Close

Aruba SD-Branch、AWSとの統合を完全自動化

By Ramanan Subramanian, Senior Director of Product Management for Aruba SD-WAN and SD-Branch
Share Post

このブログは、ArubaSD-WANSD-Branch、ユーザー・エクスペリエンス・インサイト担当バイス・プレジデント兼ゼネラル・マネージャーのKishore Seshadriとの共同執筆です。

ここ数年、多くの企業がAmazon Web Services(AWS)、Microsoft Azure、Google Cloudなどのパブリック・クラウド・プラットフォームに急速に移行しています。この傾向は、新型コロナの感染拡大の影響もあり、この数ヶ月でさらに加速しています。これらのソリューションが提供する IaaS(Infrastructure-as-a-service)や PaaS(Platform-as-a-service)の機能が広く活用され始めており、多くの企業が、オンプレミスのデータセンターの作業負荷をクラウド・プロバイダーのデータセンターに完全に移行するという明確な目標を持っています。その結果、支店やリモートワーカーからのすべてのトラフィックをハブ&スポークネットワークトポロジでオンプレミスデータセンターに誘導する従来のWAN接続モデルは、より複雑な接続モデルに進化し、WANトポロジの複雑さが増しています。良いニュースは、これらのトポロジの展開や管理までもが複雑である必要はないということです。

Aruba SD-Branchのソリューションは、複数のクラウド・プロバイダーと統合されており、AWSなどのクラウド・プロバイダーへの接続が調整されたリモートの支店、在宅ワーカー、キャンパス・ロケーションでのSD-WANゲートウェイの展開を簡素化します。この記事では、Aruba SD-BranchとAWSとの統合の強化と、そのメリットについてご紹介します。また、AWSへの接続を大幅に簡素化するAWS Transit Gatewayとの統合についても触れます。

Arubaバーチャル・ゲートウェイの完全自動化

顧客がSD-WANを導入してオンプレミスのデータセンターに接続する場合、通常はヘッドエンド(ハブ)ゲートウェイを導入します。このゲートウェイは通常、データセンターのDMZ(境界ファイアウォールの内側)に配置され、DMZ内のセキュリティサービスゾーンを介してSD-WANセキュアファブリックをデータセンターに拡張します。SD-WANファブリックを通じたすべてのルーティングはAruba SD-WAN Orchestratorによって自動化され、ヘッドエンド・ゲートウェイはBGPまたはOSPFを使用してデータセンターのコア・スイッチやルーターとルートを交換します。同様の展開モデルは、AWS Virtual Private Cloud(VPC)を使用したクラウド・データセンター環境で実現されます。

物理的なヘッドエンド・ゲートウェイの代わりに、通常「エッジVPC」と呼ばれる場所にAruba Virtual Gateway(vGW*)が配置されます。これは仮想環境であるため、vGWを展開するためには、次のような多くの構成を行う必要があります。つまり、

  • 正しい環境でvGWをスピンアップする
  • 複数の可用性ゾーン(AZ)にまたがって展開する
  • バーチャルネットワーク・インターフェース(ENIs)に接続する
  • AWSトランジットゲートウェイに接続する
  • ルーティングテーブルの作成および修正
  • SD-WANファブリックに接続し、オンプレミスサイトからアプリケーションにアクセスできることを確認

AWSネットワークに精通しているエンジニアが、マニュアルの手順に従ってこれらの変更を行います。ただし、この手順は煩雑でエラーが発生しやすい傾向があります。Arubaは、Aruba CentralからのAruba vGWの配置を調整し、Aruba vGWの配置を完全に自動化することで、このプロセス全体を簡素化します。ユーザーは、基本的に次の4つの情報を提供します。

  • ユーザーのAWSアイデンティティアクセス管理(IAM)の認証情報
  • vGWを配置するVPC
  • vGW(スループット単位で500Mbs~4Gbps)のサイズを選択します
  • 可用性ゾーン(AZs)全体に高可用性で配置することを望むかどうか

