IBM SmartCloud Enterprise についてのヒント: 別々の VLAN にまたがる

パブリック VLAN とプライベート VLAN にまたがるインスタンスをプロビジョニングし、構成する

IBM SmartCloud Enterprise のリリース 1.4 で追加された新機能の 1 つに、1 つのインスタンスがプライマリー TCP/IP アドレスとセカンダリー TCP/IP アドレスを別々の VLAN (Virtual Local Area Network) 上に持つことができる機能があります。この機能により、インターネットからアクセスできるパブリック VLAN と (オプションの VPN (Virtual Private Network) によって確立された) 企業アカウントのプライベート VLAN とにまたがるインスタンスをプロビジョニングし、構成することができます。この記事では、これらの機能について説明します。

Dominique Vernier, IT Architect, IBM

Dominique Vernier photoここ数年、Dominique Vernier は Java 技術とクラウド・アーキテクチャーを中心とした業務を行っています。また彼は非常に長く情報技術に従事しており、メッセージング、データベース、SOA、EAI、クライアント/サーバー、C/C++、既存フレームワークなどに関して幅広い知識を得ています。また彼は、通信、CRM、ロジスティクス、保険などの業界にも幅広い知識を持っています。彼はステート・エンジンとリソース管理に関する 4 件の特許と共同特許を持っています。現在は South-West Europe Cloud Center of Excellence で、プライベートおよびパブリック・ソリューションのための Smart Business Development and Test Cloud に従事しています。


developerWorks 貢献著者レベル

Andrew Jones, Senior Solution Architect, IBM

Andrew R. Jones photoAndrew R. Jones は IBM で 22 年を超える経験を持つシニア・ソリューション・アーキテクトです。彼は過去 16 年、クラウド・コンピューティング、通信、ワイヤレス技術、ネットワーク・コンピューターにおける IBM のミドルウェア・ソリューション実現のために、顧客やビジネス・パートナーへの協力を行ってきました。彼は IBM Master Inventor であり、IBM 認定 IT アーキテクトでもあります。



2011年 10月 28日

この記事では、IBM SmartCloud Enterprise のインスタンスをプロビジョニングする方法として、クラウド環境内にあってインターネットから接続できる VLAN (Virtual Local Area Network) とクラウド環境内にあるプライベート VLAN にまたがるように、つまり 2 つの VLAN をブリッジ接続するようにプロビジョニングする方法について説明します。また、この新機能を活用する典型的な使い方として、パブリック・クラウド環境にデプロイする場合にネットワーク・レベルで高度な分離とセキュリティーを実現する方法についても詳しく見ていきます。

IBM Cloud 環境で提供される、別々の VLAN にまたがるインスタンスを実現できる機能は、セキュリティーに影響を及ぼすこと、そしてそのことをユーザーが十分に理解している必要があること、この 2 点を認識しておくことが重要です。この記事の目的は、別々の VLAN にまたがることができる機能と、それによって何が可能になるかを説明することです。皆さんはクラウドにデプロイされるアーキテクチャーと、そのデプロイメントに関するすべてのセキュリティー要件について十分に理解し、保護する必要があるデータ (機密の企業情報、顧客情報、クレジットカード番号、住所など) が公開されることのないようにしなければなりません。

基本となる概念

IBM SmartCloud Enterprise は、エンタープライズ・クラスの仮想サーバー・クラウド環境を提供する IaaS (Infrastructure as a Service) です。仮想マシン・インスタンスをプロビジョニングする際には、インターネットからアクセスできる TCP/IP ネットワーク・アドレスが、デフォルトで使用されます。

企業はオプションで VPN (Virtual Private Network) にサインアップすることもできます。オプションの VPN により、IBM Cloud データ・センターの 1 つと企業のネットワークとの間に、IP セキュリティーを備えた (IPSec ベースの) ポイント・ツー・ポイントの通信チャネルを提供することができます。VPN 経由のネットワーク通信は相変わらずパブリック・ネットワークであるインターネット上で行われますが、企業のネットワークまたは IBM Cloud ネットワークから送信される前に暗号化され、企業のネットワークまたは IBM Cloud ネットワークで受信されると復号化されるため、セキュアなデータ通信を実現することができます。

セカンダリー IP アドレス

新たにプロビジョニングされたインスタンス上のセカンダリー IP アドレスはすべて、デフォルトで無効になっています。インスタンスの所有者は、そのインスタンスのオペレーティング・システムのネットワーク・ツールを使用して、すべてのセカンダリー IP アドレスを有効にする必要があります。Linux インスタンスでセカンダリー IP アドレスを有効にする方法については、IBM SmartCloud Enterprise User's Guide の「Working with your Linux instances」セクションのトピック「Activating Secondary IPs」を参照してください。Windows インスタンスでセカンダリー IP アドレスを有効にする方法については、IBM SmartCloud Enterprise User's Guide の「Working with your Windows instances」セクションのトピック「Managing network adapter settings」を参照してください。

