パラメータは一切不要!VMware SD-WANの拠点間接続①
はじめ
拠点間接続(VPN接続)
それは、ネットワークエンジニアとして大きな一歩となる、お仕事になります・・・・
一般的な企業であれば拠点間接続として、通信キャリアのIP-VPN網サービスやインターネットVPNなどを利用しているかと思います。
通信キャリアのIP-VPN網サービスは、セキュアなネットワークとしてサービス展開され、ネットワーク内を自由に設計できますが、高価であるため、全ての環境に利用されることはありません。
対して、インターネット網を利用したインターネットVPNがあります。
こちらはをインターネット網を利用し、ネットワーク機器の機能によって構成されるオーバーレイネットワークになります。インターネット網は、ほぼ公共な環境のため、ローカルアドレスからパブリックアドレスの変換(NATなど)や、セキュリティ面などを検討し、ネットワーク機器に設定をする必要があります。VPN技術は、様々ありますが、インターネットVPNにおいてはセキュアなIPsecの利用がメジャーになっております。
複雑な設定が必要とするインターネットVPN(IPsec)
インターネットVPNを設定するには、ネットワークトポロジーのもと、様々なパラメータを決める必要があります。
例えば、暗号化方式、鍵情報、トンネルIFアドレス、接続元や接続先のパブリックIPアドレスなどなど
これらの設定を、拠点間のそれぞれの機器に設定する必要があります。これらの設定に違いがあると、接続ができません。
複数拠点ある場合は、接続する拠点数分のVPN設定をする必要があります。
慣れてしまえば、また既存の設定をコピペすれば簡単、との声もありますが、設定ミスの原因の半分はコピペミスでは?とも思います。(自分の中では・・・・)
パラメータは不要、VMware SD-WANの拠点間VPN
VMware SD-WANにおけるVPN設定、Cloud VPNの設定は表情に簡単です。
設定にある、トグルスイッチをOFF➡︎ONにするだけです。
実際の通信をさせるためには、もう少し設定する必要がありますが、基本設定はこれで完了です!
WebGUIもわかりやすく、設定しやすいとですね。
次回は、VMware SD-WANのVPNについて、詳しく紹介していきたいと思います。
本日のむーたん
VMware SD-WAN で IPoE回線を終端が可能に?!
先日、VMwareJapanブログにて嬉しいブログリリースがありました
なんと、とうとう?VMware SD-WANでもIPoEが利用できるようになったようです。
該当のブログ記事はこちらです。
もともと、IPoE回線の対応可否のお問い合わせは多かったのですが、IPv6に初めて対応したバージョン4.3.0(約1年前)にVMwareに確認を取ったところ、「未対応」との回答を頂いておりました。
それから1年が経ち、遂にIPoEに対応した!!!と嬉しく思っております。
しかし、まだVMwareに確認をしたわけではないので、詳細は現在確認中です。
(ぬか喜びは嫌ですからね)
詳細は追ってご報告したいと思います。
昨今のインターネット利用に伴いインターネット回線(IPv4網)が遅い場合、IPoE回線の選択が当たり前になってきました。安価な家庭用ルータなどでは、対応が早く●●回線対応!!という触れ込みを多く見かけますが、ビジネスシーンで利用されるルータは海外メーカが多く、日本の回線に対応した〜というのはなかなか見かけることはありません。日本の場合、このような動作確認はSIerやディストリビュータに求められていることがよくありますね。
そのため、このような情報を公式ブログから発信いただけるのはとてもありがたく、とても大きなニュースだったかと思います。IPoE回線のサポート対応などはこれから確認したいところですが、まずは朗報を共有させていただきました。
本日のむーたん
Interop Tokyo 2022に行ってきた
6月16日、Interop Tokyo 2022に行ってきました。
今年は新人君と一緒に参加しております。
軽く回ってから、Interop Tokyo 2022 Best of Show Awardの製品紹介講演に行ってきました。
※詳細はこちらをご参照ください
実は前半・後半に分かれた講演のため、すべての内容を聞くことはできませんでした(残念・・・)
VMware では、NSX Advanced Threat Preventionが準グランプリを受賞しておりました!!またここにはありませんが、VMware Teleco Cloudも準グランプリを受賞しておりました!
