目次


IBM SmartCloud Enterprise についてのヒント

複数の VPN と VLAN を構築する

IBM SmartCloud Enterprise 2.0 での VPN および VLAN の機能と、これらの機能によって実現可能な内容

Comments

コンテンツシリーズ

このコンテンツは全#シリーズのパート#です: IBM SmartCloud Enterprise についてのヒント

このシリーズの続きに乞うご期待。

このコンテンツはシリーズの一部分です:IBM SmartCloud Enterprise についてのヒント

このシリーズの続きに乞うご期待。

この記事では、IBM SmartCloud Enterprise バージョン 2.0 で導入された以下の 2 つの新しい機能について説明します。

  • 複数の VPN (Virtual Private Network) トンネルを設定して IBM SmartCloud Enterprise データ・センターにアクセスできる機能
  • データ・センターごとに複数の VLAN (Virtual Local Area Network) を構成できる機能

この 2 つの機能のそれぞれについて詳しく調べていきます。

IBM SmartCloud Enterprise 環境で提供されるこれらの機能はセキュリティーに影響を及ぼすこと、そしてそのことをユーザーが十分に理解している必要があること、この 2 点を認識しておくことが重要です。IBM SmartCloud Enterprise の VPN および VLAN 機能は、トランスポート拡張サービスを提供するオプション機能です。このサービスはインターネット上のネットワーク・トラフィックを暗号化することによってセキュリティーを強化するものの、完全なセキュリティー・システムを提供するものではありません。

例えば、この 2 つの機能は、お客様に必要となる可能性のあるファイアウォール機能を提供しません。また、IBM SmartCloud Enterprise インスタンス間でネットワーク・データを暗号化することもしません。

この記事の目的は、VPN および VLAN 機能と、これらの機能によって実現可能な内容を説明することです。皆さんはクラウドにデプロイされるアーキテクチャーと、そのデプロイメントに関するあらゆるセキュリティー要件を十分に理解し、保護する必要があるデータ (企業の機密情報、お客様情報、クレジットカード番号、住所など) が公開されることのないように注意しなければなりません。

基本となる概念

IBM SmartCloud Enterprise は、エンタープライズ・クラスの仮想サーバー・クラウド環境を提供する IaaS (Infrastructure as a Service) オファリングです。仮想マシン・インスタンスをプロビジョニングする際には、インターネットからアクセスできる IP ネットワーク・アドレスがデフォルトで使用されます。

企業はオプションで VPN (Virtual Private Network) の契約をすることができます。オプションの VPN により、企業のネットワークと IBM SmartCloud Enterprise データ・センターの 1 つとの間に、ポイント・ツー・ポイントの IPSec (Security Architecture for Internet Protocol) ベースの通信チャネルが提供されます。VPN 経由のネットワーク通信は引き続きパブリック・ネットワークであるインターネット上で行われますが、企業のネットワークまたは IBM SmartCloud Enterprise ネットワークから送信される前に暗号化され、このいずれかで受信された時点で復号されるため、セキュアなデータ通信を実現することができます。

デフォルトでは、企業アカウントに対して IBM SmartCloud Enterprise 環境で VPN が確立されると、そのアカウント用に 1 つのプライベート VLAN (Virtual Local Area Network) がプロビジョニングされます。このプライベート VLAN は、VLAN 上にプロビジョニングされるインスタンスに対し、ネットワークを分離するためのレイヤーを追加します。VPN オプションを契約している企業アカウントのユーザーは、インターネットからアクセスできるパブリック VLAN、または VPN からアクセスできるプライベート VLAN に新しいインスタンスをプロビジョニングすることができます。

IBM SmartCloud Enterprise では、リリース 1.4 からパブリック VLAN とプライベート VLAN にまたがるインスタンスをプロビジョニングできるようになっています。この機能について詳しくは、記事「IBM SmartCloud Enterprise についてのヒント: 別々の VLAN にまたがる」を参照してください。

IBM SmartCloud Enterprise で使用される VPN 用語の解説

技術的な問題を説明する際に、専門用語が混乱を招くことはよくあります。そのような混乱を避け、説明する機能をよく理解できるように、このセクションでは記事を通して使用するいくつかの用語の意味を明確にします。

