管理クラスター

管理クラスターは、管理サービスの要件をサポートするためにのみ VLAN を使用します。 オーバーレイ・ネットワーキングは管理クラスターでは有効化されません。

ゲートウェイ・クラスター

オプションのゲートウェイ・クラスターはオーバーレイ・ネットワークを採用せず、その代わりに物理的な FortiGate アプライアンスが境界ゲートウェイとして利用できる。

ゲートウェイクラスター上で動作する vSRX、管理ネットワークをプライベートおよびパブリックトランジットネットワークに接続する。 vSRX は、管理領域の入出トラフィックについて、環境の適切な操作とモニターに必要なものだけを許可するように構成されます。 vSRX はまた、ESXi ホストと vCenter Server 間のすべてのトラフィックを分離します。 同じクラスター内で、ESXi ホストは、他の ESXi ホストと相互に通信、また vCenter Server と通信できます。 (例えば、ワークロード・クラスターや管理クラスターなどの) あるクラスターの ESXi ホストが、他のクラスターのホストと通信することはできません。 このクラスター間トラフィックの制限は、vSRX と、ESXi ホストのファイアウォールの構成によって適用されます。

ゲートウェイ クラスターは、オンプレミスの SaaS プロバイダーと Regulated Workloads 間のトラフィックのピアリング ポイントです。 また、SaaS 利用者からのトラフィックに対する境界としても機能します。 SaaS プロバイダーは、vSRX を VPN のセキュア・トンネル・エンドポイントとして使用します。

SaaS 利用者からのトラフィックは、暗号化されたトンネルで vSRX を経由して、オーバーレイ・ネットワークの仮想エッジ・デバイスに到達します。

ワークロード・クラスター

ワークロード クラスタのネットワーク設計には、NSX で提供されるオーバーレイ ネットワークと、インフラストラクチャ レイヤの機能をサポートする 2 つ以上の VLAN の両方が必要です。

SaaS 利用者からのトラフィックは、オーバーレイ・ネットワークの仮想エッジとピアリングされます。 SaaS 利用者は、この仮想エッジをセキュア・トンネルのエンドポイントとして使用して、暗号化された VPN を確立します。

相互接続

IBM Cloud® Transit Gateway (TGW) を使用すると、1 つまたは複数のトランジットゲートウェイを作成して、Regulated Workloads を VPC、他の IBM Cloud® インフラストラクチャ プラットフォーム、または IBM Cloud® Direct Link を介してオンプレミス ネットワークに接続できます。

Transit GatewayはBGPルーティングでGREトンネルをサポートします。 これらの GRE トンネルを使用して、NSX オーバーレイを Transit Gateway に接続し、さらに Transit Gateway の他の接続にルーティング接続を提供できます。

関連リンク

• IBM Cloud コンプライアンス・プログラム