VMware Cloud on AWSとネイティブAWSサービスの連携(1) AWSサービスによる違いと接続経路:連載:詳説VMware Cloud on AWS(8)(3/3 ページ)
接続経路とファイアウォールの適用
VMware Cloud on AWSのファイアウォールの設定は、SDDC内とAWSでそれぞれ異なるので整理して考える必要がある。前節の分類に従って、それぞれのケースでのファイアウォールの設定箇所を整理する。
- グローバルまたはリージョンで提供されるAWSサービス
- Connected VPCで提供されるサービス
- VMware Cloud on AWS と関係しないVPCで提供されるサービス
グローバルまたはリージョンで提供されるAWSサービス
SDDC内からの通信は、CGWを通過するとファイアウォールの設定はない。SDDC内の仮想マシンからは以下の順番でファイアウォールを通過していく。
- SDDC内のゲストOSのファイアウォール
- SDDC内の分散ファイアウォール
- SDDC内のCGWのファイアウォール
なお、ユーザーインタフェース(UI)でCGWに設定したファイアウォールルールは、実際にはTier-0ゲートウェイに設定されることに注意されたい。
Connected VPCで提供されるサービス
SDDC内からの通信は、Tier-0ゲートウェイからENIを経由してConnected VPCへ行われる。経路上のファイアウォールはVMware Cloud on AWSとAWSにまたがって実装される。SDDC内の仮想マシンからTier-0ゲートウェイまではVMware Cloud on AWSのUIで管理され、ENIからAWSサービスまではAWSマネージメントコンソールで管理される。この場合、AWSサービスにたどり着くまでに、以下のようにファイアウォールを通過していく。
- SDDC内のゲストOSのファイアウォール
- SDDC内の分散ファイアウォール
- SDDC内のCGWのファイアウォール
- Connected VPC内のENIのセキュリティグループまたはネットワークアクセスコントロール(NACL)
- Connected VPC内のサービスエンドポイントのセキュリティグループまたはNACL
- (EC2の場合:Connected VPC内のゲストOSのファイアウォール)
VMware Cloud on AWSと関係しないVPCで提供されるサービス
SDDCのTier-0ゲートウェイからVPCへVPNで接続する場合、あるいは、SDDCのTier-0ゲートウェイからTGWを経由してVPCに接続する場合、AWSサービスにたどり着くまでに、以下のようにファイアウォールを通過していく。
- SDDC内のゲストOSのファイアウォール
- SDDC内の分散ファイアウォール
- SDDC内のCGWの仮想トンネルインタフェース(VTI)向けファイアウォール
- (TGW ENI接続の場合:ENIのセキュリティグループまたはNACL)
- Connected VPC内のサービスエンドポイントのセキュリティグループまたはNACL
- (EC2の場合:Connect VPC内のゲストOSのファイアウォール)
今回は、VMware Cloud on AWSからネイティブのAWSサービスへの連携における複数の形態、接続経路、ファイアウォールの設定箇所についての概要を紹介した。次回は「VMware Cloud on AWSとネイティブAWSサービスの連携」の後編として、Elastic Network InterfaceによるConnected VPCとの接続、VMware Cloud on AWSとネイティブAWSサービスの連携例について説明する。
筆者紹介
大久 光崇(おおひさ みつたか)
ヴイエムウェア株式会社 ストラテジックアライアンス本部 スタッフテクニカルアライアンスマネージャー。外資ハードウェアベンダーでインフラ構築に従事した後、2010年にヴイエムウェア株式会社へ転職。コンサルタント、製品スペシャリストを経て現職。現在は、OEM パートナーへの技術支援と新規サービスの立ち上げに従事。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。