VMware Cloud on AWS のネットワーク接続をグローバルにスケーリング

AWS で Sr. Partner Solutions Architect を務める Schneider Larbi による記事です。

VMware Cloud on AWS の導入が世界中で増えていくにつれて、お客様のネットワークに対する要求も広がっています。アマゾン ウェブ サービス (AWS) では、お客様のネットワーク接続がスケールしていく際に必要となっていく要件をサポートしていきたいと考えています。

VMware Cloud on AWS は VMware と AWS が共同で開発したソリューションで、vSphere、NSX、vSAN などの VMware のソフトウェア定義データセンター (SDDC) テクノロジーを AWS グローバルインフラストラクチャにもたらします。

本稿では、AWS Direct Connect、VMware Transit Connect、AWS Direct Connect ゲートウェイ、および NSX のマルチエッジ機能を活用して、ネットワーク接続をグローバルにスケールさせる手法について紹介します。

ネットワークの設計は VMware Cloud on AWS をはじめとしてネットワーク接続の柱となります。VMware Cloud on AWS とともに実装されたネットワークアーキテクチャが、お客様の要件に応じて確実にスケールできることは必要不可欠です。

スケーラビリティが重要な理由

ガートナー社は、スケーラビリティを「アプリケーションやシステム処理の要求の変化に応じて、システムがパフォーマンスとコストを増減する能力の尺度」と定義しました。

VMware Cloud on AWS を利用するお客様はネットワークの設計の観点から、VMware Cloud on AWS 内部、VMware Cloud on AWS と他のネイティブ AWS サービスとの間、およびグローバル規模でのオンプレミスにおけるネットワークトラフィックに対して、スケーラブルなネットワーク機能を求めています。

接続コストの最適化およびネットワークの拡張性は、お客様がネットワーク接続の要件を満たし、VMware Cloud on AWS を継続利用していくために必須となります。

一般的なハイブリッドクラウドのネットワークアーキテクチャ

オンプレミスから VMware Cloud on AWS に接続してクラウド内で接続するために、まず仮想プライベートネットワーク (VPN) を実装します。

図 1 — VPN を利用したオンプレミスから 1 つの SDDC への接続

図 1 は、VMware Cloud on AWS への VPN 接続を 1 つの SDDC で実装する方法を示しています。図 2 は、複数の SDDC で実装する方法を示しています。

図 2 — VPN を利用したオンプレミスから複数リージョンにある複数の SDDC への接続

この 冗長 VPN アーキテクチャは VMware Cloud on AWS への接続には有効ですが、パブリックインターネットを経由するため、パフォーマンスが予測できない場合があります。さまざまなタイミングで飽和状態になり、パフォーマンスに影響する可能性があるためです。また VPN トンネル経由で送信できるスループットとパケットサイズは、VPN 接続用ハードウェアまたはソフトウェアがサポートできる範囲に限定されます。

Amazon VPC 内の 1 つの相互接続ポイントを通じて、ネットワークアプライアンスからクラウド内のさまざまなネットワーク接続先あるいはオンプレミスに、ネットワークトラフィックをルーティングさせるお客様もいます。ですが VPN でこのような推移的なルーティングトポロジを実装すると、お客様のネットワークアーキテクチャが複雑になり、管理上のオーバーヘッドが生じてしまう可能性があります。

図 1 のアーキテクチャでは、VMware Cloud on AWS 内の 1 つの NSX Edge アプライアンスで終端する広帯域スループットを可能にする、VPN 接続用ハードウェアまたはソフトウェアを使用するかもしれません。パケットサイズの大きいトラフィックが VPN トンネル経由で VMware Cloud on AWS に送信されると、NSX Edge のネットワークパフォーマンスに影響を与えてしまう可能性があります。

同様に、図 2 は、2 つの異なるリージョンの VMware Cloud on AWS への VPN 接続を示しています。これらの地理的なリージョンは異なる国を表すこともあります。この構成では VPN 接続をサポートするために、お客様はグローバルリージョン全体にネットワークインフラストラクチャを構築するための投資をする必要があります。

