目標

このチュートリアルでは、以下のことを学びます

• VDC内にVDCネットワークを作成する方法。
• 仮想マシン（VM）を作成し、VDCネットワークにアタッチする方法。
• VDCエッジゲートウェイにネットワークアドレス変換（NAT）とファイアウォール（FW）ルールを設定する方法。

次の図は、導入するソリューションの概要を示している。

{: caption="図

このチュートリアルは、以下のステップに分かれています

1. インスタンスのVMware Cloud Director Consoleにログインし、VDCネットワークを展開します
2. VMを作成する
3. IPセットと静的グループを作成する
4. NATルールを作成する
5. ファイアウォール・ルールの作成
6. 統合ウェブ・コンソールを使ってVMに接続する
7. インターネット経由でVMに接続し、接続性を検証する

Terraform を使った 代替チュートリアル もあります。

開始前に

このチュートリアルでは、以下が必要です。

• IBM Cloud の有料のアカウント。
• ユーザー許可があるか確認してください。 ユーザーアカウントに十分なパーミッション to create and manage VMware Cloud Foundation as a Service resources があることを確認してください。
• 事前にプロビジョニングされたVMware Cloud Foundation as a Serviceシングルテナントインスタンス。
• シングルテナントインスタンス上のVMware Cloud Foundation as a Serviceに事前にプロビジョニングされたVDC。

インスタンスにログインし、初期ネットワークをデプロイする

最初のステップは、VMware Cloud Foundation as a Service シングルテナント インスタンスの VMware Cloud Director コンソールにログインし、テストに使用する初期ネットワークをデプロイすることです。

VMware Cloud Foundation as a ServiceシングルテナントインスタンスのVMware Cloud Directorコンソールにログインします：

1. VMware Cloud Foundation as a Service テーブルで、VMware Cloud Foundation as a Service インスタンス名をクリックします。
2. [サマリー] タブで情報を確認します。
3. VDC リージョン用の VMware Cloud Director コンソールに初めてアクセスする場合は、初期の複雑なランダムパスワードを生成するために管理者の認証情報を設定する必要があります。
4. VDCの詳細ページで、VMware Cloud Director Console をクリックして、コンソールにアクセスします。
5. admin ユーザー名とパスワードを使用して、VMware Cloud Director コンソールに初めてログインします。
6. 管理者が VMware Cloud Directorコンソールにログインした後、 VMware Cloud Directorコンソールへのアクセスを許可する役割を持つ追加のユーザーを作成することができます。

次に、以下のVDCネットワークを作成する：

ルーティングされたVDCネットワークはエッジゲートウェイに接続されるが、孤立したVDCネットワークはプラットフォームが提供するルーティング機能を持たないスタンドアロンネットワークである。 同じロジックとステップを踏めば、ニーズに応じてさらに多くのネットワークを作ることができる。

推奨はRFC1918アドレス、例えば 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 の範囲のIPサブネットを使うことです。

VDCネットワークを作成するには

1. トップメニューのナビゲーションで、ネットワークをクリックします。 次に新規をクリックして、新しいVDCネットワークを作成します。 新規組織VDCネットワークウィザードが表示されます。
2. 組織仮想データセンター（デフォルト）を選択し、新しいネットワークを配備するVDCを選択します。 ほとんどの場合、VDCは1つである。 「次へ」 をクリックして先に進みます。
3. ルーティングされたネットワーク net-application と net-db にはルーティング（デフォルト）を、孤立したネットワーク net-isolated-db には孤立を選択します。 「次へ」 をクリックして先に進みます。
4. エッジ接続では、プロビジョニングされたエッジを選択し、その他の設定はデフォルトのままにします。 孤立したネットワークにはゲートウェイ接続がない。 「次へ」 をクリックして先に進みます。
5. 新しいネットワークの名前とゲートウェイCIDRを入力します。 CIDR includes the IP address of the gateway and the network mask length, e.g. 192.168.100.1/24. このIPアドレスは内部ネットワークに関連したものでも、IBM Cloudのために特別に作成されたものでもどちらでもかまいません。 この例では、net-application が名前として使われ、192.168.100.1/24 がゲートウェイのCIDRに使われています。 「次へ」 をクリックして先に進みます。
6. 新しいネットワーク用に静的IPプールを作成する。 オプションではあるが、スタティックIPプールを使用すると、プロビジョニング時にVMに自動的にIPアドレスが割り当てられる。 このプールは、前のステップで作成したサブネットの一部であるべきで、この例では 192.168.100.10 – 192.168.100.19 が net-application ルーティングされたネットワークに使われています。 他のネットワークについても同じ理屈で説明する。 静的IPプールを追加するには、提供されているボックスに範囲を入力し、追加をクリックします。 完了したら次へをクリックして進みます。
7. DNSにはIBM CloudパブリックDNSサーバーを使い、それぞれ 161.26.0.10 と 161.26.0.11 です。 DNSサフィックスは空白のままでよい。 「次へ」 をクリックして先に進みます。
8. Segment Profileはデフォルトのままにして、Next をクリックして次に進みます。
9. 入力内容を確認し、完了をクリックすると、新しい組織のVDCネットワークウィザードが完了し、最初のVDCネットワークの作成が終了します。

