マネージド・プライベート・クラウド・フレックス
MPC Flexは、柔軟性と拡張性を必要とする顧客向けのManaged Private Cloud(MPC)の共有インフラストラクチャサービスです。ワークロード要件に基づくリソースの動的割り当てを可能にする共有テナントモデルを採用しています。
MPC Flexは、エクイニクスのIBXデータセンターでホストされる共有環境で、コンピュート、ストレージ、ネットワークのリソースを提供します。リソースはオンデマンドでプロビジョニングされ、OPEXモデルで消費されます。エクイニクスは運用、管理、コンプライアンスを担当します。
MPC Flexは、テナント間を論理的に分離し、スケーラビリティと管理制御をサポートするOrganizational Virtual Data Center (OVDC)として展開されるマルチテナントのコンピュート環境を提供します。OVDCは仮想マシンを作成するためのコンピュートリソース(vCPUとvRAM)とストレージリソースを提供します。複数のOVDCをさまざまな種類やサイズで組み合わせて、さまざまなユースケースに対応できます。仮想ネットワークと相互接続にセキュリティ・ポリシーを設定できます。コンピュート、ストレージ、およびネットワークリソースは、MPC オペレーショナルコンソールから管理されます。
----MPC Compute OVDC で利用可能な処理能力を定義し、vCPU 単位で測定します。各 OVDC は、以下の vCPU バリアントのいずれかで構成できます:
- Optimized (Default) - OVDC 全体の CPU 容量をバランスさせ、パフォーマンスを最適化します。
- Full - CPU容量を100%プロバイダダ。
推奨vCPU使用率
| VCPU Variant | Use (Examples) |
|---|---|
| Optimized (Default) | • Generic production servers • OTA servers |
| Full | • Terminal servers • High-load application servers • Latency-sensitive application servers |
----MPC メモリ は、OVDC で使用可能な GB vRAM 単位のメモリです。OVDCのメモリはvRAMとして提供され、100%の容量で利用可能で、単位はギガバイト(GB)です。MPC Flex の販売量はデフォルトの計算対メモリ比を使用しています:
- MPC Flex 最適化 :1 vCPU : 4 GB vRAM
- MPC Flex フル: 1 vCPU : 16 GB vRAM
----Purchase MPC Compute 、ベースラインおよびオーバーエイジの計算タイプを使用して、vCPUおよびvRAMのGBをPU(Purchase Units)で計算します。
- Baseline は、月額固定料金のPUのコミットメント量を示します。
- Overage は、ベースラインを超える追加消費量を表し、毎月測定および計算されます。
| Purchase Unit & UOM | CPU Variant | Calculation Type | Description |
|---|---|---|---|
| vCPU | Optimized Full | Baseline | Committed volume of PUs |
| vCPU | Optimized Full | Overage | Additional consumption above Baseline |
| Purchase Unit | UOM | Calculation Type | Description |
|---|---|---|---|
| GB vRAM | GB vRAM | Baseline | Committed volume of PUs |
| GB vRAM | GB vRAM | Overage | Additional consumption above Baseline |
コンピュート購入ユニットの組み合わせのデフォルトの比率は、1つのvCPUと4GBのvRAM(1vCPU+4GBvRAM)です。
OVDCには、柔軟な消費のための追加容量が用意されています。この追加容量はベースライン容量に対するパーセンテージで計算され、最大25%です。
----MPC Storage は、ストレージポリシーとして表される2つのパフォーマンス層を提供します。ストレージ容量は特定の OVDC に関連付けられます。
仮想マシン(VM)用の仮想ディスクは、顧客に割り当てられたストレージ容量内で作成され、VM のワークロードに適したストレージ・ポリシー(パフォーマンス層)に配置できます。OVDCは複数のストレージ・ポリシーをサポートし、同じOVDC内のVMが異なるポリシーを使用できるようにすることができます。
| Storage Policy | Use |
|---|---|
| High Performance | Database workloads, logs, RDS/SBC, VDI, and other low‑latency–sensitive workloads |
| Performance (Default) | Generic VMs, applications and web services, high‑performance file services, and object storage |
MPC環境でストレージポリシーを使用する場合、以下の機能が適用されます:
- ストレージ容量は、OVDCごとにポリシーごとに割り当てられる。
- MPCストレージには静止時の暗号化が含まれています
- VMあたりの推奨仮想ディスクサイズは40GBから8TBである。
- MPCストレージは、ストレージ・ポリシーごとに1TBの購入単位(PU)で測定されます。
| Purchase Unit | Tier | Calculation Type | UOM | Description |
|---|---|---|---|---|
| MPC Storage | High Performance | Baseline | 1 TB | Baseline charge for the committed storage quantity, measured in whole TBs. |
| MPC Storage | Performance | Overage | 1 TB | Charge for storage usage that exceeds the Baseline quantity, measured in TBs with up to 3 decimal places. |
ストレージ容量は以下の仮定に基づいて計算されています:1TB = 1000GB。ストレージ容量は、他のOVDCに譲渡することはできません。MPCストレージは、ストレージポリシーごとにプロビジョニングされ、追加容量はフレキシブルにご利用いただけます。追加容量はベースライン容量に対するパーセンテージで計算され、最大25%または10TBです。
ポリシーごとのMPCストレージ消費量は、以下の割り当て容量として測定されます:
- VMディスク
- VMスワップファイル
- スナップショット
- ライブラリ内のファイル(vApp テンプレートと ISO)
---MPC接続 MPCを顧客の(マルチ)クラウドアーキテクチャに統合し、以下への接続をサポートします:
- コロケーション
- エクイニクスネットワークエッジ
- WANプロバイダ
- クラウドサービスプロバイダー(CSP)
- 他のメトロのMPC環境
- Equinix Fabric経由のEquinix Internet Access (EIA)
接続はEquinix Fabric(仮想回線)のみをサポートしています。その他の接続オプションはサポートしていません。
ネットワーク要件は、お客様のネットワークがMPC OVDCにどのように接続するかを決定します。以下の接続タイプがあります:
- Connectivity Routed - Equinixによるルーティング管理
- 接続性 Customer Routed - 顧客が管理するルーティング
- マネージドプライベートファイアウォール(MPF) - エクイニクスが管理するルーティング
各 OVDC の接続タイプは 1 つです。複数のOVDCを使用する場合は、接続タイプの組み合わせが可能です。
接続ルーティング は、MPC OVDCへのレイヤー3接続を提供します。このオプションは、すぐに使用できる組み込みのルーティングエンジンをお客様に提供します。オペレーショナルコンソールで設定可能です。作成された各 MPC 内部 (ルーティングされた) ネットワークは自動的にお客様のルーティングドメインの一部となります。
接続性 Customer Routed は、MPC内でお客様が提供、設置、管理する仮想ルーティングアプライアンス(VM)を使用します。エクイニクスが発注した外部ネットワークは、運用コンソールで利用できます。追加の外部ネットワークは別途注文できます。外部ネットワークは仮想ルーティングアプライアンスに接続する必要があります。MPC内部(隔離された)ネットワークは、ルーティングアプライアンスに接続する必要があります。
- このオプションで利用できるのは、分離された内部ネットワークのみで、ルーティングされた内部ネットワークはサポートされていません。内部ネットワークは、顧客のVMを仮想ルーティングアプライアンスに接続するために使用できます。
- 接続するVLANの数は、仮想NICの数を超えてはならず、外部通信に使用するNICを差し引いた10個までとします。
- 内部ネットワークではトランキングがサポートされていないため、ゲスト OS 内での VLAN タギングができません。
- 外部接続用の仮想ルーティングアプライアンスを接続するには、外部ネットワークが必要です(1接続につき2仮想回線)。
- MPCは高可用性を提供しますが、仮想ルーティングアプライアンスとして2つのVMを使用したHAセットアップを使用することを推奨します。
- グレースフルマネージメントをサポートするには、アプライアンスまたはVMでVMware Toolsを使用することをお勧めします。
Managed Private Firewall (MPF) を使用する場合、外部接続はルーティングとロギングを提供する MPF で終了します。MPFは内蔵のMPCルーティングに接続します。南北トラフィックはMPFとMPCルーティングで処理されます。東西のルーティングは MPC で処理されます。このオプションは、以下からなるルーティングソリューションを提供します:
- エクイニクスが設定したMPFルーティング
- 運用コンソールから設定可能なMPCルーティング
作成された各MPC内部ルーティングネットワークは自動的に顧客のルーティングドメインの一部となりますが、内部分離ネットワークはそうではありません。
複数のOVDCとの接続 接続はOVDCごとに定義され、各構成によって異なる機能が提供されるため、同じメトロ内の各 OVDCで異なる接続タイプの組み合わせを使用することができます。
-
