IBM Cloud Docs
VPC 上のベアメタル・サーバーのネットワーキングの概要

VPC 上のベアメタル・サーバーのネットワーキングの概要

以下の情報は、 IBM Cloud® Bare Metal Servers for Virtual Private Cloud のネットワーク機能の概要です。 ベアメタルサーバーでネットワークを構築する前に、必ずこの情報を確認してください。 この情報は、 IBM Cloud® VPC に関する基本的なネットワーク知識を持つユーザーを対象としていることに注意してください。 VPC ネットワーキングについてよく知らない場合は、ネットワーキングについてを参照してください。

  • VPC 用のベアメタル・サーバーは、VPC ネットワーキング機能を完全にサポートしています。 ネットワークは完全にソフトウェアで定義されているため、UIやAPIを使って設定することができる。

  • ダイナミック・ネットワーク帯域幅は Bare Metal Servers for VPC でのみ利用可能です。 各ベアメタルサーバーには、割り当てられた最大帯域幅があります。 帯域幅は、サーバー上のすべてのネットワークインターフェイスで共有される。 ネットワーク帯域幅の速度は、プロビジョニング時に選択するか、プロビジョニング後に変更することができます。 プロファイル世代の詳細については、 x86-64 ベアメタルサーバープロファイルを 参照してください。

  • ネットワーク・インターフェースの管理方法について詳しくは、ベアメタル・サーバーのネットワーク・インターフェースの管理を参照してください。

  • VMWare vSphere ネットワーキングを使用している場合は、 vSphere ネットワーキングの概要を参照してください。

ベアメタル・サーバーのネットワーク・インターフェース

ベアメタル・サーバーでは、以下の 2 つのタイプのネットワーク・インターフェースを作成できます。

ベアメタルサーバーのネットワークインターフェースの種類
ネットワーク・インターフェース 説明
PCI (周辺装置コンポーネント相互接続) 物理ネットワーク・インターフェース。
VLAN (仮想 LAN) インターフェース VLAN ID によって PCI インターフェースに関連付けられた仮想ネットワーク・インターフェースです。 VLAN インターフェースでは、このインターフェースによってルーティングされるトラフィックに、VLAN ID を使用して自動的にタグが付けられます。 VLAN ID でタグ付けされたインバウンド・トラフィックは、適切な VLAN インターフェースに送信されます。

PCI および VLAN インターフェースの特性

以下のリストは、PCIとVLANインターフェースの特徴を強調したものである。

  • ベアメタル・サーバーでは、最大 8 個の PCI インターフェースを作成できます。 PCI インターフェースを追加または削除するには、ベアメタル・サーバーが**「停止」**である必要があります。

  • 作成できる VLAN インターフェースの最大数に制限はありません。

  • セキュリティー・グループを PCI インターフェースと VLAN インターフェースの両方に接続して、ネットワーク・インターフェースでの着信および発信トラフィックを処理できます。 VLAN インターフェースは、関連する PCI インターフェース・ルールとは異なる可能性のある、独自のセキュリティー・グループ・ルールを維持します。

  • すべてのネットワーク・インターフェースは、TOR (ラック上部) スイッチ上にある 2 つの冗長物理ポートによって支えられています。集約は IBM Cloud® により管理されるため、冗長性を確保するために複数の PCI インターフェースを作成する必要はありません。

  • VMware と互換性のあるネットワーク上のベアメタル・サーバー間で vMotion をサポートできるように、オプションで VLAN インターフェースを「フローティング可能」に設定できます。

  • 1 つのネットワーク・インターフェースに複数の浮動 IP を関連付けることもできます。 複数の浮動 IP があると、VMware NSX-T Data Center が浮動 IP を VMware VM に割り当てることが可能になります。

  • vSphere では、ターゲット PCI インターフェースは、その MAC アドレスによって識別できます。 PCI インターフェースの MAC アドレスは、UI、 CLI、または API を介して取得できます。

ネットワーク・インターフェースの制限

  1. 異なる VLAND ID を持つ VLAN インターフェースは、異なるサブネット内に配置できます。 ただし、同じサブネット内の同じ VLAN ID に VLAN インターフェースを関連付ける必要があります。

    例えば、 subnet A 内に VLAN ID 111 を持つ複数の VLAN インタフェースを作成できます。 ただし、 subnet A 内および subnet B 内で VLAN ID 111 を使用して VLAN インターフェースを作成した場合、2 つのネットワーク・インターフェースは予期したとおりに機能しません。

    ネットワーク・インターフェースを作成する前に、ネットワークを適切に設計する必要があります。 VLAN ID とサブネットを 1 対 1 でマッピングするネットワーク・トポロジーをセットアップすることをお勧めします。

