VMware vCloud Air Networking Guide vCloud Air This document supports the version of each product listed and supports all subsequent versions until the document is replaced by a new edition. To check for more recent editions of this document, see http://www.vmware.com/support/pubs. EN-001410-00 VMware vCloud Air Networking Guide You can find the most up-to-date technical documentation on the VMware Web site at: http://www.vmware.com/support/ The VMware Web site also provides the latest product updates. If you have comments about this documentation, submit your feedback to: [email protected] Copyright © 2014 VMware, Inc. All rights reserved. Copyright and trademark information. VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com 2 VMware, Inc. Contents このネットワーク ガイドについて 5 1 ゲートウェイとネットワークの概要 7 vCloud Air のネットワーク仮想化 7 ゲートウェイとネットワークのデフォルト セットアップ 8 パブリック IP アドレスの割り当て 11 ゲートウェイのネットワーク サービスについて 12 ネットワーク アドレス変換 (NAT) 14 DHCP 14 ロード バランサー 15 DNS 17 固定ルーティング 17 2 ゲートウェイおよびネットワークの管理について 19 ゲートウェイの詳細の表示および編集 19 仮想データ センターへのゲートウェイの追加 20 ゲートウェイの削除 21 仮想データ センターのネットワークの表示 21 仮想データ センターへのネットワークの追加 21 ゲートウェイのネットワークの表示 22 ゲートウェイへのネットワークの追加 23 ネットワークの削除 23 NAT ルールの追加 24 3 ネットワーク セキュリティと安全なアクセス 27 ネットワーク セキュリティについて 27 ファイアウォール ルールについて 29 ファイアウォール ルールの追加 29 VPN およびリモート ネットワーク 30 IPsec VPN について 31 IPsec VPN 接続の設定について 32 リモート サイトへの IPsec VPN 接続の設定 33 データ センター拡張のための SSL VPN 35 4 仮想マシンのネットワーク接続 37 ネットワークへの仮想マシンの接続 38 仮想マシンのネットワーク割り当ての変更 インターネットへの仮想マシンの接続 39 38 5 vCloud Air の直接接続 41 直接接続の機能 VMware, Inc. 41 3 VMware vCloud Air Networking Guide Direct Connect サービスの概要 42 Direct Connect を順序付ける理由 43 オーダリングとプロビジョニングのワークフローについて 44 接続パートナーとの共同作業による接続の設定 45 vCloud Air への Direct Connect のオーダリング 45 VMware オペレーションと連携してオーダリングを完了する 47 vCloud Air での直接接続の表示 47 Direct Connect を経由したトラフィックのルーティング 48 Index 4 51 VMware, Inc. このネットワーク ガイドについて ® この『vCloud Air ネットワーク ガイド』には、VMware vCloud Air のネットワークとゲートウェイの構成 についての情報が記載されています。ゲートウェイのネットワーク サービスを使用することによる仮想 データ センターへのゲートウェイの追加、ゲートウェイへのネットワークの追加、ネットワーク セキュリ ティの設定などの方法が紹介されています。 このほか、リモート サイトから vCloud Air への安全なアクセスを設定する方法も説明されています。 対象者 このガイドは、vCloud Air でネットワークを構成するネットワーク管理者や仮想管理者を対象にしていま す。このガイド内の情報は、仮想マシン技術やネットワークの概念に詳しい経験豊富な管理者を対象にして います。 関連ドキュメント vCloud Air のネットワーク構成を理解する一環として、次の関連情報を参照してください。 n クラウド サービス内のすべての管理用仮想マシンのために vCloud Air コンソールを使用する方法につ いては、『vCloud Hybrid Service ユーザー ガイド』を参照してください。 n vCloud Director を使用して vCloud Air に影響を与えるタスクを実行する方法については、『vCloud Director 管理者ガイド』を参照してください。 n さまざまな vCloud Air 機能を使用する方法については、『vCloud Hybrid サービス チュートリアル』 を参照してください。 このガイドでは、本文中に、トピックの関連情報のリンクも示しています。 VMware の技術ドキュメントの用語集 VMWare の技術ドキュメントには、新しい用語などを集約した用語集があります。当社の技術ドキュメン トで使用される用語の定義については、http://www.vmware.com/support/pubs をご覧ください。 VMware, Inc. 5 VMware vCloud Air Networking Guide 6 VMware, Inc. ゲートウェイとネットワークの概要 1 vCloud Air ネットワークは、従来のネットワーク テクノロジーと設計を複製します。vCloud Air のネット ワークは、VMware vSphere、VXLAN、vCloud Networking and Security、vCloud Director など、 VMware 製品で使用されるソフトウェア定義ネットワーク (SDN) テクノロジーをベースにしています。 この章では次のトピックについて説明します。 n vCloud Air のネットワーク仮想化 (P. 7) n ゲートウェイとネットワークのデフォルト セットアップ (P. 8) n パブリック IP アドレスの割り当て (P. 11) n ゲートウェイのネットワーク サービスについて (P. 12) n ネットワーク アドレス変換 (NAT) (P. 14) n DHCP (P. 14) n ロード バランサー (P. 15) n DNS (P. 17) n 固定ルーティング (P. 17) vCloud Air のネットワーク仮想化 vCloud Air のネットワーク仮想化により、プライベート クラウド内の仮想マシンを、ネットワーク経由で VMware パブリック クラウドにまで拡張できます。 次の VMware 製品とソリューションが協働して、vCloud Air のネットワーク仮想化と機能を提供します。 vSphere は vCloud Air が構築される基盤です。vSphere に加えて、Virtual eXtensible Local Area Network (VXLAN) により、データ センター内に柔軟な仮想ネットワークを実装するのに必要な機能を提供します (VMware vCloud Networking and Security の一機能)。VXLAN は(動的かつカプセル化により)、複 雑な VLAN アーキテクチャを必要とすることなく vCloud Air 内にネットワークを展開できる機能を提供し ます。VXLAN テクノロジにより、コンピューティング リソースを不連続なクラスタ全体でプールするこ とができ、アプリケーションにアタッチされた論理ネットワークに分離できます。VXLAN はレイヤー 2 で 完全カプセル化が行えるため、ネットワーク セキュリティをもたらします。また、vCloud Networking and Security の一部分として、ゲートウェイ仮想アプライアンスにより、ファイアウォール、NAT、ロー ド バランサー、および VPN エンドポイントなどのネットワーク サービスが使用可能になります。 vCloud Air コンソールは、ゲートウェイとネットワークを管理するためのプライマリ ポータルです。さら に、vCloud Director を使用して、さらに詳細なレベルでゲートウェイとネットワークを管理できます。 vCloud Air コンソールは、vCloud Director へのシングル サインオン アクセスを提供します。 VMware, Inc. 7 VMware vCloud Air Networking Guide ゲートウェイとネットワークのデフォルト セットアップ vCloud Air でのゲートウェイとネットワークのデフォルト セットアップは、購入したサービス (Dedicated Cloud サービス、または Virtual Private Cloud サービス)によって異なります。 サービス オプションについては、『vCloud Air ユーザー ガイド』の「vCloud Air のタイプ」を参照してく ださい。 いずれのサービスでも、各仮想データ センターのネットワークを構成します。仮想データ センターは、 VMware vCloud Networking and Security Edge Gateway(このガイドでは「ゲートウェイ」と呼ぶ)を使 用して、外部ネットワークとの接続を提供します。次のコンポーネントにより vCloud Air のネットワーク とゲートウェイのデフォルト セットアップを構成します。 VMware は、イントラネットへの接続のための外部ネットワークを管理します。vCloud Air では、お客様 がネットワークを作成して管理します(組み込み VXLAN テクノロジを使用)。 ゲートウェイ Virtual Private Cloud サービスをサブスクライブ契約する場合は、VMware が仮想データ センターを作成 して、その仮想データ センターにゲートウェイを追加します。Dedicated Cloud サービスをサブスクライ ブ契約する場合は、ユーザーが vCloud Air コンソールにログインして、最初の仮想データ センターを作成 します。仮想データ センターにパブリック IP アドレスを割り当てると、vCloud Air は、その仮想データ センターにゲートウェイを作成します。 デフォルトでゲートウェイには次の特徴があります。 n コンパクト構成 n 高可用性が有効 n マルチインターフェイス モードが有効 n 内部 IP アドレスとサブネットがある内部ネットワーク Dedicated Cloud サービスをサブスクライブ契約する場合、仮想データ センターで追加ゲートウェイを展 開できます。Virtual Private Cloud サービスをサブスクライブ契約する場合、仮想データ センターには 1 つのゲートウェイのみを設定できます。 ゲートウェイは 10 個のインターフェイスをサポートしますが、1 つのインターフェイスが外部ネットワー クへのアクセス用に予約されます。残りの 9 個のインターフェイスを使用して、ゲートウェイのネットワー クを構成します。仮想データ センターで、ネットワーク構成に追加のインターフェイスが必要な場合、 ゲートウェイをさらに追加します(Dedicated Cloud サービスの場合のみ可能)。 ネットワーク Dedicated Cloud サービスをサブスクライブ契約する場合、インターネットへのアクセスを構成するため に、3 つのパブリック IP アドレスが割り当てられます。Virtual Private Cloud サービスをサブスクライブ契 約する場合、2 つのパブリック IP アドレスが割り当てられます。My VMware のサブスクリプション サー ビスから、いつでも追加のパブリック IP アドレスを購入できます。 VMware が Virtual Private Cloud サービスの仮想データ センターを作成するか、ユーザーが Dedicated Cloud サービス用に作成した仮想データ センターにパブリック IP アドレスを割り当てると、仮 想データ センターにはデフォルトで次のネットワークが設定されます。 n DATACENTER_NAME-DEFAULT-ROUTED:ゲートウェイに接続され、このネットワーク上の仮想マ シンはインターネットに接続できるため、これはゲートウェイ ネットワークです。 n DATACENTER_NAME-DEFAULT-ISOLATED:ゲートウェイに接続されていない内部ネットワーク。 このネットワーク上の仮想マシンは、インターネットから到達不可能です。 プライベート IP アドレス プールが各ネットワークに割り当てられます。 8 VMware, Inc. 第 1 章 ゲートウェイとネットワークの概要 図 1‑1. vCloud Air のデフォルト ネットワーク ゲートウェイ ネットワークのデフォルト設定 デフォルトでは、ユーザーが仮想データ センターまたはゲートウェイにパブリック IP アドレスを割り当て ると、vCloud Air はゲートウェイ ネットワークを作成し、次のプロパティを使用して構成します。 n DATACENTER_NAME-DEFAULT-ROUTED という名前が付けられます n パブリック IP アドレスを介してゲートウェイに接続します n 192.168.109.0 サブネット上に作成されます n デフォルト ゲートウェイ IP アドレス 192.168.109.1 が設定されます n 次のネットワーク サービスがデフォルトで有効または無効になります。 n ファイアウォール:有効。すべてのトラフィックを拒否 n DHCP:無効 n NAT:無効 n 静的ルーティング:無効 n VPN:無効 n 負荷分散:無効 重要 vCloud Air でゲートウェイとゲートウェイ ネットワークを最初に追加するとき、そのネットワーク に追加されたどの仮想マシンにも接続できず、それらの仮想マシンはインターネットに接続できません。デ フォルトで、ゲートウェイが展開されるとき、ファイアウォール ルールはゲートウェイ ネットワーク上の 仮想マシンが送受信するネットワーク トラフィックすべてを拒否するように構成されます。また、デフォ ルトで NAT が無効であるため、ゲートウェイは送受信するトラフィックの IP アドレスを変換できませ ん。ゲートウェイ ネットワーク上の仮想マシンをアクセス可能にするため、ゲートウェイ上のファイア ウォールと NAT のルールを構成する必要があります。 詳細は、このガイドの「ファイアウォール ルールの追加 (P. 29)」および「NAT ルールの追加 (P. 24)」 を参照してください。 VMware, Inc. 9 VMware vCloud Air Networking Guide 内部ネットワークのデフォルト設定 内部ネットワークはゲートウェイに接続されていません。内部ネットワークには、内部 IP アドレスとサブ セットがあります。内部ネットワークに接続された仮想マシンは、内部ネットワークに接続された仮想マシ ン同士でのみ通信できます。 DHCP は内部ネットワークで有効にすることができる唯一のサービスです。DHCP を使用して仮想マシン の IP アドレスを取得します。デフォルトでは、内部ネットワークが作成されるとき、次の DHCP 設定が使 用されます。 n 内部ネットワークで有効 n 192.168.0.101 ~ 192.168.0.254 のプライベート IP アドレス範囲 n デフォルトのリース時間 1 時間(3600 秒) n 最長のリース時間 2 時間(7200 秒) ほとんどの場合、仮想マシンをゲートウェイ ネットワークに接続します。