次のトポロジ図に示すように、管理 VPC (10.0.2.x/24)、パブリック VPC (10.0.0.x/24)、およびプライベート VPC (10.0.1.x/24) の 3 つの VPC ネットワーク(Edge に接続されたサブネットごとに 1 つ)がある Google Cloud Virtual Private Cloud (VPC) 上での Virtual Edge のデプロイについて説明します。
基本的なトポロジ
Virtual Edge は、2 つのサブネット間でルーティングされます。パブリック VPC ルートは、すべてのオフネット トラフィックをインターネット ゲートウェイに転送します。プライベート サブネット内のゲートウェイ ルーターは、Virtual Edge (GE3) 上の LAN に接続するインターフェイスにすべてのトラフィックを転送します。この例では、デフォルト ルートを使用して、ワークロードから「すべて」のトラフィックを転送していますが、必須ではありません。RFC1918 集約または特定のブランチ/ハブ プレフィックスを使用して、Virtual Edge に送信されるトラフィックを絞り込むことができます。たとえば、プライベート サブネット内のワークロードにパブリック送信元 IP アドレスから SSH 接続でアクセスできるようにする必要がある場合は、デフォルト ルート (0.0.0.0/0) がインターネット ゲートウェイを指すように、また、RFC1918 集約が Virtual Edge を指すように VPC ルーターを設定することもできます。
ワークフローの概要
VMware SD-WAN Virtual Edge を Google Cloud Platform にデプロイするには、次の手順を実行します。
- GCP 環境の準備:
- 3 つの Virtual Private Cloud (VPC) ネットワーク(管理 VPC ネットワーク、パブリック VPC ネットワーク、プライベート VPC ネットワーク)を作成し、トポロジ図に示すように、それぞれを Edge (n1-standard-4) に接続するサブネットに使用します。
- 管理インターフェイス GE1 を介した Edge へのコンソール/管理アクセスのための管理サブネット。
- WAN 側インターフェイス GE2 を介した Edge からのインターネット アクセスのためのパブリック サブネット。
- LAN 側インターフェイス GE3 を介した LAN 側のデバイス アクセスのためのプライベート サブネット。
手順については、VPC ネットワークの作成を参照してください。
- VPC ネットワーク(管理、プライベート、パブリック)のインバウンド ファイアウォール ルールを作成します。手順については、インバウンド ファイアウォール ルールの作成を参照してください。
- Edge を指すプライベート VPC ネットワークのルート テーブルに、Edge の GE3 インターフェイスの IP アドレスとしてネクスト ホップ IP アドレスを指定して、新しいデフォルト ルート (0.0.0.0/0) エントリを追加します。
手順については、VPC ネットワークでのルートの作成を参照してください。
- 3 つの Virtual Private Cloud (VPC) ネットワーク(管理 VPC ネットワーク、パブリック VPC ネットワーク、プライベート VPC ネットワーク)を作成し、トポロジ図に示すように、それぞれを Edge (n1-standard-4) に接続するサブネットに使用します。
- 次のように、VMware SD-WAN Orchestrator で SD-WAN Edge をプロビジョニングします。
- [Virtual Edge] タイプの Edge を作成します。
- GE1 インターフェイスを [スイッチ (Switched)] から [ルーティング (Routed)] に変更し、[WAN オーバーレイ (WAN Overlay)] と [NAT ダイレクト トラフィック (NAT Direct Traffic)] を無効にします。
- GE2 インターフェイスを [スイッチ (Switched)] から [ルーティング (Routed)] に変更し、[WAN オーバーレイ (WAN Overlay)] と [NAT ダイレクト トラフィック (NAT Direct Traffic)] を有効にします。
- GE3 インターフェイスについては、[WAN オーバーレイ (WAN Overlay)] と [NAT ダイレクト トラフィック (NAT Direct Traffic)] を無効にします。このインターフェイスは、プライベート サブネットに接続されているデバイス(LAN デバイス)のネクスト ホップになります。
詳細については、VCO での Edge のプロビジョニングを参照してください。
- Virtual Edge をデプロイします。次のいずれかの方法を使用して、Virtual Edge をデプロイできます。
- SD-WAN Orchestrator で Virtual Edge が稼動しているかどうかを確認します。