講演終了後は、ブラブラと散策。
VMwareのブースでは、VMware SASE、VMware NSX Advanced Threat Prevention、VMware Telco Cloudの紹介が展示されていました。
VMware Daysの会場は満席で座れない方も多数・・・・
ゆっくりじっくり1日かけて回り、新人君からは勉強になったとのお言葉いただきました(ヨカッタヨカッタ)
数年ぶりの参加でしたが、オンサイトの参加は楽しいですね。今はオンラインイベントが多数ありますが、やはりこういうイベントはオンサイトが好きです。願わくば、10数年前のような盛り上がりが来ることを祈りつつ、海浜幕張を後にしました。。。1日歩いて疲れた〜〜〜
※シスコのブースが小さくてびっくりしました。過去は最大級のブーススペースを使っていたのに。。。。
一発勝負の現地作業を確実にする、VMware SD-WANのゼロタッチプロビジョニング④
前回の振り返り
前回はゼロタッチプロビジョニングをIT管理者視点で良いところを挙げました。
今回はゼロタッチプロビジョニングのシーケンスを見てみましょう(やっと技術っぽいところになります)
ゼロタッチプロビジョニングのシーケンス
下記はゼロタッチプロビジョニングのシーケンス図になります。
- IT管理者がVMware SD-WAN Orchestrator上に、展開するVMware SD-WAN Edgeの設定情報 “Edge”を作成します。“Edge”に必要なパラメータを設定します。
- IT管理者がVMware SD-WAN Orchestrator上に作成した“Edge”のアクティベーションメールを現地担当者に送付します。アクティベーションメールには、VMware SD-WAN Edgeがアクティベートする際、VMware SD-WAN Orchestratorとの通信に必要となる以下の情報が埋め込まれています。
・SD-WAN EdgeのWANインターフェイス設定情報
・アクティベーション キー
・VMware SD-WAN OrchestratorのFQDN - 現地担当者は2で送付されたメールを受信します。
- 現地担当者はVMware SD-WAN Edgeを開梱、設置して電源を投入します。
- 現地担当者はVMware SD-WAN EdgeにWAN回線(のLANケーブル)を接続します。
- 現地担当者はアクティベーションに利用する作業用デバイスをVMware SD-WAN Edgeの無線LANに接続します。作業用デバイスは、無線LANに接続するとVMware SD-WAN EdgeのDHCPサーバから192.168.2.0/24のIPアドレスを付与されます。
※作業用デバイスをVMware SD-WAN EdgeのLANポートに(LANケーブルを)接続することでIPアドレスを取得、同様の作業を実施することもできます。 - 現地担当者は、IT管理者から送付されたメール本文にあるURLをクリックします。
- 現地担当者がクリックしたURLに含まれる設定情報より、VMware SD-WAN Edgeは、WANインターフェイスを設定されます。設定後、VMware SD-WAN Edgeは、インターネットへの接続性を確認します。
- インターネット接続可能なVMware SD-WAN Edgeは、URLに含まれる設定情報よりVMware SD-WAN Orchestratorへアクティベーション リクエストを送付します。
- VMware SD-WAN Orchestratorがアクティベーション リクエストを検証して、VMware SD-WAN Edgeを有効にします。
- VMware SD-WAN Edgeが有効になると、VMware SD-WAN Orchestratorは、VMware SD-WAN Edgeの設定情報などをVMware SD-WAN Edgeに送信します。また、ソフトウエアの確認を行い、VMware SD-WAN EdgeのソフトウエアバージョンがVMware SD-WAN Orchestratorの設定値と異なる場合は、ソフトウエアを設定値に合わせてアップグレードorダウングレードします。
※ソフトウエアのダウンロード、インストールにはネットワーク環境に応じた時間が必要です。 - VMware SD-WAN Edgeは、VMware SD-WAN Orchestratorから受け取った設定情報を反映し、再起動します。再起動後はVMware SD-WAN GatewayとVCMPトンネルを構築します。
文面では、長々と記載しておりますが、実際は下記動画のような行動となります。
(動画と上図には、順番に相違がありますがご了承ください)
VMware のHOL(VMware HANDS-ON LABS)の”HOL-2240-01-NET”には、ゼロタッチプロビジョニングをリモート環境で体験できるので、お時間のあるときに是非お試しください。(リモート環境&仮想環境のため、できれば実機を持って試してほしい思いです。)
ゼロタッチプロビジョニングについては、以上で終了にしたいと思います。
