Cisco ACI アンダーレイを NSX Data Center - VMware...Cisco ACI アンダーレイを強化する NSX Data Center VMware NSX Data Center は、ワークロードをホストするサーバ

ホワイトペーパー

Cisco ACI アンダーレイを使用した NSX Data Center の展開

https://www.vmware.com/jp

ホワイトペーパー | 2

Cisco AC I アンダーレイを使用した NSX Data Cente r の展開

目次次世代のデータセンターにおけるソフトウェアの役割 3

ファブリックベースのインフラストラクチャによる仮想および物理ネットワークインフラストラクチャの最適化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Cisco ACI アンダーレイを強化する NSX Data Center 4

ネットワークおよびセキュリティサービスのメリット：組み込みと後付けの違い . . . . . . . . . . 5

ACI の役割 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

NSX Data Center の役割 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

NSX Data Center の展開へ向けた Cisco ACI アンダーレイの準備 . . . . . . . . . . . . . . . . 7

ファブリックポリシーおよびオブジェクト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

ACI テナントオブジェクト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

運用上のメリット 12

インフラストラクチャトラフィックの分離 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

NSX の論理スイッチおよびルーティングのメリット . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

インフラストラクチャの運用効率化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

ACI アンダーレイ上で VMware NSX を展開するメリット 15


次世代のデータセンターにおけるソフトウェアの役割次世代のデータセンターを計画するにあたり、ネットワークおよびセキュリティのプラットフォームをソフトウェアで構成しようと考える企業が増えています。それにより、基盤となるハードウェアの運用効率を向上させることができるからです。従来型のネットワークでは、さまざまなアプリケーションの複雑な要件により、日常的に大きな負荷がかかっています。たとえば、インフラストラクチャの独立性を確保すること、レイヤーごとにセキュリティ機能が必要であること、多種多様なアプリケーションフレームワークやエンドポイントをサポートする必要があることなどの要件です。

ソフトウェアにはハードウェアインフラストラクチャの価値を高めつつ、このような複雑さに対応する独自の機能が備わっています。仮想化ソフトウェアによってクラウドコンピューティングが可能になり、サービスポリシーが組織のインフラストラクチャとそのエッジ、そしてクラウドへと拡張されます。お客様はすべてのスイッチファブリックトポロジーにわたり、アプリケーションを容易に展開できることを求めています。VMware NSX® Data Center は、Cisco Application Centric Infrastructure（ACI）を含む、任意のファブリックアンダーレイで機能することが実証されています。このガイドでは、Cisco ACI アンダーレイに Software-Defined Data Center を導入するための実践的なベストプラクティスを紹介します。仮想インフラストラクチャと自動化されたスイッチファブリックを組み合わせることにより、将来の変化にも対応できる強力なソリューションを実現できます。

ファブリックベースのインフラストラクチャによる仮想および物理ネットワークインフラストラクチャの最適化パブリッククラウドが生み出す新たな複雑性への対応は、それらが日常的に発生するオンプレミスのデータセンターから始まります。ソフトウェアは、あらゆるファブリックアンダーレイに対してユビキタスなポリシー管理を提供し、そのポリシーは、すべてのサイト、クラウド、エンドポイントへと拡張されます。仮想ネットワークインフラストラクチャは、セキュリティポリシーの運用やアプリケーションの拡張を効率よく行えるように最適化されています。これに対して、物理ネットワークインフラストラクチャは、コストやスループット、遅延に関して最適化されています。

ファブリックインフラストラクチャを導入するメリットは、アプリケーションやサービスを迅速に提供でき、障害発生のリスクを最小限に抑えながら簡単に運用を開始できることに加え、修復やトラブルシューティングを短時間で行えることです。物理ネットワークインフラストラクチャは、ある地点から別の地点へのデータの転送、遅延への対処、フローの管理などを行うように設計されます。物理ネットワークインフラストラクチャは、データセンターファブリック、キャンパスネットワーク、ルーテッド WAN など、対象の環境のニーズに応じて進化し続けます。物理ファブリックの設計原則は、物理データセンターインフラストラクチャに基づきます。ソフトウェアプラットフォームを導入することは、ハードウェアインフラストラクチャの障害ドメインの削減に役立つサービスを提供するうえで、非常に重要です。これは、よりシンプルなアーキテクチャを構築することにより実現されます。

