VMware vCloud Air Networking Guide

VMware vCloud Air Networking Guide
vCloud Air
This document supports the version of each product listed and
supports all subsequent versions until the document is
replaced by a new edition. To check for more recent editions
of this document, see http://www.vmware.com/support/pubs.
EN-001410-00
VMware vCloud Air Networking Guide
You can find the most up-to-date technical documentation on the VMware Web site at:
http://www.vmware.com/support/
The VMware Web site also provides the latest product updates.
If you have comments about this documentation, submit your feedback to:
[email protected]
Copyright © 2014 VMware, Inc. All rights reserved. Copyright and trademark information.
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
2
VMware, Inc.
Contents
このネットワークガイドについて
5
1 ゲートウェイとネットワークの概要 7
vCloud Air のネットワーク仮想化 7
ゲートウェイとネットワークのデフォルトセットアップ 8
パブリック IP アドレスの割り当て 11
ゲートウェイのネットワークサービスについて 12
ネットワークアドレス変換 (NAT) 14
DHCP 14
ロードバランサー 15
DNS 17
固定ルーティング 17
2 ゲートウェイおよびネットワークの管理について 19
ゲートウェイの詳細の表示および編集 19
仮想データセンターへのゲートウェイの追加 20
ゲートウェイの削除 21
仮想データセンターのネットワークの表示 21
仮想データセンターへのネットワークの追加 21
ゲートウェイのネットワークの表示 22
ゲートウェイへのネットワークの追加 23
ネットワークの削除 23
NAT ルールの追加 24
3 ネットワークセキュリティと安全なアクセス 27
ネットワークセキュリティについて 27
ファイアウォールルールについて 29
ファイアウォールルールの追加 29
VPN およびリモートネットワーク 30
IPsec VPN について 31
IPsec VPN 接続の設定について 32
リモートサイトへの IPsec VPN 接続の設定 33
データセンター拡張のための SSL VPN 35
4 仮想マシンのネットワーク接続 37
ネットワークへの仮想マシンの接続 38
仮想マシンのネットワーク割り当ての変更
インターネットへの仮想マシンの接続 39
38
5 vCloud Air の直接接続 41
直接接続の機能
VMware, Inc.
41
3
VMware vCloud Air Networking Guide
Direct Connect サービスの概要 42
Direct Connect を順序付ける理由 43
オーダリングとプロビジョニングのワークフローについて 44
接続パートナーとの共同作業による接続の設定 45
vCloud Air への Direct Connect のオーダリング 45
VMware オペレーションと連携してオーダリングを完了する 47
vCloud Air での直接接続の表示 47
Direct Connect を経由したトラフィックのルーティング 48
Index
4
51
VMware, Inc.
このネットワークガイドについて
®
この『vCloud Air ネットワークガイド』には、VMware vCloud Air のネットワークとゲートウェイの構成
についての情報が記載されています。ゲートウェイのネットワークサービスを使用することによる仮想
データセンターへのゲートウェイの追加、ゲートウェイへのネットワークの追加、ネットワークセキュリ
ティの設定などの方法が紹介されています。
このほか、リモートサイトから vCloud Air への安全なアクセスを設定する方法も説明されています。
対象者
このガイドは、vCloud Air でネットワークを構成するネットワーク管理者や仮想管理者を対象にしていま
す。このガイド内の情報は、仮想マシン技術やネットワークの概念に詳しい経験豊富な管理者を対象にして
います。
関連ドキュメント
vCloud Air のネットワーク構成を理解する一環として、次の関連情報を参照してください。
n
クラウドサービス内のすべての管理用仮想マシンのために vCloud Air コンソールを使用する方法につ
いては、『vCloud Hybrid Service ユーザーガイド』を参照してください。
n
vCloud Director を使用して vCloud Air に影響を与えるタスクを実行する方法については、『vCloud
Director 管理者ガイド』を参照してください。
n
さまざまな vCloud Air 機能を使用する方法については、『vCloud Hybrid サービスチュートリアル』
を参照してください。
このガイドでは、本文中に、トピックの関連情報のリンクも示しています。
VMware の技術ドキュメントの用語集
VMWare の技術ドキュメントには、新しい用語などを集約した用語集があります。当社の技術ドキュメン
トで使用される用語の定義については、http://www.vmware.com/support/pubs をご覧ください。
VMware, Inc.
5
VMware vCloud Air Networking Guide
6
VMware, Inc.
ゲートウェイとネットワークの概要
1
vCloud Air ネットワークは、従来のネットワークテクノロジーと設計を複製します。vCloud Air のネット
ワークは、VMware vSphere、VXLAN、vCloud Networking and Security、vCloud Director など、
VMware 製品で使用されるソフトウェア定義ネットワーク (SDN) テクノロジーをベースにしています。
この章では次のトピックについて説明します。
n
vCloud Air のネットワーク仮想化 (P. 7)
n
ゲートウェイとネットワークのデフォルトセットアップ (P. 8)
n
パブリック IP アドレスの割り当て (P. 11)
n
ゲートウェイのネットワークサービスについて (P. 12)
n
ネットワークアドレス変換 (NAT) (P. 14)
n
DHCP (P. 14)
n
ロードバランサー (P. 15)
n
DNS (P. 17)
n
固定ルーティング (P. 17)
vCloud Air のネットワーク仮想化
vCloud Air のネットワーク仮想化により、プライベートクラウド内の仮想マシンを、ネットワーク経由で
VMware パブリッククラウドにまで拡張できます。
次の VMware 製品とソリューションが協働して、vCloud Air のネットワーク仮想化と機能を提供します。
vSphere は vCloud Air が構築される基盤です。vSphere に加えて、Virtual eXtensible Local Area Network
(VXLAN) により、データセンター内に柔軟な仮想ネットワークを実装するのに必要な機能を提供します
（VMware vCloud Networking and Security の一機能）。VXLAN は（動的かつカプセル化により）、複
雑な VLAN アーキテクチャを必要とすることなく vCloud Air 内にネットワークを展開できる機能を提供し
ます。VXLAN テクノロジにより、コンピューティングリソースを不連続なクラスタ全体でプールするこ
とができ、アプリケーションにアタッチされた論理ネットワークに分離できます。VXLAN はレイヤー 2 で
完全カプセル化が行えるため、ネットワークセキュリティをもたらします。また、vCloud Networking
and Security の一部分として、ゲートウェイ仮想アプライアンスにより、ファイアウォール、NAT、ロー
ドバランサー、および VPN エンドポイントなどのネットワークサービスが使用可能になります。
vCloud Air コンソールは、ゲートウェイとネットワークを管理するためのプライマリポータルです。さら
に、vCloud Director を使用して、さらに詳細なレベルでゲートウェイとネットワークを管理できます。
vCloud Air コンソールは、vCloud Director へのシングルサインオンアクセスを提供します。
VMware, Inc.
7
VMware vCloud Air Networking Guide
ゲートウェイとネットワークのデフォルトセットアップ
vCloud Air でのゲートウェイとネットワークのデフォルトセットアップは、購入したサービス
（Dedicated Cloud サービス、または Virtual Private Cloud サービス）によって異なります。
サービスオプションについては、『vCloud Air ユーザーガイド』の「vCloud Air のタイプ」を参照してく
ださい。
いずれのサービスでも、各仮想データセンターのネットワークを構成します。仮想データセンターは、
VMware vCloud Networking and Security Edge Gateway（このガイドでは「ゲートウェイ」と呼ぶ）を使
用して、外部ネットワークとの接続を提供します。次のコンポーネントにより vCloud Air のネットワーク
とゲートウェイのデフォルトセットアップを構成します。
VMware は、イントラネットへの接続のための外部ネットワークを管理します。vCloud Air では、お客様
がネットワークを作成して管理します（組み込み VXLAN テクノロジを使用）。
ゲートウェイ
Virtual Private Cloud サービスをサブスクライブ契約する場合は、VMware が仮想データセンターを作成
して、その仮想データセンターにゲートウェイを追加します。Dedicated Cloud サービスをサブスクライ
ブ契約する場合は、ユーザーが vCloud Air コンソールにログインして、最初の仮想データセンターを作成
します。仮想データセンターにパブリック IP アドレスを割り当てると、vCloud Air は、その仮想データ
センターにゲートウェイを作成します。
デフォルトでゲートウェイには次の特徴があります。
n
コンパクト構成
n
高可用性が有効
n
マルチインターフェイスモードが有効
n
内部 IP アドレスとサブネットがある内部ネットワーク
Dedicated Cloud サービスをサブスクライブ契約する場合、仮想データセンターで追加ゲートウェイを展
開できます。Virtual Private Cloud サービスをサブスクライブ契約する場合、仮想データセンターには 1
つのゲートウェイのみを設定できます。
ゲートウェイは 10 個のインターフェイスをサポートしますが、1 つのインターフェイスが外部ネットワー
クへのアクセス用に予約されます。残りの 9 個のインターフェイスを使用して、ゲートウェイのネットワー
クを構成します。仮想データセンターで、ネットワーク構成に追加のインターフェイスが必要な場合、
ゲートウェイをさらに追加します（Dedicated Cloud サービスの場合のみ可能）。
ネットワーク
Dedicated Cloud サービスをサブスクライブ契約する場合、インターネットへのアクセスを構成するため
に、3 つのパブリック IP アドレスが割り当てられます。Virtual Private Cloud サービスをサブスクライブ契
約する場合、2 つのパブリック IP アドレスが割り当てられます。My VMware のサブスクリプションサー
ビスから、いつでも追加のパブリック IP アドレスを購入できます。
VMware が Virtual Private Cloud サービスの仮想データセンターを作成するか、ユーザーが
Dedicated Cloud サービス用に作成した仮想データセンターにパブリック IP アドレスを割り当てると、仮
想データセンターにはデフォルトで次のネットワークが設定されます。
n
DATACENTER_NAME-DEFAULT-ROUTED：ゲートウェイに接続され、このネットワーク上の仮想マ
シンはインターネットに接続できるため、これはゲートウェイネットワークです。
n
DATACENTER_NAME-DEFAULT-ISOLATED：ゲートウェイに接続されていない内部ネットワーク。
このネットワーク上の仮想マシンは、インターネットから到達不可能です。
プライベート IP アドレスプールが各ネットワークに割り当てられます。
8
VMware, Inc.
