はじめに

2018年5月、Virtual Cloud Network(VCN)というビジョンの発表とともにNSXの製品名は「NSX Data Center」へ変更されました。NSX Data Centerを購入することでNSX for vSphereかNSX-Tのいずれかを選択して使用することができます。NSX-Tはこれまで慣れ親しんできたNSX for vSphereとは全く別の製品であり、同じ部分もあれば異なる部分もあります。

今回のブログでは、仮想化（特にvSphere）に関わりのある方に「NSX-Tを知るためのはじめの一歩」を踏み出していただくため、NSX-Tのユースケースやコンポーネントについて簡潔にご紹介しています。従来のNSX for vSphereについての経験がない方にもわかりやすくお伝えしたいと思います。

■NSX-Tとは

仮想化ソフトウェアベンダーのVMware社が提供するネットワーク仮想化ソフトウェア製品です。ネットワークとセキュリティの機能をソフトウェアで提供し、物理機器に依存しない柔軟なネットワーク構成を実現することが可能になります。仮想化環境のセキュリティを強化するマイクロセグメンテーションでも有名な製品です。

■NSX-Tのユースケース

マイクロセグメンテーション

従来、ネットワークの境界で行なっていたファイアウォール機器による通信のフィルタリングの代わりに、セキュリティ機能の「分散ファイアウォール」による仮想NIC単位でのファイアウォール設定が可能になります。ネットワークセグメントを変更することなくセキュリティセグメントを最小化することでマイクロセグメンテーションを実現します。

オーバーレイネットワーク

カプセル化プロトコルの技術によって物理ネットワークを覆い隠す "オーバーレイ" の仮想ネットワークを作成する機能で、管理者は物理機器への設定変更なしにシステムの要件に合わせたネットワークを迅速に展開することができます。VLANよりはるかに多いネットワーク分割や、ホスト内でルーティングすることで物理ルータへのヘアピントラフィックの削減ができるというメリットもあります。

NFV

仮想アプライアンスによってルーティング/ファイアウォール/NAT/DHCP/DNS/ロードバランサー/VPNといったネットワークサービスを提供します。

自動化

REST API に対応しており、VMware製品以外のアプリケーションとの連携が可能です。

■NSX-Tコンポーネントの紹介

マネジメントプレーン / コントロールプレーン / データプレーン

NSX-Tのコンポーネントはそれぞれ3つのプレーン（機能の層）に分けられています。マネジメントプレーンはシステムのUIやAPIのエンドポイントを提供するもので、ここからNSX-Tへの設定を行います。コントロールプレーンはマネジメントプレーンの設定とデータプレーンからのトポロジ情報に基づいて、ルーティングやスイッチングを制御します。そして、データプレーンがパケットの転送を実行します。

NSX Manager

マネジメントプレーンのコンポーネントです。NSX Controller、論理スイッチ、NSX EdgeなどのNSX-Tコンポーネントを作成、設定、および監視するための、GUIとREST APIを提供している仮想アプライアンスです。

NSX Controller

コントロールプレーンのコンポーネントです。仮想ネットワークとオーバーレイカプセル化のトンネルエンドポイントのステータスを管理している仮想アプライアンスで、MACアドレステーブル、ARPテーブル、VTEPテーブルの作成を行い、データプレーンの通信を制御します。

NSX Edge

データプレーンのコンポーネントです。NSX-T環境外のネットワークへの接続を提供するアプライアンスです。複数の論理ルータが動作するための入れ物のような役割を担っています。

トランスポートゾーン

トランスポートゾーンは、論理スイッチを作成するノード（ハイパーバイザーとNSX Edge）の範囲を定義するものです。トランスポートゾーンの範囲に含まれるノードにはそのトランスポートゾーンに対応したN-VDSが作成され、それによりVMがNSX-Tの論理ネットワークに接続できるようになります。

NSX-T Data Center Virtual Distributed Switch (N-VDS)

NSX-T専用の特別な分散仮想スイッチのようなもので、トランスポートゾーンに所属するノードに作成されます。NSX-Tの論理スイッチ上の通信がホスト間で転送される際のカプセル化のエンドポイントや、論理ルータのアップリンクとなるポイントです。

論理スイッチ

NSX-Tによるオーバーレイの仮想ネットワークで、N-VDSをもつノード上に作成し、VMのvNICには、従来のポートグループの代わりとして接続します。物理ネットワークを覆い隠しているため、本来ルーティングを必要とするVM同士の通信であってもL2の通信として処理されます。

