最後なので、VMware SD-WANについて書いてみる その1

-

VMware SD-WAN

はじめに

今まで数年間携わってきたVMware SD-WANから離れることになりました。
月日と共に知識や記憶は風化していき、VMware SD-WANのことを忘れてしまうと思いますので、ここに備忘録として残しておきたいと思います。というか、忘れないと新しいこと覚えられない、、。※SD-WANのVCP取りたいので、そのときのための振り返り用、、

VMware SD-WANとは?

VMware が2017年にVeloCloudというSD-WANベンダーを買収したSD-WAN製品です。
ガートナーのSD-WANマジッククアドラントではリーダーポジションの常連です。

VMware SD-WANの基本要素

VMware SD-WANの基本要素について、以下の順でご紹介します。
  • VMware SD-WANを構成する3要素
  • VMware SD-WAN3つのユーザー
  • VMware SD-WAN Edgeを利用するには
  • VMware SD-WAN Edgeのソフトウェアバージョン
  • VMware SD-WAN Edgeのインターフェイス
  • VMware SD-WAN EdgeとGatewayとの4つの接続種類
  • VMware SD-WAN Edgeが利用するトンネルVCMPとDMPO
  • VMware SD-WANのルーティング
  • VMware SD-WANのVPN

VMware SD-WANを構成する3要素

VMware SD-WANは、以下の要素で構成されます。

  • VMware SD-WAN Orchestrator
  • VMware SD-WAN Gateway
  • VMware SD-WAN Edge

VMware SD-WAN Orchestratorは、カスタマーにVMware SD-WAN Edgeなどコンポーネントを集中管理するためのUIを提供します。VMware SD-WAN Gatewayは、Edgeの①コントローラーおよび②トラフィックのゲートウェイを兼務します。Gatewayは、世界中に展開されており、Gatewayプールという単位でカスタマーに割り当てられます。VMware SD-WAN Edgeは、拠点やクラウドに展開するネットワークノードです。物理と仮想の2種類が提供されています。

VMware SD-WAN3つのユーザー

VMware SD-WANのドキュメントを理解する上で3つのユーザーを知っておく必要があります。

  • オペレーター
  • パートナー
  • カスタマー

VMware SD-WANには、①VMwareがサービスを提供するものと②ISPなどキャリアがサービス提供するものがあります。VMwareがサービス提供するVMware SD-WANで顧客(ユーザー)が操作できるのは、「カスタマー」のみです。ドキュメントには、オペレーターやパートナーでしか操作できない設定も含まれているケースがあるため、注意が必要です。ドキュメントには記載があるが、設定できないような項目がある場合は、オペレーターやパートナー権限で有効にしないとカスタマーでは操作できない場合があります。

例:

  • カスタマーがEdgeのソフトウェアを自由に変更したい

VMware SD-WAN Edgeを利用するには

VMware SD-WAN Edgeを利用するにはアクティベートが必要です。操作としては以下となります。
  • OrchestratorでEdgeを新規設定
    • Edgeで利用するアクティベートキーとURLを発行
  • 現地でEdgeを結線、起動
  • LAN側にクライアントデバイスを接続
  • Orchestratorで作成したアクティベートURLをクリック
    • またはアクティベートキーとパラメーターでアクティベート

アクティベートするとVMware SD-WAN EdgeからVMware SD-WAN Gatewayに対してVCMP(UDP2426)を利用したトンネルを構築します。このトンネルは常時、最低正副2つのGatewayと構築されたままとなります。VMware SD-WAN Edgeのソフトウェアバージョンは、アクティベート時に自動調整されます。そのため、事前にソフトウェアバージョンを合わせる必要はありません。