重要な用語

最初に取り上げる用語は、「VPNE (Virtual Private Network Environment: 仮想プライベート・ネットワーク環境)」です。VPNE とは、SmartCloud Enterprise にマルチテナント型 VPN 機能を提供するために使用されている一連の仮想化技術のことです。IBM SmartCloud Enterprise の各アカウントは、さまざまなロケーションにある IBM SmartCloud Enterprise データ・センターごとにオプション VPNE を 1 つ契約することができます。現在、IBM SmartCloud Enterprise には 6 つのデータ・センターがあります。同じデータ・センター内の同じ VPNE 内にあるすべての仮想インスタンスは、互いに自由に通信することができます。お客様が契約できる VPNE の数は、IBM SmartCloud Enterprise データ・センターごとに 1 つです。

お客様それぞれの VPNE には、複数の「VPN トンネル」を含めることができます。VPN トンネルとは、お客様の企業ネットワーク内に位置して一意に決まるお客様エンドポイントと IBM SmartCloud Enterprise データ・センターの VPN コンセントレーター (複数の VPN を論理的に分離するネットワーク・デバイス) との間の暗号化された通信パスです。お客様の VPN トンネルは、そのお客様の VPNE の一部となります。IBM SmartCloud Enterprise データ・センターごとに設定できる VPN トンネルの数は最大で 5 つです。

「プライベート VLAN (Virtual Local Area Network)」とは、お客様の IBM SmartCloud Enterprise インスタンスに関連付けられたネットワーク・インターフェースを論理的なグループに分けることです。グループ内のインターフェースは、同じ「ブロードキャスト・ドメイン」を共有します (ブロードキャスト・ドメインとは、コンピューター・ネットワークの論理的な区分であり、このドメイン内のすべてのノードは、データ・リンク層でのブロードキャストによって互いを特定してやりとりすることができます)。お客様のインスタンスのうち、同じプライベート VLAN 上にネットワーク・インターフェースを持つインスタンス同士は、同じ IP サブネットを共有し、自由に通信することができます。お客様は、IBM SmartCloud Enterprise データ・センターあたり最大 5 つのプライベート VLAN を作成することができます。IBM SmartCloud Enterprise ではオプションで、VPN を使用せずにプライベート VLAN を作成することもできます。このオプションについては、後で詳しく説明します。

VPN および VLAN に対する課金

IBM SmartCloud Enterprise の VPN 機能と VLAN 機能は、いずれもこのオファリングのオプション・コンポーネントなので、追加料金が発生します。価格設定は変更される可能性があるため、IBM SmartCloud Enterprise 製品ページに掲載されている最新の料金表を参照してください。

お客様が要求できる VPNE の数は、IBM SmartCloud Enterprise データ・センターごとに 1 つです。そして、VPNE ごとに、セットアップに対する一括料金がかかります (そのなかには、1 つ目の VPN トンネルのセットアップも含まれます)。VPNE を契約するには、IBM SmartCloud Enterprise データ・センターに少なくとも 1 つのプライベート VLAN があることが要件となります。

プライベート VLAN のセットアップには一括料金がかかります。この料金に加え、各 VPNE の時間あたりの利用料金もあります。お客様がオプションで要求できる追加の VPN トンネルやプライベート VLAN の数は、データ・センターごとに最大 5 つです。プライベート VLAN を追加するごとに、一括料金が追加で必要になります。

時間が経つにつれ、VPNE の変更が必要になってくることもあります。(データ・センターごとの) VPNE を変更する場合、料金がかかります。この変更には下記の内容が 1 つ以上含まれます。

  • VPNE、VPN トンネル、またはプライベート VLAN の変更
  • VPNE の追加または変更
  • VPN トンネルの追加または変更
  • プライベート VLAN の追加または変更

VPN および VLAN のフォーム

IBM SmartCloud Enterprise に VPN や VLAN をプロビジョニングするには、これらのオプション・サービスのそれぞれに該当するフォームに入力して送信する必要があります。これらのフォームは、IBM SmartCloud Enterprise Support Community の「Files (ファイル)」セクションにあります。

VPN および VLAN オプションを要求するためのフォームには、これらのサービスを適切に確立するために必要な情報を入力します。必要なすべての情報を提供すること、そしてそれが企業ネットワークにとって正しい情報であることが非常に重要です。フォームに情報が欠けていたり、情報が誤っていたりすると、要求したネットワーク・サービスが確立されるまでに遅れが生じることになります。

