VMware NSX-T Data Center 徹底解説 Enterprise Plus編~大規模ネットワーク管理を実現~

VMware NSX-T Data Center 徹底解説 Enterprise Plus編~大規模ネットワーク管理を実現~

VMware NSX-T Enterprise Plusエディションは、Advancedエディションの高機能に加えて、NSX-T FederationやNSX Intelligence、VMware vRealize Network InsightのAdvancedエディションによる充実した管理機能を搭載しています。ネットワークの可視化とセキュリティ運用を可能としているのが特徴です。さらにVMware HCXのAdvancedエディションも同梱し、大規模なネットワーク運用に最適なソリューションとなっています。

本記事の「VMware NSX-T™ Data Center」は現在「VMware NSX」として提供されており、3つのエディションは1つに統合され、「VMware Cloud Foundation」にバンドルされています。

目次

NSX-T Federation

NSX-T FederationはVMware NSX-T Data Centerのバージョン3.0以降、Enterprise Plus エディションで利用できるようになった機能です。複数のデータセンターをまたいだNSX-T環境の一元的な管理を実現します。

具体的には、Geneveによるオーバーレイネットワークを実装したリモートトンネルエンドポイント(RTEP)により、Federation環境全体を管理するNSX Global Managerと各サイトのNSX Managerが連携。複数のデータセンターをまたいだゲートウェイとセグメントを作成し、一貫したファイアウォールルールを構成して適用するとともに、単一の管理画面で複数のNSX-T Data Center環境を管理することができます。

複数のデータセンターをまたいで一元管理

NSX Intelligence

NSX IntelligenceはVMware NSX-T Data Centerのバージョン2.5以降、Enterprise Plus エディションで利用できるようになったセキュリティポリシーの分散分析プラットフォームで、デーセンターのネットワーク環境の可視化と分析機能を提供します。

エンドツーエンドのトラフィック分析

エージェントなどをインストールすることなく、データセンターのネットワーク分析を直接インラインで実施するのが特徴で、NSX Managerおよびトランスポートノードとして構成されているVMware ESXiホストから直接5分間隔でフローを取得します。さらにマイクロセグメンテーションの容易な実装をサポートします。

NSX Intelligenceはオンプレミスの NSX-T Data Center環境のセキュリティ状態および、そこで発生したネットワークトラフィックフローを直感的に把握できるGUIを備えており、次のような機能を提供します。

・NSX-T Data Center のグループ、仮想マシン、物理サーバー、IP、ネットワークトラフィックフローなどのNSX-Tコンポーネントをグラフィカルに表示します。なお、ここで使用されるデータは、指定された期間内に収集・集計されたネットワークトラフィックフローに基づきます。

・セキュリティポリシー、ポリシーセキュリティグループ、アプリケーションのサービスに関する推奨事項を停止します。これらの推奨事項により、アプリケーションレベルでより効率的なマイクロセグメンテーションを実装することが可能となります。また、推奨事項を実装する際にNSX-T Data Center環境の仮想マシン、物理サーバー、IP 間で発生する通信トラフィックのパターンを関連付けることで、より動的なセキュリティポリシーを適用することができます。

VMware vRealize Network InsightのAdvancedエディション

VMware NSX-T Data Center Enterprise Plusエディションは、VMware vRealize Network InsightのAdvancedエディション(現在のVMware Cloud Foundation Network Operations)を同梱しています。

VMware vRealize Network Insightは、ヴイエムウェアが提唱するVirtual Cloud Networkのビジョンのもと、VMware vSphereやVMware NSX-T Data Centerで構成されるネットワークの可視化を実現する製品です。当初はオンプレミスの環境を中心に機能を拡充してきましたが、現在ではパブリッククラウドやハイブリッドクラウド、VMware SD-WANによるブランチサイトへと対象を拡大しています。

VMware vRealize Network Insightを利用することで、次のことが可能となります。

・リアルタイムのトラフィックをマップし、セキュリティグループとファイアウォールルールをモデル化し、セキュリティポリシーを適切に実装するためのネットワークフロー解析を行います。これはマイクロセグメンテーションの効率的な導入のほか、パフォーマンスと可用性の向上にも役立ちます。

・仮想および物理的なコンピュート、ストレージ、ネットワークのコンポーネントを相関的に可視化することで、インフラストラクチャの全体像を把握することができます。

・VMware SphereやVMware NSX-T、物理環境、コンテナ環境、VMware SD-WAN、パブリッククラウドに対応。任意の場所をデータソースとして登録することにより、さまざまなワークロードで動作しているアプリケーションの視点からネットワークを可視化することも可能です。

アプリケーション視点で可視化

セキュリティ計画

VMware vRealize Network Insightは、セキュリティ計画にも活用することができます。
指定した任意の範囲、エンティティに基づいて分析するセキュリティ計画の画面において、ドーナツチャート上にトラフィックの流れとその実際のフローを表示。想定しているエンティティ間以外で通信が発生していないかを確認することができます。

例えばグループ化の基準でサブネットを選択し、画面上でマウスを移動すると、送受信の方向を色(青色は送信、黄色は受信、緑色は双方向)で確認することができます。さらにその線をクリックすれば、フローの詳細情報や、現在利用中の通信のみを許可する推奨のファイアウォールルールを見ることができます。

VMware HCXのAdvancedエディション

VMware NSX-T Data Center Enterprise Plusエディションは、VMware HCXのAdvancedエディションも同梱しています。これは以前VMware NSX Hybrid Connectと呼ばれていたもので、次のことが可能となります。

・2つのデータセンターをまたいで仮想基盤を移行する際のネットワークのポータビリティを実現します。VMware HCXはIPアドレスを維持したまま移行するL2延伸をサポートしています。加えて専用線などの特別な回線を必要とせず、既存のWAN回線をそのまま有効利用してVMを移行できるWAN最適化、L2延伸によるアプリケーションの遅延を最小にする近接ルーティングといった機能を提供します。

・仮想マシンのポータビリティも実現します。VMware vSphere Replicationの技術を応用したバルクマイグレーションと呼ばれる機能が提供されており、システム停止時間を最小限に抑えつつ大量の仮想マシンを効率的に移行できます。どうしても停止できないワークロードについてはvMotionによる移行も可能です.

なお、上記のネットワークおよびの仮想マシンのポータビリティはすべてVMware vCenterから一元的に管理することが可能です。

VMware HCXサービス
目次