IBM Cloud を利用して企業のネットワークを拡張する

IBM Cloud によっていかに企業のネットワークをシームレスに拡張できるかを理解する

IBM Cloud による VPN (Virtual Private Network) 機能やプライベート VLAN (Virtual Local Area Network) 機能を利用すると、IBM Cloud はシームレスに拡張された企業のネットワークとして機能するようになります。この記事では、企業内のネットワークから IBM Cloud へと VPN を移行する計画の中で認識しておく必要のある設計上の考慮事項、問題点、制約事項についてその基本を説明します。また、クラウドに接続する上での基本的なトラブルシューティングについても説明し、最後に IBM Cloud の VPN/VLAN 機能によってどんなことが可能になるのかを (Rational のクラウド・イメージを基にした) 実際のシナリオで説明します。

Vaughn Rokosz, Senior Technical Staff Member, IBM

Vaughn Rokosz は Rational System and Integration Test Organization に勤務しています。彼の主な関心分野はエンタープライズ規模での Rational ソリューションのテストです。現在は Rational のクラウド・ソリューションのテストに注目しています。27 年に及ぶソフトウェアの開発やテストの経験の中で、彼はファクトリー・オートメーションから統計分析、さらにはドキュメント管理やナレッジ管理に至るまで、さまざまな領域で活動してきました。彼は IBM Master Inventor です。



2011年 12月 16日

IBM Cloud は、高度に仮想化されたエンタープライズ・クラスのマルチテナント共有クラウド環境として、高い制御能力、信頼性、データ・セキュリティーを提供しており、パフォーマンスとキャパシティーの面でも極めて高いスケーラビリティーがあります。お気付きではないかもしれませんが、IBM では比較的簡単に IBM Cloud 上でお使いの仮想マシン・インスタンスに対して VPN (Virtual Private Network) を設定できるようにしており、そのインスタンスと VPN とが分離された状態を保てるようにしています。企業のネットワークをセキュアなクラウドにまで拡張することを検討しているとしたら、この IBM Cloud の機能は素晴らしい手段となります。

IBM Cloud を利用する場合、各 VPN サービスを構成する要素は、ユーザーが選択した IBM Cloud のデータ・センター内にあるプライベート VLAN (Virtual Local Area Network) と、その VLAN にアクセスするための VPN ゲートウェイです。プライベート VLAN の IP アドレスのみを使用してプロビジョニングされたインスタンスには、その VPN ゲートウェイを介さない限りアクセスすることはできません。

これはつまり、企業独自のネットワークの一部であるかのように IBM Cloud を扱えるということです。クラウド・インスタンスは企業のネットワーク内のマシンに接続することができるため、それらのクラウド・インスタンスからメール・ルーターやユーザー・ディレクトリーなどの企業サービスを利用することができます。企業のプライベート VLAN で実行するクラウド・インスタンスにアクセスできるのは、企業のネットワーク内のシステムからのみであり、それらのインスタンスをインターネットから見たりアクセスしたりすることはできません。

この記事では、企業のネットワークから IBM Cloud へ VPN 接続する計画を立てる際に、認識しておく必要のある設計上の基本的な考慮事項、問題点、制約事項について説明します。さらに、クラウドに接続する上での基本的なトラブルシューティングについても説明し、最後に、IBM Cloud の VPN/VLAN 機能によってどんなことが可能になるのかを (Rational のクラウド・イメージを利用した) 実際のシナリオを用いて紹介し、一般に使用されるファイアウォールのポートの一覧を示します。

この記事には他にも以下の 2 つの目標があります。

  • VPN/VLAN 機能によってどのようにクラウド・イメージの機能を拡張できるのを説明する。
  • VPN でクラウドに接続するための設定に関し、企業のシステム管理者とネットワーク専門家とが効果的に協力できるようにする。

では、設計に関する考慮事項から始めましょう。

インフラストラクチャーと設計に関する考慮事項

IBM Cloud へ VPN 接続するための設定は難しくありませんが、事前にある程度計画を立てないと、時間がかかる可能性があります。インフラストラクチャーと設計に関する考慮事項の説明に入る前に、IBM Cloud による VPN/VLAN 機能のアーキテクチャーを調べてみましょう (下図を参照)。

