株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > Broadcom > VCF9のNSX VPCで現れたTransit Gateway「分散接続」とはどのようなものか?

VCF9のNSX VPCで現れたTransit Gateway「分散接続」とはどのようなものか?

Broadcom VMware NSX VMware ネットワーク

こんにちは。ネットワールドSEの藤田です。

VCF9がリリースされました。NSXの機能も強化されています。前回、VCF9で機能が追加されたNSX VPCのTransit Gatewayによるネットワークのセルフサービス化について以下の記事でご紹介しました。
blogs.networld.co.jp

その中で、Transit Gatewayの外部接続方式が2パターンあるとさらりと触れました。前回は「中央集中型接続」を取り上げました。今回は「分散接続」と呼ばれる接続方式をご紹介します。

マニュアルを読んだだけでは、この「分散接続」がどのような挙動をするのかあまりイメージ出来ませんでした。自身の修行不足に恥じ入るばかりです。もしかしたら、VCF9のネットワーク機能を調査されている方で、同じところに頭を抱えている方もいらっしゃるのではないか、、これは放ってはおけません。そこで、「分散接続」がどのような動作になるのか確認してみました。本ブログでその結果を共有することにより、皆様の一助になれば幸いです。

免責事項

  • 本書は、株式会社ネットワールド(以下 弊社)が作成・管理します。
  • 本書の記載内容の一部または全部を弊社に無断で改変・転載することを禁じます。
  • 本書の記載内容は、一部または全部が将来予告無く変更されることがあります。
  • 本書の利用は、利用者様の責任において行われるものとします。
  • 本書の記載内容には、最善の注意を払っておりますが、正確性・完全性を保証するものではありません。従いまして、本書の利用によって生じたあらゆる損害に関して、弊社は一切の責任を負いかねます。

概要

本ブログは、VCF9より追加されたVPCのTransit Gatewayの「分散接続」がどのようなものなのかをご紹介します。
以下は本ブログの概要です。

  • Transit Gatewayの「外部接続」は、「中央集中型接続」、「分散接続」に分かれる
  • 「中央集中型接続」はNSX Edgeを必要とするフル機能のVPCを提供する
  • 「分散接続」はNSX Edgeを必要としないVLANベースのVPCを提供する
  • 「分散接続」はESXiホスト内部で動作が完結する(DR機能)
  • 「分散接続」の外部接続は、2パターンの方法がある(パブリックサブネットと外部IP)
    • ここがもっともご紹介したい点です!!
  • 「分散接続」の簡単な構成例を紹介する

それではまず、NSX VPCの簡単な説明から、「外部接続」がどのようなものか見ていきましょう。

外部接続とは?

本ブログ冒頭に挙げた前回の投稿より、VPCを簡単に振り返りましょう。
NSX VPCとはパブリッククラウドのIaaSサービスと同様に、ネットワーク設定のセルフサービス化を実現する機能でした。そして、VCF9において、同一テナント(Project)内に配置された複数のVPCを接続するためのTransit Gatewayが実装されたのでした。前回は「中央集中型接続」を前提として、以下のようなネットワークを例として提示しました。

これは、基盤管理者とテナント管理者の管理する範囲が混在している図です。テナント管理者の観点から見れば、以下が適切な構成図となります。

テナントの管理範囲(Project)の外部との接続は、「外部接続」として抽象化されています。外部接続方式は以下の2タイプがあります。

  • 中央集中型接続
  • 分散接続

前回ご紹介した「中央集中型接続」も、今回ご紹介する「分散接続」も、テナントの内部のネットワーク構成としては変わりません。Transit Gatewayがあり、その配下にVPCを収容するVPC Gatewayがある、という構成です。そして、Transit Gatewayから外部は、基盤管理者がなんらかの方法で提供しているのだろう、、となるわけです。

さて、これから「分散接続」によるTransit Gatewayの外部接続方法をご紹介します。これは主に基盤管理者側のオプションとなります。どのような形態で収容したテナントを外部へ接続させるのか、、まずは「中央集中型接続」との比較から、「分散接続」へ迫りましょう。

中央集中型接続との違いは?

まず中央集中型接続のイメージを以下に挙げます。かなり簡略化している点はご了承ください。

このオプションはデータパスにNSX Edgeを配置します。そうすることで、NATやゲートウェイFWなどのネットワークサービスを提供できます。NSXをフル活用したいのであれば、迷わず選択すべきオプションでしょう。

ただ、既存の構成にNSX Edgeを追加するのは避けたい、という要望も考えられます。NSXのレイヤーを挟むことで、上位機器とのルーティングを検討する必要が生じます。環境によっては変更が難しいケースもあるでしょう。

現状はすべてVLANで構成しており、上位のL3スイッチを引き続きデフォルトゲートウェイに指定したい、、など。このようなVLANベースのネットワークはNSXのネットワーク仮想化機能の恩恵を受けることはできないのでしょうか?

そこでもっと簡単に導入できるオプションが「分散接続」です。VLANベースのネットワークへ、以下のようにNSXの機能を組み込みます。

ESXiホストの中にTransit GatewayもVPC Gatewayも入れ込んでしまいました。こうすることで、VLANネットワークには変更を加えず、VLAN配下にNSXによるネットワークを構成することができるのです。

こうなるとNSX Edgeも不要になるわけですね。SDNって感じがします。

どのような仕組みで動いているのか?

