Direct Link on Classic の構成
IBM Cloud® Direct Link on Classic 接続が確立されたら、この資料に記載している手順に従って、IBM Cloud と通信するようにサブネットを構成できます。
一般に、Direct Link on Classic 接続を機能させるには、基本的なネットワーク構成手順をいくつか実行してから、BGP (Border Gateway Protocol) をセットアップする必要があります。 セットアップ・プロセス時に、IBM 技術員がお客様と協力して、ネットワークに必要な VRF (Virtual Routing Function) 機能を使用できるようにします。
基本的なネットワーク構成
-
標準 RFC1918 専用アドレス・スペースを使用して、リモート・ネットワークを定義します。
- 新しい環境の場合は、
10.0.0.0/8
スペース。 10.0.0.0/8
を使用する既存の環境の場合は、より詳しいアセスメントを取得して、IBM Cloud サービス・ネットワークや、アカウントに既に割り当てられているネットワークと競合していないことを確認することをお勧めします。
- 新しい環境の場合は、
-
IBM Cloud のスタッフが、各接続に
/31
または/30
を割り当て、IBM Cloud 相互接続ルーター (XCR) インフラストラクチャーにインターフェース IP アドレスを構成します。 -
提供された IP アドレスを使用して、カスタマー・エッジ・ルーター (CER) のインターフェースを構成します。IBM Cloud XCR の IP を、IBM Cloud 宛てのすべてのトラフィックのネクスト・ホップとして使用してください。
-
リターン・トラフィックの場合、IBM Cloud は、BGP を介して通知されたとおり、リモート・ネットワークを宛先とするすべてのトラフィックのネクスト・ホップとして、割り当てられた CER IP を使用します。
BGP の構成
ご使用の環境とルート情報を交換するには、IBM Cloud では BGP が構成されている必要があります。 以下のオプションがあります。
-
ASN: IBM Cloud は、それぞれのお客様が使用するためのプライベート ASN を割り当てます。 代わりに、独自のパブリック ASN を使用することもできます。 発注時に、どちらを使用するかを指定できます。 割り当てられたプライベート ASN は、実装プロセス中に提供されます。
-
VRF: IBM Cloud は、VRF を使用して、お客様のアカウントに割り当てられた特定のプライベート・サブネットを通知します。 お客様は、IBM Cloud プライベート・ネットワークから到達可能にするリモート・ネットワークを通知する必要があります。 IBM Cloud ネットワークとの間の通知の管理は、お客様が行う必要があります。 (VRF についての詳細は、次のセクションで説明します。)
次のネットワークは除外されており、受け入れられません。
10.0.0.0/14
、10.198.0.0/15
、10.200.0.0/14
、169.254.0.0/16
、224.0.0.0/4
。 -
ECMP: サポートされるロケーションで冗長性を構築することを選択したお客様の場合、IBM Cloud は ECMP (equal-cost multipath) の実装をサポートし、2 つのリンク間のロード・バランシングと冗長性を提供します。 この ECMP のセットアップは、注文時に指定してください。
IBM Cloud Direct Link の BGP 仕様
BGP 仕様は以下のとおりです。
上記のセクションに記載されているように、BGP は、Direct Link 経由のルーティングを管理するために必須です。 Direct Link を注文したアカウントは、VRF 環境にマイグレーションされます。
VLAN および VRF に関する注意事項:
- VRF 環境では、アカウント間の VLAN スパンニングは許可されません。
- IPsec VPN サービスは制限されます。
VRF は SSL VPN アクセスを防ぎませんが、動作が変化します。 VRF がない場合、1 つの VPN 接続で、アカウント上のすべてのサーバーを確認するのに十分です。 VRF がある場合、VPN に関連付けられているマーケットのリソースのみにアクセスできます。 したがって、DAL VPN に接続した場合は、DAL サーバーにのみ接続できます。
IBM Cloud の ASN は、パブリック・サービスもプライベート・サービスも、13884 です。
- 注文する際のお客様のデフォルト ASN は 64999 ですが、お客様の要求に応じてデフォルトを変更できます。
- オプションで、4バイトのプライベートASN「
4201000000
4294967294
」をサポートすることができる。 - 除外ASN:'
0
、'13884
、'36351
、'64512
、'64513
、'65100
、'65201-65234
、'65402-65433
、'65500
、4バイトASN:'4201065000-4201065999
- IP VPN などのレイヤー 3 サービスとともに Direct Link Connect を使用する場合、IBM Cloud は Direct Link Connect プロバイダーの ASN を使用して BGP を確立します。
推奨、デフォルト、および制限:
- トンネリング (つまり、GRE) がサポートされ、IP オーバーラップが問題になった場合に推奨されます。
- BGP タイマーのデフォルトは
Keepalive:30
、Holdtime:90
です。 - 認証は、デフォルトでは有効になっていません。
- BGP BFD は、デフォルトでは有効になっていません。
- 最大受信 (お客様からプロバイダーへの) プレフィックス制限は、1 VRF 当たり 200 です。
IP 割り当てに対する厳密な制限
-
10.x.x.x ネットワークを使用するとしても、やはり IBM Cloud 内のホストおよび IBM Cloud サービス・ネットワーク (
10.0.0.0/14
、10.198.0.0/15
、および10.200.0.0/14
を占めるもの) とオーバーラップしてはいけません。 -
範囲
169.254.0.0/16
および224.0.0.0/4
は、フェデレーテッド・システムで許可されず、IBM サーバーによって拒否されます。
冗長性と多様性
