NAT on VMware Cloud on AWS Deep Dive
この記事は Nicolas Vibert 氏のブログ NAT on VMware Cloud on AWS: Deep Dive の翻訳です。 翻訳の一覧はこちら。
これまでの記事で VMware Cloud on AWS での NAT について少し触れてきました。しかし、お客様や同僚と話してみると、このトピックをもう少し掘り下げてみた方が良さそうです。
まず最初に以前の記事を振り返ってみましょう。
VMC_AWS のコンピュート仮想マシンはインターネットにどのようにアクセスするのでしょうか?
仮想マシンではインターネットにアクセスするのは、極めて簡単です。デフォルトの設定では、コンピュート ゲートウェイに適切なファイアウォール ルールを追加すれば、すぐにも仮想マシンはインターネットにアクセスできます。
仮想マシンのソース IP を VMware Cloud on AWS に割り当てられたパブリック IP に変換する Source NAT ルールがデフォルトで設定されているため、アウトバウンドのトラフィックのために NAT を構成する必要はありません。このパブリック IP の詳細は後続の章にあります。この記事で取り扱う SDDC は、パブリック IP に 3.121.28.61 を利用します。
NAT テーブルは以下のようになります:
| 仮想マシン名 | プライベート IP | パブリック IP |
|---|---|---|
| VM_VMC_1 | 10.10.10.10 | 3.121.28.61 |
| VM_VMC_2 | 10.10.20.10 | 3.131.28.61 |
仮想マシンにインターネット アクセスを提供するのに必要な作業は、VMware Cloud コンソールのネットワークとセキュリティ ウィンドウで完結します。コンピュート ゲートウェイに、インターネットへのアウトバウンド トラフィックを許可するルールを追加するだけです。
Public IP for Compute M
インターネット インターフェースにある、仮想マシンが NAT されるパブリック IP を表示しています。
この環境では、(次のセクションにあるような特定の NAT ルールを持たない)仮想マシンからのトラフィックは 3.121.28.61 に NAT されます。インターネットへのアウトバウンドのトラフィックのソース IP は 10.10.10.10 から 3.121.28.61 に変更されます。
仮想マシンをインターネットに見せる必要がある場合はどうすればよい?
インターネットからアクセス必要がある仮想マシン(または 1:1 の NAT が必要な仮想マシン)のために、VMC_AWS のネットワークとセキュリティ コンソールに移動し、新しい IP をリクエストし、その IP に説明(’Notes’)を付けます。
裏側で(VMware により)何が行われているかというと、API を通じてパブリック IP の AWS プールからパブリック IP がリクエストされています。数秒するとパブリック IP が割り当てられます:
パブリック IP は無料ではありません。パブリック IP の標準的な AWS のコストが顧客に転嫁されます。
IP アドレスの課金: 稼働するインスタンスに関連づけられた Elastic IP アドレス: $0.005/IP/時 稼働するインスタンスに関連づけられていない Elastic IP アドレス: $0.005/IP/時 Elastic IP アドレスの付け替え: $0.1/IP
パブリック IP の利用料金は、VMware Cloud on AWS の請求に含まれます。AWS の請求ではありません。
パブリック IP が割り当てられると、それを仮想マシンのプライベート IP に NAT することができるようになります。インターネットから宛先 52.58.125.207 への全てのトラフィックは、宛先 10.10.11.101 に変換されます。(その反対も同様です)
最後に、仮想マシンのプライベート IP に対しインターネット アクセスを許可する単純なファイアウォール ルールを構成します。(ファイアウォール ルールはパブリック IP ではなく プライベート IP を参照する必要があることに注意してください。NAT はインバウンドのファイアウォールの前に行われるためです。)
これでコンピュート仮想マシンに対しての設定は終わりました。NAT テーブルは以下のようになります。
| 仮想マシン | プライベート IP | パブリック IP |
|---|---|---|
| VM_VMC_1 | 10.10.10.10 | 3.121.28.61 |
| VM_VMC_2 | 10.10.20.10 | 3.121.28.61 |
| WebServer | 10.10.11.101 | 52.28.125.207 |
vCenter はどうなるのでしょうか?上記はコンピュート ワークロードに対するもので、管理システムに対するものではありません。
インターネット越しにどのように vCenter にアクセスするのでしょうか?
SDDC 作成時に、vCenter へのアクセスを確保するのは、真っ先に行うことの一つです。
VMC_AWS の vCenter は、パブリック IP とプライベート IP を持っています。
プライベート IP は、SDDC をデプロイする際に指定した管理サブネットのレンジにあります。
パブリック IP は SDDC のプロビジョニング時に割り当てられます。(パブリック IP アドレスn AWS プールから割り当てられます)
“設定 / vCenter Server FQDN” でプライベート IP アドレス、パブリック IP アドレス、および vCenter の FQDN を確認しましょう。
管理ゲートウェイのファイアウォールにルールを設定すれば、vCenter は簡単にインターネット越しにアクセスできるようになります。(以下の管理ゲートウェイのファイアウォールを参照してください)
送信元: Any または、お手持ちのパブリック IP レンジ
宛先: vCenter (”System-Defined Groups”)
サービス: HTTPS (TCP 443)
必要なのは以上です。これでインターネット越しに vCenter の FQDN で接続できるようになりました:
https://vcenter.sddc-A-B-C-D.vmwarevmc.com
VPN や Direct Connect をセットアップしたときにどのように vCenter にアクセスするのでしょうか?
VPN または Direct Connect の接続が確立されると、データセンターから管理ネットワークの CIDR にアクセスできるようになります。その際、オンプレミスのユーザーは、インターネット越しではなく VPN または Direct Connect 越しに vCenter にアクセスしたいと考えるでしょう。
ユーザーが vCenter へ FQDN でアクセスしたい場合には、( “設定 / vCenter Server FQDN” )VMC コンソールの次の設定を行う必要があります。
パブリックからプライベートに変更します:
ユーザーは、DNS の設定を変更する必要はありません。VMware が vCenter FQDN の設定を管理し、vCenter の FQDN は DynDNS を通じて自動的にアップデートされます。
混乱しやすいため、もう一度繰り返します。DNS のレコードを更新する必要はありません。上の操作でパブリックからプライベートに変更すると、パブリックに利用可能な FQDN がパブリック IP からプライベート IP にスイッチします。
この記事が VMware Cloud on AWS の仮想マシンと vCenter の NAT がどのように動作するのかの理解の一助となれば幸いです。
