Amazon Web Services ブログ
オンプレミスからVMware Cloud on AWSへのネットワークL2延伸の選択肢
AWSでSpecialist Solution Architectを務めるSchneider Larbiによる記事です。
VMware Cloud on AWSではお客様のオンプレミスネットワークをレイヤー2レベルでシームレスにクラウドへ延伸することができます。これは重要なことです。なぜならオンプレミスのレイヤー2ネットワークからIPアドレスを変更せずに、仮想マシンをVMware Cloud on AWSへ移行できるからです。
本稿執筆時点(2020年7月7日)で、VMware Cloud on AWSへネットワーク延伸する方法は以下の2つがあります。
ネットワーク延伸を実装するにあたりオンプレミスにNSXを持つ必要はありません。オンプレミスにNSX-Tがある場合、NSXにより自動でプロビジョニングされるNSX-T Edgeを、Software Defined Data Center (SDDC)やVMware Cloud on AWSの環境に接続するためのL2VPN (レイヤー2 VPN)のクライアントサイドとして利用することはできません。
本稿では、オンプレミスのネットワークをVMware Cloud on AWSへ延伸する際のアーキテクチャの考慮事項について説明します。これによりハイブリッドクラウドを実装したり、IPアドレスを変更することなくクラウドへ移行することができるようになります。
VMware Cloud on AWSによりお客様はデータセンターをクラウドへ移行し、データセンターからの脱却、災害対策 (DR)の実装、アプリケーションのモダナイズを実現できます。
お客様はオンプレミスで使われているのと同じVMwareインフラストラクチャーコンポーネント、すなわち管理用のvCenter、ハイパーバイザーであるESXi、ネットワークのNSX、ストレージのvSANを利用することでこれらのことが実現できます。それではVMware Cloud on AWSで実装するネットワーク延伸の選択肢について見ていきましょう。
ハイブリッド接続の確立
VMware Cloud on AWSへのハイブリッドネットワーク接続を実装する一つの方法はAutonomous NSX Edgeを利用することです。これはお客様のオンプレミスVMwareクラスターに立てるスタンドアローンのアプライアンスです。OVFフォーマットとしてダウンロードされ、お客様のレイヤー2ネットワークドメインをVMware Cloud on AWSへ延伸するL2VPNとして機能します。
本稿執筆時点(2020/7/7)で、VMware Cloud on AWSで利用されているNSXのタイプはNSX-T Data Centerになります。唯一Autonomous NSX EdgeだけがVMwre Cloud on AWSのNSX-T Data Centerと互換性があることは注目に値します。その他のNSX-Vアプライアンスをダウンロードしてきたとしてもクラウド上のNSX-T Data Centerとは連携できません。
Autonomous NSX Edgeアプライアンスのセットアップに先んじて、オンプレミスのvCenterとVMware Cloud on AWSのvCenter間でvMotionを開始できることを確認しておかなければいけません。そのためには2つのvCenterサーバー間でハイブリッドリンクモードを設定する必要があります。この機能はオンプレミスのvCenterをVMware Cloud on AWSに接続することで管理を容易にします。詳細はVMwareドキュメントのチェックリストをご参照ください。
不必要なネットワーク停止や不適合エラーを引き起こすことなくオンプレミスのVMware環境とVMware Cloud on AWS間でvMotionを開始できるよう、これらの前提条件を満たしていることを確認してください。
Autonomous NSX Edgeを使ってお客様のレイヤー2ネットワークをAWS Direct Connect (DX)またはパブリックインターネット越しにVMware Cloud on AWS環境へ延伸することで、この延伸されたネットワークに繋がるお客様の仮想マシンのライブvMotionをオンプレミス環境とVMware Cloud on AWS間で開始できます。
オンプレミスからクラウドのvCenterへvMotionするには、ハイブリッドリンクモードを2つのvCenterサーバー間で設定する必要があります。この機能はオンプレミスのvCenterをVMware Cloud on AWSのvCenterに接続します。詳細はVMwareドキュメントのチェックリストをご参照ください。
不必要なネットワーク停止や不適合エラーを引き起こすことなくオンプレミスのVMware環境とVMware Cloud on AWS間でvMotionを開始できるよう、これらの前提条件を満たしていることを確認してください。
お客様ネットワークをVMware Cloud on AWSへ延伸しハイブリッドなネットワークを実装する2つ目の方法はVMware HCXを使うことです。これはアプリケーション移行の簡便化、ワークロードのリバランス、データセンターやクラウドを跨いだ業務継続のために設計されたアプリケーション可動性のためのプラットフォームです。
