NSX 6.2 新機能のご紹介 Part 1 〜 Cross vCenter NSX 〜

みなさんこんにちは。ヴイエムウェアの進藤です。

VMware NSXの最新バージョン6.2が2015年8月にリリースされました。バージョン番号的には6.1から一つマイナーバージョンが上がっただけですが、実際には非常に多くの新機能が盛り込まれた意欲的なリリースとなっています。今回から数回にわたり、NSX 6.2で追加・拡張された機能のうち主要なものをピックアップして、本Blogでご紹介をしたいと思います。

複数vCenterをまたぐ環境でNSXが利用可能に！

NSX 6.2で追加された機能のうちで最も目を引くものは「Cross vCenter Networking and Security（通称Cross vCenter NSX）」機能でしょう。これにより複数vCenterをまたぐような環境でNSXの機能が利用可能になります。

vSphere 6.0で、Cross vCenter vMotion（異なるvCenter環境間でのvMotion）やLong Distance vMotion（RTT 150ms以内の２地点間のvMotion）がサポートされましたが、その機能を一層有用なものにするために、NSXでも複数vCenter環境をサポートし、複数vCenterにまたがった仮想ネットワークを構築してその上で自由にvMotionができるようにしました。

Cross vCenter NSXを実現するにあたり、NSXのアーキテクチャにも変更が加えられました。NSX 6.1までは、NSX環境を管理するNSX ManagerはvCenterと1:1で紐付けがされており、1つのNSXで管理できる環境は1 つのvCenter環境内に限られていました。NSX 6.2でも依然NSX ManagerとvCenterは1:1に紐付けられますが、NSX Manager間同士で連携ができるようになり、これによりをすることにより、複数のvCenterをまたいだ管理ができるようになりました。

具体的には、NSX Managerが「プライマリ」または「セカンダリ」というロール（役割）を持つことができるようなり、プライマリなNSX Managerが複数vCenter間をまたいだ管理に関する責任を持ちます。また、セカンダリなNSX Managerは、自分の管理下の環境は自分で管理をしますが、複数vCenterにまたがった管理に関しては、マスターのNSX Managerに任せるようになっています。プライマリなNSX ManagerでvCenterにまたがる設定の変更を行うと、それらは自動的に他のセカンダリNSX Managerにレプリケーションされます。

一方、NSX コントローラは、vCenter環境ごとには配置されず、一つのコントローラクラスタが複数のvCenter環境の管理をします。一つのコントローラクラスタで管理できるvCenterの数は現状8までとなっていますので、Cross vCenter NSXで管理できるvCenter環境の数も8つまでということになります。

NSX 6.2のCross vCenter NSXで利用出来る機能は次の３つです。

ユニバーサル論理スイッチ
ユニバーサル分散論理ルーティング
ユニバーサル分散ファイアウォール

以下、それぞれについて簡単に説明をします。

ユニバーサル論理スイッチ

NSXには「トランスポートゾーン」という概念がありますが、NSX 6.2ではこの概念が拡張され、複数vCenter環境にまたがった「ユニバーザルトランスポートゾーン」を新たに作成できるようになりました。このユニバーサルトランスポートゾーン上に作られた論理スイッチは自動的に「ユニバーサル論理スイッチ」となり、仮想マシンに対して複数のvCenter環境にまたがったVXLANによるL2環境を提供できるようになります。

ユニバーサル論理スイッチに接続された仮想マシンは、同一L2ネットワーク上にいることになりますので、vSphere 6.0を使っていればこのユニバーサル論理スイッチ上にいる仮想マシンをCross vCenter vMotionで別のvCenter環境に移動することが可能です。また、vCenter環境が別々のサイト（データセンター）にあるような場合でも、Long Distance vMotionの条件を満たしていれば、サイト間で仮想マシンを移動することができますので、アクティブ−アクティブなデータセンターを実現することもできます。

ユニバーサル分散論理ルーティング

Cross vCenter NSXでは、L2ネットワークだけでなく、L3ネットワークもvCenterをまたいで作成することができます。具体的には分散論理ルータ作成時に「ユニバーサル分散論理ルータ」を作るように指示することで、複数のvCenter環境にまたがったルーティング機能を提供できるようになります。

サイトにまたがってユニバーサル分散論理ルータを作った場合、問題になってくるのが「マルチサイトトラフィックの最適化」です。例えば、サイトAとサイトBの二つのサイトがあるケースを考えてみましょう。各データセンターから外部（インターネット）方向に出るトラフィックに関して、サイトAにある仮想マシンはサイトAから、サイトBにある仮想マシンはサイトBから出て行くようにしたい、というのはごく自然な要求でしょう。しかし、複数サイトにまたがった１つの論理ルータがある場合は、必ずしも最適な箇所からトラフィックが出て行くとは限りません。

このような問題に対処するためNSX 6.2は出力方向トラフィックに関する最適化機能を備えています。NSX 6.2では新たに「Locale ID」という概念が導入されており、コントローラに送られる経路情報にLocale IDを付与して送ることができるようなっています。デフォルトではこのLocale IDはNSX ManagerのUUIDが付与されるようになっていますので、通常サイトAとサイトBは異なったLocale IDを持つことになります。コントローラは経路情報をハイパーバイザに配布する際に、同じLocale IDを持つ経路情報のみを送るようにフィルターをかけますので、サイトAから得られた経路はサイトAにのみ、サイトBから得られた経路はサイトBにのみ配布されるようになります。したがって、サイトAにある仮想マシンはサイトAのルータを経由して外に出て行き、サイトBにある仮想マシンはサイトBのルータを経由して外に出て行く、すなわち出力方向に関するトラフィックの最適を実現できるわけです。

一方、外側から内側に入ってくる方向（入力方向）のトラフィクの最適化に関しては別途考える必要があります。GSLBを使う、あるいは外部にホストルートを広告するなどの方法が考えられるでしょう。

ユニバーサル分散論理ファイアウォール

ネットワーク的にはユニバーサル論理スイッチ機能によって複数vCenter環境間でvMotionができるようになりますが、これだけでは本当の意味でCross vCenter vMotionを実現したとは言えません。なぜならセキュリティ的にもvMotion可能な環境を実現する必要があるからです。通常、仮想マシンの移動前と移動後で同じセキュリティポリシーが担保できていなければ、仮想マシンを移動することはできないでしょう。

NSX 6.2では、論理スイッチ（L2）、論理ルータ（L3）だけでなく、ファイアウォール設定も複数vCenter間で同期をして、仮想マシンがvCenter間で移動しても同じセキュリティポリシーが担保できるようになっています。

NSX 6.2では、従来の「ファイアウォールセクション」に加え、新たに「ユニバーサルファイアウォールセクション」を定義できるようになりました。このセクション内に作ったファイアウォールルールは複数のNSX Manager間で自動的に同期され、異なるvCenter配下のすべてのハイパーバイザに設定されます。これにより仮想マシンがCross vCenter vMotionをした場合でも、移動前と同じセキュリティポリシーが移動先でも適用されるようになっています。

ただし、ユニバーサルファイアウォールセクションに設定できるルールには若干の制限があります。ユニバーサルファイアウォールセクションに設定できるルールは、IPアドレスやMACアドレス、あるいはそれらを含んだセキュリティグループに限られます。vCenterオブジェクト（例えばデータセンター名、クラスタ名、仮想マシン名、など）を使用することは現状できませんので注意してください。