IBM Cloud Docs
IBM Cloud 上の Virtual Routing and Forwarding

IBM Cloud 上の Virtual Routing and Forwarding

定義によると、Virtual Routing and Forwarding (VRF) は IP ネットワーク・ルーターに含まれる技術です。 これは、内在するバックボーン・サービスとして提供されます。

IBM Cloud の接続オプション

分散クラウド・リソースとは、複数のロケーション、あるいは複数のサブネットまたは VLAN にあるリソースのことです。 これらのタイプのリソースには、プライベート・ネットワークのコンテキスト内でも、相互に通信するためのルーティング機能が必要です。 本資料では、カスタマー VRF とよく呼ばれる「マルチ分離」テナンシー通信オプションについて説明します。 これは、グローバル IBM Cloud® バックボーンで MPLS Layer-3 VPN (RFC 4364) として実装されます。

一般的に、IBM Cloudプラットフォームは、IBMプライベート・ネットワーク全体のルーティングに2つのオプションを提供し、ポッドとデータセンター間の接続性を提供します:

  1. 多重分離:テナントごとの専用論理ネットワークで、他のテナントの論理ネットワークとの相互作用を許さない。

  2. 共有テナント:このモデルを使用するすべてのテナントが共有する共通の論理ネットワークで、自動化されたアクセス制御リスト(ACL)によって分離され、VLANスパニングが有効になっている。 このオプションについては、本資料で説明しません。

顧客 VRF "という用語は、複数の分離ネットワーク接続を表すために使用される。

VRF の概要: マルチ分離テクノロジー

VRF は、ルーティング・テーブルの複数のインスタンスがルーターに存在して同時に機能することを可能にします。 VRF では、それぞれのクラウド・テナントの VRF ネットワークがそのルーティング・テーブル内でセグメント化されます。 このセグメンテーションはIPアドレスの重複を許容し、他のテナントVRFとの相互作用や干渉を生じさせない。IBM Cloudは「10.0.0.0/8 ネットワークの大部分を使用しますが、これは多くのリモートネットワーク(例えば顧客のデータセンターに配置されたネットワークなど)と重複する可能性があります。

VRFを使うことで、IBM Cloudテナントは、通常はGlobalテーブルでオーバーラップすることが許されないリモートIPアドレスを使うことができる。 VPC のみにアクセスする場合、IBM は引き続き、次の RFC 1918 のリンク・ローカル・アドレスおよびマルチキャスト・アドレスを予約しています (これらは、この VRF サービスからルーティングできません)。

  • 169.254.0.0/16
  • 224.0.0.0/4
  • 166.9.0.0/16 (プライベート・エンドポイント・サービスで使用)
  • IBM プラットフォーム上でお客様の VLAN に割り当てられたすべての IP 範囲。

以下の範囲がIBM Cloudで利用可能になりました。Direct Link

  • 10.0.0.0/14
  • 10.200.0.0/14
  • 10.198.0.0/15

IBM は、アベイラビリティー・ゾーン (AZ) で仮想プライベート・クラウド (VPC) を可能にする次世代のクラウド・デプロイメントを進めていきます。 この新しい VPC 機能により、ダラス、ワシントン DC、ロンドン、フランクフルト、東京、シドニーにある VPC 対応の AZ で持ち込み IP (BYoIP) が使用可能になります。

例えば、VRF を使用するバックボーン上の各テナントに存在できるカスタマー VRF は、Direct Link 当たり 1 つだけです。これにより、ロケーションに関係なく、テナントの全サーバー間で接続が行われます。 しかし、IBM Cloud テナントは、単一の相互接続ルーターにフィードされる複数の Direct Link アカウントを持つことができます。

  • 世界中のいずれかのデータ・センターのいずれかのポッドのいずれかの VLAN 内にあるテナントのサーバーは、そのテナントの他のすべてのサーバーにグローバルに到達できます。
  • すべてのテナントのカスタマー VRF は、共通の共有サービス・ネットワークに接続され、そうしたサーバーが DNS、共有ストレージ、モニター、パッチなどを使用するためにプライベートに到達できるようにしています。
  • カスタマー VRF は、テナント間の分離を提供する接続サービスです。 そのほかにテナンシー内で必要な制御があれば、ゲートウェイ、セキュリティー・グループ、またはホスト・ベースの制御を使用して、別個にプロビジョンする必要があります。

VPC 使用時のルーティングについての考慮事項

オンプレミスのサブネットをダイレクトリンクからVPC経由でルーティングする場合、VPCのルーティングテーブルにルートを作成する必要があります。 詳しくは、経路の作成を参照してください。

VRF に移行する利点

VRF への移行には、主に以下のような利点があります。

  • 業界で実証され、広く受け入れられている マルチ分離テクノロジー。 クラウドを利用する多くのお客様が、ACL より Level-3 VPN アプローチが監査者やコンプライアンス担当者に受け入れられやすいと捉えています。
  • IBM Cloudのお客様は、IBMネットワーク全体に新しいサイトやアプリケーションを追加することで、ネットワークの範囲を大幅に拡張または移行することができます。
  • テナント固有のルーティング・テーブルによって、他のテナントのサブネットや他の適用できないネットワーク部分とオーバーラップするリスクがなくなり、IP アドレスがオーバーラップする可能性が低くなります。

古いACLモデルと比べると、考慮すべきトレードオフがいくつかある:

  • カスタマー VRF への移行には、バックボーンのトラフィック・フローを短時間中断する保守時間が必要になります。
  • マネージドVPNサービス(SSL、IPsec)を使用したリモートアクセスは、 SSL VPNデータセンターに。 ただし、バックボーン上の共有 ACL により、どちらのサービスからのどのエントリ ポイントからもグローバル アクセスが可能になります。
  • VLAN スパニングは共有テナンシー モデルの機能であり、VRF では使用できません。 カスタマー VRF への変換時に VLAN スパニングは無効になります。
  • IBM Cloud クラシック・インフラストラクチャーのリモート・アクセスの IPsec VPN 管理サービスは使用できません。

IBM Cloud の多くのお客様が現在、IBM Cloud ネットワーク上の共有テナンシー・モデルを使用して運用しています。 移行中に、共有テナンシーは、多くの場合は新しい Direct Link サブスクリプションで、カスタマー VRF を使用するように変換されます。

ご使用のアカウントの VRF 移行を開始する方法に関する具体的な情報については、ご使用の IBM Cloud オファリング用の移行手順を参照してください。