルクリックします。

 

 

分散ルーターでのダイナミック ルーティングを構成

 

[vSphere Web Client] ブラウザー タブに戻ります。

  1. [Routing] をクリックします。
  2. [Global Configuration] をクリックします。
  3. [Dynamic Routing Configuration] の [Edit] をクリックします。

 

 

ダイナミック ルーティングの構成を編集

 

  1. アップリンク インターフェイスの IP アドレスをデフォルト ルーター ID として選択します。ここでは、アップリンク インターフェイスは「Transit_Network_01」、IP アドレスは「192.168.5.2」です。
  2. [OK] をクリックします。

注意:ルータ ID は、IP アドレスとして表示される 32 ビット ID です。OSPF を使用する場合、自律システムでルータを識別するルータ ID が重要な役割を果たします。この実習ラボで使用するルータ ID は、NSX Edge 上のアップリンク インターフェイスの IP アドレスと同じです。画面は [Global Configuration] セクションに戻り、[Publish Changes] オプションが表示されます。

[Router ID] フィールドに、Transit_Network 論理スイッチに関連付けられた IP アドレス(192.168.5.2)が表示されていることを確認します。構成の変更が正常に適用されないと、この値が空白のままになります。その場合は、上記の手順 1 と手順 2 を繰り返して、ルータ ID を再適用してください。

 

 

OSPF 固有のパラメーターを構成

 

Perimeter-Gateway-01 と Distributed-Router-01 の間のダイナミック ルーティング プロトコルとして OSPF を使用します。これにより、これら 2 つのルータが既知のルートに関する情報をやり取りできるようになります。

  1. [OSPF] をクリックします。
  2. OSPF 構成を変更するため、[Edit] をクリックします。[OSPF Configuration] ダイアログ ボックスが開きます。

 

 

境界エッジでの OSPF ルーティングを構成

 

次に、3 層アプリケーションへの接続を回復するために、Perimeter-Gateway-01(NSX Edge)でダイナミック ルーティングを構成します。

  1. [Back] を数回クリックして、NSX Edge の一覧が表示されたサマリ ページへ戻ります。

 

 

新しいトポロジーの確認

 

新しいトポロジーでは、分散ルーターと境界ゲートウェイ (NSX Edge) との間にルート ピアリングがあります。分散ルータに接続されたネットワークへのルート情報は、OSPF を介して境界ゲートウェイ(NSX Edge)に渡されます。さらに、境界ゲートウェイから発信されたすべてのルート情報も、BGP を介して物理ネットワークの vPod ルータへ渡されます。

これについては、次のセクションで詳しく取り上げます。

 

 

3 層アプリケーションへの通信を確認

 

現在、分散ルータと境界ゲートウェイの間でルーティング情報が交換されています。これら 2 つの NSX Edge 間でルーティングが確立されると、3 層 Web アプリケーションへの接続が回復します。3 層 Web アプリケーションにアクセスして、ルーティングが機能していることを確認しましょう。

  1. ブラウザーで [HOL - Customer Database] タブをクリックします(このタブは前の手順で開きました)。前回のアクセス時に返された「504 Gateway Time-out」メッセージが表示される場合があります。
  2. [再読み込み] をクリックします。

注意:実習ラボはネスト環境のため、ルーティング情報の送信に少し時間を要する場合があります。

 

 

ダイナミック ルーティングと分散ルーティングの構成を完了

このセクションでは、分散動的ルーティングの構成を行いました。次のセクションでは、境界ゲートウェイ (NSX Edge) を使用した中央集中型ルーティングについて確認します。

 

中央集中型ルーティング


このセクションでは、さまざまな要素を確認し、NSX Edge サービス ゲートウェイ(ESG)からのノースバウンド ルーティングを構成します。また、NSX 環境全体でダイナミック ルーティングがどのように制御、更新、伝達されるかも学習します。さらに、NSX 境界 ESG アプライアンスと、実習ラボ全体の制御とルーティングを担う仮想ルータ アプライアンス(vPod ルータ)の間で、ルート情報がどのように交換されるかを確認します。

特記事項: デスクトップにある README.txt ファイルには、実習ラボの演習に必要な CLI コマンドが含まれています。CLI コマンドを直接入力できない場合は、このファイルのコマンドをコピーして PuTTY セッションに貼り付けてください。波括弧で囲まれた番号 {1} は、このモジュールに対応する CLI コマンドが README.txt ファイルに記載されていることを示しています。


 

実習ラボの現在のトポロジー

 

この図のように、新しいトポロジーでは、境界ゲートウェイと分散ルータの間のルート情報交換に OSPF を使用しています。さらに、境界ゲートウェイから vPod ルータへのノースバウンド リンクもあります。これらのルータは、BGP を使用してルーティング情報を交換します。

 

 

境界ゲートウェイの OSPF ルーティングを確認

まず、Web アプリケーションが機能していることを確認します。次に、NSX 境界ゲートウェイにログインして OSPF ネイバーを表示し、既存のルート情報を確認します。これにより、境界ゲートウェイが分散ルータからだけでなく、実習ラボ全体を制御している vPod ルータからもルート情報を受け取っていることがわかります。

 

 

3 層アプリケーションの機能を確認

 

  1. 新しいブラウザー タブを開きます。
  2. ブックマーク [Customer DB App] をクリックします。

 

 

BGP ネイバーの表示

 

Perimeter-Gateway-01 の BGP ネイバーを見てみましょう。

  1. 「show ip bgp neighbors」 と入力します。
show ip bgp neighbors

 

 

表示された BGP ネイバー情報を確認

 

BGP ネイバーの情報を確認しましょう。

  1. BGP neighbor is 192.168.100.1: NSX 環境内にある vPod ルーターのルーター ID です。
  2. Remote AS 65002 : vPod ルーターの外部ネットワークの自律システム番号です。
  3. BGP state = Established, up : BGP ネイバーとの隣接関係が完全で、BGP ルーターが更新パケットを送信してルーティング情報を交換することを意味します。

 

 

境界エッジ上のルートとその配布元を確認

 

Perimeter-Gateway-01 の利用可能なルートを確認しましょう。

  1. 「show ip route」 と入力します。
show ip route

 

 

BGP ルート配布の制御

状況によっては、仮想環境内にのみ BGP ルートを配布し、物理環境には配布したくない場合もあります。ルート配布は NSX Edge インターフェイスから簡単に制御でき、フィルタリングも容易に行えます。

 

ECMP と高可用性


このセクションでは、境界ゲートウェイをもう 1 つネットワークに追加します。さらに、等コスト マルチパス(ECMP)ルーティングを使用してエッジのキャパシティと可用性を高めます。NSX では、エッジ デバイスをその場で追加し、ECMP を有効にできます。

ECMP は、冗長化された複数のパスを介してパケットを転送できるルーティング機能です。これらのパスは、静的に追加することも、OSPF や BGP などのダイナミック ルーティング プロトコルによるメトリック計算の結果として追加することも可能です。特定の送信元 IP アドレスと宛先 IP アドレスのペアについてネクスト ホップが 1 つ選択され、そのパスがルート キャッシュに保存されます。そのフローのすべてのパケットは、選択されたネクスト ホップに向かいます。分散論理ルータは XOR アルゴリズムに基づいて、候補となる ECMP パスのリストからネクスト ホップを決定します。このアルゴリズムでは、送信パケットの送信元および送信先の IP アドレスを、エントロピーのソースとして使用します。

このモジュールでは、新しい境界ゲートウェイを構成し、境界ゲートウェイと分散論理ルータの間に ECMP クラスタを確立して、キャパシティと可用性を向上させます。可用性をテストする方法としては、一方の境界ゲートウェイをシャットダウンし、その結果ルーティング パスがどのように変化するかを観察します。


