NSX-v 対 NSX-T：徹底比較

仮想化は、データセンターの構築方法に革命的な変化をもたらしました。現代のデータセンターの大部分はハードウェア仮想化を採用しており、物理サーバーをハイパーバイザーとして展開し、そのサーバー上で仮想マシンを実行しています。このアプローチにより、データセンターの拡張性、柔軟性、およびコスト効率が向上します。 VMwareは仮想化市場における主要企業の一つであり、その製品はIT業界で高い評価を得ています。特に、VMware ESXiハイパーバイザーとVMware vCenterは、VMware vSphere仮想化ソリューションの主要コンポーネントとして広く知られています。

ネットワークは、仮想化データセンターを含むあらゆるデータセンターにおいて不可欠な要素です。仮想化データセンターに大規模なネットワークや複雑なネットワーク構成が必要な場合は、ソフトウェア定義ネットワーク(SDN)の導入を検討してください。 ソフトウェア定義ネットワーク(SDN)は、ネットワークの俊敏性と柔軟性を高めることを目的としたアーキテクチャです。SDNの目標は、企業やサービスプロバイダーが変化するビジネス要件に迅速に対応できるようにすることで、ネットワーク制御を向上させることにあります。VMwareはお客様を第一に考え、ソフトウェア定義ネットワークを構築するためのVMware NSXソリューションを提供しています。本日のブログ記事では、VMware NSXについて解説し、VMware NSX-vとVMware NSX-Tの違いを探ります。

NAKIVO for VMware vSphere バックアップ

VMware vSphere 仮想マシン(VM)の包括的なデータ保護と即時復旧機能。オンプレミス、オフサイト、クラウド上の安全なバックアップ先。ランサムウェア対策機能。

ソリューションを見る

VMware NSXとは何か、またどのように活用できるのか？

VMware NSXは、仮想化されたデータセンター内でソフトウェア定義ネットワークを構築できるネットワーク仮想化ソリューションです。仮想マシン(VM)が物理サーバーのハードウェアから抽象化されるのと同様に、スイッチ、ポート、ルーター、ファイアウォールなどを含む仮想ネットワークが仮想空間内に構築されます。仮想ネットワークは、基盤となるハードウェアとは独立してプロビジョニングおよび管理されます。仮想マシンは、仮想ポートに接続され、 仮想スイッチ; 仮想ネットワーク間の接続は仮想ルーターによって行われ、アクセスルールは仮想ファイアウォール上で設定されます。また、ネットワーク負荷分散機能も利用可能です。VMware NSXは、 VMware vCloud Networking & Security (vCNS)、および2012年にVMwareに買収されたNicira NVP。

マイクロセグメンテーション

仮想環境において複数のネットワーク間のアクセスを設定する際、従来のアプローチでは通常、物理ルーターやVM上で動作するエッジゲートウェイが導入されますが、この方法は特に高速でも便利でもありません。VMwareは、ハイパーバイザーのコアに組み込まれた分散型ファイアウォールを活用することで、NSXにマイクロセグメンテーションの概念を実装しました。セキュリティポリシーや、IPアドレス、MACアドレス、VM、アプリケーション、その他のオブジェクトに対するネットワーク通信パラメータは、すべてこの分散型ファイアウォールで設定されます。 Active Directoryドメインコントローラー(ADDC)が使用されている企業内でNSXを導入している場合、Active Directoryのユーザーやグループなどのオブジェクトを使用してルールを設定できます。各オブジェクトは、独自のDMZ(非武装地帯)を持つ適切なネットワーク内の、独自のセキュリティ境界におけるマイクロセグメントと見なすことができます。

分散型ファイアウォールを使用すると、仮想マシンなどの仮想データセンターエンティティをセグメント化できます。セグメント化は、VM名や属性、ユーザーID、データセンターやホストなどのvCenterオブジェクトに基づいて行うことも、IPアドレスやポートグループなどの従来のネットワーク属性に基づいて行うこともできます。

Edge Firewallコンポーネントは、IP/VLAN構成に基づくDMZの構築、マルチテナント仮想データセンターにおけるテナント間の分離、ネットワークアドレス変換(NAT)、パートナー(エクストラネット)VPN、およびユーザーベースのSSL VPNなど、主要な境界セキュリティ要件を満たすのに役立ちます。

