VMware NSXの概要

MUK-Expo 2015展示会でのデモレポートに基づいて、VMware NSXソリューションの概要を提供します。 デモのビデオ録画-720p-すべてがはっきりと見える。 ビデオを見たくない人のために-デモとスクリーンショットのカットオフトランスクリプトの下で。











同僚、こんにちは。 VMware NSXのデモを開始しています。 それで、今日見せたいことは。 デモインフラストラクチャは、MUKディストリビューターに基づいて展開されます。 インフラストラクチャは非常に小さく、3つのサーバーがあります。サーバーはバージョン6アップデート1のESXIであり、v-centerはアップデートされています。つまり、提供可能な最新のものです。



この構造でNSXを使用する前に、MUKネットワークエンジニアから、ビデオデスクトップからアクセスできるように、サーバーセグメント、ビデオデスクトップ、インターネットアクセスを持つセグメントをホストできる複数のVLansを受け取りました。 MUKの同僚が内部ネットワークから接続できるように、インターネットへのアクセス、まあ、中継ネットワークへのアクセスですか？ たとえば、デモやパイロットでポートグループネットワークを作成し、より複雑な構成を作成したい場合は、MUKの同僚に連絡して機器の使用を依頼する必要があります。彼らはそこで何かをしました。

セグメント間でやり取りが必要な場合は、ネットワーク作成者に同意するか、簡単な方法で、小さなマシン、内部のルーター、2つのインターフェイス、前後に行ってください。



したがって、NSX 10の使用には2つの目標があります。一方で、仮想マシンではなくハードウェアで動作することを示すことです。はい、実際に動作し、便利であることを示します。 2番目のポイントは、特定のタスクを本当に簡素化することです。 したがって、現時点では何が見られますか？ 現時点では、NSXの導入後にこのインフラストラクチャにどの仮想マシンが登場したかがわかります。 それらのいくつかは必須であり、それらなしでは不可能です。 インフラストラクチャ自体の特定のセットアップが原因で表示されるものもあります。



したがって、NSXマネージャーは必須です。これは、NSXと対話できるメインサーバーです。V-centerWebクライアントに独自のグラフィカルインターフェイスを提供し、残りのAPIからアクセスして、いくつかのアクションを自動化できます。これは、いくつかのスクリプトによって、またはたとえばさまざまなクラウドポータルからNSXで実行できます。 たとえば、VMware vRealize Automationまたは他のベンダーのポータル。 技術的に機能するには、NSXにNSXコントローラーのクラスターが必要です。つまり、これらのサーバーにはサービスの役割があります。 彼らは、はい、どの物理esxiサーバー、現在存在するIPアドレスとmacアドレス、追加された新しいサーバー、落ちたサーバーに関する情報を保存し、この情報を配信します。 esxi-servers、つまり、実際には、NSXを使用して作成したL2セグメントは、複数のesxi-serverで使用可能でなければならず、仮想マシンは同じL2セグメントの別の仮想マシンNSX-コントローラは、実際にどのホストがネットワークpaであるかを正確に知っています。 ケットを配達する必要があります。 そして、定期的にこの情報をホストに提供します。 各ホストはテーブル、IP、MACアドレス、ホストの場所、実際にパケットを送信する必要があるテーブルを所有しています。







ホストの構成を開くと、ネットワークを介してパケットが送信されるインターフェイスを確認できます。 つまり、VMkernelアダプターのパラメーターがあり、このホストはVXLanネットワークパケットでこのIPアドレスを使用します。 ここに少しモニターがありますので、外に出なければなりません。







また、これらのパケットの送信には個別のTCP / IPスタックが使用されることがわかります。つまり、通常のVMkernelインターフェイスとは異なる個別のデフォルトゲートウェイが存在する可能性があります。 つまり、物理の観点からは、デモで展開するために、これらのインターフェイスを配置できるVLanが1つ必要でした。 望ましいことです-そして、このVLanはこれらの3つのサーバーだけでなく、4番目または5番目のサーバーがそこに表示されると、たとえば、これらのブレードが配置されている同じシャーシではなく、このVLanでもないかもしれませんが、ここにルーティングされます。たとえば、別のネットワーク上にある4番目のサーバーを追加できますが、相互に通信できます。この新しい4番目を含むこれら3つのサーバーからのNSX。



