IBM Cloud VPC上のNSXとIPルーティング
IBM Cloud® Virtual Private Cloud がホストする VMware NSX™ 環境に論理ネットワーク トポロジを展開する場合、NSX オーバーレイ、IBM Cloud VPC およびパブリック インターネット間のトラフィックのルーティング方法を決定する必要があります。 次の図は、NSX Tier-0 ゲートウェイと IBM Cloud VPC 間のルーティング設定の概要を示しています。
{: caption="ルーティング※NSXゲートウェイによるVPCルーティング
VMware Cloud Foundation for VPC オートメーションは、顧客から与えられた変数に基づいてこれらのルートを展開します。 以下の情報では、VPC と NSX Tier-0 および Tier-1 ゲートウェイの両方で行われるこれらのルーティング構成のコア原則について説明します。
統合デプロイメントでは、1 つのエッジ クラスタと 1 つの Tier-0 ゲートウェイしかありません。
直接インバウンドのパブリック・アクセスが不要な設計の場合、アーキテクチャをカスタマイズしてパブリック・アップリンクを削除することができます。
Tier-0 と VPC の間のパブリック・トラフィック
ワークロードで直接パブリック・トラフィックが必要で、ネットワーク変換を使用しないインバウンド・パブリック・トラフィックがある場合は、パブリック・アップリンク・サブネットとパブリック T0 アップリンク VLAN インターフェースをプロビジョンする必要があります。 また、Tier-0 ゲートウェイ のトピックで説明されているように、T0 にパブリックアップリンクを設定する必要があります。 NSX T0 がアクティブスタンバイを使用している場合、高可用性(HA)VIPは、VPC、 T0、およびNSXワークロード間のパブリックトラフィックのルーティングにHAを提供します。 パブリックIPアドレスが必要な場合は、HA VIP VLANインターフェースにフローティングIPアドレスを注文することができます。 各フローティングIPアドレスは単一の /32
IPアドレスであり、 VPCの割り当て枠 内で必要な数だけ注文することができます。
インターフェース名 | インターフェース・タイプ | VLAN ID | サブネット | フローティングを許可する | IP スプーフィングを許可 | インフラ NAT を有効にする | NSXインターフェース | セグメント名 |
---|---|---|---|---|---|---|---|---|
vlan-nic-t0-pub-uplink-vip |
vlan |
2711 | vpc-t0-public-uplink-subnet |
true |
false |
false |
T0 パブリック・アップリンク VIP | vpc-zone-t0-public-vlanid |
Allow IP spoofing
と Enable Infrastructure NAT
が false
に設定された VLAN インターフェースは、パブリックフローティング IP アドレスを T0 ゲートウェイのパブリックアップリンクまで非 NAT でトラバースできるようにします。 T0 ゲートウェイを使用した HA では、HA VIP を使用できます。 パブリック・アップリンク用に浮動 IP アドレスを注文する場合は、実際の
Edge ノード用に予約されているアップリンクではなく、必ず VIP VLAN インターフェースを使用してください。
パブリックIPアドレスは以下の目的で使用できます:
- NSXオーバーレイへのパブリックトラフィックのインバウンド用に、 Tier-0 または Tier-1 ゲートウェイでデスティネーションNATを実行します。
- NSXオーバーレイからのパブリックトラフィックの送信時に、 Tier-0 または Tier-1 ゲートウェイでソースNATを実行する。
- Tier-0 または Tier-1 のいずれかで VPN を確立します。
パブリックIPアドレスの場合、現在、 /32
のIPアドレスを1つまたは複数ご利用いただけますが、 /29
や /26
などのサブネットはご利用いただけません。
この場合、NSX T0 ゲートウェイのデフォルトルート 0.0.0.0/0
を、 vpc-t0-public-uplink-subnet
のデフォルトゲートウェイに設定する必要があります。
ルートの説明 | デバイス | CIDR | ネクスト・ホップ |
---|---|---|---|
デフォルト・ルート | T0 ゲートウェイ | 0.0.0.0/0 |
vpc-t0-public-uplink-subnet のデフォルト GW |
インターネットからのインバウンド・トラフィックが必要ない場合は、T0 上のパブリック・アップリンクもパブリック VLAN インターフェースも必要ありません。 あるいは、 IBM Cloud VPC のパブリックゲートウェイを使用して、NSXオーバーレイセグメントからのインターネットへのアウトバウンドアクセスを提供し、このトラフィックには T0s のプライベートアップリンクを使用することもできます。 この場合、NSX T0 ゲートウェイのデフォルトルート 0.0.0.0/0
を、 vpc-t0-private-uplink-subnet
