IBM Cloud VPCのベアメタルサーバー
以下の情報は、IBM Cloud ベアメタルサーバーが VMware Cloud Foundation for VPC でどのようにデプロイされるかの概要です。
VPC での物理ホスト接続
IBM Cloud VPC の IBM Cloud ベアメタルサーバーは、VPCネットワーク機能に SmartNICs を使用しています。 各物理ホストには、IBM Cloud VPC へのネットワーク・アクセス用の冗長な 100 Gb ネットワーク接続があります。 物理ネットワーク接続の高可用性(HA) IBM Cloud によって処理され、特別な設定は必要ありません。 すべてのネットワークインターフェースは、TOR(Top-of-the-rack)スイッチ上の2つの冗長物理ポートによってバックアップされています IBM Cloudがアグリゲーションを管理するため、冗長性のために複数のPCIインターフェースを作成する必要はありません。 100 Gb 帯域幅は、ベアメタル・サーバー上で構成され、現在アクティブになっているネットワーク・インターフェースによって共有されます。
IBM Cloudのネットワークインターフェースは、ネットワークインターフェースカードの抽象的な表現であり、ネットワークインターフェースは IBM Cloud をVPCサブネットに接続します。
IBM Cloud VPCでは、ベアメタル・サーバー上に 2 つのタイプのネットワーク・インターフェースを作成できます。
- PCI (Peripheral Component Interconnect) インターフェース は、物理ネットワーク・インターフェースを表します。 ベアメタル・サーバーには、最大 8 個の PCI インターフェースを組み込むことができます。
- VLAN (仮想 LAN) インターフェース は、VLAN ID を介して PCI インターフェースに関連付けられたインターフェースを表します。 VLAN インターフェースでは、このインターフェースによってルーティングされるトラフィックに、VLAN ID を使用して自動的にタグが付けられます。 VLAN ID でタグ付けされたインバウンド・トラフィックは、適切な VLAN インターフェースに送信されます。
IBM Cloudの PCIインターフェースは、物理的なPCIデバイスであり IBM Cloud が停止している場合、またはベアメタルサーバーの初期プロビジョニング中にのみ作成または削除することができます。 PCI インターフェースには、 allowed_VLANs というプロパティがあり、PCI インターフェースを使用する VLAN を制御します。 VLAN インターフェースは仮想デバイスであり、allowed_VLANsのアレイ内に
VLAN を持つ PCI デバイスを介して使用されます。
VMware Cloud Foundation のデプロイメントでは、IBM Cloud VPC のベアメタル サーバーは 2 つの PCI インターフェイスを使用します。 SmartNICsによる HAの向上にはつながらないが、 VMware の前提条件であり、Cloud BuilderとSDDC Managerがデプロイメントの自動化を処理するために使用する機能である。
ソリューションで新しいVLAN IDを使用する場合は、すべてのPCIインターフェースとすべてのホストについて、許可されたVLANのリストを個別に更新する必要があります。
VLANインターフェースは、VPCサブネットに接続する必要がある仮想マシン(VM)または VMware アプライアンスごとに作成されます。 例えば、Cloud Builder または vCenter 用に作成された VLAN インターフェースは、VLAN タグ 1611 を使用でき、この VLAN インターフェースは VPC の管理サブネットにプロビジョニングできます。 vCenter を展開すると、 vSwitch に接続され、VLANタグ 1611 で定義されたポートグループを使用します。 vCenter が VPC によって提供される vLAN インターフェースの IP を使用する場合、他の VPC 仮想サーバーと同様に、VPC の管理サブネットに論理的に接続されます。
すべてのVLANインターフェースは、1~4094の範囲のIEEE 802.1q タグを使わなければならない。 これらのVLANタグは、ベアメタルサーバーにとってはローカルな意味しか持たず、VPCサブネットはVLANを理解しないことを理解することが重要です。 VLAN ID と VPC サブネット間のこのマッピングを処理するスイッチとして、SmartNIC を見ることができます。 VLANタグは、ベアメタルサーバー内部でレイヤー2のトラフィックを分離・独立させるために使用され、ホスト内部でVPCサブネットのトラフィックを分離するメカニズムとして使用されます。 例えば、分散仮想スイッチでは、使用するVLAN IDに合わせて異なるポートグループが作成される。 各VLANインターフェースは1つのサブネットにしか接続できませんが、異なるサブネットに接続する複数のVLANインターフェースを作成し、それぞれに異なるVLAN IDを使用することができます。 この設計では、VLANアナロジーが使用され、単一のVPCサブネットには単一のVLAN IDのみが使用されます。
VLANインターフェースは floatable に設定できます。 このアクションは、IBM Cloud ベアメタル・サーバー間で vMotion を必要とする VMware ワークロードで重要です。 この機能は、 vCenter やNSXマネージャなどの VMware 管理ワークロードで使用され、HAやDRS(Distributed Resource Scheduler)のためにホスト間で移動できるようにします。