第 1 章ゲートウェイとネットワークの概要
図 1‑1. vCloud Air のデフォルトネットワーク
ゲートウェイネットワークのデフォルト設定
デフォルトでは、ユーザーが仮想データセンターまたはゲートウェイにパブリック IP アドレスを割り当て
ると、vCloud Air はゲートウェイネットワークを作成し、次のプロパティを使用して構成します。
n
DATACENTER_NAME-DEFAULT-ROUTED という名前が付けられます
n
パブリック IP アドレスを介してゲートウェイに接続します
n
192.168.109.0 サブネット上に作成されます
n
デフォルトゲートウェイ IP アドレス 192.168.109.1 が設定されます
n
次のネットワークサービスがデフォルトで有効または無効になります。
n
ファイアウォール：有効。すべてのトラフィックを拒否
n
DHCP：無効
n
NAT：無効
n
静的ルーティング：無効
n
VPN：無効
n
負荷分散：無効
重要 vCloud Air でゲートウェイとゲートウェイネットワークを最初に追加するとき、そのネットワーク
に追加されたどの仮想マシンにも接続できず、それらの仮想マシンはインターネットに接続できません。デ
フォルトで、ゲートウェイが展開されるとき、ファイアウォールルールはゲートウェイネットワーク上の
仮想マシンが送受信するネットワークトラフィックすべてを拒否するように構成されます。また、デフォ
ルトで NAT が無効であるため、ゲートウェイは送受信するトラフィックの IP アドレスを変換できませ
ん。ゲートウェイネットワーク上の仮想マシンをアクセス可能にするため、ゲートウェイ上のファイア
ウォールと NAT のルールを構成する必要があります。
詳細は、このガイドの「ファイアウォールルールの追加 (P. 29)」および「NAT ルールの追加 (P. 24)」
を参照してください。
VMware, Inc.
9
VMware vCloud Air Networking Guide
内部ネットワークのデフォルト設定
内部ネットワークはゲートウェイに接続されていません。内部ネットワークには、内部 IP アドレスとサブ
セットがあります。内部ネットワークに接続された仮想マシンは、内部ネットワークに接続された仮想マシ
ン同士でのみ通信できます。
DHCP は内部ネットワークで有効にすることができる唯一のサービスです。DHCP を使用して仮想マシン
の IP アドレスを取得します。デフォルトでは、内部ネットワークが作成されるとき、次の DHCP 設定が使
用されます。
n
内部ネットワークで有効
n
192.168.0.101 ～ 192.168.0.254 のプライベート IP アドレス範囲
n
デフォルトのリース時間 1 時間（3600 秒）
n
最長のリース時間 2 時間（7200 秒）
ほとんどの場合、仮想マシンをゲートウェイネットワークに接続します。ただし、次の例に見るように仮
想マシンの隔離ネットワークへの接続が必要となる場合もあります。
n
ログサーバまたはデータベースサーバを直接インターネットトラフィックから隔離するには
n
開発中のアプリケーションなどの内部専用アプリケーションを仮想マシン上で実行するには
ゲートウェイとネットワークのデフォルト設定のサマリ
次の表に、vCloud Air でのゲートウェイとネットワークのデフォルト構成をまとめます。
表 1‑1. vCloud Air でのゲートウェイとネットワークのデフォルト設定のサマリ
機能
デフォルト設定
DEDICATED CLOUD
ネットワークリソース
論理的に分離
論理的に分離
ゲートウェイ
複数。お客様による作成。
1 個。VMware による作成。
使用可能なゲートウェイインターフェ
イス数
9 個（1 ゲートウェイあたり）。複数
ゲートウェイのサポートあり。
9 個（1 ゲートウェイのみサポート）
バンド幅
50 Mbps 割り当て済み
1 Gbps バースト可能
10 Mbps 割り当て済み
50 Mbps バースト可能
パブリック IP アドレス数
3 個（さらに購入可能）
2 個（さらに購入可能）
最初のログイン時に使用可能なネット
ワーク
なし。お客様による作成（最初の
ゲートウェイを作成するとデフォル
トネットワークが追加されます）。
2 個（VMware による作成）：
n デフォルトで隔離（タイプ：内
部）
n デフォルトでルーティング（タイ
プ：ゲートウェイ）
GATEWAY NETWORK
INTERNAL NETWORK
使用可能なネットワークサービス
n
n
n
n
n
n
インターネットアクセス
10
VIRTUAL PRIVATE CLOUD
ファイアウォール：有効。すべ
てのトラフィックを拒否
DHCP：無効
NAT：無効
静的ルーティング：無効
VPN：無効
負荷分散：無効
あり。ゲートウェイパブリック IP ア
ドレスへの接続経由。
n
DHCP：有効
不可
VMware, Inc.
第 1 章ゲートウェイとネットワークの概要
表 1‑1. vCloud Air でのゲートウェイとネットワークのデフォルト設定のサマリ (続き)
機能
デフォルト設定
デフォルトゲートウェイの IP アドレ
ス
192.168.109.1
192.168.99.1
サブネット
192.168.109.0/24
192.168.99.0/24
パブリック IP アドレスの割り当て
vCloud Air に登録すると、両方のオファリングで登録サービスの一部としてパブリック IP アドレスが付与
されます。My VMware の登録サービスを通じて、追加のパブリック IP アドレスをいつでも購入すること
ができます。
n
Dedicated Cloud サービス—3 つのパブリック IP アドレス
n
Virtual Private Cloud サービス—2 つのパブリック IP アドレス
インターネットへのアクセスが必要な仮想マシンを作成する場合にのみ、仮想データセンターにパブリッ
ク IP アドレスを割り当てます。パブリック IP アドレスを割り当てると、これらのアドレスは仮想データ
センター用に予約されます。
vCloud Air では、IP アドレスを仮想マシンに割り当てる方法が 3 つあります。
n
IP プール: ネットワークに仮想マシンを接続すると、仮想マシンは、そのネットワーク用に作成された
IP プールから IP アドレスを取得します。
n
vCloud Air は、自動生成された内部ネットワークとゲートウェイネットワーク上にデフォルトで
IP アドレスのプールを作成します。
n
これらのネットワークに接続された仮想マシンは、デフォルトのプールから IP アドレスを取得し
ます。
n
デフォルトネットワークの IP プールを変更する場合は、vCloud Director を使用する必要があり
ます。
注意 vCloud Air のゲートウェイにより、ゲートウェイの外部インターフェイス用に構成された複数
のサブネットから IP アドレスをサブ割り当てすることができます。したがって、仮想データセンター
または仮想マシンに IP アドレスを割り当てるときに、IP アドレスは複数のサブネットに属することが
できます。たとえば、1 つのサブネットからすべての IP アドレスを割り当て、2 番目のサブネットが
50% だけ割り当てられている場合、2 番目のサブネットからの IP アドレスを使用することができま
す。
n
n
固定 IP アドレス: 仮想マシンを作成するとき、または仮想マシンのネットワーク設定を変更するとき
に、その仮想マシンの固定 IP アドレスを構成します。
n
仮想マシンの固定 IP アドレスを提供します。
n
vCloud Director で仮想マシンの固定 IP アドレスを設定します。
DHCP: ゲートウェイ用に基本的な DHCP サービスを提供します。
n
ゲートウェイのネットワークサービスの部分。
n
vCloud Director で構成を変更します。
ゲートウェイに割り当てたパブリック IP アドレスを表示するには、vCloud Air ダッシュボードのゲート
ウェイタブをクリックして、パブリック IP アドレスを表示するゲートウェイをクリックしてから、パブ
リック IP タブをクリックします。そのゲートウェイに割り当てられたパブリック IP アドレスが表示され
ます。
ネットワーク用に構成された IP プールを表示するには、次のスクリーンショットで示すように、ダッシュ
ボード > ネットワークタブで仮想データセンターをクリックします。
VMware, Inc.
11
VMware vCloud Air Networking Guide
注意 vCloud Air でネットワークを追加するときには、次のスクリーンショットに示すように、そのネッ
トワークの IP プールを構成します。
詳細については、このガイドの仮想データセンターへのネットワークの追加 (P. 21) とゲートウェイへの
ネットワークの追加 (P. 23) を参照してください。
ゲートウェイのネットワークサービスについて
内部ネットワークとゲートウェイネットワークでは、以下のサービスが提供されます。
ゲートウェイのネットワークサービスを構成するには、vCloud Air コンソールと vCloud Director を使用
します。
12
n
NAT： vCloud Air または vCloud Director
n
DHCP： vCloud Director
n
ロードバランサー： vCloud Director
VMware, Inc.
第 1 章ゲートウェイとネットワークの概要
n
DNS： vCloud Director
n
ファイアウォールルール： vCloud Air または vCloud Director
n
VPN： vCloud Director (IPsec VPN) および vCloud Connector (SSL VPN)
n
固定ルーティング： vCloud Director
vCloud Air にこれらのサービスを実装する方法については、以下の資料を参照してください。
表 1‑2. このガイド内の関連情報および他の資料
ネットワークサービス
NAT
以下の関連情報を参照
n
n
n
n
n
n
n
DHCP
n
n
n
ロードバランサー
n
n
n
DNS
n
n
n
ファイアウォールルー
ル
n
n
n
n
n
n
VPN
n
n
n
n
n
n
n
固定ルーティング
n
n
VMware, Inc.