これらのタスクが完了すると、新しいネットワークがデプロイされ、ネットワークタブに表示されます。 完了まで数秒かかる場合があります。 他の2つのネットワーク、またはソリューションに必要であればそれ以上のネットワークについて、このプロセスを繰り返す。

VMを作成し、コンソールを使ってVMに接続する

このステップでは、VDC内にいくつかのVMを作成し、それらを前のステップで作成したVDCネットワークにアタッチする。

以下のVMを作成する：

最初のサーバーはジャンプ・サーバーとして使用され、オプションでパブリック・インターネットからアクセスできる。 他の2つのサーバーは、アプリケーション・サーバーとデータベース・サーバーの例である。

VMを作成する：

1. トップメニューのナビゲーションでアプリケーションをクリックします。
2. サブナビゲーションタブの仮想マシンをクリックします。
3. New VM をクリックして、新しいVMウィンドウを起動します。
4. 対象のVDCを選択し、Next をクリックして続行します。
5. 新しいVMウィザードが表示されます。 記入しなければならない項目は5つある。 ディスプレイのサイズによっては、すべてのフィールドを表示するためにスクロールダウンする必要があります。
   1. 名称 – jump-server-1
   2. コンピュータ名- このフィールドは名前から自動入力されます。
   3. テンプレート- この例では Windows 2022 テンプレートが使われています。
   4. ストレージ・ポリシー- ここでの値は、インスタンスでプロビジョニングされたものに依存します。 この例では、4 IOPS/GB が使われています（VDCデフォルト）。
   5. NICs のチェックボックスをオンにし、ネットワークの下のドロップダウンフィールドで、最初のステップで作成したネットワークを選択します。 この例では、net-application が使われています。 IP modeの下のドロップダウンで、Static-IP Pool を選択します。
6. 他の値はすべてデフォルトのままにしておき、完了したら OK をクリックします。

新しいVMが作成される。 VMのプロビジョニングが完了するまで数分かかることがある。 完了すると、VMの電源が自動的にオンになる。 他のVM、application-server-1 と db-server-1 についてもこのプロセスを繰り返す。

VM db-server-1 は2つのNICが必要です。 しかし、デフォルトのテンプレートなので、NICは1つしかありません。 つまり、初期プロビジョニングを追加する必要があります。 VMが作成されたら 、「詳細」 をクリックします。 次に、ハードウェアの下で NIC を選択し、 2nd のNICをVMに追加し、それを正しいネットワークセグメントに接続します。 詳細については 、「仮想マシンのハードウェアプロパティの変更 」を参照してください。

他のハードウェアのオプションを確認し、何をどのように変更できるかを確認する。 詳細は 、 VMware Cloud Director テナントガイドの「仮想マシンのプロパティの編集」セクションをご覧ください。

IPセットと静的グループの作成

IPセットと静的グループは、ファイアウォールルールのコンフィギュレーションの一部として使用されます。 他のいくつかのファイアウォールとは異なり、ソースと宛先を識別するためにファイアウォールを設定するには、静的グループとIPセットを使用する必要があります。

IPセットを設定する前に、VDCに割り当てられているパブリックIPアドレスを確認してください。 IBM Cloudポータルを使用する で、割り当てられたパブリックIPアドレスを取得する。

これらの例では、public-ip-0 は利用可能なIPアドレスのリストで提供された最初のIPアドレスを指し、通常のIPアドレス表記 aaa.bbb.ccc.ddd として注意すべきである。 同様に、public-ip-1 は2番目のIPアドレスを指し、以下同様である。

以下のIPセットと静的グループを作成します：

IPセットを作成するには：

1. トップメニューのナビゲーションで、ネットワークをクリックします。
2. エッジゲートウェイをクリックし、VDCのエッジゲートウェイを選択します。
3. セキュリティの下にある、IPセットをクリックします。
4. 「新規」 をクリックして、新しいIPセットを作成します。
5. 新しいIPセット］ウィンドウで、このIPセットの名前とIP範囲を入力します。 この例では、ipset-dnat-to-jump が名前として使われ、public-ip-0（前のタスクで取得した最初の実際のパブリックIP）が使われます。
6. 追加をクリックしてIPセットを追加し、保存をクリックしてウィンドウを完成させます。

