IBM Cloud Docs
VRF およびサービス・エンドポイントの有効化

VRF およびサービス・エンドポイントの有効化

クラシック・インフラストラクチャーを使用する場合は、デフォルトでは、アカウント内のリソースへは IBM Cloud® パブリック・ネットワークを介して接続します。 VRF (Virtual Routing and Forwarding) を有効にして、ご使用のアカウントおよびそのリソースのすべての IP ルーティングを別個のルーティング・テーブルに移すことができます。 VRF が有効になったら、次は IBM Cloud のサービス・エンドポイントを有効にすると、パブリック・ネットワークを使用せずにリソースに直接接続できるようになります。

仮想プライベート・クラウド (VPC) は、VRF (Virtual Routing and Forwarding) 用に自動的に有効にされます。 VPC のサービス・エンドポイントを有効にするには、サービス・エンドポイントの有効化を続行してください。

デフォルトでは、2023 年 11 月 30 日より前に確立されたクラシック・アカウントは、 IBM Cloud 一般ルーティング・テーブルに組み込まれます。 以前は、クラシック・アカウントを VRF スタイルのアカウントに変換する場合は、 IBM® サポートでサポート Case をオープンする必要がありました。 2023 年 11 月 30 日以降、新しいクラシック・アカウントまたは「空」の既存のクラシック・アカウント (例えば、プロビジョンされた VLAN がないもの) は、次回そのアカウントがプライベート・ネットワーク接続を開始するときに自動的に VRF スタイルのアカウントに変換されます。 詳細については、 VRFアカウントの移行に関するFAQ を参照してください。

開始前に

開始する前に、以下の基準を満たしていることを確認してください。

  • Virtual Routing and Forwarding および IBM Cloud サービス・エンドポイントを有効にするには、有料アカウントが必要です。
  • IBM Cloud インフラストラクチャーに対するアクセス権限がアカウントに付与されている必要があります。 ナビゲーションメニュー アイコンへ移動ナビゲーションメニューアイコン > Classic Infrastructure を選択して、アクセスできることを確認します。

コンソールでの VRF の有効化

VRF は、ルーティング・テーブルの複数のインスタンスがルーターに存在して同時に機能することを可能にします。 VRF を有効にすると、ご使用のアカウント用に別個のルーティング・テーブルが作成され、アカウントのリソースとの間の接続は IBM Cloud ネットワーク上で別個にルーティングされます。 VRF はアカウント・レベルで有効になるため、このネットワーク変更はすべてのリソースに影響します。 VRF テクノロジーとそれがアカウントのネットワーク・ルーティングに与える影響について詳しくは、 IBM Cloud 上の Virtual Routing and Forwarding を参照してください。

VRFを有効にすると、アカウントのネットワーク設定が恒久的に変更されます。 アカウントおよびリソースへの影響を理解しておく必要があります。 VRF を有効にした後に無効化することはできません。

VRF を有効にする場合:

  1. コンソールで、**「管理」 > 「アカウント」と進み、「アカウント設定」**をクリックします。
  2. 「Virtual Routing and Forwarding」 に移動し、 「オン」 をクリックします。

ほとんどのアカウントでは、このアクションにより、プライベート・ネットワークが即時に VRF に変換されます。 一部のアカウントでは、 IBM Cloud サポートとの調整が必要になる場合があります。 サポートケースを作成するには、以下の手順に従ってください

  1. ケースを作成 」をクリックします。 従量課金 (PAYG) アカウントまたはサブスクリプション・アカウントが必要です。

  2. ケースの説明には、お客様のクラシックインフラストラクチャのアカウント番号を入力してください。

  3. **「送信」**ボタンをクリックします。

    入力済みのサポートケース情報の残りの部分は変更しないでください。 お客様のご要望に迅速に対応できるよう、情報を調整しています。

IBM Cloud ネットワーク・エンジニアリング・チームは、この Case の所有者に連絡して、アカウントのネットワーキングを VRF に変換する時間をスケジュールします。 変換プロセス中は、アカウント内のリソースへの接続がパケット・ロスのために不安定になることがあります。 アカウントの複雑さに応じて、変換には 15 分から 30 分ほどかかります。 アカウントにレガシー IBM Cloud® Direct Link 接続がある場合は、さらに時間がかかる可能性があります。