ただし、次の例に見るように仮 想マシンの隔離ネットワークへの接続が必要となる場合もあります。 n ログ サーバまたはデータベース サーバを直接インターネット トラフィックから隔離するには n 開発中のアプリケーションなどの内部専用アプリケーションを仮想マシン上で実行するには ゲートウェイとネットワークのデフォルト設定のサマリ 次の表に、vCloud Air でのゲートウェイとネットワークのデフォルト構成をまとめます。 表 1‑1. vCloud Air でのゲートウェイとネットワークのデフォルト設定のサマリ 機能 デフォルト設定 DEDICATED CLOUD ネットワーク リソース 論理的に分離 論理的に分離 ゲートウェイ 複数。お客様による作成。 1 個。VMware による作成。 使用可能なゲートウェイ インターフェ イス数 9 個(1 ゲートウェイあたり)。複数 ゲートウェイのサポートあり。 9 個(1 ゲートウェイのみサポート) バンド幅 50 Mbps 割り当て済み 1 Gbps バースト可能 10 Mbps 割り当て済み 50 Mbps バースト可能 パブリック IP アドレス数 3 個(さらに購入可能) 2 個(さらに購入可能) 最初のログイン時に使用可能なネット ワーク なし。お客様による作成(最初の ゲートウェイを作成するとデフォル ト ネットワークが追加されます)。 2 個(VMware による作成): n デフォルトで隔離(タイプ:内 部) n デフォルトでルーティング(タイ プ:ゲートウェイ) GATEWAY NETWORK INTERNAL NETWORK 使用可能なネットワーク サービス n n n n n n インターネット アクセス 10 VIRTUAL PRIVATE CLOUD ファイアウォール:有効。すべ てのトラフィックを拒否 DHCP:無効 NAT:無効 静的ルーティング:無効 VPN:無効 負荷分散:無効 あり。ゲートウェイ パブリック IP ア ドレスへの接続経由。 n DHCP:有効 不可 VMware, Inc. 第 1 章 ゲートウェイとネットワークの概要 表 1‑1. vCloud Air でのゲートウェイとネットワークのデフォルト設定のサマリ (続き) 機能 デフォルト設定 デフォルト ゲートウェイの IP アドレ ス 192.168.109.1 192.168.99.1 サブネット 192.168.109.0/24 192.168.99.0/24 パブリック IP アドレスの割り当て vCloud Air に登録すると、両方のオファリングで登録サービスの一部としてパブリック IP アドレスが付与 されます。My VMware の登録サービスを通じて、追加のパブリック IP アドレスをいつでも購入すること ができます。 n Dedicated Cloud サービス—3 つのパブリック IP アドレス n Virtual Private Cloud サービス—2 つのパブリック IP アドレス インターネットへのアクセスが必要な仮想マシンを作成する場合にのみ、仮想データ センターにパブリッ ク IP アドレスを割り当てます。パブリック IP アドレスを割り当てると、これらのアドレスは仮想データ センター用に予約されます。 vCloud Air では、IP アドレスを仮想マシンに割り当てる方法が 3 つあります。 n IP プール: ネットワークに仮想マシンを接続すると、仮想マシンは、そのネットワーク用に作成された IP プールから IP アドレスを取得します。 n vCloud Air は、自動生成された内部ネットワークとゲートウェイ ネットワーク上にデフォルトで IP アドレスのプールを作成します。 n これらのネットワークに接続された仮想マシンは、デフォルトのプールから IP アドレスを取得し ます。 n デフォルト ネットワークの IP プールを変更する場合は、vCloud Director を使用する必要があり ます。 注意 vCloud Air のゲートウェイにより、ゲートウェイの外部インターフェイス用に構成された複数 のサブネットから IP アドレスをサブ割り当てすることができます。したがって、仮想データ センター または仮想マシンに IP アドレスを割り当てるときに、IP アドレスは複数のサブネットに属することが できます。たとえば、1 つのサブネットからすべての IP アドレスを割り当て、2 番目のサブネットが 50% だけ割り当てられている場合、2 番目のサブネットからの IP アドレスを使用することができま す。 n n 固定 IP アドレス: 仮想マシンを作成するとき、または仮想マシンのネットワーク設定を変更するとき に、その仮想マシンの固定 IP アドレスを構成します。 n 仮想マシンの固定 IP アドレスを提供します。 n vCloud Director で仮想マシンの固定 IP アドレスを設定します。 DHCP: ゲートウェイ用に基本的な DHCP サービスを提供します。 n ゲートウェイのネットワーク サービスの部分。 n vCloud Director で構成を変更します。 ゲートウェイに割り当てたパブリック IP アドレスを表示するには、vCloud Air ダッシュボード の ゲート ウェイ タブをクリックして、パブリック IP アドレスを表示するゲートウェイをクリックしてから、パブ リック IP タブをクリックします。 そのゲートウェイに割り当てられたパブリック IP アドレスが表示され ます。 ネットワーク用に構成された IP プールを表示するには、次のスクリーンショットで示すように、ダッシュ ボード > ネットワーク タブで仮想データ センターをクリックします。 VMware, Inc. 11 VMware vCloud Air Networking Guide 注意 vCloud Air でネットワークを追加するときには、次のスクリーンショットに示すように、そのネッ トワークの IP プールを構成します。 詳細については、このガイドの 仮想データ センターへのネットワークの追加 (P. 21) と ゲートウェイへの ネットワークの追加 (P. 23) を参照してください。 ゲートウェイのネットワーク サービスについて 内部ネットワークとゲートウェイ ネットワークでは、以下のサービスが提供されます。 ゲートウェイのネットワーク サービスを構成するには、vCloud Air コンソールと vCloud Director を使用 します。 12 n NAT: vCloud Air または vCloud Director n DHCP: vCloud Director n ロード バランサー: vCloud Director VMware, Inc. 第 1 章 ゲートウェイとネットワークの概要 n DNS: vCloud Director n ファイアウォール ルール: vCloud Air または vCloud Director n VPN: vCloud Director (IPsec VPN) および vCloud Connector (SSL VPN) n 固定ルーティング: vCloud Director vCloud Air にこれらのサービスを実装する方法については、以下の資料を参照してください。 表 1‑2. このガイド内の関連情報および他の資料 ネットワーク サービス NAT 以下の関連情報を参照 n n n n n n n DHCP n n n ロード バランサー n n n DNS n n n ファイアウォール ルー ル n n n n n n VPN n n n n n n n 固定ルーティング n n VMware, Inc. このガイドの「ネットワーク アドレス変換 (NAT) (P. 14)」 このガイドの「NAT ルールの追加 (P. 24)」 『vCloud Director 管理者ガイド』の「Edge Gateway ゲートウェイへのソース NAT ルー ルの追加」 『vCloud Director 管理者ガイド』の「Edge Gateway へのターゲット NAT ルールの追 加」 vCloud Air チュートリアルの「ゲートウェイ サービスの概要: Network Address Translation」 VMware ナレッジ ベースの「VMware vCloud Director を使用して VMware vCloud Air の SNAT と DNAT を構成する (2051351)」 VMware vCloud Air ソリューション概要の「ファイアウォールと NAT ルールの構成」 このガイドの「DHCP (P. 14)」 『vCloud Director 管理者ガイド』の「Edge Gateway の DHCP の構成」 vCloud Air チュートリアルの「ゲートウェイ サービスの概要: DHCP」 このガイドの「ロード バランサー (P. 15)」 『vCloud Director 管理者ガイド』の「Edge Gateway 上のロード バランサー サービスの管 理」 vCloud Air チュートリアルの「ゲートウェイ サービスの概要:負荷分散」 このガイドの「DNS (P. 17)」 『vCloud Director 管理者ガイド』の「組織仮想データセンター ネットワークの DNS 設定 の変更」 VMware vCloud Air ソリューション概要の「ディレクトリと DNS サービスのデプロイ」 このガイドの「ファイアウォール ルールについて (P. 29)」 このガイドの「ファイアウォール ルールの追加 (P. 29)」 『vCloud Director 管理者ガイド』の「Edge Gateway のファイアウォールの構成」 『vCloud Director 管理者ガイド』の「Edge Gateway へのファイアウォール ルールの追 加」 vCloud Air チュートリアルの「ゲートウェイ サービスの概要:ファイアウォール」 VMware vCloud Air ソリューション概要の「ファイアウォールと NAT ルールの構成」 このガイドの「VPN およびリモート ネットワーク (P. 30)」 このガイドの「IPsec VPN について (P. 31)」 このガイドの「リモート サイトへの IPsec VPN 接続の設定 (P. 33)」 『vCloud Director 管理者ガイド』の「リモート ネットワークへの VPN トンネルの作成」 VMware vCloud ブログの「VPN を使用して複数の vCHS クラウドを接続する方法」 VMware ナレッジ ベースの「VMware vCloud Air 内でリモート ネットワークへの IPsec VPN を構成する (2051370)」 VMware vCloud Air ソリューション概要の「オンプレミス データ センターへのネット ワークの接続」 このガイドの「固定ルーティング (P. 17)」 『vCloud Director 管理者ガイド』の「Edge Gateway の固定ルーティングの有効化」 13 VMware vCloud Air Networking Guide ネットワーク アドレス変換 (NAT) vCloud Air のゲートウェイでは、ゲートウェイ ネットワークに接続されている仮想マシンの NAT がサ ポートされています。NAT ルールを作成して、パブリック IPv4 アドレスから vCloud Air の内部ネット ワーク上に存在する仮想マシンのプライベート IPv4 アドレスに、およびその逆方向に、アドレス変換を実 行します。 vCloud Air は、送信元 NAT (SNAT) ルールと送信先 NAT (DNAT) ルールをサポートしています。SNAT または DNAT ルールを構成する場合は、常に vCloud Air の観点からルールを構成します。特にこれは、 次の方法でルールを構成することを意味します。 n SNAT:トラフィックは、インターネットを介して、vCloud Air の内部ネットワーク上の仮想マシン (送信元)から外部ネットワーク(送信先)に移動します。 n DNAT:トラフィックは、インターネット(送信元)から、vCloud Air 内部の仮想マシン(送信先) に移動します。 vCloud Air 内部でプライベート IP アドレス空間を作成してエンタープライズからクラウドにプライベート IP アドレス空間を移植するように、NAT ルールを構成することができます。vCloud Air で NAT ルールを 構成することにより、ローカル データ センターのオンプレミスで使用していた vCloud Air の仮想マシン と同じプライベート IP アドレスを使用することができます。 vCloud Air の NAT ルールでは、次のような処理がサポートされています。 n プライベート IP アドレス空間内でサブネットを作成する n 1 つのゲートウェイに複数のプライベート IP アドレス空間を作成する n 複数のゲートウェイ インスタンス上で複数の NAT ルールを構成する 重要 デフォルトで、ゲートウェイが展開されるとき、ファイアウォール ルールはゲートウェイ ネット ワーク上の仮想マシンが送受信するネットワーク トラフィックすべてを拒否するように構成されます。ま た、デフォルトで NAT が無効であるため、ゲートウェイは送受信するトラフィックの IP アドレスを変換 できません。ゲートウェイ ネットワーク上の仮想マシンにアクセスできるようにするには、ファイア ウォール ルールと NAT ルールの両方を構成する必要があります。NAT ルールの構成後に仮想マシンへの ping を試みると、対応するトラフィックを許可するファイアウォール ルールを追加せずに失敗します。 関連情報 n SNAT または DNAT ルールを作成する手順については、このガイドの「NAT ルールの追加 (P. 24)」 を参照してください。 n ファイアウォール ルールを作成する手順については、このガイドの「ファイアウォール ルールの追 加 (P. 29)」を参照してください。 DHCP vCloud Air ネットワークにおける DHCP のデフォルトの動作を変更するには、vCloud Director で DHCP サービス設定を編集します。 vCloud Air でネットワークを作成する場合、vCloud Air 用の DHCP は次のように構成されます。 ゲートウェイ ネットワーク ゲートウェイ ネットワーク用の DHCP は次のように構成されます。 14 n デフォルトでは無効。 n 仮想マシンを作成してゲートウェイ ネットワークに追加する場合は、そのネットワークの DHCP を有 効にしていないかぎり、仮想マシンの IP アドレスを明示的に設定する必要がある。 VMware, Inc. 第 1 章 ゲートウェイとネットワークの概要 ゲートウェイ ネットワーク用の DHCP を構成するには、vCloud Director で vCloud Air からゲートウェイ 用のネットワーキング サービスに移動します。 vCloud Air ダッシュボード > ゲートウェイ タブ > ゲートウェイをクリック > 詳しいゲートウェイ設定の管 理 > vCloud Director 管理 ページ > Edge Gateway タブ > そのゲートウェイを選択し、右クリックして Edge Gateway サービス > DHCP タブを選択 仮想マシンをゲートウェイ ネットワークに追加するときにその仮想マシンに IP アドレスが自動的に割り当 てられるようにするには、DHCP を有効化してゲートウェイ ネットワーク用に構成します。仮想マシンに は、構成した DHCP パラメータに基づく IP アドレスが割り当てられます。 詳細については、『vCloud Director 管理者ガイド』の「Edge ゲートウェイの DHCP の構成」を参照してく ださい。 注意 ゲートウェイ ネットワークで DHCP を有効にして IP アドレス プールを追加する前に、DHCP に よって割り当てられる IP アドレスの有効範囲を決定する必要があります。 ゲートウェイに割り当てたパブリック IP アドレスを確認するには、ダッシュボード で ゲートウェイ タブ をクリックし、パブリック IP アドレスを確認したいゲートウェイをクリックし、パブリック IP タブをク リックします。