Versa Secure SD-WAN の構築の計画
このトピックでは、プロビジョニング プロセスの概要と、 Megaport Virtual Edge (MVE) 向けの構築に関する考慮事項について説明します。
| 利用者が提供 | Megaport が提供 |
|---|---|
| ブランチからのインターネット接続 | 仮想SD-WAN機器をホストするプラットフォーム |
| SD-WANベンダーのブランチでの有効化 | ブランチからMegaportネットワーク上の任意の宛先への完全な接続と、他のMegaport製品・サービスとの相互運用。 |
| ブランチに設置された CPE (カスタマー構内設備) | ブランチの MVE と CPE の間のトンネルを終端するインターネットへの DDoS (分散型サービス拒否) 接続 |
| Megaport SDNで使用するSD-WANソフトウェアライセンス | Megaportエコシステムへのアクセス |
構築の考慮事項
このセクションでは、MVEの展開オプションと機能の概要を説明します。
SD-WAN ベンダー
MVE は、Versa の Director コンソールを使ってプライベート オーバーレイ ネットワークを作成する Versa Secure SD-WAN と統合されます。
その他の SD-WAN プロバイダーには、Aruba SD-WAN、Cisco SD-WAN、Fortinet Secure SD-WAN、VMware SD-WAN などがあります。
Versa Secure SD-WAN の特徴
Versa Secure SD-WAN は、次のような主要な機能に焦点を当てています。
- SD-WAN とセキュア アクセス サービス エッジ (SASE) - クラス最高のセキュリティを提供する単一プラットフォームです。「SASE を使用したネットワークの保護」をご覧ください。
- 1 つのソフトウェア スタック- セキュリティ、 高度なネットワーキング、堅牢な分析、自動化のための単一パイプライン統合アーキテクチャ。
Versa Operating System (VOS) は、次世代ファイアウォール (NGFW) と SD-WAN の両サービスを 1 つの仮想マシンで実現します。MVE 上の仮想マシンとして構築された VOS アプライアンスは、エッジからクラウドへのネットワーク接続を最適化するだけでなく、Megaport バックボーン セグメント全体に高度なセキュリティ サービスやポリシーを適用します。
Versa SASE ゲートウェイ機能は、VOS の多くの機能の一部として MVE 上に構築することも可能です。Versa はこの構築モデルをプライベート ゲートウェイと呼んでいます。これは、Versa クラウド ゲートウェイと同じ機能を提供しますが、顧客またはサービス プロバイダーのプラットフォーム上で実行される点が異なります。
MVE にホストされている柔軟性の高い VOS は、次のような SASE の中核となるサービスを提供します。
- Cloud Acess Security Broker (CASB)
- 次世代ファイアウォール (NGFW)
- Secure Web Gateway (SWG)
- ゼロトラスト ネットワーク アクセス (ZTNA)
Versa Secure Access Client (VSAC) は、SD-WAN とセキュリティ サービスをクライアント デバイスに拡張するエンドポイント セキュリティ エージェントです。VSAC は Intelligent Gateway Selection を提供し、クライアントは Versa Cloud Gateway またはプライベート ゲートウェイ (MVE 上) に接続することが可能です。VSAC ポリシーは、特定のアプリケーションに基づき、クライアントのネットワーク トラフィックを制御します。例えば、AWS にホストされているリアルタイム金融取引アプリケーションのクライアント ネットワーク トラフィックは MVE 上 の VOS を経由し、クラウドベースのファイル ストレージ リポジトリのトラフィックは Versa Cloud Gateway を経由することが可能です。
詳細については、 『VOS Versa Operating System』と『Versa Secure Access』をご覧ください。
MVE ロケーション
MVE に接続できるグローバルなロケーションのリストについては、「Megaport Virtual Edge のロケーション」を参照してください。
MVE インスタンスのサイジング
インスタンスサイズは、何個の同時接続をサポートできるかなど、MVEの容量を決定します。MVE のインスタンスはこれらのサイズに集約されています。
| パッケージ サイズ | vCPU | DRAM | ストレージ | インターネット アクセス * |
|---|---|---|---|---|
| MVE 2/4/20 | 2 | 4 GB | 80 GB | 20 Mbps |
| MVE 4/8/20 | 4 | 8 GB | 80 GB | 20 Mbps |
| MVE 2/4/100 | 2 | 4 GB | 80 GB | 100 Mbps |
| MVE 4/8/200 | 4 | 8 GB | 80 GB | 200 Mbps |
| MVE 2/4/500 | 2 | 4 GB | 80 GB | 500 Mbps |
| MVE 4/8/1000 | 4 | 8 GB | 80 GB | 1000 Mbps |
| MVE 8/16/5000 | 8 | 16 GB | 80 GB | 5000 Mbps |
| MVE 12/24/5000 | 12 | 24 GB | 80 GB | 5000 Mbps |
* インターネット アクセスは対称的、冗長性、多様性があり、DDoS 保護が組み込まれています。
これらの性能と容量の指標は推定値であり、ご使用時の速度は異なります。MVEのインスタンスサイズを選択する際には、以下の項目を考慮してください。
-
ネットワークのデータストリームの負荷が増加すると、性能が低下します。例えば、IPsecによるセキュアトンネルの確立、トラフィックパスステアリングの追加、ディープパケットインスペクション(DPI)の使用などは、最大スループット速度に影響を与えます。
-
ネットワークを拡張するための今後の計画
将来的にMVEの容量が必要になった場合どうするか
いくつかの選択肢があります。
-
別の MVE インスタンスをプロビジョニングし、SD-WAN オーバーレイネットワークに追加して、2 つの MVE にワークロードを分割することができます。
-
より大きな MVE インスタンスをプロビジョニングして SD-WAN オーバーレイ ネットワークに追加し、古い MVE から新しい大きな MVE に接続を移行してから、古い MVE を停止することができます。
セキュリティ
MVEはMegaportのSDN上のどのエンドポイントやサービスプロバイダーに対しても、インターネットに接続されたブランチ間の容量を確実に提供します。CSPがホストするパートナーのSD-WAN製品のインスタンスは、重要なトラフィックをMegaportのSDNでルーティングし、インターネットへの依存度を低減します。トラフィックは暗号化されたままMegaportSDNとMVEの間を移動し、その間ご使用のポリシーコントロールが有効です。
MVEの各サブスクリプションには、追加料金なしで分散型サービス拒否(DDoS)攻撃対策が含まれています。
Versa Secure SD-WAN には、包括的なセキュリティ機能であるセキュア アクセス サービス エッジ (SASE) へのアクセスが含まれています。MVE 上の Versa は、SASE と SD-WAN のサービスをネイティブにサポートします。詳細については、「SASE を使用したネットワークの保護」をご覧ください。
ライセンス
MVE で使用する Versa (Director) SD-WAN のライセンスはお客様がご用意ください。Megaportネットワーク上に作成されたSD-WANエンドポイントに適切なライセンスを取得することはお客様の責任です。
VLAN タギング
Megaport では、Q-in-Q を使用して、ホスト ハードウェア システム上の VXC と MVE を区別しています。テナント MVE は、インターネット側のリンクではタグなしのトラフィックを受信し、Megaport ネットワーク上の他の宛先 (CSP オンランプや他の MVE など) へはシングル タグの 802.1Q トラフィックを受信します。