企業アカウントに対して IBM Cloud 環境で VPN が確立されると、そのアカウントに対し、プライベート VLAN (Virtual Local Area Network) もプロビジョニングされます。この VLAN では、VLAN 上にプロビジョニングされたインスタンスに対し、ネットワークを分離するためのレイヤーが追加されます。VPN オプションを持つ企業アカウントのユーザーは、インターネットからアクセスできるパブリック VLAN 上か VPN からアクセスできるプライベート VLAN 上に、新しいインスタンスをプロビジョニングすることができます。

かなり以前より、IBM Cloud 環境のインスタンスは 1 つのプライマリー IP アドレスと最大 2 つのセカンダリー IP アドレスの両方を使用してプロビジョニングできるようになっていますが、プライマリー IP アドレスとセカンダリー IP アドレスは共に同じ VLAN 上になければなりませんでした (すべてがパブリック VLAN 上にある、もしくはすべてがプライベート VLAN 上にあることが要求されました)。しかし、IBM SmartCloud Enterprise のリリース 1.4 では、セカンダリー IP アドレスは 2 つまでという制限がなくなったことに加え、すべてのアドレスが同じ VLAN 上になければならないという制限もなくなっています。

リリース 1.4 では、新しいインスタンスをプロビジョニングする際に、ユーザーはプライマリー IP アドレスをパブリック VLAN またはプライベート VLAN のアドレス・プール (予約済みと予約なしの両方) から選択することができ、セカンダリー IP アドレスをパブリック VLAN またはプライベート VLAN のアドレス・プール (予約済み IP アドレス) から 1 つ以上選択できるようになっています。


VLAN をまたがる

パブリック VLAN とプライベート VLAN とにまたがるインスタンス、つまりパブリック VLAN とプライベート VLAN とをブリッジ接続するインスタンスを作成するためには、そのインスタンスのプライマリー IP アドレスをパブリック VLAN 上に置くのかプライベート VLAN 上に置くのかを最初に決める必要があります。図 1 を見るとわかるように、そのためには、「Add instance (インスタンスを追加)」プロセスのステップ 2 の VLAN プルダウン・メニューから、適切な VLAN (例えば、パブリック VLAN であれば、「Public Internet (パブリック・インターネット)」) を選択します。

図 1. プライマリー IP アドレスを構成する
プライマリー IP アドレスを構成する

インスタンスが最初にプロビジョニングされた時点では、利用できる唯一のネットワーク・インターフェースはプライマリー IP アドレスのみなので、どちらの VLAN にプライマリー IP アドレスを置くかの選択は重要です。いったん VLAN が選択されると、プライマリー IP アドレスのプルダウンには、選択された VLAN に対してシステムが生成する IP アドレスのプールまたは予約済み IP アドレスのプールから、IP アドレスが追加されます。

プライマリー IP アドレスを選択したら、次に「Virtual IP (仮想 IP)」入力フィールドの横にある「Add IP (IP を追加)」リンクを選択します。図 2 を見るとわかるように、仮想 (つまりセカンダリー) IP アドレスを割り当てる際には、まず、先ほどのステップで選択したのとは別の VLAN (例えば「Private VLAN Ehningen (プライベート VLAN Ehningen)」など) を選択した後、予約済みの適切な IP アドレスを選択します。

図 2. セカンダリー IP アドレスを構成する
セカンダリー IP アドレスを構成する

セカンダリー IP アドレスとして割り当て可能なのは、予約済みの IP アドレスのみであることに注意してください。

このインスタンスのプロビジョニング・プロセスが完了すると、このインスタンスにはプライマリー IP アドレスを介してしかアクセスすることができなくなります。

適切な方法で (Linux の ssh や Microsoft Windows の RDP などで) このインスタンスにアクセスし、次のステップとしてセカンダリー IP インターフェースを有効にします。このプロセスは、そのインスタンスにどのオペレーティング・システムがインストールされているかによって異なります (Linux の場合は ifup、Microsoft Windows の場合はコントロール パネルを使用します)。

これで両方のネットワーク・インターフェースが有効になったので、このインスタンスはプライベート VLAN とパブリック VLAN の両方で通信 (送信と受信) を行うことができます。


インスタンスの接続性

1 つのインスタンスがパブリック VLAN とプライベート VLAN 両方の IP アドレスを持つことができると、クラウド・コンピューティングの可能性が広がります。図 3 では、IBM SmartCloud Enterprise 内でオプションとして VPN を持つ 1 つのアカウントに対し、4 つのインスタンスが構成されています。

