VMware ハンズオン ラボ - HOL-1926-01-NET


実習ラボの概要:HOL-1926-01-NET:VMware NSX-T

実習ラボのガイダンス


注:この実習ラボの所要時間は 90 分以上を想定しています。1 回の実習時間あたり 2 ~ 3 モジュールを目安に学習してください。 モジュールは相互に独立しているため、どのモジュールから開始することも、どの順序で実施することもできます。各モジュールには、目次から直接移動できます。

目次を表示するには、実習ラボ マニュアルの右上の [目次] をクリックします。

実習ラボのモジュールのリスト

実習ラボ責任者:

この実習ラボ マニュアルは、次のハンズオン ラボ ドキュメント サイトからダウンロードできます。

http://docs.hol.vmware.com

一部の実習ラボは、英語以外の言語でも提供されています。 言語設定を変更し、翻訳版のマニュアルを実習ラボで使用する手順については、次のドキュメントを参照してください。

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

メイン コンソールの表示位置

 

  1. 赤い四角の領域には、メイン コンソールが表示されます。 実習ラボ マニュアルは、メイン コンソールの右側のタブに表示されます。
  2. 実習ラボによっては、左上の別のタブに追加のコンソールが用意されていることがあります。この場合、実習ラボ マニュアルの説明に従って、指定されたコンソールを開いてください。
  3. この実習ラボでは、開始時に 90 分のタイマーが表示されます。 このラボで行った作業内容は保存できません。 すべての作業は、実習ラボ セッション内に完了してください。 時間が足りない場合は、[延長] をクリックして時間を延長することができます。 VMware イベントでご使用の場合は、実習ラボの時間を 2 回まで、最大 30 分延長できます。 [延長] を 1 回クリックすると、時間が 15 分間延長されます。 VMware イベント以外でご使用の場合は、実習ラボの時間を最大 9 時間 30 分延長できます。[延長] を 1 回クリックすると、時間が 1 時間延長されます。

 

 

キーボード以外の方法によるデータ入力

このモジュールでは、メイン コンソールでテキストを入力します。複雑なデータを入力する場合、キーボードから直接入力する以外に、次の 2 つの方法を使用すると入力しやすくなります。

 

 

クリック アンド ドラッグによるコピー

 
 

実習ラボ マニュアルに記載されているテキストやコマンド ライン インターフェイス(CLI)のコマンドは、クリック アンド ドラッグによってメイン コンソールのアクティブ ウィンドウに直接コピーできます。  

 

 

オンラインの国際キーボードにアクセスする

 

キーボード配列によっては、特定の文字や記号が入力しにくいことがあります。そのような場合、メイン コンソールに、オンラインの国際キーボードを表示して使用すると便利です。

  1. キーボードは、Windows のクイック起動タスク バーで、キーボードのアイコンをクリックして表示します。

 

 

Windows のライセンス認証に関するウォーターマーク

 

実習ラボを初めて開始すると、Windows のライセンス認証が完了していないことを知らせるウォーターマーク(透かし)がデスクトップに表示される場合があります。  

仮想化の大きなメリットの 1 つは、仮想マシンを任意のプラットフォームに移動して実行できることです。 ハンズオン ラボも、このメリットを活用して複数のデータセンターから実行できるようになっています。 ただし、これらのデータセンターでは必ずしも同じ種類のプロセッサーを使用しているとは限りません。プロセッサーが異なると、インターネット経由で Microsoft のライセンス認証チェックが行われます。

この場合でも、VMware とハンズオン ラボは Microsoft 社のライセンス要件に完全に準拠しているため、安心してご利用いただけます。 ご利用の実習ラボは自己完結型ポッドであり、Windows のライセンス認証の確認に必要なインターネットへの完全なアクセスがありません。 インターネットへの完全なアクセスがないと、この自動プロセスは失敗し、このようなウォーターマークが表示されます。

これは表面上の問題であり、実習ラボへの影響はありません。  

 

 

画面右下でラボの準備完了を確認

 

画面の右下部分で、すべての起動ルーチンが完了し、開始する準備ができていることを確認してください。表示が [Ready] になったことを確認して、学習を開始してください。[Ready] になるまで数分間かかります。 5 分経過しても [Ready] にならない場合は、サポートにお問い合わせください。

 

モジュール 1:NSX-T の概要(15 分)

NSX-T の概要


このモジュールでは、NSX-T、その機能、ソリューションを構成するコンポーネントについて説明します。


 

ラボのトポロジー

 

 

 

NSX の実習ラボのトポロジー

 

 

 

NSX-T とは

VMware NSX-T は、さまざまな種類のエンドポイントやテクノロジー スタックが混在する新しいアプリケーション フレームワークおよびアプリケーション アーキテクチャに対応できるように設計されています。こうした環境には、vSphere に加え、ハイパーバイザー(KVM)、コンテナ、パブリック クラウドなどが含まれます。NSX-T を利用することで、IT チームや開発チームは、それぞれのアプリケーションに最適なテクノロジーを選択できます。NSX-T は、IT チームだけでなく、開発チームによる管理、運用、利用が可能です。

サーバの仮想化により、ソフトウェア ベースの仮想マシン(VM)では、作成、スナップショット処理、削除、およびリストアを、プログラムによって実行できます。これと同様に、NSX-T のネットワーク仮想化により、ソフトウェア ベースの仮想ネットワークでは、作成、スナップショット処理、削除、およびリストアを、プログラムによって実行できます。

ネットワークの仮想化では、ネットワーク ハイパーバイザーが、レイヤー 2 ~ レイヤー 7 のネットワーク サービス(スイッチ、ルータ、アクセス コントロール、ファイアウォール、QoS など)をソフトウェア内で完全に再現します。その結果、これらのサービスも、プログラムによって任意に組み合わせることができ、分離された独自の仮想ネットワークを数秒で生成できます。

NSX-T は、3 つの独立した統合プレーン(管理、制御、データ)を実装して動作します。3 つのプレーンは、プロセス、モジュール、エージェントのセットとして実装され、マネージャ ノード、コントローラ ノード、トランスポート ノードという、3 種類のノード上に存在します。

 

 

NSX-T コンポーネント(パート 1)

 

データ プレーン

制御プレーンによって入力されたテーブルに基づいて、パケットのステートレス転送/変換を行い、トポロジー情報を制御プレーンに報告して、パケット レベルの統計情報を保持します。

データ プレーンは、VIF の場所、トンネル ステータスなど、物理トポロジーとコンポーネントのステータスに関する、唯一の正しい情報源です。パケットをある場所から別の場所に移動する処理を行っているのがデータ プレーンです。また、データ プレーンは、複数のリンク/トンネルのステータスを管理し、フェイルオーバーを処理します。遅延やジッターの要件が非常に厳しい場合、パケット単位のパフォーマンスが重要です。データ プレーンはカーネル、ドライバ、ユーザースペース、または特定のユーザースペース プロセスに完全に含まれているとは限りません。データ プレーンは、制御プレーンによって入力されるテーブル/ルールに基づいて、完全にステートレスな転送に制約されます。

データ プレーンには、TCP ターミネーションなどの機能の状態を、ある程度まで保持するコンポーネントが存在する場合もあります。これは、MAC:IP アドレス トンネル マッピングなど、制御プレーンで管理される状態とは異なります。制御プレーンで管理される状態はパケットの転送方法に関するものであるのに対して、データ プレーンで管理される状態はペイロードの操作方法に限られます。

 

制御プレーン

管理プレーンからの構成に基づいてすべての短期的なランタイム状態を算出し、データ プレーン要素からレポートされたトポロジー情報を伝達し、ステートレス構成を転送エンジンにプッシュします。

制御プレーンは、ネットワークへのシグナル伝達と説明されることがあります。固定ユーザー構成がある場合に、データ プレーンをメンテナンスするためにメッセージを処理する際には、制御プレーンでその処理を行います。たとえば、仮想マシン(VM)の vMotion に応答するのは制御プレーンの役割ですが、仮想マシンを論理ネットワークに接続するのは管理プレーンの役割です。制御プレーンは、データ プレーン要素からのトポロジー情報のリフレクタとして機能することがよくあります(TEP 用の MAC/トンネル マッピングなど)。その他の場合、制御プレーンはいくつかのデータ プレーン要素から受信したデータを処理して、いくつかのデータ プレーン要素を構成(または再構成)します。たとえば、VIF ロケータを使用して、トンネルの正しいサブセット メッシュを計算し、確立します。

制御プレーンが処理するオブジェクトのセットには、VIF、論理ネットワーク、論理ポート、論理ルータ、IP アドレスなどが含まれます。

制御プレーンは、NSX-T で 2 つの部分に分けられます。中央制御プレーン(CCP)は NSX Controller クラスタ ノードで実行され、ローカル制御プレーン(LCP)は制御対象のデータ プレーンに隣接するトランスポート ノードで実行されます。中央制御プレーンは、管理プレーンからの構成に基づいていくつかの短期的なランタイム状態を算出し、データ プレーン要素からレポートされた情報を、ローカル制御プレーンを介して伝達します。ローカル制御プレーンは、ローカル リンク ステータスを監視し、データ プレーンおよび CCP から得た更新に基づいて、もっとも短期的なランタイム情報を算出し、ステートレス構成を転送エンジンにプッシュします。LCP は、それをホストするデータ プレーン要素に依存します。

管理プレーン

管理プレーンはシステムへの単一の API エントリ ポイントで、ユーザー設定の維持とユーザー クエリの処理のほか、システム内の管理プレーン、制御プレーン、データ プレーンのすべてのノードの操作を行います。

NSX-T では、ユーザー構成のクエリ、変更、維持に関するものはすべて管理プレーンの役割となり、その設定の適切なデータ プレーン要素への伝達は制御プレーンの役割となります。これは、一部のデータが、その存在の段階に応じて、複数のプレーンに属することを意味します。管理プレーンは、制御プレーン、また場合によってはデータ プレーンへの最近のステータスや統計情報のクエリも処理します。

管理プレーンは、構成された(論理)システムの唯一の情報源であり、ユーザーが構成を通じて管理します。変更は、RESTful API または NSX-T のユーザー インターフェイスを使用して行います。

NSX には、すべてのクラスタ ノードとトランスポート ノードで実行される管理プレーン エージェント(MPA)もあります。ユースケースの例として、中央の管理ノード アドレスの認証情報、パッケージ、統計情報、ステータスなどのブートストラッピング構成があります。MPA は制御プレーンとデータ プレーンから独立して実行でき、プロセスがクラッシュするか、反応しなくなった場合は独立して再起動できますが、同じホストで実行されているため運命をともにする場合もあります。MPA はローカル アクセスとリモート アクセスが可能です。MPA はトランスポート ノード、制御ノード、管理ノードで動作して、ノード管理を行います。トランスポート ノードでは、データ プレーンに関連するタスクが実行される場合もあります。

管理プレーンでは次のタスクが実行されます。

 

 

NSX-T コンポーネント(パート 2)

 

NSX Manager

NSX Manager で提供されるグラフィカル ユーザー インターフェイス(GUI)と REST API を使用すると、NSX Controller や論理スイッチ、Edge サービス ゲートウェイなどの NSX-T コンポーネントの作成、構成、監視を行うことができます。

NSX Manager は、NSX-T のエコシステムにおける管理プレーンです。NSX Manager は、NSX-T のネットワーク集中管理コンポーネントで、集約されたシステム ビューを提供します。NSX-T で作成された仮想ネットワークに関連するワークロードの監視とトラブルシューティングの方法を提供します。次のような構成とオーケストレーションを行うことができます。

NSX Manager では、組み込みサービスと外部サービスの両方についてシームレスなオーケストレーションを行うことができます。組み込みサービスとサードパーティ サービスを含む、すべてのセキュリティ サービスは NSX-T の管理プレーンで展開、構成されます。管理プレーンでは、1 つの画面で複数のサービスの可用性を確認できます。また、ポリシー ベースのサービス チェーン、コンテキスト共有、サービス間イベントを容易に操作できます。これにより、セキュリティ状態の監査を簡素化し、ID ベースの制御(Active Directory やモビリティ プロファイルなど)を効率的に適用できるようになります。

NSX Manager は、利用の自動化のための REST API エントリ ポイントにもなります。この柔軟なアーキテクチャにより、任意のクラウド管理プラットフォーム、セキュリティ ベンダー プラットフォーム、または自動化フレームワークを通じて、構成と監視に関するあらゆる要素を自動化できます。

NSX-T の管理プレーン エージェント(MPA)は、すべてのノード(ハイパーバイザー)に常駐する NSX Manager のコンポーネントです。MPA は、システムの適切な状態を維持し、また設定、統計、ステータス、リアルタイム データなどのフロー制御以外(NFC)のメッセージをトランスポート ノードと管理プレーンの間でやりとりする役割を担います。

 

