AWSのマーケットプレイスからVMware SD-WAN Edgeの利用が容易に
AWSのマーケットプレイスに、VMware SD-WAN Edgeが利用することができるようになりました!!
今までも利用ができており、下記のようにマーケットプレイスから展開が可能です。
従来のマーケットプレイスからの展開方法(AMI)では、BYOLとなり、ライセンス持ち込み型のため、別途ライセンスの調達が必要になります。
今回のニュースは、ライセンスがサブスクになった新しいEdge(AMI)の展開が可能とされております!!
この場合、SD-WAN Edgeのライセンス費用はAWSへの支払い内に入ることになります。
とはいえ、オーケストレイターがないと、Edgeの利用ができないため、全くのゼロ環境の場合、調達ゼロになるということではないですね。
本日のむーたん
最適な経路を実現 ビジネスポリシーによる経路動作②
はじめに
前回に続いて、ビジネスポリシーによる経路動作になります。
前回の内容はこちら
前回は、ざっくりまとめるとビジネスポリシーによって、様々な経路を設定できます、という内容でした。
今回はトラフィックを発信させるWAN種を指定するリンクステアリングについて紹介しようと思います。
リンクステアリングとは
リンクステアリングは、ビジネスポリシーの設定にある項目で、Edgeから発信されるトラフィックを、どのWANから出力するかを指定する機能になります。ビジネスポリシーでは、"発信させるWAN種"と"経路指定"を組み合わせて設定します。
◾️発信させるWAN種の指定
・インターフェイス(物理)
・WAN Setting
・Transport Group
◾️障害時における経路指定
・Mandatry
・Prefferd
・Available
・(Auto)
発信させるWAN種の指定
VMware SD-WANでは、3種類のWAN種からトラフィックを発信させます。
1つ目は、インターフェイス(物理)です。
これは文字の通りで、GE1やGE2など、物理インターフェイスを示します。
2つ目は、WAN Settingです。
これはWANオーバーレイの設定を示してます。WAN Settingには、どの物理インターフェイスを紐つけるのか(複数もOK)、パブリック回線か、プライベート回線か、プライベート回線であれば、Gatewayとの疎通性はあるかなどなどの設定項目があります。
3つ目はTransport Groupです。
WAN Settingに設定される、パブリック回線か、プライベート回線かという括りでグルーピングされます。
なお、Porofileのビジネスポリシーで設定する場合はTransport Groupのみ選択できます。Profileでは、Edgeのインターフェイス(物理)やWAN Settingが、Edge個別に違うためです。
障害時における経路指定
WANに障害が発生した際、WAN経路の選択は4つの指定があります。Autoは動作仕様が決まっているため、VMware Docをご参照ください。
- Mandatry
特定の回線のみ使用され、どのような状態でも使い続けます。というより、遅延や障害があっても切り替わりません。 - Prefferd
特定の回線を指定しますが、回線状況に合わせて、最適な回線に切り替わって発信されます。 - Available
特定の回線を指定、回線が利用可能な限り、使い続けます。回線が使用不可(不通)になると、切り替わります。
*Autoについては、下記参照(VMware Docのコピペ)
ネットワークサービスとリンクステアリングを組み合わせた構成例
SD-WAN Edgeには、3本のWAN回線が敷設され、2本がインターネット回線(Public Wired)、1本がインターネット接続するが可能な専用線(Private Wired)があります。
ここでは、Saasへローカルブレイクアウトをする動作にします。WAN回線は通常時はインターネット回線2本を使用し、インターネット回線が利用できなくなった際に、専用線経由のSaasへアクセスする動作を設定します。
◾️設定例
◾️通常時の経路
◾️障害時の経路
まとめ
前回のアプリケーションの経路動作に引き続き、今回はリンクステアリングによる発信されるWAN種についてご紹介しました。