さて、実際には、NSX自体の外観に目を向けます。つまり、マウスとキーボードを使用してNSXで何ができるのでしょうか。 何かを自動化する場合、残りのAPIについては今話していません。







[インストール]セクション（ここで切り替えます）では、マネージャーが誰であるか、コントローラーの数、コントローラー自体がここから展開されていることを確認できます。 つまり、VMwareのWebサイトからマネージャーをダウンロードします。これはテンプレートであり、Vセンターに展開して実装します。 次に、マネージャーをセットアップし、V-centerサーバーに接続するためのログインパスワードを与えて、ここでプラグインを登録できるようにします。 その後、このインターフェイスに接続し、「コントローラーを実装する必要があります」と言います。



最小限、たとえば、ある種のテストベンチについて話している場合、コントローラーが1つである場合もありますが、システムは動作しますが、これは推奨されません。 推奨される構成は、3台のコントローラー（できれば異なるサーバー、異なるストレージシステム）であるため、コンポーネントの障害によって3つのコントローラーすべてが一度に失われることはありません。







また、このVセンターサーバーを実行しているホストとクラスターがNSXと対話するかどうかを判断することもできます。 実際、単一のV-centerサーバーを実行するインフラストラクチャ全体がこれで機能する必要はありません。いくつかの選択的なクラスターが存在する場合があります。 クラスターを選択したら、esxiサーバーがVXLanパケットをカプセル化/カプセル化解除できるようにする追加モジュールをクラスターにインストールする必要がありますが、これもこのインターフェイスから行います。 つまり、SSHに移動する必要はありません。モジュールを手動でコピーする必要はありません。ここからボタンをクリックし、「成功/失敗」のステータスを追跡します。







次に、実際には、VMkernelインターフェイスのこの構成をどのように行うかを選択する必要があります。 つまり、分散スイッチを選択し、アップリンクを選択します。つまり、これが発生する場所です。 複数のリンクがある場合は負荷分散パラメーターを選択します。これに応じて、1つのホストにこのタイプのIPアドレスが1つしかない場合は、複数ある場合があります。 ここで、1つずつ使用します。







次に、VXLan識別子を選択する必要があります。 つまり、VXLanはVLanを連想させるテクノロジーですが、これらは1つの実際のセグメントで異なるタイプのトラフィックを分離できる追加のラベルです。 VLan識別子が4,000の場合、VXLan識別子は1,600万です。ここでは、特定の範囲のVXLanセグメント番号を実際に選択し、論理スイッチを自動的に作成するときにそれらに割り当てます。



それらを選択するには？ 実際のところ、必要に応じて、この範囲から、大規模なインフラストラクチャがあり、重複しないように複数のNSX実装が存在する場合があります。 単純に。 実際には、VLanと同じです。 つまり、18001〜18999の範囲を使用します。







次に、いわゆるトランスポートゾーンを作成できます。 トランスポートゾーンとは何ですか？ インフラストラクチャが十分に大きい場合、約100のesxiサーバー、クラスターあたり約10のサーバー、10のクラスターがあると想像してください。 これらのすべてを使用してNSXを操作することはできません。 1つのインフラストラクチャとして使用したものを使用できますが、たとえば複数のグループに分割できます。 最初の3つのクラスターがあると言うことは1つの小島であり、4番目から10番目までは他の小島です。 つまり、トランスポートゾーンを作成することにより、このVXLanセグメントがどこまで広がることができるかを示します。 ここには3つのサーバーがありますが、多くはありませんよね？ したがって、すべてが簡単です。 私が持っているすべてのホストがこのゾーンにいるというだけです。







そしてもう1つの重要なポイント。 ゾーンを設定するとき、情報の交換方法を制御して、IPアドレス、MACアドレスに関する情報を見つけます。 ユニキャスト、L2 Multycast、L3を介してルーティングされるユニキャストが可能です。 繰り返しますが、ネットワークトポロジによって異なります。



これらは予備的なものです。つまり、もう一度繰り返します。ネットワークインフラストラクチャに必要なことは、NSXが動作するすべてのホストが、必要に応じて、IPを使用して互いに通信できることです。通常のルーティング。 そして、2番目のポイントは、相互作用するこのセグメントのMTUは、通常発生する1500ではなく1600バイトであることです。 1600バイトを取得できない場合は、NSXで作成するすべてのデザイン（1400など）にMTUを明示的にねじ込むだけで、1500の物理的な輸送に適合します。







