Operational Defect Database
BugZero updated this defect 41 days ago.
Data sources
All data on this page is proprietary to BugZero® or gathered from public sources
VMware | 97579
VMware SD-WAN Gateway のメンテナンスに関する FAQ
Last update date:
4/9/2024
Affected products:
SD-WAN by VeloCloud
Affected releases:
No affected releases provided.
Fixed releases:
No fixed releases provided.
Description:
Symptoms
免責事項:これは英文の記事「VMware SD-WAN Gateway Maintenance FAQs 」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。
Purpose
この記事では、VMware SD-WAN Gateway のメンテナンスに関してよくある質問 (FAQ) について説明します。
Resolution
VMware SD-WAN の重要な概念 Q:Gateway とは何ですか A:VMware SD-WAN Gateway は、世界中の VMware またはサービス プロバイダのポイント オブ プレゼンス (PoP) に展開されたゲートウェイの分散ネットワークです。Gateway には、特定のロールが設定されます。たとえば、データ プレーンのロールが設定された Gateway は、データ プレーン トラフィックを送信元から宛先に転送するために使用されます。同様に、制御プレーンのロールが設定された Gateway は「スーパー Gateway」と呼ばれ、エンタープライズに割り当てられます。エンタープライズ内の Edge はスーパー Gateway に接続されます。 また、ロールが セキュア VPN の Gateway もあり、これは Non-SD-WAN Destination (NSD) への IPsec トンネルの確立に使用されます。この設定の詳細については、「Configure Non SD-WAN Destinations via Gateway」を参照してください。 VMware SD-WAN Gateway には、Gateway を一意に識別する IP アドレス(IPv4 または IPv6)が割り当てられます。受信 IPsec トンネルの受信および送信インターネット トラフィックの送信には、この IP アドレスが使用されます。注:VMware では、Gateway の IP アドレスが不変であることを保証していません。 Q:ポイント オブ プレゼンス (POP) とは何ですか A:VMware SD-WAN Gateway は、VMware データセンターの場所に展開されます。一部の場所では、Gateway はパブリック クラウド上に戦略的に展開され、ホストされています。VMware では、パブリック クラウド展開用に、クラウド サービス プロバイダ (CSP) サービスへの最適な接続を維持するために、ローカルで適切にピアリングされた場所とプロバイダを選択しています。 また、既存の VMware SD-WAN Gateway に加えて、VMware SD-WAN Gateway、VMware Secure Access、および VMware Cloud Web Security サービスをホストする VMware Edge PoP の追加も進めています。注:vCenter Orchestrator (vCO) では、VMware のキャパシティ プランニングに基づいて割り当てられた 1 台以上の Gateway をそれぞれの POP に配置します。 Q:Gateway プールとは何ですか A:Gateway プールは、エンタープライズに割り当てることができる Gateway のグループです。通常、ホストされる SD-WAN ユーザーには、「本番プール (Production Pool)」と呼ばれるプールが割り当てられます。このプールには、VMware でホストされ Orchestrator に割り当てられているすべての Gateway が含まれます。 Q:Gateway の再分配とは何ですか A:Gateway の再分散は、SD-WAN Edge を別の Gateway に移動するためにトリガされます。Orchestrator では、Gateway の再分散をトリガするときに、プール内の Gateway 間でロードの均等な分散を試行します。再分散の影響は大きくありませんが、安全のためにこれらの再分散イベントは通常、定期的なメンテナンスの期間中に実行されます。注:完全な範囲については、以下の「SD-WAN Gateway の移行に関する FAQ」、「重要な注意事項」、および「許可リストの制限」を参照してください。 Q:静止 (Quiesced) 状態の Gateway とは何ですか A:メンテナンス対象の Gateway は、サービス状態が静止 (Quiesced) に変更されます。Gateway がこの状態に移行された場合、静止状態の Gateway に新しいトンネルや NSD を設定することはできません。 Q:使用停止 (Out of Service) 状態の Gateway とは何ですか A:Gateway が廃止されると、サービス状態が使用停止 (Out of Service) に変更されます。Gateway が使用停止状態に変更されると、その Gateway を通過するすべてのトラフィック フローがブロックされます。この状態の Gateway に Edge または NSD トンネルを接続することはできません。 Gateway がこの状態になるのは、Gateway 移行プロセスの最後のステップです。注:完全な範囲については、以下の「SD-WAN Gateway の移行に関する FAQ」を参照してください。 Q:VMware SD-WAN Gateway キャパシティ プランニングとは何ですか A:Gateway が(トレンド分析の実行中に)キャパシティに近づいている場合、または(アラームに基づいて)キャパシティを超えた場合、VMware Edge オペレーション チームと VMware サポート チームが連携して対処します。VMware Edge オペレーション チームは、将来のキャパシティ イベントに対応するのに十分なヘッドルームをすべての Edge、トンネル、フロー、NAT エントリ、スループットに確保するため、必要に応じて特定の VCO/POP にキャパシティを追加します。 VMware のキャパシティ プランニングのしきい値に基づき、ユーザーの SD-WAN Edge を Gateway 間で移動する場合には、Gateway の再分散がトリガされます。POP の変更に伴い予定どおりのイベントが実行される場合は、メンテナンス インシデント通知システム (MINS) の E メールでプリエンプティブにユーザーに通知されます。