 

vSphere Web Client で NSX へ移動

 

  1. [vSphere Web Client] ブラウザー タブをクリックします。
  2. [Home] アイコンをクリックします。
  3. [Networking & Security] をクリックします。

 

 

境界ゲートウェイ エッジの構成を変更

 

まず、既存の境界ゲートウェイ NSX Edge で、セカンダリ IP アドレスを削除する必要があります。

  1. [NSX Edges] をクリックします。
  2. [Perimeter-Gateway-01] をダブルクリックします。

 

 

アップリンク仮想 NIC を変更

 

  1. [Manage] をクリックします。
  2. [Settings] をクリックします。
  3. [Interfaces] をクリックします。
  4. [vNIC#] 列で [0] をクリックして選択します。
  5. 鉛筆(編集)アイコンをクリックします。

 

 

セカンダリ IP アドレスを削除

 

  1. 鉛筆(編集)アイコンをクリックします。
  2. [X] アイコンをクリックして、選択したセカンダリ IP アドレスを削除します。

この後、新しい境界ゲートウェイでこのセカンダリ IP アドレスを一時的に使用します。

 

 

変更を確定

 

  1. [OK] をクリックします。

注意:[OK] ボタンと [Cancel] ボタンが見えない場合は、[Edit NSX Edge Interface] ダイアログ ウィンドウをドラッグしてみてください。実習ラボでは画面解像度に制約があるため、画面の一部が見えないことがあります。

 

 

NSX Edge に戻る

 

  1. [Back] を数回クリックして、NSX Edge の一覧が表示されたサマリ ページへ戻ります。

 

 

境界ゲートウェイ エッジを追加

 

 

 

エッジを選択して名前を入力

 

  1. [Install Type] で [Edge Services Gateway] を選択します。
  2. [Name] に「Perimeter-Gateway-02」と入力します。
  3. [Next] をクリックします。

 

 

パスワードの設定

 

  1. [Password] フィールドに「VMware1!VMware1!」と入力します。
  2. [Confirm Password] フィールドに 「VMware1!VMware1!」 と入力します。
  3. [Enable SSH access] をオンにします。
  4. [Next] をクリックします。

注意:NSX Edge では、12 文字以上の複雑なパスワードを使用する必要があります。

 

 

エッジ アプライアンスの追加

 

  1. 緑色のプラス アイコンをクリックします。[Add NSX Edge Appliance] ダイアログ ボックスが表示されます。
  2. [Cluster/Resource Pool] として [RegionA01-MGMT01] を選択します。
  3. [Datastore] として [RegionA01-ISCSI01-COMP01] を選択します。
  4. [Host] として [esx-04a.corp.local] を選択します。
  5. [OK] をクリックします。

 

 

導入の続行

 

  1. [Next] をクリックします。

 

 

アップリンク インターフェイスを追加

 

  1. 緑色のプラス アイコンをクリックします。最初のインターフェイスが追加されます。

 

 

接続先スイッチの選択

 

この境界ゲートウェイのノースバウンド スイッチ インターフェイス (分散ポート グループ) として、分散ポート グループを選択する必要があります。

  1. [Connected To] の右側にある [Select] リンクをクリックします。
  2. [Distributed Virtual Port Group] をクリックします。
  3. [Uplink-RegionA01-vDS-MGMT] の左側にあるラジオ ボタンをクリックして選択します。
  4. [OK] をクリックします。

 

 

IP の名前を入力して追加

 

  1. [Name] に 「Uplink」 と入力します。
  2. [Type] として [Uplink] を選択します。
  3. 緑色のプラス アイコンをクリックします。
  4. [Primary IP Address] として 「192.168.100.4」 と入力します。
  5. [Subnet Prefix Length] として 「24」 と入力します。
  6. [OK] をクリックします。

 

 

エッジ トランジット インターフェイスを追加

 

  1. 緑色のプラス アイコンをクリックします。2 番目のインターフェイスが追加されます。

 

 

接続先スイッチの選択

 

この境界ゲートウェイのノースバウンド スイッチ インターフェイス (VXLAN ベースの論理スイッチ) を選択する必要があります。

  1. [Connected To] の [Select] をクリックします。
  2. [Logical Switch] をクリックします。
  3. [Transit_Network_01 (5005)] の左側にあるラジオ ボタンをクリックして選択します。
  4. [OK] をクリックします。

 

 

IP の名前を入力して追加

 

  1. [Name] に 「Transit_Network_01」 と入力します。
  2. [Type] として [Internal] を選択します。
  3. 緑色のプラス アイコンをクリックします。
  4. [Primary IP Address] として 「192.168.5.4」 と入力します。
  5. [Subnet Prefix Length] として 「29」 と入力します。[Subnet Prefix Length] に正しい数値(29)を入力しないと、実習ラボが機能しません。
  6. [OK] をクリックします。

 

 

導入の続行

 

IP アドレスとサブネット プレフィックスの長さに、この図と同じ値が設定されていることを確認してください。

  1. [Next] をクリックします。

 

 

デフォルト ゲートウェイの削除

 

OSPF 経由で情報を受け取るため、デフォルト ゲートウェイは削除します。

  1. [Configure Default Gateway] チェック ボックスをオフにします。
  2. [Next] をクリックします。

 

 

デフォルトのファイアウォール設定

 

  1. [Configure Firewall default policy] チェック ボックスをオンにします。
  2. [Default Traffic Policy] で [Accept] を選択します。
  3. [Next] をクリックします。

 

 

導入の完了

 

  1. [Finish] をクリックします。これにより、導入が開始されます。

 

 

エッジの導入

 

NSX Edge の導入には数分間かかります。

  1. [NSX Edges] セクションには、Perimeter-Gateway-02 の導入中に [1 Installing] と表示されます。
  2. Perimeter-Gateway-02 の状態は、[Busy] であることを示しています。これは、展開中であることを意味します。
  3. vSphere Web Client の [Refresh] アイコンをクリックして、Perimeter-Gateway-02 の展開状態を更新します。

Perimeter-Gateway-02 の状態が [Deployed] になったら、次の手順に進みます。

 

 

新しいエッジ デバイスでルーティングを構成

 

ECMP を有効にする前に、Perimeter-Gateway-02 (NSX Edge) を構成する必要があります。

  1. [Perimeter-Gateway-02] をダブルクリックします。

注意:ゲートウェイのフルネームが見えない場合は、ゲートウェイ名にカーソルを合わせるとツールチップが表示されます。

 

 

ECMP を有効にする

 

分散論理ルーターと境界ゲートウェイの ECMP を有効にします。

  1. [Back] を数回クリックして、NSX Edge の一覧が表示されたサマリ ページへ戻ります。

 

 

トポロジーの概要

 

この段階では、実習ラボのトポロジーは以下のようになっています。これには追加してルーティングを構成し、ECMP をオンにした、新しい境界ゲートウェイが含まれます。

 

 

分散ルーターから ECMP の機能を確認

 

ここで、分散ルーターにアクセスして、OSPF の通信と ECMP の機能を確認してみましょう。

  1. [Home] アイコンをクリックします。
  2. [VMs and Templates] をクリックします。

 

 

vPod ルーターから ECMP の機能を確認

 

注: ウィンドウからカーソルを解放するには、 + キーを押します。

次に、ネットワーク内の物理ルーターをシミュレートしている vPod ルーターから ECMP を見ていきます。

  1. タスクバーの [PuTTY] アイコンをクリックします。

 

 

Perimeter-Gateway-01 をシャットダウン

 