以降のセクションではフォームのスクリーン・ショットを記載して、その入力方法を示します。フォームが完成したら、e-メールで devtest@us.ibm.com に送信してください。VPNE の要求を送信する場合には、「Additional Services Order」フォームも送信する必要があるのでご注意ください。このフォームは、IBM SmartCloud Enterprise Support Community にあります。

実現可能な VPN/VLAN 構成の概要

ネットワークの構成例を紹介する前に、IBM SmartCloud Enterprise リリース 2.0 の VPN および VLAN オプション・サービスで実現可能な内容を概説するために、サポートされている構成および関連する制約事項をリストアップします。まず、IBM SmartCloud Enterprise 2.0 でサポートされている構成を以下に記載します。

  • データ・センターごとに 1 つの VPNE
  • (1 データ・センターあたりの) VPNE ごとに 1 つ (必須) から 5 つの VPN トンネル
  • (1 データ・センターあたりの) VPNE ごとに 1 つ (必須) から 5 つのプライベート VLAN
  • 1 つのプライベート VLAN に対する複数の VPN トンネル
  • 複数のプライベート VLAN に対する 1 つの VPN トンネル
  • 複数のプライベート VLAN に対する複数の VPN トンネル
  • VPNE の使用の有無によらず、最大 5 つまでのプライベート VLAN

以上の構成には、以下の制約事項が課せられます。

  • サイトごとのプライベート VLAN (VPNE に関連するバージョンと VPNE に関連しないバージョンの組み合わせ) の合計数は最大 5 つに制限されます。
  • (1 データ・センターあたりの) VPNE ごとの VPN トンネルは最大 5 つに制限されます。
  • データ・センターごとの VPNE は 1 つに限られます。
  • VPNE 内のすべてのプライベート VLAN が相互に通信できるようになります。
  • VPNE 内のすべてのプライベート VLAN が、それぞれの VPNE 内にあるすべての VPN トンネルを介して通信できるようになります。
  • VPNE 内のすべての VPN トンネルが、その VPNE 内にあるすべてのプライベート VLAN と通信可能になります。
  • お客様が指定できる VPN トンネルのお客様側を表す IP サブネットは、1 つのみです。
  • 各お客様の IP サブネットは、すべてのデータ・センターのあらゆるお客様の VPNE 内に設定されているすべての VPN トンネルで一意に決まるものでなければなりません。
  • プライベート VLAN には、RFC1918 で規定されている、プライベート・インターネット用に割り当てられるアドレス (プライベート・インターネットのアドレス割り当てに関する現在のベスト・プラクティス) のみを使用することができます。どのアドレスを使用するかは、お客様が指定するか IBM によって指定されるかのいずれかです。
  • プライベート VLAN に使用するすべての (RFC1918 で規定されている) アドレスは、お客様の VLAN および VPNE 全体のなかで一意に決まるものでなければなりません。
  • プライベート VLAN に関連付けられたすべてのインスタンスのデプロビジョニング (プロビジョニングの解除) をしてからでないと、プライベート VLAN を削除することはできません。

VPNE の構成

前述のとおり、IBM SmartCloud Enterprise の VPN オプションと VLAN オプションには、さまざまな構成が考えられます。このセクションでは次の一般的な構成について、もう少し詳しく検討します。

  • 1 つの VPNE、1 つの VPN トンネル、1 つのプライベート VLAN (1:1:1)
  • 1 つの VPNE、1 つの VPN トンネル、2 つのプライベート VLAN (1:1:2)
  • 1 つの VPNE、2 つの VPN トンネル、1 つのプライベート VLAN (1:2:1)
  • 1 つの VPNE、2 つの VPN トンネル、2 つのプライベート VLAN (1:2:2)

また、上記以外の VPNE 構成例についてもいくつか検討します。

1 つの VPNE、1 つの VPN トンネル、1 つのプライベート VLAN (1:1:1)

この最も単純な構成例では、お客様 A が要求した 1 つの VPNE が、お客様の企業ネットワークと 1 つの IBM SmartCloud Enterprise データ・センターとの間に確立されています。図 1 に示されているように、お客様の VPNE には 1 つの VPN トンネルと 1 つのプライベート VLAN があります。