IBM Cloud Direct Link は多様性を提供します。お客様は BGP スキーマによって冗長性を実装する必要があります。
冗長性のために ECMP を選択した場合、両方の BGP セッションが同じ XCR に存在する必要があるため、ルーターの多様性が無くなり、ルーターに障害が発生した場合にリスクにさらされます。 レイヤー 3 の冗長性は得られますが、ルーターの多様性は失われます。
BGPの転送決定を理解する
IBM CloudBGPルーティングとフォワードは、オンプレミス側のベンダーの実装によって異なります。 これは、Direct Link で動作するようにオンプレミス機器をどのように構成するかを理解するために重要です。 理解し、計画することに失敗すると、ルーティング・パスがずれたり、ルーティングの選択が誤って優先されるなど、望ましくない動作が発生する可能性がある。 以下の表は、最も重要なものから最も重要でないものへと並んでいる。 これはシングルパスに適用される。 複数のパスを使用すると、この動作が変わる。 これらの一般的なルールからの逸脱については、ルーターの設定ガイドに従ってください。
BGPの考察 | 意味 | 優先価値 |
---|---|---|
ネクスト・ホップ | BGPは通信できないルートを選択しない。 | 該当なし |
重量(シスコのみ) | パスを優先するためのシスコ固有のメトリック。 | 高付加価値優先 |
ローカル_プレフ | ベンダーに依存しない、パスを優先するためのメトリック。 | 高付加価値優先 |
現地注入ルート | ルーターがルートを発信している場合は、iBGP/eBGP を優先してください。 | 該当なし |
AS_パス長 | ルートが通過しなければならないASの数。 | 低価値優先 |
発信元 | どのプロトコルがルートを発信したか。 | 外部BGPより内部BGPを優先 |
中 | マルチエグジットディストリミネーター(Multi Exit Discriminator)は、AS間で1つの出口パスを優先することができる。 | 低い方が望ましい |
ネイバー・タイプ | 2つのAS間のプロトコル関係は? | 外部BGPより内部BGPを優先 |
IGPメトリック | ルートのIGPメトリックは? | 低い方が望ましい |
路線年齢 | 路線は何年前のものですか? | 最も古いルートを選ぶ |
VRF の使用に関する詳細
IBM Cloud Direct Link ソリューションを使用するすべてのアカウントを VRF にマイグレーションする必要があります。 詳しくは、 VRF アカウントのマイグレーションに関する FAQ を参照してください。
お客様は、VRF を使用して、自己定義されたリモート・ネットワークへの使用可能な経路を通知します。 この構成は、自己定義した IP アドレスを IBM Cloud ネットワークで使用することを可能にするものではありません。
VRF への移行には短い停止時間(複数の VLAN/ロケーションを持つ大規模アカウントの場合、最大 30 分)が必要で、その間にバックエンドのネットワーク VLAN は VRF への移行中に相互接続性を失います。
VRF は、アカウントの「VLAN スパンニング」オプション (すべてのアカウント間 VLAN スパンニング機能を含む) を無効にします。これは、トラフィックを管理するためにゲートウェイ・アプライアンスが導入されていない限り、すべての VLAN が通信できるためです。 VRF では IBM Cloud VPN サービスを使用する機能も制限されます。VRF は IBM Cloud SSL および IPsec VPN の各サービスと互換性がないためです。
代替方法の 1 つは、IBM Cloud Direct Link オファリング自体を使用してサーバーを管理するか、別のタイプの VPN を使用して構成できる独自の VPN ソリューション (Vyatta など) を実行することです。 VRF へのマイグレーション後、計算 VM が稼働しているデータ・センターと同じ場所に VPN 接続が行われた場合、通常 SSL VPN は機能しますが、グローバルなアクセスは許可しません。
Direct Link での BYOIP および NAT の使用
IBM Cloud Direct Link は、プライベート・ネットワークに BYOIP を提供しません。 そのため、IBM Cloud が割り当てたものではない宛先 IP アドレスを持つトラフィックはドロップされます。 ただし、お客様は、GRE、IPsec、または VLAN を使用して、リモート・ネットワークと IBM Cloud ネットワーク間のトラフィックをカプセル化することができます。
最も一般的には、BYOIP 環境は、ネットワーク・ゲートウェイ (Vyatta) または VMWare NSX デプロイメントの有効範囲内に実装されます。 この構成では、お客様は IBM Cloud サイドの任意の望ましい IP スペースを使用し、トンネル経由でルーティングしてリモート・ネットワークに戻すことができます。 この構成は、IBM Cloud から独立して、お客様が管理およびサポートする必要があります。 さらに、この構成では、IBM Cloud がサービスに使用中の 10.x.x.x ブロックをお客様が割り当てた場合、IBM Cloud サービス・ネットワークの接続を切断するおそれがあります。
また、このソリューションでは、IBM Cloud サービス・ネットワークおよびリモート・ネットワークへの接続を必要としている各ホストに 2 つの IP アドレスが割り当てられている必要があります。1 つは IBM 10.x.x.x
ブロックから割り当てられ、もう 1 つはリモート・ネットワーク・ブロックから割り当てられていなければなりません。 トラフィックが確実に転送されるように、静的経路をホストにセットアップする必要があります。 IBM Cloud
ホスト (BYOIP) 上に直接 IP スペースを割り当て、それを本質的に IBM Cloud ネットワーク上にルーティング可能にすることはできません。 この機能を実装する唯一の方法は前述のとおりですが、これは IBM Cloud によってサポートされていません。
あるいは、お客様は、リモート・エッジ・ルーター上に構成された NAT テーブルで、使用するリモート・ネットワーク・ブロックを割り当てることがよくあります。 この構成では、お客様は、両方のネットワークに必要な変更を制限できると同時に、両方のネットワークと互換性のあるネットワーク・アドレス・スペースにトラフィックを変換することができます。