生産性

ライン仮想ネットワークインフラストラクチャ：アプリケーションの拡張、IT の運用および効率性の最適化エンドツーエンドの IT サービス提供モデル（DC、クラウド、Edge）全体のアプリケーションおよびデータのニーズに対応

物理ネットワークインフラストラクチャ：価格、スループット、遅延の最適化

特定のインフラストラクチャ環境（データセンター、キャンパス、支社）の

ニーズに対応

図 1：仮想インフラストラクチャと物理インフラストラクチャの役割の変化




Cisco ACI アンダーレイを強化する NSX Data CenterVMware NSX Data Center は、ワークロードをホストするサーバインフラストラクチャの接続性を強化します。その仕組みは次のとおりです。インフラストラクチャのサービスを、NSX オーバーレイの管理、コンピューティング、Edge 接続に分割し、理想的な標準構成を使用して、サーバインフラストラクチャを接続します。

管理（VLAN）

コンピュートクラスタ

トランスポートサブネット A.. トランスポートサブネット ..Z

Edge クラスタ管理クラスタ

vSphere クラスタ管理、コンピュート、Edge

2 つの要件IP 接続

MTU 1600

階層型論理スイッチ

NSX Edge

NSXManager

NSX Controller クラスタ

コントロールVMVM1

VM5 VM3

VM2 VM5 VM6

トランスポートゾーン（VLAN）

物理ネットワーク

Webアプリケーションデータベース

トランジット VXLAN

図 2：NSX Data Center の一般的なクラスタ設計

この構成を採用すると、ハードウェアインフラストラクチャでは、パケットスループットのパフォーマンス向上、遅延の低減、物理インフラストラクチャの拡張やアップデート時のスイッチファブリックの運用の自動化に注力できます。アプリケーションサービスのプロビジョニングや拡張に必要なネットワークとセキュリティサービスは、NSX 仮想ネットワークを通じて制御されます。NSX は、（ポリシーベースの）組み込みのセキュリティサービスを通じて、俊敏性の高いアプリケーションの展開や現在のデータセンターの運用に対応した仮想ネットワークサービスのプログラミング機能を提供します。

仮想と物理のネットワークファブリックの機能がこのように分かれていることにより、それぞれの運用性が向上します。各環境の機能ごとのサービスが分かれているため、サポートやメンテナンスの機能は、個々のニーズに応じたタイミングで実行できます。

NSX の機能• ネットワーク、クロスクラウドセキュリティ用の一貫性のある API

• 任意のアンダーレイと連携

ACI の機能• ファブリック管理• プログラミング可能な物理ネットワーク

Cloud-Native

Cisco ACI アンダーレイ上の NSX Data CenterNSX と Cisco ACI の相互運用性

NSXセキュリティ、オーバーレイ、サービス

Cisco ACI ファブリック

図 3：NSX は、仮想ネットワークサービスのプログラミング機能と、アプリケーションで使用される（ポリシーベースの）組み込みのセキュリティサービスを提供します。ACI は、堅牢なファブリックアンダーレイインフラストラクチャを提供します。




ネットワークおよびセキュリティサービスのメリット：組み込みと後付けの違い従来の企業ネットワークは、コンピューター、サーバ、ルータ、スイッチなどの物理デバイスを相互に接続することで構築されていました。そのようなネットワークが構築された後、後付けでセキュリティソリューションが導入された場合、ネットワークの変更は手作業での対応となるため、ミスが発生しやすく、障害が発生する可能性が高くなっていました。障害が発生すればコストがかさみます。

このような従来の環境における課題を解消するために、ソフトウェアベースのネットワークが出現しました。最新のテクノロジーにより、ネットワークのハードウェアベースの機能を抽象化してソフトウェアとして扱えるようになります。自動化とプログラミングの機能で複雑な手動のタスクを置き換えることにより、企業における運用の複雑さが軽減され、拡張性と信頼性が向上します。現在では Software-Defined Networking の進歩により、企業はソフトウェアによってネットワークを最新化する手段を手に入れ、ビジネスのイノベーションにおける新しい可能性が開かれています。

サービスの自動化機能は、組み込みのポリシーベースのサービス機能を活用するソリューションによって、大幅に強化されます。VMware vSphere® および NSX Data Center のバリュープロポジション（提供価値）は、ほかにはないネットワークおよびセキュリティのプラットフォームを提供することです。これにより、アプリケーションの展開にかかる時間を大幅に短縮できるだけでなく、アップデートやアップグレードにかかわるプラットフォームのメンテナンス作業も簡素化されます。

