前回の VXLAN の設定に続いて、VXLAN ゲートウェイの設定について、説明します。
vCloud Networking and Security Edge ゲートウェイは、ファイアウォール、ロードバランサー、VPN、DHCP サービスのような機能と共に、VXLAN ゲートウェイとして動作します。vCloud Networking and Security Edge ゲートウェイのデプロイと、仮想ネットワーク ワイヤから外のネットワークへアクセスできるようにするステップについて、説明します。そのデプロイと設定ステップは次のとおりです。
- vCloud Networking and Security Edge ゲートウェイのデプロイ
- vCloud Networking and Security Edge ゲートウェイに仮想ネットワークワイヤを接続 (この例では、1. の設定時に行います。)
- 外部へのアクセスのためのファイアウォール ルールの設定
- NATの設定
ステップ 1: vCloud Networking and Security Edge ゲートウェイのデプロイと仮想ネットワークワイヤの接続
vCloud Networking and Security Edge ゲートウェイ 仮想アプライアンスをデプロイするために、Edges をクリック後、”+” アイコンをクリックします。
図 1: vCloud Networking and Security Edge ゲートウェイをデプロイ – 追加
vCloud Networking and Security Edge ゲートウェイの名前を入力し、ゲートウェイの高可用性と提供する場合は、Enable HA をクリック後、Next をクリックします。
図 2: Edge のデプロイ – HA の有効化
Edge への CLI アクセスのユーザ名とパスワードを入力し、Next をクリックします。デフォルトはvCloud Networking and Security と同じです。
図 3: Edge のデプロイ – ユーザ名とパスワード
vCloud Networking and Security Edge ゲートウェイ アプライアンスをデプロイする時に 3 つのサイズから選択できます。また、特定のクラスターもしくはホストを指定して、デプロイできます。今回の例では、Compact でデプロします。デプロイするクラスターもしくはホストを指定するために、”+” をクリックします。
図 4: vCloud Networking and Security Edge ゲートウェイのデプロイ – アプライアンス サイズの選択
この例では、Cluster01 にデプロイします。Add をクリックします。
図 5: vCloud Networking and Security Edge ゲートウェイのデプロイ – アプライアンスのデプロイ先の指定
デプロイ先が表示されたら、Next をクリックします。
図 6: vCloud Networking and Security Edge ゲートウェイのデプロイ – Cluster01
次に、vCloud Networking and Security Edge ゲートウェイ アプライアンスのインターフェイスを設定します。インターフェイス設定では、まず External (Uplink) インターフェイスを選択し、その後で、3 つの仮想ネットワークワイヤ、つまり VXLAN 論理 L2 ネットワークを接続します。
インターフェイスを追加するために、”+” をクリックします。
図 7: vCloud Networking and Security Edge ゲートウェイのデプロイ – インターフェイスの設定
External インターフェイスの名前を入力し、接続するサービス プロファイルを選択するために、Select をクリックします。
図 8: vCloud Networking and Security Edge ゲートウェイのデプロイ – External インターフェイス
External インターフェイスが接続するポートグループを選択し、Select をクリックします。
図 9: vCloud Networking and Security Edge ゲートウェイのデプロイ – External インターフェイス
“+” ボタンを押して、さらにポップアップした画面で “+” を押して、IP アドレスを入力した後で、OK ボタンを押し、サブネットを入力後、Save をクリックし、元の画面でAdd をクリックします。
図 10: vCloud Networking and Security Edge ゲートウェイのデプロイ – External IP の付与
図 7 の画面から、更に VXLAN 仮想ネットワーク ワイヤにつながるインターフェイスを作成します。Web サーバ 用のゲートウェイ インターフェイスに名前を入力し、Internal タイプを選択し、Select をクリックします。
図 11: vCloud Networking and Security Edge ゲートウェイのデプロイ – Web サーバ ゲートウェイ インターフェイス
Virtual Wire をクリックし、Web サーバ用の 仮想ネットワーク ワイヤを選択します。この例では、前回、作成済の Web-vWire を選択し、Select をクリックします。
図 12: vCloud Networking and Security Edge ゲートウェイのデプロイ – Web-vWire に接続
図 10 と同様に、IP アドレスを設定します。更に、Application サーバ用、DB サーバ用のインターフェイスを作成し、Next をクリックします。
図 13: vCloud Networking and Security Edge ゲートウェイのデプロイ – 全てのインターフェイス
インターフェイス設定後、External インターフェイス用のデフォルト ゲートウェイの IP アドレスを設定します。例えば、一般的には L3 機器で VRRP や HSRP が設定されており、デフォルト ゲートウェイとして動作しますので、ネットワーク担当者に確認の上で、設定してください。
Configure Default Gateway を選択後、今回の例では、vNIC として External を選択し、デフォルト ゲートウェイの IP アドレスを入力し、Next をクリックします。
図 14: vCloud Networking and Security Edge ゲートウェイのデプロイ – デフォルト ゲートウェイの設定
デフォルト ゲートウェイの IP アドレスを設定後、オプションで、vCloud Networking and Security Edge ゲートウェイの高可用性のために管理 IP アドレスを定義することができます。Next をクリックします。
図 15: vCloud Networking and Security Edge ゲートウェイのデプロイ – 高可用性
設定内容を確認し、Finish をクリックします。
図 16: vCloud Networking and Security Edge ゲートウェイのデプロイ – 設定のサマリー
Finish をクリック後、vCloud Networking and Security Edge ゲートウェイのデプロイが行われ、しばらくすると Status が Deployed となり、デプロイが完了します。
