VMware Cloud Foundation® 9.1 では、単なる機能追加にとどまらない、ネットワークアーキテクチャの根本的な進化とパラダイムシフトが起きています。その中でもインフラ管理者やネットワークエンジニアにとって最大のハイライトと言えるのが、分散ネットワークアーキテクチャの完成です。
本記事の目的:DTGWと新コンポーネント「VNA」の全貌を解き明かす
VMware Cloud Foundation® 9.0 において、VMware NSX® Edgeノードを介さずにハイパーバイザー上で直接ルーティングを行う「Distributed Transit Gateway (DTGW)」が導入されました。これはエッジのボトルネックを排除する画期的なアプローチでしたが、「NATやロードバランサーといったステートフルサービスが使えない」というアーキテクチャ上のジレンマを抱えていました。
本記事では、この課題を美しく解決するために VMware Cloud Foundation® 9.1 で新たに登場したゲームチェンジャー、「VNA (Virtual Network Appliance)」に焦点を当てます。DTGWの高速な分散ルーティングと、VNAがもたらすステートフルサービスはどのように共存しているのか?そして、それがvCenterからの直感的なVPC運用とどう結びついているのか?アーキテクチャの解説から実際のパケットウォークまで、VMware Cloud Foundation® 9.1 が切り拓く「新しいプライベートクラウドネットワークの基準」を徹底解説します。
💡
VMware Cloud Foundation® におけるVPCネットワークにはCentralized Transit Gateway (CTGW) とDTGW の2種類のゲートウェイタイプが存在します。これらの違いについてはこちらのブログで解説していますので、ご一読いただいだくとより一層ご理解いただける内容となります。
1. DTGW(Distributed Transit Gateway)モードの紹介とユースケース
DTGW(Distributed Transit Gateway)とは?
VMware Cloud Foundation® 9.0 から導入された Distributed Transit Gateway(DTGW)は、ネットワークトラフィックを一元化された VMware NSX® Edgeノード(Centralized Edge)を経由させることなく、各ハイパーバイザー(ESXi)上で直接分散ルーティングを行う軽量なアプローチです。
メリットと物理ネットワークとの連携
このアーキテクチャの最大のメリットは、特定のエッジノードにトラフィックが集中することによるパフォーマンスのボトルネックを回避し、分散型でスケーラブルな通信を提供できる点にあります。通信の方向に応じて、DTGWは以下の2つのアプローチでネットワークを最適化しています。
- 東西(East-West)通信: VMware NSX® の Overlay 技術を用いることで、物理インフラ側に一切の設定追加をすることなく、仮想基盤内で自由かつスケーラブルなネットワークを実現します。
- 南北(North-South)通信: Overlay を行わず、VMが稼働しているESXiホストから物理ネットワークへ直接 VLAN で通信されます。これにより、エッジノードまでトラフィックを迂回させる従来の方式と比較して、極めて効率的で低遅延な通信を提供できます。
また、このような南北通信の特性上、DTGW環境における Public subnet のデフォルトゲートウェイは、仮想ルーター(VMware NSX®)ではなく物理ネットワーク(物理ルーターやコアスイッチなど)に配置されるという重要なアーキテクチャ上の特徴があります。これには運用上の考慮点と、強力な移行メリットの両面が存在します。
- 運用上の考慮点: Public subnet の追加や変更を行う際、物理ネットワーク側でのルーティングやVLANの設定変更が必要になります。そのため、組織によってはサーバーインフラチームとネットワークチームとの間で緊密な連携が不可欠となります。
- 移行のメリット: 一方で、既存環境で VMware NSX® Overlay ネットワークを採用しておらず、従来のレガシーな Port Group(VLAN)ベースのネットワークを利用しているユーザーにとっては非常に有利に働きます。デフォルトゲートウェイを物理ネットワークに置いたまま、ネットワークのコアアーキテクチャを大きく変更することなく、VMware Cloud Foundation® 9.1 の最新環境(VPCなど)へシームレスに移行できるという大きな強みとなります。
デメリット(旧バージョンでの課題)と VMware Cloud Foundation® 9.1 での大幅な改善