後付けのソリューションには、サービスソリューションを追加するたびに運用が複雑になっていくレガシー環境のイメージがありますが、最新のネットワークは、展開の迅速化と運用の負担軽減の両立を実現します。このため、大規模なネットワークを構築する際に、その規模に応じて運用コストが上がるということがありません。

それでは、ACI アンダーレイの設計と、NSX Data Center を展開するネットワーク中心のインフラストラクチャがどのように実現されているかを見ていきましょう。

• サポートされる管理インフラストラクチャ• 迅速な拡張が可能なセキュリティプラットフォームを提供

• レイヤー 7 の機能が組み込まれたコンテキスト認識型のファイアウォール

ESXi 用ネットワークおよびセキュリティのプラットフォームとして最適な NSX安定性と高速性を備えたネットワークインフラストラクチャ

NSX はユースケースに応じて 30 ～ 120 日で展開可能• 既存、新規環境にかかわらず利用可能• ハードウェアへの非依存性と既存ハードウェアの延命

• アンダーレイの簡素化

サポート対象

分散ファイアウォールサードパーティネットワーク

ESXi および NSX

ネイティブサービスプラットフォーム

優れたパフォーマンス

シンプルな運用

俊敏なネットワークの展開

図 4：マイクロセグメンテーションのメリットを活かした NSX Data Center の長所




ACI の役割 ACI が持つ役割を理解することは、Cisco ACI アンダーレイ上への NSX Data Center 展開に役立ちます。物理ファブリックの管理と効率的な運用を主な目標として、構成に ACI を取り入れます。この設計により、リスクが軽減されるほか、重要なサービスのパケットが適切に転送され、アプリケーションの接続およびセキュリティの管理に NSX Data Center を利用するために、アンダーレイ内で実行すべきことが大幅に削減されます。

図 5 は、ACI アンダーレイを使用した NSX Data Center で求められる構成の概要を示しています。この設計では、ACI の運用と NSX Data Center プラットフォームのサポートに必要な最小限の ACI の構成要素を使用しています。またこの設計では、ACI エンドポイントグループ（EPG）のデフォルトのセキュリティ機能を利用しており、EPG 内のエンドポイント（EP）の EPG 内通信が可能になります。図 5 で南京錠のアイコンで示されているセグメント間の通信フローを実現するために必要な ACI Contract の数は少数です。これらはフィルタリングにより通信を許可します。

図 5：インフラストラクチャの主要な要素、および NSX Data Center と Cisco ACI の相互運用性を実現する外部ルーティング接続の概要

ACI インフラストラクチャの要件

ホスト接続のサポート• ホスト接続の物理ドメインの定義• 使用されている VLAN、スイッチインターフェイス、ポリシー

• 物理/外部ドメイン

アプリケーションプロファイルの作成• EPG の定義• ネットワーク

- プライベートネットワーク- ブリッジドメイン- 外部の L2 および L3 との接続

ACI インフラストラクチャ

コンピュート Edge

VLAN のピアリング

管理

トランジット EPG

トランスポートストレージvMotion管理

トランジット EPG

境界リーフ

NSX オーバーレイ

コンピュート

VMkernel

ACI Contract

ACI EPG

レイヤー 2 ACI ファブリック




NSX Data Center の役割次に、NSX Data Center の役割を確認しましょう。NSX Data Center の設計は、組織固有のユースケースのニーズに対応するためのものです。これらのユースケースは次のカテゴリに分類できます。セキュリティ、マルチクラウドネットワーク、自動化、クラウドネイティブ、WAN と支社のカテゴリです。

図 6 は、NSX Data Center の主なユースケースと、各ユースケースの具体的な内容を示しています。NSX の役割は、インフラストラクチャ、サイト、クラウド、そしてすべてのエンドポイントにまたがる実装に使用される、一貫性のある API を提供することです。

NSX Data Center の展開へ向けた Cisco ACI アンダーレイの準備NSX Data Center を展開するための Cisco ACI アンダーレイのセットアップを開始するには、基準となる 2 つのことを明確にする必要があります。

• リファレンス設計の基になる具体的な基準はなにか

• NSX Data Center とともに展開するために、Cisco ACI アンダーレイで必要不可欠な要素はなにか

まず、リファレンス設計では、すべてのスイッチファブリックインフラストラクチャで VMware vSphere と NSX Data Center の通信をサポートする必要があります。スイッチファブリックによっては、ファブリック内のどこに L2/L3 の境界が存在するかが懸念点となります。Cisco ACI では、ACI アンダーレイを、必要に応じて分散型ゲートウェイを使用できる機能を備えた、単一のレイヤー 2 ファブリックと見なすことができます。この設計では、このレイヤー 2 ファブリックを基準とします。

