IBM Cloud Transit Gateway について
仮想プライベートクラウド(VPC)の数が増加するにつれ、複数のリージョンにわたるこれらのリソース間の相互接続を管理する方法が必要となります。 IBM Cloud® Transit Gateway は、この目的のために特別に設計されています。
IBM Cloud Transit Gateway を使用すれば、単一または複数の中継ゲートウェイを作成して VPC を相互に接続できます。 IBM Cloud クラシック・インフラストラクチャーも中継ゲートウェイに接続して、クラシック・インフラストラクチャー・リソースとのシームレスな通信を実現できます。 これにより、中継ゲートウェイに接続する新規ネットワークは、そのゲートウェイに接続されている他のすべてのネットワークで自動的に使用可能になり、ネットワークの拡大に応じて拡張できるようになります。
中継ゲートウェイを使用すると、ローカル・ゲートウェイにネットワークを追加できるので柔軟性が得られます。 ネットワークを複数のローカル・ゲートウェイと 1 つのグローバル・ゲートウェイに接続できるので、ローカル・ゲートウェイ上のローカル・トラフィックはそのまま維持できます。
フィーチャーの概要
IBM Cloud Transit Gateway には、以下の機能があります。
プライバシー
-
IBM プライベート・ネットワーク上の IBM Cloud Transit Gateway との接続はパブリック・インターネットに公開されないため、パブリック・エグレスと VPN のコストが削減され、セキュリティー上の脅威が軽減されます。
-
IBM Cloud Transit Gateway は、完全に冗長化されたフォールト・トレラントなサービスであり、単一障害点のないこれらの IBM Cloud マルチゾーン・リージョン (MZR) で提供されています。
-
IBM Cloud Transit Gateway Identity and Access Management (IAM)と統合し、トランジットゲートウェイへのアクセスを管理できるようにします。 IAM により、IBM Cloud のユーザーとグループ、さらにはそれらのユーザーとグループのアクセスを許可/拒否するユーザー許可を作成および管理できます。
ルーティング
IBM Cloud Transit Gateway は、VPC と IBM Cloud クラシック・インフラストラクチャーの間のローカルおよびグローバルのルーティングをサポートします。 すべてのルーティングオプションは、パブリックインターネット上で操作することなく、 IBM Cloud のプライベートインフラ内に留まり、パフォーマンスが最適化されます。 IBM Cloud Transit Gateway は、顧客がワークロードを拡張する際に、より柔軟性、冗長性、およびスピードを提供し、 IBM Cloud 上で稼働する孤立したネットワークを接続します。
最適化されたトラフィックと耐障害性
Transit Gateway 各アベイラビリティゾーンに設置されたルーターを使用する地域サービスです。 典型的な設定では、仮想サーバーインスタンスが異なるVPCにまたがって展開されている場合、これらのインスタンスは互いに通信を試みます。 VPC間のトラフィックは同一ゾーン内に留まり、効率的なローカルルーティングと最適化されたデータ転送が保証されます。
この標準動作は、トランジットVPCを使用し、1つのVPCからすべてのゾーンに同じプレフィックスを広告するために静的ルートを広告する場合にも適用されます。 たとえファイアウォールがVPC内に配備された場合(他の広告ゾーンで二重のファイアウォールが存在することになる)、トラフィックはそれぞれのゾーンのトランジットゲートウェイを優先します。 これにより、トラフィックは同じゾーンのトランジットゲートウェイ経由で戻ってくるため、同じゾーン内のルーティングが維持されます。 VPCは通常、ゾーン内のトランジットゲートウェイを優先し、ゾーン間のトラフィックを最小限に抑えます。
ゾーン障害が発生した場合、例えば、トランジットゲートウェイが1つのゾーンで障害を発生した場合(ゾーン内のすべてのルーターの障害が原因)、通信が中断される可能性があります。 このような場合、トラフィックは異なる経路でルーティングされ、一方の方向のトラフィックは代替の経路を通り、レスポンスは異なる経路で返される場合があります。 しかし、通常、VPCトラフィックは同一ゾーン内に留まります。
