VMware Cloud on AWS での Amazon FSx for NetApp ONTAP の VPC ピアリングの紹介

昨年、VMware Cloud on AWS と Amazon FSx for NetApp ONTAP の統合を発表しました。この統合が利用できるようになってから、注目が高まり、採用が増えてきています。

VMware Cloud on AWS により、オンプレミスのデータセンターを拡張し、マシンイメージ形式の変換やリプラットフォームを行うことなく、ワークロードを簡単に移行することができます。Amazon FSx for NetApp ONTAP は、NetApp ONTAP ファイルシステムをクラウド上で利用できるフルマネージドのストレージサービスです。

また昨年に、単一のアベイラビリティーゾーン (AZ) での展開のサポートも開始しました。AWS Transit Gateway (TGW) がソリューションの要件となっていましたが、ファイルシステムを VMware Cloud on AWS の Software-Defined Data Center (SDDC) に柔軟に接続できるようになりました。

そしてこの度、Amazon VPC Cloud (VPC) ピアリングのサポートが開始されます。そのため、ソリューションの要件として AWS Transit Gateway が不要になります。

この記事では、VPC ピアリングによる接続の利点と、接続手順および考慮事項について説明します。

メリット

VPC ピアリングは、2 つ以上の VPC ネットワーク間をプライベートに接続し、セキュリティを向上させます。トラフィックをパブリックインターネットから隔離すると、トラフィックが Amazon Web Services (AWS) クラウドネットワークから出ることがないため、スタックからのあらゆるリスクを軽減することができます。

ピアリングされた VPC と SDDC 間でピアリングが設定されますが、トラフィックは管理サブネットに制限され、NFS トラフィックのみが許可されます。

VPC ピアリングを使用すると、ネットワーク転送コストを節約でき、ネットワークレイテンシが改善します。ピアリングトラフィックは AWS ネットワークから出ないため、パブリック IP のレイテンシが小さくなります。VPC ピアリングは VPC 間にラインレートの接続を確立することで、ピアリングされた VPC において Elastic Network Interface (ENI) 間の通信が、ミリ秒以下のレイテンシで可能になります。

VPC ピアリングを使用する他の理由は、インスタンスがパブリック IP アドレスを必要としない場合や、パブリックインターネットへのネットワークアドレス変換 (NAT) を必要としない場合です。

ソリューションの概要

同一または異なる AWS アカウントやリージョンにある 2 つの VPC 間で、VPC ピアリング接続を作成することができます。VPC ピアリング接続では、プライベート IPv4 または IPV6 アドレスを使用してホスト間で通信できます。

Network File System (NFS) データストア接続は、NSX をバイパスし、ESXi ホストと FSx for ONTAP ベースの NFS ストレージの間で確立されるため、ルーティングされた接続を経由する必要なく、2 つの VPC 間で直接接続が確立されます。

図 1 – VPC ピアリング

接続プロセス

接続には、SDDC がデプロイされている VMware が管理する AWS アカウントと、Amazon FSx for ONTAP ファイルシステムがデプロイされているお客様の AWS アカウントが必要です。

VMware 管理の AWS アカウントと、お客様の AWS アカウント間で、VPC ピアリングをセットアップするために必要な大まかな手順を説明します。

• お客様は VMware のカスタマーサクセス担当者またはアカウント担当者に連絡し、VCP ピアリングを依頼します。
• リクエスト側 VPC の所有者 (VMware) が、受け入れ側 VPC の所有者 (お客様) に、VPC ピアリング接続を作成するためのリクエストを送信します。
• VPC ピアリング接続を有効にするために、受け入れ側 VPC の所有者 (お客様) が、VPC ピアリング接続のリクエストを受け入れる必要があります。
• お客様が VMware に連絡し、リクエストを受け入れ、VPC ピアリング接続を完了できることを伝えます。
• VMware が、ピアリング接続を使用するようにネットワークルートを更新します。
• お客様が、お客様の VPC で同じことを行い、NFS トラフィックを許可するようにセキュリティグループルールを設定します。

考慮事項

Amazon FSx for NetApp ONTAP の VPC ピアリングは、NFS データストアのトラフィック専用です。その他のトラフィックはブロックされています。

VPC ピアリングは、SDDC のバージョンが v1.20 以降であり、シングルアベイラビリティーゾーンの構成である必要があります。マルチアベイラビリティーゾーンの構成で FSx for NetApp を利用する場合は、AWS Transit Gateway を使用するアーキテクチャが必要で、SDDC への接続には引続き SDDC グループを使用する必要があります。SDDC が v1.20 より前のバージョンを実行しており、VPC ピアリングを利用したい場合は、VMware に SDDC のアップグレードをリクエストしてください。

VMware はストレッチクラスタのデータストアとして外部ストレージをサポートしていません。VMware のロードマップで将来的に対応予定となっています。

料金

VPC ピアリング接続の作成は無料です。また、同一アベイラビリティーゾーン内で VPC ピアリング接続を介して転送されるデータは無料です。ストレージと SDDC が異なるアベイラビリティーゾーンに配置されている場合には、アベイラビリティーゾーンをまたいだ VPC ピアリング接続間でのデータ転送料金が適用されます。

まとめ

この VPC ピアリングの提供開始により、AWS Transit Gateway でのデータ処理料金のコストを追加で発生させることなく、Amazon FSx for NetApp ONTAP で VMware Cloud on AWS を最大限に活用することができます。これにより、VMware Cloud on AWS 内で運用する際の総所有コスト (TCO) をさらに削減し、機能を向上させることができます。

この導入オプションの詳細については、VMware Cloud on AWS のページ、FSx for NetApp ONTAP の製品ページ、AWS News Blog のアナウンスをご覧ください。

翻訳をソリューションアーキテクトの Furuya が担当しました。原文はこちらです。