前回は、「VMware Cloud on AWSとネイティブAWSサービスの連携(1)」として、VMware Cloud on AWSとネイティブAWSサービスとの各種の接続方法を紹介した。今回はこの中でも特徴的な、Elastic Network Interface(ENI)によるConnected VPCとの接続について紹介する。Connected VPCについては、前回を参照いただきたい。後半では、VMware Cloud on AWSとネイティブAWSサービスの連携に関する具体的な例を紹介する。

Elastic Network Interface(ENI)によるConnected VPCとの接続

ENIによるSDDCとConnected VPCの接続は、その独自性故にVMware Cloud on AWSをユニークなものとしている。ここではできるだけその詳細を説明する。合わせてENI接続を経由したS3エンドポイントの通信の詳細についても説明する。

ENI接続の詳細

SDDCのVPCとConnected VPCはENIによって接続されている。Connected VPC側には17個のENIが作成され、このうちSDDCのESXi台数分だけのENIが「In-Use」(利用中)のステータスを持つ。また、さらにそのうちのENIのセカンダリIPアドレス1つがSDDC側のアクティブなNSX Edgeにマップされている。つまり、SDDCとConnected VPCとの接続性はTier-0ゲートウェイとENIのセカンダリIPアドレスによって実現されている。

ENI接続の詳細

17個あるENIは直接NSX Edgeに接続されているのではなく、それぞれベアメタルのESXiにマッピングされている。ESXiの台数が少ない場合、余ったENIは「In-Use」ではなく「Available」(利用可能)というステータスとなる。17という数字は、SDDCのクラスタの最大ホスト数(16)+メンテナンスあるいはホスト障害時の代替ホスト分(1)である。SDDCは最大20クラスタ構成の300物理ホストまでスケールするが、NSX Edgeを含む管理コンポーネントは1つ目のクラスタでしか動かないため、用意するENIは1クラスタ分の17で問題ない。

次に「In-Use」のENIがESXiの台数分ある理由を説明する。SDDCのハイパーバイザーは、AWSネイティブのハイパーバイザーであるXenやKVM(「Nitroシステム」)とは異なり、ライブマイグレーション技術であるvMotionやvSphere HAをサポートする「VMware ESXi」である。このため、アクティブなNSX Edgeは、ホストメンテナンス時にvMotionされ、物理ホストを移動する可能性がある。この場合、もし1つのENIがアクティブなNSX Edgeに直接マップされているとすると、vMotionのたびにENIをデタッチ、アタッチする必要がある。このENIのデタッチ/アタッチは時間のかかるオペレーションであり、SDDCのゲートウェイとなるNSX Edgeとしては許容することができない。一方、セカンダリIPアドレスの付け替えはごく短時間で行うことができる。そのため、NSX EdgeのvMotionに追随するのはENIそのものではなく、ENIにアタッチされるセカンダリIPアドレスとし、vMotionによる影響を最小化している。

次にルーティングである。SDDCからConnected VPCへのルーティングは、Tier-0ゲートウェイにConnected VPCのCIDRへの静的ルートを設定することで実現している。Connected VPCからSDDCへのルーティングは、Connected VPCのデフォルトルートテーブルに対し、SDDC内のセグメントに向けたルート情報が動的に挿入、削除される。これはCGW配下のユーザーが作成するセグメントだけではなくマネージメントゲートウェイ(MGW)配下のマネージメントセグメントも同様である。CGW配下のセグメントは動的にセグメントが増減するが、これに追随してConnected VPCのデフォルトルートテーブルも変更される。ターゲットは、NSX Edgeが稼働するESXiホストにマップされたENIが指定される。NSX Edgeがメンテナンスやホスト障害で移動する場合、ターゲットのENIも動的にNSX Edgeが移動した先のESXiにマップされたENIに変更される。

