プライベート・パス・サービスについて
プライベート・パス・サービスは、 IBM Cloud およびサード・パーティー・サービスのプライベート接続を提供します。 プライベートパスサービスには、 IBM Cloud にサービスを展開するためのプライベートパスネットワークロードバランサー(NLB)と、お客様がサービスに接続するための仮想プライベートエンドポイント(VPE)ゲートウェイが必要です。 トラフィックは、インターネットを経由せずに IBM バックボーン上にとどまります。
プロバイダーと消費者間のプライベート接続を確立する典型的なプロセスは以下の通りです
- プロバイダーはプライベート・パス・サービスを作成します。
- プロバイダーは、プライベート・パス・サービスをプライベート・パス NLB に関連付けます。
- プロバイダーは、固有のプライベート・パス・サービス・クラウド・リソース名 (CRN) などの関連情報をサービス・コンシューマーと共有します。
- コンシューマーは、プライベート・パス・サービスの CRN を構成する VPE ゲートウェイを作成します。 次に、接続リクエストがサービスプロバイダに送信されます。
- プロバイダーは、必要に応じて、コンシューマーの要求を許可または拒否し、アカウント・ポリシーをセットアップします (あるいは、コンシューマー要求を自動的に許可または拒否するようにアカウント・ポリシーをセットアップすることもできます)。
- コンシューマーには、接続要求の状況が通知されます。 許可されている場合、コンシューマーはサービスにアクセスできます。拒否されている場合、コンシューマーはプロバイダーに連絡して詳細を確認できます。
詳しくは、「 プライベート・パス・ソリューション・ガイド」を参照してください。
以下のアクションを実行できるかどうかは、 IBM Cloud アカウントに関連付けられている IAM 権限のレベルによって異なります。 詳しくは、 必要な許可 を参照してください。
プライベート・パス・サービスの概要
サービス・プロバイダーとして開始するには、以下の手順を実行します。
-
仮想プライベートクラウド(VPC)があり、選択したVPCに少なくとも1つのサブネットがあることを確認してください。
-
プライベートパスNLBを作成する。
- プライベート・パス・サービスの作成時にプライベート・パス NLB を作成することも、 「Load balancer for VPC」 プロビジョニング・ページを使用してプライベート・パス NLB を作成することもできます。 プライベート・パス・サービスとは別のプライベート・パス・ロード・バランサーを作成するには、 プライベート・パス・ネットワーク・ロード・バランサーの作成 を参照してください。
- プライベートパスNLBとプライベートパスサービスは、同じVPCリージョン内で同じアカウントを使用する必要があります。
-
- アカウントに特定のポリシーが割り当てられていない場合のデフォルト・ポリシーを設定します。 デフォルト・ポリシー (「レビュー」) では、各要求を許可または拒否できますが、 「許可」 および 「拒否」 では、特定のアカウント・ポリシーを持たない接続要求のプロセスが自動化されます。
- 特定のアカウント ID のアカウント・ポリシーを今すぐ作成するか、後で作成します。 これらのポリシーは、プロバイダーが特定のアカウントから要求を受け取ったときに実行するアクションを決定し、デフォルト・ポリシーよりも優先されます。
プライベート・パス・サービスのユース・ケース
以下の使用例は、プライベート・パス・サービスを使用する様々な方法を示しています。
すべてのプライベート・パスのユースケースにおいて、ALBポリシー機能を使用してプライベート・パスのサービス・トラフィックを誘導することができる。
ユース・ケース 1: 単一のコンシューマーへのサービスの接続
プロバイダーとしては、インターネット経由のトラフィックを発生させず、またVPC全体へのアクセス権を与えずに、自社のサービスを消費者と接続したいと考えるでしょう。 あなたの消費者とは、顧客、社内の他部署、またはその他の何かである可能性があります。
この図は、プライベートパスサービスの確立方法を説明しています。 プライベート・パス・サービスを確立すると、サービスをプライベートに顧客に公開することができます。
まず、消費者のアプリケーションが、消費者のVPC内のVPEゲートウェイに接続します。 次に、VPEゲートウェイはプロバイダーのVPC内のプライベートパスNLBに接続します。 一方、プライベートパスNLBはプロバイダーのサービスに接続します。 プロバイダーのサービスは、ダイレクト・サーバー・リターン(DSR)を通じて、消費者のリクエストに応答します。 このプライベート・パス・サービス・アクティビティーは、 IBM Cloud プライベート・ネットワーク内の単一リージョン (米国南部) に完全に含まれています。
ユースケース2:サービスを複数の消費者に接続する
