IBM Cloud Docs
IBM Cloud Direct Link Dedicated の注文

IBM Cloud Direct Link Dedicated の注文

Direct Link Dedicatedを注文するには、 IBM Cloud に接続するロケーションを決定し、必要な Direct Link 構成情報を入力し、 Createをクリックして注文を送信する必要があります。

計画関連事項

Direct Link Dedicatedを注文する前に、以下の情報を確認してください:

  • 開始する前に、お客様のコロケーションまたはサービス・プロバイダーが Meet Me Room に到達し、 IBM Cloud にクロスコネクトできることを確認し、 IBM Cloud の場所を決定するためにサービス・プロバイダーに連絡してください。

  • VPCまたはクラシック・ネットワークのすべてのサブネットがダイレクト・リンクに接続されています。 VPCを作成する際は、重複しないプレフィックスと一意のサブネットでVPCを作成するようにしてください。

    • 直接リンクへのクラシック接続の IP アドレス競合を回避するために、オンプレミス・ネットワークの 10.0.0.0/1410.200.0.0/1410.198.0.0/15、および 10.254.0.0/16 の各ブロックで IP アドレス範囲を使用しないでください。 オーバーラップするオンプレミス経路はドロップされます。
    • 直接リンクへの VPC 接続の場合は、 10.0.0.0/1410.200.0.0/1410.198.0.0/15、および 10.254.0.0/16 の各ブロックで制限付きクラシック IP 範囲を使用できます。
    • トランジット・ゲートウェイに接続されたダイレクト・リンクの場合、トランジット・ゲートウェイに接続される可能性のあるクラシック・ネットワークを保護するために、これらのIP範囲は常にフィルタリングされる。

  • IBM Cloud のエッジルーターと仮想ルーター間のGRE(Generic Routing Encapsulation)/IPsecトンネリング要件では、注文時に競合しないサブネットが必要です。 Direct Link、デフォルトのアドレスはルーティング不可能で、トンネリングをサポートしない。

  • IBM Cloud VPCでは、 およびIANAに登録された のアドレス空間を、お客様のVPC内でプライベートに利用することができます。 RFC-1918 IPv4 また、一部の例外を除き、IANAのSpecial-Purposeレンジや、 IBM Cloud サービスに割り当てられている一部のレンジでの使用も許可している。 企業内でIANA登録範囲を使用する場合、およびVPC内で IBM Cloud Direct Link、カスタムルートを各ゾーンにインストールする必要があります。 詳しくは、Routing considerations for IANA-registered IP assignments を参照してください。

  • ダイレクト・リンクをトランジット・ゲートウェイに接続する場合は、トランジット・ゲートウェイに接続する場合、1つのダイレクト・リンク・インスタンスは最大120のオンプレミス・アドレス・プレフィックスを受け入れることを覚えておいてください。 接頭部の総計をこの制限内に保つように考慮してください。

    ダイレクトリンクは、トランジットゲートウェイに接続されていない場合、最大200プレフィックスを受け入れることができます。

  • 必ず 「既知の問題と制限」 を参照し、内容を理解してください。

  • Direct Link MACsec機能付き専用:

注文手順

IBM Cloud® Direct Link Dedicated を注文するには、以下の手順を実行します。

  1. IBM Cloud コンソールでナビゲーション メニューアイコン をクリックし、次に 「インフラストラクチャ」>「ネットワーク」>「直接リンク」 の順に選択します。

  2. Order Direct Link をクリックし、 Direct Link 専用タイルをクリックしてプロビジョニングページを開きます。

  3. 開始する前に」セクションで、「 チェックリストを展開する 」をクリックし、注文プロセスを確認します(「 接続を完了する 」でも説明しています)。

  4. 「リソース」セクションで、以下の情報を入力します。

    • Direct Link Dedicated 接続の名前を入力します。
    • Direct Link 接続を確立するリソース・グループを選択します。 リソースグループは、アカウントに関連付けられているリソースを管理し、格納するのに役立ちます。 メニューリストに定義されている他のグループがない場合は、 Defaultを選択する。 リソース・グループについて詳しくは、リソースをリソース・グループに編成するためのベスト・プラクティスを参照してください。
    • お客様の名前とキャリアの名前を入力します。

