VPC VPN 接続のセットアップ
この VPN 情報は、VPC クラスターに固有の情報です。 クラシック・クラスターの VPN 情報については、VPN 接続のセットアップを参照してください。
Red Hat® OpenShift® on IBM Cloud® の VPC クラスター内のアプリとサービスを、オンプレミスのネットワーク、他の VPC、および IBM Cloud クラシック・インフラストラクチャーのリソースに安全に接続できます。 クラスター外のアプリを、クラスター内で実行されるアプリに接続することもできます。
以下の表は、VPC クラスターを接続する宛先のタイプに基づいて使用可能な接続オプションを比較しています。
| 接続先 | IBM Cloud VPC VPN | Transit Gateway | Direct Link | クラシック・アクセス VPC |
|---|---|---|---|---|
| オンプレミス・ネットワーク | ある | ある | ||
| その他の VPC | ある | ある | ||
| クラシック・インフラストラクチャーのリソース | ある | ある |
オンプレミス・データ・センター内にあるリソースとの通信
クラスターをオンプレミスのデータ・センターに接続するには、IBM Cloud® Virtual Private Cloud VPN または IBM Cloud® Direct Link を使用します。
IBM 提供のデフォルトのポッドの範囲 172.30.0.0/16 およびサービスの範囲 172.21.0.0/16 とサブネットが競合する可能性があります。 CLIからクラスタを作成する ときに、 --pod-subnet オプションでポッド用のカスタムサブネットCIDRを指定し、
--service-subnet オプションでサービス用のカスタムサブネットCIDRを指定することで、サブネットの競合を回避できます。
要求の送信元 IP アドレスが保持される VPN ソリューションを使用する場合は、ワーカー・ノードからオンプレミスのネットワークにクラスターの応答を戻すためのカスタム静的経路を作成できます。
172.16.0.0/16、172.18.0.0/16、172.19.0.0/16、172.20.0.0/16 のサブネット範囲は、Red Hat OpenShift on IBM Cloud のコントロール・プレーン機能用に予約されているので使用できません。
IBM Cloud VPC VPN
IBM Cloud VPC の VPN では、VPC 全体をオンプレミスのデータ・センターに接続します。 このオプションを使用すると、VPN 接続セットアップで VPC ネイティブのままにすることができます。 始めるには、次のようにします。
- オンプレミスの VPN ゲートウェイを構成します。
- VPC に VPN ゲートウェイを作成し、VPC VPN ゲートウェイとローカル VPN ゲートウェイの間の接続を作成します。 マルチゾーン・クラスターの場合は、ワーカー・ノードが存在するすべてのゾーンのサブネットに VPC ゲートウェイを作成する必要があります。
Direct Link
Direct Link を使用すると、パブリック・インターネット経由でルーティングせずに、リモート・ネットワーク環境と Red Hat OpenShift on IBM Cloud の間に直接のプライベート接続を作成できます。IBM Cloud Direct Link (2.0) は、VPC とネイティブ統合用に構成されています。 VPC で作成したすべてのクラスターは、Direct Link 接続にアクセスできます。
初めに、IBM Cloud Direct Link Dedicated の注文を参照してください。 手順 8 で、Direct Link ゲートウェイに接続する VPC へのネットワーク接続を作成できます。
他の VPC 内にあるリソースとの通信
同じアカウントで、ある VPC 全体を別の VPC に接続するには、IBM Cloud VPC VPN または IBM Cloud® Transit Gateway を使用します。
IBM Cloud VPC VPN
各 VPC 内のサブネット上に VPC ゲートウェイを作成し、2 つの VPC ゲートウェイ間に VPN 接続を作成します。 例えば、あるリージョンの VPC 内のサブネットを、VPN 接続を介して別のリージョンの VPC 内のサブネットに接続することができます。 始めに、VPN を使用して 2 つの VPC を接続するを参照してください。 VPC サブネットにアクセス制御リスト (ACL) を使用する場合は、ワーカー・ノードが他の VPC 内のサブネットと通信できるように、インバウンド・ルールまたはアウトバウンド・ルールを作成する必要があることに注意してください。
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway を使用して、VPC 間のアクセスを管理できます。Transit Gateway インスタンスは、同じリージョンにある VPC 間のルーティング (ローカル・ルーティング) を行うように構成することも、別々のリージョンにある VPC 間のルーティング (グローバル・ルーティング) を行うように構成することもできます。 開始するには、Transit Gateway 資料を参照してください。
IBM Cloud クラシック・リソースとの通信
クラスターを IBM Cloud クラシック・インフラストラクチャー内のリソースに接続する必要がある場合は、VPC にクラシック・アクセスをセットアップするか、IBM Cloud Transit Gateway を使用します。
クラシック・アクセス VPC の作成
1 つの VPC のみをクラシック・インフラストラクチャーに接続する場合は、クラシック・アクセス用の VPC をセットアップできます。 アカウント内のクラシック・インフラストラクチャー上にパブリック・インターフェースを持たないすべての仮想サーバー・インスタンスまたはベアメタル・サーバーは、VPC 内のインスタンスとの間でパケットの送受信を行うことができます。
VPC をクラシック・インフラストラクチャー・アカウントに接続する前に、次の制限および要件に留意してください。
- VPC の作成時に、VPC のクラシック・アクセスを有効にする必要があります。 既存の VPC をクラシック・アクセスを使用するように変換することはできません。
- クラシック・インフラストラクチャーへのアクセスは、リージョンごとに 1 つの VPC に対してのみセットアップできます。 1 つのリージョンに、クラシック・インフラストラクチャーにアクセスできる複数の VPC をセットアップすることはできません。
- Virtual Routing and Forwarding (VRF) が IBM Cloud アカウントに必要です。
始めに、クラシック・インフラストラクチャーへアクセスのセットアップを参照してください。
IBM Cloud Transit Gateway の使用
複数の VPC をクラシック・インフラストラクチャーに接続する場合は、IBM Cloud Transit Gateway を使用して、IBM Cloud クラシック・インフラストラクチャー内のリソースについて、複数リージョン内の VPC 間のアクセスを管理することができます。 開始するには、Transit Gateway 資料を参照してください。