概要
はじめに
多くの企業は、ブランチネットワークの接続に SDN-WAN 技術を使用しています。パブリッククラウドサービスの導入により、企業は SD-WAN ネットワークをクラウド内のネットワークに接続する必要もあります。この目標を達成するために、ほとんどの企業は SD-WAN プロバイダーが提供する SD-WAN イメージを使用して、クラウド内の仮想マシンに vCPE をインストールしています。このトピックでは、サードパーティ製 SD-WAN アプライアンスと既存のクラウドネットワーキング機能を使用して、ブランチネットワークをクラウドに効率的、安全、かつ確実に接続する方法について説明します。
用語
SD-WAN: SD-WAN は、ソフトウェア定義ネットワーク技術を使用するワイドエリアネットワークです。コントロールプレーンとデータプレーンを論理的に分離し、これらのプレーンを一元的に管理および制御することで、分散ネットワークのインテリジェントな管理と最適化を実行します。
Virtual Private Cloud (VPC): VPC は、Alibaba Cloud 上のプライベートネットワークです。VPC を完全に制御できます。たとえば、CIDR ブロックを指定し、VPC のルートテーブルとゲートウェイを構成できます。Elastic Compute Service (ECS) インスタンス、ApsaraDB RDS インスタンス、Server Load Balancer (SLB) インスタンスなどの Alibaba Cloud リソースを VPC にデプロイすることもできます。
Cloud Enterprise Network (CEN): CEN は、Alibaba Cloud のグローバルプライベートネットワーク上に構築された高可用性ネットワークです。CEN は転送ルーターを使用して、VPC 間のリージョンをまたがる接続を確立します。これにより、VPC はデータセンターと通信し、クラウド内に柔軟で信頼性の高いエンタープライズクラスのネットワークを確立できます。
Express Connect: Express Connect を使用すると、データセンターと VPC の間で高速、安定、安全、かつプライベートな接続を確立できます。Express Connect 回線は安全なデータ転送を保証し、ネットワークジッターを防ぎ、データ漏洩の可能性を低減します。
設計原則
アーキテクチャの設計のハイライト:
安定性: ネットワーキングサービスは、内部ビジネストラフィックの処理に使用されます。したがって、ハイブリッドクラウドまたはマルチクラウドネットワークアーキテクチャにおける接続の安定性が重要です。接続が閉じられると、クラウド上のビジネスとオンプレミスビジネス間の通信が中断されます。これは、コアビジネスの利用不能につながる可能性もあります。したがって、安定性は、信頼性の高いマルチクラウドまたはハイブリッドクラウドネットワークアーキテクチャを設計するための鍵となります。
セキュリティ: ハイブリッドクラウドまたはマルチクラウドネットワークアーキテクチャには、通常、ネットワーク間の通信が含まれます。内部ビジネスにもさまざまなセキュリティレベルが必要です。重要なビジネスのネットワーク間通信は、データ漏洩と権限の乱用を防ぐために、制御可能性と最小権限の原則に基づいて設計する必要があります。
セルフサービス: このソリューションには、サードパーティ製 SD-WAN ネットワークの構成と配信が含まれるため、O&M エンジニアのトレーニングコストが増加します。クラウドにおけるこのソリューションのデプロイ、配信、およびメンテナンスの効率は、SD-WAN アプライアンスの長期的な採用にとって重要です。Alibaba Cloud は、複数のパートナーおよびブランドと緊密に連携して、Alibaba Cloud でのサードパーティ製品の配信に対するサービスサポートを提供しています。
主要な設計
安定性
接続のディザスタリカバリ
ブランチネットワークをクラウドに接続する接続。ブランチネットワークを Alibaba Cloud に接続するアンダーレイネットワークは、高可用性を確保するために、異なる ISP からリースされた回線を使用する必要があります。たとえば、インターネットと専用回線、4G ネットワークとブロードバンド、または中国電信と中国聯通の組み合わせを使用します。ディザスタリカバリは、SD-WAN の接続切り替え機能に基づいて実装されます。ソリューションを確認するには、SD-WAN アプライアンスプロバイダーに連絡する必要があります。専用回線を使用する HA アーキテクチャを設計するには、Express Connect の高信頼性モードを参照してください。
