IaaS 向けのクラウドホスト型 SD-WAN の隠れたコスト

IaaS 向けのクラウドホスト型 SD-WAN の隠れたコスト

SD-WAN が普及した業界では、ブランチ ロケーションをクラウドに接続する一般的な方法が 3 つあります。ここでは、それぞれの利点と限界について詳しく説明します。

多くの企業は、クラウド移行戦略を実行した後で、アプリケーションの最新化に進みます。これには SD-WAN も含まれます。コンテナ化、マイクロサービス、サーバーレス アーキテクチャ (SD-WAN など) を利用して、クラウドネイティブ アーキテクチャに移行すると、時間が経つにつれコストを低減し、拡張性を高め、開発サイクルと市場投入期間を短縮できます。

ただし、次の課題は、ブランチ サイトがこの最新化されたパブリック クラウドベース アプリケーションに確実に接続できるようにすることです。ところが、プライベート クラウドでホストされるレガシー アプリケーションや、第 2 または第 3 のパブリック クラウド プロバイダーでホストされるサービスがまだいくつも残っているとしたらどうなるでしょうか?

SD-WAN が一般に普及し、エンタープライズ WAN が MPLS からブロードバンドベースのアンダーレイに移行する数が増加するに伴い、ビジネスクリティカルなトラフィックは、ベスト エフォート型のパブリック インターネット ベースの接続を経由するようになりました。こうした「クラウド対応ブランチ」へシフトするには、企業アーキテクチャの観点から再設計が必要になることは明白です。

当社のブログ記事を読んで、SD-WAN と MPLS の類似点、相違点、利点を比較検討してください。

1 つの選択肢は、クラウドに向かうトラフィックをブランチ サイトからデータ センターに戻し、その後、できればプライベート接続を使ってクラウドに送り出すというものです。これは上手く機能する場合もありますが、企業のデータ センターの地理的場所によっては、ヘアピン現象が発生し、レイテンシーが大幅に増加し、アプリケーションのパフォーマンスが低下することがあります。第 2 の選択肢は、ブランチ サイトとクラウドとの直接通信を許可することです。これを実現するには、次のようにさまざまな方法があります。

  • クラウド サービス プロバイダー VPN ゲートウェイ (AWS VPG、Azure VNG、Google Cloud VPN)
  • クラウドベース SD-WAN (AWS Transit VPC、Azure Virtual WAN、Google Cloud NCC など)
  • NaaS (Megaport Virtual Edge)

VPN トンネルを利用した標準的なブランチからクラウドへの接続

中規模の小売企業を例にして考えましょう。この企業は、全米に 40 箇所のブランチ サイトを展開しており、クラウドでホストされている POS/在庫管理プラットフォームにアクセスする必要があります。簡単で信頼できるソリューションとして、クラウド プロバイダーによって提供される標準的なサイト間 VPN ゲートウェイを活用する方法があります。

AWS 環境において、これは 1 つの仮想プライベート クラウド (VPC) に接続された仮想プライベート ゲートウェイへのパブリック インターネットを経由する IPsec トンネルを構築することを意味します。この設計の欠点は、Azure にも適用される 1:1 ルールです。これに相当する VPN ゲートウェイも 1 つの VNet にしか接続できません。仮想ネットワークは 1 つのゲートウェイにのみ制限されるため、これは企業が 2 つ目の仮想ネットワークを構築する場合、2 つ目の VGW と、40 箇所すべてのブランチ サイトへの新しい IPsec トンネルが必要になることを意味します。クラウド プロバイダーでは、1 つの VPN ゲートウェイに接続するブランチ サイトのトンネルの最大数を設けています。Azure の場合、最大数は 30 で、AWS は 10 です (ただし、増設をリクエストできます)。

Simplify-SD-WAN-with-MVE-Diagram-1

達成可能なネットワーク速度にも上限が設けられています。よくある誤解として、クラウドへの IPsec トンネルは 1.25 Gbps に制限されているというものがありますが、実際にはこれはゲートウェイの総スループットです。したがって、40 箇所のブランチ サイトを構成する場合、各サイトはその 1.25 Gbps を共有するため、各サイトのスループットは約 30 Mbps となります。また、ブランチ サイトの 30Mbps はパブリック インターネットを 100% 経由しており、ジッター、パケット ロス、レイテンシーが予測できないレベルで発生する可能性があることも考慮する必要があります。最終的に、クラウドからブランチ サイトへのトラフィックは、パブリック インターネットを経由するため、標準的なクラウド プロバイダーのエグレスまたはデータ転送量 (DTO) 料金として、仮想ネットワークから出て行くギガビットごとに約 10 セントがかかります。

