2016年10月16日日曜日

NSXコンポーネントの起動とシャットダウン手順

NSX for vSphere(NSX-v)は、NSX ControllerやNSX Manager、Edge Service Gatewayなどかなりのアプライアンスが展開されます。

例えば電源設備のメンテナンスなどでESXiホストの電源などを落とす際にどの順序で落とすのが正なのかというのが、わからないというケースに出会うこともあるかと思いますので、今回は、シャットダウン及び、起動の手順をお伝えします。


<シャットダウン順序>
  1. セカンダリNSXマネージャーのシャットダウン(マルチvCenterの場合のみ)
  2. プライマリNSXマネージャーのシャットダウン
  3. プライマリサイトNSX コントローラーのシャットダウン
  4. 分散論理ルーター(DLR )制御VMのシャットダウン
  5. 一般仮想マシン及びGuest Introspection、NSX Edge等のNSX関連仮想マシンのシャットダウン
    (シャットダウンの順序は任意)
  6. ESXiホストのシャットダウン


<起動順序>
  1. ESXiホストのパワーオン
  2. vCenter Serverのパワーオン
  3. NSX Managerをパワーオンし、「NSX Management Service」が起動していることを確認
    (マルチvCenter構成の場合は、はじめにプライマリNSX Managerを、次にセカンダリNSX Managerを起動します)
  4.  Guest Introspection及びNSX関連のサードパーティーVM(たとえば、Deep Security Manager等)を起動します。
  5. NSXコントローラーをパワーオン
  6. vSphere Web Clientから「Network and Security」の「インストール手順」項の「管理」タブの「NSX コントローラーノード」を確認し、NSXコントローラーが正しく起動及びNSX Managerによって認識されていることを確認します。※
  7. NSX Edge及び分散論理ルーター(DLR )制御VMのパワーオン
  8. 一般仮想マシンのパワーオン

※NSXコントローラーの確認場所



シャットダウン手順に比べ、起動手順は少々順序が厳しいので注意が必要です。
UPS連携は、スクリプトでの対応が必要になるかと思います。

より詳細な手順は以下のKBを参考にしてください。

Shutdown/Startup order of the NSX for vSphere 6.x environment after a maintenance window or a power outage (2139067)








2016年10月10日月曜日

NSX for vSphereのSSLVPNを使ってみよう(その1)

NSX for vSphereで提供される、Edge Service Gatewayには、「SSL VPN Plus」と言われる、端末VPNの機能が提供されています。
これ、あまり知られていないケースが多いのですが、いわゆる端末にインストールしてSSLでVPNトンネルを張ることができる製品です。

このSSL VPN Plusですが、元々は、NeoAccel社のSSL VPN Plusをカスタマイズしたものになっています。そもそもNeoAccel社をVMwareが買収したことで、Edge Service Gatewayに実装されているようです。
このNeoAccel社のSSL VPN Plusですが、あまり見覚えはないかもしれませんが、6年ぐらい前にアライドテレシスがSSL VPN Plusという形で、独自アプライアンスにSSL VPN Plusを導入したアプライアンスを販売していました。


[アライドテレシスのホームページより]

(参考)https://www.allied-telesis.co.jp/products/list/others/sslvpn/sslvpnplus/catalog.html

このページを見てもらえればわかりますが、ユーザーサイドの画面は今でもほとんど変わっていません...。


NSX SSL VPN Plusで提供されるWindowsクライアントの画面



ちなみに、対応クライアントはNSX-v 6.2.4の場合以下となります。

OS対応バージョン
WindowsXP以降~Windows 8
Linuxユーザー インターフェイスを機能させるには TCL-TK が必要です。
TCL-TK がない場合は、CLI を使用します。
MacTiger、Leopard、Snow Leopard、Lion、Mountain Lion、Maverick、Yosemite、ElCapitan


NSX-vでSSL-VPNを利用すると、CPUライセンスでNSXを購入した場合、そのESXiホストにEdge Service Gatewayを大量に展開すれば、大量のユーザーに対して安価にSSL-VPNを提供することも可能です。

尚、1つのESGで接続できる最大ユーザーは以下が最大値となっているようです。

ESGのサイズ最大接続数
compact50
large100
quad-large100
x-large1,000

(参考)https://d-fens.ch/2015/02/16/nsx-v-6-1-configuration-maximums/

次回から、SSLVPNの利用するまでの設定方法とAD連携などをご紹介したいと思います。