クラウドインテグレーション事業部池田です。
気づけばもう三日目です。毎日濃い一日を過ごしていて日にちの感覚がおかしくなってますw
昨晩は Japan Night に参加していましたが大盛況でした!色んな方と交流が出来て非常に有意義な時間を過ごせました。
タイトル
Advanced hybrid network architectures for VMware Cloud on AWS
概要(原文)
Organizations that prioritize secure, scalable, and resilient network architectures are positioned to deliver high-quality services to customers and safeguard their data and operations. Establishing hybrid connectivity is a highly critical part of any cloud migration journey. If you plan to run or are currently running vSphere-based hybrid environments between on-premises and VMware Cloud on AWS, discover how to construct robust network architectures using AWS Direct Connect, AWS Site-to-Site VPN, AWS Transit Gateway, and VMware Transit Connect. Delve into advanced concepts like ingress/egress security via security appliances, multi-tenancy with custom tier-1 gateways, and scaling bandwidth via multi-edge SDDCs.
セッションのざっくりとした概要
- VMware Cloud on AWS のリリースアップデートの紹介
- オンプレミス、AWS 環境と VMware Cloud on AWS の接続方法についての説明
- インターネット通信を特定の AWS アカウント内で制御、監視する場合の構成とルーティング
セッション内容
VMware Cloud on AWS とオンプレミス、Connected VPC、その他 AWS アカウントとどのように接続を行うのかアーキテクチャ図を用いて説明がされていました。
まず初めに VMware Cloud on AWS の紹介をされてました。
VMware Cloud on AWS はオンプレミスのデータセンターに存在する VMware 環境、各種 AWS サービスと連携が可能なクラウド VMware サービスです。
黄色の矢印は双方向の通信が可能と表していて、オンプレミスであればハイブリッドリンクモードを使用することで一つのコンソールで両環境を操作が出来ます。
各種ネイティブな AWS サービスとも通信が可能になっています。
VMware Cloud on AWS は2017年にリリースして毎年アップデートが行なわれています。
大きなアップデートとしては2018年に NSX V から NSX T に変わり、2020年には複数のリージョン展開などがサポートされました。
また、VMware Transit Connect などもサポート開始されました。
私は2020年頃から VMware Cloud on AWS を触り出しましたが約3年の間でも大きなアップデートが行なわれており、ネットワークサービスは痒いところに手が届くような機能が非常に多いと感じています。
オンプレミスと AWS アカウントとの接続について説明がありました。
一般的なオンプレミスと AWS 環境の接続は DirectConnect、Direct Connect Gateway、Transit Gateway を組み合わせて複数の AWS アカウントと接続、Direct ConnectとVirtual Private Gateway 経由で単体の AWS アカウントと接続出来ることを説明されていました。
下記ページ以降で複数の接続方法について説明がありますが、オンプレミスや AWS アカウントとの接続方法の一覧を表示、説明されていました。
SDDC とは Software-Defined Data Center の略称です。
SDDC 内のネットワークはすべて NSX で統合管理されており、Tier-1、Tier-2ルータや仮想マシン単位で通信制御出来る分散 FW などの説明が行なわれました。
具体的なネットワーク接続の説明です。
オンプレミスと IPsec VPN で接続する方法です。
インターネット経由での IPsec VPN、専用線である Direct Connect を利用して IPsec VPN が利用できると説明があり、Direct Connect の場合はよりセキュアで強靭なネットワーク構築が出来る、ただ、スモールスタートであればインターネット経由での IPsec VPN 接続の選択肢もある。と説明されていました。
ただし、標準的な接続は Direct Connect を使用した接続である。とも仰っていました。
私自身インターネット VPN、Direct Connect 接続など複数のパターンを接続したことがありますが、VMware Cloud on AWS は多くの仮想マシンが稼働を行ないますので信頼性、帯域の観点などから Direct Connect で基本的にはオンプレミスで繋ぐ事を前提に考えています。
