はじめての VMware SD-WAN by VeloCloud 第4回
クロスサイド 鈴木です。
クロスサイドはVMware SD-WANの導入支援を数多く提供しています。
今回はそんなSD-WANの魅力を伝えるために、全5回でVMware SD-WANのハンズオンシナリオを紹介します。第4回では、特定の通信を直接インターネットに向けるローカルブレークアウトの手法を説明します。
ローカルブレークアウトとは
多くのエンタープライズ環境では本社機能を提供する拠点でセキュリティを担保します。具体的には、ファイアウォールやプロキシサーバが本社やデータセンターに配置される事が多いでしょう。そのため、ファイアウォールやプロキシサーバは高負荷になりがちで従業員の作業を阻害する事があります。
このような状況に対して、SD-WAN製品は一部の通信を直接インターネットへ向ける事で本社機能の負荷低減を図ります。よく見られる事例では、Office365などの悪用困難と判断される通信を直接インターネットに向けます。このような直接インターネットに向ける機能はローカルブレークアウト(VMware SD-WANでは「ダイレクト」と呼称される事もある)と呼ばれす。
以下にローカルブレークアウトのイメージ図を示します。
VMware SD-WANはこのような問題を解決するために、ビジネスポリシーと呼ばれる機能があります。ビジネスポリシーとは「どのようなパケットを」「どのように転送するか」の機能です。ビジネスポリシーは、従来のレガシールータよりも複雑な設定を直感的に操作できます。ローカルブレークアウトはビジネルポリシーの機能の1つです。
それではビジネスポリシーでどのような機能が実装できるのか体験してみましょう。
設定画面の紹介
一致条件
ビジネスポリシーは「どのようなパケットを」「どのように転送するか」の定義です。「どのようなパケットを」の設定は、一般的なファイアウォール製品と同様に、「IPアドレス」「ドメイン名(FQDN)」「プロトコル」「ポート番号」などの識別が可能です。
ただし、「ドメイン名(FQDN)」を使用する場合はファーストパケット問題に十分注意ください。ファーストパケット問題とはVMware SD-WANに限らず一般的なSD-WAN製品が抱える考慮事項です。ファーストパケット問題の考察記事は6月公開予定です。
「アプリケーション」に基づいた識別も可能です。
アクション
ビジネスポリシーは「どのようなパケットを」「どのように転送するか」の定義です。「どのように転送するか」の設定はレガシールータとは異なる柔軟な制御が可能です。
「優先度」や「レート制限」などのQoSの機能を提供します。
「ネットワークサービス」とは、どのように転送するかです。「ダイレクト」は別名ローカルブレークアウトとも呼ばれる挙動でインターネットへ直接通信する転送手法です。「マルチパス」はSD-WAN GatewayへのVCMPトンネルを経由して転送される手法です。そのほか、以下スクリーンショットではグレーアウトされていますが、zScalerやVMware SASEなどのSaaSサービスへ転送する設定も可能です。
VMware SASEのハンズオン記事は6月公開予定です。
「リンクステアリング」は、どの回線を使って転送するかの設定です。例えば、全ての回線を使って最速で転送する事もできますし、障害発生時のみ従量課金閉域網を使用する事もできます。
ビジネスポリシーのハンズオン
構成図
以下の構成でハンズオンをします。httpd server 100 (200.100.1.100)へ「マルチパス」のビジネスポリシーを定義し、httpd server 110 (200.100.1.110)へ「ダイレクト」のビジネスポリシーを定義します。
マルチパスの設定例
「設定」「Edge」「SD-WAN Edge名」の順にクリックします。今回のハンズオンシナリオではbranch2拠点のビジネスポリシーの設定例を示します。
「ビジネスポリシー」タブで「追加」をクリックします。
「ルール名」に何か分かりやすい名前を入力します。「IPバージョン」は「IPv4」とします。
以下スクリーンショットのように「一致条件」タブの「宛先」を入力し、宛先の条件を定義します。
「アクション」タブを開き、「ネットワークサービス」が初期設定の「マルチパス」である事を確認します。その後、「作成」をクリックします。
「設定の保存」をクリックします。
マルチパスの動作確認
