はじめに
2017年12月、VMware社はVeloCloud社の買収を発表しました。
VeloCloudはSD-WAN市場におけるリーダーであり、ワールドワイドで最も売れているSD-WAN製品です。
2019年現在は「VMware SD-WAN by VeloCloud」としてVMware社より製品提供されています。
本ブログではそもそもSD-WANとは何か?については触れません。
米国ONUG(Open Networking User Group)が細かな技術要件などを公開しておりますので、そちらをご覧ください。
https://www.onug.net/community/working-groups/software-defined-wide-area-network-sd-wan/
今回のブログはVMware製品に携わってきた方々へ向けてVeloCloudの概要をお伝えすることを目的にしております。
簡潔ではありますがユースケースやコンポーネントについて紹介しております。
HOLの活用方法についても解説しておりますので、一歩踏み込んで製品を体感するためにも利用をオススメします。
VeloCloudのユースケース
導入から運用まで優れた管理性
VeloCloudはクラウド上の管理コンソールより全てのSD-WAN機器を一元管理します。設定は全てGUIで行います。
拠点のルーター1台1台に個別アクセスしCLIで設定を行う必要はなくなります。
非エンジニアでも可能な現地作業、単一GUIコンソールから全ての機器を管理、ワンクリックで完了するVPN設定など、オペレーションが"かんたん"なのはVeloCloudの魅力です。
通信回線を仮想的に束ねて制御
VeloCloudは異なるキャリアの通信回線であっても複数の回線を仮想的に束ね、Active / Active構成で通信帯域を最大限活用できます。
企業において契約回線の耐障害性を考慮すると単一障害点を回避するために異なるキャリアで回線を用意しようと考えるのは当然のことです。
従来キャリアのサービスで冗長構成を組むことや、ルーター等の機能で障害を検知するActive / Standby構成は可能でしたが、VeloCloudを導入することで、"耐障害性"と"パフォーマンス"をいずれも向上できます。
ローカルブレイクアウトによるクラウドアクセス最適化
VeloCloudはトラフィックのアプリケーションを識別し、設定したポリシーに従って通信の経路を制御します。
企業におけるクラウド利用が進む中、拠点からクラウドへの通信はセキュリティを考慮してデータセンターを経由する構成となっていることは多いです。
識別した特定のアプリケーション(SaaS等)については拠点からローカルブレイクアウト(直接インターネットへ転送)することでアクセスを"最適化"できます。
VeloCloudのコンポーネント
VeloCloud Orchestrator(VCO)
VCOはSaaSとして提供されるマネジメントプレーンのコンポーネントで、設定を行うための管理コンソールを提供します。
各拠点に設置したSD-WAN機器をVCOに登録することで機器の統合管理が可能です。
VeloCloud Controller(VCC)/ VeloCloud Gateway(VCG)
VCCはクラウド上に存在するコントロールプレーンのコンポーネントで、VCOで実行した操作はVCCを通して後述のVCEへ設定されます。
VCGはクラウド上に存在するデータプレーンのコンポーネントで、特定のクラウドへ高速なアクセスを実現したり、Non-VeloCloudサイトとIPSecVPNを設定するのに必要なコンポーネントです。
VCCとVCGは実際には同一のアプライアンスであり、転送しているトラフィックの種類で区別できます。
設定等の管理トラフィックのみが流れる場合にはVCC、管理トラフィックに加えてデータトラフィックも流れる場合にはVCG。
※VCGを利用したNon-VeloCloudサイトへのトラフィック制御は別途有償オプションが必要です
VeloCloud Edge(VCE)
VCEはSD-WAN機器そのものと言えるデータプレーンのコンポーネントで、データセンター、本社、拠点、店舗、工場等に設置します。
ハードウェアモデルを導入する以外に仮想アプライアンスでの実装も可能で、インターフェース以外はほぼ同等の機能が提供されるため目的や環境に合わせて選択します。
機器選定のポイントはモデルごとに異なる最大スループットで、導入拠点で用意した回線の契約に合わせるのが良いです。
ソフトウェアライセンスはVCE一台に接続される帯域幅の総量によって変動するため、こちらも契約回線に合わせることになります。
VeloCloudの代表的な機能
ゼロタッチプロビジョニング
VeloCloudは機器の導入が簡素化されている点も魅力であり、具体的にVCEの導入方法を示すと以下の3ステップになります。
- 管理者がVCOからVCEの設定を行いアクティベーションURLを発行、現地作業担当者へメールで送付
- ハードウェアモデルの場合、現地担当者が機材到着後に電源とインターネットへつながるケーブルをポートに接続
- 自動で発信されるWiFiにPCやスマホ等で接続し、事前に受け取っていたアクティベーションURLをクリック
以上でVCEからVCOへ設定情報が要求され、事前に完了しているVCEの設定情報が機器にダウンロードされます。
エンジニアを導入作業のために派遣する必要はなく、導入拠点数が多いほど効果が見込めます。
※PPPoEの認証情報をアクティベーションURLに暗号化して埋め込むことが可能です
Cloud VPN
ゼロタッチプロビジョニングにより展開されたVCEにワンクリックでVPN設定が可能です。
VeloCloudはハブアンドスポークのネットワークトポロジーとなっており、VCGまたはVCEをハブとして設定できます。
VPNは主にVCE-VCG間、VCE-VCE(ハブ)間、VCE-VCE間で設定します。
展開されたVCEはVCGまたはハブとVPNを張り、必要に応じて動的にVCE間でダイナミックVPNを構成します。
その他の機能
- ローカルブレイクアウトを実現する上で重要な「ビジネスポリシー」
- オーバーレイネットワークを実現するカプセル化プロトコル「VCMP」
- 豊富なデータを分析し結果をグラフィカルに表示する「可視化」
- セキュリティベンダーの仮想アプライアンスやクラウドサービスと連携する「サードパーティ連携」
その他の機能は今回のブログ記事では書ききれないため本ブログとは分けて投稿しようと考えています。
HOL活用のススメ!
