2025年までには楽になろう…
NSX ALB / NSX DC 連携の新たな幕開け
SDN界の二大巨星、夢の共演
緊急事態宣言も解除されましたが皆さま如何お過ごしでしょうか。一旦、自体は収束した感がありますが、ここからの我々の行動規範がいわゆるニューノーマルの幕開けになっていくのかもしれません。インフルエンザへの感染対策も含めてまだまだ気を引き締めていきましょう。
さて今回は、NSX-T Data Center と旧Avi Networks ことNSX Advanced Load Balancer (NSX ALB) という SDN 界における二大巨星において、 NSX-T の Version 2.4以降と NSX ALB の Version 20.1.1 以降の組み合わせに華麗な機能連携が提供開始されたことについてご紹介したいと思います。
旧 Avi Networks の DNA
NSX ALB については過去に何度かご紹介させていただいておりますので、もしまだご存じない方がいればぜひこちらも参照していただければ、と思いますが、
→ IT 価値創造塾;
・マルチクラウドに対応したソフトウェア定義のロードバランサー NSX Advanced Load Balancer で実現するアプリケーションの最適化と可視化
→ VMware Japan Blog;
・アプリケーションデリバリーコントローラーとしてのNSX Advanced Load Balancer
・遂にここまで見えてきた!ロードバランサー可視化の衝撃
NSX ALB はもともと旧 Avi Networks 時代よりマルチクラウド環境統合型のソフトウェアロードバランサーとして、各種コントローラーとの API 連携を得意としていました。
AWS、Azure、GCP からはじまり、vCenter、各種 K8S、OpenStack、はては NSX for vSphere や Cisco ACI まで、多種多様なオーケストレーションを提供してきましたが(NSX ALB ではこの各種オーケストレーターと連動するドメインのことを ”Cloud” という名称で設定、管理します。)、時代の流れと VMware による買収劇といったイベントに応じて、サポートがなくなる Cloud と、新たに追加開発される Cloud、とが出てきています。。最近新たに追加開発された Cloud の代表格が今回ご紹介する NSX-T Data Center との連携を提供する “NSX-T Cloud” のサポートとなり、NSX ALB ver.20.1.1〜、NSX-T DC ver.2.4〜、vSphere ver.6.7〜 の組み合わせで機能提供を開始しています。(これまで提供されていた NSX for vSphere との連携は NSX for vSphere の EoS 発表に応じて今後収束の方向となります。)
(NSX-T Cloud の設定画面例)
NSX ALB が NSX-T 連携することで実現できること
では、マルチクラウド環境統合型 LB である NSX ALB が、データセンター SDN である NSX−T と連携することによって何ができるようになるのでしょうか?その概念を簡略化してまとめた概念図がこちらとなります。
(NSX ALB と NSX-T の連携イメージ)
vSphere 環境においては、NSX ALB Controller は vCenter と連動することにより NSX ALB の世界におけるロードバランサーの実体である Service Engine(SE)の初期プロビジョニングやスケールアウト、スケールイン時におけるライフサイクル管理とともに、必要に応じた設定投入を自動化しますが、これに連動する形で NSX-T Manager と連携することで、データセンター内におけるルーティングとセキュリティコンポーネントに対する自動的なメンテナンスを提供することが可能となります。
NSX-T 連携のための下準備
NSX-T 連携のための手順概要は以下のとおりです。
(細かな設定手順はこちらの資料を参照いただければと思います。)
#Step.1 管理トラフィックの許可
まず、NSX ALB Controller が vCenter/NSX-T Manager と API 連携することが必要です。そのため DFW などが設定されている場合は、各種管理トラフィックを許可しておきます。また、vCenter にて、NSX ALB 連携に必要な権限ロールの作成とログインユーザーへの紐付け、および SE のイメージを格納するためのコンテンツライブラリーも作成しておいてください。
#Step.2 NSX-T 環境の準備
次に、NSX ALB 環境に対応する NSX-T の構成を作成しておきます。
必要な設定はおよそ以下となります。
・Virtual Service の VIP を配備するセグメントの作成と Tier1 Router への接続
・VIP セグメントからの Static Route を Tier1 GW から外部へ広報する設定
・Tier1 GW からの Static Route を Tier0 GW から物理ネットワークへ広報する設定
・SE 管理用のセグメントの作成
・SE 管理用セグメントを収容する Tier1 GW の作成と Tier0 GWへ の接続
#Step.3 NSX-T Cloudの作成
続いて、NSX ALB の Cloud 設定で、“NSX-T Cloud” を作成します。このとき、vCenter と NSX-T Manager へのアクセスクレデンシャルを登録します。
すると、NSX ALB Controller は NSX-T Manager から、API 経由で論理セグメントや Tier-1 Gateway、各種 NSGroup などを、vCenter からはホストや仮想ネットワーク情報など、必要なインベントリ情報を取得します。
その後、指定された vCenter のコンテンツライブラリに SE の OVA イメージをアップロードして NSX-T Cloud の設定が完了します。
#Step.4 NSX-T DFW の設定
Step.3 が完了すると、指定した Prefix 名を利用して以下のような NSGroup と Service のオブジェクトが NSX-T 上に作成されます。
