「VMware NSX」は、物理的なネットワークから独立した仮想的な「オーバーレイ・ネットワーク」を構築できるネットワーク仮想化プラットフォームです。
本記事では、製品リリースから多くのアップデートを重ねてきた「VMware NSX」の現在やNSX関連サービスの概要といった基礎知識に加えて、VMware NSX 4.1.1の最新機能である「NSX VPC」についてご紹介します。
2013年にリリースされた「VMware NSX」の現在
「VMware NSX」が初めてリリースされた2013年当初、VMwareは「NSX for vSphere」(後に「NSX Data Center for vSphere」に名称変更)と「NSX for Multi-Hypervisor」(後に「NSX-T」、さらに「NSX-T Data Center」に名称変更)という2つの製品ラインナップを提供していました。
その後、製品のアップデートが繰り返され、「NSX Data Center for vSphere」は終息し、「NSX-T Data Center」は2022年にリリースされたVersion 4.0以降で「VMware NSX」という名称に変更されたことで、現在の「VMware NSX」を指す製品は1つとなっています。
NSXの製品コンセプト自体はリリース当初から一貫しており、ネットワークリソースを抽象化し、ネットワークの設定やポリシー適用を自動化することで、ネットワークの管理性や俊敏性の向上に貢献します。また、ハイパーバイザーレベルで仮想マシン単位のセキュリティポリシーを割り当てる「マイクロセグメンテーション」はNSXの代表的なソリューションとして知られており、ネットワーク内部のセキュリティレベルを大幅に強化することが可能です。
幅広い選択肢を提供する「NSX関連サービス」について
VMwareでは、企業のネットワークやセキュリティに関するさまざまな要求に応えるために、「NSXブランド」として多岐にわたるNSX関連サービスを提供しています。
多様なビジネス環境に対応するための幅広い選択肢が用意されていますが、製品名が似ており、名称変更も過去に多く行われているプロダクトであるため、ラインナップが少々複雑になっています。
現在VMwareが提供している主要なNSX関連サービスは、以下の通りです。
| 名称 | 略称 | 概要 |
|---|---|---|
| VMware NSX | NSX | 本記事で紹介している製品 「VMware NSX-T Data Center」が名称変更 |
| VMware NSX Advanced Load Balancer | NSX ALB | 「VMware NSX」とは別製品のソフトウェア型ADC →NSX ALB紹介記事 |
| VMware NSX Distributed Firewall | NSX DFW | 「VMware NSX」の分散型セキュリティ機能のみを提供 (上位版では「VMware NSX」には含まれないATP機能が付属) |
| VMware NSX Gateway Firewall | NSX GWF | 「VMware NSX」の境界型セキュリティ機能のみを提供 (上位版では「VMware NSX」には含まれないATP機能が付属) |
| VMware NSX Security | NSX Security | 「NSX DFW」と「NSX GWF」が含まれるブランド名 →NSX Security紹介記事 |
| VMware NSX-T Data Center | NSX-T NSX-T DC | 「VMware NSX」へと名称変更 (過去の名称変更歴:NSX for Multi-Hypervisor→NSX-T→NSX-T Data Center) |
| VMware NSX Data Center for vSphere | NSX-v NSX DC | 現在は終息 (過去の名称変更歴:NSX for vSphere→NSX Data Center for vSphere) |
VMware NSXを構成する基本コンポーネントのおさらい
ここでは、現在の「VMware NSX」の基本コンポーネントについてご紹介します。
VMware NSXを管理する「NSX Manager」
「NSX Manager」はVMware NSX環境を管理するための仮想アプライアンスです。VMware NSX環境全体の管理・運用を一元的に行うための主要なインターフェースを提供します。
仮想ネットワーク、セキュリティポリシー、ルーティング設定、ファイアウォールルールといった設定の管理に加えて、ネットワークの可視化やトラフィック監視、トラブルシューティングといった運用もNSX Managerを通して実行します。
ネットワーク機能を提供する「データプレーン」
「データプレーン」は、NSX環境にネットワークやセキュリティに関する機能を提供します。
具体的には、ハイパーバイザー上で動作する「分散ファイアウォール」などの「分散サービス」と、独立したアプライアンスとして機能する「Edgeサービス」の2種類のサービスが提供されています。
カーネル上(ESXi)で提供される「分散サービス」の機能
| 分散サービス | 機能概要 |
|---|---|