Perimeter-Gateway-01 をシャットダウンして、ノードがオフラインになった状態をシミュレートします。

[vSphere Web Client] ブラウザー タブに戻ります。

  1. [RegionA01] を展開します。
  2. [Perimeter-Gateway-01-0] を右クリックします。
  3. [Power] をクリックします。
  4. [Shut Down Guest OS] をクリックします。

 

 

ECMP の高可用性をテスト

 

環境で ECMP、BGP、OSPF を使用していると、特定のパスで障害が発生した場合にルートを動的に変更できます。次に、いずれかのパスがダウンして、ルートが再配布される状況をシミュレートします。

  1. タスクバーのコマンド プロンプト アイコンをクリックします。

 

 

分散ルーター仮想マシン コンソールにアクセス

 

  1. [Distributed-01-0] ブラウザー タブをクリックします。

ブラウザー タブで仮想マシン コンソールが起動すると、ブラック スクリーンが表示されます。ブラック スクリーン内をクリックし、 キーを数回押すと、スクリーンセーバーが終了して仮想マシンが表示されます。

 

 

Perimeter-Gateway-01 のパワーオン

 

[vSphere Web Client] ブラウザー タブに戻ります。

  1. [RegionA01] を展開します。
  2. [Perimeter-Gateway-01-0] を右クリックします。
  3. [Power] をクリックします。
  4. [Power On] をクリックします。

 

 

ping テストに戻る

 

  • タスクバーで、ping テストを実行しているコマンド プロンプトに戻ります。

 

 

分散ルーター仮想マシン コンソールにアクセス

 

  1. ブラウザーで [Distributed-01-0] タブをクリックします。

ブラウザー タブで仮想マシン コンソールが起動すると、ブラック スクリーンが表示されます。ブラック スクリーン内をクリックし、 キーを数回押すと、スクリーンセーバーが終了して仮想マシンが表示されます。

 

モジュール 4 に移る前に完了すべきクリーンアップ手順


モジュール 2 のあと、この実習ラボのほかのモジュールを引き続き実行する場合は、必ず次の手順に従ってください。この操作を行わないと、実習ラボは適切に機能しません。


 

2 番目の境界エッジ デバイスを削除

 

[vSphere Web Client] ブラウザー タブに戻ります。

  1. [Home] アイコンをクリックします。
  2. [Networking & Security] をクリックします。

 

 

[Perimeter-Gateway-02] の削除

 

Perimeter-Gateway-02 を削除する必要があります。

  1. [NSX Edges] をクリックします。
  2. [Perimeter-Gateway-02] をクリックして選択します。
  3. 赤色の [X] アイコンをクリックして、Perimeter-Gateway-02 を削除します。

 

 

削除の確認

 

  1. [Yes] をクリックします。

 

 

DLR と Perimeter-Gateway-01 で ECMP を無効にする

 

  1. [Distributed-Router-01] をダブルクリックします。

 

 

分散ルーターで ECMP を無効にする

 

  1. [Manage] をクリックします。
  2. [Routing] をクリックします。
  3. [Global Configuration] をクリックします。
  4. [Stop] をクリックします。

 

 

変更の発行

 

  1. [Publish Changes] をクリックして、構成の変更をプッシュします。

 

 

エッジ デバイスに戻る

 

  1. [Back] を数回クリックして、NSX Edge の一覧が表示されたサマリ ページへ戻ります。

 

 

Perimeter-Gateway-01 にアクセス

 

  1. [Perimeter-Gateway-01] をダブルクリックします。

 

 

Perimeter Gateway 01 で ECMP を無効化

 

  1. [Manage] をクリックします。
  2. [Routing] をクリックします。
  3. [Global Configuration] をクリックします。
  4. [Stop] をクリックします。

 

 

変更の発行

 

  1. [Publish Changes] をクリックして、構成の変更をプッシュします。

 

 

Perimeter Gateway 01 でファイアウォールを有効化

 

  1. [Manage] をクリックします。
  2. [Firewall] をクリックします。
  3. [Start] をクリックします。

 

 

変更の発行

 

  1. [Publish Changes] をクリックして、Perimeter-Gateway-01 (NSX Edge) 上の構成を更新します。

 

モジュール 3 のまとめ


このモジュールでは、NSX 分散論理ルータ(DLR)と Edge サービス ゲートウェイ(ESG)のルーティング機能について学習しました。ここで行った作業は次のとおりです。

  1. 論理スイッチを Edge サービス ゲートウェイ (ESG) から分散論理ルーター (DLR) に移行しました。
  2. ESG と DLR の間に、OSPF を使用してダイナミック ルーティングを構成しました。
  3. ダイナミック ルート ピアリングなど、ESG の中央集中型ルーティング機能を確認しました。
  4. ESG をもう 1 台導入し、2 台の ESG の間に等コスト マルチパス(ECMP)を構成してルート ピアリングを確立することで、ESG のスケーラビリティと可用性を実証しました。
  5. ESG2 と ECMP のルート構成を削除しました。

 

モジュール 3 の終了

モジュール 3 はこれで終了です。

NSX の導入についてさらに詳しい情報が必要な場合は、以下の URL から NSX 6.4 ドキュメント センターにアクセスしてください。

次のモジュールのいずれかに進みます。

実習ラボのモジュール リスト:

実習ラボ責任者:

  • モジュール 1 ~ 4:NSX システム エンジニア スタッフ(米国)、ジョー・コロン(Joe Collon)

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

モジュール 4: Edge サービス ゲートウェイ (60 分)

Edge サービス ゲートウェイ:モジュールの概要


NSX Edge サービス ゲートウェイ(ESG)は、ネットワーク エッジのセキュリティ サービス、および仮想環境との間のルーティング サービスを提供します。前のモジュールで学習したように、ESG には、North-South トラフィックをスケーラブルかつ耐障害性に優れた方法で処理するための機能が多数備わっています。

NSX Edge 分散論理ルータ(DLR)は、NSX 環境内で、カーネルベースの最適化された East-West ルーティングを実現します。分散ルーティングを導入すると、NSX 環境内で発生したワークロードを互いに直接やり取りできるため、従来のルーティング インターフェイスを経由するヘアピン トラフィックが不要になります。

ルーティング機能に加え、NSX Edge サービス ゲートウェイは、DHCP、VPN、NAT、ロードバランシング、従来のレイヤー 3 ファイアウォールなど、高度な多数のゲートウェイ サービスを提供します。これらの機能は、ESG の構成で有効にするだけですぐに使用できます。

このモジュールでは、ESG が提供するこれらのサービスの一部について詳しく見ていきます。このモジュールで学習する内容は次のとおりです。

  • 新しい Edge サービス ゲートウェイの導入
  • Edge サービス ゲートウェイ上でのロードバランシングの構成
  • ロードバランサーの構成の確認
  • Edge サービス レイヤー 3 ゲートウェイ ファイアウォールの構成
  • DHCP リレーの構成
  • L2VPN の構成

Edge サービス ゲートウェイのこれらの機能およびその他の機能の詳細については、このモジュールの最後に記載されているリンクを参照してください。


ロードバランシング用 Edge サービス ゲートウェイの導入


NSX Edge サービス ゲートウェイにはロードバランシング機能が備わっています。ロードバランサーを実装することで、リソースの効率的な利用、スケーラビリティ、アプリケーション レベルでの耐障害性など、多数のメリットが得られます。その結果、アプリケーションの応答時間が短縮され、単一サーバの機能を超えてアプリケーションを拡張できるようになります。また、HTTPS オフロードを使用してバックエンド サーバの負荷を軽減することも可能です。

