nicolas vibert

NAT on VMware Cloud on AWS Deep Dive

この記事は Nicolas Vibert 氏のブログ NAT on VMware Cloud on AWS: Deep Dive の翻訳です。 翻訳の一覧はこちら

これまでの記事で VMware Cloud on AWS での NAT について少し触れてきました。しかし、お客様や同僚と話してみると、このトピックをもう少し掘り下げてみた方が良さそうです。

まず最初に以前の記事を振り返ってみましょう。

VMC_AWS のコンピュート仮想マシンはインターネットにどのようにアクセスするのでしょうか?

仮想マシンではインターネットにアクセスするのは、極めて簡単です。デフォルトの設定では、コンピュート ゲートウェイに適切なファイアウォール ルールを追加すれば、すぐにも仮想マシンはインターネットにアクセスできます。

仮想マシンのソース IP を VMware Cloud on AWS に割り当てられたパブリック IP に変換する Source NAT ルールがデフォルトで設定されているため、アウトバウンドのトラフィックのために NAT を構成する必要はありません。このパブリック IP の詳細は後続の章にあります。この記事で取り扱う SDDC は、パブリック IP に 3.121.28.61 を利用します。

NAT テーブルは以下のようになります:

仮想マシン名プライベート IPパブリック IP
VM_VMC_110.10.10.103.121.28.61
VM_VMC_210.10.20.103.131.28.61

仮想マシンにインターネット アクセスを提供するのに必要な作業は、VMware Cloud コンソールのネットワークとセキュリティ ウィンドウで完結します。コンピュート ゲートウェイに、インターネットへのアウトバウンド トラフィックを許可するルールを追加するだけです。

ファイアウォール ルールのソースには、インターネットへのアクセスを許可したいサブネットを指定することができます(例: 10.10.10.0/24)。またファイアウォールを何処に適用するかも指定することができます。(ここでは ‘インターネット インターフェース’ に適用しています)

これだけで完了です。仮想マシンはインターネットにアクセスできるようになりました。

VMware Cloud on AWS に割り当てられたパブリック IP をどのように確認できるでしょうか?

このように質問されるかもしれません。VMware Cloud on AWS の 2019 年 2 月リリースではユーザー インターフェースがアップデートされ、パブリック IP を確認しやすくなりました:

Public IP for Compute M

インターネット インターフェースにある、仮想マシンが NAT されるパブリック IP を表示しています。

この環境では、(次のセクションにあるような特定の NAT ルールを持たない)仮想マシンからのトラフィックは 3.121.28.61 に NAT されます。インターネットへのアウトバウンドのトラフィックのソース IP は 10.10.10.10 から 3.121.28.61 に変更されます。

仮想マシンをインターネットに見せる必要がある場合はどうすればよい?

インターネットからアクセス必要がある仮想マシン(または 1:1 の NAT が必要な仮想マシン)のために、VMC_AWS のネットワークとセキュリティ コンソールに移動し、新しい IP をリクエストし、その IP に説明(’Notes’)を付けます。

裏側で(VMware により)何が行われているかというと、API を通じてパブリック IP の AWS プールからパブリック IP がリクエストされています。数秒するとパブリック IP が割り当てられます:

パブリック IP は無料ではありません。パブリック IP の標準的な AWS のコストが顧客に転嫁されます。

IP アドレスの課金:
稼働するインスタンスに関連づけられた Elastic IP アドレス: $0.005/IP/時 ​
稼働するインスタンスに関連づけられていない Elastic IP アドレス: $0.005/IP/時​
Elastic IP アドレスの付け替え: $0.1/IP

パブリック IP の利用料金は、VMware Cloud on AWS の請求に含まれます。AWS の請求ではありません。

パブリック IP が割り当てられると、それを仮想マシンのプライベート IP に NAT することができるようになります。インターネットから宛先 52.58.125.207 への全てのトラフィックは、宛先 10.10.11.101 に変換されます。(その反対も同様です)