このガイドの「ネットワークアドレス変換 (NAT) (P. 14)」
このガイドの「NAT ルールの追加 (P. 24)」
『vCloud Director 管理者ガイド』の「Edge Gateway ゲートウェイへのソース NAT ルー
ルの追加」
『vCloud Director 管理者ガイド』の「Edge Gateway へのターゲット NAT ルールの追
加」
vCloud Air チュートリアルの「ゲートウェイサービスの概要： Network Address
Translation」
VMware ナレッジベースの「VMware vCloud Director を使用して VMware vCloud Air
の SNAT と DNAT を構成する (2051351)」
VMware vCloud Air ソリューション概要の「ファイアウォールと NAT ルールの構成」
このガイドの「DHCP (P. 14)」
『vCloud Director 管理者ガイド』の「Edge Gateway の DHCP の構成」
vCloud Air チュートリアルの「ゲートウェイサービスの概要： DHCP」
このガイドの「ロードバランサー (P. 15)」
『vCloud Director 管理者ガイド』の「Edge Gateway 上のロードバランサーサービスの管
理」
vCloud Air チュートリアルの「ゲートウェイサービスの概要：負荷分散」
このガイドの「DNS (P. 17)」
『vCloud Director 管理者ガイド』の「組織仮想データセンターネットワークの DNS 設定
の変更」
VMware vCloud Air ソリューション概要の「ディレクトリと DNS サービスのデプロイ」
このガイドの「ファイアウォールルールについて (P. 29)」
このガイドの「ファイアウォールルールの追加 (P. 29)」
『vCloud Director 管理者ガイド』の「Edge Gateway のファイアウォールの構成」
『vCloud Director 管理者ガイド』の「Edge Gateway へのファイアウォールルールの追
加」
vCloud Air チュートリアルの「ゲートウェイサービスの概要：ファイアウォール」
VMware vCloud Air ソリューション概要の「ファイアウォールと NAT ルールの構成」
このガイドの「VPN およびリモートネットワーク (P. 30)」
このガイドの「IPsec VPN について (P. 31)」
このガイドの「リモートサイトへの IPsec VPN 接続の設定 (P. 33)」
『vCloud Director 管理者ガイド』の「リモートネットワークへの VPN トンネルの作成」
VMware vCloud ブログの「VPN を使用して複数の vCHS クラウドを接続する方法」
VMware ナレッジベースの「VMware vCloud Air 内でリモートネットワークへの IPsec
VPN を構成する (2051370)」
VMware vCloud Air ソリューション概要の「オンプレミスデータセンターへのネット
ワークの接続」
このガイドの「固定ルーティング (P. 17)」
『vCloud Director 管理者ガイド』の「Edge Gateway の固定ルーティングの有効化」
13
VMware vCloud Air Networking Guide
ネットワークアドレス変換 (NAT)
vCloud Air のゲートウェイでは、ゲートウェイネットワークに接続されている仮想マシンの NAT がサ
ポートされています。NAT ルールを作成して、パブリック IPv4 アドレスから vCloud Air の内部ネット
ワーク上に存在する仮想マシンのプライベート IPv4 アドレスに、およびその逆方向に、アドレス変換を実
行します。
vCloud Air は、送信元 NAT (SNAT) ルールと送信先 NAT (DNAT) ルールをサポートしています。SNAT
または DNAT ルールを構成する場合は、常に vCloud Air の観点からルールを構成します。特にこれは、
次の方法でルールを構成することを意味します。
n
SNAT：トラフィックは、インターネットを介して、vCloud Air の内部ネットワーク上の仮想マシン
（送信元）から外部ネットワーク（送信先）に移動します。
n
DNAT：トラフィックは、インターネット（送信元）から、vCloud Air 内部の仮想マシン（送信先）
に移動します。
vCloud Air 内部でプライベート IP アドレス空間を作成してエンタープライズからクラウドにプライベート
IP アドレス空間を移植するように、NAT ルールを構成することができます。vCloud Air で NAT ルールを
構成することにより、ローカルデータセンターのオンプレミスで使用していた vCloud Air の仮想マシン
と同じプライベート IP アドレスを使用することができます。
vCloud Air の NAT ルールでは、次のような処理がサポートされています。
n
プライベート IP アドレス空間内でサブネットを作成する
n
1 つのゲートウェイに複数のプライベート IP アドレス空間を作成する
n
複数のゲートウェイインスタンス上で複数の NAT ルールを構成する
重要デフォルトで、ゲートウェイが展開されるとき、ファイアウォールルールはゲートウェイネット
ワーク上の仮想マシンが送受信するネットワークトラフィックすべてを拒否するように構成されます。ま
た、デフォルトで NAT が無効であるため、ゲートウェイは送受信するトラフィックの IP アドレスを変換
できません。ゲートウェイネットワーク上の仮想マシンにアクセスできるようにするには、ファイア
ウォールルールと NAT ルールの両方を構成する必要があります。NAT ルールの構成後に仮想マシンへの
ping を試みると、対応するトラフィックを許可するファイアウォールルールを追加せずに失敗します。
関連情報
n
SNAT または DNAT ルールを作成する手順については、このガイドの「NAT ルールの追加 (P. 24)」
を参照してください。
n
ファイアウォールルールを作成する手順については、このガイドの「ファイアウォールルールの追
加 (P. 29)」を参照してください。
DHCP
vCloud Air ネットワークにおける DHCP のデフォルトの動作を変更するには、vCloud Director で DHCP
サービス設定を編集します。
vCloud Air でネットワークを作成する場合、vCloud Air 用の DHCP は次のように構成されます。
ゲートウェイネットワーク
ゲートウェイネットワーク用の DHCP は次のように構成されます。
14
n
デフォルトでは無効。
n
仮想マシンを作成してゲートウェイネットワークに追加する場合は、そのネットワークの DHCP を有
効にしていないかぎり、仮想マシンの IP アドレスを明示的に設定する必要がある。
VMware, Inc.
第 1 章ゲートウェイとネットワークの概要
ゲートウェイネットワーク用の DHCP を構成するには、vCloud Director で vCloud Air からゲートウェイ
用のネットワーキングサービスに移動します。
vCloud Air ダッシュボード > ゲートウェイタブ > ゲートウェイをクリック > 詳しいゲートウェイ設定の管
理 > vCloud Director 管理ページ > Edge Gateway タブ > そのゲートウェイを選択し、右クリックして
Edge Gateway サービス > DHCP タブを選択
仮想マシンをゲートウェイネットワークに追加するときにその仮想マシンに IP アドレスが自動的に割り当
てられるようにするには、DHCP を有効化してゲートウェイネットワーク用に構成します。仮想マシンに
は、構成した DHCP パラメータに基づく IP アドレスが割り当てられます。
詳細については、『vCloud Director 管理者ガイド』の「Edge ゲートウェイの DHCP の構成」を参照してく
ださい。
注意ゲートウェイネットワークで DHCP を有効にして IP アドレスプールを追加する前に、DHCP に
よって割り当てられる IP アドレスの有効範囲を決定する必要があります。
ゲートウェイに割り当てたパブリック IP アドレスを確認するには、ダッシュボードでゲートウェイタブ
をクリックし、パブリック IP アドレスを確認したいゲートウェイをクリックし、パブリック IP タブをク
リックします。そのゲートウェイに割り当てたパブリック IP アドレスのリストが表示されます。
内部ネットワーク
内部ネットワーク用の DHCP は次のように構成されます。
n
デフォルトでは有効。
n
内部ネットワークでは、使用できるネットワークサービスは DHCP のみ（NAT、VPN、ファイア
ウォールルール、固定ルーティング、および DNS サービスは隔離されたネットワークでは使用できな
い）。
n
プライベート IP アドレス範囲 192.168.0.101 ～ 192.168.0.254 が割り当てられる。
n
デフォルトのリース時間は 1 時間（3600 秒）で、最大のリース時間は 2 時間（7200 秒）。
内部ネットワーク用の DHCP を構成するには、vCloud Air から、vCloud Director で仮想データセンター
の Org VDC ネットワークタブに移動します。
vCloud Air ダッシュボード > 仮想データセンターをクリック > ネットワークタブ > vCloud Director で管
理 > vCloud Director 管理ページ > Org VDC ネットワークタブ > 内部ネットワークを選択し、右クリック
してサービスの構成 > DHCP タブを選択
関連情報
vCloud Air でネットワーク用の DHCP を設定する手順については、『vCloud Air チュートリアル』の
「Gateway サービスの紹介：DHCP」も参照してください。
ロードバランサー
vCloud Air のゲートウェイは、ゲートウェイネットワークに接続された仮想マシンの負荷分散をサポート
します。
vCloud Air では、ゲートウェイのロードバランサーに、仮想サーバと対応するサーバプールがあります。
仮想サーバとサーバプールには、次のような特徴があります。
n
仮想サーバにはパブリック IP アドレスがあり、すべての受信クライアント要求を処理します。
n
仮想サーバに割り当てられたサーバプールは、すべての負荷分散を処理します。
ゲートウェイは最大で 9 個のインターフェイスをサポートすることから、ロードバランサーサービスでは
複数のサーバプールをサポートし、各サーバプールごとに負荷分散方法を指定できます（次の図を参
照）。
VMware, Inc.
15
VMware vCloud Air Networking Guide
各負荷分散方法の詳細については、『vCloud Director 管理者ガイド』の「Edge Gateway へのプールサーバ
の追加」を参照してください。
ゲートウェイの負荷分散を構成するには、次のタスクを実行します。
1
負荷分散を構成する前に、どのパブリック IP アドレスがゲートウェイに割り当てられるのかを判断し
ます。これには、vCloud Air ダッシュボード > ゲートウェイ名 > パブリック IP タブから、ゲートウェ
イタブをクリックします。ゲートウェイに割り当てられたパブリック IP アドレスのリストが表示され
ます。
vCloud Director を使用して、ゲートウェイのパブリック IP アドレス割り当てを表示するには、
『vCloud Director 管理者ガイド』の「Edge Gateway の IP アドレスの使用状況の表示」を参照してく
ださい。
さらに、ゲートウェイ用に構成されたサブ割り当て済み IP プールを表示します（ゲートウェイは、
NAT 構成にサブ割り当て済み IP プールを使用します。サブ割り当て済み IP プールには、ゲートウェ
イの外部ネットワークに既に割り当て済みである IP プールの IP アドレスのサブセットが含まれま
す）。
vCloud Air から、vCloud Director の次の領域に移動します。
vCloud Air ダッシュボード > ゲートウェイタブ > ゲートウェイ名 > 詳細ゲートウェイ設定の管理 >
vCloud Director 管理ページ > Edge Gateway タブ > ゲートウェイを選択し、右クリックしてプロパ
ティを選択 > IP プールのサブ割り当てタブ
『vCloud Director 管理者ガイド』の「Edge Gateway での IP プールのサブ割り当て」を参照してくだ
さい。
2
vCloud Director を使用して、ゲートウェイの負荷分散を構成します。
ゲートウェイは外部ネットワークからの受信トラフィックを負荷分散するため、ゲートウェイの負荷分
散は外部インターフェイスで構成されます。負荷分散のための仮想サーバを構成するとき、上記タスク
1 で決定した使用可能な IP アドレスのいずれか 1 つを指定します。
vCloud Air から、vCloud Director の次の領域に移動します。
vCloud Air ダッシュボード > ゲートウェイタブ > 詳細ゲートウェイ設定の管理 > vCloud Director 管
理ページ > Edge Gateway タブ > ゲートウェイを選択して、右クリックし Edge Gateway サービスを
選択 > ロードバランサータブ
仮想サーバとサーバプールを構成するための手順については、『vCloud Director 管理者ガイド』の
「Edge Gateway でのロードバランサーサービスの管理」を参照してください。
3
新しい仮想サーバ（ターゲット IP アドレス）へのトラフィックを許可するファイアウォールルールを
作成します。
詳細は、このガイドの「ファイアウォールルールの追加 (P. 29)」を参照してください。
これで、このゲートウェイネットワークへのトラフィックは、サーバプール内のサーバ間で負荷分散され
ます。
関連情報
『vCloud Air で、ゲートウェイの負荷分散をセットアップする手順のための vCloud Air チュートリアル』
の「ゲートウェイサービスとは：負荷分散」も参照してください。
16
VMware, Inc.