VMware HCXのコンポーネントがオンプレミスにデプロイされ、VMware Cloud on AWS環境のコンポーネントに紐づけられることで、移行目的やハイブリッドクラウドアーキテクチャ維持のための、お客様のレイヤー2ネットワークのVMware Cloud on AWSへの延伸を実現します。
オンプレミスネットワークをVMware Cloud on AWSへ延伸することができるハイブリッドなネットワーク接続性を実現するには、オンプレミス環境とVMware Cloud on AWSとの間で接続が確立されていることが必要です。これら2つのオプションについてさらに知りたい場合はこちらのブログ投稿をご参照ください:Connectivity Options for VMware Cloud on AWS SDDCs
VMCとNSX Edgeアプライアンスのアーキテクチャ
既にAWS Direct Connectをご利用中のお客様は、既存のDX接続上にNSX Autonomous EdgeのVMware Cloud on AWSへの接続設定が可能です。
図1: AWS Direct Connect経由のL2VPN
このデザインでは、AWS Direct Connect プライベート仮想インターフェイス (Private VIF)がDX接続上に構成され、仮想プライベートゲートウェイ (VGW)で終端されています。この構成ではオンプレミス環境からVMware Cloud on AWS、正確にはNSX EdgeルーターへBorder Gateway Protocol (BGP)を使ってネットワーク経路が広告されます。
オンプレミスとVMware Cloud on AWS環境のBGPセッション設定のAutonomous System Numbers (ASN)が重複しないように注意してください。両サイトで異なる値を使わなければいけません。
この事前設定を完了すると、いよいよお客様のオンプレミスネットワークをVMware Cloud on AWS環境へ延伸するためのDirect Connect Private VIF上のL2VPNの設定が可能になります。
NSX Autonomous Edgeアプライアンスを使って延伸したいネットワークについては、Direct Connect Private VIF上のBGPを通して経路広告をしないようにしてください。
以下のスクリーンショットでは、既存のAWS Direct Connect接続上でどのようにAutonomous Edgeの設定をするかを図示しています。
図2: AWS Direct Connect経由のL2VPN設定
図2に示したように、L2VPNの設定でVMware Cloud on AWSの終端ポイントとしてプライベートIPを選択する必要があります。こうすることでお客様のオンプレミスデバイスのプライベートあるいは内部的なIPをL2VPNのリモートIPとして設定することができます。
このプライベートIPはAWS Direct Connect上でのみ使用することができます。既存のVPN接続上ではプライベートIPを使うことはできません。
この設定によりL2VPNトラフィックは、安定した信頼性の高い低レイテンシーの接続を提供するAWS Direct Connect上を通ってVMware Cloud on AWSへ通信できます。
一方オンプレミスとVMware Cloud on AWS間をAWS Direct Connectで接続されていないお客様は、NSX Autonomous Standalone Edgeを利用して任意のネットワークをVMware Cloud on AWSへ伸ばすことができます。
図3: パブリックインターネット経由のL2VPN
図3の構成ではNSX Autonomous Edgeを利用してお客様のレイヤー2ネットワークを延伸することができます。図1の構成と同様に、アプライアンスをオンプレミスのvSphereクラスターにデプロイし、パブリックインターネット上でL2VPNを使ってVMware Cloud on AWSへネットワーク延伸するように設定します。
このデザインで重要なのは、VMware Cloud on AWSへ延伸したいネットワークを一切経路広告しないようにすることです。この構成が他と明確に異なる点は、VPNがVMware Cloud on AWS環境のNSX Edgeルーターで終端されているところです。
このネットワーク延伸は、VMwareクラスターのワークロードネットワークにのみ適用できます。管理ネットワークをVMware Cloud on AWSへ経路広告したい場合には、図3に示したように異なるVPNトンネルを張らなければいけません。
この構成を有効にするには、以下の図に示すようにレイヤー2の設定からパブリックIPオプションを選択する必要があります。
図4: パブリックインターネット経由のL2VPN設定
VMware Cloud on AWSでは、オンプレミスとSDDCの間で複数のトンネルを作成する事ができますが、1つのレイヤー2VPNトンネルのみがサポートされます。NSX Autonomous EdgeアプライアンスをデプロイするにはこちらのVMwareドキュメントに従ってください。