ハイパーバイザー上での分散ルーティングは非常に効率的ですが、VMware Cloud Foundation® 9.0 の時点の DTGW には、ステートフルNATやロードバランサーといった一般的に使用されるステートフルなネットワークサービスのサポートが欠如しているという大きな課題がありました。
すべてのステートフルサービスを完全な分散型で実装することは技術的に容易ではなく、ESXiノードに単純に処理をオフロードすることも困難です。この制約により、Kubernetesを基盤とする Supervisor Cluster などの要件を満たすことができず、DTGWベースのトポロジの採用を阻む要因となっていました。
しかし、この大きなデメリットは、最新の VMware Cloud Foundation® 9.1 において大幅に改善されています。分散アーキテクチャの利点(ボトルネックの排除)を活かしつつ、NATやロードバランサーなどのステートフルサービスを完全にサポートし、Supervisor Cluster の構成要件も満たせるようになりました。この課題を解決した中核コンポーネントのアーキテクチャについては、第2章で詳しく紹介します。
💡 ユースケースまとめ:DTGWモードは以下のような環境に最適です
- エッジノードのリソースを節約しつつ、極めて高いネットワークスループットと低遅延が求められる大規模環境やモダンアプリケーション環境。
- 既存の物理ルーターやレガシーVLANの構成を活かしつつ、ネットワーク構成を大きく変えずに段階的に VMware Cloud Foundation® 環境へ移行したい組織。
2. VNA(Virtual Network Appliance)の紹介と解説:分散環境にステートフルサービスをもたらす新星
前章で触れた「DTGWではNATやロードバランサーが使えない」という課題を美しく解決するために、VMware Cloud Foundation® 9.1 で新たに導入された中核コンポーネントが「VNA(Virtual Network Appliance)」です。
VNAとは何か?
VNAは、分散トランジットゲートウェイ(DTGW)に接続されたVPCに対して、NAT、ロードバランサー(LB)、DNSフォワーダーといった「ステートフルなネットワークサービス」を提供する専用の仮想アプライアンスです。これまでDTGW環境では導入のブロック要因となっていた Kubernetes ベースの Supervisor Cluster なども、VNAの登場により高速性を維持したまま要件をクリアできるようになりました。
VMware NSX® Edge と VNA のアーキテクチャ・機能比較
VNAの実体は、従来の「VMware NSX® Edge トランスポートノード」のテクノロジーをベースにしつつ、VPCのネットワークサービス用に自動構成されるよう最適化されたラッパー(Wrapper)です。ベースは同じですが、トラフィックの処理方式と提供できる機能が異なります。
| 比較項目 | Centralized Transit Gateway VMware NSX® Edge(Inline モード)*アクティブ/スタンバイ構成の場合 |
Distributed Transit Gateway VNA(BITW モード) |
|---|---|---|
| アーキテクチャ | 集中型(Centralized) ネットワークの経路上(Inline)に配置され、VPCに出入りするすべての南北(N-S)トラフィックが必ずEdgeノードを通過。 |
分散型「Bump in the Wire (BITW)」 基本ルーティングは各ハイパーバイザー上の分散ルーター(DR)で直接処理。ステートフルサービスが必要なトラフィックのみをVNAへリダイレクト。 |
| 南北ゲートウェイFW | ○ サポート | ✕ 非サポート |
| NATの制限 | 制限なし(高度なファイアウォールや外部IPブロックと重複する複雑なNAT要件に対応可能)。 | Auto-SNAT等をサポート。 ※外部IP重複環境のSNAT/DNAT、Reflexive NAT(双方向NAT)は非サポート。 |
VMware NSX® Edge と VNA のスペック(フォームファクタ)比較
仮想アプライアンス(VM)として比較した場合、合計リソース(CPU・メモリ・ディスク)は共通ですが、VNAはステートフルサービスのリダイレクト処理に特化しているため、CPUが「データパス(DP)コア」と「Linuxコア」に明確に分割されている点が特徴です。
| サイズ | VMware NSX® Edge VM スペック | VNA VM スペック(CPU内訳) | 主な用途 |
|---|---|---|---|
| Small | 2 vCPU / 4 GB / 200 GB | 2 vCPU (1 DP + 1 Linux) / 4 GB / 200 GB | PoC・テスト検証 |
| Medium | 4 vCPU / 8 GB / 200 GB | 4 vCPU (2 DP + 2 Linux) / 8 GB / 200 GB | 小〜中規模(非本番) |
