OCVSにおけるNSX Federation (2026/04/30)

OCVSにおけるNSX Federation (2026/04/30)

https://blogs.oracle.com/cloud-infrastructure/nsx-fed-ocvs

投稿者:Bilal Ahmed | Virtualization Back Belt

はじめに

組織がマルチリージョンおよびハイブリッドクラウドアーキテクチャへと移行するにつれ、拠点間で一貫したネットワークおよびセキュリティポリシーを維持することがますます複雑になります。そこでVMware NSX Federationが強力なソリューションとなります。

NSX Federationを使用すると、顧客はグローバルマネージャを使用して複数のNSX展開(サイト)にわたるネットワークおよびセキュリティポリシーを一元的に管理でき、ローカルマネージャ上でローカルにポリシーが適用されます。

NSX Federationの主な利点は以下のとおりです。

  • 中央集権的な政策管理
  • サイト全体で一貫したセキュリティ体制
  • 災害復旧とモビリティの簡素化

Oracle Cloud VMware Solution (OCVS) において、NSX Federation は特に価値があります。なぜなら、NSX 内のオーバーレイ ネットワークを単一の管理画面から運用制御しながら、ソフトウェア定義ネットワークを複数の SDDC またはリージョンに拡張できるからです。

OCVSでNSXフェデレーションを行う理由とは?

OCVS(VCF BYOLライセンス付き)は、Oracle Cloudインフラストラクチャ上でネイティブに動作するVMware SDDCスタック全体を提供します。NSX Federationと組み合わせることで、以下のことが可能になります。

  • 複数リージョンへのアプリケーションデプロイ
  • 一貫したネットワーク接続による災害復旧
  • 中央集権的なセキュリティポリシーの適用
  • SDDC間でのワークロードのモビリティ

NSX環境をそれぞれ個別に構成するのではなく、フェデレーション機能により、ネットワーク構成要素(ティア0、ティア1、セグメント、ファイアウォールルール)を一度定義してグローバルに適用することが可能になります。

そのため、リージョン固有のVLANを使用してネイティブOCIサービスに直接アクセスしたり、NSXオーバーレイセグメントをすべてのVMwareワークロードに使用したりすることで、ビジネスニーズに合わせて柔軟に運用を行うことができます。

NSXフェデレーションのコアコンポーネント

グローバルマネージャー(GM) – ローカルマネージャーと同様に、各サイトに3台の仮想マシン(VM)としてデプロイされます。1つのサイトがプライマリ、残りのサイトはスタンバイとなります。お客様は、SDDCのデプロイ後にOVAファイルからこれらのVMをデプロイする必要があります。

• フェデレーションの制御プレーン
• 次のようなグローバルオブジェクトを定義します。
• Tier-0 / Tier-1 ゲートウェイ
• セグメント
• セキュリティ ポリシー

ローカルマネージャー(LM) – 標準のSDDC展開の一環として、3台のローカルマネージャーが展開されます。
担当業務:

• グローバルマネージャーからプッシュされた構成を実現する
• ローカルでの強制と状態を管理する

NSX Federationの要件

Federationの要件

考慮すべき重要な点:

  • NSX Federationをサポートするには、環境が往復時間、ソフトウェアバージョン、ポートなど、さまざまな要件を満たしている必要があります。
  • 以下のノード間の往復時間は最大500ミリ秒以内でなければなりません。
    • 現役グローバルマネージャーと待機グローバルマネージャー。
    • グローバルマネージャーとローカルマネージャー。
    • クロスロケーションのセキュリティ構成のみの場合は、ローカルマネージャとリモートローカルマネージャを使用します。クロスネットワーク構成の場合は、VMware NSX® Edge Nodes RTEPとリモートEdge Nodes RTEPを使用します。
  • グローバルマネージャおよびローカルマネージャのアプライアンスには、すべてNSX 3.1.0以降がインストールされている必要があります。NSXフェデレーション環境内のすべてのアプライアンスには、同じバージョンがインストールされている必要があります。
  • グローバルマネージャとローカルマネージャ間の通信を可能にするには、必要なポートを開放する必要があります。詳細については、VMwareのポートとプロトコルに関するドキュメント(https://ports.broadcom.com/home/NSX)を参照してください。
  • 以下のノード間では、NATを使用せずに接続が確立されている必要があります。
    • グローバルマネージャーとローカルマネージャー。
    • 現地マネージャーと遠隔地の現地マネージャー。
    • エッジノードRTEPとリモートエッジノードRTEP。