接続ルーティングされた複数のOVDC - 1つのメトロで複数のOVDCを使用する場合、お客様はOVDCごとに専用ゲートウェイを使用するか、または両方のOVDCで共有ゲートウェイインスタンスを使用する(ルーティングジョイン)かを選択できます。複数のOVDCでネットワークを利用する必要があり、Customer Routed接続オプションを使用する場合、外部ネットワーク機能を使用すると、データセンターグループを使用して両方のOVDCで外部ネットワークを利用できるようになります。
-
複数のOVDCをコネクティビティ・ルートおよびカスタマ・ルートで利用 - 1つのメトロで複数のOVDCを利用する場合、お客様は一方のOVDCをルートに、もう一方のOVDCをカスタマ・ルートにする組み合わせを選択できます。お客様には2つの導入オプションがあります:
- OVDCの接続:接続すると、カスタマー・ルート・アプライアンスとルート・ゲートウェイの間にVLANが作成されます。お客様は2つの異なるOVDC間でネットワークを構築できます。
- OVDCは接続されていません:2つのOVDC間の接続がない場合、OVDCはスタンドアロン環境として機能します。
次の仮想接続オプションがサポートされています。|接続|#|タイプ|説明|---||---|||エクイニクスコロケーション|1|セルフサービスVC|EMSサービスプロファイルまたはサービストークンを使用して、エクイニクスファブリックポータル経由でお客様が作成・管理する接続です。| エクイニクスネットワークエッジ|2|セルフサービスVC|EMSサービスプロファイルまたはサービストークンを使用して、エクイニクスファブリックポータル経由でお客様が作成・管理する接続。| WANプロバイダ|3|マネージドVC|エクイニクスが管理する接続。MPCオーダーの一部。| クラウドサービスプロバイダー(CSP)|4|マネージドVC|エクイニクスが作成・管理する接続。MPCオーダーの一部。| 5|マネージドVC|エクイニクスが作成および管理する接続。MPC注文の一部です。| 6|マネージドインターネットアクセス|Equinix Fabric経由のEquinix Internet Access(EIA)。MPC注文の一部です。|
-
セルフサービスVC - お客様はエクイニクスファブリックポータルからVCを開始します。Equinix Managed SolutionsがMPC側を設定します。各接続には2つのVCが必要です。
-
Managed VC - VCはMPCオーダーの一部として作成されます。構成パラメータはフルフィルメント中に収集されます。
すべての接続には、冗長性のために2つの仮想回線が必要です。
顧客がMPC環境の一部としてインターネットを必要とする場合、Managed Internet Access 、固定帯域幅でバーストなしのFabric Internet Access (EIA)を使用します。サポートされる帯域幅は最大10Gbpsです。IPアドレススペースは別途注文する必要があります。Equinix Fabric上のサードパーティのインターネットサービスはサポートされていますが、別途契約が必要です。
サードパーティプロバイダーとの冗長性を確保するため、2つの接続が必要です。
---MPC Virtual Networking は MPC オペレーショナルコンソールで設定可能な仮想ネットワーク機能のセットを提供します。以下のリストは、どの機能がサービスの一部として含まれ、どれが追加料金を必要とするかを示しています。
| Function | Charge Type | Routed and Managed Firewall | Customer Routed |
|---|---|---|---|
| Standard firewall | Included | Y | N |
| Distributed or advanced firewall | Charged | Y | Y |
| Routing, IPv4 static and dynamic (BGP) | Included | Y | N |
| Routing, IPv6 | Included | Y | N |
| NAT | Included | Y | N |
| DHCP | Included | Y | N |
| VPN (Layer 2) | Included | Y | N |
| VPN IPsec Layer‑3 site to site | Included | Y | N |
| Route advertisement | Included | Y | N |
内部ネットワーク は、MPC オペレーショナルコンソールを介して OVDC ごとに作成できます。OVDC ごとに最大 1000 の内部ネットワークをサポートします。ネットワークは、データセンターグループ内で設定すると、同じIBX内の複数のOVDCにまたがることができます。内部ネットワークタイプには以下が含まれます:
- ルーティング - Edge Gatewayをルーターとして使用し、WAN、コロケーション、CSP、インターネットへのアクセスを提供します。ルーティングされたネットワークはConnectivity Routedでのみ利用可能です。
- Isolated - Customer Routed接続の自己管理ルーターに接続しない限り、外部ネットワークにアクセスできません。
Inter Site Networks は、異なるデータセンターにある2つの MPC サイトを、その間のマネージドバーチャルサーキットを要求することで接続できるようにします。ネットワーク構成は、選択した接続タイプによって異なります。2つのデータセンター間の接続はマネージドバーチャルサーキットとして課金されます。2つ以上のデータセンター間の接続はサポートされていますが、Fabric Cloud Router(FCR)、Equinix Fabric IPWAN、MPCゾーンとFabric Cloud Routerからの2つの仮想接続が必要です。
Fabric Cloud RouterとIPWANの注文と構成は、マネージドソリューションの範囲外です。
----購入単位 接続性
| Purchase Item | UOM | Calculation Type | Description |
|---|---|---|---|
| Connectivity Type | Once | Baseline | Routing instance per OVDC: • Routed • Customer Routed • Managed Firewall • Joined Routing |
| Managed Virtual Circuit | VC | Baseline | Available bandwidth options: 10 / 50 / 200 / 500 Mbps and 1, 2, 5, 10 Gbps Two (2) VCs are required per connection for redundancy |
| Managed Internet Access | Each | Baseline | Internet Access available at: 10 / 50 / 100 / 200 / 500 Mbps and 1, 2.5, and 10 Gbps Managed Virtual Circuits are included in Managed Internet Access. |
| Allocated IP space | Block | Baseline | Supported IPv4 /24 to / 29 and IPv6 |
| Distributed Firewall (DFW) | vCPU Optimized vCPU Full | Baseline Overage | Additional functionality to support micro‑segmentation |
----MPC Operational Console MPCリソースを管理するための自動化ツールとAPIを提供します:
- 複数のエクイニクスデータセンターでOVDCを管理
- VMとvAppの作成、インポート、管理
- VMのサイズ(スケールアップとスケールダウン)
- VMスナップショットの作成
- アクセスVMコンソール
- パフォーマンス統計を見る
- ISOおよびOVAファイルによるライブラリの作成と入力
- VPNを必要とせず、ウェブブラウザ経由でMPCセルフサービスポータルおよびVMコンソールに直接アクセスできます。
- スクリプトと自動化のための豊富なオプション(API)
- 可用性またはパフォーマンスのためにVMを分離またはグループ化する
- ファイアウォールルールとマイクロセグメンテーションの管理
- IPv4の静的および動的ルーティングルールの作成と管理
- IPv6の静的ルーティングルールの作成と管理
- NAT、DHCP、VPN(レイヤ2)の作成と管理
- IPsec VPNレイヤ3サイト間トンネルの作成と管理
- ルート広告(VRF)の作成と管理
MPC Flexへのアクセス
マネージド・プライベート・クラウド(MPC)にアクセスするには、カスタマー・ポータル にアクセスしてください。そこから以下にアクセスできます:
- Managed Solutions Portal (MSP) - チケットの発行、サービスリクエストの送信、MPCの使用状況の確認に使用します。
- 運用コンソール - MPCリソースの管理と運用に使用されます。
地域別
オペレーショナル・コンソールは、特定の地域内のMPCリソースへのアクセスを提供します。MPCは4つの地域で利用可能です:南米、北米、ヨーロッパ、アジアです。
各 MPC インスタンスはリージョンに関連付けられています。地域にインスタンスが存在する場合、カスタマーポータルの Managed Solutions エリアから地域オプションを選択することで、対応する運用コンソールを開くことができます。
適切な地域コンソールにサインインすると、リソースへのアクセスは組織および組織仮想データセンター(OVDC)ごとに整理されます。
組織
組織(Organization:Org)は、オペレーショナルコンソール内のお客様を表します。組織は、仮想データセンター、ユーザー、コンテンツライブラリを含む、その地域のすべての MPC リソースのコンテナとして表示できます。組織名は MPC Operational Console にサインインする際に必要です。
組織仮想データセンター(OVDC)
組織仮想データセンター(OVDC)は、ワークロードの実行に使用するコンピュート、ストレージ、およびネットワーキング・リソースをグループ化したものです。1つの組織に複数のOVDCを含めることができ、IBXの場所(アムステルダム、ロンドン、アッシュバーンなど)やコンピュート・パフォーマンス・プロファイルによって異なります。追加の容量や追加のOVDCが必要な場合は、担当のサービスデリバリーマネージャーまたはアカウントマネージャーにお問い合わせください。
テナントの役割
以下のテナントロールは、マネージドプライベートクラウドシングルテナント およびマネージドプライベートクラウドFLEX にのみ適用されます。