| Large ★推奨 | 8 vCPU / 32 GB / 200 GB | 8 vCPU (4 DP + 4 Linux) / 32 GB / 200 GB | 本番環境推奨サイズ |
| Extra Large / X-Large | 16 vCPU / 64 GB / 200 GB | 16 vCPU (4 DP + 12 Linux) / 64 GB / 200 GB | L7 LB等、大量処理用 |
| ベアメタル | 8コア以上 / 32 GB以上 / 200 GB以上 (物理NIC最大16枚サポート) |
✕ 非サポート (VM展開のみ) | 極めて高いPPS要求環境 |
※高可用性を担保するため、VNAは最低2台以上のノードでActive/Standbyの「VNAクラスター」を構成することが推奨されます。
「アーキテクチャが新しくなると、構築や設定も難しくなるのでは?」と思われるかもしれません。しかしご安心ください。 VMware Cloud Foundation Operations® からワークロードドメインを新規作成する際、ウィザード内で同時にDTGW(Distributed Connectivity)やVNAクラスターの構成を指定できるようになりました。事前の複雑な VMware NSX® の作り込みは不要で、シームレスかつ非常に簡単な操作で最先端のネットワーク環境を作り上げることができます。
3. vCenter からの DTGW VPC と Subnet の構築方法:ネットワークと仮想基盤の真の統合
VMware Cloud Foundation® 9.1 における分散ネットワーク(DTGW)と VNA の導入は、単にデータ転送のアーキテクチャが進化しただけではありません。「構築・運用管理の操作性」という面でも劇的なパラダイムシフトが起きています。
VMware Cloud Foundation Operations® からのシームレスな Day 0 展開
これまで、新しい環境(ワークロードドメイン)を展開した後、高度なネットワークを構成するには、VMware NSX® Manager にログインして複雑な設定をステップ・バイ・ステップで行う必要がありました。
しかし VMware Cloud Foundation® 9.1 では、VMware Cloud Foundation Operations® からワークロードドメインを新規作成するウィザードの中で、同時に DTGW 構成や VNA クラスターのデプロイを直接指定できるようになりました。具体的には、ウィザードの「VMware NSX® Manager」の設定ステップにおいて「分散接続 (Distributed Connectivity)」を選択するだけで、VPC向けの Transit Gateway 用 IP ブロックや外部 IP ブロック、さらには VNA クラスター(VMのFQDNやIPアドレス)の展開までを一括して指定可能です。
vSphere Client への完全な機能統合とトポロジーの可視化(Day 1 以降)
基盤が準備された後、実際に開発者やアプリケーションチーム向けに VPC やサブネットを払い出す運用フェーズにも大きな進化があります。vCenter(vSphere Client)の UI だけで、VPC や Transit Gateway、IPAM(IPアドレス管理)の構成・管理が完全に完結するようになりました。DHCP サーバーの構成から Traceflow を使ったトラフィック分析まで、すべて vCenter だけで実行可能です。
さらに大きな売りとなるのが、vCenter 上でネットワークトポロジーがグラフィカルに確認できるようになったことです。Transit Gateway や VPC の論理的な繋がりを直感的なトポロジーマップとして閲覧できるため、インフラ管理者は複雑なネットワーク構成を視覚的に把握しながら運用を行えます。
🚀 最短で完了!vCenterからのVPC構築ステップ
VMware Cloud Foundation® 9.1 Operations で環境を展開した時点で、「デフォルトの Transit Gateway」と「デフォルトの VPC Connectivity Profile」が自動作成されているため、最小ステップの構築は驚くほどシンプルです。
- ステップ1:Virtual Private Cloud (VPC) の作成
vCenter のネットワーク画面から Virtual Private Cloud を新規作成します。初期状態でデフォルト設定が自動適用されるため、名前を入力するだけで、複雑なルーティングを意識することなく VPC の器をデプロイできます。
- ステップ2:サブネットの切り出し
作成した VPC の中に、必要な数(Private や Public など)のサブネットを切り出します。統合された IPAM 機能により、サブネットの IP 払い出しや DHCP の設定もウィザード内で簡単に完了。あとは VM を接続するだけです!
