IBM Cloud Docs
ネットワーキングについて

ネットワーキングについて

IBM Cloud® Virtual Private Cloud (VPC) は、お客様のアカウントにリンクされている仮想ネットワークです。 仮想インフラストラクチャーとネットワーク・トラフィックのセグメンテーションをきめ細かく制御することによって、クラウド・セキュリティーと動的スケーリング機能を提供します。

概要

各 VPC は単一のリージョンにデプロイされます。 そのリージョン内で、VPC は複数のゾーンにまたがることができます。

オプションのパブリック・ゲートウェイを使用すると、VPC 内のサブネットからパブリック・インターネットに接続できます。 浮動 IP アドレスを仮想サーバー・インスタンスに割り当てると、そのインスタンスのサブネットがパブリック・ゲートウェイに接続されているかどうかにかかわらず、インスタンスにインターネットからアクセスできるようになります。

VPC 内のサブネットはプライベート接続に使用されます。サブネットは暗黙的なルーターを介してプライベート・リンク経由で相互に通信できます。 経路の設定は不要です。 図 1 は、サブネットを使用して仮想プライベート・クラウドを分割し、各サブネットからパブリック・インターネットにアクセスできるようにする方法を示しています。

Figure showing how a VPC can be subdivided with subnets
IBM VPC connectivity and security

用語

VPCを使用するには、デプロイメントに適用される_リージョン_と_ゾーン_の基本概念を確認してください。

リージョン

リージョン1つまたは複数のゾーンで構成される独立した地理的領域。とは、VPCが展開される地理的領域の抽象化です。 それぞれの地域には複数の ゾーン地域内の独立した断層領域として機能し、その地域の他のゾーンへの待ち時間が短縮された場所。がある。 VPC は、割り当てられたリージョン内で複数のゾーンにまたがることができます。IBM Cloudは2段階のリージョンを提供します:マルチゾーン・リージョンフォールトトレランスを向上させるために、複数のゾーンの物理的な場所にまたがるリージョン。シングルキャンパス・マルチゾーン・リージョン単一の建物またはキャンパス内に位置する複数のゾーンで構成される地域。 電源、冷却、ネットワーク、物理的セキュリティなどの依存関係は共有される可能性があるが、高度な障害独立性を提供するように設計されている。 です。

ゾーン

各ゾーンにはデフォルトのアドレス接頭部が割り当てられているので、サブネットを作成できるアドレス範囲が決まっています。 デフォルトのアドレス体系がお客様の要件に適していない場合 (お客様所有のパブリック IPv4 アドレス範囲を持ち込みたい場合など) は、アドレス接頭部をカスタマイズできます。 論理ゾーン名と物理ゾーンの対応付けはアカウントに相対的であるため、ゾーンの デフォルトのアドレスプレフィックス範囲はアカウントによって異なる可能性が ある。 詳細については、リソース・デプロイメントのためIBM Cloudロケーションを/span>のを参照してください。

VPC のサブネットの特性

各サブネットには、指定された IP アドレス範囲 (CIDR ブロック) があります。 サブネットは 1 つのゾーンにバインドされ、複数のゾーンまたはリージョンをまたぐことはできません。 同じ VPC 内の各サブネットは相互に接続されます。

システムで予約されているアドレス

特定のIPアドレスは、 IBM がVPCを運用するために確保されています。 以下のアドレスは予約済みアドレスです(これらのIPアドレスは、サブネットのCIDR範囲が 10.10.10.0/24 であることを前提としています)

  • CIDR 範囲内の 1 番目のアドレス (10.10.10.0): ネットワーク・アドレス
  • CIDR 範囲内の 2 番目のアドレス (10.10.10.1): ゲートウェイ・アドレス
  • CIDR 範囲内の 3 番目のアドレス (10.10.10.2): IBM により予約済み
  • CIDR 範囲内の 4 番目のアドレス (10.10.10.3): IBM により将来の使用のために予約済み
  • CIDR 範囲内の最後のアドレス (10.10.10.255): ネットワーク・ブロードキャスト・アドレス

