SD-WAN を用いたマルチクラウド接続(AWS編)
最近では自社のオンプレミス環境(Data Center)以外にも複数のクラウドを活用しているユーザーがどんどん増えて来ているかと思います。
クラウドも AWS, Azure, GCP や VMware の仮想化技術(NSX, vSAN, vSphere)を用いてサービス提供をしているVMware Cloud on AWS、Azure VMware Solution、Google Cloud VMware Engine、Oracle Cloud VMware Solution、と様々なクラウドが提供されています。
大規模な環境においては、今までは上記のクラウドとの接続には専用線を用いることが多いかと思いますが、SD-WAN を用いることによって、専用線や専用ハードウェアを使わずに即座にクラウドに接続することが出来ます。
背景、概要については、こちらもご参考下さい。
今回は下記のようなトポロジーで Equinix の Network Edge というプラットフォーム上に VMware SD-WAN Edge をデプロイし、AWS と接続する設定、手順について記載します。
Virtual VeloCloud Edge を Equinix Network Edge 上に作成
# 基本的にはこちらのマニュアル通りに設定いただければ問題ないはずです。
https://docs.equinix.com/ja/Content/Interconnection/NE/user-guide/NE-create-VMware-Edge-Instance.htm
VMware SD-WAN Orchestrator から Virtual Edge を作成
VMware SD-WAN Orchestrator(以下VCO)にログインし、New Edge から作成します。
GE1 の WAN Overlay と NAT Direct Traffic のチェックを外します。
※ GE1 は Equinix との Management 用で、特に WAN Overlay のチェックを外しておかないと、Equinix Portal からデプロイが正常に認識されません。
GE2 でも NAT Direct Traffic のチェックを外しておきます。(必須ではないです。)
アクティベーションキーの情報を控えておきます。(Equinix Portal からのデプロイ時に必要になります。)
VMware SD-WAN 側はこれだけで最低限の準備は完了となります。
Equinix Fabric で VMware SD-WAN Edge を作成
Equinix Fabric Portalへログインし、Network Edge タブから 仮想デバイスの作成 を選択します。
今回は Single Virtual Device を選択し、
VMware SD-WAN Edge Instance を選択します。
内容をザラッと確認し、Create SD-WAN Devices を押して進めます。
Virtual VeloCloud Edge をデプロイしたいリージョンを選びます。(Tokyo が2021年5月にローンチされています)
サイズやバージョンなどを選択し、Device Name(任意)、先に控えておいた Activation Key を貼り付け、VCOのFQDNを入力します。
(Equinix Portal には VCOとバージョンが同じでないといけない、という記載がありますが、ずれていても問題ありません。デプロイ時にバージョンを上げてくれます)
Interface数は現時点では8個で固定です。(クラウド向けInterface数は5個となります。数も増やせないので注意が必要です。)
VeloCloud Edge に対しての Inbound Rule を設定する必要がありますが、VeloCloud自身のセキュリティが強固なので、permit anyで問題ないです。(permit any でも外部からのアクセスは一切不可です)
また、もし会社のセキュリティポリシーなどで設定が必要な場合には、UDP2426 だけ空けておけばOKです。
Internet側向けの Bandwidthを設定します。15Mbpsまでは無料。(リージョンによって選択できる数値は変わるようです。)
最後に Create Device を押せば、自動でプロビジョニングが完了します。
以下は VMware SD-WAN Orchestrator の画面です。
VeloCloud Edge は自動でWAN回線のbandwidth (packet-loss, latency, jitterも)も計測してくれます。今回は上り 5.14Gbps,下り 1.28Gbps の帯域があることが分かります。
AWS との接続準備
まず、AWS の Account ID を確認しておく必要があります。(Equinix Portal で Virtual Circuit を作成する際に必要となります)
Equinix Fabric Portal から先程作成した Virtual VeloCloud Edge を選択し、接続の作成(Create Connection)を選択します
今回は AWS との接続なので、AWS を選択します。
※ VMware Cloud on AWS の場合も同様です。
AWS Direct Connect を選択し、利用可能な拠点に Tokyo があることを確認しておきます。
接続元に先程作成した Virtual VeloCloud Edge を選択し、接続先はAWSのAPAC内のTokyoを選択します。(レイテンシーが参考として載っていますが、Tokyoは1msと超低レイテンシーです)
ここで AWS Account ID を入力し、VeloCloud Edge と AWS 間の Virtual Circuit の帯域を選択します。
内容に問題がなければ オーダーを送信 を押せば、Virtual Circuit が AWS Tokyo リージョンまで接続されに行きます。(この時点では AWS Direct Connect とはまだつながっていません。)
AWS 側の設定作業
次にAWS側と接続するために、AWS Portal にログインし、Virtual Private Gateway を作成します。
Virtual Private Gateway を VPC にアタッチします。(VPCが作成されていない場合は、VPCの作成も必要になります)
Direct Connect Gateway も作成し、ここでAWS側のプライベートAS番号を設定します。
Gateway の関連付け(Associate gateway)を行います。
Equinixから Virtual Circuit のオーダーが送出されていると、State が ordering となっています。Accept を選択すると、Equinix上の Virtual VeloCloud Edge から AWS DirectConnect までのL2接続が完了します。(IP接続やBGP接続はまだです)
Direct Connect に Virtual Interface を作成します。
Type は Private を選択し、必要事項を入力します。ここで VeloCloud Edge 側の BGP番号を入力します。
Vlan番号も入力を求められますが、この値は意識する必要はありません(後述のVeloCloud の設定でもこの Vlan は設定しません。)
Additional Settings を選択すると、デバイス間のIPや、BGP MD5などがマニュアルで設定できます。(入力しない場合でもデフォルト値で設定されます)
このような形で AWS 側のBGP設定が行われるので、IPアドレスや BGP authentication key を控えておきます。
この時点では BGP Peer は張られていないので、 BGP status は down となっています。
最後に Route Table の Route Propagate を有効にしておきます。
VMware SD-WAN Edge のInterface, BGP設定
VMware SD-WAN にログインし、Virtual VeloCloud Edge の Interface の設定をを行います。
どの Interaface が AWS Direct Connect 接続に使われているかは、Equinix Portal から 仮想デバイスの詳細→インタフェース から確認できます。
対象のGE4の設定を行い、
(WAN Overlay のチェックを外し、先に AWS Portal で表示された IPアドレスを static で設定します。)
BGPの設定を行えば接続完了です
確認
AWS側でもVirtual InterfaceのBGP statusがupし、
VMware SD-WAN Orchestrator 側でも BGPが上がっていることを確認できました。
私の自宅にも VeloCloud Edge が置かれており、このような構成になっているのですが、(緑色の箱アイコンが VeloCloud Edge になります)
ちゃんと Pingも飛び、iperfで負荷をかけることもできましたw
# 帯域が少ないのは、instanceサイズが小さいためとなります。