次。 NSXを使用して、論理スイッチを作成できます。 これは、従来のネットワーク（VLanのみ）に比べて簡単です。 唯一のことは、物理サーバーがどこに接続されているかわからないということです。はい、同じスイッチがあります。 理論的には、ネットワークはより複雑になる可能性があります。 あるスイッチに接続されているサーバー、別のスイッチに接続されているサーバー、L2のどこか、L3の場所などがあります。 その結果、実際に論理スイッチを作成し、トラフィックが通過するすべてのスイッチですぐにVLanを切断しました。 なんで？ 実際にVXLanを作成しているため、スイッチに表示される実際の物理トラフィックは、1つのハイパーバイザーのIPアドレスから別のハイパーバイザーのIPアドレスへのトラフィックであり、VXLanコンテンツ内でudpと入力します。







つまり、この方法でネットワークを切断することは非常に簡単です。 「新しいセグメントの作成」、トランスポートユニキャストの種類の選択、どのトランスポートゾーン、つまりこのセグメントがどのesxiクラスターで利用可能かを選択するだけです。 少しお待ちください-これで、このセグメントが表示されます。 実際、これらのセグメントを作成するとどうなりますか？ つまり、そこに仮想マシンを接続する方法は？ これには2つのオプションがあります。



オプション番号1。







ここから先は、仮想マシンを物理ネットワークに接続するということです。 また、一部のお客様は「ああ、これは私たちのネットワーク担当者が望んでいることです」と言っています。 彼らはネットワーク設定に行き、ここで、論理スイッチポートを含むマシンからのコードを持っていると言いますか？ そしてここで、車、ここ、それぞれインターフェースを選択します。



または、2番目のオプション。 実際、論理スイッチを作成するとき、NSX ManagerはサーバーのVセンターにアクセスし、分散スイッチ上にポートグループを作成します。 したがって、実際には、仮想マシンのプロパティに移動して、目的のポートグループを選択し、そこで仮想マシンをオンにするだけです。 名前はプログラムで生成されるため、この論理スイッチの名前、VXLanセグメントの番号が含まれます。 つまり、原則として、通常のVセンタークライアントから、カム論理セグメントで仮想マシンをオンにすることは非常に明確です。







次。 最初から見えていた車がいくつかありましたよね？ そして、これは彼らがどこから来たかです。 NSXは、コアesxi-iのモジュールレベルでいくつかの機能を直接実装します。 これは、たとえば、これらのセグメント間のルーティング、これらのセグメント間の切り替え時のファイアウォール、またはこのセグメント内でさえ、追加の仮想マシンを使用して実装される機能です。 いわゆるEDGEゲートウェイまたは必要な場合の追加サービス。 ここで何が見えますか？ 私のインフラストラクチャには3つあり、そのうちの1つはNSX-dlrと呼ばれ、dlrは分散論理ルーターです。 これは、分散ルーターがNSXで動作できるようにするサービス仮想マシンであり、ネットワークトラフィックは存在せず、データプランではありませんが、たとえば、動的ルーティングプロトコルbgp、ospfを介したルートの交換に分散ルーターが関与している場合、これらのすべてのルートがどこかから、他のルーターが誰かに連絡してこの情報を交換する必要があります。 誰かが「分散ルーターかどうか」のステータスを担当する必要があります。 つまり、実際には、分散ルーターの特定の管理モジュールです。 それを構成するとき、それが確実に機能する必要があることを示すことができます。したがって、HAペアの2つの仮想マシンが実装されます。 何らかの理由で1つが使用できなくなった場合、2つ目は代わりに機能します。 NSXエッジタイプである他の2つのエッジは、NSXによって制御されていない外部ネットワークに向かうトラフィックがルーティングまたは調整される仮想マシンです。 私のシナリオでは、それらは2つのタスクに使用されます：NSXエッジはMUKデータセンターの内部ネットワークに単純に接続され、その後、たとえばVセンターを食い尽くします-通常の標準ポートグループにあるように、そこで動作します。 NSX論理スイッチ上の何らかの仮想マシンでVセンターにアクセスできるようにするには、それらを接続する誰かが必要です。 この仮想マシンは私とそれらを接続します。 彼女は実際に、論理スイッチに接続された1つのインターフェイスと、NSXインターネットエッジと呼ばれるesxiの標準スイッチの通常のポートグループに接続された別のインターフェイスを持っています。 違いを推測しますか？ ほぼ同じですが、接続先のポートグループは、DNZネットワークに接続するポートグループです。DNZネットワークでは、正直な白いインターネットアドレスが機能します。 つまり、現在、そのインターフェースの1つで、白いIPアドレスが構成されており、すでにNSXネットワークを使用してこのデモ環境に接続できます。 したがって、分散ルーティングなどの追加サービスは、ここでファイアウォール項目で設定します。ファイアウォールを実行する場合、NATを実行する場合、ログバランシングを実行する場合、または外部接続を使用してVPNなどを実行する場合は、プロパティを開きますインターネットの端。







