IBM Cloud のオファリングを使用した VPC の相互接続
VPC はリージョン別の構成であることから、以下の質問がすぐに浮かびます。
- VPC をオンプレミスのネットワークと相互接続するにはどうすればよいのか?
- VPC 同士を相互接続するにはどうすればよいのか?
オンプレミスのネットワークとの相互接続
IBM には、VPC をオンプレミス・ネットワークと相互接続するのに役立つ以下のオファリングがあります。
-
IBM Cloud Direct Link
Direct Link Dedicated と Connect の両方のオファリングを介して、VPC をオンプレミス・ネットワークと相互接続できます。 ローカルまたはリモートのいずれかの IBM Cloud Transit Gateway に直接リンクを接続できます。これにより、オンプレミス・ネットワークが中継ゲートウェイに接続されているすべてのネットワークにアクセスできるようになります。
-
IBM Cloud Direct Link Dedicated は、サービス・プロバイダー管理の WAN またはクライアント管理のクラウド・バックボーンに直接接続する、IBM Cloud の VPC ネットワーク相互間の低遅延かつ高スループットの接続を提供します。 VPC ネットワークからの発信トラフィックを最適化し、発信コストを削減できます。 IBM Cloud のデータ・センターで接続できない場合や、仮想ネットワーク接続で 5 Gbps を超える帯域幅が不要な場合は、IBM Cloud Direct Link Connect を使用して、サポートされているサービス・プロバイダーを介して IBM Cloud に接続できます。
IBM Cloud Direct Link のグローバル・ルーティング機能を使用すると、単一の IBM Cloud 接続から世界中のすべての IBM Cloud Direct Link リージョンに接続できます。 IBM Cloud Direct Link のサービス・プロバイダー・パートナーを利用して、よりセキュアなハイブリッド接続を世界中に確立してワークロードに使用すると同時に、容量要件の増加に合わせて、複数の接続を簡単にプロビジョンすることもできます。
例 Direct Link オンプレミス相互接続ユース・ケース -
IBM Cloud Direct Link Connect は、サポートされているサービス・プロバイダーを介して、オンプレミスと IBM Cloud の VPC ネットワークの間の接続を提供します。 お客様のデータ・センターが、専用のコロケーション設備にアクセスできない物理的な場所にある場合や、使用するデータに 5 Gbps を超える接続を保証する必要がない場合には、サービス・プロバイダーの接続が有用です。 Connect のサービス・プロバイダーは、マルチクラウドの接続 (複数のベンダーの複数のパブリック・クラウド) をネットワーク経由で簡単に実現するために使用されることがよくあります。 Connect のサービス・プロバイダーは、レイヤー 2 接続、レイヤー 3 接続、またはその両方を提供しています。 サービス・プロバイダーと共同で、サービス・プロバイダーのオファリングと要件について理解してください。
-
-
VPN for VPC は、お客様の仮想プライベート・クラウドを別のプライベート・ネットワークに安全に接続できます。 VPN を使用して、VPC をオンプレミスのプライベート・ネットワークまたは別の VPC とつなぐ IPsec サイト間トンネルをセットアップできます。 詳しくは、VPN ゲートウェイを使用してオンプレミス・ネットワークに接続する方法を参照してください。
VPC 同士の相互接続
IBM Cloud Transit Gateway は、IBM Cloud ネットワーク上のリソース間の接続をプロビジョンおよび定義し、世界中の IBM Cloud データ・センター間にプライベート相互接続を提供します。IBM Cloud Transit Gateway は、接続用の中央ハブを提供して、ネットワークを簡単にプロビジョニングおよび管理できるようにします。 IBM Cloud Transit Gateway を使用すれば、単一または複数の中継ゲートウェイを作成して IBM Cloud VPC 同士を接続できます。 IBM Cloud クラシック・インフラストラクチャーも中継ゲートウェイに接続して、クラシック・インフラストラクチャー・リソースとのシームレスな通信を実現できます。 新しいリソースを中継ゲートウェイに接続すると、同じゲートウェイに接続されている他のすべてのリソースから自動的にアクセスできるようになります。 すべてのデータが IBM Cloud のプライベート・バックボーン内に維持されるので、パフォーマンスが最適化されます。
| IP | 発信元 |
|---|---|
10.100.0.0/24 |
VPC A サブネットから |
13.100.0.0/24 |
VPC A サブネットから |
10.101.0.0/24 |
Transit Gateway を介して VPC B から (ローカル) |
13.101.0.0/24 |
Transit Gateway を介して VPC B から (ローカル) |
10.111.0.0/24 |
Transit Gateway を介して VPC Z から (グローバル) |
13.111.0.0/24 |
Transit Gateway を介して VPC Z から (グローバル) |
| IP | 発信元 |
|---|---|
10.101.0.0/24 |
VPC B サブネットから |
13.101.0.0/24 |