次に、メリットを最大限に高め、不要なオーバーヘッドを避けることを考慮した場合、スイッチファブリックの簡素化がもっとも影響の大きい部分となります。これを踏まえた上で、次の一連の基準を注意深く選択する必要があります。

2 組のオブジェクトをインフラストラクチャ内でセットアップする必要があります。Cisco ACI では、ACI ファブリックの管理がいくつかの上位カテゴリに分類されます。このリファレンス設計に重要な 2 つのカテゴリは、ACI ファブリックアクセスポリシーと ACI テナントコンテナオブジェクトです。

ACI ファブリックオブジェクトでは、ポリシー、プロトコル、スイッチおよびそれに対応するスイッチインターフェイス ID を構成します。これにより、スイッチファブリックインフラストラクチャの接続性が確立されます。また、これは ACI テナントコンテナオブジェクトに依存します。

図 6：NSX Data Center の主なネットワークおよびセキュリティのユースケース




ACI テナントコンテナは、ハイパーバイザー（vSphere または KVM）のホスト型サービスおよび NSX のニーズから、直接ネットワーク接続ポリシーを提供します。この接続のニーズには、管理、vMotion、IP ストレージ、オーバーレイトランスポートの 4 つのインフラストラクチャサービスと Edge クラスタ接続が含まれます。

ここで、一連の抽象化と NSX Data Center の展開に必要なオブジェクトについて考えてみましょう。NSX Data Center のリファレンスガイドには、以下に示す、Cisco ACI で作成される一連の抽象化およびオブジェクトについて、具体的なガイダンスが記載されています。

• ACI では、接続するホストに対してポートを割り当てる必要があるため、物理ファブリックのどこに接続が必要かを計画します。

• エッジ間および外部との接続に必要な VLAN プール、物理ドメインおよび外部ドメインのオブジェクトを作成します。

• AAEP（Attachable Access Entity Profile）では、ドメインおよび関連付けられた VLAN プールがリーフおよびインターフェイススイッチポリシーオブジェクトにリンクされます。

• 独自仕様の ACI テナントコンテナを使用し、4 つのインフラストラクチャ通信サービスのそれぞれに対して 1 つずつ、合計 4 つの EPG を作成します。それぞれの EPG は単一の VLAN、4 つのインフラストラクチャサービスに対応する、1 つの固有のネットワークアドレスを持つ独自の Cisco ACI ブリッジドメインにマッピングされます。

• 1 つの VRF（ACI の用語ではプライベートネットワーク）を作成し、各ブリッジドメイン用にマッピングします。4 つのインフラストラクチャネットワーク用に作成される各ネットワークでは、推奨されるプレフィックスサイズ（/22）を使用する必要があります。このプレフィックスサイズでは、本書の記述時点でサポートされているインフラストラクチャの接続の最大数まで対応できます。

• 外部ルーティングの接続用に外部ルーティングドメインコンテナを作成します。これには、Edge から ACI 境界リーフへの N/S 接続の 2 つのトランジット VLAN で使用される L3Out が含まれます。さらに、この外部ルーティングドメインには、ダイナミックルーティングおよびスタティックルーティング用に適用可能なすべてのポリシールールが含まれます。これには、NSX オーバーレイの接続に使用される、隣接した VMware NSX® Edge™ ノードへのデフォルトルートを追加するポリシーが含まれます。

図 7：Cisco ACI アンダーレイを使用して NSX Data Center を展開するためのインフラストラクチャ設計の概要

ファブリックポリシーファブリックアクセスポリシー

NSX over ACI のテナント構成

レイヤー 2 ファブリック：シングルテナント

必要なコントラクト数は少ない静的な vSphere エンドポイントをマッピング

NSX Edge を ACI の境界にマッピング

最小要件：物理ドメイン 1 つ外部ルーティングドメイン 1 つVLAN プール 2 つ（内部と外部）AEP 1 つ（リーフおよびスイッチのポリシー、Int および Int Sel ポリシーなど）

NSX Data Center 環境：個別のテナント（共通ではない）アプリケーション（ネットワーク）プロファイル 1 つEPG（ベース EPG）4 つブリッジドメイン 4 つ、VRF 1 つ（各 VLAN = 各 EPG = 各 BD）L3Out、South（NSX オーバーレイ）

