VMwarevSphereNSXの概要
VMwareNSX® は、ネットワーク用の仮想マシンの運用モデルを提供するソフトウェア ネットワーキングおよびセキュリティ仮想化プラットフォームです。 仮想ネットワークは、ソフトウェアにレイヤー 2 からレイヤー 7 のネットワーク・モデルを再現し、追加の IBM Cloud プライベート・ネットワークを必要とせずに、複雑な複数層のネットワーク・トポロジーを数秒でプログラマチックに作成およびプロビジョンすることを可能にします。 NSX はまた、ネットワーク・セキュリティーのための新規モデルも提供します。 セキュリティー・プロファイルは、仮想ポートに配布されて実行され、仮想マシンとともに移動します。
NSXは、VMwareソフトウェア定義データセンター戦略。 すべてのデータ・センターのリソースおよびサービスにわたって抽象化、プール、自動化の仮想化機能を拡張することにより、Software-Defined Data Center アーキテクチャーは、ポリシー主導の自動化によって、計算、ストレージ、およびネットワーキングのリソースのプロビジョニングと管理を単純化し、加速します。 NSX は、ネットワークを仮想化することで、現在の物理ネットワークの障壁を打ち破るネットワークの新しい運用モデルを提供します。 新しいモデルにより、VMwareそしてIBM Cloudコストを削減しながら、スピードと俊敏性を向上させます。
NSX には、論理ネットワーク・サービス (論理スイッチ、論理ルーター、論理ファイアウォール、論理ロード・バランサー、論理 VPN、および分散セキュリティー) のライブラリーが含まれています。 これらのサービスのカスタムの組み合わせを、変更を行わずに既存のアプリケーションをサポートする、または新しいアプリケーション・ワークロードに固有の要件を提供する、独立したソフトウェア・ベースの仮想ネットワーク内に作成できます。 仮想ネットワークのプロビジョンと管理は、IBM Cloud のネットワーキング構成体とは関係なく、プログラマチックに行われます。 この、ハードウェアからの分離により、データ・センターの運用の転換を可能にする、俊敏性、速度、および運用効率が実現されます。 NSX の利点として、以下の機能があります。
- データセンターの自動化
- セルフサービスのネットワーク・サービス
- 自動化されたネットワークおよびサービスのプロビジョニングによる迅速なアプリケーション・デプロイメント
- 同一ベア・メタル・インフラストラクチャー上での開発環境、テスト環境、実稼働環境の分離
- シングル・アカウント・マルチテナント・クラウド
NSXは、vSphereWeb クライアント、コマンド ライン インターフェイス (CLI)、および REST API。 NSX が提供するコア・ネットワーク・サービスには、以下のものがあります。
論理スイッチ
クラウド・デプロイメントまたは仮想データ・センターには、複数のテナントにわたるさまざまなアプリケーションがある場合があります。 これらのアプリケーションとテナントは、セキュリティー、障害分離、およびオーバーラップする IP アドレスの問題を回避するために、互いに分離する必要があります。 NSX 論理スイッチは、アプリケーションまたはテナントの仮想マシンを論理的に接続できる論理ブロードキャスト・ドメインまたはセグメント (VXLAN vWire) を作成します。 この機能により、物理レイヤー 2 のスプロールなしに物理ネットワークのブロードキャスト・ドメイン (VLAN) のすべての特性を提供しながら、デプロイメントで優れた柔軟性と速度を実現できます。 論理スイッチにより、数千のテナント・ネットワークを、単一の IBM Cloud プライベート・ネットワーク (VLAN) にプロビジョンすることが可能です。 論論理スイッチは、複数の大規模な計算クラスターにわたって分散させることができます。さらに、同じデータ・センター内の複数のポッドにわたって分散させることも可能です。 この分散により、ポッド間の物理レイヤー 2 (VLAN) 境界の制限なしに、データセンター内での仮想マシンの移動が可能になります。
論理ルーター
動的ルーティングは、レイヤー 2 のブロードキャスト・ドメイン (VXLAN、vWires、論理スイッチ) の間で必要な転送情報を提供します。 このルーティングにより、レイヤー 2 のブロードキャスト・ドメイン数が削減され、ネットワークの効率とスケールが改善されます。 NSX は、ワークロードが東西ルーティング機能を提供する場合にこのインテリジェンスを拡張します。 この拡張により、コストをかけず、タイムリーなホップの拡張を必要とせずに、より直接的な仮想マシン間通信が可能になります。 NSX は、IBM Cloud データ・センターのインバウンドおよびアウトバウンドの North-South 接続も提供して、テナントが安全かつ効率的にパブリック・ネットワークにアクセスできるようにします。