IBM Cloud による VPN/VLAN 機能のアーキテクチャー
IBM Cloud による VPN/VLAN 機能のアーキテクチャー

この図の右端に IBM Cloud があります。IBM Cloud のデータ・センターの 1 つに仮想マシン・インスタンスを構成する場合、インターネットから直接アクセスできるように (共有 VLAN 上に) インスタンスを配置することも、プライベート VLAN 上にインスタンスを配置することもできます。

プライベート VLAN 上にインスタンスを配置するためには、プロビジョニングの際に単純にプライベート VLAN を選択します。その VLAN と企業のネットワークとの間でネットワーク・トラフィックをルーティングするためには、企業のネットワークと IBM Cloud のデータ・センターとの間に VPN トンネルを確立し、ネットワークの企業側には IPSec ゲートウェイ (ファイアウォール) を用意し、IBM と協力して企業のネットワークと IBM Cloud のデータ・センターとの間の接続を構成する必要があります。VPN トンネルを設定できたら、VPN の企業側を構成し、IBM Cloud 内の IBM 製品が企業のネットワーク内のコンピューターと通信できるように企業側のファイアウォールのポートを開く必要があります。

インフラストラクチャーに対する要件

IBM Cloud のデータ・センター内のプライベート VLAN に企業のネットワークを接続するためには、以下のものが必要です。

  • IPSec を終端できるファイアウォール。また、ファイアウォールを「ルート・ベース VPN」として構成する必要があります。この接続では、ポリシー・ベースの構成はサポートされていません。
  • 企業のネットワーク内の DNS (Domain Name Server)。この DNS に対し、IBM Cloud の VLAN 内のシステムからトンネルを介してアクセスできる必要があります。
  • IBM Cloud の VLAN で使用するために定義された一定範囲の IP アドレス (つまりサブネット)。また、この選択された範囲内の各 IP アドレスに対するホスト名が企業の DNS に登録されている必要があります。これらのホストに対して使用するドメイン名を IBM に提供する必要があります。

また、VPN の暗号化パラメーターに関する情報も IBM に提供する必要があります。表 1 は IBM が推奨している値の一覧です。

表 1. VPN の暗号化パラメーター
パラメーターIBM 推奨値
フェーズ 1 の暗号化方法 (DES や 3DES など)3DES
フェーズ 1 のハッシュと認証 (MD5 または SHA1)SHA1
フェーズ 2 の暗号化方法 (DES や 3DES など)3DES
フェーズ 2のハッシュと認証 (MD5 または SHA1)SHA1
IPSec SA ライフタイムの秒数3600
IKE SAライフタイムの秒数86400
DH グループ5
PFSなし

IBM Cloud の VLAN で実行する IBM Cloud インスタンスを企業のネットワーク内のシステムで使用するためには、さらに以下のアクションを実行する必要があります。

  • VPN を介してどのような統合を実行したいのかに応じてファイアウォールのポートを開く (「付録 B」を参照)。
  • IBM Cloud システムで使用する予定の企業のネットワーク内のコンピューターに対し、IBM Cloud の VLAN 内のシステムからネットワーク経由でアクセスできることを確認する。そのためには VPN 接続の両サイドにあるファイアウォールを構成する必要があります。また (VPN に接続されるネットワーク部分を企業のネットワークの他の部分から分離した場合は特に) 企業のネットワークのインフラストラクチャーの他の部分も構成する必要があるかもしれません。

設計に関する考慮事項

では、私が設計に関する考慮事項に分類した項目について調べてみましょう。IBM Cloud への VPN 接続の実装方法を計画する際には、以下の事項を考慮する必要があります。

  • IBM Cloud のデータ・センターに対する相対位置としての VPN エンドポイントの場所。
  • 企業のネットワーク内のシステムのうち、IBM Cloud の VLAN と VPN を介して通信する必要があるシステム。
  • IBM Cloud の VLAN と企業のシステムとの間で実現したい具体的な統合と、それらの統合が使用するネットワーク・ポート。