4. パケットウォーク:Private サブネットから外部ネットワークへの通信
VPC 環境における実際の通信フローを理解する上で、分散ルーター(DR)と VNA(サービスルーター:SR)の間でどのようにトラフィックが制御されているかを知ることは非常に重要です。ここでは「Private サブネットに配置された VM から、外部ネットワーク(物理網)への通信」というシナリオに焦点を当ててパケットウォークを解説します。
⚠️ 大前提:すべてのトラフィックが VNA にリダイレクトされるわけではありません。
① 共通の仕組み (Traffic Redirection / BITW)
VNA は「Bump in the Wire (BITW)」と呼ばれるアーキテクチャを採用しています。基本となる南北・東西のルーティング処理は、各ハイパーバイザー(ESXi)上の分散ルーター(DR)で直接、かつ高速に行われます。そして、1:N の NAT や ロードバランサーといったステートフルなサービスによる処理が必要な通信のみが、DR から VNA のサービスインターフェースへとインテリジェントにリダイレクトされます。
② Default Outbound NAT (Auto-SNAT) の場合
Private サブネット内の複数の VM が、インターネットや外部ネットワークと通信するために共有のパブリック IP を利用するケース(1:N の PAT)です。
- リダイレクト: VM から外部宛てにパケットが送信されると、ESXi ホスト上の DR はリダイレクトポリシーに基づき、パケットをオーバーレイ経由で VNA の「VPC Service VRF」へ転送します。
- NAT処理: パケットを受け取った VNA(Activeノード)は、Auto-SNAT 用の IP アドレスを使用して送信元 NAT 処理を行います。
- 外部への転送: NAT 変換されたパケットは、TGW(Transit Gateway)のルーティング網へと戻され、そこから物理ネットワークへと送り出されます。
③ External IP (1:1 NAT) の場合
特定の VM に対して、外部から直接アクセスさせるための External IP(1:1 NAT)を割り当てたケースです。ここが VMware Cloud Foundation® 9.1 アーキテクチャの非常に優れているポイントです。
External IP による 1:1 の NAT 通信の場合、トラフィックは VNA にリダイレクトされません。1:1 NAT はポート変換などのステートを保持する必要がない(ステートレスな)処理であるため、VNA のリソースを消費することなく、VM が稼働している ESXi ホストの DR 内で直接 NAT 処理が実行されます。
変換されたパケットは VNA を経由(遠回り)することなく、そのままホストから TGW のアップリンクを経由して物理ネットワークへ直接転送されます。これにより、分散アーキテクチャのメリットである「最短経路による低遅延・高スループット」を最大限に享受することができます。
「必要なトラフィックだけを VNA にリダイレクトし、ホストでステートレスに処理できるものはホスト内で完結させる」というこの洗練されたトラフィック制御こそが、DTGW の高速な分散ルーティングと、VNA によるステートフルサービスの共存を見事に実現しています。
おわりに:分散ネットワークと運用統合がもたらす VCF の新たな基準
かつては「分散ルーティングの圧倒的なパフォーマンス」と「NATやロードバランサーといったステートフルサービスの利便性」は、アーキテクチャの構造上、トレードオフの関係にありました。しかし、VNAの「Bump in the Wire (BITW) アーキテクチャ」により、VMware Cloud Foundation® 9.1 はこのジレンマを見事に解決しました。
さらに素晴らしいのは、この高度なネットワークアーキテクチャが、VMware Cloud Foundation® 9.1 Operations による自動デプロイと vCenter に統合された UI によって、かつてないほど簡単に構築・消費できるようになった点です。モダンアプリケーションや Supervisor Cluster の要件をフルに満たしつつ、エッジのボトルネックを排除したこの新しいネットワークは、間違いなく今後のプライベートクラウドのスタンダードとなっていくでしょう。
📢 次回予告:既存環境(物理VLAN)とVPCのシームレスな統合
今回の記事では、VPCの内部と外部への通信に焦点を当てました。しかし、現実のデータセンターには、まだまだ多くの物理サーバーやレガシーなVLANネットワークが存在しています。
「既存の物理サーバーのIPアドレスを変えずに、どうやってこの最新のVPC環境と繋ぐのか?」
次回の後編ブログでは、このハイブリッドな環境移行の切り札となる新機能「VLAN Extension」について、そのアーキテクチャと3つのモードの使い分けを詳しく解説します。ぜひご期待ください!
