action.skip

Palo Alto VM シリーズを使用した MVE の AWS ホスト型接続の作成

ホスト接続では、1 つのプライベート、パブリック、またはトランジット仮想インターフェイスをサポートできます。これらは専用の接続で、本番環境での使用を推奨しています。

MVEからAWSへのホスト型接続を作成するには

  1. Megaport Portal で、「Services (サービス)」ページに移動し、接続する MVE を選択します。

  2. +Connection (+接続)」、「Cloud (クラウド)」 の順にクリックします。

  3. サービス プロバイダーに AWS、AWS 接続方式にホスト型接続をそれぞれ選択して、宛先ポートを選択し、「Next (次へ)」をクリックします。
    国フィルターを使用して、選択を絞り込むことができます。
    各宛先ポートでは、青色またはオレンジ色アイコンにより、その多様性ゾーンを示します。多様性を実現するには、2 つの接続をそれぞれ異なるゾーンで作成する必要があります。
    AWS ホスト型接続の追加

  4. 次の接続の詳細を指定します。

    • Connection Name (接続名) – Megaport Portal に表示される VXC の名前です。
    • Service Level Reference (サービス レベル参照) (オプション) – コスト センター番号や一意の顧客 ID など、請求目的で使用する VXC の識別番号を指定します。サービス レベル参照番号は、請求書の「Product (プロダクト)」セクションの各サービスに表示されます。また、既存のサービスのこのフィールドを編集することもできます。

      注意

      パートナー マネージド アカウントは、サービスにパートナー ディールを適用することができます。詳細については、「取引をサービスに関連付ける」をご覧ください。

    • Rate Limit (帯域制限) – これは Mbps 単位の接続速度です。展開後は速度を変更できません。ドロップダウンリストには、MVEで使用可能な最大10 Gbpsの事前定義されたレート制限が表示されます。

    • Preferred A-End VLAN (優先 A エンド VLAN) (オプション) – この接続で未使用の VLAN ID を指定します。
      これは、この MVE の一意の VLAN ID である必要があり、2 から 4093 の範囲で指定できます。既に使用されている VLAN ID を指定すると、次に使用可能な VLAN 番号が表示されます。注文を続行するには、VLAN ID が一意である必要があります。値を指定しない場合は、Megaport が値を割り当てます。
      接続の詳細
  5. Next (次へ)」をクリックします。

  6. AWS サービスの接続の詳細を指定します。

    • AWS Connection Name (AWS 接続名) – これはテキスト フィールドであり、AWS コンソールに表示される仮想インターフェイスの名前になります。「AWS Connection Name (AWS 接続名)」 には、1 つ前のステップで指定された名前が自動的に入力されます。

    • AWS Account ID (AWSアカウントID) – 接続するアカウントの ID です。この値は、AWS コンソールの管理セクションにあります。
      AWS接続の詳細

  7. Next (次へ)」をクリックして接続の詳細の概要に進み、「Add VXC (VXC の追加)」をクリックして接続を注文します。

VXC 接続を正常に展開すると、その接続は 「Megaport Portal Services (Megaport ポータル サービス)」 ページに表示され、MVE に関連付けらます。VXC 名をクリックして、この接続の詳細を表示します。サービス ステータス (レイヤー 2) は開始されますが、BGP (レイヤー 3) は開始されません。これは、構成がまだ存在しないからです。

VXC の詳細

Megaport Portal で展開したら、AWS コンソールで接続を受け入れ、接続用の仮想インターフェイスを作成する必要があります。

ホスト型接続を承認するには

  1. AWS で、「Services (サービス)」>「AWS Direct Connect」>「Connections (接続)」と進み、接続名をクリックします。
    AWS接続

  2. ウィンドウの右上にある「Accept(承認)」をクリックします。
    AWS接続を承認する

    AWS が接続を構築する間、状態は数分間保留になります。構築後、ステータスは「ordering (注文中)」から「available (利用可能)」に変わります。

これで接続は可能になりましたが、AWSサービスに接続するにはVIFを作成する必要があります。

ヒント

AWS 接続の承認の詳細については、「AWS ドキュメント」を参照してください。

仮想インターフェイスの作成

ホスト型接続を作成および承認したら、VIFを作成し、ホスト型接続をゲートウェイに接続します。

ヒント

AWS は、パブリック、プライベート、トランジットのインターフェイスを作成するための詳細な手順を提供しています。

VIFを作成および接続するには

  1. AWSコンソールで、「Create Virtual Interface(仮想インターフェイスを作成)」をクリックします。
    AWS仮想インターフェイス

  2. インターフェイスタイプを選択します。

    タイプは、アクセスが必要なサービスの種類によって異なります。

    • Private (プライベート) – プライベート IP アドレスを使用して VPC で実行されているリソースにアクセスします。プライベート仮想ゲートウェイ上のプライベート仮想インターフェイスを終了させる(1つのVPCにアクセスするため)か、Direct Connectゲートウェイ(最大10個のVPCをVIFにマッピングする)を選択できます。
    • Public (パブリック) – すべての AWS パブリック エンドポイント、およびパブリック IP アドレスで到達可能なすべての AWS リソースにアクセスします。
    • Transit (トランジット) – Direct Connect ゲートウェイから 1 つ以上のトランジット ゲートウェイにトラフィックを転送します。VIF にトランジットを選択すると、速度の遅い接続がフィルターされ、インターフェイスに表示されなくなります。
      AWSインターフェイスタイプ
  3. 設定の詳細を指定します。

