NSX3.2からVDS上のDVPGに展開された仮想マシンに対して、分散FWを適用するためのインストールオプションが追加されました。ただ、分散セキュリティ専用としてクイックスタートメニューを使って専用のUIからインストールされるため、オーバーレイNWを同じクラスタ上で同時に使うということはできませんでした。
NSX4.2からDVPGに分散FWを適用しつつ、オーバーレイNWも同じESXiホスト上で作成することが可能になったとの記載がリリースノート上にありましたので、こちらの機能を試してみました。
以前までの設定画面
以前までのインストール画面がどうだったのか、確認してみました。
下記画像のようにクイックスタートメニューから「セキュリティ専用」というオプションを選択して、インストールを進めていく形です。
上図のクイックスタートを使ってセキュリティ専用としてインストールしていると、オーバーレイトンネルが使用できない旨のメッセージも確認できます。
バージョン4.2からのインストール画面
バージョン4.2ではそもそもクイックスタートメニューから「セキュリティ専用」のオプションが削除されており、通常通りNSXをインストールするための「セキュリティとネットワーク用のクラスタの準備」オプションのみとなっておりました。
NSXを通常通りインストール後に、クラスタのリストを確認するとアクションメニューに「DVPGでNSXを有効にする」という項目がありました。
すでにNSXをインストールしたクラスタに対してあとからDVPGでの分散セキュリティを追加で有効化するような形に変わったようですね。
DVPGで分散FWを適用する前に、仮想マシンの接続が作成されているルールによって失われる可能性がある旨のメッセージが表示されます。管理系コンポーネント等をVDS上のPGに接続している場合などは除外リストを事前に確認しておいたほうが良さそうです。
こちらをクリックするとインストールプロセスが走り、「DVPGのNSX」という箇所が「はい」に変化します。
NSXのセグメント一覧でも分散ポートグループが検出され、表示されます。画像はdv_test1という名前のDVPGが作成されている環境でのリストです。「VDS名.DVPG名」という形で検出されていることが確認できます。
上図の表示からも確認できますが、トランスポートゾーンが自動的に作成されており、DVPGはそのトランスポートゾーンに属します。(NSXオーバーレイ、NSX VLANのトランスポートゾーンとは別のもの)
またアップデートの通り、NSXのオーバーレイセグメントを同じVDS上で作成することが可能で、当然ですが両方をvNICの接続先PGとして選択することができました。
分散FWのルール作成も特にVDSであるかどうかを意識することなく、いつも通りの手順で作成しておけば、DVPG、NSXセグメント両方の仮想マシンに対してルール適用が可能です。
分散FWルール作成後、vsipioctlコマンドを使ってホストに適用されているルールを確認する手順も同様につかうことができました。
おまけ
ついでにVDSのバージョンアップ(7.0.3 → 8.0.0)を試して、通信断やルールに則った通信が維持されるかどうか確認してみましたが、期待通り特に問題はありませんでした。(1秒間隔Pingでテスト)
通信OKなPing
分散FWでリジェクトされるPing
