ネステッド ESXi 環境を利用した NSX ラボを構築します。今回は NSX ラボ内から NSX
外部のネットワークに出るために SNAT ルールを追加します。
- ラボの概要: Step-01: はじめに
- 前回の投稿: Step-10: DHCP サーバの構成
今回の内容です。
- 1. 自宅 NSX ラボのネットワーク概要
- 2. NSX オーバーレイ ネットワークと、自宅ラボ内ネットワークとの通信経路
- 3. NSX オーバーレイ ネットワークと、インターネットの通信経路
- 4. Tier-0 ゲートウェイへの SNAT ルール追加
1. 自宅 NSX ラボのネットワーク概要
この自宅ラボでは、NSX によるオーバーレイ ネットワークから直接インターネットに出られるようにしていないため、Tier-0 ゲートウェイの SNAT を利用します。
まず、この NSX ラボのネットワークの様子です。
NSX ラボの外側には、インターネットへアクセスできる「外部ルータ」があります。ちなみにこのルータは、一連の投稿で構築した NSX ラボ以外の環境でも利用しています。
NSX ラボの外部ネットワーク(管理ネットワークの 192.168.10.0/24 など)との境界は、Tier-0 ゲートウェイのアップリンク インターフェイスに設定されている HA VIP です。
- Tier-0 ゲートウェイの HA VIP: 192.168.120.10
このアドレスを、SNAT の変換先 IP としても利用します。
2. NSX オーバーレイ ネットワークと、自宅ラボ内ネットワークとの通信経路
このラボでは、オーバーレイ ネットワークに接続した仮想マシンと、NSX 外部の自宅ラボ ネットワークであれば、特に SNAT がなくても通信できます。たとえば図中の vm01 から、管理ネットワークの 192.168.10.0/24 に接続された「クライアント マシン」には SNAT なしで通信できます。
vm01 とクライアント マシンで通信通信するためのルーティング設定について、概要を説明します。
- vm01 のデフォルト ゲートウェイには、Tier-1 ゲートウェイのインターフェースが持つ IP アドレスを設定します。seg-overlay-01 セグメントの ゲートウェイである 172.16.1.1 が設定されています。
- Tier-1 ゲートウェイ ~ Tier-0 ゲートウェイの間は、NSX のルート アドバタイズによってルーティングされます。具体的には、Tier-1 ゲートウェイで「接続されているすべてのセグメントおよびサービス ポート」を有効化してあります。
- Tier-0 ゲートウェイには、 スタティック ルートを追加し、デフォルト ルートを外部ルータ宛に設定します。0.0.0.0/0 → 192.168.120.1
- 外部ルータでは、 オーバーレイ ネットワークへのスタティック ルートを設定しています。
- スタティック ルートは、172.16.0.0/16 → 192.168.120.10
- 具体的な設定は、今回の一連の投稿では省略しています。
- クライアント マシンでは、 外部ルータのネットワーク インターフェイス(192.168.10.1)をデフォルト ゲートウェイに設定しています。
図示すると、vm01 とクライアント マシンは下記のように通信できるようになります。
3. NSX オーバーレイ ネットワークと、インターネットの通信経路
このラボでは、192.168.120.0/24 ネットワークからインターネットへ通信する場合には「外部ルータ」の SNAT を利用しています。そして、NSX オーバーレイ ネットワーク(172.16.x.0/24)からインターネットに出る場合には、Tier-0 ゲートウェイでも SNAT を利用します。
今回は、NSX のオーバーレイ セグメントに接続された仮想マシンが外部のネットワークに通信した際の「戻り」のために、Tier-0 ゲートウェイで SNAT ルールを設定します。
オーバーレイ ネットワーク(172.16.0.0/16)からの通信については、SNAT ルールによって、通信元アドレス(Source アドレス)を Tier-0 ゲートウェイ「t0-gw-21」のアップリンクとなる HA VIP のアドレスに変換します。
- SNAT ルール: 172.16.0.0/16 → 192.168.120.10
4. Tier-0 ゲートウェイへの SNAT ルール追加
それでは、Tier-0 ゲートウェイ「t0-gw-21」に SNAT ルールを追加します。
NSX Manager で「ネットワーク」タブ→「ネットワーク サービス」→「NAT」を開きます。
「ゲートウェイ」で「t0-gw-21 | Tier-0」を選択してから、「NAT ルールの追加」をクリックします。
次のようにパラメータを入力して、「保存」をクリックします。
- 名前: t0-snat-01
- アクション: SNAT
- 送信元: 172.16.0.0/16
- 変換: 192.168.120.10
SNAT ルールが追加されました。
これで、オーバーレイ セグメントに接続されいる仮想マシン(vm01)から、外部ネットワークにアクセスできるようになるはずです。
これで、外部ネットワークとオーバーレイ ネットワーク間で通信可能なラボ環境が用意できました。
つづく。