ネットワーク遅延の問題: VPN エンドポイントをどこに配置するか。
企業のコンピューターと接続先の IBM Cloud のデータ・センターとの間で、全体としてのネットワーク遅延が最小となる地理的な場所に VPN エンドポイントを配置する必要があります。ネットワーク遅延というのは、あるコンピューターから別のコンピューターへと情報パケットがネットワークを介して移動するために必要な時間を指します。ネットワーク遅延が増加すると、IBM Cloud 内で実行されるアプリケーションのパフォーマンスは低下します。

例えば、IBM Cloud 内で実行中の Rational Quality Manager のインスタンスに対し、企業のネットワーク上のコンピューターの Web ブラウザーを使用してアクセスする場合、ユーザーが操作を実行するごとに大量のパケットがネットワーク・トラフィックとして VPN 上を流れます。そのため、ネットワーク遅延があると、どのような遅延であってもその遅延は拡大されます。1 回のネットワーク・トランザクションに対して 100 ミリ秒の遅延がある場合、ネットワーク・トランザクションが 10 回実行されると 1 秒の遅延になります。

全体としてのネットワーク遅延に寄与する要因は以下の 2 つです。

  • 第 1 に、コンピューターと企業の VPN エンドポイントとの間に遅延があります。
  • 第 2 に、企業の VPN エンドポイントと IBM Cloud のデータ・センターとの間に遅延があります。

企業のネットワーク内の遅延が少ない場合 (通常、コンピューターが地理的に 1 つの場所にある場合は遅延が少なくなります) には、VPN エンドポイントと IBM Cloud との間の遅延のみに焦点を絞ることができます。通常、ベスト・プラクティスとしては、IBM Cloud のデータ・センターを選択する際に、企業のデータ・センターのいずれかと地理的に最も近いデータ・センターを選択することで、物理的な距離が最短となるような形で VPN 接続を確立するようにします。

企業が地理的に何ヶ所かの拠点に分散している場合には、それらの拠点のコンピューターと VPN エンドポイントとの間のネットワーク遅延の変動がさらに大きくなります。ネットワークの中で最大の割合を占める部分のネットワーク遅延を最適化する方法を検討してください。ほとんどの場合、最終的には、遅延が小さいマシンと大きいマシンが存在する状況でバランスを取らざるを得なくなります。ただし IBM Cloud では、各データ・センターのアカウントごとに、1 つの VPN 接続を確立できることを頭に入れておいてください。つまり IBM Cloud のデータ・センターに VPN 接続する場合に、例えば 1 つの VPN 接続を米国ノース・カロライナ州ローリーにあるデータ・センターとの間に確立し、もう 1 つの VPN 接続をドイツのバーデン・ビュルテンベルク州エーニンゲンにあるデータ・センターとの間に確立することもできるということです。このように、ネットワーク遅延を最小限にするための戦略の一環として、複数の IBM Cloud のデータ・センターを活用することができます。

適切なコンポーネントを特定する: どのシステムやアプリケーションを VPN を介して使用するのか
企業のネットワークを IBM Cloud の VLAN に接続するための計画を立てる際には、IBM Cloud の VLAN 内で実行される仮想マシンと通信することになるコンピューター (そしてアプリケーション) をリストアップする必要があります。つまり、企業のネットワークに属するコンピューターの IP アドレス (またはサブネット) の一覧と、VPN を介して実行させたいソフトウェア製品やサービスの一覧も必要です。

企業のネットワーク内のシステムと IBM Cloud の VLAN でホストされるシステムとの間でネットワーク・トラフィックが適切にルーティングされるように、VPN トンネルの両サイドの VPN エンドポイントでIP アドレスまたはサブネットが必要です。このことを、ファイアウォールに対して「暗号化ドメインを設定する」と呼ぶのを皆さんも聞いたことがあるかもしれません。

