DNSレコード登録からの脱却

これまでの検証では、Webブラウザに http://192.168.49.100 のようにIP直打ちでアクセスしていました。
検証ならそれで良いですが、本番運用（ホームラボ的な意味で）では、やはり https://wordpress.avi.lab.local のようなFQDNでアクセスしたいものです。

しかし、VSを追加するたびに、既存のDNSサーバー（ADやBind）の設定ファイルを書き換えてAレコードを追加するのは非常に面倒です。
「AviでVIPを作った瞬間に、DNSレコードも自動で生成してほしい」
これを実現するのが、AviのIPAM/DNS連携機能です。

Aviを「権威DNSサーバー」にする

Aviは単なるロードバランサではなく、高機能なDNSサーバーとしても動作します。
今回は、Avi自身に特定のサブドメイン（例：*.avi.lab.local）の管理を任せる設定を行います。

既存DNS (Bind) との連携

ここで一つの疑問が浮かびます。
「クライアントPCは既存のDNSサーバー（Bind: 192.168.10.9）を見ているのに、どうやってAviのレコードを引くの？」

答えは「フォワーディング（転送）」です。
既存のDNSサーバーに、「avi.lab.local への問い合わせが来たら、Avi (192.168.40.50) に転送してね」と教えるだけでOKです。

hisato@dns09:~$ cat /etc/bind/named.conf.local
// 正引きゾーン
zone "lab.local" {
    type master;
    file "/etc/bind/lab.local.zone";
};

// 逆引きゾーン (192.168.10.x なので 10.168.192.in-addr.arpa)
zone "10.168.192.in-addr.arpa" {
    type master;
    file "/etc/bind/lab.local.zone.rev";
};

// 【追加】avi.lab.local は Avi DNS (192.168.49.53) へフォワード
zone "avi.lab.local" {
    type forward;
    forward only;
    forwarders { 192.168.49.53; }; // Avi DNS VSのIP
};
hisato@dns09:~$

hisato@dns09:~$ cat /etc/bind/named.conf.options
acl internal-network {
        192.168.0.0/16;
        10.0.0.0/8;
        localhost;
};

options {
        directory "/var/cache/bind";

        # 問い合わせを受け付ける範囲
        allow-query { internal-network; };

        # 再帰問い合わせ（インターネットへの転送）を許可
        recursion yes;

        # 上位DNSサーバー（Google DNSなど）
        forwarders {
                8.8.8.8;
        };

        # Ubuntu標準の設定
        dnssec-validation no; //ここを追加
        listen-on-v6 { any; };

        # IPv4のリスン設定 (any または自身のIP)
        listen-on port 53 { any; };
};

sudo systemctl restart bind9
sudo rndc flush  # キャッシュクリアも忘れずに

VSを作るだけで名前解決

最後はVSの作成します。
いつもと手順が異なるのは、VS VIPの作成部分です。
ここで、FQDNを記載していくので見ていきます。

PS C:\Users\hisato> nslookup www.avi.lab.local. 192.168.10.9
サーバー:  dns09.lab.local
Address:  192.168.10.9

権限のない回答:
名前:    www.avi.lab.local
Address:  192.168.49.104

PS C:\Users\hisato>  <-- 引けた！！

Avi導入シリーズ：総まとめ

全4回にわたるAvi Load Balancer導入の旅、いかがでしたでしょうか。
最後に、構築した「最強のホームラボLB基盤」のポイントを振り返ります。

おわりに

「NSXがあるならロードバランサもNSXでいいじゃん」
最初はそう思っていましたが、今なら自信を持って言えます。
「Aviはいいです。」

コントローラーを中心とした集中管理、柔軟なスケーリング、リッチな可視化、そしてインフラとの高度な連携。これらは従来のロードバランサアプライアンスでは味わえない体験でした。
少々構築のハードル（特にメモリとMTU！）は高いですが、それを乗り越えた先には、商用クラウドにも負けない快適なアプリケーション配信基盤が待っています。

ネットワーク構成

ホームラボの構成は以下となっています。
今回、アップデートの通信ができなかったのは、NSXオーバーレイNWの192.168.41.0/24のセグメントでした。

発生した症状：特定の通信だけが「死ぬ」

オーバーレイセグメント（NSX上の仮想ネットワーク）に配置したVMで、以下の現象が発生しました。

• ping（Google DNS等）：正常に応答あり
• dnf upgrade / yum update：ミラーサイトへの接続までは行くが、ダウンロード開始直後にタイムアウト
• SSH経由のvi操作：閲覧はできるが、編集モードで文字を入力するとフリーズする

「通信はできているのに、大きなデータだけ通らない」。
これはネットワークエンジニアにとって「MTU（Maximum Transmission Unit）問題」を疑う典型的なサインです。

