VMware Cloud on AWSとオンプレミスを接続するための選択肢(2) NSX L2 VPN編詳説VMware Cloud on AWS(6)(2/2 ページ)

» 2019年11月07日 05時00分 公開
[大久光崇ヴイエムウェア株式会社]
前のページへ 1|2       

L2延伸ゲートウェイに関する注意点

 L2ネットワークを延伸しているネットワークのゲートウェイは、必ずオンプレミス側となることに注意が必要である。ゲートウェイを越える通信は、VMware Cloud on AWS側の仮想マシン間の通信であっても、オンプレミス側のゲートウェイを通過する。セグメントAの仮想マシンaからセグメントBの仮想マシンbへ通信を行う場合、「VMware Cloud on AWS側の仮想マシンa => オンプレミスのゲートウェイ => VMware Cloud on AWS側の仮想マシンb」と、通信がトロンボーンのように回り込んだ経路をたどる。これにより、遅延が大きくなることと、AWSのEgress(外部向け)データ転送課金対象となることに注意したい。

 Egressのデータ転送課金を含め、どの程度仮想マシン間でデータ転送を行っているかを把握しているケースはそう多くない。VMwareはこれを把握するためのツールとして、「vRealize Network Insight」とそのSaaS版である「Network Insight」を提供している。

 また、L2ネットワークをオンプレミス側からVMware Cloud on AWS側に完全に移行させる場合、ゲートウェイと経路情報の扱いに気を付ける必要がある。仮想マシンを全てVMware Cloud on AWSに移行させた後に、そのL2ネットワークのゲートウェイIPアドレスをVMware Cloud on AWS側に移行させる。つまり、VMware Cloud on AWS側からオンプレミス側へBGPで移行したL2ネットワークの経路情報が伝わることになる。経路情報がオンプレミス側に行き渡るまで数分間かかるため、仮想マシン自体はvMotionによって無停止で移行できたとしても、ネットワークの完全移行、すなわちゲートウェイIPアドレスの移行を行う最後のタイミングで、そのネットワークにある仮想マシンへ疎通できなくなる時間帯が発生することに注意されたい。

 以上は、L2ネットワーク移行の課題ではあるものの、L2ネットワーク延伸がなければ移行には多大な労力が必要となる。いかなるタイミングにおいても停止時間を捻出できない場合、仮想マシンのIPアドレスは変更されることになるものの、DBレプリケーションやグローバルロードバランサーなどを駆使して、個別にアプリケーション移行を行うことになる。

その他の注意点

L2 VPNのセッション数

 VMware Cloud on AWSのSDDCでサポートされるL2 VPNのセッションは、1つのみとなる。つまり、VMware Cloud on AWSのSDDC当たり1拠点のみとL2ネットワーク延伸が可能である。このNSX L2 VPNセッション上に、複数のL2ネットワーク延伸が実現される。延伸できるネットワーク数の上限は100となっている。

 NSX-TのNSX L2 VPNと上限は異なることに注意したい。これはVMware Cloud on AWS側のNSX Edgeのサイズやその他の要素を総合的に検討した結果の上限値となる。

対応するNSX Edge のNSXバージョン

 ここまでの説明では、NSX Standalone Edgeアプライアンスを用いたNSX L2 VPNを説明した。NSX-vやNSX-Tで管理されるEdgeアプライアンスのNSX L2 VPNの対応状況は複雑なため、ここで整理したい。

 NSX-vで管理されるNSX EdgeアプライアンスからVMware Cloud on AWSにNSX L2 VPNを確立するには、NSX-v 6.4.2以降とAPIでの設定が必要となる。NSX-vは、以前よりHTTPS上のL2 VPNのみをサポートしていたが、6.4.2より性能向上とNSX-Tとの互換性のため、IPsec上のL2 VPNが追加で実装された。VMware Cloud on AWSのSDDCは現在NSX-Tベースであるため、IPsecを用いたL2 VPNが必要なのだが、これを設定するUIは実装されておらず、APIでの設定が必要である。

 NSX-Tで管理されるNSX Edgeアプライアンスは、現在検証中のため、しばらくお待ちいただきたい。

オンプレミス側のNSX Standalone EdgeアプライアンスはNSXライセンス不要

 NSX Standalone Edgeアプライアンスにはライセンスは不要である。このNSX L2 VPNは、IPsec上に実装されているものの、本質的にはクライアント/サーバモデルで実装されており、NSX Standalone Edgeはクライアントに過ぎない。サーバ機能が稼働しているVMware Cloud on AWS側には、すでにNSX-Tが含まれているため、オンプレミス側のライセンスおよび動作について心配する必要はない。

 以上、今回はVMware NSXによるレイヤー2 (L2)VPNについて説明した。次回(第7回)はレイヤー3 VPNと接続の応用例、NAT(Network Address Translation)について説明する。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。