第 1 章ゲートウェイとネットワークの概要
DNS
ゲートウェイは、vCloud Air 内のネットワークに DNS (Domain Name System) サーバを提供します。ゲー
トウェイが提供する DNS サービスを使用するように選択するか、代替 DNS サーバを指定することができ
ます。ゲートウェイの DNS サービスを使用するように選択した場合は、ゲートウェイで DNS リレーをあ
らかじめ構成する必要があります。
外部 DNS サーバを構成し、クライアントからの名前解決要求をその DNS サーバにリレーすることができ
ます。外部 DNS サーバを構成する場合、ゲートウェイは、クライアントアプリケーションの要求を DNS
サーバにリレーし、ネットワーク名を完全に解決して、サーバからの応答をキャッシュします。
vCloud Air で仮想マシンの DNS を構成するには、vCloud Director でデフォルトの DNS 設定を更新しま
す。vCloud Director の DNS 設定にアクセスするには、vCloud Air から vCloud Director の次の領域に移
動します。
vCloud Air ダッシュボード > 仮想データセンターをクリック > ネットワークタブ > vCloud Director で管
理 > vCloud Director 管理タブ > Org VDC ネットワークタブ > ネットワークを選択し、右クリックしてプ
ロパティを選択 > ネットワーク仕様タブ
詳細については、『vCloud Director 管理者ガイド』の「組織仮想データセンターネットワークの DNS 設定
の変更」を参照してください。
注意 DHCP 対応ゲートウェイの DNS 設定が変更されると、ゲートウェイは DHCP サービスの提供を停止
します。この問題を解決するには、ゲートウェイの DHCP を無効にして再度有効にします。DHCP を有効
にする方法については、以下のドキュメントを参照してください。
n
このガイドの「DHCP (P. 14)」
n
『vCloud Director 管理者ガイド』の「Edge Gateway の DHCP の構成」
関連情報
vCloud Air ネットワーク用の DNS を構成する方法の詳細については、VMware vCloud Air ソリューショ
ン概要の「ディレクトリと DNS サービスのデプロイ」を参照してください。
固定ルーティング
Virtual Private Cloud OnDemand では、ゲートウェイ内のインターフェイス間に固定ルーティングを構成
できます。デフォルトでは、ゲートウェイの固定ルーティングは無効です。（ゲートウェイに接続しない隔
離されたネットワークでは、固定ルーティングを設定することはできません。）
ルーティングされたネットワークでは、ネットワークトラフィックはゲートウェイのデフォルトインター
フェイス（インターネットに接続する）に向かいます。インターフェイス間に固定ルートを構成すると、ト
ラフィックは、インターネットへのデフォルトインターフェイスをバイパスします。
次のような状況では、必要に応じてゲートウェイに固定ルーティングを設定することができます。
n
外部ネットワークから到着するすべてのトラフィックがまずアンチウイルスアプライアンスをトラ
バースし、その後で仮想マシンにアクセスするようにしたい。
n
トラフィックがインターネットをトラバースすることなく、ルーティングされた 1 つのネットワーク上
の Web サーバがルーティングされた別のネットワーク上のアプリケーションサーバに接続するように
したい。
ルーティングされたネットワークに固定ルーティングを構成するには、vCloud Director で
Virtual Private Cloud OnDemand からゲートウェイのネットワーキングサービスに移動します。
Virtual Private Cloud OnDemand コンソール > ゲートウェイタブ > vCloud Director で管理 >
vCloud Director 管理ページ > Edge Gateway タブ > ゲートウェイを選択し、右クリックして Edge
Gateway サービス > 固定ルーティングタブを選択する
VMware, Inc.
17
VMware vCloud Air Networking Guide
vCloud Director を使用して固定ルーティングを構成する手順については、『vCloud Director 管理者ガイ
ド』の次のトピックを参照してください。
18
n
Edge ゲートウェイの固定ルーティングの有効化
n
同じ組織仮想データセンターネットワークに経路指定されている vApp ネットワーク間での固定ルー
トの追加
VMware, Inc.
ゲートウェイおよびネットワークの管理
について
2
vCloud Air コンソールは、ゲートウェイとネットワークを管理するためのプライマリポータルです。ま
た、vCloud Director を使用して、さらに詳細なレベルでゲートウェイとネットワークを管理できます。
vCloud Air コンソールは、vCloud Director へのシングルサインオンアクセスを提供します。
以下のタスクを実行して vCloud Air でゲートウェイおよびネットワークを管理するには、ネットワークリ
ソースを管理する予定の Dedicated Cloud および Virtual Private Cloud のサービスで、ネットワーク管理
者権限または仮想インフラストラクチャ管理者権限を持っていることを確認します。（vCloud Director で
追加の権限を構成する必要はありません）。
この章では次のトピックについて説明します。
n
ゲートウェイの詳細の表示および編集 (P. 19)
n
仮想データセンターへのゲートウェイの追加 (P. 20)
n
ゲートウェイの削除 (P. 21)
n
仮想データセンターのネットワークの表示 (P. 21)
n
仮想データセンターへのネットワークの追加 (P. 21)
n
ゲートウェイのネットワークの表示 (P. 22)
n
ゲートウェイへのネットワークの追加 (P. 23)
n
ネットワークの削除 (P. 23)
n
NAT ルールの追加 (P. 24)
ゲートウェイの詳細の表示および編集
Dedicated Cloud または Virtual Private Cloud サービスにおけるゲートウェイのリストを表示できます。
ワークロードをインターネット上で処理できるように詳細設定を構成することができます。
ゲートウェイごとに、仮想データセンター、ゲートウェイの IP アドレス、コンパクト構成またはフル構
成、VMware vSphere High Availability の設定、ゲートウェイに接続されているネットワークの数、および
使用中/空きのパブリック IP アドレスの数を表示できます。
開始する前に
ネットワークの管理者権限があることを確認します。
ゲートウェイ構成を理解していることを確認します。『vCloud Director 管理者ガイド』の「Edge Gateway
の管理」を参照してください。
VMware, Inc.
19
VMware vCloud Air Networking Guide
手順
1
ゲートウェイタブをクリックします。
すべてのゲートウェイがリストに表示されます。各ゲートウェイが属する仮想データセンターは、
ゲートウェイ名の横に表示されます。
2
ゲートウェイをクリックして、その詳細情報にアクセスします。
3
ペインの右上に、ゲートウェイ IP、構成、VMware High Availability の設定、およびアクティビティ
ステータスが表示されます。
4
ゲートウェイの詳細を表示して構成します。
5
オプション
説明
[NAT ルール] タブ
SNAT または DNAT の詳細が表示されます。ルールを無効/有効にする
か、または削除します。1 つ追加をクリックして、SNAT または DNAT
ルールを 1 つ追加します。SNAT の場合は、ソースと有効化ステータスを
構成します。DNAT の場合は、外部 IP、プロトコルと範囲の詳細、およ
び有効化ステータスを構成します。
[ファイアウォールルール] タブ
ファイアウォールルールを表示または追加して、着信トラフィックのタイ
プを許可または拒否します。
[ネットワーク] タブ
名前、タイプ、デフォルトの IP アドレス、接続されている仮想マシンの
数、パブリック IP アドレス、および IP 範囲など、ゲートウェイのネット
ワークに関する詳細が表示されます。
[パブリック IP] タブ
IP アドレスが空いているか、または割り当て済みかどうかが表示されま
す。
リンクを使用してゲートウェイの高度な管理を行います。
オプション
説明
名前と説明の編集
ゲートウェイの名前および説明に変更を加えます。
ゲートウェイの削除
vCloud Air からゲートウェイを削除し、NAT ルール、ファイアウォール
ルール、ロードバランシング、およびゲートウェイに追加されたネット
ワークなど、そのゲートウェイで構成済みのネットワークサービスすべて
を削除します。
vCloud Director でゲートウェイを管
理する
高度なゲートウェイ設定の管理をクリックして vCloud Director に移動
し、コンパクト構成からの変更、High Availability の無効化、または速度
制限の構成などの設定を管理します。
仮想データセンターへのゲートウェイの追加
仮想データセンターを作成したら、新たなゲートウェイを仮想データセンターに追加できます。ゲート
ウェイはインターネットへの接続、および NAT、ファイアウォール保護、負荷分散、IPsec VPN などの
ネットワークサービスの利用を可能にします。仮想マシンはゲートウェイネットワークを経由してゲート
ウェイに接続します。
ゲートウェイは、Dedicated Cloud サービスでの仮想データセンターのみに追加できます。
Virtual Private Cloud サービスではゲートウェイを追加できません。
ゲートウェイは、コンパクトな構成とともに、High Availability が有効な状態で作成されます。
開始する前に
ネットワークの管理者権限があることを確認します。
手順
20
1
ダッシュボードタブで、仮想データセンターをクリックします。
2
ゲートウェイタブをクリックします。
VMware, Inc.
第 2 章ゲートウェイおよびネットワークの管理について
3
ゲートウェイを追加をクリックするか、または仮想データセンターにゲートウェイがある場合は 1 つ
追加をクリックします。
4
ゲートウェイの名前と説明を入力します。
5
ゲートウェイに割り当てる IP アドレス数を指定します。
6
ゲートウェイを追加をクリックします。
ゲートウェイが作成されます。ゲートウェイをクリックしてその詳細を表示できます。
ゲートウェイの削除
Dedicated Cloud サービスの仮想データセンターからゲートウェイを削除できます。ゲートウェイを削除
すると、そのゲートウェイに関連付けられたすべてのゲートウェイネットワークが削除されます。NAT
ルール、ファイアウォール設定、負荷分散設定など、ネットワークサービスも削除されます。
ゲートウェイは、vCloud Director コンソールから削除します。
開始する前に
ネットワークの管理者権限があることを確認します。
手順
1
ダッシュボードタブで、ゲートウェイが含まれる仮想データセンターをクリックします。
2
ゲートウェイタブをクリックします。
3
vCloud Director で管理をクリックします。
4
Edge Gateways タブをクリックします（このタブがまだ選択されていない場合）。
5
ゲートウェイ名を右クリックし、削除を選択します。
仮想データセンターのネットワークの表示
仮想データセンターのネットワークのリストを表示できます。各ネットワークのネットワークタイプ、デ
フォルトのゲートウェイ IP アドレス、IP 範囲、および各ネットワークに接続されている仮想マシン数を表
示できます。ゲートウェイネットワークのゲートウェイおよびそのゲートウェイに割り当てられているパ
ブリック IP アドレス数も表示できます。
開始する前に
ネットワークの管理者権限があることを確認します。
手順
1
ダッシュボードタブで、仮想データセンターをクリックします。
2
ネットワークタブをクリックします。
仮想データセンターのすべてのネットワークが一覧表示されます。
仮想データセンターへのネットワークの追加
仮想データセンターに内部ネットワークまたはゲートウェイネットワークをさらに追加できます。ゲート
ウェイネットワークは、ゲートウェイが 1 つ存在する仮想データセンターにしか追加できません。
開始する前に
ネットワークの管理者権限があることを確認します。
VMware, Inc.
21
VMware vCloud Air Networking Guide
このトピックでは、vCloud Air を使用して仮想データセンターのネットワークを追加する手順を示しま
す。 vCloud Director を使用してネットワークを追加する方法の詳細は、『vCloud Director 管理者ガイド』
にある次のトピックを参照してください。
n
組織 vDC ネットワークの管理
n
組織 vDC へのネットワークの追加
手順
1
ダッシュボードタブで、ネットワークの追加先である仮想データセンターをクリックします。
2
ネットワークタブをクリックします。
3
1 つ追加をクリックします。
[ネットワークの追加] ダイアログボックスが表示されます。
4
5
ネットワークの次の設定を完了します。
オプション
説明
ネットワーク名
ゲートウェイの名前を入力します。
説明
（オプション）ゲートウェイの説明を入力します。
VDC ゲートウェイでルーティング
（オプション）ゲートウェイネットワークを作成する場合にこのオプショ
ンを選択します。ゲートウェイネットワークは、ネットワーク上の仮想マ
シンがインターネットにアクセスする必要がある場合に作成されます。こ
のオプションを選択しないと、内部ネットワークは仮想データセンターに
追加されます。
注意このオプションを選択できるのは、仮想データセンターにゲート
ウェイが少なくとも 1 つ存在する場合だけです。
VDC ゲートウェイ
VDC ゲートウェイでルーティングを選択した後、ドロップダウンリスト
からゲートウェイを選択します。ドロップダウンリストには、その仮想
データセンターに使用可能なゲートウェイが表示されます。
ネットワークゲートウェイ
ネットワークのゲートウェイ IP アドレスを入力します。
注意内部ネットワークは、DHCP ネットワークサービスのゲートウェイ
に依存します。このため、内部（隔離された）ネットワークを追加する場
合でも、ゲートウェイ IP アドレスを入力する必要があります。内部ネッ
トワークを追加する場合、このフィールドにゲートウェイアドレスを入力
してもネットワークの隔離状態に影響を与えることはありません。
サブネットマスク
このネットワークの IP プールのサブネットマスクを入力します。仮想マ
シンをネットワークに接続すると、仮想マシンはそのネットワークに作成
されている IP プールから IP アドレスを取得します。
詳細についてはパブリック IP アドレスの割り当て (P. 11)を参照してくだ
さい。
IP 範囲
このネットワークの IP プールの IP アドレス範囲を入力します。
ネットワークの追加をクリックします。
ゲートウェイのネットワークの表示
ゲートウェイに接続されているすべてのネットワークを表示できます。
開始する前に
ネットワークの管理者権限があることを確認します。
手順
22
1
ゲートウェイタブをクリックします。
2
ネットワークを表示するゲートウェイをクリックします。
VMware, Inc.
