Amazon Elastic VMware Service と VMware HCX を活用して、AWS への VMware 移行を加速する

本稿は、2025 年 11 月 20 日に AWS Migration & Modernization Blog で公開された “Accelerate Your VMware Migration to AWS: Leveraging Amazon Elastic VMware Service and VMware HCX” を翻訳したものです。

はじめに

組織が VMware ワークロードをクラウドへ移行する際には多くの課題に直面します。アプリケーションの依存関係や IP アドレスをどう維持するか、ダウンタイムやパフォーマンスをどう管理するかといった移行の複雑さが、クラウド導入の取り組みを遅らせてしまうことがあります。さらにネットワークの再構成やアプリケーションのテスト、移行プロセス全体における事業継続性の維持といった要件が、IT チームが解決すべき課題をより複雑なものにします。

Amazon Elastic VMware Service (EVS) は既存の VMware 資産や専門知識を活かしながら AWS 活用をお考えいただいている組織にとって魅力的なソリューションです。EVS は Amazon Virtual Private Cloud (Amazon VPC) 内で VMware Cloud Foundation (VCF) を直接実行するため、使い慣れた運用体験を維持しつつ、AWS の様々なインフラストラクチャやサービスをご利用いただけます。

ソリューションの概要

EVS の利点の 1 つとして VMware by Broadcom が提供する強力な移行ツールキットである VMware Cloud Foundation Operations HCX (HCX) との統合が挙げられます。HCX は IP アドレスやネットワーク設定を維持したまま、オンプレミス環境とクラウド環境間でのシームレスなワークロードの移動を実現し、移行に伴う複雑さを軽減します。組織は移行における一般的な課題を克服し、クラウド導入を加速させることができます。

本ブログ記事では EVS と HCX を使用してワークロードを AWS に移行する際の接続オプション、設計上の考慮事項、ベストプラクティスについて解説します。

ワークロード移行にプライベート接続とパブリック接続のどちらを利用するかは、EVS の初期デプロイ時に行う一度限りの決定事項となります。実装を開始する前にこれらのオプションを理解しておくことが重要です。

前提条件

• EVS の前提条件チェックリストの確認が完了している。
• オンプレミスの vSphere バージョンが 8.0 以上である。詳細については Broadcom の製品相互運用性マトリックスをご参照ください。
• オンプレミスの HCX バージョンが 4.11.3 である。
• EVS の HCX バージョンが 4.11.3 である。
• EVS のデプロイに必要な VCF ライセンスを保有している。(4 台の i4i.metal EC2 インスタンスに対し、最小 256 コアおよび 110 TiB の vSAN 容量)。

プライベートネットワーク接続

プライベートネットワークは安全性と分離性が高い通信経路です。許可されたユーザーやデバイスのみが、パブリックインターネットに出ることなく、データを送受信できます。

AWS では、プライベート接続を使用してオンプレミスの vSphere 環境から EVS へ VMware ワークロードを移行されるお客様向けに、以下の 2 つの接続オプションを提供しています。

• Transit Gateway (TGW) の VPN アタッチメントを経由した AWS Site-to-Site VPN (Site-to-Site VPN)
• Transit virtual interface (Transit VIF)、Direct Connect Gateway (DXGW)、Transit Gateway (TGW) を利用した AWS Direct Connect

オプション 1 : Direct Connect

図 1 . 異なる AWS リージョンにある 2 つの EVS デプロイメントに接続されたオンプレミスデータセンターの概要アーキテクチャ図です。このソリューションでは単一の Direct Connect Gateway に接続された 2 つの独立した Direct Connect トランジット VIF を利用します。高可用性を確保するために Direct Connect Gateway が異なるリージョンに配置された 2 つの Transit Gateway に関連付けられています。各 Transit Gateway は EVS 環境を含む VPC への VPC アタッチメントを持ちます。両方の EVS 環境は Transit Gateway ピアリング接続を介して相互に通信できます。オンプレミスの HCX アプライアンスはプライベート IP アドレスを使用して EVS の HCX アプライアンスとペアリングします。