図 1. 1 つの VPNE、1 つの VPN トンネル、1 つのプライベート VLAN
1 つの VPNE、1 つの VPN トンネル、1 つのプライベート VLAN
1 つの VPNE、1 つの VPN トンネル、1 つのプライベート VLAN

企業ネットワークと、IBM SmartCloud Enterprise 内にプロビジョニングされたインスタンス・サブネット (VPNE) との間のネットワーク通信は、VPN トンネル 1 を介してインターネットを通過する間、暗号化されます。この確立された VPN トンネルにトラフィックをルーティングするように、企業内のマシンは適切に構成されています。これらのマシンは、ラベル「A」の通信パスを使用して、プライベート VLAN にプロビジョニングされたすべてのインスタンスと通信することができます。お客様の VPN ゲートウェイによる定義に従って、プライベート VLAN (10.10.30.0/24) に関連付けられたサブネットはお客様 A の企業ネットワークの拡張となります。

図 2 に、IBM SmartCloud Enterprise VPN フォームで図 1 の基本構成を指定している箇所を示します。

図 2. 1:1:1 構成を要求するフォーム・データ
1:1:1 構成を要求するフォーム・データ
1:1:1 構成を要求するフォーム・データ

このシナリオでは、お客様が VPNE (1 つの VPN トンネルを含む) のセットアップに対する一括料金と、1 つのプライベート VLAN のセットアップに対する一括料金を負担します。また、通常の時間あたりのインスタンス利用料金に加え、VPNE に対する時間毎料金が発生します。

1 つの VPNE、1 つの VPN トンネル、2 つのプライベート VLAN (1:1:2)

上記の構成例は、お客様 A にもう 1 つのプライベート VLAN をプロビジョニングすることで拡張することができます。図 3 のお客様の VPNE には、1 つの VPN トンネルと、今度は 2 つのプライベート VLAN が構成されています。

図 3. 1 つの VPNE、1 つの VPN トンネル、2 つのプライベート VLAN
1 つの VPNE、1 つの VPN トンネル、2 つのプライベート VLAN
1 つの VPNE、1 つの VPN トンネル、2 つのプライベート VLAN

企業ネットワークと、IBM SmartCloud Enterprise にプロビジョニングされたインスタンスとの間のネットワーク通信は、VPN トンネル 1 を介してインターネットを通過する間、暗号化されます。企業内のマシンは、この確立された VPN トンネルにトラフィックをルーティングするように適切に構成されます。これらのマシンは、プライベート VLAN 1 にプロビジョニングされたすべてのインスタンスとはラベル「A」の通信パスで通信し、プライベート VLAN 2 にプロビジョニングされたすべてのインスタンスとはラベル「B」の通信パスで通信することができます。さらに、図 3 のパス「C」で示されているように、プライベート VLAN 1 内のインスタンスはプライベート VLAN 2 内のインスタンスと自由に通信することができます。この通信パス (「C」) は VPN トンネルによる暗号化はされませんが、2 つのプライベート VLAN 間のトラフィックは VPNE 経由でルーティングされます。図には示されていませんが、この構成例を拡張して、最大 5 つの VLAN を組み込むことも可能です。

図 4 に、IBM SmartCloud Enterprise VPN フォームで 1:1:2 構成を指定している箇所を示します。

図 4. 1:1:2 構成を要求するフォーム・データ
1:1:2 構成を要求するフォーム・データ
1:1:2 構成を要求するフォーム・データ

このシナリオでは、お客様に VPNE (1 つの VPN トンネルを含む) のセットアップに対する一括料金と、2 つのプライベート VLAN それぞれのセットアップに対する一括料金が発生します。また、VPNE に対する時間毎料金も発生します。

1 つの VPNE、2 つの VPN トンネル、1 つのプライベート VLAN (1:2:1)

今度の構成例では、プライベート VLAN の数は 1 つに戻しますが、図 5 に示すように、お客様 A の VPNE に VPN トンネルをもう 1 つ追加します。この構成例では、複数のデータ・センターを持つ企業が、企業のデータ・センターごとに別個の VPN トンネルを使用して、同じ VPNE 経由で 1 つの IBM SmartCloud Enterprise データ・センターに接続することができます。

