Amazon Web Services ブログ
AWS Cloud WAN を利用した VMware Cloud on AWS マルチリージョン構成の拡張
VMware Cloud on AWS を継続的に導入するお客様には、ビジネス需要をシームレスにサポートするスケーラブルなグローバルネットワークを提供することが重要です。
VMware Cloud on AWS のお客様は、Amazon Web Services (AWS) のネットワークサービスや構成モデルを利用して、異なる AWS リージョン間でソフトウェア定義データセンター (SDDC) を相互接続したいというご要望をお持ちです。
しかし既存のネットワーク設計パターンでは、SDDC 間のマルチリージョン接続を実現するためには、静的ルーティングによるフルメッシュトポロジーを構築する必要があります。これにはネットワーク構成の複雑さと管理のオーバーヘッドを増大させるという技術的な課題があります。
3 つ以上のリージョンに SDDC をデプロイしているエンタープライズのお客様にとっては、ネットワークの一元管理と監視、動的ルーティング、トラフィックセグメンテーション、ネットワークの自動化などの追加要件への対応が必須となります。
本稿では、AWS Cloud WAN が VMware Cloud on AWS のマルチリージョン接続の課題と要件にどのように対応できるのかを見ていきます。さらに VMware Cloud on AWS と AWS Cloud WAN の統合に関するリファレンスアーキテクチャについて実際の例を見ながら確認していきます。
AWS Cloud WAN 概要
2022 年 7 月、AWS はマネージド広域ネットワーク (WAN) サービスである AWS Cloud WAN の一般提供を発表しました。これは、お客様が AWS のグローバルネットワーク上でオンプレミスの各オフィス、データセンター、Amazon Virtual Private Cloud (Amazon VPC) 間のハイブリッド接続を構築するための一元管理ダッシュボードを提供します。
AWS Cloud WAN を利用することで、シンプルなネットワークポリシーでネットワーク管理を一元的に設定、自動化し、グローバルネットワークを数分で構築することができます。
下図に示す AWS Cloud WAN の主要コンポーネントを見ていきましょう:
- AWS Network Manager: グローバルネットワークを一元管理するための AWS マネジメントコンソールのユーザーインターフェース (UI) と関連 API。
- Global network: ネットワークオブジェクトのルートレベルのコンテナとして機能する、単一のプライベートネットワーク。グローバルネットワークは、Transit Gateway とコアネットワークの両方を含むことができます。
- Core network: お客様のグローバルネットワークのうちの AWS が管理する部分。
- Core network policy: コアネットワークを定義する、バージョン管理された単一のポリシードキュメント。
- Attachments: コアネットワークに追加する任意の接続やリソース。サポートされるアタッチメントの種類は、VPC、仮想プライベートネットワーク (VPN)、Connect (SD-WAN/GRE)、Transit Gateway のルートテーブルアタッチメントなど。
- Core Network Edge (CNE): ポリシーで定義された、アタッチメントのためのリージョンごとの接続ポイント。
- Network segments: グローバルネットワーク全体で一貫したルーティングドメインで、デフォルトではセグメント内の通信のみを許可。
図 1: AWS Cloud WAN のコンポーネント
AWS Cloud WAN アーキテクチャの優位性
以前の AWS ブログでご紹介したように、リージョン間のピアリング機能を持つ VMware Transit Connect (vTGW) を利用することで、お客様は VMware Cloud on AWS を複数リージョンに跨って展開することができます。
VMware Transit Connect によるリージョン間ピアリングと比較した、AWS Cloud WAN の優位性は以下になります:
- 3 リージョンを超えた拡張性: 現在、VMware Transit Connect (SDDC グループ) は最大 3 つのリージョンまでに制限されており、異なるリージョンで最大 3 つの AWS Transit Gateway (TGW) をサポートしています。AWS Cloud WAN に接続することで、これらの制限を回避することができます。
- ネットワークセグメンテーション: AWS Cloud WAN はエンドツーエンドでリージョン間でのネットワークセグメンテーションをサポートしています。これはTransit Gateway のリージョン間ピアリングでは現時点では実現できません。
- 動的ルーティング: AWS Cloud WAN では動的ルーティングを利用することができ、Cloud WAN のアタッチメント上で自動的に経路が伝播されます。
- アタッチメントの自動化を搭載: AWS Cloud WAN ではタグを利用することで、コアネットワークポリシーによりアタッチメントを自動的にセグメントにマッピングすることができます。
