NSX-T 3.0 のシンプルな DFW ラボを構築する。

NSX-T 3.0 のシンプルな DFW ラボを構築する。

NSX-T には、分散ファイアウォール(DFW)機能があります。

この DFW は、NSX-T の有名な機能であるオーバーレイ ネットワーク(Geneve による)の環境でなくても利用可能です。

そこで今回は、オーバーレイ ネットワークなしのシンプルな DFW ラボ環境を構築してみます。

今回の環境。

今回のラボは、下記のような構成です。

  • vCenter Server 7.0d / ESXi 7.0
  • NSX-T 3.0
  • NSX の仮想スイッチは、N-VDS ではなく vDS 7.0 を利用(NSX-T 3.0 ~新機能)
  • NSX Edge は無し。オーバーレイ ネットワークも無し。

vCenter / ESXi の仮想スイッチは、分散仮想スイッチ(vDS)のみを構成しています。

vDS のバージョンは 7.0 で作成してあり、アップリンクには ESXi の物理 NIC(vmnic0 と vmnic1)が割り当てられています。

nsx-dfw-lab-01.png

NSX Manager の仮想アプライアンス(VM)は、すでにデプロイしてあります。

OVA ファイルは「nsx-unified-appliance-3.0.0.0.0.15945876-le.ova」です。

nsx-dfw-lab-02.png

なお、NSX-T の設定作業をするためにはライセンスの適用は必須です。

デプロイ直後の NSX Manger の VM を起動して、

評価ライセンスを適用してある状態です。

NSX Manager での vCenter 登録。

NSX-T に「コンピュート マネージャ」として vCenter を登録します。

これは、NSX-T の仮想スイッチで vDS を利用するために必要です。

「システム」→「ファブリック」→「コンピュート マネージャ」を開き、

「追加」をクリックして「コンピュート マネージャの作成」画面を表示します。

そして、下記を入力して「追加」をクリックします。

  • vCenter の「名前」(これは任意の文字列)
  • vCenter の「FQDN または IP アドレス」
  • vCenter の、ユーザー名と、パスワード

nsx-dfw-lab-04.png

画面に従って証明書のサムプリントを受け入れると、vCenter がコンピュート マネージャとして登録されます。

nsx-dfw-lab-06.png

これで、「システム」→「ファブリック」→「ノード」→

「ホスト トランスポート ノード」で vCenter を選択すると、クラスタと ESXi が表示されるようになります。

nsx-dfw-lab-07.png

ただしこの ESXi は、まだ NSX-T むけに準備されていない状態です。

ESXi のホスト トランスポート ノードとしての準備。

ここから ESXi を、NSX-T の「ホスト トランスポート ノード」として準備します。

まず、「システム」→「ファブリック」→「プロファイル」→

「トランスポート ノード プロファイル」で、「追加」をクリックします。

「トランスポート ノード プロファイルの追加」画面が表示されるので、

下記を入力して、そのまま画面を下にスクロールします。

  • プロファイルにつける「名前」を入力。今回は tnp-esxi-vds-01 としています。
  • ノード スイッチの「タイプ」で、「VDS」を選択。
  • ノード スイッチ「名前」では、vCenter と vDS 名を選択。(例での vDS は vds-21)
  • トランスポート ゾーンとして「nsx-vlan-transportzone」を選択。
    (これは、デフォルト作成される VLAN トランスポート ゾーン)
  • アップリンク プロファイルとして「nsx-default-uplink-hostswitch-profile」を選択。

nsx-dfw-lab-09.png

画面下にスクロールして、下記を入力してから「追加」をクリックします。

  • uplink-1 → vDS の1つめのアップリンク名(例では dvUplink1)
  • uplink-2 → vDS の2つめのアップリンク名(例では dvUplink2)

nsx-dfw-lab-10.png

これで、VLAN セグメントを利用できるようになる、トランスポート ノード プロファイルが作成されました。

nsx-dfw-lab-11.png

「システム」→「ファブリック」→「ノード」→「ホスト トランスポート ノード」を開き、

クラスタ(ESXi ではなくその上の)を選択して、「NSX の設定」をクリックします。

「NSX のインストール」画面が表示されるので、先ほど作成したトランスポート ノード プロファイルを選択して、

「適用」をクリックします。

nsx-dfw-lab-14.png

これで少し待つと、クラスタ配下の ESXi が NSX のホスト トランスポート ノードとして設定された状態になります。

nsx-dfw-lab-16.png

NSX-T によるネットワークの準備。

このラボでは DFW だけを利用するため、NSX Edge はデプロイしていません。

そして、ルーティングのための Tier-0 / Tier-1 ゲートウェイや、Geneve のオーバーレイ セグメントも作成しません。

VLAN 接続するための「VLAN セグメント」のみ作成します。

Tier-0 ゲートウェイは、作成しません。

nsx-dfw-lab-17.png

そして Tier-1 ゲートウェイも作成しません。

nsx-dfw-lab-18.png

NSX-T では、vCenter でポートグループとして扱える「セグメント」を作成できます。

そして NSX-T の DFW は、この「セグメント」で作用します。

NSX-T のセグメントには、「オーバーレイ」と「VLAN」の 2種類がありますが、DFW はどちらでも利用できます。

そこで、ここでは「VLAN セグメント」のみを作成します。

「ネットワーク」→「セグメント」にある、「セグメント」タブで、「セグメントの追加」をクリックします。

そして下記を入力して、画面を下にスクロールします。

  • セグメント名を入力。ここでは seg-vlan-0006。
  • トランスポート ゾーンを選択。デフォルトで作成されている「nsx-vlan-transportzone | VLAN」を選択する。

nsx-dfw-lab-21.png

VLAN ID を入力し、「保存」をクリックします。

今回は、セグメント名からもわかるように VLAN ID 6 のセグメントを作成します。

ちなみに、この VLAN ID は(NSX 外部の)物理スイッチのトランク ポートでも設定しておく必要があります。

nsx-dfw-lab-23.png

このセグメントの設定を続行するかという確認メッセージは、「いいえ」で閉じます。

nsx-dfw-lab-24.png

これで、VLAN セグメントが作成されました。

ここで作成した、VLAN セグメント「seg-vlan-0006」は、

vCenter の vSphere Client などでは、ポートグループとして VM の vNIC に割り当てられます。

nsx-dfw-lab-26.png

これで、DFW を利用可能な、シンプルな構成のラボが構築できました。

つづく。

Tags (4)
Version history
Revision #:
1 of 1
Last update:
‎10-07-2020 07:59 AM
Updated by: