VMware NSXの基礎知識と最新情報〜製品コンセプトから「NSX VPC」まで〜

VMware NSX」は、物理的なネットワークから独立した仮想的な「オーバーレイ・ネットワーク」を構築できるネットワーク仮想化プラットフォームです。

本記事では、製品リリースから多くのアップデートを重ねてきた「VMware NSX」の現在やNSX関連サービスの概要といった基礎知識に加えて、VMware NSX 4.1.1の最新機能である「NSX VPC」についてご紹介します。

目次

2013年にリリースされた「VMware NSX」の現在

「VMware NSX」が初めてリリースされた2013年当初、VMwareは「NSX for vSphere」(後に「NSX Data Center for vSphere」に名称変更)と「NSX for Multi-Hypervisor」(後に「NSX-T」、さらに「NSX-T Data Center」に名称変更)という2つの製品ラインナップを提供していました。

その後、製品のアップデートが繰り返され、「NSX Data Center for vSphere」は終息し、「NSX-T Data Center」は2022年にリリースされたVersion 4.0以降で「VMware NSX」という名称に変更されたことで、現在の「VMware NSX」を指す製品は1つとなっています。

NSXの製品コンセプト自体はリリース当初から一貫しており、ネットワークリソースを抽象化し、ネットワークの設定やポリシー適用を自動化することで、ネットワークの管理性や俊敏性の向上に貢献します。また、ハイパーバイザーレベルで仮想マシン単位のセキュリティポリシーを割り当てる「マイクロセグメンテーション」はNSXの代表的なソリューションとして知られており、ネットワーク内部のセキュリティレベルを大幅に強化することが可能です。

ネットワークリソースを抽象化する「VMware NSX」

マイクロセグメンテーションを実現するための「分散ファイアウォール機能」は、現在VCFのアドオンである「VMware vDefend Distributed Firewall」として提供されています。

幅広い選択肢を提供する「NSX関連サービス」について

VMwareでは、企業のネットワークやセキュリティに関するさまざまな要求に応えるために、「NSXブランド」として多岐にわたるNSX関連サービスを提供しています。

多様なビジネス環境に対応するための幅広い選択肢が用意されていますが、製品名が似ており、名称変更も過去に多く行われているプロダクトであるため、ラインナップが少々複雑になっています。

現在VMwareが提供している主要なNSX関連サービスは、以下の通りです。

名称略称概要
VMware NSXNSX本記事で紹介している製品
「VMware NSX-T Data Center」が名称変更
VMware NSX Advanced Load BalancerNSX ALB「VMware NSX」とは別製品のソフトウェア型ADC
NSX ALB紹介記事
VMware NSX Distributed FirewallNSX DFW「VMware NSX」の分散型セキュリティ機能のみを提供
(上位版では「VMware NSX」には含まれないATP機能が付属)
VMware NSX Gateway FirewallNSX GWF「VMware NSX」の境界型セキュリティ機能のみを提供
(上位版では「VMware NSX」には含まれないATP機能が付属)
VMware NSX SecurityNSX Security「NSX DFW」と「NSX GWF」が含まれるブランド名
NSX Security紹介記事
VMware NSX-T Data CenterNSX-T
NSX-T DC
「VMware NSX」へと名称変更
(過去の名称変更歴:NSX for Multi-Hypervisor→NSX-T→NSX-T Data Center)
VMware NSX Data Center for vSphereNSX-v
NSX DC
現在は終息
(過去の名称変更歴:NSX for vSphere→NSX Data Center for vSphere)

Broadcom社によるVMware社の買収により、現在「VMware NSX」シリーズのラインナップは大幅に変更されています。以下の製品はNSXブランドから別のブランドに移行されています。
・VMware NSX Advanced Load Balancer → VMware Avi Load Balancer
・VMware NSX Distributed Firewall → VMware vDefend Distributed Firewall
・VMware NSX Gateway Firewall → VMware vDefend Gateway Firewall

VMware NSXを構成する基本コンポーネントのおさらい

ここでは、現在の「VMware NSX」の基本コンポーネントについてご紹介します。

VMware NSXを管理する「NSX Manager」

「NSX Manager」はVMware NSX環境を管理するための仮想アプライアンスです。VMware NSX環境全体の管理・運用を一元的に行うための主要なインターフェースを提供します。

仮想ネットワーク、セキュリティポリシー、ルーティング設定、ファイアウォールルールといった設定の管理に加えて、ネットワークの可視化やトラフィック監視、トラブルシューティングといった運用もNSX Managerを通して実行します。

VMware NSXの基本コンポーネント

過去のNSXシリーズとして提供されていた「VMware NSX Data Center for vSphere (NSX-v)」と「VMware NSX-T Data Center (NSX-T) Version 2.3以前」では、NSX環境の管理を行う「NSX Manager」に加えて、実際にNSX環境の制御を行う「NSX Controller」というアプライアンスが存在しました。