空のアカウントを VRF に変更すると、それ以降のリソースの動作が、中断することなく変更されます。 マイグレーション・プロセス中に、プライベート・ネットワーク上の既存の サーバー間で接続の短い中断が発生する場合がありますが、マイグレーションはお客様の都合の良いときにスケジュールできます。

マイグレーションで、VLAN またはサブネットワークのパブリック・ネットワーク構成に変更が加えられることはありません。 ただし、ご使用の Web サーバーまたはアプリケーション・サーバーが提供する公開されたサービスが、プライベート・ネットワーク接続を使用してデータベース・サーバー、アプリケーション・サーバー、または他のタイプのサーバーにアクセスしている場合は、公開されたそのサービスが中断するおそれがあることに注意してください。

VRF は、IPSec VPN サービスと互換性がなく、SSL VPN 接続を、その接続のデータ・センターにあるリソースに限定します。 あるいは、 IBM Cloud® Direct Link 製品を購入してサーバーを管理することもできますし、さまざまなタイプのVPNを設定できる独自のVPNソリューションを実行することもできます。

サービス・エンドポイントの有効化

アカウント内で IBM Cloud サービス・エンドポイントが有効になっている場合、リソースを作成するときに、プライベート・ネットワーク・エンドポイントを公開することを選択できます。 そうすると、このエンドポイントに、パブリック・ネットワークではなく IBM Cloud プライベート・ネットワークを介して直接接続できるようになります。 プライベート・ネットワーク・エンドポイントを使用するリソースは、インターネットでルーティング可能な IP アドレスを持たないため、これらのリソースへの接続の安全性が高まります。 詳しくは、サービス・エンドポイントを使用したサービスへのセキュアなアクセスを参照してください。

サービス・エンドポイントを有効にするには、その前にアカウントで VRF が有効にされている必要があります。 仮想プライベート・クラウド (VPC) は、VRF 用に自動的に有効にされます。

コンソールでのサービス・エンドポイントの有効化

  1. コンソールで、**「管理」 > 「アカウント」と進み、「アカウント設定」**をクリックします。

  2. サービスエンドポイントセクションから 「オン」 をクリックします。

    「オン」 をクリックできない場合は、お客様のアカウントでVRFが有効になっていない可能性があります。 仮想ルーティングと転送セクションをチェックして、有効になっていることを確認します。

  3. アカウントへの影響を確認し、**「オン」**をクリックします。

この変更が有効になるまでに数分かかることがあります。

CLI でのサービス・エンドポイントの有効化

IBM Cloud CLI からサービス・エンドポイントを有効にするには、バージョン 0.13 以降が必要です。

  1. アカウントでサービス・エンドポイントが既に有効になっているかどうかを確認します。

    ibmcloud account show

    以下の例のように「Service Endpoint Enabled」が false の場合、サービス・エンドポイントは有効になっていません。

    Retrieving account Mia Example's Account of m.example@example.com...
OK

Account ID:                   abc123d0bc2edefthyufffc9b5ca318
Currently Targeted Account:   true
Linked Softlayer Account:     0123456
Service Endpoint Enabled:     false

  2. 次のコマンドを実行して、サービス・エンドポイントを有効にします。

    ibmcloud account update --service-endpoint-enable true

    この変更が有効になるまでに数分かかることがあります。 コマンドが完了したら、検証のために ibmcloud account show コマンドを再実行できます。

    アカウントで VRF が有効になっていない場合、このコマンドを実行すると、有効にするための Case を作成するように促すプロンプトが出されます。 サポート Case を作成するには、y を入力します。 アカウントで VRF が有効になった後、コマンドを再実行して、アカウントでサービス・エンドポイント接続を有効にします。

    Service Endpoint is not available in linked Softlayer Account 1008967.
Enable VRF(Virtual Routing and Forwarding) first to proceed.
Learn more about VRF here - https://cloud.ibm.com/docs/infrastructure/direct-link/vrf-on-ibm-cloud.html.