[root@web01 ~]# dnf install bash-completion
^CRocky Linux 8 - AppS     [   ===              ] ---  B/s |   0  B     --:-- ETRocky Linux 8 - AppStream                       0.0  B/s |   0  B     00:36
Errors during downloading metadata for repository 'appstream':
Curl error (28): Timeout was reached for https://mirrors.rockylinux.org/mirrorlist?arch=x86_64&repo=AppStream-8&countme=1 [Operation timed out after 30000 milliseconds with 0 out of 0 bytes received]
エラー: repo 'appstream' のメタデータのダウンロードに失敗しました : Cannot prepare internal mirrorlist: Interrupted by signal

徹底調査：パケットの「限界」はどこか？

どこでパケットが詰まっているのか調べるため、ping コマンドでパケットサイズ（ペイロード）を1バイトずつ変えながら「通るギリギリのサイズ」を探ります。 （※ -M do オプションでフラグメント禁止を指定するのがポイントです）

[root@web01 ~]#
[root@web01 ~]# ping -c 3 -M do -s 1415 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 1415(1443) bytes of data.
^C
--- 8.8.8.8 ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms
[root@web01 ~]#
[root@web01 ~]# ping -c 3 -M do -s 1414 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 1414(1442) bytes of data.
1422 bytes from 8.8.8.8: icmp_seq=1 ttl=117 time=12.9 ms
1422 bytes from 8.8.8.8: icmp_seq=2 ttl=117 time=13.9 ms
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 12.854/13.398/13.943/0.556 ms
[root@web01 ~]#

調査の結果、「1414バイト」が運命の境界線であることが判明しました。
たった1バイトの違いで、通信がドロップされていたのです。

原因解明：なぜ「1414バイト」が限界だったのか？

なぜ 1414 という中途半端な数字が限界だったのでしょうか？
これを理解するには、「イーサネットの標準」と「自宅回線の現実」、そして**「NSXのオーバーヘッド」**という3つの要素を計算する必要があります。

トラブルシュート：NSXで直すべきだが…？

原因がわかれば対策はシンプルです。
「通れるサイズになるようにパケットを小さく調整（MSS Clamping）」すれば良いのです。

本来、この設定は仮想ネットワークの出入り口である NSX Tier-0 または Tier-1 Gateway で行うのが王道です。
「Gateway Firewall」や「Segment Profile」の設定で TCP MSS Clamping を設定しようと、NSX 4.2.x のUIをくまなく探しましたが見当たりませんでした。
VPNのIPsecセクションで、MSS Clampingを有効にして、MSSを設定することができるのですが、今回はVPN通信ではありません。

過去のバージョンでは設定箇所が明確でしたが、UIの変更により設定への到達が難解になっていました（あるいは、特定のプロファイル設定が必要で即座に見つけられませんでした）。
ホームラボの検証を進めるのが最優先事項のため、今回はNSX側での対処を一旦ペンディングとしました。

最終解決：物理ルーター「NVR510」で一括制御

パケットが通る経路上のどこかでサイズを制限できれば問題は解決します。
そこで、インターネットへのラストワンマイルを担う物理ルーター、Yamaha NVR510 で対応することとしました。

NVR510側で、「ここを通るTCP通信の最大サイズ（MSS）」を強制的に書き換える設定を投入します。

# LAN側インターフェースとトンネルインターフェースの両方に適用
ip lan1 tcp mss limit 1402
tunnel select 1
 ip tunnel tcp mss limit 1402
save

[root@web01 ~]#
[root@web01 ~]# dnf -y upgrade
Last metadata expiration check: 2:30:19 ago on Sat 27 Dec 2025 12:33:07 AM EST.
Dependencies resolved.
Nothing to do.
Complete!
[root@web01 ~]#

インバウンド通信も不安定？ 最終手段はサーバー設定

NVR510での対策で dnf などの外向き通信（アウトバウンド）は可能になりましたが、実はその後、外部からサーバーへアクセスするインバウンド通信においても若干の不安定さが残る現象に遭遇しました。

ルーターでのMSS調整（TCP MSS Clamping）は強力ですが、あくまでTCP通信の「折衝」に介入するものです。
サーバーのネットワークインターフェース（NIC）自体は「自分は MTU 1500 で送れる」と信じ込んでいるため、UDP通信や特定の条件下では依然としてパケットサイズの不整合が起きる場合があります。
結局、物理的な解決策として、各LinuxサーバーのNIC設定で MTU を小さく設定する対応も実施しました。