| 論理スイッチング | 複数のESXiホストにまたがるレイヤー2サービスを提供します。UDPベースのカプセリング技術である「Geneve(Generic Network Virtualization Encapsulation)」プロトコルで「オーバーレイネットワーク」を構築し、物理的なネットワークトポロジーに依存しない柔軟な仮想ネットワークを構成することができます。 |
| 論理ルーティング | 複数のESXiホストにまたがるルーティングサービスを提供し、異なるネットワークセグメント間のデータ転送を可能にします。VMware NSXでトラフィック転送を行う「トランスポートノード(ESXiホスト)」のカーネルスペースで実行され、各ノードの分散処理によって効率的なルーティングを実現します。 |
| 分散ファイアウォール(DFW) | 仮想マシンのNIC単位でのファイアウォールポリシーを適用します。East-Westトラフィック(横方向の通信)をきめ細かく制御することができるため、各仮想マシンに対して個別のセキュリティポリシーを設定する「マイクロセグメンテーション」を構成でき、内部ネットワーク内における脅威の拡散を防止します。 |
| 分散IDS/IPS | ネットワーク内の不正な活動や攻撃をリアルタイムで検出し、防御するためのサービスを提供します。高度な分析とパターンマッチングを用いて、既知および未知の脅威を特定しします。 ※分散IDS/IPSは「VMware NSX Security」で提供される機能です。 |
| Sandbox/NTA(NDR) | ネットワークトラフィック分析(NTA)とサンドボックス技術を組み合わせたセキュリティ機能で、ネットワーク内の異常な動きや脅威を検出し、対処します。高度な分析機能でネットワークトラフィックを継続的に監視し、異常なパターンや不審な動きを特定することが可能です。 ※Sandbox/NTA(NDR)は「VMware NSX Security」で提供される機能です。 |
仮想アプライアンス(Edge Gateway)で提供される「Edgeサービス」の機能
| Edgeサービス | 機能概要 |
|---|---|
| 物理インフラとの接続 | VMware NSX環境と物理環境との接続ポイントを提供し、ネットワーク間のシームレスな通信を実現します。 |
| NAT | プライベートIPアドレスをインターネット上で使用可能なパブリックIPアドレスに変換します。 |
| VPN | L2VPNおよびL3 VPN(IPsec)の終端サービスを提供し、遠隔地のネットワークとの安全な接続を実現します。 |
| DHCPサーバ | ネットワーク上のワークロードに動的にIPアドレスを割り当てるサービスを提供します。 |
| 境界型ファイアウォール(GFW) | ネットワークの境界でNorth-Southトラフィック(縦方向の通信)に対するファイアウォールサービスを提供します。 |
| 境界型分散IDS/IPS | ネットワークの境界で不正な活動や攻撃を検出し、防御するためのサービスを提供します。 ※境界型IDS/IPSは「VMware NSX Security」で提供される機能です。 |
| Sandbox/NTA(NDR) | ネットワークの境界でのセキュリティ脅威を検出し、対処するための高度な分析ソリューションを提供します。 ※Sandbox/NTA(NDR)は「VMware NSX Security」で提供される機能です。 |
VMware NSXの代表的なユースケース(2023年版)
VMware NSXは、その多彩な機能を活かして、様々なシーンで利用されています。ここでは、VMware NSXの代表的な例を紹介します。
ユースケース①:ネットワーク仮想化
NSXは、ネットワークの柔軟性を高めるために、高度な抽象化と自動化をサポートしています。リソースを効率的に共有する「マルチテナントインフラ」の構築や、ネットワークを含めたITリソースの払い出しを効率化する「ITの自動化」、開発プロセスを加速させる「開発者向けクラウド」といったユースケースがあります。
ユースケース②:セキュリティ強化
NSXの「マイクロセグメンテーション」では、細かく設定されたセキュリティポリシーを適用し、ネットワーク内のセキュリティの強化が可能です。その他、あらゆる場所にセキュアなネットワークゾーンを設定する「DMZ Anywhere」や、「仮想パッチ」による脆弱性への対応といったユースケースがあります。
ユースケース③:マルチクラウド
NSXはクラウドをまたいだネットワーク構築をサポートしています。ITリソースを統合する「マルチデータセンタープール」、「ハイブリッドクラウド」環境でのワークロードのシームレスな接続、VMware Cloudサービスと連携した「ディザスタリカバリー」といったユースケースがあります。
新機能!「NSX VPC」で独立した仮想プライベートクラウドを提供
「VMware NSX 4.1.1」のリリースに伴い、新機能「NSX Virtual Private Cloud(NSX VPC)」が導入されました。NSX VPCは、NSXプラットフォーム内で独立した仮想プライベートクラウドネットワークを簡単に設定できるようにするための機能です。NSX VPCは、複雑なネットワーク構成やIPアドレス管理の詳細を隠蔽し、アプリケーションをプライベートな空間で運用するための自動化された環境を提供します。