テナントロールは、MPCテナント内のユーザーが利用できる権限とアクションを定義します。ロールは、カスタマーポータルを通じて追加された後にユーザーに割り当てられます。ロールは、ユーザーが運用コンソールで実行できるアクションや、利用可能なAPI機能を決定します。
エクイニクスは、新しいMPC環境の初期導入時に、オンボーディングプロセスの一環として最初の顧客管理者アカウントを作成します。このアカウントは、お客様から提供された名前とメールアドレスを使用して作成され、テナントレベルの管理および設定機能を含むMPC運用コンソールへのフルアクセスを提供するテナント管理ロールが自動的に割り当てられます。
以下の役割がサポートされています:
テナント管理者 - テナント管理者の役割は、MPCテナントへの完全な管理アクセスを提供します。このロールを割り当てられたユーザーは、テナント構成、ユーザーアクセス、および環境全体の自動化機能を管理できます。テナント管理者権限には以下が含まれます:
- VM コンソールへのアクセス
- スナップショットの作成と削除
- 個人APIトークンの作成と削除
- 組織全体のサービスアカウントの作成、変更、削除
- テナントスコープ内での仮想マシンの作成、変更、削除
- テナントスコープ内でのvAppの作成、変更、削除
- テナントスコープ内でのネットワークの作成、変更、削除
- テナントスコープ内でのコンテンツライブラリおよびライブラリコンテンツの作成、変更、削除
- テナントスコープ内でのEdge Gatewayの構成
- アフィニティルールの設定
- テナントスコープ内のタスクとイベントログの表示
テナントユーザー - テナントユーザーの役割により、ユーザーはテナント全体の管理設定にアクセスすることなく、MPCテナント内でワークロードと選択したリソースを作成および管理できます。テナントユーザー権限には以下が含まれます:
- 仮想マシンコンソールへのアクセス
- スナップショットの作成と削除
- 個人APIトークンの作成と削除
- テナントスコープ内での仮想マシンの起動と停止
- テナントスコープ内での vApp の起動と停止
- テナントスコープ内のVMツールの更新
- テナントスコープ内のタスクとイベントログの表示
テナントビューワ - テナントビューワロールは、テナント構成とリソースステータスへの読み取り専用アクセスを提供します。このロールが割り当てられたユーザーは、テナントユーザーロールで利用可能な同じリソースと情報を表示できますが、以下の制限があります:
- 仮想マシンやvAppの作成、変更、削除(CRUD)権限がない
- コンソールアクセスなし
MPC Flexの管理
ユーザー管理
運用コンソールのユーザーは、カスタマーポータルで管理されます。ユーザーとパスワードの管理 を参照してください。ユーザーが追加されると、MPC のテナントロールをユーザーに割り当てるためにサービスリクエストを提出する必要があります。
別の ID ソースを使用するには、カスタマー・ポータルで ID フェデレーションを設定して、外部の ID プロバイダと統合します。これにより、ユーザは会社の認証情報を使用してサインインできます。
APIアクセス
Managed Private Cloud (MPC) Operational Console API へのアクセスは、プログラムによるアクセスと自動化を目的としています。一般的な自動化ツールには、Terraform、Ansible、Python、XML または JSON ベースの API 呼び出しが含まれます。API への認証には、運用コンソールでアクセストークンを生成する必要があります。2つのアクセス方法がサポートされており、それぞれ異なるユースケース向けに設計されています。
| Method | Details |
|---|---|
| API tokens | • API access to the Operational Console on behalf of the Customer Portal or federated user accounts for individual programmatic access. • Can be configured by all Customer Portal or federated user accounts. |
| Service accounts | • API access to the Operational Console using standalone accounts intended for organization-wide automation and third-party tools or applications. • Can be configured only by users with the Tenant Admin role. • Can be assigned one of the supported roles. • Supports API access only. |
テラフォーム・オートメーション
Terraformは、クラウドとオンプレミスのリソースを人間が読める設定ファイルを使って定義できるインフラストラクチャ・アズ・コード・ツールです。これらのファイルはバージョン管理、再利用、共有が可能で、インフラのライフサイクル全体を通じてプロビジョニングと管理の一貫したワークフローを実現します。
Terraformは、コンピュート、ストレージ、ネットワークのような低レベルのリソースを管理するために使用できます。ほとんどのOperational Consoleの機能はAPIまたはTerraformから利用できます。詳細はTerraformプロバイダドキュメントを参照してください。
APIトークン
API トークンは、カスタマーポータルまたは運用コンソールの連携ユーザーアカウントで作成でき、個人のプログラムアクセスに使用されます。APIトークンの作成方法は以下のとおりです:
- 運用コンソールにサインインします。右上のメニューから_ユーザー設定_を開きます。
- API Tokens_セクションに移動し、_New_を選択します。
- トークンの名前を入力し、Create を選択します。
- 生成されたトークンをコピーし、安全な場所に保管してください。トークンは 1 回のみ表示され、この画面を閉じた後は再度表示できません。トークンを紛失した場合は、新しいトークンを生成する必要があります。
- トークンは作成後、API トークンのリストに表示され、不要になったら取り消すことができます。
サービスアカウント
サービスアカウントは機密性が高いため、テナント管理者ロールを持つユーザーのみが作成、閲覧、削除できます。サービスアカウントの作成方法は以下の通りです:
サービスアカウントは、運用コンソールで作成するオブジェクトの所有者です。
- 運用コンソールにサインインします。Administration_を開き、_Service Accounts_を選択して、New を選択します。
- サービスアカウントの名前を入力し、ロールを割り当て、魔法の杖を使用して一意のIDを生成します。次へ を選択して続行します。
- (オプション)サービスアカウントに1つ以上のクォータ制限を割り当てます。
- 完了 を選択して、サービスアカウントを作成します。
- 作成後、サービスアカウントのプロパティを表示すると、APIキーが_Client ID_フィールドに表示されます。ほとんどのサービスアカウント設定は、[編集] を選択して後で変更できます。
APIエクスプローラ
APIエクスプローラは、APIコールを表示、テスト、実行するためのグラフィカルなインターフェイスを提供し、運用コンソールからアクセスできます。
- 運用コンソールで右上のメニューを開き、Help > _API Explorer_を選択します。
- APIエクスプローラーは、SwaggerベースのJSON APIを公開し、現在サインインしているユーザーアカウントに代わってAPIコールを実行できるようにします。
運用コンソール
ユーザーがカスタマーポータルにログインしている場合、マネージドソリューションポータルに移動し、マネージドプライベートクラウドを選択し、希望するリージョンを選択することで、運用コンソールにアクセスできます。
運用コンソールの URL に直接アクセスして Sign In を選択すると、ユーザーはカスタマーポータル にリダイレクトされ、カスタマーポータルの認証情報を使用して認証されます。カスタマーポータルは、組織の ID プロバイダーとの SAML ベースのフェデレーションの設定もサポートしており、ユーザーは会社の認証情報を使用して運用コンソールにアクセスできます。
運用コンソールでは、仮想マシン、ネットワーク、セキュリティルールを作成するためのアクションを実行できます。
vApp
vAppは、仮想データセンター内の仮想マシンのグループです。仮想マシンは、スナップショットの取得や再起動など、グループとして管理できるほか、vApp内で個々の仮想マシンを個別に管理することもできます。仮想マシンとvApp にはリース期間を割り当てることができ、リース期間を過ぎると自動的に削除されます。デフォルトのリース期間は無期限に設定されています。
vAppは、仮想マシンを使用して作成することも、仮想マシンを使用せずに作成することもできます。仮想マシンなしでvApp を作成すると、仮想マシンを作成する前にvApp ネットワークを設定する場合に便利です。
新しいvAppの作成
- アプリケーション > vApps のメインページに移動し、Build New vApp を選択し、名前と説明を入力して、Build を選択します。プロセスが完了するまで待ちます。
- vAppウィンドウのオプション:
- vApp をオン、シャットダウン、再起動、または一時停止するには、Power を選択します。これらのアクションは、vApp に仮想マシンが含まれている場合にのみ使用できます。
- 詳細 を選択して、vApp から仮想マシンを追加または削除します。
- 詳細 を選択して、追加情報を表示または変更します。
仮想マシン
仮想マシンは、vApp の一部として作成することも、スタンドアロンの仮想マシンとして作成することもできます。vApp内に仮想マシンを作成することをお勧めします。vAppには最大100台の仮想マシンを含めることができ、仮想マシンはvApp間で移動できます。また、異なるvApp に存在する仮想マシン間でネットワークを作成することもできます。
vAppの一部として仮想マシンを作成すると、タスク、機能、または保持要件によって仮想マシンをグループ化したり、起動とシャットダウンの順序を設定したり、vAppネットワーク図によってネットワーク構成の可視性を向上させたり、ロールベースのアクセスによって委任管理を可能にしたりするなど、いくつかのメリットが得られます。
割り当てられたストレージリソースと割り当てられたGB RAMは、割り当てられたストレージポリシーの下で使用済みストレージとしてカウントされます。仮想マシンが起動すると、組織仮想データセンター(OVDC)のコンピュートクォータからコンピュートリソースが差し引かれます。