NSX Controller

NSX Controller は、仮想ネットワークおよびオーバーレイ トランスポート トンネルを制御する高度な分散状態管理システムです。

NSX Controller は、可用性に優れた仮想アプライアンスのクラスタとして展開され、NSX-T アーキテクチャ全体にわたり仮想ネットワークをプログラムによって展開する役割を担います。NSX-T の中央制御プレーン(CCP)はすべてのデータ プレーン トラフィックから論理的に分離されます。このため、制御プレーンで障害が発生しても、既存のデータ プレーンの処理に影響はありません。トラフィックはコントローラを経由しません。コントローラは、論理スイッチ、論理ルータ、エッジ構成など、他の NSX Controller コンポーネントに構成を提供する役割を担います。ネットワークでは、データ転送の安定性と信頼性が、重要な関心事です。高可用性とスケーラビリティをさらに向上するために、NSX Controller は 3 インスタンスのクラスタで展開されます。

 

N-VDS スイッチ

NSX プラットフォームでは、N-VDS スイッチ(論理スイッチ)機能によって、仮想マシンと同じ柔軟性と俊敏性で、独立型の論理 L2 ネットワークを追加できます。

仮想データセンターのクラウド環境には、複数のテナントに跨るさまざまなアプリケーションが存在します。セキュリティ、障害分離、IP アドレス重複の問題回避のために、これらのアプリケーションとテナントは互いに分離させる必要があります。仮想エンドポイントと物理エンドポイントは論理セグメントに接続し、データセンター ネットワーク内の物理的な位置に関係なく、接続を確立できます。これは、ネットワーク インフラストラクチャを、NSX-T のネットワーク仮想化による論理ネットワークから(つまり、基盤ネットワークをオーバーレイ ネットワークから)切り離すことで実現します。

論理スイッチは、レイヤー 3 の IP アドレス アクセスが可能な多数のホストにわたるレイヤー 2 スイッチ接続を表します。論理ネットワークを一部のホストに制限するか、接続についてカスタムの要件がある場合は、追加の論理スイッチを作成する必要があることがあります。

 

 

NSX-T コンポーネント(パート 3)

 

論理ルータ

NSX-T の論理ルータは、North-South 接続を提供するため、テナントからパブリック ネットワークへのアクセスが可能です。また、同じテナント内の異なるネットワーク間の East-West 接続も提供します。

論理ルータは、従来型のネットワーク ハードウェア ルータにおける構成されたパーティションです。ハードウェアの機能を複製し、単一のルータ内に複数のルーティング ドメインを作成します。論理ルータは物理ルータで処理できるタスクの一部を実行します。また、それぞれ複数のルーティング インスタンスやルーティング テーブルを含めることができます。論理ルータの使用は、ルータの使用率を最大化するための効果的な方法です。単一の物理ルータ内の複数の論理ルータで、以前は複数の装置で実行していた処理を実行できるからです。

NSX-T では、2 層の論理ルータ トポロジーを作成できます。上位の論理ルータが Tier-0、下位の論理ルータが Tier-1 です。この構成では、プロバイダー管理者とテナント管理者の両者が、それぞれのサービスとポリシーを完全に制御できます。プロバイダー管理者が Tier-0 のルーティングとサービスを制御および構成し、テナント管理者が Tier-1 を制御および構成します。Tier-0 の North 側の端は物理ネットワークとのインターフェイスになり、ここでダイナミック ルーティング プロトコルを設定して、物理ルータとルーティング情報を交換できます。Tier-0 の South 側の端は複数の Tier-1 ルーティング レイヤーと接続し、これらからルーティング情報を受け取ります。リソースの使用率を最適化するため、Tier-0 レイヤーは物理ネットワークから受け取るすべてのルートを Tier-1 にプッシュするのではなく、デフォルト情報を提供します。

Tier-1 ルーティング レイヤーのサウスバウンドは、テナント管理者によって定義された論理スイッチと接続し、その論理スイッチとの間の 1 ホップルーティング機能を提供します。Tier-1 に接続されたサブネットに物理ネットワークからアクセスするには、Tier-0 レイヤー方向のルート再配分を有効化する必要があります。ただし、Tier-1 レイヤーと Tier-0 レイヤーの間に従来のルーティング プロトコル(OSPF、BGP など)はなく、すべてのルートが NSX-T の制御プレーンを経由します。注:プロバイダーとテナントを分離する必要がない場合は、2 層のルーティング トポロジーは必須ではありません。この場合には、1 層のトポロジーを作成できます。論理スイッチは Tier-0 レイヤーに直接接続し、Tier-1 レイヤーはありません。

論理ルータは 2 つのオプションで構成されます。1 つの分散ルータ(DR)と、1 つまたは複数のサービス ルータ(SR)です。

DR は、この論理ルータに接続している仮想マシンのハイパーバイザーに加え、論理ルータがバインドされている Edge ノードにまたがります。機能的には、DR は、この論理ルータに接続している論理スイッチまたは論理ルータ、あるいはその両方の間で 1 ホップの分散ルーティングを担います。SR は、ステートフル NAT など、現在は分散式で実装されていないサービスの提供を担います。

論理ルータには DR が必ずあり、次のいずれかの条件を満たす場合は SR があります。

NSX-T の管理プレーン(MP)が、サービス ルータを分散ルータに接続する構成の自動作成を担います。MP は、中継論理スイッチを作成し、VNI を割り当ててから、各 SR と DR にポートを作成し、これらを中継論理スイッチに接続して、SR と DR に IP アドレスを割り当てます。

 

NSX Edge ノード

NSX Edge ノードは、ルーティング サービスと NSX-T 環境の外部のネットワークへの接続を提供します。

NSX Edge ノードによって、複数のサブネットにわたっている同一ホスト上に存在する仮想マシンまたはワークロードは、従来のルーティング インターフェイスを経由することなく相互に通信できます。

NSX Edge ノードは、NSX-T ドメインから、Tier-0 ルータを経由して、BGP またはスタティック ルーティングで外部接続を確立するために必要です。また、Tier-0 または Tier-1 のいずれかの論理ルータでネットワーク アドレス変換(NAT)サービスが必要な場合は、NSX Edge ノードを展開する必要があります。

NSX Edge ノードは、NAT、ダイナミック ルーティングなどの一般的なゲートウェイ サービスを提供して、分離されたスタブ ネットワークを共有(アップリンク)ネットワークへ接続します。NSX Edge ノードは一般的に DMZ やマルチテナントのクラウド環境などに展開され、マルチテナントのクラウド環境では各テナント用の仮想境界を構築します。

 

トランスポート ゾーン

トランスポート ゾーンは、論理スイッチでアクセスできるホストを制御します。トランスポート ゾーンは、1 つまたは複数のホスト クラスタにわたって使用できます。トランスポート ゾーンでは、特定のネットワークを使用できるホストと仮想マシンを指定します。

トランスポート ゾーンは、物理ネットワーク インフラストラクチャを介して相互に通信できるホストの集合を定義します。この通信は、トンネル エンドポイント(TEP)として定義されている、1 つ以上のインターフェイスを介して行われます。

2 台のトランスポート ノードが同じトランスポート ゾーンにある場合、両方のトランスポート ノードでホストされる仮想マシンは、同じトランスポート ゾーン内の NSX-T 論理スイッチを認識して、接続できます。これにより、仮想マシンがレイヤー 2/レイヤー 3 に到達できる場合は、仮想マシン同士が互いに通信できるようになります。各仮想マシンが、それぞれ別のトランスポート ゾーン内のスイッチに接続されている場合、それらの仮想マシンは互いに通信できません。トランスポート ゾーンは、レイヤー 2/レイヤー 3 接続性要件に代わるものではありませんが、接続性に制約を加えます。つまり、相互に接続するには、前提条件として同じトランスポート ゾーンに属する必要があります。この前提条件が満たされれば、相互接続は可能になりますが、自動的に通信が可能となるわけではありません。実際に接続を可能にするには、レイヤー 2 および別のサブネットの場合はレイヤー 3 ネットワークが正しく動作している必要があります。

ノードに 1 台以上のホストスイッチが含まれている場合、そのノードはトランスポート ノードとして機能できます。ホスト トランスポート ノードを作成し、トランスポート ゾーンに追加すると、NSX-T によってホストにホストスイッチがインストールされます。ホストが属する各トランスポート ゾーンごとに、別のホストスイッチがインストールされます。ホストスイッチは、仮想マシンを NSX-T 論理スイッチに接続するとき、および NSX-T 論理ルータのアップリンクとダウンリンクを作成するときに使用されます。

 

 

コンポーネントの用語集

このドキュメントとユーザー インターフェイスで使用されている NSX-T の一般的な概念について説明します。

制御プレーン

管理プレーンからの構成に基づいてランタイム状態を算出します。制御プレーンは、データ プレーン要素からレポートされたトポロジー情報を伝達し、ステートレス構成を転送エンジンにプッシュします。

データ プレーン

制御プレーンによって入力されるテーブルに基づいて、パケットのステートレスな転送または変換を行います。データ プレーンはトポロジー情報を制御プレーンに報告し、パケット レベルの統計情報を保持します。

外部ネットワーク

NSX-T の管理対象ではない物理ネットワークまたは VLAN です。NSX Edge を通じて、論理ネットワークまたはオーバーレイ ネットワークを外部ネットワークにリンクできます。例として、オンプレミスのデータセンター内の物理ネットワークや、物理環境内の VLAN などが挙げられます。

ファブリック ノード

NSX-T の管理プレーンに登録され、NSX-T モジュールがインストールされているノードです。ハイパーバイザー ホストまたは NSX Edge を NSX-T のオーバーレイの一部にするためには、NSX-T のファブリックに追加する必要があります。

ファブリック プロファイル

NSX Edge クラスタに関連付けることができる特定の構成を表します。たとえば、ファブリック プロファイルには、停止したピアを検出するためのトンネリング プロパティを含めることができます。

論理ルータ

分散 East - West ルーティングを提供する NSX-T のルーティング エンティティです。また論理ルータは、Tier-1 ルータと Tier-0 ルータをリンクします。 

論理ルータ ポート

論理スイッチ ポート、または物理ネットワークへのアップリンク ポートを接続できる、論理ネットワーク ポートです。ネットワーク アドレス変換(NAT)、ロードバランシング、境界ファイアウォール、VPN などの、ネットワーク サービスを提供します。

論理スイッチ

仮想マシン インターフェイスとゲートウェイ インターフェイスに仮想レイヤー 2 スイッチングを提供する API エンティティです。論理スイッチは、物理レイヤー 2 スイッチに対応する論理スイッチをテナント ネットワークの管理者に提供し、管理者が複数の仮想マシンを共通のブロードキャスト ドメインに接続できるようにします。論理スイッチは、物理ハイパーバイザー インフラストラクチャに依存せず、多数のハイパーバイザーに跨る論理エンティティであり、物理的な場所を問わずに仮想マシンを接続します。このため、テナント ネットワークの管理者が再構成することなく仮想マシンを移行できます。

マルチテナントのクラウドでは、各レイヤー 2 セグメントを相互に分離した状態で、多数の論理スイッチを同じハイパーバイザー ハードウェアに並列に配置できます。論理スイッチは論理ルータを使用して接続でき、論理ルータは外部物理ネットワークに接続したアップリンク ポートを提供できます。

論理スイッチ ポート

仮想マシン ネットワーク インターフェイスまたは論理ルータ インターフェイスへの接続を確立するための論理スイッチの接続ポイントです。論理スイッチ ポートは、適用されているスイッチング プロファイル、ポートの状態、リンクのステータスを報告します。

管理プレーン

システムへの単一の API エントリ ポイントで、ユーザー設定の維持とユーザー クエリの処理のほか、システム内の管理プレーン、制御プレーン、データ プレーンのすべてのノードの操作を行います。管理プレーンは、ユーザー構成のクエリ、変更、維持も行います。

NSX Controller クラスタ

可用性に優れた仮想アプライアンスのクラスタとして展開され、NSX-T アーキテクチャ全体にわたり仮想ネットワークをプログラムによって展開する役割を担います。

NSX Edge クラスタ

高可用性の監視に関わるプロトコルと同じ設定を持つ NSX Edge ノード アプライアンスの集合です。

NSX Edge ノード

IP ルーティングと IP サービスの機能のための処理能力を提供するコンポーネントです。

NSX-T ホストスイッチまたは KVM Open vSwitch

ハイパーバイザー上で実行され、物理的なトラフィック転送を行うソフトウェアです。ホストスイッチ(OVS とも呼ばれます)は、テナント ネットワークの管理者から認識できず、各論理スイッチが依存する、基盤となる転送サービスを提供します。ネットワークを仮想化するには、ネットワーク コントローラは、テナントの管理者が論理スイッチを作成、設定したときに定義した論理ブロードキャスト ドメインを形成するネットワーク フロー テーブルを使用して、ハイパーバイザー ホストスイッチを構成する必要があります。

各論理ブロードキャスト ドメインは、トンネル カプセル化メカニズム Geneve を使用して、仮想マシン間のトラフィックと、仮想マシンと論理ルータの間のトラフィックをトンネリングすることで実装されます。ネットワーク コントローラは、データセンター全体を把握でき、仮想マシンの作成、移動、削除に伴ってハイパーバイザー ホストスイッチのフロー テーブルが更新されることを確認することができます。

NSX Manager

API サービス、管理プレーン、エージェント サービスをホストするノードです。

Open vSwitch(OVS)

