NSXで作成可能なサブネットの種類は2つあり、それぞれVLANセグメントとオーバーレイセグメントといいます。VLANセグメントが従来型の"普通の"セグメントであり、オーバーレイセグメントはネットワークの仮想化を実現するためのセグメントタイプです。
ネットワークの仮想化は、乱暴に言うと"物理機器に触らずとも新規ネットワークを構築するための技術"となります。例えば、上の図ではseg-aとseg-bという2つのセグメントがありますが、新規セグメントseg-cを払い出す場合に、従来のVLANセグメントでは物理スイッチにVLANを通す必要があります。加えて、seg-cの物理ゲートウェイに対してIPアドレスを設定する必要もあります。しかし、一度ネットワークを仮想化してしまえば、オーバーレイセグメントを追加で払い出す際に、物理機器を触る必要がなくなるのです。
■物理スイッチに対して設定変更が不要になる理由
簡潔に言うと、物理スイッチからみると全てのオーバーレイセグメント上の仮想マシン間の通信は、ハイパーバイザー間の通信に見えるからです。もう少し詳細に説明します。
オーバーレイセグメントを払い出す準備段階で、ハイパーバイザー内にTunnel Endpoint(通称、TEP)というものが用意されます。このTEPの実態は、管理用vmknicやvSAN用vmknic、vMotion用vmknicと同様にハイパーバイザー自身が通信するために使用されるvmknicとなります(vmk10がTEPの正体。TEPを2つもつ場合、2つ目はvmk11)。
そして、Tunnel Endpoint(トンネルの終端)という名前の通り、TEP間にはオーバーレイ通信用のトンネルが張られます。そして、オーバーレイセグメントでフレームを受け取ったハイパーバイザーは、フレームを適切なTEPに繋がっているオーバーレイトンネルへ送信する際にTEPのMACアドレスとIPアドレスを用いてカプセル化します(図を参照)。その結果、オーバーレイセグメント上の仮想マシンのMACアドレス等は物理スイッチからは見えなくなるので、物理スイッチでVLANを通す必要がなくなるのです。
■物理ゲートウェイ対して設定変更が不要になる理由
オーバーレイセグメントは、物理ゲートウェイに接続されないからです。オーバーレイセグメントの接続先をNSX論理ゲートウェイにすることで、オーバーレイセグメントを払い出す際にゲートウェイの設定もまとめて入れることが可能となります。
逆に言うと、オーバーレイセグメントを物理ゲートウェイに収容することは原則不可能です。何かしらの事情でどうしても、物理ゲートウェイにサーバを収容する必要があるときは、オーバーレイセグメントの使用を諦めて、VLANセグメントを使用する必要があります。
以上が、VMware NSXの売りの1つであるオーバーレイセグメントの説明でした。