IBM Cloud Docs
IBM Cloud 上の Virtual Routing and Forwarding

IBM Cloud 上の Virtual Routing and Forwarding

定義によると、Virtual Routing and Forwarding (VRF) は IP ネットワーク・ルーターに含まれる技術です。 これは、内在するバックボーン・サービスとして提供されます。

IBM Cloud の接続オプション

分散クラウド・リソースとは、複数のロケーション、あるいは複数のサブネットまたは VLAN にあるリソースのことです。 これらのタイプのリソースには、プライベート・ネットワークのコンテキスト内でも、相互に通信するためのルーティング機能が必要です。 本資料では、「マルチ分離」 (カスタマー VRF と呼ばれることもあります) のテナンシー通信オプションについて説明します。 これは、グローバル IBM Cloud® バックボーンで MPLS Layer-3 VPN (RFC 4364) として実装されます。

一般的に、IBM Cloud プラットフォームには、プライベート・ネットワーク上でルーティングし、ポッドやデータ・センター間の接続を提供するための 2 つのオプションがあります。

  1. マルチ分離: テナント単位の専用論理ネットワーク。他のテナントの論理ネットワークとの相互作用は許可されません。

  2. 共有テナンシー: このモデルを使用するすべてのテナントで共有され、自動のアクセス制御リスト (ACL) によって分離が行われ、VLAN スパンニングで実現される共通の論理ネットワーク。 このオプションについては、本資料で説明しません。

「カスタマー VRF」という用語は、_マルチ分離_ネットワーク接続を表すために使用されます。

VRF の概要: マルチ分離テクノロジー

VRF は、ルーティング・テーブルの複数のインスタンスがルーターに存在して同時に機能することを可能にします。 VRF では、それぞれのクラウド・テナントの VRF ネットワークがそのルーティング・テーブル内でセグメント化されます。 このセグメンテーションにより、IP アドレスのオーバーラップが可能になり、他のテナント VRF との相互作用や干渉が発生しません。 IBM Cloud は、10.0.0.0/8 ネットワークの大部分を使用します。これは、多くのリモート・ネットワーク (例えば、お客様のデータ・センターにデプロイされたネットワーク) とオーバーラップする可能性があります。

VRF を使用すると、IBM Cloud テナントは、グローバル・テーブルでオーバーラップすることが通常許されないリモート IP アドレスの使用が可能になります。 IBM は引き続き、次の RFC 1918 のリンク・ローカル・アドレスおよびマルチキャスト・アドレス (これらは、この VRF サービスからルーティングできません) を予約しています。

  • 10.0.0.0/14
  • 10.200.0.0/14
  • 10.198.0.0/15
  • 169.254.0.0/16
  • 224.0.0.0/4
  • 166.9.0.0/16 (プライベート・エンドポイント・サービスで使用)
  • IBM プラットフォーム上でお客様の VLAN に割り当てられたすべての IP 範囲。

IBM は、アベイラビリティー・ゾーン (AZ) で仮想プライベート・クラウド (VPC) を可能にする次世代のクラウド・デプロイメントを進めていきます。 この新しい VPC 機能により、ダラス、ワシントン DC、ロンドン、フランクフルト、東京、シドニーにある VPC 対応の AZ で持ち込み IP (BYoIP) が使用可能になります。

例えば、VRF を使用するバックボーン上の各テナントに存在できるカスタマー VRF は、Direct Link 当たり 1 つだけです。これにより、ロケーションに関係なく、テナントの全サーバー間で接続が行われます。 しかし、IBM Cloud テナントは、単一の相互接続ルーターにフィードされる複数の Direct Link アカウントを持つことができます。

  • 世界中のいずれかのデータ・センターのいずれかのポッドのいずれかの VLAN 内にあるテナントのサーバーは、そのテナントの他のすべてのサーバーにグローバルに到達できます。
  • すべてのテナントのカスタマー VRF は、共通の共有サービス・ネットワークに接続され、そうしたサーバーが DNS、共有ストレージ、モニター、パッチなどを使用するためにプライベートに到達できるようにしています。
  • カスタマー VRF は、テナント間の分離を提供する接続サービスです。 そのほかにテナンシー内で必要な制御があれば、ゲートウェイ、セキュリティー・グループ、またはホスト・ベースの制御を使用して、別個にプロビジョンする必要があります。

VRF に移行する利点

VRF への移行には、主に以下のような利点があります。

  • 業界で実証され、広く受け入れられている マルチ分離テクノロジー。 クラウドを利用する多くのお客様が、ACL より Level-3 VPN アプローチが監査者やコンプライアンス担当者に受け入れられやすいと捉えています。
  • IBM ネットワーク全体でのサイトまたはアプリケーションの新規追加によって、IBM Cloud のお客様はネットワークの到達範囲を大幅に拡張したりマイグレーションしたりすることができます。
  • テナント固有のルーティング・テーブルによって、他のテナントのサブネットや他の適用できないネットワーク部分とオーバーラップするリスクがなくなり、IP アドレスがオーバーラップする可能性が低くなります。

旧 ACL モデルと比べると、考慮すべき小さいトレードオフがいくつかあります。

  • カスタマー VRF への移行には、バックボーンのトラフィック・フローを短時間中断する保守時間が必要になります。
  • 管理対象 VPN サービス (SSL、IPsec) を使用したリモート・アクセスは、データ・センターへの SSL VPN だけに限定されます。ただし、バックボーンに対する共有 ACL は、いずれかのサービスのすべてのエントリー・ポイントからのグローバル・アクセスを許可します。
  • VLAN スパンニングは共有テナンシー・モデルの機能であるため、VRF では使用できません。これはカスタマー VRF に変換すると無効になります。
  • IBM Cloud クラシック・インフラストラクチャーのリモート・アクセスでは IPsec VPN マネージド・サービスを使用できません。

IBM Cloud の多くのお客様が現在、IBM Cloud ネットワーク上の共有テナンシー・モデルを使用して運用しています。 移行中に、共有テナンシーは、多くの場合は新しい Direct Link サブスクリプションを使用して、カスタマー VRF を使用するように変換されます。

ご使用のアカウントの VRF 移行を開始する方法に関する具体的な情報については、ご使用の IBM Cloud オファリング用の移行手順を参照してください。 以下に例を示します。