XenServer、Xen、KVM、およびその他の Linux ベースのハイパーバイザーで、ハイパーバイザー ホストスイッチとして機能する、オープン ソース ソフトウェア スイッチです。NSX Edge のスイッチング コンポーネントは OVS に基づいています。

オーバーレイ論理ネットワーク

仮想マシンで認識されるトポロジーが、物理ネットワークのトポロジーから切り離されるように、レイヤー 3 へのレイヤー 2 トンネリングを使用して実装された論理ネットワークです。

物理インターフェイス(pNIC)

ハイパーバイザーがインストールされている物理サーバ上のネットワーク インターフェイスです。

Tier-0 論理ルータ

プロバイダー論理ルータは、物理ネットワークへのインターフェイスとなる Tier-0 論理ルータとも呼ばれます。Tier-0 論理ルータは最上位のルータであり、サービス ルータのアクティブ/アクティブ クラスタまたはアクティブ/スタンバイ クラスタとして実現できます。論理ルータは BGP を実行し、物理ルータとピアリングされます。アクティブ/スタンバイ モードでは、論理ルータがステートフル サービスを提供することもできます。

Tier-1 論理ルータ

Tier-1 論理ルータは、第 2 層のルータです。ノースバウンド接続用に 1 台の Tier-0 論理ルータと接続し、サウスバウンド接続用に 1 つ以上のオーバーレイ ネットワークと接続します。Tier-1 論理ルータには、ステートフル サービスを提供するサービス ルータのアクティブ/スタンバイ クラスタを使用できます。

トランスポート ゾーン

論理スイッチの最大範囲を定義するトランスポート ノードの集合です。トランスポート ゾーンは、同じようにプロビジョニングされた一連のハイパーバイザーと、これらのハイパーバイザー上の仮想マシンを接続する論理スイッチを表します。NSX-T は、論理スイッチで有効になっている機能がわかるため、必要なサポート ソフトウェア パッケージをホストに展開できます。

仮想マシン インターフェイス(vNIC)

仮想ゲスト OS と標準の仮想スイッチまたは vSphere Distributed Switch の間の接続を提供する、仮想マシン上のネットワーク インターフェイスです。vNIC は論理ポートに接続できます。vNIC は、固有の ID(UUID)で識別できます。

TEP

トンネル エンドポイントです。トンネル エンドポイントによって、ハイパーバイザー ホストを NSX-T のオーバーレイに加えることができます。NSX-T のオーバーレイは、パケット内にフレームをカプセル化し、基盤となるトランスポート ネットワーク上でパケットを送信することで、レイヤー 2 ネットワークを既存のレイヤー 3 ネットワーク ファブリック上に展開します。基盤となるトランスポート ネットワークは、別のレイヤー 2 ネットワークである場合と、レイヤー 3 の境界をまたぐ場合があります。TEP は、カプセル化とカプセル化解除が行われる接続ポイントです。

仮想ネットワーク インターフェイス(VNI)

仮想スイッチに接続する仮想マシンによって作成されたネットワーク インターフェイスです。VNI は、物理マシン上の物理ネットワーク インターフェイスと同等です。

 

モジュール 2:ホストの準備と論理スイッチ(45 分)

ホストの準備と論理スイッチ:モジュールの概要


この実習ラボでは、NSX-T のホストの準備を行い、論理スイッチを構成します。


NSX-T の KVM ホストの準備


このセクションでは、NSX Manager を確認し、それが動作していることを確認します。次に、KVM ホストを NSX ファブリックに追加し、接続されていることを確認します。


 

Google Chrome の起動

 

 

 

NSX-T の Web インターフェイスを開く

 

NSX-V では、vSphere Web Client のプラグインを使用して NSX の管理を行いますが、NSX-T ではそれとは異なり、Web インターフェイスを利用して管理を行います。

 

 

NSX-T Web インターフェイスへのログイン

 

次の手順で NSX-T Web インターフェイスにログインします。

  1. ユーザー名フィールドに「admin」と入力します。
  2. パスワード フィールドに「VMware1!」と入力します。
  3. [Log In] をクリックします。

 

 

NSX ホーム ページ

 

NSX ホーム ページでは、NSX で利用できるコンポーネントが表示されます。

1. 左側にある [Dashboard] タブをクリックします。

 

 

NSX ダッシュボード

 

新しい NSX ダッシュボードでは、NSX コンポーネントの全体像と、各コンポーネントの健全性が表示されます。   

 

 

NSX システムの概要

 

ここでは、NSX Manager と NSX Controller の情報を確認します。

  1. 左側の [System] をクリックします。
  2. [Overview] がデフォルトで表示されていない場合には、[Overview] をクリックします。

この画面では、CPU、RAM、インターフェイス情報などの、管理クラスタ情報が表示されます。下にスクロールして、クラスタ情報を表示します。

 

 

NSX-T の UI でホストに移動

 

次に、KVM ホストをファブリックに追加します。

 

 

NSX-T に KVM ホストを追加

 

  1. [Hosts] をクリックします。
  2. [Fabric] メニューの [Notes] セクションを選び、[Hosts] タブで [Add] をクリックします。

 

 

NSX-T に KVM ホストを追加

 

[Add Host] ウィンドウで、次の情報を入力します。

  1. [Name] フィールドに「kvm-02a.corp.local」と入力します。
  2. [IP Addresses] フィールドに「192.168.110.62」と入力します。
  3. [Operating System] フィールドで、ドロップダウンから「Ubuntu KVM」を選択します。
  4. [Username] フィールドに「vmware」と入力します。
  5. [Password] フィールドに「VMware1!」と入力します。
  6. [Save] をクリックします。

 

 

NSX-T に KVM ホストを追加

 

前の手順で [Save] をクリックすると、無効なサムプリントについての警告が表示されます。

 

 

NSX-T に KVM ホストを追加

 

数分で KVM への NSX-T ソフトウェアのインストールが完了します。[Deployment Status] に [NSX Installed] と表示されます。

ここで待つこともできます。または先に進んで、後から戻って確認することもできます。

 

 

アップリンクのプロファイル構成の確認

 

  1. NSX-T ユーザー インターフェイスの左側のメニューの [Fabric] セクションの下で、[Profiles] をクリックします。
  2. [Uplinks Profiles] をクリックします。
  3. [nsx-default-uplink-hostswitch-profile] をクリックします。

 

 

アップリンクのプロファイル構成の確認

 

[nsx-default-uplink-hostswitch-profile] のアップリンク プロファイルの構成が、次のようになっていることを確認します。

 

 

IP プール構成の確認

 

  1. NSX-T のユーザー インターフェイスの左側のメニューで、[Inventory] をクリックします。
  2. [Inventory] メニューの下で、[Groups] をクリックします。
  3. [IP Pools] タブをクリックします。
  4. [Groups] セクションの [IP Pools] タブの下で、[TEP-KVM-Pool] の横にあるチェックボックスをオンにします。
  5. [Edit] をクリックします。

 

 

IP プール構成の確認

 

[TEP-KVM-Pool] IP プールの次の構成を確認します。

  1. [Cancel] をクリックします。

 

 

オーバーレイ トランスポート ゾーンの構成の確認

 

  1. NSX-T のユーザー インターフェイスの左側のメニューで、[Fabric] をクリックします。
  2. [Fabric] メニューの下で、[Transport Zones] をクリックします。
  3. [Transport Zones] タブの下で、[TZ_OVERLAY] をクリックします。
    • 注:トランスポート ゾーンの名前の横にあるチェックボックスではなく、名前をクリックします。

 

 

オーバーレイ トランスポート ゾーンの構成の確認

 

[TZ-Overlay] トランスポート ゾーンの次の構成を確認します。

注:実際の画面とスクリーンショットは異なる場合があります。

この情報は、どのトランスポート ゾーンが何のために何によって使用されているのかを理解するために役立ちます。

 

 

 

KVM ホストのトランスポート ノードの作成

 

次に、実習ラボの以前のモジュールで NSX をインストールした KVM を、トランスポート ノードとして追加します。これにより、KVM は NSX ネットワーク ファブリックの一部となります。

  1. NSX-T のユーザー インターフェイスの左側のメニューで、[Fabric] をクリックします。
  2. [Fabric] メニューの下で、[Nodes] をクリックします。
  3. [Transport Nodes] タブをクリックします。
  4. [Add] をクリックします。

 

 

KVM ホストのトランスポート ノードの作成

 

[Add Transport Node] ウィンドウに次の詳細を入力し、それから [N_VDS] タブをクリックします。

  1. [Name]:[KVM-TN2]
  2. [Node]:[kvm-02a.corp.local - 192.168.110.62] を選択します。
  3. [Transport Zones] セクションの下で、[TZ_OVERLAY] の横にあるチェックボックスをオンにします。
  4. 矢印をクリックして、[TZ_OVERLAY] トランスポート ゾーンを追加します。
  5. [N-VDS] をクリックします。

次の手順に進み、トランスポート ノードの構成を続行します。

 

 

KVM ホストのトランスポート ノードの作成

 

[Add Transport Node] ウィンドウに次の情報を入力します。

  1. [N-VDS Type]:[Standard]
  2. [N-VDS Name]:[hostswitch1]
  3. Uplink Profile:[nsx-default-uplink-hostswitch-profile] を選択します。
  4. IP Assignment:[Use IP Pool] を選択します。
  5. IP Pool:[TEP-KVM-Pool] を選択します。
  6. Physical NICs:[eth1] と [uplink-1] をそれぞれ選択します。
  7. [Save] をクリックします。

 

 

KVM ホストのトランスポート ノードの作成

 

[Transport Node] タブの下で、新しいトランスポート ノードが表に追加され、[State] 列に [Success] と表示されていることを確認します。

これには、数分かかる場合があります。

 

 

KVM の VTEP の確認

 

次に、KVM にインストールされた VTEP を確認します。

  1. Windows メニュー バーの [PuTTY] アイコンをクリックして、PuTTY を開きます。

 

 

kvm-02a への SSH セッションを開く

 

  1. [kvm-02a.corp.local] を選択します。
  2. [Open] をクリックします。

 

 

kvm-02a にログイン

 

 

 

 

kvm-02a で TEP の作成を確認

 

  1. kvm-02a で、コマンドラインに「ifconfig nsx-vtep0.0 」と入力し、TEP インターフェイスが作成されたこと、IP アドレスが 192.168.130.62 で、MTU が 1600 であることを確認します。
ifconfig nsx-vtep0.0

 

 

kvm-02a と kvm-01a の TEP インターフェイスの間の接続を確認

 

  1. kvm-02a 上の TEP インターフェイスの IP アドレスは 192.168.130.62 で、kvm-01a の IP アドレスは 192.168.130.61 です。これらのインターフェイス間の接続を確認するには、kvm-02a から kvm-01a の TEP インターフェイスに ping を実行します。これには、「ping 192.168.130.61 -c 2」と入力し、2 つの ping のみを送信します。
ping 192.168.130.61 -c 2

 

NSX-T の論理スイッチ


これまでに、ネットワーク コンポーネントが構成されて、正しく動作しています。次に、論理ネットワーク スイッチをいくつか作成し、ワークロードを接続します。


 

新しい論理スイッチを作成

 

まず、3 層アプリケーションのアプリケーション層のための新しい論理スイッチを作成します。 

NSX-T Manager の Web インターフェイスから、次を実行します。

  1. 左側の [Switching] をクリックします。
  2. [Switches] タブをクリックします。
  3. [Add] をクリックします。

Web スイッチやデータベース スイッチなどの、既存のスイッチがあることを確認します。

 

 

新しい論理スイッチを作成

 

[New Logical Switch] ウィンドウに次の情報を入力します。

  1. [Name]:[LS-App]
  2. [Transport Zone]:[TZ-OVERLAY]
  3. [Admin State]:[Up]
  4. [Replication Mode]:[Hierarchical Two-Tier replication]
  5. [Save] をクリックします。

 

 

論理スイッチの作成の確認

 

 

 

新しいアプリケーション仮想マシンを新しい論理スイッチに接続

 

vCenter に移動し、仮想マシンをオンにして接続します。

  1. 新しいタブのアイコンをクリックします。
  2. [RegionA] フォルダをクリックします。
  3. [RegionA vCenter] をクリックします。

 

 

vCenter にログイン

 

  1. [Use Windows session authentication] のチェック ボックスをオンにします。
  2. [Login] をクリックします。

 

 

アプリケーション仮想マシンを探す

 

ログインしたら、[Hosts and Clusters] 画面に移動します。

  1. ホーム ボタンの横にある [ホーム] アイコンをクリックします。
  2. [Hosts and Clusters] をクリックします。

 

 

App-01a

 

左のツリーが展開されていない場合は、次の手順を実行します。

  1. [RegionA01] の横にある矢印をクリックします。
  2. [RegionA01-COMP01] の横にある矢印をクリックします。
  3. [app01a] をクリックします。

 

 

app-01a の設定の編集

 

  1. [app-01a] を右クリックします。
  2. [Edit Settings] をクリックします。

 

 

ネットワーク設定の変更

 

