NSX-T には、分散ファイアウォール(DFW)機能があります。
この DFW は、NSX-T の有名な機能であるオーバーレイ ネットワーク(Geneve による)の環境でなくても利用可能です。
そこで今回は、オーバーレイ ネットワークなしのシンプルな DFW ラボ環境を構築してみます。
今回の環境。
今回のラボは、下記のような構成です。
- vCenter Server 7.0d / ESXi 7.0
- NSX-T 3.0
- NSX の仮想スイッチは、N-VDS ではなく vDS 7.0 を利用(NSX-T 3.0 ~新機能)
- NSX Edge は無し。オーバーレイ ネットワークも無し。
vCenter / ESXi の仮想スイッチは、分散仮想スイッチ(vDS)のみを構成しています。
vDS のバージョンは 7.0 で作成してあり、アップリンクには ESXi の物理 NIC(vmnic0 と vmnic1)が割り当てられています。
NSX Manager の仮想アプライアンス(VM)は、すでにデプロイしてあります。
OVA ファイルは「nsx-unified-appliance-3.0.0.0.0.15945876-le.ova」です。
なお、NSX-T の設定作業をするためにはライセンスの適用は必須です。
デプロイ直後の NSX Manger の VM を起動して、
評価ライセンスを適用してある状態です。
NSX Manager での vCenter 登録。
NSX-T に「コンピュート マネージャ」として vCenter を登録します。
これは、NSX-T の仮想スイッチで vDS を利用するために必要です。
「システム」→「ファブリック」→「コンピュート マネージャ」を開き、
「追加」をクリックして「コンピュート マネージャの作成」画面を表示します。
そして、下記を入力して「追加」をクリックします。
- vCenter の「名前」(これは任意の文字列)
- vCenter の「FQDN または IP アドレス」
- vCenter の、ユーザー名と、パスワード
画面に従って証明書のサムプリントを受け入れると、vCenter がコンピュート マネージャとして登録されます。
これで、「システム」→「ファブリック」→「ノード」→
「ホスト トランスポート ノード」で vCenter を選択すると、クラスタと ESXi が表示されるようになります。
ただしこの ESXi は、まだ NSX-T むけに準備されていない状態です。
ESXi のホスト トランスポート ノードとしての準備。
ここから ESXi を、NSX-T の「ホスト トランスポート ノード」として準備します。
まず、「システム」→「ファブリック」→「プロファイル」→
「トランスポート ノード プロファイル」で、「追加」をクリックします。
「トランスポート ノード プロファイルの追加」画面が表示されるので、
下記を入力して、そのまま画面を下にスクロールします。
- プロファイルにつける「名前」を入力。今回は tnp-esxi-vds-01 としています。
- ノード スイッチの「タイプ」で、「VDS」を選択。
- ノード スイッチ「名前」では、vCenter と vDS 名を選択。(例での vDS は vds-21)
- トランスポート ゾーンとして「nsx-vlan-transportzone」を選択。
(これは、デフォルト作成される VLAN トランスポート ゾーン) - アップリンク プロファイルとして「nsx-default-uplink-hostswitch-profile」を選択。
画面下にスクロールして、下記を入力してから「追加」をクリックします。
- uplink-1 → vDS の1つめのアップリンク名(例では dvUplink1)
- uplink-2 → vDS の2つめのアップリンク名(例では dvUplink2)
これで、VLAN セグメントを利用できるようになる、トランスポート ノード プロファイルが作成されました。
「システム」→「ファブリック」→「ノード」→「ホスト トランスポート ノード」を開き、
クラスタ(ESXi ではなくその上の)を選択して、「NSX の設定」をクリックします。
「NSX のインストール」画面が表示されるので、先ほど作成したトランスポート ノード プロファイルを選択して、
「適用」をクリックします。
これで少し待つと、クラスタ配下の ESXi が NSX のホスト トランスポート ノードとして設定された状態になります。
NSX-T によるネットワークの準備。
このラボでは DFW だけを利用するため、NSX Edge はデプロイしていません。
そして、ルーティングのための Tier-0 / Tier-1 ゲートウェイや、Geneve のオーバーレイ セグメントも作成しません。
VLAN 接続するための「VLAN セグメント」のみ作成します。
Tier-0 ゲートウェイは、作成しません。
そして Tier-1 ゲートウェイも作成しません。
NSX-T では、vCenter でポートグループとして扱える「セグメント」を作成できます。
そして NSX-T の DFW は、この「セグメント」で作用します。
NSX-T のセグメントには、「オーバーレイ」と「VLAN」の 2種類がありますが、DFW はどちらでも利用できます。
そこで、ここでは「VLAN セグメント」のみを作成します。
「ネットワーク」→「セグメント」にある、「セグメント」タブで、「セグメントの追加」をクリックします。
そして下記を入力して、画面を下にスクロールします。
- セグメント名を入力。ここでは seg-vlan-0006。
- トランスポート ゾーンを選択。デフォルトで作成されている「nsx-vlan-transportzone | VLAN」を選択する。
VLAN ID を入力し、「保存」をクリックします。
今回は、セグメント名からもわかるように VLAN ID 6 のセグメントを作成します。
ちなみに、この VLAN ID は(NSX 外部の)物理スイッチのトランク ポートでも設定しておく必要があります。
このセグメントの設定を続行するかという確認メッセージは、「いいえ」で閉じます。
これで、VLAN セグメントが作成されました。
ここで作成した、VLAN セグメント「seg-vlan-0006」は、
vCenter の vSphere Client などでは、ポートグループとして VM の vNIC に割り当てられます。
これで、DFW を利用可能な、シンプルな構成のラボが構築できました。
つづく。