クラウドホスト型 SD-WAN エッジ

前述の標準的な VPN トンネルベース設計の課題を克服するために、クラウド プロバイダーと従来のネットワーク ハードウェア プロバイダー (Megaport パートナーの CiscoFortinet) は、エンタープライズ SD-WAN に統合可能なソリューションを開発しました。

Fortinet Secure SD-WAN が Megaport Virtual Edge (MVE) に対応するようになりました。こちらのブログをお読みください。

SD-WAN は、MPLS、ブロードバンド、LTE などさまざまな基盤となるトランスポート方式を利用して、ブランチ サイトをプライベート/パブリック クラウドでホストされるアプリケーションに接続する仮想化された WAN アーキテクチャです。SD-WAN の主な利点の 1 つは、オーバーレイ WAN 全体でトラフィック パスを誘導するコントロールやルーティングの機能が一元化されている点です。

若干の違いはあるものの、基本的にこのアーキテクチャは、Infrastructure as a Service (IaaS) を利用して SD-WAN ファブリックをパブリック クラウドに拡張し、SD-WAN ベンダー ソフトウェアをクラウド プロバイダーのマーケットプレイスから読み込みます (BYOL: Bring Your Own License (所有しているライセンスの持ち込み))。これにより、極めて迅速な構築、高レベルの自動化、ベンダーの管理コンソールを使用したオペレーションの簡素化が可能になります。

まず、AWS における IaaS ベース ソリューションとその主要コンポーネントを見ていきましょう。最初の Transit VPC は、ブランチ サイトから送受信されるすべてのトラフィックの中央ハブとして、またアプリケーション仮想プライベート クラウド (VPC) へのルートとして機能します。

Transit VPC で 2 つの仮想マシンがスピンアップされ、SD-WAN ベンダーのイメージが読み込まれ、2 つの仮想ルーターが作成されます。仮想ルーターの管理は、Cisco vManage、FortiManager などによって行われます。基盤となる AWS 仮想マシンの時間単位の使用料金は、構築時に選択した仕様によって異なります。

Simplify-SD-WAN-with-MVE-Diagram-2

上の図では、仮想ルーターにノースバウンド IPsec トンネルが構築され、各仮想プライベート ゲートウェイ (VPG) を経由して本番環境、開発環境、テスト VPC に接続されています。両方の仮想ルーターには、SD-WAN 内の各ブランチ サイトへのサウスバウンド IPsec インターネットベース接続もあります。冗長化のため、各ブランチ サイトでは、各仮想ルーターへのトンネルを構築することを推奨します。アプリケーションの VPC 内のプライベート サブネットは、BGP 型ルーティング プロトコルを使用して仮想ルーターにアドバタイズされ、そのサブネットから 40 箇所のブランチ サイトに再アドバタイズされます (分かりやすくするために、図では 5 つのブランチ サイトのみを表示しています)。

Cisco SD-WAN でブランチから Azure への接続をスピンアップする場合は、こちらのステップバイステップのビデオをご視聴ください。

SD-WAN ブランチ サイトの数が増えると、追加の仮想マシン (ルーター) が必要になる可能性があります。必要な IPsec トンネルの暗号化/復号化の量によって、CPU および帯域幅に制限があるからです。

この SD-WAN ソリューションは、パブリック インターネットを活用するため、標準エグレス料金が適用されますが、もう 1 つの隠れたコストとして、エグレス料金の二重課金の可能性を認識する必要があります。ノースバウンド接続はインターネット IPsec トンネルを使用しているため、アプリケーションの VPC から Transit VPC へ転送されるギガバイトごとに料金が請求されます。トラフィックの転送先がブランチ サイトの場合、サウスバウンド Transit VPC であるため、ギガバイトごとに追加料金が発生します。事実上、顧客にはブランチ サイトに到達するギガバイトごとにエグレス料金が二重課金されます。

ワークロードおよびトラフィック フローに応じて、IaaS ベースの SD-WAN ソリューションは、多くの企業で極めて効果的に機能します。ベンダー ロックインの回避、事業継続の計画、あるいは Microsoft Azure などの内部で最適に動作する新しい社内アプリケーションを使用するために、2 番目のクラウド プロバイダーを導入する場合を考えてみましょう。40 箇所すべてのブランチ サイトが AWS VPC および新しい Azure VNets へのアクセスを許可する必要があるため、アーキテクチャは大幅に複雑化します。

