VMware Cloud on AWSとネイティブAWSサービスの連携（1） AWSサービスによる違いと接続経路：連載：詳説VMware Cloud on AWS（8）（3/3 ページ）

[大久光崇，ヴイエムウェア株式会社]

接続経路とファイアウォールの適用

　VMware Cloud on AWSのファイアウォールの設定は、SDDC内とAWSでそれぞれ異なるので整理して考える必要がある。前節の分類に従って、それぞれのケースでのファイアウォールの設定箇所を整理する。

• グローバルまたはリージョンで提供されるAWSサービス
• Connected VPCで提供されるサービス
• VMware Cloud on AWS と関係しないVPCで提供されるサービス

グローバルまたはリージョンで提供されるAWSサービス

　SDDC内からの通信は、CGWを通過するとファイアウォールの設定はない。SDDC内の仮想マシンからは以下の順番でファイアウォールを通過していく。

1. SDDC内のゲストOSのファイアウォール
2. SDDC内の分散ファイアウォール
3. SDDC内のCGWのファイアウォール

グローバル／リージョンのAWSサービス利用におけるファイアウォール適用

　なお、ユーザーインタフェース（UI）でCGWに設定したファイアウォールルールは、実際にはTier-0ゲートウェイに設定されることに注意されたい。

Connected VPCで提供されるサービス

　SDDC内からの通信は、Tier-0ゲートウェイからENIを経由してConnected VPCへ行われる。経路上のファイアウォールはVMware Cloud on AWSとAWSにまたがって実装される。SDDC内の仮想マシンからTier-0ゲートウェイまではVMware Cloud on AWSのUIで管理され、ENIからAWSサービスまではAWSマネージメントコンソールで管理される。この場合、AWSサービスにたどり着くまでに、以下のようにファイアウォールを通過していく。

1. SDDC内のゲストOSのファイアウォール
2. SDDC内の分散ファイアウォール
3. SDDC内のCGWのファイアウォール
4. Connected VPC内のENIのセキュリティグループまたはネットワークアクセスコントロール（NACL）
5. Connected VPC内のサービスエンドポイントのセキュリティグループまたはNACL
6. （EC2の場合：Connected VPC内のゲストOSのファイアウォール）

Connected VPC利用におけるファイアウォール適用

VMware Cloud on AWSと関係しないVPCで提供されるサービス

　SDDCのTier-0ゲートウェイからVPCへVPNで接続する場合、あるいは、SDDCのTier-0ゲートウェイからTGWを経由してVPCに接続する場合、AWSサービスにたどり着くまでに、以下のようにファイアウォールを通過していく。

1. SDDC内のゲストOSのファイアウォール
2. SDDC内の分散ファイアウォール
3. SDDC内のCGWの仮想トンネルインタフェース（VTI）向けファイアウォール
4. （TGW ENI接続の場合：ENIのセキュリティグループまたはNACL）
5. Connected VPC内のサービスエンドポイントのセキュリティグループまたはNACL
6. （EC2の場合：Connect VPC内のゲストOSのファイアウォール）

VMware Cloud on AWSと無関係なVPCとの接続におけるファイアウォール適用

　今回は、VMware Cloud on AWSからネイティブのAWSサービスへの連携における複数の形態、接続経路、ファイアウォールの設定箇所についての概要を紹介した。次回は「VMware Cloud on AWSとネイティブAWSサービスの連携」の後編として、Elastic Network InterfaceによるConnected VPCとの接続、VMware Cloud on AWSとネイティブAWSサービスの連携例について説明する。

筆者紹介

大久 光崇（おおひさ みつたか）

ヴイエムウェア株式会社 ストラテジックアライアンス本部 スタッフテクニカルアライアンスマネージャー。外資ハードウェアベンダーでインフラ構築に従事した後、2010年にヴイエムウェア株式会社へ転職。コンサルタント、製品スペシャリストを経て現職。現在は、OEM パートナーへの技術支援と新規サービスの立ち上げに従事。