前回はSD-WANの概要について書かせていただきました。

 クラウドとCitrix NetScaler SD-WAN(概要)

今回はAWS上でのNetScaler SD-WAN設計にフォーカスした内容を書きたいと思います。「こうあるべき」と言い切られるものではないため、参考情報として見ていただけると幸いです。

NetScaler SD-WAN on AWSの構成

SD-WANの実装でポイントになるのが集中管理です。構築の流れや基本の構成についてご紹介いたします。

構築の流れ

NetScaler SD-WANではまず、Master Control Node (MCN)と呼ばれる集中管理の役割を担うノードから構築をします。その後MCNで作成・更新したコンフィグをClientノードに配布していく流れになります。そのためMCNが全てのClientと接続できている必要があります。

一般的には重要なシステムがあるクラウドやデータセンターにMCNを配置することになると思います。

基本構成

要件や設計思想などで異なりますが例として以下のような構成が考えられます。

構成図の通り、最低限次の3つのインターフェースを持つ構成が基本となります。

  • 管理インタフェース
  • 外部向けのインタフェース
  • 内部インタフェース

他のネットワーク機器(仮想アプライアンス)と同じような構成になるのではないかと思います。

設計のポイント

オンプレミスではActive/Standbyの冗長構成が一般的ですが、AWS上では次の理由からActive/Activeの構成をどのように設計するかがポイントになります。

  • フェイルオーバーにかかる時間が比較的長い
  • 稼働中の障害(物理障害)は再起動で復旧できる

Virtual Pathによるシームレスな接続

各拠点へVPNのようにシームレスに接続するためには、NetScaler SD-WAN独自のVirtual Pathを利用します。

このVirtual Pathの通信はUDPでカプセル化され、データは暗号化されます。Virtual Pathを冗長化している場合、片方のVirtual Pathが切断された場合もユーザは切断されたことに気がつくことなく通信を継続して利用することができます。

上記のイメージ図では、Availability Zone①のNetScaler SD-WANと各拠点がVirtual Pathで直接接続しています。

Availability Zone②のNetScaler SD-WANと各拠点については、筆者による検証確認ができていないため直接接続していない図となっていますが、システムの可用性を高めるためには各拠点を直接接続するべきであると考えています。ただし、現在AWS内のルーティングは標準機能で動的制御を行えないため、課題が残っています。

AWSの物理構成のイメージ図

AWSではインターネット回線やAvailability Zone間のネットワークは全て冗長構成で実装されています。そのため、一般的に利用者が可用性を押さえる必要があるポイントはEC2インスタンスのみだと思います。

以下の図はAWSの物理構成にVirtual Path接続を描き加えたイメージとなります。

拠点側に配置するNetScaler SD-WANの可用性

拠点側の構成についてもご説明いたします。

筐体の可用性はHA機能でActive/Standby構成を組むことができます。弊社で検証を行った環境ではフェイルオーバー時、10秒以内に通信を再開できることを確認しています。回線の可用性については、専用線やインターネット回線を利用し、回線を束ねて使用することもアプリケーションを認識して重要なアプリケーションのトラフィックを優先して専用線に流すことも可能です。

いかがでしたか?

手順書や指南書のように詳細なアプローチではありませんが、AWS上でNetScaler SD-WANを設計する際に参考になれば幸いです。

概要編ではWAN市場の課題やSD-WANの機能についてご紹介していますので、あわせてご確認ください。