AWS Integration Lab Manual

はじめに

VMware Cloud on AWS を採用する理由の一つとして、AWS の Virtual Private Cloud (VPC) 環境にあるアプリケーションプラットフォームと、VMware Cloud on AWS の環境にある既存のシステムを統合することが挙げられます。VMware と AWS のこの統合は、これらのアプリケーションサービスとの通信を可能にします(通信コストは無償)。ネイティブ AWS VPC のサブネットにある EC2 インスタンスといったサービスのプライベートネットワークアドレススペースを介して可能となります。また、S3 ストレージなどの VPC Endpoint との接続によるプラットフォームサービスとも可能です。

AWS サービスとの統合の理解

上の図にあるように、VMware のスタックは AWS のサービスのとなりにあるだけでなく、これらのサービスに密接に統合されています。VMware SDDC と一緒に AWS のサービスをデザイン、活用するための新しい方法をもたらします。既に顧客が利用している統合には以下があります:

  • VMware SDDC をフロントエンドとし、AWS RDS をバックエンドとしたシステム
  • VMware SDDC をバックエンドとし、AWS EC2 をフロントエンドとしたシステム
  • AWS のアプリケーションロードバランサー (ELBv2) と VMware SDDC のフロンドエンドを組み合わせたシステム (プライベート IP をポイント)
  • Lambda、Simple Queueing Service (SQS)、Simple Notification Service (SNS)、S3、Route53、、Cognito と VMware SDDC を組み合わせたシステム
  • AWS Lex、Alexa と VMware Cloud の API を組み合わせたシステム

これらは、顧客が実現した統合の一部でしかありません。このほかにも、皆様の環境に統合できるたくさんのサービスがあります。この演習では、AWS Simple Storage Service (S3) と AWS Relational Database Service (RDS) と VMware Cloud SDDC を組み合わせたシステムを扱います

注意: このラボを行う要件として、コンテンツライブラリ作成、ネットワーク作成、ファイアウォールルール作成を含む、SDDC の操作を完了している必要あります。

統合の実現方法

AWS のインフラストラクチャ上に SDDC があるだけでなく、顧客の Virtual Private Cloud (VPC) と VMware Cloud on AWS を接続する Elastic Network Interface (ENI) によって実現されます。ENI は、SDDC と VPC 間で広帯域幅、低遅延の接続を提供します。ENI により 2 つのテクノロジー (VMware と AWS) 間でトラフィックが流れることになります。同一アベイラビリティーゾーンでの ENI 越しの通信には EGRESS チャージが掛かりません。また、セキュリティを目的に、この接続の両端ではファイアウォールがあります。

ENI 越しの通信の安全性

VMware 側から見ると、ENI は SDDC にコンピュートゲートウェイ(NSX Edge)から入ってきます。これは、こちら側の終端では ENI からのトラフィックの許可、不許可を NSX ファイアウォールで制御できることを意味します。デフォルトでは、ENI からのトラフィックは SDDC に流れてきません。ルールを変更するまでは、これは ENI を通じた AWS サービスから、あるいは、AWS サービスへのトラフィックをブロックするセキュリティのゲートとして考えて下さい。

AWS サービス側から見ると、セキュリティグループが利用されます。セキュリティグループについて詳しくない方に向けた説明として、これは様々なサービス(VPC、データベース、EC2インスタンスなど)仮想ファイアウォールとして振る舞います。これは、設定されていない場合を除き、VMware SDDC から、SDDC へのトラフィックを拒否する設定であるべきです。

この演習では AWS 側は設定済みとなりますが、VMware Cloud on AWS の SDDC へ、SDDC からの AWS のトラフィックをどのようにオープンするかを確認していきます

ネイティブ AWS サービスのための コンピュートゲートウェイファイアウォール ルール

  1. VMware Cloud on AWS のポータルの ネットワークとセキュリティ タブをクリックします
  2. 左ペインの グループ をクリックします
  3. グループの追加 をクリックします

ワークロード グループの命名

  1. グループの名前に PhotoAppVM を入力します
  2. メンバーのタイプは Virtual Machine のままとします
  3. メンバーの下の 仮想マシンの設定 をクリックします