そのゲートウェイに割り当てたパブリック IP アドレスのリストが表示されます。 内部ネットワーク 内部ネットワーク用の DHCP は次のように構成されます。 n デフォルトでは有効。 n 内部ネットワークでは、使用できるネットワーク サービスは DHCP のみ(NAT、VPN、ファイア ウォール ルール、固定ルーティング、および DNS サービスは隔離されたネットワークでは使用できな い)。 n プライベート IP アドレス範囲 192.168.0.101 ~ 192.168.0.254 が割り当てられる。 n デフォルトのリース時間は 1 時間(3600 秒)で、最大のリース時間は 2 時間(7200 秒)。 内部ネットワーク用の DHCP を構成するには、vCloud Air から、vCloud Director で 仮想データ センター の Org VDC ネットワーク タブに移動します。 vCloud Air ダッシュボード > 仮想データ センターをクリック > ネットワーク タブ > vCloud Director で管 理 > vCloud Director 管理 ページ > Org VDC ネットワーク タブ > 内部ネットワークを選択し、右クリック して サービスの構成 > DHCP タブを選択 関連情報 vCloud Air でネットワーク用の DHCP を設定する手順については、『vCloud Air チュートリアル』の 「Gateway サービスの紹介:DHCP」も参照してください。 ロード バランサー vCloud Air のゲートウェイは、ゲートウェイ ネットワークに接続された仮想マシンの負荷分散をサポート します。 vCloud Air では、ゲートウェイのロード バランサーに、仮想サーバと対応するサーバ プールがあります。 仮想サーバとサーバ プールには、次のような特徴があります。 n 仮想サーバにはパブリック IP アドレスがあり、すべての受信クライアント要求を処理します。 n 仮想サーバに割り当てられたサーバ プールは、すべての負荷分散を処理します。 ゲートウェイは最大で 9 個のインターフェイスをサポートすることから、ロード バランサー サービスでは 複数のサーバ プールをサポートし、各サーバ プールごとに負荷分散方法を指定できます(次の図を参 照)。 VMware, Inc. 15 VMware vCloud Air Networking Guide 各負荷分散方法の詳細については、『vCloud Director 管理者ガイド』の「Edge Gateway へのプール サーバ の追加」を参照してください。 ゲートウェイの負荷分散を構成するには、次のタスクを実行します。 1 負荷分散を構成する前に、どのパブリック IP アドレスがゲートウェイに割り当てられるのかを判断し ます。これには、vCloud Air ダッシュボード > ゲートウェイ名 > パブリック IP タブから、ゲートウェ イ タブをクリックします。ゲートウェイに割り当てられたパブリック IP アドレスのリストが表示され ます。 vCloud Director を使用して、ゲートウェイのパブリック IP アドレス割り当てを表示するには、 『vCloud Director 管理者ガイド』の「Edge Gateway の IP アドレスの使用状況の表示」を参照してく ださい。 さらに、ゲートウェイ用に構成されたサブ割り当て済み IP プールを表示します(ゲートウェイは、 NAT 構成にサブ割り当て済み IP プールを使用します。サブ割り当て済み IP プールには、ゲートウェ イの外部ネットワークに既に割り当て済みである IP プールの IP アドレスのサブセットが含まれま す)。 vCloud Air から、vCloud Director の次の領域に移動します。 vCloud Air ダッシュボード > ゲートウェイ タブ > ゲートウェイ名 > 詳細ゲートウェイ設定の管理 > vCloud Director 管理 ページ > Edge Gateway タブ > ゲートウェイを選択し、右クリックして プロパ ティ を選択 > IP プールのサブ割り当て タブ 『vCloud Director 管理者ガイド』の「Edge Gateway での IP プールのサブ割り当て」を参照してくだ さい。 2 vCloud Director を使用して、ゲートウェイの負荷分散を構成します。 ゲートウェイは外部ネットワークからの受信トラフィックを負荷分散するため、ゲートウェイの負荷分 散は外部インターフェイスで構成されます。負荷分散のための仮想サーバを構成するとき、上記タスク 1 で決定した使用可能な IP アドレスのいずれか 1 つを指定します。 vCloud Air から、vCloud Director の次の領域に移動します。 vCloud Air ダッシュボード > ゲートウェイ タブ > 詳細ゲートウェイ設定の管理 > vCloud Director 管 理 ページ > Edge Gateway タブ > ゲートウェイを選択して、右クリックし Edge Gateway サービス を 選択 > ロード バランサー タブ 仮想サーバとサーバ プールを構成するための手順については、『vCloud Director 管理者ガイド』の 「Edge Gateway でのロード バランサー サービスの管理」 を参照してください。 3 新しい仮想サーバ(ターゲット IP アドレス)へのトラフィックを許可するファイアウォール ルールを 作成します。 詳細は、このガイドの「ファイアウォール ルールの追加 (P. 29)」を参照してください。 これで、このゲートウェイ ネットワークへのトラフィックは、サーバ プール内のサーバ間で負荷分散され ます。 関連情報 『vCloud Air で、ゲートウェイの負荷分散をセットアップする手順のための vCloud Air チュートリアル』 の「ゲートウェイ サービスとは:負荷分散」も参照してください。 16 VMware, Inc. 第 1 章 ゲートウェイとネットワークの概要 DNS ゲートウェイは、vCloud Air 内のネットワークに DNS (Domain Name System) サーバを提供します。ゲー トウェイが提供する DNS サービスを使用するように選択するか、代替 DNS サーバを指定することができ ます。ゲートウェイの DNS サービスを使用するように選択した場合は、ゲートウェイで DNS リレーをあ らかじめ構成する必要があります。 外部 DNS サーバを構成し、クライアントからの名前解決要求をその DNS サーバにリレーすることができ ます。外部 DNS サーバを構成する場合、ゲートウェイは、クライアント アプリケーションの要求を DNS サーバにリレーし、ネットワーク名を完全に解決して、サーバからの応答をキャッシュします。 vCloud Air で仮想マシンの DNS を構成するには、vCloud Director でデフォルトの DNS 設定を更新しま す。vCloud Director の DNS 設定にアクセスするには、vCloud Air から vCloud Director の次の領域に移 動します。 vCloud Air ダッシュボード > 仮想データ センターをクリック > ネットワーク タブ > vCloud Director で管 理 > vCloud Director 管理 タブ > Org VDC ネットワーク タブ > ネットワークを選択し、右クリックしてプ ロパティ を選択 > ネットワーク仕様 タブ 詳細については、『vCloud Director 管理者ガイド』の「組織仮想データセンター ネットワークの DNS 設定 の変更」を参照してください。 注意 DHCP 対応ゲートウェイの DNS 設定が変更されると、ゲートウェイは DHCP サービスの提供を停止 します。この問題を解決するには、ゲートウェイの DHCP を無効にして再度有効にします。DHCP を有効 にする方法については、以下のドキュメントを参照してください。 n このガイドの「DHCP (P. 14)」 n 『vCloud Director 管理者ガイド』の「Edge Gateway の DHCP の構成」 関連情報 vCloud Air ネットワーク用の DNS を構成する方法の詳細については、VMware vCloud Air ソリューショ ン概要の「ディレクトリと DNS サービスのデプロイ」を参照してください。 固定ルーティング Virtual Private Cloud OnDemand では、ゲートウェイ内のインターフェイス間に固定ルーティングを構成 できます。デフォルトでは、ゲートウェイの固定ルーティングは無効です。(ゲートウェイに接続しない隔 離されたネットワークでは、固定ルーティングを設定することはできません。) ルーティングされたネットワークでは、ネットワーク トラフィックはゲートウェイのデフォルト インター フェイス(インターネットに接続する)に向かいます。インターフェイス間に固定ルートを構成すると、ト ラフィックは、インターネットへのデフォルト インターフェイスをバイパスします。 次のような状況では、必要に応じてゲートウェイに固定ルーティングを設定することができます。 n 外部ネットワークから到着するすべてのトラフィックがまずアンチウイルス アプライアンスをトラ バースし、その後で仮想マシンにアクセスするようにしたい。 n トラフィックがインターネットをトラバースすることなく、ルーティングされた 1 つのネットワーク上 の Web サーバがルーティングされた別のネットワーク上のアプリケーション サーバに接続するように したい。 ルーティングされたネットワークに固定ルーティングを構成するには、vCloud Director で Virtual Private Cloud OnDemand からゲートウェイのネットワーキング サービスに移動します。 Virtual Private Cloud OnDemand コンソール > ゲートウェイ タブ > vCloud Director で管理 > vCloud Director 管理 ページ > Edge Gateway タブ > ゲートウェイを選択し、右クリックして Edge Gateway サービス > 固定ルーティング タブを選択する VMware, Inc. 17 VMware vCloud Air Networking Guide vCloud Director を使用して固定ルーティングを構成する手順については、『vCloud Director 管理者ガイ ド』の次のトピックを参照してください。 18 n Edge ゲートウェイの固定ルーティングの有効化 n 同じ組織仮想データセンター ネットワークに経路指定されている vApp ネットワーク間での固定ルー トの追加 VMware, Inc. ゲートウェイおよびネットワークの管理 について 2 vCloud Air コンソールは、ゲートウェイとネットワークを管理するためのプライマリ ポータルです。ま た、vCloud Director を使用して、さらに詳細なレベルでゲートウェイとネットワークを管理できます。 vCloud Air コンソールは、vCloud Director へのシングル サインオン アクセスを提供します。 以下のタスクを実行して vCloud Air でゲートウェイおよびネットワークを管理するには、ネットワーク リ ソースを管理する予定の Dedicated Cloud および Virtual Private Cloud のサービスで、ネットワーク管理 者権限または仮想インフラストラクチャ管理者権限を持っていることを確認します。(vCloud Director で 追加の権限を構成する必要はありません)。 この章では次のトピックについて説明します。 n ゲートウェイの詳細の表示および編集 (P. 19) n 仮想データ センターへのゲートウェイの追加 (P. 20) n ゲートウェイの削除 (P. 21) n 仮想データ センターのネットワークの表示 (P. 21) n 仮想データ センターへのネットワークの追加 (P. 21) n ゲートウェイのネットワークの表示 (P. 22) n ゲートウェイへのネットワークの追加 (P. 23) n ネットワークの削除 (P. 23) n NAT ルールの追加 (P. 24) ゲートウェイの詳細の表示および編集 Dedicated Cloud または Virtual Private Cloud サービスにおけるゲートウェイのリストを表示できます。 ワークロードをインターネット上で処理できるように詳細設定を構成することができます。 ゲートウェイごとに、仮想データ センター、ゲートウェイの IP アドレス、コンパクト構成またはフル構 成、VMware vSphere High Availability の設定、ゲートウェイに接続されているネットワークの数、および 使用中/空きのパブリック IP アドレスの数を表示できます。 開始する前に ネットワークの管理者権限があることを確認します。 ゲートウェイ構成を理解していることを確認します。『vCloud Director 管理者ガイド』の「Edge Gateway の管理」を参照してください。 VMware, Inc. 19 VMware vCloud Air Networking Guide 手順 1 ゲートウェイ タブをクリックします。 すべてのゲートウェイがリストに表示されます。各ゲートウェイが属する仮想データ センターは、 ゲートウェイ名の横に表示されます。 2 ゲートウェイをクリックして、その詳細情報にアクセスします。 3 ペインの右上に、ゲートウェイ IP、構成、VMware High Availability の設定、およびアクティビティ ステータスが表示されます。 4 ゲートウェイの詳細を表示して構成します。 5 オプション 説明 [NAT ルール] タブ SNAT または DNAT の詳細が表示されます。ルールを無効/有効にする か、または削除します。1 つ追加 をクリックして、SNAT または DNAT ルールを 1 つ追加します。SNAT の場合は、ソースと有効化ステータスを 構成します。DNAT の場合は、外部 IP、プロトコルと範囲の詳細、およ び有効化ステータスを構成します。 [ファイアウォール ルール] タブ ファイアウォール ルールを表示または追加して、着信トラフィックのタイ プを許可または拒否します。 [ネットワーク] タブ 名前、タイプ、デフォルトの IP アドレス、接続されている仮想マシンの 数、パブリック IP アドレス、および IP 範囲など、ゲートウェイのネット ワークに関する詳細が表示されます。 [パブリック IP] タブ IP アドレスが空いているか、または割り当て済みかどうかが表示されま す。 リンクを使用してゲートウェイの高度な管理を行います。 オプション 説明 名前と説明の編集 ゲートウェイの名前および説明に変更を加えます。 ゲートウェイの削除 vCloud Air からゲートウェイを削除し、NAT ルール、ファイアウォール ルール、ロード バランシング、およびゲートウェイに追加されたネット ワークなど、そのゲートウェイで構成済みのネットワーク サービスすべて を削除します。 vCloud Director でゲートウェイを管 理する 高度なゲートウェイ設定の管理 をクリックして vCloud Director に移動 し、コンパクト構成からの変更、High Availability の無効化、または速度 制限の構成などの設定を管理します。 仮想データ センターへのゲートウェイの追加 仮想データ センターを作成したら、新たなゲートウェイを仮想データ センターに追加できます。ゲート ウェイはインターネットへの接続、および NAT、ファイアウォール保護、負荷分散、IPsec VPN などの ネットワーク サービスの利用を可能にします。仮想マシンはゲートウェイ ネットワークを経由してゲート ウェイに接続します。 ゲートウェイは、Dedicated Cloud サービスでの仮想データ センターのみに追加できます。 Virtual Private Cloud サービスではゲートウェイを追加できません。 ゲートウェイは、コンパクトな構成とともに、High Availability が有効な状態で作成されます。 