SDDCの展開

これが私たちが目指す最終状態です。

Edge TEPを介したクロスサイトトラフィックによる最終状態
Edge TEPを介したクロスサイトトラフィックによる最終状態

今回の導入では、フランクフルトとアムステルダムにそれぞれ1つずつ、同一のSDDC(ソフトウェア定義データセンター)を2つ導入します。

フランクフルトVCNは172.21.0.0/22を使用しています。

フランクフルトVCN CIDR
フランクフルトVCN CIDR

フランクフルトSDDCは172.21.2.0/23を使用しています。

フランクフルトOCVS VLAN
フランクフルトOCVS VLAN

アムステルダムVCNは172.23.0.0/22を使用しています。

アムステルダムVCN CIDR
アムステルダムVCN CIDR

アムステルダムSDDCは172.23.0.0/23を使用しています。

アムステルダムOCVS VLAN
アムステルダムOCVS VLAN

SDDCの作成後、各サイトにEdge RTEP用のVLANを1つ追加で作成する必要があります。これにより、エッジノード同士が通信し、サイト間でトラフィックを送信できるようになります。

OCI/OCVSでVLANを作成する

フランクフルトでは、172.21.3.128/27 VLAN 1407 を使用します。

フランクフルトRTEP VLAN
フランクフルトRTEP VLAN

アムステルダムでは、172.23.3.128/27 VLAN 3909を使用します。

アムステルダム RTEP VLAN
アムステルダム RTEP VLAN

各VLANは独自のルーティングテーブルとネットワークセキュリティグループを持ち、両方のVCNはローカルDRGに接続され、DRGは地域間ルーティングのためにピアリングされます。

これら2つのVLANのルーティングテーブルとネットワークセキュリティグループを調査すると、次のことがわかります。

フランクフルトからは、アムステルダムRTEP CIDRへのDRG路線があります。

フランクフルトRTEP VLANルーティングテーブル
フランクフルトRTEP VLANルーティングテーブル

ネットワークセキュリティグループ(NSG)には2つのルールがあり、1つはアムステルダムのRTEPからのトラフィックの流入を許可するルール、もう1つはすべての出力を許可するルールです。

フランクフルトにおけるRTEP VLAN用NSG
フランクフルトにおけるRTEP VLAN用NSG

アムステルダムからフランクフルトCIDRへのDRGルートがあります。

アムステルダムRTEP VLANルーティングテーブル
アムステルダムRTEP VLANルーティングテーブル

ネットワークセキュリティグループ(NSG)には2つのルールがあり、1つはアムステルダムのRTEPからのトラフィックの流入を許可するルール、もう1つはすべての出力を許可するルールです。

アムステルダムのRTEP VLAN用NSG
アムステルダムのRTEP VLAN用NSG

セキュリティポリシーや要件によっては、これらの設定をより厳しくすることも可能ですが、テスト目的においてはこれらの設定で十分です。詳細については 、 https://ports.broadcom.com/home/NSXを参照してください。

NSXグローバルマネージャーの展開

各SDDCには、SDDCの展開の一環として既に作成されている3つのローカルマネージャーに加えて、3つのグローバルマネージャーを展開する必要があります。

最初のグローバルマネージャは、vCenterにOVA経由でデプロイされます。

初回OVAアップロード
初回OVAアップロード

マネージャーに必要なサイズを選択してください。

グローバルマネージャーの規模選択
グローバルマネージャーの規模選択

今回展開するネットワークはvSphereネットワークです。

グローバルマネージャーに適したネットワークを選択してください
グローバルマネージャーに適したネットワークを選択してください

その理由は、SDDC 用の VMware 管理コンポーネントはすべてデフォルトでこのネットワークにデプロイされるため、ローカルマネージャ、グローバルマネージャ、vCenter/ESXi ホスト間の通信が容易になるためです。