Direct Connect はオンプレミス環境と AWS を専用の物理ネットワークで直結する接続サービスです。パブリックインターネットを経由せずに、データセンターと AWS の間にプライベートで高速な接続を確立できます。

Direct Connect を利用いただくことで EVS への VMware 移行を加速できます。Direct Connect は、AWS から直接提供される専用接続では 1 Gbps ～ 400 Gbps 、AWS Direct Connect パートナーによるホスト型接続では 50 Mbps ～ 25 Gbps の柔軟な帯域幅のオプションを利用することができます。Site-to-Site VPN を使用する場合と比べてプロビジョニングに時間を要することがありますが、Direct Connect は大規模なワークロードの移行において、帯域幅の柔軟性、低レイテンシー、より高いスループットを提供します。

オンプレミスから Amazon EVS へのエンドツーエンドの Direct Connect 接続を実現するには、以下の対応が必要です。

• 専用接続 (Dedicated) またはホスト型接続 (Hosted) の Direct Connect をプロビジョニングします。
• Direct Connect Gateway (DXGW) にアタッチするためのトランジット VIF を作成します。
  • 執筆時点ではプライベート VIF とパブリック VIF はサポートしていません。
• 任意の AWS リージョンで DXGW を Transit Gateway (TGW) に関連付けます。
• VPC アタッチメントを使用して、TGW を EVS VPC にアタッチします。
• オンプレミスのルーター内で必要な BGP 設定とルーティングを構成します。
• 移行に必要な相互通信の対象となるオンプレミスの VCF ネットワークおよび EVS ネットワーク (ESX ホスト、VCF 管理アプライアンス、HCX アプライアンスなど ) に対して、オンプレミスのファイアウォールルール、ルーターのネットワークパス、TGW ルートテーブル、VPC ルートテーブルを更新します。

オンプレミスとの常時接続が求められる本番ワークロードでは、地理的に分散した拠点で複数の AWS Direct Connect 接続を利用するか、バックアップとして AWS Site-to-Site VPN トンネルを構成することで、冗長性を確保できます。メンテナンスや回線障害時にも接続を維持することができます。

AWS Direct Connect を介して VMware ワークロードを EVS へ移行する計画を立てる際は、オンプレミスから AWS へのデータ受信料は無料である一方で、それ以外のコストを考慮する必要があります。具体的には Transit Gateway のデータ処理料金 (1 GB あたり 0.02 USD) 、Direct Connect のポート使用料、および AWS から外部へ送信される際のデータ送信料などが挙げられます。さらに、これらの技術要件を移行スケジュールに合わせるため、Direct Connect 回線の調達リードタイム、帯域幅要件の綿密な評価、適切な BGP ルーティング設定も計画に織り込む必要があります。

AWS への迅速な VMware 移行を加速する手段として Direct Connect パートナーの活用もご検討いただけます。パートナーを利用することで、ホスト型トランジット仮想インターフェイス (VIF) を短時間でプロビジョニングできます。

これらのパートナーは以下を提供します。

• 専用接続を新規に敷設する場合は数週間から数か月を要することがありますが、パートナー経由であれば数時間以内にプロビジョニングが完了します。
• 50 Mbps から 25 Gbps の柔軟な帯域幅オプションを選択できます。
• 従量課金制の料金体系をご利用いただけます。
• マネージドルーターインフラストラクチャにより、自社でネットワーク機器を調達 / 管理する必要がなくなります。

オプション 2 : Site-to-Site VPN

図 2. オンプレミスデータセンターと異なる AWS リージョンに配置された 2 つの EVS 環境を接続する概要アーキテクチャ図です。このソリューションでは高可用性を確保するために 2 つの独立した AWS Site-to-Site VPN を使用し、それぞれ VPN アタッチメントを介して異なるリージョンの Transit Gateway に接続しています。各 Transit Gateway は VPC アタッチメントを介して EVS 環境を含む VPC に接続されています。2 つの EVS 環境は Transit Gateway ピアリング接続を介して相互に通信することができます。オンプレミスの HCX アプライアンスはプライベート IP アドレスを使用して EVS 側の HCX アプライアンスとペアリングされます。