開始する前に ネットワークの管理者権限があることを確認します。 手順 20 1 ダッシュボード タブで、仮想データ センターをクリックします。 2 ゲートウェイ タブをクリックします。 VMware, Inc. 第 2 章 ゲートウェイおよびネットワークの管理について 3 ゲートウェイを追加 をクリックするか、または仮想データセンターにゲートウェイがある場合は 1 つ 追加 をクリックします。 4 ゲートウェイの名前と説明を入力します。 5 ゲートウェイに割り当てる IP アドレス数を指定します。 6 ゲートウェイを追加 をクリックします。 ゲートウェイが作成されます。ゲートウェイをクリックしてその詳細を表示できます。 ゲートウェイの削除 Dedicated Cloud サービスの仮想データ センターからゲートウェイを削除できます。ゲートウェイを削除 すると、そのゲートウェイに関連付けられたすべてのゲートウェイ ネットワークが削除されます。NAT ルール、ファイアウォール設定、負荷分散設定など、ネットワーク サービスも削除されます。 ゲートウェイは、vCloud Director コンソールから削除します。 開始する前に ネットワークの管理者権限があることを確認します。 手順 1 ダッシュボード タブで、ゲートウェイが含まれる仮想データ センターをクリックします。 2 ゲートウェイ タブをクリックします。 3 vCloud Director で管理 をクリックします。 4 Edge Gateways タブをクリックします(このタブがまだ選択されていない場合)。 5 ゲートウェイ名を右クリックし、削除 を選択します。 仮想データ センターのネットワークの表示 仮想データ センターのネットワークのリストを表示できます。各ネットワークのネットワーク タイプ、デ フォルトのゲートウェイ IP アドレス、IP 範囲、および各ネットワークに接続されている仮想マシン数を表 示できます。 ゲートウェイ ネットワークのゲートウェイおよびそのゲートウェイに割り当てられているパ ブリック IP アドレス数も表示できます。 開始する前に ネットワークの管理者権限があることを確認します。 手順 1 ダッシュボード タブで、仮想データ センターをクリックします。 2 ネットワーク タブをクリックします。 仮想データ センターのすべてのネットワークが一覧表示されます。 仮想データ センターへのネットワークの追加 仮想データ センターに内部ネットワークまたはゲートウェイ ネットワークをさらに追加できます。ゲート ウェイ ネットワークは、ゲートウェイが 1 つ存在する仮想データ センターにしか追加できません。 開始する前に ネットワークの管理者権限があることを確認します。 VMware, Inc. 21 VMware vCloud Air Networking Guide このトピックでは、vCloud Air を使用して仮想データ センターのネットワークを追加する手順を示しま す。 vCloud Director を使用してネットワークを追加する方法の詳細は、『vCloud Director 管理者ガイド』 にある次のトピックを参照してください。 n 組織 vDC ネットワークの管理 n 組織 vDC へのネットワークの追加 手順 1 ダッシュボード タブで、ネットワークの追加先である仮想データ センターをクリックします。 2 ネットワーク タブをクリックします。 3 1 つ追加 をクリックします。 [ネットワークの追加] ダイアログ ボックスが表示されます。 4 5 ネットワークの次の設定を完了します。 オプション 説明 ネットワーク名 ゲートウェイの名前を入力します。 説明 (オプション)ゲートウェイの説明を入力します。 VDC ゲートウェイでルーティング (オプション)ゲートウェイ ネットワークを作成する場合にこのオプショ ンを選択します。ゲートウェイ ネットワークは、ネットワーク上の仮想マ シンがインターネットにアクセスする必要がある場合に作成されます。こ のオプションを選択しないと、内部ネットワークは仮想データ センターに 追加されます。 注意 このオプションを選択できるのは、仮想データ センターにゲート ウェイが少なくとも 1 つ存在する場合だけです。 VDC ゲートウェイ VDC ゲートウェイでルーティング を選択した後、ドロップダウン リスト からゲートウェイを選択します。ドロップダウン リストには、その仮想 データ センターに使用可能なゲートウェイが表示されます。 ネットワーク ゲートウェイ ネットワークのゲートウェイ IP アドレスを入力します。 注意 内部ネットワークは、DHCP ネットワーク サービスのゲートウェイ に依存します。このため、内部(隔離された)ネットワークを追加する場 合でも、ゲートウェイ IP アドレスを入力する必要があります。内部ネッ トワークを追加する場合、このフィールドにゲートウェイ アドレスを入力 してもネットワークの隔離状態に影響を与えることはありません。 サブネット マスク このネットワークの IP プールのサブネット マスクを入力します。仮想マ シンをネットワークに接続すると、仮想マシンはそのネットワークに作成 されている IP プールから IP アドレスを取得します。 詳細についてはパブリック IP アドレスの割り当て (P. 11)を参照してくだ さい。 IP 範囲 このネットワークの IP プールの IP アドレス範囲を入力します。 ネットワークの追加 をクリックします。 ゲートウェイのネットワークの表示 ゲートウェイに接続されているすべてのネットワークを表示できます。 開始する前に ネットワークの管理者権限があることを確認します。 手順 22 1 ゲートウェイ タブをクリックします。 2 ネットワークを表示するゲートウェイをクリックします。 VMware, Inc. 第 2 章 ゲートウェイおよびネットワークの管理について 3 ネットワーク タブをクリックします。 ゲートウェイに接続されているすべてのゲートウェイ ネットワークが一覧表示されます。 ゲートウェイへのネットワークの追加 ゲートウェイに追加したネットワークのリストを表示できます。各ネットワークのデフォルトのゲートウェ イ IP アドレス、IP 範囲、および各ネットワークに接続されている仮想マシン数とそのゲートウェイに割り 当てられているパブリック IP アドレス数を表示できます。 開始する前に ネットワーク管理者権限があることを確認します。 手順 1 ダッシュボード タブで、ゲートウェイ タブをクリックします。 2 ネットワークを追加するゲートウェイをクリックします。 3 ネットワーク タブをクリックします。 ゲートウェイのすべてのネットワークが一覧表示されます。 4 1 つ追加 をクリックします。 [ネットワークの追加] ダイアログ ボックスが表示されます。 5 ネットワークの次の設定を完了します。 オプション 説明 ネットワーク名 ゲートウェイの名前を入力します。 説明 (オプション)ゲートウェイの説明を入力します。 ネットワーク ゲートウェイ ネットワークのゲートウェイ IP アドレスを入力します。 サブネット マスク このネットワークの IP プールのサブネット マスクを入力します。 仮想マ シンをネットワークに接続すると、仮想マシンはそのネットワークに作成 されている IP プールから IP アドレスを取得します。 詳細についてはパブリック IP アドレスの割り当て (P. 11)を参照してくだ さい。 IP 範囲 このネットワークの IP プールの IP アドレス範囲を入力します。 注意 VDC ゲートウェイ経由のルーティング フィールドおよび VDC ゲートウェイ フィールドは自動 的に入力されています。 6 ネットワークの追加 をクリックします。 ネットワークの削除 仮想データ センターから内部ネットワークまたはゲートウェイ ネットワークを削除できます。ネットワー クを削除する前に、すべての仮想マシンをネットワークから切断します。 開始する前に ネットワーク管理者権限があることを確認します。 注意 直接接続機能用に作成されたネットワークを削除できます。直接接続に作成されたネットワークのタ イプは、vCloud Air で「直接」 と表示されます。詳細については、『vCloud Air ユーザー ガイド』の 「vCloud Air への直接接続について」を参照してください。 VMware, Inc. 23 VMware vCloud Air Networking Guide 手順 1 ダッシュボード タブで、ネットワークを削除する仮想データ センターをクリックします。 あるいは、ゲートウェイ ネットワークを削除する場合はゲートウェイに移動してそのゲートウェイの ネットワークを削除できます。 ゲートウェイ タブをクリックして削除するネットワークを含むゲート ウェイを選択し、ネットワーク タブをクリックします。 2 ネットワーク タブをクリックします。 ネットワークのリストが表示されます。 3 削除するネットワークのドロップダウン矢印をクリックして、ネットワークの削除 を選択します。 ネットワークを削除する前に、そのネットワークからすべての仮想マシンを切断したかどうかを確認す るダイアログ ボックスが表示されます。 4 可 をクリックします。 ネットワークが削除され、vCloud Air コンソールの最上部に確認メッセージが表示されます。 NAT ルールの追加 vCloud Air では、NAT ルールを作成することで、外部ネットワークと内部ネットワークにある仮想マシン 間でトラフィックを方向付けることができます。SNAT または DNAT ルールを構成するときは、常に vCloud Air の観点からそのルールを構成します。 NAT ルールは次の方法で構成します。 n SNAT:トラフィックは vCloud Air で内部ネットワークの仮想マシン(ソース)からインターネット を経由して外部ネットワーク(ターゲット)に送信されます。 n DNAT:トラフィックはインターネット(ソース)から vCloud Air 内の仮想マシン(ターゲット)に 送信されます。 詳細は、このガイドの ネットワーク アドレス変換 (NAT) (P. 14) を参照してください。 この手順には、vCloud Air を使用して NAT ルールを作成する手順が含まれています。vCloud Director を 使用して NAT ルールを作成または編集する詳細については、vCloud Director 管理者ガイドの次のトピック を参照してください。 n ソース NAT ルールのエッジ ゲートウェイへの追加 n ターゲット NAT ルールのエッジ ゲートウェイへの追加 開始する前に NAT ルールを作成する前に、以下の項目を行ってください。 n ネットワーク管理者権限があることを確認します。 n NAT ルールを作成する仮想マシンの IP アドレスを取得します。 手順 24 1 ダッシュボード タブで、ゲートウェイ タブをクリックします。 2 NAT ルールを追加するゲートウェイをクリックします。 3 NAT ルール タブをクリックします。 VMware, Inc. 第 2 章 ゲートウェイおよびネットワークの管理について 4 5 追加 ボタンをクリックし、ドロップダウン メニューから次のオプションのいずれかを選択します。 オプション 説明 ソース NAT (SNAT) SNAT ルールでは、ソース IP アドレスおよびオプションで送信パケット のポートが変更されます。vCloud Air で SNAT ルールを作成すると、 ポートとプロトコルがデフォルトで「任意」に設定されます。SNAT ルー ルのポートとプロトコルのデフォルト設定を変更するには、 vCloud Director で設定を編集します。 ターゲット (DNAT) DNAT ルールでは、ターゲット IP アドレスおよびオプションで着信パ ケットのポートが変更されます。 どのタイプの NAT ルールを作成するかに応じて、以下を設定します。 ソース NAT (SNAT) (内部 -> 外部) オプション 説明 元の(内部)ソース このルールに適用する元の IP アドレスまたは IP アドレス範囲を入力しま す。 これらのアドレスは、SNAT を構成する仮想マシン(複数可)の IP アド レスなので、それらの仮想マシンは外部ネットワークにトラフィックを送 信できます。 変換された(外部)ソース 仮想マシンが外部ネットワークにトラフィックを送信するとき、送信パ ケットでソース アドレス(仮想マシン)がどの IP アドレスに変換される かを指定します。 このアドレスは、常に、SNAT ルールを構成するゲートウェイのパブリッ ク IP アドレスになります。 ドロップダウン リストから必要な IP アドレスを選択します。 ターゲット NAT (DNAT) (外部 -> 内部) 6 VMware, Inc. オプション 説明 元の(外部) IP ルールを適用するターゲット IP アドレスを指定します。このアドレス は、常に、DNAT ルールを構成するゲートウェイのパブリック IP アドレ スになります。 ドロップダウン リストから必要な IP アドレスを選択します。 プロトコル ルールが適用されるプロトコルを、任意、TCP、UDP、TCP/UDP、ICMP から選択します。プロトコルはデフォルトで「任意」に設定されていま す。 元のポート/範囲 (オプション)仮想マシンが接続されている内部ネットワークに接続する ために着信トラフィックがゲートウェイで使用するポートまたはポート範 囲を入力します。 ICMP タイプ [プロトコル] フィールドで ICMP (デバイス間でのエラー情報の通信に使 用するエラー報告と診断のユーティリティ)を選択する場合は、ドロップ ダウン メニューから ICMP のタイプを選択します。ICMP メッセージは 「type」フィールドで特定されます。ICMP タイプはデフォルトで「任 意」に設定されています。 変換された(内部) IP/範囲 ターゲット アドレスが着信パケットで変換される IP アドレスまたは IP ア ドレス範囲を入力します。 これらのアドレスは、DNAT を構成する仮想マシン(複数可)の IP アド レスなので、それらの仮想マシンは外部ネットワークからトラフィックを 受信できます。 変換されたポート/範囲 (オプション)内部ネットワーク上の仮想マシンでトラフィックが接続す るポートまたはポート範囲を入力します。 このルールを有効にする を選択し、保存 をクリックします。 25 VMware vCloud Air Networking Guide 26 VMware, Inc. ネットワーク セキュリティと安全なア クセス 3 vCloud Air には、ネットワーク セキュリティと、クラウド内のリソースへの安全なアクセスを実現する機 能が提供されています。 この章では次のトピックについて説明します。 n ネットワーク セキュリティについて (P. 27) n ファイアウォール ルールについて (P. 29) n ファイアウォール ルールの追加 (P. 29) n VPN およびリモート ネットワーク (P. 30) n IPsec VPN について (P. 31) n IPsec VPN 接続の設定について (P. 32) n リモート サイトへの IPsec VPN 接続の設定 (P. 33) n データ センター拡張のための SSL VPN (P. 35) ネットワーク セキュリティについて vCloud Air におけるサブスクリプションおよび構成についての決定は、ネットワーク セキュリティに影響 を与えます。 次の表は、サービス提供(Dedicated Cloud と Virtual Private Cloud )間のセキュリティ差異を示していま す。 セキュリティ ニーズに合うサービス提供を選択します。 表 3‑1. サービス提供間のセキュリティ差異 Dedicated Cloud Virtual Private Cloud リソース n n 物理的に分離したホスト 論理的に分離したネットワークとストレージ n n 共有クラウド 論理的に分離したネットワーク、コンピューティン グ、およびストレージ セグメント n n 組織に基づいてセグメント化された仮想データ セン ター セグメント化が行われるため、マルチテナントの対象 とならない n 仮想データ センターのセグメント化は行われない セキュリティ上の利点 n VMware, Inc. 