Amazon EVSのHCXをインターネット経由で利用する

はじめに

• Amazon EVS（Elastic VMware Service）がGAしてしばらくたちましたが、初期のデプロイではHCX（Hybrid Cloud Extension）のインターネット経由の利用ができませんでした。（Direct ConnectやインターネットVPN経由では利用可能）
• 少し前のアップデートで、Amazon EVSのマネージメントコンソールのデプロイの画面で、HCXをインターネット経由で利用できるようなオプションが表示されるようになりました。が準備もろもろが分かりづらいため、こちらで解説します。

HCXについて

すこし古いバージョンですが、HCXの導入や機能は以下にまとめています。
HCXの解説はこちらをご覧ください。

VMware Cloud on AWSでは、HCX-Cloud（VMC側）のセットアップはほとんど自動化されていましたが、Amazon EVSではHCX-Cloudのセットアップは手作業となります。HCX-Cloudのセットアップは別途Blogにまとめる予定です。（そのうち・・・）

HCXをインターネット経由で利用する理由は？

• HCXはオンプレミスからVDS(分散仮想スイッチ）でL2延伸を行い、バージョンの異なる仮想基盤間で、vMotion（HCX vMotion）で移行を行うアプリケーションです。ほとんどのユースケースはDirect Connectで接続するため、インターネット経由のHCXの利用は考慮不要です。
• 日本国内であれば、Direct Connectで接続可能ですが、海外との接続となると状況がことなります。NaaSなどを活用してDirect Connectで接続することも可能ですが非常に高額、インターネット経由で利用ができれば、短いリードタイムでかつ安価に利用することができます。（今回は日本－us-west2（オレゴンでつないでます））
• Amazon EVSの場合、セットアップ時にHCXのインターネット経由の選択をしておかないと、あとから変更ができませんのでご注意ください（2025年11月1日現在の情報です）

Amazon EVSでHCXを利用する方法

• HCXの詳細な説明は割愛しますが、HCX-Connectorが作成するアプライアンスがPublic IPを持つ必要があります。以下の流れでセットアップを進めていきます。
  　
• EVSデプロイ前

1. 必要なリソースを確保する
2. VPCのSecondary SubnetにPublic IPのブロックを作成する
3. EVSのデプロイに必要な準備を行う。
4. EVSをデプロイする時に、HCXのPublic IP経由の設定を行う。

• HCX-Cloudセットアップ後

1. HCXのNetwork ProfileでUplink Subnetを作成します。
2. Service Mesh作成時に上記のサブネットを指定します。

必要なリソース

必要なリソースは以下の通りです。

• /28のPublic IPブロック
  /28が必須である理由は後述します。

事前準備

• VPCアドレスマネージャー（VPC IPAM）を用いて/28のPublic IPのプールを作成します。
  Public IPのプールの標準値は/29となっているため/28を確保する場合はサポートから緩和申請が必要です。
  申請承認後に作成可能となりますが多少時間がかかりますので事前に準備をオススメします。
  

上限緩和申請にIPAM関連の項目がなかったため、AWS Supportに依頼を行いました。

• VPCのセカンダリサブネットの登録
  Public IPをVPCのセカンダリサブネットに登録を行います。
  VPCに登録できる最小のCIDRブロックが/28であるため、Public IPも/28が必要となります。
  
• これで事前準備は完了です。

EVS側でVLANとしてサブネットが作成されるため、Subnetの作成は不要です。
なお、確保したサブネットのアドレスがすべて利用できないので、HCXのセットアップ時にお気をつけください。

EVSのデプロイ

• マネージメントコンソールからEVSのデプロイで以下を選択します。
  

• アドレス設定の画面でHCXのUplinkに先ほど登録したPublic IP(セカンダリサブネット）を入力してください。
  

HCXのセットアップ後の作業

HCX-Cloudのデプロイ作業は割愛しますが、初期セットアップ時のネットワークプロファイルでHCXのUplink NetworkにPublic IPの設定が必要となります。

• Network ProfileのPool定義画面
  

• Compute Profile定義画面
  

• HCX-SegmentのRouteTable確認
  EVS新規デプロイ後にHCXのセグメントのDefault RouteがNAT-GWに向いています。
  このままでは、通信が正常にできないため、Internet-GWに向ける必要があります。
  

• Service Meshデプロイ後
  Service Meshデプロイ後ですが、Serviceがグリーンになりません。
  初回に1度だけ必要な作業ですが、HCXのSubnetのIPですが、あくまでPrivateセグメントに設定されているPublic IPとなります。他のEC2と同様、Public IP = Private IPの紐付けを実施する必要があります。

• あらかじめPublic IPを1つずつ切り出して置く必要があります。
  

• 切り出したIPはこのようにみえます（Ownerタグで制限）
  

• EVSのマネージメントコンソールのVLANの画面のAssociate EIP to public VLANで1:1のマッピングを実施します。
  

• 設定完了後HCXが正常に動作しました。
  

忘れやすいためメモを記載します（数回デプロイしてる私も漏れてました）

• HCXセグメントのルートテーブルをDefaultをInternet-GWに向ける
• Public IPのマッピングを忘れない
• RouteServer EndpointのAS番号とEdgeのAS番号を確認する

まとめ

Amazon EVSでHCXをインターネット経由で利用する場合のナレッジをまとめました。
なお、Internet経由のHCXとDirect Connect経由のHCXは混在可能ですのでご安心ください。（Uplink SubnetをManagement Subnetなど別のサブネットを利用すれば問題ありません）
最後までご覧頂きありがとうございました。

• おまけL2延伸の先のWindowsからGatewayにPING（132ms)
  オレゴンと神戸をHCXのL2延伸で結んだ結果です。さすがにシンガポールより遠い（シンガポールは85msぐらい）