本文へスキップ

ネットワーキング

エクイニクスのハイブリッドクラウド環境では、以下のコンポーネントを含む、VMとクラウドで必要とされるサービス間の通信を可能にする仮想ネットワークと機能を作成できます。

ネットワークの種類

  • Isolated Network - 内部ネットワークはソースVDC(Dedicated、Flex、On-Demand)内で利用可能で、他のサービスやVDCへの外部ルーティングはありません。
  • ルーティング可能なネットワーク - ルーティング可能なネットワークは、VDC(専用、フレックス、オンデマンド)で利用可能で、ユーザーのエッジデバイス上のファイアウォールルールおよびBGPルーティングポリシーによって事前に設定されている場合、VDCと外部クラウド通信間のデフォルトルーティングが可能です。

エッジゲートウェイ

ネットワークの通信に使用される内部ルーターは、VDCまたは外部クラウドネットワーク間でルーティングされます。この機能はEquinixによって事前に設定され、高可用性でユーザー専用のVRF-TierO(Virtual Routing and Forwarding)に接続され、外部クラウド通信用のBGPルーティングが提供されます。この設定は、エクイニクスのハイブリッドクラウドサービス(FirewallManaged Solutions L3 )の技術調査に基づいて行われます。

Equinixの標準ポートフォリオで利用可能なNetwork Hardware L3 製品に加えて、お客様の機器がBGPプロトコルのサポートと接続の前提条件を満たしていれば、既存の環境を経由してEdge GatewayとVRF-TierOの接続を選択できます。

ファイアウォール、NAT、外部ネットワーク

エッジゲートウェイ(Tier-1)は、VDCエッジで動作するゲートウェイファイアウォール(North-South -レイヤ7)とNAT(Network Address Translated)機能をデフォルトで提供します。これにより、仮想データセンター間の通信や外部のクラウド通信を許可または拒否します。

ネットワークは、内部ルーティングネットワークのインバウンドポートまたはアウトバウンドポートに分類できます。これらのポートは、契約接続製品の技術調査に基づいてエクイニクスが事前に設定し、Natサービスが有効な場合に使用されます。これにより、接続の入口または出口で内部ルーティングネットワークへのアクセスがマスクされます。

メモ

ハイブリッド・クラウド・ソリューションのTier-1レイヤーにはネイティブのL4ファイアウォール機能がありますが、BGPルーティングをサポートし、VRF-TierOとの通信が可能で、レイヤー7のセキュリティ機能をサポートするエッジファイアウォールの必要性を代替するものではありません。

ファイアウォールルールの作成と編集

Hybrid Cloudポータルのメインページで、Networking → Edge Gateways と進み、目的のVDCに関連付けられたEdge Gatewayをクリックします。ハイブリッド・クラウドのエッジに接続されている外部サービスのタイプ(Managed Solutions または Managed Firewall)を確認します。

次の画面で、Services → Firewall を選択し、デフォルトルールを確認します。EDIT RULES ボタンを使用して、新しいルールを追加または管理します。

セキュリティ メニューから、セキュリティグループ、IP、サービスを作成し、ルール管理を簡素化できます。

マイクロセグメンテーション - VDC-グループ(販売終了)

メモ

この機能は2024年5月29日 で販売終了となりました。本機能は、この日より前にご利用いただいていたお客様のみご利用いただけます。この日以降にハイブリッド・クラウドをご契約されたお客様は、本機能をご利用いただけません。

Virtual Datacenter Group (VDC-Group)は、VDCのグループ化を可能にし、マイクロセグメンテーションのためのDistributed Firewall機能を実現します。これにより、名前と属性に基づく仮想マシンのセグメンテーションが可能になり、Dedicated、Flex、On-Demandクラスタ間でのネットワークの共有がサポートされます。

分散ファイアウォールはハイパーバイザーカーネルに組み込まれており、ワークロードと仮想化ネットワークの可視性と制御を提供します。VM名やネットワーク(IPアドレスまたはIPセット)などのオブジェクトに基づいてアクセス制御ポリシーを作成できます。ファイアウォールのルールは、各VMのvNICレベルで適用されるため、vMotionによる移行時にも一貫したアクセス制御が可能です。これにより、東西トラフィックをレイヤ7まで検査できるマイクロセグメンテーションセキュリティモデルがサポートされます。

important

VDC-Group のアクティベーションは、新しい環境を作成するときに要求できます。既存環境の場合は、サポートチケットをご送付いただくと、エクイニクスが要件評価と影響分析を行った上で機能を有効にできます。

VDC-Groupによるネットワークの作成と編集

マイクロセグメンテーション機能を有効にすると、Data Center Group という新しいタブが表示され、VDCのグループ化が表示されます。新しいネットワークを作成するには、Data Center Group オプションを選択します。VDC間でネットワークが自動的に共有されます。

分散ファイアウォール - ルールの作成と編集

Distributed Firewall でセキュリティポリシーを作成するには、Hybrid Cloud ポータルのNetworking → Data Center Groups にアクセスします。

テナントの VDC-Group を開き、Distributed Firewall → Edit Rules を選択します。

NATルールの作成と編集

NATサービスはオプションであり、お客様の環境のトポロジーに基づいて検討する必要があります。一般的な使用例

  • 使用例 1: NAT はハイブリッド・クラウドの外部にある外部エッジ・ファイアウォー ルで発生し、VRF-Tier0 に接続されています。この場合、EdgeGateway-Tier1 の NAT および外部ネットワーク機能は不要です。
  • 使用例 2: NAT は、顧客用に予約されたパブリック IP の範囲を使用して、VDC の EdgeGateway-Tier1 で発生します。
  • ユースケース3: チェーンNAT: 外部ファイアウォールがVRF-Tier0へのNATを実行し、次にEdgeGateway-Tier1が内部ルーティングネットワークへの2つ目のNATを実行します。