  1. [VM-RegionA01-MGMT] の横のドロップダウンの矢印をクリックします。
  2. リストを確認して、[LS-App] を選択します(ネットワークが表示されない場合は、[Show more networks...] をクリックします)。
  3. [Ok] をクリックします。

 

 

アプリケーションをパワーオンする

 

  1. [Power on] アイコンをクリックします。

 

 

スイッチ ポートの確認

 

NSX に戻ります。

  1. (選択されていない場合は)左側の [Switching] をクリックします。
  2. [LS-App] スイッチをクリックします。
  3. [Related] をクリックします。
  4. [Ports] をクリックします。

 

 

 

ポート ビュー

 

これにより、スイッチに含まれるポートが表示されます。仮想マシン app-01a に接続されている、新しく作成されたポートがあることがわかります。論理スイッチを介した仮想マシン間のネットワーク接続のテストは、この実習ラボで後ほど行います。

 

 

KVM 仮想マシンを KVM-02a の論理スイッチに追加

 

ESXi ホスト上で動作する仮想マシンを NSX スイッチに追加しました。次に KVM 上で動作する仮想マシンを NSX スイッチに追加します。

より多くの画面スペースが必要な場合は、開いているウィンドウを最小化します。

  1. PuTTY を起動します(kvm-02a を開いた状態で PuTTY セッションを開いたままにしていた場合は、以下の手順を無視してください)。

 

 

PuTTY の一覧から kvm-02a を選択

 

  1. [kvm-02a.corp.local] が表示されるまで下にスクロールして、それを選択します。
  2. [Open] をクリックします。

 

 

kvm-02a にログイン

 

自動的にログインされない場合は、[kvm-02a] に、ユーザー名「vmware」、パスワード「VMware1!」でログインします。

 

 

kvm-02a で web-04a VM を作成して起動

 

  1. 次のコマンドを使用して、スーパーユーザー モードに入ります。
sudo su
  1. 次のコマンドを使用して、仮想マシン定義パスに移動します。
cd /etc/libvirt/qemu
  1. 次のコマンドを使用して、web-04a ドメインを作成します。
virsh create web-04a.xml
  1. 次のコマンドを使用して、web-04a ドメインを定義します。
virsh define web-04a.xml
  1. 次のコマンドを使用して、Web-04a 仮想マシンをホストと一緒に自動起動するように構成します。
virsh autostart web-04a
  1. 次のコマンドを使用して、kvm-02a 上で実行されている仮想マシンの一覧を表示します。
virsh list

kvm-02a 上で実行されている仮想マシンの名前の中に [web-04a] があることを確認します。

 

 

web-04a のインターフェイス ID を取得

 

  1. シェルに次のコマンドを入力して、web-04a のインターフェイス ID を取得します。
virsh dumpxml web-04a | grep interfaceid

表示されるインターフェイス ID の値を確認します。714e17d8-922a-4a97-81b8-849bda3d7b43 ネットワーク ポートを作成して仮想マシンを接続するためには、この情報が必要です。コピー機能を使ってこれをコピーして、今後の手順でそれを貼り付けて使用することができます。

表示される ID はこれと異なる場合もあります。

 

 

NSX Manager に戻る

 

  1. NSX Manager に戻ります。
  2. (選択されていない場合は)左側の [Switching] リンクをクリックします。

NSX Manager を閉じてしまったか、またはタイムアウトした場合には、ツールバーで VMware NSX のログインをクリックして、次を入力します。

 

 

web-04a を LS-WEB 論理スイッチに接続

 

NSX-T Manager の Web インターフェイスから、次を実行します。

  1. [Ports] をクリックします。
  2. [Add] をクリックします。

 

 

web-04a を LS-WEB 論理スイッチに接続

 

[New Logical Port] ウィンドウに次の情報を入力します。

  1. [Name]:「web-04a
  2. [Logical Switch]:「LS-WEB
  3. [Attachment Type]:「VIF
  4. [Attachment ID]:「714e17d8-922a-4a97-81b8-849bda3d7b43」(すべての値を入力する代わりに、下のコード ブロックのコンテンツを選択してコピーし、ウィンドウへ貼り付けを行ってください)。
714e17d8-922a-4a97-81b8-849bda3d7b43
  1. [Save] をクリックします。

 

 

web-04a 論理スイッチ ポートの作成の確認

 

 

 

web-04a への接続の確認

 

web-04a を Web 論理スイッチに追加したので、それが機能していることをテストします。

  1. vCenter に戻ります(すでに Chrome で vCenter を開いているタブがあれば、それを利用します。ない場合には、新しいタブを開いて vCenter に再接続します)。
  2. [web-01a] をクリックします。
  3. [Open Console] アイコンをクリックします。

 

 

web-04a の ping テスト

 

Web サーバにログインしていない場合は、ログインします。

コンソール ウィンドウで、次のように ping のテストを実行します。

ping 172.16.10.14 -c 2

これによって web-04a に ping を実行します。また、以下にリストされている他の Web サーバへの ping のテストを行うこともできます。

 

 

NSX 内でポートの情報を確認

 

次に NSX に戻り、NSX 内からこのポートに関して参照できる情報を確認します。

  1. [NSX Manager] のタブに戻るか、または新しいタブを開いて NSX Manager にログインし直します。
  2. [Switching] を選択します。
  3. [Ports] を選択します。
  4. 下にスクロールして、作成した [web-04a] ポートをクリックします。

 

 

Web-04a のアドレス情報

 

NSX Manager は、ポートに関連付けられている IP 情報を提供します。

  1. [Address Bindings] のドロップダウンが開いていない場合には、矢印をクリックして開き、ポートに関連付けられているアドレスを表示します。

図のように、KVM-02 サーバ上にある Web-04a の IP である 172.16.10.14 が表示されます。

 

モジュール 2 のまとめ


モジュール 2 はこれで終了です。次のモジュールでは、異なる論理スイッチ間のルーティングを有効にします。

 

モジュール 2 はこれで終了です。


 

実習ラボの終了方法

 

実習ラボを終了するには、[END] ボタンをクリックします。

 

モジュール 3: 論理ルーティング (60 分)

論理ルーティング:モジュールの概要


この実習ラボでは、NSX-T の論理ルーティング機能を構成して確認します。


 

論理ルーティング トポロジー

 

ここで構築を行う実習ラボ環境には、外部ネットワークに接続する Tier-0 ルータと、3 つのネットワーク セグメント間のルーティングを処理する Tier-1 ルータが含まれます。

 

East-West トラフィックの論理ルーティング


このレッスンでは、NSX-T の East-West トラフィックの論理ルーティングを構成します。


 

NSX Manager にログイン(開いていない場合)

 

  1. デスクトップで、Google Chrome のアイコンをダブルクリックして、Chrome ブラウザーを開きます。

 

 

NSX-T Manager を開く

 

  1. ブックマーク ツールバーから [VMware NSX | Login] をクリックして、NSX-T Manager を開きます。

 

 

NSX-T Manager にログイン

 

次の認証情報を使用して、NSX-T Manager にログインします。

  1. [User name]:「admin
  2. [Password]:「VMware1!
  3. [Log In] をクリックします。

 

 

新しい Tier-1 ルータの作成

 

既存の論理スイッチを相互に接続する、ルータを作成します。Tier-1 ルータは、Web、アプリケーション、DB スイッチをリンクし、それらの間のルーティングを行うために使用されます。

  1. [Routing] をクリックします。
  2. [Routers] をクリックします(デフォルトで選択されていない場合)。
  3. [+Add] のドロップダウンの矢印をクリックします。
  4. [Tier-1 Router] をクリックします。

 

 

新しい Tier-1 ルータの作成

 

  1. [Name] フィールドに「Logical-Router-Tier1」と入力します。
  2. [Save] をクリックします。

 

 

新しい Tier-1 ルータの作成の確認

 

 

 

論理スイッチを Tier-1 ルータに接続

 

  1. [Logical-Router-Tier1] をクリックします。
  2. [Configuration] をクリックします。
  3. [Router Ports] をクリックします。

 

 

論理スイッチを Tier-1 ルータに接続

 

  1. [Add] をクリックします。

 

 

論理スイッチを Tier-1 ルータに接続

 

[New Router Port] ウィンドウに次の情報を入力して、Web ネットワークのルータ ポートを作成します。

  1. [Name]:「Tier1-Web
  2. [Logical Switch]:「LS-Web
  3. [Switch Port Name]:「Tier1-Web-Port
  4. [IP Address/mask]:「172.16.10.1/24
  5. [Save] をクリックします。

 

 

スクリプトで App LS を作成

 

以前に App 論理スイッチを作成していない場合は、次の手順を実行します。すでに作成した場合は、次の手順を省略して、その次の手順に進みます。

  1. デスクトップ上の [Web-LS.ps1] PowerCLI スクリプトを右クリックします。
  2. [Run with PowerShell] をクリックします。スクリプトが実行されると、ウィンドウが閉じます。

このスクリプトでは、論理スイッチを作成し、仮想マシンを更新して、パワーオンします。完了したら、前の画面の手順を実行します。

 

 

論理スイッチを Tier-1 ルータに接続

 

 

次の情報を使って、アプリケーション ネットワークのルータ ポートの作成プロセスを繰り返します。

  1. [Name]:「Tier1-App
  2. [Logical Switch]:「LS-App
  3. [Switch Port Name]:「Tier1-App-Port
  4. [IP Address/mask]:「172.16.20.1/24
  5. [Save] をクリックします。

 

 

 

論理スイッチを Tier-1 ルータに接続

 

前の手順を繰り返して、次の情報を使って、DB ネットワークのルータ ポートを作成します。

  1. [Name]:「Tier1-DB
  2. [Logical Switch]:「LS-DB
  3. [Switch Port Name]:「Tier1-DB-Port
  4. [IP Address/mask]:「172.16.30.1/24
  5. [Save] をクリックします。

 

 

論理ルータ ポートの構成の確認

 

これですべての接続が完了したので、接続のテストを行います。

 

 

vSphere Web Client を開く

 

vCenter を開いていない場合は、次の手順を実行します。

  1. [新しいタブ] をクリックします。
  2. [RegionA] フォルダをクリックします。
  3. [RegionA vCenter] をクリックします。

 

 

vSphere Web Client へのログイン

 

次の認証情報を使って、vSphere Web Client にログインします。

  1. [Use Windows session authentication] をクリックします。
  2. [Login] をクリックします。

 

 

 

web-01a のコンソールを開く

 

  1. [web-01a] を選択します。
  2. [Actions] をクリックします。
  3. [Open Console] をクリックします。

 

 

East-West トラフィックのルーティングの確認

 

  1. 次の認証情報で、web-01a にログインします。

 

 

East-West トラフィックのルーティングの確認

 

web-01a のコンソールから、以前に作成した論理ルータ ポートのゲートウェイ IP アドレスに ping を実行します。

  1. Web ネットワークのゲートウェイに ping を実行します。
ping 172.16.10.1 -c 2
  1. アプリケーション ネットワークのゲートウェイに ping を実行します。
ping 172.16.20.1 -c 2
  1. DB ネットワークのゲートウェイに ping を実行します。
ping 172.16.30.1 -c 2

注:VMware Remote Console からキーボードとマウス ポインタを解放するには、<Ctrl> + <Alt> キーを押します。

 

 

East-West トラフィックのルーティングの確認

 

web-01a のコンソールから、3 層アプリケーションの他の仮想マシンに ping を実行します。

  1. web-02a に ping を実行します。
ping web-02a -c 2
  1. app-01a に ping を実行します。
ping app-01a -c 2
  1. db-01a に ping を実行します。
ping db-01a -c 2

 

 

コマンド プロンプトを開く

 

  1. タスク バーのスタート メニュー アイコンをクリックします。
  2. [Command Prompt] をクリックします。

注:VMware Remote Console からキーボードとマウス ポインタを解放するには、<Ctrl> + <Alt> キーを押します。

 

 

メイン コンソールから接続をテスト

 

コマンド プロンプトで、論理ネットワークのゲートウェイ IP アドレスへの ping が失敗することを確認します。これらの接続の有効化は、次のセクションで行います。

  1. Web ネットワークのゲートウェイに ping を実行します。
ping 172.16.10.1
  1. アプリケーション ネットワークのゲートウェイに ping を実行します。
ping 172.16.20.1
  1. DB ネットワークのゲートウェイに ping を実行します。
ping 172.16.30.1

 

North-South トラフィックの論理ルーティング


このレッスンでは、North-South トラフィックの論理ルーティングを構成します。


 

NSX Manager のインターフェイスに戻る

 

  1. [NSX Manager] タブをクリックして、NSX Manager に戻ります。

 

 

アップリンクのプロファイル構成の確認

 

まず、Edge ルータ用に構成したプロファイルを確認します。

  1. 左側の [Fabric] をクリックします。
  2. その下の [Profiles] をクリックします。
  3. [Uplink Profiles] タブをクリックします。
  4. [nsx-edge-uplink-hostswitch-profile] をクリックします。

 

 

アップリンクのプロファイル構成の確認

 

アップリンク プロファイルで使用されている、次の構成を確認します。 

 