Site-to-Site VPN はパブリックインターネットを経由して、オンプレミスのネットワークを AWS に安全に拡張するプライベート接続を提供します。IP Security (IPSec) による認証と暗号化されたトンネルを使用することで、安全なネットワーク間通信を実現します。

オンプレミス環境を AWS に接続する際、迅速かつコストパフォーマンスの高い接続が必要で、帯域幅の要件がそれほど高くない場合や、インターネット経由の接続によるパフォーマンスの変動を許容できる場合には、Direct Connect ではなく Site-to-Site VPN を選択することが一般的です。

EVS では TGW VPN アタッチメントを使用して Site-to-Site VPN 接続を TGW 上で直接終端する必要があります。この TGW が VPC アタッチメントを介して利用者の EVS VPC に接続されることで、エンドツーエンドの接続を確立できます。

Site-to-Site VPN を使用して Amazon EVS へのエンドツーエンドの接続を確立するには、以下の要件を満たす必要があります。

• IPsec VPN トンネルを作成可能なオンプレミスのハードウェアを用意すること
• VPN アタッチメントを介してオンプレミスとの Site-to-Site VPN 接続を作成し、Transit Gateway 上で終端させること
• VPC アタッチメントを使用して、Transit Gateway を EVS VPC にアタッチすること
• ESX ホスト、VCF 管理アプライアンス、HCX アプライアンスなど、移行を実現するために相互通信が必要となるオンプレミス VCF および EVS VCF ネットワークの情報を用いて、オンプレミスのファイアウォールルール、ルーターのネットワークパス、TGW ルートテーブル、VPC ルートテーブルを更新すること

EVS への移行を実施されるお客様は、データ移行量が比較的少ない場合、移行を迅速に開始したい場合、専用線接続に伴う初期費用や長期の調達期間を避けたい場合において、Direct Connect ではなく Site-to-Site VPN を選択します。Site-to-Site VPN は、カスタマイズ可能なセキュリティ制御を備えており、プライベートで安全な接続を提供しますが、インターネット回線の性能が移行速度に影響を及ぼす可能性があります。常時オンプレミス環境への接続が求められる本番ワークロードにおいては、異なるインターネットサービスプロバイダー (ISP) 経由で複数の Site-to-Site VPN 接続を確立するか、異なるオンプレミス拠点に VPN エンドポイントを配置することで、単一のインターネット経路で障害が発生する場合に対しての冗長性を確保することができます。

EVS への移行に Site-to-Site VPN を使用する場合、Direct Connect と比較して設定が容易で迅速なデプロイが可能です。また、複雑な BGP ルーティングの設定や運用管理が不要になるというメリットもあります。各 Site-to-Site VPN 接続は、標準 (トンネルあたり 1.25 Gbps) または大容量 (トンネルあたり 5 Gbps) のいずれかの帯域幅で構成できます。Equal Cost Multi-Path (ECMP) ルーティングを活用することで、複数の大容量トンネルを使用して最大 20 Gbps のスループットを実現できます。実際の VPN スループット性能は、インターネット回線の品質、データセンター側の利用可能な帯域幅、暗号化処理のオーバーヘッドによって決まります。

Site-to-Site VPN を使用したワークロード移行においては、オンプレミスから AWS へのトラフィックに対するデータ受信料は発生しませんが、AWS から送信されるトラフィックのデータ送信料 (月間 100 GB までは無料、それ以降は 1 GB あたり 0.09 ドル) 、VPN 接続の時間単価や Transit Gateway データ処理料金 (1 GB あたり 0.02 ドル) を考慮することが重要です。Site-to-Site VPN には Direct Connect のような固定の帯域幅料金はありませんが、より高いスループットを実現するために複数の VPN 接続を使用すると、移行時間は短縮され、データ処理コストは増加します。

上記の考慮事項を確認した後、EVS ユーザーガイドに従って環境をセットアップし、AWS へのワークロード移行を開始できます。

プライベート接続オプションを使用して顧客の EVS 環境にデプロイされた HCX アプライアンスおよびコンポーネントは、プライベート IP アドレスを使用してオンプレミスの HCX アプライアンスと安全な接続を確立し、Direct Connect または Site-to-Site VPN 経由でルーティングが可能になります。すでに暗号化された Site-to-Site IPSec VPN トンネルを介して HCX でワークロードを移行する場合は、Broadcom のドキュメントに従い、サービスメッシュオプション内の HCX のデフォルト暗号化を無効にすることが推奨されます。二重カプセル化によるパフォーマンスの問題を回避するためです。