図 3. IBM SmartCloud Enterprise のネットワーク・オプション
IBM SmartCloud Enterprise のネットワーク・オプション

PrivateOnly という名前のインスタンスは、VPN オプションを利用するプライベート VLAN に割り当てられたプライマリー IP アドレスのみを使用して構成されています。このインスタンスにアクセスできるのは、プライベート VLAN 上にある他のインスタンス、または VPN 経由で接続された企業ネットワーク上のインスタンスのみです。このインスタンスからのネットワーク・トラフィックのうち、プライベート VLAN 上をローカルにルーティングされないトラフィックは、すべてが VPN 経由で企業側の VPN ゲートウェイに送信された後、ルーティングされます。

PrivateSpanToPublic という名前のインスタンスは、プライベート VLAN のプライマリー IP アドレスとパブリック VLAN のセカンダリー IP アドレスの両方を使用して構成されます。セカンダリー IP アドレスが有効になると、このインスタンスはプライベート VLAN とインターネットから接続できるパブリック VLAN の両方で通信できるようになります。このインスタンスからのネットワーク・トラフィックのうち、プライベート VLAN またはパブリック VLAN 上をローカルにルーティングされないトラフィックは、すべてが VPN 経由で企業側の VPN ゲートウェイに送信された後、ルーティングされます。

PublicOnly という名前のインスタンスは、インターネットから接続できるパブリック VLAN に割り当てられたプライマリー IP アドレスのみを使用して構成されます。このインスタンスはパブリック VLAN 上のすべてのインスタンスにインターネット経由でアクセスすることができます。

PublicSpanToPrivate という名前のインスタンスは、インターネットから接続できるパブリック VLAN のプライマリー IP アドレスとプライベート VLAN のセカンダリー IP アドレスを使用して構成されます。セカンダリー IP アドレスが有効になると、このインスタンスはインターネットから接続できるパブリック VLAN とプライベート VLAN の両方で通信できるようになります。このインスタンスからのネットワーク・トラフィックのうち、プライベート VLAN またはパブリック VLAN 上をローカルにルーティングされないトラフィックは、すべてが VPN 経由で企業側の VPN ゲートウェイに送信された後、ルーティングされます。

これらのインスタンスのネットワーク接続性を詳しく説明したものが表 1 です。

表 1. 各インスタンス間のネットワーク接続性
PrivateOnly プライマリー: プライベート 10.128.0.8PublicOnly プライマリー: パブリック 129.35.213.128PrivateSpanToPublic プライマリー: プライベート 10.128.0.2PrivateSpanToPublic セカンダリー: パブリック 129.35.209.254PublicSpanToPrivate プライマリー: パブリック 129.35.213.127PublicSpanToPrivate セカンダリー: プライベート 10.128.0.6
PrivateOnly
プライマリー: プライベート 10.128.0.8
到達可能到達不能到達可能到達不能到達不能到達可能
PublicOnly
プライマリー: パブリック 129.35.213.128
到達不能到達可能到達不能到達可能到達可能到達不能
PrivateSpanToPublic
プライマリー: プライベート 10.128.0.2
到達可能到達可能到達可能到達可能到達可能到達可能
PrivateSpanToPublic
セカンダリー: パブリック 129.35.209.254
到達可能到達可能到達可能到達可能到達可能到達可能
PublicSpanToPrivate
プライマリー: パブリック 129.35.213.127
到達可能到達可能到達可能到達可能到達可能到達可能
PublicSpanToPrivate
セカンダリー: プライベート 10.128.0.6
到達可能到達可能到達可能到達可能到達可能到達可能

最初の列にあるインスタンスのネットワーク・インターフェースが、最初の行にある別のインスタンスの特定のネットワーク・アドレスに ping を実行できる場合、そのパスを「到達可能」と表現し、そのアドレスにルーティングできない場合には、そのパスを「到達不能」と表現してあります。

実際の使い方

パブリック VLAN とプライベート VLAN の両方にまたがって複数のホーム・ネットワークを持つインスタンスを作成できる新機能によって、n 階層のデプロイメントを実現することができます。一例として、HTTP サーバー、アプリケーション・サーバー、データベース・サーバーという 3 階層の基本的なデプロイメントを考えてみましょう。

従来のデプロイメントでは、これらの各サーバーはルーターやファイアウォールによって互いに論理的に分離され、それによってネットワークの接続性やサーバーへのアクセスを制限することができます。各サーバーへのアクセスを分離することにより、より高度なセキュリティーをインフラストラクチャーに課すことができ、ネットワーク・ベースの侵入や DoS (サービス拒否) 攻撃を防ぐことができます。