のデフォルトゲートウェイに設定する必要があります。
ルートの説明 | デバイス | CIDR | ネクスト・ホップ |
---|---|---|---|
デフォルト・ルート | T0 ゲートウェイ | 0.0.0.0/0 |
vpc-t0-private-uplink-subnet のデフォルト GW |
Tier-0 と VPC の間のプライベート・トラフィック
パブリックとプライベートの両方のアップリンクがある場合は、まず NSX の T0 でプライベート ネットワークを指すルートを作成する必要があります。 NSX オーバーレイ セグメントに接続されている VMware ワークロードに接続する必要があります。 これらのネットワークは、VPC、またはVPCが接続されているDL/TGWを通じてアクセス可能でなければなりません。 次の表は、プライベートプレフィックス 172.16.0.0/16
がオンプレミスで使用され、このプレフィックスが
VMware Cloud Foundation VPC によって直接、または接続された Direct Link (DL) または Transit Gateway (TGW) を介して認識される例を示しています。
ルートの説明 | デバイス | CIDR | ネクスト・ホップ |
---|---|---|---|
プライベート・ネットワーク | T0 ゲートウェイ | 172.16.0.0/16 |
vpc-t0-private-uplink-subnet のデフォルト GW |
プライベートルートのみを使用している場合、NSXの 0.0.0.0/0
デフォルトルートでは、 T0 ゲートウェイがすべてのトラフィックをVPCにルーティングします。
VPC からのインバウンド・トラフィックを定義する必要があります。 次に、NSX オーバーレイで使用する IP サブネットまたはプレフィックスに対して、ゾーンに VPC ルートを作成する必要があります。 NSX T0 がアクティブスタンバイを使用しているため、HA VIP は VPC と NSX オーバーレイ間のプライベートトラフィックのルーティングに HA を提供します。 したがって、以下の表に示すように、VPC 経路のネクスト・ホップは HA VIP でなければなりません。
インターフェース名 | インターフェース・タイプ | VLAN ID | サブネット | フローティングを許可する | IP スプーフィングを許可 | インフラ NAT を有効にする | NSXインターフェース | セグメント名 |
---|---|---|---|---|---|---|---|---|
vlan-nic-t0-priv-uplink-vip |
vlan |
2712 | vpc-t0-private-uplink-subnet |
true |
true |
true |
T0 プライベート・アップリンク VIP | vpc-zone-t0-private-vlanid |
Allow IP spoofing
および Enable Infrastructure NAT
を true
に設定した VLAN インターフェイスでは、プライベート IP アドレスを持つ NSX オーバーレイ上の VMware ワークロードを IBM Cloud VPC にルーティングできます。 このアクションを有効にするには、プライベートアップリンクHA VIPのIPアドレス vlan-nic-t0-priv-uplink-vip
を IBM Cloud VPC ゾーンで次ホップとして設定したVPCルートを作成します。
ルーティングを計画するときは、NSX オーバーレイのサブネットまたはプレフィックスを要約して、必要なルートの数を最小限に抑えます。 NSX オーバーレイを指すルートを作成する場合、次の表に、T1 に接続された NSX オーバーレイのサブネット 192.168.4.0/24
、192.168.5.0/24
、192.168.6.0/24
、および 192.168.7.0/24
に必要なパラメータの例を示します。
さらにプレフィックス 192.168.4.0/22
にまとめ、ゾーン us-south-2
のNSX HA VIP 192.168.0.10
をネクストホップとして使用します。 VPC 経路について詳しくは、VPC ルーティング・テーブルと経路を参照してください。
ルートの説明 | ゾーン | トラフィック・タイプ | CIDR | アクション | タイプ | ネクスト・ホップ |
---|---|---|---|---|---|---|
NSXオーバーレイネットワーク | us-south-1 |
退出 | 192.168.4.0/22 |
送信 | IP | 192.168.0.10 |
NSXオーバーレイネットワーク | us-south-2 |
退出 | 192.168.4.0/22 |
送信 | IP | 192.168.0.10 |
NSXオーバーレイネットワーク | us-south-3 |
退出 | 192.168.4.0/22 |
送信 | IP | 192.168.0.10 |
VPC 経路はゾーン固有です。
VPCルートを作成すると、作成方法に応じてゾーンまたはVPC内のトラフィックが有効になります。
相互接続性のユースケースでは、イングレス・ルーティング・テーブルが作成される。
テーブルの説明 | タイプ | トラフィック・ソース |
---|---|---|
