VMware Transit Connect （以下 Transit Connect）とは、VMware Cloud on AWS が提供している相互接続サービスの名称です。Transit Connect を利用すると、VMware Cloud on AWS とデータセンター、アマゾンウェブサービス (AWS) を相互に接続できるようになります。今回は、Transit Connect の仕組みと接続構成パターンをご紹介します。

 

目次

• 相互接続のニーズ
• VMware Transit Connect とは
• 簡単に実現できる SDDC 間の相互接続
• サポートされる通信
• 接続構成パターン
• まとめ

 

 

 

AWS を利用する企業は、仮想プライベートネットワークを提供する Amazon VPC（以下 VPC） を利用してアプリケーションやサービス間の通信を行います。AWS のサービス利用数が増えるにつれて、使用する VPC の数も増える傾向にあります。同時にアプリケーション間の通信も増えるため、通信経路が複雑になりがちです。

一方、AWS Direct Connect を利用してオンプレミスのデータセンターと接続するケースも多く見られます。そこで必要になるのが、効率良く管理できる相互接続の仕組みです（図1）。

図1　データセンターと Amazon VPC の相互接続イメージ

 

実は、VMware Cloud on AWS を採用する企業の多くは、AWS の既存ユーザーである傾向があります。VMware Cloud on AWS を利用する場合でも、クラウドで動かすワークロードが増えてくると相互接続の仕組みが求められます（図2）。

図2　VMware Cloud on AWS を含めた相互接続イメージ

 

例えば、VMware Cloud on AWS 上で動くアプリケーションが AWS のデータベースやファイル共有サービスなどを利用するケースが挙げられます（詳細は、過去のブログ「VMware Cloud on AWS と AWS の連携」や「VMware Cloud on AWS と Amazon RDS との連携」をご覧ください）。

このような背景から、最近は VMware Cloud on AWS と オンプレミス間だけでなく、AWS 間との相互接続を前提としたネットワークを設計する企業が増えています。

 

 

 

AWS では、AWS Transit Gateway（以下 Transit Gateway） というサービスで相互接続を実現しています。Transit Gateway は、複数の VPC およびデータセンターを相互接続するネットワークの中継ハブとして活用できます（図3）。

Transit Gateway にネットワークを集約すれば、設計がシンプルになり構成も容易になります。ルーティングも一元的に管理できるので、相互接続に最適なサービスです。

図3　AWS Transit Gateway  の接続イメージ

 

VMware は、この Transit Gateway を VMware Cloud on AWS に取り込み、独自のサービスとして提供を開始しました。VMware が提供する Transit Gateway であるため、これを「VMware Managed Transit Gateway（以下 VTGW）」と呼びます。この仕組みを利用すれば、Software-Defined Data Center（SDDC）を含めた相互接続を実現できます（図4）。

図4　VMware Transit Connect サービスの接続イメージ

 

尚、この VTGW を活用してVMware Cloud on AWS 環境の相互接続を実現するサービスを「VMware Transit Connect」と呼びます。VTGW は、VMware Transit Connect サービスを構成する主要なコンポーネントです。

 

 

 

VTGW の初期構成（作成や削除、ルート情報の編集）は、VMware Cloud on AWS の管理インターフェイス「VMC コンソール」から実行できるため高度なスキルや知識は不要です。ここで、２つの SDDC を相互接続する流れを見てみましょう（図5）。

図5　VMware Transit Connect の構成イメージ

 

はじめに、VMC コンソールから相互接続対象の SDDC を選び、１つのグループにまとめます（図6）。このグループ化する機能を「SDDC Group」と呼びます。

図6　SDDC Group 構成画面サンプル（VMC コンソール）

 

SDDC Group に登録すると、バックエンドで自動的に VTGW がデプロイされ、グループ化した２つの SDDC に接続されます。通常、この処理は20分程度で完了します。

次に、２つのSDDC が接続された構成に目を向けてみましょう。SDDC は、VMware が管理する VPC の中に構成されます。SDDC の内部には、VMware NSX で構成されたオーバーレイネットワークが存在しています（図7）。仮想マシンは、このオーバーレイネットワーク上に作成されるワークロード用セグメント（仮想マシン用の CIDR）に接続されます。

VTGW は、SDDC に接続するとセグメントと VPC のサブネットの情報を取得し、VTGW 自身のルーティングテーブルを作成します。同時にそれらの情報を対向の SDDC に伝播します。あとは、ファイアウォールで許可する通信のルールを適用すれば、SDDC 間の双方向通信が可能になります。

図7　SDDC 間の接続構成とルートテーブル

 

ちなみに、すでに AWS で利用している VPC や Transit Gateway も VTGW に接続できます。VMC コンソールから SDDC Group 画面を開き、接続対象の VPC や Transit Gateway のリソース ID を登録します（図8）。その後、AWS マネジメントコンソールからアタッチメントリクエストを承認すれば完了します。 あとは一般的な AWS の運用方法と同じように、適宜ルートの構成を行います。

図8　既存 VPC と Transit Gateway の追加設定画面サンプル（SDDC Group 構成画面）

 

 

 