図 5. プライベート VLAN を 1 つにする一方、VPNE への VPN トンネルをもう 1 つ追加する
プライベート VLAN を 1 つにする一方、VPNE への VPN トンネルをもう 1 つ追加する
プライベート VLAN を 1 つにする一方、VPNE への VPN トンネルをもう 1 つ追加する

上図では、企業の 2 つのネットワークからのネットワーク通信が、2 つの VPN トンネルを使用して同じ 1 つの IBM SmartCloud Enterprise データ・センターと通信します。お客様 A の企業ネットワーク内に適切に構成されたマシンは、サイト 1 とサイト 2 のどちらに位置しているかに関わらず、ネットワーク・パス「A」または「B」を使用してプライベート VLAN 内のインスタンスとセキュアな通信を行うことができます。

この図には示されていませんが、この構成例を拡張して、お客様 A のロケーションと 1 つの IBM SmartCloud Enterprise データ・センターとの間に最大 5 つの VPN トンネルを設定することもできます。1 つ注意しなければならないことは、お客様 A のサイト 1 とサイト 2 との間のネットワーク・トラフィックは IBM SmartCloud Enterprise の VPNE を経由することができないという点です。お客様のサイト間でネットワーク通信を行う必要がある場合、お客様側のネットワークを利用して行えるように設定しておかなければなりません。

図 6 に、IBM SmartCloud Enterprise VPN フォームでこの構成を指定している箇所を示します。

図 6. 1:2:1 構成を要求するフォーム・データ
1:2:1 構成を要求するフォーム・データ
1:2:1 構成を要求するフォーム・データ

このシナリオでお客様が負担する料金は、VPNE (2 つの VPN トンネルを含む) のセットアップに対する一括料金と、1 つのプライベート VLAN のセットアップに対する一括料金です。2 つ目の VPN トンネルが変更として要求され、最初に VPNE を要求する時点でプロビジョニングされていない場合には、2 つ目のトンネル追加の変更要求に対して一括料金がかかります。また、VPNE に対する時間毎料金も発生します。

1 つの VPNE、2 つの VPN トンネル、2 つのプライベート VLAN (1:2:2)

ご想像のとおり、詳細を検討する最後の VPNE 関連の構成例は、2 つの VPN トンネルと 2 つのプライベート VLAN を構成するというものです (図 7 を参照)。この構成例では、複数のデータ・センターを持つ企業が、企業データ・センターごとに別個の VPN トンネルを使用して、同じ VPNE 経由で 1 つの IBM SmartCloud Enterprise データ・センターに接続できるだけでなく、複数のプライベート VLAN を定義して、クラウド環境内でさらにネットワークを分離することができます。

図 7. 2 つのトンネルと 2 つの VLAN を使用した VPNE
2 つのトンネルと 2 つの VLAN を使用した VPNE
2 つのトンネルと 2 つの VLAN を使用した VPNE

上図に示されているように、企業の 2 つのネットワークからのネットワーク通信は 2 つの VPN トンネルを使用して、1 つの IBM SmartCloud Enterprise データ・センター内にある 2 つのプライベート VLAN にプロビジョニングされたインスタンスと通信します。お客様 A の企業ネットワーク内に適切に構成されたマシンは、サイト 1 とサイト 2 のどちらに位置しているかに関わらず、プライベート VLAN 1 内のインスタンスとはネットワーク・パス「A」または「C」を使用し、プライベート VLAN 2 内のインスタンスとはネットワーク・パス「B」または「D」を使用してセキュアな通信を行うことができます。さらに、パス「E」で示されているように、プライベート VLAN 1 内のインスタンスはプライベート VLAN 2 内のインスタンスと自由に通信することができます。この通信パス (「E」) は VPN トンネルで暗号化されませんが、2 つのプライベート VLAN 間のトラフィックは VPNE 経由でルーティングされます。

図には示されていませんが、この構成例を拡張して、最大 5 つの VPN トンネルと最大 5 つのプライベート VLAN を設定することも可能です。この場合も同じく、お客様 A のサイト 1 とサイト 2 との間を直接行き来するネットワーク・トラフィックは、IBM SmartCloud Enterprise の VPNE を経由することができません。