さらに、NSX Autonomous Standalone Edge バージョン2.5.1.0.0を使ったL2VPNは最大100のオンプレミスネットワークをクラウドへ延伸することができます。もしこれ以上の数のネットワークをクラウドへ延伸したい場合には、適切に計画する必要があります。
NSX Autonomous Edgeはマネージドサービスではないため、オンプレミスのvSphereクラスター内にあるこのアプライアンスの管理責任はお客様にあります。
このアプライアンスの障害による停止を防ぐためにHigh Availability (HA)、Distributed Resource Scheduler (DRS)といったvSphereの機能が使えます。また必要に応じて組み込みのバックアップ機能を利用してアプライアンス設定のバックアップとリストアを実施することもできます。
NSX Autonomous Edgeアプライアンスにはバックアップ/リストア機能が備わっており、設定ファイルをバックアップしてクラスター外に保管することができます。この機能により新しいアプライアンスを素早くデプロイし、数分で設定をリストアすることができます。
もちろんサードパーティ製のバックアップソリューションを利用してアプライアンスを保護することも可能です。
この方法でオンプレミスからVMware Cloud on AWSへネットワークを延伸すると、お客様環境にレイテンシーが発生することは心に留めておく必要があります。ゲートウェイIPは変わらずオンプレミスに残るため、レイテンシーがお客様環境において許容できるものであることを確認してください。
HCXによるネットワーク延伸の考慮事項
HCXのネットワークアプライアンス1つあたり最大で8つのネットワークを延伸することができます。もし8つより多くのネットワークを延伸したい場合には、複数のネットワークアプライアンスをデプロイする事ができます。
このネットワーク延伸ソリューションを適切に設計するためには、デプロイするHCXコンポーネントの設定の制約を常に確認することを推奨します。
VMwareからHCXのオンプレミスへのデプロイ方法とオンプレミス環境との関連付け方法の詳細なガイダンスが提供されています。
HCXをどの程度まで拡張するかに応じて、オンプレミスにデプロイされる様々なHCXコンポーネントのための十分なCPU、メモリ、ストレージリソースを管理クラスターに持たせておくよう計画しておかなければいけません。
またオンプレミスおよびVMware Cloud on AWS両環境のHCXコンポーネントの管理とメンテナンスもお客様責任となります。もし問題が起きた場合はVMwareへサポートを依頼することができます。
VMware Cloud on AWSへのHCXによるネットワーク延伸構成
HCXには2つのバージョンがあり、1つはオンプレミスでの利用に限定されているため2つのオンプレミス環境間を接続するために利用されます。もう1つはクラウドバージョンであり、オンプレミスとクラウド間を接続することができます。本稿ではこのクラウドバージョンのHCXに焦点を当てます。
HCXはVMware Cloud on AWSとオンプレミスのクラスターにコンポーネントをデプロイします。これらのコンポーネントはまとめて設定、関連付けがなされます。
クラウドバージョンのHCXはVMware Cloud on AWSのアドオンです。コンポーネントはクラウド側で管理され、オンプレミスにデプロイされるコンポーネントはお客様が管理します。こちらのユーザーガイドでVMware Cloud on AWSへどのようにHCXがデプロイされるかをご確認ください。
HCXもAWS Direct Connectをサポートしているので、オンプレミスとVMware Cloud on AWS間でプライベートVIFによるDX接続が確立されていれば、HCXによってDX接続上でオンプレミスのローカルなレイヤー2ネットワークをVMware Cloud on AWSへ延伸することができます。
図5: AWS Direct Connect経由のHCX構成
図5の構成を組むためには、アンダーレイのAWS Direct Connect接続を通ってVMware Cloud on AWSへ経路広告されるサービスメッシュ設定のためのIPアドレスを予約する必要があります。この設定はオンプレミスのHCX Managerから実施され、IPアドレスはオンプレミスのアドレスプールから供出されなければいけません。
次のステップではVMware Cloud on AWSのHCX Managerへログオンします。Network Profileセクションにて、VMwareはdirectConnectNetwork1という名前のネットワークプロファイルを提供します。これは初期状態では空のプロファイルであるため、お客様のネットワークチームからDX上のHCXクラウドコンポーネントのデプロイメントに使用されるネットワーク範囲を提示してもうら必要があります。
IPレンジはオンプレミスの他のIPやVMware Cloud on AWSのものと重複してはいけません。またその範囲は/24である必要もありません。HCXのデプロイメントモデルに基づいてどれだけのアプライアンスをデプロイしたいかを考慮し、より小さなアドレスレンジにすることもできます。