境界を越えて簡単に接続できる
IBM Cloud Transit Gateway は、 IBM Cloud VPC を、世界中のコンピュート・リソースおよびクラシック・リソースと相互接続します。 複数の異なる IBM Cloud アカウントの VPC およびクラシック・リソースを相互接続することもできます。
IBM Cloud Transit Gateway は、Generic Routing Encapsulation (GRE) トンネルを使用したエンドポイントの接続もサポートしています。 GRE トンネル接続を使用すると、特定のユース・ケースにおいて、クラシック・インフラストラクチャー・リソースでホストされるオーバーレイ・ネットワークに中継ゲートウェイで接続することができます。
Direct Link 接続
IBM Cloud Transit Gateway は Direct Link 接続をサポートします。 Direct Link を IBM Cloud Transit Gateway のオンプレミス・ネットワークに接続すると、中継ゲートウェイ上で接続されているすべてのネットワークにアクセスできるようになります。 同様に、トランジットゲートウェイ上の他のすべての接続も、お客様のネットワークにアクセスできます。 IBM Cloud Transit Gateway への他のネットワーク接続と同様、IP オーバーラップの問題を回避するために特別な注意を払うことが必要です。 詳しくは、 重複する VPC 接頭部およびクラシック・インフラストラクチャー・サブネットの処理 を参照してください。
Power Virtual Server 接続
IBM Cloud Transit Gateway は、 Power Virtual Server 接続をサポートします。 Power Virtual Server インスタンスを IBM Cloud Transit Gateway ネットワークに接続すると、トランジットゲートウェイに接続されたすべてのネットワークへのアクセスが許可されます。 同様に、トランジットゲートウェイ上の他のすべての接続も、お客様のネットワークにアクセスできます。 IBM Cloud Transit Gateway への他のネットワーク接続と同様、IP オーバーラップの問題を回避するために特別な注意を払うことが必要です。 詳しくは、 重複する VPC 接頭部およびクラシック・インフラストラクチャー・サブネットの処理 を参照してください。
相互接続のパターン
IBM Cloud Transit Gateway を使用すると、IBM Cloud VPC とクラシック・インフラストラクチャーを中継ゲートウェイに接続できるため、IBM Cloud リージョンにまたがる複数の VPC とクラシック・インフラストラクチャー・リソースのグローバル・ネットワークを構築して、ビジネス・ニーズに対応できます。IBM Cloud Transit Gateway は、IBM Cloud VPC および IBM クラシック・ネットワーク全体で機能します。
IBM Cloud Transit Gateway は、中継ゲートウェイのロケーションやルーティング・タイプの指定にかかわらず、すべての MZR のクラシック・ネットワークに接続できます。
IBM Cloud Transit Gateway サービスの実装例を以下にいくつか示します。
ユース・ケース 1: 同じ MZR の 2 つ以上の VPC を相互接続する
同じリージョンにある 2 つの VPC をローカル中継ゲートウェイで接続します。
{: caption="内の2つ以上のVPCを接続する同一MZR内の2つ以上のVPCを接続する同一" caption-side="bottom"}内の2つ以上のVPCを接続する
ユース・ケース 2: 複数の MZR の 2 つ以上の VPC を相互接続する
グローバルトランジットゲートウェイを使用して、複数のリージョンにあるVPCを接続します。
{: caption="て2つ以上のVPCを接続する複数の" caption-side="bottom"}て2つ以上のVPCを接続する複数のMZRにまたがって2つ以上のVPCを接続する
ユース・ケース 3: 同じ MZR の 1 つ以上の VPC と IBM クラシック・ネットワークを相互接続する
同じリージョンにある VPC と IBM Cloud クラシックを、ローカル中継ゲートウェイを介して接続します。
