IBM Cloud VPC 上の NSX Tier-0 および Tier-1 ゲートウェイ
統合アーキテクチャでは、2つの仮想エッジノードを持つ単一の VMware NSX™エッジクラスタが使用されます。 オートメーションは、Tier-0 (T0) ゲートウェイとTier-1 (T1) ルーターを作成し、VPC サブネットに接続されるアップリンクを使用します。 このアーキテクチャでは、エッジ クラスターは T0 と T1 の両方のゲートウェイをホストします。 以下の情報では、これらのゲートウェイがIBM Cloud VPCとどのように相互作用するかについて説明します。
エッジクラスタのデプロイメントに関する詳細は、IBM Cloud VPCのCF NSXデザイン を参照してください。
Tier-0ゲートウェイ
NSX Tier-0 ゲートウェイは、南北トラフィックなどのために、論理 NSX オーバーレイ セグメントと VPC サブネット間の接続性を提供します。 このアーキテクチャでは、高可用性の T0 ゲートウェイがNSXエッジクラスタに展開されます。 VMware NSX の制限により、このエッジクラスタでは、アクティブスタンバイモードで動作する T0 ゲートウェイを1つだけホストできます。 例えば、 T0 で高可用性(HA)VIPを稼働させるには、アクティブスタンバイモードが必要です。
現在、T0 を使用したアクティブ/アクティブ・モードは、IBM Cloud® Virtual Private Cloud ではサポートされていません。
T0 がアクティブスタンバイモードで実行される場合、両方がEdge Transport Node に参加し、それぞれ独自のアップリンクを持つ。 これらのアップリンク間のHAは、HA VIPを使用します。
T0 は、2 つのアップリンク・タイプで構成されます。非公開で使用する場合は 2 つのアップリンク、パブリック で使用する場合は 2 つのアップリンクです。 HAのVIPは、HAのパブリックおよびプライベートアップリンクの両方に割り当てられます。 パブリック・アップリンクとプライベート・アップリンクの場合は、2 つの VPC サブネットが必要です。 これらのサブネットはゾーン接頭部からプロビジョンされ、どちらもパブリック・サブネットを含む RFC 1918 プライベート・アドレスを使用できます。 統合アーキテクチャでは、1組のアップリンク・サブネットのみがプロビジョニングされる。
サブネット名 | システム・トラフィック・タイプ | サブネットのサイズ設定のガイダンス |
---|---|---|
vpc-t0-public-uplink-subnet |
T0 パブリック・アップリンク・サブネット | /29 以上 |
vpc-t0-private-uplink-subnet |
T0 プライベート・アップリンク・サブネット | /29 以上 |
インターネットからのインバウンドトラフィックが必要ない場合は、パブリックアップリンクサブネットは必要ありません。
VPC では、T0 アップリンクごとに以下の VLAN インターフェースが必要です。 先に指定したように、パブリックとプライベートのアップリンクを分ける必要があります。 Allow IP spoofing
と Enable Infrastructure NAT
が false
に設定された VLAN インターフェースは、パブリックフローティング IP アドレスを T0 ゲートウェイのパブリックアップリンクまで非
NAT でトラバースできるようにします。 Allow IP spoofing
および Enable Infrastructure NAT
を true
に設定した VLAN インターフェイスでは、プライベート IP アドレスを持つ NSX オーバーレイ上の VMware ワークロードを IBM Cloud VPC にルーティングできます。 これらの機能を1つにまとめることはできません。
インターフェース名 | インターフェース・タイプ | VLAN ID | サブネット | フローティングを許可する | IP スプーフィングを許可 | インフラ NAT を有効にする | NSXインターフェース | セグメント名 |
---|---|---|---|---|---|---|---|---|
vlan-nic-t0-pub-uplink-1 |
vlan |
2711 | vpc-t0-public-uplink-subnet |
true |
false |
false |
T0 パブリック・アップリンク * エッジ 1 | vpc-zone-t0-public-*vlanid* |
vlan-nic-t0-pub-uplink-2 |
vlan |
2711 | vpc-t0-public-uplink-subnet |
true |
false |
false |
T0 パブリック・アップリンク * Edge 2 | vpc-zone-t0-public-*vlanid* |
vlan-nic-t0-pub-uplink-vip |
vlan |
2711 | vpc-t0-public-uplink-subnet |
true |
false |
false |
T0 パブリック・アップリンク VIP | vpc-zone-t0-public-*vlanid* |
vlan-nic-t0-priv-uplink-1 |
vlan |
2712 | vpc-t0-private-uplink-subnet |
true |
true |
true |
T0 プライベート・アップリンク * Edge 1 | vpc-zone-t0-private-*vlanid* |
vlan-nic-t0-priv-uplink-2 |
vlan |
2712 | vpc-t0-private-uplink-subnet |
true |
true |
true |
T0 プライベート・アップリンク * エッジ 2 | vpc-zone-t0-private-*vlanid* |
vlan-nic-t0-priv-uplink-vip |
vlan |
2712 | vpc-t0-private-uplink-subnet |