VPC B サブネットから |
10.100.0.0/24 |
Transit Gateway を介して VPC A から (ローカル) |
13.100.0.0/24 |
Transit Gateway を介して VPC A から (ローカル) |
| IP | 発信元 |
|---|---|
10.111.0.0/24 |
VPC Z サブネットから |
13.111.0.0/24 |
VPC Z サブネットから |
10.100.0.0/24 |
Transit Gateway を介して VPC A から (グローバル) |
13.100.0.0/24 |
Transit Gateway を介して VPC A から (グローバル) |
これらの IBM Cloud オプションを使用する利点
これらの相互接続オファリングには、以下の利点があります。
- オンプレミス・ネットワークと VPC ネットワークの間のトラフィックが、パブリック・インターネットを経由しません。 トラフィックは、専用接続を経由するか、サービス・プロバイダーと専用接続を経由します。
- パブリック・インターネットを迂回することで、トラフィックのホップ数が減るので、トラフィックがドロップしたり中断したりする可能性がある障害点が少なくなります。
- ビジネスに不可欠な機密性の高いデータを保護しながら、中断することのない安定したネットワーク性能で、オンプレミスのデータ・センターと IBM Cloud の間でデータを移動することができます。
- すべての IBM Cloud データ・センターのサーバー間データ転送がプライベート・ネットワークで行われ、帯域幅の使用料が生じないため、データ転送速度にかかる費用を節約できます。
IANA 登録済み IP 割り当てに関するルーティングの考慮事項
IBM Cloud VPCは、 割り当てられたアドレスをVPCサブネットとして私的に使用することをサポートしています。 RFC-1918 以下のユース・ケースでは、VPC 内のリソースに浮動 IP またはパブリック・ゲートウェイが接続されている場合に VPC で使用するために、Internet Assigned Numbers Authority (IANA) によって割り当てられた範囲を指定する追加の経路構成が必要です。
- ユース・ケース 1: VPC は、IBM Cloud Direct Link を使用してエンタープライズに接続されており、そのエンタープライズ上の IANA によって割り当てられたネットワークと通信する必要があります。
- ユース・ケース 2: VPC は、IBM Cloud Transit Gateway を介して他の VPC に接続されており、接続済み VPC の IANA によって割り当てられたネットワークと通信する必要があります。
- ユース・ケース 3: VPC は、BCR ピアリングを使用して IANA によって割り当てられた範囲をクラシック・ネットワークに通知することにより、クラシック・インフラストラクチャー・ネットワークに接続されています。
これらのシナリオでは、VPC 内の各サブネットのルーティング・テーブルが、IANA によって割り当てられた範囲をプライベート・ルーティングのターゲットとして指定する経路に関連付けられている必要があります。そうでない場合、これらのパブリックにルーティング可能な範囲に対するすべてのトラフィックは、パブリック・バックボーンに転送され、目的のプライベート・ネットワーク宛先には転送されません。 これは、RFC-1918「および」IANA によって割り当てられた接頭部を使用する VPC サブネットに適用されます。 あらゆるカスタム経路を追加する場合と同様に、ルーティング・テーブルには、接続を必要とするアベイラビリティー・ゾーン (AZ) ごとに経路が含まれている必要があります。
オプションには以下のものがあります。
- VPC のデフォルト (発信) ルーティング・テーブルがすべての VPC サブネットに関連付けられている場合は、
Delegate-VPCアクションを使用して、VPC のデフォルト・テーブルに IANA 接頭部ごとに経路を作成するか、ゾーンごとの集合について経路を作成します。 転送アクションの場合、これは VPC システム・ルーティング・テーブルに従います。 - カスタム・ルーティング・テーブルを使用する場合は、
Delegate-VPCアクションを使用して、IANA 接頭部ごとに経路を作成するか、各カスタム・ルーティング・テーブルのゾーンごとの集合について経路を作成します。
IANA 範囲の使用は、Delegate-VPC アクションではなく、Delegate アクションを使用したカスタム経路でのみ機能します。 Delegate-VPC と Delegate の両方のカスタム経路アクションは、VPC システム・ルーティング・テーブルに従います。 唯一の相違点は、Delegate では、IANA 宛先にトラフィックを転送する際に任意の浮動
IP またはパブリック・ゲートウェイが使用されるが、Delegate-VPC では使用されず、IANA 宛先が (インターネットではなく) VPC 内に存在すると想定される点です。
ユース・ケース 1: IBM Cloud Direct Link を使用してエンタープライズに接続された VPC
| IP | 発信元 |
|---|---|
10.100.0.0/24 |
VPC A サブネットから |
13.100.0.0/24 |
VPC A サブネットから |
10.101.0.0/24 |
Transit Gateway を介して VPC B から (ローカル) |
13.101.0.0/24 |