最後に、仮想マシンのプライベート IP に対しインターネット アクセスを許可する単純なファイアウォール ルールを構成します。(ファイアウォール ルールはパブリック IP ではなく プライベート IP を参照する必要があることに注意してください。NAT はインバウンドのファイアウォールの前に行われるためです。)

これでコンピュート仮想マシンに対しての設定は終わりました。NAT テーブルは以下のようになります。

想マシンライベート IPパブリック IP
VM_VMC_110.10.10.103.121.28.61
VM_VMC_210.10.20.103.121.28.61
WebServer10.10.11.10152.28.125.207

vCenter はどうなるのでしょうか?上記はコンピュート ワークロードに対するもので、管理システムに対するものではありません。

インターネット越しにどのように vCenter にアクセスするのでしょうか?

SDDC 作成時に、vCenter へのアクセスを確保するのは、真っ先に行うことの一つです。

VMC_AWS の vCenter は、パブリック IP とプライベート IP を持っています。

プライベート IP は、SDDC をデプロイする際に指定した管理サブネットのレンジにあります。

パブリック IP は SDDC のプロビジョニング時に割り当てられます。(パブリック IP アドレスn AWS プールから割り当てられます)

“設定 / vCenter Server FQDN” でプライベート IP アドレス、パブリック IP アドレス、および vCenter の FQDN を確認しましょう。

管理ゲートウェイのファイアウォールにルールを設定すれば、vCenter は簡単にインターネット越しにアクセスできるようになります。(以下の管理ゲートウェイのファイアウォールを参照してください)

送信元: Any または、お手持ちのパブリック IP レンジ

宛先: vCenter (”System-Defined Groups”)

サービス: HTTPS (TCP 443)

必要なのは以上です。これでインターネット越しに vCenter の FQDN で接続できるようになりました:
https://vcenter.sddc-A-B-C-D.vmwarevmc.com

VPN や Direct Connect をセットアップしたときにどのように vCenter にアクセスするのでしょうか?

VPN または Direct Connect の接続が確立されると、データセンターから管理ネットワークの CIDR にアクセスできるようになります。その際、オンプレミスのユーザーは、インターネット越しではなく VPN または Direct Connect 越しに vCenter にアクセスしたいと考えるでしょう。

ユーザーが vCenter へ FQDN でアクセスしたい場合には、(”設定 / vCenter Server FQDN”)VMC コンソールの次の設定を行う必要があります。

パブリックからプライベートに変更します:

ユーザーは、DNS の設定を変更する必要はありません。VMware が vCenter FQDN の設定を管理し、vCenter の FQDN は DynDNS を通じて自動的にアップデートされます。

混乱しやすいため、もう一度繰り返します。DNS のレコードを更新する必要はありません。上の操作でパブリックからプライベートに変更すると、パブリックに利用可能な FQDN がパブリック IP からプライベート IP にスイッチします。

この記事が VMware Cloud on AWS の仮想マシンと vCenter の NAT がどのように動作するのかの理解の一助となれば幸いです。

関連記事

  1. devbox

    Insight into VMware Photon Controller – devbox 02 …

    はじめにPhoton Controller の Devbox をビ…

  2. Tong-Sai@Naka Island, Thailand

    raid-5/6

    Virtual SAN – RAID-5/6 には Witness がないのは何故か

    前回のエントリでは RAID-5/6 の仕組みや動作について説明しまし…

  3. vcenter

    vCenter Server 6.5 に対して IE11 で 4GB 以上の OVF/OVA をデプ…

    先日、無事 vSphere 6.5 がリリースされました。Clie…

  4. vmware

    L1TF 情報 – VMware

    CVE numbersCVE-2018-3646 - L1 …

  5. nicolas vibert

    インフラの孤島として

    この記事は Nicolas Vibert 氏のブログ&nbs…

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。










  1. powercli

    Onyx for the Web Client
  2. nested esxi

    検証用 Nested ESXi の構成を考える
  3. vmware

    PowerPoint for Mac の無限 AutoRecovery を止める…
  4. console

    Remote Console でマウスが吹っ飛ぶ件の対策
  5. vco

    vCenter Orchestrator (1) – Intro
PAGE TOP
Translate »