これを利用して、データプレーンにおける各種通信を許可する DFW を以下のように設定しておきます。
・SE を DFW の除外リストに追加
・NSX ALB Controller と SE 間の通信を許可
各種 DFW の許可通信には NSX ALB との連携により API 経由で自動的に作成された NSGroup を使用しておくことで SE や Virtual Service が作成されるごとに自動的にメンテナンスされるダイナミックな DFW 運用を実現することが可能となっています。
NSX ALB による Virtual Service の展開(NSX-T 連携時の挙動)
NSX-T 連携の準備が整ったらば、NSX ALB で Virtual Service(VS)を設定する際にバックグラウンドで NSX ALB と NSX-T が API を介して連携します。
ここでは VS の作成手順を解説することは割愛しますが(詳細ステップはこちらの資料参照)、通常の展開時と顕著に異なるのは Server Pool の作成時です。vCenter 連携では仮想ネットワークとその上で動作する仮想マシンを NSX ALB Controller 上で指定選択することで設定することが可能となっていますが、NSX-T 連携の設定を行うことで、Server Pool の選択に NSX-T で設定された NSGroup を直接指定することが可能となっており、NSGroup による利点を享受しながらさらに効率的な運用が可能となっています。
※ NSGroup を使うことによるセキュリティグループの便利な自動運用についてはぜひこちらの Blog もご参照ください
(NSX ALB Controller の Server Pool 設定画面 – NSX-T連携時)
この環境を利用してNSX ALB で VS を構成するとAPIによりこのような連携が実施されます。VS を作成したときに紐付けられる VIP への Static Route が NSX-T により自動的に作成され、事前準備で実施した Route Redistribute によって外部へ広報する、といった一連の仕組みを NSX-T と連携して自動構成することができます。
これによりクライアントから VIP へのアクセス経路を自動的に構築、提供しています。
NSX ALB の最大の特長である SE のスケールアウトを実施した場合にもこの NSX-T との連携は自動的にメンテナンスされます。VS が NSX ALB Controller によりスケールアウトされると、VIP に対して Scale Out された複数の SE への ECMP Static Route が自動配備される事となり、これにより NSX-T によるネットワーク的な拡張が NSX ALB に追随して提供されつづけます。
以下は、SE をスケールアウトした状態における NSX-T の Tier1 GW 上のルーティングテーブルのサンプルですが、VS に紐付けられた VIP アドレスに対して 2 つの ECMP Route が人知れずひっそりと自動設定されていることが見て取れます。嗚呼、なんと奥ゆかしいことでしょう。
(NSX-T における Tier1 Gatewayのルーティングテーブル)
まとめ
データセンターにおけるネットワークとセキュリティを柔軟に自動配備することを得意とする NSX-T Data Center と、マルチクラウド環境においてアプリケーションのスケーラビリティに対して迅速性と柔軟性を提供する NSX ALB、これらのコンビネーションによるネットワークとアプリケーション提供への自動拡張な世界の一端を感じていただくことが出来ましたでしょうか?
途中の画面キャプチャで気づいて頂いた方もいるかも知れませんが、NSX ALB ver.21.1 からは、旧来の Avi 時代の UI から、VMware の Clarity UI へと変更になっており、併せて UI の日本語化サポートも開始されています。これを皮切りとした NSX-T との連携もまだまだ様々な機能拡張がロードマップとして予定されておりますし、それ以外の vRNI、vRA、VMC といった各種 VMware Solution との連携も多々予定しておりますので、今回ご紹介させていただいたのはほんの Basic な入り口のご紹介とご理解頂きまして、必要に応じて都度最新情報をお届けしていけたらばと思っています。
また NSX ALB はあくまで NSX-T の兄弟ソリューションであり、今後もスタンドアローンでの販売・提供は継続されていきますが、一方で次期 NSX-T 3.2(秋口くらいにリリースを予定)からは NSX-T 搭載の標準ロードバランサーが NSX ALB の機能、および UI へ統合(”連携”ではなく”統合”)されていく予定です。
NSX-T 3.2 ではさらに、昨年買収した旧 Lastline 社の NDR による高度なセキュリティ機能も NSX-T に統合されて提供され始めるというバージョンとなっており、実は version.3.2 は NSX-T への新テクノロジー統合祭ラウンチだったりします。
この業界、必要なテクノロジーを買収するところまではある程度どこの IT 企業もやっていることと思いますが、それをシナジーとしてきちんと活かしきれなかった、なんて過去の例は枚挙に暇がありません。特にネットワークテクノロジーに関して歴史を振り返ってみると、買収したテクノロジーをビジネスサイクルにうまく回すことを難しくする要因のひとつにハードウェアのメンテナンスとコントロールが強く関連しているのではないかと思います。我々、ハードウェアから脱却することを旨とした仮想ネットワーク屋という立場は、実は買収したテクノロジーを ”旨く、早く、安く” 統合してご提供できるという利点も持っており、これからも最新テクノロジーを必要に応じて素早く、連携・統合しながら SDN の世界を拡張展開していきますので、引き続き Virtual Cloud Network による技術刷新を楽しみに見守っていただけたらばと思います!
いつものように今回の各種設定ステップなど詳細をまとめた資料はこちらにUpしておりますので、ご興味を持っていただいた方はぜひ御覧ください。