IBM Cloud Docs
IBM Cloud VPC 上の NSX Tier-0 および Tier-1 ゲートウェイ

IBM Cloud VPC 上の NSX Tier-0 および Tier-1 ゲートウェイ

統合アーキテクチャでは、2つの仮想エッジノードを持つ単一の VMware NSX™エッジクラスタが使用されます。 オートメーションは、Tier-0 (T0) ゲートウェイとTier-1 (T1) ルーターを作成し、VPC サブネットに接続されるアップリンクを使用します。 このアーキテクチャでは、エッジ クラスターは T0 と T1 の両方のゲートウェイをホストします。 以下の情報では、これらのゲートウェイがIBM Cloud VPCとどのように相互作用するかについて説明します。

エッジクラスタのデプロイメントに関する詳細は、IBM Cloud VPCのCF NSXデザイン を参照してください。

Tier-0ゲートウェイ

NSX Tier-0 ゲートウェイは、南北トラフィックなどのために、論理 NSX オーバーレイ セグメントと VPC サブネット間の接続性を提供します。 このアーキテクチャでは、高可用性の T0 ゲートウェイがNSXエッジクラスタに展開されます。 VMware NSX の制限により、このエッジクラスタでは、アクティブスタンバイモードで動作する T0 ゲートウェイを1つだけホストできます。 例えば、 T0 で高可用性(HA)VIPを稼働させるには、アクティブスタンバイモードが必要です。

T0 gateway in VPC edge cluster
T0 gateway in VPC edge cluster

現在、T0 を使用したアクティブ/アクティブ・モードは、IBM Cloud® Virtual Private Cloud ではサポートされていません。

T0 がアクティブスタンバイモードで実行される場合、両方がEdge Transport Node に参加し、それぞれ独自のアップリンクを持つ。 これらのアップリンク間のHAは、HA VIPを使用します。

T0 は、2 つのアップリンク・タイプで構成されます。非公開で使用する場合は 2 つのアップリンク、パブリック で使用する場合は 2 つのアップリンクです。 HAのVIPは、HAのパブリックおよびプライベートアップリンクの両方に割り当てられます。 パブリック・アップリンクとプライベート・アップリンクの場合は、2 つの VPC サブネットが必要です。 これらのサブネットはゾーン接頭部からプロビジョンされ、どちらもパブリック・サブネットを含む RFC 1918 プライベート・アドレスを使用できます。 統合アーキテクチャでは、1組のアップリンク・サブネットのみがプロビジョニングされる。

NSXT0アップリンク用のVPCサブネット
サブネット名 システム・トラフィック・タイプ サブネットのサイズ設定のガイダンス
vpc-t0-public-uplink-subnet T0 パブリック・アップリンク・サブネット /29 以上
vpc-t0-private-uplink-subnet T0 プライベート・アップリンク・サブネット /29 以上

インターネットからのインバウンドトラフィックが必要ない場合は、パブリックアップリンクサブネットは必要ありません。

VPC では、T0 アップリンクごとに以下の VLAN インターフェースが必要です。 先に指定したように、パブリックとプライベートのアップリンクを分ける必要があります。 Allow IP spoofingEnable Infrastructure NATfalse に設定された VLAN インターフェースは、パブリックフローティング IP アドレスを T0 ゲートウェイのパブリックアップリンクまで非 NAT でトラバースできるようにします。 Allow IP spoofing および Enable Infrastructure NATtrue に設定した VLAN インターフェイスでは、プライベート IP アドレスを持つ NSX オーバーレイ上の VMware ワークロードを IBM Cloud VPC にルーティングできます。 これらの機能を1つにまとめることはできません。

統合アーキテクチャ用T0アップリンク用VLANインターフェース
インターフェース名 インターフェース・タイプ VLAN ID サブネット フローティングを許可する IP スプーフィングを許可 インフラ NAT を有効にする NSXインターフェース セグメント名
vlan-nic-t0-pub-uplink-1 vlan 2711 vpc-t0-public-uplink-subnet true false false T0 パブリック・アップリンク * エッジ 1 vpc-zone-t0-public-*vlanid*
vlan-nic-t0-pub-uplink-2 vlan 2711 vpc-t0-public-uplink-subnet true false false T0 パブリック・アップリンク * Edge 2 vpc-zone-t0-public-*vlanid*
vlan-nic-t0-pub-uplink-vip vlan 2711 vpc-t0-public-uplink-subnet true false false T0 パブリック・アップリンク VIP vpc-zone-t0-public-*vlanid*
vlan-nic-t0-priv-uplink-1 vlan 2712 vpc-t0-private-uplink-subnet true true true T0 プライベート・アップリンク * Edge 1 vpc-zone-t0-private-*vlanid*
vlan-nic-t0-priv-uplink-2 vlan 2712 vpc-t0-private-uplink-subnet true true true T0 プライベート・アップリンク * エッジ 2 vpc-zone-t0-private-*vlanid*
vlan-nic-t0-priv-uplink-vip vlan 2712 vpc-t0-private-uplink-subnet true true true T0 プライベート・アップリンク VIP vpc-zone-t0-private-*vlanid*

インターネットからのインバウンド・トラフィックが必要ない場合は、T0 上のパブリック・アップリンクも、ベアメタル・サーバーのパブリック VLAN インターフェースも必要ない可能性があります。