第 2 章ゲートウェイおよびネットワークの管理について
3
ネットワークタブをクリックします。
ゲートウェイに接続されているすべてのゲートウェイネットワークが一覧表示されます。
ゲートウェイへのネットワークの追加
ゲートウェイに追加したネットワークのリストを表示できます。各ネットワークのデフォルトのゲートウェ
イ IP アドレス、IP 範囲、および各ネットワークに接続されている仮想マシン数とそのゲートウェイに割り
当てられているパブリック IP アドレス数を表示できます。
開始する前に
ネットワーク管理者権限があることを確認します。
手順
1
ダッシュボードタブで、ゲートウェイタブをクリックします。
2
ネットワークを追加するゲートウェイをクリックします。
3
ネットワークタブをクリックします。
ゲートウェイのすべてのネットワークが一覧表示されます。
4
1 つ追加をクリックします。
[ネットワークの追加] ダイアログボックスが表示されます。
5
ネットワークの次の設定を完了します。
オプション
説明
ネットワーク名
ゲートウェイの名前を入力します。
説明
（オプション）ゲートウェイの説明を入力します。
ネットワークゲートウェイ
ネットワークのゲートウェイ IP アドレスを入力します。
サブネットマスク
このネットワークの IP プールのサブネットマスクを入力します。仮想マ
シンをネットワークに接続すると、仮想マシンはそのネットワークに作成
されている IP プールから IP アドレスを取得します。
詳細についてはパブリック IP アドレスの割り当て (P. 11)を参照してくだ
さい。
IP 範囲
このネットワークの IP プールの IP アドレス範囲を入力します。
注意 VDC ゲートウェイ経由のルーティングフィールドおよび VDC ゲートウェイフィールドは自動
的に入力されています。
6
ネットワークの追加をクリックします。
ネットワークの削除
仮想データセンターから内部ネットワークまたはゲートウェイネットワークを削除できます。ネットワー
クを削除する前に、すべての仮想マシンをネットワークから切断します。
開始する前に
ネットワーク管理者権限があることを確認します。
注意直接接続機能用に作成されたネットワークを削除できます。直接接続に作成されたネットワークのタ
イプは、vCloud Air で「直接」と表示されます。詳細については、『vCloud Air ユーザーガイド』の
「vCloud Air への直接接続について」を参照してください。
VMware, Inc.
23
VMware vCloud Air Networking Guide
手順
1
ダッシュボードタブで、ネットワークを削除する仮想データセンターをクリックします。
あるいは、ゲートウェイネットワークを削除する場合はゲートウェイに移動してそのゲートウェイの
ネットワークを削除できます。ゲートウェイタブをクリックして削除するネットワークを含むゲート
ウェイを選択し、ネットワークタブをクリックします。
2
ネットワークタブをクリックします。
ネットワークのリストが表示されます。
3
削除するネットワークのドロップダウン矢印をクリックして、ネットワークの削除を選択します。
ネットワークを削除する前に、そのネットワークからすべての仮想マシンを切断したかどうかを確認す
るダイアログボックスが表示されます。
4
可をクリックします。
ネットワークが削除され、vCloud Air コンソールの最上部に確認メッセージが表示されます。
NAT ルールの追加
vCloud Air では、NAT ルールを作成することで、外部ネットワークと内部ネットワークにある仮想マシン
間でトラフィックを方向付けることができます。SNAT または DNAT ルールを構成するときは、常に
vCloud Air の観点からそのルールを構成します。
NAT ルールは次の方法で構成します。
n
SNAT：トラフィックは vCloud Air で内部ネットワークの仮想マシン（ソース）からインターネット
を経由して外部ネットワーク（ターゲット）に送信されます。
n
DNAT：トラフィックはインターネット（ソース）から vCloud Air 内の仮想マシン（ターゲット）に
送信されます。
詳細は、このガイドのネットワークアドレス変換 (NAT) (P. 14) を参照してください。
この手順には、vCloud Air を使用して NAT ルールを作成する手順が含まれています。vCloud Director を
使用して NAT ルールを作成または編集する詳細については、vCloud Director 管理者ガイドの次のトピック
を参照してください。
n
ソース NAT ルールのエッジゲートウェイへの追加
n
ターゲット NAT ルールのエッジゲートウェイへの追加
開始する前に
NAT ルールを作成する前に、以下の項目を行ってください。
n
ネットワーク管理者権限があることを確認します。
n
NAT ルールを作成する仮想マシンの IP アドレスを取得します。
手順
24
1
ダッシュボードタブで、ゲートウェイタブをクリックします。
2
NAT ルールを追加するゲートウェイをクリックします。
3
NAT ルールタブをクリックします。
VMware, Inc.
第 2 章ゲートウェイおよびネットワークの管理について
4
5
追加ボタンをクリックし、ドロップダウンメニューから次のオプションのいずれかを選択します。
オプション
説明
ソース NAT (SNAT)
SNAT ルールでは、ソース IP アドレスおよびオプションで送信パケット
のポートが変更されます。vCloud Air で SNAT ルールを作成すると、
ポートとプロトコルがデフォルトで「任意」に設定されます。SNAT ルー
ルのポートとプロトコルのデフォルト設定を変更するには、
vCloud Director で設定を編集します。
ターゲット (DNAT)
DNAT ルールでは、ターゲット IP アドレスおよびオプションで着信パ
ケットのポートが変更されます。
どのタイプの NAT ルールを作成するかに応じて、以下を設定します。
ソース NAT (SNAT) （内部 -> 外部）
オプション
説明
元の（内部）ソース
このルールに適用する元の IP アドレスまたは IP アドレス範囲を入力しま
す。
これらのアドレスは、SNAT を構成する仮想マシン（複数可）の IP アド
レスなので、それらの仮想マシンは外部ネットワークにトラフィックを送
信できます。
変換された（外部）ソース
仮想マシンが外部ネットワークにトラフィックを送信するとき、送信パ
ケットでソースアドレス（仮想マシン）がどの IP アドレスに変換される
かを指定します。
このアドレスは、常に、SNAT ルールを構成するゲートウェイのパブリッ
ク IP アドレスになります。
ドロップダウンリストから必要な IP アドレスを選択します。
ターゲット NAT (DNAT) （外部 -> 内部）
6
VMware, Inc.
オプション
説明
元の（外部） IP
ルールを適用するターゲット IP アドレスを指定します。このアドレス
は、常に、DNAT ルールを構成するゲートウェイのパブリック IP アドレ
スになります。
ドロップダウンリストから必要な IP アドレスを選択します。
プロトコル
ルールが適用されるプロトコルを、任意、TCP、UDP、TCP/UDP、ICMP
から選択します。プロトコルはデフォルトで「任意」に設定されていま
す。
元のポート/範囲
（オプション）仮想マシンが接続されている内部ネットワークに接続する
ために着信トラフィックがゲートウェイで使用するポートまたはポート範
囲を入力します。
ICMP タイプ
[プロトコル] フィールドで ICMP （デバイス間でのエラー情報の通信に使
用するエラー報告と診断のユーティリティ）を選択する場合は、ドロップ
ダウンメニューから ICMP のタイプを選択します。ICMP メッセージは
「type」フィールドで特定されます。ICMP タイプはデフォルトで「任
意」に設定されています。
変換された（内部） IP/範囲
ターゲットアドレスが着信パケットで変換される IP アドレスまたは IP ア
ドレス範囲を入力します。
これらのアドレスは、DNAT を構成する仮想マシン（複数可）の IP アド
レスなので、それらの仮想マシンは外部ネットワークからトラフィックを
受信できます。
変換されたポート/範囲
（オプション）内部ネットワーク上の仮想マシンでトラフィックが接続す
るポートまたはポート範囲を入力します。
このルールを有効にするを選択し、保存をクリックします。
25
VMware vCloud Air Networking Guide
26
VMware, Inc.
ネットワークセキュリティと安全なア
クセス
3
vCloud Air には、ネットワークセキュリティと、クラウド内のリソースへの安全なアクセスを実現する機
能が提供されています。
この章では次のトピックについて説明します。
n
ネットワークセキュリティについて (P. 27)
n
ファイアウォールルールについて (P. 29)
n
ファイアウォールルールの追加 (P. 29)
n
VPN およびリモートネットワーク (P. 30)
n
IPsec VPN について (P. 31)
n
IPsec VPN 接続の設定について (P. 32)
n
リモートサイトへの IPsec VPN 接続の設定 (P. 33)
n
データセンター拡張のための SSL VPN (P. 35)
ネットワークセキュリティについて
vCloud Air におけるサブスクリプションおよび構成についての決定は、ネットワークセキュリティに影響
を与えます。
次の表は、サービス提供（Dedicated Cloud と Virtual Private Cloud ）間のセキュリティ差異を示していま
す。セキュリティニーズに合うサービス提供を選択します。
表 3‑1. サービス提供間のセキュリティ差異
Dedicated Cloud
Virtual Private Cloud
リソース
n
n
物理的に分離したホスト
論理的に分離したネットワークとストレージ
n
n
共有クラウド
論理的に分離したネットワーク、コンピューティン
グ、およびストレージ
セグメント
n
n
組織に基づいてセグメント化された仮想データセン
ター
セグメント化が行われるため、マルチテナントの対象
とならない
n
仮想データセンターのセグメント化は行われない
セキュリティ上の利点
n
VMware, Inc.