新しい仮想マシンにオペレーティングシステムをインストールする最も一般的な方法は、プライベートまたは共有のエクイニクスカタログからISOファイルを選択し、電源投入時にISOファイルから仮想マシンを起動させてインストール処理を開始する方法です。もう1つの方法は、作成ワークフロー中に管理者のワークステーションでOVFまたはOVAファイルから新しい仮想マシンとvAppを作成する方法です。
仮想マシンの作成
- Applications > Virtual Machines にアクセスし、Create VM を選択するか、More on a vApp を選択し、Add VM を選択します。
- 作成ダイアログの手順に従って、OK を選択し、仮想マシンが作成されるのを待ちます。
- 名前とコンピュータ名を入力します。
- タイプはNew を選択してください。
- 仮想マシンを作成後に自動的に起動するかどうかを選択します。
- OSファミリー、ゲストOS、ブートイメージを選択します。
- EFIセキュアブートやブートセットアップを含むブートオプションを設定します。
- 必要に応じて、TPM(Trusted Platform Module)設定を構成します。
- CPU、コア、メモリなどのコンピュートリソースを構成します。
- ストレージポリシーやディスクサイズなど、ストレージを構成します。
- ネットワーク設定を構成します。
- 仮想マシン 画面で:
- 電源 を選択すると、仮想マシンのオン/オフ、再起動、一時停止ができます。
- インストールメディアのマウント、スナップショットの管理、コンソールのオープン、仮想マシンの削除を行うには、 を選択します。
- 構成の詳細と追加設定を表示または変更するには、 を表示 を選択します。
カタログから VM へのインストールメディアのリンク
カタログがすでに利用可能で、インストールメディアがアップロードされている場合、そのカタログを仮想マシンにアタッチできます。
- 仮想マシンの場所を確認し、[詳細] を選択します。
- メディアの挿入 を選択し、インストールファイルを選択します。ファイルは仮想CD-ROMとして接続されます。
- ジョブの完了後、メディアの取り出し を選択してインストールファイルを切り離すことをお勧めします。
VMコンソール
仮想マシンは、オペレーショナルコンソールで管理できます。2つのコンソールタイプがあります:
- ブラウザから動作するウェブコンソールです。
- プラグインのインストールが必要なVM Remote Console。
インストールメディア(ISO)は、ローカルデバイスから直接使用することはできません。仮想マシンにマウントする前に、メディアをカタログにアップロードする必要があります。
Windowsデバイス用のVM Remote Consoleプラグインは、共有カタログで入手できます。macOSおよびLinux(Workstation経由のWindowsを含む)の場合、VMRC機能はVMware Fusion ProおよびVMware Workstation Proに含まれています。これらのアプリケーションは別途ライセンスが必要であり、MPCに含まれるものでもエクイニクスが提供するものでもありません。
- vApp またはVirtual Machines の概要から仮想マシンを検索します。
- More を選択し、希望のコンソールタイプを選択します:Web コンソール(プラグイン不要)または VM リモートコンソール(プラグインが必要)。
スナップショット
スナップショットは、アクションが実行される前の完全な仮想マシンまたはvAppの状態をキャプチャします。オペレーショナル コンソールでは、アクティブなメモリ状態の有無にかかわらず、一度に 1 つのスナップショットのみが許可されます。スナップショットを取得すると、仮想マシンまたは vApp のストレージ使用量が一時的に 2 倍になります。スナップショットは仮想マシンのパフォーマンスに影響を与える可能性があります。スナップショットは最大2 ~ 3 日間保持することをお勧めします。1 週間以上前のスナップショットは自動的に削除されます。仮想マシンの状態を長期的に保存するには、仮想マシンまたはvApp のクローンを作成するか、バックアップを実行します。
- 仮想マシンまたはvApp の場所を確認し、[Actions] > [Snapshot] を選択し、[Create Snapshot] を選択して確定します。
- 仮想マシンをスナップショットの状態に戻すには、Revert to Snapshot を選択して確認します。
- スナップショットを削除するには、Remove Snapshot 。
既存のスナップショットがあるVMから新しいスナップショットを作成すると、古いスナップショットは削除されます。すべてのスナップショット・オプションにアクセスするには、VMware ToolsがVMにインストールされている必要があります。
カタログ
運用コンソールのカタログには、vApp、仮想マシン、メディアファイル(ISOイメージなど)が保存されます。エクイニクスは、ISOファイルのセットを含む共有カタログを提供しています。共有カタログはOVDC(特に環境のメトロ)に関連付けられます。
プライベートカタログを作成して、インストールメディアやテンプレートを保存することもできます。ファイルを直接アップロードすることも、既存の仮想マシンや vApp からテンプレートを作成することもできます。プライベート カタログに保存されたファイルは、OVDC のストレージ クォータにカウントされます。アップロードするソフトウェアはすべて、ベンダーのライセンス要件とエクイニクスのポリシーに準拠している必要があります。カタログはISOファイルとOVFファイルのみに使用できます。
カタログの作成
インストールメディアやテンプレートを保存するには、まずカタログを作成する必要があります。
- ホーム画面で、メニューアイコン(横線3本)を選択します。
- コンテンツハブ 画面で、カタログ を選択し、新規 を選択します。
- カタログの名前と説明を入力します。カタログは、使用可能な任意のストレージプロファイルに保存できます。デフォルトでは、最速プロファイルが選択されています。特定のストレージプロファイルを選択するには、特定のストレージポリシーでの事前プロビジョニング を有効にし、ORGOVDC を選択し、必要なストレージポリシーを選択します。
インストールメディアの追加
カタログが利用可能になると、インストールメディアをカタログにアップロードできます。
- Content Libraries > Media & Other にアクセスし、Add を選択します。
- 新しい画面でカタログを選択し、アップロードアイコン(上向きの矢印)をクリックしてファイルブラウザを開きます。インストールファイルを選択し、OK で確認します。
- 必要に応じて名前を編集し、OK を選択してアップロードを開始します。メディアとその他 の概要では、アップロードの進行中に回転インジケータが表示されます。アップロードが完了すると、緑色のチェック マークが表示されます。アップロードが完了すると、緑色のチェックマークが表示されます。
- ファイル名の横にある3つの点を選択すると、ファイルを削除したり、ワークステーションにダウンロードしたりするオプションが表示されます。
vApp テンプレートの作成
vAppテンプレートは、ローカルワークステーションからファイルをアップロードするか、既存のvAppを使用して作成できます。vApp テンプレートを作成するには、ローカル ワークステーションからファイルをアップロードするか、既存の vApp を使用します。vApp に基づく単一の仮想マシンのテンプレートは、vApp に仮想マシンが 1 つだけ含まれている場合にのみ作成できます。
- ソースとして使用するvAppを探し、[More] を選択し、[Add to Catalog] を選択します。コピー先のカタログを選択し、名前を入力します。テ ンプ レー ト の作成前に VMware Tools を イ ン ス ト ール し てお く と 、 完全な コ ピーを作成 し た り 、 仮想マシ ンの設定を調整す る こ と がで き ます。
- vAppテンプレートにアクセスするには、Content Hub > Catalogs 、関連するカタログを開きます。テンプレートが利用可能になると、新しい仮想マシンのデプロイに使用できます。
共有カタログ
エクイニクスは、オペレーティングシステムのバリアントセットを含むMPCメトロごとの共有カタログ(OS-CATALOG-1)を提供しています。仮想マシンをデプロイするメトロに関連付けられたカタログを選択します。共有カタログは、そのメトロの MPC バリアント (FLEX または ST) に関連付けられます。MPC FLEX と MPC ST の両方が同じメトロで使用されている場合、そのメトロの 2 つのカタログが表示されます。
接続とネットワーク
オペレーショナルコンソールには、組織内または外部のサービスに接続し、アクセスするための複数のオプションが用意されています。選択した接続モデルに応じて、ブリッジング(MPC Connectivity Customer Routed in the order)またはルーティング(MPC Connectivity Routed in the order)のいずれかで OVDC が作成されます。
運用コンソールで利用可能なネットワーク機能は、カスタマー ルーティング接続とルーティング接続のどちらを選択するかによって異なります。運用コンソールでは、セルフサービスにより 2 種類のネットワークを作成できます:
- 孤立ネットワーク(内部接続) :隔離されたネットワークは、OVDC内の仮想マシンのみに存在します。
- ルーティングネットワーク(外部接続) :ルーティングネットワークは、Edge Gatewayを通じてOVDCの外部にある外部ネットワークへのアクセスを提供します。
| MPC Connectivity Type | Isolated | Routed |
|---|---|---|
| Bridging | Yes | No |
| Routing | Yes | Yes |
MPC ゲートウェイ ファイアウォール アーキテクチャ
MPCは、南北および東西両方のトラフィックを保護するために、境界およびワークロードレベルの制御を組み合わせたレイヤ型ゲートウェイファイアウォールアーキテクチャを使用しています。MPCのファイアウォール設計には、主に2つのタイプまたはレイヤーのファイアウォールが含まれます:
-
ゲートウェイファイアウォール(南北) :MPCの境界を保護し、環境に出入りするトラフィックを処理します。
-
分散ファイアウォール(東西) :vNICレベルでワークロードを保護し、OVDC内でマイクロセグメンテーションを提供します。
分離されたOVDCネットワークの構築
組織仮想データセンター(OVDC)ネットワークは、仮想マシン(VM)同士の通信を可能にし、必要に応じて外部ネットワークとの通信も可能にします。1つのOVDCに複数のネットワークを含めることができます。
- オペレーショナル・コンソールの仮想データセンター・ダッシュボードで、ネットワークを作成するOVDCを選択します。
- 左のナビゲーションパネルで、Networks を選択します。
- クリック新規.