ビジネスポリシーでは、リンクステアリングで指定したWAN種からトラフィックを発信し、ネットワークサービスによってアプリケーションの経路が制御されます。ルーティングではできない、複雑なアプリケーション経路設定をGUIでぽちぽちするだけで容易に設定することは、VMware SD-WANでしかできないと思います。
今回の投稿によって、アプリケーションの経路制御ってどうやるのか、どんな動きになるのか、また構築の際、どのようにビジネスポリシーを設定すれば良いか、その辺が解決できれば良いな、と思います。
話が変わりますが、近々VMware Explore 2022 Europeが開催されます。VMware SD-WAN/SASEの情報があれば良いですね。
本日のむーたん
最適な経路を実現 ビジネスポリシーによる経路動作①
はじめに
先日10月20,21日に開催されました”VMware SASE Partner Roadshow”(2日間)に参加してきました。VMware SASEの担当者13名?が来日され、
1日目(Day1)は、VMware SASEとは?から最新のRoadmapやコンペ情報など、なかなかの聞き応えのある内容でした。
2日目(Day2)は、エンジニア向けにVMware SD-WANからVMware SASEのコンポーネントであるSecure AccessやCWS(Cloud Web Security)の勉強会が開催されました。
2日目の勉強会は、VMware SD-WAN/SASEの担当者による講義のため、今までふわふわっとしていた疑問点について、答えてくれるなど、こちらも大変良い内容でした。
Day1 :入り口
Day2:田町の新オフィスで開催
エントランスからの眺めが素晴らしい!!
勉強会で思うところ
とはいえ、Day2の勉強会は、VMware SD-WAN/SASEを触ったことない方向けの内容となり、当方のように従来から触っている方にとっては、少し物足りない点があった事も事実です。実際に設計や構築するにあたり、情報量が足りないかなーっと思いました。
そのため今回はそんな思いから、急遽具体的に役立つ技術情報を投稿しようかなっと思いつき、VMware SD-WANならではのビジネスポリシーの経路動作についてご紹介しようと思います。
ビジネスポリシーとは?
端的には、"アプリケーションのに対する制御"です。具体的には、マッチした条件によって、通信経路や回線、QoSやNATなど様々な処理を施すことができる、FWのポリシールールのような技術になります。
※今回はビジネスポリシーについて、詳しく説明・記載しません。
よくSD-WANの謳い文句として"最適な通信経路を〜"とありますが、それはこのビジネスポリシーによって実現されます。
最適な通信経路とは?
SD-WANといえば、"アプリケーション別に最適な通信経路を実現"と、謳われておりますが、そもそも最適な通信経路ってなんでしょうか?
明確な答えはなく、NWの構成や会社(担当者)の考えなどによって、変わってくると思います。そのため、同じアプリケーションでも、ある会社は、こういう動き、別の会社では、別の動き、と様々な動作になります。ここで大事なのは、そういった動作(通信経路)を決めて実現する(できる)ということです。
VMware SD-WANでは、それができます。
経路動作の説明
ネットワークを説明するには、図が1番、と思っておりますので、今回は下記の構成を用意しました。
左下のEdgeは一般的な拠点を想定しており、この拠点を起点として様々な経路を使って、Saasやサーバ(SV)にアクセスします。
今回用意した設定画面は、全て左下のEdgeの設定になります。
右下のEdgeはデータセンターを想定し、Hubとして動作しております。データセンターには別途インターネット接続しているルータ(R)があります。
インターネット上には、CSS(ZscalerのようなSSE)があります。SD-WAN GatewayとIPsec VPN接続がされておりますが、左下のEdgeともIPsec VPN接続がされております。
左上には、NSD(Non SD-WAN Destination)があります。NSDはSD-WAN以外の接続先のことで、シスコルータやAWSなどのように異種間接続で、他拠点との接続を示しております。NSDはCSSと同様に、SD-WAN GatewayとIPsec VPN接続(NSD via Gateway接続)をしており、拠点EdgeともIPsec VPN接続(NSD via Edge接続)がされております。
