ネットワークの概要
IBM Power Virtual Server プライベートクラウドの クライアント・ロケーション
データ・センター内のポッドと IBM® Power® Virtual Server IBM Cloud の間の接続を確立するには、綿密な計画、サイトの準備、前提条件の満たすこと、ネットワーク・アーキテクチャーの理解などが必要です。
ネットワークのセットアップには、以下の 2 つのネットワークのセットアップが含まれます。
- コントロールプレーンネットワーク- IBM Cloud とデータセンターにあるポッド間の通信用。
- データ・プレーン・ネットワーク-仮想サーバーにアクセスします。
コントロール・プレーン・ネットワーク
IBM Power Virtual Server プライベートクラウド ネットワーク・アーキテクチャでは、 IBM Cloud と、 IBM Power Virtual Server プライベートクラウド のクライアント・ロケーション・データセンターにあるポッドとの接続が必要です。 この接続性は、Service Broker、 IBM Cloud、ポッド間の主要な通信チャネルです。 この通信チャネルは、コントロール・プレーン・ネットワークと呼ばれます。 このチャネルを通じて、サービスブローカーは、仮想マシンのライフサイクル操作のために、 Power Virtual Server 用の PowerVC 上のAPIを起動することができます。
コントロール・プレーン・ネットワークは冗長性を備えてセットアップされ、複数のネットワーク・パスを提供して、ポッドが確実に IBM Cloud リージョンに接続されるようにします。 制御プレーンのネットワークは、IBM Cloud Direct Link 2.0 または仮想プライベート・ネットワーク(VPN)を使用して設定できます。 IBM Cloud Direct Link 2.0 接続の場合、 IBM はIPsec over VPN(ラストマイル接続)を使用するデバイスに、 IBM Cloud 地域のクライアント・ロケーション・ポッドの IBM Power Virtual Server プライベートクラウド に接続するよう命令する。
ポッドのインストールの前に、IBM Cloud Direct Link 2.0 接続または VPN 接続を確立できるように、必要なネットワーク固有の情報を提供します。
計画外ネットワーク停止の影響
クライアントの場所に配置された IBM Power Virtual Server プライベートクラウド インフラストラクチャが計画外のネットワーク停止に遭遇すると、通信リンクが中断され、 IBM Cloud へのプライマリおよびセカンダリ管理接続( Direct Link またはサイト間VPN)が失われる。 以下の表は、 IBM Power Virtual Server プライベートクラウド インフラが切断モードで動作している場合の影響の概略である。
| 機能 | 切断モードでの動作 |
|---|---|
| クライアントのワークロードとデータ | クライアントのワークロードは稼動しており、すべてのデータにアクセスできます。 |
read 操作のためのGUIまたはAPI |
GUIは操作可能で、最新のキャッシュデータを使用する。 |
仮想マシン(VM)やボリュームの作成など、 write 操作のための GUI または API |
制御プレーンネットワークへの接続が回復するまで、Power Virtual Sever リソースに対して write の操作は実行できません。 |
| コマンドライン・インターフェース (CLI) | read。 ただし、コントロールプレーンネットワークへの接続が回復するまでは、 write。 |
| 課金と計量 | メータリングは最新のキャッシュデータを使用する。 インフラストラクチャーが切断された場合、コントロールプレーンネットワークへの接続が回復するまで、 write 操作を実行することはできません。 |
| クライアント・データ・ネットワーク用のダイナミック・ホスト・コンフィギュレーション・プロトコル(DHCP)サービス | DHCPサービスは IBM Power Virtual Server プライベートクラウド インフラ内の常駐ネットワークによって提供され、 IBM Cloud に接続する必要はない。 |
| IBM リモートサポート | IBM リモートサポートチームは、コントロールプレーンネットワークへの接続が回復するまで、 インフラストラクチャにリモート接続できない。 IBM Power Virtual Server プライベートクラウド |
IBM Cloud Direct Link 2.0 接続
IBM Cloud Direct Link 2.0 Connect は、リモート・データ・センターに接続するための IBM Cloud テクノロジーです。 このテクノロジーは、IBM Cloud 上の仮想プライベート クラウド (VPC) と、データ センターにあるポッドにルーター コネクターを接続します。 IBM Cloud Direct Link 2.0 Connect は、IPsec over VPN (ラストマイル接続としても知られています) を使用してポッドに接続します。 したがって、IBM Cloud Direct Link ネットワークは最小レベルでデータセンター環境を通過し、ポッドのルーターに接続されます。 コントロール・プレーン・ネットワークは冗長性を備えてセットアップされ、複数のネットワーク・パスを提供して、ポッドが確実に IBM Cloud リージョンに接続されるようにします。 IBM は、IBM Cloud Direct Link 2.0 Connect を注文します。 サービス・キーなどの属性は、順序付けプロセスから収集されます。 注文が完了すると、対応するサードパーティのネットワーク・プロバイダーは、IBM Cloud とデータセンター間のリモート接続を確立することができます。
IBM Cloud Direct Link 2.0 Connect は、従来のサイト間 VPN ソリューションに代わるものと見なすことができます。 この接続性により、リモート ネットワークと IBM Cloud 環境の間で、セキュリティとプライバシー、一貫した、より高いスループットの接続性を提供できます。 IBM Cloud Direct Link Connect の詳細については、IBM Cloud Direct Link を参照してください。
IBM Cloud とポッドの間の接続には、以下の 2 つの部分があります。
- IBM Cloud ネットワーク・インフラストラクチャーとサード・パーティー・ネットワーク・プロバイダー・インフラストラクチャーの間の共有接続。