[root@web03 ~]# nmcli connection show
NAME   UUID                                  TYPE      DEVICE
ens33  1d532b13-f536-4c30-8956-76c69ff7c229  ethernet  ens33
[root@web03 ~]#
[root@web03 ~]# nmcli connection modify ens33 802-3-ethernet.mtu 1440
[root@web03 ~]#
[root@web03 ~]# nmcli connection up ens33
接続が正常にアクティベートされました (D-Bus アクティブパス: /org/freedesktop/NetworkManager/ActiveConnection/2)
[root@web03 ~]#
[root@web03 ~]# ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1440 qdisc mq state UP group default qlen 1000
    link/ether 00:50:56:96:e2:6e brd ff:ff:ff:ff:ff:ff
    altname enp2s1
    inet 192.168.16.3/24 brd 192.168.16.255 scope global dynamic noprefixroute ens33
       valid_lft 28795sec preferred_lft 28795sec
    inet6 fe80::250:56ff:fe96:e26e/64 scope link noprefixroute
       valid_lft forever preferred_lft forever
[root@web03 ~]#

まとめ：ホームラボ構築の教訓

• 「1500バイト」は当たり前じゃない

自宅回線（PPPoE等）を使う場合、MTUは1492バイト（あるいはそれ以下）になっていることを意識しましょう。

• カプセル化は「パケットサイズは増える」と認識しておく

NSXなどのオーバーレイ技術を使うと、必ずヘッダー分（約50バイト）パケットが太ります。その分、中身を減らす必要があります。

• 困ったら「出口」で制御する

NSX側で設定が見つからない場合、物理ルーター側でMSS制限をかけるのも有効な手段です。

もし同じようにNSX環境で「通信はできるのにWebが開かない」「アップデートが落ちる」という現象に遭遇した方は、ぜひ「パケットの太り過ぎ」を疑ってみてください！

DHCPリレーか、ローカルDHCPか

NSXでDHCPを実現する方法は大きく分けて2つあります。

• DHCP Relay：既存の物理DHCPサーバーを使う。企業ネットワークならこっちが主流。
• DHCP Local Server：NSX Edge上でDHCPサービスを動かす。

自宅ラボのCatalyst 2960はL3スイッチ化していますが、オーバーレイセグメントが増えるたびに、CatalystにログインしてDHCPスコープを切るのは正直しんどいです。 VCFライセンスでNSXのフル機能が使える今、迷わず 「DHCP Local Server」 を選びます。
これなら、今後セグメントを増やした時も、NSXの画面ポチポチするだけで完結できます。

DHCPサーバープロファイルの作成

まずは、DHCP機能の「プロファイル」を作ります。
NSX Managerの「ネットワーク」-「ネットワークプロファイル」-「DHCP」から「DHCPプロファイルの追加」をクリックします。

以下の情報を入力し「保存」をクリックします。
前：profile-vlan41
プロファイルタイプ：DHCPサーバ
サーバIPアドレス：192.168.41.2/24
Edgeクラスタ：Edge-Cluster-01
Edgeの自動割り当て：はい

セグメントでDHCPの構成を行う

ここからがNSXのスマートなところです。 一般的なルーターだと「DHCP設定画面」でスコープを切りますが、NSXでは 「セグメント（論理スイッチ）」の設定画面 に統合されています。
「ネットワーク] 」-「セグメント」から対象のオーバーレイセグメント（Seg-192.168.41.0）を編集します。
「サブネット」の下にある「DHCP構成を行う」をクリックします。

DHCPの構成で以下の情報を入力し「適用」をクリックします。
DHCP タイプ：セグメントのDHCPサーバ
DHCPプロファイル：profile-vlan41
DHCPサーバアドレス：192.168.41.2/24
DHCP範囲：192.168.41.16-192.168.41.20
IPv4ゲートウェイ：192.168.41.1/24
リース時間：86400
DNSサーバ：192.168.10.9、8.8.8.8

これで設定完了です。 物理スイッチ（Catalyst）には一切触れていません。

接続検証：VMはIPを取れるのか

では、前回作ったLinux VM（seg41-web01）のネットワーク設定を「DHCP」に変更して再起動していきます。

★固定IPで設定されていることを確認します。

hisato@seg14-web01:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1350 qdisc mq state UP group default qlen 1000
    link/ether 00:50:56:96:a6:f5 brd ff:ff:ff:ff:ff:ff
    altname enp2s1
    inet 192.168.41.21/24 brd 192.168.41.255 scope global ens33
       valid_lft forever preferred_lft forever
    inet6 fe80::250:56ff:fe96:a6f5/64 scope link
       valid_lft forever preferred_lft forever
hisato@seg14-web01:~$
hisato@seg14-web01:~$ cat /etc/netplan/00-installer-config.yaml
network:
  version: 2
  renderer: networkd
  ethernets:
    ens33:
      dhcp4: no
      addresses:
        - 192.168.41.21/24
      routes:
        - to: default
          via: 192.168.41.1
      nameservers:
        addresses: [192.168.10.9, 8.8.8.8]

