みなさんこんにちは。ヴイエムウェアの進藤です。

VMware NSXの最新バージョン6.2が2015年8月にリリースされました。バージョン番号的には6.1から一つマイナーバージョンが上がっただけですが、実際には非常に多くの新機能が盛り込まれた意欲的なリリースとなっています。今回から数回にわたり、NSX 6.2で追加・拡張された機能のうち主要なものをピックアップして、本Blogでご紹介をしたいと思います。

複数vCenterをまたぐ環境でNSXが利用可能に!

NSX 6.2で追加された機能のうちで最も目を引くものは「Cross vCenter Networking and Security(通称Cross vCenter NSX)」機能でしょう。これにより複数vCenterをまたぐような環境でNSXの機能が利用可能になります。

vSphere 6.0で、Cross vCenter vMotion(異なるvCenter環境間でのvMotion)やLong Distance vMotion(RTT 150ms以内の2地点間のvMotion)がサポートされましたが、その機能を一層有用なものにするために、NSXでも複数vCenter環境をサポートし、複数vCenterにまたがった仮想ネットワークを構築してその上で自由にvMotionができるようにしました。

Cross vCenter NSXを実現するにあたり、NSXのアーキテクチャにも変更が加えられました。NSX 6.1までは、NSX環境を管理するNSX ManagerはvCenterと1:1で紐付けがされており、1つのNSXで管理できる環境は1 つのvCenter環境内に限られていました。NSX 6.2でも依然NSX ManagerとvCenterは1:1に紐付けられますが、NSX Manager間同士で連携ができるようになり、これによりをすることにより、複数のvCenterをまたいだ管理ができるようになりました。

具体的には、NSX Managerが「プライマリ」または「セカンダリ」というロール(役割)を持つことができるようなり、プライマリなNSX Managerが複数vCenter間をまたいだ管理に関する責任を持ちます。また、セカンダリなNSX Managerは、自分の管理下の環境は自分で管理をしますが、複数vCenterにまたがった管理に関しては、マスターのNSX Managerに任せるようになっています。プライマリなNSX ManagerでvCenterにまたがる設定の変更を行うと、それらは自動的に他のセカンダリNSX Managerにレプリケーションされます。

一方、NSX コントローラは、vCenter環境ごとには配置されず、一つのコントローラ クラスタが複数のvCenter環境の管理をします。一つのコントローラ クラスタで管理できるvCenterの数は現状8までとなっていますので、Cross vCenter NSXで管理できるvCenter環境の数も8つまでということになります。Cross vCenter NSX

NSX 6.2のCross vCenter NSXで利用出来る機能は次の3つです。

  • ユニバーサル論理スイッチ
  • ユニバーサル分散論理ルーティング
  • ユニバーサル分散ファイアウォール

以下、それぞれについて簡単に説明をします。

ユニバーサル論理スイッチ

NSXには「トランスポートゾーン」という概念がありますが、NSX 6.2ではこの概念が拡張され、複数vCenter環境にまたがった「ユニバーザル トランスポートゾーン」を新たに作成できるようになりました。このユニバーサル  トランスポートゾーン上に作られた論理スイッチは自動的に「ユニバーサル論理スイッチ」となり、仮想マシンに対して複数のvCenter環境にまたがったVXLANによるL2環境を提供できるようになります。

ユニバーサル論理スイッチに接続された仮想マシンは、同一L2ネットワーク上にいることになりますので、vSphere 6.0を使っていればこのユニバーサル論理スイッチ上にいる仮想マシンをCross vCenter vMotionで別のvCenter環境に移動することが可能です。また、vCenter環境が別々のサイト(データセンター)にあるような場合でも、Long Distance vMotionの条件を満たしていれば、サイト間で仮想マシンを移動することができますので、アクティブ−アクティブなデータセンターを実現することもできます。Universal-Logical-Switch

ユニバーサル分散論理ルーティング

Cross vCenter NSXでは、L2ネットワークだけでなく、L3ネットワークもvCenterをまたいで作成することができます。具体的には分散論理ルータ作成時に「ユニバーサル分散論理ルータ」を作るように指示することで、複数のvCenter環境にまたがったルーティング機能を提供できるようになります。