- Transit Gateway でのフルメッシュ構成を排除: AWS Cloud WAN は、異なるリージョンにあるすべての CNE 間で自動的にフルメッシュトポロジーを構築します。これにより、リージョンを跨いだ Transit Gateway 間のフルメッシュ接続を構築するための管理オーバーヘッドが無くなります。
- グローバルネットワークの一元管理と監視: AWS Cloud WAN は、AWS Network Manager コンソール上でグローバルネットワークの全体像を提供し、ネットワークの健全性、セキュリティ、パフォーマンスを監視します。
VMware Cloud on AWS との統合
VMware Cloud on AWS の SDDC を AWS Cloud WAN に接続する方法は、現時点で 2 つあります。
本番環境や大規模に SDDC を展開するケースでは、VMware Transit Connect や AWS Transit Gateway を利用して、Transit Gateway のルートテーブルアタッチメントを通して SDDC を Cloud WAN のコアネットワークに接続することができます。この方法は高帯域幅での接続が可能ですが、リージョン内のピアリングリンクにおいて静的ルーティングが必要となります。
テストや開発環境、小規模な SDDC の場合、Site-to-Site VPN アタッチメントで SDDC を Cloud WAN の CNE に直接接続することができます。この方法は、エンドツーエンドの動的ルーティングを提供し、通信の暗号化が必要なお客様に適しています。但し VPN トンネルごとの帯域幅が 1.25 Gbps に制限されているため、このオプションでは各 SDDC の VPN スループットの合計の最大値が 4~5 Gbps に制限されます。
いずれの方法でも、Cloud WAN を通るすべてのリージョン間のトラフィックは AWS のセキュアバックボーンにとどまり、物理層では透過的に暗号化されていることは重要なポイントです。
下図は、これら 2 つの接続オプションに対応した、VMware Cloud on AWS と AWS Cloud WAN 統合のリファレンスアーキテクチャです。
図 2: VMware Cloud on AWS と AWS Cloud WAN の統合
このリファレンスアーキテクチャは、以下のステップに従い、概念実証 (PoC) のベースとして使用することができます:
- お客様の SDDC が展開されている全てのリージョンに渡る複数のネットワークセグメントに対して、AWS Cloud WAN のコアネットワークを作成します。
- Cloud WAN のコアネットワーク内では、関連付けられた各リージョンごと自動的に CNE がプロビジョニングされます。
- 統一されたセグメンテーション方針に従って、複数のルートテーブルを持つ AWS Transit Gateway をデプロイします。
- 各環境 (本番、開発など) ごとに専用の SDDC グループを作成し、SDDC とその他のネットワークリソースを相互接続するため VMware Transit Connect (vTGW) をデプロイします。
- 各 SDDC グループからお客様管理の Transit Gateway にリージョン内ピアリングを構築します。各ピアリングアタッチメントを対応する TGW ルートテーブルに関連付け、関連する静的ルートを設定します。
- AWS Cloud WAN コアネットワークのローカル CNE への TGW ピアリング接続を設定します。
- それぞれの Cloud WAN セグメントにマッピングされた、個別の TGW ルートテーブルのアタッチメントを作成します。
- SDDC の NSX Edge からローカル CNE へのルートベースの Site-to-Site VPN 接続を構成し、対応する Cloud WAN セグメントへの VPN アタッチメントを作成します。
より詳しい情報を知りたい場合は、フルバージョンのリファレンスアーキテクチャをご参照ください。
セットアップ
次の例では、シドニーとシンガポールのリージョンで稼働する 2 つの SDDC に、リージョン間接続を提供するための AWS Cloud WAN コアネットワークをデプロイします。
VMware Transit Connect と AWS Transit Gateway を活用し、SDDC-01 を Transit Gateway のルートテーブルアタッチメント経由で Cloud WAN のコアネットワークに接続します。一方、SDDC-02 は Site-to-Site VPN アタッチメント経由で同じコアネットワークに接続します。いずれのアタッチメントもエンドツーエンドでのトラフィックセグメンテーションのために、コアネットワークの “development” セグメントに配置されます。
図 3: デモ環境の設定概要
上の表に示したように、このラボの前提条件として以下をプロビジョニングして用意しました:
- SDDC 2 つ (シドニーにある SDDC-01 とシンガポールにある SDDC-02)。
- AWS Transit Gateway と、トラフィックセグメンテーションのための 2 つの異なるルートテーブル (prod/dev) をシドニーリージョンに作成。
- SDDC-01 では、SDDC グループ (VMware Transit Connect) をデプロイし、上記の Transit Gateway に対してリージョン内ピアリングが確立されています。VMware Transit Connect のリージョン内ピアリングの設定方法の詳細については、こちらの VMware ブログの記事をご参照ください。