重要なのは「グローバルマネージャー」オプションを選択することです。

グローバルマネージャー選定オプション
グローバルマネージャー選定オプション

これにより、OVAファイルからグローバルマネージャーが確実にデプロイされ、別のローカルマネージャーがデプロイされることはありません。

OCVS VLANでは、最初に使用可能なIPアドレスは常にゲートウェイであり、このIPアドレスはDNSとNTPにも使用されることに注意してください。したがって、フランクフルトのvSphere VLANは172.21.3.0/27で、172.21.3.1がゲートウェイです。すべて静的に割り当てられ、DHCPは使用されていないため、使用する未使用のIPアドレスを見つける必要があります。

デプロイと電源投入が完了したら、デプロイ時に指定したユーザー名「admin」とパスワードを使用してグローバルマネージャーにログインしてください。

vCenterをグローバルマネージャにコンピューティングマネージャとして追加します。

グローバルマネージャーにCompute Manager/vCenterを追加する
グローバルマネージャーにCompute Manager/vCenterを追加する

これで、グローバルマネージャーインターフェイスの「NSXアプライアンスの追加」オプションを使用して、残りの2つのグローバルマネージャーをデプロイできます。

NSX Global Managerがフランクフルトにインストールされました
NSX Global Managerがフランクフルトにインストールされました

次に、VIPを設定する必要があります。なぜなら、すべての操作においてこのVIPが参照されるからです。

フランクフルトについては、以下の設定を行いました。

  • Nsx-fra-gm VIP 172.21.3.14
  • Nsx-fra-gm1 172.21.3.15
  • Nsx-fra-gm2 172.21.3.16
  • Nsx-fra-gm3 172.21.3.17

次に、もう一方のサイトでも全く同じ手順を実行してください。

アムステルダムでは、以下の設定を行いました。

NSX Global Managerがアムステルダムにインストールされました

NSX Global Managerがアムステルダムにインストールされました
  • Nsx-fed-ams-gm vip 172.23.3.14
  • Nsx-fed-ams-gm1 172.23.3.15
  • Nsx-fed-ams-gm2 172.23.3.16
  • Nsx-fed-ams-gm3 172.23.3.1

今回のデプロイメントではフランクフルトがプライマリサイトとなるため、アムステルダムのグローバルマネージャーをスタンバイサイトとして追加する必要があります。これはフランクフルトのインターフェースから行い、リモートサイトのグローバルマネージャーにはVIPを使用する必要があります。

NSXグローバルマネージャーが追加され、アムステルダムがスタンバイとして設定されました。
NSXグローバルマネージャーが追加され、アムステルダムがスタンバイとして設定されました。

この処理が完了すると同期処理が開始され、同期中にいくつか奇妙なエラーメッセージが表示される場合がありますが、これらは数分後には解消されます。

この部分を実行できずエラーが発生する場合は、おそらく両サイトのvSphere VLANにおけるルーティングルールとNSGルールに問題があると考えられます。ルーティングテーブルはDRGへのトラフィックをルーティングできる必要があり、NSGは適切なトラフィックを通過させる必要があります。

フランクフルトのvSphere VLANには、以下のものが含まれています。

フランクフルト vSphere VLAN
フランクフルト vSphere VLAN

アムステルダムOCVS環境へのすべてのトラフィックは、ローカルの分散ルーティングゲートウェイ(DRG)に送信されます。

NSGは、両方のデプロイメントからのすべてのトラフィックへのアクセスと、すべての送信トラフィックの通過を許可するように構成されています。

フランクフルトvSphere VLAN用NSG
フランクフルトvSphere VLAN用NSG

アムステルダムのvSphere VLANには、以下のものが含まれています。

アムステルダムvSphere VLAN
アムステルダムvSphere VLAN

フランクフルトOCVS環境へのすべてのトラフィックは、ローカルDRGに送られます。

NSGは、両方のデプロイメントからのすべてのトラフィックへのアクセスと、すべての送信トラフィックの通過を許可するように構成されています。

アムステルダムのvSphere VLAN用NSG
アムステルダムのvSphere VLAN用NSG

両拠点の現地マネージャーを追加

アクティブなグローバルマネージャー(この場合はフランクフルト)から、両拠点のローカルマネージャーを追加できます。

ローカルマネージャーを追加する
ローカルマネージャーを追加する

NSXローカルマネージャクラスタにはVIPを使用する必要があります

ローカルマネージャーの詳細(SHA-256指紋を含む)
ローカルマネージャーの詳細(SHA-256指紋を含む)