ACI ファブリックの基準




ファブリックポリシーおよびオブジェクトそれでは、スイッチとインターフェイスプロファイル向けのファブリックアクセスオブジェクト並びに ACI テナントコンテナに必要なポリシーオブジェクトを確認していきます。

ファブリックアクセスオブジェクトの作成を開始するには、まず VLAN プールオブジェクトから始めます。VLAN プールは、ACI ファブリックに直接接続されているインフラストラクチャデバイス間の通信に使用されるカプセルの値をドメインオブジェクトに提供します。

ドメインオブジェクトにより、どのようにデバイスがファブリックに接続されるかが決まります。具体的には、内部ファブリックに接続されるベアメタルシステムとして接続されるのか、外部の L2 または L3 接続を使用する外部のワークロードからのリクエストになるのか、などです。Attachable Entity Profile（AEP）は、デバイスがファブリックのどこに接続されるかを定義するために、インターフェイスポリシーオブジェクトに関連付けられます。また、ドメインの関連付けにより、インフラストラクチャシステムと ACI ファブリックの間のトラフィックをカプセル化するために使用される VLAN が決定されます。

スイッチとインターフェイスのポリシーおよびプロファイルオブジェクトにより、使用するスイッチ、インターフェイスで事前定義済みのプロトコル、機能の構成を決定します。

図 8 は、ACI ファブリックポリシーに必要なファブリックアクセスオブジェクトの基本的なセットを示しています。この図には、それぞれの目的と、ファブリックポリシーに必要なほかのオブジェクトとの関連性が記載されています。図 9 は、さらに詳しく説明したもので、ポリシーおよびプロファイルオブジェクト、また、相互の関係性が記載されています。これは、Cisco ACI システム管理者がほかの参照用構成で使用するものに比べ、大幅に簡素化したリストとなっています。

図 8：スイッチとインターフェイスのポリシーおよびプロファイルオブジェクトにより、使用するスイッチ、インターフェイスで事前定義済みのプロトコル、機能の構成を決定します。

図 9：これら少数のポリシーが、ACI の展開に必要になります。ACI アンダーレイ上に VMware NSX を展開する設計で必要なのは、ファブリックで必要なこれらのオブジェクトのごく一部です。

ACI に必要なファブリックポリシーおよびファブリックアクセスポリシー

1 組の抽象化されたファブリック

ドメイン AAEP インターフェイスポリシースイッチポリシー

場所方法インターフェイスの設定スイッチの設定

NSX-Phy-Domain

NSX-L3-Domain

NSX インフラ VLAN プール

NSX 外部 VLAN プール

NSX-AEP（AEP）

NSX-Host-Int-profile（リーフインターフェイスプロファイル）

NSX-Host-Prots（アクセスポートセレクター）

NSX-Port-PolicyGroup（インターフェイスポリシーグループ）

インターフェイスポリシーLLDP CDP

NSX-Leaf-Profile（リーフプロファイル）

NSX-Leaf-Sel（リーフセレクター）

NSSX-Sw-Pol-Group（リーフポリシーグループ）

リーフポリシー（デフォルト）




さまざまな複雑さを伴う複数のファブリックポリシー

サイトごとのファブリックおよびテナントポリシーと ACI マルチサイトポリシーマネージャ設定

アドイン複数のテナント

複数の VRF

複数の L3Out

任意のアンダーレイへの NSX Data Center の展開

ACI アンダーレイ上に NSX Data Center を

展開する設計

1 組のファブリックポリシー単一の NSX on ACI テナントポリシー

VLAN、VXLAN

VMM ドメイン 1

VMM ドメイン 1

VMM ドメイン 1

物理外部ドメイン

AAEP ポリシー

AAEP ポリシー

AAEP ポリシー

AAEP ポリシー

インターフェイスポリシーグループ

VLAN、VXLAN




インターフェイスポリシー設定




インターフェイスポートセレクター




インターフェイスプロファイル




スイッチポリシーグループ




スイッチプロファイル




スイッチセレクター




ここまで、NSX を適切に展開するためにファブリックポリシーに必要なオブジェクトをすべて確認しました。図のキャプションに書かれているとおり、NSX ではオブジェクト全体のごく一部のみ必要です。この少数のオブジェクト群を用意することで、ハードウェアアシストのサービス管理に伴う複雑性が軽減されます。これにより、ACI インフラストラクチャの運用を実現するための複雑さが低減されます。