規制のあるアプリケーションの実行に適している
n
単一の組織内における共有アクセスに適している
27
VMware vCloud Air Networking Guide
vCloud Air に追加するネットワークのタイプとそれらのネットワークに仮想マシンを接続する方法にも、
セキュリティ上考慮すべき事項があります。仮想マシンをそのセキュリティニーズに基づいて適切なネッ
トワークに接続します。
表 3‑2. ネットワークタイプ間のセキュリティ差異
ゲートウェイネットワーク
内部ネットワーク
必要となる状況
n
外部のネットワークにアクセスする必要がある仮想マ
シン。
n
n
隔離する必要があるワークロード。
具体的なセキュリティポリシー（特定のアプリケー
ションをインターネットに直接接続できないコンプラ
イアンスルールなど）の対象となるワークロード。
メリット
ゲートウェイネットワークに仮想マシンを接続する
と、その仮想マシンはゲートウェイによって提供され
るネットワークサービス（ファイアウォール、NAT、
負荷分散）にアクセスできるようになる。
注意仮想マシンにはデュアル NIC のインスタンスを設定
できます。仮想マシンのインターフェイス 1 つをゲート
ウェイネットワークに、そして他のインターフェイスを内
部ネットワークに接続できます。
n
n
n
内部ネットワークはゲートウェイには接続されないた
め、内部アプリケーションの実行に適しています。
直接のインターネットトラフィックから隔離したいア
プリケーションを実行する仮想マシン（ログサーバ、
トラッキングサーバ、データベースサーバなど）。
vCloud Air では次のセキュリティ機能を使用できます。
n
ゲートウェイ：ファイアウォール、IP アドレス管理、およびルーティング
n
脅威の軽減：アンチウイルス、トラフィック分析、脅威の軽減などのサードパーティ製アプライアンス
n
サードパーティ製アプライアンス：独自のセキュリティポリシーを展開できるように、ユーザが選択
する仮想アプライアンス
n
VXLAN：融通の利くポータブルな仮想データセンターの設立
サードパーティ製仮想アプライアンス
vCloud Air は、独自のアンチウイルスソリューション（MacAfee アンチウイルスなど）を展開してゲート
ウェイインターフェイス間に固定ルーティングを構成し、すべてのトラフィックがまずアンチウイルスを
トラバースした後で仮想マシンに向かうようにすることで、脅威の軽減をサポートします。
vCloud Air は、クラウドへのサードパーティ製仮想アプライアンスの展開をサポートします。たとえば、
Palo Alto セキュリティアプライアンスやデータセンターにオンサイト展開されたアプライアンスに基づい
たポリシーを使用している場合、その同じサードパーティ製仮想アプライアンスを vCloud Air 内に展開
し、ネットワークトラフィックがアプライアンス経由で仮想マシンに流れるようにします。データセン
ターでオンサイト使用した、vCloud Air 内の同じ仮想アプライアンスを使用すると、vCloud Air はオンサ
イトクラウドのエクステンションとして機能できます。vCloud Air は、F5、RSA （セキュア ID 用）、
Riverbed （キャッシング）などの、VMware vSphere によってサポートされているすべてのサードパー
ティ製仮想アプライアンスの展開をサポートします。
このほか、vCloud Air 内では内部ネットワーク経由でサードパーティ製アプライアンスを使用することも
できます。内部ネットワーク（ゲートウェイに接続されていない）はサードパーティ製アプライアンスに
接続でき、サードパーティ製仮想アプライアンスはゲートウェイにアクセスできます。
28
VMware, Inc.
第 3 章ネットワークセキュリティと安全なアクセス
ファイアウォールルールについて
ゲートウェイのネットワークセキュリティポリシーは、すべてファイアウォールルールを作成することに
よって構成します。（vCloud Air では他の一部のクラウドプロバイダのようにセキュリティグループを構
成する必要はありません。）ファイアウォールルールを構成することで、vCloud Air クラウドの入トラ
フィックと出トラフィックを管理します。また、ファイアウォールルールの構成を通して、ゲートウェイ
上のあらゆるインターフェイス間のネットワークトラフィックを保護することもできます。
vCloud Air のファイアウォールルールには次の特性があります。
n
5 組のポリシー（プロトコル、ソース IP アドレス、ターゲット IP アドレス、ソースポート、および
ターゲットポート）から構成される
n
複数のネットワークにわたり複数のポリシーを設定できる
n
エンタープライズ級のアプリケーション展開に適している
重要デフォルトでは、ゲートウェイは、ゲートウェイネットワーク上の仮想マシンとの間のすべてのネッ
トワークトラフィックを拒否するように構成されているファイアウォールルールでデプロイされます。
NAT ルールを構成した後でネットワーク上の仮想マシンの ping を試みると、失敗し、対応するトラ
フィックを許可するファイアウォールルールは追加されません。
ファイアウォールルールを作成する手順については、このガイドの「ファイアウォールルールの追
加 (P. 29)」を参照してください。
関連情報
n
『vCloud Director 管理者ガイド』の「Edge ゲートウェイのファイアウォールの構成」
n
『vCloud Director 管理者ガイド』の「Edge ゲートウェイへのファイアウォールルールの追加」
n
『vCloud Air チュートリアル』の「Gateway サービスの紹介：ファイアウォール」
n
『VMware vCloud Air ソリューションの概要』の「ファイアウォールルールと NAT ルールの構成」
ファイアウォールルールの追加
ゲートウェイを経由するトラフィックが内部ネットワーク上の仮想マシンに到達するようにファイアウォー
ルルールを構成することで、仮想マシンがインターネットにアクセスできます。
この手順には、vCloud Air を使用してファイアウォールルールを作成する手順が含まれています。
vCloud Director を使用してファイアウォールルールを作成または編集する詳細については、
vCloud Director 管理者ガイドの次のトピックを参照してください。
n
エッジゲートウェイのファイアウォールの構成
n
エッジゲートウェイのファイアウォールルールの追加
開始する前に
n
ネットワーク管理者権限があることを確認します。
n
ファイアウォールルールを作成する仮想マシンの IP アドレスを取得します。
手順
1
ダッシュボードタブで、ゲートウェイタブをクリックします。
2
ファイアウォールのルールを追加するゲートウェイをクリックします。
3
ファイアウォールルールタブをクリックします。
VMware, Inc.
29
VMware vCloud Air Networking Guide
4
追加ボタンをクリックします。
[ファイアウォールで許可される例外の追加] ダイアログボックスが表示されます。
5
以下を設定しルールを構成します。
オプション
説明
名前
ルールの名前を入力します。
設定
（オプション）有効にするを選択し、ゲートウェイのルールを有効にしま
す。
注意この例外のネットワークトラフィックを記録オプションは選択する
必要はありません。これは、この時点で vCloud Air のファイアウォール
ログデータにアクセスできないからです。
プロトコル
ルールを適用するプロトコルをドロップダウンメニューから選択します。
オプションには、任意、TCP、UDP、TCP/UDP、または ICMP がありま
す。
デフォルトではプロトコルは「任意」に設定され、全プロトコルからの
ネットワークトラフィックがファイアウォールを通過します。
ソース
ドロップダウンメニューから次のオプションを選択します。
任意：外部ネットワークのあらゆるソースからのトラフィックが仮想
マシンに到達できます。
n 内部：このルールをすべての内部トラフィックに適用します。
n 外部：このルールをすべての外部トラフィックに適用します。
n 特定の CIDR、IP、または IP 範囲：このルールを適用するトラフィッ
クの CIDR 表記を入力します。
n
接続元ポート
（オプション）ポートまたはポート範囲を入力し、それらのポートからの
トラフィックが内部ネットワーク上の仮想マシンに到達できるようにしま
す。
ターゲット
ドロップダウンメニューから次のオプションを選択します。
任意：内部ネットワーク上のすべての仮想マシンからのトラフィック
が外部ネットワークにアクセスできるようにします。
n 内部：このルールをすべての内部トラフィックに適用します。
n 外部：このルールをすべての外部トラフィックに適用します。
n 特定の CIDR、IP、または IP 範囲：このルールを適用するトラフィッ
クの CIDR 表記を入力します。
n
接続先ポート
6
（オプション）ポートまたはポート範囲を入力し、仮想マシン上のそれら
のポートからトラフィックが外部ネットワークに到達できるようにしま
す。
保存をクリックします。
VPN およびリモートネットワーク
ネットワークセキュリティの別の側面は、オンプレミスデータセンターと vCloud Air クラウドの間で確
立される接続です。仮想マシンの接続ニーズは、ワークロードによりさまざまです。
vCloud Air により、リモートサイトと vCloud Air クラウドの間で、インターネット、VPN、および直接
接続の安全な接続を実現します。
接続タイプごとに、異なるセキュリティ機能があります。
n
ファイアウォールルール（ゲートウェイサービス）による安全なインターネット接続
詳細は、このガイドの「ファイアウォールルールについて (P. 29)」を参照してください。
n
セキュア VPN：
n
IPsec VPN - 安全なサイト間 VPN
詳細は、このガイドの「IPsec VPN について (P. 31)」および「リモートサイトへの IPsec VPN
接続の設定 (P. 33)」を参照してください。
30
VMware, Inc.
第 3 章ネットワークセキュリティと安全なアクセス
n
SSL VPN （データセンターエクステンション） - レイヤー 2 エクステンションによる、オンプレ
ミスデータセンターからクラウドへの、既存の IP アドレス範囲のエクステンション
詳細は、このガイドの「データセンター拡張のための SSL VPN (P. 35)」を参照してください。
n
直接接続 - 専用の接続を提供するプライベート接続（規制されたアプリケーション向き）
詳細については、『vCloud Air ユーザーガイド』の「vCloud Air への直接接続について」を参照して
ください。
vCloud Air と vCloud Director を使用して IPsec VPN 接続を作成します。vCloud Connector を使用して
SSL VPN （データセンターエクステンション）を作成します。
関連情報
n
詳細については、『vCloud Director 管理者ガイド』の「リモートネットワークへの VPN トンネルの作
成」を参照してください。
n
詳細については、VMware ブログの記事「VPN を使用して複数の vCloud Air クラウドに接続する方
法」を参照してください。
IPsec VPN について
IPsec （インターネットプロトコルセキュリティ）は、通信セッションの IP パケットのセキュリティを保
護するためのプロトコルスイートです。vCloud Air では、IPsec を使用して、vCloud Air サービスとリ
モートサイト（構内のデータセンターなど）の間で、セキュアな VPN 接続を作成します。
ゲートウェイでは、サイト間の IPsec VPN 接続について以下の IPsec 機能が使用できます。
n
プリシェアードキーモードを使用した証明書認証
n
ゲートウェイとリモート VPN ルータ間の IP ユニキャストトラフィック（動的ルーティングではな
い）
n
リモート VPN ルータごとに複数のサブネットを構成して、IPsec VPN をゲートウェイの内部インター
フェイスのゲートウェイネットワークに接続する機能
注意 VPN ルータサブネットの IP アドレス範囲とゲートウェイネットワークの IP アドレス範囲に重
複する部分があってはなりません。両者はそれぞれ、異なるサブネットに属している必要があります。
というのは、IPsec VPN 接続では、両者のローカルエンドポイントの IP アドレスが異なっている必要
があるからです。
n
最大 10 サイト間で、最大 64 の IPsec VPN 接続を確立可能
n
ゲートウェイを NAT の背後に展開して、ゲートウェイの VPN IP アドレスをインターネットからアク
セス可能なパブリック IP アドレスに変換する
リモート VPN ルータはパブリック IP アドレスを使用してゲートウェイにアクセスします。
n
NAT デバイスの背後にリモート VPN ルータを展開する
NAT デバイスの背後にリモート VPN ルータを展開する場合は、VPN ネイティブの IP アドレスと
VPN ゲートウェイ ID を使用して IPsec VPN 接続を構成します。接続の両サイドで、VPN IP アドレス
に対して 1 対 1 の静的 NAT を構成します。
関連情報
vCloud Air で IPsec VPN 接続を設定する手順については、このガイドの「リモートサイトへの IPsec VPN
接続の設定 (P. 33)」を参照してください。
VMware, Inc.
