SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

検索表示
SB C&S

VMware SD-WANとパブリッククラウドとのマルチクラウド・リージョン接続(AWS接続編)

  1. ホーム
  2. 技術ブログ
  3. ネットワーク
  4. VMware SD-WANとパブリッククラウドとのマルチクラウド・リージョン接続(AWS接続編)
ネットワーク
2023.03.28

みなさま、こんにちは。 SB C&SでVMware SD-WAN の製品担当をしている、平田と申します。
この記事では、VMware SD-WAN とパブリッククラウドである「Amazon Web Services」と「Microsoft Azure」におけるマルチリージョン構成との接続についてご紹介いたします。

はじめに

最近お客様からのお問い合わせに、"パブリッククラウドとSD-WANを接続したい"、というお声を頂いております。VMware SD-WANをオンプレミスだけでなく、パブリッククラウドと併せてご利用されたい要望です。
一方で、パブリッククラウドは様々なサービスがあり、それぞれ特徴・得意とされている分野があるとされています。そのため昨今はひとつのパブリッククラウドだけではなく、複数のパブリッククラウドで様々なサービスを利用されている会社も少なくありません。

パブリッククラウドとオンプレミス環境の接続は、専用線を用いて接続することが可能ですが、
複数のサービスを利用している場合では、非常に高額になってしまいます。

VMware SD-WANは、パブリッククラウドとの親和性が高く、様々なパブリッククラウドと専用線を使わず様々な方式で接続し活用することが可能です。

本記事では、VMware SD-WANをパブリッククラウドで利用する接続構成をご紹介したいと思います。その中でも様々な接続形態に対応した、マルチリージョン対応のサービスと組み合わせ構成を選んで紹介していきます。
また、この構成を組み合わせ、複数のパブリッククラウド接続を行い、マルチクラウド・マルチリージョンな展開をご紹介していきます。

※注
本記事はパブリッククラウドの一般的な知識及び、Amazon Web Services(AWS)とMicrosoft Azure(Azure)のネットワークとインスタンスの知識を有していることを前提としております。

VMware SD-WANとパブリッククラウドとの接続イメージ

VMware SD-WANとパブリッククラウドを接続するにあたり、様々な手法が用意されています。本記事では全ては挙げませんが、一般的な方法として、下記の2つが挙げられます。

1.パブリッククラウドのVPN GatewayとVMware SD-WAN(クラウドGateway経由)をIPsec VPNで接続する方法
m1.PNG

2.パブリッククラウドの仮想データセンター内に仮想アプライアンスを展開し、SD-WANオーバーレイで接続する方法

m2.PNG

どちらの方法もパブリッククラウドに用意した仮想データセンター内(AWSであればVPC、AzureであればVNet)でネットワーク構成が完結することを前提とされており、マルチリージョンに対応されていません。


一方でパブリッククラウドのネットワークサービスは日々進歩しており、近年ではマルチリージョンに対応した接続サービスが登場しております。AWSでは「AWS Cloud WAN」、Azureでは「Azure Virtual WAN」がこれらに該当します。
本記事では具体的な内容として、上記のようなパブリッククラウドの特定された仮想データセンター内(AWSであればVPC、AzureであればVNet)と接続する方法を取らず、各パブリッククラウドのマルチリージョン接続方式である「AWS Cloud WAN」と「Azure Virtual WAN」を使用した接続方法をご紹介します。


本編は、全3回に分け、

1回目は、AWS Cloud WANとの接続(本ブログ記事)
2回目は、Azure Virtual WANとの接続
3回目は、AWS、Azureを組み合わせたマルチクラウド・マルチリージョンの接続
と、まとめていきます。

VMware SD-WANとAWS Cloud WANとの接続イメージ

本記事では、VMware SD-WANで構成されたオンプレ検証環境と、パブリッククラウドであるAWSをSD-WANオーバーレイで接続し、マルチリージョン接続であるAWS Cloud WANを使って別リージョンにあるネットワークと接続させます。
構成イメージは下記の通りです。

m39.PNG

今回はオンプレ検証環境にある動作確認PCから、Transit VPCを経由しWorkload VPCにある疎通確認Serverへ通信確認ができることをゴールとします。

大まかな手順は下記になります。

1.AWS環境(Transit VPC、Workload VPC、Transit Gateway、Cloud WAN)を作成
2.SD-WAN OrchestratorからTransit VPCにデプロイするEdgeを作成
3.CloudFormationを使ってAWS環境(Transit VPC)にEdgeをデプロイ
4.Edgeデプロイ後のAWS環境の微調整
5.疎通確認
 ※オンプレ検証環境の作成は本記事では割愛します

■補足1
本手順は、下記を参考にしております。

・VMware ドキュメント AWS Virtual Edge デプロイ ガイド
https://docs.vmware.com/jp/VMware-SD-WAN/services/sd-wan-aws-virtual-edge-deployment-guide/GUID-805915BF-C3D1-4B6D-A62F-859314A64896.html

・VMware SD-WAN 仮想 Edge 展開方法の紹介 AWS環境 編
https://juku-jp.vmware.com/resource/ivct-resoruce_sdwan-deploy-ve-aws/

■補足2
AWS環境に仮想Edgeをデプロイする方法として、CloudFormationを使用します。
補足1のガイド内にCloudFormationで使用するテンプレートがあり、"Brown"と"Green"が用意されます。
Brownフィールドは、仮想Edge(インスタンス)及びインスタンス作成におけるリソース(セキュリティグループなど)のみ作成・展開されます。
一方、Greenフィールドは、Brownフィールドで作成されるリソースのほかに、Transit VPC関連のリソースを併せて作成することができます。
どちらを使っても本記事の構成にすることは可能です。

