vSRX 単一データ・センター・エッジ

vSRX 高可用性（HA）クラスタの展開には2つのオプションがあります：

ベアメタル・サーバーにゲートウェイをデプロイする - KVM ベースのホストに vSRX をデプロイします。
IBM Cloud® for VMware Solutions オファリング（ゲートウェイ・クラスター）の一部としてゲートウェイをデプロイ - VMware vSphere® ESXi™ ハイパーバイザー上に vSRX をデプロイします。

2 つの vSRX ノードは、高可用性シャーシ・クラスターで結び付けられており、ノードまたは vSRX ノードをサポートするホストの損失を通じて継続的なネットワークトラフィックフローを提供する信頼性の高いゲートウェイソリューションを提供します。

以下の特徴は、両方の配備タイプに共通している：

単一のデータセンター内でHAペアを提供します：
- vSRX ゲートウェイアプライアンスホストのペア
- NFS ホスト間で共有されるストレージ
フル装備の vSRX ファイアウォールとルーティング機能が実装されています。

以下の機能は、ESXi をホスト OS として使用する展開に固有のものです：

VMware Cloud Foundation for Classic - Automated インスタンスへの VXLAN 接続性
ゲートウェイクラスター上で追加の仮想マシン（VM）をホストする機能
NSXエッジとロードバランサー

基本的な vSRX オファリングのアーキテクチャーでは、お客様のアカウントにデプロイしたすべての VLAN の前に vSRX を配置します。 vSRX は、お客様の側でゲートウェイ・アプライアンスを制御するのが望ましい状況で Vyatta の代わりになる強力なオファリングです。

次の図は、標準的な vSRX デプロイメントを示しています。

vSRX エッジゲートウェイアプライアンスを発注する前に、 VMware Cloud Foundation for Classic - Automated インスタンスのデプロイが必要です。

VMware SolutionsのデフォルトのvSRX構成を理解する

デフォルト構成を理解すると、vSRX HA シャーシ・クラスターと IBM Cloud のアンダーレー・ネットワーキングの両方を理解するのに役立ちます。デフォルト構成は、これから行うすべての統合を行うためのベースになります。追加したいコンフィギュレーション・オプションの詳細と例については、 IBM Cloud IaaS vSRX デフォルト・コンフィギュレーションを参照のこと。この情報は、お客様の構成を表すものではありません。構成はお客様ごとに異なります。

詳細については、vSRXデフォルト構成の理解および IBM Cloud IaaS vSRXデフォルト構成を参照してください。

vSRXとVCF for Classic - Automatedの統合デザイン

vSRX and VCF for Classic - Automated integration

VCF for Classic - Automated インスタンスへの vSRX HA シャーシ・クラスターの緊密な統合は、いくつかの重要な領域で基本的な VCF for Classic - Automated アーキテクチャを拡張します。

VCF for Classic - Automatedクラスター設計

VCF for Classic - Automated インスタンスが顧客アカウントにデプロイされると、通常、コンピュート、管理、およびエッジ機能が単一のESXiホスト（ NFS 共有ストレージ）または4ノード（ vSAN 共有ストレージ）クラスタ構成によって提供される単一のハイパーコンバージドクラスタとなる。

ESXi上の vSRX オファリングの追加は、エッジ・ゲートウェイをハイパーコンバージド・クラスターから2台の専用ESXiホスト・クラスターに移すことで、 VCF for Classic - Automated の基本設計に影響を与える。ゲートウェイクラスターは、最初の VCF for Classic - Automated インスタンスと共にデプロイされた既存の VMware vCenter® によって管理されます。

ホストのサイジング

現在の vSRX オファリングでは、デプロイメントのために選択できるハードウェアが限定されています。これらのオプションは可変ではないため、 IBM Cloud インフラストラクチャ・カスタマー・ポータルで利用可能なオプションを確認することをお勧めします。

ネットワーク設計

VCF for Classic - Automated は NSX Tier-1 と各 ESXi ホスト上の仮想トンネルエンドポイント (VTEP) を使って SDN レイヤで東西のネットワークトラフィックを管理し、NSX Tier-0 を使って南北のトラフィックを管理するように設計されている。 vSRX は NSX-T Tier0/1 エッジクラスタの代替ではないが、南北のトラフィックフローを管理する上で Tier-0 ファイアウォールサービスを支援するか、または代替する可能性がある。

ネットワーク設計で必要になる変更は小規模であり、(宛先に関わりなく) お客様のすべての VM トラフィック、プラットフォーム管理トラフィック、直接リンク・トラフィック (該当する場合)、インターネット・バウンド・トラフィックが対象になります。明示的に除外されるトラフィックには、VTEP トラフィック、ストレージ・トラフィック、vMotion トラフィックが含まれます。