本日のむーたん
一発勝負の現地作業を確実にする、VMware SD-WANのゼロタッチプロビジョニング③
前回のおさらい
前回までは、現地作業担当者視点から見たゼロタッチプロビジョニングの便利さをご紹介しました。今回は、IT管理者視点からゼロタッチプロビジョニングの便利さを紹介したいと思います。
従来のルータ設置による課題
ここでのIT管理者は、VMware SD-WANを使用してNWを構築する担当者(SIerの方)になります。
従来のネットワーク機器では、一般的にIPsecVPNを構成するため、
・センター側と拠点側のVPN設定を合わせる
・拠点間接続可能にするため、経路情報を合わせる
・WAN回線情報を拠点ルータに設定する
といったタスクを実施します。
ここで厄介なのは、センターと拠点の「設定を合わせる必要がある」ことと、「設定済みの拠点ルータを拠点に送る」ことの2点です。
「設定を合わせる必要がある」ということは、片方の設定に間違いがあった場合は接続できなくなります。
また「設定済みの拠点ルータを拠点に送る」ですが、当たり前のように思いますが、先ほどの「設定を合わせる必要がある」と合わせると、間違いがあった際、拠点ルータの設定内容を直接確認できない、修正したくても現地で行う必要がある点が大きなデメリットになります。
現地作業では上記に対応させるべく、ネットワークエンジニアの方が担当するケースが多々あります。(みなさま、お疲れ様です。。。)
ゼロタッチプロビジョニングによる優れた展開
ゼロタッチプロビジョニングは、基本的に最低限の設定(拠点ルータのWAN設定)のみで、展開可能です。
IT管理者は作成した設定情報(②の工程)を、オーケストレイターからアクティベーションメールとして、現地作業担当者宛に送付します。(③の工程)
現地設置するEdgeは工場出荷状態から操作するため、正しい設定が入っている”はず”の「設定済みの拠点ルータを拠点に送る」というシチュエーションが無くなります。もし②の工程で作成した設定が間違ってしまったら、IT管理者が自身で設定を確認し、アクティベーションメールを再送すれば良いだけです。
また、「設定を合わせる必要がある」点は、不要です。アクティベーションが成功すれば、オーケストレイターの管理下になるため、リモートから設定が可能です。万が一、後からWAN設定を間違ってしまい、インターネット接続ができなくなった(オーケストレイターと接続ができなくなった)場合は、自動的に設定がロールバックし、インターネット接続が正常な状態に戻ります。
WANルータ展開の複雑さが排除されたSD-WAN
ゼロタッチプロビジョニングは、WANルータの展開において、従来の手法の不便さ、複雑さが排除された展開です。IT管理者にとっては、ルータの展開という一大イベントを非常に容易させてくれます。展開作業だけでなく、ミスのリカバーも容易にできる点は非常に優れているかと思います。
次回はゼロタッチプロビジョニングの動作を詳細をご紹介したいな、と思います。
本日のむーたん
Microsoft TeamsにVMware SD-WANのアラートを飛ばしてみた
はじめに
日々の業務の中でIT基盤の監視をされている人も多いと思います。IT基盤の各種コンソール上にはイベント発生時にアラートが表示されることが多々ありますが、ずっと画面を見てるわけもいかず、一般的には通知機能を使って、検知されているかと思います。
VMware SD-WANではイベントが発生したときにメールやSNMPトラップ、Webhookなどを利用してアラートを任意のツールへ転送、受信することができます。
参考ドキュメント
今回はWebhookを利用してMicrosoft Teamsでアラートを受信する設定例を簡単にご紹介したいと思います。
手順の流れは下記の通りです。
これだけです。では、早速やってみましょう!
実際にやってみた
1.Microsoft Teamsのチャネルにコネクターを作成する
アラートを表示したいチャネルにIncoming Webhookのコネクタを追加します。
コネクタのIncoming Webhookより「構成」をクリックします。
コネクタを作成してから名称や好みの画像などを設定します。
最後に設定に使用するURLをコピーしてテキストなどにメモします。
2.VMware SD-WAN OrchestratorにWebhookの設定を追加する
Orchestratorの設定より「アラートと通知」をクリックします。
画面下部のWebhookよりMicrosoft TeamsへのWebhookを設定します。
URLに先ほどメモしたURLを貼り付けます。
続いて「JSONペイロードテンプレート」を設定します。コードのサンプルは先ほどのドキュメントやVMware SD-WAN Orchestratorの設定画面から確認できます。
以下にサンプルコードを書きます。ブログで見やすくするため、少し調整してますが動くはずです。ポイントは、改行コードくらいかと思います。
〜サンプルコード〜
アラート件名:VMware SD-WAN Alert!!