VMware SD-WAN Edgeのソフトウェアバージョン

VMware SD-WANはクラウドサービスです。新しいバージョンが出るたびに新しい機能が搭載されています。利用するときは、最新のバージョンのリリース情報を確認することをおすすめします。また、EdgeとOrchestratorのバージョンが一致しない場合があります。その場合、OrchestratorのUIで機能を使用できるように見えても、実際はEdgeのバージョンが古く対応していないため動かない場合があります。カスタマーテナントを提供された時点では、カスタマー自ら任意のソフトウェアバージョンを設定できないようになっているはずです。VMwareにSRを送付するか、1次代理店に依頼するとカスタマーが任意のソフトウェアバージョンを設定できるようになります。設定が反映されるとOrchestratorのメニューに表示されるようになります。ソフトウェアの変更は、クラウドからEdgeへ適用され、インストール後再起動されます。利用したいソフトウェアバージョンが一覧に表示されない場合は、VMwareへSRを送付します。

VMware SD-WAN Edgeのインターフェイス

機種によりますが、EdgeのWANインターフェイスはルーティングまたはスイッチのいずれかを選択します。スイッチの場合、VLANを設定します。スイッチの場合、動的ルーティングプロトコルが利用できない、トラフィックスループットに制限があるなど注意事項があるため、用途によっては注意が必要です。

VMware SD-WAN EdgeとGatewayとの4つの接続種類

VMware SD-WANとGatewayとの間には、Edgeの設置状況によって以下4つの役割を持つGatewayと接続します。
  • プライマリー
  • セカンダリー
  • スーパーゲートウェイ
  • 代替スーパーゲートウェイ
プライマリー、セカンダリーは、Edgeとコントローラーとの接続です。必ず構成される接続でEdgeの最寄りのGatewayが2つ選出されます。Gatewayの割り当ては、グローバルIPアドレスによるGeoロケーション判定または、Edgeに設定する住所が利用されます。スーパーゲートウェイ、代替スーパーゲートウェイは、VPN接続時におけるラストリゾート(最終手段)となるゲートウェイです。VMware SD-WAN Edgeは、ロケーションにより最寄りのGatewayが割り当てられるため、Edgeの設置場所によっては、1つも同じゲートウェイに接続しない場合があります。それを解消するのがスーパーゲートウェイです。スーパーゲートウェイ、代替スーパーゲートウェイは、プライマリー、セカンダリーと兼務することもあります。

Gatewayの4つの役割ではありませんが、VMware SD-WANの拠点間VPNにおいて、Ciscoなど他メーカーの製品とIPsecでGatewayと接続する場合は、状況により上記Gatewayに追加してEdgeとトンネルが構築されます。
例:
 Edgeは、GatewayA、B、C、Dと4本トンネルを張っている
 IPsec VPNで接続するGateway Eを利用する → 5本目のトンネルを張る 

Edgeが利用可能なトンネルの本数は、筐体により異なります。トンネルのカウントは、Gateway およびEdgeとのトンネル共にカウントされます。

VMware SD-WAN Edgeが利用するトンネルVCMPとDMPO

VMware SD-WANでは、DMPOという単語がよく登場します。

VCMPは、VeloCloud Multipath Protocol の略称です。VMware SD-WANのトンネルで利用される独自プロトコルです。UDP2426を使用します。

DMPOは、Dynamic Multipath Optimizationの略称です。VCMPトンネルを経由する通信にトラフィック補正やQoS、複数WANを束ねるアグリゲーション機能を提供します。

VMware SD-WANのルーティング

VMware SD-WANでは、以下5つのルーティングを使用します。

  • VCRP
  • コネクテッド
  • スタティック
  • BGP
  • OSPF

VCMPを利用するトンネルでは、VCRP(VeloCloud Routing Protocol)を利用した独自ルーティングプロトコルを使用します。スタティック、BGP、OSPFなどのルーティング情報をVMware SD-WAN全体のルーティングを管理するオーバーレイフロー制御(Overlay Flow Control)に広報する/しないをチェックボックスやフィルタを設定して制御します。

オーバーレイフロー制御(Overlay Flow Control)とは?

