Embed Size (px)
DESCRIPTION
第3回東京 SoftLayerユーザ会 説明資料
Citation preview
NETWORKSOFTLAYERのネットワークの基礎 第3回東京SOFTLAYER勉強会資料 @TOKIDA
常田 秀明(Hideaki Tokida) • Twitter: @tokida
所属:
• 日本情報通信株式会社 http://niccloud.niandc.ne.jp
• ネットワーク(LAN系 L2〜~L3時代)→SIエンジニア(監視系ソリューション)→PM→運用PM→クラウド系SE
• オンプレミスの常駐型運用サービス〜~クラウド関連のお仕事を普段しています。
• Software Design 8月号-‐‑‒12月号(予定)に「SoftLayerを使ってみませんか」を寄稿しています。
自己紹介
はじめに
1.SoftLayerのネットワーク構成
2.Service機能紹介
SoftLayerのネットワークを説明する上で
• 時期により、Webサイト上の単語も少しづつ表現が変わってきています。ここではなるべくWebサイトに沿った形で説明を記載していますが若干意味合いが違うものがありますのでご注意下さい。
SOFTLAYERのネットワーク全体全世界に、14DataCenterや19箇所の接続拠点(POP)などが張り巡らされてています(14年中に15カ国、40拠点へ)
各DataCenterは、Private Networkにより接続されています。
• 冗長化された10G以上のネットワーク接続• 安価なネットワーク転送量 (Internetへの送信のみ課金対象)
出典元:http://www.softlayer.com/our-platform
東京ネットワークPOP
香港DC
シンガポールDC
各DATACENTERのつながり
リージョン(各地)のデータセンター間の接続
• データセンターは全てPrivateNetworkで接続されている
• 各拠点からInternetへ高速に接続されている。
DC#3 DC#n DC#1 DC#2
Private Network ・各データセンターは内部ネットワークを通じて接続されている
Public Network Public Network Public Network Public Network
DATACENTER内のネットワーク接続
出典:「Seattle Data Center 」
<1> パブリックネットワーク
パブリックネットワーク
• バックボーンを支えている「CoreNetwork」
• 利用するサーバが接続されている「FrontEnd Customer Network」があります。
• 「Frontend Customer Network」上には、「DNSサービス」、「Load Balancer」そして「Firewall」等のサービスを経由してサーバに接続されています。重要な機能としてInternetへの接続が実施されています。
• 個々のサーバのInterfaceまでがパブリックネットワークとなります。
<2> プライベートネットワーク
プライベートネットワーク
• 顧客が利用する「Backend Customer Network
• SoftLayer上の各種サービスが稼働している「Backend Service Network」がある。
• 「Backend Service Network」にiSCSIなどのストレージまたMonitoringやUpdate用のレポジトリなどが存在する。
<3> マネジメントネットワーク
マネジメントネットワーク
• プライベートから繋がるネットワークでVPN接続等の Out-of-Bandやメンテナンス等のサービスが稼働する
• VPN接続をした場合には、マネジメントネットワークに接続される
もう一度
出典:「Seattle Data Center 」
自分
のサ
ーバ
群 グローバル用のサー
ビス群
プライベート用のサービス群
Internetへの接続口
VPNへの接続口
論理的なネットワーク構成
ユーザは、SoftLayer全体のネットワークから「専用」に割り当てられたたネットワークを利用することが出来ます。
SoftLayerから割り当てられた「単位」でNetworkを管理していくことになります。
ユーザが利用できる一番大きな単位は「VLAN」と呼ばれる管理となり、これは一つのコリジョンドメインとなります。
VLANは、複数のSubnetで構成されています。
Subnetはセグメント(IPアドレス)が割り当てられておりユーザが意識するネットワークの最小単位となります。
VLAN#1
Subnet#1 Subnet#2
・・・ ・・・
VLAN#2
Subnet#3 Subnet#4
・・・ ・・・
VLANは、DataCenterをまたがっては構成できません。 全てのVLANを同一のコリジョンドメインにするための「VLANスパニング」機能があります。
サーバから見たネットワーク
個々のサーバからは標準では2つのNICがあり各々「Public Network」と「Private Network」に接続されています。
仮想サーバと物理サーバではInterfaceカードの差はありますが接続されてる先は同じと考えて良いと思います。(どちらも同じサーバとして扱えるのことも利点です)
管理用の「Management Network」も同様にPrivate Networkとしてサーバからは見えます(IPアドレスとして連続した番号が割り当てらています)
eth0
eth1
eth0
