VMware NSX-T Data Center徹底解説Advanced編~マルチサイトのネットワーク構築~
VMware NSX-T Data Center Advancedエディションは、Professionalエディションの機能に加えてアプリケーションの安定稼働を実現するロードバランサーの機能をはじめ、分散ファイアウォールとActive Directory、Workspace ONE UEMを連携させたより高度なネットワークおよびセキュリティサービスを提供します。また、Advancedを含む上位エディションはマルチサイトのネットワークを構築にも対応しています。
NSX Edge のロードバランシング
NSX Edgeは、レイヤー4およびレイヤー7のロードバランシングを提供します。具体的には受信サービスリクエストを複数のサーバ間で均等に配分し、ユーザーにとって透過的になるようにネットワークトラフィックの負荷を分散します。これによりリソース使用率の最適化、スループットの最大化、応答時間の最小化、過負荷の回避などを実現します。
なお、ロードバランシング用に単一の仮想IPアドレスを一連のプールサーバにマッピングすることが可能です。ロードバランサーはこの仮想IPアドレスに対するTCP、UDP、HTTPまたはHTTPSリクエストを受け入れ、どのプールサーバを使用するかを決定します。さらに環境によっては仮想サーバとプールメンバーを増やし、負荷の高いネットワークトラフィックを処理することで、ロードバランサーのパフォーマンスを高めることができる仕組みとなっています。
分散ファイアウォールとの連携
VMware NSX-T Data CenterとActive Directoryの連携
VMware NSX-T Data Centerの分散ファイアウォールとActive Directoryを組み合わせれば、複雑な設定を行うことなく、ユーザーごとのセキュリティ環境を簡単かつ動的に変更することができます。IPアドレスに紐づけられたポリシーを適用する必要はなくなるため、仮に同じ仮想マシンを使用した場合でもログインIDで識別し、そのユーザーに応じたポリシーを分散ファイアウォールに適用することができます。また同じL2ネットワークのセグメント内であっても、ネットワークアクセスの許可/不許可を柔軟に設定することができます。
VMware NSX-T Data CenterとWorkspace ONE UEMの連携
VMware Workspace ONE UEMは単一の管理コンソールから、デスクトップ(Windows 10、macOS、Chrome OS)やモバイル(Android、iOS)など、あらゆるユーザーとデバイスに対する統合エンドポイント管理を実現します。これにより利用を認めたアプリケーションのみを配信するほか、デバイスを社外で紛失した際にリモートからロックをかけたり、データを強制削除したりといった対処を行うことも可能です。また、VMware Workspace ONE UEMのWorkspace ONE Tunnelは、通常のIPsecベースのVPNと異なるアプリケーションベースのVPNを採用しており、トラフィックをきめ細かく制御することが可能です。このVMware Workspace ONE UEM とVMware NSX-T Data Centerの分散ファイアウォールを連携させることで、セキュアなリモートアクセスを実現することができます。
Application Rule Manager
Application Rule Manager(ARM)は、プロファイルを作成しているアプリケーション間のフローとアプリケーション層間のフローを学習するとともに、検出したフローのレイヤー7アプリケーションIDも学習します。
こうして作成されたモデルに基づき既存のアプリケーションのセキュリティグループとファイアウォールルールを定義することで、アプリケーションのマイクロセグメンテーションを簡素化することができます。
コンテナのネットワークとセキュリティ
VMware NSX-T Data CenterはNSX Container Plug-in(NCP)を使用し、複数のプラットフォームにまたがるコンテナ化されたワークロードに対して、クラウドネイティブのネットワークとセキュリティを提供します。
マルチサイトにおけるネットワーキング&セキュリティの最適化
事業継続やDR(災害復旧)などを目的としたマルチサイトのネットワークは、一般的に各サイト内はL2ネットワークで構成され、サイト間はL3ネットワークで接続するという形をとっています。しかしこのネットワーク構成では、サイト間の移行にはIPアドレスの変更が必要で、待機サイト側のネットワークやセキュリティの設定同期も行わなければならないなど煩雑な手間がかかります。また、サーバ規模が大きくなり目標復旧時間が長くなることや、DRサイトのリソースを平常時に有効活用できないことも問題です。
そこにVMware NSX-T Data Centerを導入して各サイトのL2ネットワークを延伸・同期することで、マルチサイトのネットワークをあたかも同一ネットワークのように扱うことが可能となります。メインサイトが災害やサイバー攻撃などでダウンしてDRサイトに切り替える際のほか、各拠点間で仮想マシンを移行する際にも煩雑なIPアドレスの書き換えや物理ネットワーク機器の設定変更は不要となります。
さらにCross-vCenter NSXによるL2延伸を行うことで、各サイトのVXLAN設定、ルーティング設定、分散FW設定を同期し、マルチサイトのネットワーク管理を一元化することが可能となります。分散したシステムを、単一のユニバーサルなコントローラークラスターからまとめて制御し、論理スイッチと分散論理ルーター、分散ファイアウォールのルールを、複数サイトをまたいだ形でシンプルに運用できるようになります。