今年日本にローンチされた仮想ネットワークサービスNetworkEdgeを利用して、Microsoft AzureとBMaaS(Baremetal as a Service)であるEquinix Metalを接続してみました。
NetworkEdgeを利用することで、物理機器を導入することなくAzureとベアメタルサーバ環境を接続することができます。
NetworkEdge、EquinixMetalについては以下リンクを参照ください。
・NetworkEdge
・Equinix Metal
====
====
[再掲]各環境の論理設計について
ざっくりとした構成図・論理設計は以下です。
こちらに基づき構築していきます。
Equinix Metal環境の構築
Equinix Metal環境には、NWリソースのVLAN/Connectionと、VyOS/Ubuntuサーバを1台ずつ構築します。
以下のイメージで、サーバに接続されたVLANを経由して、VyOSサーバとEquinix Fabric/Network Edge間を接続します。
【VyOSサーバ(GW)】 - [VLANリソース] - [Connectionリソース] - 【Equinix Fabric/Network Edge】
Equinix Metal側環境構築については本記事の趣旨から外れるため割愛しますが、terraformを使ったデプロイが便利です。
| リソース種別 | 用途 | 備考 |
|---|---|---|
| VLAN(L2NW)#1 | Equinix Fabric接続用 | VyOSのみアタッチ |
| VLAN(L2NW)#2 | MetalサーバNW用 | VyOS/Ubuntuにアタッチ |
| Connection | Equinix Fabric接続用 | VLAN#1をアタッチ |
| Metalサーバ#1 | GWサーバ(VyOS) | サーバクラス:c3.small.x86 |
| Metalサーバ#2 | Computeサーバ(Ubuntu20.04) | サーバクラス:c3.medium.x86 |
GWサーバのVyOSには、Equinix Fabricと接続するためのIP/BGP設定を行っておきます。
Equinix Metal - Connectionリソースの作成
Equinix Fabricと接続するためのMetal側リソースである、Connectionを作成します。
Metalポータルから以下の操作でConnectionリクエストを作成してください。
リクエスト完了後、画面上にEquinix Fabric用トークン(ECX Token)が表示されます。
こちらを使ってEquinix Fabric側でVCを構成していきます。
Network Edge側でVC作成
Connectionリクエスト後に発酵されたトークンを利用して、Azureと同様にEquinix Fabric/Network Edge上でVirtual Circuit(VC/仮想回線)を構成します。
Azureで行った時と同じく、Network Edgeデバイス画面から[接続の作成]を開始します。
→ 
仮想回線名、Equinix Metalで発行したTokenを入力します。
キャプチャ画面外にありますが、回線速度も選択してください。※今回は50Mbpsで構成します。
仮想回線のレビュー画面でメールアドレスを入力し、作成を完了します。
仮想回線作成後、Equinix Metal側エンジニアの設定作業のため1-2営業日ほど待ちます。
設定完了メール到着後、再びEquinix MetalポータルよりConnectionへのVLANアタッチ操作を行います。
操作後、ConnectionのポートへVLANが割り当てられたことを確認します。
Equinix Metal側でConnectionへのVLANアタッチ後、NetworkEdge側の仮想回線設定画面へ移動し、BGP設定を入力します。
BGP状態が有効→設立となれば、BGPセッション確立となります。
以上でEquinix Metalとの接続作業は完了です。
NetworkEdgeへのFW設定追加
今回はFortigateを使用したため、Firewallポリシーの追加を行います。 ※ルーター系NFVを使用する場合は不要です。
事前にユーザーアクセス設定でユーザ追加を行った状態で、fortigateのパブリックIPへアクセスして管理画面へログインします。
今回作成した仮想回線はPort7,8,10のインターフェースで使用されているため、[cloud_zone]という名称のゾーンへ自動追加されています。
[cloud_zone]に含まれる仮想回線同士の通信を許可するよう、ファイアウォールポリシーを追加します。
今回は検証のため全通信を許可しますが、一般的なForitgate設定操作と同様のポリシー設定操作で通信制御することもできます。
通信動作確認
NetworkEdgeの確認
FortigateVMのルーティングモニターでは、Azure側NW(172.16.100.0/22)、Metal側NW(172.16.200.0/24)のルート情報がBGP広報されています。
Azureの確認
前回構築したAzure環境で、ExpressRouteサーキットのルートテーブルを確認してみます。
NetworkEdgeから、プライマリ、セカンダリともにMetal側NW(172.16.200.0/24)のルート情報がBGP広報されています。
また、ExpressRouteと接続されたVNet上のAzureVMから、Metal側Computeサーバ宛のping疎通も確認できます。
Equinix Metalの確認
Equinix Metal側では、GW役のVyOSサーバ上でBGPピア状態を確認します。
NetworkEdgeから、Azure側NW(172.16.100.0/22)のルート情報がBGP広報されています。
また、GWサーバのバックエンドに配置されたComputeサーバからも、AzureVM宛のping疎通が確認できます。
まとめ、やってみた感想
NetworkEdgeを利用して、Azureとベアメタルクラウドサービスを接続してみました。
NetworkEdgeについては、以下の点でスピーディに基盤構築できるソリューションと感じました。
- 接続プロバイダー側のラック契約/機器導入等、構築リードタイムが無い
- ユーザ側操作だけで一貫して閉域接続環境を構成できる
また、NFVで使用可能な機種は主要NWベンダー機器(仮想アプライアンス)のため、これまで培ってきたNWスキルがそのまま活かせる/学習コストを抑えられる点も助かりますね。
AzureとEquinix Metalとを接続すれば、低遅延で高品質なベアメタル環境がAzure上のサービスと連携できます。
今後も良い活用方法を探っていきたいと思います。