以前、VMware SD-WAN を用いたマルチクラウド接続 についてのblogを書かせていただきましたが、今回は Azure Virtual WAN 内に 仮想版の VMware SD-WAN Edge を高可用な形(クラスター構成)で容易にデプロイする方法について記載したいと思います。
VMware SD-WAN は以前からもこのような形で各種クラウドとの接続を提供していますが、Azure と VMware SD-WAN との連携によりクラウド側からのトラフィックについても容易にコントロールすることが可能となります。
例えば、Azure 環境の VDI から指定のアプリケーションをローカルブレイクアウトさせる、といったことも容易になります。
30分程度の作業時間で(待ち時間は除きます..)で Azure VNet や AVS(Azure VMware Solution) に接続することが可能です。
今回は下記のような構成のセットアップ方法について記載したいと思います。
Azure の Market Place から VMware SD-WAN などで検索すると、「VMware SD-WAN in vWAN」が見つかると思います。
(参考)VMware SD-WAN は以前より NVA(Network Virtual Appliance) としてpreview版として利用することが可能でしたが、2021年8月に正式版となり、Azure Market Place からデプロイすることが可能となっています。
(vWANにNVAを展開できるのは現時点で3社のみととなります。)
https://azuremarketplace.microsoft.com/en-us/marketplace/apps/velocloud.vmware_sdwan_in_vwan?tab=Overview
Virtual VMware SD-WAN Edge の作成(クラスター構成)
VMware SD-WAN Orchestrator で Edge を 2台 作成します。
Activation Key も控えておきます。(Azure 側でデプロイ時に使用します。)
Interface GE1 を Routed、WAN Overlay を Auto-Detect Overlay にし、GE2 は Routed のみで WAN Overlay のチェックは外します。(GE1 が Internet 向け、GE2 が LAN 向けとしてデプロイされます)
GE3~8 はこの構成では使われません。
2台の Edge で Cluster を組んでおきます。(この設定は Activation 後でも問題ありません。)
環境によっては、Administration => System Settings から Software Image の設定を”None(do not update)”にしておいて下さい。
(Activation 時にどのバージョンでデプロイするかを指定するものですが、今回は不要なためです。この設定を変更しても既存の Edge への影響はありません。)
Azure 側で VMware SD-WAN を Virtual WAN 内にデプロイ
Azure Market Place で VMware SD-WAN in vWAN を探し、Create を選択し、必要事項を入力
※ Virtual WAN Hub を事前に作成しておく必要があります
Virtual WAN Hub を選択すると、BGP 情報や static route 設定入力の旨のメッセージが出てきます。
※ Azure vWAN 側の BGP 情報が表示されますので、 BGP neighbor IP の情報を控えておいて下さい。(後でも設定情報を確認することは可能です)
VMware SD-WAN Orchestrator の記入や Edge 2台の Activation Key の入力が必須となりますので、事前に作成した Edge の Activation Key を入力します。
BGP ASN はプライベートAS番号(64512~65534)を入力下さい。
デプロイが完了すると、Managed application として作成されます。(NVA のため、通常の Virtual Machine としては見えません)
デプロイは数分ほどかかります。
デプロイ完了です。
(下記右の VMware SD-WAN Orchestrator では、東日本と西日本両方の Virtual Edge が表示されています)
VMware SD-WAN Edge の BGP 設定
Remote Diagnostic から ARP が見えていることを確認
GE2 から見えている ARP の IPアドレスを控えておく(次の static route 設定の Next Hop として使用)
Edge デプロイ時に表示された BGP neighbor IP を /32 で指定し、上記の IP を Next Hop にして、static route を設定します。(クラスター構成なので、2台の Edge それぞれに設定が必要となります。)
BGP の設定を行います。Local ASN はデプロイ時に指定したもの(今回は65413)、ASN(Remote ASN)は 65515 で固定となります。
eBGP 接続になりますが、Neighbor IP までは複数ホップあり eBGP-Multihop が必要となるため、Max-Hop を 2 以上に設定しておきます。(ここでは 10 と設定しています。参考までに、Azure vHUB 側は 128 となっているようです。)
必須ではありませんが、切り替わり時間を短くするために、Keep Alive と Hold Timer を 1s, 3s に設定しています。
Default Route のチェックも必須ではありません。
BGP接続されていることを Remote Diagnostics から確認します。
今回は 10.4.9.0/24 の vWAN prefix と 10.162.0.0/16 の vNET prefix が広報されていることがわかります。
以上で設定は完了です。
BGP の設定をするだけで、あとは Cloud VPN の機能で他の VMware SD-WAN 拠点と自動で接続できるようになります。
いかがでしたでしょうか。完全に自動とまではいきませんが、今までは手続きに数週間~1,2ヶ月、設定作業も数時間程度かかっていたのではないかと思いますが、Internet と VMware SD-WAN さえあれば、ものの数十分で高可用な構成で Azure への接続が可能となります。
また、Azure Virtual WAN Hub が文字通り Azure への”ハブ”となるので、VNET や AVS など Azure の様々な環境との接続が整っている形になります。
VMware SD-WAN を用いることで、今までは接続が困難だったりコストや時間がかかっていたものを、安価にスピーディに接続することが可能となり、運用も非常に楽になります。
今後もみなさまのネットワークを効率的で高度にできるような記事を掲載していきたいと思います。
最後まで読んでいただきありがとうございました。
