はじめてのSoftLayer「ネットワーク編」

⽇本SoftLayerユーザグループ

SoftLayer Bluemix Summit 2015

Speaker

常⽥ 秀明 (Tokida Hideaki)

ソリューションビジネス営業本部

クラウドエバンジェリスト

@tokida , hideaki.tokida

はじめに

このテキストは、⽇本ユーザ会にて作成した資料となりIBM社及びSoftLayerTechnology社の正式な資料でありません。

また、各サービス内容は常に更新されていますので実際にご利⽤になる際にはご確認の上利⽤して下さい。

2015.9.2

今⽇の⽬標

SoftLayerにおける「ネットワーク」の概念を理解

ネットワーキング概要

• リージョンとデータセンター• SoftLayerではリージョン（地域）とデータセンターという概念があり

ます。アメリカ以外では1カ国、1データセンターとなっており現状リージョン単位で利⽤されるサービスは⼀部です。• データセンターは現在、20拠点に構築されています。• データセンターへのネットワーク的な経路としての⼊り⼝としてPOP

拠点が19箇所に存在しております。• ⽇本には、東京POP(tok02)が設置されています。

東京近郊のネットワーク

• 東京が直接接続している拠点• Hong Kong 、Shingapore、Sydney、San Jone

• 東京が利⽤しているキャリア• Equinix (10G）、NTT(10G) 、Telstra (10G)

• SoftLayerでは各POP・DataCenterにおけるキャリアの利⽤状況が公開されています(要ログイン）

(参考資料)

高良氏「Cedec2015ゲームサーバー基盤の新しい選択肢」http://www.slideshare.net/MahoTakara/cedec2015-52141349

3つのリアルネットワーク

•パブリック• インターネットと接続

•プライベート• データセンター間を接続• データセンター内のネットワーク

•マネージメント• 管理⽤ネットワーク

• サーバ群にたいしてInternet側の接続を提供します。• 1つのデータセンターでは複数の独⽴したキャリアによって接続• InternetへのTransitからNetwork PoPを経由して「パブリックネット

ワーク」に接続されます。• このネットワーク環境には、「Load Balancer」や「Firewall」等のサー

ビスが配置されています。• パブリックネットワーク上のサービスを利⽤する場合には、各サーバ

はパブリックネットワークへの接続が必要となります。

パブリックネットワーク

高良氏「Cedec2015ゲームサーバー基盤の新しい選択肢」http://www.slideshare.net/MahoTakara/cedec2015-52141349

• 3つのネットワークから構成

データセンター内のネットワーク構成

• SoftLayerのネットワークは、SoftLayer全体で1つの⼤きな接続性の有るネットワークが存在しておりユーザはその⼀部が割り当てられて利⽤する事が出来ます。• 世界中に有るデータセンターのどこでサーバを購⼊してもネットワーク的に接続がされています（標準でマルチリージョン通信）

プライベートネットワーク

DC#3 DC#nDC#1 DC#2

• プライベートネットワーク• プライベートネットワークの中には、ユーザが利⽤するプライベートネットワークと管理⽤のマネイジメントネットワークが含まれています。• プライベートネットワークには、SoftLayer上の多くサービスを提供す

るサーバ群が設置されております。ここには「Storage」系のサービスから保守⽤の「OS Update Repository」などが配置されています。• VPN接続を⾏った場合には、Network PoPをから来た通信はプライ

ベートネットワークに接続されます。

データセンター内のネットワーク構成

（参考）管理ポータル上からも「フラット」に表現される

• IPアドレスが持ち込めません！• ローカルのIP体系の持ち込みが出来ません。• SoftLayerでは、ローカルのIPアドレス体系は “10.x.x.x” が利⽤され

ます。

• サーバをオーダするまでどの範囲のアドレスが割り振られるか不明です。（第2オクテットは概ねデータセンター単位です）• IP-SEC等の通信では共有設備のため必然的に、「NAT」にて制御され

ます。（ソフトウェアにより注意）

リアルネットワークの制約事項

• 割り当てられるのはどこ？

もう少し詳しく

• サーバは、常に2つのネットワークに物理的に繋がる構成です。

2つのネットワークをもつフラットな構成

Servers

パブリックネットワーク

プライベートネットワーク

• 2つのネットワーク・インターフェースが接続される。

• 仮想サーバと物理サーバではInterfaceカードの差はありますが接続されてる先は同じと考えて良いと思います。（どちらも同じサーバとして扱えるのことも利点です）