規制のあるアプリケーションの実行に適している n 単一の組織内における共有アクセスに適している 27 VMware vCloud Air Networking Guide vCloud Air に追加するネットワークのタイプとそれらのネットワークに仮想マシンを接続する方法にも、 セキュリティ上考慮すべき事項があります。仮想マシンをそのセキュリティ ニーズに基づいて適切なネッ トワークに接続します。 表 3‑2. ネットワーク タイプ間のセキュリティ差異 ゲートウェイ ネットワーク 内部ネットワーク 必要となる状況 n 外部のネットワークにアクセスする必要がある仮想マ シン。 n n 隔離する必要があるワークロード。 具体的なセキュリティ ポリシー(特定のアプリケー ションをインターネットに直接接続できないコンプラ イアンス ルールなど)の対象となるワークロード。 メリット ゲートウェイ ネットワークに仮想マシンを接続する と、その仮想マシンはゲートウェイによって提供され るネットワーク サービス(ファイアウォール、NAT、 負荷分散)にアクセスできるようになる。 注意 仮想マシンにはデュアル NIC のインスタンスを設定 できます。仮想マシンのインターフェイス 1 つをゲート ウェイ ネットワークに、そして他のインターフェイスを内 部ネットワークに接続できます。 n n n 内部ネットワークはゲートウェイには接続されないた め、内部アプリケーションの実行に適しています。 直接のインターネット トラフィックから隔離したいア プリケーションを実行する仮想マシン(ログ サーバ、 トラッキング サーバ、データベース サーバなど)。 vCloud Air では次のセキュリティ機能を使用できます。 n ゲートウェイ:ファイアウォール、IP アドレス管理、およびルーティング n 脅威の軽減:アンチウイルス、トラフィック分析、脅威の軽減などのサードパーティ製アプライアンス n サードパーティ製アプライアンス:独自のセキュリティ ポリシーを展開できるように、ユーザが選択 する仮想アプライアンス n VXLAN:融通の利くポータブルな仮想データ センターの設立 サードパーティ製仮想アプライアンス vCloud Air は、独自のアンチウイルス ソリューション(MacAfee アンチウイルスなど)を展開してゲート ウェイ インターフェイス間に固定ルーティングを構成し、すべてのトラフィックがまずアンチウイルスを トラバースした後で仮想マシンに向かうようにすることで、脅威の軽減をサポートします。 vCloud Air は、クラウドへのサードパーティ製仮想アプライアンスの展開をサポートします。たとえば、 Palo Alto セキュリティ アプライアンスやデータ センターにオンサイト展開されたアプライアンスに基づい たポリシーを使用している場合、その同じサードパーティ製仮想アプライアンスを vCloud Air 内に展開 し、ネットワーク トラフィックがアプライアンス経由で仮想マシンに流れるようにします。データ セン ターでオンサイト使用した、vCloud Air 内の同じ仮想アプライアンスを使用すると、vCloud Air はオンサ イト クラウドのエクステンションとして機能できます。vCloud Air は、F5、RSA (セキュア ID 用)、 Riverbed (キャッシング)などの、VMware vSphere によってサポートされているすべてのサードパー ティ製仮想アプライアンスの展開をサポートします。 このほか、vCloud Air 内では内部ネットワーク経由でサードパーティ製アプライアンスを使用することも できます。 内部ネットワーク(ゲートウェイに接続されていない)はサードパーティ製アプライアンスに 接続でき、サードパーティ製仮想アプライアンスはゲートウェイにアクセスできます。 28 VMware, Inc. 第 3 章 ネットワーク セキュリティと安全なアクセス ファイアウォール ルールについて ゲートウェイのネットワーク セキュリティ ポリシーは、すべてファイアウォール ルールを作成することに よって構成します。(vCloud Air では他の一部のクラウド プロバイダのようにセキュリティ グループを構 成する必要はありません。)ファイアウォール ルールを構成することで、vCloud Air クラウドの入トラ フィックと出トラフィックを管理します。また、ファイアウォール ルールの構成を通して、ゲートウェイ 上のあらゆるインターフェイス間のネットワーク トラフィックを保護することもできます。 vCloud Air のファイアウォール ルールには次の特性があります。 n 5 組のポリシー(プロトコル、ソース IP アドレス、ターゲット IP アドレス、ソース ポート、および ターゲット ポート)から構成される n 複数のネットワークにわたり複数のポリシーを設定できる n エンタープライズ級のアプリケーション展開に適している 重要 デフォルトでは、ゲートウェイは、ゲートウェイ ネットワーク上の仮想マシンとの間のすべてのネッ トワーク トラフィックを拒否するように構成されているファイアウォール ルールでデプロイされます。 NAT ルールを構成した後でネットワーク上の仮想マシンの ping を試みると、失敗し、対応するトラ フィックを許可するファイアウォール ルールは追加されません。 ファイアウォール ルールを作成する手順については、このガイドの「ファイアウォール ルールの追 加 (P. 29)」を参照してください。 関連情報 n 『vCloud Director 管理者ガイド』の「Edge ゲートウェイのファイアウォールの構成」 n 『vCloud Director 管理者ガイド』の「Edge ゲートウェイへのファイアウォール ルールの追加」 n 『vCloud Air チュートリアル』の「Gateway サービスの紹介:ファイアウォール」 n 『VMware vCloud Air ソリューションの概要』の「ファイアウォール ルールと NAT ルールの構成」 ファイアウォール ルールの追加 ゲートウェイを経由するトラフィックが内部ネットワーク上の仮想マシンに到達するようにファイアウォー ル ルールを構成することで、仮想マシンがインターネットにアクセスできます。 この手順には、vCloud Air を使用してファイアウォール ルールを作成する手順が含まれています。 vCloud Director を使用してファイアウォール ルールを作成または編集する詳細については、 vCloud Director 管理者ガイド の次のトピックを参照してください。 n エッジ ゲートウェイのファイアウォールの構成 n エッジゲートウェイのファイアウォール ルールの追加 開始する前に n ネットワーク管理者権限があることを確認します。 n ファイアウォール ルールを作成する仮想マシンの IP アドレスを取得します。 手順 1 ダッシュボード タブで、ゲートウェイ タブをクリックします。 2 ファイアウォールのルールを追加するゲートウェイをクリックします。 3 ファイアウォール ルール タブをクリックします。 VMware, Inc. 29 VMware vCloud Air Networking Guide 4 追加 ボタンをクリックします。 [ファイアウォールで許可される例外の追加] ダイアログボックスが表示されます。 5 以下を設定しルールを構成します。 オプション 説明 名前 ルールの名前を入力します。 設定 (オプション)有効にする を選択し、ゲートウェイのルールを有効にしま す。 注意 この例外のネットワーク トラフィックを記録 オプションは選択する 必要はありません。これは、この時点で vCloud Air のファイアウォール ログ データにアクセスできないからです。 プロトコル ルールを適用するプロトコルをドロップダウン メニューから選択します。 オプションには、任意、TCP、UDP、TCP/UDP、または ICMP がありま す。 デフォルトではプロトコルは「任意」に設定され、全プロトコルからの ネットワーク トラフィックがファイアウォールを通過します。 ソース ドロップダウン メニューから次のオプションを選択します。 任意:外部ネットワークのあらゆるソースからのトラフィックが仮想 マシンに到達できます。 n 内部:このルールをすべての内部トラフィックに適用します。 n 外部:このルールをすべての外部トラフィックに適用します。 n 特定の CIDR、IP、または IP 範囲:このルールを適用するトラフィッ クの CIDR 表記を入力します。 n 接続元ポート (オプション) ポートまたはポート範囲を入力し、それらのポートからの トラフィックが内部ネットワーク上の仮想マシンに到達できるようにしま す。 ターゲット ドロップダウン メニューから次のオプションを選択します。 任意:内部ネットワーク上のすべての仮想マシンからのトラフィック が外部ネットワークにアクセスできるようにします。 n 内部:このルールをすべての内部トラフィックに適用します。 n 外部:このルールをすべての外部トラフィックに適用します。 n 特定の CIDR、IP、または IP 範囲:このルールを適用するトラフィッ クの CIDR 表記を入力します。 n 接続先ポート 6 (オプション) ポートまたはポート範囲を入力し、仮想マシン上のそれら のポートからトラフィックが外部ネットワークに到達できるようにしま す。 保存 をクリックします。 VPN およびリモート ネットワーク ネットワーク セキュリティの別の側面は、オンプレミス データ センターと vCloud Air クラウドの間で確 立される接続です。仮想マシンの接続ニーズは、ワークロードによりさまざまです。 vCloud Air により、リモート サイトと vCloud Air クラウドの間で、インターネット、VPN、および直接 接続の安全な接続を実現します。 接続タイプごとに、異なるセキュリティ機能があります。 n ファイアウォール ルール(ゲートウェイ サービス)による安全なインターネット接続 詳細は、このガイドの「ファイアウォール ルールについて (P. 29)」を参照してください。 n セキュア VPN: n IPsec VPN - 安全なサイト間 VPN 詳細は、このガイドの「IPsec VPN について (P. 31)」および「リモート サイトへの IPsec VPN 接続の設定 (P. 33)」を参照してください。 30 VMware, Inc. 第 3 章 ネットワーク セキュリティと安全なアクセス n SSL VPN (データ センター エクステンション) - レイヤー 2 エクステンションによる、オンプレ ミス データ センターからクラウドへの、既存の IP アドレス範囲のエクステンション 詳細は、このガイドの「データ センター拡張のための SSL VPN (P. 35)」を参照してください。 n 直接接続 - 専用の接続を提供するプライベート接続(規制されたアプリケーション向き) 詳細については、『vCloud Air ユーザー ガイド』の「vCloud Air への直接接続について」を参照して ください。 vCloud Air と vCloud Director を使用して IPsec VPN 接続を作成します。vCloud Connector を使用して SSL VPN (データ センター エクステンション)を作成します。 関連情報 n 詳細については、『vCloud Director 管理者ガイド』の「リモート ネットワークへの VPN トンネルの作 成」を参照してください。 n 詳細については、VMware ブログの記事「VPN を使用して複数の vCloud Air クラウドに接続する方 法」を参照してください。 IPsec VPN について IPsec (インターネット プロトコル セキュリティ)は、通信セッションの IP パケットのセキュリティを保 護するためのプロトコル スイートです。vCloud Air では、IPsec を使用して、vCloud Air サービスとリ モート サイト(構内のデータ センターなど)の間で、セキュアな VPN 接続を作成します。 ゲートウェイでは、サイト間の IPsec VPN 接続について以下の IPsec 機能が使用できます。 n プリシェアード キー モードを使用した証明書認証 n ゲートウェイとリモート VPN ルータ間の IP ユニキャスト トラフィック(動的ルーティングではな い) n リモート VPN ルータごとに複数のサブネットを構成して、IPsec VPN をゲートウェイの内部インター フェイスのゲートウェイ ネットワークに接続する機能 注意 VPN ルータ サブネットの IP アドレス範囲とゲートウェイ ネットワークの IP アドレス範囲に重 複する部分があってはなりません。両者はそれぞれ、異なるサブネットに属している必要があります。 というのは、IPsec VPN 接続では、両者のローカル エンドポイントの IP アドレスが異なっている必要 があるからです。 n 最大 10 サイト間で、最大 64 の IPsec VPN 接続を確立可能 n ゲートウェイを NAT の背後に展開して、ゲートウェイの VPN IP アドレスをインターネットからアク セス可能なパブリック IP アドレスに変換する リモート VPN ルータはパブリック IP アドレスを使用してゲートウェイにアクセスします。 n NAT デバイスの背後にリモート VPN ルータを展開する NAT デバイスの背後にリモート VPN ルータを展開する場合は、VPN ネイティブの IP アドレスと VPN ゲートウェイ ID を使用して IPsec VPN 接続を構成します。接続の両サイドで、VPN IP アドレス に対して 1 対 1 の静的 NAT を構成します。 関連情報 vCloud Air で IPsec VPN 接続を設定する手順については、このガイドの「リモート サイトへの IPsec VPN 接続の設定 (P. 33)」を参照してください。 VMware, Inc. 31 VMware vCloud Air Networking Guide 『vCloud Director 管理者ガイド』の「リモート ネットワークへの VPN トンネルの作成」も参照してくださ い。 『vCloud Director 管理者ガイド』の「組織の仮想データ センター ネットワークでの VPN の有効化」も参 照してください。 IPsec VPN 接続の設定について vCloud Air 内のネットワーク間と、リモートサイトと vCloud Air の間には、IPsec VPN 接続を構成できま す。最も一般的なシナリオは、リモート ネットワークから vCloud Air への IPsec VPN 接続の設定です。 vCloud Director を使用し、ゲートウェイ サービスの構成の一環として、vCloud Air の IPsec VPN 接続を 構成できます。サイト間に IPsec VPN 接続を構成する場合は、現在の場所の視点から接続を構成します。 接続の設定にあたっては、VPN 接続を正しく構成するために、次の値を構成する方法を理解している必要 があります。 n ピア ネットワーク: VPN の接続先であるリモート ネットワークを指定します。この設定を構成する 場合は、特定の IP アドレスではなくネットワーク範囲を入力します。 CIDR 形式で、たとえば 「192.168.99.0/24」のように IP アドレスを入力します。 n ローカル エンドポイント (LEP):ゲートウェイが送受信を行う、vCloud Air 内のネットワークを指定 します。一般に、外部ネットワークはローカル エンドポイントです。 n ピア ID: VPN 接続の終端であるリモート デバイスのパブリック IP アドレスを指定します。ピア IP アドレスが他の組織の VDC ネットワークのものであれば、そのピアのネイティブ IP アドレスを入力 します。ピアに NAT が構成されている場合は、プライベート ピア IP アドレスを入力します。 n ピア IP:接続先リモート デバイスのパブリック IP アドレスを指定します。ピアに NAT が構成されて いる場合は、そのデバイスが NAT に使用するパブリック IP アドレスを入力します。 