  5. オプションとして、MACsecセクションで拡張トラフィックセキュリティを有効にすることができる。 そのためには、 Secure Direct Link with MACsec スイッチを切り替え、以下の手順に従ってください:

    MACsec 機能で直接リンクを確立する前に、すべての 前提条件が 満たされていることを確認する。 さらに、MACsecの ガイドラインと制限事項を 必ず確認してください。

    1. リプレイ保護ウィンドウのサイズをパケット単位で入力します。 デフォルト値は 512です。 セキュリティで保護されたインターフェイスは、指定されたウィンドウ・サイズ外の再順序付けされたパケットを受け入れない。

    2. ネットワーク・トラフィックを保護するために必要な実施レベルを選択します:

      • セキュアでなければならない- すべてのネットワーク・トラフィックの暗号化を義務付け、厳格な機密性、完全性、真正性の確保を支援する。
      • 安全であるべき- ネットワーク・トラフィックの暗号化を推奨するが、必須ではなく、例外やフォールバック・オプションを認めることができる。

    3. セキュリティ・アソシエーション・キー(SAK)リキー・モードでは、デバイス間の通信中にどのようにキーを更新または変更するかを定義する:

      • タイマー- 指定された時間間隔後にSAKがリキーされる。 これにより、送信されるパケット数に関係なく、一定の時間間隔で定期的に鍵が変更される。
      • パケット番号のロールオーバー- SAKは、使用されたパケット番号に基づいてリキーされる。 このオプションは、送信されたパケット数に基づいてリキーをトリガーし、現在のSAKで使用されたパケット数の割合が高くなった後に新しいキーが使用されるようにする(正確な閾値はシステムの裁量で決定される)。

    4. プライマリ CAK を設定する。

      1. CAK名を入力する。
      2. プライマリ接続アソシエーション・キー(CAK)キーにHPCSインスタンスを選択します。
      3. CAK秘密を含む鍵をHPCSから選択する。

    5. オプションで、フォールバックCAKを設定する。

      1. CAK名を入力する。
      2. フォールバック・キー・インスタンスを選択する。
      3. CAK秘密を含む鍵をHPCSから選択する。

      フォールバック・キーがない場合は、ダイレクト・リンクのプロビジョニング後に設定できます。

    6. ダイレクト・リンクのプロビジョニング時に MACsec セッションの確立を直ちに試行する場合は、スイッチが MACsec 用にアクティブになっていることを確認してください。

      また、ダイレクト・リンクを作成した後に、MACsecを有効化したり、無効化したりすることもできます。

  6. ゲートウェイセクションでは、以下の情報を入力してください:

    1. 地域を選択し、次にマーケット、タイプ、サイト、およびルーティング・オプションを選択します。

      ローカルおよびグローバルのルーティング・オプションがサポートされています。 ルーティングオプションを選択すると、到達可能なサイトを含むロケーションの詳細が表示されます。

      選択したルーティング・オプションによって、選択されたロケーションでのリソースの到達可能性が決まります。 ロケーションの選択とともに**「グローバル」ルーティング・オプションを選択した場合、「地域」**メニュー・リストに特定のアカウントでグローバルに使用可能なすべての地域が表示されます。 地域を選択した後、 利用可能な接続メニューから任意のVPCを選択できます。 **「ローカル」**ルーティングを選択した場合は、選択したロケーションに対応する地域のみを選択できます。 選択すると、アカウントのローカル地域で使用可能な VPC が表示されます。