論理ファイアウォール
論理ファイアウォールは、動的仮想データ・センターのセキュリティー・メカニズムを提供します。 NSX 論理ファイアウォールの分散ファイアウォール・コンポーネントにより、ユーザーは、仮想データ・センター・エンティティー (仮想サーバー)、vCenter オブジェクト (データ・センターおよびホスト)、および従来のネットワーク属性 (IP アドレスや VLAN など) をセグメント化できます。 Edge ファイアウォール・コンポーネントは、IP/VLAN の構成体に基づいた DMZ の構築、マルチテナント仮想データ・センターにおけるテナントの分離、ネットワーク・アドレス変換 (NAT)、VPN、およびユーザー・ベースの SSL VPN などの、主要な周辺セキュリティーのニーズの達成に役立ちます。 Edge ファイアウォールは、周辺保護のために IBM Cloud の Vyatta & Fortinet サービスと組み合わせて使用することも、それらのサービスの代わりに使用することもできます。 ファイアウォール・フロー・モニタリング機能は、アプリケーション・プロトコル・レベルで仮想マシン間のネットワーク・アクティビティーを表示します。 この情報を使用して、ネットワーク・トラフィックを監査し、ファイアウォール・ポリシーを定義および詳細化し、ネットワークに対する脅威を特定できます。
論理仮想プライベート・ネットワーク (VPN)
SSL VPN-Plus は、リモート・ユーザーが企業のプライベート・アプリケーションにアクセスすることを可能にします。 IPSec VPN は、NSX Edge インスタンスとリモート・サイト (IBM Cloud 上で稼働している VMware) の間のサイト間接続を提供します。 L2 VPN は、仮想マシンが地理的境界を越え、IBM Cloud データ・センター間およびローカル VMware 環境との間でネットワーク接続を維持できるようにすることにより、ユーザーによるデータ・センターの拡張を可能にします。
論理ロード・バランサー
NSX Edge ロード・バランサーは、ネットワーク・トラフィックが、特定の宛先への複数のパスをたどることを可能にします。 ロード分散をユーザーに意識させることなく、着信サービス要求は複数のサーバーに均等に分散されます。 したがって、ロード・バランシングは、最適なリソース使用率の達成、スループットの最大化、応答時間の最小化、および過負荷の回避に役立ちます。 NSX Edge は、レイヤー 7 までロード・バランシングを提供します。
サービス・コンポーザー
Service Composer は、ネットワーク・サービスおよびセキュリティー・サービスを仮想インフラストラクチャー内のアプリケーションにプロビジョンしたり割り当てたりするのに役立ちます。 これらのサービスは、セキュリティー・グループ内の仮想マシンにマップし、適用することができます。 Data Security は、IBM Cloud を含む組織の仮想化環境およびクラウド環境内に保管されている機密データの可視性を高めます。 NSX Data Security によって報告される違反に基づいて、機密データが適切に保護されていることを確認し、世界中の規則の遵守について評価することができます。
NSX の拡張性
VMware のパートナーは、各自のネットワーク・サービス・ソリューションを NSX プラットフォームに統合することができます。それにより、お客様は、VMware 製品にまたがる、統合されたエクスペリエンスを得ることができます。 データセンターのオペレーターは、基盤となるネットワークトポロジやコンポーネントに関係なく、複雑な多層仮想ネットワークを数秒でプロビジョニングできます。 IBM Cloud。
NSX のコア・コンポーネント
これらのコンポーネントは、vSphere Web クライアント、コマンド・ライン・インターフェース (CLI)、および REST API を使用して構成および管理することができます。 VMware NSX には、少なくとも vSphere と vCenter バージョン 6 を備えた機能的な IBM Cloud 環境が必要です。 コンポーネントは、IBM Cloud 上で稼働する VMware アプライアンス VM としてデプロイされます。 NSX コンポーネントは、仮想サーバー・インスタンスとしてサポートされません。 指示に従って専用の ESX 管理クラスターを作成することをお勧めします。 また、エッジ・サービス・クラスターも必要になる場合があります。
NSX Manager