リージョン内接続: Alibaba Cloud は、同じリージョン内のゾーンと VPC をまたがるデータ転送の高可用性を保証します。冗長接続は、リージョン内のゾーンをまたがる光ファイバー上に作成され、高い冗長性が確保され、フェールオーバーはミリ秒以内に行われます。
リージョン間接続: Alibaba Cloud は、CEN に基づいて作成されたリージョン間接続の高可用性を保証します。プライマリ/セカンダリフェールオーバーのために、2 つのノード間で少なくとも 3 つのリージョン間回線がリースされます。マルチプレーンネットワーク異常検出技術は、フェールオーバーが数秒以内に行われるように、最適なパス選択に使用されます。
NE ディザスタリカバリ
クラウドネットワーキング
クラウドネイティブネットワーク要素 (NE): Express Connect Router (ECR) は、クロスゾーンディザスタリカバリをサポートし、ディザスタリカバリのために単一ゾーンに複数のクラスタをデプロイすることもできます。これにより、単一障害点によって引き起こされるビジネスの中断を防ぎます。転送ルーターは、クロスゾーンディザスタリカバリをサポートします。転送ルーターは、最も近いゾーンの Elastic Network Interface (ENI) にトラフィックをルーティングできます。最も近いゾーンの ENI がダウンした場合、転送ルーターはトラフィックを他のゾーンの正常な ENI に自動的にルーティングします。各 ENI は複数の転送ルーターに関連付けられており、単一障害点を防ぎます。
サードパーティ製 SD-WAN NE: サードパーティ製 SD-WAN イメージを別の VPC のゾーンにデプロイすることをお勧めします。IPsec-VPN 接続を介して SD-WAN ネットワークを転送ルーターに接続し、BGP を使用してルートを同期し、BGP 動的ルーティングを使用して自動フェールオーバーを実装します。ソリューションについては、SD-WAN アプライアンスプロバイダーにご相談ください。詳細については、「サードパーティ製 SD-WAN アプライアンスを転送ルーターに接続して、データセンターと VPC 間の通信を確立する」をご参照ください。
セキュリティ
Transit VPC を構成する
Transit VPC は、クラウド上とオンプレミスのネットワーク間の通信のための安全なバッファとして機能します。Transit VPC にファイアウォールまたは侵入検知システムを構成して、トラフィックを監視およびフィルタリングできます。
Transit VPC を使用すると、特定のネットワークリソースにアクセスできるユーザーとデバイスをきめ細かく制限できます。
Transit VPC は、クラウド上とオンプレミスのネットワーク間で転送されるトラフィックの監視と記録に最適です。
セキュリティサービスチェーンを構成する
転送ルーターを使用して、SD-WAN ネットワークから VPC ファイアウォールまたはサードパーティ製ファイアウォールへの東西トラフィックをルーティングして、監査を行います。
転送ルーターを使用してセキュリティサービスチェーンを設定する場合は、最も具体的なルートを選択してください。
セキュリティグループとネットワーク ACL を適切に構成する: セキュリティグループとネットワーク ACL を作成して、VPC のインバウンドおよびアウトバウンドトラフィックを制限します。たとえば、インスタンスまたはサービスごとにセキュリティグループルールを構成して、指定されたポートまたは指定されたプロトコルへのアクセスのみを許可できます。
パフォーマンス
暗号化アルゴリズム: このソリューションでは、トラフィックはエンドツーエンドで多数の NE を通過し、IPsec-VPN を使用してトラフィックが暗号化されます。VPN の暗号化および復号アルゴリズムは、ネットワークレイテンシと個々の接続の最大帯域幅に影響します。ビジネスがレイテンシの影響を受けやすい場合は、十分に注意を払う必要があります。VPN ゲートウェイの帯域幅が 200 Mbit/s 以上の場合は、aes、aes192、または aes256 暗号化アルゴリズムを選択することをお勧めします。3des 暗号化アルゴリズムは推奨されません。aes は、高強度暗号化と復号を提供する対称鍵暗号化アルゴリズムです。安全なデータ転送を保証し、ネットワークレイテンシ、スループット、および転送パフォーマンスへの影響は軽微です。3des はトリプルデータ暗号化アルゴリズムです。時間がかかり複雑であるため、転送パフォーマンスが低下します。