仮想マシンの選択 - ワークロード グループ

  1. Webserver01 を選択するためにクリックします
  2. SAVE をクリックします

グループの保存 - ワークロード グループ

  1. SAVE をクリックします

ファイアウォール ルール

  1. VMware Cloud on AWS のポータルで ネットワークとセキュリティ タブをクリックします
  2. 左ペインの ゲートウェイファイアウォール をクリックします
  3. コンピュートゲートウェイ をクリックします
  4. 新しいルールの追加 をクリックします

新しいルールの追加 - AWS Inbound

  1. 新しいルールの名前を AWS Inbound と入力します
  2. 送信元の設定 をクリックします

送信元の選択 - AWS Inbound

  1. Connected VPC Prefixes をクリックします
  2. SAVE をクリックします

宛先の設定 - AWS Inbound

  1. 宛先の設定 をクリックします

宛先の選択 - AWS Inbound

  1. PhotoAppVM をクリックします
  2. SAVE をクリックします

サービスの設定 - AWS Inbound

  1. サービスの設定 をクリックします

サービスの設定 - AWS Inbound

  1. Any をクリックします
  2. SAVE をクリックします

発行 - AWS Inbound

  1. 発行 をクリックします

注意: 適用先 セクションが All Uplinks のままであることを確認します

新しいルールの追加 - AWS Outbound

  1. 新しいルールの追加 をクリックします
  2. ルールの名前を AWS Outbound と入力します
  3. 送信元の設定 をクリックします

送信元の選択 - AWS Outbound

  1. PhotoAppVM をクリックします
  2. SAVE をクリックします

宛先の設定 - AWS Outbound

  1. 宛先の設定 をクリックします

宛先の選択 - AWS Outbound

  1. Connected VPC Prefixes をクリックします
  2. SAVE をクリックします

サービスの設定 - AWS Outbound

  1. サービスの設定 をクリックします

サービスの設定 - AWS Outbound

  1. サービスの選択 の下に 3306 と入力します
  2. MySQL のチェックボックスをクリックします
  3. SAVE をクリックします

発行 - AWS Outbound

  1. 発行 をクリックします

注意: 適用先 セクションが All Uplinks のままであることを確認します

新しいルールの追加 - Public In

  1. 新しいルールの追加

新しいルールの追加A - Public In

  1. ルールの名前に Public In と入力します
  2. 送信元の設定 をクリックします

送信元の選択 - Public In

  1. Any をクリックします
  2. SAVE をクリックします

宛先の設定 - Public In

  1. 宛先の設定

宛先の選択 - Public In

  1. PhotoAppVM をクリックします
  2. SAVE をクリックします

サービスの設定 - Public In

  1. サービスの設定 をクリックします

サービスの設定 - Public In

  1. サービスの選択 の下に HTTP 80 と入力します
  2. HTTP をクリックします
  3. SAVE をクリックします

発行 - Public In

  1. 発行 をクリックします

注意: 適用先 セクションが All Uplinks のままであることを確認します

AWS Relational Database Service (RDS) との統合

Amazon RDS は、クラウドでのデータベースのセットアップ、運用、スケールを簡易にします。ハードウェアのプロビジョニング、データベースセットアップ、パッチ適用、バックアップ取得といった時間の掛かる管理タスクを自動化しながらも、コスト効果が高く、さらにリサイズ可能になっています。これにより、よりアプリケーションにフォーカスすることができ、アプリケーションに必要な高いパフォーマンス、高可用性、セキュリティ、互換性を提供できます。

この演習では、VMware Cloud on AWS の仮想マシンを Amazon Web Services (AWS) で事前にセットアップされたリレーショナルデータベースと共に動くように構成します

Webserver01 の IP アドレスをメモ

この演習のために、前のモジュールで作成した仮想マシンを利用します

  1. VMware Cloud on AWS の vCenter のインターフェースで、デプロイ済みの Webserver01 という仮想マシンを見つけます。そして図にあるように IP アドレスが割り当てられていることを確認します

Public IP の割当

  1. VMware Cloud on AWS のポータルに戻り、Public IP アドレスをリクエストするために ネットワークとセキュリティ タブをクリックします
  2. 左ペインの パブリック IP アドレス をクリックします
  3. 新しい IP アドレスの要求 をクリックします
  4. PhotoAppIP と入力します
  5. SAVE をクリックします