さらに、図 2 のアーキテクチャでは、VPN トンネルとハードウェア/ソフトウェアを地理的に異なる場所にわたって構築、管理、保守しなければならないため、運用上のオーバーヘッドが増大します。これはコスト効率に優れておらず、スケーラブルでもありません。

リージョン間 SDDC における VPN トンネルも、複数の VPN トンネルの管理が必要なため運用上のオーバーヘッドを増加させます。

また、VPN トンネルでは、オンプレミスの vSphere 環境から VMware Cloud on AWS まで、vMotion でのハイブリッド移行を実施することはできません。

一般的なクラウドネットワークアーキテクチャ

VMware Cloud on AWS に関して、お客様がクラウドで実装しているアーキテクチャについて説明します。VMware Cloud on AWS をデプロイするとアプリケーション用の論理ネットワークが作成され、論理ネットワーク間のルーティングが設定されます。

またデプロイ時に SDDC に接続する Amazon VPC から、ネイティブ AWS サービスに接続することもできます。

図 3 — １ つの SDDC に接続された VPC

図 3 は、デプロイ時の1つの SDDC と Amazon VPC 間のデフォルトの接続を示しています。SDDC 上にアプリケーション用の論理ネットワークを作成し、接続された VPC から帯域幅を大量に消費するネイティブ AWS サービスを同時に使用すると、1 台のデフォルトサイズの NSX Edge アプライアンスのパフォーマンスに影響します。

また、複数の VPC を構築しており、ネットワーク接続を 1 つまたは複数の SDDC にスケールさせる要件があるお客様もいます。この要件をサポートするにはより優れたアプローチが必要になりますが、サードパーティ製アプライアンスを使用した複数のターゲットへの推移的ルーティングに対応するために、Transit VPC アーキテクチャに依存しているお客様もいます。

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスでサードパーティのファイアウォール / VPN アプライアンスを実行すると、インスタンスのサイズと必要なスループットによっては利用コストが高い可能性があります。また、お客様は VPN トンネルと Transit VPC 内で使用するアプライアンスを管理する必要があるため、管理の観点からも困難です。

ハイブリッド接続のためのスケーラブルなアーキテクチャ

VMware Cloud on AWS 向けにスケーラブルなネットワークアーキテクチャをどのように実装できるかについて説明します。お客様は AWS Direct Connect、トランジット仮想インターフェイス、Direct Connect ゲートウェイ、VMware Transit Connect (マネージド AWS Transit Gateway) を活用して、ネットワーク接続をスケールできます。

AWS Direct Connect が VMware Cloud on AWS とどのように統合されるかについての詳細な説明は、こちらのブログ投稿を参照してください。

図 4 — リージョン内の SDDC グループへの AWS Direct Connect 接続

図 4 のアーキテクチャでは、AWS Direct Connect ゲートウェイで終端するトランジット仮想インターフェイスを備えた 1 つの AWS Direct Connect 接続を使用して、リージョン内の複数の SDDC に対して大規模な接続を確立しています。

SDDC バージョン M12 以降では、複数の SDDC を 1 つの論理グループに集約できる SDDC グループの概念が導入されました。グループ内の SDDC は、SDDC グループの作成プロセス中に自動的に作成される VMware Transit Connect にアタッチされます。これにより、ハブアンドスポークモデルでスケーラブルに SDDC とオンプレミスの間でネットワークトラフィックを送信できます。また VPC への接続も確立できます。

VMware Transit Connect のトラフィックフローの基本原則は、すべてのネットワークフローは SDDC グループ内の SDDC 宛、または SDDC からである必要があります。つまり、VMware Transit Connect を介して SDDC 以外のグループからネイティブ Amazon VPC にトラフィックを直接送信することはできません。この原則は、VMware Transit Connect を利用するすべてのアーキテクチャに適用されます。