31
VMware vCloud Air Networking Guide
『vCloud Director 管理者ガイド』の「リモートネットワークへの VPN トンネルの作成」も参照してくださ
い。
『vCloud Director 管理者ガイド』の「組織の仮想データセンターネットワークでの VPN の有効化」も参
照してください。
IPsec VPN 接続の設定について
vCloud Air 内のネットワーク間と、リモートサイトと vCloud Air の間には、IPsec VPN 接続を構成できま
す。最も一般的なシナリオは、リモートネットワークから vCloud Air への IPsec VPN 接続の設定です。
vCloud Director を使用し、ゲートウェイサービスの構成の一環として、vCloud Air の IPsec VPN 接続を
構成できます。サイト間に IPsec VPN 接続を構成する場合は、現在の場所の視点から接続を構成します。
接続の設定にあたっては、VPN 接続を正しく構成するために、次の値を構成する方法を理解している必要
があります。
n
ピアネットワーク： VPN の接続先であるリモートネットワークを指定します。この設定を構成する
場合は、特定の IP アドレスではなくネットワーク範囲を入力します。 CIDR 形式で、たとえば
「192.168.99.0/24」のように IP アドレスを入力します。
n
ローカルエンドポイント (LEP)：ゲートウェイが送受信を行う、vCloud Air 内のネットワークを指定
します。一般に、外部ネットワークはローカルエンドポイントです。
n
ピア ID： VPN 接続の終端であるリモートデバイスのパブリック IP アドレスを指定します。ピア IP
アドレスが他の組織の VDC ネットワークのものであれば、そのピアのネイティブ IP アドレスを入力
します。ピアに NAT が構成されている場合は、プライベートピア IP アドレスを入力します。
n
ピア IP：接続先リモートデバイスのパブリック IP アドレスを指定します。ピアに NAT が構成されて
いる場合は、そのデバイスが NAT に使用するパブリック IP アドレスを入力します。
n
ローカル ID：ゲートウェイのパブリック IP アドレスを指定します。ゲートウェイファイアウォール
とともに IP アドレスまたはホスト名を入力できます。
例：VM1 と VM2 間に IPsec VPN 接続を構成する
次の図は、VPN 接続の設定を正しく指定する方法を例で示しています。
32
VMware, Inc.
第 3 章ネットワークセキュリティと安全なアクセス
図 3‑1. アーキテクチャ： vCloud Air とリモートサイト間の IPsec VPN
ピア ID とピア IP を指定することで、接続の一方からもう一方へネットワークトラフィックがどのように
流れるかを構成します。上の例では、接続の vCloud Air 側のピア ID とピア IP は値が異なります。これ
は、接続のオンプレミス側では、オンプレミスのゲートウェイはインターネットから直接アクセスできない
ためです（このゲートウェイは他のデバイス、主に外部ルーターを介してインターネットに接続します）。
接続のオンプレミス側では、ピア ID とピア IP が同じ値です。これは、vCloud Air 内のゲートウェイがイ
ンターネットから直接アクセス可能であるためです（このゲートウェイは他のデバイスの背後に設置されて
いません）。
リモートサイトへの IPsec VPN 接続の設定
この手順では、vCloud Air とリモートサイト間の IPsec VPN 接続を作成するステップを示します。この手
順では、接続の vCloud Air サイドを構成します。
vCloud Director を使用して、IPsec VPN 接続を構成します。 IPsec VPN 接続は、vCloud Director での
ゲートウェイサービスの構成の一環として構成します。
開始する前に
vCloud Air のネットワーク管理者権限があることを確認します。
接続のエンドポイント間にファイアウォールがある場合は、次の IP プロトコルと UDP ポートを許可する
ように構成する必要があります。
n
IP プロトコル ID 50 (ESP)
n
IP プロトコル ID 50 (ESP)
n
IP プロトコル ID 51 (AH)
n
UDP ポート 500 (IKE)
n
UDP ポート 4500
VMware, Inc.
33
VMware vCloud Air Networking Guide
手順
1
vCloud Air で、ゲートウェイタブをクリックします。
vCloud Air に構成されている全ゲートウェイのリストが表示されます。各ゲートウェイが属する仮想
データセンターが、ゲートウェイ名の横に表示されます。
2
IPsec VPN 接続を設定するゲートウェイをクリックします。
3
vCloud Director 内見出しの下の詳細ゲートウェイ設定の管理をクリックします。
vCloud Director 管理ページ > Edge Gateway タブが表示されます。
4
ゲートウェイ名を選択し、右クリックして Edge Gateway サービス > VPN タブを選択します。
5
VPN の有効化をオンにして、ゲートウェイに対して VPN ネットワークサービスを有効にします。
6
必要に応じて、パブリック IP の構成をクリックして外部ネットワークのパブリック IP アドレスを追
加します。
7
[Add] をクリックします。
サイト間 VPN 構成の追加ダイアログボックスが表示されます。
8
34
IPsec VPN 接続用に次の設定を完了します。
オプション
説明
名前
接続の名前を入力します。
説明
（オプション）接続の説明を入力します。
この VPN 構成を有効にします。
チェックボックスをオンにして、2 つの VPN エンドポイント間の接続を
有効にします。
VPN 確立先
ドロップダウンメニューからリモートネットワークを選択します。
ローカルネットワーク
テキストフィールドで、接続を適用するローカルネットワークを選択し
ます。
ピアネットワーク
VPN の接続先のリモートネットワークを入力します。
注意 CIDR 形式を使用して IP アドレスを入力し、ネットワーク範囲（特
定の IP アドレスではなく）を入力します（例：192.168.99.0/24）。
ローカルエンドポイント
ドロップダウンリストから、接続のローカルエンドポイントであるネッ
トワークを選択します。ローカルエンドポイントはゲートウェイが転送す
る vCloud Air 内のネットワークを指定します。一般に、外部ネットワー
クはローカルエンドポイントです。
ローカル ID
ゲートウェイのパブリック IP アドレスであるローカル ID を入力します。
ピア ID
VPN 接続を終端であるリモートデバイスのパブリック IP アドレスである
ピア ID を入力します。
注意ピア IP アドレスが他の組織の VDC ネットワークのものであれば、
そのピアのネイティブ IP アドレスを入力します。ピアに NAT が構成さ
れている場合は、プライベートピア IP アドレスを入力します。
ピア IP
接続先リモートデバイスのパブリック IP アドレスであるピア IP を入力し
ます。
注意ピアに NAT が構成されている場合は、そのデバイスが NAT に使用
するパブリック IP アドレスを入力します。
暗号化プロトコル
ドロップダウンリストから暗号化タイプを選択します。
注意選択する暗号化タイプは、リモートサイトの VPN デバイスで構成
されている暗号化タイプと一致する必要があります。
VMware, Inc.
第 3 章ネットワークセキュリティと安全なアクセス
9
オプション
説明
シェアードキー
少なくとも 1 つの大文字、1 つの小文字、1 つの数値を含む、32 から 128
文字の英数字の文字列を入力します。
注意シェアードキーは、リモートサイトの VPN デバイスで構成されて
いるキーと一致する必要があります。
MTU
VPN 接続の最大転送ユニット(MTU)を入力します。 MTU は、それ以上小
さなパケットに分割しなくても 1 つのパケットで伝送することができる最
大データ量です。
OK をクリックします。
表に VPN 構成が表示されます。
次に進む前に
接続の両サイド（vCloud Air およびオンプレミス設備）で IPsec VPN 接続を構成する必要があります。こ
の手順では、vCloud Air の接続を構成する方法を詳しく説明します。オンプレミス設備の接続を構成しま
す。
データセンター拡張のための SSL VPN
データセンター拡張を使用すると、エンタープライズネットワークをパブリッククラウド（vSphere また
は vCloud Director）に拡張し、同じ IP アドレスおよび MAC アドレスを維持したままプライベートクラ
ウドから vCloud Air に仮想マシンを移動することができます。データセンター拡張は、安全な SSL VPN
接続を介した既存のエンタープライズネットワークから vCloud Air へのレイヤー 2 拡張です。拡張が完了
すると、同じ IP アドレスおよび MAC アドレスを使用して、移動した仮想マシンを使用および管理するこ
とができます。
注意 vCloud Air でデータセンター拡張を使用するには、VMware vCloud Connector Advanced Edition
ライセンスを購入する必要があります。
データセンター拡張では、アプリケーションを変更することなく既存の IP アドレス範囲をオンプレミスの
データセンターから vCloud Air に拡張することができます。データセンター拡張は 2 つのゲートウェイ
間で SSL VPN を使用し、2 つのサイトをブリッジします。WAN を介した VXLAN は実行しません。
vCloud Air でのデータセンター拡張の使用については、以下のユースケースを参照してください。
n
ライセンスを MAC アドレスに関連付けている
n
仮想マシンアプリケーションが IP アドレスまたは MAC アドレスに依存している
n
DNS 制御がなく、DNS の更新ができない
n
既存のセキュリティルールを無効にしたり、アクセス制御リストの再構成が必要になるのを防ぐ
データセンター拡張には次の要件があります。
n
n
n
拡張ネットワークの考慮事項：
n
拡張仮想マシンはオンプレミスのゲートウェイを使用します。
n
ネットワークトラフィックはすべて SSL VPN 接続を通過します。
Microsoft Active Directory のサイトとサービス：
n
拡張ネットワークは Active Directory のオンプレミスサイトの一部です。
n
vCloud サーバとの DNS と Active Directory の通信は SSL VPN 接続を通過します。
n
ネットワークをサイト間で分割することはできません。
vApp の制限事項：
n
VMware, Inc.
拡張ネットワークは、vApp あたり 128 台の仮想マシンをサポートします。
35
VMware vCloud Air Networking Guide
n
拡張ネットワークは、1 つの vApp に対するパワー操作をサポートします。
1 つの vApp に含まれるすべての仮想マシンに対して同時にパワー操作を実行することができま
す。
関連情報
vCloud Air のデータセンター拡張を設定するために必要なタスクについては、『 vCloud Connector の使
用』の「プライベート vCloud Director クラウドからパブリック vCloud への仮想マシンの拡張展開」を参
照してください。
詳細については、VMware のテクニカルホワイトペーパー「VMware vCloud Air へのデータセンター拡
張」を参照してください。
36
VMware, Inc.