他の必要なIPセット、またはソリューションで必要な場合はそれ以上のIPセットについて、このプロセスを繰り返します。

静的グループを作成するには：

1. トップメニューのナビゲーションで、ネットワークをクリックします。
2. エッジゲートウェイをクリックし、VDCのエッジゲートウェイを選択します。
3. セキュリティの下にある、静的グループをクリックします。
4. 「新規」 をクリックして、新しい静的グループを作成します。 名前を入力し、 [保存] をクリックします。
5. 作成した静的グループを選択し、メンバーの管理をクリックします。 前のステップで作成した net-application と net-db ネットワークを選択します。 保存 をクリックします。

これらのタスクが完了すると、新しいIPセットと静的グループが追加されます。

NATルールを作成し、VMがインターネットにアクセスできるようにする

次のステップは、VMがパブリック・インターネットにアクセスできるようにNATルールを作成し、パブリック・インターネット経由でVMにアクセスできるようにすることだ。

このチュートリアルでは、以下のNATルールを作成します。

VMware Cloud Director Consoleを使用して作成したVMのIPアドレスを再確認します。 ルール作成中にinfoボタンを使用すると、利用可能な外部IPアドレスを確認できる。

独自のNATルールを作成する場合は、必要なトラフィックフローを理解し、これに合うようにNATルールを設計する。 ルールが重複して望ましくない効果を引き起こさないようにチェックする。

Priority、Firewall Match などのいくつかの値は、「詳細設定」で設定します。 アドレスに複数の NAT ルールがある場合は、最も高い優先順位を持つルールが適用されます。 値が小さいほど、このルールの優先順位が高いことを意味する。 ファイアウォールマッチは、NAT中にファイアウォールがどのようにアドレスとマッチするかを決定します。 Match Internal Address、Match External Address、Bypass を使うことができます。

場合によっては、DNAT または SNAT ルールがあるときに、any ルールにマッチするトラフィックに対してネットワークアドレス変換を行わないようにする必要があるかもしれません。 NO SNAT ルールは、組織 VDC から外部ネットワークまたは別の組織 VDC ネットワークに送信されるパケットの内部 IP アドレスの変換を防ぎます。 NO DNAT ルールは、組織 VDC が外部ネットワークまたは別の組織 VDC ネットワークから受信したパケットの外部 IP アドレスの変換を防ぎます。

宛先NAT（DNAT）ルールを作成する：

1. トップメニューのナビゲーションで、ネットワークをクリックします。
2. エッジゲートウェイをクリックし、VDCのエッジゲートウェイを選択します。
3. 左のナビゲーションのサービスの下にある NAT をクリックします。
4. 新規をクリックして、新しいNATルールを作成します。
5. Add NAT Ruleウィザードが表示されます。 記入しなければならない項目は4つある。
   1. 名前- この例では dnat-to-jump が使われている。
   2. インターフェースの種類- インターフェースの種類として DNAT（宛先NAT）を選択します。
   3. 外部IP- IBM Cloudがインスタンスに提供するパブリックIPアドレスのいずれかを入力します。 フィールドの右側にある情報ボタンをクリックすると、これらのIPアドレスを見ることができます。 この例では、public-ip-0（前のステップで取得した最初の実際のパブリックIP）が使われます。
   4. Internal IP- 前のステップで作成したVMのIPアドレスです。 この例では、192.168.100.10/32 が使われています。
   5. アプリケーション- 空のままにします。
   6. 詳細設定を展開し、Priority と Firewall Match の値を設定します。
6. 完了したら 「保存」 をクリックします。

新しいNATルールが作成される。 完了まで数秒かかる場合があります。 ソリューションで必要であれば、他の宛先NATルールについてもこのプロセスを繰り返します。

ソースNAT（SNAT）ルールを作成する：

1. トップメニューのナビゲーションで、ネットワークをクリックします。
2. エッジゲートウェイをクリックし、VDCのエッジゲートウェイを選択します。
3. 左のナビゲーションのサービスの下にある NAT をクリックします。
4. 新規をクリックして、新しいNATルールを作成します。
5. Add NAT Ruleウィザードが表示されます。 記入しなければならない項目は4つある。
   1. 名前- この例では snat-to-inet が使われている。
   2. インターフェースの種類- インターフェースの種類として SNAT（ソースNAT）を選択します。
   3. 外部IP- IBM Cloudがインスタンスに提供するパブリックIPアドレスのいずれかを入力します。 フィールドの右側にある情報ボタンをクリックすると、これらのIPアドレスを見ることができます。 この例では、public-ip-1（前のステップで取得した2番目の実際のパブリックIP）が使われています。
   4. 内部IP- 前のステップで作成したネットワークのCIDR範囲です。 この例では、192.168.100.0/24 が使われています。
   5. アプリケーション- 空のままにします。
   6. 詳細設定を展開し、Priority と Firewall Match の値を設定します。
6. 完了したら 「保存」 をクリックします。

