自宅ラボで NSX-T 2.4 環境を構築する。Part.3



  • NSX-T のネステッド ESXi 環境を利用したラボを構築してみます。

    今回は、ネスト外側の ESXi でのネットワーク設定について紹介します。

     

    前回の投稿はこちら。

    自宅ラボで NSX-T 2.4 環境を構築する。Part.2

     

    1回目投稿にあるイメージ図での赤枠の部分が、今回の対象です。

    物理ネットワーク ~ 物理 NIC、物理 ESXi での仮想スイッチ/ポートグループの構成について説明します。

    NSX-T_Lab-2019_setup_Part03.png

     

    物理(外部)ネットワーク ~ 物理 NIC の構成について。

    NSX-T 環境を構成する場合、ESXi では複数の物理 NIC を利用します。

    しかし、今回のラボで NSX-T をインストールするホストはネステッド ESXi なので、

    物理 ESXi 側では、物理 NIC が1つだけでも十分です。

    (私の自宅ラボの物理マシンが 物理 NIC ポートが1つずつしかないという事情もあります。)

    そこで、物理 ESXi では、1つの 1Gbps の物理 NIC(vmnic0)だけ利用しています。

    nsxt-lab-pNW-02.png

     

    ラボ環境では VLAN も利用するので、物理的なネットワーク スイッチのポートでも

    トランクポートに設定して対象の VLAN ID が通過できるようにしておく必要があります。

    (ただ一般家庭で利用しているようなスイッチング ハブであれば、デフォルトで通るかなとは思います。)

     

    MTU は、オーバーレイ ネットワークを構成するためすこし大きめ(一般的な 1500 ではなく 1600 など)に

    する必要があり、物理スイッチがでもそのサイズの MTU に対応しておく必要があります。

    (ちなみに、これも一般家庭で利用しているようなスイッチング ハブであれば、デフォルトで満たしているはずです。)

    物理 ESXi 側での MTU は仮想スイッチで設定することになります。

     

    仮想スイッチの構成について。

    物理 ESXi での仮想スイッチは、標準仮想スイッチ(vSS)/分散仮想スイッチ(vDS)のどちらでも構いません。

    私のラボでは、物理 ESXi 6 台でのクラスタで vDS を利用しています。

    nsxt-lab-pNW-01.png

     

    NSX-T でのオーバーレイ ネットワークのために、

    仮想スイッチでは MTU を拡張(1600 などに)しておきます。

    仮想スイッチでの MTU 設定は、仮想ポート単位ではなく、スイッチ全体での設定です。

     

    vDS の場合の MTU 設定

    vDS の設定の場合は、vDS で 1回 MTU の設定を変更すれば、すべての ESXi に設定反映されます。

    vDS の MTU は、下記のように vDS の「設定」→「プロパティ」画面で確認できます。

    nsxt-lab-pNW-03.png

     

    vSS の場合の MTU 設定

    vSS の設定の場合は、それぞれの ESXi ホストの vSS(vSwtich0 など)で、MTU の設定を変更する必要があります。

    vSS の MTU 設定は、ESXi ホストで仮想スイッチの「設定の表示」を開くと確認できます。

    nsxt-lab-pNW-04a.png

    nsxt-lab-pNW-04.png

     

    ちなみに、ネステッド ESXi 側でも MTU 1600 に設定する部分がありますが、

    物理 ESXi 側でその値以上に MTU を拡張する必要はありません。

    仮想スイッチについては、ネスト(入れ子)にしているというより連結している構成となるので、

    通常の物理ネットワーク スイッチを連結するときのように経路上の MTU を揃えておきます。

    (外側 ESXi をより大きな MTU にするというわけではなく)

     

    ポートグループの構成について。

    ネスト環境では、ポートグループで VLAN とセキュリティ ポリシーの設定に工夫が必要です。

     

    ちょっと古い投稿ですが、下記のような設定をします。

    ネステッド ESXi で仮想スイッチ側 VLAN をためす。(VLAN4095 で VST)

     

    1つめのポイントは、 VLAN の設定についてです。

    ネスト環境でのネットワーク構成では、

    できるだけ、物理 ESXi ではなくネステッド ESXi 側のネットワーク構成を

    本来構成したいネットワーク(仮想スイッチ/ポートグループ/vNIC)の設定にすると扱いやすいかなと思います。

    そこで、物理 ESXi 側の仮想スイッチでは VLAN をそのまま通して、ネステッド ESXi 側の仮想スイッチで VLAN を終端させます。

    この設定は、物理 ESXi で vDS/vSS のどちらを利用しているかによって設定が異なります。

     

    vSS を利用している場合は、トランクポートの設定ができないので、

    VLAN ID 4095 を設定することで、

    すべての VLAN ID をそのまま通過させてネステッド ESXi 側の仮想スイッチに渡します。

    nsxt-lab-pNW-07.png

     

    vDS を利用している場合、トランクポートの設定ができるので、

    ネステッド ESXi で利用する VLAN ID の範囲をトランクで設定します。

    逆に、vDS では VLAN ID 4095 が設定できないので、

    すべての VLAN ID を通す場合は「0-4094」のように設定します。

    nsxt-lab-pNW-05.png

     

    2つめのポイントは、セキュリティの設定変更です。

    ネステッド ESXi の環境では、ESXi VM 自身の vNIC(ネステッド ESXi での vmnic0 などにあたる)に設定される MAC アドレスと、

    ネステッド ESXi 上の vmk ポートや vNIC とで MAC アドレスとが、不一致になります。

    そのため、物理 ESXi 側の仮想スイッチではセキュリティ設定を緩和(「承諾」に変更)しておく必要があります。

    この設定は、vDS / vSS どちらも共通で必要です。

    (ただし vDS のほうがデフォルト値がセキュリティが高く設定されており、デフォルト値は異なります。)

    なお、標準的にインストールした ESXi の vmk0 ポートは vmnic0 と MAC アドレスが一致するようになっており、

    この設定をしなくても、ネステッド ESXi の vmk0 だけは通信ができてしまうはずです。

    nsxt-lab-pNW-06.png

     

    ちなみに、物理 ESXi に直接搭載する VCSA や NSX Manager の VM については

    とくにネスト環境を意識することなく普通のポートグループを割り当てます。

     

    続く。



    https://communities.vmware.com/people/gowatana/blog/2019/06/12/nsxt24-lab-03

Log in to reply
 

© Lightnetics 2019