ロードバランシング サービスは、レイヤー 4(TCP または UDP)とレイヤー 7(HTTP または HTTPS)で動作します。

このセクションでは、新しい NSX Edge アプライアンスを導入して 「ワンアーム構成」 のロード バランサーとして構成します。


 

実験ラボの準備状況を確認

 

  • 実習ラボのステータスは、メイン コンソールの Windows 仮想マシンのデスクトップに表示されます。

検証チェックにより、実習ラボのすべてのコンポーネントが正しく展開されていることを確認します。検証が完了するとステータスは緑色の [Ready] に更新されます。環境リソースの制約により、実習ラボの展開が失敗している可能性があります。

 

 

表示スペースの確保

 

押しピンをクリックすると、タスク ペインが折りたたまれ、メイン ペインの表示スペースが拡大します。左側のペインも折りたたむと、表示スペースが最大になります。

 

 

vSphere Web Client の [Networking & Security] セクションに移動

 

  1. [Home] アイコンをクリックします。
  2. [Networking & Security] をクリックします。

 

 

新しい Edge サービス ゲートウェイを作成

 

新しい Edge サービス ゲートウェイでロードバランシング サービスを構成します。次の手順に従って、新しい Edge サービス ゲートウェイの導入を開始します。

  1. [NSX Edges] をクリックします。
  2. 緑色のプラス アイコンをクリックします。

 

 

名前とタイプを設定

 

  1. [Name] に 「OneArm-LoadBalancer」 と入力します。
  2. [Next] をクリックします。

 

 

管理者アカウントを構成

 

  1. [Confirm Password] フィールドに 「VMware1!VMware1!」 と入力します。
  2. [Confirm Password] フィールドに 「VMware1!VMware1!」 と入力します。
  3. [Enable SSH access] をオンにします。
  4. [Next] をクリックします。

注意: NSX Edge では、12 文字以上の複雑なパスワードを使用する必要があります。

 

 

エッジ サイズと仮想マシンの配置を設定

 

Edge サービス ゲートウェイのアプライアンスには 4 種類のサイズがあります。仕様は次のとおりです。

  • Compact(コンパクト):仮想 CPU x 1、512 MB RAM
  • Large(ラージ):仮想 CPU x 2、1,024 MB RAM
  • Quad Large(クアッド ラージ):仮想 CPU x 4、2 GB RAM
  • X-Large(x ラージ):仮想 CPU x 6、8 GB RAM

この新しい Edge サービス ゲートウェイでは「コンパクト」サイズのエッジを選択しますが、Edge サービス ゲートウェイの導入後に、ほかのどのサイズにでも変更できます。新しい Edge サービス ゲートウェイの作成を続行するために、次の手順を実施します。

  1. 緑色のプラス アイコンをクリックします。[Add NSX Edge Appliances] ポップアップ ウィンドウが表示されます。

 

 

クラスター/データストアの配置

 

  1. [Cluster/Resource Pool] として [RegionA01-MGMT01] を選択します。
  2. [Datastore] として [RegionA01-ISCSI01-COMP01] を選択します。
  3. [Host] として [esx-05a.corp.local] を選択します。
  4. [OK] をクリックします。

 

 

展開の構成

 

  1. [Next] をクリックします。

 

 

NSX Edge に新しいネットワーク インターフェイスを配置

 

これはワンアーム ロード バランサーであるため、単一のネットワーク インターフェイスのみが必要です。

  1. 緑色のプラス アイコンをクリックします。

 

 

NSX Edge の新しいネットワーク インターフェイスを構成

 

新しい NSX Edge の最初のネットワーク インターフェイスを構成します。 

  1. 「Name」 に 「WebNetwork」 と入力します。
  2. [Type] として [Uplink] を選択します。
  3. [Select] をクリックします。

 

 

新しい Edge インターフェイスのネットワークを選択

 

ワンアーム ロードバランサー インターフェイスは、ロードバランシング サービスを提供する 2 台の Web サーバと同じネットワーク上に存在する必要があります。

  1. [Logical Switch] をクリックします。
  2. [Web_Tier_Logical_Switch (5006)] の左側にあるラジオ ボタンをクリックして選択します。
  3. [OK] をクリックします。

 

 

サブネットの構成

 

  1. 緑色のプラス アイコンをクリックします。このインターフェイスの IP アドレスを構成できるようになります。

 

 

IP アドレスとサブネットを構成

 

このインターフェイスに新しい IP アドレスを追加するには、次の手順を実行します。

  1. [Primary IP Address] に 「172.16.10.10」 と入力します。
  2. [Subnet Prefix Length] として 「24」 を入力します。
  3. [OK] をクリックします。

 

 

インターフェイスのリストを確認

 

IP アドレスとサブネット プレフィックスの長さの情報がこの図のとおりであることを確認します。

  1. [Next] をクリックします。

 

 

デフォルト ゲートウェイの構成

 

  1. [Gateway IP] に 「172.16.10.1」 と入力します。
  2. [Next] をクリックします。

 

 

ファイアウォールおよび高可用性のオプションを構成

 

  1. [Configure Firewall default policy] チェック ボックスをオンにします。
  2. [Default Traffic Policy] で [Accept] を選択します。
  3. [Next] をクリックします。

 

 

全体的な構成を確認して終了

 

  1. [Finish] をクリックして導入を開始します。

 

 

導入の進行状況を確認

 

NSX Edge が導入されるまで、しばらく時間がかかる場合があります。

  1. [NSX Edges] セクションには、OneArm-LoadBalancer の導入中に [1 Installing] と表示されます。
  2. OneArm-LoadBalancer の状態が [Busy] になっています。これは、展開中であることを意味します。
  3. vSphere Web Client の更新アイコンをクリックして、OneArm-LoadBalancer の導入状態を更新します。

OneArm-LoadBalancer の状態が [Deployed] になったら、次の手順に進みます。

 

ロード バランサーの Edge サービス ゲートウェイを構成


Edge サービス ゲートウェイが導入されたので、今度はロード バランシング サービスを構成します。


 

ロード バランサー サービスの構成

 

この図は、新しい NSX Edge サービス ゲートウェイ(ESG)、OneArm-LoadBalancer によって実現するロードバランサーの最終的なトポロジーです。構成が完了すると、この ESG は既存の Web_Tier_Logical_Switch 上に配置されます。この論理スイッチへのゲートウェイ接続は、既存の Perimeter-Gateway-01 ESG によって実現します。

この ESG のロードバランシング サービスは、仮想サーバ(IP アドレス 172.16.10.10)で外部からのクライアント接続を受け付けます。新しいインバウンド接続要求を受け取ったロードバランサーは、事前に作成されたプール メンバー リストから 1 台の内部サーバを選び、そのサーバに接続要求を関連付けます。この例では、web-01a.corp.local(172.16.10.11)と web-02a.corp.local(172.16.10.12)の 2 台がプール メンバーになります。

これによってロードバランサーは、インバウンド クライアントに単一のエンドポイントを提供すると同時に、それらの接続を複数の内部 Web サーバへ透過的に分散できます。Web サーバが故障するなど、何らかの原因で使用できなくなったときは、ロードバランサーがその状況を検出し、アクティブなプール メンバーのリストから該当するサーバを削除します。サービス モニターを使用してすべてのプール メンバーの状態を定期的にチェックし、故障していたサーバが回復した時点で、アクティブなプール メンバーのリストへ再び追加します。

 

 

ワンアーム ロード バランサーのロード バランサー機能を構成

 

  1. [OneArm-LoadBalancer] をダブルクリックします。

 

 

[NSX Edge] に移動します。

 

