Versa Secure SD-WAN の構築の計画

このトピックでは、プロビジョニングプロセスの概要と、 Megaport Virtual Edge (MVE) 向けの構築に関する考慮事項について説明します。

利用者が提供	Megaport が提供
ブランチからのインターネット接続	仮想SD-WAN機器をホストするプラットフォーム
SD-WANベンダーのブランチでの有効化	ブランチからMegaportネットワーク上の任意の宛先への完全な接続と、他のMegaport製品・サービスとの相互運用。
ブランチに設置された顧客構内設備 (CPE)	Megaport Internetインターネット経由で MVE とブランチの CPE 間のトンネルを終端する分散型サービス拒否 (DDoS) を利用した接続。
Megaport SDNで使用するSD-WANソフトウェアライセンス	Megaportエコシステムへのアクセス

構築の考慮事項

このセクションでは、MVEの展開オプションと機能の概要を説明します。

SD-WAN ベンダー

MVE は、Versa の Director コンソールを使ってプライベートオーバーレイネットワークを作成する Versa Secure SD-WAN と統合されます。

その他の SD-WAN プロバイダーには、Aruba SD-WAN、Cisco SD-WAN、Fortinet Secure SD-WAN、VMware SD-WAN などがあります。

Versa Secure SD-WAN の特徴

Versa Secure SD-WAN は、次のような主要な機能に焦点を当てています。

SD-WAN とセキュアアクセスサービスエッジ (SASE) – クラス最高のセキュリティを提供する単一プラットフォームです。「SASE を使用したネットワークの保護」をご覧ください。
1 つのソフトウェアスタック – セキュリティ、高度なネットワーキング、堅牢な分析、自動化のための単一パイプライン統合アーキテクチャ。

Versa Operating System (VOS) は、次世代ファイアウォール (NGFW) と SD-WAN の両サービスを 1 つの仮想マシンで実現します。MVE 上の仮想マシンとして構築された VOS アプライアンスは、エッジからクラウドへのネットワーク接続を最適化するだけでなく、Megaport バックボーンセグメント全体に高度なセキュリティサービスやポリシーを適用します。

Versa SASE ゲートウェイ機能は、VOS の多くの機能の一部として MVE 上に構築することも可能です。Versa はこの構築モデルをプライベートゲートウェイと呼んでいます。これは、Versa クラウドゲートウェイと同じ機能を提供しますが、顧客またはサービスプロバイダーのプラットフォーム上で実行される点が異なります。

MVE にホストされている柔軟性の高い VOS は、次のような SASE の中核となるサービスを提供します。

Cloud Acess Security Broker (CASB)
次世代ファイアウォール (NGFW)
Secure Web Gateway (SWG)
ゼロトラストネットワークアクセス (ZTNA)

Versa Secure Access Client (VSAC) は、SD-WAN とセキュリティサービスをクライアントデバイスに拡張するエンドポイントセキュリティエージェントです。VSAC は Intelligent Gateway Selection を提供し、クライアントは Versa Cloud Gateway またはプライベートゲートウェイ (MVE 上) に接続することが可能です。VSAC ポリシーは、特定のアプリケーションに基づき、クライアントのネットワークトラフィックを制御します。例えば、AWS にホストされているリアルタイム金融取引アプリケーションのクライアントネットワークトラフィックは MVE 上の VOS を経由し、クラウドベースのファイルストレージリポジトリのトラフィックは Versa Cloud Gateway を経由することが可能です。