イングレス・ルート | Ingress | Direct Link, Transit Gateway |
VMware Cloud Foundation がデプロイされているゾーンにもイングレス ルートが作成されます。 例えば、us-south-1
に配置し、オーバーレイの接頭辞を 192.168.4.0/22
とします:
ルートの説明 | ゾーン | トラフィック・タイプ | CIDR | アクション | タイプ | ネクスト・ホップ |
---|---|---|---|---|---|---|
NSXオーバーレイネットワーク | us-south-1 |
Ingress | 192.168.4.0/22 |
送信 | IP | 192.168.0.10 |
Direct Link や Transit Gateway などの相互接続オプションを使用しており、TGWに接続された別のVPCからの接続が必要な場合、VPCルートに加えて、アドバタイズフラグを使用してVPC(イングレス)ルートを作成することができます。 このアクションにより、DLとTGWの両方が、接続されているTGW接続またはDLに対して、NSXオーバーレイサブネットまたはプレフィックスを広告できるようになります。
VPC ルートに関する詳細は 、「VPC ルーティングテーブルとルート 」を参照してください。
Tier-0 と Tier-1 ゲートウェイ間のルーティング
T0 および T1 ゲートウェイは、それらの間でネイティブ NSX ルーティングを提供しますが、NSX 内でそれを構成する必要があります。 このモデルでは、ワークロードは通常、 T1 の背後にあるNSXオーバーレイセグメントに接続され、 T1 がその親である T0 に接続されると、 T0 を指すデフォルトルートが設定されます。 デフォルトでは、T0 は、T1 ゲートウェイに接続されているセグメントのプレフィックスを見ることができない。
T1 で NAT を使用せずに、 IBM Cloud VPC サブネットやその他の接続サービスでネイティブルーティングを行いたい場合は、特定の T1 で、 すべての接続セグメントおよびサービスポートの経路広告を有効にしてください。 T1 と T0 ゲートウェイ間のルーティングプロトコルやスタティックルートを設定する必要はありません。 ルート広告を有効にすると、NSX はこれらのルートを自動的に表示および作成します。 この方法では、 T1 のすべての接続セグメントが T0 にルーティングされ、その後、 T0 のパブリックトラフィックとプライベートトラフィックをどのように処理するかを決定することができます。
たとえば、T0 の HA VIP にパブリック フローティング IP が構成され、プロビジョニングされている場合、T1 と T1 のどちらに NAT ルールを作成するかを決定します。 または、これらのいずれかにVPNサーバーのエンドポイントを作成する。
プライベートトラフィックの場合、プライベートVPCプレフィックスから切り出したサブネット、たとえばプレフィックス 192.168.4.0/22
を設定し、T1にアタッチされている2つのセグメントにサブネット 192.168.4.0/26
と 192.168.4.64/26
を設定できます。 そして、VPC は 192.168.4.0/22
宛のトラフィックを T0 のプライベート
アップリンクに向け、T0 はそれを T1 に転送します。 The return path follows the reverse path: T1 sends to T0, which then has the private traffic routes toward the default gateway of the VPC private uplink subnet.
相互接続
相互接続は、お客様がリモート・ネットワーク・ロケーションから IBM Cloud® デプロイメントに、および IBM Cloud で実行されるワークロードとサービスの間で接続できるようにする複数のサービスとオファリングで構成されます。
これは、以下のカテゴリーに分けることができます。
- オンプレミスのネットワークとの相互接続
- VPC とその他の IBM Cloud インフラストラクチャ サービスの相互接続
次の図は、相互接続ソリューションの概要を示しています。
IBM Cloud® Transit Gateway (TGW) を使用すると、VPC を相互に接続するための単一または複数の中継ゲートウェイを作成できます。 IBM Cloud クラシック・インフラストラクチャーを Transit Gateway に接続して、クラシック・インフラストラクチャー・リソースとのシームレスな通信を実現することもできます。 これにより、Transit Gateway に接続するすべての新規ネットワークが、そのネットワークに接続されている他のすべてのネットワークで自動的に使用可能になります。
IBM Cloud Direct Link サービスは、経路指定された OSI Layer-3 サービスです。 IBM Cloud プライベート ネットワーク バックボーンへの直接接続を提供します。IBM Cloud Direct LinkはVPCに直接接続することも、TGWにアタッチすることもできます。
詳しくは、IBM Cloud Transit Gateway と IBM Cloud Direct Linkについて(2.0) を参照してください。