VMware Transit Connect とともに既存の AWS Direct Connect 接続、トランジット仮想インターフェイス、および AWS Direct Connect ゲートウェイを活用することで、オンプレミスから VMware Cloud on AWS まで、ネットワーク接続をグローバルにスケールできます。

図 5 — リージョン間の VMware Transit Connect のピアリング

図 5 のアーキテクチャでは、既存の AWS Direct Connect に加えてトランジット仮想インターフェイス、AWS Direct Connect ゲートウェイおよび VMware Transit Connect を活用することで、オンプレミスからさまざまなリージョンまたは国の複数の SDDC にネットワーク接続をスケールできます。

VMware Transit Connect のリージョン間ピアリング機能は、2 つの VMware Transit Connect をピアリングして、2 つの異なる地理的なリージョンまたは国にまたがる SDDC 間の接続を可能にすることで、ネットワーク接続をグローバルにスケールできるように設計されています。

図 5 に示すように、接続先リージョンに別の VMware Transit Connect を展開し、接続元 SDDC グループ内の既存の VMware Transit Connect とピアリングすることで、リージョン内の既存の SDDC グループの境界を別の地理的リージョンに拡張します。

このアーキテクチャの利点は、AWS リージョンへの AWS Direct Connect 接続によって高スループットを実現できることです。現在、AWS Direct Connect は 50 Mbps から最大 100 Gbps までの接続速度をお客様に提供しています。

スループットに合わせてデフォルトの NSX Edge アプライアンスを大きいサイズにスケールアップでき、そして最大 50 Gbps の速度を提供する高スループットの Elastic Network Adapter を備えた i3en.metal インスタンスを利用できます。

さらに、この推奨アーキテクチャにより、リージョン内の異なる SDDC および VPC への複数 VPN トンネルを管理するオーバーヘッドを削減できます。

お客様は、1 つの AWS Direct Connect 接続を使用するか、冗長性のために 2 つ以上使用することで、AWS クラウド内の vSphere ワークロードへのネットワーク接続をグローバルにスケールできます。

クラウド内の接続性を実現するスケーラブルなアーキテクチャ

VMware Cloud on AWS を利用するには、使用する他の VPC 内の他のネイティブ AWS サービスへのスケーラブルなネットワーク接続も必要となります。

現在、SDDC バージョン M16 以降では、AWS Transit Gateway を VMware Transit Connect にピアリングして、複数の SDDC からクラウド内の複数の VPC へスケーラブルにネットワーク接続することが可能となっています。

図 6 — VMware Transit Connect と AWS Transit Gateway のピアリング

図 6 のアーキテクチャでは、別の AWS リージョンで VPC がアタッチされた AWS Transit Gateway を使用している場合、AWS Transit Gateway を VMware Transit Connect とピアリングして、異なるリージョンの AWS サービスと別のリージョンの SDDC グループ間の接続を実現できることを示しています。

また、VMware Transit Connect 経由で SDDC 同士のリージョン間ピアリングをすでに利用している場合、任意のピアリング済みの VMware Transit Connect に対してさらに AWS Transit Gateway をピアリングすることができます。

図 7 — ピアリング済みの VMware Transit Connect に AWS Transit Gateway をピアリングする

図 7 のアーキテクチャでは、リージョン A の SDDC はリージョン B のすべての SDDC と通信できますが、リージョン B の SDDC だけがリージョン C の VPC と通信できます。

逆に、VMware Transit Connect の接続原則に従って、リージョン A の VPC はリージョン A の SDDC とのみ通信できます。

VMware Cloud on AWS とネイティブ AWS サービスを異なるリージョン間で接続させる以外にも、AWS Transit Gateway にアタッチ済みの他の VPC へ接続させる SDDC グループを構築するユースケースがあります。

最近まで、同じ AWS リージョンで異なる AWS Transit Gateway を使用している場合、同じリージョン内の 2 つの AWS Transit Gateway 間でトラフィックを転送するトランジット VPC アーキテクチャを構成して SDDC へのネットワーク接続をスケールさせる必要がありました。

