免責事項：これは英文の記事「Configuration Guide for "ARP Binding Limit" in VMware NSX」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

このドキュメントでは、VMware NSXのIP検出プロファイルにおける「ARP割り当て制限」の仕様、通信への影響、そしてデフォルト値の変更が必要となる一般的なユースケースについて説明します。
仮想マシン（VM）に複数のIPアドレスが割り当てられている環境や、仮想IP（VIP）を使用したクラスタ構成で通信がブロックされる場合、この設定が根本的な原因となっている可能性があります。

VMware NSX

1. ARP割り当て制限とは何ですか？
   「ARPバインディング制限」は、単一の論理ポート（つまり、VMの単一のvNIC）にバインドおよび学習できるIPv4アドレスの最大数を定義する設定です。
   設定場所：[ネットワーク] > [セグメント] > [セグメントプロファイル] > [IP検出]プロファイル。
   デフォルト値：1 / 設定範囲：1～256。
   
   
2. 制限の重要性（SpoofGuardとの連携）
   NSXのIP検出機能は、仮想マシンから送信されるARPパケットをスヌーピング（監視）し、各ポートの「IPアドレスとMACアドレスのマッピング」を学習します。
   学習されたIP-MACバインディングは、SpoofGuardによるなりすまし防止や、分散ファイアウォール（DFW）のオブジェクトとして利用されます。
   仮想マシンが「ARPバインディング制限」で指定された数を超えるIPv4アドレスで応答した場合、超過分のアドレスはNSXによって学習（バインド）されません。
   その結果、SpoofGuardはこれを「不正なIPアドレスからのトラフィック」と認識し、通信を切断する可能性があります。
   
   
3. 仮想IP（VIP）を使用したHAクラスタ構成で制限値の増加が必要なユースケース：
   - WSFC、Pacemaker、Keepalivedなどのクラスタソフトウェアを使用する場合、アクティブVMは物理IPとVIPの両方のARP要求に応答するため、ポートごとに少なくとも「2」個の学習済みアドレスが必要です。
   
   ゲストOSで設定されたセカンダリIP（エイリアス）：
   - Webサーバーなど、単一のvNICに複数のIPが割り当てられている場合は、NSXが割り当てられたすべてのIPアドレスを学習できるように、制限値を増やす必要があります。
     コンテナホストとしてのVM：VM内でDockerまたはKubernetesを実行し、複数のコンテナのトラフィックをVMのvNIC経由でルーティングする場合は、それに応じて制限値を調整する必要があります。
   
   解決方法と構成手順
   a. NSX Manager UIにログインし、[ネットワーク] > [セグメント] > [セグメントプロファイル]に移動します。
   b. [セグメントプロファイルの追加]をクリックし、[IP検出]を選択して、プロファイル名を入力します。
   c.要件に応じて[ARP割り当て制限]の値を変更し（例：2以上）、保存します。
   d. 作成したプロファイルを関連するセグメントまたは個々の論理ポートに適用します。

追加リソース:

• IP アドレス検出セグメント プロファイルの理解
• NSX の IP 検出セグメント プロファイルの作成