- Scope_]で、分離されたネットワークの現在のOVDCを選択します。
- New Organization VDC Network_ ダイアログボックスの_Network Type_ ページで、Isolated を選択し、Next をクリックします。
- General_ページで、ネットワークの_Name_と_Description_を入力します。
- ゲートウェイCIDR_フィールドで、ドロップダウンリストからネットワークのIPスペースを選択します。このリストは、導入時にお客様が入力した内容に基づいてエクイニクスが事前に入力します。
- IPv6が必要な場合、デュアルスタックを有効にすることができます。
- Guest VLAN Allowedを有効にすると、接続されたVM内で複数のVLANを許可することができます。
- 次へ をクリックしてください。
- (オプション) Static IP Pools で、このネットワーク上の VM 用の IP アドレスの範囲を入力し、Add をクリックします。これにより、運用コンソールはVM作成時にIPアドレスを自動的に割り当てることができます。設定されていない場合は、VM作成時にIP割り当てを手動で行う必要があります。 例ゲートウェイアドレスが192.168.1.1/24の場合、192.168.1.10-192.168.1.100の静的IPプールは91個の使用可能なIPアドレスを提供します。必要であれば、後で範囲を追加できます。
- 完了したら、次へ をクリックします。
- (オプション) _DNS_ページで、DNS情報を入力し、[次へ] をクリックします。省略した場合は、VM の作成時に DNS 設定を手動で入力する必要があります。
- Ready to Complete_ ページですべての設定を確認し、Finish をクリックします。
ルーティングされたOVDCネットワークの構築
ルーティングされたOVDCネットワークは、レイヤ3(L3)ルーティングを使用して、仮想マシン(VM)同士の通信や外部ネットワークとの通信を可能にします。1つのOVDCに複数のルーティング済みネットワークを含めることができます。分散ファイアウォール機能を使用するかどうかによって、作成プロセスが異なります。
- オペレーショナル・コンソールの仮想データセンター・ダッシュボードで、ネットワークを作成するOVDCを選択します。
- 左側のナビゲーションパネルで、Networks を選択し、New をクリックします。
- 分散ファイアウォールを使用していない場合は、_Scope_で_Current Organization Virtual Data Center_を選択します。
- New OVDC Network ダイアログボックスの Network Type ページで、Routed を選択し、Next をクリックします。
- Edge Connection_]で、ルーティングされたセグメントが接続するEdge Gatewayを選択します。
- General_ページで、ネットワークのName 、Description 。
- ゲートウェイCIDR_フィールドで、ドロップダウンリストからネットワークのIPスペースを選択します。このリストは、導入時に提供されたお客様の入力に基づいてエクイニクスが事前に入力します。
- IPv6が必要な場合は、デュアルスタックを有効にしてください。
- ゲストVLANの有効化 接続されたVM内で複数のVLANを許可します。
- 次へ をクリックしてください。
- (オプション) _DNS_ページで、DNS設定を入力し、Next をクリックします。 ここで設定しない場合、DNS情報はVM作成時に手動で追加する必要があります。
- Ready to Complete_ ページで選択内容を確認し、Finish をクリックします。 ネットワークを構築してOVDCに接続した後、Edge Gatewayを設定してOVDCへのトラフィックの出入りを制御することができます。
分散ルーティングネットワークを使用する場合
- 分散ネットワーク間のトラフィックは、Edge Gatewayを通過しないため、分散ファイアウォールを使用してファイアウォールされます。
- 環境を出入りするトラフィックは、ゲートウェイ・ファイアウォールが適用されるEdge Gatewayを通過します。
- 分散ファイアウォールには、MPC契約の一部として注文する必要がある分散ファイアウォールのMPCサービスオプションが必要です。
分散ルーティングが有効な場合、ゲートウェイファイアウォールはこのネットワークでは使用できず、分散ファイアウォール(DFW)を使用する必要があります。南北ファイアウォールは使用可能です。分散ルーティングが無効の場合、このルーティングされたネットワークではゲートウェイファイアウォールのみが利用可能です。
ゲストVLANの許可
このオプションを有効にすると、仮想マシンのネットワークインターフェイスにVLANタグ(802.1Q TAG)を設定できるようになります。これにより、同じルーティングまたは分離されたネットワークセグメント上で複数のVLANを運用できます。
ゲートウェイファイアウォールルールの作成
オペレーショナル・コンソールは、南北(OVDCと外部ネットワーク間のトラフィック)および東西(OVDCネットワーク内およびOVDCネットワーク間のトラフィック)のセキュリティ境界を越えて移動するトラフィックを制御するために、完全な機能を備えたレイヤ4ファイアウォールを提供します。ファイアウォールルールにネットワークまたはIPアドレスを指定する場合、以下の形式がサポートされています:
- 単一のIPアドレス
- IPレンジ(例:192.168.1.10~192.168.1.50)
- CIDR表記(例:192.168.2.0/24)
- キーワード:内部、外部、その他
- オペレーショナルコンソールの仮想データセンターダッシュボードで、ファイアウォール ルールを作成する Edge Gateway を含む OVDC を選択します。
- 左側のナビゲーションパネルで、Edges をクリックします。利用可能なEdge Gatewayが右側に表示されます。
- 設定する_Edge Gateway_を選択し、Firewall タブを開きます。
- ファイアウォールタブでは、ファイアウォールルールの作成と管理ができます。
- [新規] をクリックして、新しいルールを追加します。新しいルールでは、以下のフィールドを指定します:
- 名称
- アプリケーション
- コンテキスト
- ソース(IPアドレス、IPセット、静的グループ)
- 宛先(IPアドレス、IPセット、静的グループ)
- アクション(許可、削除、拒否)
- プロトコル(IPv4、IPv6、またはその両方)
- ロギング
- コメント
- ソース]フィールドと[宛先]フィールドで、ルールのアドレスを定義します。IP または範囲を指定するには、IP をクリックして値を入力し、Keep をクリックします。IPのグループを再利用するには、_Grouping Objects_に進み、+ をクリックしてIPセットを作成します。このIPセットは、複数のルールで選択できます。
- アプリケーションフィールドで、+ をクリックし、サービスの追加ダイアログボックスで、プロトコル、ソースポート、宛先ポートを指定します。または、カスタムプロトコル/ポートの組み合わせを定義します。完了したら、Keep をクリックします。カスタムアプリケーションを事前に作成し、ファイアウォール ルールに適用することもできます。
- ルールのアクションをAccept(許可)にするか、Deny(ドロップ/拒否)にするかを選択します。syslog サーバーが構成されている場合は、ログを有効にする を選択します。
- Save changes をクリックして規則を確定します。
インターネットからのHTTPSトラフィックを許可するファイアウォールルールの例です。この例では、割り当てられたパブリックIPアドレスを使用しています。ソースは any(OVDC内の任意のIPアドレス)です。ソースポートも任意です。宛先はプライベートIPアドレスで、宛先ポートはHTTPS用の443です。これを動作させるには、DNAT設定が必要です。
NATルールの作成
ネットワークアドレス変換(NAT)は、トラフィックがルーターまたはゲートウェイを通過できるように、ソースまたは宛先IPアドレスを変更することができます。Edge Gatewayで最も一般的なNATのタイプは次のとおりです:
- 宛先NAT(DNAT) - パケットの宛先IPアドレスを変更します。
- ソースNAT(SNAT) - パケットのソースIPアドレスを変更します。
その他のオプション
- DNATなし
- SNATなし
- リフレクティブ
仮想マシン(VM)がOVDCから外部のネットワーク・リソースにアクセスする場合、特定のユースケースではNATが必要になることがあります。このような場合は、次のいずれかのオプションを使用します:
- エクイニクスが提供するパブリックインターネットIPアドレス。
- MPC Connect経由のプライベートネットワーク。
- この機能は、Edge GatewayがパブリックIPアドレスで構成され、VMがプライベートIPアドレスを使用している場合に主に適用されます。
- NAT ルールは、ファイアウォールが有効な場合にのみ機能します。ファイアウォールは常に有効にしておく必要があります。
DNATは、パケットの宛先IPアドレスを変更し、返信トラフィックに対して逆の操作を実行します。DNATは、パブリックIPアドレスを通じてプライベートネットワーク上で動作するサービスを公開するために使用できます。
- 運用コンソールの仮想データセンターダッシュボードで、DNATルールを作成するEdge Gatewayを含むOVDCを選択します。
- 左のナビゲーションパネルで、Edges をクリックします。NAT タブを選択し、新しいNATルールを追加します。
- NAT_セクションで、+ DNATルール をクリックします。
- NAT Action_で、NATルールのタイプを選択します。
- 外部IP_(例:10.30.40.95)を入力します。
- 外部ポート(443など)を入力します。
- 内部IP_(例:192.168.1.10)を入力します。
- 高度な設定
- 状態_ - ルールを有効または無効にします。
- ロギング_ - ルールのログを記録します。
- 優先度_ - 値が小さいほど優先度が高く、0がデフォルト値です。
- ファイアウォールマッチ
- 内部アドレスの一致
- 外部アドレスの一致
- バイパス
- 適用先_ - 空白のまま
- syslogサーバーが設定されている場合は、Enable logging を選択します。
- 完了したら、Keep をクリックし、Save changes をクリックします。
SNATルールの作成
SNATは、パケットの送信元IPアドレスを変更し、返信トラフィックに対して逆の操作を実行します。インターネットなどの外部ネットワークにアクセスする場合、内部IPアドレスを外部ネットワークで利用可能なアドレスに変換するSNATルールが必要です。
- オペレーショナルコンソールの仮想データセンターダッシュボードで、SNATルールを作成するEdge Gatewayを含むOVDCを選択します。