Simplify-SD-WAN-With-MVE-Diagram-3

Azure 環境では、仮想 WAN が構築され、仮想ハブ VNet が作成されます (多くの場合、AWS Transit VPC に対しても同様)。ここでも、2 台の仮想マシンがこのハブ内でスピンアップされ、ネットワーク仮想アプライアンス (NVA) を作成するために SD-WAN ソフトウェアは追加で読み込まれます。既存のブランチ サイトは、IPsec トンネル経由で Azure 仮想ハブ内の両方の NVA に接続されます (AWS への既存の 2 つのトンネルに追加)。図に示すように、これは数百の IPsec トンネルがあることを意味します。

ここまでは、ブランチからクラウドへのフローにおけるマルチクラウドのみを考慮してきましたが、クラウド間接続にも要件があります。例えば、クロスクラウド データ レプリケーションです。ここでの選択肢としては、トラフィックをオンプレミス データ センターに U ターンさせる方法 (レイテンシーが高めになる) や、Azure 仮想ハブと AWS Transit VPC 間の新しい IPsec トンネルを構築する方法があります。もちろん、インターネット エグレス料金が発生し、トンネル速度にも制限がかかります。

Megaport Virtual Edge (MVE)

AWS Direct Connect、Azure ExpressRoute、Google Cloud Interconnect などのプライベート レイヤー 2 クラウド接続と組み合わせた Megaport Virtual Edge (MVE) は、上記の 2 つのソリューションで特定された欠点の多くに対処します。

MVE は、重要なアプリケーションがどこにあっても、その最適な経路を戦略的に構築する機能を提供することで、既存のエンタープライズ SD-WAN プラットフォームを強化します。基本的に、MVE を利用すると、企業は独自のリージョンの PoP を数分で構築し、Megaport のグローバル Software Defined Network (SDN) を活用することで、WAN 範囲を拡張できます。現在、全世界に 22 の MVE 大都市圏リージョンがあり、各リージョンには少なくとも 2 つのデータ センターとインターネット トランジット プロバイダーがあり、エンドツーエンド WAN 障害耐性を提供するために MVE アベイラビリティー ゾーンをサポートしています。

ここでは、MVE の中核となる要素と機能を理解するために、MVE のボンネットの中を見てみましょう。

MVE は、vCPU、IP トランジット、接続されるブランチ サイトの数の組み合わせに基づいて、3 つのサイズで提供される仮想化されたオンデマンド SD-WAN エッジ デバイスです。SD-WAN ベンダー ソフトウェアは顧客が選択できます。現在、MVE がサポートしているのは Cisco および Fortinet ですが、2021 年内にはさらに選択肢が増える予定です。今後、MVE は企業の WAN ファブリック内で通常の SD-WAN アプライアンスと同様に効率的に管理され、Cisco vManage や FortiManager などから構成できるようになります。

ブランチ トラフィックは、ファーストマイルのローカル インターネット経由で MVE に到達します。通常、近接度にもよりますが、10ms 未満です。そこから、MVE は、プライベート レイヤー 2 接続 (AWS Direct Connect、Azure ExpressRoute、Google Cloud Interconnect など) に対応する 235 を超えるパブリック クラウド オンランプを含むグローバル Megaport ファブリックにアクセスできます。

仕組み

SD-WAN ブランチ サイトは、Megaport が提供するパブリック IP アドレスを使用して、内蔵の冗長、Tier 1 IP トランジットを経由して、MVE への IPsec アタッチメントを構築できます。ブランチ トラフィックが MVE に到達したら、企業は一元化された MVE ロケーションでブランチ サイト トラフィックを集約し、直ちにインターネット IPsec トンネルから移行して、Megaport バックボーン経由でそのトラフィックを大手クラウド プロバイダーに再ルーティングします。これには数多くの利点があります。

Simplify-SD-WAN-with-MVE-Diagram-4

利点

  1. **アプリケーション パフォーマンス:**以前はパブリック インターネット経由でクラウドベース アプリケーションにアクセスしていたブランチでパフォーマンスが向上します。これにより、「ファーストマイル」のみがインターネットを経由し、大部分のパスは Megaport のバックボーンを経由することになり、ジッター、レイテンシー、パケット ロスが減少します。

