仮想化、仮想化、たまに物理

ITインフラ仮想化のブログです。

設定管理のエトセトラ・・・ProfileとEdgeで複数Edgeの設定が楽チンなVMware SD-WAN②

はじめに

前回はVMware SD-WANにおけるEdgeの設定における動作について投稿しました。
今回はVMware SD-WANの、ProfileとEdgeについてご紹介します。


前回の記事はこちら

virtual-real.hatenablog.com

 

Edgeという名称ですが、

ネットワーク機器である"Edge"と、

オーケストレイター内にある、Edgeという設定の2種類の意味があります。

本ブログは、ネットワーク機器のEdgeをWクォーテーションくくり赤文字にし("Edge")、設定のEdgeを青文字(Edge)にして表記します。

 

Profileとは

Profileは、Edgeのテンプレートのようなコンポーネントです。
ProfileとEdgeは共通な設定項目があり、その内容はEdgeに反映されます。一方でEdgeにて個別設定をすることでき、Profileの設定内容を"上書き"することができます。

ProfileとEdgeの設定項目は全く同じではなく、Priofile独自の設定項目があり、その内容はEdgeにて個別設定をすることができません。なお、その逆で、Profileには無いが、Edgeにはある設定項目もあります。

Edgeの生成には、必ずProfileと関連付けされます。あくまで、関連付けのため、Profileの設定内容を変更すると、関連したEdgeの(個別設定されていない)設定内容も合わせて変更されます。

"Edge"EdgeとProfileの関連イメージ

 

ProfileとEdgeの関連性

ProfileとEdgeは以下の関連性にあります。

  1. Edgeは必ず1つのProfileに属されます

  2. 1つのProfileに対して、複数のEdge割り当ては可能

  3. ProfileがないEdgeの生成は不可

  4. 1つのEdgeに対して、Profile複数割り当ては不可

2番の通り、1つのProfileに対して、複数のEdgeを割り当てることができます。
これは、複数のEdgeに対して共通となる設定項目を1つの設定項目で設定・運用することが可能ということなんです!!

つまり、共通設定となりやすい、ファイアウォールポリシーだったり、Syslog、NMSのような監視・管理サーバだったりとこのような設定はProfileに設定すれば済むことになります。また、運用中変更点があれば、Profileの設定を変更すれば関連するEdgeすべてに反映させることが可能となります。
同じような設定があると作業ミスが起きやすくなりますが、VMware SD-WANでは、Profileによる一括設定することができますので、そういったこともなくなりますね。

 

さいごに

今回はProfileとEdgeの関連について、紹介していきました。

次回はCloud VPN(拠点間接続)の続きになりますので、引き続きお楽しみにください。

 

本日のむーたん

今週つかれた・・・

 

 

設定管理のエトセトラ・・・コンフィグファイルを必要としないVMware SD-WAN①

はじめに

Cloud VPNの続きを作成しようと思いましたが、先に設定に関する説明をした方がよいかなっと思い、今回の内容を投稿します。

 

コンフィグファイルとは

突然ですが、コンフィグファイルについて。
ネットワーク機器における設定は、コンフィグファイルというテキストベースのファイルによって、その設定内容が記載されていルことが一般的です。
 ※コンフィグファイルがバイナリファイルのネットワーク機器も多数あります

 

ファイルの中身はテキストのため、ファイル及び内容の複製がしやすく、複数の機器を同時に設定する際には、設定の一部を変更するだけで展開ができるため、大変便利です。

反面、設定ミスを誘発しやすい、ファイル管理が大変(どのファイルが最新?)と不便な面もあります。

 

またコンフィグファイルは、ネットワーク機器内部に格納されており、電源ON(起動)時には、コンフィグファイルを読み込み、動作します。

 

VMware SD-WANにおけるコンフィグファイルは?

VMware SD-WAN におけるネットワーク機器、すなわち"Edge"のコンフィグファイルは、ありません。
Edgeの設定は、オーケストレイター内のEdgeが同期されます。

 

 

わかりにくいので、注釈です。

Edgeという名称ですが、

ネットワーク機器である"Edge"と、

オーケストレイター内にある、Edgeという設定の2種類の意味があります。

本ブログは、ネットワーク機器のEdgeをWクォーテーションくくり赤文字にし("Edge")、設定のEdgeを青文字(Edge)にして表記します。

 

 

 

実機である"Edge"

オーケストレイター内のEdge(一つ一つが"Edge"に関連付けされてます)

 

