SB C&SでVMware SD-WANの製品担当をしている、平田と申します。

2023年夏に行われましたVMware Explore 2023にて、VMware SD-WANの新しいアプローチであるVMware Edge Cloud Orchestrator（VECO）について発表がありました。詳細はVMware Explore 2023のレポートを投稿しているので、そちらの記事をご確認頂ければと思います。レポート記事の中でも記載しておりますが、VMware Explore 2023で発表されていた内容はVer5.2.0で実装された機能アップデートの内容が主でした。

本ブログ記事では、そのVer5.2.0の機能アップデートについて、全てはありませんがピックアップして詳細をご紹介したいと思います。(すでにリリースされているメンテナンスバージョンのご紹介については割愛させて頂きます。)

新機能のご紹介一覧

今回ご紹介する新機能は下記の通りです。

• 拡張ファイアウォール サービス (EFS)（5.2.0）
• 高可用性（HA）の機能強化（5.2.0）
• Gateway のルートの可視性の強化（5.2.0）
• LAN インターフェイスでの GRE/BGP サポート（5.2.0）
• 遅延に対するカスタマイズ可能な Quality of Experience (QoE)（5.2.0）

　※（）内は、機能が追加されたソフトウェアバージョンになります。

新機能のご紹介

改めてのご案内になりますが、今回はVer5.2.0までのリリースノートを確認し、特に使われそうな機能をいくつかピックアップし、ご紹介いたします。

■拡張ファイアウォール サービス

拡張ファイアウォールサービス（Enhanced Firewall Service、略してEFS）ですが、本バージョンのメインともいえる機能です。VMware Explore 2022から紹介され、遂にバージョン5.2.0でリリースされました。本バージョンは、初期リリースとされており、次の機能があります。

・侵入検知システム (IDS)/侵入防止システム (IPS) 
実績のあるVMware NSX SecurityのコンポーネントをVMwareSD-WAN Edgeに組み込んだとされており、Edgeにおいても高度なセキュリティを提供することができます。

・VMware ホスト型 Edge ファイアウォールのログ作成
従来、ファイアウォールのログ取得をする場合、Syslogが必須でしたが、本バージョンよりOrchestratorにファイアウォールのログが保存されるようになっております。Orchestratorからログを閲覧・検索などをすることができるようになり15GB分もしくは7日分のいずれかに達するまでログは保持されます。今後のリリースにログの保持期間延長オプションが追加されるとされております。

拡張ファイアウォール サービスについては、VMware Blogに日本語で詳しく紹介されているので、ぜひそちらをご覧ください。

https://blogs.vmware.com/vmware-japan/2023/07/vmware-sase-release-efs.html

■高可用性（HA）の機能強化

バージョン5.1.0では、HA構成におけるローカルルートの同期などにより、フェイルオーバーの時間短縮、という機能強化がありました。本バージョンでは、全体的に使いにくかった点が改善されております。

・スプリットブレイン対応
HAの安定性の向上を図り、不要なフェイルオーバーやスプリットブレイン状態の減少を実現されてます。
また、HA フェイルオーバー検出時間の乗数 (HA Failover Detection Time Multiplier)のオプション設定が追加され、より長い高可用性しきい値を設定することができるようになりました。潜在的に負荷の高いEdgeにおいて、アクティブ/アクティブの「スプリット ブレイン」状態を防ぐことができるとのことです。

・監視
HAのスタンバイEdgeに対する情報 / 監視項目及びイベントなど前バージョンより詳細にわかるようになりました。

・HAインターフェイスの設定
GE1に固定されていたHAインターフェイスでしたが、バージョン5.2.0から別のポートに変更することが可能になりました。ポート構成が自由になったことと共に、SFPポート（1G/10G）にも対応するようになっております。それにより拡張HA構成のデメリットであったHAインターフェイスによる帯域のボトルネックが改善されております。
ただし、以下の点について注意して下さい。
　◇　1G/10GのSFPにおいても最大限の帯域は使用できない
　◇　機種によって帯域の制限値が異なる
利用できる帯域については、VMware SD-WANのデータシート（Enhanced HA link performanceの項目）をご確認して下さい。


・スタンバイEdgeのHAインターフェイスのパケットキャプチャ
トラブルシューティング用途になりますが、スタンバイEdgeのHAインターフェイスのパケットキャプチャが取得できるようになりました。普段使わない機能になりますが、いざっという時に役に立ちそうです。

　

■Gateway のルートの可視性の強化

Gatewayのルーティング情報が可視化することができるようになりました。

VMware SD-WANでは、EdgeのロケーションやプロファイルによってどのGatewayが割当ってくるか変わってきます。例えば同一のプロファイルを使用しても、Edgeが物理的に東西に分かれるとそれぞれのコントロールプレーン用のGatewayは違ってくるなど、Gatewayの割り当て状況によってルートが変わってくる状況はよくある構成になります。

もともとユーザはそこまでGatewayを意識しなくても利用することが可能ですが、構成把握や障害切り分けが必要になる際、やはり詳細の情報を収集する必要があります。バージョン5.2.0では、ユーザが確認することができなかったGatewayのルーティング情報を確認することができるようになり、従来に比べて障害切り分けなどの際に役に立つことになると思います。

■LAN インターフェイスでの GRE/BGP サポート

AWS（アマゾンウェブサービス）上に展開する仮想EdgeとTransit Gateway間でBGP over GREを構成することができるようになりました。これだけでは「何のために？」と思われる機能のため、少し詳細に説明をしていきたいと思います。

VMware SD-WANをAWS上に利用する際、仮想EdgeはTransit VPCに展開し、LAN側にはTransit Gatewayを使いWorkload VPC間を接続する構成にすることがあります。

このような構成の際、VPC＝ネットワークの追加が必要になるため、各所に経路設定が必要になります。

今回のアップデートにより、EdgeのLAN側とTransit Gateway間にてGREトンネルが構成でき、かつトンネル内にBGPが使われることでTransit Gatewayの経路を直接学習できるようになりました。これによりVPCの追加・削除には
　◇　AWSのルートテーブルの操作は不要
　◇　Edgeのルートテーブルの操作は不要
と、運用作業の手間が不要になり、大変便利に活用することができるようになりました。

■遅延に対するカスタマイズ可能な Quality of Experience (QoE)

VMware SD-WANではオーバレイで使用されるトラフィックについて、DMPO（Dynamic Multipath Optimization）により、回線補正など最適化されたその結果をQoE（Quality of Experience）として評価しグラフの色によってその状態が表されております。（緑が良い、黄色が普通、赤が不良）
一方で、各WAN回線では最適化される前の回線品質からQoEを評価されており、補正されたQoEとともに確認することができます。

WAN回線について、回線の品質は回線毎に違っており、必ずしも"品質が良い状態"が"正常"とは限らないのが実情です。（品質が良いのに越したことはないのですが。。。）例として、光回線とLTE回線とでは、当然回線の品質に差が出るのはイメージしやすいかと思います。

こういったWAN回線の標準的な品質が回線サービスによって異なるため、統合的にどのレベルがそのEdge（拠点）での標準的な品質かどうかを定義できるようになりました。

これにより、WAN回線の品質に対して、"良い、普通、不良"のしきい値を環境に合せて調整できるようになり、ビジネスポリシールールの不要な挙動を抑えることができるようになります。

---