branch2拠点の端末からhttpd server 100 (200.100.1.100)へtracerouteを実行すると、通信経路を調査する事ができます。以下tracerouteコマンドの出力を見ると、2ホップ目がSD-WAN Gateway(200.100.1.210)である事から「マルチパス(SD-WAN EdgeとSD-WAN Gatewayの間のVCMPトンネルを経由する経路)」の通信経路である事が分かります。
[root@linux020 ~]# traceroute -n -I 200.100.1.100
traceroute to 200.100.1.100 (200.100.1.100), 30 hops max, 60 byte packets
1 172.16.20.1 0.457 ms 0.463 ms 0.450 ms
2 200.100.1.210 1.700 ms 1.706 ms 1.696 ms
3 200.100.1.100 2.236 ms 2.246 ms 2.242 ms
[root@linux020 ~]#
通信経路が「マルチパス」であるか「ダイレクト」であるかは、SD-WAN Orchestratorのリモート診断機能でも確認可能です。branch2拠点の「リモート診断」画面で、「List Active Flows」の「実行」をクリックすると、どのようなビジネスポリシー名にマッチしたかをデバッグ出力する事ができます。
ダイレクトの設定例
「設定」「Edge」「SD-WAN Edge名」の順にクリックします。今回のハンズオンシナリオではbranch2拠点のビジネスポリシーの設定例を示します。
「ビジネスポリシー」タブで「追加」をクリックします。
「ルール名」に何か分かりやすい名前を入力します。「IPバージョン」は「IPv4」とします。
以下スクリーンショットのように「一致条件」タブの「宛先」を入力し、宛先の条件を定義します。
「アクション」タブを開き、「ネットワークサービス」を「ダイレクト」に変更します。その後、「作成」をクリックします。
「設定の保存」をクリックします。
NAT ダイレクト トラフィック
ビジネスポリシーでダイレクト(ローカルブレークアウト)を使用する時は、「NAT ダイレクト トラフィック」の設定に注意してください。「NAT ダイレクト トラフィック」は、ビジネスポリシーで「ダイレクト」として処理される時に送信元IPアドレスをNATするかどうかの設定です。
このハンズオンシナリオでは、SD-WAN Edgeがプライベートアドレスとグローバルアドレスの境界になりますので、WANインターフェースで「NAT ダイレクト トラフィック」が有効である事を確認してください。
ダイレクトの動作確認
branch2拠点の端末からhttpd server 110 (200.100.1.110)へtracerouteを実行すると、通信経路を調査する事ができます。以下tracerouteコマンドの出力を見ると、SD-WAN Gateway(200.100.1.210)を経由しない事から「ダイレクト(インターネットへの直接通信)」の通信経路である事が分かります。
[root@linux020 ~]# traceroute -n -I 200.100.1.110
traceroute to 200.100.1.110 (200.100.1.110), 30 hops max, 60 byte packets
1 172.16.20.1 0.794 ms 0.785 ms 0.770 ms
2 200.100.20.1 1.204 ms 1.204 ms 1.206 ms
3 200.100.1.110 1.867 ms * *
[root@linux020 ~]#
通信経路が「マルチパス」であるか「ダイレクト」であるかは、SD-WAN Orchestratorのリモート診断機能でも確認可能です。branch2拠点の「リモート診断」画面で、「List Active Flows」の「実行」をクリックすると、どのようなビジネスポリシー名にマッチしたかをデバッグ出力する事ができます。
総括
VMware SD-WAN by VeloCloudは、ビジネスポリシーという設定で「どのようなパケットを」「どのように転送するか」の定義できます。「どのように転送するか」の設定はレガシールータとは異なる柔軟な制御が可能です。
次回は、総括としてVMware SD-WANがどの程度の汎用的な要件を満たしているかを評価します。
