Palo Alto VM シリーズを使用した MVE の AWS ホスト型接続の作成
ホスト接続では、1 つのプライベート、パブリック、またはトランジット仮想インターフェイスをサポートできます。これらは専用の接続で、本番環境での使用を推奨しています。
MVEからAWSへのホスト型接続を作成するには
-
Megaport Portal で、「Services (サービス)」ページに移動し、接続する MVE を選択します。
-
「+Connection (+接続)」、「Cloud (クラウド)」 の順にクリックします。
-
サービス プロバイダーに AWS、AWS 接続方式にホスト型接続をそれぞれ選択して、宛先ポートを選択し、「Next (次へ)」をクリックします。
国フィルターを使用して、選択を絞り込むことができます。
各宛先ポートでは、青色またはオレンジ色アイコンにより、その多様性ゾーンを示します。多様性を実現するには、2 つの接続をそれぞれ異なるゾーンで作成する必要があります。
-
次の接続の詳細を指定します。
- Connection Name (接続名) – Megaport Portal に表示される VXC の名前です。
-
Service Level Reference (サービス レベル参照) (オプション) – コスト センター番号や一意の顧客 ID など、請求目的で使用する VXC の識別番号を指定します。サービス レベル参照番号は、請求書の「Product (プロダクト)」セクションの各サービスに表示されます。また、既存のサービスのこのフィールドを編集することもできます。
注意
パートナー マネージド アカウントは、サービスにパートナー ディールを適用することができます。詳細については、「取引をサービスに関連付ける」をご覧ください。
-
Rate Limit (帯域制限) – これは Mbps 単位の接続速度です。展開後は速度を変更できません。ドロップダウンリストには、MVEで使用可能な最大10 Gbpsの事前定義されたレート制限が表示されます。
- Preferred A-End VLAN (優先 A エンド VLAN) (オプション) – この接続で未使用の VLAN ID を指定します。
これは、この MVE の一意の VLAN ID である必要があり、2 から 4093 の範囲で指定できます。既に使用されている VLAN ID を指定すると、次に使用可能な VLAN 番号が表示されます。注文を続行するには、VLAN ID が一意である必要があります。値を指定しない場合は、Megaport が値を割り当てます。
-
「Next (次へ)」をクリックします。
-
AWS サービスの接続の詳細を指定します。
-
AWS Connection Name (AWS 接続名) – これはテキスト フィールドであり、AWS コンソールに表示される仮想インターフェイスの名前になります。「AWS Connection Name (AWS 接続名)」 には、1 つ前のステップで指定された名前が自動的に入力されます。
-
AWS Account ID (AWSアカウントID) – 接続するアカウントの ID です。この値は、AWS コンソールの管理セクションにあります。
-
-
「Next (次へ)」をクリックして接続の詳細の概要に進み、「Add VXC (VXC の追加)」をクリックして接続を注文します。
VXC 接続を正常に展開すると、その接続は 「Megaport Portal Services (Megaport ポータル サービス)」 ページに表示され、MVE に関連付けらます。VXC 名をクリックして、この接続の詳細を表示します。サービス ステータス (レイヤー 2) は開始されますが、BGP (レイヤー 3) は開始されません。これは、構成がまだ存在しないからです。
Megaport Portal で展開したら、AWS コンソールで接続を受け入れ、接続用の仮想インターフェイスを作成する必要があります。
ホスト型接続を承認するには
-
AWS で、「Services (サービス)」>「AWS Direct Connect」>「Connections (接続)」と進み、接続名をクリックします。
-
ウィンドウの右上にある「Accept(承認)」をクリックします。
AWS が接続を構築する間、状態は数分間保留になります。構築後、ステータスは「ordering (注文中)」から「available (利用可能)」に変わります。
これで接続は可能になりましたが、AWSサービスに接続するにはVIFを作成する必要があります。
ヒント
AWS 接続の承認の詳細については、「AWS ドキュメント」を参照してください。
仮想インターフェイスの作成
ホスト型接続を作成および承認したら、VIFを作成し、ホスト型接続をゲートウェイに接続します。
ヒント
AWS は、パブリック、プライベート、トランジットのインターフェイスを作成するための詳細な手順を提供しています。
VIFを作成および接続するには
-
AWSコンソールで、「Create Virtual Interface(仮想インターフェイスを作成)」をクリックします。
-
インターフェイスタイプを選択します。
タイプは、アクセスが必要なサービスの種類によって異なります。
- Private (プライベート) – プライベート IP アドレスを使用して VPC で実行されているリソースにアクセスします。プライベート仮想ゲートウェイ上のプライベート仮想インターフェイスを終了させる(1つのVPCにアクセスするため)か、Direct Connectゲートウェイ(最大10個のVPCをVIFにマッピングする)を選択できます。