  2. Megaport ファブリックへのアクセス:MVE は、全世界で 360 を超えるサービス プロバイダーと 700 を超える対応データ センターから構成される Megaport のエコシステムにアクセスを許可します。このエコシステムには、235 以上のクラウド オンランプ、ほとんどのニュートラル Network as a Service (NaaS) プロバイダーが含まれます。

  3. 運営コストの削減:インターネット IPsec トンネルを経由してハイパースケーラーのプライベート接続を使用することで、エグレス料金は 70 ~ 80% 下がります。北米の場合、これはギガバイトごとに平均 10 セントから約 2 セントまで削減されることを意味します。40 のブランチ サイトをベースラインとし、デュアル AWS VM (C5 ラージ) でクラウドからブランチに毎月 10TB 転送するとして MVE と IaaS SD-WAN トランジット ソリューションを比較する場合、エグレス料金以外にも MVE ソリューションは月額 15% のコスト削減を実現します。

  4. **ネットワークの簡素化:**ここでも 40 のブランチ サイトを例にすると、IaaS ソリューションでは、サイトごとに 4 本以上の IPsec トンネルが必要になり、最低でも合計 160 本のトンネルが必要になることを意味します。これらのトンネルには、それぞれ /30 IP アドレス、リンク状態通知が必要になり、ブランチとクラウドベース仮想ルーターの両方で貴重な CPU リソースを大量に消費してしまいます。MVE に移行することで、企業はネットワーク アーキテクチャの複雑さを大幅に軽減することができます。

  5. **SD-WAN の効率化:**SD-WAN プラットフォームを MVE に統合すると、Megaport の 仮想クロス コネクト (VXC) を使用して WAN 全体で戦略的ミドルマイル トランスポートを構築できます。SD-WAN トラフィックシェーピング サービスは、エンドツーエンド アプリケーションのためにより効率的な経路を即座に活用します。

  6. **オンデマンド:**機器を購入したり、データ センター内に設置したり、クロス コネクトを実行したりする必要はありません。(IaaS ソリューション同様) MVE はリアルタイムでプロビジョニングでき、数分以内に使用準備が整います。

  7. **クラウド間接続:**最後に、MVE には AWS および Azure へのプライベート レイヤー 2 接続が含まれるため、クラウド間トラフィックもその接続を活用し、コストがかかる IPsec トンネルを回避できます。また、オンプレミス ルーターにトラフィックを U ターンさせることも強制されません。

    初期の SD-WAN 構築の多くは、高額なブランチの MPLS 接続をブロードバンドや LTE などのよりコスト効率の高いソリューションに置き換えるという長期的な目標が動機となっています。これと並行して、同じ組織がクラウド移行やアプリケーションの近代化戦略を進めています。Megaport Virtual Edge は、SD-WAN とクラウド (プライベート、パブリック、ハイブリッド、マルチクラウドを含む) 間のブリッジとして機能することで、このようなすべての目標を達成することを可能にします。

SD-WAN がエンタープライズ ネットワークを向上させる仕組みをご覧ください。

SD-WAN 技術は極めて強力です。その中心的な価値は、アプリケーション トラフィックを形成し、複数の WAN トランスポートを介してそれを誘導する能力です。Megaport Virtual Edge をエンタープライズ WAN ファブリックに挿入すると、企業は WAN をより柔軟にコントロールし、アプリケーションを最適化できます (これは、クラウドホスト型 SD-WAN エッジを使用する場合には必ずしも実現できません)。MVE があれば、ネットワークを大幅に簡素化すると同時に、イグレス料金を大幅に削減できます。

Megaport Virtual Edge は、北米、アジア太平洋地域、ヨーロッパの 22 箇所のロケーションで SD-WAN エッジ ルーターの仮想インスタンスをホストできます。詳細については、こちらをクリックしてください。

関連記事

クラウド ハブまたは SDCI:最適なプライベート接続方法はどちらでしょうか?

クラウド ハブまたは SDCI:最適なプライベート接続方法はどちらでしょうか?

クラウド ハブとソフトウェア定義クラウド相互接続 (SDCI) は、どちらも一般的なプライベート接続方法です。しかし、貴社に最も適しているのはどちらでしょうか?