    2. 接続速度を選択します。 Direct Link Dedicatedでサポートされる速度は、1Gbps、2Gbps、5Gbps、10Gbpsです。

      1 Gbps を超える速度を選択する場合、クライアントのキャリアと機器からの 10 Gbps サービスが必要です。 このゲートウェイの速度をアップグレードする予定がある場合は、最初に2Gbpsを選択してください。そうでない場合は、このゲートウェイでより高い速度にアップグレードすることはできません。

    3. このダイレクト・リンクのために、選択した場所で利用可能なクロスコネクト・ルーターを選択します。 プロビジョニング後にこのルーターを変更することはできません。 一部のルーターは、MACsec機能のサポートとその使用に関する決定に基づいて無効にすることができる。

    4. このダイレクト・リンクに必要なMACsecのサポート・レベルを選択する。 利用可能な機能は、選択したクロスコネクト・ルーターで利用可能なポートによって異なります。 オプションは以下のとおりです。

      • Require MACsec- プロビジョニング後に無効にできないMACsecの使用を強制する。

        Require MACsecでは MACsecの設定を編集することができるが、この機能を削除することはできない。

      • MACsecの有効化/無効化- オプションで、このダイレクト・リンクのプロビジョニング中またはプロビジョニング後に、MACsecを有効化または無効化する。 MACsec を有効にした後、この機能をアクティブまたは非アクティブにすることができます。

      • No MACsec- このダイレクト・リンクをMACsecの使用から除外する。 MACsec は、プロビジョニング中またはプロビジョニング後に有効にすることはできません。

        警告このダイレクトリンクでは、MACsecを使用したり有効にしたりすることはできません。また、MACsecのみをサポートするルーターを選択することもできません。

  7. 「請求処理」セクションで、**「従量制」または「定額制」**を選択します。 従量制とは、使用した分だけ料金を支払うこと。 定額制では、月額料金で無制限にアクセスでき、料金が予測可能です。

  8. 「BGP」セクションで、以下の情報を入力します。

    • Direct Link 接続用の IBM 相互接続ルーターを選択します。 各ルーターのアカウントに関連付けられている直接リンクの数は、ルーター名の横に表示されます。

    • Direct Link 接続用の BGP ピアリング・サブネットを選択します。 BGP サブネットには 2 つの選択肢があります。

      • 範囲 10.254.0.0/16172.16.0.0/12、または 192.168.0.0/16 (所有するパブリック IP アドレス) から、2 つの独自の IP アドレスを CIDR 形式で指定する場合は、169.254.0.0/16「IP の手動選択 (Manual-select IP)」Publicを選択します。

        手動選択は、使用中の既存のサブネットとの競合を避けたい場合に便利です。

      • IBM に IP 範囲 169.254.0.0/16 から IP アドレスを割り当てさせるには、 IP の自動選択を選択します。

      自己提供の BGP アドレスが、IBM によって使用されるブロック、またはお客様の Direct Link デプロイメント外のリソースによって使用されるブロックと競合しないようにします。 また、ダイレクトリンクで GRE または IPsec トンネリングを使用する場合は、 169.254.0.0/16 以外の BGP IP を選択する必要があります。

    • BGP ASN の場合は、デフォルト値 64999 を使用するか、指定された許容範囲から ASN を選択します。 ASN の許容範囲は、以下のとおりです。

      • 2 バイト範囲では、1-64495 の間の値か、デフォルトの 64999 を入力します。
      • 2 バイトまたは 4 バイト範囲では、131072-4199999999 の間の値を入力します。
      • 4バイトの範囲の場合は、 4201000000-4294967294 の間の値を入力してください。

      除外される ASN は次のとおりです: 0138843635164512645136510065201652346540265433655006551665519655216553142010650004201065999

  9. Additional gateway settings(追加のゲートウェイ設定)セクションでは、1つ以上のオプション設定を有効にすることができます:

    • 仮想ローカル・エリア・ネットワーク (VLAN) タグ付けの構成 (Configure Virtual Local Area Network (VLAN) tagging)-選択した VLAN 上で IBM への接続を確立するためにルーター上に構成されている VLAN を指定します。 詳しくは、 VLAN タグ付けのアクティブ化、非アクティブ化、および更新 を参照してください。