サーバから⾒たネットワークは？

eth0

eth1

eth0

eth1

Bond0:チーミング

PublicNetwork

PrivateNetwork ＆ ManagementNetwork

仮想基盤

eth2

eth3

Bond1:チーミング

eth4

Management用（OSから見える場合と見えない場合あり）

Virtual Servers BaremetalServers

• したがって、どこまでもフラットな構成です

Servers

パブリックネットワーク

プライベートネットワーク

Servers Servers Servers Servers Servers

Subnetとは

Servers

パブリックネットワーク ⇒ 28bit (8アドレス）

プライベートネットワーク ⇒ 26bit (64アドレス）

Servers Servers Servers Servers Servers

• 1台購⼊しても払い出されるのは の単位です。• この単位を「Subnet」と呼びます。

Subnet

• サブネット（Subnet）• サーバの購⼊台数にかかわらずSubnet単位で割当されます。• 最⼩のネットワーク単位は、「Subnet」です。

• これは、10.x.x.x/26 等の形式で払いだされます。• 複数のSubnetをまとめて「VLAN」が構成されます。

• 割当単位• プライベートネットワークの場合には、26bit (64アドレス）• パブリックネットワークの場合には、28bit (8アドレス）

データセンター内のネットワーク構成

• どんどんサーバを⾜していくとSubnetの中でIPアドレスが⾜りなくなります

→⾃動的にSubnetが追加されます。

Subnetが⼀杯になったら

パブリックネットワーク

プライベートネットワーク

Servers Servers Servers Servers Servers Servers Servers Servers Servers Servers Servers Servers

Subnetが追加

• Subnetが異なるとサーバ間の通信は？→ SoftLayerが⾃動的にルーティングしてくれます。

Subnet間の通信

パブリックネットワーク

プライベートネットワーク

Servers Servers Servers Servers Servers Servers Servers Servers Servers Servers Servers Servers

？

• 同じグループのSubnet 、これを「VLAN」と呼ぶ→ サーバを購⼊する際に、VLANが同じであれば「意識せずに通信が出来る」

VLANとは

ServersServersServersServersServersServers ServersServersServersServersServersServers ServersServersServersServersServersServers ServersServersServersServersServersServers

VLAN#1

VLAN#2 VLAN#4

VLAN#3

VLANは$25で追加可能

• 通常は出来ません。VLANが異なれば別のブロードキャストドメインとして扱われます。• VLANスパニングの機能を「ON（有効）」にすると通信出来る

異なるVLAN間での通信

ServersServersServersServersServersServers ServersServersServersServersServersServers ServersServersServersServersServersServers ServersServersServersServersServersServers

VLAN#1

VLAN#2 VLAN#4

VLAN#3

？例えば：東京データセンター 例えば：シンガポールデータセンター

1. ユーザは、サーバをオーダするとデータセンター毎に「VLAN」という単位でネットワークが割り当てられます。

2. ネットワークがサブネット単位でユーザに割り当てられるのが特徴です。サブネットは単⼀のVLANに所属しています。

3. VLANは、データーセンターを「越えません」4. VLANは、データセンターで複数利⽤することが出来ます。5. 異なるVLANをルーティング（通信するように）設定するためには「VLANスパニング」の機能を「有効」にすることで可能となります。

6. VLANには、「複数のSubnet」が含まれています。

VLANのまとめ

MutlicastDNSの通信可能範囲

• L2レベルでの通信が可能です。• IPマルチキャストは、同じSubnet内で有効です

通信プロトコルの補⾜

Servers Servers Servers Servers Servers Servers Servers Servers Servers Servers Servers Servers

• よくあるオンプレミスの「セグメント」分割を簡単に考えてみる• オーダする時に、「プライベートのみ」として購⼊できる

設計）セグメントの分割

Servers

パブリックネットワーク

プライベートネットワーク

Servers Servers Servers Servers Servers

外部向けセグメント 内部向けセグメント

設計）3階層でのネットワーク構成

Servers

パブリックネットワーク

プライベートネットワーク

Servers Servers Servers Servers Servers

DMZ

内部向けセグメント

Local Load Balancer

Router

Firewall

Router 外部向けセグメント

• Gateway Applianceを利⽤してVLAN間の通信を制御

設計）多層構造のネットワーク

パブリックネットワーク

内部向けセグメント(A)

Local Load Balancer

Router

Firewall

Router 外部向けセグメント

Network GatewayApplianceServers Servers Servers Servers Servers

内部向けセグメント(B)

プライベートネットワーク プライベートネットワーク

• 3つの接続⽅式

SoftLayerへの接続

VPN接続

専用線接続

SSL-VPN接続

• 「端末」と「ネットワーク」を接続する⽅法です。• 主にメンテナンスや開発で利⽤することが想定されます。

• 共有の受け⼝が1Gbps程度であること。転送セッションが8h程度で切断される（仕様には書かれていませんが実体験的に）ことからデータ送信⽤途では利⽤しない事を推奨します。