  2. VMware 環境では、同じ VLAN ID を持ち、同じベアメタルサーバー上にある VLAN ネットワークインターフェイス間のトラフィックは通常、サーバー内の標準 vSwitch によって切り替えられ、VPC ネットワークに到達することはありません。

    例えば、ベアメタル・サーバー・ホストでは、デフォルトの標準 vSwitch は vSwitch0 です。 VLAN ID 111 のポート・グループを作成し、それを vSwitch0 に追加できます。 ポート・グループ 111 に接続されたネットワーク・インターフェース間のトラフィックは、vSwitch0 によって制御されます。

    この設定は、以下のような結果になります。

    • ポート・グループ 111 内のネットワーク・インターフェース間のトラフィックを制御するセキュリティー・グループ・ルールは適用されません。 セキュリティー・グループ・ルールが必要な場合は、VLAN インターフェースに別々の VLAN ID を使用する必要があります。

  3. 分散 vSwitch トポロジーの場合、特定のポート・グループで vMotion を有効にするには、このポート・グループの VLAN ID がすべてのベアメタル・サーバーの VLAN 許可リストに含まれていることを確認する必要があります。

    例えば、2 つのベアメタル・サーバーを持つ分散 vSwitch トポロジーでは、「bare-metal-server-1」の PCI インターフェースには [111, 222, 333] の VLAN 許可リストがあり、「bare-metal-server-2」の PCI インターフェースには [333, 444, 555] の VLAN 許可リストがあります。 vMotionを介して 2 つのサーバー間でマイグレーションできるのは、VLAN ID 333 を持つ VM のみです。

    PCI インターフェースが同じサブネット内に存在する必要はありません。

  4. ベアメタル・サーバーでは、標準 vSwitch または分散 vSwitch 上にアップリンクを 1 つのみ設定できます。 そうでない場合は、ネットワークが適切に機能しない可能性があります。

ベアメタルサーバーと VMware 間のネットワークコンセプトのマッピング vSphere

Bare Metal Servers for VPC VMware ネットワーキング機能をフルサポート。 vSphere vSphere 環境でネットワークをセットアップするには、まず、ベアメタル・サーバーと vSphere の間のネットワーキング概念のマッピングについて理解する必要があります。

以下の表は、 Bare Metal Servers for VPC と VMware vSphere の間のネットワーク・コンセプトのマッピングを示している。

Bare Metal Servers for VPC と VMware の間のネットワーク概念のマッピング vShpere
ベアメタル・サーバー VMware vSphere
PCI インターフェース 標準 vSwitch または分散 vSwitch 上のベアメタル・サーバーのアップリンク。
VLAN インターフェース VMKernel または仮想マシンの仮想ネットワーク・アダプタ
VLAN ID ポート・グループの VLAN ID

ベアメタル・サーバーの PCI インターフェースは、vSphere のアップリンクにマップされます。 ベアメタル・サーバーをプロビジョンする場合、1 次 PCI インターフェースがデフォルトで作成されます。 この 1 次 PCI インターフェースは、自動的に、vSwitch0 のベアメタル・サーバーのアップリンクになります。 また、その IP アドレスは、vmk0管理ネットワーク・ポート・グループの vSwitch0 アダプターによっても使用されます。 管理ネットワーク・ポート・グループの VLAN ID は、自動的に「0」に設定されます。

標準 vSwitch または分散 vSwitch を追加する場合は、新しい vSwitch でのアップリンクとして、使用可能な PCI インターフェースのいずれかを選択する必要があります。 したがって、vSwitch を追加する前に、少なくとも 1 つの PCI インターフェースがアップリンクとして使用されていることを確認する必要があります。

VMkernel アダプターが PCI インターフェースと同じ IP アドレスを使用する場合、VMkernel アダプターの Mac アドレスは、PCI インターフェースと同じ Mac アドレスを使用する必要があります。

ベアメタル・サーバーで作成された PCI インターフェースは、VMware vSphere で vmnic0vmnic1vmnic2 などとして表示されます。 vSphere では、ターゲット PCI インターフェースは、その MAC アドレスによって識別できます。

VLAN インターフェースは、vSphere の VMkernel ネットワーク・アダプターまたは VMware 仮想マシンのネットワーク・アダプターにマップされます。 VLAN インターフェースを作成する場合は、VLAN インターフェースの VLAN ID を指定する必要があります。 この VLAN ID は、vSphere でポート・グループにラベルを付けるために使用される VLAN ID にマップされます。

vSphere でサーバーおよび vmKernel を作成する前に、適切な VLAN ID を使用して VLAN インターフェースを作成する必要があります。 VMまたはVMKernal NICを作成する際、そのIPアドレスをサーバー上に作成された対応するVLANインターフェースのIPアドレスに指定する必要があります。

vSphere ネットワーク・トポロジーの例

単純なトポロジーを作成するには、以下の手順を使用する:

  1. 各ベアメタルサーバーで、以下の操作を行ったことを確認する。

    • PCI インターフェースを作成し、VLAN ID 777 が PCI インターフェースの VLAN 許可リストに含まれていることを確認します。

    • 777 に指定された VLAN ID を持つ VLAN インターフェースを少なくとも 1 つ作成します。

    • 新しいネットワーク・インターフェースの MAC アドレスと IP アドレスを記録します。

  2. vSphere Client で、以下のアクションを実行したことを確認します。

    • vMotion を 2 つの ESXi ホストの VMkernel アダプター「vmk0」に対して有効にします。

    • 分散 vSwitch を作成し、2 つの ESXi ホストを分散 vSwitch に追加します。

    • vmnic リスト内に作成した PCI インターフェースを (MAC アドレスによって) 識別します。

    • 識別した vmnic をホストのアップリンクとして設定します。 この例では、識別した vmnic の名前は「vmnic3」です。

    • 分散ポート・グループ (「DPortGroup」) を作成し、VLAN ID を 777 に設定します。

    • サーバーを作成し、その IP アドレスを、以前に作成した VLAN インターフェース (VLAN ID 777) の IP に設定します。

これで、vMotion を使用して VM をマイグレーションできるようになりました。

VM で使用される VLAN インターフェースは、宛先ホストにマイグレーションされます。

この例よりも複雑なネットワーク・トポロジーをセットアップできますが、ここでは説明しません。 詳しくは、VMware vSphere のドキュメントを参照してください。

VMware vSphere ネットワーク・インターフェースの構成のヒント

  1. vMotion を使用してベア・メタル・サーバー間で仮想マシンを移動する予定の場合は、ベア・メタル・サーバー上で、ターゲット VLAN ID を持つ VLAN インターフェースを floatable に設定する必要があります。

    VLAN インターフェースの作成後にこの構成を変更することはできません。

  2. ベアメタル・サーバーには、複数の標準 vSwitch を含めることができます。 ベアメタル・サーバーは、さまざまな分散 vSwitch に追加することもできます。 新しい標準 vSwitch を作成するか、ベアメタル・サーバーを分散 vSwitch に追加する前に、ベアメタル・サーバーに少なくとも 1 つの使用可能な PCI インターフェースが存在することを確認してください。

Linux に関する特別な考慮事項

  • PCI インターフェースは PCI デバイス・ツリーに表示され、標準の Linux ネットワーキング・プラクティスを使用して構成できます。

  • macvlan または同等のインターフェースを使用して、オペレーティング・システム内に VLAN インターフェースを作成する必要があります。

MAC アドレス学習

SDN では、ネットワーク・インターフェースに IP アドレスと MAC アドレスの 2 つのプロパティーがあります。 通常は、その MAC アドレスを使用する必要があります。そうしないと、パケットがドロップします。 ただし、ベア・メタル・サーバーでは別の MAC アドレスを使用できます。 IBM Cloud® は、使用している MAC アドレスを「学習」し、トラフィックのフローを許可します。

DHCP 要求に応答するには IBM Cloud®提供の MAC アドレスが必要であるため、DHCP はカスタム MAC アドレスでは機能しません。 カスタム MAC アドレスを使用するには、静的 IP 構成を使用する必要があります。

拡張ネットワーキング

インフラストラクチャー NAT および IP スプーフィング

インフラストラクチャー NAT をオンにすると、VPC インフラストラクチャーは必要なすべての NAT 操作を実行できます。 インフラストラクチャー NAT がオフの場合、パケットは変更を加えられずにネットワーク・インターフェースとの間で受け渡され、ワークロードが NAT 操作を実行できるようにします。 デフォルトはオンです。 この設定を変更するには、Advanced Network Operator IAMロールが必要です。 Enable infrastructure NAT がオフになっている場合は、IPスプーフィングを許可するをオフにする必要があります。

複数の浮動 IP

複数のフローティングIPをネットワークインターフェースに関連付けるには、ネットワークインターフェースで「IPスプーフィングを許可する」と「インフラストラクチャNATを有効にする」の両方が無効になっていることを確認してください。 詳しくは、 浮動 IP とネットワーク・インターフェースの関連付け を参照してください。

仮想 IP (VIP)

VIP は、インターフェース間の移動に使用され、高可用性を実現します。 通常、2つのインターフェースは2つのサーバーに属している。 各インターフェースには 1 次 IP があり、VIP はアクティブ/パッシブ高可用性のためにサーバー間で浮動できる 2 次 IP として構成されます。 VIP の作成について詳しくは、 仮想 IP(VIP)の作成 を参照してください。