VMware SD-WAN全体のルーティングを集中管理して、VPNでつながるEdgeを1台のルーターのように扱うものです。VMware SD-WANのVPNにおいて、対象サブネットへのVPN出口をどのEdgeにするか指定します。

VMware SD-WANのVPN

VMware SD-WANのVPNで使用するプロトコル

VMware SD-WANのVPNは、以下のプロトコルを使用します。

  • VCMP
  • IPsec
  • GRE
VCMPは、VMware SD-WANやGatewayとのトンネルで使用します。IPsecは、EdgeやGatewayから他社製品の機器やクラウドサービスへトンネルを構築するときに使用します。GREは少し特殊です。Zscalerなどクラウドセキュリティサービスとの接続でGREトンネルを使用できます。

VMware SD-WANの拠点間VPN

VPNのトポロジ

VMware SD-WANの拠点間VPNは、ハブ&スポーク構成になります。

必ずVPNの「ハブ」となる対象が必要です。「ハブ」になれるのは、任意のEdge、またはGatewayです。「ハブ」間の接続は、ソフトウェアバージョン5.2以降で搭載されていますが、アーリーリリースレベルのため、この記事作成時点では、使用はしないほうが良いかと思います。ゲートウェイをハブとする場合、Premiumライセンスが必要です。

一時的な部分メッシュは可能ですが、フルメッシュ構成はできません。

拠点間VPNの種類

以下の4つあります。
  • ブランチから SD-WAN Hub
  • ブランチ間 VPN
  • ブランチから Edge 経由の Non SD-WAN Destination
  • ブランチから Gateway 経由の Non SD-WAN Destination
  • ブランチから SD-WAN Hub
    • 拠点間VPNで使用するハブを指定します。
  • ブランチ間 VPN
    • ハブ経由の拠点間通信を設定します。
    • 対象通信が生じた場合のみハブを経由せず拠点間で直接トンネルを張ることもできます。
  • ブランチから Edge 経由の Non SD-WAN Destination
    • ブランチEdgeからAWSなど他社製品・サービスとのIPsec VPNで利用します。
  • ブランチから Gateway 経由の Non SD-WAN Destination
    • ブランチEdgeとGatewayはVCMPトンネルを利用してGatewayからAWSなど他社製品・サービスとのIPsec VPNで利用します。
Non SD-WAN Destinationで他社製品・サービスとのIPsec VPNを構築する場合は、VMware SD-WANでは、一般的なクラウドサービスのVPNと同じように細かいパラメーターの調整ができないため、接続先側でパラメーターを合わせる必要があります。

今回はこのへんで。。その2へ続く、、。

コメント

コメントを投稿

このブログの人気の投稿

ProxmoxでLet's Encryptを使用した証明書セットアップをやってみた

-
イメージ
■はじめに Proxmoxはデフォルトで自己証明書を使用しています。 このため、管理コンソールにアクセスすると「接続がプライベートではありません」といった画面が表示されます。 これの対処方法の一つとして、Let's Encryptを使用して簡単に証明書がセットアップできるとのことで、実際にやってみた内容を紹介したいと思います。 ■前提 ・自宅のProxmox環境(シングル構成)で実施 ・証明書取得時に使うのはDNS-01チャレンジ   HTTP-01チャレンジはWebサーバーを公開する必要があるためパス ・ハードル低めの(APIが使える)DNS Providerからドメインを取得して使用   下記の中からCloudflareをDNS Providerとして選択     How to use DNS API wiki ■手順概要 Cloudflareのアカウント作成~証明書反映まで、ということで実施内容としては下記となりました。 ===== 1.Cloudflare アカウントの作成 2.Cloudflare ドメイン取得 3.Cloudflare アカウント APIトークンの作成   - ゾーン DNS を編集する権限を持つAPIトークンを作成 4.Cloudflare アカウント IDの取得   - ProxmoxのChallengeプラグインに投入するパラメータの取得 5.Proxmox ACME アカウントの追加   - 連絡先登録と利用規約への同意 6.Proxmox Challengeプラグインの追加   - Cloudflareのパラメータを投入 7.Proxmox ACME ドメインの追加   - 取得したいドメイン(FQDN)を設定 8.Proxmox 証明書の取得   - 証明書取得処理を手動開始 ===== ■実施手順 1.Cloudflare アカウントの作成 Cloudflareのサイトにアクセスして画面右上の「ログイン」をクリックします。  https://www.cloudflare.com/ja-jp/ ログイン画面に遷移するので、下部にある「サインインアップ」をクリックします。 登録するメールアドレスとパスワードを入力、ロボットでないこと確認にチェックを入れて「サインアップ」をクリックします。 アカウントが作成されます。 登録...
続きを読む

AIと共に「考える」エンジニアに!

