NSX では、ネットワークにかかわる様々な機能を実現できます。
たとえば、VXLAN によるオーバーレイネットワーク構成、分散ルーティング、分散ファイアウォール・・・など。
それぞれを連携させて利用することができますが、
逆に、それぞれの機能を必要なものだけ利用することも可能です。
たとえば導入検討などで、実際は直接的に関係しない機能同士の影響が気になるケースもあると思います。
そういった場合にも、VMware Hands-on Labs(HoL)を利用して確認をすることができます。
今回は、HoL「HOL-SDC-1603 VMware NSX Introduction」で、(通常はそうする必要はありませんが)
あえて VXLAN を無効にして分散ファイアウォールをためしてみます。
VMware Hands-on Labs
http://labs.hol.vmware.com/HOL/catalogs/
準備として、あえて VXLAN を無効化。
HoL では、「Compute Cluster A」と「Compute ClusterB」というクラスタに検証用 VM が配置されています。
この環境の VM は、初期状態では VXLAN の論理スイッチとなる「vxw-~」という分散ポートグループに接続されています。
これらの VM を、「vds_site_a_VM Network」という VXLAN とは関係のない普通の分散ポートグループに接続しました。
そして、「Compute Cluster A」と「Compute ClusterB」を
Transport Zone からはずして、VXLAN も構成解除してしまいます。
「Compute Cluster A」と「Compute ClusterB」は、すべての ESXi ホストで
VXLAN が未構成(Not Configured)で、Firewall が有効(Enabled)の状態にしました。
vNIC を対象に、分散ファイアウォールのルールを投入してみる。
今回は動作確認のため、web-02a という VM の vNIC で、Ping(ICMP)を拒否するルールを設定してみました。
Distributed Firewall のルールを追加して、設定反映(Publish Changes)します。
web-01a から、ルールの対象である web-02a に ping を実行していたところ、
設定反映のタイミング(赤線のところ)から拒否されるようになりました。
このような感じで、実際に検証機材を用意できない場合でも検証方法を工夫すれば、
ある程度 HoL の Lab マニュアルにないことでも簡易 PoC 的なことができそうだと思います。
以上、HoL の NSX 環境で工夫してみる話でした。