- Public (パブリック) – すべての AWS パブリック エンドポイント、およびパブリック IP アドレスで到達可能なすべての AWS リソースにアクセスします。
- Transit (トランジット) – Direct Connect ゲートウェイから 1 つ以上のトランジット ゲートウェイにトラフィックを転送します。VIF にトランジットを選択すると、速度の遅い接続がフィルターされ、インターフェイスに表示されなくなります。
-
設定の詳細を指定します。
- Virtual interface name (仮想インターフェイス名) – 仮想インターフェイスの名前を入力します。
- Connection (接続) – この仮想インターフェイスをプロビジョニングする物理的な接続です。ここには、Megaport Portalでホスト型接続に指定した名前が表示されます。
- Virtual interface owner (仮想インターフェイスの所有者) – 仮想インターフェイスを所有するアカウントです。「My AWS account(My AWSアカウント)」を選択します。
- Direct Connect gateway (Direct Connect ゲートウェイ) – この仮想インターフェイスをアタッチする Direct Connect ゲートウェイを選択します。トランジットVIFは、トランジットゲートウェイに直接接続されているのではなく、Direct Connectゲートウェイに接続されています。
- VLAN – 仮想インターフェイスに割り当てられた VLAN です。この値はそのままにしておきます。VLANアドレスが表示され、編集可能であるように見えますが、変更しようとするとエラーが発生します。
- BGP ASN (BGP AS 番号) – BGP セッションの MVE 側の Border Gateway Protocol (BGP) 自律システム番号 (AS 番号) を入力します。
次のBGPの詳細は、入力するか、空白のままにできます。空白のままにすると、AWSによって自動入力されます。
仮想インターフェイスでジャンボフレームをサポートするかどうかを選択することもできます。ジャンボMTUを有効にすると、8500バイトのイーサネットパケットをサポートします。
-
「Create virtual interface (仮想インターフェイスの作成)」 をクリックします。
VIFの詳細とステータスを表示するには、「Services(サービス)」>「AWS Direct Connect」>「Connections(接続)」>「Megaport-Created-Hosted Connection(Megaportが作成したホスト型接続)」の名前に移動します。
BGP が設定されていないので、インターフェイスの状態は「down (停止)」と表示されます。
接続を承認してAWSでVIFを作成すると、Megaport PortalでVXCの状態が「configured(設定済み)」に変わります。
VM シリーズへの AWS 接続の詳細の追加
MVE から AWS への接続を作成し、AWS コンソールで接続を設定した後、VM シリーズで設定する必要があります。これには、インターフェイスの作成、BGP の設定が含まれます。
VM シリーズで AWS 接続を追加するには
-
AWSコンソールから接続の詳細を収集します。
このホスト型接続用にAWSで作成した仮想インターフェイスの詳細を表示します。BGP ASN、BGP Auth Key(BGP認証キー)、Your Peer IP(ピアIP)、Amazon Peer IP(AmazonピアIP)の値に注意してください。
-
Megaport Portalから接続情報を収集します。
詳細を表示するには、MVEからのAWS接続の歯車アイコンをクリックし、「Details(詳細)」ビューをクリックします。 AエンドVLANの値に注意してください。 -
VM シリーズにログインします。
-
「Network (ネットワーク)」>「Interfaces (インターフェイス)」の順に選択します。
-
「Add Subinterface (サブインターフェイスの追加)」をクリックします。
-
次の詳細を入力します。
-
Interface Name (インターフェイス名) – サブインターフェイスの名前を入力します。隣接するフィールドに、サブインターフェイスを識別する数値を入力します。
-
Comment (コメント) – AWS VIF dxvif-fh9aokej などの別名を入力します。
-
Tag (タグ) – Megaport Portal で作成した AWS VXC に関連付けられている A エンドの内部 VLAN 値を指定します。
-
Virtual Router (仮想ルーター) – ネットワークで必要に応じて、インターフェイスへの仮想ルーターを選択します。
-
-
「IPv4」タブを選択します。
- タイプとして「Static (静的)」を選択します。
- 「+Add (+追加)」をクリックして、新しい IP アドレスを追加します。
- IPv4 アドレスとネットマスクを入力します。
これらの値は、AWSコンソールの仮想インターフェイスの詳細で確認できます。「Your Peer IP(ピアIP)」フィールドにIPアドレスとネットマスクが表示されます。 - 「OK」をクリックします。