T0 でルーティングを行う場合、前のメモを考慮する必要があります。 パブリックアップリンクをお持ちの場合は、デフォルトルート 0.0.0.0/0 はパブリックアップリンク経由でルーティングされなければならず、プライベートルートはプライベートアップリンク経由でルーティングされなければなりません。 VPC サブネットのゲートウェイへの静的経路を構成します。

同じエッジクラスターの同じVPCサブネットにある T0 ゲートウェイから、1組のアップリンクのみをプロビジョニングできます。 この制限には、T0 VRF も含まれます。 T0 の各アップリンクペアには、それぞれ独自の VPC サブネットが必要です。

Tier-1ゲートウェイ

NSX T1 ゲートウェイは、接続された NSX セグメントへのダウンリンク接続と、単一の T0 ゲートウェイへのアップリンク接続を持ちます。 NSX Edge Nodesは、 T1 ゲートウェイの処理能力を提供します。 T1 ゲートウェイには、 T0s と同様に、サービスルーター(SR)と分散ルーター(DR)が含まれています。 DR はハイパーバイザーで配布されるカーネル・モジュールとして実行され、サービスが有効になっていて配布できない場合に、SR はエッジ・クラスターで VRF としてインスタンス化されます。

この設計では、選択したトポロジーのニーズに合わせて、1つまたは複数の T1 ゲートウェイを作成することができます。

同じエッジクラスタに複数のT1sを配置できます。

Tier-0 および Tier-1 ゲートウェイによって提供されるネットワーク・サービス

NSXデータセンターは、IPsec VPN(IPsec仮想プライベートネットワーク)、NAT(ネットワークアドレス変換)、ファイアウォールなどのネットワークサービスをサポートしています。次の図に示されているように。

Network Services that are provided by Tier-0 and Tier-1 gateways
Network Services provided by Tier-0 and Tier-1 gateways

このトピックでは、これらの機能と、 IBM Cloud VPC での使用方法について簡単に紹介します。

VPN サービス

IPsec 仮想プライベート・ネットワーク (IPsec VPN) およびレイヤー 2 VPN (L2 VPN) は、NSX Edge ノード上で実行されます。 IPsec VPN は、NSX Edge ノードとリモート・サイトの間のサイト間接続を提供します。 L2 VPN を利用すれば、仮想マシン(VM)が地理的な境界を越えてネットワーク接続を維持しながら、同じ IP アドレスを使用し続けることができるため、データセンターを拡張することができます。

IBM Cloud VPC でNSX VPNサービスを設定する際には、 /32 のパブリックフローティングIPアドレスを、 Tier-0 と Tier-1 の両方のゲートウェイのVPNエンドポイントとして使用できます。 必要に応じて、複数の VPN エンドポイントを持つことができます。 VPN サービスが Tier-1 ゲートウェイ上に構成されている場合、Tier-0 と Tier-1 ゲートウェイ間でフローティング IP が正しくアドバタイズされることを確認してください。

VPNサービスの詳細については、VMwareドキュメントを参照してください。

ネットワーク・アドレス変換

ネットワークアドレス変換(NAT)は、 Tier-0 および Tier-1 のゲートウェイでサポートされています。

例えば、以下のタイプの NAT がサポートされています。

  • 送信元 NAT (SNAT) は、アウトバウンド・パケットの送信元 IP アドレスを変換して、パケットが別のネットワークから発信されたものとして表示されるようにします。
  • 宛先 NAT (DNAT) は、インバウンド・パケットの宛先 IP アドレスを変換して、パケットが別のネットワークのターゲット・アドレスに配信されるようにします。

IP アドレスまたはアドレス範囲に対して SNAT または DNAT を無効にすることもできます。 アドレスに複数の NAT ルールがある場合は、最も高い優先順位を持つルールが適用されます。

IBM Cloud VPC でNSX NATを設定すると、 /32 のフローティングIPアドレスを Tier-0 と Tier-1 の両方のゲートウェイのパブリックNAT IPアドレスとして使用できます。 必要に応じて、複数のNAT IPアドレスを使用できます。 Tier-1 ゲートウェイでNATが設定されている場合、 Tier-0 と Tier-1 ゲートウェイ間でフローティングIPが正しく広告されていることを確認してください。

NSX の NAT の詳細については、VMware Documentation を参照してください。

ファイアウォール

NSXプラットフォームでは、東西および南北のファイアウォールポリシーを設定できます。

ゲートウェイファイアウォールは、 IBM Cloud VPC に接続されるノース・サウストラフィックに対して境界ファイアウォールに適用されるルールを表します。 ゲートウェイファイアウォールは、 Tier-0 と Tier-1 の両方のゲートウェイに適用できます。

分散ファイアウォールは、VM上のすべての東西方向のトラフィックを監視します。 オブジェクトをグループ化すると、ルール管理が簡単になる。 グループには、静的および動的に追加されたさまざまなオブジェクトが含まれ、ファイアウォールルールのソースおよび宛先として使用できます。 VM、IP セット、MAC セット、セグメント・ポート、セグメント、AD ユーザー・グループ、およびその他のグループの組み合わせを含めるように構成できます。 グループの動的組み込みは、タグ、マシン名、OS 名、またはコンピューター名に基づいて行うことができます。

NSX のファイアウォールの詳細については、VMware のドキュメントを参照してください。