PCIインターフェースとVLANインターフェースの両方を、1つまたは複数のVPCセキュリティ・グループにアタッチできます。 VLAN インターフェースは、VLAN インターフェース・トラフィックが経由する PCI インターフェースのセキュリティー・グループを継承しません。 また、VPC ACL を使用して、これらの PCI および VLAN インターフェースが接続されているサブネットのインバウンド・トラフィックおよびアウトバウンド・トラフィックを制御できます。
この自動化アーキテクチャでは、主にセキュリティ グループを使用して、異なる VMware システム トラフィック タイプを隔離し、必要な場合にのみ相互通信を行います。 デフォルトでは、ACLはすべてのトラフィックを許可する。 このアーキテクチャでは、異なるトラフィック・タイプに対して複数のサブネットを使用するため、必要に応じて、追加のネットワーク・セキュリティ対策として独自のACLルールを追加することができる。
ネットワーキングの概念について詳しくは、VPC 上の IBM Cloud ベアメタル・サーバーのネットワーキングの概要を参照してください。
ホスト管理ネットワークと VMkernel アダプター
VMware Cloud Foundation の VMware システム トラフィック タイプごとに専用の VMkernel アダプター (VMK) が作成され、システム トラフィック タイプは異なる VPC サブネットに隔離されます。 次の図は、NSXベースの VMware の導入アーキテクチャにおけるPCIおよびVLANインターフェイス、分散仮想スイッチ、分散ポートグループの使用方法を示しています。
IBM Cloud VPC での VMware Cloud Foundation のデプロイメントでは、各 IBM Cloud ベア メタル サーバーは、2 つの PCI インターフェイスを使用して VPC サブネットに接続されます。 これらのインターフェイスは IP アドレスでプロビジョニングされますが、この IP アドレスは VMware Cloud Foundation ではまったく使用されません。 新しい管理VMkernelアダプタ vmk1 は、ホストの起動時にユーザーデータで渡されたスクリプトを使用して作成されます。 VMware のその他のシステム トラフィック タイプでは、VLAN インターフェイスが Cloud Builder、SDDC Manager、および NSX によって使用されます。 これらのVLANインターフェイスは、ベアメタルサーバーの自動化によって作成され、特定のサブネットとセキュリティグループにアタッチされる。
次の表は、VMware Cloud Foundation 展開の各 ESXi ホストに必要な VMK の一覧です。
| インターフェース名 | インターフェース・タイプ | VLAN ID | サブネット | フローティングを許可する | VMkernel アダプター | 分散ポート・グループ名 |
|---|---|---|---|---|---|---|
pci-nic-vmnic0-uplink1 |
pci |
0 | vpc-host-subnet |
false |
none |
dpg-hosts |
pci-nic-vmnic0-uplink2 |
pci |
0 | vpc-host-subnet |
false |
none |
dpg-hosts |
vlan-nic-vcf-vmk1 |
vlan |
1611 | vpc-vmot-subnet |
true |
vmk1 |
pg-vmotion |
VMware Cloud Builder と SDDC マネージャは VMkernel アダプタの IP アドレスの割り当てにプールの概念を使用するため、IBM Cloud VPC でこのアクションを 2 つのステップで実行する必要があります。 まず、VPCサブネットで利用可能なIPアドレスが連続していることを確認します。 予約IPアドレスの概念を使用し、各システムトラフィックタイプのサブネットからIPアドレスを予約することができます。 2番目のステップでは、次の表に示すように、各プールにVLANインタフェースを作成する必要があります。 いくつのIPアドレスを予約し、いくつのVLANインターフェイスを作成する必要があるかは、配備の規模によって異なります。
| インターフェース名 | インターフェース・タイプ | VLAN ID | サブネット | フローティングを許可する | VMkernel アダプター | 分散ポート・グループ名 |
|---|---|---|---|---|---|---|
vlan-nic-vmot-pool-<1> |
vlan |
1612 | vpc-vmot-subnet |
false |
vmk0 |
pg-mgmt |
vlan-nic-vsan-pool-<1> |
vlan |
1613 | vpc-vsan-subnet |
false |
vmk2 |
pg-vsan |
vlan-nic-tep-pool-<1> |
vlan |
1614 | vpc-tep-subnet |
false |
vmk10 |
none- NSXプロファイルで設定します |
vlan-nic-tep-pool-<2> |
vlan |
1614 | vpc-tep-subnet |
false |
vmk11 |
none- NSXプロファイルで設定します |
VMkernelアダプタがVPCで通信する前に、VLANインタフェースを作成する必要があります。 Cloud Builderはそれぞれの接続性を検証し、VPCが正しく設定されていない場合は検証時にエラーまたは警告が表示されます。
ホストをプロビジョニングする際には、各ホストに必要なVLANインターフェースをプロビジョニングし、PCIインターフェースがVLANsリストに利用中のVLAN IDを含めるようにしてください。
VMkernel アダプタはホスト間を移動する必要はありませんが、SDDC マネージャのネットワークプールを容易にするため、Allow Float を true に設定してプロビジョニングされます。