eth1
Bond0:チーミング
Public Network
Private Network & Management Network
仮想基盤
eth2
eth3
Bond1:チーミング
eth4
Management用(OSから見える場合と見えない場合あり)
PRIVATENETWORKのIPアドレス体系
ユーザに割り当てられているPrivateは自由に変更することが出来ません。
注意点
• IPアドレス体系の持ち込みは出来ない(任意のIPアドレス体系を作ることが出来ない)
• DataCenterによっても割り当てられている範囲が違う
• サーバをオーダするまでどのIPアドレスが割当たるか不明(後述するVPN接続などでNAT変換が必要なのかなど判断するタイミングが難しい)
サーバは2つのVLANに接続されるので、IPアドレスも2種類割り振られます。 IPアドレスは、サーバの購入台数に関わらずサブネット単位で提供されます。
IPアドレスの種類 提供されるサブネット 提供されるアドレス数
パブリックIPアドレス X.X.X.X /29 8個
プライベートIPアドレス 10.X.X.X /26 64個
IPアドレスはサーバ購入時に自動で付与されるので、お客様が所有されているIPアドレスは持ち込むことができません。 余ったIPアドレスは、以下の条件で追加購入したサーバに使用されます。
• マスターアカウントが同じユーザ • 同じデータセンタ
IPアドレス 用途
110.10.1.101 ネットワークアドレス(固定)
110.10.1.102 ゲートウェイアドレス(固定)
110.10.1.103 1台目サーバ用
110.10.1.104 2台目サーバ用
110.10.1.105 3台目サーバ用
110.10.1.106 4台目サーバ用
110.10.1.107 5台目サーバ用
110.10.1.108 ブロードキャストアドレス(固定)
IPアドレスの割り振られ方の例(パブリックIPアドレス)
パブリックIPアドレス/プライベートIPアドレスのどちらも、若番から順にネットワークアドレス、デフォルトゲートウェイ、老番がブロードキャストアドレスとして設定されてます。 サーバに使えるアドレス数 = 提供されるアドレス数 ー3 となります。
SOFTLAYERへの接続
SoftLayerのネットワークにユーザがアクセする方法は3種類ほどあります。
• SSL-VPN/PPTP経由
• IP-SEC VPN経由(オプション/アプライアンスゲートウェイ)
• DirectLink専用線接続
この中の接続の内、SSL-VPN接続・IP-SEC接続・専用線接続を行うことでどの様な形式として接続されるかを記載していきます。
閉域網
接続方式 標準/オプション 特徴 接続先
SSL VPN 標準(無償)
サービス ・お客様のPCから個別に接続可能 ・管理者/エンドユーザ共に使用可能
DC/POPの中から 都度選択可能 PPTP
VPN
IPSec VPN
有償オプション サービス
・お客様DC/オフィスのVPNルータから接続可能 ・管理者/エンドユーザ共に使用可能
購入時に選択した DCのみ
有償オプション アプライアンスゲート
ウェイ
・お客様DC/オフィスのVPNルータから接続可能 ・VPN接続はInternet経由での接続 ・様々な接続形態に対応
購入時のDCのInternet側
専用線 有償オプション
サービス
・専用線を別途敷設し、SoftLayerの東京PoPに お客様DC/オフィスのルータから接続可能 ・エンドユーザが使用可能
購入時に選択した PoPのみ
Internet
SoftLayer WAN
DC プライ ベート VLAN
パブリック VLAN
Vyatta gateway appliance
DC
Internet
SSL VPN
PPTP VPN
IPSec VPN
IPSec VPN (Vyattaを利用)
専用線 PoP
PoP
PoP
PoP DC
DC
<1> SSL-VPN接続
SSL-VPNについて
• 端末とSoftLayerのNetworkを接続する最も簡単な方法です。
• 主にメンテナンスや開発で利用することが想定されます。
• SoftLayer上で管理されているユーザ毎に利用の可否を選択することが出来ます。
• SSL-VPNで接続すると(以降のVPN接続は全て同じ)、「Management Network」に接続され「Private Network」経由でサーバに接続する事が可能です。
<2> IP-SEC VPN接続
2つのIP−SEC接続方式
• SoftLayer標準サービスを利用するケース(プライベート経由)• ユーザのセグメントはIPマスカレードが適応される(送信元NAT)
• 1:1NATが必要な場合にはTicketで対応
• Gatewayアプライアンスを利用するケース(パブリック経由)• NATが適応されない
• 送信経路がパブリック経由のため課金対象
<3> 専用線接続
「Direct Link」サービス
• 専用線を接続するためには、「東京POP(Equinix)」へ閉域網(NTTコム-Uno, KDDI-WAVS, SoftBank-Ultina)を利用して接続します。
• Direct Linkを実施する場合には、東京POP内に設置したお客様ラックとSoftLayerの回線を接続する必要があります。
Internet
SoftLayer WAN
プライベート VLAN
IP: 10.X.X.X /26
パブリック VLAN
IP: X.X.X.X /29 ロード バランサ