NSX VPCでは、「Enterprise Admin」、「Project Admin」、そして「VPC Admin」の三階層の管理者権限が設定されており、NSX環境に対して異なる権限が与えられます。「VPC Admin」は主に、アプリケーション開発者やDevOpsエンジニアに割り当てられる権限です。
NSX VPCを利用することで、組織は特定のビジネスユニットやアプリケーション開発チームに対して、隔離されたネットワークとセキュリティ環境を提供することができます。「VPC Admin」はNSXの基盤インフラストラクチャの詳細を気にすることなく、ビジネス要件に基づいてワークロードをネットワークに接続し、必要なネットワーク設定やセキュリティポリシーを自分たちで構成できるようになるため、他のテナントとの不要な干渉を防ぎながら、多様なビジネスニーズに応じた効果的なネットワーク管理の実現が可能です。
| 権限 | 内容 |
|---|---|
| Enterprise Admin | ・「VMware NSX」全体の設定が可能な最上位レベルの権限 ・「プロジェクト」を作成し「Project Admin」のユーザーを割り当て可能 |
| Project Admin | ・「VMware NSX」内の「プロジェクト」の設定が可能な権限 ・「VPC」を作成し、「VPC Admin」のユーザーを割り当て可能 ・VPCのサブネット作成に必要な外部IPブロックとプライベートIPブロックを指定 |
| VPC Admin | ・「プロジェクト」内の「VPC」の設定が可能な最小レベルの権限 ・「独立したPC内で、限定されたNSX設定を実施可能 ・サポートされるサブネットの種類は、プライベート、パブリック、隔離の3つ |
VMware NSXのエディション表
VMware NSXの各エディションで提供される機能は下記になります。
| VMware NSX | Professional | Advanced | Enterprise Plus |
|---|---|---|---|
| ネットワーク機能 | |||
| 分散スイッチング&分散ルーティング | |||
| 物理環境へのソフトウェア L2ブリッジング | |||
| ECMPダイナミックルーティング (Active/Active) | |||
| IPv6 スタティックルーティング | |||
| IPv6 ダイナミックルーティング | |||
| デュアルスタック(IPv4 / IPv6)外部管理 | |||
| VRF(Tier-0ゲートウェイVRF) | |||
| イーサネットVPN(EVPN) | |||
| 分散セキュリティ | |||
| 分散ファイアウォール | |||
| コンテキストに応じたマイクロセグメンテーション | |||
| FQDNフィルタリング | |||
| 追加の分散セキュリティ機能 | NSX DFWのアドオンで利用可能 | ||
| ゲートウェイセキュリティ | |||
| NSXゲートウェイファイアウォール | |||
| NSXゲートウェイNAT | |||
| VPN(L2 and L3) | |||
| 追加のゲートウェイセキュリティ機能 | NSX GFWのアドオンで利用可能 | ||
| 運用管理 | |||
| コンテナ環境のネットワーク&セキュリティ | |||
| マルチvCenter環境のネットワーク&セキュリティ | |||
| フェデレーション | |||
| Policy API、 central CLI、トラフィック可視化 | |||
| DPUベースのアクセラレーション | |||
| クラウド管理プラットフォームとの統合 | |||
| 分散ファイアウォールとの統合(Active Directory等) | |||
| NSX マルチテナントとNSX VPC | |||
| バンドル製品 | |||
| VMware Aria Operations for Logs for NSX | |||
| VMware Aria Operations for Networks Advanced | |||
| VMware HCX Advanced | |||
| VMware NSX Advanced Load Balancer Enterprise (CoreライセンスのNSXにのみ付属) | |||
| VMware NSX Intelligence | |||
VMware NSXのご相談はネットワールドにお任せ!
2013年の初登場から多くのアップデートを重ね、VMwareの中核ソリューションとなった「VMware NSX」の最新情報についてご紹介しました。昨今のVMware NSXは、「NSX VPC」といったクラウド関連機能や、AIを活用した高度なサービスのアップデートが頻繁に行われており、NSX関連サービスを含めて幅広い製品ラインナップが提供されています。
ネットワールドではVMware NSXやVMware NSX関連サービスをスムーズに導入・活用いただくために、お客様に合わせてヒアリングから各コンポーネントの導入、操作手順書の作成、トレーニングの実施、導入後のオフサイトサポートまでトータルに対応する「導入支援サービス」を提供しています。基本的なサービスに加えて、お客様に要望に応じた個別のサービスカスタマイズも可能です。VMware NSXをご検討の際は、ぜひネットワールドまでお問合せください!