VMware EVOLVE ONLINEでNSX4.0の主なアップデートのオンデマンドセッションがあったので、新しくサポートされたステートフルサービスとアクティブ/アクティブ ゲートウェイについて紹介していきます。
主なアップデート
NSX4.0における主なアップデートとして、NSX Edgeのプラットフォーム関連、ルーティング関連、NSX Federationの3つが主にアップデートされました。
ここでは、アクティブ/アクティブ ゲートウェイのステートフルサービスと、NSX Advanced Load Balancer関連について紹介します。
アクティブ/アクティブ ゲートウェイのステートフルサービス
NSX3.Xでは、アクティブ/アクティブゲートウェイをECMPでサポートしていましたが、行きと帰りのトラフィックが必ずしも同じパスを通るわけではないため、フローを1つのノードで管理できないことからステートフルサービス(NATやFW)が利用できないという問題がありました。
NSX4.0では、アクティブ/アクティブステートフルゲートウェイに参加するEdgeノードで自動的にPunt用論理スイッチ(橙色セグメント)が自動的に作成され、VMA→VMBにトラフィックが発生した場合、ECMPでEdge3が選択された後に宛先IP(ホストB)のハッシュ値によりTier0-SR4のシャドーポートに転送されます。
同様に戻りのトラフィックもECMPでEdge1が選択された後に送信元IP(ホストB)のハッシュ値によりTier0-SR4のシャドーポートに転送されます。
これにより、1つのノードでフローを管理できるようになるため、ステートフルサービス(NATやFW)が利用できるようになりました。
また、上記を実現するために、新しくインターフェイスグループという仕組みが追加されました。
インターフェイスグループ
アクティブ/スタンバイのゲートウェイであれば、1台のノードで動くのでインターネット向けインターフェイスを指定してFWやNATを定義すればよかったのですが、アクティブ/アクティブの場合は、複数のノードで複数のインターフェイスがあるため、どのインターフェイスにFWやNATを適用すればいいのか、明示的にグルーピングしてあげる必要があります。
そこで、アップリンクインターフェイスを登録する際に、アップリンクグループを作成することでFWやNATを適用していきます。
サブクラスタによるステート情報の同期
ステートフルサービス自体は1つのノードで情報を持つ必要がありますが、障害が発生するとステートフル情報が焼失しますので、HAを組むサブクラスタが自動的に作成され、ステートフル情報が自動的に同期されるようになりました。
また、アクティブのシャドーポート障害時の切替リポートとしてバックアップポートという概念が新しく追加されました。
バックアップポートは、アクティブノードのシャドーポートがダウンした場合、同じサブクラスタに所属しているEdgeノードのバックアップポートが通信を引き継ぐようになります。
ステートフルアクティブ/アクティブ Tier1-SR
ステートフルアクティブ/アクティブはTier0だけでなくTier1でも提供されるようになっています。
Tier0、Tier1、A/S、A/A構成の組み合わせについては、以下のようになっており、NSX4.0では、Tier0A/AとTier1A/A、Tier0A/AとTier1A/Sの2つの組み合わせが新しくサポートされています。
なお、現時点で、NATに関する機能制限がありますが、今後のアップデートでサポートされるようになるそうです。
この機能により、従来からあるFWのA/A構成と同等のことが実現できるように、アクティブ/アクティブ構成によるFWのリソースを分散させることができるようになりました。