 

 

トランスポート ゾーンの構成の確認

 

NSX では、VLAN とオーバーレイ ベースのトランスポート タイプがあります。VLAN のトランスポート ゾーンを確認します。

  1. [Transport Zones] をクリックします。
  2. [TZ-VLan] をクリックします。

 

 

トランスポート ゾーンの構成の確認

 

TZ-VLan トランスポート ゾーンで使用される、次の構成を確認します。

VLAN トランスポート ゾーンは hostswitch2 を使用していることが示されています。オーバーレイが使用しているホストスイッチを覚えていますか。

 

 

Edge ノードの構成の確認

 

次に、Edge-01a について、その構成を確認します。

  1. 左側の [Nodes] をクリックします。
  2. [Edges] タブをクリックします。
  3. [nsx-edge-01a] をクリックします。

 

 

Edge ノードの構成の確認

 

Edge ノード nsx-edge-01a で次の構成が使用され、稼動していることを確認します。

 

 

トランスポート ノードの構成の確認

 

次に Edge でのトランスポート ノードの構成を確認します。

  1. [Transport Nodes] をクリックします。
  2. [Edge-TN1] の横にあるチェックボックスをオンにします。
  3. [Edit] をクリックします。

 

 

トランスポート ノードの構成の確認

 

Edge トランスポート ノードの構成を確認します。Edge には、オーバーレイおよび VLAN ベースの両方のトランスポート ゾーンがあります。これにより、外部 VLAN とクラスタ内で使用される内部オーバーレイ ネットワークの両方に接続できます。

[Transport Zones]:

 

 

トランスポート ノードの構成の確認

 

 

  1. [N-VDS] をクリックして、構成を確認します。下にスクロールして、hostswitch1 と hostswitch2 の両方の定義を確認します。これらの定義により、NSX がノードにどのように展開され、トラフィックがホスト内でどのように処理されるか(どのタイプのトラフィックにどの NIC が使用されるか)が決まります。

hostswitch1:

下にスクロールして、hostswitch2 の設定を確認します。

  1. 確認したら、[Cancel] をクリックします。

 

 

アップリンクの論理スイッチの構成の確認

 

Edge の構成を確認したら、外部からクラスタに接続するようにアップリンクが構成されていることを確認します。

 

  1. 左側の [Switching] をクリックします。
  2. [Switches] をクリックします。
  3. [LS-Uplink] をクリックします。

 

 

アップリンクの論理スイッチの構成の確認

 

論理スイッチ LS-Uplink の次の構成を確認します。

VLAN を使用してアップリンク トラフィックを接続していることを確認します。

 

 

Tier-0 論理ルータの BGP 構成の確認

 

次に、Tier0 ルータの外部ルータとの通信方法とルートの更新方法を確認します。

  1. 左側の [Routing] をクリックします。
  2. [Routers] をクリックします。
  3. [Logical-Router-Tier0] をクリックします。

 

 

Tier-0 論理ルータの BGP 構成の確認

 

  1. [Routing] をクリックします。
  2. [BGP] をクリックします。

 

 

Tier-0 論理ルータの BGP 構成の確認

 

BGP の Tier-0 論理ルータの現在の構成を確認します。

BGP が設定され、ネイバーと接続されています。このルータと、アプリケーションに使用する 3 つのネットワークとの間の接続は、まだ構成されていません。これを次に構成します。

  1. [X] をクリックして、画面を閉じます。

 

 

Tier-1 論理ルータの編集

 

Logical-Router-Tier1 をルータ Tier0 に接続するには、Logical-Router-Tier1 に変更を行う必要があります。

  1. [Logical-Router-Tier1] の横にあるチェックボックスをクリックします。
  2. [Edit] をクリックします。

 

 

Tier1 クラスタの変更

 

  1. [Edge Cluster] フィールドのドロップダウンをクリックして、[EdgeCluster01] を選択します。
  2. [Save] をクリックします。

 

 

Tier-0 ルータに接続

 

  1. [Logical-Router-Tier1] のチェックボックスをオンにしたままで、[Action] をクリックします。
  2. [Connect to Tier-0 Router] をクリックします。

 

 

TIer0 に接続

 

  1. ドロップダウン リストから [Logical-Router-Tier0] を選択します。
  2. [Connect] をクリックします。

 

 

Tier-1 論理ルータと Tier-0 論理ルータ間の接続を確認

 

次に、ルータが作成され、接続されていることを確認します。

  1. [Logical-Router-TIer1] をクリックします(チェックボックスだけでなく)。
  2. [Overview] をクリックします。

下にスクロールし、[TIer-0 Connection] でルータが [Logical-Router-Tier0] に接続されていることを確認します。

 

 

Tier-1 論理ルータと Tier-0 論理ルータ間のルートのアドバタイズ

 

  1. [Logical-Router-Tier1] をクリックします。
  2. [Routing] をクリックします。
  3. [Route Advertisement] をクリックします。

 

 

Tier-1 論理ルータと Tier-0 論理ルータ間のルートのアドバタイズ

 

  1. [Edit] をクリックします。

 

 

Tier-1 論理ルータと Tier-0 論理ルータ間のルートのアドバタイズ

 

  1. [Status] を [Enabled] に設定します。
  2. [Advertise All NSX Connected Routes] を「Yes」に設定します。
  3. [Save] をクリックします。

 

 

Tier-1 論理ルータと Tier-0 論理ルータ間のルートのアドバタイズ

 

 

 

Tier-0 論理ルータ上の再配布された NSX スタティック ルート

 

  1. [Logical-Router-Tier0] をクリックします。
  2. [Routing] をクリックします。
  3. [Route Redistribution] をクリックします。

 

 

Tier-0 論理ルータ上の再配布された NSX スタティック ルート

 

 

 

コマンド プロンプトを開く

 

  1. Windows のタスク バーのスタート メニュー アイコンをクリックします。
  2. [Command Prompt] をクリックします。

 

 

メイン コンソールから仮想マシンへの接続の確認

 

  1. コマンド プロンプトで ping を実行して、さまざまなゲートウェイ アドレスへの接続を確認します。最初に、Web ゲートウェイ アドレスに ping を実行します。
ping 172.16.10.1
  1. 次にアプリケーション ゲートウェイ アドレスに ping を実行します。
ping 172.16.20.1
  1. 最後に DB ゲートウェイ アドレスに ping を実行します。
ping 172.16.30.1

 

 

Web サイトのテスト

 

次に、3 層アプリケーションをテストします。

  1. 新しいタブを開きます。
  2. ブックマーク [3-Tier App] をクリックします。
  3. [Advanced] をクリックします。
  4. [Proceed to 172.16.10.11 (unsafe)] をクリックします。

 

 

Web サイトは機能している

 

Web サイトは機能しています。

 

HA(High Availability)


このレッスンでは、NSX-T の論理ルータの高可用性(HA)の構成を行います。


 

NSX-T Manager で nsx-edge-02a.corp.local を検索

 

  1. 左側の [Fabric] をクリックします。
  2. [Nodes] をクリックします。
  3. [Edges] をクリックします。
  4. [nsx-edge-02a.corp.local] を検索します。
    • [Manager Connectivity] の現在の状態が [Down] であることを確認します。

 

 

edge-02a 仮想マシンのパワーオン

 

vSphere Web Client に戻ります。

  1. [nsx-edge-02a] を選択します。
  2. [Actions] をクリックします。
  3. [Power] をクリックします。
  4. [Power On] をクリックします。

ストレージ エラーのために Edge をパワーオンできない場合は、次の Storage vMotion の手順を実行します。

 

 

Storage vMotion

 

Storage vMotion を実行するには、次の手順を実行します。

  1. [nsx-edge-02a] を選択します。
  2. [Actions] をクリックします。
  3. [MIgrate...] をクリックします。

 

 

移行

 

  1. [Change storage only] をクリックします。
  2. [Next] をクリックします。

 

 

ローカル ストレージ

 

次に、ローカル ストレージを選択します。

  1. [esx-05a_local] を選択します。
  2. [Next] をクリックします。

 

 

確認と保存

 

  1. [Finish] をクリックします。

タスクが完了したら、[nss-edge-02a] をパワーオンします。

 

 

nsx-edge-02a.corp.local のマネージャ接続を確認

 

edge-02a.corp.local が NSX-T Manager に接続するまでには、数分かかることがあります。接続されたことを確認するには:

  1. Edge のページの下部にある [Refresh] ボタンをクリックします。

 

 

Edge クラスタへのトランスポート ノードの追加

 

  1. [Edge Clusters] をクリックします。
  2. [EdgeCluster01] の横にあるチェックボックスをオンします。
  3. [Edit] をクリックします。

 

 

Edge クラスタへのトランスポート ノードの追加

 

  1. [Edit...] をクリックします。

 

 

Edge クラスタへのトランスポート ノードの追加

 

  1. [EDGE-TN2] の横にあるチェックボックスをオンにします。
  2. 矢印をクリックして、選択されたトランスポート ノードに [EDGE-TN2] を追加します。
  3. [OK] をクリックします。

 

 

Edge クラスタへのトランスポート ノードの追加

 

  1. トランスポート ノードのリストに [EDGE-TN1] と [EDGE-TN2] が両方とも含まれていることを確認します。
  2. [Save] をクリックします。

 

 

NSX-Edge-02a の構成ステータスの確認

 

  1. [Edges] をクリックします。

 

 

スタンバイ Edge 用の Tier-0 論理ルータへのアップリンクの追加

 

  1. [Routing] をクリックします。
  2. [Routers] をクリックします。
  3. [Logical-Router-Tier0] をクリックします。

 

 

スタンバイ Edge 用の Tier-0 論理ルータへのアップリンクの追加

 

  1. [Configuration] をクリックします。
  2. [Router Ports] をクリックします。

 

 

スタンバイ Edge 用の Tier-0 論理ルータへのアップリンクの追加

 

  1. [Add] をクリックします。

 

 

スタンバイ Edge 用の Tier-0 論理ルータへのアップリンクの追加

 

[New Router Port] ウィンドウに次のパラメータを入力します。

  1. [Name]:「Uplink2
  2. [Type]:「Uplink
  3. [Transport Node]:「Edge-TN2
  4. [Logical Switch]:「LS-Uplink
  5. [Logical Switch Port]:
    • [Attach to new switch port]
    • [Switch Port Name]:「uplink2-port
  6. [IP Address/mask]:「192.168.100.4/24
  7. [Save] をクリックします。

 

 

Tier-0 論理ルータへのアップリンクの作成の確認

 

 

 

PuTTY を起動

 

  1. Windows のタスク バーのスタート メニュー ボタンをクリックします。
  2. [PuTTY] をクリックします。

 

 

edge-02a.corp.local への接続

 

  1. PuTTY の [Saved Sessions] リストから [edge-02a.corp.local] を選択します。
  2. [Open] をクリックします。

 

 

edge-02a.corp.local へのログイン

 

次の認証情報を使って edge-02a.corp.local にログインします。

  1. ユーザー名: admin
  2. パスワード:VMware1!

 

 

edge-02a.corp.local に接続された論理ルータの一覧表示

 

  1. 次のコマンドを実行して、edge-02a に接続されている論理ルータのリストを取得します。
get logical-routers

[Type] が [SERVICE_ROUTER_TIER0] である論理ルータの VRF 番号を確認します。

[SERVICE_ROUTER_TIER0] の VRF 番号は、スクリーンショットの例とは異なることもあります。

 

 

BGP ネイバーとアップストリーム ルータとの関係の確認

 

  1. 次のコマンドを入力して、Edge に VRF ルーティング コンテキストを入力します(注:下記のコマンドのなかで、前の手順で見つけた VRF 番号で「4」を置き換えます)。
vrf 4
  1. 次のコマンドを実行して、BGP ネイバーのステータスを取得します。
get bgp neighbor
  1. 192.168.100.1 とのネイバー関係が [Established, up] と表示されていることを確認します。

 

 

HA の確認完了

2 つの Edge ノードで外部ルータとの接続の確立が確認されたので、これで HA が可能となります。

 

イコールコスト マルチパス(ECMP)


このレッスンでは、イコールコスト マルチパス(ECMP)を構成します。


 

LogicalRouter-Tier0 に接続されている未使用の論理ルータの削除

 

  1. [Routing] をクリックします。
  2. [Routers] をクリックします。
  3. 名前が「k8s」で始まるか、または「k8s」を含む論理ルータの横にあるチェックボックスをオンにします。
  4. [Delete] をクリックします。

 

 

LogicalRouter-Tier0 に接続されている未使用の論理ルータの削除の確認

 

  1. [Delete] をクリックします。

 

 

Tier-1 論理ルータを Tier-0 論理ルータから切断

 

  1. [Logical-Router-Tier1] の横にあるチェックボックスをオンにします。
  2. [Actions] をクリックします。
  3. [Disconnect from Tier-0 Router] をクリックします。

 

 

Tier-1 論理ルータを Tier-0 論理ルータから切断

 

  1. Tier-0 ルータからの切断の確認を求められたら、[Disconnect] をクリックします。

 

 

Logical-Router-Tier0 の削除

 