- 左のナビゲーションパネルで、Edges をクリックします。NAT タブを選択し、新しいNATルールを追加します。
- NAT_セクションで、+ SNATルール をクリックします。
- NAT Action_ で、SNAT を選択します。
- 外部IP_ - 外部ネットワーク(通常はVCD_CUSTOMER_WAN)。
- 内部IP_ - インターネットアクセス用に変換されたネットワークまたはIPアドレス。
- 詳細設定
- 状態_ - ルールを有効または無効にします。
- ロギング_ - ルールのログを記録します。
- 優先度_ - 値が小さいほど優先度が高く、0がデフォルト値です。
- ファイアウォールマッチ
- 内部アドレスの一致
- 外部アドレスの一致
- バイパス
- 適用先_ - 空白のまま
- 完了したら、Keep をクリックし、Save changes をクリックします。
SNATルールの作成
SNATルールは既存のSNATルールを無効にします。特定のIPアドレス宛のトラフィックに対してSNATをバイパスするNO SNATルールを作成することができます。正しい処理順序を確保するため、NO SNATルールには、SNATルールよりも高い優先度(低い数値)を割り当てる必要があります。デフォルトの優先度は「0」です。
- 運用コンソールの仮想データセンターダッシュボードで、NO SNATルールを作成するEdge Gatewayを含むOVDCを選択します。
- 左のナビゲーションパネルで、Edges をクリックします。NAT タブを選択し、新しいNATルールを追加します。
- NAT_セクションで、+ SNATルールなし をクリックします。
IPsec VPNの設定
オペレーショナルコンソールでは、次のタイプのサイト間 VPN 接続をサポートしています:
- 同一組織内のEdge Gateway
- 他の組織(Equinixまたは他のvCloudサービスプロバイダー)のEdge Gateway
- クラウドサービスプロバイダーやコロケーション環境など、IPsec VPNのエンドポイントを提供するリモートネットワーク。
接続タイプに応じて、共有シークレットとともに、両方のエンドポイントにIPアドレスを設定する必要があります。また、VPN接続での通信を許可するOVDCネットワークも指定する必要があります。
IPsec VPN設定を構成する前に、トンネルのエンドポイントとして使用するEdge GatewayのIPアドレスを控えておいてください。
- 運用コンソールの仮想データセンターダッシュボードで、設定するEdge Gatewayが含まれるOVDCを選択します。
- 左のナビゲーションパネルで、Edge をクリックします。
- Edges_ページで、Edge Gateway を選択します。
- Services_]タブで[IPsec VPN]オプションを探し、[New ]をクリックして新しいIPsec VPN構成を作成します。
Edge Gateway IPsec VPN設定の構成
- 名前を設定し、ログインしてログを表示できるようにし、残りのオプションはデフォルト値のままにします。
- ピア認証モード
- 事前共有鍵:接続の認証と暗号化に使用される共有秘密鍵。32~128文字の英数字文字列で、少なくとも1つの大文字、1つの小文字、1つの数字を含む必要があります。この値は、両方のサイトで同じでなければなりません。
- 証明書証明書を使用するには、証明書とCA証明書をアップロードします。
-
エンドポイントの構成
ローカルエンドポイント
- IPアドレス:Edge Gatewayの外部IPアドレス。
- ネットワーク:VPNにアクセスできる組織のネットワークを入力します。複数のローカルサブネットはカンマで区切ります。
リモートエンドポイント
- IPアドレス:VPNが設定されているリモートサイト、オンプレミスのファイアウォール、またはEdge Gatewayの外部IPアドレス。
- ネットワーク:OVDCからアクセス可能なオンプレミスネットワークのサブネット。たとえば、オンプレミスネットワークが 172.20.0.0/16 の範囲を使用する場合は、172.20.0.0/16、または 172.20.0.0/25 などの小さいサブネットを入力します。
- リモートID
- この値はピアサイトを一意に識別し、トンネル認証モードに依存します。指定しない場合、リモート ID のデフォルトはリモート IP アドレスです。
- 事前共有キー:リモートIDは、NATが設定されているかどうかによって異なります。リモートIDにNATが設定されている場合は、リモートサイトのプライベートIPアドレスを入力します。それ以外の場合は、VPNトンネルを終端するリモートデバイスのパブリックIPアドレスを使用します。
- 証明書:証明書:リモート ID は、リモートエンドポイント証明書の SAN(サブジェクト代替名)が存在する場合、それと一致する必要があります。リモート証明書に SAN が含まれていない場合、リモート ID は、リモートエンドポイントの保護に使用される証明書の識別名と一致する必要があります。
-
設定が完了したら、[Keep] をクリックしてVPNトンネルのエッジエンドを作成し、[Save changes] をクリックします。
2台目のVPNゲートウェイを作成する
このエンドポイントが別の OVDC にある場合は、手順を繰り返してトンネルを作成します。トンネルの作成後、ファイアウォール設定を更新し、接続を検証します。外部のデータセンターに接続する場合は、そのデータセンターでトンネルを構成します。
IKEフェーズ1とフェーズ2
IKE(Internet Key Exchange)は、安全な認証通信を確立するための標準メカニズムです。以下は、Phase 1とPhase 2でサポートされる構成パラメータの一覧です。
フェーズ1パラメータ
フェーズ 1 は、ピア認証を確立し、暗号化パラメータをネゴシエートし、セッション鍵を生成します。サポートされるフェーズ1パラメータは以下のとおりです:
- メインモード
- AES/AES256/AES-GCM(ユーザー設定可能)
- ディフィー・ヘルマン・グループ
- 事前共有秘密(ユーザー設定可能)
- SA寿命28800秒(8時間)、kバイトのリキーなし
- ISAKMP アグレッシブモード無効
フェーズ2パラメータ
IKE フェーズ 2 は、フェーズ 1 キーから派生させるか、または新しいキー交換を実行することで、 キーイング材料を生成して IPsec トンネルをネゴシエートします。サポートされるフェーズ 2 パラメータは次のとおりです:
- AES/AES256/AES-GCM(フェーズ1の設定に一致)
- ESPトンネルモード
- ディフィー・ヘルマン・グループ
- リキーの完全な前方秘匿(両方のエンドポイントで有効な場合のみ)
- SAライフタイム3600秒(1時間)、kバイトのリキーなし
- IPv4サブネットを使用する2つのネットワーク間のすべてのIPプロトコルとすべてのポートのセレクタ
VPN用Edge Gatewayファイアウォールの設定
VPNトンネルが確立されたら、トンネルを通過するトラフィック用にEdge Gateway上でファイアウォールルールを作成します。
- データセンターからOVDC、OVDCからデータセンターの両方のトラフィック方向に対してファイアウォールルールを作成します。
- データセンターからOVDCへのセット:
- ソースから外部OVDCまたはデータセンターネットワークのソースIPレンジへ
- 宛先はOVDCネットワークの宛先IPレンジへ
- OVDCからデータセンターへのセット:
- ソースからOVDCネットワークのソースIPレンジへ
- 宛先は、データセンターまたはVDCネットワークの宛先IP範囲へ
トンネルの検証
IPsecトンネルの両端が設定されると、接続は自動的に確立されます。
運用コンソールでトンネルのステータスを確認するには
- Edges ページで、設定するエッジを選択し、Configure Services をクリックします。
- 統計]タブを選択し、[IPsec VPN]タブを選択します。
- 設定された各トンネルについて、チェックマークはトンネルが運用中であることを示します。異なるステータスが表示される場合は、トンネルの構成とファイアウォール ルールを確認してください。
- VPN経由でトラフィックを送信できるようになりました。
トンネルが確立された後、VPN接続がアクティブとして表示されるまで最大2分かかることがあります。
OVDC分散ファイアウォールルールの作成
Org OVDC レベルでは、分散ファイアウォールを使用して、オペレーショナル・コンソール経由でマイクロセグメンテーションを適用することができます。
分散ファイアウォールルールを使用するには、MPCサービスオプション分散ファイアウォール を有効にする必要があります。
始める前に
- IPセット :ルールのソースまたは宛先として使用されます。ファイアウォールルールやDHCPリレー構成で使用するIPセットを作成します。IPセットは、インターネットや会社のWANなど、VCDの組織外のリソースをグループ化するために一般的に使用されます。この場合、IPアドレスまたはサブネットが使用されます。
- 静的グループ :静的グループには1つ以上のネットワークが含まれます。静的グループが分散ファイアウォール・ルールで使用されると、そのルールはグループ内のネットワークに接続されているすべてのVMに適用されます。
- Dynamic Groups :VM名、セキュリティタグ、またはその両方に基づいてVMをグループ化するために使用されます。デフォルトでは、ダイナミック・グループには1つの基準と1つのルールが含まれます。最大3つの基準と最大4つのルールに拡張できます。
分散ファイアウォールルールの作成
- オペレーショナルコンソールの仮想データセンターダッシュボードで、設定する分散ファイアウォールを含むOVDCを選択します。
- 左側のナビゲーションパネルで、Networking / Datacenter Groups / Distributed Firewall をクリックします。
- + をクリックして、ファイアウォールルールテーブルに新しい行を追加します。
- 新規ルール には、名前 を指定します。
- Source 、Destination 、ファイアウォール ルールの送信元アドレスと宛先アドレスを指定します。
-
ファイアウォールグループ
-
IPセット :NEW を選択し、名前、説明、IP 範囲または CIDR を指定します。
-
静的グループ :NEW を選択し、名前を入力してSave をクリックします。
メンバーの管理 を選択して新しいメンバーを追加します。
静的グループに追加するネットワークを選択します。
Associated VMs ビューには、どの VM が接続されたネットワークに接続されているかが表示されます。
-
ダイナミック・グループ :NEW を選択し、名前を指定し、使用する基準タイプを選択します。
-
ファイアウォール IP アドレス :IPアドレス、CIDR、または範囲を追加し、Keep を選択します。
- アクション (許可、ドロップ、または拒否)を選択します。
- IPプロトコル (IPv4、IPv6、またはその両方)を選択します。
- ログ を設定します。
- 選択保存.