図 10：NSX Data Center の参照用構成を使用することにより、ハードウェアインフラストラクチャの障害ドメインを低減することができます。




ACI テナントオブジェクトテナントは、1 つのビジネス部門または 1 社の顧客用のアプリケーションポリシーを定義するためのコンテナです。ACI では複数の種類のテナントオブジェクトを使用します。そのうちの 1 つ、共通テナントは、ほかのテナントで使用することができるポリシーおよびオブジェクトを定義するために使用されます。

テナントの主な目的は、個々のエンドポイントグループ（EPG）で構成されるアプリケーションプロファイルを作成することです。EPG は、エンドポイント（EP）をグループ化したもので、共通のポリシーを共有します。ある EPG で定義されているエンドポイントは、同じ EPG のほかのエンドポイントとの通信がデフォルトで許可されます。これは、EPG 内通信と呼ばれます。EPG の EP には、別の EPG の EP 間のトラフィックを許可するために、フィルタリングで定義されたコントラクトが必要になります。これは、EPG 間通信と呼ばれます。

それぞれの EPG は、レイヤー 2 および一部のレイヤー 3 の通信ポリシーの値を定義するために、ブリッジドメインと関連付けられる必要があります。レイヤー 2 は、ブロードキャストとマルチキャストおよびエンドポイントの解決に関する制御プレーン処理の管理用です。レイヤー 3 は、ブリッジドメイン内で使用するために構成された IP ネットワークです。ブリッジドメインは 1 つの VRF に関連付けられるため、ブリッジドメインのレイヤー 3 構成の（複数の）サブネットは、同じ VRF のコンテキストに関連付けられます。

ARISTA や NX-OS VXLAN アーキテクチャなどの VXLAN ベースのファブリックと同様、分散型ゲートウェイは、EPG のエンドポイントがブリッジドメインに関連付けられ、そのブリッジドメインの定義されたネットワークを使用する、任意のトップオブラック（ToR）スイッチに配置できます。

コントラクトは、対応するサービスのフィルタリング定義済みプロバイダーおよびコンシューマーを持つステートレスのアクセスコントロールリスト（ACL）です。コントラクトは、再帰的に機能するように設定できます。コントラクトは、EPG のエンドポイントが接続されている TCAM 内でインスタンス化されます。

外部アクセスが必要なワークロードは、外部ルーティングドメインを使用します。ここで、外部ドメインの EPG として表される L3Out を使用する呼び出しを行います。

図 11 は、NSX over ACI のテナントの構成と、ACI テナントコンテナ内で必要となる主要なオブジェクトの種類の大部分を示しています。

図 11：NSX over ACI のテナント構成、および関連用途が定義された必須オブジェクト

テナント共通

テナントNSX on ACI

外部へのルーティング

共有インフラストラクチャサービスDMS、Syslog、AD など

オプション：共通テナントまたは

NSX on ACI テナント内に配置

管理 EPG

管理サブネット

L3/VRF

L3OutEPG

L3Out

提供

利用

vMotion EPG

vMotion BD

vMotion サブネット

IP ストレージ EPG

IPS BD

IP ストレージサブネット

オーバーレイ EPG

オーバーレイ BD

オーバーレイサブネット

管理 BD

パブリック

ホワイトペーパー | 1 1



運用上のメリットこのガイドでは、SDN プラットフォームで使用する相互運用性の高いスイッチファブリックを構成し、インフラストラクチャ管理の負担を削減できることを説明してきました。NSX に使用されるテナントを簡素化し、セキュリティポリシーをソフトウェアでプログラミング可能なレイヤーに移動することにより、TCAM の枯渇など、物理ファブリックで生じることの多い一般的な問題を最小限に抑え、複雑さを低減することができます。運用上のオーバーヘッドを大幅に削減することにより、インフラストラクチャの障害発生のリスクも減少します。これは、ネットワーク仮想化プラットフォームからインフラストラクチャを抽象化した結果です。

