NSXとは
NSXとは、広義ではVMware社のNFV(仮想的なNWやセキュリティ機器を実装する)製品である。
主にvSphere環境にあるVM達をルーティングする為の仮想RTを構築することができ、サーバ内に仮想的なDCを実現することが可能になる。
NSXの利点
従来のvSphere環境においてNW機器は主にvSwitchやvDSしか存在せず、別セグメントのvm間でルーティンが必要な際にはサーバ外に用意したルータを介して通信する必要があった。
そしてルータを経由するヘアピン通信が発生し、不要なトラフィック処理で大きなロスを生んでいた。
NSXが登場してからは、例え別セグメントのVM同士においても、サーバ内の仮想RTがルーティングする為、サーバ外のNW機器に依存する必要が無くなった。
この変化が仮想RTについて説明する中で欠かせない大きな利点となっている。
NSXの強み
前述、NSXを導入したvSphere環境においては、様々なホストのVM同士がL2スイッチを介してルーティングすることが可能になった。その為DCトラフィックの約8割を占めるEast-West通信を効率化できることで大きな貢献を果たしている。
加えてNorth-South通信では同じくホスト内の仮想RTを経由して効率的な通信経路で外部にも疎通することが可能になっている。
overlay通信における詳細や通信の仕組みについては、以下で紹介している為併せてご覧いただきたい。
Overlay Transport Zoneの考え方
また、overlay通信で全てのVM同士が疎通できると困る為、Overlay Transport Zoneを複数作成し同じトランスポートゾーン同士でしか疎通できないように制限することも可能になっている。
Edgeの役割
仮想RTのサービス拠点となっているEdgeについても解説する。
Edgeは仮想RTを作成する際の土台となるVMで、NSX-Managerからデプロイする。また管理用通信とデータ通信のvNICがあり、データ通信用には2種類(overlay/vlan)の仮想スイッチで送受信することが可能になっている。
vmとのoverlay通信と外部とのvlan通信を、それぞれの仮想スイッチ経由で仮想RTがルーティングしている。この際にEdge内部の仮想RTがNATやFWなどのサービスを提供することも可能になっている。
Tier-0とTier-1の役割
仮想RTには2種類の役割と名前がある。
Tier-0が複数のTier-1を束ねる構成が一般的であり、外部のルータとTier-0以外はNSX内部で持つoverlay通信で効率的に通信が実装されている。
主にコアとなるTier-0ではダイナミックルーティングやVRF、VPN、HA VIPなど様々な機能を提供している。一方でディストリとなるTier-1では多様な機能はなくvm集約が主な役割になっている。
T0-T1ルーティングはTier-1からTier-0を選択することで繋がり、T1-VMではセグメントを作成して「Tier-1とセグメント」「セグメントとVM」のそれぞれを紐づけることで疎通可能になる。
EdgeClusterとTier-0、Tier1の考え方
また、仮想RTのデプロイにはいくつか制約がある。
Edgeを束ねて冗長化するEdge Cluster上には、Tier-0は1つしか作成できず、一方でTier-1は複数作成することができる。
1台のTier-0に対して複数のTier-1を紐付けるが、それ以外の構成は基本的に実装できない。
DRとSRの違い
仮想RTにはTier-0とTier-1以外にも、DRとSRとの役割分けがある。
SR(サービスルータ)は、Edge上に存在している仮想RTで主にvlan通信やNAT、ゲートウェイFWなどの多彩な機能(サービス)を提供している。
DR(分散RT)は、ホスト上に分散して配置されており各VM同士の最適なルーティング経路を確保している。
DRとSRの役割を分かりやすくする為に、一般的な通信経路の一例を用意した。
VMに近いTier-1のDRからoverlay通信で、EdgeのN-vDSを介してTier-0のSRに到達し、外部向けのvlan通信でN-vDSを通して外部に送信されている。
最後に
大まかなNSXの説明は以上になるが、まだまだNSXの入口までしか解説できていない。
より技術的に踏み込んだ内容を【NSX入門】や【NSX構築】で解説しているので、併せてぜひご覧いただきたい。
コメント