ビジネスポリシーを簡単に説明
説明すると長くなるので、今回は割愛します。
わかりやすくい説明が書かれているサイトがありましたので、こちらをご参照ください。
経路動作1(ローカルブレイクアウト)
はじめはローカルブレイクアウト。拠点Edgeから直接Saas(Webサイトなど)へアクセスする経路です。
宛先:インターネット
ネットワークサービス:ダイレクト
経路動作2(クラウドゲートウェイ経由のインターネット接続)
クラウドゲートウェイを経由したインターネット接続です。Edgeとクラウドゲートウェイの間はSD-WANオーバーレイが構成されております。ローカルブレイクアウトでは解決できない、拠点回線の不良に対応することができます。
宛先:インターネット
ネットワークサービス:マルチパス
経路動作3(Hub経由のインターネット接続)
Hub、この場合はデータセンターを経由したインターネット接続です。この接続はインターネットバックホールと呼ばれる動作になります。この動作はインターネット接続をする直接的な動作ではなく、インターネット接続をするトラフィックをHubへ送信する動作になります。そのため、この設定をしてもHubの設定によってその後の動作が変わってきます。
宛先:インターネット
ネットワークサービス:インターネットバックホール▶︎バックホールHubを指定
この場合、Hubにとってローカルブレイクアウトの動作をすれば、下記の図の通りHubの回線から直接インターネット接続がされます。(青線の動作)
一方で、データセンターにある別のルータからインターネット接続させたい場合、インターネットへの経路をルータへ向ければ良いわけです。(青線の動作)
経路動作4(クラウドゲートウェイ▶︎NSD経由のインターネット接続)
経路動作3のHubをNSDにした動作になります。NSDへの接続方法はクラウドゲートウェイを使います。クラウドゲートウェイを使うことで、全ての拠点Edgeが同じ経路設定でNSDを利用することができます。先ほどと同様にインターネット接続をするトラフィックをNSDへ送信する動作になるため、実際の動作はNSD次第になります。
一点大事な注意点。この経路動作4は3rd PartyのSSE(Zscalerなど)との接続にも利用されます。CSSとの違いは?と疑問があるかと思いますが、CSSは、Edgeと3rd PartyのSSEが直接接続するケースで利用されます。
宛先:インターネット
ネットワークサービス:インターネットバックホール▶︎NSD via GWを指定
経路動作5(直接NSD経由のインターネット接続)
経路動作3のHubをNSDにした動作になります。NSDへの接続方法は直接接続になります。そのため、この方法を使用する場合は、全ての拠点EdgeをNSDとIPsec VPN設定をさせる必要があります。先ほどと同様にインターネット接続をするトラフィックをNSDへ送信する動作になるため、実際の動作はNSD次第になります。
宛先:インターネット
ネットワークサービス:インターネットバックホール▶︎NSD via Edgeを指定
経路動作6(直接CSS経由のインターネット接続)
経路動作3のHubをCSSにした動作になります。CSSへの接続方法は直接接続になります。そのため、この方法を使用する場合は、全ての拠点EdgeをCSSとIPsec VPN設定をさせる必要があります。設定上、CSSとNSD vis Edgeは明確に違う設定となっておりますが、経路動作5と似ているためか、ビジネスポリシーの設定もほぼ同じになっております。
宛先:インターネット
ネットワークサービス:インターネットバックホール▶︎CSSを指定
経路動作7(拠点間接続)
経路動作1〜6まではインターネット接続の動作でしたが、経路動作7~9は拠点間接続の動作になります。経路動作7では、Edge間の接続になります。この図では、Hubとひとつの拠点(Spoke)のみ表現しておりますが、拠点間接続(B2B VPN)でも、この経路動作が該当します。その場合は、拠点(Spoke)→Hub→拠点(Spoke)の経路になります。
宛先:Edge
ネットワークサービス:マルチパス
経路動作8(クラウドゲートウェイ経由NSDと拠点間接続)
クラウドゲートウェイを経由した、NSDとの拠点間接続になります。経路動作4と似てますが、あくまでNSDの先にあるローカル接続を目的としております。