hisato@seg14-web01:~$

★VIで以下のように編集しました。

hisato@seg14-web01:~$ cat /etc/netplan/00-installer-config.yaml
network:

  version: 2
  renderer: networkd
  ethernets:
    ens33:
      dhcp4: true
#      addresses:
#        - 192.168.41.21/24
#      routes:
#        - to: default
#          via: 192.168.41.1
#      nameservers:
#        addresses: [192.168.10.9, 8.8.8.8]

hisato@seg14-web01:~$

★変更した内容を適用します。

hisato@seg14-web01:~$ sudo netplan apply

** (generate:7251): WARNING **: 14:16:40.110: Permissions for /etc/netplan/00-installer-config.yaml are too open. Netplan configuration should NOT be accessible by others.

** (process:7249): WARNING **: 14:16:40.615: Permissions for /etc/netplan/00-installer-config.yaml are too open. Netplan configuration should NOT be accessible by others.

** (process:7249): WARNING **: 14:16:40.837: Permissions for /etc/netplan/00-installer-config.yaml are too open. Netplan configuration should NOT be accessible by others.
hisato@seg14-web01:~$
hisato@seg14-web01:~$
hisato@seg14-web01:~$

★DHCPでIPを取得しています。
★dynamic ens33 と表示されています。

hisato@seg14-web01:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1350 qdisc mq state UP group default qlen 1000
    link/ether 00:50:56:96:a6:f5 brd ff:ff:ff:ff:ff:ff
    altname enp2s1
    inet 192.168.41.18/24 metric 100 brd 192.168.41.255 scope global dynamic ens33
       valid_lft 86363sec preferred_lft 86363sec
    inet6 fe80::250:56ff:fe96:a6f5/64 scope link
       valid_lft forever preferred_lft forever
hisato@seg14-web01:~$
hisato@seg14-web01:~$

★DNSサーバの設定も取得できています。

hisato@seg14-web01:~$ resolvectl status
Global
         Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
  resolv.conf mode: stub

Link 2 (ens33)
    Current Scopes: DNS
         Protocols: +DefaultRoute -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Current DNS Server: 192.168.10.9
       DNS Servers: 192.168.10.9 8.8.8.8
hisato@seg14-web01:~$
hisato@seg14-web01:~$
hisato@seg14-web01:~$
hisato@seg14-web01:~$

★名前解決できることも確認できました。

hisato@seg14-web01:~$ ping www.google.co.jp
PING www.google.co.jp (142.250.196.131) 56(84) bytes of data.
64 bytes from nrt12s36-in-f3.1e100.net (142.250.196.131): icmp_seq=1 ttl=118 time=8.17 ms
64 bytes from nrt12s36-in-f3.1e100.net (142.250.196.131): icmp_seq=2 ttl=118 time=8.43 ms
64 bytes from nrt12s36-in-f3.1e100.net (142.250.196.131): icmp_seq=3 ttl=118 time=10.2 ms
64 bytes from nrt12s36-in-f3.1e100.net (142.250.196.131): icmp_seq=4 ttl=118 time=8.24 ms
^C
--- www.google.co.jp ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 8.165/8.758/10.204/0.839 ms
hisato@seg14-web01:~$
hisato@seg14-web01:~$

ルーティングの不思議とCatalystの役割

ここでネットワークエンジニア視点で面白いのが、Catalyst 2960側はこのDHCP通信を一切関知していない という点です。
VMから出た DHCP Discover パケット（ブロードキャスト）は、ESXiホスト内でGeneveカプセルに包まれ、物理ネットワーク上では単なるユニキャストのUDPパケットとして運ばれ、Edgeノードに到達します。
物理スイッチから見れば「なんか暗号化された通信が通ってるな」程度です。
これで、ip helper-address の設定ミスでDHCPが失敗する、という古典的なトラブルとは無縁になります。

まとめ

ここまでで、いったんNSX関連は完了となります。VCFライセンスにより以下の機能を手に入れることができました。

• オーバーレイネットワーク：物理構成を変えずにセグメント増設し放題。
• マイクロセグメンテーション：同じセグメント内でも通信制御が可能。
• DHCP自動化：VMを作れば勝手にIPが降ってくる。

自宅ラボが、Amazon VPCやAzure VNetのような「クラウド」になりました。
さて、基盤とネットワークは整いました。
次はアプリケーションデリバリーの領域へ進みます。
以前構築したAvi Load Balancerは、22.1.7のNo Orchestratorで止まっていました。
現在の最新版は、31.2.1です。
ここ2，3年、vCenter、Avi、NSXのすべてのライセンスが揃うことがなかったので、やっと連携設定を検証することができます。
自戒をお楽しみに！！