n ローカル ID:ゲートウェイのパブリック IP アドレスを指定します。ゲートウェイ ファイアウォール とともに IP アドレスまたはホスト名を入力できます。 例:VM1 と VM2 間に IPsec VPN 接続を構成する 次の図は、VPN 接続の設定を正しく指定する方法を例で示しています。 32 VMware, Inc. 第 3 章 ネットワーク セキュリティと安全なアクセス 図 3‑1. アーキテクチャ: vCloud Air とリモート サイト間の IPsec VPN ピア ID とピア IP を指定することで、接続の一方からもう一方へネットワーク トラフィックがどのように 流れるかを構成します。上の例では、接続の vCloud Air 側のピア ID とピア IP は値が異なります。これ は、接続のオンプレミス側では、オンプレミスのゲートウェイはインターネットから直接アクセスできない ためです(このゲートウェイは他のデバイス、主に外部ルーターを介してインターネットに接続します)。 接続のオンプレミス側では、ピア ID とピア IP が同じ値です。これは、vCloud Air 内のゲートウェイがイ ンターネットから直接アクセス可能であるためです(このゲートウェイは他のデバイスの背後に設置されて いません)。 リモート サイトへの IPsec VPN 接続の設定 この手順では、vCloud Air とリモート サイト間の IPsec VPN 接続を作成するステップを示します。 この手 順では、接続の vCloud Air サイドを構成します。 vCloud Director を使用して、IPsec VPN 接続を構成します。 IPsec VPN 接続は、vCloud Director での ゲートウェイ サービスの構成の一環として構成します。 開始する前に vCloud Air のネットワーク管理者権限があることを確認します。 接続のエンドポイント間にファイアウォールがある場合は、次の IP プロトコルと UDP ポートを許可する ように構成する必要があります。 n IP プロトコル ID 50 (ESP) n IP プロトコル ID 50 (ESP) n IP プロトコル ID 51 (AH) n UDP ポート 500 (IKE) n UDP ポート 4500 VMware, Inc. 33 VMware vCloud Air Networking Guide 手順 1 vCloud Air で、ゲートウェイ タブをクリックします。 vCloud Air に構成されている全ゲートウェイのリストが表示されます。 各ゲートウェイが属する仮想 データ センターが、ゲートウェイ名の横に表示されます。 2 IPsec VPN 接続を設定するゲートウェイをクリックします。 3 vCloud Director 内 見出しの下の 詳細ゲートウェイ設定の管理 をクリックします。 vCloud Director 管理 ページ > Edge Gateway タブが表示されます。 4 ゲートウェイ名を選択し、右クリックして Edge Gateway サービス > VPN タブを選択します。 5 VPN の有効化 をオンにして、ゲートウェイに対して VPN ネットワーク サービスを有効にします。 6 必要に応じて、パブリック IP の構成 をクリックして外部ネットワークのパブリック IP アドレスを追 加します。 7 [Add] をクリックします。 サイト間 VPN 構成の追加 ダイアログ ボックスが表示されます。 8 34 IPsec VPN 接続用に次の設定を完了します。 オプション 説明 名前 接続の名前を入力します。 説明 (オプション)接続の説明を入力します。 この VPN 構成を有効にします。 チェックボックスをオンにして、2 つの VPN エンドポイント間の接続を 有効にします。 VPN 確立先 ドロップダウン メニューから リモート ネットワーク を選択します。 ローカル ネットワーク テキスト フィールドで、接続を適用するローカル ネットワークを選択し ます。 ピア ネットワーク VPN の接続先のリモート ネットワークを入力します。 注意 CIDR 形式を使用して IP アドレスを入力し、ネットワーク範囲(特 定の IP アドレスではなく)を入力します(例:192.168.99.0/24)。 ローカル エンドポイント ドロップダウン リストから、接続のローカル エンドポイントであるネッ トワークを選択します。ローカル エンドポイントはゲートウェイが転送す る vCloud Air 内のネットワークを指定します。 一般に、外部ネットワー クはローカル エンドポイントです。 ローカル ID ゲートウェイのパブリック IP アドレスであるローカル ID を入力します。 ピア ID VPN 接続を終端であるリモート デバイスのパブリック IP アドレスである ピア ID を入力します。 注意 ピア IP アドレスが他の組織の VDC ネットワークのものであれば、 そのピアのネイティブ IP アドレスを入力します。 ピアに NAT が構成さ れている場合は、プライベート ピア IP アドレスを入力します。 ピア IP 接続先リモート デバイスのパブリック IP アドレスであるピア IP を入力し ます。 注意 ピアに NAT が構成されている場合は、そのデバイスが NAT に使用 するパブリック IP アドレスを入力します。 暗号化プロトコル ドロップダウン リストから暗号化タイプを選択します。 注意 選択する暗号化タイプは、リモート サイトの VPN デバイスで構成 されている暗号化タイプと一致する必要があります。 VMware, Inc. 第 3 章 ネットワーク セキュリティと安全なアクセス 9 オプション 説明 シェアード キー 少なくとも 1 つの大文字、1 つの小文字、1 つの数値を含む、32 から 128 文字の英数字の文字列を入力します。 注意 シェアード キーは、リモート サイトの VPN デバイスで構成されて いるキーと一致する必要があります。 MTU VPN 接続の最大転送ユニット(MTU)を入力します。 MTU は、それ以上小 さなパケットに分割しなくても 1 つのパケットで伝送することができる最 大データ量です。 OK をクリックします。 表に VPN 構成が表示されます。 次に進む前に 接続の両サイド(vCloud Air およびオンプレミス設備)で IPsec VPN 接続を構成する必要があります。 こ の手順では、vCloud Air の接続を構成する方法を詳しく説明します。 オンプレミス設備の接続を構成しま す。 データ センター拡張のための SSL VPN データ センター拡張を使用すると、エンタープライズ ネットワークをパブリック クラウド(vSphere また は vCloud Director)に拡張し、同じ IP アドレスおよび MAC アドレスを維持したままプライベート クラ ウドから vCloud Air に仮想マシンを移動することができます。データ センター拡張は、安全な SSL VPN 接続を介した既存のエンタープライズ ネットワークから vCloud Air へのレイヤー 2 拡張です。拡張が完了 すると、同じ IP アドレスおよび MAC アドレスを使用して、移動した仮想マシンを使用および管理するこ とができます。 注意 vCloud Air でデータ センター拡張を使用するには、VMware vCloud Connector Advanced Edition ライセンスを購入する必要があります。 データ センター拡張では、アプリケーションを変更することなく既存の IP アドレス範囲をオンプレミスの データ センターから vCloud Air に拡張することができます。 データ センター拡張は 2 つのゲートウェイ 間で SSL VPN を使用し、2 つのサイトをブリッジします。WAN を介した VXLAN は実行しません。 vCloud Air でのデータ センター拡張の使用については、以下のユース ケースを参照してください。 n ライセンスを MAC アドレスに関連付けている n 仮想マシン アプリケーションが IP アドレスまたは MAC アドレスに依存している n DNS 制御がなく、DNS の更新ができない n 既存のセキュリティ ルールを無効にしたり、アクセス制御リストの再構成が必要になるのを防ぐ データ センター拡張には次の要件があります。 n n n 拡張ネットワークの考慮事項: n 拡張仮想マシンはオンプレミスのゲートウェイを使用します。 n ネットワーク トラフィックはすべて SSL VPN 接続を通過します。 Microsoft Active Directory のサイトとサービス: n 拡張ネットワークは Active Directory のオンプレミス サイトの一部です。 n vCloud サーバとの DNS と Active Directory の通信は SSL VPN 接続を通過します。 n ネットワークをサイト間で分割することはできません。 vApp の制限事項: n VMware, Inc. 拡張ネットワークは、vApp あたり 128 台の仮想マシンをサポートします。 35 VMware vCloud Air Networking Guide n 拡張ネットワークは、1 つの vApp に対するパワー操作をサポートします。 1 つの vApp に含まれるすべての仮想マシンに対して同時にパワー操作を実行することができま す。 関連情報 vCloud Air のデータセンター拡張を設定するために必要なタスクについては、『 vCloud Connector の使 用』の「プライベート vCloud Director クラウドからパブリック vCloud への仮想マシンの拡張展開」を参 照してください。 詳細については、VMware のテクニカル ホワイトペーパー「VMware vCloud Air へのデータ センター拡 張」を参照してください。 36 VMware, Inc. 仮想マシンのネットワーク接続 4 vCloud Air で仮想マシンを展開する場合は、ネットワークを使用せずに仮想マシンを作成します。仮想マ シンはネットワークを使用しないので、サービスの内側と外側両方の他の仮想マシンやサーバとの通信から 分離されます。 仮想マシンを作成するときに、仮想マシンをゲートウェイ ネットワークと内部ネットワークのどちらに割 り当てるかを選択できます。 内部ネットワークは、インターネットに接続されません。 内部ネットワーク には、内部サブネットが割り当てられ、仮想マシンが IP アドレスを取得できる IP プール範囲が設定されて います。 仮想マシンを作成するときに、仮想マシンで IP アドレスを取得する方法を次の中から選択できます。 n DHCP: DHCP を使用して DHCP プールから IP アドレスを取得する場合、ゲートウェイは DHCP ルーターとして機能します。 n 固定 IP プール:固定 IP プールから IP アドレスを取得すると、仮想マシンはネットワークに構成され ている範囲から IP アドレスを取得します。 n 固定手動:仮想マシンを作成し、ネットワーク構成を指定するときに、IP アドレスを手動で入力しま す。 注意 [固定 IP プール] または [固定手動] のネットワーク オプションを使用するには、作成している仮想マ シンに VMware Tools をインストールする必要があります。 仮想マシンに VMware Tools をインストール しているかどうかにかかわらず、DHCP を使用して IP アドレスを設定できます。 関連情報 IP アドレスを仮想マシンに割り当てる方法の詳細については、「パブリック IP アドレスの割り当 て (P. 11)」を参照してください。 VMware Tools については、次の VMware ドキュメントを参照してください。 n 『vCloud Director ユーザー ガイド』の「VMware Tools のインストール」 n 『VMware Tools のインストールと構成ガイド』の「VMware Tools のインストールと構成」 この章では次のトピックについて説明します。 n ネットワークへの仮想マシンの接続 (P. 38) n 仮想マシンのネットワーク割り当ての変更 (P. 38) n インターネットへの仮想マシンの接続 (P. 39) VMware, Inc. 37 VMware vCloud Air Networking Guide ネットワークへの仮想マシンの接続 仮想データ センターで仮想マシンを内部ネットワークまたはゲートウェイ ネットワークに接続できます。 インターネットへの接続を可能にして NAT、ファイアウォール、または負荷分散などのネットワーク サー ビスを使用するには、仮想マシンをゲートウェイ ネットワークに接続します。 仮想マシンをネットワークに接続すると、その仮想マシンにはネットワークの定義済みプライベート IP ア ドレス プールから IP アドレスが割り当てられます。 開始する前に エンド ユーザー権限または仮想インフラストラクチャの管理者権限があることを確認します。 手順 1 接続する仮想マシンを探します。 a 仮想インフラストラクチャ管理者であれば、その仮想マシンを含んでいる仮想データ センターを クリックし、仮想マシン タブをクリックします。 b エンド ユーザーであれば、[My Virtual Machines] で仮想マシンを選択します。 2 仮想マシンがパワーオン状態の場合、その仮想マシンを選択して パワーオフ をクリックします。 3 仮想マシン名をクリックします。 4 ネットワーク タブをクリックします。 5 ネットワークを追加 をクリックします。 6 ネットワークのリストからネットワークを選択します。 注意 仮想マシンを接続するネットワークは複数選択できます。 7 仮想マシンに複数のネットワークを選択する場合、対象のネットワークで プライマリ NIC オプション をクリックし仮想マシンのプライマリ ネットワークを指定します。デフォルトでは、プライマリ ネッ トワークは仮想マシンで最初に選択したネットワークに設定されます。 8 保存 をクリックします。 仮想マシンのネットワーク割り当ての変更 仮想マシンのネットワークの割り当てを変更することも、ネットワークを追加して仮想マシンを接続するこ ともできます。 開始する前に ネットワークの管理者権限があることを確認します。 手順 38 1 ダッシュボード タブで、該当の仮想マシンを含んでいる仮想データ センターをクリックします。 2 仮想マシン タブをクリックします。 3 仮想マシンがパワーオン状態の場合、その仮想マシンを選択して パワー オフ をクリックします。 4 仮想マシンの名前をクリックします。 5 ネットワーク タブをクリックし、ネットワーク割り当てを編集 をクリックします。 VMware, Inc. 第 4 章 仮想マシンのネットワーク接続 6 次の方法で、新しいネットワーク割り当てを設定します。 n 仮想マシンの新しいネットワークを選択します。 n ネットワークを選択解除して仮想マシンをネットワークから切断します。 7 仮想マシンに複数のネットワークを選択する場合、対象のネットワークで プライマリ NIC オプション をクリックし仮想マシンのプライマリ ネットワークを指定します。デフォルトでは、プライマリ ネッ トワークは仮想マシンで最初に選択したネットワークに設定されます。 8 保存 をクリックします。 インターネットへの仮想マシンの接続 仮想マシンからインターネットにアクセスできるように、仮想マシンを仮想データ センター内のゲート ウェイ ネットワークに接続できます。 仮想マシンをネットワークに接続すると、ネットワークの事前定義プライベート IP アドレス プールから IP アドレスが割り当てられます。 重要 デフォルトでは、ゲートウェイは、ゲートウェイ ネットワーク上の仮想マシンとの間のすべてのネッ トワーク トラフィックを拒否するように構成されているファイアウォール ルールでデプロイされます。 ま た、デフォルトでは NAT が無効になっているため、ゲートウェイは送受信トラフィックの IP アドレスを 変換できません。 ゲートウェイ ネットワーク上の仮想マシンにアクセスできるようにするには、ゲート ウェイでファイアウォールと NAT ルールの両方を構成する必要があります。 