宛先:NSD via GW
ネットワークサービス:マルチパス
経路動作9(直接NSDと拠点間接続)
拠点EdgeとNSDと直接IPsec VPNを構成し、その経路を使ってNSDと拠点間接続を行います。この接続方式ではSD-WANオーバーレイが使われないため、ネットワークサービスは、"ダイレクト"になります。こちらも経路動作5と似てますが、あくまでNSDの先にあるローカル接続を目的としております。
宛先:NSD via Edge
ネットワークサービス:ダイレクト
ビジネスポリシーのルールセット
ビジネスポリシーは、上記のルールをぽちぽち作成し、下図のようなルールセットとして、ProfileやEdgeに適用する、そんな動作になります。詳細は後日まとめたいと思います。
さいごに
今回はビジネスポリシーによる経路動作をまとめました。
SD-WANによる最適な経路は、上記の組み合わせによって実現することができます。技術的にまだご紹介していない内容や細かいところは省略しましたが、かなり読み応えのある内容になったかと思いますので、皆様のお役に立てれば幸いです。次回はリンクステアリングについて書きたいと思います。
本日のむーたん
パラメータは一切不要!VMware SD-WANの拠点間接続②
はじめに
久々の投稿になります。
前回は横道に逸れて、VMware SD-WANのProfileとEdgeについてご説明しました。
VMware Explore 2022 USを間に挟みつつ、拠点間接続を機能させるCloud VPNに戻ってきたいと思います。
今回はVMware SD-WANの拠点間接続(Cloud VPN)とHubについてご紹介していきます。
Cloud VPN(拠点間接続)のトポロジー
VMware SD-WANにおけるVPNトポロジーは、”Hub&Spoke”(ハブ&スポーク)が基本になります。
つまり拠点間(Spoke間)の疎通は、Hubを経由して行われます。VMware SD-WANではBranch to Branch VPN(略して B2B VPN)と呼ばれる機能によって実現されます。
拠点間(この場合はSpoke間)が直接疎通させるトポロジー、”メッシュ”ですが、それっぽい動作をさせることは可能になります。
Dynamic Branch to Branch VPN(略してDB2B VPN)という機能になりますが、拠点間接続の際、その名の通り動的にSpoke間を直接VPN接続します。ただし、初回(拠点間がVPNを構成する前)の通信は、Hub経由で行われるため、Hubが不要になる構成ではありません。
※初回の通信は赤点線、2回目の通信は赤実線
補足ですが、動的に接続された拠点間のVPNは、3〜5分の無通信状態になると自動的に切断されます。また、拠点Edgeの製品仕様のVPN接続上限に達すると、VPNが構成されず、Hub経由によって疎通されます。
Cloud VPNの中核を担う、Hub
拠点間接続を実現させるCloud VPNですが、その中心にはHub(ハブ)があります。
一般的なネットワーク機器におけるHubは、トラフィックの集約点となり、Spoke間通信の中継を行います。一方でVMware SD-WANにおけるHubは、プラスして、”VPNの管理”を行います。
VPNの管理と言いましたが、特別複雑なことではなく、自分(Hub)に対するSpoke間の接続(拠点間接続)を管理をしています。
VMware SD-WANのHubについて、面白い点として下記の2点を挙げます。
・Hubは複数設定できる
・拠点間接続用HubとしてGatewayを使うことができる
複数設定できるHub
VMware SD-WANでは、Hubを複数設定することができます。
Hubは拠点間接続をする際の中継点となります。そのためHubは稼働率を高くしなければなりません。そのHub自体を複数設定・定義することができるため、高い冗長性を作ることが可能になります。
※Edgeの高可用性(HA)や、複数Edgeによるクラスタとは別の機能になります。
※上図のように片方のHubが使えなくても、もう片方のHubによって拠点間接続が実現
GatewwayがHubになる
Hubは拠点間接続をする際の中継点となります。そのためHubは稼働率を高くしなければなりません。(大事なことなので何度も言ってます)そんな重要なHubですが、管理運用面で色々と検討するのが大変であれば、サービス側(VMware)に面倒してもらうことが可能です。
