Amazon Web Services ブログ

Landing Zone Accelerator を VMware Cloud on AWS に接続する

VMC-reInvent-2023-KBYG-1

アマゾン ウェブ サービス (AWS) の Landing Zone Accelerator on AWS (LZA) ソリューションは、AWS のベストプラクティスと複数のグローバルコンプライアンスフレームワークに合わせて設計されたクラウド基盤をデプロイします。ワークロードが厳しく規制され、コンプライアンス要件が複雑なお客様は、LZA を使用してマルチアカウント環境をより適切に管理および管理できます。他の AWS サービスと連携して使用すると、35 以上の AWS サービスにわたる包括的なローコードソリューションが提供されます。

お客様は、VMware Cloud on AWS を使用してオンプレミスの vSphere 環境を統合し、既存のワークロードをより迅速にクラウドに移行することができます。組織がこれらのクラウドサービスを活用している場合、VMware のワークロードをネイティブに管理された AWS サービスと統合することで、オペレーションオーバーヘッドを削減し、総所有コスト (TCO) を最適化できます。

このブログ記事では、LZA Landing Zone と VMware Cloud on the AWS 環境の統合に関する技術的な考慮事項について説明します。読者が VMware Cloud Software Defined Data Center (SDDC) の導入とベストプラクティスVMware Cloud on AWS ネットワークアーキテクチャ、および LZA の導入に精通していることを前提としています。

Connected VPC 用アカウントに関する重要な考慮事項

まず、SDDC の導入時に VMware SDDC に接続する仮想プライベートクラウド (VPC) に使用するアカウントを決定します。

このブログ記事では、開発アカウント、テストアカウント、本番アカウントをデフォルトで厳密に分離する LZA Landing Zone の例を紹介します。つまり、 AWS Transit Gateway のルーティングテーブル設定により、セキュリティ上の理由からこれらのアカウントは相互に通信できなくなります。この記事で説明するアーキテクチャ設計では、お客様の意図は、既存のセキュリティ仕様を尊重しながら VMware Cloud on AWS と LZA を統合することにあります。LZA 環境内で適用されるコンプライアンスは、自動的に VMware Cloud on AWS へ拡張されないため、VMware SDDC ワークロードに必要なコンプライアンス要件を満たすために、VMware Cloud 環境内で追加の手順が必要になる場合があります。

これらの考慮事項を念頭に置いて、この記事では AWS Control Tower を使用して作成された Organization の例を紹介します。この例では、接続された VPC ワークロードに使用する AWS アカウントを作成します。以下の図 1 は、このアカウントが「sddc」という名前の組織単位 (OU) と「SDDC-Team1」という名前の LZA アーキテクチャにどのように適合するかを示しています。ワークロードをさらに分離する場合は、必要に応じて同じ OU 内に追加のアカウントをデプロイできます。その後、専用の「SDDC_Connected_VPC」をこれらの AWS アカウントにデプロイできます。このアプローチにより、組織内のこの OU 内のすべての AWS アカウントに特定のサービスコントロールポリシー (SCP) を定義できます。これにより、VMware ワークロードで使用されるネイティブ AWS サービスを、他の LZA 環境から独立して構成できるようになります。

VMC-reInvent-2023-KBYG-1
図1.ルートアカウントの下で組織単位 (OU) に構造化された AWS アカウント

導入したら、図 2 に示すような機能的なアカウントアプローチを使用して、さまざまなチームが「SDDC_Connected_VPC」に同時にアクセスできるようにしながら、特定のアカウントの特定のワークロードを分離する機能をサポートすることをお勧めします。下の図 2 は、LZA のデプロイ時に作成できるマルチアカウント構造の例を示しています。このマルチアカウント組織アプローチは、お客様が AWS Organizations サービス (OU と SCP) を活用して複数の AWS アカウントを一元管理する方法を示しています。

VMC-reInvent-2023-KBYG-1

図2.LZA のリファレンスアーキテクチャでは、各チームが SDDC VPC に個別かつ並行してアクセスできるため、特定のアカウントの特定のワークロードを分離できる

