クラウドインテグレーション部 柿﨑です。
VMware Cloud on AWS(以下、VMC on AWS)にて、VMware Transit Connectを利用する機会がございましたので、備忘録的に内容を書き留めます。
2022/01/26追記
2021年12月のアップデートにて、VTGWとTGWが接続できるようになりました。
よって、本記事の構成のようにVTGWとTGWを分けて運用する必要がなくなりました。
詳細は以下のリンク先をご確認くださいませ。
VMware Transit Connect Intra-Region Peering with AWS Transit Gateway - Cloud Blog – VMware
はじめに
本記事は以下のサービスに関する知識がある前提で記載します。
- AWS
- Transit Gateway(および関連サービス)
- Direct Connect(および関連サービス)
- VMC on AWS
- VMware Transit Connect
VMware Transit ConnectはSoftware-defined data center(以下、SDDC)に関する通信を簡略化するサービスの名称であり、そのコンポーネントの1つにVMware Managed AWS Transit Gateway(以下、VTGW)と呼ばれるものがございます。
VTGWはTransit Gateway(以下、TGW)のVMC on AWS版といって差し支えありません。
本記事ではVTGWの構築手順の説明はしないため、気になる方は以下の公式ドキュメントをご参照ください。
VMware Transit Connect™ を使用した SDDC 展開グループの作成と管理
構成例
今回はAWS側でDirect ConnectやTransit Gatewayの設定がすでに完了している状態からVTGWのコンポーネントを追加しています。
以下の図がTGWおよびVTGWの構成例となり、上記を踏まえてVTGWの追加時に意識するポイントを記していきます。
ポイント1
- DXGWの許可されたプレフィックスは、TGWとVTGWとでネットワークレンジの重複は不可
先にTGWの接続が完了している場合にネットワークレンジが広く設定されている場合などもございます。
DXGWとVTGWを接続する前にネットワークレンジの重複がないかご確認ください。
尚、VTGWの許可されたプレフィックスは、VMCコンソール側で設定します。
2021/06/11追記
VTGWの許可されたプレフィックスは、初期設定時はVMCコンソール側で実施しますが、プレフィックスの追加、削除などの変更作業はAWSコンソール側でも実施できることを確認いたしました。
ポイント2
- VTGW Attachmentの作成先はTGW Attachmentと同一サブネットでもよい
VTGWはVMC側から対象のAWSアカウントに対してAWS RAMでリソースを共有し、TGWと同じようにAttachmentを作成して利用します。
このときVTGW Attachmentの配置先については、Transit Gateway専用のサブネットがあればそちらを共有するかたちで問題ありません。
VPCのルーティング設定については、図の通りにTGW用ルート、VTGW用ルートを明示的に設定することで各通信がルーティング可能となります。
ひとつルーティングで注意が必要な点として、VPCからオンプレミス向け通信はTGWを経由することは押さえておく必要がございます。
VTGWとDXGWの接続は、あくまでSDDC~オンプレミス間の通信に対して利用されます。
図の例ではワークロード用サブネットに配置しているリソースがEC2となっていますが、ここをClient VPNにするとClient VPN経由でvCenterへアクセスできたりもします。
ポイント3
- VMCコンソール側で接続先VPCおよびオンプレミスとの通信を許可する
これはVMC on AWSに慣れていれば当たり前かもしれないですが、触る機会が少ないと忘れがちです。
SDDCのネットワークは管理ネットワーク、コンピューティングネットワークと大きく2つのネットワークがございます。
管理ネットワークにはManagement Gateway(MGW)、コンピュートネットワークにはCompute Gateway(CGW)があり、それぞれのゲートウェイ型ファイアウォールで通信許可設定を入れてあげてください。
さいごに
VMware Transit Connectに関する事例はまだ少ないと思われるため、今後も何か情報がございましたら記事にする予定です。
