この記事は Nicolas Vibert 氏のブログ Networking Considerations and Best Practice の翻訳です。翻訳の一覧はこちら

どんなネットワーク設計を行うとしても、その前に必ず業務要件とユースケースをを検討しなければなりません。選択したネットワーク設計は、選択したユースケースによって大きく左右されます。

以下を自問自答しましょう:

  • 図と一致していない。
  • 延伸されたネットワークは必要でしょうか?同じ IP アドレスを維持する必要があるでしょうか?
  • Direct Connect が必要でしょうか?
  • North-South のセキュリティポリシーは何でしょうか?
  • 中央管理されたセキュリティ ポリシーは必要でしょうか?すべてのインターネットとのトラフィックを検査する必要があるでしょうか?
  • どのようにそれを運用するのでしょうか?どのツールを使うべきでしょうか?
ネットワーキングの検討事項 ネットワーキングの検討事項

以下は、VMware Cloud on AWS のネットワークコンセプトのベストプラクティスのまとめのリストになります:

  • どのユースケースが関係するかを確認します。そして適切なネットワークツールを活用します。
  • 延伸されたネットワークを必要としないのであれば、単純な IPSec VPN を活用します。
  • 延伸されたネットワークが必要ならば、それは一時的な目的なのか永続的に利用するのかを自問自答しましょう。オンプレミスとクラウド間でネットワークが延伸されても、デフォルトゲートウエイはオンプレミス側に残ることに注意してください。
  • ポリシー ベースの VPN よりもルート ベースの VPN の方が望ましいです。
  • 回復性のために、複数のルートベースの VPN をセットアップしてください。
  • VMware Cloud on AWS 内に DMZ を作成するために、分散ファイアウォールを活用してください。
  • ゼロトラスト セキュリティ モデルを構築してください。(全て拒否をデフォルトに。必要なトラフィックフローのみを許可に。)
  • 可能であれば Direct Connect を利用してください。
  • 回復性のために複数の Direct Connect リンクを利用してください。
  • Public VIF よりも Private VIF の方が望ましいです。
  • 最小限の工数でデータセンターを迅速に移行するために HCX を活用してください。
  • ENI を経由した VMware Cloud on AWS SDDC と ネイティブ AWS サービス の接続を活用してください。この接続はトラフィック課金が無償であり、低レイテンシーであり高スループットなリンクです。典型的な例として、仮想マシンのバックアップを S3 バケットに保存することに使われます。
  • クラウドの予算に、Egress データコストを考慮に入れてください。