プライマリグローバルマネージャーを介して両方のローカルマネージャーセットを追加できます。追加が完了すると、次のようになります。

すべてのマネージャーが追加されました
すべてのマネージャーが追加されました

グローバルマネージャーの場合と同様に、同期処理が行われ、完了までに数分かかる場合があります。その間、時折奇妙なエラーが表示されることがありますが、これは正常な動作であり、想定内のことです。

RTEPの設定

リモートTEP(RTEP)インターフェースは、特定のサイトのエッジクラスタ内の各エッジノードに設定され、拡張ネットワーク機能を実現します。これらのインターフェースは、サイト間通信が必要な場合にのみ必要となります。RTEPは、標準のエッジTEPインターフェースで使用されるVLANとは別のVLAN上に配置する必要があります。現在、各エッジノードは1つのRTEPインターフェースのみをサポートしています。

RTEPの設定後、各エッジノードは他のサイトのエッジノードとフルメッシュのGeneveトンネル(内部トランスポートセグメントとして使用)を形成します。これらのトンネルは、リモートエッジノードの可用性を監視するためのハートビートトラフィックを伝送します。

以前の NSX-T バージョンでは、サイト間通信にハイパーバイザー TEP を使用していましたが、現在はハイパーバイザー TEP はレイヤ 2 拡張のためにサイト間に Geneve トンネルを作成しません。代わりに、サイト間のレイヤ 2 トラフィックはすべて、エッジ ノード上の RTEP 間に確立されたトンネルを介して伝送されます。拡張された各レイヤ 2 セグメントは、RTEP 対応のエッジ ノードにデプロイされた L2 フォワーダー コンポーネントに関連付けられています。この L2 フォワーダーは、設計に応じてアクティブ/スタンバイ モードまたはアクティブ/アクティブ モードのいずれかで動作できます。その結果、RTEP 対応のエッジ ノードが、関連付けられたセグメントのサイト間トラフィック転送を処理します。

  • RTEP用にIPプールを作成する必要があります。

各ローカルマネージャで「IPアドレスプール」を選択し、RTEP用のプールを作成します。

フランクフルト向けには、以下のものを作成しました。

IPプールサブネットを作成する
IPプールサブネットを作成する

以前作成した VLAN が 172.21.3.128/27 であることがわかっているので、172.21.3.130-172.21.3.135 を使用しました。

最初のIPは常にG/Wなので、この場合、最初に使用可能なIPは.130です。

フランクフルトのIPアドレスプール
フランクフルトのIPアドレスプール

アムステルダム向けには、以下のものを作成しました。

IPプールサブネットを作成する
IPプールサブネットを作成する

以前作成した VLAN が 172.23.3.128/27 であることがわかっているので、172.23.3.130-172.23.3.135 を使用しました。

最初のIPは常にG/Wなので、最初の使用可能なIPは.130です。

アムステルダムのIPアドレスプール
アムステルダムのIPアドレスプール

これで設定が完了したので、グローバルマネージャのインターフェースからRTEPを設定できます。

インターフェースから「ネットワーク」オプションを選択してください。

Edge RTEP の設定
Edge RTEP の設定

次にウィザード画面が表示され、必要な情報を入力します。

  • エッジノード
  • チーム編成ポリシー
  • RTEP VLAN
  • IPプール
  • MTU

チーミングポリシーとMTUはデフォルトのままで構いません。

エッジの設定
エッジの設定

両方のサイトでこれを実行してください。

新しく作成されたシステムトランスポートゾーンが正しいスイッチに接続されていることを確認することが重要です。

各ローカルマネージャで、各エッジノードを編集し、新しいシステムトランスポートゾーンがvds02に接続されていることを確認します。

エッジノードを編集
エッジノードを編集
システム輸送ゾーンを確認する
システム輸送ゾーンを確認する

デフォルトではvds01が選択される可能性がありますが、これは誤りです。vds02にはfp-eth1アップリンクがあり、これはすべての南北トラフィックを処理するedge-nsネットワークスイッチに接続されています。