仮想マシン(VM)があるホストから別のホストへ、つまりあるサブネットから別のサブネットへ移行された場合、アクセスルールやセキュリティポリシーは新しい配置に合わせて適用されます。移行先のVM上でデータベースサーバーが実行されている場合、ファイアウォールでそのVMに設定されたルールは、別のホストやネットワークへの移行完了後も引き続き有効となり、データベースサーバーは移行対象外だったVM上で実行されているアプリケーションサーバーにアクセスできるようになります。 これは、VMware NSX を使用することで実現される柔軟性と自動化の向上の実例です。NSX は、クラウドプロバイダーや大規模な仮想インフラストラクチャにおいて特に有用です。VMware は、NSX ソフトウェア定義ネットワークプラットフォームとして、NSX-v と NSX-T の 2 種類を提供しています。

vSphere向けNSX(NSX-v) は VMware vSphere と緊密に連携しており、 VMware vCenter. VMware NSX-vはvSphereハイパーバイザー環境専用の製品であり、NSX-Tよりも前に開発されました。

NSX-T(NSX-Transformers) は、さまざまな仮想化プラットフォームやマルチハイパーバイザー環境向けに設計されており、NSX-vが適用できないケースでも利用可能です。NSX-vがVMware vSphere向けのSDNのみをサポートするのに対し、NSX-TはKVM、Docker、Kubernetes、OpenStack向けのネットワーク仮想化スタックに加え、AWSネイティブワークロードもサポートしています。 VMware NSX-TはvCenter Serverなしで展開可能であり、異種混在のコンピューティングシステムに採用されています。

NSX-vの主な使用シナリオは、以下の表に示されています。この表は3行に分かれており、そのうち1行はシナリオのカテゴリを説明しています。NSX-Tの使用シナリオは太字で強調表示されています。

NSXのコンポーネント

VMware NSXの主な構成要素は、NSX Manager、NSXコントローラー、およびNSX Edgeゲートウェイです。

NSX Manager は、NSXのネットワーク管理を担う集中管理コンポーネントです。NSX Managerは、vCenterによって管理されているESXiサーバーの1台に、仮想マシン(OVAテンプレートから)として展開できます。NSX-vを使用している場合、NSX Managerは1台のvCenter Serverでのみ動作しますが、NSX-T用のNSX ManagerはESXi VMまたはKVM VMとして展開でき、複数のvCenter Serverと同時に連携して動作します。

vSphere用NSX Manager は、以下の Photon OS (vCenter Server Applianceと同様です)。

NSX-T Manager Ubuntuオペレーティングシステム上で動作します。

NSXコントローラー. NSXコントローラーは、トランスポートトンネルのオーバーレイや仮想ネットワークの制御に使用される分散型ステート管理システムであり、ESXiまたはKVMハイパーバイザー上に仮想マシン(VM)として展開可能です。NSXコントローラーはネットワーク内のすべての論理スイッチを制御し、VM、ホスト、スイッチ、およびVXLANに関する情報を管理します。3つのコントローラーノードを配置することで、1つのNSXコントローラーノードに障害が発生した場合でも、データの冗長性が確保されます。

NSX Edge これは、仮想マシン(VM)に対して物理ネットワークおよび仮想ネットワークへのアクセスを提供するゲートウェイサービスです。NSX Edgeは、分散型仮想ルーターまたはサービスゲートウェイとして導入できます。以下のサービスを提供可能です:動的ルーティング、ファイアウォール、ネットワークアドレス変換(NAT)、動的ホスト構成プロトコル(DHCP)、仮想プライベートネットワーク(VPN)、ロードバランシング、および高可用性。

導入オプション

NSX-vとNSX-Tのデプロイメントの概念は、非常に似ています。NSXをデプロイするには、以下の手順を実行してください:

