VMware 担当者コラム

VMware・VMware Cloud on AWS

VMware Cloud on AWS ネットワーク編 各コンポーネントとIPの設計

執筆者: Masaru Oikawa

こんにちは、VMware担当の及川です。
今回はVMware Cloud on AWSのネットワークの中でも各コンポーネントとIPの設計についてご紹介致します。

VMware Cloud on AWSの仮想ネットワークについてはNSXが採用されており、デプロイすると自動で初期設定が完了した状態となっていますので、すぐに仮想マシン用のネットワークやセキュリティの設定ができます。また、AWSとの親和性も非常に高いため、どのようなネットワーク連携となっているかについても簡単に触れていきたいと思います。

物理ネットワークについて

各ノードには、ENA(Elastic Network Adapter)と呼ばれる、ネットワークアダプタが接続されています。詳細については、vSphere Clientの物理ネットワークアダプタのvmnic0にて速度など確認することができます。

内部の論理ネットワークのイメージについて

イメージは以下の図の通りとなります。各コンポーネントについては次から触れていきます。

NSX Edgeについて

少し分かりにくい部分となっていますが、T0RouterとT1CGW、MGWの役割はNSX Edge(仮想マシン)によって提供されております。

SDDC(VMware Cloud on AWS上のクラスタグループ)をデプロイすると、NSX Edgeはデフォルトで2台用意されます。

VPNの接続数が多い場合や大規模な仮想ネットワークの構成が必要な場合は、Management Applianceのサイズを大きくすることで、対応することができます。また、新規でT1Gatewayを作成した場合も、仮想アプライアンスが展開されるのではなく、NSX Edgeの内部に実装されます。

T0 Routerについて

インターネット接続、Site間VPN、DirectConnect、ENIなど、外部との通信を担っています。
また、CGWやMGWからの通信に対して接続の境界の役割を持っていますが、以下3点については、ルーティングを行わない経路となっています。

※Site間VPNに関しては、個別で作成したT1 Gatewayでも設定可能です。

① インターネット-DirectConnect間
② インターネット-NativeAWSVPC間、
③ DirectConnect-NativeVPC間

T1 CGW (Compute Gateway)について

ユーザーが利用するワークロード(仮想マシン)用のゲートウェイとなります。
ワークロード間の通信(East-West)に関しては、分散ルータで処理され、インターネットやDirectConnectへの通信(North-South)に関しては、T0 Routerでルーティングされます。

T1 MGW (Management Gateway)について

VMwareが管理している仮想マシン(vCenterなど)用のGatewayとなります。ここのルーティング制御などはユーザーで実施することができません。全てVMwareのお任せの仮想ルーターとなっております。今回は詳細について触れませんが、vCenterへのアクセス制御に関しては、MGWのGateway FWにて設定することができます。

セグメント

オンプレミスネットワークで言うところの、VLAN に相当する部分となります。新しいセグメントを追加したい場合は、CGWもしくはT1Gatewayに紐づけて作成します。

また、T1 CGWに紐づけて作成するセグメントには、3種類の選択肢があります。
基本的にはRoutedを選択しますが、L2延伸などを利用する場合は、別の役割CGWに紐づけたセグメントを作成する必要があります。
Routed: ルーティング用のセグメント
Extended: L2VPN(Autonomous Edgeなど)によるL2延伸用のセグメント
Disconnected: HCXのL2延伸用のセグメント

IPアドレスの考慮ポイントについて

SDDCのIPアドレスの設計において、以下3つのネットワークについて事前に検討が必要となります。

また、大前提として赤枠3つのネットワークのサブネットは重複しないように設計する必要があります。
一部ユーザー側で利用できない、システムとしての予約済IPアドレスもありますので、展開前のIPアドレス設計はとても重要となります。

※T1Gatewayを別途NATedで別作成するようなマルチテナント利用の場合は、一部重複も可能ですが、今回は、標準で作成されるCGW配下をベースに説明させて頂きます。

① MGW(Management Gateway)配下のネットワーク

このネットワークは、SDDC関連する管理コンポーネント(vCenterやNSX)が利用するネットワークとなりまして、HCXのコンポーネントなども展開されます。また、VMwareで管理されているネットワークとなっているため、運用時に自由にネットワークを追加するなどはできません。
サポートされるCIDRとしては、/23、/20、/16となります。ここのサイズはSDDCの今後の拡張も踏まえた設計が必要となります。

② Default CGW(Compute Gateway)配下のネットワーク

ユーザーが利用する仮想マシン用ネットワーク(ワークロードセグメント)となります。管理系とConnected VPCと重複しない範囲で自由に設計することができます。また、T1 CGW Routed配下で作成したセグメントは全てルーティングされます。

③ Connected VPC用のネットワーク

SDDC上の仮想マシンからENI経由でAWSのVPCへアクセスする用のネットワークとなります。こちらはインターネットを介さず通信しますので、高速なネットワークを利用することができます。また、VPCとサブネットに関してはSDDC展開前にAWSコンソール上から事前に作成しておく必要があります。

いかがでしたでしょうか?
今回は各コンポーネントの役割のIPアドレスの設計に着目してご説明しました。

VMwareの記事




※閲覧にはiDATEN(韋駄天)へのログインが必要です。