また、ファイアウォールの適切なネットワーク・ポートを開けるように、VPN を介して使用する予定のサービスや製品の一覧も必要です。ファイアウォールの適切なネットワーク・ポートが開いていないと、企業のネットワーク内のシステムへのトラフィックはファイアウォールでブロックされ、想定どおりに統合して利用することができなくなります (「付録 B」には、一般的な IBM 製品やサービスをサポートするために開く必要のあるポートの一覧を挙げてあります)。

企業のポリシーとして、外部システム (IBM Cloud など) に接続されるネットワークを企業のネットワークの他の部分から分離するように要求される場合があることを忘れないでください。企業のネットワーク内のシステムのうち、IBM Cloud システムと接続して使用するシステムを特定する際、VPN が適切に構成された場合にそれらのシステムに実際にアクセスすることができるのかどうか、以下のようにして確認する必要があります。

  • 使用するシステムへのアクセスを制限する分離ポリシーやルーティング・ポリシーがないかどうか担当者に尋ねる。
  • 企業の中で、ネットワーク管理者やセキュリティー担当者と協力し、接続性についての潜在的な問題を解決しておく。

以下に挙げるのはクラウド・システムから実行すると便利と思われる種類のサーバーの一部です。

  • Domain Name Server
  • LDAP サーバー (クラウド内の製品へのログインを設定するため)
  • SMTP サーバー (IBM 製品から E メール通知を行えるようにするため)
  • Rational Functional Tester や Rational Performance Tester などの自動テスト・ツールを実行するコンピューター (これらのツールを Rational Quality Manager の IBM Cloud インスタンスに統合する必要があります)
  • Rational Build Forge コンソール、または Build Forge エージェントを実行するコンピューター
  • IBM Cloud インスタンスとの統合対象としてデプロイされた Rational ツール (例えば Rational RequisitePro、DOORS、ClearQuest など)
  • IBM Cloud インスタンスとの統合対象としてデプロイされた IBM 製品 (例えばクラウド内の Rational Quality Manager をクラウドにデプロイされた Tivoli Provisioning Manager と統合することができます)

ネットワーク・ポートの要件: クラウドと企業のネットワークとの間で具体的にどんな統合を実現するのか
先ほどのセクションの「インフラストラクチャーに対する要件」で触れたように、具体的な統合を実現するためには個々の製品のドキュメントを十分に読み、どのネットワーク・ポートが利用でき、その要件は何であるかを明らかにする必要があります。そのための出発点として、一般的なアプリケーションで使用されるポートの一覧を挙げた「付録 B」の表を参照してください。


問題点と制約事項

適切な計画を立てるためには、使用する予定のシステムでどんなことができ、どんなことができないのかを理解する必要があります。それを頭に入れた上で、IBM Cloud 環境で VPN/VLAN 接続を実現する上で影響する可能性のある既知の問題点と制約事項について簡単に説明しておきましょう。こうした問題点や制約事項には以下に挙げるものが含まれています。

  • VLAN 内のクラウド・インスタンスはインターネットにアクセスすることができない。
  • プライベート VLAN にデプロイされたクラウド・インスタンスに適切にホスト名が割り当てられない。
  • SMTP でメールをルーティングするためにはクラウドの IP アドレスを企業の DNS に登録する必要がある。
  • Rational Build Forge のイメージから Rational License Server に接続することができない。

VLAN 内のクラウド・インスタンスはインターネットにアクセスすることができない

プライベート VLAN を使用する上での 1 つの制約として、VLAN にデプロイされた IBM Cloud インスタンスはインターネットから隔離され、それは上り/下りの双方向に及びます。プライベート VLAN 上のインスタンスはインターネットから見えず、またプライベート VLAN 上のインスタンスはインターネットにアクセスすることができません。つまり、プライベート VLAN 上の IBM Cloud インスタンスは VPN 経由の通信しかできず、また企業のネットワーク内のシステムにしかアクセスすることができません。

この制約の一例として、VLAN 内から www.ibm.com にアクセスすることはできません。つまり、IBM Cloud 内で実行される IBM 製品の更新が必要な場合に直接 ibm.com を利用することができません。企業のネットワーク内のシステムにパッチや更新をダウンロードした後、クラウド内のシステムにパッチや更新をコピーする必要があります。

