IBM Cloud Virtual Router Appliance の FAQ
以下は、IBM Cloud® Virtual Router Appliance (VRA) を使用した作業でのよくある質問です。
VRA とは
IBM Cloud® Virtual Router Appliance (VRA) を使用すると、IBM Cloud® のお客様は、ファイアウォール、トラフィック・シェーピング、ポリシーベースのルーティング、VPN、その他のフィーチャーのホストが設定されたフル装備のエンタープライズ・ルーターを介して、プライベートとパブリックのネットワーク・トラフィックを選択的に経路指定できます。 すべての VRA フィーチャーはお客様により管理されます。 VRA は、IBM Cloud のお客様に、オンプレミス・ネットワーク用に通常予約されている一定の制御を提供します。
ゲートウェイ・アプライアンスとは何ですか
ゲートウェイ・アプライアンス・フィクスチャーを使用すると、Web ポータルまたは API を使用して、ネットワーク・セグメント (VLAN) を選択し、VRA を介した経路指定をすることができます。 VLAN の選択はいつでも変更できます。 また、ゲートウェイ・アプライアンスは VRA 高可用性 (HA) に対応しており、1 つ目の VRA に障害が発生した場合にもう 1 つの VRA が引き継ぐように構成します。
「Vyatta」や「vRouter」といった用語への参照を目にすることがありますが、 VRA にどのように関係しますか
VyattaはオープンソースのPCベースのルーターソフトウェアだったが、クローズドソースとなった。 今日、「Vyatta」および「Vyatta OS」は、そのクローズド・ソース・プロジェクトから派生して改造された市販のソフトウェアです。 IBM VRA には、Vyatta OS の要素、および IBM Cloud を介して排他的に使用可能なフィーチャーとサービスの機能拡張が多く組み込まれています。
「vRouter」は、その後の所有者による短命の商標変更でした。 文書に見られるときは、Vyatta と同義であると考えることができます。
Vyatta 5400 はまだサポートされていますか
IBMは 2019年3月31日をもってVyatta 5400のサポートを終了しました。
IBM Cloud® Virtual Router Appliance (Vyatta 5600) が Vyatta 5400 を超える改良点は何ですか
Vyatta 5600 では、Vyatta 5400 を超える以下の機能拡張があります。
- スループットの高速化 (CPU コア当たり最大 10 Gbps)
- IPsec VPN セッションあたり 3 倍以上のスループットの増加 (Advanced Encryption Standards)
- ルーター、フロー、および同時接続の容量の増加
- Layer 2 Tunneling Protocol Version 3 (L2TPv3)、Internet Key Exchange Version 2 (IKEv2)、Secure Hash Algorithm 2 (SHA-2)、802.1Q トンネリング (Q-in-Q) カプセル化など、標準サポートの更新
AT & T の vRouter 5600 オファリングについて
AT & T (旧称 Brocade) は、Brocade vRouter 5600 オファリングの生産終了およびサポート終了を発表しました。 Brocade vRouter 5600 は IBM Cloud® Virtual Router Appliance の基本的な技術能力を提供しますが、この発表は IBM のお客様には該当しません。 IBM のお客様は、引き続きこの新しいオファリングを使用したサポートを得られます。
VRA はどのように配信されますか
ネットワークゲートウェイを注文することでVRAを取得できます。 データセンターと適切なVRAサーバーを選択し、HAペアのVRAを展開するかどうかを指定することもできます。 サーバー、オペレーティング・システム、ゲートウェイ・アプライアンス・フィクスチャーはすべて自動的にプロビジョンされます。 プロビジョニングが完了すると、ゲートウェイ・アプライアンスのインターフェースを使用して、VRA を介した VLAN の経路指定ができます。 IBM Cloud コンソールのハードウェアの詳細セクションに記載されているパスワードを設定して SSH (セキュア・シェル) を使用することにより、VRA サーバーを直接構成することができます。
パスワードは安全ですか
はい。 すべての VRA には、アカウント所有者にのみ表示されるランダム・パスワードが割り当てられます。 SSH 公開鍵および管理 IP アクセス制限と同様に、パスワードは簡単に変更できます。
ゲートウェイ・アプライアンスなしで VRA を取得できますか