    • Virtual interface name (仮想インターフェイス名) – 仮想インターフェイスの名前を入力します。
    • Connection (接続) – この仮想インターフェイスをプロビジョニングする物理的な接続です。ここには、Megaport Portalでホスト型接続に指定した名前が表示されます。
    • Virtual interface owner (仮想インターフェイスの所有者) – 仮想インターフェイスを所有するアカウントです。「My AWS account(My AWSアカウント)」を選択します。
    • Direct Connect gateway (Direct Connect ゲートウェイ) – この仮想インターフェイスをアタッチする Direct Connect ゲートウェイを選択します。トランジットVIFは、トランジットゲートウェイに直接接続されているのではなく、Direct Connectゲートウェイに接続されています。
    • VLAN – 仮想インターフェイスに割り当てられた VLAN です。この値はそのままにしておきます。VLANアドレスが表示され、編集可能であるように見えますが、変更しようとするとエラーが発生します。
    • BGP ASN (BGP AS 番号) – BGP セッションの MVE 側の Border Gateway Protocol (BGP) 自律システム番号 (AS 番号) を入力します。

    次のBGPの詳細は、入力するか、空白のままにできます。空白のままにすると、AWSによって自動入力されます。
    AWS BGPの詳細

    仮想インターフェイスでジャンボフレームをサポートするかどうかを選択することもできます。ジャンボMTUを有効にすると、8500バイトのイーサネットパケットをサポートします。

  4. Create virtual interface (仮想インターフェイスの作成)」 をクリックします。

    VIFの詳細とステータスを表示するには、「Services(サービス)」>「AWS Direct Connect」>「Connections(接続)」>「Megaport-Created-Hosted Connection(Megaportが作成したホスト型接続)」の名前に移動します。
    VIFの詳細

    BGP が設定されていないので、インターフェイスの状態は「down (停止)」と表示されます。

接続を承認してAWSでVIFを作成すると、Megaport PortalでVXCの状態が「configured(設定済み)」に変わります。

VM シリーズへの AWS 接続の詳細の追加

MVE から AWS への接続を作成し、AWS コンソールで接続を設定した後、VM シリーズで設定する必要があります。これには、インターフェイスの作成、BGP の設定が含まれます。

VM シリーズで AWS 接続を追加するには

  1. AWSコンソールから接続の詳細を収集します。
    このホスト型接続用にAWSで作成した仮想インターフェイスの詳細を表示します。BGP ASNBGP Auth Key(BGP認証キー)Your Peer IP(ピアIP)Amazon Peer IP(AmazonピアIP)の値に注意してください。
    接続の詳細

  2. Megaport Portalから接続情報を収集します。
    詳細を表示するには、MVEからのAWS接続の歯車アイコンをクリックし、「Details(詳細)」ビューをクリックします。 AエンドVLANの値に注意してください。

  3. VM シリーズにログインします。

  4. 「Network (ネットワーク)」>「Interfaces (インターフェイス)」の順に選択します。

  5. Add Subinterface (サブインターフェイスの追加)」をクリックします。

  6. 次の詳細を入力します。

    • Interface Name (インターフェイス名) – サブインターフェイスの名前を入力します。隣接するフィールドに、サブインターフェイスを識別する数値を入力します。

    • Comment (コメント)AWS VIF dxvif-fh9aokej などの別名を入力します。

    • Tag (タグ) – Megaport Portal で作成した AWS VXC に関連付けられている A エンドの内部 VLAN 値を指定します。

    • Virtual Router (仮想ルーター) – ネットワークで必要に応じて、インターフェイスへの仮想ルーターを選択します。

  7. 「IPv4」タブを選択します。

  8. タイプとして「Static (静的)」を選択します。
  9. +Add (+追加)」をクリックして、新しい IP アドレスを追加します。
  10. IPv4 アドレスとネットマスクを入力します。
    これらの値は、AWSコンソールの仮想インターフェイスの詳細で確認できます。「Your Peer IP(ピアIP)」フィールドにIPアドレスとネットマスクが表示されます。
  11. OK」をクリックします。
  12. 右上の「Commit (コミット)」をクリックします。
    「Commit (コミット)」ボタン
  13. 変更内容を確認し、「Commit (コミット)」をクリックします。 変更のコミット
    新しい VLAN インターフェイスは「ethernet1/1」物理インターフェイスと一緒に表示されます。