少し締め切りますので、見せたいものを全部見せません。

したがって、エッジのプロパティでファイアウォールを制御できます。これは、トラフィックがこの仮想マシンを通過するときに適用されるファイアウォールです。つまり、実際にはある種のファイアウォール境界です。 さらに、dhcp-helperであるため、dhcpサーバーを持つことも、ip-helperとして転送することもできます。 NATを実行できます。ここで必要なのはエッジであり、一方は正直なインターネットに、もう一方は内部ネットワークに見えます。 ロードバランサーがあります。 VPNトンネルのポイントとして、またはクライアント接続のターミネーターとして機能できます。 VPNとVPN Plusの2つのタブがあります。 VPNは、VCNSまたはNSXテクノロジーを使用して、エッジと別のエッジ間、エッジとクラウド間、エッジとプロバイダーのクラウド間を結ぶサイトです。 SSL VPN Plus-ラップトップまたはユーザーに配置できるさまざまなオペレーティングシステム用のクライアントがあり、VPNへのインフラストラクチャに接続できます。







さて、ほんの少しの最後の瞬間。 分散ファイアウォール、つまりファイアウォールは各ホストに適用されます;ここでは、ルールとしてマスクを含むIPアドレス、パケット番号、ポート番号、仮想マシン名を指定できます。 名前がupで始まるすべてのマシンから、14：33までに名前がdbで始まるすべてのマシンに移動できるようにするルールを作成します。 Vセンターのパパにいるマシンからのトラフィックを許可し、別のパパに移動し、アクティブディレクトリに接続します。マシンが特定の広告グループにある場合、トラフィックを許可し、そうでない場合はトラフィックを拒否します。 さて、他のさまざまなオプション。







さらに、再び、トラフィックをどうするか？ 3つのアクション：許可、拒否、拒否。 禁止と廃棄物の違いは何ですか？ どちらもトラフィックをブロックします。 しかし、1つは静かにそれを行い、2つ目はトラフィックが殺されたというメッセージを送り返します。 そして、診断がずっと簡単になります。







そして最後に文字通り重要な追加。 つまり、サービスコンポーザーなどのコンポーネントです。 ここで、NSXをいくつかの追加モジュールと統合できます。たとえば、これは外部ロードバランサー、これはウイルス対策、これは何らかのIDS / IPSシステムです。 つまり、それらを登録できます。 ここにどのような設定があるのか​​を見ることができます。まさにセキュリティグループについて説明することができます。 たとえば、demoUsersグループは、demoUsersグループのユーザーがログインしたマシンに自分自身を含むグループです。 私たちは今何を見ていますか？ 現在、1つの仮想マシンがこのグループに分類されます。 彼女はどこですか ここ。







仮想デスクトップ、そこに接続されたユーザー。 ファイアウォールでルールを作成できます。1つのグループのユーザーが1つのファイルサーバーにアクセスできるようにし、別のグループのユーザーが他のファイルサーバーにアクセスできるようにします。また、VDIデスクトップなど、同じユーザーにログオンする2人のユーザーである場合でも、ファイアウォールは異なるポリシーを異なるユーザーに動的に適用します。したがって、はるかに柔軟なインフラストラクチャを構築できます。さまざまなタイプのユーザーに別々のネットワークセグメント、マシンを選択する必要はありません。つまり、現在ネットワークを使用しているユーザーに応じて、ネットワークポリシーを動的に再構成できます。

---

ウクライナ、ベラルーシ、ジョージア、CIS諸国 でのVMwareソリューションの配布



VMwareトレーニングコース



MUK-Service-あらゆる種類のIT修理：保証、非保証修理、スペアパーツの販売、契約サービス