はじめに
- 各社仮想ネットワークサービスを比較して気を付けるべきところを把握する(思い込みをしないようにする)
- 仮想ネットワークの仕組みを オンプレの世界も併せてみていきたいと思います
そもそもクラウドの仮想ネットワーク実装について
主に以下の技術を用いてテナントごとに、複数のL2ネットワークを実装しているかと思われる。 そして各仮想ネットワーク情報は、SDNコントローラ上にテナントやその他識別子と紐づけられて格納されている(と思われる)
VLAN:L2空間上でL2仮想ネットワークを実装するためのネットワークプロトコル VXLAN:L3空間上でL2仮想ネットワークを実装するためのネットワークプロトコル EVPN:VPN上でL2仮想ネットワークを実装するためのネットワークプロトコル
パブリッククラウドについて
各社でネットワーク構成に差分が存在した。
個人的な意見をまとめる
Amazon Virtual Private Cloud:
- 各リージョン(VPC)、各サブネットでCIDRが決まるため、ゾーン又はリージョン間でインスタンスを移動させる際にはIP変更が必要になる
- VPC Peeringの際には同一のCIDRが存在してはいけないため、設計には気を付ける
- AWSはサブネットがAZで区切られているため、AZ内でのブロードキャストストームが発生しても、大きな問題にならない?
- GCPとは違いVPCがリージョン毎に存在するため、マルチリージョンでサービスを構成する際には一手間かかる
-> さまざまな要素が細かく区分けされているため、まずは小規模から初めていくスタイル -> 拡張したい場合は別途サービスを使うことによりいくらでも規模拡大を可能にしている設計思想
Azure Virtual Network:
- 各リージョン(VPC)でCIDRが決まるため、リージョン間でインスタンスを移動させる際にはIP変更が必要になる
- VPC Peeringの際には同一のCIDRが存在してはいけないため、設計には気を付ける
- GCP同様サブネットを跨げるためAZ毎に冗長構成にする際には中が必要
- GCPとは違いVPCがリージョン毎に存在するため、マルチリージョンでサービスを構成する際には一手間かかる
-> 基本的にはAWSとサービス設計思想が同じに思える -> ただサブネットがゾーンを跨げるため、ゾーンを移動する際に同じIPを使用できる
Virtual Private Cloud:
- リージョンとサブネットを指定するだけで複数のリージョンに跨ったサブネットが作成できる(思想が大分違う)
- リージョンごとでルーティングさせるか、グローバルでルーティングさせるかを選べる
- VPC Peering機能自体は存在し、異なるプロジェクト間をPrivateIPで繋げることが可能
- サブネットを跨げるためゾーンごとに冗長している際にはブロードキャストストームを気を付ける必要がある?
- グローバルなVPCになるため、IPが重複にならないような設計が必要
-> グローバル展開をとても意識したサービスになっている
セキュリティ
各社でVPC(VNET)やサブネットの範囲(定義)が異なるということは、 それに紐づいているセキュリティ機能についても差分が発生します。
個人的に名前の差分だけで、大きな差分は存在していないように思える。
GCPのファイアウォールは管理範囲がグローバルになるだけであり、大きな差分とは言えない。
まとめ
- AWS/Azureは小規模から初めていくスタイルのサービス
- GCPはリージョンを跨いだ大規模展開を計画するのであれば、候補に入りやすいサービス
- AWS/Azureはリージョン間Peeringを行う際にCIDRの重複に気を付ける必要がある
以上