〜実機で確認するゼロタッチプロビジョニングとCloud VPN〜
VeloCloudのテストにはVMware Hands On Lab(通称:HOL)を活用することができます。
VMware SD-WAN by VeloCloudのラボは[HOL-1940-01-NET - VMware SD-WAN by VeloCloud - Getting Started]です。
下記は2019年9月時点でアクセス可能なURLです。
https://labs.hol.vmware.com/HOL/catalogs/lab/4782
ラボの一部をスクリーンショットでご紹介します。
管理画面(GUI)確認
こちらは管理コンソールの画面です。あらかじめ展開されている5つのVCEが表示されており、Edgeステータス、VPNリンクステータス、ジオロケーションによる位置情報などが確認できます。
操作タブは大きく4つに別れ、それぞれ以下を行います。
- Monitor:VCEの詳細情報を可視化、発生したアラート/イベントを確認
- Configure:VCEへProfileやEdgeの設定
- Test & Troubleshoot:VCOよりVCEへリモートアクション
- Administration:VCOの管理アカウントの追加や変更
Profile / Edge設定
Configureタブでは主にProfileとEdgeの設定を行います。
まずはProfileを設定し、複数のEdgeに共通した設定を行います。
Cloud VPNやBGPのように複数のEdgeに影響する設定や、ビジネスポリシーやファイアウォールなど機器の設置場所に依存しない設定を行うと良いです。
続いてEdgeではVCE個別の設定を行います。
インターフェースのIPアドレスやVLANなどVCEの設置場所によって変動する項目を設定します。
ゼロタッチプロビジョニング
ProfileやEdgeの設定を行ったあとは機器をアクティベーションするためのURLを現地作業者へメールで送付します。
HOLの環境ではVCEは仮想アプライアンスで実行されています。
あらかじめVCEに接続されているサーバーへリモートアクセスしてURLをクリックします。
VCOより設定がダウンロードされアクティベーションは完了です。
管理者の実行する設定と現地作業者の実行するオペレーションを確認できます。
Cloud VPN設定
Cloud VPNの設定はProfileから設定します。
ワンクリックでVPN設定のON/OFFが可能で、任意のVCEをハブとして設定可能です。
実際にはセキュリティ機器との距離が近くラックスペースもあるデータセンターがハブに選択されることが多いと思います。
Cloud VPNはProfileで設定するため、新規VCEのアクティベーション時に対象のProfileを選択すると自動でVPN設定が反映されます。
HOLでは今回ご紹介した内容以外にも定義されているアプリケーションを確認したり、トラフィックや回線品質の可視化を確認できます。
残念なことにインターネットへは出られないため環境のためローカルブレイクアウトを試すことは叶いませんが、ゼロタッチプロビジョニングやCloud VPNといった管理面でのシンプルさは十分体感いただけるかと思います。
さいごに
今回はVMware SD-WAN by VeloCloudの基礎的なユースケースやコンポーネントを中心にお伝えしました。
VMwareからハードウェアが提供されることに違和感を感じる方もいらっしゃるかと思いますが、VeloCloudはハードウェアに縛られずソフトウェアの力で多くのメリットを提供するSD-WAN製品です。
VeloCloudを含む最近の買収でVMwareの提供する製品は多岐にわたり、全ての領域をキャッチアップすることは正直厳しいかと思いますが、本ブログがみなさまの「VMware SD-WAN by VeloCloudの概要を知る」助けとなれば幸いです。
製品情報はこちら
著者紹介
SB C&S株式会社
ICT事業本部 技術本部 技術統括部
第1技術部 1課
千代田 寛 - Kan Chiyoda -
VMware vExpert