NSX-Tでは、Version 2.4から「NSX Manager」と「NSX Controller」が統合され、現在の「VMware NSX」と同様に管理コンポーネントは「NSX Manager」に一本化されています。

ネットワーク機能を提供する「データプレーン」

「データプレーン」は、NSX環境にネットワークやセキュリティに関する機能を提供します。

具体的には、ハイパーバイザー上で動作する「分散ファイアウォール」などの「分散サービス」と、独立したアプライアンスとして機能する「Edgeサービス」の2種類のサービスが提供されています。

ネットワーク機能を提供するデータプレーンは「分散サービス」と「Edgeサービス」で構成

カーネル上(ESXi)で提供される「分散サービス」の機能

分散サービス機能概要
論理スイッチング複数のESXiホストにまたがるレイヤー2サービスを提供します。UDPベースのカプセリング技術である「Geneve(Generic Network Virtualization Encapsulation)」プロトコルで「オーバーレイネットワーク」を構築し、物理的なネットワークトポロジーに依存しない柔軟な仮想ネットワークを構成することができます。
論理ルーティング複数のESXiホストにまたがるルーティングサービスを提供し、異なるネットワークセグメント間のデータ転送を可能にします。VMware NSXでトラフィック転送を行う「トランスポートノード(ESXiホスト)」のカーネルスペースで実行され、各ノードの分散処理によって効率的なルーティングを実現します。
分散ファイアウォール(DFW)仮想マシンのNIC単位でのファイアウォールポリシーを適用します。East-Westトラフィック(横方向の通信)をきめ細かく制御することができるため、各仮想マシンに対して個別のセキュリティポリシーを設定する「マイクロセグメンテーション」を構成でき、内部ネットワーク内における脅威の拡散を防止します。
分散IDS/IPSネットワーク内の不正な活動や攻撃をリアルタイムで検出し、防御するためのサービスを提供します。高度な分析とパターンマッチングを用いて、既知および未知の脅威を特定しします。
※分散IDS/IPSは「VMware NSX Security」で提供される機能です。
Sandbox/NTA(NDR)ネットワークトラフィック分析(NTA)とサンドボックス技術を組み合わせたセキュリティ機能で、ネットワーク内の異常な動きや脅威を検出し、対処します。高度な分析機能でネットワークトラフィックを継続的に監視し、異常なパターンや不審な動きを特定することが可能です。
※Sandbox/NTA(NDR)は「VMware NSX Security」で提供される機能です。

仮想アプライアンス(Edge Gateway)で提供される「Edgeサービス」の機能

Edgeサービス機能概要
​物理インフラとの接続VMware NSX環境と物理環境との接続ポイントを提供し、ネットワーク間のシームレスな通信を実現します。
NATプライベートIPアドレスをインターネット上で使用可能なパブリックIPアドレスに変換します。
VPNL2VPNおよびL3 VPN(IPsec)の終端サービスを提供し、遠隔地のネットワークとの安全な接続を実現します。
DHCPサーバネットワーク上のワークロードに動的にIPアドレスを割り当てるサービスを提供します。
境界型ファイアウォール(GFW)ネットワークの境界でNorth-Southトラフィック(縦方向の通信)に対するファイアウォールサービスを提供します。
境界型分散IDS/IPSネットワークの境界で不正な活動や攻撃を検出し、防御するためのサービスを提供します。
※境界型IDS/IPSは「VMware NSX Security」で提供される機能です。
Sandbox/NTA(NDR) ネットワークの境界でのセキュリティ脅威を検出し、対処するための高度な分析ソリューションを提供します。
※Sandbox/NTA(NDR)は「VMware NSX Security」で提供される機能です。

VMware NSXの代表的なユースケース(2023年版)

VMware NSXは、その多彩な機能を活かして、様々なシーンで利用されています。ここでは、VMware NSXの代表的な例を紹介します。

ユースケース①:ネットワーク仮想化

NSXは、ネットワークの柔軟性を高めるために、高度な抽象化と自動化をサポートしています。リソースを効率的に共有する「マルチテナントインフラ」の構築や、ネットワークを含めたITリソースの払い出しを効率化する「ITの自動化」、開発プロセスを加速させる「開発者向けクラウド」といったユースケースがあります。

ユースケース②:セキュリティ強化

NSXの「マイクロセグメンテーション」では、細かく設定されたセキュリティポリシーを適用し、ネットワーク内のセキュリティの強化が可能です。その他、あらゆる場所にセキュアなネットワークゾーンを設定する「DMZ Anywhere」や、「仮想パッチ」による脆弱性への対応といったユースケースがあります。

ユースケース③:マルチクラウド

NSXはクラウドをまたいだネットワーク構築をサポートしています。ITリソースを統合する「マルチデータセンタープール」、「ハイブリッドクラウド」環境でのワークロードのシームレスな接続、VMware Cloudサービスと連携した「ディザスタリカバリー」といったユースケースがあります。