また、ユーザーに影響する緊急の問題が発生した場合にも、Gateway の再分散がトリガされます。変更時に、イベントを通知する MINS 通知が送信されます。 重要な注意事項 特定の IP アドレスに認証またはバインドされたセキュア VPN Gateway を移行する場合にのみ、一時的なサービス停止が想定されます。これは、(Gateway ピア経由でのセキュア VPN Gateway と NSD 間で)IPsec トンネル フラップが発生するためです。IPsec トンネル エンドポイントの送信元 IP アドレスが、新しいセキュア VPN Gateway の IP アドレスにあわせて変更されます。 FQDN 認証済みの IPsec トンネルを移行する場合、影響は発生しないと想定されています。冗長なセキュア VPN Gateway がサポートされており、Gateway 経由の NSD 構成に追加できます。VMware では、特に FQDN の代わりに IP アドレスを使用する場合、冗長 Gateway を VPN (IPsec) 設定のバックアップとして使用することを強く推奨します。 Gateway の移行中、新しい Gateway では、インターネット宛てのマルチパス トラフィックの送信に新しい IP アドレスを使用します。この新しい IP アドレスは、SD-WAN Edge が VCMP トラフィックの宛先(SD-WAN Edge と Gateway 間のトンネル)としても使用します。 許可リストの制限 VMware では、ブランチ、データセンター、Software as a Service (SaaS) プロバイダについて、単一の Gateway IP アドレスのみを許可する厳密な許可リストを推奨していません。単一の Gateway IP アドレスのトラフィックのみを許可した場合、Gateway の再分配と Gateway の移行が行われると、新しい Gateway に異なる IP アドレスが割り当てられるため、サービスの停止が発生します。移行を正常に行うため、このような設定は行わないでください。SASE Gateway の移行中に許可リストをすでに使用している場合は、サービスが中断されないように、既存の許可リストに次の IP アドレス範囲を追加してください:「VMware SASE Points of Presence (PoPs) IP Address Ranges」。許可リスト内の既存の IP アドレスは保持し、削除しないでください。 SD-WAN Gateway の移行に関する FAQ Q:Gateway の移行とは何ですか A:VMware では、次の目的で新しい Gateway を適宜構築しています。 運用効率を向上する。SD-WAN Gateway のキャパシティ プランニングに関する説明を参照してください。 SASE(Secure Access、Cloud Web Security)など、VMware の新サービスをユーザーに提供するために、レガシー Gateway を VMware Edge ポイント オブ プレゼンス (PoP) Gateway に移行する。 この過程で、既存の Gateway が新しい Gateway に置き換えられる可能性があります。 既存の Gateway またはレガシー Gateway を置き換える場合は、新しい Gateway を通過するようにすべてのトラフィックを移行することが重要です。 そのため、Edge と NSD も適宜移行されます。 Q:Gateway の移行が行われると、どのような影響がありますか A:影響は、Gateway に設定されているロールによって異なります。Gateway ロールやエンタープライズ設定ごとに想定される影響を次に示します。 プライマリ Gateway: プライマリ Gateway は、インターネットに出力されるデータ プレーン トラフィックに使用される Gateway です。新しいローカル Gateway が割り当てられると、新しい Gateway が新しいインターネット フローに使用されます。既存のフローについては、ユーザーへの影響を回避するために、タイムアウトになるまで移行前のローカル Gateway が使用されます。 注:この変更を完了するために、移行中に Gateway の再分散が実行されます。この移行を完了するための追加設定は必要ありません。 セカンダリ Gateway: セカンダリ Gateway は、地域の制御プレーンに冗長性を提供するものであり、これらの Gateway の再割り当てに影響はありません。再割り当ては即座に実行されます。 スーパー Gateway /代替スーパー Gateway: スーパー Gateway と代替 Gateway は、グローバルな制御プレーンに冗長性を提供するものであり、これらの Gateway の再割り当てに影響はありません。再割り当ては即座に実行されます。 セキュア VPN (Non-SD-WAN) Gateway: Non-SD-WAN Gateway は、Non-SD-WAN Destination のエンドポイントです。トンネルが Zscaler などの完全修飾ドメイン名 (FQDN) で認証される場合、これらの Gateway の再割り当てに影響はありません。再割り当ては即座に実行されます。トンネルが IP アドレスで認証される場合や、ピアが特定の IP アドレス(Cisco ISR など)にバインドされている場合は、リモート設定の変更が必要になるため、Gateway の再割り当てを行う必要があります。 これらの変更は可能な限り回避されます。ただし、VMware SD-WAN リリース 4.5.0 以降では、Gateway がサービスから削除された場合などに備えて、このためのセルフサービス移行プロセスが導入されています。 注:セキュア VPN (NSD) Gateway の移行の詳細については、「SD-WAN Gateway Migration」および「Migrate Quiesced Gateways」を参照してください。 パートナー ゲートウェイ ハンドオフ割り当て: Edge で パートナー ゲートウェイ ハンドオフ割り当てを使用している場合は、Gateway の移行を手動で実行する必要があります。SASE Gateway への移行を完了する方法については、「Steps for Manually Migrating an SD-WAN Partner Gateway」を参照してください。 エンタープライズで許可リストまたはカスタム ルーティング テーブルを設定している場合: エンタープライズでファイアウォール/SaaS プロバイダの許可リストを使用しているか、またはカスタム ルーティング テーブルを使用して VMware SD-WAN Gateway への接続を有効にしている場合、移行の前に新しい Gateway の IP アドレスが許可リストまたはルーティング テーブルに入力されていないと、サービスが中断する可能性があります。 VMware では、サービスの中断を回避するため、「VMware SASE Points of Presence (PoPs) IP Address Ranges」に記載されている IP アドレス範囲を許可リストまたはルーティング テーブルに追加することを推奨しています。