NAT ルールを構成した後で ネットワーク上の仮想マシンの ping を試みると、失敗し、対応するトラフィックを許可するファイア ウォール ルールは追加されません。 開始する前に ネットワーク管理者権限があることを確認します。 手順 1 接続する仮想マシンを見つけます。 a 仮想インフラストラクチャ管理者の場合、仮想マシンを含む仮想データ センターと 仮想マシン タ ブをクリックします。 b エンド ユーザーの場合、[マイ仮想マシン] で仮想マシンを選択します。 2 仮想マシンがパワーオンになっている場合、そのマシンを選択して パワーオフする をクリックしま す。 3 仮想マシン名をクリックします。 4 ネットワーク タブをクリックします。 5 仮想マシンがネットワークに接続されていない場合、ネットワークの追加 をクリックします。 接続さ れている場合は、ネットワークの割り当ての編集 をクリックします。 6 ネットワークのリストからゲートウェイ ネットワークを選択します。 注意 仮想マシンの接続先として 1 つ以上のネットワークを選択できます。 7 仮想マシンに複数のネットワークを選択する場合は、そのネットワークの プライマリ NIC オプション をクリックして、仮想マシンのプライマリ ネットワークを指定します。 デフォルトでは、プライマリ ネットワークは仮想マシンに選択した最初のネットワークに設定されます。 8 保存 をクリックします。 VMware, Inc. 39 VMware vCloud Air Networking Guide 9 仮想マシンがインターネットからネットワーク トラフィックを受信できるように、仮想マシンの外部 ネットワーク アドレスと内部ネットワーク アドレスを変換する NAT ルールを作成します。 仮想マシンの NAT ルールを作成する手順については、NAT ルールの追加 (P. 24)を参照してくださ い。 10 ゲートウェイが仮想マシンのインターネット トラフィックを送受信することを許可するファイア ウォール ルールを作成します。 仮想マシンのインターネット アクセスを許可するファイアウォール ルールの作成手順については、 ファイアウォール ルールの追加 (P. 29)を参照してください。 40 VMware, Inc. vCloud Air の直接接続 5 vCloud Air の場合、社内またはコロケーション センターと vCloud Air 地域間の直接ネットワーク接続を オーダリングできます。直接ネットワーク接続を使うと、Dedicated Cloud と Virtual Private Cloud の帯域 幅をある程度専用化することができます。 vCloud Air では、仮想マシンからのトラフィックは直接ネットワーク接続経由で送信されます。 注意 vCloud Air インスタンス用に VMware から直接接続をオーダリングした場合は、このセクションを 参照してください。直接接続を購入していない場合、直接接続ネットワークは vCloud Air Web コンソール に表示されません。 この章では次のトピックについて説明します。 n 直接接続の機能 (P. 41) n Direct Connect サービスの概要 (P. 42) n Direct Connect を順序付ける理由 (P. 43) n オーダリングとプロビジョニングのワークフローについて (P. 44) n 接続パートナーとの共同作業による接続の設定 (P. 45) n vCloud Air への Direct Connect のオーダリング (P. 45) n VMware オペレーションと連携してオーダリングを完了する (P. 47) n vCloud Air での直接接続の表示 (P. 47) n Direct Connect を経由したトラフィックのルーティング (P. 48) 直接接続の機能 直接接続を使用して、自社またはコロケーション センターと vCloud Air の場所を接続する場合、次の主要 な機能を使用できます。 n 自社またはコロケーション センターと vCloud Air 間のより大きい専用帯域幅 高速接続により、セキュアなマルチポイント ネットワークから分析アプリケーションまで、データ セ ンター間で大量のデータを転送するハイブリッド アーキテクチャを実現します。 n vCloud Air で稼働する仮想マシンやクラウドベースのアプリケーションにアクセスするときのセキュ リティが、インターネットや VPN を使ってクラウドにアクセスするよりも向上 企業データと顧客情報を転送するときに、直接接続を使用するとセキュリティが向上します。たとえ ば、vCloud Air が MPLS ネットワークのエクステンションまたは企業ネットワーク上のセキュアなア クセス ロケーションとして表示されるように指定できます。 VMware, Inc. 41 VMware vCloud Air Networking Guide n 使用可能な帯域幅が大きくなったことで、ネットワークとアプリケーションのパフォーマンスが向上 直接接続を専用仮想回路に接続すると、パフォーマンスが要求されるアプリケーションに対して高いス ループットと待ち時間の短い接続を実現できます。 n vCloud Air でやり取りするデータ速度が向上するため、コストを削減することが可能 直接接続により、複数のエンドポイントで専用リンクを共有して、同じ vCloud Air インスタンス内の 支店やリモート オフィスのサポートを簡素化できます。 n 柔軟性の向上 高いスループット、短い待ち時間の接続により、vCloud Air が専用ネットワーク、ストレージ、また はコンピューティング ハードウェアとアプライアンスに接続するカスタム アーキテクチャが実現しま す。 直接接続を使用すると、vCloud Air の拡張容量を利用する方法が広がります。 n 高可用性アーキテクチャに内蔵 直接接続は高可用性を実現するように、リンク アグリゲーション グループ (LAG) の冗長性と冗長ス イッチで構成されます。 Direct Connect サービスの概要 ネットワーク サービス プロバイダを使用する顧客またはデータ センター所有者は、vCloud Air へのエン ドツーエンドのプライベート接続を設定します。 接続のオプション Direct Connect では、2 つの専用の接続オプションがサポートされています。 n リモートの場所から vCloud Air に接続する顧客の接続。たとえば、長距離 WAN 接続ために vCloud Air への MPLS 接続を拡張する場合。 n vCloud Air と同じデータ センターに存在し、そのデータ センター内で vCloud Air にクロス接続する 顧客の接続。 論理プライベート WAN 接続 直接ネットワーク接続を設定して、構内からエンドツーエンドの仮想回線を使用できます。 サイト(コロケーション施設、本社、支社など)から vCloud Air があるデータ センターにプロビジョニン グする接続のタイプおよび帯域幅は、接続を提供するために選択したネットワーク サービス プロバイダの 能力およびサービス カタログによって異なります。 たとえば、次のテクノロジを選択してプライベート WAN 接続を実装できます。 n マルチプロトコル ラベル スイッチング (MPLS) n 仮想プライベート LAN サービス (VPLS) ネットワーク サービス プロバイダまたは通信パートナーがこの接続を管理します。 接続は顧客の構内から vCloud Air があるデータ センター内のネットワーク サービス プロバイダの終端スイッチへ橋渡ししま す。 ネットワーク サービス プロバイダは、データ センターのミート ミー ルーム (MMR) 内の vCloud Air スイッチ上のポートへの接続、またはデータ センターの主配線盤 (MDF) などのキャリア終端デバイスへの 接続にパッチを適用する責任があります。 データ センター内クロス接続 直接ネットワーク接続を設定してデータ センター内クロス接続を使用できます。クロス接続は、データ セ ンター内の既存のポッドと同じ施設内の vCloud Air サービスとの間に、直接接続されたネットワーク回線 を提供します。 データ センター内クロス接続を使用して、データ センター内の物理的に隔離されている 2 つの組織、特に顧客ケージと vCloud Air インフラストラクチャを接続できます。 VMware では、vCloud Air サービスにアクセスするデータ センター内のケージに 1 つ以上のアクセス ポー トが用意されています。 クロス接続はポイントツーポイント接続であり、ネットワーク サービス プロバイ ダの装置を使用してトラフィックをルーティングしません。 42 VMware, Inc. 第 5 章 vCloud Air の直接接続 接続コンポーネント どちらの接続オプションも、装置から vCloud Air への接続には 2 つのコンポーネントがあります。 n vCloud Air の外部:データ センター内のミート ミー ルームの vCloud Air スイッチなど、顧客の場所 から vCloud Air 接続ポイントへの接続。 n vCloud Air の内部:vCloud Air サービスのゲートウェイへの vCloud Air 接続ポイントからの接続 図 5‑1. Direct Connect から vCloud Air への接続コンポーネント 顧客の構内 ネットワーク サービス プロバイダ (NSP) NSP 管理 データ センター ミート ミー ルーム ファイバ パネル NSP スイッチ vCloud Air スイッチ パッチ パネル データ センター 所有者 管理 vCloud Air 接続 ポイント VMware 管理対象 – L2 ネットワーク (VLAN) vCloud Air インフラストラクチャ ゲートウェイ お客様の ケージ 仮想マシン カスタマ 管理対象 – VxLAN ネットワーク 顧客のクラウド 顧客の装置から vCloud Air スイッチへの接続は、タグなしレイヤー 2 接続 (VLAN) として構成されます。 vCloud Air クラウド内では、ソフトウェア定義ネットワーク (VxLAN ベース ネットワーク) を使用して ネットワークが実装されます。 Direct Connect を順序付ける理由 次のようにクラウドを使用する場合は、vCloud Air に接続する直接ネットワーク接続を順序付けする必要 があることがよくあります。 n n VMware, Inc. vCloud Air を使用して次のタイプの Web サイトを実行する予定がある。 n 社内のデータベースやストレージで管理する、トラフィック量が多い Web サイト n PCI Express コンプライアンス要件に準拠した E コマース アプリケーション vCloud Air で、次の特性を持つアプリケーションを実行する予定がある。 n 時間の制約がある n 外部アクセスが許可されない n 規制されている n バックエンド メイン フレームに接続するフロントエンド Web サービスから成る n パッケージ化されたアプリケーションおよびホスト内部アプリケーション 43 VMware vCloud Air Networking Guide n VPN ポート使用時の要件や、政府コンプライアンスのプライベート接続要件など、特定のコンプライ アンス要件がある。 n ネットワーク トラフィックがインターネットを通過すべきでない重要なワークロードを実行してい る。 次の要件がある場合は、顧客のケージから同じデータ センターの vCloud Air への直接交差接続の順序付け が必要になることがよくあります。 n キャパシティの拡張に vCloud Air を使用する。 n クラウドベースのアプリケーション展開の一環として、ハードウェアベースのネットワーク、ルーティ ング、およびセキュリティ ソリューション、ハードウェアベースのアプリケーション監視ソリュー ション、または特殊ストレージやサーバなどの特殊な機器が必要です。 VMware は、お客様による vCloud Air のハードウェアベース アプライアンスの展開をサポートしませ ん。 n プライバシー要件やコンプライアンス要件を守るためにデータを管理したいが、クラウドで実行してい るアプリケーションの極めて近くにデータがある。vCloud Air とストレージ ソリューション(同じ データ センターの顧客のケージにある)の高速交差接続が必要。 オーダリングとプロビジョニングのワークフローについて vCloud Air への直接ネットワーク接続をオーダリングしプロビジョニングを行うワークフローでは、ユー ザー、ユーザーのネットワーク サービス プロバイダ、ユーザーの vCloud Air カスタマー サクセス チーム の間で以下のやり取りの手順を行います。 前提条件 n どの vCloud Air データ センターに接続するかを決定します。 1 か所または複数の場所との専用回線接続を確立できます。各ロケーションに接続したコロケーション 機器を用意する必要があります。 n 接続には次のどのオプションが必要かを判断します。 n 論理プライベート WAN 接続 注意 オーダリングする接続タイプ(MPLS、VPLS、E-Line など)は、接続を可能にするために 選んだネットワーク サービス プロバイダの機能およびサービス カタログに応じます。 n イントラ データ センター クロス接続 ハイレベルのワークフロー 1 接続パートナー(ネットワーク サービス プロバイダ、テレコム キャリヤ、データ センター所有者な ど)との共同作業により、顧客側から vCloud Air を含んでいる設備までの接続を設定します。 Direct Connect で使用可能な接続オプションの詳細については、「Direct Connect サービスの概 要 (P. 42)」を参照してください。 vCloud Air データ センターへの接続を設定する詳細については、「接続パートナーとの共同作業によ る接続の設定 (P. 45)」を参照してください。 2 My VMware アカウントにログインし、接続先となる vCloud Air データ センターへの Direct Connect をオーダリングします。 詳細については、「vCloud Air への Direct Connect のオーダリング (P. 45)」を参照してください。 VMware によりオーダリングが処理されると、接続設定に対応する LOA-CFA (Letter of Authorization – Customer Facility Assignment) フォームが、vCloud Air カスタマー サクセス チームの担当者から提 供されます。 44 VMware, Inc. 第 5 章 vCloud Air の直接接続 3 VMware が送信したこの LOA-CFA フォームを接続パートナーに配布してください。接続パートナー は、パートナー側の機器から vCloud Air スイッチへの接続を確立するために、この LOA-CFA フォー ムを必要とします。LOA-CFA は、顧客側のサーキットを接続する vCloud Air 機器のキャビネット、 パッチ パネル、ポート番号を提供します。 接続パートナーの終端デバイスと vCloud Air スイッチ間の接続の詳細については、「図 5-1」を参照 してください。 VMware は、vCloud Air スイッチからデータ センターの vCloud Air インフラストラクチャまでを完 全に接続します。 4 接続パートナーと VMware の共同作業によるテストと検証のミーティングに参加して、vCloud Air へ のエンドツーエンドの接続が想定通りに機能していることを検証します。 Direct Connect ネットワークが vCloud Air Web コンソールに表示されます。 5 vCloud Air にログインし、Direct Connect ネットワークの詳細を表示します。 詳細については、「vCloud Air での直接接続の表示 (P. 47)」を参照してください。 6 トラフィックを(接続オプションに応じて)顧客のケージまたは構内から、vCloud Air の仮想マシン にルーティングします。 詳細については、「Direct Connect を経由したトラフィックのルーティング (P. 48)」を参照してくだ さい。 