• 仮想アプライアンスを使用して、ESXiホスト上にNSX ManagerをVMとしてデプロイします。vSphere vCenter(NSX-vの場合)にNSX Managerを必ず登録してください。NSX-Tを使用している場合、VMware NSX-TではNSX Managerのクラスターを作成できるため、KVMホスト上に仮想アプライアンスとしてNSX Managerをデプロイすることができます。
• NSXコントローラーを3台展開し、NSXコントローラークラスターを作成します。
• インストール VIBs NSX-vをご利用の場合は、ESXiホストに(カーネルモジュール)をインストールして、分散ファイアウォール、分散ルーティング、およびVXLANを有効にしてください。NSX-Tをご利用の場合は、KVMハイパーバイザーにもカーネルモジュールをインストールする必要があります。
• ESXi上にNSX EdgeをVMとしてインストールする(NSX-vおよびNSX-T用)。 NSX-Tをご利用の場合で、ESXi上にEdgeを仮想マシンとしてインストールできない場合は、Edgeを物理サーバーに展開することができます。現時点では、KVMハイパーバイザー上でのEdgeの仮想マシンとしてのインストールはサポートされていません(NSX-T v.2.3の場合)。Edgeを物理サーバーに展開する必要がある場合は、その前にハードウェア互換性リスト(特にCPUとNICについて)を確認してください。

NSXの共通機能

どちらのNSXタイプでも利用可能な一連の機能があります。

NSX-vとNSX-Tに共通する機能は以下の通りです:

• ソフトウェアベースのネットワーク仮想化
• ソフトウェアベースのオーバーレイ
• 分散ルーティング
• 分散型ファイアウォール
• APIを活用した自動化
• 詳細なモニタリングと統計

NSX-vとNSX-TではAPIが異なる点にご注意ください。

ライセンス

どちらのNSXタイプについても、ライセンス体系は共通しており、より高い柔軟性と汎用性を提供します。例えば、NSX for vSphereを使用するためのライセンスを購入した場合、インフラストラクチャに変更が生じ、NSX-Tの導入が必要になったとしても、ESXi-v用に取得したライセンスをそのまま利用できます。NSXはNSXであり、ライセンスエディションも同一であるため、ライセンスの観点からは区別がありません。

オーバーレイカプセル化

仮想ネットワーク向けのオーバーレイカプセル化は、レイヤ3上でレイヤ2情報を伝送することで仮想ネットワークを抽象化するために使用されます。既存の物理インフラストラクチャ上の既存のレイヤ3ネットワーク(IPネットワーク)上に、論理的なレイヤ2ネットワークが構築されます。その結果、VM間の経路にルーティングが必要であっても、2つのVMがネットワークを介して相互に通信できるようになります。この物理ネットワークは、アンダーレイネットワークと呼ばれます。

VXLAN 対 GENEV

NSX-vはVXLANカプセル化プロトコルを使用しますが、NSX-Tは GENEVE それはより新しいプロトコルです。

VXLAN。VXLANではMAC over IPカプセル化が使用され、ネットワーク分離の仕組みはVLAN技術とは異なります。従来のVLANでは、802.1q規格に基づきネットワーク数が4094に制限されており、イーサネットフレームヘッダーに4バイトを追加することで、物理ネットワークのレイヤ2上でネットワーク分離が行われます。 VXLANの仮想ネットワークの最大数は2^24です。この場合、各仮想ネットワークを識別するためにVXLANネットワーク識別子が使用されます。オーバーレイネットワークのレイヤ2フレームは、物理ネットワーク上で送信されるUDPデータグラム内にカプセル化されます。この場合のUDPポート番号は4789です。

VXLANヘッダーは、以下の部分で構成されています。

• 8ビットがフラグ用に使用されます。Iフラグは、 VXLAN Network ID (VNI) 有効です。残りの7ビットはRフィールドであり、予約済みであるため、送信時にはゼロに設定する必要があります。ゼロに設定されたRフィールドは、受信時に無視されます。
• VXLAN Network Identifier (VNI) 別名 VXLAN Segment ID これは、VM間の通信に使用される個々のオーバーレイネットワークを決定するために使用される24ビットの値です。
• 予約フィールド(24ビットおよび8ビット)は、受信時にゼロに設定し、無視する必要があります。

VXLANヘッダーのサイズは固定されており、8バイトです。VXLANでは、MTUを1600バイト以上に設定し、ジャンボフレームを使用することを推奨します。

GENEVE. その GENEVE ヘッダーはVXLANとよく似ており、以下の構造になっています:

• コンパクトなトンネルヘッダーは、IP上のUDPでカプセル化されます。
• 制御情報を提供し、基本的な機能と相互運用性を確保するために、小型の固定トンネルヘッダーが使用されます。
• 将来のイノベーションに対応できるよう、可変長オプションが用意されています。

の大きさは GENEVE ヘッダーは可変です。

NSX-Tでは GENEVE (GEneric NEtwork Virtualization Encapsulation) NIC(ネットワークインターフェースコントローラ)で利用可能な従来のオフロード機能を維持し、最高のパフォーマンスを実現するトンネリングプロトコルとして機能します。オーバーレイヘッダーに追加のメタデータを付加することで、データ転送レイヤーにおけるエンドツーエンドのテレメトリ、データ追跡、暗号化、セキュリティなどの情報を処理するためのコンテキストの区別を向上させることができます。メタデータに含まれる追加情報は、 TLV (型、長さ、値)。 GENEVE は、VMware、Intel、Red Hat、およびMicrosoftによって開発されています。 GENEVE は、以下の優れたコンセプトに基づいています VXLAN, STT そして NVGRE カプセル化プロトコル。

ジャンボフレームを使用する場合、MTU値は少なくとも1700バイトでなければなりません。 GENEVE 可変長メタデータフィールドによって引き起こされるカプセル化 GENEVE ヘッダー(ご記憶の通り、VXLANではMTU 1600以上が使用されます)。

本節で説明したオーバーレイカプセル化の違いにより、NSX-vとNSX-Tは互換性がありません。

レイヤー2ネットワーク

これで、仮想レイヤ2イーサネットフレームがIPネットワーク上でどのようにカプセル化されるかが理解できたと思います。そこで、次はNSX-vおよびNSX-Tにおける仮想レイヤ2ネットワークの実装について見ていきましょう。

トランスポートノードと仮想スイッチ

トランスポートノードと仮想スイッチは、NSXのデータ転送コンポーネントです。

輸送拠点 (TN) は、トラフィックの転送および NSX ネットワークオーバーレイに参加する NSX 互換デバイスです。ノードがトランスポートノードとして機能するには、ホストスイッチを備えている必要があります。

NSX-v vSphere 分散仮想スイッチの使用が必要です (VDS) vSphereでは通常通りです。NSX-vでは標準の仮想スイッチは使用できません。

NSX-T ここでは、NSX-T分散仮想スイッチを展開する必要があるものと想定しています(N-VDS). Open vSwitches (OVS) KVMホストにはKVMスイッチが、ESXiホストにはVMware vSwitchが使用されますが、これらをこの目的で使用することも可能です。

N-VDS (以前はホストスイッチと呼ばれていた仮想分散スイッチ)は、トランスポートノード上のNSXソフトウェアコンポーネントであり、トラフィックの転送を行います。 N-VDS これは、トラフィックを転送し、少なくとも1つの物理ネットワークインターフェースコントローラ(NIC)を保有する、トランスポートノードのデータプレーンの主要な構成要素です。 NSX Switches (N-VDS) 各トランスポートノードは独立していますが、一元管理のために同じ名前を割り当てることでグループ化することができます。

ESXiハイパーバイザー上では N-VDS は、VMware vSphere Distributed Switch を使用して、 NSX-vSwitch ハイパーバイザーのカーネルに読み込まれるモジュール。KVMハイパーバイザーでは、hostswitchは Open-vSwitch (OVS) モジュール。

輸送ゾーン これらはNSX-vとNSX-Tの両方で利用可能です。トランスポートゾーンは、論理ネットワークの配布範囲を定義します。各トランスポートゾーンは、対応するNSXスイッチ(N-VDS)にリンクされています。 NSX-Tのトランスポートゾーンはクラスタにはリンクされません。

GENEVEカプセル化のため、VMware NSX-TにはオーバーレイとVLANの2種類のトランスポートゾーンがあります。一方、VMware NSX-vでは、トランスポートゾーンはVXLANの配布範囲のみを定義します。

