vm.gowatana.jp

NEOにほんごVMware(仮)

NSX-T 3.0 のシンプルな DFW ラボを構築する。

NSX-T には、分散ファイアウォール(DFW)機能があります。この DFW は、NSX-T の有名な機能であるオーバーレイ ネットワークの(Geneve による)環境でなくても利用可能です。

そこで今回は、オーバーレイ ネットワークなしのシンプルな DFW ラボ環境を構築してみます。 

 

今回の内容です。

 

今回の環境

今回のラボは、下記のような構成です。

  • vCenter Server 7.0d / ESXi 7.0
  • NSX-T 3.0
  • NSX の仮想スイッチは、N-VDS ではなく vDS 7.0 を利用(NSX-T 3.0 ~新機能)
  • NSX Edge は無し。オーバーレイ ネットワークも無し。

 

vCenter / ESXi の仮想スイッチは、分散仮想スイッチ(vDS)のみを構成しています。vDS のバージョンは 7.0 で作成してあり、アップリンクには ESXi の物理 NIC(vmnic0 と vmnic1)が割り当てられています。

f:id:gowatana:20201127083746p:plain

 

NSX Manager の仮想アプライアンス(VM)は、すでにデプロイしてあります。OVA ファイルは「nsx-unified-appliance-3.0.0.0.0.15945876-le.ova」です。

f:id:gowatana:20201127083805p:plain

 

なお、NSX-T の設定作業をするためにはライセンスの適用は必須です。デプロイ直後の NSX Manger の VM を起動して、評価ライセンスを適用してある状態です。

 

NSX Manager での vCenter 登録

NSX-T に「コンピュート マネージャ」として vCenter を登録します。これは、NSX-T の仮想スイッチで vDS を利用するために必要です。

「システム」→「ファブリック」→「コンピュート マネージャ」を開き、「追加」をクリックして「コンピュート マネージャの作成」画面を表示します。そして下記を入力して「追加」をクリックします。

  • vCenter の「名前」(これは任意の文字列)
  • vCenter の「FQDN または IP アドレス」
  • vCenter の、ユーザー名と、パスワード

f:id:gowatana:20201127083823p:plain

 

画面に従って証明書のサムプリントを受け入れると、vCenter がコンピュート マネージャとして登録されます。

f:id:gowatana:20201127083847p:plain

 

これで、「システム」→「ファブリック」→「ノード」→「ホスト トランスポート ノード」で vCenter を選択すると、クラスタと ESXi が表示されるようになります。

f:id:gowatana:20201127083904p:plain

 

ただしこの ESXi は、まだ NSX-T むけに準備されていない状態です。

 

ESXi のホスト トランスポート ノードとしての準備

ここから ESXi を、NSX-T の「ホスト トランスポート ノード」として準備します。

まず、「システム」→「ファブリック」→「プロファイル」→「トランスポート ノード プロファイル」で、「追加」をクリックします。

「トランスポート ノード プロファイルの追加」画面が表示されるので、下記を入力して、そのまま画面を下にスクロールします。

  • プロファイルにつける「名前」を入力。今回は tnp-esxi-vds-01 としています。
  • ノード スイッチの「タイプ」で、「VDS」を選択。
  • ノード スイッチ「名前」では、vCenter と vDS 名を選択。(例での vDS は vds-21)
  • トランスポート ゾーンとして「nsx-vlan-transportzone」を選択。
  • (これは、デフォルト作成される VLAN トランスポート ゾーン)
  • アップリンク プロファイルとして「nsx-default-uplink-hostswitch-profile」を選択。

f:id:gowatana:20201127083923p:plain

 

画面下にスクロールして、下記を入力してから「追加」をクリックします。

  • uplink-1 → vDS の1つめのアップリンク名(例では dvUplink1)
  • uplink-2 → vDS の2つめのアップリンク名(例では dvUplink2)

f:id:gowatana:20201127083940p:plain

 

これで、VLAN セグメントを利用できるようになる、トランスポート ノード プロファイルが作成されました。

f:id:gowatana:20201127084010p:plain

 

「システム」→「ファブリック」→「ノード」→「ホスト トランスポート ノード」を開き、クラスタ(ESXi ではなくその上の)を選択して、「NSX の設定」をクリックします。「NSX のインストール」画面が表示されるので、先ほど作成したトランスポート ノード プロファイルを選択して、「適用」をクリックします。

f:id:gowatana:20201127084029p:plain

 

これで少し待つと、クラスタ配下の ESXi が NSX のホスト トランスポート ノードとして設定された状態になります。

f:id:gowatana:20201127084047p:plain

 

NSX-T によるネットワークの準備

このラボでは DFW だけを利用するため、NSX Edge はデプロイしていません。そして、ルーティングのための Tier-0 / Tier-1 ゲートウェイや、Geneve のオーバーレイ セグメントも作成しません。

ここからは、VLAN 接続するための「VLAN セグメント」を作成しますが、Tier-0 ゲートウェイは、あえて作成していない状態です。

f:id:gowatana:20201127084113p:plain

 

そして Tier-1 ゲートウェイも作成しません。

f:id:gowatana:20201127084128p:plain

 

NSX-T では、vCenter でポートグループとして扱える「セグメント」を作成できます。

そして NSX-T の DFW は、この「セグメント」で作用します。NSX-T のセグメントには、「オーバーレイ」と「VLAN」の 2種類がありますが、DFW はどちらでも利用できます。

そこで、ここでは「VLAN セグメント」のみを作成します。

「ネットワーク」→「セグメント」にある、「セグメント」タブで、「セグメントの追加」をクリックします。そして下記を入力して、画面を下にスクロールします。

  • セグメント名を入力。ここでは seg-vlan-0006。
  • トランスポート ゾーンを選択。デフォルトで作成されている「nsx-vlan-transportzone | VLAN」を選択する。

f:id:gowatana:20201127084147p:plain

 

VLAN ID を入力し、「保存」をクリックします。今回は、セグメント名からもわかるように VLAN ID 6 のセグメントを作成します。

ちなみに、この VLAN ID は(NSX 外部の)物理スイッチのトランク ポートでも設定しておく必要があります。

f:id:gowatana:20201127084204p:plain

 

このセグメントの設定を続行するかという確認メッセージは、「いいえ」で閉じます。

f:id:gowatana:20201127084221p:plain

 

これで、VLAN セグメントが作成されました。

ここで作成した VLAN セグメント「seg-vlan-0006」は、vCenter の vSphere Client から、ポートグループとして VM の vNIC に割り当てられるようになります。

f:id:gowatana:20201127084238p:plain

 

以上で、DFW を利用可能な、シンプルな構成のラボが構築できました。

つづく。