はい。ですがその場合、VRA のパブリック・インターフェースとプライベート・インターフェース間のトラフィックのみを管理できます。 VLAN と HA にはゲートウェイ・アプライアンス・フィクスチャーが必要です。
すべてのネットワーク・トラフィックが VRA を介して送信されますか
いいえ。 ゲートウェイ・アプライアンスでは、VRA を介してルーティングするプライベート・ネットワーク・セグメントとパブリック・ネットワーク・セグメント (VLAN) を選択できます。 VLAN の選択はいつでも変更およびバイパスすることができます。 また、VRA によって、サブネットまたは IP 範囲に適用される IP ベースのルールを定義することもできます。 そのようなルールは、それらのサブネットを含む VLAN が VRA を通過して経路指定される場合にのみ機能します。
VRA または専用のファイアウォールは新規サーバーのプロビジョンを回避できますか
はい。 可能な場合は常に、使用する予定のサーバーが設定されるまでは、ネットワークをロックダウンしてはいけません。
IBMは、顧客の明確な関与なしにVRAまたは専用ファイアウォールの構成を調査または変更することはポリシーで禁じられているため、サポートはVRAがサーバープロビジョニングの停滞または失敗の原因であることを知ることができません。
サーバーを注文する前に、自動サーバー・プロビジョンを許可するように VRA またはファイアウォールが構成されていることを確認するのは、お客様の責任です。 お客様が管理する VRA またはファイアウォールによってブロックされているプロビジョンは、お客様の責任で解決することができます。 このようなプロビジョニングの遅延は、SLA またはクレジットの影響を受けません。 注文されたシステムは、お客様が即時に対応しない場合、(お客様のデータが消去された後) 在庫に戻される可能性があります。
同様に、注文後に VRA またはファイアウォールがバイパスされる場合でも、注文が失敗する可能性があります。 自動再試行が実行される期間は、短い時間帯である可能性があります。 プロビジョン・プロセス全体がネットワークの干渉なく処理されるのが最善です。
IBM からどのようなファイアウォール製品が提供されていますか
IBM Cloud で提供されるすべてのファイアウォール製品の詳細な比較については、ファイアウォールの検討を参照してください。
VRA はお客様サポートの作業を複雑にする可能性がありますか
はい。前述の理由によります。 VRA は、ブラック・ボックスです。VLAN で入ると VLAN で出てくるので、IBM サポートには、お客様がその間パケットで何を操作しているかわかりません。
IBM サポートは常に最善を尽くしますが、VRA と専用のファイアウォールでは以下のことが言えます。
- お客様のプライバシーが接続性より優先されます。
- 標準サポート・スタッフは、構成が不十分または非常に複雑な VRA またはファイアウォール構成を分析する態勢が整っていません。
最初の診断手順として、IBM サポートはお客様に VRA またはファイアウォール VLAN をバイパス・モードにするよう要求する可能性があります。 この状態で、失敗したプロビジョンが開始される場合、問題がご使用の VRA/ファイアウォール構成にある可能性があります。
VRA は、ネットワーク・パフォーマンスにどのような影響を与えますか
他のお客様によってお客様が認識されないとしても、パブリック・クラウドではネットワークを共有することにご注意ください。 真に最高条件の VRA スループットは、ある時点の使用可能なネットワーク容量と、データが移動する必要がある距離によって決まります。
これらの変数はさておき、VRAは、10 Gbpsのスループットごとに1つのプロセッサコア(ハイパースレッドは含まない)を必要とするという概算式を使用することで、複数のインターフェースにわたって80 Gbpsの未変更のトラフィックを転送することができます。 現在のサーバーは最大40Gbps(2 x 10Gbpsパブリック+2 x 10Gbプライベート)。 その結果、8 コア以上のサーバは、複数の一般的な VRA 機能をほぼベストケースのネットワーク性能で処理するのに十分な計算ヘッドルームを持つ
VRA パスワードをなくした場合はどうすればいいですか
システムにアクセスできる場合は、次のコマンドを実行して新規パスワードを設定します。
set system login user [account] authentication plaintext-password [password]
システムにアクセスできない場合は、デバイスを再起動し、GRUBメニューのパスワード復旧オプションを使用してルートユーザーパスワードをリセットすることができます。
ファイアウォールからロックアウトされた場合、どうすればいいですか
潜在的に危険なファイアウォールのルールをテストする際に、reboot at [time]