このアプローチのもっとも重要なメリットは、インフラストラクチャの障害の範囲が縮小し、複雑さが低減されることです。ハードウェアインフラストラクチャに関連する障害は、インフラストラクチャの構成に頻繁に変更が加えられることや複雑化することと関係していました。ハードウェアファブリックの停止を引き起こす障害は、静的または動的なリビジョンによって把握できます。このレイヤーでの変更は対象範囲が広く、ファブリック内のトラフィックとなるワークロードへの影響が大きいためです。仮想インフラストラクチャのサービス機能を物理ファブリックに深く組み込むことにより、アプリケーションサービスからスイッチファブリックへの依存関係が生じます。アプリケーション内のソフトウェアサービスに対する増分パッチの適用などのシンプルなタスクであっても、規模の大きなインフラストラクチャシステムのアップデートやアップグレードなどの複雑なタスクであっても、ホストおよびスイッチでは、標準の運用手順を実行するにはハードウェアとソフトウェアの非常に複雑なマトリックスが存在するため、相応の負担が生じます。

この設計では、いくつかの運用上の特性を利用して、シンプルでありながら重要な機能を実現します。これは ACI EPG が起点となります。ACI EPG は、基本的には、ACI が制限された通信に使用するセキュリティグループです。ACI EPG を NSX の最小限のインフラストラクチャのニーズにマッピングすることにより、ファブリックに変更を加えることなくインフラストラクチャサービスを増やすなど、様々なメリットが生まれます。また、スケールアウトなどの操作をファブリックで行う必要が生じた場合、ファブリックオブジェクトの数が最小限に抑えられているため、変更の影響を受けるオブジェクトの数を大幅に抑えることができます。インフラストラクチャで IP パケットを高速に処理できるため、ハードウェアの交換の回数も減り、運用の安定性が向上します。図 12 は、このリファレンス設計を使用することで得られるメリットをまとめたものです。

この設計における様々な運用上のメリットを詳しく見ていきましょう。

これらの運用上のメリットをもう少し詳しく見てみましょう。

図 12：ACI アンダーレイ上に NSX Data Center を展開するメリット

ACI アンダーレイ上の VMware NSX Data Center の設計

• 分離されるインフラストラクチャトラフィック

• インフラストラクチャトラフィックはファブリック内で増加

• インフラストラクチャの変更の必要性は最小限

• NSX オーバーレイ内で展開されるワークロードの増加により ACI への変更は必要にならない

• インフラストラクチャ拡張のオーバーヘッドは最小限

• ハードウェアの交換回数の低減

• ハードウェアインフラストラクチャが安定

アプリケーション展開のスケーラビリティ

インフラストラクチャトラフィックの分離

ACI アンダーレイ上に NSX Data Center を

展開する設計1 組のファブリックポリシー単一の NSX on ACI テナントポリシー=

インフラストラクチャの運用作業は最低限

運用上の機能および拡張は、組み込みで容易に管理可能

+




インフラストラクチャトラフィックの分離4 つの NSX の特徴である、管理、IP ストレージ、vMotion、オーバーレイを固有の EPG にマッピングすることにより、制限された EPG グループの通信をこの設計で利用できるようになります。さらに、サービスポート用に vSphere 固有のステートフルファイアウォールサービスを追加することにより、許可されたエンドポイント間のカーネルトラフィックに、vSphere 固有のセキュリティポリシーおよびファイアウォールを利用できます。

VMware NSX Data Center のインフラストラクチャトラフィックは、次のものをもたらします。

• 高速でスケーラブルな仮想ネットワーク

• 任意のインフラストラクチャで運用可能な、プログラムによるネットワークおよびセキュリティの機能

VMware vSphere は、VMkernel トラフィックに対する高度なセキュリティを提供するだけでなく、次のようなメリットがあります。

• 分離のための管理が不要

• アンダーレイの運用を簡素化

NSX の論理スイッチおよびルーティングのメリットNSX の分散スイッチングおよび分散ルーティングにより、仮想ワークロード間のルーティングを管理するための、API でプログラミング可能なネットワークが実現します。さらに、NSX は物理インフラストラクチャとルート情報をやり取りして学習でき、物理インフラストラクチャに高速な Edge ルーティングを提供します。

NSX では、Edge クラスタと物理インフラストラクチャにおけるルータインスタンスの等コストマルチパス（ECMP）に加え、NSX 分散ルータと VMware NSX Edge™ クラスタの間の ECMP を使用して、ルーティングのスケールアウトが可能です。NSX Edge は、スタティックルーティングとダイナミックルーティングを使用して物理ルータとピアリングし、スタティックルーティングで、管理者が管理する接続を提供するか、または ECMP ベースのルーティングで、外部ネットワークとの接続の帯域幅の拡大を実現することができます。