ではこのようなルータはどのような仕組みで動いているのでしょうか。

これは、分散論理ルータ(DR)ですべて構成されています。分散論理ルータは以下のブログをご参照ください。

blogs.networld.co.jp

すごいざっくり説明すると、同じ設定のルータを全ESXiホストで動かしているとお考え下さい。分散仮想スイッチも同じスイッチの設定を各ESXiホストへ適用する技術ですよね?それと同じです。

一方、NSX Edge VM内部で動作するルータを、サービスルータ(SR)と呼びます。「中央集中型接続」はこちらも活用した構成となります。SRと比べ、DRは機能的に制約があります。VPCに関連して言えば、DRのみの「分散接続」は1対1NAT、DHCPしかルータに紐づくネットワークサービスは使用できません。(2025/7/25時点)このような制約はありながらも、VLAN環境へ最小限の変更でNSXを入れ込むことができるのが「分散接続」となります。

どのようなネットワークが構成できるのか?

後段の説明に必要なため、テナント内でどのようなネットワークが構成されるのか確認しておきましょう。

  1. 外部接続
    • 基盤管理者により管理
    • 中央集中型接続、分散接続の2タイプがある
  2. Transit Gateway
    • テナント(Project)単位でVPC Gatewayを集約するルータ
    • 外部接続とVPC Gateway間の接続性を提供
  3. VPC Gateway
    • VPCごとに構成されるルータ
    • 以下のサブネットを配下に構成可能
      • Public
        • 外部接続経由でルーティングできる
      • Private TGW
        • Transit Gatewayまでルーティングできる
      • Private VPC
        • VPC Gatewayまでルーティングできる

VPC内のVPC GatewayはVMが接続するサブネットが構成されます。Transit GatewayはVPC Gateway間、あるいは外部接続との通信をルーティングします。Transit Gatewayから外部への接続方式は2タイプあり、本ブログは「分散接続」を紹介することが目的となります。

各サブネットは通信できる範囲が決まってます。上記図を参考にしてください。

どのようにVLANへ接続するのか?

さて、本ブログの本題です。この分散接続は、どのようにしてVLANへ接続するのでしょうか。
方法は以下の二通りです。

  • 外部IP(1対1NAT)を使用する
    • Private TGW、Private VPC サブネットが対象
  • パブリックサブネットを使用する
    • Public サブネットが対象

まず外部IPから見ていきましょう。

外部IP(1対1NAT)

これはVPC Gateway、もしくはTransit Gatewayで1対1NATを構成する方法です。

仮想マシンのvNIC単位で外部IPを有効化すると、そのvNICのIPアドレスに対して1対1NATが構成されます。そのvNICが接続しているサブネットの種類でNATの適用箇所が異なります。

  • Private TGW
    • Transit GatewayでNATが有効化
  • Private VPC
    • VPC GatewayでNATが有効化

これらのサブネットは、NATがなければVLAN経由で疎通することができません。特定の仮想マシンのみVLAN経由のアクセスを許可したい場合に有効な設定です。
1対1NATはステートレスで動作するため、DRのみの「分散接続」でも使用することができるというわけですね。

Public サブネット

次はPublicサブネットを利用する方法です。
Publicサブネットは、VLANで構成されたサブネットよりネットワークを切り出して割り当てます。
以下の図で示したように、例えば「192.168.1.0/24」がVLANのサブネットだとすると、それを「192.168.1.16/28」というように切り出します。

「192.168.1.16/28」のPublicサブネットに接続した仮想マシンのデフォルトゲートウェイは、VPC Gatewayです。この場合は「192.168.1.17」が該当します。分散仮想ルータ(DR)の仕様より、どのESXiホスト上も同じIPアドレスでVPC Gatewayのインターフェイスは構成されます。

そこからVPC Gateway、Transit Gatewayへと渡され、VLAN内のデフォルトゲートウェイにさらにパケットが転送されるという流れになります。
それぞれの視点からは以下のように見えます。

  • VLAN上のデフォルトゲートウェイ
    • VPCサブネットへ接続した仮想マシンは同一ブロードキャストドメインに接続しているように見える
      • Transit GatewayがプロキシARPを処理することにより実現する
  • VPCサブネット上の仮想マシン
    • VPC Gatewayがデフォルトゲートウェイとなる
    • VLAN上のデフォルゲートウェイは別サブネットに存在する
      • ルーティングで疎通する対象である

どちらのVLAN接続方法でも同様ですが、VLAN上のデフォルトゲートウェイからTransit Gateway、VPC Gatewayの存在が意識されることはありません。


分散接続の構成例

ここでは簡単な分散接続の活用例を見てみましょう。
例えば何かしらのソフトウェアのハンズオンをしなければならなくなったとします。ハンズオンの参加者にはそれぞれ環境を用意しなくてはなりません。それらの環境は同じものをコピーして準備したいと考えています。基本的に外部からのアクセスは必要ありませんが、ハンズオン参加者より踏み台へのみRDP接続を許可したい、とします。

上記は踏み台にのみ外部IPを設定し、VLAN経由でのRDP接続を許可した例です。RDP接続後、ハンズオン参加者は踏み台より自VPC内のネットワークへアクセスすることができます。Private VPCでVPCサブネットを構成しているため、各VPCはネットワーク的に独立しています。そのため、VPC間でサブネットが重複しても問題は発生しません。

VLANネットワーク観点では、踏み台のみがVLANへ接続しているように見えます。

ここでは単純化して、VPCサブネットをひとつしか用意していません。要件に応じて、複数のサブネットで仮想マシンを展開することもできます。

まとめ

Transit Gatewayの「分散接続」についてご紹介しました。ESXiホストだけでルータが構成できるなんてSDNっぽくて面白いですよね。VLANがあれば、他に追加のコンポーネントは必要ありません。NSX Edgeすらも不要です。既存の構成を変更するのは難しい、、というような環境にぜひ検討してみては如何でしょうか。

ありがとうございました。