私たちはこれに対応するために、 AWS re: Invent 2021 期間中に VMware Transit Connect のリージョン内ピアリング機能が利用可能になったことを発表しました。この機能により、お客様はリージョン内ピアリングを活用したアーキテクチャを構成することが可能になりました。

図 8 — VMware Transit Connect と AWS Transit Gateway のリージョン内ピアリング

図 8 のアーキテクチャを活用して、同じリージョン内の AWS Transit Gateway を利用して SDDC と VPC 間にスケーラブルなネットワーク接続を実現できます。

図 9 のアーキテクチャは、お客様がオンプレミスへの接続を実現する際にも利用出来ます。

図 9 は、AWS Direct Connect ゲートウェイ およびトランジット仮想インターフェイスを利用によって AWS Direct Connect とリージョン内ピアリングがどのように統合され、ハイブリッド接続とクラウドへの接続をスケールできるかを示しています。

図 9 — リージョン内のさまざまな SDDC と VPC リソースへの AWS Direct Connect 接続

VMware Transit Connect を利用すると、AWS ネットワークバックボーンを介してクラウド内の他のサービスへのセキュアなプライベート接続を実現できます。

VMware Transit Connect は最大 50 Gbps のバーストスループットを提供します。VMware Cloud on AWS で使用するベアメタルインスタンスタイプに応じて、ネットワーク接続をスケールさせ、クラウド内およびオンプレミスからの高いネットワークパフォーマンスを実現できます。

ネットワークスケーラビリティのさらなる強化

VMware Transit Connect に接続された個々の SDDC で、それぞれの NSX Edge アプライアンスを活用して動作する場合、1 つのデフォルトの NSX Edge アプライアンスでは 50 Gbps のバーストスループットをサポートしてパフォーマンスを向上させることはできません。

VMware は、VMware Transit Connect を補完する NSX のマルチエッジ機能を提供し、ネットワークトラフィックのスループットパフォーマンスを向上させます。この機能は、アプライアンスを追加することによって NSX Edge アプライアンスを直線的に拡張し、ネットワーク接続のパフォーマンスを最大化および最適化します。

マルチエッジでのスケールアウトでは、トラフィックグループの概念が使用されます。トラフィックグループは、クラウド内の各アプリケーションネットワークにおけるネットワークプレフィックスリストの論理的なまとまりです。

これらのトラフィックグループは、スケールアウトされたセカンダリ NSX Edge アプライアンスにアタッチされ、デフォルトの NSX Edge アプライアンスの負荷を軽減し、ネットワークパフォーマンスを向上させます。

図 10 — クラウド内の SDDC 内でのマルチエッジでのスケールアウト

各トラフィックグループはそれぞれ、別々のホスト上に追加のアクティブ NSX Edge とスタンバイ NSX Edge を作成します。この機能を使用するときは、管理クラスターに適切なコンピューティングキャパシティがあることを確認します。

マルチエッジでのスケールアウトは、クラウド内の SDDC 間 および Amazon VPC への接続性と帯域幅の拡張をサポートします。また、トランジット仮想インターフェイスと VMware Transit Connect を使用した AWS Direct Connect によるオンプレミスへの接続もサポートしています。

このマルチエッジでのスケールアウトは、プライベート仮想インターフェイスを使用した AWS Direct Connect 経由のトラフィックや、NSX Edge アプライアンスで終端する VPN トンネルはサポートしないことにはご注意ください。

まとめ

本稿では、トランジット仮想インターフェイス、Direct Connect ゲートウェイ、VMware Transit Connect を利用した AWS Direct Connect を活用して、ネットワーク接続をグローバルにスケーリングさせる方法について説明しました。

NSX のマルチエッジ機能によるスケールアウトは、VMware Cloud on AWS でパフォーマンスの高いネットワークアーキテクチャを提供するのに役立ちます。

翻訳は Specialist SA 武田が担当しました。原文はこちらです。