この例では、以下の 4 点の設定方法について解説します:
- Cloud WAN コアネットワークの作成
- SDDC-01 のための Cloud WAN Transit Gateway ルートテーブルアタッチメントの設定
- SDDC-02 のための Cloud WAN VPN アタッチメントの設定
- 検証
パート 1: Cloud WAN コアネットワークの作成
AWS Cloud WAN コアネットワークを設定するには、AWS コンソール内の AWS Network Manager に移動し、以下のタスクを実行します:
- Connectivity の下の Global Networks へ移動し、右のセクションの Create global network をクリックします。
- グローバルネットワークの Name と Description を入力し、Next をクリックします。
- 次に Cloud WAN コアネットワークを作成します。コアネットワークの名前と説明を入力し、Add core network in your global network にチェックが入っていることを確認します。
- 同ページで、コアネットワークポリシーの初期の基本設定を入力します。エッジロケーションを選択し、CNE デプロイのためのユニークな Autonomous System Number (ASN) の範囲を入力します。さらに以下の図 4 に示すように、デフォルトのセグメントである development を追加しています。
- 次のページでは、グローバルネットワークおよびコアネットワークの全ての設定を確認します。確認が終わったら Create global network をクリックします。
図 4: Cloud WAN コアネットワークのデプロイ
この段階では、Cloud WAN コアネットワークには初期のコアネットワークポリシーが設定されています。しかし、アタッチメントの自動化を可能にするためにいくつかの修正を加え、両方の SDDC のアタッチメントが自動的に development セグメントにマッピングされ、ルートも自動的に伝播されるようにしたいところです。
そのためには、先ほど作成した Global network をクリックし、Core network、Policy versions の順に移動します。Policy version – 1 を選択し、Edit をクリックします。ポリシーに以下の変更を追加します:
- Segments タブへ移動し、両方のエッジロケーションに跨る production セグメントを追加します。
- 同じく Segments タブ内で development セグメントを選択し、Require attachment acceptance のチェックを外して無効化します。
- Attachment policies タブへ移動し、“development” タグの付いた全てのアタッチメントが development セグメントに自動的にマッピングされるよう新しいポリシーを追加します。
図 5: コアネットワークポリシーを修正し、アタッチメントの自動化を有効にする
上記の変更を行い Create policy をクリックすると、リストに “Ready to execute” と表示された新しいポリシーバージョンが表示されます。この新しいポリシーを選択し、View or apply change set をクリックして新しいポリシーを適用します。
パート 2: SDDC-01 のための Cloud WAN TGW ルートテーブルアタッチメントの設定
最初の AWS Cloud WAN アタッチメントを作成する前に、まずは SDDC-01 の VMware Transit Connect の現在のルートテーブルを確認します。
VMware Cloud on AWS SDDC コンソールで、SDDC-01 の SDDC グループに移動し、Routing タブに移動します。
図 6: VMware Transit Connect ルートテーブル
上図に示したように、SDDC 管理用ルートは除いて、Route Aggregation 機能を使い全ての SDDC-01 のワークロードサブネットを単一の 10.101.0.0/16 プレフィックスにまとめています。
同様に、SDDC-02 の全てのワークロードセグメントは 10.102.0.0/16 のアドレスレンジにあるため、AWS Transit Gateway 向けには 10.102.0.0/16 にまとめたルートを追加しています。ピアリングされた TGW が環境内で唯一の外部接続ポイントである場合には、全ての RFC1918 ルート (またはデフォルトルート) を事前に設定することで、Transit Connect ルートテーブルをさらに最適化することができます。
さらに、VMware Transit Connect からのリージョン内ピアリングが TGW development ルートテーブルと関連付けられていることを確認してください。このルートテーブルはこの後それぞれの Cloud WAN セグメントにアタッチされます。
図 7: SDDC のリージョン内ピアリングと TGW ルートテーブルの関連付け
続いて Cloud WAN の設定を見ていきます。AWS Network Manager で、Global Network をクリックし、Core network > Peerings に進みます。まず、AWS Transit Gateway からシドニーリージョン内のローカル CNE への Cloud WAN ピアリング接続を作成します。
