VPC VPN 接続のセットアップ
この VPN 情報は、VPC クラスターに固有の情報です。 クラシック・クラスターの VPN 情報については、VPN 接続のセットアップを参照してください。
IBM Cloud® Kubernetes Service の VPC クラスター内のアプリおよびサービスを、オンプレミス・ネットワーク、その他の VPC、および IBM Cloud クラシック・インフラストラクチャー・リソースに安全に接続します。 クラスター外のアプリを、クラスター内で実行されるアプリに接続することもできます。
以下の表は、VPC クラスターを接続する宛先のタイプに基づいて使用可能な接続オプションを比較しています。
| 宛先 | IBM Cloud VPC VPN | Transit Gateway | Direct Link | クラシック・アクセス VPC |
|---|---|---|---|---|
| オンプレミス・ネットワーク | ある | ある | ||
| その他の VPC | ある | ある | ||
| クラシック・インフラストラクチャーのリソース | ある | ある |
オンプレミス・データ・センター内にあるリソースとの通信
クラスターをオンプレミスのデータ・センターに接続するには、IBM Cloud® Virtual Private Cloud VPN または IBM Cloud® Direct Link を使用します。
IBM 提供のデフォルトのポッドの範囲 172.30.0.0/16 およびサービスの範囲 172.21.0.0/16 とサブネットが競合する可能性があります。 --pod-subnet オプションでポッドにカスタム・サブネット CIDR を指定し、 --service-subnet オプションでサービスにカスタム・サブネット CIDR を指定することで、 CLI からクラスターを作成 する際にサブネットの競合を回避できます。
ご使用の VPN ソリューションが要求のソース IP アドレスを保持する場合は、カスタム静的ルートを作成して、ワーカー・ノードがクラスターからの応答をオンプレミス・ネットワークにルーティングできるようにすることができます。
172.16.0.0/16、172.18.0.0/16、172.19.0.0/16、および 172.20.0.0/16 のサブネット範囲は、IBM Cloud Kubernetes Service コントロール・プレーン機能用に予約されているため、禁止されています。
IBM Cloud VPC VPN
IBM Cloud VPC の VPN では、VPC 全体をオンプレミスのデータ・センターに接続します。 このオプションを使用すると、VPN 接続セットアップで VPC ネイティブのままにすることができます。 始めるには、次のようにします。
- オンプレミスの VPN ゲートウェイを構成します。
- VPC に VPN ゲートウェイを作成し、VPC VPN ゲートウェイとローカル VPN ゲートウェイの間の接続を作成します。 マルチゾーン・クラスターの場合は、ワーカー・ノードが存在するすべてのゾーンのサブネットに VPC ゲートウェイを作成する必要があります。
Direct Link
Direct Link を使用すれば、パブリック・インターネット経由のルーティングなしでリモート・ネットワーク環境と IBM Cloud Kubernetes Service の間に直接のプライベート接続を作成できます。IBM Cloud Direct Link (2.0) は、VPC とのネイティブ統合用に構成されています。 VPC で作成したすべてのクラスターは、Direct Link 接続にアクセスできます。
初めに、IBM Cloud Direct Link Dedicated の注文を参照してください。 手順 8 で、Direct Link ゲートウェイに接続する VPC へのネットワーク接続を作成できます。
他の VPC 内にあるリソースとの通信
同じアカウントで、ある VPC 全体を別の VPC に接続するには、IBM Cloud VPC VPN または IBM Cloud® Transit Gateway を使用します。
IBM Cloud VPC VPN
各 VPC 内のサブネット上に VPC ゲートウェイを作成し、2 つの VPC ゲートウェイ間に VPN 接続を作成します。 例えば、あるリージョンの VPC 内のサブネットを、VPN 接続を介して別のリージョンの VPC 内のサブネットに接続することができます。 始めに、VPN を使用して 2 つの VPC を接続するを参照してください。 VPC サブネットにアクセス制御リスト (ACL) を使用する場合は、ワーカー・ノードが他の VPC 内のサブネットと通信できるように、インバウンド・ルールまたはアウトバウンド・ルールを作成する必要があることに注意してください。
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway を使用して、VPC 間のアクセスを管理できます。Transit Gateway インスタンスは、同じリージョンにある VPC 間のルーティング (ローカル・ルーティング) を行うように構成することも、別々のリージョンにある VPC 間のルーティング (グローバル・ルーティング) を行うように構成することもできます。 開始するには、Transit Gateway 資料を参照してください。
IBM Cloud クラシック・リソースとの通信
クラスターを IBM Cloud クラシック・インフラストラクチャー内のリソースに接続する必要がある場合は、VPC にクラシック・アクセスをセットアップするか、IBM Cloud Transit Gateway を使用します。
クラシック・アクセス VPC の作成
1 つの VPC のみをクラシック・インフラストラクチャーに接続する場合は、クラシック・アクセス用の VPC をセットアップできます。 アカウント内のクラシック・インフラストラクチャー上にパブリック・インターフェースを持たないすべての仮想サーバー・インスタンスまたはベアメタル・サーバーは、VPC 内のインスタンスとの間でパケットの送受信を行うことができます。
VPC をクラシック・インフラストラクチャー・アカウントに接続する前に、次の制限および要件に留意してください。
- VPC の作成時に、VPC のクラシック・アクセスを有効にする必要があります。 既存の VPC をクラシック・アクセスを使用するように変換することはできません。
- クラシック・インフラストラクチャーへのアクセスは、リージョンごとに 1 つの VPC に対してのみセットアップできます。 1 つのリージョンに、クラシック・インフラストラクチャーにアクセスできる複数の VPC をセットアップすることはできません。
- Virtual Routing and Forwarding (VRF) が IBM Cloud アカウントに必要です。
始めに、クラシック・インフラストラクチャーへアクセスのセットアップを参照してください。
IBM Cloud Transit Gateway の使用
複数の VPC をクラシック・インフラストラクチャーに接続する場合は、IBM Cloud Transit Gateway を使用して、IBM Cloud クラシック・インフラストラクチャー内のリソースについて、複数リージョン内の VPC 間のアクセスを管理することができます。 開始するには、Transit Gateway 資料を参照してください。