パブリックインターネット接続

図 3. 異なる AWS リージョンにデプロイされた 2 つの EVS に HCX で接続されたオンプレミス HCX アプライアンスの概要アーキテクチャ図です。このソリューションではパブリック IP アドレスを使用してオンプレミスの HCX アプライアンスと EVS の HCX アプライアンス間にポイントツーポイント接続を確立することで最小限の設定での構成を可能にします。

パブリックインターネットは共有プロトコルとパブリック IP アドレスを利用して、世界中からアクセス可能なネットワークインフラストラクチャとして機能します。

パブリックネットワークを活用することで、EVS への VMware ワークロード移行において、インターネット経由の直接接続を利用できるようになります。Direct Connect の調達遅延、VPN 終端装置の不足、複雑な BGP ルーティング要件などが原因でプライベート接続の確保が困難な場合や、大規模なネットワーク設定を行わずに迅速な導入が求められる場合に、柔軟な対応が可能になります。

現在 EVS では、EVS 内に展開された HCX アプライアンスにパブリック IP を直接割り当てることで、オンプレミスの vSphere ワークロードに対するパブリックインターネット経由の HCX 移行をサポートしています。EVS VPC に関連付けられたインターネットゲートウェイ (IGW) を介して、シンプルで直接的なインターネット接続を行えます。

VMware の移行においてパブリックインターネット接続を検討する場合、インターネットサービスプロバイダー (ISP) の仕様を慎重に評価することが重要です。利用可能なインターネット帯域幅を評価し、プロジェクトのスケジュール内で、仮想マシンデータの初期データ転送と移行カットオーバー前の差分転送という、2 つのデータ転送フェーズに対応できるかを確認する必要があります。例えば数テラバイト (TB) に及ぶデータを移行するデータセンター移転の場合、帯域幅が限られている接続環境や、重要な業務システムと帯域幅を共有する営業時間中に実施することは、現実的ではない可能性があります。

さらに、移行に影響を与える可能性のあるデータ転送量の上限や、帯域制限に関するポリシーについて、ISP とのサービス契約内容を確認することも重要です。一部の ISP では月間のデータ転送量に上限を設けていたり、一定の閾値を超えると通信速度を制限したりする場合があり、大規模な移行において予期せぬ遅延や追加コストが発生する可能性があります。

パブリックインターネットを使用して移行を行いたい場合は、EVS ユーザーガイドに従って環境をセットアップして、HCX パブリックインターネット接続の設定手順に沿って HCX を構成してください。

EVS 環境にデプロイされた HCX アプライアンスおよびコンポーネントは、パブリックインターネットを介して、オンプレミスの HCX アプライアンスと直接セキュアな接続を確立します。Amazon は連続した /28 CIDR ブロックの IPv4 パブリックアドレスを提供し、これらを HCX アプライアンスのアップリンクインターフェイスに直接割り当てることで、ワークロードの移行を行えます。

まとめ

HCX を使用して VMware ワークロードを EVS に移行するお客様には、複数の接続オプションがあり、それぞれが異なる要件や制約に適しています。

Direct Connect は、信頼性が最も高く高性能なソリューションであり、大規模な移行や継続的なハイブリッド運用に最適ですが、計画と調達に時間を要します。

Site-to-Site VPN は、実装が迅速に行える手段で、優れたセキュリティと適切な帯域幅を提供します。小規模な移行や、迅速なデプロイが必要な場合に最適です。

パブリックインターネット接続は、複雑なネットワーク要件を排除することで実装を簡素化します。ネットワーク有識者が不足している組織や、時間的制約がある組織にとって有用です。

どの経路を選択する場合でも、成功の鍵は、データ量、タイムライン、利用可能な帯域幅、コストなどの移行要件を慎重に評価することです。これらの選択肢とそのトレードオフを理解することで、組織は EVS への移行に最も適した接続戦略を採用できます。