次のステップは、各ローカルマネージャ内のエッジns論理スイッチにRTEP VLANを追加することです。

RTEP VLANをedge-ns論理スイッチに追加する
RTEP VLANをedge-ns論理スイッチに追加する

見つけにくい場合は、検索機能を使って「edge-ns」で検索してください。

フランクフルトの場合、RTEP VLANは1407であることがわかっています。

RTEP VLANを追加する
RTEP VLANを追加する

アムステルダムの場合、RTEP VLANは3909であることがわかっています。

RTEP VLANを追加する
RTEP VLANを追加する

最後のステップは、各ローカルサイトでデフォルトのトランスポートゾーンを設定することです。

デフォルトの輸送ゾーン
デフォルトの輸送ゾーン

Overlay-TZがデフォルトに設定されていることを確認してください。これはOCVSで使用するために設定されている設定です。この設定は両方のサイトで行う必要があります。

これらが追加されると、エッジデバイスは安全な接続を確立し、トラフィックの複製を開始できるようになります。

グローバルT0/T1およびセグメントを作成する際に、以下のいずれかのエラーが発生する場合は、以下の手順に従ってください。

エラー1
エラー1
エラー2
エラー2

Overlay-TZをデフォルトに設定しなかったことが原因です。

これはセグメント設定で確認できます。

オーバーレイ-TZ
オーバーレイ-TZ

nsx-overlay-transportzoneなどを使用している場合、エッジは正しいトランスポート ゾーンの一部とはならず、データは通過しません。

この時点で全てが緑色になっているはずですので、グローバルT0/T1とセグメントを自由に作成できます。

グローバルマネージャーの設定が成功しました
グローバルマネージャーの設定が成功しました
ストレッチT0
ストレッチT0
ストレッチT1
ストレッチT1
引き伸ばされたセグメント
引き伸ばされたセグメント

VMトラフィックフロー

クロスサイトVM通信

同一セグメント内のサイト間で通信する必要のある仮想マシン(VM)の場合、トラフィックはエッジノードを経由する必要があります。なぜなら、エッジノードはネットワークレベルでサイト同士を接続する唯一の方法だからです。

それによって遅延が発生するため、ワークロードの配置場所に関する決定に影響を与える可能性があります。

クロスサイトトラフィック
クロスサイトトラフィック

ゲートウェイアクセス

OCIサービスやインターネットにアクセスする必要のあるVMは、エッジを通過する必要があり、セグメント内の出口ポイントは常に片側にしか存在しません。

アムステルダムのVM Bが10.10.10.1ゲートウェイを経由する必要がある場合、ローカルのNSX Edgeを使用してフランクフルトへ接続し、フランクフルトのエッジがルーティングを行います。VM Aが10.10.10.1ゲートウェイへ接続する必要がある場合、ローカルのNSX Edgeを使用してローカルで接続します。

ゲートウェイアクセス
ゲートウェイアクセス

謝辞

寄稿者:スティーブ・ドッカー(ブロードコム)およびアディール・アミン

コメント

コメントを投稿

このブログの人気の投稿

Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20)

イメージ
Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20) https://mikedietrichde.com/2024/11/20/important-update-to-oracle-database-19c-support-timelines/ 長い沈黙は、私が隠れているという意味ではありません。つまり、今はとても忙しいということです。そして、より少ない旅行で、私はあなたのコメントにもブログと返信するより多くの時間を持っていることを願っています。それでも、Oracle Database 19cサポート・タイムラインの非常に重要な更新について説明します。 * 更新された内容 2024年11月19日現在、Oracle Database 19cのサポート・タイムラインが調整されています。 MOSノート: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールを見ると、新しい日付が表示されます。 Premier Support、2029年12月31日まで 2030年1月1日から2032年12月31日までの拡張サポート 2033年1月1日から2034年12月31日までのアップグレード・サポート これは知ることがとても大切です。 他のリリースの更新はありますか。 MOSノートの終わりにある変更ログ: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールでは、Oracle Database 21cの最新の更新も確認できます。このリリースのPremier Support期間は、2027年7月31日まで延長されました。 また、Oracle Database 23aiのパッチ適用終了日は2032年12月31日に設定されています。 Lifetime Support Policy 更新は、Oracle Technology Productsの Oracle Lifetime Support Policy (6ページ)でも確認できます。 From: Oracle Lifetime Support Policy for Oracle Technology Product s – page 6 – Nov 19, 2024 特に、次の表に示す制限事項に注意してください。 Oracle Database 1...
続きを読む

