当サイトのクッキーについて IBM のWeb サイトは正常に機能するためにいくつかの Cookie を必要とします(必須)。 このほか、サイト使用状況の分析、ユーザー・エクスペリエンスの向上、広告宣伝のために、お客様の同意を得て、その他の Cookie を使用することがあります。 詳細については、オプションをご確認ください。 IBMのWebサイトにアクセスすることにより、IBMのプライバシー・ステートメントに記載されているように情報を処理することに同意するものとします。 円滑なナビゲーションのため、お客様の Cookie 設定は、 ここに記載されている IBM Web ドメイン間で共有されます。
IBM ネットワークを介したセキュアなプライベート・ネットワークのリンク
このチュートリアルでは、クラシック・インフラストラクチャー の使用方法について説明しています。 ほとんどのワークロードは、IBM Cloud® Virtual Private Cloud リソースを使用して実装できます。 IBM Cloud VPC を使用すると、共有のパブリック・クラウド・インフラストラクチャー上に、プライベート・クラウドのような独自のコンピューティング環境を作成できます。 VPC は、企業が、他のすべてのパブリック・クラウドのテナントから論理的に切り離された仮想ネットワークを定義および制御して、パブリック・クラウド上に安全でプライベートな場所を作れるようにするものです。 具体的には、Direct Link、仮想サーバー・インスタンス、セキュリティー・グループ、 ネットワーク ACL および Transit Gateway を定義できます。
このチュートリアルでは、費用が発生する場合があります。 コスト見積もりツールを使用して、予測使用量に基づいてコスト見積もりを生成します。
Web アプリケーションを年中無休で世界中に提供するというニーズが高まるにつれて、複数のクラウド・データ・センターでサービスをホストするニーズも高まっています。 複数のロケーションにデータ・センターを設置すれば、1 つの地域で障害が発生した場合の耐障害性を確保できます。また、世界中に分散しているユーザーの近くにワークロードを持ってくることで、待ち時間の削減と体感パフォーマンスの向上にもつながります。 この IBM Cloudネットワークにより、ユーザはデータセンターやロケーションを越えて安全なプライベートネットワークでホストされたワークロードをリンクすることができます。
このチュートリアルでは、IBM Cloud プライベート・ネットワークを使用して、別々のデータ・センターでホストされている 2 つのセキュア・プライベート・ネットワークの間にプライベート・ルーティングの IP 接続をセットアップします。 すべてのリソースは 1 つの IBM Cloud アカウントが所有するものです。 チュートリアルの「Isolate workloads with secure private network」を使用して、IBM Cloudプライベートネットワーク上でセキュアにリンクされる 2 つのプライベートネットワークを展開します。
目標
- IBM Cloud IaaS アカウント内でセキュアなネットワークをリンクする
- サイト間アクセスのためにファイアウォール・ルールをセットアップする
- サイト間のルーティングを構成する
{: caption="図
- セキュアなプライベート・ネットワークをデプロイします。
- VRF または VLAN スパンニングの構成 (VRF を推奨)
- プライベート・ネットワーク間の IP ルーティングを構成します。
- リモート・サイトにアクセスするためのファイアウォール・ルールを構成します。
開始前に
このチュートリアルは、セキュアなプライベート・ネットワークによるワークロードの分離のチュートリアルが前提になっています。 始める前に、前提チュートリアルとその必須条件を確認してください。
セキュアなプライベート・ネットワーク・サイトを構成する
セキュアなプライベート・ネットワークによるワークロードの分離のチュートリアルを 2 回使用して、2 つのデータ・センターにプライベート・ネットワークを実装します。 2 つのデータ・センターとして利用するものを選択するときに特に制限はありません。ただし、サイト間通信のトラフィックやワークロードの待ち時間への影響は考慮する必要があります。
選択した各データ・センターで、セキュアなプライベート・ネットワークによるワークロードの分離のチュートリアルを実行します。変更は不要です。後の手順で使用する以下の情報を記録してください。
| 項目 | Datacenter1 | Datacenter2 |
|---|---|---|
| データセンター | ||
| VRA パブリック IP アドレス | DC1VRAパブリックIPアドレス | DC2VRAパブリックIPアドレス |
| VRA プライベート IP アドレス | DC1VRA プライベート IP アドレス | DC2VRA プライベート IP アドレス |