VMware NSXの幅広いユースケース

新機能!「NSX VPC」で独立した仮想プライベートクラウドを提供

「VMware NSX 4.1.1」のリリースに伴い、新機能「NSX Virtual Private Cloud(NSX VPC)」が導入されました。NSX VPCは、NSXプラットフォーム内で独立した仮想プライベートクラウドネットワークを簡単に設定できるようにするための機能です。NSX VPCは、複雑なネットワーク構成やIPアドレス管理の詳細を隠蔽し、アプリケーションをプライベートな空間で運用するための自動化された環境を提供します。

NSX VPCでは、「Enterprise Admin」、「Project Admin」、そして「VPC Admin」の三階層の管理者権限が設定されており、NSX環境に対して異なる権限が与えられます。「VPC Admin」は主に、アプリケーション開発者やDevOpsエンジニアに割り当てられる権限です。

NSX VPCを利用することで、組織は特定のビジネスユニットやアプリケーション開発チームに対して、隔離されたネットワークとセキュリティ環境を提供することができます。「VPC Admin」はNSXの基盤インフラストラクチャの詳細を気にすることなく、ビジネス要件に基づいてワークロードをネットワークに接続し、必要なネットワーク設定やセキュリティポリシーを自分たちで構成できるようになるため、他のテナントとの不要な干渉を防ぎながら、多様なビジネスニーズに応じた効果的なネットワーク管理の実現が可能です。

独立した仮想プライベートクラウドを提供する「NSX VPC」
権限内容
Enterprise Admin・「VMware NSX」全体の設定が可能な最上位レベルの権限
・「プロジェクト」を作成し「Project Admin」のユーザーを割り当て可能
Project Admin・「VMware NSX」内の「プロジェクト」の設定が可能な権限
・「VPC」を作成し、「VPC Admin」のユーザーを割り当て可能
・VPCのサブネット作成に必要な外部IPブロックとプライベートIPブロックを指定
VPC Admin・「プロジェクト」内の「VPC」の設定が可能な最小レベルの権限
・「独立したPC内で、限定されたNSX設定を実施可能
・サポートされるサブネットの種類は、プライベート、パブリック、隔離の3つ

VMware NSXのエディション表

以下はBroadcom社によるVMware社の買収前のNSXエディション表となります。現在「VMware NSX」は各エディションが1つに統合され、「VMware Cloud Foundation」にバンドルされています。アドオンはvSphereシリーズに対しては提供されていないため、NSXを利用いただく場合はVMware Cloud Foundationが必須になっています。

VMware NSXの各エディションで提供される機能は下記になります。

VMware NSXProfessionalAdvancedEnterprise Plus
ネットワーク機能
分散スイッチング&分散ルーティング
物理環境へのソフトウェア L2ブリッジング
ECMPダイナミックルーティング (Active/Active)
IPv6 スタティックルーティング
IPv6 ダイナミックルーティング
デュアルスタック(IPv4 / IPv6)外部管理
VRF(Tier-0ゲートウェイVRF)
イーサネットVPN(EVPN)
分散セキュリティ
分散ファイアウォール
コンテキストに応じたマイクロセグメンテーション
FQDNフィルタリング
追加の分散セキュリティ機能NSX DFWのアドオンで利用可能
ゲートウェイセキュリティ
NSXゲートウェイファイアウォール
NSXゲートウェイNAT
VPN(L2 and L3)
追加のゲートウェイセキュリティ機能NSX GFWのアドオンで利用可能
運用管理
コンテナ環境のネットワーク&セキュリティ
マルチvCenter環境のネットワーク&セキュリティ
フェデレーション
Policy API、 central CLI、トラフィック可視化
DPUベースのアクセラレーション
クラウド管理プラットフォームとの統合
分散ファイアウォールとの統合(Active Directory等)
NSX マルチテナントとNSX VPC
バンドル製品
VMware Aria Operations for Logs for NSX
VMware Aria Operations for Networks Advanced
VMware HCX Advanced
VMware NSX Advanced Load Balancer Enterprise
(CoreライセンスのNSXにのみ付属)
VMware NSX Intelligence

VMware NSXのご相談はネットワールドにお任せ!

2013年の初登場から多くのアップデートを重ね、VMwareの中核ソリューションとなった「VMware NSX」の最新情報についてご紹介しました。昨今のVMware NSXは、「NSX VPC」といったクラウド関連機能や、AIを活用した高度なサービスのアップデートが頻繁に行われており、NSX関連サービスを含めて幅広い製品ラインナップが提供されています。

ネットワールドではVMware NSXやVMware NSX関連サービスをスムーズに導入・活用いただくために、お客様に合わせてヒアリングから各コンポーネントの導入、操作手順書の作成、トレーニングの実施、導入後のオフサイトサポートまでトータルに対応する「導入支援サービス」を提供しています。基本的なサービスに加えて、お客様に要望に応じた個別のサービスカスタマイズも可能です。VMware NSXをご検討の際は、ぜひネットワールドまでお問合せください!

目次