AWS環境の作成

まずAWS環境の作成をします。Transit VPCの構成が少し複雑になるため、下記のように詳細の構成図を作りました。
本記事ではAWS環境の作成・手順について詳細は触れておりません。
手動で作成しても良いですし、Greenフィールドを使ってCloudFormationを展開しても基本的にこの構成図の通りに作成されますが、Transit Gateway関連の設定は手動で行う必要があります。

m40.PNG

仮想Edgeのデプロイ

SD-WAN Orchestratorから、デプロイするEdgeを作成します。
m3-1.PNG

作成したEdgeのVLAN1を編集します。
VLAN1は使用しませんが、IPアドレスを設定する必要があるため、利用しないIPアドレス(ここではリンクローカルアドレス)を設定、DHCPを無効化にします。

m4.PNG

次にインターフェイスの設定です。AWSの仮想Edgeでは、GE2(ルーテッド)、GE3(ルーテッド)のみ利用でき、その他のインターフェイス(GE1、GE4~GE8及びVLAN)は使うことができません。


GE2はWAN側になるため、WANオーバーレイを有効にし、NATダイレクトトラフィックを有効にします。
IPアドレス指定はAWS環境のため、DHCPにします。
m5.PNG

GE3はLAN側になります。WANオーバーレイを無効、広報をON、NATダイレクトトラフィックをOFFにします。
IPアドレス指定はAWS環境のため、DHCPにします。

m6.PNG

SD-WAN Orchestratorでの作業は以上です。次にAWSコンソールからEdge(EC2インスタンス)をデプロイしますが、その前に2点の事前準備が必要です。
1.インスタンス作成時に使うキーペアを作っておく
CloudFormationを使ってEdge(EC2インスタンス)をデプロイするため、事前にキーペアを作成しておいてください。
2.マーケットプレイスからSD-WAN EdgeをSubscribeしておく
 ※本記事作成時のURLはこちら
m10-1.PNG

事前準備が終わりましたら、CloudFormationを使ってEdge(EC2インスタンス)をデプロイします。
CloudFormationで使用するテンプレートは、補足にあるVMwareドキュメントもしくはVMware SD-WAN 仮想 Edge 展開方法の紹介 AWS環境 編内にあるリンクからダウンロードしてください。
(こちらにもリンクを用意しますが、リンク切れの際はご了承ください:GreenBrown

本記事では、Brownフィールドを使ってデプロイします。
CloudFormationにBrownフィールドを読み込ませると、下記のようなパラメータ指定になります。
本記事では画像のパラメータを指定しております。
m31.PNG

CloudFormationの正常にスタックされると、EC2にEdgeがデプロイされます。

m33-1.PNG
m32-1.PNG


■補足
この時点でAWSにデプロイしたEdgeを利用することができるはずですが、本記事作成の時点では正しく動作しませんでした。
 ・事象:GE3(LAN側)の広報が正常動作しない、オーバーレイフローコントロール上にGE3(LAN側)のネットワークが表示されない

対策として、GE3のIPアドレスをスタティックにすることで、GE3の広報が動作しました。
(設定するIPアドレスは、EdgeのEC2インスタンス詳細にあるLAN側インターフェイスに割り当てられたIPアドレスを適用してください)
m34.PNG

Edgeデプロイ後のAWS環境の微調整

lan-subnetのルートテーブル(lan-routetable)に0.0.0.0宛てのルーティング(ターゲットはEdgeのLAN側ENI)を追加します。
m41.PNG

疎通確認

オンプレ検証環境から、疎通確認Server宛てにpingを実行します。

m43.PNGm42.PNG

オンプレ検証環境にあるPC(Wi-Fi接続)からpingによる疎通確認を取ることができました。

まとめ

今回はAWSのCloud WANを使い、オンプレ検証環境と接続検証を実施しました。VMware SD-WANだけでなく、パブリッククラウドやAWSの知識が前提となり、他の記事と違った内容になりましたが大変面白い内容になったかと思います。

冒頭に"パブリッククラウドの特定された仮想データセンター内(AWSであればVPC、AzureであればVNet)と接続する方法を取らず"とコメントしてありましたが、実際には、東京リージョンにあるVPCに展開したSD-WAN Edgeと接続され、そのLAN側にてTransit Gateway、Cloud WANと接続し、別リージョン(オレゴン)にあるネットワークと通信される構成になっています。

Cloud WANはVPCのマルチリージョン接続を実現できるAWSのサービスです。このサービスとVMware SD-WAN を組み合わせることで、様々なネットワーク要件を実現できるかと思います。VPCごとにSD-WAN Edgeを配置しても良いですが、AWS間の接続はインターネットに出ず、AWSのバックボーンを使って通信させたほうが自然で高速ですよね。

本記事では、実現性の確認を目的としており、AWSの設定構成・手順は記載しておりません。詳細の内容が知りたい方は弊社担当営業までご連絡ください。

次回は"VMware SD-WANとパブリッククラウドとのマルチクラウド・リージョン接続(Azure接続編)"として、Azureのマルチリージョン接続サービスである"Azure Virtual WAN"との接続について、ご紹介していきたいと考えております。

製品情報はこちら

VMware SD-WAN

著者紹介

SB C&S株式会社
ICT事業本部 技術本部 技術統括部
第1技術部 1課
平田 裕介 - Yusuke Hirata -

VMware vExpert

NW機器メーカ、SIerでインフラエンジニアの経歴を経て、SB C&Sに入社。
SIer時代にサーバ仮想化と出会い、人生が大きく変わる。

Related Posts

関連記事