  1. [Manage] をクリックします。
  2. [Load Balancer] をクリックします。
  3. [Global Configuration] をクリックします。
  4. ロード バランサーのグローバル構成を変更するため、[Edit] をクリックします。

 

 

ロード バランサーのグローバル構成を編集

 

ロード バランサー サービスを有効にする手順は次のとおりです。

  1. [Enable Load Balancer] チェック ボックスをオンにします。
  2. [OK] をクリックします。

 

 

新しいアプリケーション プロファイルを作成

 

アプリケーション プロファイルでは、一般的なタイプのネットワーク トラフィックの動作を定義します。これらのプロファイルは、アプリケーション プロファイルで指定された値に基づいてトラフィックを処理する仮想サーバー (VIP) に適用されます。 

プロファイルを利用することで、トラフィック管理タスクはエラーがより少なくなり、より効率的になります。

  1. [Application Profiles] をクリックします。
  2. 緑色のプラス アイコンをクリックします。[New Profile] ウィンドウが開きます。

 

 

新しいアプリケーション プロファイルを HTTPS として構成

 

新しいアプリケーション プロファイルについて、次を構成します。

  1. [Name] に 「OneArmWeb-01」 と入力します。
  2. [Type] として [HTTPS] を選択します。
  3. [Enable SSL Passthrough] チェック ボックスをオンにします。これによって、HTTPS 接続が未検証のロードバランサーを介して渡され、プール サーバで終端します。
  4. [OK] をクリックします。

 

 

カスタムの HTTPS サービス モニターを定義

 

モニターにより、仮想サーバに対応するプール メンバーが機能していることを確認できます。デフォルトの HTTPS モニターは、基本の HTTP GET リクエスト(「GET /」)を使用します。ここでは、アプリケーション固有の URL の健全性をチェックするカスタム モニターを定義します。このモニターは、Web サーバが接続に応答しており、アプリケーションが正常に機能していることを確認します。

  1. [Service Monitoring] をクリックします。
  2. 新しいモニターを定義するため、緑色のプラス アイコンをクリックします。

 

 

新しいモニターを定義

 

次の情報を入力して、新しいモニターを定義します。

  1. [Name] に「custom_https_monitor」と入力します。
  2. [Type] で [HTTPS] を選択します。
  3. [URL] に「/cgi-bin/app.py」と入力します。
  4. [OK] をクリックします。

 

 

新しいプールを作成

 

プールのサーバー グループは、トラフィックのロード バランシングの対象となるノードを表すエンティティです。新しいプールに、2 台の Web サーバー web-01a および web-02a を追加します。新しいプールを作成する手順は次のとおりです。

  1. [Pools] をクリックします。
  2. 緑色のプラス アイコンをクリックします。[New Pool] ポップアップ ウィンドウが開きます。

 

 

新しいプールを構成

 

この新しいプールの設定では、次の構成を行います。

  1. [Name] に 「Web-Tier-Pool-01」 と入力します。
  2. [Monitors] として [default_https_monitor] を選択します。
  3. 緑色のプラス アイコンをクリックします。

 

 

プールにメンバーを追加

 

  1. 「Name」 に 「web-01a」 と入力します。
  2. [IP Address / VC Container] に 「172.16.10.11」 と入力します。
  3. [Port] に 「443」 と入力します。
  4. [Monitor Port] に 「443」 と入力します。
  5. [OK] をクリックします。

上記のプロセスを繰り返し、次の情報を使用してプール メンバーをもう 1 台追加します。

  • Name: web-02a
  • IP Address: 172.16.10.12
  • Port: 443
  • Monitor Port: 443

 

 

プールの設定を保存

 

  1. [OK] をクリックします。

 

 

新しい仮想サーバーを作成

 

仮想サーバは、ロードバランシング構成の「フロントエンド」からの接続を受け入れるエンティティです。ユーザー トラフィックは仮想サーバの IP アドレスに送られ、ロードバランサーの「バックエンド」に配置されたプール メンバーに再分散されます。次の手順に従って、この Edge サービス ゲートウェイ上に新しい仮想サーバを構成し、ロードバランシング構成を完了します。

  1. [Virtual Servers] をクリックします。
  2. 緑色のプラス アイコンをクリックします。[New Virtual Server] ポップアップ ウィンドウが開きます。

 

 

新しい仮想サーバーを構成

 

この新しい仮想サーバーで次のオプションを構成します。

  1. [Name] に 「Web-Tier-VIP-01」 と入力します。
  2. [IP Address] に 「172.16.10.10」 と入力します。
  3. [Protocol] として [HTTPS] を選択します。
  4. [Web-Tier-Pool-01] を選択します。
  5. [OK] をクリックします。

 

Edge サービス ゲートウェイ ロード バランサー: 構成の検証


ロード バランシング サービスを構成したので、構成を検証します。


 

仮想サーバーへのアクセスをテスト

 

  1. 新しいブラウザー タブを開きます。
  2. クリックして、ブックマークのリストを開きます。
  3. ブックマーク [1-Arm LB Customer DB] をクリックして選択します。
  4. [Advanced] をクリックします。

 

 

SSL エラーを無視

 

  1. [Proceed to 172.16.10.10 (unsafe)] をクリックします。

 

 

仮想サーバーへのアクセスをテスト

 

構成したワンアーム ロードバランサーにアクセスします。

  1. 更新アイコンをクリックします。ロードバランサーにより、両方のプール メンバーに接続が分散されていることがわかります。

注意:Chrome ブラウザーのキャッシュ機能により、再度画面を更新すると、両方のサーバを使用しているように表示されない場合があります。

 

 

プールの統計情報を表示

 

[vSphere Web Client] ブラウザー タブに戻ります。

プールの各メンバーのステータスを確認する手順は次のとおりです。

  1. [Pools] をクリックします。
  2. [Show Pool Statistics] をクリックします。
  3. [pool-1] をクリックします。各メンバーの現在のステータスが表示されます。
  4. [X] をクリックしてウィンドウを閉じます。

 

 

モニター (健全性チェック) の応答を強化

 

トラブルシューティングの際、NSX ロードバランサーの「show ...pool」コマンドを実行すると、プール メンバーの障害に関する詳細情報を確認できます。ここでは 2 種類の障害を作成し、OneArm-LoadBalancer-0 の Edge Gateway に show コマンドを実行して応答を調べます。

  1. 検索ボックスに「loadbalancer」と入力します。検索ボックスは vSphere Web Client の右上隅にあります。
  2. [OneArm-LoadBalancer-0] をクリックします。

 

 

ロード バランサー コンソールを開く

 

  1. [Summary] をクリックします。
  2. [VM console] をクリックします。

 

 

OneArm-LoadBalancer-0へのログイン

 

  1. [admin] としてログインします。
  2. パスワードとして 「VMware1!VMware1! と入力します。

 

 

障害前のプールのステータスを確認

 

  1. 「show service loadbalancer pool」 と入力します。
show service loadbalancer pool

注意: プールのメンバー web-01a と web-02a のステータスは [UP] と表示されます。

 

 

PuTTY の起動

 

  1. タスクバーの PuTTY アイコンをクリックします。

 

 

web-01a.corp.local に SSH 接続する

 

  1. [web-01a.corp.local] まで下にスクロールします。
  2. [web-01a.corp.local] を選択します。
  3. [Load] をクリックします。
  4. [Open] をクリックします。

 

 

Nginx サービスを停止

 

HTTPS をシャットダウンして最初の障害条件をシミュレーションします。

  1. 「systemctl stop nginx」 と入力します。
systemctl stop nginx

 

 

ロード バランサーのコンソール

 