接続パートナーとの共同作業による接続の設定 vCloud Air に追加する Direct Connect をオーダリングする前に、接続パートナーとの共同作業により vCloud Air のデータ センター ロケーションへの接続を設定します。 ユーザーは、VMware とは関係なく各自の接続パートナーとの共同作業により、お客様の構内から vCloud Air を含んでいるデータ センターのパートナーのエンドポイント(具体的にはパートナーの終端デ バイス)までの接続を有効にします。 ネットワーク サービス プロバイダはユーザーの施設で接続を設定し、vCloud Air データ センターで接続 を終端します。ネットワーク サービス プロバイダは接続を完了すると、プロビジョニング プロセスを vCloud Air カスタマー サクセス チームに引き継ぎます。 ユーザーは、vCloud Air へのクロス接続を希望する場合、データ センター所有者との共同作業により vCloud Air 接続ポイントへの接続を設定します。 Direct Connect が使用可能になるデータ センターにはミート ミー ルームが設けられます。データ センター 内のミート ミー ルームには、ネットワーク サービス プロバイダとテレコム企業が物理的に相互接続すると 同時にユーザーとも接続し、ローカル ループ料金の負担無しにデータ交換できる領域があります。 VMware は、vCloud Air インフラストラクチャ機器をミート ミー ルームに接続するので、ユーザーは顧客 側の機器からデータ センター ロケーションまでの接続のためにどのネットワーク サービス プロバイダと契 約するかを選ぶことができます。 vCloud Air への Direct Connect のオーダリング My VMware を使用して必要な接続オプションを指定し、直接ネットワーク接続をオーダリングします。 Direct Connect を現在の Dedicated Cloud または Virtual Private Cloud サブスクリプションに対するアドオ ン SKU としてオーダリングしてください。 Direct Connect サブスクリプションの長さは現在のサブスクリ プションとコータームしています。たとえば、Dedicated Cloud の 12 か月のサブスクリプションをオーダ リングしており、サブスクリプションが 6 か月残っている場合、Direct Connect のオーダリングは残りの 6 か月間有効になります。 VMware, Inc. 45 VMware vCloud Air Networking Guide Direct Connect サブスクリプションに対して月次で請求され、Direct Connect の月次請求には、ネットワー ク サービス プロバイダまたは顧客の装置から vCloud Air データ センターの場所までの接続を提供する データ センター所有者のコストや手数料は含まれません。 注意 Dedicated Cloud サービスを持つ顧客は、My VMware から 2 つ以上の SKU をオーダリングすること で、直接ネットワーク接続に対して冗長性を設定できます。 2 つ以上の接続をオーダリングすると、 vCloud Air の同じゲートウェイから構内またはコロケーション センターへの冗長接続が可能になります。 冗長性を実現するには、同じゲートウェイまたは異なるゲートウェイで終端する同じ速度または異なる速度 の複数の Direct Connect をオーダリングします。ただし、複数の仮想データ センターまたはゲートウェイ で終端する 1 つの Direct Connect を使用することはできません。 開始する前に Direct Connect をオーダリングするには、事前に次の前提条件が満たされている必要があります。 n vCloud Air でアカウント管理者権限を持っていること。 n Direct Connect を使用して接続する vCloud Air の場所が特定されていること。 n 接続先の vCloud Air データ センターに存在する接続パートナーが選択されていること。 n 顧客ケージまたは顧客構内からデータ センター内の接続パートナーの終端デバイスへの接続のうち、 接続パートナーの部分が完了していること。顧客の装置と接続パートナーの終端デバイス間の接続につ いては、図 5-1 を参照してください。 手順 1 電子メール アドレスまたは My VMware アカウントの顧客番号を使用し、パスワードを入力して、 My VMware ポータルにログインします。 または 電子メール アドレスとパスワードで vCloud Air にログインします。 [ダッシュボード] の [関連リンク] で さらにリソースを購入 をクリックします。 My VMware ポータルが表示されます。 2 サブスクリプション サービスに移動します。 3 使用可能なアドオン タブで、必要な接続の Direct Connect の SKU を選択します。 Direct Connect の SKU は、次のオプションの組み合わせで使用できます。 n Direct Connect が使用可能な vCloud Air データ センターの場所 n vCloud Air サービス - Dedicated Cloud および Virtual Private Cloud のタイプ n Dedicated Cloud サービスの場合、10Gbps ポートまたは 1Gbps ポートの選択 注意 Virtual Private Cloud サブスクリプションの Direct Connect は、1Gbps ポート速度でのみ構 成可能です。 4 今すぐ購入 をクリックします。 [アドオン リクエスト オーダリング] ページが表示されます。 5 オーダリングの条項と条件に同意し、リクエストを送信 をクリックします。 オーダリングの送信が完了したことを示す確認メッセージが表示され、申請 ID 番号が示されます。 次に進む前に 24 ~ 48 時間以内に、オーダリングを確認する電子メールが送信されます。vCloud Air ポータルにより、 構内から vCloud Air への直接ネットワーク接続がオーダリングされたが、接続が vCloud Air でプロビ ジョニングされていないことが示されます。 46 VMware, Inc. 第 5 章 vCloud Air の直接接続 VMware でオーダリングが処理されると、vCloud Air カスタマー サクセス チームにより接続設定の Letter of Authorization – Customer Facility Assignment (LOA-CFA) フォームが送信されます。 VMware から送信 された LOA-CFA フォームを、接続パートナーに送信します。接続パートナーが装置から vCloud Air ス イッチへの接続を確立するには、LOA-CFA フォームが必要です。 LOA-CFA では、顧客の回線を接続する ための vCloud Air 装置のキャビネット、パッチ パネル、ポート番号を提供します。 VMware オペレーションと連携してオーダリングを完了する 直接ネットワーク接続をオーダリングした後に、vCloud Air のカスタマー サクセス チームと協力して vCloud Air 内と vCloud Director 内の接続を設定するために必要な情報を提供します。 VMware の担当者から問い合わせがあったら、次の情報を提供します。 n 接続する仮想マシンを含む仮想データ センターの名前 n Direct Connect の接続オプション — データ センター内の WAN 接続またはクロス接続 n お客様の機器から接続を設定するネットワーク サービス プロバイダまたはクロス接続パートナー (データ センターの所有者など) n vCloud Air の仮想マシンに必要な接続タイプ: n n ルーティングされた接続 — ゲートウェイを介してルーティングされる仮想マシンへの接続 n 直接接続 — 外部ネットワークから仮想マシンへの直接接続 ルーティングされた接続のみ: n vCloud Air で構成される仮想データ センターのゲートウェイの名前 n ゲートウェイ IP アドレス vCloud Air のすべての仮想マシンは、インターネット接続にこのゲートウェイ IP アドレスを使用 します。 n ゲートウェイ サブネット マスク n IP プール — Direct Connect サブネットから IP アドレスのプールを予約する vCloud Air で使用する IP アドレスの範囲 注意 Direct Connect ネットワークを含む仮想データ センターに対して構成している Dedicated Cloud サービスおよび複数のゲートウェイがある場合は、Direct Connect 接続を終了するために使用するゲー トウェイを決定します。複数の仮想データ センターまたはゲートウェイで 1 つの Direct Connect 接続 を使用して終了することはできません。 注意 vCloud Air で IP アドレス範囲を変更または追加する場合は、これらの IP アドレス範囲へのルーティ ングを適切に構成できるように、接続プロバイダを更新する必要があります。 Direct Connect インターフェイスでは、プライベート IP アドレスの構成範囲を提供できます。Direct Connect インターフェイスおよび Direct Connect インターフェイスに接続する仮想マシンは、このプライ ベート IP アドレスの範囲内で構成できます。 vCloud Air での直接接続の表示 ネットワーク サービス プロバイダから物理的接続がプロビジョニングされたら、vCloud Air ポータルにロ グインして、接続に関する詳細を表示します。 直接接続インターフェイスは 2 番目の外部インターフェイスになります。 vCHS ポータルは現在、2 つの外 部インターフェイスをサポートしています。 VMware, Inc. 47 VMware vCloud Air Networking Guide 開始する前に n ネットワーク サービス プロバイダによって、コロケーション センターへの直接ネットワーク接続が物 理的にプロビジョニングされました。 n vCloud Air への回路がプロビジョニングされたことを、vCloud Air 顧客成功チームに伝えました。 n 顧客成功チームがプロビジョニングの完了を確認しました。 手順 1 電子メール アドレスとパスワードで vCloud Air にサインインします。 クラウドの地域ページが表示されます。 2 直接ネットワーク接続をオーダリングした地域をクリックします。 3 ゲートウェイ タブをクリックし、終端のゲートウェイとして構成するために vCloud Air 顧客成功チー ムに提供したゲートウェイの名前をクリックします。 そのゲートウェイに関連付けられたネットワークの詳細とネット枠の詳細が表示されます。 接続のステータス(アクティブ、冗長性の有効化、フェイルオーバーの状態など)および接続の速度を 表示できます。 Direct Connect を経由したトラフィックのルーティング vCloud Air に直接ネットワーク接続をプロビジョニングしたら、vCloud Air Web コンソールで、この接続 を経由してトラフィックをルーティングするように仮想マシンを設定します。 直接ネットワーク接続を経 由して仮想マシンのトラフィックをルーティングするには、仮想マシンの NAT ルールを作成し、この接続 を経由してトラフィックをルーティングできるようにする必要があります。 注意 NAT ルールの構成については、「NAT ルールの追加」を参照してください。 開始する前に n ネットワーク サービス プロバイダは、直接ネットワーク接続をコロケーション センターに物理的にプ ロビジョニングします。 n ユーザーは、vCloud Air への回路がプロビジョニングされたことを vCloud Air カスタマー サクセス チームに通知します。 n vCloud Air の管理者権限が付与されます。 手順 1 ゲートウェイ タブで、vCloud Air カスタマー サクセス チームに通知したゲートウェイ名をクリック して終了ゲートウェイとして構成します。 2 NAT ルール タブをクリックします。 ゲートウェイに構成された NAT ルールのリストが表示されます。 3 vCloud Air ゲートウェイから社内のルーターまたはネットワーク サービス プロバイダのルーターに送 信されるトラフィックをルーティングするには、[1 つ追加] ドロップダウン リストから [送信先 NAT] を選択します。 送信先ルーターの IP アドレスは、接続タイプに応じて異なります。 [送信先 NAT ルールの追加] ダイアログ ボックスが表示されます。 設定を完了し、DNAT ルールを追 加します。 詳細については、「NAT ルールの追加」を参照してください。 48 VMware, Inc. 第 5 章 vCloud Air の直接接続 4 仮想マシンへの固定ルートを作成するには、vCloud Director での管理 をクリックします。 『 vCloud Director』の「組織の仮想データセンター ネットワークの固定ルーティングの有効化」を参照 してください。 直接ネットワーク接続の詳細に表示される IP プール範囲から NAT IP アドレスを選択します。 5 社内のルーターまたはネットワーク サービス プロバイダのルーターから vCloud Air ゲートウェイに 送信するトラフィックをルーティングするには、[1 つ追加] ドロップダウン リストから [送信元 NAT] を選択します。 [送信元 NAT ルールの追加] ダイアログ ボックスが表示されます。設定を完了し、SNAT ルールを追加 します。詳細については、「NAT ルールの追加」を参照してください。 VMware, Inc. 49 VMware vCloud Air Networking Guide 50 VMware, Inc. Index Symbols 仮想マシン DHCP 37 ネットワークの編集 38 ネットワークへの接続 38 vSphere 7 A Active Directory 35 C CIDR, ファイアウォール ルール 29 D DHCP 仮想マシン 37 DNS 設定の変更 17 IP アドレス 11 IP プール 14 概要 14 Direct Connect オーダリング 45 オーダリングの完了 47 直接接続 47 ネットワーク サービス プロバイダ 45 プロビジョニング 44 ルーティングされた接続 47 ルーティングの設定 48 DMZ 17 DNS 外部サーバ 17 概要 17 I ICMP タイプ 24 IPsec 暗号化 33 概要 31 設定 33 設定の概要 32 IP アドレス DHCP 14 空きまたは割り当て済み 19 仮想プライベート クラウド サービス 11 固定 11 固定プール 37 VMware, Inc. 重複 31 専用クラウド サービス 11 パブリック 11 ピア 32 複数のサブネットからのサブ割り当て 11 IP 範囲, See IP プール IP プールのサブ割り当て 15 IP プール 仮想マシン 37 仮想マシンで使用される 38 サブ割り当て済み 15 M MAC アドレス 35 Microsoft Active Directory 35 N NAT IPsec 31 ルールの追加 19, 24 例 14 O Org VDC ネットワーク DHCP 14 DNS 17 S SLA, 直接接続 41 SSL VPN 30, 35 V vApps 35 vCloud Director IPsec 構成 32 ゲートウェイの削除 21 固定ルーティング 17 ネットワーク サービスの構成 12 vCloud Networking and Security Edge Gateway 8 VMware Tools 37 VPN 概要 30 設定 33 直接接続 41 有効化 33 51 VMware vCloud Air Networking Guide X XVLAN 7, 8 52 VMware, Inc.
© Copyright 2024 ExpyDoc