| VRA プライベート・サブネット & CIDR | ||
| プライベート VLAN ID | DC1プライベート VLAN ID | DC2プライベート VLAN ID |
| VSI プライベート IP アドレス | DC1VSIプライベートIPアドレス | DC2VSIプライベートIPアドレス |
| APP ゾーン・サブネット & CIDR | DC1APPゾーンのサブネット/CIDR | DC2APPゾーンのサブネット/CIDR |
- 「ゲートウェイ・アプライアンス」ページから、各 VRA の「ゲートウェイの詳細」ページに進みます。
- 「ゲートウェイ VLAN」セクションを見つけて、プライベート ・ネットワークにあるゲートウェイ VLAN をクリックし、VLAN の詳細情報を表示します。 名前に
bcrxxxという ID が含まれています。bcr は「バックエンド・カスタマー・ルーター」の略で、nnnxx.bcrxxx.xxxxという形式になります。 - プロビジョンされている VRA が 「デバイス」 セクションに表示されます。 「サブネット」 セクションにある VRA プライベート・サブネットの IP アドレスと CIDR (/26) をメモしてください。 そのサブネットが 64 個の IP を含むプライマリー・タイプになります。 後でルーティングを構成するときに、この詳細情報が必要になります。
- 次に、「ゲートウェイの詳細」ページで 関連付けられた VLAN セクションを見つけて、セキュアなネットワークと APP ゾーンを作成するときに関連付けた プライベート ・ネットワークの VLAN をクリックします。
- プロビジョンされている VSI が 「デバイス」 セクションに表示されます。 「サブネット」 セクションにある VSI サブネットの IP アドレスと CIDR (/26) をメモしてください。ルーティングを構成するときに必要になります。 このVLANとサブネットは、両方のVRAファイアウォール設定においてAPPゾーンとして識別され、<APP Zone subnet/CIDR>として記録される。
バックエンド・ネットワーク接続の構成
デフォルトでは、別々の VLAN とデータ・センターにあるサーバー (および VRA) は、プライベート・ネットワーク上で相互に通信できません。 これらのチュートリアルでは、1 つのデータ・センターの中で VLAN 間のサーバー通信用のプライベート・ネットワークを作成するために、複数の VRA で従来の IP ルーティングとファイアウォールを使用して VLAN とサブネットをリンクします。 同じデータ・センター内の通信は可能ですが、この構成では、同じ IBM Cloud アカウントに属するサーバー同士がデータ・センターをまたいで通信することはできません。
VRA に関連付けられた VLAN は、VRA ファイアウォールおよびルーティング構成によって決定された、関連付けられた VRA を介してのみ通信できます。 IBM Cloud アカウントが所有する VRA は、プライベート・ネットワークを介して接続され、通信できます。
VRAによって作成されたセキュアなプライベート・ネットワークに関連付けられないVLANは、データセンター間でこれらの「関連付けられない」VLANの相互接続を可能にしている。 同じ IBM Cloud アカウントに属し、別々のデータ・センターにある VRA ゲートウェイ (中継) VLAN も対象になります。 そのため、バックエンドのネットワーク接続が有効な場合、VRAはデータセンターを越えて通信できる。 VRA 間の接続によって、VRA のファイアウォールとルーティングの構成を使用して、セキュアなネットワーク上のサーバー同士を接続することができます。
アカウントを確認して、VRF または VLAN スパンニングを有効にしてください。 有効にできるのはこれらのうちの 1 つのみであり、VRF が優先されます。 VRF が有効になっているかどうかを判別するには、 VRF およびサービス・エンドポイントの有効化 を参照してください。 VLAN スパンニング を参照して、VLAN スパンニングが有効になっているかどうかを判別してください。
2 つの VRA 同士が通信できるようになったことを確認します。
データ・センター 1 の VRA にログインして、データ・センター 2 の VRA に ping を実行します。
SSH vyatta@<DC1 VRA Private IP Address>
ping <DC2 VRA Private IP Address>
データ・センター 2 の VRA にログインして、データ・センター 1 の VRA に ping を実行します。
SSH vyatta@<DC2 VRA Private IP Address>
ping <DC1 VRA Private IP Address>
VRA の IP ルーティングを構成する
各データ・センターで VRA ルーティングを作成し、両方のデータ・センターの APP ゾーンにある VSI 間の通信を可能にします。
