ハイブリッドクラウドファイアウォール
Network EdgeはEquinix Fabricと連携し、数分で起動できる仮想クラウドオンランプを提供します。これにより、さまざまなアプリケーションに低レイテンシーのハイブリッドマルチクラウドアクセスが提供されます。アプリケーションの階層が複数ある場合やレイテンシーが重視され、企業リソースへのアクセスが必要な場合は、Network Edge上の単一のコントロールポイントに配置された仮想セキュリティデバイスを使用して実装できます。
アーキテクチャ
このリファレンスアーキテクチャシナリオのハイブリッドマルチクラウドトポロジでは、ウェブ層があるクラウドプロバイダに、データベース層が同じ地域の別のクラウドプロバイダに展開されます。アプリケーションの一般にアクセス可能なコンポーネントは、ウェブ層だけです。その他のコンポーネントはすべて保護する必要があります。これには、アプリケーションにサービスを提供し、遅延要件により他のコンポーネントの近くに配置する必要があるエンタープライズインフラストラクチャも含まれます。
このソリューションにより、導入されるデバイスの数が減り、すべてのアプリケーション層間で単一のセキュリティコントロールポイントが実現します。企業にとっては、ネットワークの複雑さが軽減されるため、クラウド間接続のコストが削減され、セキュリティが強化されます。
アプリケーション層間のネットワーク通信は、Equinix Fabric上のレイヤ2の直接プライベート相互接続で提供され、Network Edgeデバイスがレイヤ3のルーティングとセキュリティサービスを提供します。Network Edge デバイスは、Network Edgeのネットワーク機能仮想化(NFV)プラットフォームでホストされる仮想ネットワーク機能(VNF)です。
エクイニクスコンポーネント
- Equinix Fabric - Equinix Fabricはスイッチングプラットフォームであり、Fabricに参加する幅広いプロバイダにプライベート接続を提供します。Software-Defined Networkingを利用してFabric上に仮想回線をプロビジョニングし、Fabricに接続しているプロバイダとの接続を確立します。仮想接続は、カスタマーポータルまたはAPIを使用して作成できます。
- Equinix Network Edge – Network Edge は、Cisco、Juniper、Palo Alto、Fortinet、Versa、Aruba、Check Point などのさまざまなベンダーの VNF(ルーター、ファイアウォール、SD-WAN)をホストする ETSI 準拠の NFV プラットフォームです。VNF はリアルタイムで導入でき、導入後は Fabric 上のプロバイダへの仮想接続の構築を開始できます。
アプリケーションコンポーネント
- プライベート相互接続 - クラウドサービスプロバイダー(CSP)からのプライベート相互接続は、Equinix Fabricに接続するレイヤー2のパートナー接続またはホスト接続です。パートナー接続またはホスト接続は、デバイスとピアリング先のCSPルーターの間に中間スイッチを提供します。プライベートレイヤ2相互接続が確立されると、CSPゲートウェイとのレイヤ3ピアリングを設定できます。プライベート相互接続はインターネットをバイパスします。
- パブリッククラウドウェブ層 - パブリッククラウドウェブ層は、ユーザー接続のためにパブリックインターネット上に公開されるウェブサーバーをホストする。この層は、パブリッククラウドプロバイダーまたはプロバイダが提供するインターネットサービスも提供する。
- パブリッククラウドデータベース層 - パブリッククラウドデータベース層は、ウェブ層に相互接続されるデータベースPaaSサービスをホストする。ウェブ層とデータベース層間のトラフィックはセキュリティコントロールポイントを通過する必要があるため、この層は仮想セキュリティデバイスによって保護される。
- エンタープライズインフラストラクチャ - エンタープライズインフラストラクチャは、アプリケーションのプライベートサービスをホストします。このインフラストラクチャは、エクイニクスのデータセンターでホストすることも、Equinix Metalがプロバイダとして提供することも、別の場所でホストすることもできます。唯一の要件は、Equinix Fabricがインフラストラクチャに到達できることです。
推奨
これらの推奨事項は、出発点となるものです。お客様の要件は、このリストとは異なる場合があります。
- 場所の選択 - このアーキテクチャ例では、同じ地域間の接続を示している。配備する地域によって、レイテンシは異なります。これは、厳しいレイテンシ要件を持つアプリケーションを設計する際に重要な考慮事項です。しかし、アプリケーションによっては地域間の接続が必要な場合もあります。そのような場合は、Equinix Fabricのグローバルリーチを利用して接続を構築してください。
- 高可用性 - このアーキテクチャは、フォールトトレランスのないシングルスレッド展開を示しています。エクイニクスでは、お客様のビジネス要件に必要なレベルのフォールトトレランスを導入することを推奨しています。Network Edgeは冗長化されたデバイスで導入することも、ベンダーによっては高可用性ペアとして導入することもできます。
- ネットワーク・アドレッシング - プライベート・バーチャル・インターフェースを介したプライベート・サービスへの接続には、プライベートIPアドレッシングを使用できます。パブリックサービスによっては、お客様自身のパブリックIPアドレスとNATがNetwork Edgeデバイスに必要になる場合があります。パブリック・アドレスの要件はCSPごとに異なるため、パブリック接続を作成する前に調査が必要です。ウェブ層では、インターネット広告要件を満たす独自のIPアドレスを持参するか、プロバイダ割り当てのアドレスを使用することができます。
考察
このアーキテクチャを実装する際には、以下の要素を考慮する。
パフォーマンス
レイテンシに加えて、コンポーネント間の帯域幅とデバイスのスループットも重要である。仮想回路は適切なサイズでなければならず、デバイスは望ましいスループットをサポートしなければならない。
セキュリティ
Fabricからクラウドプロバイダへのプライベートな相互接続は暗号化されません。暗号化を必要とするアプリケーションは、アプリケーション層で暗号化するか、Network Edgeデバイスとクラウドゲートウェイの間でIPSECトンネルを構築できるネットワーク層で暗号化しなければならない。IPSECトンネルはオーバーヘッドを伴い、デバイスの選択にも影響する。このソリューションでは、アプリケーション層間のすべてのトラフィックフローを交差させる単一の制御ポイントに、仮想セキュリティデバイスを配置します。
エクイニクスのコスト
- デバイスインスタンス - 仮想デバイスの費用(ライセンス費用は含まれません)。
- 仮想デバイスのライセンス - 一部のベンダーのサブスクリプション・ライセンスを購入できます。BYOL(Bring Your Own License)はすべてのベンダーで利用できます。
- 仮想回線 - 月額利用料金は回線サイズに基づきます。Equinix Fabricを介した都市圏間の接続には、リモート接続の追加料金が発生します。
CSPコスト
- エグレスチャージ - 一部のサービスプロバイダーは、プライベート相互接続を介して送信されるデータ量に基づいて料金を請求する。この料金はプロバイダによって異なります。プライベート相互接続を使用することで、インターネットと比較して、イグレスチャージが削減されます。
- 固定ポート料金 - 一部のプロバイダでは、イグレス料金に加えて、回線サイズに基づいて課金されます。イグレスチャージと固定ポートチャージの両方がアプリケーションの設計に影響する。
Network Edgeに仮想セキュリティデバイスを導入することで、ハイブリッドなマルチクラウド接続を単一のセキュリティコントロールポイントに集約し、アプリケーションのパフォーマンスを最大化するとともに、セキュリティを強化することができます。
関連トピック