- 右上の「Commit (コミット)」をクリックします。
- 変更内容を確認し、「Commit (コミット)」をクリックします。
新しい VLAN インターフェイスは「ethernet1/1」物理インターフェイスと一緒に表示されます。
次に、インターフェイスがトラフィックをルーティングできるように、セキュリティ ゾーンを作成します。
セキュリティ ゾーンを作成するには
- 「ethernet1/1.1010」サブインターフェイスを選択します。
- 「Security Zone (セキュリティ ゾーン)」のドロップダウン リストから「New Zone (新規ゾーン)」を選択します。
- セキュリティ ゾーンの名前を指定します。
- 「Interfaces (インターフェイス)」の下の「+Add (+追加)」をクリックし、セキュリティ ゾーンに「ethernet1/1.1010」を追加します。
- ネットワーク セキュリティに必要な追加情報を指定します。
- 「Zone Protection Profile (ゾーン保護プロファイル)」のドロップダウン リストから「New Zone Protection Profile (新規ゾーン保護プロファイル)」を選択します。
- ネットワーク セキュリティに必要な情報を指定します。この例では、すべてのデフォルトを使用しています。
- 「OK」をクリックします。
- 「Layer 3 Subinterface (レイヤー 3 サブインターフェイス)」画面で「OK」をクリックします。
- 右上の「Commit (コミット)」をクリックします。
- 変更内容を確認し、「Commit (コミット)」をクリックします。
この時点で、インターフェイスが作成されます。次に、BGP セッションを作成する必要があります。
BGP セッションを作成するには
- VM シリーズで、「Network (ネットワーク)」>「Virtual Routers (仮想ルーター)」を選択します。
- 仮想ルーターを選択します。
- 左側のパネルで BGP を選択します。
-
次の BGP の詳細を提供します。
- Enable (有効化) – これらの変更をコミットした後に BGP セッションを開始するには、このチェック ボックスを選択します。
- Router ID (ルーター ID) – AWS コンソールの仮想インターフェイスの詳細から「Your Peer IP (ピア IP)」フィールドに表示されている IP アドレスを入力します。
- AS Number (AS 番号) – MVE 接続用の ASN を入力します。AWSコンソールの仮想インターフェイスの詳細からBGP ASNを使用します。
-
「Auth Profiles (認証プロファイル)」の「+Add (+追加)」をクリックします。
- プロファイル名を指定します。
- 認証パスワードを入力して確認します。
- 「OK」をクリックします。
- 「Peer Group (ピア グループ)」タブを選択します。
- 「+Add (+追加)」をクリックして、ピア グループを追加します。
- ピア グループ名を指定します。例: AWS-xxxx。
- セッション タイプとして eBGP を指定します。
- ネットワークに必要な追加の詳細を指定します。
- 「+Add (+追加)」をクリックして、新規ピアを追加します。
- ピアの詳細を指定します。
- Name (名前) – ピア名を指定します。
- Peer AS (ピア AS) – Amazon 側の自律システム番号 (ASN) を指定します。デフォルトでは、64512 に設定されています。
- Local Address (ローカル アドレス) – ドロップダウン リストから適切なサブインターフェイスと IP アドレスを選択します。
- Peer Address (ピア アドレス) – AWS 側の IPv 4 アドレスを入力します。これは、AWS コンソールの仮想インターフェイスの詳細からのAmazon Peer IP です。
- 「Connection Options (接続オプション)」タブを選択します。
- 以前に作成した認証プロファイルを選択します。
- 「Peer Group - Peer (ピア グループ -ピア)」画面で「OK」をクリックします。
- 「BGP - Peer Group/Peer (BGP -ピア グループ/ピア)」画面で「OK」をクリックします。
- 「Virtual Router (仮想ルーター)」画面で「OK」をクリックします。
- 右上の「Commit (コミット)」をクリックします。
- 変更内容を確認し、「Commit (コミット)」をクリックします。
AWS 接続の検証
BGP ピアのステータスを確認するには
- 「Network (ネットワーク)」>「Virtual Routers (仮想ルーター)」を選択します。
- 仮想ルーターを探します (デフォルト)。
- 右側の「Runtime Stats (ランタイム ステータス)」列で「More Runtime Stats (その他のランタイム ステータス)」をクリックします。
- BGP タブを選択して、「Peer (ピア)」タブを選択します。
-
ピア ステータスが「Established (確立済み)」であることを確認します。
AWS Direct Connect ポータルでステータスを確認することもできます (更新に数分かかる場合があります)。