ユースケース 2 と 3 では、サービス → NAT を介して新しい NAT ルール(DNAT と SNAT )を追加し、NEW をクリックします。

エッジゲートウェイ - ハイレベル・トポロジー

次に、ハイブリッド・クラウドの内部と外部の接続を明確にするためのハイレベルなトポロジーを示します。

  • Tier-0 Gateway - ハイブリッドクラウドへの外部環境とのBGPリンク、およびVDC間の内部ルーティングを担当するVRF Edgeルーターです。契約サービスや接続ソリューションの技術調査に基づいてエクイニクスが設定します。
  • Tier-1 Gateway - ハイブリッドクラウドポータルのEdge Gatewayに分類され、ネットワークの接続とルーティング、DHCP、Gateway Firewall、VDC Natサービスを担当します。エクイニクスのイネーブルメントチームにより初期設定され、契約サービスと接続ソリューションの技術調査に基づいています。
  • セグメント - これはハイブリッドクラウドポータルのネットワークに分類され、内部ネットワーク またはルーティングネットワーク のオプションがあります。このセグメントの作成と設定はユーザーによって行われ、その後クラウドエッジで利用可能なルーティングポリシーとファイアウォールルールによってクリアされます。

仮想ネットワークの作成と編集

一部の仮想ネットワークは、ソリューションと契約している接続製品またはプロフェッショナルサービスの技術調査に基づいて、エクイニクスのイネーブルメントチームがデフォルトで作成します。しかし、新たな需要に対応するため、いつでも新しいネットワークを作成し、ルーティングすることが可能です。

Equinix Hybrid Cloud Portalのトップページで、Networking | Networks にアクセスし、New をクリックします。

New Organization VDC Network
ScopeSelect the desired VDC and click Next.In this case we can choose to create networks in the Dedicated, Flex or On-Demand Virtual Datacenter.
Network TypeSelect the type of network you want, opting for a routed or isolated connectionEach VDC can contain up to two routers in the routed connection model, one dedicated for connecting to external networks and the Internet and the other specifically for connecting to the Equinix services network, delivering products such as “Backup”, “Intelligent Data” and others.
GeneralEnter a name, CIDR Gateway and Description.For example: LAN01, 192.168.110.1/24
Static IP PoolsEnter a pool of IPs available for automatic allocation when creating new VMsFor example: 192.168.10.100-192.168.110.100
DNSEnter the primary, secondary and Suffix DNS addressesFor example: 8.8.8.8, 8.8.4.4, domain.local
Ready to completeReview options and confirm the creation of the new virtual network.

:::note ネットワークはデフォルトでVDC間で内部ルーティングされます。ただし、外部アクセスとインターネットアクセスを有効にするには、BGPルーティングポリシーとファイアウォールルールの見直しが必要です。この追加設定は、ユーザーのEdgeファイアウォールが管理されている場合はサポートチームに依頼することができ、ファイアウォールが管理されていない場合はユーザー自身で設定することができます。オプションとして、管理されていないお客様は、ルーティングとファイアウォールのポリシーをクリアし、作成するための技術的な時間を契約することもできます。 :::

ファイアウォールルールの作成と編集

  1. Equinix Hybrid Cloudポータルのトップページで、[Networking | Edge Gateways] をクリックします。

  2. ハイブリッドクラウドのエッジに関連する外部サービスのタイプ(マネージドソリューションまたはマネージドファイアウォー ル)に基づいて、目的の VDC に関連するEdge Gateway を選択します。

  3. 次の画面で、Services -> Firewall メニューをクリックし、デフォルトの環境ルールをチェックします。EDIT RULES をクリックして、新しいルールを追加および管理します。

  4. セキュリティ メニューで、セキュリティグループ、IP、サービスを作成し、ルール管理を容易にします。

    Security GroupsCreate security groups and add the networks used by the VMs in the VDC. For example: SC-LAN-ONDEMAND (Will encompass all VMs connected to that network).
    IP SetsCreate IP groups to identify networks external to the VDC.
    Application Port ProfilesCreate services to identify the applications and ports used.

NATルールの作成と編集

NATサービスはオプションであり、その使用は環境のトポロジーに基づいて検討する必要があります。いくつかの使用例を挙げると、以下のようになる:

  • 使用例 1 - VRF-Tier0に接続されたハイブリッド・クラウド外部のエッジ・ファイアウォー ルでアドレスを直接変換できます。VRF-Tier0 に接続されているハイブリッド・クラウドの外部のエッジ・ファイアウォー ルでアドレスが直接変換され、変換された通信が内部のルーティングされたネットワークに送られます。このシナリオでは、VDC の EdgeGateway-TierI の NAT および外部ネットワーク機能は不要です。
  • ユースケース2 - 外部VDCネットワークには、ユーザー用に予約されたパブリックIPの範囲が含まれている場合があります。この場合、VDCのEdgeGateway-Tierlで直接NATが行われ、内部ルーティングされたネットワークがマスキングされる可能性があります。
  • ユースケース3 - このユースケースは、NATが別のNATにリンクされている場合に発生します。つまり、ハイブリッド・クラウドと VRF-Tier0 の外部にあるファイアウォールに接続されたパブリック・ネットワークです。VDCのEdgeGateway-TierlにあるプライベートIPを持つ別の外部ネットワークに対してNATを実行し、内部ルーティングネットワークに対して2つ目のNATを実行します。

上記のユースケース2と3では、Services -> NAT から、NEW を選択して、新しいNATルール(DNATとSNAT)を追加できます。

このページは役に立ちましたか?