true |
true |
true |
T0 プライベート・アップリンク VIP | vpc-zone-t0-private-*vlanid* |
インターネットからのインバウンド・トラフィックが必要ない場合は、T0 上のパブリック・アップリンクも、ベアメタル・サーバーのパブリック VLAN インターフェースも必要ない可能性があります。
T0 でルーティングを行う場合、前のメモを考慮する必要があります。 パブリックアップリンクをお持ちの場合は、デフォルトルート 0.0.0.0/0
はパブリックアップリンク経由でルーティングされなければならず、プライベートルートはプライベートアップリンク経由でルーティングされなければなりません。 VPC サブネットのゲートウェイへの静的経路を構成します。
同じエッジクラスターの同じVPCサブネットにある T0 ゲートウェイから、1組のアップリンクのみをプロビジョニングできます。 この制限には、T0 VRF も含まれます。 T0 の各アップリンクペアには、それぞれ独自の VPC サブネットが必要です。
Tier-1ゲートウェイ
NSX T1 ゲートウェイは、接続された NSX セグメントへのダウンリンク接続と、単一の T0 ゲートウェイへのアップリンク接続を持ちます。 NSX Edge Nodesは、 T1 ゲートウェイの処理能力を提供します。 T1 ゲートウェイには、 T0s と同様に、サービスルーター(SR)と分散ルーター(DR)が含まれています。 DR はハイパーバイザーで配布されるカーネル・モジュールとして実行され、サービスが有効になっていて配布できない場合に、SR はエッジ・クラスターで VRF としてインスタンス化されます。
この設計では、選択したトポロジーのニーズに合わせて、1つまたは複数の T1 ゲートウェイを作成することができます。
同じエッジクラスタに複数のT1sを配置できます。
Tier-0 および Tier-1 ゲートウェイによって提供されるネットワーク・サービス
NSXデータセンターは、IPsec VPN(IPsec仮想プライベートネットワーク)、NAT(ネットワークアドレス変換)、ファイアウォールなどのネットワークサービスをサポートしています。次の図に示されているように。
このトピックでは、これらの機能と、 IBM Cloud VPC での使用方法について簡単に紹介します。
VPN サービス
IPsec 仮想プライベート・ネットワーク (IPsec VPN) およびレイヤー 2 VPN (L2 VPN) は、NSX Edge ノード上で実行されます。 IPsec VPN は、NSX Edge ノードとリモート・サイトの間のサイト間接続を提供します。 L2 VPN を利用すれば、仮想マシン(VM)が地理的な境界を越えてネットワーク接続を維持しながら、同じ IP アドレスを使用し続けることができるため、データセンターを拡張することができます。
IBM Cloud VPC でNSX VPNサービスを設定する際には、 /32
のパブリックフローティングIPアドレスを、 Tier-0 と Tier-1 の両方のゲートウェイのVPNエンドポイントとして使用できます。 必要に応じて、複数の VPN エンドポイントを持つことができます。 VPN サービスが Tier-1 ゲートウェイ上に構成されている場合、Tier-0 と Tier-1 ゲートウェイ間でフローティング IP が正しくアドバタイズされることを確認してください。
VPNサービスの詳細については、VMwareドキュメントを参照してください。
ネットワーク・アドレス変換
ネットワークアドレス変換(NAT)は、 Tier-0 および Tier-1 のゲートウェイでサポートされています。
例えば、以下のタイプの NAT がサポートされています。
- 送信元 NAT (SNAT) は、アウトバウンド・パケットの送信元 IP アドレスを変換して、パケットが別のネットワークから発信されたものとして表示されるようにします。
- 宛先 NAT (DNAT) は、インバウンド・パケットの宛先 IP アドレスを変換して、パケットが別のネットワークのターゲット・アドレスに配信されるようにします。
IP アドレスまたはアドレス範囲に対して SNAT または DNAT を無効にすることもできます。 アドレスに複数の NAT ルールがある場合は、最も高い優先順位を持つルールが適用されます。
IBM Cloud VPC でNSX NATを設定すると、 /32
のフローティングIPアドレスを Tier-0 と Tier-1 の両方のゲートウェイのパブリックNAT IPアドレスとして使用できます。 必要に応じて、複数のNAT IPアドレスを使用できます。 Tier-1 ゲートウェイでNATが設定されている場合、 Tier-0 と Tier-1 ゲートウェイ間でフローティングIPが正しく広告されていることを確認してください。
NSX の NAT の詳細については、VMware Documentation を参照してください。
ファイアウォール
NSXプラットフォームでは、東西および南北のファイアウォールポリシーを設定できます。
ゲートウェイファイアウォールは、 IBM Cloud VPC に接続されるノース・サウストラフィックに対して境界ファイアウォールに適用されるルールを表します。 ゲートウェイファイアウォールは、 Tier-0 と Tier-1 の両方のゲートウェイに適用できます。
分散ファイアウォールは、VM上のすべての東西方向のトラフィックを監視します。 オブジェクトをグループ化すると、ルール管理が簡単になる。 グループには、静的および動的に追加されたさまざまなオブジェクトが含まれ、ファイアウォールルールのソースおよび宛先として使用できます。 VM、IP セット、MAC セット、セグメント・ポート、セグメント、AD ユーザー・グループ、およびその他のグループの組み合わせを含めるように構成できます。 グループの動的組み込みは、タグ、マシン名、OS 名、またはコンピューター名に基づいて行うことができます。
NSX のファイアウォールの詳細については、VMware のドキュメントを参照してください。