ネットワーク NSX Data Center

VMware Cloud Foundation® 9.1 徹底解説!物理と仮想の境界をなくす「VLAN Extension」の全貌

1. はじめに:モダンなVPC環境と「既存の物理ネットワーク」の統合という課題

前回の記事では、VMware Cloud Foundation® 9.1 (以後VCF 9.1)で導入された「Distributed Transit Gateway (DTGW)」と「VNA」によって、エッジのボトルネックを排除した高速な分散ルーティングと、ステートフルなネットワークサービスが両立したことを解説しました。

しかし、実際のデータセンター環境は、すべてが新しく構築される「グリーンフィールド」ばかりではありません。現実には、既存の物理サーバー(ベアメタル)や、従来の物理VLANに依存して稼働しているレガシーな仮想マシン(VM)が多数残っています。

「これらの既存システムを、IPアドレスやゲートウェイ設定を変えずに、どうやって最新のVPC環境と繋ぐのか?」

このハイブリッド環境における移行と統合の切り札となるのが、VCF 9.1 の強力な新機能「VLAN Extension」です。本記事では、この機能のアーキテクチャから、現場での実践的な使い分け、局所的な制限事項、そして驚くほど簡単になった VMware vCenter® からの操作方法までを徹底解説します。


2. VLAN Extension とは? アーキテクチャとユースケース

VLAN Extension の概念

VLAN Extension とは、オーバーレイベースで構築された VPC サブネットを、物理ネットワークファブリックに存在する既存の VLAN に Layer 2 レベルでそのまま拡張(ブリッジ)する機能です。これにより、仮想ネットワーク(Overlay)と物理ネットワーク(VLAN)を完全に同一のネットワークセグメントとして扱うことができます。

アーキテクチャの裏側と高度なトラフィック制御

この機能を有効にすると、裏側では VPC サブネット専用の「DLC (Distributed Logical Connection)」という論理接続が自動的に作成され、サブネットと1対1で直接マッピングされます。そして、Overlay ネットワークと物理 VLAN ネットワークの間で分散ブリッジング(dbridge)が構成され、シームレスな通信が可能になります。

さらに、単に Layer 2 で繋ぐだけではありません。ハイブリッド環境をシームレスに統合するために、「物理ネットワーク側の既存ルーター(External GW)」と「VCF 側の論理ルーター(VPC GW)」の2つのルーターに、全く同じゲートウェイIPアドレス(例:10.0.0.1)を持たせるという高度な仕組みが実装されています。(後述 3章のPublic モード – VPC Connectivity enabled にて解説しています)これにより、物理サーバーが VPC へ移行(vMotion など)した際も、VM 側はゲートウェイの IP 設定を一切変更することなく、稼働している場所から最も近いゲートウェイをそのまま利用できます。

しかし、同じネットワークセグメント内に同じ IP を持つゲートウェイが2つ存在すると、通常は通信のループや深刻な障害が起きます。これを防ぐため、VCF 9.1 では通信パケットに対して「物理 VLAN 側から来たのか」「仮想 Overlay 側から来たのか」を内部的に識別する目印をつけ、ゲートウェイを経由する外部への通信を完全に分離しています。これにより、通信の非効率な迂回(トロンボーン現象)やループを防ぎながら、極めて効率的な通信を実現しています。

💡 代表的なユースケース

  • シームレスなマイグレーション: 既存の物理サーバーや VLAN 上の VM を、IP アドレスやデフォルトゲートウェイを一切変更せずに、VPC 環境へとそのままリフト&シフトできます。
  • 透過的な共存: 移行の過渡期において、「物理環境に残るサーバー」と「VPC 上に新しくデプロイされたモダンなVM」を、全く同じ L2 セグメント内で透過的に共存・通信させることが可能です。

3. 柔軟な要件を満たす「3つのモード」と現場のTips・注意点

VLAN Extension サブネットを作成する際、要件に合わせて3つの柔軟な構成モード(アクセスモード)から選択することができます。

以下の図は、各モードにおいて「延伸した VLAN 以外のネットワーク(ルーティングを伴う通信)」へアクセスする際のトラフィックフローを表しています。緑の線はNATを経由せず通信可能なことを表し、黄色い線はプライベートなサブネットをパブリックIP へNATを設定しないと通信できない経路を表現しています。

ここでは、この図が示すルーティングの動作の違いや、ツールの仕様、運用上の制限事項といった「現場のリアルな設計知識」を交えて各モードを解説します。

① L2 のみ モード / ② パブリック モード – VPC ゲートウェイ接続なし

【概要と通信フロー】
VPC Gateway には接続されず(またはルーティング機能を提供せず)、純粋な Layer 2 の拡張ネットワークとして機能します。上図の左および中央に示される通り、このモードでは VLAN 外へ向かうすべての通信は物理ゲートウェイ(外部ルーター)を経由して通信を行います。VPC のルーティング網には参加しないため、同一VPCであっても VPC プライベートサブネットへの直接の通信は許可されません。プライベートサブネットをNATしてパブリックIPとして通信を行うことは可能 ですが黄色い線のように物理ネットワークを経由します。