• ポータルに登録したユーザ何名でも利⽤可能• SSL-VPNで接続すると（以降のVPN接続は全て同じ）、「Management

Network」に接続され「Private Network」経由でサーバに接続する事が可能です。• SSL­VPNは、Array製のクライントソフトウェアを利⽤してVPNを⾏います（Web

ブラウザのプラグインと専⽤のクライアントソフトが利⽤可能）

• SSL-VPNとL2TPが利⽤可能です。

便利！SSL-VPN接続

• 「ネットワーク」と「ネットワーク」の接続を⾏うVPN形式です。• SoftLayer標準サービスを利⽤する⽅式（プライベート経由）

• ユーザのセグメントはIPマスカレードが適応される（送信元NAT）• １：１NATが必要な場合にはTicketで対応

• Gatewayアプライアンスを利⽤する⽅式（パブリック経由）• NATが適応されない• 送信経路がパブリック経由のため課⾦対象• Gatewayアプライアンス

もっともポピュラーなIP-SEC接続

• 専⽤線接続「DirectLink」サービス• 専⽤線を接続するためには、「東京POP（Equinix)」へ閉域網（NTTコム-Uno, KDDI-

WAVS, SoftBank-Ultina等)を利⽤して接続します。• Direct Linkを実施する場合には、東京POP内に設置したお客様ラックとSoftLayerの回線

を接続する必要があります。

エンタープライズ向け専⽤線接続

閉域網

接続⽅式 標準/オプション 特徴 接続先SSL VPN 標準（無償）

サービス・お客様のPCから個別に接続可能・管理者/エンドユーザ共に使⽤可能

DC/POPの中から都度選択可能PPTP VPN

IPSec VPN

有償オプションサービス

・お客様DC/オフィスのVPNルータから接続可能・管理者/エンドユーザ共に使⽤可能

購⼊時に選択したDCのみ

有償オプションアプライアンスゲート

ウェイ

・お客様DC/オフィスのVPNルータから接続可能・VPN接続はInternet経由での接続・様々な接続形態に対応

購⼊時のDCのInternet側

専⽤線 有償オプションサービス

・専⽤線を別途敷設し、SoftLayerの東京PoPにお客様DC/オフィスのルータから接続可能・エンドユーザが使⽤可能

購⼊時に選択したPoPのみ

InternetSoftLayerWAN

DC プライベートVLAN

パブリックVLAN Vyatta

gatewayappliance

DC

InternetSSLVPNPPTPVPN

IPSecVPN

IPSec VPN（Vyattaを利用） 専用線PoP

PoP

PoP

PoPDC

DC

接続⽅式のまとめ

データセンター内のネットワーク構成

自分のサーバ群

グローバル用のサービス群

プライベート用のサービス群

Internetへの接続口

VPNへの接続口

• Internetへ出て⾏く通信のみが対象• VPN接続（IP-Sec等）は「プライベート接続」扱い• プライベートは、VPN/専⽤線/DC間含めて無料となる• 無料枠と家族割サービス

• 1台あたり• 仮想サーバ： 250GByte/⽉• ベアメタルサーバ： 500GByte/⽉

• 複数台（家族割）• プール作成：$25（初回のみ）同⼀リージョンで作成• プール参加費⽤：$25/⽉

通信料⾦について

通信無料枠が変更されていますので注意して下さい。変更前に契約していたサーバは継続とのことです。

•Networking Architecture

通信通信料⾦について

自分のサーバ群

グローバル用のサービス群

プライベート用のサービス群

Internetへの接続口

VPNへの接続口

$0.10/GB

無料

無料

システムを⽀えるネットワークサービス

DNS

Domain

Direct Link

VPN(SSL-VPN)

VPN(IP-SEC)SSL証明書Local Load Balancer

Hardware Firewall

Vyatta Gateway

Fortigate Security

Ctrix NetScaler

Nessus

CDN

通信制御機能 ネットワーク接続機能 管理セキュリティ機能

• パブリック・プライベートで提供されるサービスが違います。

システムの設計⼿順

要件通信経路の確定

サービス利用の確定

利⽤できるSoftLayerの提供するマネージドサービスを利⽤するかを選択

経路として（１）パブリック経路の有無（２）プライベートの経路の選択

システムの要件を整理します

まとめ

• シンプルなネットワーク。

• 世界中のデータセンターでやりとしたい場合、SoftLayerのプライベートネットワークが役に⽴つ（無料、かつ特別な設定無しに利⽤が可能）。

• 今⽇は説明していませんが、ネットワーク機器も専有モデルが選択可能。

初⼼者は、ここから探していきましょう！

http://www.gg-web.jp/document/

まとめ

マニアは、ここから探していきましょう！

http://sldn.softlayer.com/reference/softlayerapi

ご清聴ありがとうございました

ユーザ会のブースありますのでお時間有る⽅はお⽴ち寄り下さい m(_ _)m