  1. [Logical-Router-Tier0] の横にあるチェックボックスをオンにします。
  2. [Delete] をクリックします。

 

 

Logical-Router-Tier0 の削除

 

  1. Logical-Router-Tier0 の削除の確認を求められたら、[Delete] をクリックします。

 

 

Tier-0 論理ルータの削除の確認

 

 

 

アクティブ/アクティブ Tier-0 論理ルータの追加

 

  1. [Add] をクリックします。
  2. [Tier-0 Router] をクリックします。

 

 

アクティブ/アクティブ Tier-0 論理ルータの追加

 

[New Tier-0 Router] ウィンドウに、次の構成パラメータを入力します。

  1. [Name]:「Logical-Router-Tier0-ECMP
  2. [Edge Cluster]:「EdgeCluster1
  3. [High Availability Mode]:「Active-Active
  4. [Save] をクリックします。

 

 

Tier-0 論理ルータへのポートの追加

 

  1. [Logical-Router-Tier0-ECMP] をクリックします。

 

 

Tier-0 論理ルータへのポートの追加

 

  1. [Configuration] をクリックします。
  2. [Router Ports] をクリックします。

 

 

Tier-0 論理ルータへのポートの追加

 

  1. [Add] をクリックします。

 

 

Tier-0 論理ルータへのポートの追加

 

[New Router Port] ウィンドウに、次の構成の詳細を入力します。

  1. [Name]:「Uplink1
  2. [Type]:[Uplink]
  3. [Transport Node]:[Edge-TN1]
  4. [Logical Switch]:[LS-Uplink]
  5. [Logical Switch Port]:「Attach to existing switch port
    • [Switch Port Name]:「uplink1-port
  6. [IP Address/mask]:「192.168.100.3/24
  7. [Save] をクリックします。

 

 

Tier-0 論理ルータへのポートの追加

 

[New Router Port] ウィンドウで、次の構成の詳細を使って、もう 1 つポートを追加します。

  1. [Name]:「Uplink2
  2. [Type]:[Uplink]
  3. [Transport Node]:「Edge-TN2
  4. [Logical Switch]:[LS-Uplink]
  5. [Logical Switch Port]:[Attach to new switch port]
    • [Switch Port Name]:「uplink2-port
  6. [IP Address/mask]:「192.168.100.4/24
  7. [Save] をクリックします。

 

 

論理ルータ ポートの作成の確認

 

 

 

Tier-0 論理ルータでの BGP の構成

 

  1. [Routing] をクリックします。
  2. [BGP] をクリックします。

 

 

Tier-0 論理ルータでの BGP の構成

 

  1. [Edit] をクリックします。

 

 

Tier-0 論理ルータでの BGP の構成

 

[Edit BGP Configuration] ウィンドウに、次の構成の詳細を入力します。

  1. [Status]:[Enabled]
  2. [ECMP]:[Enabled]
  3. [Local AS]:[65001]
  4. [Save] をクリックします。

 

 

Tier-0 論理ルータでの BGP の構成

 

BGP と ECMP が [Enabled] に設定されていること、また [Local AS] が [65001] に設定されていることを確認します。

  1. [Add] をクリックします。

 

 

Tier-0 論理ルータでの BGP の構成

 

[New Neighbor] ウィンドウに、次の構成の詳細を入力します。

  1. [Neighbor Address]:「192.168.100.1
  2. [Remote AS]:「65002
  3. [Address Families] をクリックします。

 

 

Tier-0 論理ルータでの BGP の構成

 

  1. [Add] をクリックします。
  2. [IPV4_UNICAST] を選択します。
  3. [State] を [Enabled] に変更します。
  4. [Save] をクリックします。

 

 

Tier-0 論理ルータの BGP 構成の確認

 

新しい BGP ネイバーの構成を確認します。

  1. [Routing] をクリックします。
  2. [Route Redistribution] をクリックします。

 

 

Tier-0 論理ルータでのルート再配布の構成

 

  1. [Edit] をクリックします。

 

 

Tier-0 論理ルータでのルート再配布の構成

 

  1. [Status] を [Enabled] に設定します。
  2. [Save] をクリックします。

 

 

Tier-0 論理ルータでのルート再配布の構成

 

  1. [Status] が [Enabled] に設定されていることを確認します。
  2. [Add] をクリックします。

 

 

Tier-0 論理ルータでのルート再配布の構成

 

[New Redistribution Criteria] ウィンドウに、次の構成の詳細を入力します。

  1. [Name]:「RouteDistro
  2. [Sources]:「NSX Static
  3. [Save] をクリックします。

 

 

Tier-0 論理ルータでのルート再配布の構成の確認

 

ルート再配布条件の構成の確認

  1. パネルの右上の [X] をクリックします。

 

 

Tier-1 論理ルータを Tier-0 論理ルータに接続

 

  1. [Logical-Router-Tier1] の横にあるチェックボックスだけをオンにします。
  2. [Actions] をクリックします。
  3. [Connect to Tier-0 Router] をクリックします。

 

 

Tier-1 論理ルータを Tier-0 論理ルータに接続

 

  1. ドロップダウン リストから [Logical-Router-Tier0-ECMP] を選択します。
  2. [Connect] をクリックします。

 

 

Tier-0 論理ルータと Tier-1 論理ルータ間の接続を確認

 

 

 

NSX-T インターフェイスで Tier-0 ルータ ID を確認

 

  1. [LogicalRouter-Tier0-ECMP] をクリックします。
  2. [Overview] をクリックします。
  3. [Summary] の下に表示されている [ID] を確認します。これは、後の手順で参照する必要があります。

注:表示される ID はスクリーンショットに示されているものとは異なります。

 

 

PuTTY を起動

 

  1. Windows のタスク バーのスタート メニュー アイコンをクリックします。
  2. [PuTTY] をクリックします。

 

 

NSX Controller に接続

 

  1. PuTTY の [Saved Sessions] リストから [nsxctrl-01a.corp.local] を選択します。
  2. [Open] をクリックします。

 

 

コントローラにログイン

 

esx-01a.corp.local に自動的にログインされます。自動的にログインされない場合は、次の認証情報を使用してログインします。

 

 

NSX Controller で ECMP 構成を確認

 

  1. 次のコマンドを入力して、nsxctrl-01a に接続されている論理ルータのリストを取得します。
get logical-router 4e79d1c0-b334-4123-b4e9-17b2ded17603 route

0.0.0.0/0 アドレスは、2 つのアップリンク ポートでバランスされていることがわかります。

 

 

クリーンアップ

 

vSphere Web Client に戻ります。

  1. [nsx-edge-02a] を選択します。
  2. [Actions] をクリックします。
  3. [Power] をクリックします。
  4. [Power Off] をクリックします。

これは、ロードバランシングの実習ラボが、ラボ環境で機能するために必要です。

 

モジュール 3 のまとめ



 

モジュール 3 の終了

 

モジュール 3 はこれで終了です。

 

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[END] ボタンをクリックします。

 

モジュール 4:DHCP と NAT(30 分)

DHCP と NAT:モジュールの概要



 

NSX-T の DHCP と NAT

この実習ラボでは、DHCP サーバと NAT の機能について確認します。

 

DHCP(Configuring Dynamic Host Configuration Protocol)の構成



 

DHCP を使う

 

ブラウザで NSX Manager が開かれている場合は、以下の手順を省略してください。NSX Manager が開かれていない場合は、次の手順に従います。

  1. デスクトップで、Google Chrome のリンクをクリックします。

 

 

ブックマークで NSX Manager を選択

 

  1. ブックマーク バーで [VMware NSX | Login] リンクをクリックします。

 

 

NSX Manager にログイン

 

次の認証情報を入力して、NSX Manager にログインします。

  1. [User name]:「admin
  2. [Password]:「VMware1!
  3. [Login] をクリックします。

 

 

新しい論理スイッチを作成

 

この実習ラボ用の、新しい論理スイッチを作成します。この論理スイッチは、後で作成する DHCP サーバを活用します。新しい論理スイッチを作成するには、次のタスクを実行します。

  1. 左側の [Switching] をクリックします。
  2. [Switching] をクリックします(デフォルトでそのタブが選択されていない場合)。
  3. [+Add] リンクをクリックします。

 

 

新しい論理スイッチ

 

次に、スイッチに名前を付け、トランスポート ゾーンを選択します。次の手順を実行します。

  1. [Name]:「LS-NAT-Web
  2. [Transport Zone]:「TZ_Overlay」を選択します。
  3. [Save] ボタンをクリックします。

 

 

新しい論理スイッチが作成された

 

 

 

DHCP サーバ

 

次に、新しい DHCP サーバを作成します。

  1. 左側の [DDI] を展開します。
  2. 左側の [DHCP] をクリックします。
  3. [Server Profiles] をクリックします(デフォルトでそのタブが選択されていない場合)。
  4. [+Add] ボタンをクリックします。

 

 

DHCP サーバ プロファイルの作成

 

次に、DHCP サーバ プロファイルの詳細を入力します。

  1. [Name]:「DHCP Profile
  2. [Edge Cluster]:「EdgeCluster01」を選択します。
  3. [Save] ボタンをクリックします。

 

 

作成した DHCP サーバ プロファイルの確認

 

 

 

DHCP サーバの作成

 

次に、新しい DHCP サーバを作成します。

  1. [Servers] タブをクリックします。
  2. [+Add] リンクをクリックします。

 

 

DHCP サーバの設定

 

次の情報を入力します。

  1. ポップアップ ウィンドウで、[Name] に「NAT-Web DHCP Server」と入力します。
  2. [IP Address/mask]:「172.16.50.2/24
  3. [Profile] で「DHCP Profile」を選択します。
  4. [Domain Name]:「corp.local
  5. [Default Gateway]:「172.16.50.1
  6. [DNS Server]:「192.168.110.10
  7. [Subnet Mask]:「255.255.255.0
  8. [Save] をクリックします。

 

 

DHCP サーバが作成された

 

新しく作成された DHCP サーバが表示されます。次に IP プールを追加します。

  1. 新しく作成された DHCP サーバ「NAT-Web DHCP Server」をクリックします。

 

 

DHCP プール

 

[Summary] に、作成した DHCP サーバに関する情報が表示されます。

サーバに IP プールを追加します。

  1. [IP プール] の横にある矢印をクリックして、そのセクションを開きます。
  2. [+Add] リンクをクリックします。

 

 

DHCP IP プールの情報

 

次に、IP プールの情報を入力します。

  1. [Name]:「NAT-Web Pool1
  2. [IP Ranges]:「172.16.50.101-172.16.50.110
  3. [Default Gateway]:「172.16.50.1
  4. [Save] をクリックします。

 

 

新しい IP プールの確認

 

新たに作成された IP プールが、DHCP サーバの IP プールのセクションに表示されます。

 

 

DHCP サーバを論理スイッチに接続

 

次に、新しい DHCP サーバを、以前に作成した論理スイッチに接続します。

  1. 左側の [Switching] をクリックします。
  2. [Switches] タブをクリックします(デフォルトでそのタブが選択されていない場合)。
  3. [LS-NAT-Web] 論理スイッチを選択します。
  4. [Actions] をクリックします。
  5. [Attach to a DHCP Server] をクリックします。

 

 

接続する DHCP サーバを選択

 

  1. プルダウン リストから [NAT-Web DHCP Server] を選択します。
  2. [Save] をクリックします。

 

 

vCenter へのログイン

 

次に、vCenter にログインします。

  1. 新しいタブをクリックします。
  2. [RegionA] フォルダをクリックします。
  3. [HTML5 Client] をクリックします。

 

 

vCenter にログイン

 

  1. [Use Windows session authentication] を選択します。
  2. [Login] をクリックします。

 

 

web-03a のパワーオフ

 

web-03a がパワーオンされている場合、次の手順を実行して、シャットダウンします。

  1. [web-03a] を選択します。
  2. [Actions] をクリックします。
  3. [Power] を選択します。
  4. [Shut Down Guest OS] をクリックします。

 

 

web-03a の設定の編集

 

次に、DHCP サーバに接続されている新しい論理スイッチを接続します。ゲストを論理スイッチに接続するには、次の手順を行います。

  1. [web-03a] を選択します。
  2. [Actions] をクリックします。
  3. [Edit Settings] を選択します。

 

 

新しいアダプターの追加

 

  1. [Add New Device] をクリックします。
  2. [Network Adapter] をクリックします。

 

 

新しいネットワーク アダプターの接続

 

  1. 新しいネットワーク アダプターを見つけます。
  2. ドロップダウンの矢印をクリックして、[Browse...] を選択します。

 

 

ネットワーク設定の変更

 

  1. [LS-NAT-Web] スイッチが表示されるまで下にスクロールして、それを選択します。
  2. [OK] をクリックします。

 

 

設定の編集の完了

 

新しい NIC の接続が完了したので、設定を保存します。

  1. [OK] をクリックします。

 

 

web-03a のパワーオン

 

仮想マシンの [Summary] ページに戻り、仮想マシンをパワーオンします。

  1. [web-03a] を選択します。
  2. [Actions] をクリックします。
  3. [Power] を選択します。
  4. [Power On] をクリックします。

 

 

Web コンソールの起動

 

  1. [Launch Web Console] をクリックして、仮想マシンに接続します。

 

 

web-03a にログイン

 

仮想マシンにログインして、DHCP が動作しているかどうかをテストします。

  1. [Login]:「root」、[Password]:「 VMware1!

