前回の記事では、VMware Cloud Foundation 9(VCF 9)環境のNSX 9における主な変更点として、従来の「セグメント ネットワーキングモデル」に加えて、新規に「VPCネットワーキングモデル」が追加 された事をご紹介しました。
今回は「VPCネットワーキングモデル」における主な用語 について、VCF Virtual Networking Technical Reference を元に確認した内容を以下にまとめます。
この記事はシリーズ構成になっており、以下の順でお読みいただけますと、NSX 9に関するまとまった知識が得られる為お勧めです。
- NSX 9(VCF 9)における主な変更点について (~NSX 4.xとの違いについて)
- NSX 9(VCF 9) VPCネットワーキングモデルの用語について: 本記事
- NSX 9(VCF 9) のVPC:Distributed Transit Gateway 分散型について
- NSX 9(VCF 9) のVPC:Distributed Transit Gateway をNSX UIから見てみる
- NSX 9(VCF 9) のVPC:Centralized Transit Gateway 中央集中型について
VPCネットワーキングモデルにおける主な用語
VPCネットワーキングモデルにおける主な用語は以下の通りです。順に詳細を記載します。
- プロバイダーゲートウェイ(Tier-0)
- プロジェクト
- VPC
- Transit Gateway(TGW)
- Centralized Transit Gateway(中央集中型)
- Distributed Transit Gateway(分散型)
- VPCのサブネットの種類
※説明における図の出典は、VCF Virtual Networking Technical Reference となります。
プロバイダーゲートウェイ(Tier-0)
-
プロバイダーゲートウェイ(Tier-0):
NSX 9における「VPCネットワーキングモデル」は3階層で構成される。物理インフラと仮想ネットワークを接続する仮想ルータとして、プロバイダーゲートウェイ(Tier-0)が存在し、その配下にテナント(=プロジェクト)があり、テナント内部にVPCが構成される形式を取る。プロバイダーゲートウェイは、仮想及び物理ネットワーク間で、静的 or 動的ルーティングを実施する。プロバイダーゲートウェイは「セグメント ネットワーキングモデル」における、Tier-0 or VRF相当の機能となる。
プロジェクト
-
プロジェクト:
テナント or 組織毎の分離機能となり、独立したアラームやログを保持しクォータ設定等の実施が可能。VCF 9では、プロジェクトの作成時に1つTransit Gateway(後述)が作成される。プロジェクトを分ける目的としては、テナント毎の組織境界で分けたいニーズや、運用や監査目的でのログの個別運用や、クォータ制御のニーズ等が挙げられる。
Virtual Private Cloud(VPC)
-
VPC(仮想プライベートクラウド):
各テナント内部での、アプリケーションやワークロード単位のネットワークの分離機能。
VPCにはサブネットがあり、NSXの論理ネットワークとなる。各VPCにはVPCゲートウェイが存在し、サブネット間のトラフィックをルーティングする。同一VPC内のワークロード間の通信は、East-West ファイアウォール(DFW)が構成されていない限り接続可能。外部エンドポイントとの接続は、VPC がTransit Gateway(後述)に接続されている必要があり、またVPCのサブネットの種類(後述)に依存する。
Transit Gateway(TGW)
-
Transit Gateway(TGW):
テナント内部のVPCを相互に接続し、外部のネットワークにも接続する、各テナントに1つ(VCF 9の場合)存在する機能。※上図参照
提供されるネットワークサービスはネットワーク アドレス変換(NAT)のみであり、実体はTier-0 VRFとなる(後日、別記事にて記載予定)Transit Gatewayには、NSX Edgeを必要とせず、VLANを利用して直接物理ネットワークへの接続が可能な「Distributed Transit Gateway(DTGW:分散型)」と、Edgeを必要とする
「Centralized Transit Gateway(CTGW:中央集中型)」との2種類が存在する。DTGWは、VCF Automationとの連携は非サポートとなる。
Centralized Transit Gateway(CTGW:中央集中型)
-
Centralized Transit Gateway(CTGW:中央集中型):
構成にあたってNSX Edgeの展開が必要となるものの、PrivateサブネットにおけるNAT、BGPによるN-Sルーティング、VPN接続、ゲートウェイファイアウォール機能に対応する。VCF 9/NSX 9において推奨される構成。
図:CTGWの構成
Distributed Transit Gateway(DTGW:分散型)
-
Distributed Transit Gateway(DTGW:分散型):
構成にあたってNSX Edgeは必要とせずシンプルな分、 デフォルトのNATやBGP、VPN、Gateway Firewall は非サポートとなる機能。基本的にはCTGWを使用する形だが、Edgeを配置せずシンプルにテナント用のネットワークを分離したい、VCF Automationとの連携は不要といったケースでのみ構成を検討する。
図:DTGWの構成
VPCのサブネットの種類
VPCに作成できるサブネットは以下の3種類が存在する。
- Private VPC:VPC の外部へはルーティング不可。Private VPC サブネット上のワークロードが VPC 外部のワークロードと通信するには NAT が必要となる。
- Private TGW:TGW のNorth側へはルーティング不可。Transit Gateway 配下で複数VPC間の通信を可能にするサブネット
- Public:TGW North側へルーティング可能。パブリックサブネット上のワークロードは、プロバイダーゲートウェイのルーティング設定に依存するが、一般的に外部エンドポイントから到達可能となる。
関連記事
NSX 9(VCF 9)における主な変更点について (~NSX 4.xとの違いについて)
NSX 9(VCF 9) のVPC:Distributed Transit Gateway 分散型について