VTGW は、VMware Cloud on AWS の SDDC 向けにインテグレーションされた Transit Gateway です。VTGW は SDDC を含めた相互接続を実現する目的で提供されているので、SDDC が起点または終点ではない通信は「ルーティング対象外」として扱います。

例えば、下図（図9）のような構成でオンプレミスと VPC が VTGW 経由で接続されている場合、SDDC が起点や終点の通信はルーティングされます。

図9　Transit Connect でサポートされる通信

 

逆に、SDDC が含まれないオンプレミスまたは VPC が起点や終点の通信はルーテイングされません（図10）。オンプレミスと VPC 間の接続が必要な場合は AWS Transit Gateway を使用し、SDDC との通信は VTGW を使用するような使い分ける構成をご採用ください。具体的な構成は本記事の後半をご覧ください。

図10　Transit Connect でサポートされない通信

 

 

 

最後に、Transit Connect の主な接続構成パターンを見ていきましょう。ネットワークの接続構成は多岐に渡り全てのパターンは紹介しきれないので、主なものをピックアップして掲載します。

 

SDDC と VPC 間の接続

複数の SDDC を VTGW に接続することで、ユーザーが作成するネットワークセグメントの情報が VTGW に集約され、簡単に相互接続できます。既存 VPC を VTGW に 接続する構成もサポートされています。

 

VTGW 間の接続１（単一リージョン内）

単一リージョン内で Transit VPC を利用した VTGW 同士を接続する構成がサポートされています。Transit VPC とは、VPC 間のルーテイングを実現するハブ＆スポーク型のアーキテクチャです。この構成では VTGW 間で自動的にルート情報が交換されないため、対向 VTGW やインターネットへのルート定義は Transit VPC 内（手動）で行います。

 

VTGW 間の接続２（リージョン間）

２つのリージョン間で VTGW 同士を接続する構成がサポートされています。尚、リージョンを跨いで Transit Gateway 同士を接続する方法を「Inter-Region Peering」と呼びます。

 

AWS Transit Gateway と VTGW 間の接続１（単一リージョン内）

単一リージョン内で AWS Transit Gateway と VTGW を Transit VPC を利用して接続する構成もサポートされています。これは、インターネット間の通信を Transit VPC に集約する際に採用されるアーキテクチャです。AWS のブログに Transit VPC（セキュリティ VPC）のリファレンスアーキテクチャが掲載されています。そちらも併せてご覧ください。

 

AWS Transit Gateway と VTGW 間の接続２（単一リージョン内）

Transit VPC を利用せず、単一リージョン内で AWS Transit Gateway と VTGW を接続する構成もサポートされています。尚、リージョン内で Transit Gateway 同士を接続する方法を「Intra-Region Peering」と呼びます。

 

AWS Transit Gateway と VTGW 間の接続３（リージョン間）

リージョン間で AWS Transit Gateway と VTGW を接続する構成（Inter-Region Peering）もサポートされています。

 

データセンターとの接続１（単一リージョン内）

データセンターと VTGW を接続する場合、AWS Direct Connect Gateway と接続する構成がサポートされています。VTGW 側へ伝播するルート情報は、Direct Connect Gateway にて定義します。

 

データセンターとの接続２（リージョン間）

２つのリージョンを活用してデータセンターと VTGW を互いに接続する構成がサポートされています。災害対策等で活用できる構成です。

 

データセンターおよび Transit Gateway との接続１（単一リージョン内）

VTGW と AWS Transit Gateway およびデータセンターを接続する構成がサポートされています。尚、この場合データセンターから AWS Transit Gateway を経由した VPC への相互接続が可能です。

 

データセンターおよび Transit Gateway との接続２（リージョン間）

２つのリージョンを活用して、VTGW と AWS Transit Gateway およびデータセンターを接続する構成がサポートされています。

 

ここで掲載した以外でもサポートされている構成があります。詳細は、VMware の担当営業または SE にお尋ねください。一方、Direct Connect Location の冗長構成と VTGW の接続については、AWS のブログにも記載があります。併せてご覧ください。

 

 

 

VMware Transit Connect は、VMware Cloud on AWS で活用できる相互接続サービスです。データセンターおよび Amazon VPC との接続がシンプルかつ容易に構成でき、災害対策のリージョン間接続でも活用できます。是非ご活用ください。

 

 

 

関連情報リンク

• ドキュメント「VMware Transit Connect を使用した SDDC 展開グループの作成と管理」
• ブログ「VMware Transit Connect – VMware Cloud on AWS のためのシンプルかつ柔軟なネットワーク構成」
• ブログ「VMware Cloud on AWS と AWS の連携」
• ブログ「VMware Cloud on AWS と Amazon RDS との連携」
• ブログ「VMware Cloud on AWS の最新アップデート（2021年10月）」
• ブログ「VMware Cloud on AWS の最新アップデート（2022年2月）」
• AWS ブログ「VMware Transit Connect を使用したサードパーティのファイアウォールアプライアンスと VMware Cloud on AWS の統合」
• AWS ブログ「AWS Direct Connect と VMware Cloud on AWS の統合」
• AWS リファレンスアーキテクチャ（for VMware Cloud on AWS）