論理スイッチのレプリケーションモード

異なるホスト上に存在する2台の仮想マシンが直接通信する場合、ユニキャストトラフィックは、フラッディングを行う必要なく、ハイパーバイザーに割り当てられた2つのエンドポイントIPアドレス間でカプセル化モードで交換されます。ただし、送信元が宛先ネットワークインターフェースのMACアドレスを知らない場合など、仮想マシンから発信されたレイヤ2ネットワークトラフィックを、従来の物理ネットワークにおけるレイヤ2トラフィックと同様にフラッディングしなければならない場合があります。 これは、同じトラフィック(ブロードキャスト、ユニキャスト、マルチキャスト)を、同じ論理スイッチに接続されているすべてのVMに送信する必要があることを意味します。VMが異なるホスト上に存在する場合、トラフィックはそれらのホストにレプリケートされる必要があります。ブロードキャスト、ユニキャスト、マルチキャストのトラフィックは、BUMトラフィックとも呼ばれます。

NSX-vとNSX-Tのレプリケーションモードの違いを見てみましょう。

NSX-v ユニキャストモード、マルチキャストモード、およびハイブリッドモードに対応しています。

NSX-T ユニキャストモードをサポートしており、以下の2つのオプションがあります:階層型2層レプリケーション(最適化済み、NSX-vと同様)およびヘッドレプリケーション(最適化されていない)。

ARP抑制 ネットワーク上で送信されるARPブロードキャストトラフィックの量を削減し、ユニキャストおよびハイブリッドのトラフィックレプリケーションモードで利用可能です。したがって、ARP抑制機能はNSX-vとNSX-Tの両方で利用可能です。

VM1がVM2のMACアドレスを確認するためにARPリクエストを送信すると、そのARPリクエストは論理スイッチによって傍受されます。 スイッチが VM2 のターゲットネットワークインターフェースに対する ARP エントリをすでに保持している場合、スイッチから VM1 へ ARP 応答が送信されます。 そうでない場合、スイッチは ARP 要求を NSX コントローラに送信します。NSX コントローラに VM の IP と MAC のバインディングに関する情報が含まれている場合、コントローラはそのバインディングを含む応答を送信し、その後、論理スイッチが VM1 に ARP 応答を送信します。NSX コントローラに ARP エントリがない場合、ARP 要求は論理スイッチ上で再ブロードキャストされます。

NSXのレイヤー2ブリッジング

レイヤー2ブリッジングは、オーバーレイネットワークからVLANへのワークロードの移行や、物理ワークロードと仮想ワークロード間でサブネットを分割する際に役立ちます。

NSX-v: この機能は、制御用VMが実行されているハイパーバイザーのカーネルレベルで動作します。

NSX-T: この目的のために、個別のNSXブリッジノードが作成されます。NSXブリッジノードをクラスターに構成することで、ソリューション全体の耐障害性を向上させることができます。

NSX-v コントロール VM では、高可用性 (HA) スキームを使用して冗長性が実装されていました。1 つの VM コピーがアクティブ状態になり、もう 1 つの VM コピーはスタンバイ状態になります。アクティブな VM に障害が発生した場合、VM を切り替えてスタンバイ VM をアクティブ化し、読み込むまでに時間がかかることがあります。NSX-T では、HA のためにアクティブ/スタンバイ方式の代わりに耐障害性クラスタが使用されるため、この欠点はありません。

ルーティングモデル

VMware NSX をご利用の場合、以下の用語が使用されます:

東西方向の交通 これは、データセンター内のネットワークを介してデータを転送することを指します。図中の水平線は通常、ローカルエリアネットワーク(LAN)のトラフィックを表すため、この特定の種類のトラフィックにはこの名称が用いられます。

南北方向の交通 これは、クライアント・サーバー間のトラフィック、あるいはデータセンターとデータセンター外の場所(外部ネットワーク)との間でやり取りされるトラフィックを指します。図中の縦線は、通常、この種のネットワークトラフィックを表しています。

分散論理ルーター (DLR) は、静的ルートや、OSPF、IS-IS、BGP などの動的ルーティングプロトコルを利用できる仮想ルーターです。

賃借人 これは、マネージド・サービス・プロバイダー(MSP)が提供する、隔離されたセキュアな環境へのアクセス権を持つ顧客または組織を指します。大規模な組織では、各部門を単一のテナントと見なすことで、マルチテナント・アーキテクチャを活用できます。VMware NSXは、Infrastructure as a Service(IaaS)の提供において特に有用です。