...これで完了です。

以下の手順は完全に自動化されています。

  • 顧客の仮想プライベートクラウド(VPC)とAWSトランジットゲートウェイは自動検出されます
  • Aruba vGWインスタンスは自動的にスピンアップされ、制御および管理プレーン機能用にAruba Centralに接続されます
  • ユーザー設定に基づき、Aruba vGWは、高可用性と可用性ゾーン全体に自動的に展開できます
  • Aruba vGWは、AWS Internet Gateway(IGW)とAWS VPN Gateway(VGW)を通じてSD-WANファブリックに接続
  • ルーティングテーブルは、共有する必要のあるサブネットおよびフェイルオーバーポリシーを反映するように作成および変更されます
  • Aruba vGWインスタンスは、AWS Transit Gatewayを自動的に検出し、ピアリングします
  • 必要に応じて、監視情報をAWS Transit Gateway Network Managerと共有します

数回のクリックで起動できるこれらの手順により、オンプレミスの拠点からAWSのワークロードにシームレスに接続できます。管理者は、数分で新しいクラウドデータセンターを、Aruba SD-WANを実行しているすべての場所に接続することができます。AWS Transit Gatewayは、従来のオンプレミスデータセンターのデータセンターコアルーターと同様の方法で表示できます。AWS Transit Gatewayは、リージョン内およびリージョン間のすべてのVPCを接続するための中央ハブとして機能します。AWS Transit GatewayとAruba vGWは、Aruba Centralのトポロジー・ビューとAWS Transit Gateway Network Managerのダッシュボードで確認できます。

Figure: Aruba Virtual Gateway peered with AWS Transit Gateway

Figure 1: Aruba Virtual Gateway peered with AWS Transit Gateway

1. Aruba Virtual GatewayAWS Transit Gatewayのピアリング

オンプレミスとクラウドのデータセンターの接続を簡素化

作業負荷をオンプレミスのデータセンター、コロケーション施設とパブリッククラウド(AWS VPCs)で実行するハイブリッド環境を持つ顧客が増えいます。これらは、統合されたSD-WANファブリックに接続する必要があるハブロケーションとして扱うことができます。Aruba SD-Branchのソリューションは、MPLSおよびインターネット・トランスポートを通じてオンプレミスのデータセンター・サイトとクラウド・データセンター・サイトを接続し、ハブ・メッシュを自動的に形成する機能を提供します。Aruba SD-WAN Orchestratorを使用してハブ・ロケーション間のメッシュ接続を自動的に作成し、トランジティブ・ルーティング機能を備えたダイナミック・ルーティングを提供するAruba SD-Branchを導入することで、このネットワークを構築するための複雑な構成を行わずに済みます。トランシティブ・ルーティングにより、顧客は柔軟に展開できるようになり、レジリエンスを高めることができます。

Figure: Transitive Routing with hub mesh

2. ハブメッシュによるトランシティブ・ルーティング

所与のトポロジーでは、DCのVPNC、AWS USWestリージョンのArubavGW、およびAWSEUリージョンのArubavGWは、ArubaSD-Branchによって自動メッシュ化されます。VPNCとvGW EU間の接続に障害が発生した場合、DCからAWS EUリージョンへのトラフィックは、トランジット・ホップとして機能するvGW US-Westに自動的に再ルーティングされます。トランジティブ・ルーティングは、AWSで動作するAruba vGWを含め、ハブ・ポイントのいずれかで実行できます。

統合されたマルチリージョン接続

SD-WANメッシュを拡張して、複数のAWSリージョンにまたがる接続を行うことができます。クラウドハブポイントが特定されると、SD-WAN Orchestratorがそれらをつなぎ合わせる作業を行います。安全なオーバーレイは、パブリック回線とプライベート回線をまたいで自動的に構築され、ルートを動的に学習して、インテリジェントなルートコストと交換され、ループを回避しながら最適な接続を提供します。一度導入すれば、ユーザーはオンプレミス環境とクラウド環境で実行されているアプリケーションにアクセスすることができます。

MPLSとインターネットトランスポートに加えて、各企業はAWSバックボーンとAWS Transit Gatewayのリージョン間ピアリングを活用して、SD-WANメッシュファブリックを使用したリージョン間接続用のWANコアを構築することができます。ネットワーク管理者は、Aruba Centralの単一のダッシュボードからライブ・トポロジ全体(接続、ルート、およびトンネルの制御)を表示できるため、ネットワークの管理が大幅に簡素化します。