  1. 「show service loadbalancer pool」 と入力します。
show service loadbalancer pool

サービスがダウンしているため、障害情報として、ロードバランサーの Health Monitor プロセスで SSL セッションを確立できないことが示されます。

 

 

NGINX サービスを開始

 

web-01a の PuTTY SSH セッションに戻ります。

1. 「systemctl start nginx」 と入力します。

systemctl start nginx

 

 

web-01a のシャットダウン

 

[vSphere Web Client] ブラウザー タブに戻ります。

  1. 検索ボックスに 「web-01a」 と入力します。検索ボックスは vSphere Web Client の右上隅にあります。
  2. [web-01a] をリックします。

 

 

web-01a のパワーオフ

 

  1. [Actions] をクリックします。
  2. [Power] をクリックします。
  3. [Power Off] をクリックします。
  4. [Yes] をクリックして操作を確定します。

 

 

プールのステータスを確認

 

  1. 「show service loadbalancer pool」 と入力します。
show service loadbalancer pool

現在、仮想マシンはダウンしているため、前の手順の L7 (SSL) 接続の場合とは異なり、クライアントが L4 接続を確立できないことが障害詳細に示されます。

 

 

web-01a のパワーオン

 

[vSphere Web Client] ブラウザー タブに戻ります。

  1. [Actions] をクリックします。
  2. [Power] をクリックします。
  3. [Power On] をクリックします。

 

 

まとめ

この実習ラボでは、新しい Edge サービス ゲートウェイを構成して、1-Arm LB Customer DB アプリケーションのロード バランシング サービスを有効にしました。

これで Edge サービス ゲートウェイのロード バランサーのレッスンは終了です。次は、Edge サービス ゲートウェイ ファイアウォールについて、より詳しく学びます。

 

Edge サービス ゲートウェイ ファイアウォール


NSX Edge ファイアウォールは、North-South トラフィックの監視を通じて境界セキュリティ機能を提供します。これに対して、NSX 分散ファイアウォールでは、各仮想マシンの仮想 NIC にポリシーが適用されます。

Edge ファイアウォールは、重要な境界セキュリティ要件への対応に役立ちます。たとえば、IP や VLAN の構成要素に基づいて DMZ を構築したり、マルチテナント仮想データセンターでテナント間を分離したり、分散ファイアウォールを使用できない物理デバイスに、従来型のルーティング ファイアウォールを適用したりできます。


 

NSX Edge ファイアウォール ルールの操作

Edge サービス ゲートウェイと論理ルータには、いずれもファイアウォールを構成するためのタブが用意されていますが、このポリシーの適用方法には大きな違いがあります。ファイアウォール ルールを論理ルータに適用する場合、これらのポリシーは論理ルータ コントロール仮想マシンに適用され、データ プレーンのコンポーネントには適用されません。データ プレーン トラフィックの保護については、論理(分散)ファイアウォールのルールを仮想 NIC に適用して East-West トラフィックを保護し、ルールを NSX Edge サービス ゲートウェイに適用して North-South トラフィック、または物理 VLAN を基盤とするポート グループ間のルーティングを保護します。

NSX Edge Gateway に適用するルールを NSX ファイアウォール ユーザー インターフェイスで作成した場合、それらは読み取り専用モードで Edge に表示されます。ルールが複数の場所に存在する場合、次の順序で表示および適用されます。

  1. ファイアウォール ユーザー インターフェイスからのユーザー定義ルール (読み取り専用)
  2. 自動的に構成されたルール(自動的に作成され、Edge サービスのコントロール トラフィックを有効にするルール)
  3. NSX Edge ファイアウォール ユーザー インターフェイスのユーザー定義ルール
  4. デフォルト ルール

 

 

[Networking & Security] を開く

 

  1. [Home] アイコンをクリックします。
  2. [Networking & Security] をクリックします。

 

 

NSX Edge を開く

 

  1. [NSX Edges] をクリックします。
  2. [Perimeter-Gateway-01] をダブルクリックします。

 

 

[Manage] タブを開く

 

  1. [Manage] をクリックします。
  2. [Firewall] をクリックします。
  3. [Default Rule] をクリックして選択します。
  4. [Action] 列の鉛筆アイコンをクリックします。
  5. [Action] フィールドで [Deny] を選択します。

注意:NSX では、ファイアウォール ルールについて次の 3 つのアクションを実行できます。

  • [Accept]:ルールに一致するトラフィックが通常どおり渡されます。
  • [Deny]:ルールに一致するトラフィックが破棄されます。トラフィックの送信元にはなにも通知されません。
  • [Reject]:[Deny] と同様、ルールに一致するトラフィックが破棄されます。ただし、パケットの送信元 IP アドレスに ICMP 到達不能メッセージが送信されます。

 

 

変更の発行

 

Edge サービス ゲートウェイ ファイアウォール設定に恒久的な変更は行いません。

  1. [Revert] をクリックして変更をロールバックします。

 

 

Edge サービス ゲートウェイのファイアウォール ルールを追加

 

既存の Edge サービス ゲートウェイ ファイアウォールの編集に慣れたところで、コントロール センターから Customer DB App へのアクセスをブロックする、新しい Edge ファイアウォール ルールを追加しましょう。

  1. 新しいファイアウォール ルールを追加するため、緑色のプラス アイコンをクリックます。
  2. [Name] 列の右上にカーソルを合わせ、鉛筆アイコンをクリックします。
  3. [Rule Name] に 「Main Console FW Rule」 と入力します。
  4. [OK] をクリックします。

 

 

ソースの指定

 

[Source] 列の右上にカーソルを合わせ、鉛筆アイコンをクリックします。

  1. [Object Type] ドロップダウン メニューをクリックして [IP Sets] を選択します。
  2. [New IP Set...] ハイパーリンクをクリックします。
  3. [Name] に 「Main Console」 と入力します。
  4. [IP Address] に 「192.168.110.10」 と入力します。
  5. [OK] をクリックします。

 

 

ソースの指定

 

  1. [Object Type] リストから [IP Sets] を選択します。
  2. [Available Objects] のリストで、[Main Console] をクリックして選択します。
  3. 右矢印をクリックします。選択したオブジェクトが [Selected Objects] のリストへ移動します。
  4. [Selected Objects] のリストに [Main Console] が追加されていることを確認して、[OK] をクリックします。

 

 

送信先の指定

 

[Destination] 列の右上にカーソルを合わせ、鉛筆アイコンをクリックします。

  1. [Object Type] のリストで [Logical Switch] を選択します。
  2. [Available Objects] のリストで、[Web_Tier_Logical_Switch] をクリックして選択します。
  3. 右矢印をクリックします。選択したオブジェクトが [Selected Objects] のリストへ移動します。
  4. [Selected Objects] のリストに [Web_Tier_Logical_Switch] が追加されていることを確認して、[OK] をクリックします。

 

 

アクションの構成

 

  1. [Action] 列の鉛筆アイコンをクリックします。
  2. [Action] フィールドで [Reject] を選択します。
  3. [OK] をクリックします。

注意:[Deny] ではなく [Reject] を選択した理由は、この後の手順で Web サーバの故障を迅速に処理するためです。[Deny] を選択すると、フローが破棄され、最終的にタイムアウトになってしまいます。[Reject] を選択すれば、接続を試行する時点でメイン コンソールへ ICMP メッセージが送られ、接続に失敗したことがオペレーティング システムへ即座に通知されます。セキュリティに関する一般的なベスト プラクティスとして、[Deny] を使用することをおすすめします。

 

 

変更の発行

 

  1. [Publish Changes] をクリックして、Perimeter-Gateway-01 (NSX Edge) 上の構成を更新します。

 

 

新しいファイアウォール ルールをテスト

 