図 8 に、IBM SmartCloud Enterprise VPN フォームでこの構成を指定している箇所を示します。

図 8. 1:2:2 構成を要求するフォーム・データ
1:2:2 構成を要求するフォーム・データ
1:2:2 構成を要求するフォーム・データ

このシナリオでお客様が負担するのは、VPNE (2 つの VPN トンネルを含む) のセットアップに対する一括料金と、2 つのプライベート VLAN それぞれのセットアップに対する一括料金です。最初に VPNE を要求する時点で 2 つ目の VPN トンネルも同時に要求する場合、追加料金はかかりません。その他、VPNE に対する時間毎料金も発生します。

その他の VPNE 構成例

これまで詳しく説明した VPNE 関連の構成例は、いずれも拡張して最大 5 つの VPN トンネルと、こちらも最大 5 つのプライベート VLAN を設定することができます。(図 9 を参照)。

図 9. 1 つの VPNE、5 つの VPN トンネル、5 つのプライベート VLAN
1 つの VPNE、5 つの VPN トンネル、5 つのプライベート VLAN

また、このセクションで取り上げた各構成例は、単一の VPNE を使用するものでした。したがって、IBM SmartCloud Enterprise データ・センターの数も 1 つに制限されます。しかし実際には、お客様が IBM SmartCloud Enterprise データ・センターのそれぞれに VPNE を定義することも可能です。この記事を執筆している時点では、合計 6 つのデータ・センターに VPNE を定義することができます。

VPNE を使用しないプライベート VLAN 構成

IBM SmartCloud Enterprise のバージョン 2.0 では、VPNE を関連付けるかどうかに関わらず、複数のプライベート VLAN を定義できるようになっています。VPNE オプションを使用してプライベート VLAN を定義する構成例はすでに検討したので、今度は VPNE オプションを使用しないプライベート VLAN について詳しく検討します。

IBM SmartCloud Enterprise 環境では、ユーザーがインスタンスをプロビジョニングすると、そのインスタンスはデフォルトで、インターネットからアクセスできる IP アドレスを使用してパブリック VLAN にプロビジョニングされます。そのインスタンスには、誰でもネットワークを介して直接アクセスすることができます (ただし、ファイアウォール・ルールなどによってアクセスできない場合や、インスタンス所有者の指定に応じてアクセスが制限される場合もあります)。IBM SmartCloud Enterprise 2.0 では、インスタンスをネットワークでさらに分離できるように、お客様のアカウントがオプションで最大 5 つのプライベート VLAN を要求できるようになりました。5 つというのは、許容されるプライベート VLAN の合計数であり、VPNE と関連付けたプライベート VLAN と、VPNE と関連付けられていないプライベート VLAN の組み合わせにすることができます。

VPNE を使用しないプライベート VLAN を要求するには、別の注文フォーム (E Cloud VLAN Only Boarding Form) が指定されています。図 10 のフォームに示されているのは、お客様がサブネットの割り当てを IBM に委任してプライベート VLAN を要求することにした場合の重要なフィールドです。このオプションを使用する場合、お客様が指定しなければならないのは、プロビジョニングするプライベート VLAN の数と、それぞれの VLAN で使用可能にする IP アドレスの数だけです。

図 10. VPNE を使用しないプライベート VLAN を要求する場合のフォーム
VPNE を使用しないプライベート VLAN を要求する場合のフォーム
VPNE を使用しないプライベート VLAN を要求する場合のフォーム

図 11 で 3 つのプライベート VLAN を要求しているお客様は、それぞれの VLAN のサブネットを自分で指定しています。このシナリオでは、要求する各プライベート VLAN のサブネット範囲やサブネット・マスクも、お客様自身が指定する必要があります。

図 11. サブネットを指定してプライベート VLAN を要求する場合のフォーム
サブネットを指定してプライベート VLAN を要求する場合のフォーム
サブネットを指定してプライベート VLAN を要求する場合のフォーム

プライベート VLAN がプロビジョニングされた後は、IBM SmartCloud Enterprise ポータルまたはアプリケーション・プログラミング・インターフェース (API) を使用して、新規インスタンスをプロビジョニングする VLAN を選択することができます。プライベート VLAN にインスタンスをプロビジョニングする際には、パブリック VALN とプライベート VLAN にまたがるインスタンスを少なくとも 1 つはプロビジョニングする必要があります。つまり、パブリック VALN 上にプライマリー IP アドレスを持ち、プライベート VLAN 上にセカンダリー IP アドレスを持つインスタンスです。パブリックとプライベート両方の VLAN にまたがる方法について詳しくは、記事「IBM SmartCloud Enterprise についてのヒント: 別々の VLAN にまたがる」を参照してください。