Gatewayは、サービス側(VMware)で運用メンテナンスされ、冗長構成が取られているので、ユーザ側で障害、ファームウェア更新や停電対応など、Hub運用をしなくて済むのは良いですね。
注意点として、GatewayでHubとして動作するのは、「拠点間接続(B2B VPNおよびDB2B VPN)における機能」となります。
さいごに
Cloud VPNのトポロジーとHubについて、ご紹介しました。今回は概念や機能紹介の内容になりましたが、次回はどの辺が便利なのかをお伝えできるかと思います。
Hubをどのように構成するかは、VMware SD-WANの設計に大きなポイントとなるので、別途機能について紹介したいですね。
今日のむーたん
VMware Explore 2022 USに行ってきました①
タイトル通りですが、VMware Explore 2022 USに行ってきました。
8月30日から9月1日までの開催期間、場所はアメリカ、サンフランシスコです。
私自身アメリカ訪問は3回目になりますが、VMwareの海外カンファレンスの参加は初めてであり、ドキドキ50%不安50%でした。
今回渡米にあたり、VMware Explore用のツアーが用意され、旅の手配は旅行代理店様におまかせ、ご時世的な件もあり、大変助かりました。
取り急ぎ、うっすい内容になりますが、現地の様子をお届けしたいと思います。
8月28日(日)
成田空港に到着
この日は移動日になりました。
むーたんに見送られ、しばしの別れ
8月28日(日)
9時間ちょい、飛行機に搭乗し、遂にサンフランシスコ に到着!!
時差のため、現地も28日(日)でした。
久しぶりの海外、空気が日本と違って、カラッとして気持ちよかったです。
空港からホテルまではバスで移動、一旦ホテルに荷物を預けてからVMware Exploreの会場(モスコーンセンター)に行って、入場IDを受け取ってきました。
この日は、まだ開場していないので、ホテルへ帰ってみんなでご飯
ステーキウマーでした!!!(ポテトの量が多くて食べきれない。。。)
明日のため、早めにおやすみしました!!
ーーーーーーーーーーーーーーーーーーーーーーーーーー
本日のむーたん
設定管理のエトセトラ・・・ProfileとEdgeで複数Edgeの設定が楽チンなVMware SD-WAN②
はじめに
前回はVMware SD-WANにおけるEdgeの設定における動作について投稿しました。
今回はVMware SD-WANの、ProfileとEdgeについてご紹介します。
前回の記事はこちら
Edgeという名称ですが、
ネットワーク機器である"Edge"と、
オーケストレイター内にある、Edgeという設定の2種類の意味があります。
本ブログは、ネットワーク機器のEdgeをWクォーテーションくくり赤文字にし("Edge")、設定のEdgeを青文字(Edge)にして表記します。
Profileとは
Profileは、Edgeのテンプレートのようなコンポーネントです。
ProfileとEdgeは共通な設定項目があり、その内容はEdgeに反映されます。一方でEdgeにて個別設定をすることでき、Profileの設定内容を"上書き"することができます。
ProfileとEdgeの設定項目は全く同じではなく、Priofile独自の設定項目があり、その内容はEdgeにて個別設定をすることができません。なお、その逆で、Profileには無いが、Edgeにはある設定項目もあります。
Edgeの生成には、必ずProfileと関連付けされます。あくまで、関連付けのため、Profileの設定内容を変更すると、関連したEdgeの(個別設定されていない)設定内容も合わせて変更されます。
ProfileとEdgeの関連性
ProfileとEdgeは以下の関連性にあります。
- Edgeは必ず1つのProfileに属されます
- 1つのProfileに対して、複数のEdgeの割り当ては可能
- ProfileがないEdgeの生成は不可
- 1つのEdgeに対して、Profile複数割り当ては不可
2番の通り、1つのProfileに対して、複数のEdgeを割り当てることができます。
これは、複数のEdgeに対して共通となる設定項目を1つの設定項目で設定・運用することが可能ということなんです!!
