NSX-T 3.2 を、vSphere Client 経由でセットアップしてみます。今回は「セキュリティ専用」のワークフローを進めてみます。
ただし、まずは vSphere Client 経由で NSX-T の操作画面を表示してみたいと思います。検証環境には管理サーバ群やテスト用の VM がまだないこともあり、ファイアウォールのルール設定はスキップしてしまいます。
前回はこちら。
そして今回の内容です。
ドキュメントでは、下記のあたりです。
ラボ環境むけの調整
今回は検証環境では、24GB のメモリを割り当てた ESXi で NSX Manager を起動させています。しかし、このままではリソース不足で NSX-T のインストールが失敗します。
そこで、このタイミングで NSX Manager のメモリ予約を解除しておきます。NSX Manager の仮想マシンを右クリックして、「設定の変更」からメモリの予約を解除(16 GB → 0)に変更しておきます。
ついでに、CPU の予約も解除(4000 MHz → 0 MHz に変更)しておきます。
「セキュリティ専用」クラスタの作成開始
前回までの手順を実施した状態で vSphere Client の「NSX」メニューを開くと、下記ようような画面が表示されます。「セキュリティ専用」の、「はじめに」をクリックします。
セキュリティ -「ホスト クラスタの準備」
「セキュリティ」のワークフローが開始されます。
NSX-T では、コンピュート マネージャ(つまり vCenter)との連携が、自動設定されています。そして、vSphere クラスタ(今回は lab-cluster-02)が表示されています。
クラスタを開くと、2台の ESXi が所属していることが確認できます。
今回はこのクラスタに NSX-T のモジュールをインストールするので、クラスタの先頭にあるチェックボックスをオンにして、「NSX のインストール」をクリックします。
確認画面が表示されるので、「インストール」をクリックします。
ちなみに、この時点で vDS の作成と ESXi への接続ができていないと、下記のようなエラーが表示されます。この場合は、vDS の設定を見直してから「NSX のインストール」をあらためてクリックします。
ESXi へのインストール処理が開始されるので、しばらく待ちます。
従来の NSX-T セットアップと同様、ESXi の「監視」→「イベント」画面などでも、NSX-T のインストール処理が開始されたことが確認できます。
しばらく待つと、インストールが完了するので、「次へ」をクリックします。
なお、ここでエラーになってしまった場合は、下記のような NSX Manager 側での対処が必要になります。
ちなみに、ここまでのワークフローは、NSX Manager の「システム」→「クイック スタート」から開始できるものと同様です。
セキュリティ -「ファイアウォール ルールの作成」
「ファイアウォール ルールの作成」画面に遷移します。
これは、ウィザードに従うとベスト プラクティスに基づいた分散ファイアウォールのルール定義ができるという NSX-T 3.2 の新機能なのですが、今回はすみやかに vSphere Client 経由での NSX Manager 画面が見たいので、スキップしてしまいます。
通常どおりウィザードを進める場合は、下記投稿のような設定ができます。
一見すると、ウィザードに従わないと進めないようになっていそうですが、「キャンセル」をクリックするとスキップできてしまいます。
ちなみに、このウィザードは後で再実行できないようです。しかし、結果的に分散ファイアウォール ルールを設定するものなので、手作業で頑張れば同様のルールが実装できるはずです。
「はい」をクリックすると、もう戻れません。つまり、分散ファイアウォールのルールを、すべて手作業で設定することになります。
そして、vSphere Client に、これまで NSX Manager にアクセスしてみていた NSX-T の管理画面が表示されます。
これで、vSphere Client に、NSX Manager の画面が表示されるようになります。
投入したライセンス キーのエディションが十分であれば、ここから分散ファイアウォール以外の(仮想ネットワークの)機能も操作できるようです。
NSX-T の様子
NSX Manager でも、「システム」→「設定」→「ファブリック」→「コンピュート マネージャ」で、vCenter が「VcLink」という名前で登録されていることが確認できます。
「システム」→「設定」→「ファブリック」→「ノード」→「トランスポート ノード」を開いて、「管理元」で「VcLink」を選択すると、ESXi で NSX-T が利用可能になっている(NSX 構成: 成功)ことが確認できます。
「ネットワーク」→「接続」→「セグメント」→「分散ポート グループ」には、vDS の分散ポートグループが表示されます。この環境では、DSwitch-01 という名前の vDS に「dvpg-vlan-0011」という分散ポートグループを作成してあるので、ここには「DSwitch-01.dvpg-vlan-0011」と表示されています。
分散ポートグループはここでは作成できず、従来どおり vSphere Client のメニューから作成すると、ここにも自動的に表示されるようになります。そして、分散ファイアウォールの対象になります。
「セキュリティ」→「ポリシー管理」→「分散ファイアウォール」を開くと、今回はデフォルトのルールが「アプリケーション」カテゴリに3つ設定されています。
その一方で、さきほどの「ファイアウォール ルールの作成」をスキップせず進めると、「インフラストラクチャ」「環境」「アプリケーション」カテゴリに、分散ファイアウォールのルールとして設定されます。ただ、設定されたルールについても、通常のものと同様、手作業で編集や削除ができます。
以上、vSphere Client から NSX-T をセットアップしてみる話でした。