Transit Gateway を介して VPC B から (ローカル) |
10.0.0.0/8 |
エンタープライズから Direct Link |
172.16.0.0/12 |
エンタープライズから Direct Link |
13.0.0.0/8 |
エンタープライズから Direct Link |
| IP | 発信元 |
|---|---|
10.101.0.0/24 |
VPC B サブネットから |
13.101.0.0/24 |
VPC B サブネットから |
10.100.0.0/24 |
Transit Gateway を介して VPC A から (ローカル) |
13.100.0.0/24 |
Transit Gateway を介して VPC A から (ローカル) |
10.0.0.0/8 |
エンタープライズから Direct Link |
172.16.0.0/12 |
エンタープライズから Direct Link |
13.0.0.0/8 |
エンタープライズから Direct Link |
| 接続先 | アクション | ネクスト・ホップ | ゾーン |
|---|---|---|---|
13.0.0.0/8 |
Delegate-VPC |
|
us-south-1 |
13.0.0.0/8 |
Delegate-VPC |
|
us-south-2 |
13.0.0.0/8 |
Delegate-VPC |
|
us-south-3 |
| 接続先 | アクション | ネクスト・ホップ | ゾーン |
|---|---|---|---|
13.0.0.0/8 |
Delegate-VPC |
|
us-south-1 |
13.0.0.0/8 |
Delegate-VPC |
|
us-south-2 |
13.0.0.0/8 |
Delegate-VPC |
|
us-south-3 |
ユース・ケース 2: IBM Cloud Transit Gateway を使用した VPC 間接続
| IP | 発信元 |
|---|---|
10.100.0.0/24 |
VPC A サブネットから |
13.100.0.0/24 |
VPC A サブネットから |
10.101.0.0/24 |
Transit Gateway を介して VPC B から (ローカル) |
13.101.0.0/24 |
Transit Gateway を介して VPC B から (ローカル) |
10.111.0.0/24 |
Transit Gateway を介して VPC Z から (グローバル) |
13.111.0.0/24 |
Transit Gateway を介して VPC Z から (グローバル) |
| IP | 発信元 |
|---|---|
10.101.0.0/24 |
VPC B サブネットから |
13.101.0.0/24 |
VPC B サブネットから |
10.100.0.0/24 |
Transit Gateway を介して VPC A から (ローカル) |
13.100.0.0/24 |
Transit Gateway を介して VPC A から (ローカル) |
| IP | 発信元 |
|---|---|
10.111.0.0/24 |
VPC Z サブネットから |
13.111.0.0/24 |
VPC Z サブネットから |
10.100.0.0/24 |
Transit Gateway を介して VPC A から (グローバル) |
13.100.0.0/24 |
Transit Gateway を介して VPC A から (グローバル) |
| 接続先 | アクション | ネクスト・ホップ | ゾーン |
|---|---|---|---|
13.0.0.0/8 |
Delegate-VPC |
|
us-south-1 |
13.0.0.0/8 |
Delegate-VPC |
|
us-south-2 |
13.0.0.0/8 |
Delegate-VPC |
|
us-south-3 |
| 接続先 | アクション | ネクスト・ホップ | ゾーン |
|---|---|---|---|
13.0.0.0/8 |
Delegate-VPC |
|
us-south-1 |
13.0.0.0/8 |
Delegate-VPC |
|
us-south-2 |
13.0.0.0/8 |
Delegate-VPC |
|
us-south-3 |
| 接続先 | アクション | ネクスト・ホップ | ゾーン |
|---|---|---|---|
13.0.0.0/8 |
Delegate-VPC |
|
us-east-1 |
13.0.0.0/8 |
Delegate-VPC |
|
us-east-2 |
13.0.0.0/8 |
Delegate-VPC |
|
us-east-3 |
ユース・ケース 3: IBM Cloud Transit Gateway を使用した VPC とクラシック間の接続および BCR ピアリング
| IP | 発信元 |
|---|---|
10.100.0.0/24 |
VPC A サブネットから |
13.100.0.0/24 |
VPC A サブネットから |
13.111.0.0/24 |
Transit Gateway を介してクラシックから |
| 接続先 | アクション | ネクスト・ホップ | Location |
|---|---|---|---|
13.0.0.0/8 |
Delegate-VPC |
|
us-south-1 |
13.0.0.0/8 |
Delegate-VPC |
|
us-south-2 |
13.0.0.0/8 |
Delegate-VPC |
|
us-south-3 |