図 8: Cloud WAN への Transit Gateway ピアリングの作成
次に、Core network > Attachments に移動し、前回のピアリング接続に基づいて TGW ルートテーブルのアタッチメントを作成し、Transit Gateway のルートテーブルとして development を選択してください。
なお、ここの例ではアタッチメント自動化のトリガーとしてタグも追加しています。
図 9: TGW ルートテーブルのアタッチメントの作成
TGW ルートテーブルのアタッチメントの作成時、そのタグは事前に設定したポリシーで認識され、アタッチメントは自動的に development セグメントと関連付けられます。
図 10: アタッチメントの Cloud WAN セグメントへの自動関連付け
パート 3: SDDC-02 のための Cloud WAN VPN アタッチメントの設定
次に、SDDC-02 からシンガポールリージョンにある Cloud WAN CNE への VPN アタッチメントを作成します。
こちらのドキュメントに従って、VPN 接続を作成します。VPN 接続はローカル CNE に直接接続するため、Target gateway type で Not associated を選択するようにしてください。
ここで AWS Network Manager に切り替え、Global Network から Core network > Attachments に移動します。下図のように VPN アタッチメントを作成します。ここでも、SDDC-02 の VPN アタッチメントを development セグメントにマッピングするためのトリガーとしてタグを使用しています。
図 11: VPN アタッチメントの作成
最後に、こちらの VMware のガイドに従って対応するルートベースの VPN 接続を SDDC-02 で作成します。
パート 4: 検証
この時点で、2 つの Cloud WAN アタッチメントが出来ており、いずれも development セグメント内に自動的にデプロイされているはずです。
SDDC-01 側のルートを確認するために、TGW development ルートテーブルに移動します。全ての SDDC-02 のルートが Cloud WAN コアネットワークから自動的に伝播されていることが確認できます。SDDC-02 の VPN ルートテーブルでは、BGP を介して Cloud WAN から学習した SDDC-01 の 2 つのルートも表示されます。
図 12: ルートテーブルの更新の確認
Core network に戻り、Topology tree のタブを見ると、全ての CNE、セグメント、コアネットワークのアタッチメントを含むグローバルネットワークのトポロジ概要を確認できます。
デフォルトで Cloud WAN は VPN 上の Equal-Cost Multi-Path (ECMP) をサポートしているため、VPN アタッチメントの下には SDDC-02 からの VPN 接続が 2 つあります。
図 13: Cloud WAN コアネットワークのトポロジーツリー
追加の考慮点
本稿では AWS コンソールのみを使用しましたが、Cloud WAN の設定には AWS Command Line Interface (AWS CLI) や AWS SDK を利用することも可能です。また、コアネットワークポリシーは JSON テンプレートとして表現されるため、AWS コンソールの JSON エディタやグラフィカルユーザーインターフェイス (GUI) を使って変更したり、API コールでデータを渡すこともできます。
AWS Cloud WAN は、コアネットワーク内の CNE 間の通信だけでなく、ピアリングでも eBGP を使用します。そのため、CNE ASN がユニークで、既存の TGW や SDDC で使用されていないことを確認してください。
Cloud WAN と既存のお客様 VPC や AWS Direct Connect 接続との統合については、本稿では取り扱いませんでした。これらのトピックの詳細については、こちらの AWS ブログ記事をご参照ください。
Cloud WAN の価格詳細は、製品ページをご確認ください。各 CNE には時間当たりのコストがかかるため、必要な AWS リージョンのみ CNE を有効にするようにしてください。また、CNE と AWS Transit Gateway 間のピアリング接続で送信されるトラフィックには、データ処理費用がかからないことも重要なポイントです。
まとめ
この記事では、VMware Cloud on AWS のお客様が、SDDC を複数 AWS リージョンに跨る構成へと拡張するのに AWS Cloud WAN がいかに役に立つか詳細を見てきました。
AWS Cloud WAN と VMware Cloud on AWS の連携に関するリファレンスアーキテクチャを取り上げ、このアーキテクチャに基づいたステップバイステップの例を説明しました。
さらに詳しく知りたい場合には、以下の参考情報をご確認ください:
- VMware Cloud on AWS ハイブリッドネットワークデザインパターン
- Introducing AWS Cloud WAN
- AWS Cloud WAN and AWS Transit Gateway migration and interoperability patterns
翻訳は ENT-C SA 太田が担当しました。原文はこちらです。