この図は、複数の消費者VPEゲートウェイへの接続を持つプライベートパスサービスの確立方法を示しています。
まず、消費者のアプリケーションが、その消費者の VPC 内の VPE ゲートウェイに接続します。 次に、VPEゲートウェイはプロバイダーのVPC内のプライベートパスNLBに接続します。 一方、プライベートパスNLBはプロバイダーのサービスに接続します。 プロバイダーのサービスは、DSRを通じて消費者のリクエストに応答します。 このプライベート・パス・サービス・アクティビティーは、 IBM Cloud プライベート・ネットワーク内の単一リージョン (米国南部) に完全に含まれています。
ユース・ケース 3: VPC 内の顧客へのサービスの接続
この図は、VPC内の消費者によるVPEゲートウェイへの接続を持つプライベートパスサービスの確立方法を示しています。
プライベートパスのネットワークロードバランサーのパフォーマンスとスケーラビリティを強化する必要がある場合は、単一のVPC内でプライベートパスのサービスを使用します。
まず、消費者のアプリケーションがプロバイダーの VPC 内の消費者の VPE ゲートウェイに接続します。 次に、VPEゲートウェイはプロバイダーのVPC内のプライベートパスNLBに接続します。 一方、プライベートパスNLBはプロバイダーのサービスに接続します。 プロバイダーのサービスは、DSRを通じて消費者のリクエストに応答します。 このプライベート・パス・サービス・アクティビティーは、 IBM Cloud プライベート・ネットワーク内の単一リージョン (米国南部) に完全に含まれています。
ユースケース4 IBM CloudをプロバイダーのVPCに接続可能にする
プライベート・パスは、IBM Cloud Code EngineのようなIBM Cloudサービスと VPC の間の接続を可能にします。 Code Engine は、ソースコードまたはコンテナ化されたワークロードを実行するマルチテナント型コンピュート・サービスです。 その動的なスケーリング機能により、アプリケーションは、入ってくるリクエストに基づいて、自動的にスケールアップしたり、スケールダウンしたりすることができます。 従量課金モデルにより、 Code Engine、実際に使用した計算容量に対してのみ課金される。 詳細については、IBM Cloud Code Engine を参照してください。
この図は、 Code Engine アプリケーションのVPEゲートウェイとお客様のVPCへの接続を持つプライベートパスサービスの確立方法を示しています。 まず、 Code Engine アプリケーションは、 Code Engine のVPC内のVPEゲートウェイに接続します。 次に、VPEゲートウェイはプロバイダーのVPC内のプライベートパスNLBに接続します。 一方、プライベートパスNLBはプロバイダーのアプリケーションに接続します。 すると、プロバイダーのアプリケーションがリクエストに応答します。
このプライベートパスサービス活動は、 IBM Cloud プライベートネットワーク内の単一の地域(us-south
)に完全に含まれています。
ユースケース5:プライベートパスNLBでALBを使用してVPC外のサービスをホストする
次の図は、コンシューマーのサービスをプロバイダーのエンドポイントに接続するためのプライベート・パス・サービスの設定プロセスを示している:
-
コンシューマのアプリケーションやサービスは、コンシューマのVPC内の仮想プライベート・エンドポイント(VPE)ゲートウェイに接続する。
コンシューマのVPCは、 MQ as a Serviceや Code Engine のようなプライベート・パスをサポートする IBM。 これにより、オンクラウドの MQ Queue ManagerとオンプレミスのQueue Managerをリンクしたり、 Code Engine プロジェクトとオンプレミスのリソースを接続したりすることができます。
-
そしてVPEゲートウェイは、プロバイダーのVPCにあるプライベートパスのネットワークロードバランサー(NLB)にリンクする。
-
プライベートパスNLBがオンプレミスのエンドポイントに到達できるように、プロバイダーはアプリケーションロードバランサー(ALB)をプライベートパスNLBのメンバーとして追加する。
-
プロバイダーは、オンプレミスのエンドポイントをALBプール・メンバーとして構成する。
-
最後に、プロバイダーは IBM Cloud Direct Link を使ってオンプレミスのエンドポイントを ALB に接続する。
プロバイダーは、さらにALBポリシー機能を活用して、トラフィックを関連するALBプールとメンバーに誘導することができる。 詳しくは、 ポリシーベースのロードバランシングを 参照。
クライアントから VPE ゲートウェイへのトラフィックが、同じゾーン内のプライベート・パス NLB および ALB に確実に誘導されるように、プライベート・パス・サービスでゾーン・アフィニティを有効にすることを推奨します(利用可能な場合)。