コントロール センターが Web 層の論理スイッチにアクセスするのをブロックする新しい FW ルールを構成したので、簡単にテストを行いましょう。

  1. 新しいブラウザー タブを開きます。
  2. [Customer DB App] ブックマークをクリックします。

[Main Console] が [Customer DB App] にアクセスできないことを確認します。 Web サイトにアクセスできないことを示すブラウザー ページが表示されます。今度は FW ルールを変更して、[Main Console] が [Customer DB App] にアクセスできるようにしましょう。

 

 

Main Console FW ルールを承諾に変更

 

[vSphere Web Client] ブラウザー タブに戻ります。

  1. [Main Console FW Rule] の [Action] 列にある鉛筆アイコンをクリックします。
  2. [Action] フィールドで [Accept] を選択します。
  3. [OK] をクリックします。

 

 

 

変更の発行

 

  1. [Publish Changes] をクリックして、Perimeter-Gateway-01 (NSX Edge) 上の構成を更新します。

 

 

Customer DB App へのアクセスを確認

 

[Customer DB App] ブラウザー タブに戻ります。

  1. 更新アイコンをクリックします。

[Main Console FW] ルールが承諾に変更されたため、[Main Console] が [Customer DB App] にアクセスできるようになりました。

 

 

Main Console FW ルールの削除

 

  1. [Main Console FW Rule] をクリックして選択します。
  2. 赤色の [X] アイコンをクリックして、選択したファイアウォール ルールを削除します。
  3. [OK] をクリックします。

 

 

変更の発行

 

  1. [Publish Changes] をクリックして、Perimeter-Gateway-01 (NSX Edge) 上の構成を更新します。

 

 

まとめ

この実習ラボでは、既存の Edge サービス ゲートウェイ ファイアウォール ルールを変更し、さらに、Customer DB App への外部アクセスをブロックする新しい Edge サービス ゲートウェイ ファイアウォール ルールを構成しました。

これで Edge サービス ゲートウェイ ファイアウォールのレッスンは終了です。次は、Edge サービス ゲートウェイが DHCP サービスを管理する仕組みについて、さらに詳しく学習します。

 

DHCP リレー


ネットワーク セグメントが 1 つだけのネットワークでは、DHCP クライアントは DHCP サーバと直接通信します。DHCP サーバは、自身と同じセグメントにないネットワークを含め、複数のネットワークに IP アドレスを提供することもできます。DHCP のブロードキャスト特性により、ローカル ネットワーク以外の範囲の IP アドレスを提供する場合、DHCP サーバは要求元クライアントと直接通信できません。

このようなときは、DHCP リレー エージェントを使用して、クライアントがブロードキャストした DHCP 要求を中継します。これは、ブロードキャスト要求を、指定された DHCP サーバへユニキャスト パケットとして送信することで実現されます。DHCP サーバは、ユニキャストの送信元のアドレス範囲に基づいて DHCP スコープを選択します。DHCP 応答パケットがリレー アドレスへ送信され、さらに、元のネットワークを介してクライアントへ再ブロードキャストされます。

この実習ラボで取り上げる分野

  • NSX に新規ネットワーク セグメントを作成します。
  • 新しいネットワーク セグメント上で DHCP リレー エージェントを有効にします。
  • DHCP リレーを必要とする DHCP サーバで、事前に作成した DHCP スコープを使用します。
  • DHCP スコープ オプションを使用して、空の仮想マシンをブート(PXE)します。

この実習ラボでは、次のアイテムが事前に構成されています。

  • 適切な DHCP スコープとスコープ オプション セットを備えた Windows Server ベースの DHCP サーバー
  • PXE ブート ファイル用の TFTP サーバ(このサーバは、インストール、構成、OS ファイルのロードが完了しています)

 

ラボのトポロジー

 

この図は、この実習ラボ モジュールで作成して使用するトポロジーを示しています。

 

 

vSphere Web Client 経由で NSX にアクセス

 

  1. [Home] アイコンをクリックします。
  2. [Networking & Security] をクリックします。

 

 

新しい論理スイッチを作成

 

最初に、新しい 172.16.50.0/24 ネットワークを実行する、新しい論理スイッチを作成する必要があります。

  1. [Logical Switches] をクリックします。
  2. 新しい論理スイッチを作成するため、緑色のプラス アイコンをクリックします。

 

 

論理スイッチを境界ゲートウェイに接続

 

論理スイッチを境界ゲートウェイのインターフェイスに接続します。このインターフェイスはアドレスが 172.16.50.1 で、172.16.50.0/24 ネットワークのデフォルト ゲートウェイになります。

  1. [NSX Edges] をクリックします。
  2. [Perimeter-Gateway-01] をダブルクリックします。

 

 

DHCP リレーの構成

 

境界ゲートウェイにいるため、DHCP リレーのグローバル構成が必要です。

  1. [Manage] をクリックします。
  2. [DHCP] をクリックします。
  3. [Relay] をクリックします。
  4. [Edit] をクリックします。

 

 

PXE ブート用の空の仮想マシンを作成

 

今度は、中継先の DHCP サーバーから PXE ブートする空の仮想マシンを作成します。

  1. [Home] アイコンをクリックします。
  2. [Hosts and Clusters] をクリックします。

 

 

新しく作成した仮想マシンにアクセス

 

次に、この仮想マシンへのコンソールを開いて PXE イメージからブートする様子を観察します。この情報は、前に構成したリモート DHCP サーバーから受信します。

  1. [PXE VM] をクリックします。
  2. [Summary] をクリックします。
  3. [VM console] をクリックします。

 

 

DHCP リースの確認

 

仮想マシンがブートするのを待つ間に、DHCP リースで使用されるアドレスを確認できます。

  1. メイン コンソールのデスクトップに移動し、[DHCP] アイコンをダブルクリックします。

 

 

ブートした仮想マシンにアクセス

 

  1. [PXE VM] ブラウザー タブをクリックします。

 

 

アドレスと接続性を確認

 

仮想マシンの右上のウィジェットに、仮想マシンの IP とともに統計が表示されます。これは前に DHCP に表示された IP と一致するはずです。

 

 

まとめ

このセクションでは、新しいネットワーク セグメントを作成し、そのネットワークからの DHCP 要求を外部の DHCP サーバへ中継しました。そうすることで、この外部 DHCP サーバーのブート オプションにもアクセスでき、Linux OS に PXE できました。

次は、Edge サービス ゲートウェイ が管理する L2VPN サービスについて、より詳しく学びます。

 

L2VPN の構成


このセクションでは、NSX Edge Gateway の L2VPN 機能を活用して、2 つの独立した vSphere クラスター間の L2 境界を拡張します。この機能をデモンストレーションするため、NSX Edge L2VPN サーバーを RegionA01-MGMT01 クラスター、NSX Edge L2VPN クライアントを RegionA01-COMP01 クラスターに導入し、最後にトンネル ステータスをテストして構成が成功したことを確認します。


 

Google Chrome を開いて vSphere Web Client にアクセス

 

  1. Google Chrome Web ブラウザーをデスクトップから開きます (まだ開いていない場合)。

 

 

vSphere Web Client の [Networking & Security] セクションに移動します。

 

  1. [Home] アイコンをクリックします。
  2. [Networking & Security] をクリックします。

 

 

L2VPN サーバー用の NSX Edge Gateway を作成

 

L2VPN サーバ サービスを作成するには、まず、そのサービスを実行する NSX Edge Gateway を導入する必要があります。 

  1. [NSX Edges] をクリックします。
  2. 緑色のプラス アイコンをクリックします。

 

 

新しい NSX Edge Gateway の構成: L2VPN-Server

 