新しいNATルールが作成される。 完了まで数秒かかる場合があります。 ソリューションで必要であれば、他のソースNATルールについてもこのプロセスを繰り返す。

ファイアウォール・ルールの作成

次のステップはファイアウォールルールの作成だ。 デフォルトでは、VMware Cloud Foundation as a Service シングルテナント インスタンスには、基本的なネットワーク セキュリティを確保するために、すべてのトラフィックをドロップするデフォルトのファイアウォール ルールがプロビジョニングされています。 先に作成したネットワークからのトラフィックがパブリック・インターネットにアクセスできるように、またパブリック・インターネットからVMにアクセスできるように、追加のルールを設定する必要があります。

default_rule はIBM Cloudによって事前に提供されています。 上記は説明のためのものである。

ファイアウォールルールで使用するIPアドレスは、NATルールの設定と一致している必要があります。 この例では、説明のために2つの異なる方法を用いている。

一般に、公衆インターネット上でRDPを使用することは推奨されない。 上記のルールはあくまで説明のためのものである。

ファイアウォールルールを作成するには：

1. トップメニューのナビゲーションで、ネットワークをクリックします。
2. エッジゲートウェイをクリックし、VDCのエッジゲートウェイを選択します。
3. 左ナビゲーションのサービスの下にあるファイアウォールをクリックします。
4. ルールの編集をクリックします。
5. 上部の新規をクリックして、default_rule (drop any)の上に新しいファイアウォールルールを作成します。
6. ファイアウォールルールリストに新しいエントリーが作成されます。 エントリーを完了する：
   1. 名前- この例では dnat-to-jump が使われている。
   2. アプリケーション- アプリケーションの隣にある鉛筆のアイコンをクリックし、アプリケーションリストから RDP と ICMP ALL を選択します。 名前を指定してフィルターをかけることができる。 完了したら 「保存」 をクリックします。
   3. ソース- ソースの横にある鉛筆のアイコンをクリックし、「任意のソース」の横にあるスライダーを緑（有効）に切り替えます。 完了したら 「保持」 をクリックします。
   4. 宛先- 宛先の隣にある鉛筆のアイコンをクリックし、IP Set ipset-dnat-to-jump（または静的グループ）を選択します。 完了したら 「保持」 をクリックします。
7. 入力を確認し、完了したら保存をクリックします。

新しいファイアウォールルールが作成されます。 完了まで数秒かかる場合があります。 他のファイアウォールルール、またはソリューションに必要であればそれ以上のルールについても、このプロセスを繰り返します。

ウェブ・コンソールを使ってVMに接続する

VMに初めてログインする前に、プロビジョニングされたパスワードを取得する必要がある。

パスワードを取得するには、次のようにします。

1. VMの詳細をクリックする。
2. ゲストOSのカスタマイズをクリックします。
3. 「編集」 をクリックします。
4. VMのプロビジョニング中に自動生成されたパスワードは、Specify Password の下に表示されます。 このパスワードを安全な場所にコピーし、初回ログイン時に使用します。 このパスワードが保存されたら、破棄をクリックします。

ウェブ・コンソールを使ってVMに接続する：

1. Launch Web Console をクリックして、VM のローカルコンソールを開きます。
2. ウェブ・コンソールを使用して、ユーザーIDとしてrootを使用し、前のステップで取得したパスワードを使用してVMにログインする。
3. そうすれば、www.ibm.com のようなインターネットリソースにpingを送ることができるはずです。

インターネット経由でVMに接続し、接続性を検証する

最後のステップは、インターネットを通じてVMに接続し、デプロイメントとそのネットワーク接続性を検証することである。

インターネット経由でVMに接続する：

1. ラップトップやワークステーションからパブリックIPアドレス public-ip-0 にpingを打つことができるはずです。
2. RDP を使用して、パブリック IP アドレス public-ip-0 と前の手順で収集したユーザー名とパスワードを使用して Jump Server に接続できるはずです。
3. 次に、前のステップで作成したFWルール dnat-to-jump を無効にするには、ルールとそのStateを編集し、StateをDisabled（灰色）にスライドさせます。

参照資料

詳細については、次のVMware Cloud Director™ テナント ポータル ガイドを確認してください：

• 管理組織 VMware クラウドの仮想データセンターネットワーク ディレクター テナントポータル
• VMware Cloud Director テナントポータルでの NSX Edge ゲートウェイの管理
• 仮想マシンに関する作業