併用も可能ではあるので特定のサーバだけ特定の拠点に存在するサーバと接続する、ただし高可用性、大容量通信が発生しないなどの要件であればインターネット VPN でも問題は無いと思いますので要件に合わせてネットワーク接続方式を決定する必要があるかと思います。
複数の SDDC とオンプレミスと通信する必要があれば VMware Transit Connect を利用します。
SDDC グループというグループに複数の SDDC を所属させると自動的に VMware Transit Connect と呼ばれるサービスがデプロイされます。
VMware Transit Connect は VMware が提供するサービスであり、VMware社の責任の下管理されています。
各 SDDC 間の接続は VMware Transit Connect で制御され、オンプレミスとの通信も VMware Transit Connect 経由で行なう、と説明がありました。
SDDC グループの作成などはそこまで難しいものではなく、ネットワークについては VMware 側がマネージドで管理、構築してくれますのでユーザ側の作業は殆どありません。
次のスライドからは AWS 環境との接続について説明がされていました。
はじめに特定の AWS アカウントと接続するケースで Connected VPC との接続について説明がされました。
VMware Cloud on AWS 作成時に特定の AWS アカウントの特定の VPC と接続することが出来ます。
SDDC と1対1の接続にはなりますが、シンプルなアーキテクチャで高速通信も出来ることを説明されてました。
Connected VPC とのデータ通信量も無料なため、大容量な通信(バックアップなど)を行なう場合は Connected VPC を積極的に使われることをおすすめします。
既存の VPC や Connected VPC との接続を行ないたい場合は VMware Transit Connect を利用すると接続出来ると説明されてました。
複数 AWS アカウントをご利用の場合は以下のスライドのような構成が一般的になるかと思います。
スライドは複数の SDDC がありますが、単一の SDDC でも Connected VPC 以外と接続する場合は同様の構成となります。
続いて AWS Transit Gateway と VMware Transit Connect をピアリングするパターンを説明されていました。
AWS Transit Gateway と接続することでオンプレミス環境及び複数の VPC と接続することが可能になります。
ただし、Connected VPC 以外は通信料金が発生しますので Transit Gateway の料金などにご注意ください。
VMware Transit Connect も同様です。
AWS サービスと大容量通信が発生する場合は Connected VPC に寄せることが大事だと思います。
セキュリティ VPC を用いた通信管理の構成をおすすめされていました。
特定の VPC に通信を集約させてインターネット側の通信を集約、通信監査などが可能になります。
VMware Cloud on AWS の SDDC から直接インターネット通信も可能ですが、セキュリティ VPC に集約した方が管理面、セキュリティ面でもおすすめだと思います。
直接 VMware Cloud on AWS のサーバーを外部公開させたい場合は直接インターネット通信が必要となります。
ELB を用いて公開であればセキュリティ VPC の構成でも問題ありません。
最後に VMware Cloud on AWS 関連のセッションを紹介されていました。
明日のご予定が決まっていない方ご参考にしてください。
まとめ
VMware Cloud on AWS は通常の AWS アカウントと違い特殊な環境となりますが、機能面の拡充によりオンプレミスや他の AWS アカウントとの接続は通常の AWS アカウントと同様の接続方式が利用可能となっています。
Direct Connect を直接 SDDC に接続することも出来ますし、既存の Direct Connect が Direct Connect Gateway と接続されていれば Transit Gateway を介して SDDC とも接続が可能なため大体のネットワーク要件は満たせると思いますので VMware Cloud on AWS の採用される場合はご参考ください。
以下 YouTube で私が実施した VMware Cloud on AWS の勉強会のアーカイブがあり、ネットワークについても説明しているのでご興味があればご視聴ください!
https://cloudpack.jp/info/20230804.html
re:Invent 2023 3日目を終えて
初めての re:Invent 参加で1日目、2日目は移動経路が分からない、ホテル内で迷子になる、どういう配分でセッションを見たほうがいいかなど勝手が分からずバタバタしていましたが3日目になると移動時間が読めたり追加セッションなど出てきてセッションの組み換えを柔軟にしたりといい感じに動けてきたので来年もし参加ができれば1日目から効率良く動けそうです!
今日お土産も買ったのですがホノルルクッキーを沢山買ってしまった、EXPO で swag をいっぱいもらったおかげてスーツケースに入り切らない状況に陥ってます。。。
皆さんもお気をつけてください!
 |
2023年12月7日 (木)「AWS re:Invent 2023」のポイントを解説する「AWS re:Invent 2023 re:Cap presented by iret」を開催します。 詳細はこちら:https://cloudpack.jp/lp/aws-reinvent-recap-2023/ |