  1. [Name] に「L2VPN-Server」と入力します。
  2. [Next] をクリックします。

 

 

新しい NSX Edge Gateway の構成を設定: L2VPN-Server

 

  1. [Password] フィールドに「VMware1!VMware1!」と入力します。
  2. [Confirm Password] フィールドに 「VMware1!VMware1!」 と入力します。
  3. [Enable SSH access] をオンにします。
  4. [Next] をクリックします。

 

 

L2VPN-Server NSX Edge の L2VPN 接続の準備

新しく導入した NSX Edge の L2VPN 接続を構成する前に、次の手順を完了する必要があります。

  1. L2VPN-Server Edge Gateway にトランク インターフェイスを追加する。
  2. L2VPN-Server Edge Gateway にサブ インターフェイスを追加する。
  3. L2VPN-Server Edge Gateway にダイナミック ルーティング (OSPF) を構成する。

 

 

この NSX Edge のルーター ID を設定

 

次に、この Edge Gateway にダイナミック ルーティングを構成します。

  1. [Routing] をクリックします。
  2. [Global Configuration] をクリックします。
  3. [Edit] をクリックして [Dynamic Routing Configuration] を変更します。

 

 

L2VPN-Server NSX Edge の OSPF を構成

 

  1. [OSPF] をクリックします。
  2. [Area to Interface Mapping] の緑色のプラス アイコンをクリックします。

 

 

OSPF ルート再配布を有効化

 

  1. [Route Redistribution] をクリックします。
  2. ルート再配布状態を変更するため、[Edit] をクリックします。
  3. [OSPF] チェック ボックスをオンにします。
  4. [OK] をクリックします。

 

 

L2VPN-Server NSX Edge の L2VPN を構成

172.16.10.1 アドレスは L2VPN-Server Edge Gateway に所属し、ルートは OSPF 経由で動的に分散されます。次に、Edge が L2VPN 接続の「サーバ」として機能するように、この Edge Gateway 上で L2VPN サービスを構成します。

 

 

L2VPN-Client NSX Edge Gateway の導入

L2VPN のサーバ側を構成したので、次は、L2 VPN クライアントとして動作する新しい NSX Edge Gateway を導入します。NSX Edge Gateway L2 VPN クライアントを導入する前に、分散仮想スイッチ上で、アップリンクおよびトランクの分散ポート グループを構成する必要があります。

 

 

L2VPN-Client NSX Edge Gateway の構成

 

  1. [L2VPN-Client] をダブルクリックします。

 

ネイティブ ブリッジ


NSX では、L2 ブリッジ機能がカーネル内にソフトウェアとして組み込まれているため、VXLAN を使用して、レガシー VLAN 上で実行されている従来のワークロードを仮想ネットワークへシームレスに接続できます。論理ネットワークの導入を簡素化する L2 ブリッジは、既存の環境で広く使用されています。また、物理システムから、NSX 論理スイッチ上で稼動する仮想マシンへ L2 接続する場合も、L2 ブリッジが利用されます。

このモジュールでは、従来の VLAN と NSX 論理スイッチとの間の L2 ブリッジインスタンスを構成する方法を学びます。


 

CLI コマンドに関する特記事項

 

多くのモジュールで、コマンド ライン インターフェイス (CLI) コマンドを入力します。CLI コマンドを実習ラボに送信するには 2 つの方法があります。

1 つ目は、次の手順で CLI コマンドを実習ラボのコンソールに送信する方法です。

  1. マニュアル内の CLI コマンドを強調表示し、 + キーを押してクリップボードにコピーします。
  2. コンソール メニューで [テキストの送信] をクリックします。
  3. + キーを押して、先ほどコピーした CLI コマンドをクリップボードからウィンドウに貼り付けます。
  4. [送信] ボタンをクリックします。

2 つ目は、テキスト ファイル (README.txt) を使用する方法です。実習ラボ環境のデスクトップに用意されているこのファイルを使用すれば、関連するユーティリティ (CMD、PuTTY、コンソールなど) で、複雑なコマンドやパスワードを簡単にコピーして貼り付けることができます。各国で使用されているさまざまなキーボードの中には、一部の文字が存在しないものがあります。このテキスト ファイルは、こうした文字が存在しないキーボード レイアウトにも対応したものとなっています。

この README.txt ファイルはデスクトップにあります。 

 

 

vSphere Web Client へのアクセス

 

  • Chrome というラベルの付いたデスクトップ上のアイコンから vSphere Web Client を起動します。

 

 

初期構成の確認

 

初期構成が上図に示すとおりであることを確認します。この実習環境では、Management & Edge クラスタ上に「Bridged-Net-RegionA01-vDS-MGMT」という名前のポート グループがあります。Web サーバ仮想マシン「web-01a」と「web-02a」が Web-Tier-01 論理スイッチに接続されています。Web-Tier-01 論理スイッチは Bridged-Net から分離されています。

 

 

Web-01a を RegionA01-MGMT01 クラスターへ移行

 

  1. [Home] アイコンをクリックします。
  2. [VMs and Templates] をクリックします。

 

 

接続された仮想マシンを表示

 

  1. [Home] アイコンをクリックします。
  2. [Networking] をクリックします。

 

 

Web_Tier_Logical_Switch を分散ルータに移行

 

  1. [Home] アイコンをクリックします。
  2. [Network & Security] をクリックします。

 

 

NSX L2 ブリッジの構成

 

VLAN 101 と Web-Tier-01 論理スイッチとの間の NSX L2 ブリッジを有効にして、web-01a.corp.local がネットワークのほかの部分と通信できるようにします。この構成では、L2 ブリッジと分散論理ルータ インターフェイスの両方が同じ Web-Tier 論理スイッチ上で有効になります。

 

 

L2 ブリッジの確認

これで NSX L2 ブリッジを構成できました。次は、VLAN 101 に接続された web-01a 仮想マシンと、Web_Tier_Logical_Switch に接続された web-02a 仮想マシンとの L2 接続を確認します。

 

 

L2 ブリッジ モジュールのクリーンアップ

このハンズオン ラボの別のモジュールに進む場合は、必ず次の手順に従って L2 ブリッジを削除してください。L2VPN など、このシナリオで使用したサンプル構成を残しておくと、ほかのセクションの操作を正常に行えない可能性があります。

 

 

Web-01a の RegionA01-COMP01 クラスターへの移行

 

  1. [Home] アイコンをクリックします。
  2. [VMs and Templates] をクリックします。

 

モジュール 4 のまとめ


このモジュールでは、NSX Edge サービス ゲートウェイの高度な機能を取り上げました。

  1. 新しい Edge サービス ゲートウェイ(ESG)を導入し、ワンアーム ロードバランサーとして構成しました。
  2. 既存の ESG のファイアウォール ルールを変更して作成しました。
  3. ESG から DCHP リレーを構成しました。
  4. ESG から L2VPN を構成しました。

 

モジュール 4 の終了

モジュール 4 はこれで終了です。お疲れ様でした。

NSX の導入についてさらに詳しい情報が必要な場合は、以下の URL から NSX 6.4 ドキュメント センターにアクセスしてください。

次のモジュールのいずれかに進みます。

実習ラボのモジュール リスト:

実習ラボ責任者:

  • モジュール 1 ~ 4:NSX システム エンジニア スタッフ(米国)、ジョー・コロン(Joe Collon)

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

まとめ

VMware ハンズオン ラボにご参加いただき、ありがとうございました。 http://hol.vmware.com/ にアクセスして、引き続きオンラインでハンズオン ラボをご体験ください。

Lab SKU: HOL-1903-01-NET

Version: 20181114-020108