ネットワークチームからネットワーク範囲の提供を受けたら、directConnectNetwork1プロファイルを編集しそのアドレスレンジを入力してください。プロファイルが保存されると、ネットワーク範囲はDirect Connect Private VIF上でBGPを使って自動的にオンプレミスへ経路広告されます。以下の図6ではVMware Cloud on AWSのHCX Managerのこの設定を図示しています。
図6: AWS Direct Connect設定
クラウド側のHCX ManagerからAWS Direct Connectネットワークプロファイルを設定したら、次はHCX Managerからオンプレミスのサービスメッシュの設定をします。VMware Cloud on AWSのHCX ManagerよりDirect Connect Network Profileを選択してください。続いてそれをオンプレミスの管理ネットワークと紐付けます。
図7: サービスメッシュ設定
AWS Direct Connect上でHCXが動作するよう設定できたら、いよいよHCXのネットワーク延伸機能を使ってオンプレミスからVMware Cloud on AWSへレイヤー2ブロードキャストドメインを延伸することができます。
L2VPN延伸が設定されると、オンプレミスのレイヤー2ネットワークをVMware Cloud on AWSへ延伸するためのVPNトンネルがDX上に作成されます。
この延伸サービスではレイヤー2ネットワーク延伸のための4~6Gbpsの帯域がサポートされます。これによりお客様は仮想マシンの移行中も同じIPとMACアドレスを維持することができます。
HCXはパブリックインターネット上でも、L2VPNを使ってオンプレミスのレイヤー2ネットワークをVMware Cloud on AWSへ延伸するよう設定することができます。これはHCXのデフォルトの設定になります。この構成ではAWS Direct Connectは必要ありません。
図8: パブリックインターネット経由のHCX構成
上の図8に示したように、オンプレミスとVMware Cloud on AWSの間で経路交換をし、接続するためにVPNが利用されます。
AWS Direct Connect無しでHCXを利用するには、オンプレミスのHCXコンポーネント用に予約されたIPアドレスでVMware Cloud on AWSのHCXコンポーネントのパブリックエンドポイントと通信できることが必須です。
設定を完了させるには、VMware Cloud on AWSのパブリックIPをリクエストする必要があります。これらのIPはクラウド側のHCXコンポーネントで使用されます。
パブリックIPをリクエストしたら、HCXのexternalNetworkという名前のネットワークプロファイルを編集します。続いてVMware Cloud on AWS上でパブリックIPを入力し、設定を保存します。
オンプレミスのHCX Managerのサービスメッシュ設定にて、図7で示したdirectConnectNetwork1の代わりに、今度は一覧からexternalNetworkを選択します。
HCXに必要な最低限の帯域は100Mbpsです。非常に小さな通常の仮想マシンをvMotionするのであれば100Mbpsで十分かもしれません。しかし大きなメモリやCPUを積んだ仮想マシンを移行する場合、100MbpsではvMotionは失敗する可能性があります。
vMotionや移行のトラフィックに加えてレイヤー2トラフィック用にHCXを使ってネットワーク延伸している場合、オンプレミスとクラウドの間に十分な帯域があることを確認してください。またHCXのWAN最適化機能を利用することもできます。ネットワーク延伸や移行を実施しているお客様の多くのケースで1Gbps以上の帯域が利用されております。
以上の理由により、HCXで最適なユーザーエクスペリエンスを実現するためには、AWS Direct Connectや広帯域のインターネットを使った構成を取ることを強く推奨します。
ネットワーク延伸によって、IPアドレスを変更することなく全ての仮想マシンをオンプレミスからVMware Cloud on AWSへ移行することができます。ハイブリッドなネットワーク接続を維持したいお客様は、HCX L2VPNネットワーク延伸をそのまま使い続けることができます。
VMware Cloud on AWSへ移行した後に、手動で全てのネットワーク延伸を取りやめてVMware Cloud on AWS内でルーティングされるように変換することができます。そのためには、個々のVPNトンネルやAWS Direct Connectを通してオンプレミスからVMware Cloud on AWSへ延伸したネットワークが経路広告されないよう注意してください。
まとめ
本稿ではオンプレミスのレイヤー2ネットワークをVMware Cloud on AWSへ延伸するために、HCXまたはNSX Autonomous Standalone Edgeを使い、かつAWS Direct Connectまたはパブリックインターネットを利用した構成についてそれぞれ解説しました。
いずれの構成を採用したとしても、オンプレミス環境とVMware Cloud on AWS間で真にハイブリッドな接続を実現することができます。かつIPアドレスを変更することなく仮想マシンワークロードを移行することが可能となります。
翻訳はGF SA太田が担当しました。原文はこちらです。