Figure: Multi-region deployment with AWS and Aruba SD-Branch

3. AWSAruba SD-Branchによるマルチリージョン展開

Aruba Cloud ConnectAWS TransitGatewayへのワンクリック接続を提供

AWS上で動作するAruba vGWは、Aruba SD-WANをAWSに簡単に拡張する方法を提供しますが、企業は単にVPN接続をAWS Transit Gatewayに拡張することを選択するシナリオもあります。この場合、データセンターにあるオンプレミス・アプライアンスや、リモートのブランチ/キャンパス・サイトでは、AWS Transit Gatewayと直接ピア接続することが可能になります。Aruba Central上のAruba Cloud Connectサービスを使用すると、AWS Transit Gatewayへの接続手順がすべて自動化されます。ネットワーク管理者は、AWS Transit Gatewayに接続するために必要なサイトのセットを識別し、追加のオプションで加速VPNを選択するだけで、接続が完了します!

Aruba Cloud Connectは、バックグラウンドでAPIを介してAWSと順番に通信し、接続性と構成パラメータをネゴシエートし、オンプレミスとクラウド・リソース間の可視性を提供するためにネットワークの状態を交換します。有効になると、サイトは必要なBGPピアリングとともにAWS Transit GatewayへのVPN接続を自動的に設定します。ネットワーク管理者は、ArubaCentralまたはAWSTransit Gateway Network Managerから接続状態をアクティブに監視できます。

最近、Aruba Virtual GatewaysとAWS Transit Gateway Connectアタッチメントがネイティブに統合されたことで、IPsec接続の制限が一部克服され、AWS Transit Gatewayに対してより高い帯域幅(最大10Gbps)での接続が可能になりました。AWS Transit Gatewayがブランチからクラウド、DCからクラウド、クラウドからクラウドへの接続のハブとなることで、この重要な機能強化により、顧客の接続とパフォーマンスが大幅に向上します。

Aruba SD-Branchでは複数の展開方法を提供

Aruba SD-Branchソリューションでは、AWSに接続する顧客向けにいくつかの導入オプションを提供しています。Aruba SD-Branchを導入した企業は、SD-WAN接続をAWSに簡単に接続して拡張するために利用できる自動化と柔軟性を気に入っています。弊社のお客様は、Aruba SD-Branchソリューションとの緊密な統合の結果として、AWS Transit Gatewayで提供される最新のAWSネットワーキング機能を活用できます。 Aruba SD-Branchが提供する主なメリットは次のとおりです。

  • 大規模IPsec(VPN)をサポートする高性能Arubaバーチャルゲートウェイ
  • SD-WANを使用した自動化されたArubaバーチャルゲートウェイの導入
  • 自動フェイルオーバーによる高可用性
  • トランシティブ・ルーティングによる自動化されたブランチ・ツー・クラウドおよびDC・ツー・クラウド接続
  • フィルタリング、プリファレンス設定、セグメンテーションを含む高度なオーバーレイ・ルート制御
  • 内臓の自動ループ回避
  • ASパスプリペンド、ルートマップ、高度なルートスケールなどの高度なBGP機能
  • エンタープライズグレードの可視性とトラブルシューティング機能
  • リージョン内およびリージョン間トランジットピアリング
  • マルチリージョンおよびマルチクラウド接続

Verisk AnalyticsのSase Govindan氏は、次のように述べています。「Aruba SD-Branchは、OneVeriskのすべての要件を満たしていました。 さらに、バーチャルゲートウェイの自動化やSD-WANの統合など、これまで考えもしなかったIT合理化オプションを提供してくれました。」詳しくは、Veriskに関する詳細なケーススタディをご覧ください。

統合によるメリットを連携させることで、Aruba、AWS、およびEnterprise Strategy Groupは、Amazon Web Services(AWS)TransitGatewayがArubaSD-Branchと組み合わせて提供するキーに焦点を当てたテクニカルレビューを公開しています。 こちらからお読みいただけます。

詳細はこちら

Aruba SD-WANおよびAWSトランジット・ゲートウェイ・ソリューション

Aruba SD-Branchソリューションのページ

* この記事では、「vGW」という頭文字は、AWS VPN ゲートウェイではなく、Aruba Virtual ゲートウェイを指しておりますのでご注意ください。