VMware NSX は、VMware の vCloud Networking and Security (vCNS) と Nicira の Network Virtualization Platform (NVP) の知的財産から生まれた仮想ネットワーキングおよびセキュリティ ソフトウェア製品群です。
NSX Software-Defined Networking (SDN) は VMware の Software-Defined Data Center (SDDC) コンセプトに含まれ、VMware 仮想化技術上でクラウド コンピューティングを提供します。 VMware の NSX の目標は、コマンドライン インターフェース (CLI) やその他の管理者の直接的な介入なしに仮想ネットワーキング環境をプロビジョニングすることだと明言されています。 ネットワーク仮想化は、サーバ仮想化が処理能力やオペレーティングシステム(OS)に対して行うのと同じように、ネットワーク操作を基礎となるハードウェアから分散仮想化レイヤー上に抽象化する。 VMware vCNSは、ネットワークのレイヤー4-7(L4-L7)を仮想化します。 Nicira の NVP は、ネットワーク ファブリック、レイヤー 2 (L2) およびレイヤー 3 (L3) を仮想化します。
NSX は、論理ファイアウォール、スイッチ、ルーター、ポート、その他のネットワーク要素を公開し、ベンダーに依存しないハイパーバイザー、クラウド管理システム、関連ネットワーク ハードウェア間で仮想ネットワークを可能にします。 NSX の重要な機能
- スイッチング:NSX 論理スイッチは、固有の仮想拡張 LAN (VXLAN) ネットワーク識別子を使用して、L2 ネットワークの論理オーバーレイ拡張を作成し、アプリケーションやテナントの仮想マシン (VM) に論理的に配線できます。 これらの論理ブロードキャスト ドメインにより、より大きな柔軟性とより迅速な展開が可能になり、スプロールのリスクなしに仮想 LAN (VLAN) の特性が提供されます。 NSX は、ハイパーバイザー カーネルで仮想ネットワーク間のルートを作成する論理分散ルーターと、アクティブ-アクティブ フェイルオーバーによるスケールアウト ルーティング用の物理ルーターの両方を使用してルーティングを実行します。 NSX 分散ファイアウォールは、ESXi ホスト上に広がるハイパーバイザー カーネル組み込みのファイアウォールです。 ネットワーク管理者は、仮想ネットワーク インターフェイス カード (vNIC) レベルで実施されるカスタム ファイアウォール ポリシーを作成して、VM に対してステートフル ファイアウォール サービスを実施し、仮想化ネットワークとワークロードの可視性と制御を向上させることができます。 NSX は、L4-L7 ロード バランサーを提供し、ネットワーク トラフィックを傍受、変換、操作して、エンタープライズ アプリケーションの可用性とスケーラビリティを向上させます。 NSX ロードバランサーは、パススルーとサーバーのヘルスチェックのための SSL(Secure Sockets Layer)オフロードのサポートを含んでいます。 L4 ロード バランサーは、パケットを操作した後に特定のサーバーに送信するパケットベースのロード バランシングを提供し、L7 ロード バランサーは、単一のリクエストに対してクライアントおよびサーバー向けの接続を確立する、ソケットベースのロード バランシングを提供します。 NSX には、サイト間およびリモート アクセス VPN 機能と、クラウド ゲートウェイ サービス用のアンマネージド VPN が含まれています。 NSX Edge ゲートウェイは、アプライアンスのように動作する VM で、L3 ルーティング、ファイアウォール、サイト間の仮想プライベート ネットワーク、ロードバランシングなどを実行します。 この機能は、物理ワークロードへのシームレスな接続のための VXLAN から VLAN へのブリッジングもサポートします。
- アプリケーション プログラミング インターフェイス(API)。 NSX では、REST (Representational State Transfer) ベースの API を使用して、サードパーティの製品とサービスの統合を簡素化し、NSX をクラウド管理と統合して自動化機能を追加しています。 ネイティブの運用機能には、中央CLI、SPAN(Switch Port Analyzer)、IPFIX(IP Flow Information Export)、ARM(Application Rule Manager)、エンドポイント監視、VMware vRealize Suiteとの統合によるプロアクティブな監視、分析、トラブルシューティングが含まれます。 NSX Service Composer を使用すると、ネットワーク管理者は、ネットワークとセキュリティのサービスをプロビジョニングしてアプリケーションに割り当てることができます。 また、管理者はService Composerを使用して、VMware vCenterオブジェクトとタグ、OSタイプ、Active Directory(AD)ロールなどのカスタム フィルターを使用して動的なセキュリティ グループを作成することができます。 NSX は、クラウド管理のために vRealize Automation および OpenStack とネイティブに統合されています。
- Cross-vCenter Networking and Security (Cross-VC NSX):VMware、VMware vCenter、および OpenStack を横断するネットワークとセキュリティ。 この機能は、vCenter とデータセンターの境界を越えて NSX vSphere を拡張します。 これにより、ネットワーク管理者は、vCenter をまたがる容量プーリングへの対応、データセンターの移行の簡素化、長距離 vMotion の実行、および災害復旧 (DR) の実行を行うことができます。 NSX は vRealize Log Insight と統合されており、ESXi ホストからログ エントリを受け取り、コンテンツ パックを使用して各ログ エントリが含む情報を処理し、NSX 展開内の問題を特定します。
NSX use cases