      BGPセッションが確立された後にVLANをアクティブ、非アクティブ、または更新すると、BGPピアデバイスが同じ変更に対してコンフィグレーションされるまで、BGPセッションのダウンタイムとネットワークの中断が発生します。

      VLAN IDと、 2 から 3967 の範囲の値を入力します。

      VLANはIEEEに準拠している必要があります802.1Q (ドット1Q ) 標準。

    • Message Digest 5 ( MD5 ) によるデータの完全性の検証- BGPセッションを通じて送信される各送信メッセージを検証することで、2つのBGPピアの間にセキュリティの追加レイヤーを追加します。 MD5 認証を有効にすると、BGPはピアからTCPセッション経由で送信されるすべてのセグメントを認証し、各ルーティングアップデートのソースを検証します。

      重要:

      • エッジルーターと IBM クロスコネクトルーター(XCR)の両方で、同じ BGP MD5 認証キーを設定します。 IBM デバイス上の共有の認証鍵は HPCS または Key Protect インスタンス内に保管し、Direct Link サービスと共有しなければなりません。 詳しくは、BGP Message Digest 5 (MD5) 認証鍵のセットアップを参照してください。
      • 90 秒以内にエッジ・ルーター上と IBM 相互接続ルーター (XCR) 上の両方で鍵が更新されると、ヒットレスな鍵リフレッシュが行われます。 前提として、ルーターのBGPホールドタイムを最低90秒に設定する必要があります。 すべての Direct Link ルーターは、デフォルトで 90 秒の構成になっています。 どちらの側からでも鍵のリフレッシュを開始できますが、構成済みの BGP 保持時間内に両方の側でリフレッシュして、トラフィックの途絶を避ける必要があります。
      • BGPピアリングセッションが確立され、BGPを有効にするとMD5認証を中止するか、認証キーを別の値に変更すると、BGP セッションが再確立されます。 このアクションにより、BGP ピア デバイスが同じ変更で構成されるまで、BGP セッションのダウンタイムとネットワークの中断が発生します。

      以下の情報を入力します。

      • 鍵ストアの場合、**「Hyper Protect Crypto Services」または「Key Protect」**のいずれかを選択します。
      • 認証鍵ストア・インスタンスを選択します。
      • 認証鍵を選択します。

    • 双方向フォワーディング検出(BFD)でネットワーク障害を検出- BFDをアクティブにして、リンクで接続された2つのルーターまたはスイッチ間のネットワークで障害を迅速に検出します。 BFD は、あらゆるメディアのあらゆるプロトコル層でリンク障害の検出のための単一の標準化された方式を提供します。 詳しくは、Bidirectional Forwarding Detection のセットアップを参照してください。

      BGP セッションの確立後に BFD のアクティブ化や非アクティブ化を行うと、BGP ピア・デバイスを同じ変更内容で構成するまでは、BGP セッションのダウン時間やネットワークの途絶が生じます。

      以下の情報を入力します。

      • 間隔 (Interval) – 間隔は、ローカル・ルーティング・デバイスが BFD ハロー・パケットを送信してから、ネイバーからの応答までに予期される最小時間 (ミリ秒単位) です。 この値は、300 から 255,000 ミリ秒までの範囲で指定できます。
      • 乗数 (Multiplier) – 乗数として指定した回数だけハロー・パケットを受信できないと、BFD はネイバーがダウンしていると宣言します。 この値は、1 から 255 までの範囲で指定できます。 デフォルトの乗数の値は 3 です。