プライベート VLAN にデプロイされたクラウド・インスタンスに適切にホスト名が割り当てられない

プライベート VLAN 上にクラウド・インスタンスを作成する場合、そのインスタンスのホスト名が適切に設定されません。インスタンスには、そのインスタンスの IP アドレスに基づく任意の名前が割り当てられます。そのため、クラウドの VLAN で使用されるネットワーク・アドレスに対するホスト名を企業の DNS に登録しても、それらのホスト名がクラウド・インスタンスに自動的に割り当てられるわけではありません。

クラウド・インスタンスを VLAN にデプロイした後、手作業で /etc/hosts ファイルを編集し、企業の DNS サーバーに登録された名前にホスト名を変更する必要があります。

この対策を適用せず、(ホスト名ではなく) IP アドレスのみを使用してクラウド・インスタンスにアクセスする方法を選択する場合、一部の IBM 製品の機能が適切に動作しない場合があることを頭に入れておいてください。例えば、IBM Cloud インスタンスのホスト名が企業の DNS に登録されていない場合、Rational Quality Manager、Rational Team Concert、Rational Requirements Composer の成果物間のリンクをサポートする統合機能は動作しません。

SMTP でメールをルーティングするためには IBM Cloud の IP アドレスを企業の DNS に登録する必要がある

IBM Cloud インスタンスから企業の E メール・サーバーを介してメールを送信しようとする場合、IBM Cloud の VLAN に割り当てられた IP アドレスを企業の DNS サーバーに登録する必要があるかもしれないことに注意してください。一部の SMTP サーバーは E メールを送信するマシンの IP アドレスに関して DNS の逆引きを実行し、その E メールを送信するコンピューターが DNS サーバーに登録されていない場合にはその E メールを拒否します。これはスパムが生成されるのを防ぐための手段です。

Rational Build Forge のイメージから Rational License Server に接続することができない

Rational Build Forge 7.1.1.3 のクラウド・イメージは VPN をまたいで Rational License Server を使用するように再構成することができません。これは欠陥であり、Build Forge のクラウド・イメージの今後のリリースで修正される予定です。

この問題には対策があります。Build Forge のインスタンスをデプロイした後、SSH を使用してそのインスタンスにログインし、以下のコマンドを入力します。

cd /opt/buildforge_711/server/tomcat/webapps/rbf-services/bin
sudo chmod 777 *

そして Rational Build Forge を再起動します。


基本的なトラブルシューティング

VLAN/VPN を構成する際に最も起こりがちな問題は接続性に関する問題です。接続性に関する問題は通常、エラー・ログにタイムアウトが記録されたり、場合によるとユーザー・インターフェースにエラー・メッセージが表示されたりすることで明らかになります。

ping を使用したトラブルシューティング

VPN 管理者 (または IBM) に連絡する前に、以下のようなステップを実行することで問題を切り分けることができます。

  1. クラウドに対して ping を実行する
  2. 対象とするポートに接続する

では、もう少し詳しく説明しましょう。

  1. 使おうとしているマシンに対して基本的な ping を実行してみます。企業のネットワーク内のマシンから IBM Cloud インスタンスに対してと、クラウド・インスタンスから企業のネットワーク内のマシンに対しては ping を実行できるはずです。ping が失敗する場合や、企業のネットワークから SSH を使用して IBM Cloud システムにログインすることができない場合には、おそらく VPN トンネルの構成に問題があります。
  2. ping が成功する場合には、(IBM Cloud インスタンス上で稼働する) ターゲット・コンピューターの対象ポートに以下の telnet コマンドを使用して接続してみます。
    telnet target_ip_address port

