IBM Cloud Transit Gateway について
仮想プライベートクラウド(VPC)の数が増えるにつれて、複数のリージョンにまたがるこれらのリソース間の相互接続を管理する方法が必要になります。 IBM Cloud® Transit Gateway はこの目的のために特別に設計されています。
IBM Cloud Transit Gateway を使用すれば、単一または複数の中継ゲートウェイを作成して VPC を相互に接続できます。 IBM Cloud クラシック・インフラストラクチャーも中継ゲートウェイに接続して、クラシック・インフラストラクチャー・リソースとのシームレスな通信を実現できます。 これにより、中継ゲートウェイに接続する新規ネットワークは、そのゲートウェイに接続されている他のすべてのネットワークで自動的に使用可能になり、ネットワークの拡大に応じて拡張できるようになります。
中継ゲートウェイを使用すると、ローカル・ゲートウェイにネットワークを追加できるので柔軟性が得られます。 ネットワークを複数のローカル・ゲートウェイと 1 つのグローバル・ゲートウェイに接続できるので、ローカル・ゲートウェイ上のローカル・トラフィックはそのまま維持できます。
フィーチャーの概要
IBM Cloud Transit Gateway には、以下の機能があります。
プライバシー
-
IBM プライベート・ネットワーク上の IBM Cloud Transit Gateway との接続はパブリック・インターネットに公開されないため、パブリック・エグレスと VPN のコストが削減され、セキュリティー上の脅威が軽減されます。
-
IBM Cloud Transit Gateway は、完全に冗長化されたフォールト・トレラントなサービスであり、単一障害点のないこれらの IBM Cloud マルチゾーン・リージョン (MZR) で提供されています。
-
IBM Cloud Transit Gateway は、トランジットゲートウェイへのアクセスを管理できるようにすることで、 Identity and Access Management (IAM)と統合します。 IAM により、IBM Cloud のユーザーとグループ、さらにはそれらのユーザーとグループのアクセスを許可/拒否するユーザー許可を作成および管理できます。
ルーティング
IBM Cloud Transit Gateway は、VPC と IBM Cloud クラシック・インフラストラクチャーの間のローカルおよびグローバルのルーティングをサポートします。 すべてのルーティングオプションは、パブリックインターネット上で動作することなく、プライベート IBM Cloud インフラストラクチャ内に留まり、パフォーマンスのために最適化されています。 IBM Cloud Transit Gateway では、ワークロードの拡張や、 IBM Cloud 上で動作する分離されたネットワークの接続において、柔軟性、冗長性、スピードが向上します。
最適化されたトラフィックと耐障害性
Transit Gateway 各アベイラビリティゾーンに設置されたルーターを使用する地域サービスです。 典型的な設定では、仮想サーバーインスタンスが異なるVPCにまたがって展開されている場合、これらのインスタンスは互いに通信を試みます。 VPC間のトラフィックは同一ゾーン内に留まり、効率的なローカルルーティングと最適化されたデータ転送が保証されます。
この標準動作は、トランジットVPCを使用し、1つのVPCからすべてのゾーンに同じプレフィックスを広告するために静的ルートを広告する場合にも適用されます。 たとえファイアウォールがVPC内に配備された場合(他の広告ゾーンで二重のファイアウォールが存在することになる)、トラフィックはそれぞれのゾーンのトランジットゲートウェイを優先します。 これにより、トラフィックは同じゾーンのトランジットゲートウェイ経由で戻ってくるため、同じゾーン内のルーティングが維持されます。 VPCは通常、ゾーン内のトランジットゲートウェイを優先し、ゾーン間のトラフィックを最小限に抑えます。
ゾーン障害が発生した場合、例えば、トランジットゲートウェイが1つのゾーンで障害を発生した場合(ゾーン内のすべてのルーターの障害が原因)、通信が中断される可能性があります。 このような場合、トラフィックは異なる経路でルーティングされ、一方の方向のトラフィックは代替の経路を通り、レスポンスは異なる経路で返される場合があります。 しかし、通常、VPCトラフィックは同一ゾーン内に留まります。
境界を越えて簡単に接続できる