構造が便利な場合があります。
ルールが機能している場合は、 reboot cancel
コマンドを使用して再起動をキャンセルします。 ルールによってアクセスがロックアウトされた場合は、スケジュールされた再起動が実行されるまでお待ちください。
システムにアクセスできない場合は、アクセスを回復するために再起動してください。 リブートの際に、システムは、破棄された前回のエントリーにより変更されていない構成ファイルを読み取ります。
IPMIを使用してアクセスできる場合は、以下の手順に従ってアクセスを回復してください
-
以下を実行して、問題のルールを無効化します。
set security firewall name [firewall name] rule [rule number] disable commit
-
以下を実行して、指定されたルール・セット全体を必要なインターフェースから除外します。
delete interfaces dataplane [interface] firewall [type] [firewall name] commit
これらのコマンドを正しく使用しないと、インターフェース構成が消去される可能性があります。
高可用性 (HA) ペアで 2 つの Vyatta デバイスを実行することが望ましいのはなぜですか
ほとんどのクラウド・カスタマーは、HA サービスを求めています。 ワークロードが少なくとも 2 つの分離された (ハードウェア) マシン上にホストされているか、より理想的には、2 つの別個のアベイラビリティー・ゾーン (データ・センターを思い浮かべてください) でホストされることにより、一方に障害が発生した場合に、他方でサービスを続行できるためです。 一方のマシンで障害が発生すると、もう一方のマシンへのフェイルオーバーが行われます。つまり、サービスを実行し続けることができます。 これは HA サービスと呼ばれるもので、ほぼ常時利用可能な状態を作り出します。
VRA への root ログインはどのように有効にすることができますか
SSH 経由で root アクセスを有効にするには、以下のコマンドを実行します。
set service ssh allow-root
SSH を使用した root アクセスを許可することは安全でないと見なされます。
root シェルにアクセスする代わりに、別のユーザーとしてログインし、su -
を使用してローカルで root に昇格するか、スーパーユーザーへの sudo コマンドを許可することもできます。 例えば、Vyatta をスーパーユーザーとして構成するには、以下のようにします。
set system login vyatta level superuser
ファームウェアをアップデートするにはどうすればよいですか?
ネットワークゲートウェイアプライアンスが最適なデバイス互換性と安定性を確保できるよう、ファームウェアを最新の状態に保つことが重要です。 お客様は、お客様のデバイスの継続的なメンテナンスと運用に関する 役割と責任 を負います IBM Cloudのテクニカルサポートは、お客様の代わりにアップデートを実行することはありません。
ファームウェアのバージョンが古い場合、デバイスリストからアプライアンスを選択し、アクションメニューから 「ファームウェアを更新」 をクリックすることでファームウェアを更新できます。 OSリロードのプロセス中にファームウェアのアップデートを初期化することもできます。 アップデートを開始すると、トランザクションが実行され、BIOSファームウェアと選択したその他のファームウェアオプションが自動的にアップデートされます。
ゲートウェイアプライアンスの電源を入れた状態では、ファームウェアのアップデートを初期化できません。 ファームウェアのアップデートを初期化する前に、アプライアンスの電源がオフになっていることを確認してください。
複数のノードを更新する必要がある場合は、1つのノードずつ更新していくのが良いでしょう。 単一ノードを更新することで、2回目のファームウェア更新時のフェイルオーバーによる混乱を最小限に抑えることができます。
ファームウェアのアップデートには、最大4時間かかる場合があります。 アップデートに4時間以上かかる場合は、未解決のサポートケースがないか確認してください。 サポートケースが開かれていない場合は、サポートに連絡するか、ケースを開いてサポートを受けることができます。
BIOSは、他のファームウェアのアップデートとは別に更新できますか?
はい、問題なくBIOSのみをアップデートすることは可能です。 そのオプションが利用可能な場合、 IBM Cloudのデバイスページで、ネットワークカードなどの他の更新オプションとともに選択肢として表示されます。 デバイスとの互換性を最大限に高めるには、BIOSとネットワークカードの両方を最新バージョンで使用できるように、推奨されるアップデートを同時に実行することが推奨されます。