NSX-T 3.0 のシンプルな DFW ラボを構築する。

gowatana — Wed, 07 Oct 2020 14:59:02 GMT

NSX-T には、分散ファイアウォール（DFW）機能があります。

この DFW は、NSX-T の有名な機能であるオーバーレイネットワーク（Geneve による）の環境でなくても利用可能です。

そこで今回は、オーバーレイネットワークなしのシンプルな DFW ラボ環境を構築してみます。

今回の環境。

今回のラボは、下記のような構成です。

vCenter Server 7.0d / ESXi 7.0
NSX-T 3.0
NSX の仮想スイッチは、N-VDS ではなく vDS 7.0 を利用（NSX-T 3.0 ～新機能）
NSX Edge は無し。オーバーレイネットワークも無し。

vCenter / ESXi の仮想スイッチは、分散仮想スイッチ（vDS）のみを構成しています。

vDS のバージョンは 7.0 で作成してあり、アップリンクには ESXi の物理 NIC（vmnic0 と vmnic1）が割り当てられています。

NSX Manager の仮想アプライアンス（VM）は、すでにデプロイしてあります。

OVA ファイルは「nsx-unified-appliance-3.0.0.0.0.15945876-le.ova」です。

なお、NSX-T の設定作業をするためにはライセンスの適用は必須です。

デプロイ直後の NSX Manger の VM を起動して、

評価ライセンスを適用してある状態です。

NSX Manager での vCenter 登録。

NSX-T に「コンピュートマネージャ」として vCenter を登録します。

これは、NSX-T の仮想スイッチで vDS を利用するために必要です。

「システム」→「ファブリック」→「コンピュートマネージャ」を開き、

「追加」をクリックして「コンピュートマネージャの作成」画面を表示します。

そして、下記を入力して「追加」をクリックします。

vCenter の「名前」（これは任意の文字列）
vCenter の「FQDN または IP アドレス」
vCenter の、ユーザー名と、パスワード

画面に従って証明書のサムプリントを受け入れると、vCenter がコンピュートマネージャとして登録されます。

これで、「システム」→「ファブリック」→「ノード」→

「ホストトランスポートノード」で vCenter を選択すると、クラスタと ESXi が表示されるようになります。

ただしこの ESXi は、まだ NSX-T むけに準備されていない状態です。

ESXi のホストトランスポートノードとしての準備。

ここから ESXi を、NSX-T の「ホストトランスポートノード」として準備します。

まず、「システム」→「ファブリック」→「プロファイル」→

「トランスポートノードプロファイル」で、「追加」をクリックします。

「トランスポートノードプロファイルの追加」画面が表示されるので、

下記を入力して、そのまま画面を下にスクロールします。

プロファイルにつける「名前」を入力。今回は tnp-esxi-vds-01 としています。
ノードスイッチの「タイプ」で、「VDS」を選択。
ノードスイッチ「名前」では、vCenter と vDS 名を選択。（例での vDS は vds-21）
トランスポートゾーンとして「nsx-vlan-transportzone」を選択。
（これは、デフォルト作成される VLAN トランスポートゾーン）
アップリンクプロファイルとして「nsx-default-uplink-hostswitch-profile」を選択。

画面下にスクロールして、下記を入力してから「追加」をクリックします。

uplink-1 → vDS の1つめのアップリンク名（例では dvUplink1）
uplink-2 → vDS の2つめのアップリンク名（例では dvUplink2）

これで、VLAN セグメントを利用できるようになる、トランスポートノードプロファイルが作成されました。

「システム」→「ファブリック」→「ノード」→「ホストトランスポートノード」を開き、

クラスタ（ESXi ではなくその上の）を選択して、「NSX の設定」をクリックします。

「NSX のインストール」画面が表示されるので、先ほど作成したトランスポートノードプロファイルを選択して、

「適用」をクリックします。

これで少し待つと、クラスタ配下の ESXi が NSX のホストトランスポートノードとして設定された状態になります。

NSX-T によるネットワークの準備。

このラボでは DFW だけを利用するため、NSX Edge はデプロイしていません。

そして、ルーティングのための Tier-0 / Tier-1 ゲートウェイや、Geneve のオーバーレイセグメントも作成しません。

VLAN 接続するための「VLAN セグメント」のみ作成します。

Tier-0 ゲートウェイは、作成しません。

そして Tier-1 ゲートウェイも作成しません。

NSX-T では、vCenter でポートグループとして扱える「セグメント」を作成できます。

そして NSX-T の DFW は、この「セグメント」で作用します。

NSX-T のセグメントには、「オーバーレイ」と「VLAN」の２種類がありますが、DFW はどちらでも利用できます。

そこで、ここでは「VLAN セグメント」のみを作成します。

「ネットワーク」→「セグメント」にある、「セグメント」タブで、「セグメントの追加」をクリックします。

そして下記を入力して、画面を下にスクロールします。

セグメント名を入力。ここでは seg-vlan-0006。
トランスポートゾーンを選択。デフォルトで作成されている「nsx-vlan-transportzone | VLAN」を選択する。

VLAN ID を入力し、「保存」をクリックします。

今回は、セグメント名からもわかるように VLAN ID 6 のセグメントを作成します。

ちなみに、この VLAN ID は（NSX 外部の）物理スイッチのトランクポートでも設定しておく必要があります。

このセグメントの設定を続行するかという確認メッセージは、「いいえ」で閉じます。

これで、VLAN セグメントが作成されました。

ここで作成した、VLAN セグメント「seg-vlan-0006」は、

vCenter の vSphere Client などでは、ポートグループとして VM の vNIC に割り当てられます。

これで、DFW を利用可能な、シンプルな構成のラボが構築できました。

つづく。

article NSX-T 3.0 のシンプルな DFW ラボを構築する。 in Legacy User Blogs

NSX-T 3.0 のシンプルな DFW ラボを構築する。

今回の環境。

NSX Manager での vCenter 登録。

ESXi のホスト トランスポート ノードとしての準備。

NSX-T によるネットワークの準備。

ESXi のホストトランスポートノードとしての準備。