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

"Edge"の設定はEdgeと一定間隔で同期されてます。(おおよそ30秒間隔)
そのため、Edgeを設定変更することで、実機である"Edge"に設定内容が自動的に反映される動きになります。

また、”Edge”の内部には、いわゆるコンフィグファイルはありません。もちろん設定に関するファイルは、"Edge"内部に格納されていますが、通常の管理では見ることができません。Diagnostics(CiscoでいうTechsupportのようなもの)という解析ファイルの出力によって、確認することになります。

電源ON時には、”Edge”内部の設定から起動しますが、オーケストレイター、ゲートウェイと接続し、最新のEdgeが同期されます。(必要があれば再起動します。)
この際、Edgeに設定されているソフトウェア(いわゆるファームウェア)と、"Edge"が動作しているソフトウェアに差があれば、Edgeに合わせるよう、ソフトウェアのダウンロード・適用・再起動と実施してくれます。

 

今日の最後

VMware SD-WANでは、オーケストレイター内のEdgeが実機である"Edge"に同期され動作します。設定の世代管理はできませんが、結局使うのは最新版だけなので、困らないのでは?と思います。

私個人的にはコンフィグファイルの管理をしなくてとても便利!!

Edge個々の設定管理は便利だが、テキストファイルで便利だった複数機器の展開時は?
それは次回にしたいと思います。


本日のむーたん

しゅわっち

 

パラメータは一切不要!VMware SD-WANの拠点間接続①

はじめ

拠点間接続(VPN接続)
それは、ネットワークエンジニアとして大きな一歩となる、お仕事になります・・・・

一般的な企業であれば拠点間接続として、通信キャリアのIP-VPN網サービスやインターネットVPNなどを利用しているかと思います。

通信キャリアのIP-VPN網サービスは、セキュアなネットワークとしてサービス展開され、ネットワーク内を自由に設計できますが、高価であるため、全ての環境に利用されることはありません。


対して、インターネット網を利用したインターネットVPNがあります。
こちらはをインターネット網を利用し、ネットワーク機器の機能によって構成されるオーバーレイネットワークになります。インターネット網は、ほぼ公共な環境のため、ローカルアドレスからパブリックアドレスの変換(NATなど)や、セキュリティ面などを検討し、ネットワーク機器に設定をする必要があります。VPN技術は、様々ありますが、インターネットVPNにおいてはセキュアなIPsecの利用がメジャーになっております。

 

複雑な設定が必要とするインターネットVPNIPsec

インターネットVPNを設定するには、ネットワークトポロジーのもと、様々なパラメータを決める必要があります。

例えば、暗号化方式、鍵情報、トンネルIFアドレス、接続元や接続先のパブリックIPアドレスなどなど

これらの設定を、拠点間のそれぞれの機器に設定する必要があります。これらの設定に違いがあると、接続ができません。


複数拠点ある場合は、接続する拠点数分のVPN設定をする必要があります。

 

慣れてしまえば、また既存の設定をコピペすれば簡単、との声もありますが、設定ミスの原因の半分はコピペミスでは?とも思います。(自分の中では・・・・)

 

パラメータは不要、VMware SD-WANの拠点間VPN

VMware SD-WANにおけるVPN設定、Cloud VPNの設定は表情に簡単です。


設定にある、トグルスイッチをOFF➡︎ONにするだけです。

実際の通信をさせるためには、もう少し設定する必要がありますが、基本設定はこれで完了です!
WebGUIもわかりやすく、設定しやすいとですね。

 

次回は、VMware SD-WANのVPNについて、詳しく紹介していきたいと思います。

 

本日のむーたん

 

 

 

 

VMware SD-WAN で IPoE回線を終端が可能に?!

先日、VMwareJapanブログにて嬉しいブログリリースがありました


なんと、とうとう?VMware SD-WANでもIPoEが利用できるようになったようです。
該当のブログ記事はこちらです。

blogs.vmware.com

もともと、IPoE回線の対応可否のお問い合わせは多かったのですが、IPv6に初めて対応したバージョン4.3.0(約1年前)にVMwareに確認を取ったところ、「未対応」との回答を頂いておりました。

今までは直収がNGですが、IPoEルータ配下の配置はOKでした






それから1年が経ち、遂にIPoEに対応した!!!と嬉しく思っております。

IPoEの直収が対応に?!