論理ルータ

North-South、East-West方向のルーティングを行います。NSX-Tの論理ルータは従来のハードウェアルータにおけるVRF(Virtual Routing and Forwarding)のようになっており、単一のルータ内に複数の独立したルーティングテーブルを保持しています。
論理ルータはサービスルータ(SR)と分散ルータ(DR)の2つで構成されています。SRはファイアウォール/NAT/DHCP/DNS/ロードバランサー/VPNといった、分散方式にされていないネットワークサービスを提供します。BGPまたはスタティックルーティングで外部ルータとの接続を確立するために必須で、NSX Edge内でのみ動作します。

DRは、論理ルータに接続されている仮想マシンのハイパーバイザーと、論理ルータがバインドされているNSX Edgeにまがたって構成され、そこに接続されているネットワーク間の1ホップルーティングを提供します。

■HOL活用のすすめ

NSX-Tとはいったいどのような製品なのか、ユースケースとコンポーネントの概要を紹介しました。書ききれなかった部分も多分にありますが製品理解のために一番良いのは実際に製品を体感していただくことだと思います。
NSX-TのテストにはVMware Hands-On Labs (通称：HOL)がオススメです。HOLはインターネットで公開されており、メールアドレスの登録だけでVMwareの様々な製品を実際に操作することが可能ですので、ぜひご活用ください。
NSX-Tのラボは [HOL-1926-01-NET - VMware NSX-T Data Center - Getting Started] が最もベーシックな内容となっておりますので初めて製品を触る方にはオススメです。
下記は2019年2月時点でアクセス可能なURLです。

https://labs.hol.vmware.com/HOL/catalogs/lab/4715

HOLの操作感をスクリーンショットでご紹介します。
下記は、NSX-Tの管理画面のスクリーンショットです。作成した論理スイッチを一覧で確認できます。新規仮想ネットワークの作成や設定変更はこの管理画面から実行し、物理ネットワーク機器に手を加える必要はありません。

NSX ManagerとvSphere Clientは別UIとなっており、作成した仮想スイッチはvSphere Clientからも確認することができます。実際にvSphere Clientへログインすると、下記のスクリーンショットのように、特徴的な雲のアイコンで論理スイッチが表示されています。

N-VDSは特徴的なコンポーネントで、NSX for vSphere(NSX-V)と大きく異なる点の一つです。従来のNSX-Vの論理スイッチは分散仮想スイッチ(vDS)に実装されており、論理スイッチのバックエンドはvDSの分散ポートグループでした。一方、NSX-Tでは標準仮想スイッチ(vSS)でもvDSでもないN-VDSという新しい種類の仮想スイッチが作成され、そのポートグループが論理スイッチとなっています。
※NSX-T 2.3以降であればN-VDSのトポロジをGUIで確認することが可能です。

論理ルータに関してもNSX-TとNSX-Vを比較した際にアーキテクチャが大きく異なる機能の一つです。NSX-Tの論理ルータはTier-0とTier-1の2層ルーティングトポロジーを採用しており、さらにSRとDRを設定できます。NSX EdgeにはTier-0/1のSRとDRがVRFとして動作しており、vrfコマンドでそれぞれのルーティングテーブルや実行されているネットワークサービスのステータスが確認できます。

下記のスクリーンショットはNSX Edgeへssh接続し、"get logical-routers"というコマンドを入力した結果となっており、NSX Edge内で動作している論理ルータのリストとVRF番号を確認することができます。こうして見ていただくと、1つのNSX Edgeという入れ物(仮想アプライアンス)の中で、複数の論理ルータが独立して動作しているイメージがつかみやすいのではないでしょうか。

さいごに

今回は「NSX-Tを知るはじめの一歩」ということで簡潔に製品のユースケースやコンポーネントについてご紹介しました。NSX-Tはマルチハイパーバイザーをサポートし、物理サーバやコンテナ、パブリッククラウドにも対応しています。まさにVMwareの提唱するAny Cloudの実現には欠かせないピースであり、VMware Cloud on AWSでも使われていることから最近は注目度が高まってきているのではないでしょうか。しかし、ドキュメントを読んだだけでは到底理解しきれない製品だなというのもさわってみた正直な感想です。NSX-Vに見識がある方であってもNSX-Tはアーキテクチャの異なる機能があり、実機を触って確かめなければ腑に落ちない点も多いと思います。今回のブログで興味をもたれた点などあれば、ぜひHOLにトライしてみることをオススメします。