NSX Manager は、NSX の集中ネットワーク管理コンポーネントであり、vCenter Server 環境の ESX ホストに仮想アプライアンスとしてインストールされます。IBM Cloud アーキテクチャーでは、この VM を専用の管理 ESX クラスターにデプロイすることを推奨しています。 1 つの NSX Manager が、単一の vCenter Server 環境と、複数の NSX Edge、vShield Endpoint、および NSX Data Security のインスタンスにマップされます。
NSX vSwitch
NSX vSwitch は、IBM Cloud ESX ホスト上で稼働し、サーバーと物理ネットワーク間のソフトウェア抽象化層を形成するソフトウェアです。 データ・センターに対する要求が増加および加速を続けるにしたがって、データ自体への速度とアクセスに関連した要求も増加し続けます。 ほとんどのインフラストラクチャーでは、仮想マシンのアクセスと移動性は、通常、物理ネットワーク・インフラストラクチャーと、それらが置かれている物理ネットワーク環境によって異なります。 この依存関係により、特定のポッド内の特定の IBM Cloud プライベート・ネットワーク (VLAN) に結合されるなど、潜在的なレイヤー 2 またはレイヤー 3 の境界が原因で、仮想ワークロードは、理想的とはいえない環境に入れられる可能性があります。 NSX vSwitch は、基礎となる物理ネットワーク・インフラストラクチャーに関係なく、これらの仮想ワークロードをデータ・センター内で使用可能なすべてのインフラストラクチャーに配置します。 この機能により、柔軟性と移動性だけでなく、可用性と回復力も向上させることができます。
NSX Controller
NSX コントローラーは、仮想ネットワークと VXLAN オーバーレイ・トランスポート・トンネルを制御する拡張分散状態管理システムです。 NSX コントローラは、ネットワーク内のすべての論理スイッチの中央制御ポイントであり、すべての仮想マシン、ホスト、論理スイッチ、および VXLAN の情報を管理します。 コントローラーは、マルチキャスト、ユニキャスト、およびハイブリッドの 3 つの論理スイッチ制御プレーン・モードをサポートしています。 これらのモードは、NSX を物理ネットワークから分離します。IBM Cloud プライベート・ネットワーク (VLAN) はマルチキャスト・モードまたはハイブリッド・モードの IGMP サービスを提供しないため、IBM Cloud にはユニキャスト・モードが必要です。 NSX コントローラーは、仮想トンネル・エンドポイント (VTEPS) にユニキャスト・モードを使用して MAC 学習およびその他の機能を提供し、論理スイッチ内での VXLAN の BUM (Broadcast、Unknown Unicast、および Multicast) トラフィックを可能にします。 ユニキャスト・モードは、すべての BUM トラフィックをホスト上にローカルに複製し、VTEPS 間でレイヤー 3 接続外部の物理ネットワーク構成を必要としません。 NSX コントローラーは、NSX Manager により、最小セットで 3 つのコントローラー・ノード、および (分散された) レイヤー 3 ルーティング・サービスをサポートするためのその他の各種ノードとしてデプロイされます。 すべてのノードは仮想マシンとしてデプロイされ、IBM Cloud の ESX Management Cluster 上の NSX Manager によって管理されます。
NSX Edge
NSX Edge は、ネットワーク・エッジ・セキュリティーとゲートウェイ・サービスを提供して、仮想化ネットワークを分離します。 NSX Edge は、論理 (分散) ルーターとして、またはサービス・ゲートウェイとしてインストールできます。 NSX Edge の論理 (分散) ルーターは、テナント IP アドレス・スペースとデータ・パス分離を使用して East-West 分散ルーティングを提供します。 同じホスト上の異なるサブネットにある仮想マシンまたはワークロードは、従来のルーティング・インターフェースをトラバースすることなく、相互に通信することができます。 NSX Edge Gateway は、DHCP、VPN、NAT、動的ルーティング、およびロード・バランシングなどの一般的なゲートウェイ・サービスを提供することにより、分離されたスタブ・ネットワークを共有 (アップリンク) ネットワークに接続します。 NSX Edge の一般的なデプロイメントには、DMZ、VPN エクストラネット、および NSX Edge が各テナントの仮想境界を作成するマルチテナント・クラウド環境が含まれます。