Versa SASE

詳細については、『VOS Versa Operating System』と『Versa Secure Access』をご覧ください。

MVE ロケーション

MVE に接続できるグローバルなロケーションのリストについては、「Megaport Virtual Edge のロケーション」を参照してください。

MVE インスタンスのサイジング

インスタンスサイズは、何個の同時接続をサポートできるかなど、MVEの容量を決定します。MVE のインスタンスはこれらのサイズに集約されています。

パッケージサイズ	vCPU	DRAM	ストレージ	Megaport Internet 速度 *
MVE 2/8	2	8 GB	80 GB	20 Mbps から 10 Gbps まで調整可能
MVE 4/16	4	16 GB	80 GB	20 Mbps から 10 Gbps まで調整可能
MVE 8/32	8	32 GB	80 GB	20 Mbps から 10 Gbps まで調整可能
MVE 12/48	12	48 GB	80 GB	20 Mbps から 10 Gbps まで調整可能

* Megaport Internet アクセスは対称的、冗長性、多様性、DDoS スクラビング保護が組み込まれています。Megaport Internet アクセスは、MVE への Megaport Internet 接続を通じて調整可能です。

これらの性能と容量の指標は推定値であり、ご使用時の速度は異なります。MVEのインスタンスサイズを選択する際には、以下の項目を考慮してください。

ネットワークのデータストリームの負荷が増加すると、性能が低下します。例えば、IPsecによるセキュアトンネルの確立、トラフィックパスステアリングの追加、ディープパケットインスペクション（DPI）の使用などは、最大スループット速度に影響を与えます。
ネットワークを拡張するための今後の計画

将来的にMVEの容量が必要になった場合どうするか

いくつかの選択肢があります。

別の MVE インスタンスをプロビジョニングし、SD-WAN オーバーレイネットワークに追加して、2 つの MVE にワークロードを分割することができます。
より大きな MVE インスタンスをプロビジョニングして SD-WAN オーバーレイネットワークに追加し、古い MVE から新しい大きな MVE に接続を移行してから、古い MVE を停止することができます。

仮想マシンを解体することなく、いつでも Megaport Internet 帯域幅を調整できます。

セキュリティ

MVE は Megaport SDN 上のどのエンドポイントやサービスプロバイダーに対しても、インターネットに接続されたブランチロケーション間で容量を確実に提供します。CSP がホストするパートナーの SD-WAN プロダクトのインスタンスは、重要なトラフィックを Megaport SDN でルーティングし、インターネットへの依存度を低減します。トラフィックは暗号化されたままMegaportSDNとMVEの間を移動し、その間ご使用のポリシーコントロールが有効です。

MVEの各サブスクリプションには、追加料金なしで分散型サービス拒否（DDoS）攻撃対策が含まれています。

Versa Secure SD-WAN には、包括的なセキュリティ機能であるセキュアアクセスサービスエッジ (SASE) へのアクセスが含まれています。MVE 上の Versa は、SASE と SD-WAN のサービスをネイティブにサポートします。詳細については、「SASE を使用したネットワークの保護」をご覧ください。

ライセンス

MVE で使用する Versa (Director) SD-WAN のライセンスはお客様がご用意ください。Megaportネットワーク上に作成されたSD-WANエンドポイントに適切なライセンスを取得することはお客様の責任です。

VLAN タギング

Megaport では、Q-in-Q を使用して、ホストハードウェアシステム上の VXC と MVE を区別しています。テナント MVE は、インターネット側のリンクではタグなしのトラフィックを受信し、Megaport ネットワーク上の他の宛先 (CSP オンランプや他の MVE など) へはシングルタグの 802.1Q トラフィックを受信します。

vNIC

各 MVE は、最大 5 つの vNIC を持つことができます。MVE はデフォルトで 1 つの vNIC で作成されます。最大 4 つまで追加でき、合計 5 つまで持つことができます。

MVE の vNIC の数を指定する前に、次のことを行います。

MVE が注文された後、vNIC の数を変更することはできません。MVE を作成するときに指定する vNIC の数を事前に決定します。
vNIC を追加しても機能に影響がないことを確認するには、サービスプロバイダーに相談してください。

注意

MVE の注文後に vNIC の数を変更する必要がある場合は、MVE をキャンセルして再注文する必要があります。

最終更新日: 2024-02-06