- サード・パーティーのネットワーク・プロバイダー・インフラストラクチャーとデータ・センターの間のインターネット・ベースの接続。 これは「ラストマイル接続」と呼ばれ、IPsec VPN を含む場合があります。 ラストマイル接続を提供するためにサービス・プロバイダーと契約します。
この接続を確立するには、お客様、 IBM、およびサード・パーティーのネットワーク・プロバイダー間のコラボレーションが必要です。
仮想プライベート・ネットワーク
IBM Cloud とポッドの間の仮想プライベート・ネットワーク (VPN) は、以下の方法で確立できます。
- サイト間 VPN 接続 サービス・ブローカーを収容する VPC 上に VPN ゲートウェイをセットアップすることができます。 このゲートウェイは、インターネットに接続する IP アドレスを提供します。 インターネットに接続する IP アドレスを提供できる VPN クライアントをデータ・センター上に確立できます。 この接続により、2 つのエンドポイント間の IPsec VPN トンネルが形成されます。 そして、データセンターのVPNクライアントを IBM Power Virtual Server プライベートクラウド ルーターに拡張することができる。
- IBM Cloud クラシック環境を使用した VPN 接続: Juniper vSRX 仮想ファイアウォールを IBM Cloud上のクラシック環境にデプロイできます。 このセットアップは、中継ゲートウェイを介してサービス・ブローカーを収容する VPC に接続できます。 あるいは、データ・センター環境で同様の VPN ハードウェアまたはソフトウェア環境をセットアップすることもできます。 このセットアップをIPsec VPNトンネルで接続し、 IBM Power Virtual Server プライベートクラウド ルーターに拡張することができる。 データ・センター・インフラストラクチャーは、ポッド上のルーターに接続されている必要があります。 この接続は、可能な限り最小限にすることをお勧めします。 IBM Power Virtual Server プライベートクラウド ルータを使用して、環境に1つまたは複数の仮想ルータを設定し、ボーダーゲートウェイプロトコル(BGP)展開を設定できます。
データ・プレーン・ネットワーク
データプレーンネットワークは、データセンター内のポッドが IBM Power Virtual Server プライベートクラウド ネットワークインフラストラクチャに接続されているときに有効になります。 ポッド内の仮想サーバー(論理パーティション)には、 IBM Cloudお客様のネットワークからアクセスできる必要があります。
ポッドには、 IBM Cloudとの通信に必要なすべてのソフトウェア・コンポーネントが含まれています。 コンポーネントには、HMCや PowerVC,などのサービス・ソフトウェア、 IBM Power Virtual Server ネットワーク・ファブリックやルーターなどのストレージやネットワーク・デバイスが含まれます。
ポッド内にネットワークを作成する場合は、そのネットワークがポッド内の同じワークスペース内の他の既存のネットワークと重複していないことを確認してください。 オーバーラップするネットワークを作成すると、エラー・メッセージが表示されます。
API を使用して重複するネットワークを作成すると、以下の例のようなエラー・メッセージが表示されます。
{
"errors": "Subnet overlap between uni/tn-VPN502/BD-BD_VPN502_V504_PRIV_3302/subnet-[192.168.31.1/24] and uni/tn-VPN502/BD-BD_VPN502_V504_PRIV_3301/subnet-[192.168.31.1/24] in VRF uni/tn-VP
N502/ctx-VPN502_V504_VRF. It is not possible to have overlapping subnets across different Bridge Domains within the same VRF."
}
ネットワーク計画の一環として、以下のユース・ケースを確認し、適用可能なユース・ケースを特定することができます。 インストールの前にこのような要件について連絡を取ることができるため、ユース・ケースおよび構成を実装するために別個のサポート・チケットをオープンする必要はありません。
- ポッド内の LPAR 間の接続-内部プライベート・ネットワークを作成し、外部接続なしでそれらのネットワークに LPAR をデプロイすることができます。 これらのLPARは、ポッド内部のネットワークファブリックを構成する自動ホスト通信によって、相互にアクセスすることができます。 詳しくは、 ポッド内の LPAR 間の接続を参照してください。
- アウトバウンド-DNAT を介した外部接続のみ-ポッド内に外部ネットワークを作成できます。 これらのネットワークの接続は、手動のチケット・プロセスを使用して構成する必要があります。 接続構成の後、LPAR をそれらにデプロイし、外部ネットワークにアクセスすることができます。 内部ネットワークと外部ネットワークの両方を別個のネットワーク・インターフェースとして使用して、LPAR をいつでもデプロイできます。 詳しくは、 DNAT を介したアウトバウンド専用外部接続を参照してください。
- BGP による双方向の外部接続- ポッド内に外部ネットワークを展開し、 IBM Power Virtual Server プライベートクラウド ネットワーク環境にあるエンドポイント間の通信を BGP を使用して確立できます。 詳しくは、 BGP を介した双方向外部接続を参照してください。
- スタティックルートによる双方向の外部接続- BGPと同様のスタティックルートを使用して、 IBM Power Virtual Server プライベートクラウド ネットワーク環境にあるエンドポイント間の通信を確立するために、ポッド内に外部ネットワークを配置することができます。 詳しくは、 静的ルートを介した双方向外部接続を参照してください。
- 双方向外部接続 - L2Out- このタイプの外部接続を確立すると、ルーターをバイパスしてネットワーク・ファブリックに直接接続されます。 このタイプの接続は、内部ネットワークと外部ネットワークの両方で同じ IP アドレス・スペースが必要な場合に役立ちます。 他のすべてのタイプの外部ネットワークには、2 つの異なるサブネットが含まれます。 詳しくは、 L2Outによる双方向外部接続を参照。
ネットワーク・アーキテクチャーの図
図 1 は、ネットワーク・アーキテクチャーの全体像を示しています。