Do you want to open a ticket to enable it?[y/N]> y
Ticket 70729615 was opened successfully. Follow the link https://control.softlayer.com/support/tickets/70729876 to check the details and track the status of the ticket. You will be required to login to view this ticket.
Account ID:    1008967
Ticket:        Private Network Question

サービス・エンドポイントが有効になった後、IBM Cloud プライベート・ネットワークを介して接続するリソースを作成できます。 サービス・エンドポイントをサポートするサービスのリストと詳細については、VRF およびサービス・エンドポイントの有効化を参照してください。

サービス・エンドポイントの使用

VRF およびサービス・エンドポイントのアカウント設定を有効にした後、サービス・エンドポイントをサポートするリソースをカタログから作成できます。 サービス・エンドポイントの使用をサポートするサービスを次の表に示します。

各サービスのエンドポイントを見つけるには、特定のサービスの API 資料内のエンドポイント URL のセクションを参照してください。

サービス・エンドポイントの使用をサポートするサービス
サービス 資料
App Configuration リージョンとエンドポイント
Secrets Manager リージョンとエンドポイント
IBM Cloud Logs サービスAPIエンドポイント
Container Registry Kubernetes Service クラスター ( プライベート・サービス・エンドポイントのみ ) は、 Container Registry サービス・エンドポイントを使用してコンテナー・イメージをプルします。
Continuous Delivery リージョンとエンドポイント
Databases for Elasticsearch Databases for Elasticsearch サービス・エンドポイント統合
Databases for etcd Databases for etcd サービス・エンドポイント統合
Databases for MongoDB Databases for MongoDB サービス・エンドポイント統合
Databases for PostgreSQL Databases for PostgreSQL サービス・エンドポイント統合
Databases for Redis Databases for Redis サービス・エンドポイント統合
IBM Db2 SaaS 接続オプション
IBM Db2 Warehouse SaaS プライベート・エンドポイントへの接続: IBM Cloud サービス・エンドポイント
Event Notifications リージョンとエンドポイント
Event Streams エンタープライズ・プランを使用したネットワーク・アクセスの制限
Hyper Protect Crypto Services Hyper Protect Crypto Services サービス・エンドポイント統合
Hyper Protect DBaaS for MongoDB Hyper Protect DBaaS for MongoDB への接続の保護
Hyper Protect DBaaS for PostgreSQL Hyper Protect DBaaS for PostgreSQL への接続の保護
IBM Cloudant 2019 年 1 月 1 日以降にデプロイされたすべての専用ハードウェア・プランで使用可能
Key Protect Key Protect プライベート・ネットワーク上の IBM Cloud への接続
KMIP for VMware on IBM Cloud KMIP for VMware on IBM Cloud 資料
Kubernetes Service Kubernetes Service 用のパブリック・サービス・エンドポイントおよびプライベート・サービス・エンドポイント
IBM® Log Analysis IBM Log Analysis サービス・エンドポイント統合
Messages for RabbitMQ Messages for RabbitMQ サービス・エンドポイント統合
IBM Cloud Monitoring IBM Cloud Monitoring サービス・エンドポイント統合
Object Storage Object Storage エンドポイントおよびストレージ・ロケーション
Schematics プライベート・エンドポイントの使用
IBM Watson Annotator for Clinical Data Annotator for Clinical Data の パブリックおよびプライベート・ネットワークのエンドポイント
watsonx Assistant watsonx Assistant を使用した アシスタントの保護
IBM Watson Discovery パブリック・ネットワーク・エンドポイントとプライベート・ネットワーク・エンドポイント ( Discovery を使用)
IBM Watson Knowledge Studio パブリック・ネットワーク・エンドポイントとプライベート・ネットワーク・エンドポイント ( Knowledge Studio を使用)
IBM Watson Language Translator Language Translator を使用した パブリック・ネットワーク・エンドポイントとプライベート・ネットワーク・エンドポイント
IBM Watson Natural Language Understanding パブリック・ネットワーク・エンドポイントとプライベート・ネットワーク・エンドポイント ( Natural Language Understanding を使用)
IBM Watson Machine Learning Machine Learning を使用した パブリック・ネットワーク・エンドポイントとプライベート・ネットワーク・エンドポイント
IBM Watson Speech to Text Speech to Text を使用する パブリック・ネットワーク・エンドポイントおよびプライベート・ネットワーク・エンドポイント
IBM Watson Text to Speech Text to Speech を使用する パブリック・ネットワーク・エンドポイントとプライベート・ネットワーク・エンドポイント