LZA と VMware Cloud との接続に必要な 3 つのコミュニケーションパス

LZA を VMware Cloud on AWS SDDC と統合するためのアーキテクチャでは、ネットワークアーキテクチャを慎重に計画する必要があります。LZA を AWS 上の VMware Cloud と統合するための技術的要件は次のとおりです。

  • VMware Cloud on AWS SDDC ワークロードと AWS クラウドサービス間の通信を有効にします。例:
    Amazon Simple Storage Service (Amazon S3)、Amazon Relational Database Services (Amazon RDS)、Amazon FSx、Amazon Elastic File System (Amazon EFS) など
  • オンプレミスのデータセンターから VMware Cloud on AWS への VMware vMotion および VMware HCX ベースのワークロード移行に関する通信を可能にします。
  • AWS Network Firewall のパケット検査をサポートしながら、VMware Cloud on AWS SDDC からインターネットへの通信を有効にします。

これらの要件を満たすには、VMware Cloud on AWS と次の環境間の通信をサポートする 3 つの通信ネットワークパスを作成する必要があります。

1.オンプレミスのデータセンターから VMware Cloud on AWS SDDC への接続

2.LZA ワークロード AWS アカウントの VPC (SDDC_Connected_VPC) から VMware Cloud on AWS SDDC への接続

3.共有ネットワークアカウントにデプロイされた LZA Transit Gateway から、リージョン内ピアリングを使用した VMware Transit Connect への接続

VMC-reInvent-2023-KBYG-1

図3. LZA ネットワークアーキテクチャは、AWS Transit Gateway と VMware Transit Connect 間の接続アーキテクチャを特徴とする。ユーザーがインターネットゲートウェイあるいは AWS Transit Gateway を経由して SDDC_Connected_VPC に到達するオレンジ色の点線は、VMware Cloud on AWS SDDC および LZA からのすべての外部接続が、常に AWS Transit Gateway アタッチメントを使用して境界 VPC を通過する様子を示す

パス 1: オンプレミスのデータセンターから VMware Cloud on AWS SDDC への接続

LZA と VMware Cloud on AWS をデプロイする場合、帯域幅の拡大、待ち時間の短縮、ユーザーの一貫したネットワークエクスペリエンスを実現するには、インターネット接続を使用しない、オンプレミス環境からクラウドへの専用接続が必要です。図 4 に示すアーキテクチャでは、可用性の高いハイブリッド接続を実現するために、冗長な AWS Direct Connect ネットワーク接続を使用します。

VMC-reInvent-2023-KBYG-1

図4. AWS Direct Connect Gateway は、オンプレミスのデータセンターから LZA ネットワークアカウント経由で VMware Cloud on AWS アカウントへのハイブリッド接続をサポート

さらに、マルチリージョン接続を可能にするために、AWS Direct Connect 経由のトランジット仮想インターフェイス (Transit VIF) でオンプレミス環境を AWS Direct Connect Gateway に接続します。この AWS Direct Connect Gateway は、1 つ以上のリージョンの LZA ネットワークアカウントにある AWS Transit Gateway に関連付けられます。

AWS Transit Gateway は高可用性設計がされているため、冗長性のために追加の Transit Gateway をデプロイする必要はありません。AWS Direct Connectと AWS Transit Gateway の詳細についてはこちらをご覧ください。

AWS Transit Gateway は、オンプレミス接続を提供するために、同じリージョン内の VMware Transit Connect との「リージョン内ピアリング」を使用して構成されています。VMware ワークロードとの通信に加えて、HCX ネットワーク拡張などの HCX 機能を使用して、レイヤー 2 ネットワークを既存のデータセンターから VMware Cloud on AWS SDDC に拡張できます。HCX を使用して移行された仮想マシンは IP アドレスとメディアアクセス制御 (MAC) アドレスを保持できるため、クラウドで実行中のワークロードにシームレスに移行できます。

1 つの AWS Direct Connect Gateway との異なる Gateway Association で同じルートをアドバタイズしないように注意する必要があります。つまり、VMware Cloud on AWS と AWS Transit Gateway との間のネットワークトラフィックは、データセンターと通信するときに同じルートを使用する必要があります。