VMware によると、NSX 採用の推進要因となる上位 3 つの使用事例は、マイクロセグメンテーション、IT 自動化およびDR です。 これらのユースケースは、トラフィック パフォーマンスの低下や不十分なセキュリティなど、ネットワーク仮想化に一般的に関連する問題の解決を目的としています。
これらのユースケースの最初のマイクロセグメンテーションは、ネットワーク セキュリティに対応しています。 マイクロセグメンテーションは、セグメンテーションという一般的なネットワーキングの実践を取り入れ、それを粒度の細かいレベルで適用します。 これにより、ネットワーク管理者は、特定のリソース (通常はワークロードまたはネットワーク セグメント) の周囲にゼロトラストのセキュリティ境界を確立し、データ センターに東西方向のファイアウォール機能を追加することができます。 NSX では、ネットワーク トポロジーのどこに位置するかにかかわらず、管理者が特定のワークロードに対して追加のセキュリティ ポリシーを作成することもできます。 ネットワーク管理者は、ワークロード、リソース、およびセキュリティ ポリシーがすでに接続された新しいネットワークまたはネットワーク セグメントを迅速にプロビジョニングできます。 これにより、ボトルネックが解消され、NSX はアプリケーション テストや不安定なワークロードを扱うのに理想的となり、NSX は同じ物理ネットワーク上で論理的に分離された状態を維持できます。 NSX は、フェイルオーバーと DR を自動化する vSphere Site Recovery Manager (SRM) などのオーケストレーション ツールと統合されています。 NSX と組み合わせると、SRM をストレージのレプリケーションに使用したり、リカバリ プランを管理およびテストしたりすることができます。 SRM は Cross-VC NSX とも統合されています。 NSX 6.2 で導入された Cross-VC NSX は、複数の vCenter で論理的なネットワークとセキュリティを実現し、手動で介入することなく、一貫したセキュリティ ポリシーを簡単に適用できるようにします。 Cross-VC NSXと組み合わせて使用すると、SRMは保護サイトと復旧サイトにわたるユニバーサルネットワークを自動的にマッピングします。
NSX ライセンスとバージョン
2016年5月にVMwareはNSXライセンス体系を更新し、エンタープライズ製品のフルライセンスを補完する2つの新しいライセンス — StandardとAdvanced –を導入しました。
VMwareによると、NSX Standardライセンスは、ネットワークの俊敏性と自動化を必要とする組織向けで、分散スイッチング、分散ルーティング、vRealize SuiteやOpenStackとの統合などの機能が含まれている。 ミッドレンジライセンスのNSX Advancedは、Standardライセンスと同じ機能に加え、より安全なデータセンターのためのマイクロセグメンテーションや、NSX Edgeロードバランシングや分散ファイアウォールなどの機能を提供します。 最上位ライセンスであるNSX Enterpriseは、Advancedライセンスと同じ機能に加え、Cross-VC NSXなどの機能により複数のドメインにまたがるネットワーキングとセキュリティが提供されます。
VMwareは2017年5月にNSXのライセンス体系を再び更新しました–今回は、NSX for Remote and Branch Offices(ROBO)のエディションを導入しました。
これらのNSXライセンスに加え、VMware顧客はNSX-TとNSX Cloudを購入できる選択肢も持っています。 2017 年 2 月にリリースされた NSX-T は、vSphere 以外のアプリケーション フレームワーク、複数の KVM (Kernel-based Virtual Machine) ディストリビューション、および OpenStack 環境向けのネットワーキングとセキュリティ管理を提供します。 NSX-Tは、コンテナ向けのVMwareのクラウドネイティブインフラストラクチャソフトウェアであるPhoton Platformもサポートしています。 NSX Cloud は、NSX-T のコンポーネントをパブリック クラウドと統合したものです。 NSX Cloudのユーザーは、VMware Cloud Servicesと統合されたマルチテナントのダッシュボードにアクセスし、本番環境で使用されるのと同じネットワークとセキュリティ プロファイルを使用して、アプリケーションを開発およびテストできます。
認定とトレーニング
VMware では、NSXに対して、レベルの異なる5つの認定を実施しています。 VMware の NSX 認定資格のエントリ レベルである VMware Certified Professional 6 – Network Virtualization (VCP6-NV) は、NSX 仮想ネットワーキング実装をインストール、構成、管理する候補者の能力を実証するものである。
中レベルの NSX 認定資格である VMware Certified Advanced Professional 6 – Network Virtualization (VCAP6-NV) は、NSX ベースのデータ センター ネットワーキング インフラストラクチャを展開する候補者の能力を実証するものです。 VCAP6-NV Design 認定を取得した受験者は、VMware Certified Implementation Expert 6 – Network Virtualization (VCIX6-NV) 認定を受ける資格があります。 VMware が VCAP6-NV Design 認定をリリースすると、VCAP6-NV Deploy および Design 認定を両方取得した候補者は、自動的に VCIX6-NV 資格を取得します。
NSX 認定の最高レベルの VMware Certified Design Expert 6 – Network Virtualization (VCDX6-NV) は、vSphere および NSX に関する候補者の知識、ならびに NSX に基づくデータ センター ネットワークのインフラを設計する能力を実証するものです。