この記事は Nicolas Vibert 氏のブログ Advanced Design Considerations with Direct Connect with VMware Cloud on AWS : Filtering and Summarization の翻訳です。 翻訳の一覧はこちら。
このブログ記事では、Direct Connect と VMware Cloud on AWS の設計上における追加の検討事項を説明します。
Direct Connect の概念と VMware Cloud on AWS との統合についての 最初の記事 と、Direct Connect とバックアップとしての VPNについての 2 回目の記事 を必ず読んでください。
私はこれらの投稿をいくつか続けるつもりです。これらはランダムな問いに対する説明ではありません。顧客やパートナー、同僚から同じ質問を 2 回、 3 回と聞かれるたびに、その答えを記録する価値があると考えています。
The first part will be on the routing topics below: まず最初に、以下のルーティングのトピックについて説明します。
- VMware Cloud on AWS との間でルート情報をフィルタリングするには?
- VMware Cloud on AWS との間でルート情報をサマライズ(集約)するには?
VMware Cloud on AWS で Direct Connect や BGP を利用してルート情報をサマライズすることはできますか?
ルート情報のサマライズについての簡単なまとめ
IPネットワークにおけるルート情報をサマライズするプロセスは、ルート情報のアドバタイズの数を減らし、ルーティングテーブルのサイズを小さくすることを意味します。これは、効率化とルーティングの収束の利点を提供します。
例として、172.16.0.0/24 と 172.16.1.0/24 のプレフィックスをアドバタイズする代わりに、ルータは 172.16.0.0/23 をアドバタイズするだけで、上記の両方のサブネットをカバーし、2 つのルートをアドバタイズする代わりに 1 つのルートをアドバタイズすることができます。 これにより、ネットワーク アドバタイズのやり取りが減り、ルーティング テーブルのサイズが小さくなります。
顧客が 172.16.0.0/24、172.16.1.0/24、172.16.2.0/24、172.16.3.0/24 のネットワークをサマライズしたい場合は、172.16.0.0/22 にまとめます。
以下の最後の例では、ルート情報のアドバタイズの数を減らし、ルーティング テーブルに存在するルートの数を8から1に減らしています。
| Before Summarization: | After Summarization: |
|---|---|
| 172.16.0.0/24 | 172.16.0.0/21 |
| 172.16.1.0/24 | |
| 172.16.2.0/24 | |
| 172.16.3.0/24 | |
| 172.16.4.0/24 | |
| 172.16.5.0/24 | |
| 172.16.6.0/24 | |
| 172.16.7.0/24 |
ここでは簡略化していますが、ご理解いただけると思います。
Direct Connect 経由の VMware Cloud on AWS からのルート情報をサマライズすることはできますか?
現在のところ、VMware Cloud on AWS ではこのオプションはまだ利用できません。
VMware Cloud on AWS Summarization
なぜ VMware Cloud on AWS のコンテキストでは重要なのでしょうか?現在のところ、VMware Cloud on AWS からリモート ルータに対して、限られた数のプレフィックスしか BGP 上で VMC がアドバタイズすることができないという制限があります。その数は 16 プレフィックスです。
この 16 という数には 4 つの管理ネットワークは含まれていません(詳細は 公式ドキュメント をご覧ください)。
この制限は VMC からオンプレミスへの方向のみであることに注意してください。オンプレミスから VMware Cloud on AWS へは、最大 100 個のプレフィックスを受信することができます。
この上限値は VMware にケースをオープンすることで上げることはできますが、通常そこまでの規模にはなりません(AWS では VIF あたり 100 ルートのアドバタイズが上限となっています)し、サマライズが必須となります(上の例で見たように、アドバタイズするサブネット/プレフィックスの数を減らすのに役立ちます)。
Direct Connect 経由の VMware Cloud on AWS からの BGP でルート情報をフィルタリングできますか?
現在のところ、VMware Cloud on AWSでは、プレフィックスのフィルタリングは双方向においてできません。また、プレフィックス フィルタリングはまだ設定できません。
つまり、以下のようになります。
- All the networks advertised by the on-premises routers are accepted by VMware Cloud on AWS.
- VMware Cloud on AWS advertises ALL networks to on-prem.
- オンプレミスのルーターがアドバタイズしているネットワークはすべて VMware Cloud on AWS に受け入れられます。
- VMware Cloud on AWS は、すべてのネットワークをオンプレミスにアドバタイズします。
なぜこれが重要なのでしょうか?
VMware Cloud on AWS のネットワークを、オンプレミスのインフラストラクチャにアドバタイズしたくない状況があるかもしれません(別のビジネスユニットであるため、あるいはセグメンテーションやコンプライアンス上の理由から)。
現在、VMware Cloud on AWS ゲートウェイは、VMware Cloud on AWS 上に作成されたすべてのネットワークを広告し、オンプレミスの BGP ルータが何らかのフィルタリングを適用しない限り、すべてのルートを受信します。
同様に、VMware Cloud on AWSでは、オンプレミスのルーターからDX/BGPで学習したネットワークは一切フィルタリングされません。
今日提案する回避策は、オンプレミスのルーターにルーティング・アドバタイズメント制御を適用することです。
従来の Cisco や BGP の用語では、「プレフィックスリスト」や「ルートマップ」を適用して、VMware Cloud on AWS に学習またはアドバタイズされたネットワーク アドバタイズメントをブロックすることを意味します。例えば、以下のようになります。
prefix-list VMC-IN deny 10.3.20.0/24
prefix-list VMC-IN permit 0.0.0.0/0 le 32
router bgp 65001
neighbor X.X.X.X prefix-list VMC-IN in
上記の例では、お客様はオンプレミスの VM が 10.3.20.0/24 にアクセスすることを望んでいません(例えば、オンプレミスは本番環境、10.3.20.0/24 はテスト・開発環境であるため)。
VMware Cloud on AWS ゲートウェイへの BGP ピアリング セッションで、この特定のプレフィックスを拒否するインバウンドのプレフィックスリストを適用することで、オンプレミスのルーターは 10.3.20.0/24 にアクセスできなくなります。
上記の構成の in は、VMC から学習したルートを指していることに注意してください。
permit 0.0.0.0.0/0 le 32 “は、他のネットワークを通過させるための方法に過ぎません (これは、“permit any any any “と言う別の方法ですが、ネットワークプレフィックスのためのものです)。
この記事がお役に立てば幸いです。お読みいただきありがとうございました。