パス 2: LZA ワークロードアカウント VPC から VMware Cloud on AWS SDDC への接続

LZA の「SDDC_Connected_VPC」は、SDDC と一緒にデプロイされた Elastic Network Interface (ENI) を使用して SDDC に接続されます。この「SDDC_Connected_VPC」を使用すると、SDDC で実行されている仮想マシンと AWS サービスを統合できます。この高スループットで低レイテンシーのリンクは、Amazon EFSAmazon FSxAmazon S3Amazon RDS などのデータ集約型サービスやレイテンシーの影響を受けやすいサービスを統合する場合に特に重要です。

また、「SDDC_Connected_VPC」を使用して、LZA アーキテクチャに従って、SDDC 内の VMware 仮想マシンのインターネット入力負荷分散用の Elastic Load Balancer を実行することもできます。VMware Cloud on AWS のワークロードをネイティブ AWS サービスで拡張する方法の詳細についてはこちらをご覧ください。

パス 3: 共有サービスへの接続とインターネットアウトバウンド接続

このアーキテクチャでは、「SDDC_Connected_VPC」へのトラフィックと、VMware Transit Connect リージョン内ピアリングと LZA AWS Transit Gateway ピアリングによるオンプレミスへの接続以外にも、他のすべてのトラフィックをリージョン内ピアリング経由で LZA AWS Transit Gateway に送信する必要があります。

これには、Amazon Route 53 インバウンド DNS リゾルバーや他の VPC との通信など、LZA 内のすべての共有サービスへのトラフィックが含まれます。SDDC 内のワークロードのインターネット接続も、このリージョン内ピアリングを通過します。上記の図 3 は、AWS Transit Gateway と VMware Transit Connect 間の接続のアーキテクチャを示しています。VMware のブログ「VMware Cloud on AWS の VMware Transit Connect イントラリージョンピアリング入門」で、VMware Transit Connect から AWS Transit Gateway へのリージョン内ピアリングを設定する方法について説明しています。

ルートの伝播をコントロールして、エンドポイント VPC と LZA オペレーションアカウントのみが Transit Gateway 経由で VMware Cloud on AWS SDDC 環境と通信できるようにすることが重要です。LZA と VMware Transit Connect 間の通信を有効にするには、ルートテーブルを伝達する必要があります。VMware Transit Connect マネージドプレフィックスリストを使用していない限り、VMware Transit Connect はそのルートをデフォルトで LZA Transit Gateway に伝達しないことに注意してください。

この方法では、すべての受信トラフィックと出力トラフィックが境界ファイアウォールを通過して検査されます。図 3 の図のオレンジ色の点線は、VMware Cloud on AWS SDDC と LZA からのすべての外部接続が、常に AWS Transit Gateway アタッチメントを使用して境界 VPC を通過する様子を示しています。

SDDC の DNS 構成による通信プライバシーの保護

通信のプライバシーを確保するには、内部エンドポイントを使用して SDDC から AWS にデプロイされたワークロードとサービスに通信します。VMware Cloud on AWS vCenter マネジメントコンソールでは、LZA ランディングゾーンに設定されている Amazon Route 53 DNS リゾルバーの IP アドレスを入力できます。

まとめ

この記事では、LZA Landing Zone で AWS を実行するネイティブ AWS サービスやインターネットとの通信を可能にしながら、VMware Cloud on AWS SDDC をデプロイするために使用可能なネットワークアーキテクチャについて説明しました。これにより、AWS ネイティブサービスを最大限に活用し、2つの異なるコンピューティング環境にワークロードをデプロイし、オペレーションオーバーヘッドコストを削減できます。

AWS Public Sector Blog ニュースレターを購読して、公共部門からの AWS ツール、ソリューション、イノベーションに関する最新情報をメールで受け取るか、お問い合わせください。

このアンケートから AWS Public Sector Blog をお読みになってのご意見を、少しのお時間を割いて私たちに共有してください。アンケートからのフィードバックをもとに、読者の好みに合わせたコンテンツを作成していきます。

この投稿の翻訳は Solutions Architect の有岡が担当させていただきました。原文記事はこちらです。