ユース・ケース 4: すべての MZR にわたるすべてのリソースにアクセスするために VPC と IBM クラシック・ネットワークを相互接続する
複数のリージョンにある VPC と IBM Cloud クラシックを、グローバル中継ゲートウェイを介して接続します。
ユース・ケース 5: 複数のアカウントにまたがる VPC を相互接続する
異なる IBM Cloud アカウントが所有する同じリージョン内の VPC を、ローカル中継ゲートウェイを介して接続します。
ユース・ケース 6: ネットワーク (VPC およびクラシック) を複数のローカル・ゲートウェイに接続する
以下の点に注意してください。
- ローカル・トラフィックはローカル中継ゲートウェイに保持されるため、待ち時間が短縮されます。
- VPC CとDのデータは、VPC EとFにレプリケートされる可能性があるため、高可用性(HA)機能が提供されます。
- クラシック・インフラストラクチャー中継ゲートウェイ接続は、中継ゲートウェイ所有者と同じアカウントでなければなりません。
{: caption="ウェイに接続ネットワーク(VPCおよびクラシック)を複数の" caption-side="bottom"}に接続ネットワーク(VPCおよびクラシック)を複数のローカルゲートウェイに接続
ユース・ケース 7: 複数のアカウントにまたがる相互接続ネットワーク (VPC およびクラシック)
アカウント間の IBM Cloud クラシック・アカウントを 1 つ以上の中継ゲートウェイに接続します。 そのために、中継ゲートウェイを所有する IBM Cloud アカウントは、中継ゲートウェイに接続する許可を IBM Cloud クラシック・アカウントから要求します。 接続するには、その前に IBM Cloud クラシック・アカウントが要求を承認する必要があります。 示されているように、複数の IBM Cloud クラシック・アカウント接続に対してこのプロセスを繰り返すことができます。
ユースケース8:高可用性GREトンネルを使用してネットワークを接続する
IBM Cloud のクラシックインフラストラクチャを、ローカルトランジットゲートウェイへのGREトンネルを使用して接続します。
この図は、GRE トンネルの高可用構成を示しています。 GREトンネル構成を設定する際には、アベイラビリティゾーンを指定する必要があります。 このユースケースを高い可用性にするには、同じエンドポイントを持つ2つのGREトンネルを設定する必要がありますが、異なるアベイラビリティゾーンを使用します。
{: caption="を使用した接続高可用性GRE" caption-side="bottom"}を使用したネットワーク接続高可用性GREトンネルを使用したネットワーク接続
トランジットゲートウェイのGRE接続では、ゲートウェイの所有者がニーズに合わせてHAを特別に構成する必要があります。 GRE 接続は Point-to-Point 接続であり、冗長性が組み込まれておらず、Single Point of Failure です。 トランジットゲートウェイでGRE接続を設定する際には、可用ゾーンを指定する必要があります。 堅固な HA ソリューションを実現するには、異なるアベイラビリティー・ゾーンを使用して複数の GRE 接続を構成します。
ユース・ケース 9: Direct Link を使用したオンプレミス・ネットワークの接続
IBM Cloud Direct Link を接続して、トランジットゲートウェイ経由でオンプレミス環境から IBM Cloud ネットワークへの接続を許可します。 これにより、オンプレミスネットワークはトランジットゲートウェイに接続されているすべてのネットワークにアクセスできるようになります。 以下の例では、Direct Link ゲートウェイは、グローバル中継ゲートウェイに接続し、4 つの VPC と IBM Cloud クラシック・インフラストラクチャーに接続しています。 逆もまた真なりで、トランジットゲートウェイに接続されている他のすべてのネットワークは、現在、オンプレミスネットワークに接続されている。
Direct Link ローカルまたはリモートのトランジットゲートウェイに接続できます。
Transit Gateway を使用する Power Virtual Server のユース・ケース
Power Virtual Server の職場でのユース・ケースについては、 Power Edge Router のユース・ケース を参照してください。