 

しかし、まだVMwareに確認をしたわけではないので、詳細は現在確認中です。
(ぬか喜びは嫌ですからね)

詳細は追ってご報告したいと思います。

 

昨今のインターネット利用に伴いインターネット回線(IPv4網)が遅い場合、IPoE回線の選択が当たり前になってきました。安価な家庭用ルータなどでは、対応が早く●●回線対応!!という触れ込みを多く見かけますが、ビジネスシーンで利用されるルータは海外メーカが多く、日本の回線に対応した〜というのはなかなか見かけることはありません。日本の場合、このような動作確認はSIerディストリビュータに求められていることがよくありますね。

そのため、このような情報を公式ブログから発信いただけるのはとてもありがたく、とても大きなニュースだったかと思います。IPoE回線のサポート対応などはこれから確認したいところですが、まずは朗報を共有させていただきました。


本日のむーたん

 

Interop Tokyo 2022に行ってきた

6月16日、Interop Tokyo 2022に行ってきました。

10時の開場直後

今年は新人君と一緒に参加しております。
軽く回ってから、Interop Tokyo 2022 Best of Show Awardの製品紹介講演に行ってきました。

Best of Show Awardの紹介講演

※詳細はこちらをご参照ください

実は前半・後半に分かれた講演のため、すべての内容を聞くことはできませんでした(残念・・・)

セキュリティ部門 準グランプリ

VMware では、NSX Advanced Threat Preventionが準グランプリを受賞しておりました!!またここにはありませんが、VMware Teleco Cloudも準グランプリを受賞しておりました!

講演終了後は、ブラブラと散策。

VMwareのブースでは、VMware SASEVMware NSX Advanced Threat PreventionVMware Telco Cloudの紹介が展示されていました。

VMwareのブース


VMware Daysの会場は満席で座れない方も多数・・・・

VMware Daysの会場は大盛況でした!

ゆっくりじっくり1日かけて回り、新人君からは勉強になったとのお言葉いただきました(ヨカッタヨカッタ)


数年ぶりの参加でしたが、オンサイトの参加は楽しいですね。今はオンラインイベントが多数ありますが、やはりこういうイベントはオンサイトが好きです。願わくば、10数年前のような盛り上がりが来ることを祈りつつ、海浜幕張を後にしました。。。1日歩いて疲れた〜〜〜

※シスコのブースが小さくてびっくりしました。過去は最大級のブーススペースを使っていたのに。。。。

 

一発勝負の現地作業を確実にする、VMware SD-WANのゼロタッチプロビジョニング④

前回の振り返り

前回はゼロタッチプロビジョニングをIT管理者視点で良いところを挙げました。
今回はゼロタッチプロビジョニングのシーケンスを見てみましょう(やっと技術っぽいところになります)

 

ゼロタッチプロビジョニングのシーケンス

下記はゼロタッチプロビジョニングのシーケンス図になります。

  1. IT管理者がVMware SD-WAN Orchestrator上に、展開するVMware SD-WAN Edgeの設定情報 “Edge”を作成します。“Edge”に必要なパラメータを設定します。
  2. IT管理者がVMware SD-WAN Orchestrator上に作成した“Edge”のアクティベーションメールを現地担当者に送付します。アクティベーションメールには、VMware SD-WAN Edgeがアクティベートする際、VMware SD-WAN Orchestratorとの通信に必要となる以下の情報が埋め込まれています。
    ・SD-WAN EdgeのWANインターフェイス設定情報
    アクティベーション キー
    VMware SD-WAN OrchestratorのFQDN
  3. 現地担当者は2で送付されたメールを受信します。
  4. 現地担当者はVMware SD-WAN Edgeを開梱、設置して電源を投入します。
  5. 現地担当者はVMware SD-WAN EdgeにWAN回線(のLANケーブル)を接続します。
  6. 現地担当者はアクティベーションに利用する作業用デバイスVMware SD-WAN Edgeの無線LANに接続します。作業用デバイスは、無線LANに接続するとVMware SD-WAN EdgeのDHCPサーバから192.168.2.0/24のIPアドレスを付与されます。
    ※作業用デバイスVMware SD-WAN EdgeのLANポートに(LANケーブルを)接続することでIPアドレスを取得、同様の作業を実施することもできます。
  7. 現地担当者は、IT管理者から送付されたメール本文にあるURLをクリックします。
  8. 現地担当者がクリックしたURLに含まれる設定情報より、VMware SD-WAN Edgeは、WANインターフェイスを設定されます。設定後、VMware SD-WAN Edgeは、インターネットへの接続性を確認します。
  9. インターネット接続可能なVMware SD-WAN Edgeは、URLに含まれる設定情報よりVMware SD-WAN Orchestratorへアクティベーション リクエストを送付します。
  10. VMware SD-WAN Orchestratorがアクティベーション リクエストを検証して、VMware SD-WAN Edgeを有効にします。
  11. VMware SD-WAN Edgeが有効になると、VMware SD-WAN Orchestratorは、VMware SD-WAN Edgeの設定情報などをVMware SD-WAN Edgeに送信します。また、ソフトウエアの確認を行い、VMware SD-WAN EdgeのソフトウエアバージョンがVMware SD-WAN Orchestratorの設定値と異なる場合は、ソフトウエアを設定値に合わせてアップグレードorダウングレードします。
    ※ソフトウエアのダウンロード、インストールにはネットワーク環境に応じた時間が必要です。
  12. VMware SD-WAN Edgeは、VMware SD-WAN Orchestratorから受け取った設定情報を反映し、再起動します。再起動後はVMware SD-WAN GatewayとVCMPトンネルを構築します。