つまり、共通設定となりやすい、ファイアウォールポリシーだったり、Syslog、NMSのような監視・管理サーバだったりとこのような設定はProfileに設定すれば済むことになります。また、運用中変更点があれば、Profileの設定を変更すれば関連するEdgeすべてに反映させることが可能となります。
同じような設定があると作業ミスが起きやすくなりますが、VMware SD-WANでは、Profileによる一括設定することができますので、そういったこともなくなりますね。
さいごに
今回はProfileとEdgeの関連について、紹介していきました。
次回はCloud VPN(拠点間接続)の続きになりますので、引き続きお楽しみにください。
本日のむーたん
設定管理のエトセトラ・・・コンフィグファイルを必要としないVMware SD-WAN①
はじめに
Cloud VPNの続きを作成しようと思いましたが、先に設定に関する説明をした方がよいかなっと思い、今回の内容を投稿します。
コンフィグファイルとは
突然ですが、コンフィグファイルについて。
ネットワーク機器における設定は、コンフィグファイルというテキストベースのファイルによって、その設定内容が記載されていルことが一般的です。
※コンフィグファイルがバイナリファイルのネットワーク機器も多数あります
ファイルの中身はテキストのため、ファイル及び内容の複製がしやすく、複数の機器を同時に設定する際には、設定の一部を変更するだけで展開ができるため、大変便利です。
反面、設定ミスを誘発しやすい、ファイル管理が大変(どのファイルが最新?)と不便な面もあります。
またコンフィグファイルは、ネットワーク機器内部に格納されており、電源ON(起動)時には、コンフィグファイルを読み込み、動作します。
VMware SD-WANにおけるコンフィグファイルは?
VMware SD-WAN におけるネットワーク機器、すなわち"Edge"のコンフィグファイルは、ありません。
Edgeの設定は、オーケストレイター内のEdgeが同期されます。
わかりにくいので、注釈です。
Edgeという名称ですが、
ネットワーク機器である"Edge"と、
オーケストレイター内にある、Edgeという設定の2種類の意味があります。
本ブログは、ネットワーク機器のEdgeをWクォーテーションくくり赤文字にし("Edge")、設定のEdgeを青文字(Edge)にして表記します。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
"Edge"の設定はEdgeと一定間隔で同期されてます。(おおよそ30秒間隔)
そのため、Edgeを設定変更することで、実機である"Edge"に設定内容が自動的に反映される動きになります。
また、”Edge”の内部には、いわゆるコンフィグファイルはありません。もちろん設定に関するファイルは、"Edge"内部に格納されていますが、通常の管理では見ることができません。Diagnostics(CiscoでいうTechsupportのようなもの)という解析ファイルの出力によって、確認することになります。
電源ON時には、”Edge”内部の設定から起動しますが、オーケストレイター、ゲートウェイと接続し、最新のEdgeが同期されます。(必要があれば再起動します。)
この際、Edgeに設定されているソフトウェア(いわゆるファームウェア)と、"Edge"が動作しているソフトウェアに差があれば、Edgeに合わせるよう、ソフトウェアのダウンロード・適用・再起動と実施してくれます。
今日の最後
VMware SD-WANでは、オーケストレイター内のEdgeが実機である"Edge"に同期され動作します。設定の世代管理はできませんが、結局使うのは最新版だけなので、困らないのでは?と思います。
私個人的にはコンフィグファイルの管理をしなくてとても便利!!
Edge個々の設定管理は便利だが、テキストファイルで便利だった複数機器の展開時は?
それは次回にしたいと思います。
本日のむーたん