新しいパブリック IP のメモ

新しく用意されたパブリック IP をメモします

NAT ルールの作成

  1. 左ペインの NAT をクリックします
  2. ルールの追加 をクリックします
  3. 名前に PhotoApp NAT を入力します
  4. パブリック IP アドレス セクションの下に、前のステップでリクエストしたパブリック IP があることを確認します
  5. All Traffic のままとします (変更しません)
  6. メモしてある仮想マシン Webserver01 の IP アドレスを入力します
  7. SAVE をクリックします

AWS Relational Database Service (RDS) との統合

ブラウザの新しいタブで https://vmcworkshop.signin.aws.amazon.com/console に移動します

  1. アカウント ID またはエイリアスは、渡されたカードの情報を参照します
  2. IAM ユーザー名 - Student# (# は受講者番号)
  3. Password - VMCworkshop1211
  4. サインイン をクリックします

RDS の情報

  1. これで AWS のコンソールにサインインしました。選択されているリージョンが オレゴン であることを確認します
  2. RDS サービスをクリックします (サービス をクリックする必要があるかも知れません)

RDS インスタンス

  1. 左ペインの データベース をクリックします
  2. 受講者番号に対応する RDS インスタンスをクリックします

セキュリティグループへの移動

  1. 右ペインをスクロールダウンさせ、接続とセキュリティ で RDS インスタンスにパブリックアクセシビリティがないことを確認します。これはこのインスタンスが AWS からのみアクセスできることを意味します
  2. せキュリティグループ の下の青いハイパーリンクをクリックします

セキュリティグループ

  1. Student##-RDS-Inbound という RDS のセキュリティグループを選択します (おそらく受講者番号とは一致していません)
  2. 適切なセキュリティグループをハイライトさせたのち、下部の インバウンド タブをクリックします

Note: VMware Cloud on AWS は、デフォルトの VPC セキュリティグループにルーティングを確立します。RDS はこれを用いることもでき、また独自のセキュリティグループを持つこともできます。

アウトバウンドのトラフィック

  1. アウトバウンド タブをクリックします
  2. 全てのトラフィック(SDDC 内部から AWS)が許可されていることが確認できます。これは VMware Cloud on AWS の論理ネットワークが含まれます

Elastic Network Interface (ENI)

AWS Relational Database Service (RDS) は、VMware Cloud on AWS が作成する ENI とは別にアクセスするための自身の Elastic Network Interface を作成します

  1. メインコンソールの サービス をクリックします
  2. EC2 をクリックします

ENI

  1. EC2 ダッシュボードの左ペインにある ネットワークインターフェース をクリックします
  2. 同じ AWS アカウントに属する全ての受講者環境が表示されるため、数百の ENI があるかも知れません。リストを短くするために RDS とサーチウィンドウエリアに入力してフィルターを追加します
  3. プライマリプライベート IPv4 アドレスの 2 オクテット目をベースとした受講者番号に対応するセキュリティグループ Student##-RDS-Inbound をハイライトさせます

    この図の例のプライマリプライベート IPv4 アドレスの IP アドレスは 172.6.8.187、これに対応する受講者番号は 6 となります

  4. 次のステップのために プライマリプライベート IPv4 アドレス をメモします

Photo App

  1. スマートフォンでブラウザを起動し、VMware Cloud on AWS のポータルでリクエストしたパブリック IP アドレスを入力し、続いて /Lychee (大文字小文字識別) を入力します。例: 1.2.3.4/Lychee
  2. 以下の DB 接続情報を入力します (大文字小文字を識別)。IP アドレスは前のステップでメモした RDS の ENI のものを利用します

    Database Host: x.x.x.x:3306

    Database Username: student# (# は受講者番号)

    Database Password: VMware1!

  3. Connect をクリックします

ログイン情報の入力

  1. ユーザー名に student# (# は受講者番号) を入力し、パスワードに VMware1! を入力します
  2. Sign In をクリックします

Photo Albums

おめでとうございます、無事 Photo App にログインできました !

オプショナル: スマートフォンで自由に部屋を撮影し、その写真を Public Folder にアップロードしてみてください

ここまでのステップで学んだことをを簡単に要約すると、フロントエンド(Web Server)は VMware Cloud on AWS の VM で稼働し、バックエンド(MySQL データベース)は AWS Relational Database Service (RDS) で稼働し、それらは SDDC 作成時に一緒に作成された Elastic Network Interface (ENI) により通信が行われます。

これでこのラボは完了しました。演習に取り組んで頂きありがとうございました!

Updated:

Leave a Comment