レイテンシ: 遅延の影響を受けやすいシナリオでは、すべてのネットワークリソースが同じゾーンにデプロイされていることを確認してください。詳細については、Alibaba Cloud アーキテクトにご相談ください。
帯域幅: このソリューションでは、クラウド移行の合計帯域幅は、オンプレミスネットワークのデータ出力の帯域幅、専用回線の帯域幅、サードパーティ製 SD-WAN ネットワークのパフォーマンス、および IPsec-VPN 接続の帯域幅によって異なります。IPsec-VPN 接続の帯域幅は最大 1,000 Mbit/s に達する可能性があります。ECMP ルーティングにより高い帯域幅とより多くの IPsec-VPN 接続が必要な場合は、SD-WAN アプライアンスプロバイダーに連絡して、BGP ECMP ルーティングがサポートされているかどうかを確認してください。負荷分散のために複数の IPsec-VPN 接続を作成する方法の詳細については、「」をご参照ください。負荷分散のためにインターネット経由で複数の IPsec VPN 接続を作成する
回復力
このソリューションは回復力を提供しません。エンドツーエンドの接続回復力は、オンプレミスネットワークのデータ出力の帯域幅、専用回線の帯域幅、およびサードパーティ製 SD-WAN ネットワークのパフォーマンスによって異なります。合計帯域幅を増やす場合は、接続、CPE、および SD-WAN アプライアンスのパフォーマンスを評価してください。
可観測性
Network Intelligence Service (NIS) とフローログを使用して、クラウド内のトラフィックを監視します。
リージョン内トラフィック分析: VPC と転送ルーターのフローログに基づいて、同じリージョン内の VPC から VPC に転送ルーターを通過するトラフィックを分析します。トラフィックデータは、1 タプル (インスタンス)、2 タプル (クラウド IP アドレスとピア IP アドレス)、および 5 タプル (クラウド IP アドレス、クラウドポート、プロトコル、ピア IP アドレス、およびピアポート) の形式で表示されます。
ハイブリッドクラウドトラフィック分析: 転送ルーターのフローログに基づいて、VPC からデータセンターに転送ルーターと VBR を通過するトラフィックを分析します。トラフィックデータは、1 タプル (インスタンス)、2 タプル (クラウド IP アドレスとピア IP アドレス)、および 5 タプル (クラウド IP アドレス、クラウドポート、プロトコル、ピア IP アドレス、およびピアポート) の形式で表示されます。
セルフサービス
Alibaba Cloud は、クラウドにサードパーティ製 SD-WAN イメージをデプロイするためのさまざまな方法を提供しています。
コンソール: CEN コンソールの Alibaba Cloud Marketplace からサードパーティ製 SD-WAN イメージを直接購入できます。
詳細については、「サードパーティ製 SD-WAN アプライアンスを転送ルーターに接続して、データセンターと VPC 間の通信を確立する」をご参照ください。
Compute Nest: Compute Nest コンソールのサービスマーケットプレイスで適切なネットワーキングソリューションを見つけてください。
ベストプラクティス
Transit VPC 設計
Transit VPC 内の ECS インスタンスにサードパーティ製 SD-WAN イメージをインストールし、サードパーティ製 SD-WAN コントローラーを使用してイメージを管理します。EIP を購入し、パブリック IPsec-VPN トンネルを介して EIP をブランチネットワークの VPN ゲートウェイに接続します。プライベート IP アドレスと IPsec を使用して、プライベート IPsec-VPN トンネルを作成します。
リージョンの選択:
ブランチネットワークから特定のリージョンの VPC にアクセスするか、ブランチネットワークが通信できるようにするには、最も近いリージョンに Transit VPC を作成します。
ブランチネットワークからリージョンの VPC にアクセスするには、リージョンに Transit VPC を作成します。
IPsec-VPN 接続設計 (ブランチネットワークの接続)
リージョンの選択: Transit VPC のリージョンに IPsec-VPN 接続を作成します。
ECMP ルーティング用の 2 つの IPsec-VPN 接続:
Alibaba Cloud: 2 つの IPsec-VPN 接続を構成し、転送ルーターへの添付ファイルを作成します。転送ルートのルートテーブルにルートを追加して、ECMP ルーティングのために 2 つの IPsec-VPN 接続にトラフィックをルーティングします。これにより、クロスゾーン IPsec-VPN 接続の冗長性が保証され、IPsec-VPN トンネルの合計帯域幅が増加します (トンネルあたり 1 Gbit/s × トンネル数)。
サードパーティ製 SD-WAN イメージ: 2 つの ECS インスタンスにサードパーティ製 SD-WAN イメージをインストールします。各 SD-WAN アプライアンスとブランチネットワークの VPN ゲートウェイの間にパブリック IPsec-VPN トンネルとプライベート IPsec-VPN トンネルを作成し、各 SD-WAN アプライアンスと各 IPsec-VPN 接続の間にパブリック IPsec-VPN トンネルとプライベート IPsec-VPN トンネルを作成します。両側で BGP ルーティングを有効にします。SD-WAN アプライアンスがダウンした場合、BGP はルートを自動的に収束させ、別のパスにフェールオーバーします。
ブランチネットワーク: 2 つのゲートウェイデバイスを準備し、各ゲートウェイデバイスにトンネルを作成することをお勧めします。ECMP ルーティングのネクストホップとして 2 つのゲートウェイデバイスを指定します。これにより、マルチゲートウェイデバイス (マルチトンネル) ディザスタリカバリが実装され、IPsec-VPN トンネルの合計帯域幅が増加します (トンネルあたり 1 Gbit/s × トンネル数)。
詳細については、「制限」をご参照ください。
転送ルーターの設計
Transit VPC の添付ファイル: サードパーティ製 SD-WAN アプライアンスとプライベート IPsec-VPN 接続の間にプライベート IPsec-VPN トンネルを作成して、アンダーレイネットワークを構築します。
プライベート IPsec-VPN 接続の添付ファイル: サードパーティ製 SD-WAN アプライアンスを転送ルーターに接続します。
リージョン内本番 VPC と VBR の添付ファイル: ブランチネットワークを本番 VPC と VBR に接続します。
他のリージョンの転送ルーターへのリージョン間接続を作成します。
転送ルーターのルートテーブルとルーティングポリシーを構成して、IPsec-VPN 接続と本番 VPC 間のルート学習とアドバタイズメントを制御します。
詳細については、「制限」をご参照ください。
統合可能なサードパーティ製 SD-WAN
統合可能なサードパーティ製 SD-WAN については、https://cen.console.alibabacloud.com/cen/market をご覧ください。
シナリオ
データセンターをクラウドに接続する
クラウド移行中に、企業はデータセンターをクラウドに接続する必要があります。専用回線を使用する従来のネットワーキングソリューションは、時間がかかり、費用がかかります。VPN ソリューションには、グローバルネットワーク O&M と高帯域幅の使用シナリオに制限があります。SD-WAN ソリューションは、ネットワーキングコストを効率的に削減し、ネットワークのセットアップに必要な時間を短縮できます。さらに、企業は既存の専用回線またはインターネットを最大限に活用して、コスト効率を高めることができます。
ブランチネットワークを接続する
ビジネスの急速な拡大は、ブランチネットワークを本社システムのネットワークに安全かつ効率的に接続することに大きな課題をもたらします。支店の従業員は通常、IT 業界に精通していません。したがって、本社の IT エンジニアは、数千または数万ものネットワークに接続する必要がある場合があります。効率的なネットワーキングソリューションが必要です。Alibaba Cloud が提供するサードパーティ製 SD-WAN ソリューションにより、企業は多数のブランチネットワークを構成および一元管理できます。
オフィスネットワークを高速化する
グローバルな事業拡大のために、従業員を中国国外のオフィスに派遣する必要のある企業が増えています。このシナリオでは、ビジネスの質と成功は、長距離データ転送の質に依存します。サードパーティ製 SD-WAN ソリューションは、Alibaba Cloud CEN が提供するリージョン間転送リソースを使用して、長距離コンテンツ配信の質を大幅に向上させます。CEN はアクティベーション後にすぐに使用でき、従量課金制を使用してコストを削減できます。さらに、オンデマンドでリソースをスケーリングできるため、グローバル市場でビジネスを迅速に拡大できます。