IBM Cloud Transit Gateway は、 IBM Cloud VPC を、世界中のコンピュート・リソースおよびクラシック・リソースと相互接続します。 複数の異なる IBM Cloud アカウントの VPC およびクラシック・リソースを相互接続することもできます。
IBM Cloud Transit Gateway は、エンドポイント間を結ぶGRE(Generic Routing Encapsulation)トンネルの使用をサポートしている。 GREトンネルは、トランジット・ゲートウェイが独自のユースケースのために、古典的なインフラ・リソース上でホストされるオーバーレイ・ネットワークに接続することを可能にする。
GRE enhanced route propagationでは、同じトランジットゲートウェイに接続されたすべてのGREトンネルがルートを共有し、ゾーンをまたいだGREでも通信できる。 この設定を無効にすると、異なるゾーン内の未バインドGREトンネル間や、冗長GRE内のトンネル間でネットワークトラフィックを交換できなくなる。
Direct Link 接続
IBM Cloud Transit Gateway は Direct Link 接続をサポートします。 Direct Link を IBM Cloud Transit Gateway のオンプレミス・ネットワークに接続すると、中継ゲートウェイ上で接続されているすべてのネットワークにアクセスできるようになります。 同様に、トランジットゲートウェイ上の他のすべての接続は、あなたのネットワークにアクセスすることができます。 IBM Cloud Transit Gateway への他のネットワーク接続と同様、IP オーバーラップの問題を回避するために特別な注意を払うことが必要です。 詳しくは、 重複する VPC 接頭部およびクラシック・インフラストラクチャー・サブネットの処理 を参照してください。
Power Virtual Server 接続
IBM Cloud Transit Gateway は、 Power Virtual Server 接続をサポートします。 IBM Cloud Transit Gateway ネットワークに Power Virtual Server インスタンスを接続すると、トランジットゲートウェイに接続されているすべてのネットワークへのアクセスが許可されます。 同様に、トランジットゲートウェイ上の他のすべての接続は、あなたのネットワークにアクセスすることができます。 IBM Cloud Transit Gateway への他のネットワーク接続と同様、IP オーバーラップの問題を回避するために特別な注意を払うことが必要です。 詳しくは、 重複する VPC 接頭部およびクラシック・インフラストラクチャー・サブネットの処理 を参照してください。
相互接続のパターン
IBM Cloud Transit Gateway を使用すると、IBM Cloud VPC とクラシック・インフラストラクチャーを中継ゲートウェイに接続できるため、IBM Cloud リージョンにまたがる複数の VPC とクラシック・インフラストラクチャー・リソースのグローバル・ネットワークを構築して、ビジネス・ニーズに対応できます。IBM Cloud Transit Gateway は、IBM Cloud VPC および IBM クラシック・ネットワーク全体で機能します。
IBM Cloud Transit Gateway は、中継ゲートウェイのロケーションやルーティング・タイプの指定にかかわらず、すべての MZR のクラシック・ネットワークに接続できます。
IBM Cloud Transit Gateway サービスの実装例を以下にいくつか示します。
ユース・ケース 1: 同じ MZR の 2 つ以上の VPC を相互接続する
同じリージョンにある 2 つの VPC をローカル中継ゲートウェイで接続します。
{: caption="内の2つ以上のVPCを接続する同一MZR内の2つ以上のVPCを接続する同一" caption-side="bottom"}内の2つ以上のVPCを接続する
ユース・ケース 2: 複数の MZR の 2 つ以上の VPC を相互接続する
グローバルトランジットゲートウェイを使用して、複数の地域のVPCを接続します。
{: caption="て2つ以上のVPCを接続する複数の" caption-side="bottom"}て2つ以上のVPCを接続する複数のMZRにまたがって2つ以上のVPCを接続する
ユース・ケース 3: 同じ MZR の 1 つ以上の VPC と IBM クラシック・ネットワークを相互接続する