    このコマンドによってハングアップする場合、またはエラーが発生する場合には、そのポートのトラフィックをファイアウォールがブロックしている可能性があります。
  3. まず、ターゲット・マシンにログインしてローカルで telnet を試し、指定されたポートを何かがリッスンしているかどうかを確認します。それがローカルでは成功するもののリモートでは成功しない場合には、企業のサーバー上に設けられたファイアウォールがトラフィックをブロックしていないかどうかを調べます。IBM Cloud システムの場合、以下のコマンドを入力すると一時的にファイアウォールを無効にすることができます。
    sudo /sbin/service iptables stop
  4. ファイアウォールを無効にすると接続できる場合には、システムのファイアウォールのルールを調整し、トラフィックが通過できるようにします。
  5. ファイアウォールを無効にしても接続できない場合には、VPN やファイアウォールの構成を調整し、必要なポートを開く必要があります。
  6. telnet がローカルでも機能しない場合には、そのポートをリッスンしているものがありません。必要なソフトウェアを起動し、ステップ 2 の最初から繰り返します。

netstat を使用したトラブルシューティング

もう 1 つの有効な診断ツールが netstat です。コマンド netstat -a を実行すると、接続の一覧が (ポート番号を含めて) 表示されます。この一覧を見ると、どの接続が正常であるかがわかります。netstat でエラーが出力される場合も DNS の構成に問題がある可能性があります。

以下のリストは telnet コマンドが失敗する場合と成功する場合に表示される内容を示しています。

telnet コマンドが失敗してエラーが出力される場合
[root@cloudvpntest3 ~]# telnet 10.128.0.3 54000
Trying 10.128.0.3...
telnet: connect to address 10.128.0.3: Connection timed out
telnet: Unable to connect to remote host: Connection timed out
telnet コマンドが成功してメッセージが出力される場合
[root@cloudvpntest3 ~]# telnet 10.128.0.3 2049
Trying 10.128.0.3...
Connected to cloudvlan3.bcsdc.lexington.ibm.com (10.128.0.3).
Escape character is '^]'.

SMTP サーバーを介して IBM Cloud インスタンスから E メールを送信する際に問題が起こる場合や、IBM Cloud インスタンス内で実行するアプリケーション間の統合機能を構成する際に問題が起こる場合には、DNS の構成に問題がある可能性があります。

DNS の構成を調べるためには以下の内容を実行します。

  1. IBM Cloud インスタンスにログインし、/etc/resolv.conf ファイルを調べます。このファイルには、企業の DNS サーバーの IP アドレスとドメイン・サフィックスが含まれているはずであり、これらをクラウドのホスト名に追加する必要があります。IBM Cloud インスタンスから各 DNS サーバーに ping を実行できること、またドメイン名が想定どおりであることを確認します。
  2. IBM Cloud インスタンスに割り当てられた IP アドレスが企業の DNS サーバーに適切に登録されているかどうか、以下のようにして確認します。
    nslookup cloud_instance_ip -

    このコマンドの出力として、この IP アドレスに割り当てられているホスト名が表示されるはずです。もし「** server can't find 3.1.128.10.in-addr.arpa.: NXDOMAIN」のような内容が表示される場合には、IBM Cloud の IP アドレスの範囲が企業の DNS サーバーに適切に登録されていないことになります。その場合、DNS 管理者と協力し、DNS サーバーへの登録を行う必要があります。
  3. nslookup によって適切なホスト名が返される場合には、/etc/hosts ファイルを調べ、IBM Cloud インスタンスが適切なホスト名を使用して構成されているかどうかを確認します。/etc/hosts の中にあるホスト名が nslookup によって返されるホスト名と一致しない場合には /etc/hosts の値を修正します。

まとめ

この記事では、IBM Cloud の VPN/VLAN 機能のアーキテクチャーの概要を示し、この機能を利用して企業のネットワークを IBM Cloud に拡張する方法を説明しました。また、設計、インフラストラクチャー、計画に関して考慮が必要な事項の例として、ファイアウォールの設定、ネットワーク遅延、対象となるアプリケーションとシステムの特定、ポートの割り当て、そして IBM Cloud に対して VPN トンネルを張る前に必要となる VPN 暗号化パラメーターについて説明しました。

さらに、IBM Cloud の VPN/VLAN 機能の既知の制約事項に対する詳細な対策や、VPN クラウドをセットアップする際の基本的なトラブルシューティングの 2 つの方法も説明しました。この後の付録 A には、IBM Cloud で VPN/VLAN 機能と Rational 製品を使用することによってのみ実現可能な実際のシナリオをいくつかリストアップしました。

