本製品でVMware NSXを利用する場合のネットワーク環境の設計について説明します。
「設計ガイドCE」の「第9章 ネットワーク環境の決定と設定」も合わせて参照してください。
VMware NSXを利用する場合、仮想システムに割り当てるネットワークはVXLANになります。
VMware NSXを利用する場合、以下の点を考慮した設計をする必要があります。
業務LANで使用するVXLAN IDの範囲
VMware NSXで利用するVXLAN IDの範囲を決定します。
なお、RORから管理できるVMware NSXのネットワーク(VMware NSXの論理スイッチ)は4094個までになります。
本製品でVMware NSXのネットワーク(VMware NSXの論理スイッチ)を示すID
VMware NSXのネットワーク(VMware NSXの論理スイッチ)を本製品のネットワークリソースと対応付けるために、VMware NSXのネットワークに1~4094の範囲の数値を1つ割り当てます。
本製品では、このVMware NSXのネットワークに割り当てた数値を"VMware NSXネットワークのID"として扱います。
VMware NSXのネットワーク | 本製品の"VMware NSXネットワークのID" |
|---|---|
TenantA_web_network | 10 |
TenantA_ap_network | 11 |
TenantA_db_network | 12 |
TenantB_web_network | 20 |
... | ... |
業務LANで使用するIPアドレスの範囲
VMware NSXのネットワーク(VMware NSXの論理スイッチ)をNSX Edgeと接続する場合、NSX EdgeのインターフェースのIPアドレスやNSX Edgeロードバランシング機能の仮想IPアドレスなどを、業務LANで使用するIPアドレスの範囲から除外する必要があります。
例えば以下のような構成のVMware NSXのネットワークがあったとき、(1)(2)のIPアドレスを除外する必要があります。
図2.1 業務LANで使用するIPアドレスの範囲例
VMware NSXのセキュリティ設定
VMware NSXのマイクロセグメンテーションを利用したセキュリティ設定など、VMware NSXのセキュリティ設定により、L-Platformやセグメントに対して詳細な通信制御が可能です。
L-Platformなどで、VMware NSXのセキュリティ設定を有効に利用するために、ファイアーウォールやロードバランシング設定、セキュリティグループなどを適切に設計する必要があります。
例えば以下のような設計をする必要があります。
L-Platform間やセグメント間のセキュリティ設定
セグメント内のセキュリティ設定
ロードバランシング機能の分散先範囲の設定
詳細は、VMware NSXのドキュメント(設計ガイドなど)を参照してください。