インスタンスがパブリック VALN とプライベート VLAN にまたがるようにすると、そのインスタンスは複数のホーム・ネットワークを持つことになります。この場合、最初にプロビジョニングされた時点では、セカンダリー・インターフェースはデフォルトで無効になっていることに注意してください。セカンダリー・インターフェースは、インスタンスのオペレーティング・システムから手動で有効にする必要があります。複数のホーム・ネットワークを持つインスタンスがプロビジョニングされたら、そのインスタンスに適切なファイアウォールと IP テーブルのルールを指定して、インスタンスおよびプライベート VALN を確実に保護してください。

図 12 に示されている「PublicSpanToPrivate」というラベルが付けられたインスタンスは、プライマリー IP アドレスをパブリック VLAN 上に持ち、セカンダリー IP アドレスをプライベート VLAN 上に持ちます。一方、「PrivateOnly」というラベルが付けられたインスタンスには、プライベート VALN 上のプライマリー IP アドレスしかありません。PrivateOnly インスタンスにアクセスするためには、両方の VLAN にまたがるインスタンスが必要です。

図 12. プライベート VLAN にまたがるインスタンス
プライベート VLAN にまたがるインスタンス
プライベート VLAN にまたがるインスタンス

IBM SmartCloud Enterprise のプライベート VLAN 機能では、1 つのインスタンスが 3 つ以上の VLAN にまたがることが可能です (図 13 を参照)。

図 13. 3 つ以上の VLAN にまたがるインスタンス
3 つ以上の VLAN にまたがるインスタンス
3 つ以上の VLAN にまたがるインスタンス

インスタンスを複数のプライベート VLAN にまたがるように構成した場合には、インスタンスのセキュリティーに細心の注意を払ってください。お客様の要件次第では、プライベート VLAN 内のインスタンスのセットアップ、構成、カスタマイズ、および保守を行うときにだけ、複数の VLAN にまたがるインスタンスをプロビジョニングすることを検討する必要があるかもしれません。

最後にセキュリティーについて

最後に、セキュリティーについて簡単に説明して記事を締めくくります。セキュリティーは非常に重要な検討事項であり、パブリック・クラウド環境にリソースをデプロイするときには、必ず検討する必要があります。これまで説明してきたように、IBM SmartCloud Enterprise ではパブリック VLAN とプライベート VLAN にまたがるインスタンスをプロビジョニングすることができます。このようなインスタンスをプロビジョニングすることにした場合には、リスクを認識し、厳格なファイアウォール・ルールや IP テーブルのルール、あるいは他の保護対策を講じて、外部の攻撃から慎重に保護する必要があります。パブリック VLAN とプライベート VLAN にまたがるインスタンスは、プライベート VLAN 上のすべてのインスタンスを公開することから、そのプライベート VLAN に VPN トンネルでアクセスできるとなると、お客様の企業ネットワークが公開されることになってしまいます。

パブリック VLAN とプライベート VLAN とにまたがってインスタンスを使用するデプロイメントでは、ホストとゲストをベースとしたファイアウォールを使用することが極めて重要です。さらに、クラウドにデプロイされたインスタンスをセキュアに保つためには、そのファイウォールを適切に構成することが不可欠となります。

IBM SmartCloud Enterprise 環境でのファイアウォールの構成方法に関する詳細は、IBM SmartCloud Enterprise User's Guide と、皆さんが使用しているオペレーティング・システムのファイアウォールのドキュメントを参照してください。さらに、IBM SmartCloud Enterprise 2.0 では、パブリック IBM SmartCloud Enterprise イメージ・カタログにファイアウォール・イメージが追加されました。このイメージは、IBM SmartCloud Enterprise でインスタンスとして実行するファイアウォールの構成および管理ツールを提供します。


ダウンロード可能なリソース


関連トピック


コメント

コメントを登録するにはサインインあるいは登録してください。

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=60
Zone=Cloud computing
ArticleID=802000
ArticleTitle=IBM SmartCloud Enterprise についてのヒント: 複数の VPN と VLAN を構築する
publish-date=03222012