これらの情報を活用して皆さんの企業のネットワーク技術者と協力することで、企業のネットワークを安全かつ効率的な方法で IBM Cloud に拡張可能な VPN/VLAN のセットアップを開始できるはずです。


付録 A: クラウドでの Rational のシナリオの例

IBM Cloud のイメージ・カタログには Rational 製品のイメージがいくつか含まれています (Rational Team Concert、Rational Quality Manager、Rational Build Forge、Rational Requirements Composer、Rational Asset Manager など)。これらのイメージをプライベート VLAN にデプロイすると、Rational のクラウド・インスタンスは企業のネットワーク内のマシンに接続することができます。そのため、VPN/VLAN 機能がない場合には不可能な、以下のような新たな使い方ができるようになります。

  • 企業の LDAP サーバーを使用して認証を行えるように Rational 製品を設定することができ、Rational クラウド・サーバーごとにローカルでユーザー・アカウントを作成する必要がなくなります。
  • E メール通知機能を有効にし、企業の SMTP サーバーを介して E メールをルーティングすることができます。
  • 企業の Rational ライセンス・サーバーを使用するように Rational Build Forge と Rational Asset Manager のクラウド・インスタンスを設定することができます。

また、クラウド内の Rational 製品と、クラウド外にある企業のネットワーク上で実行される他の製品とを統合することもできます。統合のシナリオには以下のような例が考えられます。

  • 企業のネットワーク内のマシン上で実行される Rational Functional Tester や Rational Performance Tester などの自動テスト・ツールを使用し、クラウド内の Rational Quality Manager から自動テストを起動する。
  • 企業のネットワークにデプロイされた RequisitePro や DOORs とクラウド内の Rational Requirements Composer サーバーとを統合する。
  • クラウド内の Build Forge コンソールを使用して企業のネットワーク内のエージェント・システム上でジョブを実行し、エージェント・システムが ClearCase システムや ClearQuest システムにアクセスできるようにする。
  • 企業のネットワーク内で実行される Build Forge コンソールからクラウド内の Build Forge エージェントを使用してジョブを実行する。
  • VPN を介してデータを転送するコネクターを使用することにより、Rational Team Concert のクラウド・インスタンスを企業の ClearCase システムや ClearQuest システムと統合する。
  • 企業のネットワークにデプロイされてホストされている Rational 製品と Rational Quality Manager のクラウド・インスタンスとを統合する。

付録 B: アプリケーションが使用するファイアウォールのポート

IBM 製品はいくつかの異なるポートを通じてネットワーク・トラフィックを送信します。そのため、VPN/VLAN 構成のクラウド内の IBM 製品を使用できるようにするには、トラフィックがファイアウォールを通過できるようにファイアウォールのポートを構成する必要があります。

構成によっては、ファイアウォールによる保護には複数のレイヤーが存在する場合があることを忘れないでください。そのため、場合によると複数の場所でポートを開く必要があるかもしれません (例えば、VPN のファイアウォールと、ユーザーのシステム上で設定されているクライアント・サイドのファイアウォール、そしてクラウド・インスタンス上で設定されているクライアント・サイドのファイアウォールなど)。

表 2 は一般的なアプリケーションで使用されるポートをまとめたものです。この表はすべてを網羅したものではないので、詳細については製品のドキュメントを参照してください。

表 2. 一般的なアプリケーションで使用されるポート
製品と機能ポート
SSH (ファイル・コピー・サービスとリモート実行サービス)22
Rational 製品でホストされるコアとなる Web サービスへのアクセス、または WebSphere Application Servers へのアクセス80
443
8080
8090
9043
9044
9060
9061
9080
9081
9443
9444
SMTP (メール・ルーティング・サーバーへのアクセス)25
Rational Asset Manager9445, 9446
LDAP サーバー (Tivoli Directory Server など)389, 636
Rational License Server27000
270011
Rational Build Forge コンソール8443, 3966
Rational Build Forge エージェント5555, 5556
VNC (リモート・デスクトップからクラウド・インスタンスへのアクセス)5801, 5901
Rational RequisitePro (Web アクセス)11080
Rational Performance Tester10002
10003
10005
10006
12000-12200 の範囲
NFS (Network File System) からクラウド・インスタンスへのアクセス111
2049
32803
32769
892
875
662
20202
Rational ClearCaseポート 371 (tcp と udp) 3
IBM DB2500004