続きを読む
マルチクラウド セットアップの隠れた3つのコスト

マルチクラウド セットアップの隠れた3つのコスト

ビジネスの収益を伸ばしたいと考えている場合、クラウドには徐々に積み重なる手数料がいくつかあることを認識しておく必要があります。ここではその管理方法を紹介します。 クラウドへの接続にコストがかかることは誰もが知っています。サブスクリプション料金またはストレージ パッケージであれ、クラウドの利用料金はすぐに積み重なる可能性があります。 2024 年までには 94% の組織によるマルチクラウド ネットワークの採用が予想され、COVID-19 のパンデミックによるどこでも働けるモデルへの移行により、マルチクラウドの人気は高まるばかりです。マルチクラウドは、ネットワーク パフォーマンス、セキュリティ、および管理にさまざまなメリットを提供する設定となっています。しかし、適切な設定がなければ、全く予期しない状態からコストがすぐに積み重なる可能性があります。幸い、予想外の出来事なく、安心してマルチクラウド体験をするために、これらの隠れたコストを削減および管理する方法があります。 利点 お客様のビジネスが複数のクラウド プロバイダーに接続することで、従来または単一のクラウド ネットワーク設定では保証できない、いくつかの利点が期待できます。まず、最高の機能の中から必要なものを自由に選択することができ、ベンダー ロックイン (他のベンダーへの切り替えが実用的でないため、ユーザーがサービスの利用継続を余儀なくされること)から解放されます。また、データの漏洩やシステム クラッシュが発生し、隣接するプロバイダーのサービスが突然停止した場合でも、安全でコスト効率の高い災害復旧計画を利用できます。 マルチクラウドのコツをさらに知りたいですか?こちらから 2022 年初心者向けガイドをお読みになり、お客様のビジネスにもたらされるその他のメリットをご覧ください。 隠れたコスト 適切な計画なしでは、クラウドの利便性にコストがかかる可能性があります。回避できない接続料金に加え、企業によるクラウド支出の予算を立てる際、考慮すべき重要なコストが 3 つあります。

  1. エグレス料金 – クラウド サービス プロバイダー (CSP) からのデータ移行コスト
  2. ネットワーク アンダーレイ – クラウドへの接続およびクラウド間の接続をインストールして管理するためのコスト
  3. クラウド間のデータのヘアピン現象 – 現場のデータ センターを経由するクラウド間のルーティング コスト (仮想クラウド ルーターを使用することで軽減できるコスト)。 エグレス料金 必要な量のデータを CSP に移行できる一方、データを CSP から移行するときは、データ 1 GB ごとに課金されます。そのため、エグレスとは「外に出る」ことを意味します。これらの料金は、通常後払いで請求されるため、気付かないことが多くあります。つまり、アプリケーションがデータを抽出し続ける中、見えないところで料金がかさむ場合があります。エグレス料金の監視と管理は、グローバル ワークロードのサポートをマルチクラウド プロバイダーに依存している大規模組織にとって、重要な課題となる可能性があります。 これらの料金は、移動するデータの容量や、移動先によって異なります(可用性ゾーン間でデータを転送する場合のコストは低いですが、たとえば、大陸間でデータを移動する場合、高額のクラウド利用料金を請求される恐れがあります)。さらに、これらの料金はすべて、インターネットなど、パブリック接続を介してトラフィックやデータをルーティングする際、高いレートで課金されます。 エグレス料金がビジネスの成長に予期せぬ障害となり得る一方、料金を確実に削減する方法があります。 エグレス料金を削減する方法 高額な隠れたエグレス料金を常に把握しておく方法はいくつかあります。いくつのクラウドにどれだけの容量のデータを保存するかを戦略的に整理、移行することで、CSP から請求されるエグレス料金を最小限に抑え、必要なことへより多くの予算を割り当てることができます。 まず、リスクの高いパブリック インターネット VPN とは対照的に、セキュアなプライベート ネットワーク経由で接続を確立することが重要です。この方法では、CSP から次のような利益を得られます。各プロバイダーの独自のプライベート接続 (AWS Direct Connect や Microsoft Azure ExpressRoute など) に接続することにより、クラウド移行のエグレス料金を大幅に削減することができます。

続きを読む
SD-WAN ガイド

SD-WAN ガイド

SD-WAN は、信頼性の高いエッジからクラウドへの接続を提供するその能力によって、ネットワークの世界で旋風を起こしています。ここでは、その仕組みと、どのように役立てることができるかを紹介します。

続きを読む