本文:”text”以下の内容を表示
{
"title": "VMware SD-WAN Alert!!",
"text": "Alert type : {{alertType}} \n
Alert Time : {{alertTime}} \n
Customer name : {{customer}} \n
Customer LogicalID : {{customerLogicalId}} \n
Entity Affected : {{entityAffected}} \n
DeviceLogicalID : {{deviceLogicalId}} \n
LastContact : {{lastContact}} \n
Message : {{message}} \n
VCO : {{vco}}"
}
最後に画面右上の「変更の保存」をクリックしたら完成です。
何かイベントを発生させると、Microsoft Teamsに通知が飛んでくるようになります。
下記はEdgeをUPさせた例になります。
今回はWebhookを利用してMicrosoft Teamsでアラートを受信する方法をご紹介しました。メールによる通知は日々の業務に追われて埋もれがちになるため、Webhookによる通知は大変便利になりますね。
簡単な設定をするだけでアラートを確認できるので、ぜひお試しください。
本日のむーたん
一発勝負の現地作業を確実にする、VMware SD-WANのゼロタッチプロビジョニング②
前回のおさらい
前回をまとめると、従来専門的なスキルが必要だったルータの現地設置作業がゼロタッチプロビジョニングでは、作業(の一部)が、すっごく簡単になります、という内容でした。
難易度の高い現地設置作業が・・・
ゼロタッチプロビジョニングでは、容易になる!!
何故、専門スキルが必要か?
ネットワーク機器(ここではルーター)を操作するのに、何故専門スキルが必要か?ちょっと整理します。
1、設定内容が読解できない
2、設定方法がわからない(コンソールってなに?)
3、ネットワーク機器にPCをつなげられない(コンソールケーブルって?)
と、こんなところだと思います。
VMware SD-WANでは、上記を分解し、容易にして、現地作業員に実行してもらいます。結果として、現地作業員に実行してもらうことは・・・実質URLをクリックするのみ、になります。
ゼロタッチプロビジョニングの概要工程
VMware SD-WANのゼロタッチプロビジョニングは「IT管理者」と「現地作業担当者」による作業分担によって完結します。
作業内容の概要ですが、上記図では、下記のようになります。
①②は「IT管理者」による設定作成
③④は「IT管理者」から「現地作業担当者」へ作業引き継ぎ
⑤⑥は「現地作業担当者」による工事作業
⑦⑧は「現地作業担当者」による設定作業
⑨は「現地作業担当者」から「IT管理者」へ作業引き継ぎ
⑩は「IT管理者」による動作確認
上記の図だけでは、イメージが湧きにくいため、VMwareが公開しているゼロタッチプロビジョニングの動画を見てください。
今回は現地作業担当者視点で見てみます。
④(0:48−0:53あたり)のメールを受信は通常のOA業務の範囲だと思います。
⑤(0:12−0:23あたり)の開梱は日常作業です。⑥(0:24−0:43あたり)のケーブル接続は所定の場所に所定のケーブルを接続しないといけないため、支持は必要ですが、「ケーブルを挿す」は日常作業かと思います。
⑦(0:55−1:03あたり)の無線LAN接続は、PCだと難しいかもしれませんが、iPadなどのWiFi接続は日常作業になります。
⑧(1:04−1:07あたり)のURLクリックは通常のOA業務の範囲だと思います。
改めて説明してみましたが、動画を見ていただいた通り、現地作業担当者が行う作業は専門的なスキルは不要な作業になってます。
ちなみに管理者による設定ミスがあった場合では・・・・
IT管理者が再設定して、再度メールを送信します、現地作業担当者は、あらかじめ決められた作業を再度繰り返すだけで、追加作業は発生しません。
ゼロタッチプロビジョニング作業において、難易度についてご説明する際には、設置作業と、ケーブル接続が一番難しいとお伝えしております。(なんだかんだで、電源が入っていない、ケーブルの接続ミスなどによる動作不良は多いですからね)
前回と今回で、ゼロタッチプロビジョニングって簡単な作業なんだなと雰囲気は伝わったかなっと思います。あまり専門的な内容は記載しておりませんでしたが、次回は少しテクニカルな内容を記載していきたいと思っております。
本日のむーたん