-
イメージ
 ― ChatGPT時代に問われる「問いの力」と文章力 ― はじめに ChatGPTをはじめとする 生成AI が普及しはじめてから、もう2年近くが経ちました。   リリース当初は「すごい技術だな」と遠目から眺めている空気でしたが、今では多くの人がAIに触れる機会を持つようになりました。    我々 ITエンジニアとして 、アプローチはどうすべきか?何が必要か?について考えてみます。 AI利用の現状 まだAIを使い始めたばかりだったり、上手く使えてない人は、「このエラーを解決して」「この機能を実装して」と 指示を出すだけ になっているようです。   あるいは、「〇〇とは?」を丸ごとAIに聞いて解説してもらうケースも見られます。 便利ですが、それだと Google検索 と同じレベルに留まっていると感じます。 AIの本当の価値 私は、AIは 単なるコード生成ツールでも、Googleの上位互換でもない と考えています。   むしろ、使い方を間違えると取り残されていく可能性があります。  AIが本当に得意なのは、与えた問いに沿って 思考の幅を広げ、情報を整理すること です。   つまり、AIを活かすには、 問いを設計する力 が不可欠なのです。 問いを設計する力はAI以前からのビジネススキル 実は、問いを設計する力は、AIが登場する以前から、私たちエンジニアが日常的に使ってきたスキルです。   例えば、プロジェクトの課題を整理したり、仕様の確認事項を明確化したり、メールでの問い合わせの内容を意図通りに伝えたりなど... いずれも、 相手や状況に応じて適切に問いを設計する力 がベースになっていました。   AIは文章やアイデアを生成してくれますが、 何を考えるべきかは教えてくれません 。だからこそ、この問いを設計する力がAI時代でも重要になるのです。 コンテキストエンジニアリング さらに最近は、単なるプロンプトの工夫(プロンプトエンジニアリング)だけでなく、文脈や前提を整理して問いを設計する「 コンテキストエンジニアリング 」が注目されています。   コンテキストエンジニアリングとは、単に「良いプロンプト...
続きを読む

ルーティングって何で必要で、何してるの?を React Routerで理解する

-
イメージ
はじめに フロントエンド開発が、正直苦手でした。 でも今回のプロジェクトでReactを触ることになり、「せっかくなら苦手意識を克服したい」と一念発起。 開発は終わりましたが、学習は継続しています。 Reactには多くの要素がありますが、今回はルーティングに絞ります。 バージョンの違いで書き方が変わり対応に戸惑ったこともあり、基本から振り返りつつ理解していった流れを記事にしたいと思います。 そもそもルーティングって何のために必要なの? まず基礎の基礎になりますが、URL、ブラウザ、SPAの観点から振り返ります。 URLとは? Uniform Resource Locator(統一資源位置指定子)の略語で、要するに「 インターネット上のモノの住所 」です。 https://example.com/products.html このようなURLの場合、ブラウザは、 URLを見る→( products.html というファイルが欲しいのだと解釈) サーバーにリクエストを送る HTMLファイル( products.html )をダウンロードして表示する つまり、URLは「どのファイルを取得するか」を指定する住所のようなものです。 ブラウザはURLで何をしているのか? ブラウザにとってURLは「ページの識別子」です。 ブラウザは、URLをキーにして、いろんな機能を実現しています。      1. 履歴管理           URLが変わるたびに履歴に記録           「戻る」ボタンを押すと、履歴から1つ前のURLを取り出して、そのページに戻る           「進む」ボタンも同じ仕組み      2. ブックマーク           URLを保存することで、「このページ」を記憶           後でそのURLを開けば、同じページが表示される       3. URL共有...
続きを読む