 

 

eth1 の構成

 

DHCP アドレスを取得するように、作成した新しいネットワーク インターフェイスを構成します。

  1. 次のコマンドを入力します。
cat > /etc/systemd/network/50-DHCP-en.network << "EOF"
[Match]
Name=eth1
[Network]
DHCP=yes
EOF
  1. これにより、インターフェイスが構成されます。次に、2 つのコマンドを入力します。
chmod 644 /etc/systemd/network/50-DHCP-en.network
systemctl restart systemd-networkd

 

 

 

DHCP の確認

 

  1. 次のコマンドを入力して、DHCP が動作しているかどうかを確認します。
ifconfig

これにより、仮想マシン上のすべてのインターフェイスが一覧表示されます。eth1 を探します。仮想マシン上の IP は 172.16.50.101 または 102 であることを確認します。

これにより、DHCP が予定どおりに動作していることがわかります。

eth0 がリストに表示されたら、それをシャットダウンする必要があります。 

 

 

必要に応じて eth0 をシャットダウン

 

  1. インターフェイスのリストに eth0 が表示された場合は、次のコマンドを入力します。
ifconfig eth0 down
  1. これを確認するには、次のコマンドを入力します。
ifconfig

eth0 がリストに表示されなくなったことを確認します。

次に、NSX-T での NAT を構成します。

 

NAT(Network Address Translation)の構成


この章では、新しいルータを作成して有効化し、NAT を構成します。この NAT により、NAT 変換されたアドレスから、内部 Web サーバにアクセスできます。


 

新しい Tier-1 ルータ

 

NSX Manager タブに戻ります。

  1. 左側の [Routing] をクリックします。
  2. [Routers] をクリックします(デフォルトでそのタブが選択されていない場合)。
  3. [+Add] リンクをクリックします。
  4. [Tier-1 Router] をクリックします。

 

 

Tier-1 ルータの構成

 

次の情報を入力します。

  1. [Name]:「LogicalRouter-T1-NAT
  2. [Tier-0 Router]:[LogicalRouter-Tier0] を選択します。
    • 注:モジュール 3:論理ルーティングの ECMP のレッスンをすでに完了した場合は、[LogicalRouter-Tier0-ECMP"] を選択します。
  3. [Edge Cluster]:「EdgeCluster1
  4. [Edge Cluster Members]:「Edge-TN1
  5. [Preferred Member]:「Edge-TN1
  6. [Save] をクリックします。

 

 

新しいルータの確認

 

新しい論理ルータがリストに表示されます。

  1. 新しいルータを選択します:「LogicalRouter-T1-NAT

 

 

ルータ ポート

 

LogicalRouter-T1-NAT を選択して、次のタスクを実行します。

  1. [Configuration] タブをクリックします。
  2. [Router Ports] をクリックします。

 

 

ポートの追加

 

ルータはすでに Tier0 ルータへのアップリンクに事前構成済みとして表示されます。

  1. [+Add] リンクをクリックして、新しいポートを [LogicalRouter-t1-NAT] に追加します。

 

 

ルータ ポート

 

次に、ルータ ポートの次の情報と構成の項目を入力します。

  1. [Name]:「Connection-to-NAT-Web
  2. [Logical Switch]:「LS-NAT-Web
  3. [Logical Switch Port]:[Attach to new switch port]
  4. [Switch Port Name]:「NAT-Web-Port
  5. [IP Address/mask]:「172.16.50.1/24
  6. [Save] をクリックします。

 

 

新しいポートが作成された

 

新しいポートと、ポートに構成された設定が表示されます。

 

 

NAT ルールの追加

 

  1. [Services] タブをクリックします。
  2. [NAT] をクリックします。

 

 

NAT ルールの追加

 

  1. [+Add] リンクをクリックして、新しい NAT ルールを追加します。

 

 

SNAT ルールの追加

 

  1. [Action] が [SNAT] に設定されていることを確認します。
  2. [Source IP] に「 172.16.50.101」と入力します。(これは仮想マシンが以前の手順で取得した DHCP アドレスです。もし異なっている場合は、DNAT と SNAT をこのアドレスに更新します)
  3. [Translated IP] に「80.80.80.1 」と入力します。
  4. [Save] をクリックします。

 

 

DNAT ルールの追加

 

  1. [+Add] リンクをクリックして、新しい NAT ルールを追加します。

 

 

DNAT 設定

 

  1. [Action] が [DNAT] に設定されていることを確認します。
  2. [Destination IP] に「80.80.80.1 」と入力します。
  3. [Translated IP] に「172.16.50.102」と入力します(これは仮想マシンが以前の手順で取得した DHCP アドレスです。もし異なっている場合は、DNAT と SNAT をこのアドレスに更新します)
  4. [Save] をクリックします。

 

 

NAT の確認

 

DNAT ルールと SNAT ルールが表示されます。それらが正しいことを確認します。

次に、ルート アドバタイズメントを変更します。

  1. [Routing] タブをクリックします。
  2. [Route Advertisement] をクリックします。

 

 

ルート アドバタイズメントの変更

 

ルート アドバタイズメントを変更します。

  1. [Edit] をクリックします。

 

 

アドバタイズメントの変更

 

次の変更を行います。

  1. [Status] を [Enabled] に変更します。
  2. [Advertise All NAT Routes]:[Yes]
  3. [Save] をクリックします。

 

 

変更の確認

 

変更内容が次のように表示されることを確認します。

[Status] が [Enabled] になっていることを確認します。

  1. [X] をクリックしてウィンドウを閉じます。

 

 

Tier-0 ルータの選択

 

Tier-0 ルータを更新して、適切なルート再配布の構成を行います。

  1. 実習ラボを開始した箇所に応じて、[Logical-Router-Tier0] または [Logical-Router-TIer0-ECMP] を選択します。どちらも [Type] 列には [Tier-0] と表示されます。

 

 

ルート再配布

 

  1. [Routing] タブをクリックします。
  2. [Route Redistribution] をクリックします。

 

 

ルート配布の設定

 

  1. [RouteDistro] を選択します。
  2. [Edit] をクリックします。

 

 

ルート配布の変更

 

  1. すでに選択されていない場合、[Sources] の選択で、新しい [Tier-1 NAT] を選択します。
  2. [Save] をクリックします。

 

 

NAT のテスト

 

次に、NAT ルールが機能しているかどうかをテストします。

  1. Windows のスタート アイコンをクリックします。
  2. [Command Prompt] をクリックします。

 

 

Ping のテスト

 

  1. 次の ping のテストを実行します。コマンド プロンプト ウィンドウで、次のコマンドを入力します。
ping 80.80.80.1

この ping テストが成功することを確認します。

 

 

Web ブラウザー テスト

 

次に、Web のテストを実行します。

  1. 新しいタブを開きます。
  2. URL ウィンドウに、次のように入力します。
http://80.80.80.1

Web サイトへのアクセス成功のメッセージが表示されます。

 

モジュール 4 のまとめ


このモジュールでは、NSX-T における DHCP と NAT の展開について学習しました。


 

モジュール 4 の終了

 

モジュール 4 はこれで終了です。

次のうち、もっとも興味のあるモジュールに進んでください。

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[END] ボタンをクリックします。

 

モジュール 5:ロードバランシング(15 分)

ロードバランシング モジュールの概要


ロードバランシング モジュールの概要


ロード バランサーの構成


この実習ラボでは、Web サーバの前に配置されて、ラウンド ロビンのロードバランシングを提供する、ロード バランサーを作成します。


 

ルータの更新

 

このモジュールから実習ラボを開始する場合は、以下の手順を省略して、2 つ先の手順に進んでください。前のモジュールから引き続いて行う場合は、Tier 1 ルータをすべて削除する必要があります。

  1. 左側の [Routing] をクリックします。
  2. すべての Tier-1 ルータの横にあるチェックボックスをオンにします。
  3. [Delete] をクリックします。

 

 

 

論理ルータの削除

 

  1. [Delete] をクリックします。

 

 

スクリプトを実行する

 

 

以前のモジュールをいずれも実行していない場合、またはアプリケーション論理スイッチを作成していない場合は、次の手順を実行します。

  1. まず、デスクトップ上の [WebLS.ps1] スクリプトで右クリックします。
  2. [Run with PowerShell] をクリックします。

 

 

新しい Tier-1 ルータの作成

 

既存の論理スイッチを相互に接続する、ルータを作成します。Tier-1 ルータは、Web、アプリケーション、DB スイッチをリンクし、それらの間のルーティングを行うために使用されます。

  1. 左側の [Routing] をクリックします。
  2. [Routers] をクリックします(デフォルトで選択されていない場合)。
  3. [+Add] のドロップダウンの矢印をクリックします。
  4. [Tier-1 Router] をクリックします。

 

 

新しい Tier-1 ルータの作成

 

  1. [Name] フィールドに「Logical-Router-Tier1」と入力します。
  2. プルダウン メニューから [EdgeCluser01] を選択します。
  3. [Save] をクリックします。

 

 

論理スイッチを Tier-1 ルータに接続

 

  1. [Logical-Router-Tier1] をクリックします。
  2. [Configuration] をクリックします。
  3. [Router Ports] をクリックします。

 

 

論理スイッチを Tier-1 ルータに接続

 

  1. [+Add] をクリックします。

 

 

論理スイッチを Tier-1 ルータに接続

 

[New Router Port] ウィンドウに次の情報を入力して、Web ネットワークのルータ ポートを作成します。

  1. [Name]:「Tier1-Web
  2. [Logical Switch]:「LS-WEB
  3. [Switch Port Name]:「Tier1-Web-Port
  4. [IP Address/mask]:「172.16.10.1/24
  5. [Save] をクリックします。

 

 

アプリケーションと DB の追加

同じ手順をアプリケーションと DB レイヤーに行います。

  • [Name]:「Tier1-App
  • [Logical Switch]:「LS-APP
  • [Switch Port Name]:「Tier1-App-Port
  • [IP Address/mask]:「172.16.20.1/24
  • [Save] をクリックします。

 

  • [Name]:「Tier1-DB
  • [Logical Switch]:「LS-DB
  • [Switch Port Name]:「Tier1-DB-Port
  • [IP Address/mask]:「172.16.30.1/24
  • [Save] をクリックします。

 

 

ポートの確認

 

3 つの新しいポートが表示されることを確認します。

  1. [Routing] をクリックします。
  2. [Route Advertisement] をクリックします。

これらの新しいルートを Tier0 ルータと共有します。

 

 

ルート アドバタイズメント

 

  1. [Edit] をクリックします。

 

 

ルート アドバタイズメントの編集

 

  1. [Status] を [Enabled] に変更します。
  2. [Advertise All NSX Connected Routes] を「Yes」に変更します。
  3. [Save] をクリックします。

 

 

アドバタイズメントの確認

 

ルート アドバタイズメントのStatusが [Enabled] と表示されることを確認します。

[X] をクリックしてウィンドウを閉じます。

 

 

Tier1 を Tier0 に接続

 

  1. [Logical-Router-Tier1] の横にあるチェックボックスをオンにします。
  2. [Actions] をクリックします。
  3. [Connect to Tier-0 Router] をクリックします。

 

 

ルータへの接続

 

  1. ドロップダウン リストから [Logical-Router-Tier0] を選択します。
  2. [Connect] をクリックします。

 

 

K8 ロード バランサーの削除

 

 

実習ラボ環境では、リソースが限られているため、新しいロード バランサーのためのスペースを空けます。

  1. 左側の [Load Balancing] をクリックします。
  2. [Load Balancers] をクリックします。

リストにロード バランサーが表示された場合は、それを削除します。ロード バランサーが表示されない場合は、次の 3 つの手順を省略して、次に進みます。 

  1. ロード バランサーの横にあるチェックボックスをオンにします。この例では、[k82-cl1-fzekz] です。
  2. [Delete] をクリックします。
  3. [Confirm] をクリックします。

 

 

ロード バランサーの作成

 

ロード バランサーを作成します。

  1. 左側の [Load Balancing] をクリックします。
  2. [Load Balancers] をクリックします。

  3. [+Add] リンクをクリックします。

 

 

ロード バランサーの作成

 

ロード バランサーの詳細を入力します。

  1. [Name]:「Tenant_LB
  2. [Load Balancer Size]:[Small] を選択します。
  3. [OK] をクリックします。

 

 

ロード バランサーの接続

 

  1. [Tenant_LB] の横にあるチェックボックスをオンにします。
  2. [Actions] をクリックします。
  3. [Attach to a Logical Router] をクリックします。

※画面ショットに黒丸番号が振られていません。

 

 

論理ルータの選択

 

  1. [Logical-Router-Tier1] を選択します。
  2. [OK] をクリックします。

 

 

Server Pool

 