同じリージョンにある VPC と IBM Cloud クラシックを、ローカル中継ゲートウェイを介して接続します。
ユース・ケース 4: すべての MZR にわたるすべてのリソースにアクセスするために VPC と IBM クラシック・ネットワークを相互接続する
複数のリージョンにある VPC と IBM Cloud クラシックを、グローバル中継ゲートウェイを介して接続します。
ユース・ケース 5: 複数のアカウントにまたがる VPC を相互接続する
異なる IBM Cloud アカウントが所有する同じリージョン内の VPC を、ローカル中継ゲートウェイを介して接続します。
ユース・ケース 6: ネットワーク (VPC およびクラシック) を複数のローカル・ゲートウェイに接続する
以下の点に注意してください。
- ローカル・トラフィックはローカル中継ゲートウェイに保持されるため、待ち時間が短縮されます。
- VPCCとDのデータがEとFのVPCにレプリケートされる可能性があるため、HA(Highly Available)機能が提供される。
- クラシック・インフラストラクチャー中継ゲートウェイ接続は、中継ゲートウェイ所有者と同じアカウントでなければなりません。
{: caption="ウェイに接続ネットワーク(VPCおよびクラシック)を複数の" caption-side="bottom"}に接続ネットワーク(VPCおよびクラシック)を複数のローカルゲートウェイに接続
ユース・ケース 7: 複数のアカウントにまたがる相互接続ネットワーク (VPC およびクラシック)
アカウント間の IBM Cloud クラシック・アカウントを 1 つ以上の中継ゲートウェイに接続します。 そのために、中継ゲートウェイを所有する IBM Cloud アカウントは、中継ゲートウェイに接続する許可を IBM Cloud クラシック・アカウントから要求します。 接続するには、その前に IBM Cloud クラシック・アカウントが要求を承認する必要があります。 示されているように、複数の IBM Cloud クラシック・アカウント接続に対してこのプロセスを繰り返すことができます。
使用例 8:高可用性GREトンネルを使用したネットワーク接続
IBM Cloud、ローカル・トランジット・ゲートウェイにGREトンネルを使ってクラシック・インフラを接続する。
この図は、GRE トンネルの高可用構成を示しています。 GREトンネルの設定を行う際には、アベイラビリティゾーンを指定する必要があります。 このユースケースを高可用性にするには、同じエンドポイントを持つ2つのGREトンネルを、異なるアベイラビリティ・ゾーンを使用してセットアップする必要がある。
{: caption="を使用した接続高可用性GRE" caption-side="bottom"}を使用したネットワーク接続高可用性GREトンネルを使用したネットワーク接続
トランジットゲートウェイのGRE接続は、ゲートウェイの所有者がそのニーズに合わせてHAを特別に設定する必要がある。 GRE 接続は Point-to-Point 接続であり、冗長性が組み込まれておらず、Single Point of Failure です。 トランジットゲートウェイでGRE接続を設定する場合は、アベイラビリティゾーンを指定する必要があります。 堅固な HA ソリューションを実現するには、異なるアベイラビリティー・ゾーンを使用して複数の GRE 接続を構成します。
ユース・ケース 9: Direct Link を使用したオンプレミス・ネットワークの接続
Connect IBM Cloud Direct Link トランジット・ゲートウェイを介した IBM Cloud ネットワークへのオンプレミス接続を可能にする。 これにより、オンプレミス・ネットワークは、トランジット・ゲートウェイに接続されているすべてのネットワークにアクセスできるようになる。 以下の例では、Direct Link ゲートウェイは、グローバル中継ゲートウェイに接続し、4 つの VPC と IBM Cloud クラシック・インフラストラクチャーに接続しています。 逆もまた真なりで、トランジット・ゲートウェイに接続されている他のネットワークはすべて、オンプレミス・ネットワークに接続されていることになる。
Direct Link はローカルまたはリモートのトランジットゲートウェイに接続できる。
Power Virtual Server 使用例 Transit Gateway
Power Virtual Server 職場に関する使用例については、 Power Edge Router 使用例を 参照のこと。