図 13：Cisco ACI および vSphere のセキュリティで管理される NSX サービスの通信

管理グループ

VLAN 100

管理グループ

VLAN 100

トランスポートグループ

VLAN 400

トランスポートグループ

VLAN 400

アクセス許可アクセス不可




VMware NSX Edge クラスタの設計を採用すると、NSX オーバーレイへの経路が提供され、物理ファブリックからオーバーレイ内のアプリケーションワークロードが完全に分離されます。これにより、アンダーレイに変更を加えることなく、オーバーレイ内のワークロードの展開と拡張が可能になります。この論理オーバーレイの分離と、アプリケーションワークロード用のローカルサービスの展開の組み合わせが、俊敏な展開が可能な NSX Data Center のプラットフォームの基盤となります。

NSX Edge ルーティングの真価は運用レベルで発揮されます。これは、物理ネットワークインフラストラクチャの安定性が向上することが主な理由です。シナリオの例としては、次のようなものがあります。

• ワークロードの追加や拡張を行う際に、物理インフラストラクチャへの変更は必要ありません。

• NAT、ロードバランシング、DNS、DHCP、VPN、ファイアウォールなどのサービスの展開でも、物理インフラストラクチャのルーティングやスイッチングの機能への変更は必要ありません。

• サービスの展開が物理インフラストラクチャから完全に分離されていることにより、ワークロードを展開する際に真のプライベートクラウドサービスを実現できます。

• 物理インフラストラクチャの運用にかかる手間が大幅に削減されることで、IT チームはアプリケーションの提供により多くの時間を投資することができます。

• Edge クラスタサービスにより、物理的な場所からワークロードを完全に分離できるため、アプリケーションの俊敏性を向上させることができます。

NSX Edge のルーティングにより、North-South 方向のトラフィックフローに対する集約型のサービス、集約型の機能を実行するサービスの展開、プライベートクラウドでの仮想ネットワークの展開におけるハードウェアとソフトウェアの分離を実現できます。

図 14：スイッチファブリックから抽象化されたアプリケーションの拡張




インフラストラクチャの運用効率化この設計におけるもう 1 つの運用上のメリットは、ファブリック拡張の管理が容易であることです。たとえばスイッチなどのインターフェイスを追加する場合、セットアップしたファブリックが 1 つだけであるため、変更が必要なオブジェクトは 1 組だけです。

Cisco ACI では、「セレクター」と呼ばれる少数のポリシーオブジェクトを使用して、ファブリックポリシー用に構成されたインターフェイスおよびスイッチを特定します。ACI 環境の拡張時にスイッチのインフラストラクチャの観点から必要なことは、これらの変更と、追加のホストに対する既存のインフラストラクチャ EPG のマッピングの追加です。

ACI アンダーレイ上で VMware NSX を展開するメリットネットワークの専門家にとって、運用効率を大幅に改善することは、実現するのに大変な苦労をともなうことが多いものです。導入済みの Cisco ACI に、NSX Data Center のような SDN プラットフォームを組み合わせる手法は、新たな取り組みとして急速に現況を変えつつあります。

図 15：リーフおよびインターフェイスセレクターポリシーのスケールアウトには 2 つのファブリックアクセスポリシーが必要です。

リファレンス設計に関する詳細はこちら >

詳細情報



https://communities.vmware.com/docs/DOC-30849

https://twitter.com/VMwareSecurity

https://www.facebook.com/vmwarejapan/

https://www.youtube.com/vmwarensx

https://blogs.vmware.com/transform-security/


ヴイエムウェア株式会社〒105-0013 東京都港区浜松町 1-30-5 浜松町スクエア 13F www.vmware.com/jpCopyright © 2018 VMware, Inc. All rights reserved. 本製品は、米国および国際的著作権法および知的財産法によって保護されています。VMware 製品は、https://www.vmware.com/go/patents のリストに表示されている 1 件または複数の特許対象です。VMware は、米国およびその他の地域における VMware, Inc. およびその子会社の登録商標または商標です。ほかのすべての名称ならびに製品についての商標は、それぞれの所有者の商標または登録商標です。アイテム No.：CS-0072_Deploying_NSX_Overlay_on_ACI_Underlay_WP E:2018/10 J:2019/02

本資料は原題「DEPLOYING NSX DATA CENTER WITH A CISCO ACI UNDERLAY」の翻訳版です。



Documents

Cisco ACI アンダーレイを NSX Data Center - VMware...Cisco ACI アンダーレイを強化する NSX Data Center VMware NSX Data Center は、ワークロードをホストするサーバ