サイトにまたがってユニバーサル分散論理ルータを作った場合、問題になってくるのが「マルチサイト トラフィックの最適化」です。例えば、サイトAとサイトBの二つのサイトがあるケースを考えてみましょう。各データセンターから外部(インターネット)方向に出るトラフィックに関して、サイトAにある仮想マシンはサイトAから、サイトBにある仮想マシンはサイトBから出て行くようにしたい、というのはごく自然な要求でしょう。しかし、複数サイトにまたがった1つの論理ルータがある場合は、必ずしも最適な箇所からトラフィックが出て行くとは限りません。

このような問題に対処するためNSX 6.2は出力方向トラフィックに関する最適化機能を備えています。NSX 6.2では新たに「Locale ID」という概念が導入されており、コントローラに送られる経路情報にLocale IDを付与して送ることができるようなっています。デフォルトではこのLocale IDはNSX ManagerのUUIDが付与されるようになっていますので、通常サイトAとサイトBは異なったLocale IDを持つことになります。コントローラは経路情報をハイパーバイザに配布する際に、同じLocale IDを持つ経路情報のみを送るようにフィルターをかけますので、サイトAから得られた経路はサイトAにのみ、サイトBから得られた経路はサイトBにのみ配布されるようになります。したがって、サイトAにある仮想マシンはサイトAのルータを経由して外に出て行き、サイトBにある仮想マシンはサイトBのルータを経由して外に出て行く、すなわち出力方向に関するトラフィックの最適を実現できるわけです。Universal-DLR-Egress-Optimization

一方、外側から内側に入ってくる方向(入力方向)のトラフィクの最適化に関しては別途考える必要があります。GSLBを使う、あるいは外部にホストルートを広告するなどの方法が考えられるでしょう。

ユニバーサル分散論理ファイアウォール

ネットワーク的にはユニバーサル論理スイッチ機能によって複数vCenter環境間でvMotionができるようになりますが、これだけでは本当の意味でCross vCenter vMotionを実現したとは言えません。なぜならセキュリティ的にもvMotion可能な環境を実現する必要があるからです。通常、仮想マシンの移動前と移動後で同じセキュリティポリシーが担保できていなければ、仮想マシンを移動することはできないでしょう。

NSX 6.2では、論理スイッチ(L2)、論理ルータ(L3)だけでなく、ファイアウォール設定も複数vCenter間で同期をして、仮想マシンがvCenter間で移動しても同じセキュリティポリシーが担保できるようになっています。

NSX 6.2では、従来の「ファイアウォール セクション」に加え、新たに「ユニバーサル ファイアウォール セクション」を定義できるようになりました。このセクション内に作ったファイアウォール ルールは複数のNSX Manager間で自動的に同期され、異なるvCenter配下のすべてのハイパーバイザに設定されます。これにより仮想マシンがCross vCenter vMotionをした場合でも、移動前と同じセキュリティポリシーが移動先でも適用されるようになっています。

ただし、ユニバーサルファイアウォールセクションに設定できるルールには若干の制限があります。ユニバーサルファイアウォールセクションに設定できるルールは、IPアドレスやMACアドレス、あるいはそれらを含んだセキュリティグループに限られます。vCenterオブジェクト(例えばデータセンター名、クラスタ名、仮想マシン名、など)を使用することは現状できませんので注意してください。Universal-DFW

まとめ

今回はNSX 6.2で新たにサポートされたCross vCenter NSX機能をご紹介しました。この機能を使うことで、複数vCenterがある環境(またそれらが複数サイトに分散している環境)でもNSXでネットワークとセキュリティを一元管理することができることをご理解いただけたと思います。

今回ご紹介したCross vCenter NSX機能を使ってアクティブ−アクティブなマルチサイトデータセンタを構築したり、Site Recovery Manager(SRM)と組み合わせることにより、さらに本格的なディサスタ・リカバリなどを実現することも可能です。

NSX 6.2及びCross vCenter NSX機能についてさらに深く知りたいという方のために「VMware Hands On Labs」というどなたでもお使いただける環境を用意していますので、ぜひ一度NSXを実際に触って試してみてください。

また、次回はNSX 6.2のセキュリティサービスの機能強化についてご紹介をする予定です。