図 17: vCloud Networking and Security Edge ゲートウェイのデプロイ – アクティブとスタンバイ
vCloud Networking and Security Edge アクティブ、スタンバイ アプライアンスがCluster01に展開され、設定プロセスが完了し、インターフェイス接続が準備されました。論理的には、図 18 のように、vCloud Networking and Security Edge ゲートウェイが構成されています。
図 18: vCloud Networking and Security Edge の展開 – インターフェイス接続含む
ステップ 2: 外部へのアクセスのためのファイアウォール ルールの設定
vCloud Networking and Security Edge ゲートウェイは、ネットワーク境界のファイアウォールとしても動作します。外部へのアクセスが必要な内部ネットワークの接続機器として、ファイアウォールを定義できます。
vCloud Networking and Security Edge ゲートウェイを選択後、Action をクリック後、Manage をクリックします。
図 19: vCloud Networking and Security Edge ゲートウェイの設定 – Edge の選択と Manage のクリック
Configure をクリックします。
図 20: vCloud Networking and Security Edge ゲートウェイの設定 – Configure をクリック
インターフェイス番号を確認後、Firewall をクリックします。
図 21: vCloud Networking and Security Edge ゲートウェイの設定 – 4 つのインターフェイス (1 つの外部向け、3 つの内部向け)
デフォルト ルールとして、あらかじめ、トラフィックにマッチしなかったものを遮断 (Deny) するルールが 3 行目に構成されています。新しいルールを作るために、”+” をクリックします。
図 22: vCloud Networking and Security Edge ゲートウェイの設定 – Default Rule (Deny)
vCloud Networking and Security Edge ゲートウェイのWeb サーバ ゲートウェイ インターフェイス (Source) から External インターフェイス (destination) へのトラフィックを許可するルールを作成します。
Name で ”+” をクリックし、名前を入力し、OK をクリックします。
図 23: vCloud Networking and Security Edge ゲートウェイの設定 – 新しいルールの作成
ファイアウォール ルールとしては、IP アドレスもしくは VnicGroup のどちらかをベースに作成できます。特定のインターフェイスに接続する全ての仮想マシンにファイアウォールのルールを適用するためには、VnicGroup オプションがお勧めです。
この例では、全ての Web サーバから外部へのトラフィックを許可するために、Vnic Group のファイアウォール ルールを選択します。 Source で、”+” をクリックし、VnicGroup を選択します。
図 24: vCloud Networking and Security Edge ゲートウェイの設定 – 2 つのルール タイプ
送信元として、先ほど、図 21 で確認した Web サーバ ゲートウェイ インターフェイス番号に相当する、vnic-index-1 を選択し、OK をクリックします。
図 25: vCloud Networking and Security Edge ゲートウェイの設定 – ファイアウォール ルール 送信元の選択 (VnicGroup ベースで Web 仮想ネットワークワイヤの選択)
次に、トラフィックの宛先として、Destination で、”+” をクリックし、VnicGroup を選択後、external を選択し、OK をクリックします。
図 26: vCloud Networking and Security Edge ゲートウェイの設定 – ファイアウォール ルール 宛先の選択 (VnicGroup ベースでexternal インターフェイスの選択)
特定のサービス タイプを指定したい場合は、Service を変更します。この例では、サービスタイプの指定はしないため、デフォルトの any のままにしておきます。
次に、作成したルールを有効化するために、Publish をクリックします。
図 27: vCloud Networking and Security Edge ゲートウェイの設定 – ファイアウォール ルールの有効化
これで、ファイアウォール ルール設定の完了です。
ステップ 3: Source NATの設定
内部の Web サーバ の IP アドレスが、プライベート IP サブネット 192.168.10.0/24 で付与されているため、この例では、NATの設定が必要です。図 28 のように、Web サーバ セグメント 192.168.10.0/24 には 2 台の Web サーバが接続される予定だとします。
図 28: IP アドレス設定 – 3 つの仮想ネットワーク ワイヤと 1 つの External ネットワーク
図 29 のように、vCloud networking and Security Edge ゲートウェイを選択後、NAT をクリックし、”+” をクリックすると、2 種類のNAT ルールのどちらかを選択できますので、今回は Add SNAT Rule を選択します。
図 29: vCloud Networking and Security Edge ゲートウェイの設定 – SNAT Ruleの追加
今回の例では、SNAT (Source NAT) を適用するインターフェイスとして、External を選び、送信元の IP アドレス レンジと変換する IP アドレスを入力し、有効化するために、Enabled を選択後、Add をクリックします。
図 30: vCloud Networking and Security Edge ゲートウェイの設定 – External インターフェイスへのNAT ポリシーの適用
設定を反映するために、Publish Changes をクリックします。
図 31: vCloud Networking and Security Edge ゲートウェイの設定 – Publish Changes
vCloud networking and Security Edge ゲートウェイには他の機能もありますので、vCloud Networking and Security の各種ガイドをご参照ください。
また、このブログの元となった VXLAN Deployment Guide も合わせてご参照ください。
※このブログでは、vCloud Networking and Security 5.1 と、vCenter Server 5.1 Update 1および vSphere 5.1 Update 1を元に作成しました。それぞれの 5.5 リリースの場合も大きな変更はない予定です。 ( 2013 年 8 月 29 日現在 )