サービス内容
サービスオプション
MPC Flexには、別途注文可能なサービスオプションがいくつかあります。
ディザスタリカバリのためのVMレプリケーション
MPCディザスタリカバリは、顧客が選択可能な3つのSLAプロファイルを使用して、クラッシュのないVMレプリケーションを提供するセルフサービスオプションです。混合構成を含む、FLEXとSTの配備間のレプリケーションをサポートします。セカンダリ・データセンターのVDCでは、予想されるワークロードに十分であれば、低容量のコンピュートまたはストレージを使用できます。
ディザスタリカバリを成功させるためには、VDCとネットワークトポロジーが、インターネット、オンプレミスの拠点、またはセカンダリデータセンターのキャビネットへの接続をサポートしている必要があります。VMフェイルオーバーのセルフサービステストは、フェイルオーバーの動作が要件を満たしていることを検証するためにサポートされています。
サービスを構成するには、オペレーショナルコンソールで仮想マシンをSLAプロファイルに割り当てます。レプリケーションが有効化されると、仮想マシンのデータは選択したセカンダリVDCにレプリケー トされます。
MPC Disaster Recoveryは以下のSLAを提供します:
| Parameter | Value | Description |
|---|---|---|
| RPO | Gold: 1 hour Silver: 4 hours Bronze: 24 hours | Timeframe in which the replication is finished. |
| RTO | 30 minutes | Timeframe within which the VM must be started in the secondary datacenter after customer‑initiated failover. RTO starts after failover is initiated by customer. |
| # Retention points | Gold: latest + 8 points Silver: latest + 6 points Bronze: latest + 2 points | All profiles consist of the latest restore point plus a defined number of automatically stored restore points. Maximum restore point age is 2 days. |
ディザスタリカバリ機能は、I/Oフィルタベースのキャプチャ技術を使用しています。このアプローチは、スナップショットベースのレプリケーションに関連するパフォーマンスへの影響を回避します。
フェイルオーバー が必要な場合、お客様は運用コンソールからセカンダリデータセンタへのワークロードのフェイルオーバーを開始できます。仮想マシンは選択したSLAプロファイルに従ってレプリケートされ、レプリケーションネットワークはサービスの一環としてエクイニクスが運用・監視します。
VMおよびアプリケーションの接続を含む顧客関連の接続は、MPC災害復旧オプションの範囲外であり、データセンター、インターネット、キャビネット、およびオンプレミス拠点間の接続を確保するために事前に準備する必要があります。
プライマリデータセンターが再び運用可能になると、お客様はオペレーショナルコンソールでレプリケーションの方向を逆にします。レプリケーションの復旧後、VMとアプリケーションは、お客様が選択した適切なタイミングでプライマリデータセンターに戻すことができます。
責任 効果的なディザスタリカバリのためには、パフォーマンスとキャパシティに影響を与えるアクティビティと、エクイニクスとお客様の間でそれらをどのように分担するかを理解する必要があります。
| Activities | Equinix | Customer |
|---|---|---|
| Selecting suitable MPC compute and storage for the DR site | I | RAC |
| Making the selected SLA profile available in the Operational Console | I | RAC |
| Configuring disaster recovery in the Operational Console | I | RAC |
| Ensuring DR site capacity is sufficient for disaster recovery | I | RAC |
| Managing replication infrastructure and connectivity | RAC | I |
| Configuring customer connectivity and networks during failover | I | RAC |
MPC Disaster Recovery 機能の購入単位 は、プライマリ・データセンターで選択された SLA プロファイルと連動する VM ごと、月単位のモデルに基づいており、価格設定にはレプリケーション接続と帯域幅が含まれます。セカンダリ・データセンターで消費されるコンピュートとストレージ容量はMPCサービスの一部ですが、VM用のマルチサイト・ネットワーキング接続は別途必要です。
| Purchase Item | Tier | UOM | Calculation Type | Description |
|---|---|---|---|---|
| Service Option – Disaster Recovery | Bronze Silver Gold | VM | Baseline Overage | Replication of a VM to a selected secondary MPC VDC in another datacenter, according to the selected SLA. |
メータリング は、割り当てられたSLAプロファイルに基づき、レプリケートされたVMを毎日カウントすることで計算され、月中にSLAプロファイル間を移動したVMは、該当する各プロファイルで過ごした期間に応じて請求されます。
関係と依存関係
- MPC Disaster RecoveryはMPC Flexおよび/またはMPC STでのみ利用可能です。
- このサービスオプションでは、異なるデータセンターに2つのMPC VDCが必要です。
- このサービスオプションは、一部のデータセンターの組み合わせでのみご利用いただけます。
MPCリソースのバックアップとリストア は、別途注文するマネージド・プライベート・バックアップ・サービスを通じて提供されます。このサービスには、VMデータまたはアプリケーションデータのバックアップが含まれます。
ソフトウェアカタログ は、セルフサービスポータルで利用できます。このカタログには、OVDCで稼働するVMで使用できるソフトウェアが掲載されており、オープンソースとライセンスソフトウェアの両方が含まれています。ライセンスソフトウェアのカタログには、Microsoft SPLA - Windows Server が含まれています。
ソフトウェア・ライセンスの購入単位| 購入単位 | タイプ | 料金タイプ | UOM | 注文と請求 | |------------------------||| vCPUあたりのWindows Server | 標準 | ベースラインと超過料金 | vCPU | パワーオンしているVMのvCPUあたりのベースラインと超過料金モデル。 |
カタログに加え、ソフトウェアライセンスはエクイニクスソフトウェアライセンスサービスでご注文いただけます。
Bring Your Own License では、ベンダーのライセンス条件の検証を条件として、既存のソフトウェアライセンスを使用することができます。
サポートプラン は、サービスリクエスト、充実したサポート、レポート作成、設計支援などの追加サービスを提供します。Managed SolutionsPremier Support Plan は、月単位または年単位のサポート時間ブロックを割引料金で提供するプリペイドプログラムです。サポート時間は15分単位で計算されます。プリペイドプランをご利用にならない場合、サポート時間は15分単位で計算され、プレミアサポートサービスの標準料金で1時間ごとに課金されます。
| Purchase Unit | Type | Charge Type | UOM | Ordering and Billing |
|---|---|---|---|---|
| Technical Support Plan | Monthly | Baseline | Hour | Monthly reservation of hours for technical support |
| Technical Support Plan | Annual | Baseline | Hour | Yearly reservation of hours for technical support |
サポートプランは、すべてのマネージドソリューション製品に適用されます。割り当て時間を超過した場合、追加時間は標準のプレミアサポートサービス料金で請求されます。未使用の月間または前払いの時間はロールオーバーされず、没収されます。プランがアップグレードされない限り、プリペイドの上限を超えた利用は標準料金で請求されます。このプランは国別に設定されており、特定のIBXデータセンターとの関連はありません。
移行サポート は、アプリケーションのリファクタリングなしに、vSphere または Cloud Director からの VMware ワークロードをサポートするツールを使用して、オンプレミス環境から MPC へのワークロードの移行を可能にします。お客様は、非同期レプリケーションを使用してMPC環境とペアリングするアプライアンスをVMware環境に展開します。マイグレーションは、デフォルトではインターネット経由でサポートされ、リクエストに応じてプライベートEquinix Fabric接続でもサポートされます。ファブリックベースの移行には専用の仮想回線が必要で、最大10 Gbpsの速度に対応します。インターネットベースの移行では最大400 Mbpsの速度に対応します。ツールの利用は無料で、サポートプランによる追加サポートもご利用いただけます。
| Connection | Speed | Network Configuration |
|---|---|---|
| Internet | Up to 1 Gbps | No |
| Fabric | Up to 10 Gbps | Yes, set up VLANs |
サービス・デマケーションとイネーブリング・サービス
MPCにより、エクイニクスはデータセンター施設、データセンターネットワーキング、コンピュート、ストレージ、仮想ネットワーキングを含むInfrastructure-as-a-Serviceプラットフォームを提供します。エクイニクスはハイパーバイザーレイヤーまでサービスを管理し、仮想化のためのプラットフォームライセンスを提供します。リソースは論理的に分離された環境で提供され、お客様が環境を管理するためのオペレーションコンソールを利用できます。
お客様は、ご自身のワークロードを管理する責任があります。これには、仮想マシン、ストレージ、仮想ネットワーク、セキュリティ・ポリシー、容量の作成と管理、オペレーティング・システムやアプリケーションに必要なライセンスの提供などが含まれます。
制限事項
MPC Flexは、パフォーマンス、可用性、セキュリティを維持するため、セルフサービスアクセスや機能に制限を設けたマネージドサービスです。
概要
- vSphere または vCenter 機能へのアクセスは、MPC オペレーショナルコンソールおよび API を通してのみ可能です。
- vCenter および vSphere との統合は、MPC オペレーショナルコンソールを通じて公開される機能に限定されます。
コンピュート
- VMスナップショットの作成は、VMごとに1つの同時スナップショットに制限されています。
仮想ディスク
- MPCオペレーショナルコンソールやAPIを使用したVM間の仮想ディスクの移動はサポートされていません。
- 複数のVM間で仮想ディスクを共有することはサポートされていません。共有ディスクを使用したMicrosoft Windows Server Failover Clustering(WSFC)はサポートされていません。
ネットワーク
- シングルルートI/O仮想化(SR-IOV)およびVMからの直接物理NICアクセスはサポートされていません。
購入単位
MPCサービスは、Baseline値またはBaseline with Overage料金タイプに基づいて毎月課金されます。
- Baseline - 注文で定義されたサービス単位の具体的な量。
- Overage - 契約したベースライン量を超えるサービスの消費量。
購入ユニットカタログ
この表は、マネージド・プライベート・クラウドの購入単位と課金方法の一覧です:
| Category | Purchase Unit | UOM | Install Fee | Billing Method | Overage |
|---|---|---|---|---|---|
| MPC Service | Connectivity – Routed | Each | Baseline | ||
| Connectivity – Customer Routed | Each | Baseline | |||
| Connectivity – Managed Firewall | Each | Baseline | |||
| Connectivity – Joined | Each | Baseline | |||
| MPC Compute | vCPU – Full | vCPU | Baseline | Yes | |
| vCPU – Optimized | vCPU | Baseline | Yes | ||
| MPC Memory | vRAM | GB | Baseline | Yes | |
| MPC Storage | High Performance | TB | Baseline | Yes | |
| Performance | TB | Baseline | Yes | ||
| MPC Service Option | Network – Managed Virtual Circuit (xx Mbps) | Each | Yes | Baseline | |