別々の VLAN をまたぐことができる IBM SmartCloud Enterprise の機能を組み合わせ、(仮想インスタンスのオペレーティング・システムやサードパーティーのソリューションによって提供される) ファイアウォールを使用することで、これと同様のデプロイメントをクラウド内に実現することができます。

この 3 階層のデプロイメントを IBM Cloud 環境に実現するための 1 つの方法を説明したものが図 4 です。

図 4. クラウド内で 3 階層のデプロイメントを実現する
クラウド内で 3 階層のデプロイメントを実現する

このデプロイメントでは、HTTP サーバーがデプロイされているインスタンスはパブリック VLAN のプライマリー IP アドレスのみを持っています。この HTTP サーバー・インスタンスのファイアウォールは、HTTP トラフィック (ポート 80 など) を受け付けるように構成する必要があります。アプリケーション・サーバーによる処理を必要とするパスへとマッピングされる URL に対するリクエストは、パブリック VLAN 上にあるアプリケーション・サーバーのセカンダリー IP アドレスに転送されます。アプリケーション・サーバーのファイアウォールは、その HTTP サーバーの特定の IP アドレスからパブリック VLAN 経由で転送されるネットワーク・トラフィックのみを受け付けるように構成する必要があります。セカンダリー IP アドレスに対する他のネットワーク・トラフィック (ssh によるアクセスのためのポート 22 など) は、すべてブロックする必要があります。

クラウド内で実現されるこのタイプのデプロイメントに代わる方法はいくつかあります。例えば、パブリック VLAN とプライベート VLAN にまたがるように HTTP サーバーのインスタンスを設定する方法があります。この実装の欠点は、HTTP サーバーの IP アドレスとして通知されるアドレスが、パブリック VLAN とプライベート VLAN とに直接またがるインスタンス上にある点です。HTTP サーバーがセキュリティー侵害を受けた場合、プライベート VLAN 上のそのインスタンスと他のインスタンスとの間に、侵害が広がるのを防ぐ手段がありません。

別の実装として、データベース・サーバーを企業ネットワーク内に配置する方法があります。この場合には、データベースへのネットワーク・トラフィックが VPN トンネル経由でクラウド内のアプリケーション・サーバーとの間で交換されるように、企業の VPN ゲートウェイやファイアウォールを構成する必要があります (例えば JDBC トラフィックをポート 50000 経由にするなど)。

ファイアウォールのルール

パブリック VLAN とプライベート VLAN とにまたがってインスタンスを使用するデプロイメントでは、ファイアウォールを利用することが極めて重要です。クラウド内で n 階層のデプロイメントをセキュアに行うためには、ファイアウォールを適切に構成することが不可欠です。IBM SmartCloud Enterprise 環境でのファイアウォールの構成方法に関する詳細は、IBM SmartCloud Enterprise User's Guide と、皆さんが使用しているオペレーティング・システムのファイアウォールのドキュメントを参照してください。

参考文献

学ぶために

製品や技術を入手するために

  • IBM SmartCloud Enterprise で利用可能な製品イメージを調べてみてください。

議論するために

コメント

developerWorks: サイン・イン

必須フィールドは(*)で示されます。


IBM ID が必要ですか?
IBM IDをお忘れですか?


パスワードをお忘れですか?
パスワードの変更

「送信する」をクリックすることにより、お客様は developerWorks のご使用条件に同意したことになります。 ご使用条件を読む

 


お客様が developerWorks に初めてサインインすると、お客様のプロフィールが作成されます。会社名を非表示とする選択を行わない限り、プロフィール内の情報(名前、国/地域や会社名)は公開され、投稿するコンテンツと一緒に表示されますが、いつでもこれらの情報を更新できます。

送信されたすべての情報は安全です。

ディスプレイ・ネームを選択してください



developerWorks に初めてサインインするとプロフィールが作成されますので、その際にディスプレイ・ネームを選択する必要があります。ディスプレイ・ネームは、お客様が developerWorks に投稿するコンテンツと一緒に表示されます。

ディスプレイ・ネームは、3文字から31文字の範囲で指定し、かつ developerWorks コミュニティーでユニークである必要があります。また、プライバシー上の理由でお客様の電子メール・アドレスは使用しないでください。

必須フィールドは(*)で示されます。

3文字から31文字の範囲で指定し

「送信する」をクリックすることにより、お客様は developerWorks のご使用条件に同意したことになります。 ご使用条件を読む

 


送信されたすべての情報は安全です。


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=60
Zone=Cloud computing
ArticleID=767272
ArticleTitle=IBM SmartCloud Enterprise についてのヒント: 別々の VLAN にまたがる
publish-date=10282011