    • AS番号を先頭に付加して直接リンクを優先- BGPのAS番号(ASN)の倍数でASパスを長くして、経路の優先順位を調整します。 接頭部が一致すると、長い方の AS パスが BGP ルーターのより低い優先順位になります。 詳しくは、 経路優先順位に影響を与える AS パスの接頭部 を参照してください。

    • インポート経路のフィルタリング-アクティブな経路フィルターによって一致しないすべての経路を許可または拒否するには、デフォルト・フィルターを選択します。 デフォルトでは、すべてのインポート経路が許可されます。 次に、 「フィルターの構成」 をクリックして、インポート経路フィルターの作成を開始します。 フィルタの優先順位をつけるには、表の注文番号の横にあるアイコンをドラッグします。 Save をクリックして設定を保存します。 詳しくは、「 経路のフィルタリング」を参照してください。

    • エクスポート経路のフィルタリング-アクティブな経路フィルターに一致しないすべての経路を許可または拒否するには、デフォルト・フィルターを選択します。 デフォルトでは、すべてのエクスポート経路が許可されます。 次に、 「フィルターの構成」 をクリックして、エクスポート経路フィルターの作成を開始します。 フィルタの優先順位をつけるには、表の注文番号の横にあるアイコンをドラッグします。 Save をクリックして設定を保存します。 詳しくは、「 経路のフィルタリング」を参照してください。

  10. 「接続」セクションで、Direct Link ゲートウェイにバインドするネットワーク接続のタイプを選択します。 接続タイプの選択は、Direct Link の作成時か、Direct Link のプロビジョン後に行えます。

    以下の接続タイプから選択します。

    • オンプレミス・ネットワークと IBM Cloud デプロイメントの間に直接のプライベート接続を作成するには、「直接リソース」 (デフォルト) を選択します。 オプションで、接続を選択して接続名を入力します。 Direct Link ゲートウェイに複数のネットワーク接続を追加するには、**「接続の追加 +」**をクリックします。以下のいずれかの接続を作成できます。

      • **「クラシック・インフラストラクチャー」**ネットワークを使用すると、IBM Cloud クラシック・リソースに接続できます。 Direct Link ゲートウェイごとに許可されるクラシック・インフラストラクチャー接続は 1 つのみです。
      • VPC ネットワークを使用すると、ご使用のアカウントの VPC リソースに接続できます。

      ゲートウェイを作成するときに、他のアカウントのネットワークに接続を要求することはできません。 しかし、ゲートウェイをプロビジョンした後は、他のアカウントのネットワークに接続を要求することができます。 また、ゲートウェイを作成した後に、古典的なインフラストラクチャ接続やVPC接続を作成することもできます。 詳しくは、Direct Link ゲートウェイへの仮想接続の追加を参照してください。

    • Direct Link を Transit Gateway にバインドするには、**「Transit Gateway」**を選択します。 1 つ以上のローカル・ゲートウェイか 1 つのグローバル・ゲートウェイに Direct Link をバインドできます。

      ネットワーク接続の種類として Transit Gateway を選択した場合、同じ IBM Cloud アカウントから IBM Cloud Transit Gateway コンソールを介して Direct Link 接続を開始する必要があります。 手順については、 接続の追加を参照してください。

  11. 発注要約に、確認のために料金の見積もりが表示されます。 Direct Link の前提条件 をお読みいただき、同意してください。また、 クラウドサービス利用規約をご確認ください。 次に、**「作成」**をクリックして注文を完了します。

    見積もりに GB egress データを追加する場合は、**「見積もりに追加」**をクリックしてコストを計算します。 **「製品情報」**タブをクリックすると、Direct Link 価格表およびその他の便利なリソースへのリンクが表示されます。

次のステップ

Direct Link 専用オーダーを送信すると、 Direct Link テーブルに LOA 作成中の接続ステータスが表示されます。 接続の名前をクリックして詳細ページを表示します。 次に、「アクション」セクションを表示し、保留中のアクションがあるかどうかを確認します。 完了プロセスについては 、「接続の完了」 を参照してください。