NSX をコンピュートクラスタからゲートウェイクラスタに拡張するか、IPsec VPN 上の BGP を使用してエッジクラスタとコンピュートクラスタ間の接続を可能にします。 VCF for Classic - Automated コンピュートクラスタとゲートウェイクラスタ間を流れるトラフィックが、IBM Cloud インフラストラクチャによって割り当てられているサブネットと競合しない場合、ローカル VLAN とサブネットをトランジットリンクとして使用できます。

お客様のオンプレミス・データ・センターに接続する方法としては、お客様と IBM Cloud の間をインターネット経由で接続するか、IBM Cloud インフラストラクチャーの直接リンク・オファリングの 1 つを使用するかに関わりなく、IPsec VPN で BGP を使用する方式をお勧めします。

Architecture pattern for using gateway cluster with NSX-T のアーキテクチャパターンを確認することをお勧めします。

VMware で使用する vSRX のインターフェース・マッピング

VCF for Classic - Automated インスタンスの vSRX には、HA シャーシクラスターを有効にし、維持するための特定の接続要件があります。

vSRX HA chassis cluster on VCF for Classic - Automated interconnections

vSRX で定義される各ネットワーク・アダプタは、 vSRX インスタンスがスタンドアロン VM であるか、HA 用のクラスタ・ペアの 1 つであるかに応じて、特定のインターフェイスにマッピングされる。

スタンドアロン・モードについては、以下の情報に注意：

fxp0 インターフェースはアウト・オブ・バンド管理インターフェースです。
ge-0/0/0 インターフェースは第 1 トラフィック (収益) インターフェースです。

クラスターモードに関する以下の情報に注意してください：

fxp0 インターフェースはアウト・オブ・バンド管理インターフェースです。
em0 インターフェースは両方のノードのクラスター制御リンクです。
ファブリック・リンクとしてどのトラフィック・インターフェースでも指定できます (ge-0/0/0 の fab0 の場合は node 0、ge-7/0/0 の fab1 の場合は node 1 など)。

以下の表に、スタンドアロン vSRX VM の情報を示します。

スタンドアロンvSRXVMのインターフェース名とマッピング
ネットワーク・アダプター	Junos OS のインターフェース名
1	`fxp0`
2	`ge-0/0/0`
3	`ge-0/0/1`
4	`ge-0/0/2`
5	`ge-0/0/3`
6	`ge-0/0/4`
7	`ge-0/0/5`
8	`ge-0/0/6`

以下の表に、クラスター内の vSRX VM ペア (ノード 0 とノード 1) の情報を示します。

クラスタ内の vSRX VM のペア（ノード 0 とノード 1）のインタフェース名とマッピング
ネットワーク・アダプター	Junos OS のインターフェース名
1	`fxp0` (ノード 0 と 1)
2	`em0` (ノード 0 と 1)
3	`ge-0/0/0` (ノード 0) と `ge-7/0/0` (ノード 1)
4	`ge-0/0/1` (ノード 0) と `ge-7/0/1` (ノード 1)
5	`ge-0/0/2` (ノード 0) と `ge-7/0/2` (ノード 1)
6	`ge-0/0/3` (ノード 0) と `ge-7/0/3` (ノード 1)
7	`ge-0/0/4` (ノード 0) と `ge-7/0/4` (ノード 1)
8	`ge-0/0/5` (ノード 0) と `ge-7/0/5` (ノード 1)

デフォルトのセキュリティー・ゾーン構成

以下の表に、セキュリティー・ポリシーの出荷時のデフォルト設定を示します。

セキュリティポリシーの工場出荷時設定
ソース・ゾーン	宛先ゾーン	ポリシー・アクション
信頼	非信頼	permit
信頼	信頼	permit
非信頼	信頼	deny

前述のとおり、デフォルト構成は、お客様の要件を満たすために必要な構成を作成するための起点にすぎません。アカウントに存在するさまざまなトラフィック・フロー・パターンをサポートするには、追加のセキュリティー・ゾーンの作成が必要になることもよくあります。

vSRX からお客様のオンプレミスへの接続

VCF for Classic - Automated インスタンスをクライアントの既存のオンプレミスデータセンターにリンクする方法としては、BGPが望ましい。

お客様が eBGP を使用してインターネット経由で接続する場合は、パブリック自律システム番号 (ASN) を取得するか、IPsec VPN で BGP を使用してプライベート ASN の使用を許可する必要があります。

お客様が直接リンクを使用している場合は、プライベート ASN を使用した BGP が可能になります。

BGP を使用してオンプレミス・データ・センターから IBM Cloud に接続する方法はいろいろあります。そのうちの 1 つの実装方法がこの図に示されています。

クライアント機能から発信されるトラフィックは、AT&T NetBond またはその他のプロバイダーを介して GNPP ルーターに送信されます。 GNPP ルーターは、BGP によって、お客様の IBM Cloud アカウントにデプロイされた vSRX ゲートウェイとピアになり、すべてのトラフィックが BGP 経由で GRE トンネルにカプセル化されます。トンネルから vSRX に出たパケットは、エッジゲートウェイを経由して NSX オーバーレイネットワークにルーティングされます。