次に、インターフェイスがトラフィックをルーティングできるように、セキュリティ ゾーンを作成します。

セキュリティ ゾーンを作成するには

  1. 「ethernet1/1.1010」サブインターフェイスを選択します。
  2. 「Security Zone (セキュリティ ゾーン)」のドロップダウン リストから「New Zone (新規ゾーン)」を選択します。
  3. セキュリティ ゾーンの名前を指定します。
    セキュリティ ゾーン設定
  4. 「Interfaces (インターフェイス)」の下の「+Add (+追加)」をクリックし、セキュリティ ゾーンに「ethernet1/1.1010」を追加します。
  5. ネットワーク セキュリティに必要な追加情報を指定します。
  6. 「Zone Protection Profile (ゾーン保護プロファイル)」のドロップダウン リストから「New Zone Protection Profile (新規ゾーン保護プロファイル)」を選択します。
  7. ネットワーク セキュリティに必要な情報を指定します。この例では、すべてのデフォルトを使用しています。
    ゾーン保護プロファイル
  8. OK」をクリックします。
  9. 「Layer 3 Subinterface (レイヤー 3 サブインターフェイス)」画面で「OK」をクリックします。
  10. 右上の「Commit (コミット)」をクリックします。
    「Commit (コミット)」ボタン
  11. 変更内容を確認し、「Commit (コミット)」をクリックします。 変更のコミット

この時点で、インターフェイスが作成されます。次に、BGP セッションを作成する必要があります。

BGP セッションを作成するには

  1. VM シリーズで、「Network (ネットワーク)」>「Virtual Routers (仮想ルーター)」を選択します。
  2. 仮想ルーターを選択します。
    仮想ルーターの選択
  3. 左側のパネルで BGP を選択します。
  4. 次の BGP の詳細を提供します。

    • Enable (有効化) – これらの変更をコミットした後に BGP セッションを開始するには、このチェック ボックスを選択します。
    • Router ID (ルーター ID) – AWS コンソールの仮想インターフェイスの詳細から「Your Peer IP (ピア IP)」フィールドに表示されている IP アドレスを入力します。
    • AS Number (AS 番号) – MVE 接続用の ASN を入力します。AWSコンソールの仮想インターフェイスの詳細からBGP ASNを使用します。 BGP の詳細
  5. 「Auth Profiles (認証プロファイル)」の「+Add (+追加)」をクリックします。

  6. プロファイル名を指定します。
    プロファイル名
  7. 認証パスワードを入力して確認します。
  8. OK」をクリックします。
  9. 「Peer Group (ピア グループ)」タブを選択します。
    「Peer Group (ピア グループ)」タブ
  10. +Add (+追加)」をクリックして、ピア グループを追加します。
  11. ピア グループ名を指定します。例: AWS-xxxx。
  12. セッション タイプとして eBGP を指定します。
  13. ネットワークに必要な追加の詳細を指定します。
  14. +Add (+追加)」をクリックして、新規ピアを追加します。
  15. ピアの詳細を指定します。
    • Name (名前) – ピア名を指定します。
    • Peer AS (ピア AS) – Amazon 側の自律システム番号 (ASN) を指定します。デフォルトでは、64512 に設定されています。
    • Local Address (ローカル アドレス) – ドロップダウン リストから適切なサブインターフェイスと IP アドレスを選択します。
    • Peer Address (ピア アドレス) – AWS 側の IPv 4 アドレスを入力します。これは、AWS コンソールの仮想インターフェイスの詳細からのAmazon Peer IP です。
      BGP ピア グループ画面
  16. 「Connection Options (接続オプション)」タブを選択します。
    「Connection Options (接続オプション)」タブ
  17. 以前に作成した認証プロファイルを選択します。
  18. 「Peer Group - Peer (ピア グループ -ピア)」画面で「OK」をクリックします。
  19. 「BGP - Peer Group/Peer (BGP -ピア グループ/ピア)」画面で「OK」をクリックします。
  20. 「Virtual Router (仮想ルーター)」画面で「OK」をクリックします。
  21. 右上の「Commit (コミット)」をクリックします。
    「Commit (コミット)」ボタン
  22. 変更内容を確認し、「Commit (コミット)」をクリックします。 変更のコミット

AWS 接続の検証

BGP ピアのステータスを確認するには

  1. 「Network (ネットワーク)」>「Virtual Routers (仮想ルーター)」を選択します。
  2. 仮想ルーターを探します (デフォルト)。
  3. 右側の「Runtime Stats (ランタイム ステータス)」列で「More Runtime Stats (その他のランタイム ステータス)」をクリックします。
    ランタイム ステータス
  4. BGP タブを選択して、「Peer (ピア)」タブを選択します。
  5. ピア ステータスが「Established (確立済み)」であることを確認します。
    確立済みステータス

    AWS Direct Connect ポータルでステータスを確認することもできます (更新に数分かかる場合があります)。
    AWS ステータス