- データ・センター 1 で、データ・センター 2 の APP ゾーン・プライベート・サブネットへの静的ルートを VRA 編集モードで作成します。
ssh vyatta@<DC1 VRA Private IP Address> conf set protocols static route <DC2 APP zone subnet/CIDR> next-hop <DC2 VRA Private IP> commit - データ・センター 2 で、データ・センター 1 の APP ゾーン・プライベート・サブネットへの静的ルートを VRA 編集モードで作成します。
ssh vyatta@<DC2 VRA Private IP Address> conf set protocols static route <DC1 APP zone subnet/CIDR> next-hop <DC1 VRA Private IP> commit - VRA コマンド・ラインで VRA ルーティング・テーブルを確認します。 この時点では、VSI 同士の通信はできません。2 つの APP ゾーン・サブネット間のトラフィックを許可する APP ゾーン・ファイアウォール・ルールが存在しないからです。 ファイアウォール・ルールは、いずれの側で開始されたトラフィックに対しても必要になります。
show ip route
IBM プライベート・ネットワーク経由の通信を APP ゾーンに許可する新しいルートが表示されます。
VRA ファイアウォールの構成
既存の APP ゾーン・ファイアウォール・ルールの構成では、このサブネットと IBM Cloud プライベート・ネットワーク上の IBM Cloud サービスとの間のトラフィックと、NAT によるパブリック・インターネット・アクセスだけが許可されています。 この VRA で VSI に関連付けられている他のサブネットや他のデータ・センターのサブネットはブロックされます。 次の手順で、APP-TO-INSIDE ファイアウォール・ルールに関連付けられている ibmprivate リソース・グループを更新して、他のデータ・センターのサブネットへの明示的なアクセスを許可します。
- データセンター1のVRA編集コマンドモードで、
ibmprivateリソースグループに/CIDRを追加します set resources group address-group ibmprivate address <DC2 APP zone subnet/CIDR> commit - データセンター2のVRA編集コマンドモードで、
ibmprivateリソースグループに<DC1APPゾーンサブネット>/CIDRを追加しますset resources group address-group ibmprivate address <DC1 APP zone subnet/CIDR> commit - 両方のデータ・センターの VSI 同士が通信できることを確認します。
VSI 同士の通信ができない場合は、セキュアなプライベート・ネットワークによるワークロードの分離のチュートリアルに、インターフェース上のトラフィックをモニターしたりファイアウォールのログを確認したりする手順を記載しているので実行してください。ping <Remote Subnet Gateway IP> ssh root@<VSI Private IP> ping <Remote Subnet Gateway IP>
リソースを削除する
このチュートリアルで作成したリソースを削除する手順は以下のとおりです。
VRA は月額料金プランで提供されます。 取り消しても払い戻しはありません。 取り消しは、この VRA が翌月に再び必要とならない場合にのみ行うことをお勧めします。 デュアル VRA 高可用性クラスターが必要な場合は、この単一の VRA を「ゲートウェイの詳細 (Gateway Details)」ページでアップグレードできます。
- 仮想サーバーまたはベアメタル・サーバーをすべて取り消します
- VRA を取り消します
チュートリアルを発展させる
このチュートリアルと VPN をセキュア・プライベート・ネットワークへのチュートリアルを併用すれば、両方のセキュア・ネットワークを IPSec VPN 経由でユーザーのリモート・ネットワークにリンクできます。 両方のセキュア・ネットワークへの VPN リンクを確立すれば、IBM Cloud IaaS プラットフォームへのアクセスの耐障害性が高まります。 ただし、IBM は、IBM プライベート・ネットワークを経由したクライアント・データ・センター間のユーザー・トラフィックのルーティングを許可していません。 ネットワーク・ループを回避するためのルーティング構成は、このチュートリアルの範囲を超えています。
関連資料
- VRF は、IBM Cloud® Direct Linkを使用するすべてのクライアントにとって必須の機能です。 IBM Cloud での Virtual Routing and Forwarding (VRF) の概要
- IBM Cloud のネットワーク