次に、サーバ プールを設定します。

  1. 左側の [Load Balancing] をクリックします。
  2. [Server Pools] をクリックします。
  3. [Server Pools] タブをクリックします。
  4. [+Add] をクリックします。

 

 

サーバ プールの設定

 

  1. [Name] フィールドに「Tenant1-WebPool」と入力します。
  2. [Next] をクリックします。

 

 

SNAT

 

[Transparent]が選択されている事を確認します。

  1. [Next] をクリックします。

 

 

Pool Members

 

Web サーバを追加します。

  1. [+Add] をクリックし、次の情報を入力します。
  • [Name]:「web-01a
  • [IP]:「172.16.10.11
  • [Port]:「443

 

  • [web-02a] についても、これを繰り返します。
  • [Name]:「web-02a
  • [IP]:「172.16.10.12
  • [Port]:「443
  1. [Next] をクリックします。

 

 

健全性モニター

 

  1. [Passive Health Monitor] フィールドで [nsx-default-http-monitor] を選択します。
  2. [Finish] をクリックします。

 

 

仮想サーバ

 

次に、仮想サーバを設定します。

  1. 左側の [Load Balancing] をクリックします。
  2. [Virtual Servers] タブをクリックします。
  3. [Virtual Servers] をクリックします。
  4. [+Add] をクリックします。

 

 

仮想サーバのプロパティ

 

次のフィールドに入力します。

  1. [Name]:「Tenant1-VIP
  2. プルダウン フィールドから [nsx-default-ib-fast-tcp-profile] を選択します。
  3. [Next] をクリックします。

 

 

識別子

 

次のフィールドに入力します。

  1. [IP Address]:「172.16.10.3
  2. [Port]:「443
  3. [Next] をクリックします。

※画面ショットに黒丸番号がありません。

 

 

Server Pool

 

  1. [Server Pool]:「Tenant1-WebPool」を選択します。
  2. [Next] をクリックします。

※画面ショットに黒丸番号がありません。

 

 

ロードバランシングのプロファイル

 

このフィールドは空白のままにしておきます。

  1. [Finish] をクリックします。

 

 

仮想サーバをロード バランサーに接続

 

新しい仮想サーバをロード バランサーに接続します。

  1. [Tenant1-VIP] の横にあるチェックボックスをオンにします。
  2. [Actions] をクリックします。
  3. [Attach To a Load Balancer] をクリックします。

 

 

 

論理ルータへの接続

 

  1. [Logical-Router-Tier1] を選択します。
  2. [OK] をクリックします。

※ロードバランサーの接続ではなく、論理ルーターへの接続になっています。

※画面と手順の両方が間違っています。

 

 

ステータス

 

ロード バランサーのステータスを確認します。オンラインになるまでに数秒かかることがあります。[Operation Status] が [Up] と表示されることを確認します。

 

 

Web サイト

 

 

次に、Web サイトを確認します。Chrome の新しいタブで、次のアドレスを入力します。

https://172.16.10.6/cgi-bin/app.py?querystring=

次のような画面が表示された場合は、セキュリティの警告を受け入れて、ロードバランシングされた Web サイトを確認します。 

このように表示されなかった場合は(この章から実習ラボを開始した場合)、次の手順を実行する必要があります。

 

モジュール 5 のまとめ



 

モジュール 5 の終了

 

モジュール 5 はこれで終了です。

 

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[END] ボタンをクリックします。

 

モジュール 6:分散ファイアウォールとツール(15 分)

分散ファイアウォールとツール:モジュールの概要



 

分散ファイアウォール、SpoofGuard、ツール

このモジュールでは、NSX-T での分散ファイアウォール、SpoofGuard、および運用ツールの動作を示し、その構成の方法を学習します。

  • 新しいファイアウォール ルールを作成し、その動作をテストします。
  • 論理スイッチで SpoofGuard を有効化し、トラフィックのブロックと有効化を行います。
  • 運用とトラブルシューティングのために NSX-T が提供する、いくつかの組み込みのツールを確認します。

 

分散ファイアウォール



 

NSX-T の分散ファイアウォール

この章では、NSX-T の分散型ファイアウォールの動作を確認して、その構成を行います。

 

 

vCenter にログイン

 

まず、vCenter にログインします。

  1. デスクトップにある Chrome のアイコンをダブルクリックします。

 

 

vCenter にログイン

 

  1. [Use Windows session authentication] のチェックボックスをオンにします。
  2. [Login] をクリックします。

 

 

web-01a のリモート コンソール

 

 

  1. 左側で仮想マシン [web-01a] を見つけます。
  2. [Launch Web Console] をクリックします。

注:ポップアップ ブロッカーにより、ウィンドウがブロックされて、開かない場合があります。ポップアップ ブロッカーのアイコンをクリックして、ウィンドウが開くことを許可します。

 

 

リモート コンソールの起動

 

仮想マシンにまだログインしていない場合は、ログインする必要があることがあります。

  • [Username]:「root
  • [Password]:「VMware1!

次に web-01a の IP を念のため確認します。

次のコマンドを入力します。

ifconfig

web-01a の IP は 172.16.10.11 です。次に、同じ論理スイッチに接続されている他の Web サーバに ping を実行します。

 

 

Ping のテスト

 

次の ping コマンドを実行します。すべて正常に実行されることを確認します。

  1. ping 172.16.10.12 -c 2
  2. ping 172.16.10.13 -c 2

 

 

 

NSX にログイン

 

  1. 新しいタブを開きます。
  2. [VMware NSX Login] ブックマークをクリックします。
  3. [Username]:「admin
  4. [Password]:「VMware1!
  5. [Log In] をクリックします。

 

 

グループ

 

グループを使用してすべての Web サーバを検索し、KVM サーバ上のものを含め、すべての Web サーバにファイアウォールを適用できるようにします。

  1. 左側の [Inventory] をクリックします。
  2. [Groups] タブをクリックします。
  3. [+Add] をクリックします。

 

 

NS グループの作成

 

Web グループを作成します。

次のように入力します。

  1. [Name]:「Web Servers
  2. [Membership Criteria] タブをクリックします。

 

 

メンバー

 

グループ メンバーを見つける方法として、仮想マシンの名前を使用します。

  1. [+ Criteria] をクリックします。
  2. ドロップダウン メニューから [Virtual Machine] を選択します。
  3. web」と入力します。
  4. [Save] をクリックします。

 

 

新しいグループ

 

新しいグループが作成できました。このグループのメンバーを確認します。

  1. [Web Servers] をクリックします。

 

 

グループのメンバー

 

Web サーバがグループの一部であることを確認します。

  1. [Members] をクリックします。
  2. [Member Objects]:[Virtual Machine] を選択します。

環境に含まれる 3 つの Web サーバが表示されます。

 

 

ファイアウォール

 

  1. 左側の [Firewall] リンクをクリックします。

 

 

ファイアウォール セクション

 

ファイアウォール ルールの新しいセクションを作成します。

  1. ファイアウォールの一番上の行をクリックします。これを選択しながら、他のオプション ボタンを選択できます。
  2. [+Add Section] をクリックします。
  3. [Add Section Above] をクリックします。

 

 

Web サーバの選択

 

ファイアウォール セクションに、次の情報を入力します。

  1. [Section Name]:「Web Servers Isolation
  2. [Type] で [Logical Switch] を選択します。
  3. [LS-Web] を探し、その横にあるチェックボックスをオンにします。
  4. 矢印 [>] ボタンをクリックして、選択されたセクションに移動します。
  5. [Save] をクリックします。

※黒丸番号が振られていません。

 

 

新規ルール

 

  1. 新しく作成された [Web Servers Isolation] のセクションをクリックします。
  2. [+Add Rule] をクリックします。
  3. [Add Rule Below] をクリックします。

 

 

ファイアウォールの情報

 

  1. [Name] ボックスの鉛筆アイコンをクリックし、ファイアウォールの名前として、「Web Isolation」を入力します。[OK] をクリックします。
  2. [Sources] ボックスの鉛筆アイコンをクリックします。

 

 

送信元の情報

 

  1. [Type] を [NSGroup] に変更します。
  2. [Web Servers] を選択します。
  3. [>] をクリックして、右側の選択されたボックスに移動します。
  4. [OK] をクリックします。

ファイアウォール ルールの [Destination] ボックスで、これを繰り返して行います。

 

 

ファイアウォール ルールの確認

 

[Sources] と [Destinations] で、それぞれ [Web Servers] と表示されていることを確認します。次に、この間のすべてのトラフィックをブロックします。

  1. [Action] フィールドで鉛筆アイコンをクリックします。

 

 

ドロップ

 

  1. ドロップダウン メニューで [Drop] をクリックします。
  2. [OK] をクリックします。

※黒丸番号が振られていません。

 

 

ルールの保存

 

 

  1. [Save] をクリックします。
  2. [Save] をクリックします。

ルールが保存され、実行されています。次にテストを行い、その動作を確認します。

 

 

ファイアウォールの確認

 

  1. [web-01a] で開いた Web コンソールに戻ります。
  2. キーボードで上向きの矢印を使用するか、または前に使った ping コマンドを手動で入力します。

すべてのトラフィックがドロップされるようになったことを確認します。分散ファイアウォールは、ESXi と KVM の両方で、仮想マシンに送信されたパケットをブロックしました。

※ping 172.16.10.13 -c 2は「unreachable」で失敗しました。

 

ツール


NSX-T では、運用やトラブルシューティングを容易にするための、さまざまなツールを提供しています。この章では、それらのツールの機能と動作を確認します。NSX-T の UI では、運用ツールは [Tools] メニューの下にあります。ツールとその機能の一覧を次に示します。

  • Port Connection:2 つの仮想マシン間のパスを示します。
  • Traceflow:トラフィックを挿入して、2 つの仮想マシン間のデータ プレーンのテストを行います。
  • ポート ミラーリング:同じトランスポート ノードの NIC 間にパケット コピー機能を適用します。
  • IPFIX:トラフィックのフロー レコードを生成して、リモート コレクターに送信します。

 

Port Connection

 

まず、Port Connection と呼ばれるツールを確認します。Port Connection ツールは、ネットワーク インフラストラクチャでのポート接続の問題のトラブルシューティングに使用します。トポロジー ビューでは、論理コンポーネントと物理コンポーネントにわたる接続状況が表示されます。これにはオーバーレイ トンネルの健全性が含まれます。

  1. NSX Manager の左側のメニューで [Tools] をクリックします。
  2. [Port Connection] のリンクをクリックします(デフォルトで選択されていない場合)。
  3. [Source Virtual Machine] で [web-01a] を選択します。
  4. [Destination Virtual Machine] で [db-01a] を選択します。
  5. [Go] をクリックします。

 

 

ポート接続マップ

 

[Go] をクリックすると、NSX-T は要求を処理し、2 つの仮想マシン間の接続の詳細な状況を示すマップを表示します。すでに他のモジュールを実行した場合には、表示されるマップは異なる場合があります。さまざまな状況で、このツールを試してみます。他の仮想マシンを選んでみます。マップ上でクリックすると、各コンポーネントの詳細が表示されます。

 

 

Traceflow

 

Traceflow は、論理ポートで挿入されたパケットのトランスポート ノード レベルでのパスをトレースします。Traceflow は L2 と L3 をサポートし、ESXi と KVM Edge(NAT を含む)にわたってサポートされます。ユーザーが提供する詳細情報を使用して、Traceflow パケットが作成され、送信元の論理ポートに挿入されます。このパケットが送信元から送信先に移動すると、すべての論理ネットワーク エンティティが調査結果を報告します。これらの調査結果がまとめられて、UI で表示されます。

  1. 左側の [TraceFlow] をクリックします。
  2. [Source] のプルダウン メニューをスクロールして、[web-01a] を見つけます。
  3. [Destination] のプルダウン メニューをスクロールして、[web-02a] を見つけます。
  4. [Trace] をクリックします。

 

 

Traceflow の結果

 

トレースが開始されると、NSX-T Traceflow は、マップと、エンドポイント間でパケットが取得した情報を表示します。 

モジュールの以前の手順で作成したファイアウォール ルールによって、パケットがドロップされたことを確認します。環境でツールを実行して、いろいろと試してみます。

 

 

検索

 

検索機能は、とても役立つ NSX-T の新機能の 1 つです。検索機能を使用すると、ポートやグループなど、さまざまなものを検索できます。実際に試してみます。

  1. ページの右側の上部にある、検索アイコンをクリックします。
  2. web」と入力を始めてみます。

入力するごとに、検索結果が表示されることを確認します。 

検索機能を、いろいろと自由に試してみます。

 

モジュール 6 の学習内容


このモジュールでは、NSX-T で展開して使用できる、分散ファイアウォールとツールについて学習しました。


 

これで、モジュール 6 と実習ラボは終了です

 

モジュール 6 と実習ラボはこれで終了です。

実習ラボをご利用いただきありがとうございました。

 

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[END] ボタンをクリックします。

 

まとめ

VMware ハンズオン ラボにご参加いただき、ありがとうございました。 http://hol.vmware.com/ にアクセスして、引き続きオンラインでハンズオン ラボをご体験ください。

Lab SKU: HOL-1926-01-NET

Version: 20181114-020928