1 Rational License Server のデフォルトのポートは 27000 と 27001 ですが、これらのポート番号はライセンス・データ・ファイルの中で変更される場合があります。これらのポートを通じて Rational ライセンス・サーバーに接続する際に問題が発生する場合には、ライセンス・データ・ファイルを調べ、デフォルトのポートが変更されていないかどうかを確認してください。

2 IBM Cloud インスタンスでは Network File System はデフォルトで無効にされます。NFS を使用してクラウド・インスタンス上のファイルシステムにアクセスするためには、一連の静的なポートを使用するように NFS プロトコルを構成した上で、ファイアウォールでは TCP トラフィックと UDP トラフィックの両方に対し、それらのポートを開く必要があります。/etc/sysconfig/nfs を編集し、LOCKD_TCPPORTLOCKD_UDPPORTMOUNTD_PORTRQUOTAD_PORTSTATD_PORTSTATD_OUTGOING_PORT の行からコメントを削除します。これらの NFS ポートは /etc/sysconfig/nsf ではデフォルトで使用するように構成されています。必要な場合は他のポートを使用することもできますが、その場合は必ずファイアウォールでそれらのポートを開く必要があります。IBM Cloud インスタンスで NFS サーバーを起動するためには、コマンドとして sudo /etc/init.d/nfs start を実行します (また、IBM Cloud インスタンス上に配置されたファイアウォールを NFS トラフィックが通るように、 /etc/iptables を更新する必要があります)。

3 企業のファイアウォールをまたぐ場合、Rational ClearCase の機能は限定されます。詳細については About Firewalls and ClearCase の Technote を参照してください。

4 IBM DB2 はデフォルトでポート 50000 を使用しますが、このポートは変更することができます。IBM Cloud 内の DB2 インスタンスに接続する場合には、そのインスタンスが使用しているポートを調べてください。

参考文献

学ぶために

製品や技術を入手するために

  • IBM SmartCloud Enterprise で利用可能な製品イメージを調べてみてください。

議論するために

コメント

developerWorks: サイン・イン

必須フィールドは(*)で示されます。


IBM ID が必要ですか?
IBM IDをお忘れですか?


パスワードをお忘れですか?
パスワードの変更

「送信する」をクリックすることにより、お客様は developerWorks のご使用条件に同意したことになります。 ご使用条件を読む

 


お客様が developerWorks に初めてサインインすると、お客様のプロフィールが作成されます。会社名を非表示とする選択を行わない限り、プロフィール内の情報(名前、国/地域や会社名)は公開され、投稿するコンテンツと一緒に表示されますが、いつでもこれらの情報を更新できます。

送信されたすべての情報は安全です。

ディスプレイ・ネームを選択してください



developerWorks に初めてサインインするとプロフィールが作成されますので、その際にディスプレイ・ネームを選択する必要があります。ディスプレイ・ネームは、お客様が developerWorks に投稿するコンテンツと一緒に表示されます。

ディスプレイ・ネームは、3文字から31文字の範囲で指定し、かつ developerWorks コミュニティーでユニークである必要があります。また、プライバシー上の理由でお客様の電子メール・アドレスは使用しないでください。

必須フィールドは(*)で示されます。

3文字から31文字の範囲で指定し

「送信する」をクリックすることにより、お客様は developerWorks のご使用条件に同意したことになります。 ご使用条件を読む

 


送信されたすべての情報は安全です。


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=60
Zone=Cloud computing, Rational
ArticleID=780415
ArticleTitle=IBM Cloud を利用して企業のネットワークを拡張する
publish-date=12162011