【ユースケース】
ルーティングは完全に既存の物理ネットワーク機器に任せつつ、VCF 環境にレガシーシステムをリフト&シフトする場合に最適です。

💡【Tips】ツールごとの使い分け:
実は、vCenter の UI から操作する場合、②のモードは機能的に「① L2のみ」と全く同じ動作になります。そのため、vCenter から手動で拡張する場合は、入力項目が少なくて済む「L2のみ」を選択するのがベストプラクティスです。一方で、VMware Cloud Foundation® Automation を利用したインフラ自動化の裏側では、システムがこの「パブリック モード – VPC ゲートウェイ接続なし」を指定して構成するという違いがあります。

③ パブリック モード – VPC ゲートウェイ接続あり

【概要と通信フロー】
サブネットが VPC Gateway に直接接続され、Overlay と VLAN の双方が VPC のエコシステムに完全に統合されるフル機能モードです。上図の右に示される通り、通信先によって経路が賢く分離されます。

  • 同一の VPC にある パブリック/プライベート(TGW)  サブネット宛て: Overlay 通信を利用し、接続される VPC Gateway を経由してNATを行わず直接到達可能
  • 同一の Transit Gateway 内にある異なるVPC のプライベートTGW サブネット宛て: 上記と同様にOverlay 通信を利用し、接続される VPC Gateway および上位のTransit Gatewayを経由してNATを行わず直接到達可能
  • (上記以外) 外部のネットワークや、別プロジェクト(異なる Transit Gateway 配下)の VPC サブネット宛て: 物理ゲートウェイを経由して通信。ただし黄色い線で表されるプライベートサブネットはNATを行うことが必要。

第2章で解説した「2つのルーターに同じ IP を持たせ、通信を分離する」という高度なトラフィック制御の仕組みは、まさにこのモードで「同一 Transit Gateway 内の東西通信」と「外部への南北通信」を最適に振り分けるために機能します。

⚠️【重要】構成上のサポート条件と制限事項

“③ パブリック モード – VPC ゲートウェイ接続あり” を採用するにあたり、VCF 9.1 現在では設計時に注意すべき重要な仕様が2つあります。

  • DTGW専用機能: このモードは集中型ゲートウェイではなく、DTGW(Distributed Transit Gateway)環境でのみサポートされます。
  • 疎通性の制限 (NAT動作の仕様): 下図のようにVLAN延伸したサブネットとOverlay で通信できるようになるPrivate(TGW) サブネットは「VLAN 延伸した先にある物理サーバー」への通信はできなくなる という仕様上の制限があります。ルーティングや NAT の動作仕様に起因する制約となるため、設計の際には十分ご注意ください。


4. vSphere Client からの超簡単!構築ステップとトポロジーの可視化

これほど高度な分散ブリッジングや DLC の技術が使われているとなると、「構築が非常に複雑なのでは?」と思われるかもしれません。しかし、VCF 9.1 における最大の進化は、その UI/UX の劇的な簡略化にあります。

vCenter からのワンステップ構築

VLAN Extension を利用するために、VMware NSX® の複雑な設定画面を開いて、明示的に DLC を作成したり IP ブロックを構成したりする必要は一切ありません。vCenter(vSphere Client)のシンプルな UI だけで、ワンステップで完結します。

  1. vCenter のネットワーク画面からVPCを右クリックし「新しいサブネット」ウィザードを開きます。
  2. VLAN 拡張機能のスイッチを 「はい」 に切り替えます。
  3. あとは、対象となる物理ネットワークの 名前、VLAN ID と ゲートウェイ CIDR IPv4 アドレス を入力し、用途に合わせて VPC ゲートウェイ接続の有無 を選択するだけです。

たったこれだけの操作で、システムが裏側で自動的に DLC や必要なルーティング設定を展開してくれます。

直感的なトポロジーの可視化

サブネットが作成された後、vCenter のネットワークトポロジー画面を開くと、VPC の下に VLAN が拡張され、物理ネットワークと繋がっている様子がグラフィカルに表示されます。インフラ管理者は、物理と仮想が入り組んだネットワーク状態を視覚的かつ直感的に把握しながら運用を行えるようになります。


5. おわりに

VCF 9.1 におけるネットワークの進化、いかがでしたでしょうか。

前回紹介した、エッジのボトルネックをなくす「DTGW」とステートフルサービスを提供する「VNA」。そして後編となる本記事で解説した、物理環境と VPC の境界をシームレスに繋ぐ「VLAN Extension」。

これらの新しいアーキテクチャが組み合わさることで、クラウドネイティブなモダンアプリケーション環境を構築できるだけでなく、レガシーな物理環境を抱える企業であっても、既存の IP アドレスや構成を活かしながら、リスクなく段階的に最新の VPC 環境へと移行できるようになりました。

しかも、そのすべてが自動化ツール(VMware Cloud Foundation® Operations / Automation)や、馴染みのある vCenter の UI から驚くほど簡単にデプロイ・管理できるようになっています。物理と仮想、そしてレガシーとモダンの境界をなくす VCF 9.1 の新しいネットワークは、企業のクラウドインフラ基盤を間違いなく次のステージへと進化させてくれるでしょう。