| Network – Managed Internet Access (xx Mbps) | Each | Baseline | |||
| Network – Additional IP space /24/25/26/27/28/29 | Each | Baseline | |||
| Network – External network | Each | Yes | Baseline | ||
| Network – Distributed Firewall per vCPU – Full | vCPU | Baseline | Yes | ||
| Network – Distributed Firewall per vCPU – Optimized | vCPU | Baseline | Yes | ||
| License – Windows Server per vCPU | vCPU | Baseline | Yes | ||
| Disaster Recovery Gold/Silver/Bronze | VM | Baseline |
オーバーエイジ値の計算 MPC の消費量を 1 日に複数回測定し、1 日の最大値をオーバーエイジ計算に使用します。毎月の超過分値は、毎日の最大値を合計し、請求月の日数で割ることによって決定されます。日数とは、月初めの 2 日前から翌月の 2 日前までの期間を指します。例えば、10月の超過分は、9月29日から10月30日までの消費量に基づきます。
役割と責任
サービスの履行と提供において、エクイニクスとお客様は責任を分担します。次のセクションでは、これらの責任の概要を説明します。
オンボーディング
| Activities | Equinix | Customer |
|---|---|---|
| Schedule / execute project kickoff meeting | RA | CI |
| Schedule / execute customer onboarding | RA | CI |
| Delivery of the OVDC in accordance with the order | RA | I¹ |
| Delivery of the agreed compute capacity in accordance with the order | RA | I¹ |
| Delivery of the agreed storage capacity in accordance with the order | RA | I¹ |
| Delivery of the connectivity type in accordance with the order | RA | I¹ |
| Delivery of the Managed Virtual Circuits in accordance with the order | RA | C |
| Delivery of the Managed Internet Access in accordance with the order | RA | C |
| Delivering the agreed network functionality in accordance with design (optional) | RA | C |
| Delivery of the MPC Operational Console | RA | I¹ |
| Delivery of the admin account for the Operational Console | RA | I¹ |
サービス開始
オンボーディング活動が完了した後、テスト活動により、製品が正常に提供され、請求の準備が整っていることを確認します。
| Activities | Equinix | Customer |
|---|---|---|
| Test access to MPC product page on Managed Solutions Portal | CI | RA |
| Test access to MPC documentation on docs.equinix.com | CI | RA |
| Test access to MPC operational console | CI | RA |
| Confirm MPC fulfillment based on preview evidence | CI | RA |
| Set product as enabled for customer on internal systems | RA | I |
運用
マネージド・プライベート・クラウドが有効化されると、以下の運用項目が適用されます:
| Activities | Equinix | Customer |
|---|---|---|
| Technical management of the service (overall) | RAC | I¹ |
| Functional management of the customer environment within the service (overall) | I² | RAC |
| MPC infrastructure monitoring and maintenance | RA | I |
| Create, import, and manage VMs and vApps | I² | RAC |
| Scale VMs up and down | I² | RACI |
| Manage VM snapshots | RACI | |
| Manage access to VMs with console | RACI | |
| Request performance statistics | RACI | |
| Create and fill Library with customer’s own ISO/OVA files | RACI | |
| Separate or group VMs for availability or performance | I² | RAC |
| NFV: Virtual L2 networks | I² | RAC |
| NFV: Standard firewalling | I² | RAC |
| NFV: Routing (static) | I² | RAC |
| NFV: Routing (dynamic OSPF / BGP) | I² | RAC |
| NFV: NAT | I² | RAC |
| NFV: DHCP | I² | RAC |
| NFV: Load balancing | I² | RAC |
| NFV: VPN (IPsec, Client) | I² | RAC |
| Setup and manage scripting and automation capabilities | RACI |
RACIとは、Responsible(責任ある)、Accountable(説明できる)、Consulted(相談された)、Informed(知らされた)の頭文字をとったもの。
- インフォームド・コンセントは、ユーザー環境の機能に影響を与えるタスクにのみ義務付けられています。
- インフォームド・コンセントが必要なのは、サービスの運営および/または管理に影響を与えるタスクに限られる。
インシデント管理
インシデント管理は、サービスサポートの一部として含まれています。すべてのインシデントは優先順位に基づいて処理されます。優先順位はインシデントの報告後に決定され、提供された情報に基づいてエクイニクスが評価します。
| Priority | Impact / Urgency | Description |
|---|---|---|
| P1 High | Unforeseen unavailability of a service or environment delivered and managed by Equinix, in accordance with the service description, due to a disruption. The user cannot fulfil its obligations toward its users. The user suffers direct demonstrable damage due to the unavailability of this functionality. | The service must be restored immediately; the production environments are unavailable, with platform‑wide disruptions. |
| P2 Medium | The service does not offer full functionality or has partial functionality or reduced performance, because of which users are impacted. The user suffers direct demonstrable damage due to limited availability of this functionality. | The service must be repaired the same working day; the management environment is not available. |
| P3 Low | The service functions with limited availability for one or more users, and there is a workaround in place. | The moment of repair of the service is determined in consultation with the reporting person. |
注: この分類は、たとえばユーザー固有のアプリケーション、ユーザーによる操作、またはサードパーティに依存して発生した障害には適用されません。インシデントは、カスタマーポータルのマネージドソリューションから提出できます。P1インシデントは、電話で提出する必要があります。
サービスリクエスト
サービスリクエストは、サービスの問題を報告したり、実装や構成変更の支援を要請するために使用されます。標準的な構成変更は、MPCセルフサービスポータル からサービスリクエストとしてリクエストできます。サポートは 24×7×365 でご利用いただけます。サービスリクエストには 2 つのタイプがあります:
- Included - サービスの範囲内であり、追加料金が発生しないサービスリクエスト。
- 追加 - サービスの範囲外で追加料金が発生するサービスリクエスト。
| Request Name | Included / Additional |
|---|---|
| Create a DC group over multiple OVDCs | Additional |
| Change external access OVDC API | Additional |
| Add a user for the Operational Console | Included |
| Remove a user from the Operational Console | Included |
| Change permissions for a user | Included |
上記に記載されていない変更は、サービスリクエストモジュールで変更 を選択してリクエストできます。エクイニクスは影響度分析を実施し、実現可能性、コスト、リードタイムを判断します。サービスリクエストに関連する料金は、プレミアサポートプラン の残高から差し引かれます。残高が不足する場合は、現行料金で請求されます。ベースライン容量や注文数量に影響を与えるリクエスト、または月額サービス料金に影響を与える変更は、エクイニクスの営業チームを通じてリクエストする必要があります。
報告
サービスの一環として、顧客は以下のトピックをカバーする月次サービスレポートを受け取ります:
- SLAパラメータに対するチケットの発生
- OVDCあたりの容量
サービスレベル
サービスレベル合意書(SLA)は、MPCサービスに適用される測定可能なパフォーマンスレベルを定義し、エクイニクスがこれらのレベルを満たせなかった場合にお客様が利用可能な救済策を規定しています。以下に記載されたサービスクレジットは、本セクションで定義されたサービスレベルの閾値を満たせなかった場合の唯一かつ排他的な救済措置です。
| Priority | Response Time¹ | Resolution Time² | Execution of Work | SLA³ |
|---|---|---|---|---|
| P1 | < 30 min | < 4 hours | 24x7 | 95 % |
| P2 | < 60 min | < 24 hours | 24x7 | 95 % |
| P3 | < 120 min | < 5 days | 24x7 | 95 % |
- レスポンスタイムは、トラブルチケットが提出されてから、エクイニクスのマネージド・ソリューション・スペシャリストが正式な回答を提供するまでの時間です。
- 解決時間は、チケットの作成からクローズ、キャンセル、またはIBXサポートへの引き渡しまでの時間です。
- SLAは応答時間に適用され、SLAの詳細は製品ポリシーに記載されています。
MPCサービスの可用性レベル は、単一のOVDCの可用性を指します。エクイニクスが管理するインフラストラクチャに障害が発生し、OVDCがエラー状態に陥り、お客様のソリューションに直接障害が発生した場合、MPCサービスは「利用不可」と見なされます。
| Availability Service Level | Description |
|---|---|
| 99.95%+ | Achieved when total OVDC unavailability is less than 22 minutes over a calendar month. |
サービスクレジット制度は、製品ポリシーに定義されている可用性SLAに適用されます。MPCサービスの可用性にはデータの復元は含まれません。データの復元はお客様の責任となります。Managed Private Backupが契約されている場合、Managed Private Backupオペレーショナル・コンソールを使用したセルフサービスによってデータをリストアすることができます。Managed Private Backupが契約されていない場合、データの復元はお客様の責任となります。