NSX-vにおけるルーティング

NSX for vSphere は、DLR(分散論理ルーター)と集中型ルーティングを採用しています。各ハイパーバイザーにはルーティングカーネルモジュールが搭載されており、分散ルーター上の論理インターフェース(LIF)間のルーティングを実行します。

例えば、データベースを実行する VM、アプリケーションサーバーを実行する VM、Web サーバーを実行する VM の 3 つのセグメントがある場合の、NSX-v の典型的なルーティング構成を考えてみましょう。 これらのセグメント(スカイブルー、グリーン、ディープブルー)のVMは、分散型論理ルーター(DLR)に接続されており、DLRはエッジゲートウェイ(NSX Edge)を介して外部ネットワークに接続されています。

複数のテナントを運用する場合、多層構成のNSX Edgeを使用するか、各テナントに専用のDLRとコントローラーVMを割り当てることができます。後者の場合、コントローラーVMはエッジクラスター上に配置されます。 NSX Edgeゲートウェイは、DHCP、VPN、NAT、動的ルーティング、ロードバランシングなどの共通ゲートウェイサービスを提供することで、隔離されたスタブネットワークを共有(アップリンク)ネットワークに接続します。NSX Edgeの一般的な導入例には、DMZ、VPNエクストラネット、およびNSX Edgeが各テナントごとに仮想境界を作成するマルチテナントクラウド環境などがあります。

もし、VMが配置されている場所からトラフィックを送信する必要がある場合は、 セグメントA (青)最初の入居者の セグメントA 2番目のテナントのトラフィックは、NSX Edgeゲートウェイを経由する必要があります。この場合、トラフィックは指定されたNSX Edgeゲートウェイという単一の通過点を経由する必要があるため、分散ルーティングは行われません。

また、コンポーネントが"管理クラスター"、"エッジクラスター"、"コンピュートクラスター"の各クラスターに分割されている構成図から、その動作原理を確認することもできます。この例では、各クラスターで 2 台の ESXi ホストが使用されています。同じ ESXi ホスト上で 2 台の VM が実行されているものの、それらが異なるネットワークセグメントに属している場合、トラフィックはエッジクラスター内の別の ESXi ホスト上に配置された NSX エッジゲートウェイを経由して送信されます。 ルーティング後、このトラフィックは送信元および宛先のVMが実行されているESXiホストへ戻される必要があります。

この場合、トラフィックの転送経路は最適ではありません。エッジゲートウェイを用いたマルチテナントモデルにおける分散ルーティングのメリットを活かせないため、ネットワークトラフィックの遅延が大きくなってしまいます。

NSX-Tにおけるルーティング

NSX-Tでは、前述の問題を解決するために、2層型の分散ルーティングモデルを採用しています。両者とも Tier0 そして Tier1 トランスポートノード上に作成されますが、後者は必須ではありませんが、スケーラビリティの向上を目的としています。

トラフィックは、VMが実行されているESXiまたはKVMハイパーバイザー上でルーティングが行われるため、最適な経路を使用して送信されます。固定のルーティングポイントを使用しなければならないのは、外部ネットワークに接続する場合のみです。ハイパーバイザーを実行しているサーバーには、個別のエッジノードが展開されています。

Edgeノードでは、BGP、NAT、エッジファイアウォールなどの追加サービスを有効化でき、これらをクラスターに統合することで可用性を向上させることができます。さらに、NSX-Tは障害検出の高速化も実現します。簡単に言えば、ルーティングを分散させる最善の方法は、仮想化インフラストラクチャ内でルーティングを行うことです。

仮想ネットワークのIPアドレス割り当て

設定を行う際は NSX-v、NSXセグメント内のIPアドレス割り当て計画を策定する必要があります。この場合、DLRとEdgeゲートウェイを接続するトランジット論理スイッチも追加する必要があります。多数のEdgeゲートウェイを使用している場合は、これらのEdgeゲートウェイによって接続されるセグメントのIPアドレス割り当てスキームを策定する必要があります。