ミリ秒の問題: BCCグループとOCIが市場データ・パフォーマンスを再定義する方法(AWSに対するベンチマークを使用) (2025/11/13)

イメージ
ミリ秒の問題: BCCグループとOCIが市場データ・パフォーマンスを再定義する方法(AWSに対するベンチマークを使用) (2025/11/13) https://blogs.oracle.com/cloud-infrastructure/post/milliseconds-matter-bcc-group-and-oci-vs-aws 投稿者: Steven Riley | Senior Cloud Architect William Bierds | Business Analyst and Systems Engineer - BCC Group International Travis Liles | Master Principal Cloud Architect Puru Patel | Cloud Architect - FSI これは、BCC グループと Oracle Cloud Infrastructure (OCI) 間の市場データ パートナーシップを紹介するブログ シリーズの第 2 部です。   はじめに 金融市場データアプリケーションは、トレーダー、金融機関、そして市場参加者が情報に基づいた意思決定を行えるよう、リアルタイムデータを提供することで、取引エコシステムにおいて重要な役割を果たしています。 前回のブログ で述べたように、取引環境において最適なパフォーマンスを確保するには、市場データを超低レイテンシかつ高い信頼性で配信する必要があります。 今日の急速に変化する金融市場において、クラウドは市場データ・アプリケーションにとって強力な推進力として台頭しています。適切なネットワークとインフラストラクチャがあれば、企業は実行時間の短縮、可用性の向上、そして堅牢なセキュリティを実現できます。しかし、企業によるクラウド導入は遅れており、ワークロードのクラウド移行計画を中止しているケースもあります。そこで、BCCグループとOracle Cloud Infrastructure(OCI)のパートナーシップが注目されています。 BCCグループは、主力市場データアプリケーションであるONE PlatformをOCI上に導入しました。このブログでは、以下の点について説明します。 このパートナーシップがなぜこれほど相乗効果をもたらすのかを探る OC...
続きを読む

OCIのカスタム・ルート表を使用した詳細なルーティング制御 (2025/02/27)

イメージ
OCIのカスタム・ルート表を使用した詳細なルーティング制御 (2025/02/27) https://www.ateam-oracle.com/post/granular-routing-control-with-custom-route-tables-in-oci 投稿者: Achinthya Gopinath | Principal Cloud Architect OCIでは、カスタムVCNルート表をVNIC上の個々のVNICまたは特定のIPアドレスに割り当てることができるため、ルーティングの柔軟性を高める強力な新機能が導入されました。この更新により、異なるトラフィック・ルーティング・ポリシーを必要とするインスタンスに対して個別のサブネットを作成する必要がなくなります。 概要: 以前は、VCNルート表はサブネット・レベルでのみ割り当てられていました。つまり、同じサブネット内の異なるインスタンスで異なるルーティング・ルールが必要な場合は、別々のサブネットを作成し、ネットワーク設計に複雑さを加える必要がありました。 この機能により、次のことができるようになりました。 •    カスタムVCNルート表をVNICまたはVNICの特定のIPアドレスに割り当てます。 •    プライマリIPアドレスとセカンダリIPアドレスの両方にルーティング・ポリシーを適用します。 •    階層ルート表のプリファレンスを有効にします。このプリファレンスは、使用するルート表を決定する構造化アプローチに従います。 ルーティングに関する考慮事項: •    一度にトラフィック・ルーティングを決定するために使用されるルート表は1つのみです。 •    ルート表がIPアドレスに関連付けられている場合は、他のルート表よりも優先されます。 •    IPアドレス/VNICにルート表がない場合は、階層内の次に使用可能なルート表(VNICレベルまたはサブネット・レベル)が使用されます。 詳細の選択プロセス: 1.    VNICのIPアドレスにルート表が関連付けられている場合、その表はIPアドレスからのトラフィックのルーティングに使用されます。 2.  ...
続きを読む