VMware Cloud on AWS を担当しているソリューションアーキテクトの黒岩 宣隆です。
VMware Cloud on AWS の大きな特徴の一つとして、 アマゾン ウェブ サービス (AWS) の各種サービスとの連携が挙げられます。
この AWS との連携について複数回にわたり解説します。初回は AWS の各種サービスとどのように接続するかネットワークの観点から解説します。
VMware Cloud on AWS と AWS との連携概要
VMware Cloud on AWS は AWS のグローバルインフラ上で VMware SDDC が稼働するクラウドサービスです。 このグローバルインフラを通じてAWS の各種サービスへ直接接続が行えます。この AWS のサービスへの連携のしやすさも VMware Cloud on AWS の大きな特徴の一つとなります。
図1 VMware Cloud on AWS 概要図
AWS の各種サービスは、グローバルスコープのサービス、リージョンスコープのサービス及びアベイラビリティゾーン (AZ) スコープのサービスがあります。 それぞれのスコープにより、VMware Cloud on AWS からどのように接続を行うかが異なってきます(図2)。
図2 AWS サービスのスコープ
VMware Cloud on AWS からは AWS の全てのサービスと連携が行なえます。 今回は、その中でも代表的な下記パターンを解説します。 これらは主に AZ スコープのサービスへのアクセス (EFS 除く)となります。
- Amazon EC2 との連携
- Amazon RDS または Amazon Aurora との連携 (記事はこちら)
- Elastic Load Balancing との連携
- Amazon FSx または Amazon EFS との連携
上記それぞれの連携パターンについて詳細は次回以降本ブログで解説させていただきます。
今回は、VMware Cloud on AWS と AWS との連携について、ネットワーク接続の観点から具体的に解説します。
VMware Cloud on AWS と AWS の AZ スコープのサービスへ接続する方法は、主に 下記 2 つの方法があります。
- Elastic Network Interface (ENI) による接続
- VMware Transit Connect による接続
それぞれの接続方法について少し詳しく解説します。
Elastic Network Interface (ENI) による接続
VMware Cloud on AWS の SDDC は、AWS のベアメタルサーバ上で展開されます。 また、このSDDC は Amazon VPC 内の特定のサブネットへ ENI 経由で接続を行うことができます(図3)。 この ENI 接続により最大25Gbps(i3 ホスト使用時)で接続が可能となります。
図3 ENI 接続概要図
この ENI 接続は SDDC 作成時に設定した AWS アカウントのサブネットに接続されます。 SDDC の作成手順詳細はこちらのドキュメントをご参照ください。 また、この設定により、SDDCは指定されたサブネットと同じアベイラビリティゾーンにデプロイされます。 SDDCと ENI 接続されたサブネット間は同一アベイラビリティゾーン内の接続となるため、AWS のデータ転送料はかかりません。 SDDC のセグメントは、ENI 接続された VPC のメインルートテーブルにルーティング情報が自動で追加されるため、容易な接続を可能とします(図4)。
図4 AWS コンソールで見た VPC のメインルートテーブル
実際に、VMware Cloud on AWS と AWS 間で ENI 経由でネットワーク接続する例を見てみます。
前述したように、SDDC 作成時にAWS VPC のサブネットとは既に ENI 接続されルーティングができるようになっております。 あとは、ファイアウォールでお互いの通信を許可するだけです。
まず、VMware Cloud コンソールのファイアウォールで AWS VPC のサブネットからの接続を許可します(図5)。 SDDC のファイアウォール設定手順詳細はこちらのドキュメントをご参照ください。 次に、AWS のセキュリティグループで SDDC のセグメントからの接続を許可します(図6)。
図5 VMware Cloud コンソールのファイアウォール設定
図6 AWS セキュリティグループの設定
SDDC の仮想マシンと AWS の EC2 インスタンス間の通信が確認できます。(図7)
図7 SDDC の仮想マシンと AWS EC2 インスタンス間の ping による通信の確認
VMware Transit Connect による接続
VMware Transit Connect は VMware がサービスとして提供し管理しているトランジットゲートウェイとなります。詳細はこちらのブログ 「VMware Transit Connect – VMware Cloud on AWS のためのシンプルかつ柔軟なネットワーク構成」をご参照ください。
この VMware Transit Connect を利用することで、SDDC から複数の VPC へ接続を行うことが可能となります。 その他、VMware Transit Connect では下記のような接続をサポートしております。
- SDDC – SDDC 間の接続
- SDDC – AWS の VPC 間の接続
- SDDC – オンプレミス間の接続
SDDC – SDDC 間の接続は、VPC アタッチメントにより接続されます。 また、SDDC – AWS の VPC 間も VPC アタッチメントにより接続されます。 SDDC – オンプレミス間は、AWS Direct Connect と Direct Connect ゲートウェイ経由で接続されます (図8)。
VPC アタッチメント経由の接続ならびに Direct Connect ゲートウェイ経由の接続における帯域は、50Gbps であり高速かつ低遅延のネットワークが利用できます。(トランジットゲートウェイのクォータ)
図8 VMware Transit Connect による接続
実際に、VMware Cloud on AWS と AWS 間で VMware Transit Connect を利用してネットワーク接続する例を見てみます。 VMware Transit Connect は VMware Cloud コンソールにおいて、SDDC グループを作成することで利用ができるようになります(図9)。 その後、AWS アカウントや接続先 VPC の設定、AWS コンソール側で VPC アタッチメントの作成と設定を行うことで、VMware Transit Connect 経由の通信が行えるようになります。 手順詳細はTransit Connect のドキュメントをご参照ください。
図9 SDDC グループと VPC 接続設定
その後、ファイアウォールでお互いの通信を許可します。
まず、VMware Cloud コンソールのファイアウォールで AWS VPC のサブネットからの接続を許可します。(図10)
次に、AWS のセキュリティグループで SDDC のセグメントからの接続を許可します。(図11)
図10 VMware Cloud コンソールのファイアウォール設定
図11 AWS セキュリティグループの設定
SDDC の仮想マシンと AWS の EC2 インスタンス間で通信が行えることが確認できます(図12)。
図12 SDDC の仮想マシンと AWS EC2 インスタンス間の ping による通信の確認
まとめ
今回解説したように、AWS の各種サービスへの接続は、Elastic Network Interface(ENI)経由または VMware Transit Connect 経由で接続が行えます。これら接続は数ステップの設定で容易に行なえます。
AWS の様々なサービスと連携が行なうことで VMware Cloud on AWS と AWS 両方のメリットいかしたクラウドを活用できます。
次回からはAWS との主な連携パターンについて詳細に解説しておきます。ご期待ください。