ファイア ウォール
DC 1
DC 2 プライベート VLAN
パブリック
VLAN
Vyatta gateway appliance
DC
Internet
PoP
サーバ
パブリック VLAN プライベート VLAN
ロードバランサ
ファイアウォール
SoftLayer・セグメント
専用線
SoftLayer WAN
VPNトンネル ユーザ 管理者 SSL VPN
PPTP VPN
IPSec VPN
IPSec VPN
専用線
構成例
利用形態によるクラウドデザインパターン
ネットワークから見たクラウドデザインパターン
• 大きくSoftLayerの場合には、「Internet」アクセスの有無により構成が変わります。
• 次にどの様に「PrivateNetwork」へアクセスを行うかを考えます。これにより大枠のネットワークデザインが確定します。
• 次に、各パターンんおいて選択可能な(ネットワーク)サービスから目的に応じた機能を利用します。(「サービスの建て付け」で説明したように同じ機能を複数のサービスから選択が出来ますが、PrivateのみPublicのみの条件などがあり用途によっては特定のサービスのみが利用可能です)
ネットワーク構成パターンA ネットワーク構成パターンB
インターネット+イントラネット接続 イントラネット接続
ネットワーク構成パターン
ネットワーク構成パターン上に追加でコンポーネントを配置する事により、セキュリティの強化や速度の強化を行うことが出来ます。
Public
Private
Private
ネットワーク構成パターン(AまたはB)を選択しシステムを構築した後に変更する際には別途作業が必要となります。構成パターンB(Private)を選択した場合には、PrivateエリアからInternetへ通信は出来ませんが、Windows Update、RHEL及びUbuntuのレポジトリへはアクセスが可能です。
Internet
SERVICE 機能紹介
各種サービスの特徴
ネットワーク関連のサービス
スケール
・AutoScale
ネットワークサービス
・Load Balancer
・Network Appliance
・Direct Link
・Domain Service
セキュリティサービス
・Firewall
・SSL Certificate
SOFTLAYERのサービスの造り
SoftLayerの提供しているサービスには、大きく2種類あります。
1.標準のSoftLayerサービス
2.サードパーティのソリューション
さらに2は実装方法が2種類あり
2−1.SoftLayerの管理コンソールから制御
2−2.ソリューションの独自コンソールで制御
とあります。
今日後半で説明してもらうサービス群です!
(例)FIREWALL
「Firewall」と言っても選択肢が色々あるので用途やコストに応じて選択をします。
サービス名 概要
Hardware Firewall 単一サーバに適用(共有) Layer4を保護 Inboundのみ可
Hardware Firewall (Dedicated ) 単一VLANに適用(専用) Layer4を保護 Inboundのみ可
Hardware Firewall (High Availability) リダンダント版のDedicated 同上 同上
FortiGate security appliance 単一VLANに適用(専有) Layer7を保護 Inbound/Outbound
可
Gatweay Appliances ディフォルトゲートウェイとして機能Vyatta Layer4を保護 Inbound/Outbound
可
SoftLayerの標準サービス
サードパーティのサービス
LOCAL LOAD BALANCER
特徴
• 1環境に対して、n台のLoad Balancerを設置可能• (VIP1個ずつ購入)• LB上で待受Portを分けることにより複数の分散が可能• 管理ポータルからの簡単な設定追加
Internet Gateway
Internet
test001 test002 test003
119.81.71.73/29
10.64.115.0/26
VLAN:sng01.fcr01a.1123
VLAN:sng01.bcr01a.1367
.75 .76 .78
.58 .30 .34
10.66.15.56/29
Load Balancer
Port 80
test004
.79
.34
Port 81
VIP (.100)
• 機能 • 分散方式
• ヘルスチェック • 振り分け先のサーバへTCPポー
トを指定してチェックの実施
『従量課金対象』 Connection XXX数/sec
Connectionの割合を選択(例:Port80: 50%, Port81 : 50% 等)
HARDWARE FIREWALL
特徴
• サーバ毎にFirewallを定義• Firewall機能はポートフィルタを提供• Internalへの通信をBlock(Outboundは制御しない)
Internet Gateway
Internet
test001 test002 test003
10.64.115.0/26
VLAN:sng01.fcr01a.1123
VLAN:sng01.bcr01a.1367
.75 .76 .78
.58 .30 .34
10.66.15.56/29
test004
.79
.34
Hardware Firwall
ポートフィルタの実施 最大50個
サーバ単位で設定を実施
Speed and Change の構築