NSX-Tただし、これらは必須ではありません。間のすべてのネットワークセグメント Tier0 そして Tier1 IPアドレスを自動的に取得します。動的ルーティングプロトコルは使用されず、代わりに静的ルートが使用されます。システムがコンポーネントを自動的に接続するため、設定が容易になります。サービス(トランジット)ネットワークのコンポーネントに対するIPアドレスの割り当て計画に多くの時間を費やす必要はありません。

交通検査のための統合

NSX-v エージェントレス型アンチウイルス、高度なファイアウォール(次世代ファイアウォール)、IDS(侵入検知システム)、IPS(侵入防止システム)、およびその他のトラフィック検査サービスといったサードパーティ製サービスとの連携機能を提供します。記載された各種トラフィック検査との連携は、保護された環境下でハイパーバイザーカーネル層において行われます。 VMCI bus(仮想マシン通信インターフェース)。

NSX-T 現時点では、これらの機能は提供されていません。

セキュリティ

NSX-v および NSX-T では、カーネルレベルの分散ファイアウォールを設定でき、これは仮想マシンの仮想アダプタレベルで動作します。どちらの NSX タイプでもスイッチセキュリティオプションが利用可能ですが、 “Rate-limit Broadcast & Multicast traffic” このオプションはNSX-Tでのみ利用可能です。

NSX-Tでは、よりきめ細かなルール適用が可能となり、トランスポートノードをより合理的に活用できます。例えば、論理スイッチ、論理ポート、NSGroupといったオブジェクトに基づいてルールを適用できます。この機能を活用することで、論理スイッチ、論理ポート、またはNSGroupインスタンスにおけるルールセットの設定を削減し、効率性と最適化をさらに高めることができます。 また、マルチテナント展開をサポートするだけでなく、スケールスペースとルール検索サイクルを節約し、テナント固有のルール(該当するテナントのワークロードに適用されるルール)を適用することも可能です。

ルールの作成および適用プロセスは、NSX-vとNSX-Tの両方で非常に似ています。違いは、NSX-T用に作成されたポリシーはすべてのコントローラーに送信され、そこでルールがIPアドレスに変換されるのに対し、NSX-vではポリシーが即座に vShield Firewall Daemon (VSFWD).

NSX-v 対 NSX-T – 比較表

VMware NSXの最も注目すべき機能についてご理解いただけたところで、本記事で取り上げたNSX-vとNSX-Tの主な機能をまとめ、表で比較してみましょう。

結論

vSphere環境のみを使用する場合はNSX-vが最適なソリューションですが、NSX-TはvSphereだけでなく、仮想ネットワークの構築においてKVM、Docker、Kubernetes、OpenStackといった仮想化プラットフォームにも利用可能です。 どちらのタイプのNSXが優れているかという明確な答えはありません。NSX-vとNSX-Tのどちらを使用すべきかは、お客様のニーズと各NSXタイプが提供する機能によって異なります。

NSXのライセンスポリシーはユーザーフレンドリーで、使用するNSXのタイプに関わらず、NSXライセンスは1つ購入するだけで済みます。 後で、ニーズに応じてNSX-v環境にNSX-Tをインストールしたり、その逆を行ったりすることも可能で、その際も1つのNSXライセンスを引き続き使用できます。

NSXソリューションを活用することで、VMwareを使用して独自のソフトウェア定義データセンターを構築できます。VMwareは、 特徴量のクラスタリング 業務の継続性、高可用性、および耐障害性を確保するためには、VMのバックアップは決して無駄な対策ではありません。

データを保護するため、さまざまなプロジェクトに関連する本番環境のVMや、VMware vSphereおよびVMware NSXのコンポーネントとして稼働しているVM(vCenter、NSX Manager、NSX Controller、NSX Edgeなど)を定期的にバックアップしてください。 NAKIVO Backup & Replication …の作成をお手伝いします VMwareのバックアップ クラスタを使用している場合でも、確実かつ効率的に実行できます。

試してみてください NAKIVO Backup & Replication

無料トライアルをご利用いただき、本ソリューションのデータ保護機能をすべてお試しください。15日間無料です。機能や容量の制限は一切ありません。クレジットカードも不要です。

無料でお試しください