 

文面では、長々と記載しておりますが、実際は下記動画のような行動となります。
(動画と上図には、順番に相違がありますがご了承ください)

www.youtube.com

 

VMware のHOL(VMware HANDS-ON LABS)の”HOL-2240-01-NET”には、ゼロタッチプロビジョニングをリモート環境で体験できるので、お時間のあるときに是非お試しください。(リモート環境&仮想環境のため、できれば実機を持って試してほしい思いです。)

ゼロタッチプロビジョニングについては、以上で終了にしたいと思います。


本日のむーたん



一発勝負の現地作業を確実にする、VMware SD-WANのゼロタッチプロビジョニング③

前回のおさらい

 

前回までは、現地作業担当者視点から見たゼロタッチプロビジョニングの便利さをご紹介しました。今回は、IT管理者視点からゼロタッチプロビジョニングの便利さを紹介したいと思います。

 

従来のルータ設置による課題

ここでのIT管理者は、VMware SD-WANを使用してNWを構築する担当者(SIerの方)になります。

従来のネットワーク機器では、一般的にIPsecVPNを構成するため、

・センター側と拠点側のVPN設定を合わせる

・拠点間接続可能にするため、経路情報を合わせる

・WAN回線情報を拠点ルータに設定する
といったタスクを実施します。

ここで厄介なのは、センターと拠点の「設定を合わせる必要がある」ことと、「設定済みの拠点ルータを拠点に送る」ことの2点です。

設定を合わせる必要がある」ということは、片方の設定に間違いがあった場合は接続できなくなります。

また「設定済みの拠点ルータを拠点に送る」ですが、当たり前のように思いますが、先ほどの「設定を合わせる必要がある」と合わせると、間違いがあった際、拠点ルータの設定内容を直接確認できない、修正したくても現地で行う必要がある点が大きなデメリットになります。

現地作業では上記に対応させるべく、ネットワークエンジニアの方が担当するケースが多々あります。(みなさま、お疲れ様です。。。)


ゼロタッチプロビジョニングによる優れた展開

ゼロタッチプロビジョニングは、基本的に最低限の設定(拠点ルータのWAN設定)のみで、展開可能です。


IT管理者は作成した設定情報(②の工程)を、オーケストレイターからアクティベーションメールとして、現地作業担当者宛に送付します。(③の工程)

 

 


現地設置するEdgeは工場出荷状態から操作するため、正しい設定が入っている”はず”の「設定済みの拠点ルータを拠点に送る」というシチュエーションが無くなります。もし②の工程で作成した設定が間違ってしまったら、IT管理者が自身で設定を確認し、アクティベーションメールを再送すれば良いだけです。

また、「設定を合わせる必要がある」点は、不要です。アクティベーションが成功すれば、オーケストレイターの管理下になるため、リモートから設定が可能です。万が一、後からWAN設定を間違ってしまい、インターネット接続ができなくなった(オーケストレイターと接続ができなくなった)場合は、自動的に設定がロールバックし、インターネット接続が正常な状態に戻ります。

WANルータ展開の複雑さが排除されたSD-WAN

ゼロタッチプロビジョニングは、WANルータの展開において、従来の手法の不便さ、複雑さが排除された展開です。IT管理者にとっては、ルータの展開という一大イベントを非常に容易させてくれます。展開作業だけでなく、ミスのリカバーも容易にできる点は非常に優れているかと思います。

次回はゼロタッチプロビジョニングの動作を詳細をご紹介したいな、と思います。


本日のむーたん