外部接続

外部接続を可能にするには、サブネットに接続されたパブリック・ゲートウェイを使用するか、仮想サーバー・インスタンスに接続された浮動 IP アドレスを使用します。 パブリック・ゲートウェイは送信元ネットワーク・アドレス変換 (SNAT) に使用し、浮動 IP は宛先ネットワーク・アドレス変換 (DNAT) に使用します。

この表は、オプション間の相違点をまとめたものです

外部接続オプション
パブリック・ゲートウェイ 浮動 IP
インスタンスは、インターネットへの接続を開始できますが、インターネットからの接続を受け入れることはできません。 インスタンスは、インターネットへの接続を開始でき、インターネットからの接続を受け入れることもできます
サブネット全体に接続を提供します 単一インスタンスに接続を提供します

セキュアな外部接続が必要な場合は、VPN サービスを使用して、VPC を別のネットワークに接続してください。 VPN について詳しくは、VPC での VPN の使用を参照してください。

サブネットの外部接続用にパブリック・ゲートウェイを使用する

パブリック・ゲートウェイは、サブネットおよびそのサブネットに接続されたすべての仮想サーバー・インスタンスをインターネットに接続できるようにします。 デフォルトでは、サブネットはプライベートです。 サブネットがパブリック・ゲートウェイに接続されると、そのサブネット内のすべてのインスタンスがインターネットに接続できるようになります。 パブリック・ゲートウェイはゾーンごとに 1 つしか作成できませんが、1 つのパブリック・ゲートウェイに複数のサブネットを接続できます。

パブリック・ゲートウェイは_多対 1 の NAT_ を使用します。これは、プライベート・アドレスを持つ数千ものインスタンスが 1 つのパブリック IP アドレスを使用してパブリック・インターネットと通信することを意味します。

ゲートウェイ・サービスについて、上述の範囲に関する概要を次の図に示します。

現在のゲートウェイ・サービスの範囲
SNAT DNAT ACL VPN
インスタンスは、インターネットへのアウトバウンド専用アクセスを持つことができます。 インターネットからプライベートIPへのインバウンド接続を許可する。 インターネットからインスタンスまたはサブネットへの制限付きのインバウンドアクセスを提供する。 サイト間VPNは、あらゆる規模の顧客、単一または複数の拠点に対応しています。
サブネット全体が、アウトバウンドのパブリックエンドポイントを共有します。 単一のプライベートサーバーへの限定的なアクセスを提供します。 インターネットからのアクセスを、サービス、プロトコル、ポートに基づいて制限する。 高いスループット(最大10 Gbps)により、お客様は大容量のデータファイルを安全かつ迅速に転送することができます。
インスタンスを保護します。パブリックエンドポイントからインスタンスへのアクセスを開始することはできません。 DNATサービスは、要件に応じてスケールアップまたはスケールダウンが可能です。 ステートレスACLは、トラフィックのきめ細かい制御を可能にします。 業界標準の暗号化により、安全な接続を確立します。

ゾーンごとに作成できるパブリックゲートウェイは1つだけです。 ただし、そのパブリック・ゲートウェイは、ゾーン内の複数のサブネットに接続できます。

仮想サーバー・インスタンスの外部接続のために浮動 IP アドレスを使用する

浮動 IP アドレスは、システムによって提供される IP アドレスであり、パブリック・インターネットからアクセス可能なアドレスです。

お客様は、IBM が提供しているアドレス・プール内の浮動 IP アドレスを予約できます。また、同じゾーン内の任意のインスタンスのネットワーク・インターフェースにその浮動 IP アドレスを関連付けることができます。 そのインターフェースにもプライベートIPアドレスがあります。 各浮動 IP アドレスは、1 つのインターフェースにのみ関連付けることができます。

注記

  • 浮動 IP アドレスをインスタンスに関連付けると、そのインスタンスはパブリック・ゲートウェイの多対 1 NAT から除外されます。
  • 現時点では、浮動 IP では IPv4 アドレスだけがサポートされます。