仮想マシンのネットワーク接続
4
vCloud Air で仮想マシンを展開する場合は、ネットワークを使用せずに仮想マシンを作成します。仮想マ
シンはネットワークを使用しないので、サービスの内側と外側両方の他の仮想マシンやサーバとの通信から
分離されます。
仮想マシンを作成するときに、仮想マシンをゲートウェイネットワークと内部ネットワークのどちらに割
り当てるかを選択できます。内部ネットワークは、インターネットに接続されません。内部ネットワーク
には、内部サブネットが割り当てられ、仮想マシンが IP アドレスを取得できる IP プール範囲が設定されて
います。
仮想マシンを作成するときに、仮想マシンで IP アドレスを取得する方法を次の中から選択できます。
n
DHCP： DHCP を使用して DHCP プールから IP アドレスを取得する場合、ゲートウェイは DHCP
ルーターとして機能します。
n
固定 IP プール：固定 IP プールから IP アドレスを取得すると、仮想マシンはネットワークに構成され
ている範囲から IP アドレスを取得します。
n
固定手動：仮想マシンを作成し、ネットワーク構成を指定するときに、IP アドレスを手動で入力しま
す。
注意 [固定 IP プール] または [固定手動] のネットワークオプションを使用するには、作成している仮想マ
シンに VMware Tools をインストールする必要があります。仮想マシンに VMware Tools をインストール
しているかどうかにかかわらず、DHCP を使用して IP アドレスを設定できます。
関連情報
IP アドレスを仮想マシンに割り当てる方法の詳細については、「パブリック IP アドレスの割り当
て (P. 11)」を参照してください。
VMware Tools については、次の VMware ドキュメントを参照してください。
n
『vCloud Director ユーザーガイド』の「VMware Tools のインストール」
n
『VMware Tools のインストールと構成ガイド』の「VMware Tools のインストールと構成」
この章では次のトピックについて説明します。
n
ネットワークへの仮想マシンの接続 (P. 38)
n
仮想マシンのネットワーク割り当ての変更 (P. 38)
n
インターネットへの仮想マシンの接続 (P. 39)
VMware, Inc.
37
VMware vCloud Air Networking Guide
ネットワークへの仮想マシンの接続
仮想データセンターで仮想マシンを内部ネットワークまたはゲートウェイネットワークに接続できます。
インターネットへの接続を可能にして NAT、ファイアウォール、または負荷分散などのネットワークサー
ビスを使用するには、仮想マシンをゲートウェイネットワークに接続します。
仮想マシンをネットワークに接続すると、その仮想マシンにはネットワークの定義済みプライベート IP ア
ドレスプールから IP アドレスが割り当てられます。
開始する前に
エンドユーザー権限または仮想インフラストラクチャの管理者権限があることを確認します。
手順
1
接続する仮想マシンを探します。
a
仮想インフラストラクチャ管理者であれば、その仮想マシンを含んでいる仮想データセンターを
クリックし、仮想マシンタブをクリックします。
b
エンドユーザーであれば、[My Virtual Machines] で仮想マシンを選択します。
2
仮想マシンがパワーオン状態の場合、その仮想マシンを選択してパワーオフをクリックします。
3
仮想マシン名をクリックします。
4
ネットワークタブをクリックします。
5
ネットワークを追加をクリックします。
6
ネットワークのリストからネットワークを選択します。
注意仮想マシンを接続するネットワークは複数選択できます。
7
仮想マシンに複数のネットワークを選択する場合、対象のネットワークでプライマリ NIC オプション
をクリックし仮想マシンのプライマリネットワークを指定します。デフォルトでは、プライマリネッ
トワークは仮想マシンで最初に選択したネットワークに設定されます。
8
保存をクリックします。
仮想マシンのネットワーク割り当ての変更
仮想マシンのネットワークの割り当てを変更することも、ネットワークを追加して仮想マシンを接続するこ
ともできます。
開始する前に
ネットワークの管理者権限があることを確認します。
手順
38
1
ダッシュボードタブで、該当の仮想マシンを含んでいる仮想データセンターをクリックします。
2
仮想マシンタブをクリックします。
3
仮想マシンがパワーオン状態の場合、その仮想マシンを選択してパワーオフをクリックします。
4
仮想マシンの名前をクリックします。
5
ネットワークタブをクリックし、ネットワーク割り当てを編集をクリックします。
VMware, Inc.
第 4 章仮想マシンのネットワーク接続
6
次の方法で、新しいネットワーク割り当てを設定します。
n
仮想マシンの新しいネットワークを選択します。
n
ネットワークを選択解除して仮想マシンをネットワークから切断します。
7
仮想マシンに複数のネットワークを選択する場合、対象のネットワークでプライマリ NIC オプション
をクリックし仮想マシンのプライマリネットワークを指定します。デフォルトでは、プライマリネッ
トワークは仮想マシンで最初に選択したネットワークに設定されます。
8
保存をクリックします。
インターネットへの仮想マシンの接続
仮想マシンからインターネットにアクセスできるように、仮想マシンを仮想データセンター内のゲート
ウェイネットワークに接続できます。
仮想マシンをネットワークに接続すると、ネットワークの事前定義プライベート IP アドレスプールから IP
アドレスが割り当てられます。
重要デフォルトでは、ゲートウェイは、ゲートウェイネットワーク上の仮想マシンとの間のすべてのネッ
トワークトラフィックを拒否するように構成されているファイアウォールルールでデプロイされます。ま
た、デフォルトでは NAT が無効になっているため、ゲートウェイは送受信トラフィックの IP アドレスを
変換できません。ゲートウェイネットワーク上の仮想マシンにアクセスできるようにするには、ゲート
ウェイでファイアウォールと NAT ルールの両方を構成する必要があります。 NAT ルールを構成した後で
ネットワーク上の仮想マシンの ping を試みると、失敗し、対応するトラフィックを許可するファイア
ウォールルールは追加されません。
開始する前に
ネットワーク管理者権限があることを確認します。
手順
1
接続する仮想マシンを見つけます。
a
仮想インフラストラクチャ管理者の場合、仮想マシンを含む仮想データセンターと仮想マシンタ
ブをクリックします。
b
エンドユーザーの場合、[マイ仮想マシン] で仮想マシンを選択します。
2
仮想マシンがパワーオンになっている場合、そのマシンを選択してパワーオフするをクリックしま
す。
3
仮想マシン名をクリックします。
4
ネットワークタブをクリックします。
5
仮想マシンがネットワークに接続されていない場合、ネットワークの追加をクリックします。接続さ
れている場合は、ネットワークの割り当ての編集をクリックします。
6
ネットワークのリストからゲートウェイネットワークを選択します。
注意仮想マシンの接続先として 1 つ以上のネットワークを選択できます。
7
仮想マシンに複数のネットワークを選択する場合は、そのネットワークのプライマリ NIC オプション
をクリックして、仮想マシンのプライマリネットワークを指定します。デフォルトでは、プライマリ
ネットワークは仮想マシンに選択した最初のネットワークに設定されます。
8
保存をクリックします。
VMware, Inc.
39
VMware vCloud Air Networking Guide
9
仮想マシンがインターネットからネットワークトラフィックを受信できるように、仮想マシンの外部
ネットワークアドレスと内部ネットワークアドレスを変換する NAT ルールを作成します。
仮想マシンの NAT ルールを作成する手順については、NAT ルールの追加 (P. 24)を参照してくださ
い。
10
ゲートウェイが仮想マシンのインターネットトラフィックを送受信することを許可するファイア
ウォールルールを作成します。
仮想マシンのインターネットアクセスを許可するファイアウォールルールの作成手順については、
ファイアウォールルールの追加 (P. 29)を参照してください。
40
VMware, Inc.
vCloud Air の直接接続
5
vCloud Air の場合、社内またはコロケーションセンターと vCloud Air 地域間の直接ネットワーク接続を
オーダリングできます。直接ネットワーク接続を使うと、Dedicated Cloud と Virtual Private Cloud の帯域
幅をある程度専用化することができます。
vCloud Air では、仮想マシンからのトラフィックは直接ネットワーク接続経由で送信されます。
注意 vCloud Air インスタンス用に VMware から直接接続をオーダリングした場合は、このセクションを
参照してください。直接接続を購入していない場合、直接接続ネットワークは vCloud Air Web コンソール
に表示されません。
この章では次のトピックについて説明します。
n
直接接続の機能 (P. 41)
n
Direct Connect サービスの概要 (P. 42)
n
Direct Connect を順序付ける理由 (P. 43)
n
オーダリングとプロビジョニングのワークフローについて (P. 44)
n
接続パートナーとの共同作業による接続の設定 (P. 45)
n
vCloud Air への Direct Connect のオーダリング (P. 45)
n
VMware オペレーションと連携してオーダリングを完了する (P. 47)
n
vCloud Air での直接接続の表示 (P. 47)
n
Direct Connect を経由したトラフィックのルーティング (P. 48)
直接接続の機能
直接接続を使用して、自社またはコロケーションセンターと vCloud Air の場所を接続する場合、次の主要
な機能を使用できます。
n
自社またはコロケーションセンターと vCloud Air 間のより大きい専用帯域幅
高速接続により、セキュアなマルチポイントネットワークから分析アプリケーションまで、データセ
ンター間で大量のデータを転送するハイブリッドアーキテクチャを実現します。
n
vCloud Air で稼働する仮想マシンやクラウドベースのアプリケーションにアクセスするときのセキュ
リティが、インターネットや VPN を使ってクラウドにアクセスするよりも向上
企業データと顧客情報を転送するときに、直接接続を使用するとセキュリティが向上します。たとえ
ば、vCloud Air が MPLS ネットワークのエクステンションまたは企業ネットワーク上のセキュアなア
クセスロケーションとして表示されるように指定できます。
VMware, Inc.
41
VMware vCloud Air Networking Guide
n
使用可能な帯域幅が大きくなったことで、ネットワークとアプリケーションのパフォーマンスが向上
直接接続を専用仮想回路に接続すると、パフォーマンスが要求されるアプリケーションに対して高いス
ループットと待ち時間の短い接続を実現できます。
n
vCloud Air でやり取りするデータ速度が向上するため、コストを削減することが可能
直接接続により、複数のエンドポイントで専用リンクを共有して、同じ vCloud Air インスタンス内の
支店やリモートオフィスのサポートを簡素化できます。
n
柔軟性の向上
高いスループット、短い待ち時間の接続により、vCloud Air が専用ネットワーク、ストレージ、また
はコンピューティングハードウェアとアプライアンスに接続するカスタムアーキテクチャが実現しま
す。直接接続を使用すると、vCloud Air の拡張容量を利用する方法が広がります。
n
高可用性アーキテクチャに内蔵
直接接続は高可用性を実現するように、リンクアグリゲーショングループ (LAG) の冗長性と冗長ス
イッチで構成されます。
Direct Connect サービスの概要
ネットワークサービスプロバイダを使用する顧客またはデータセンター所有者は、vCloud Air へのエン
ドツーエンドのプライベート接続を設定します。
接続のオプション
Direct Connect では、2 つの専用の接続オプションがサポートされています。
n
リモートの場所から vCloud Air に接続する顧客の接続。たとえば、長距離 WAN 接続ために
vCloud Air への MPLS 接続を拡張する場合。
n
vCloud Air と同じデータセンターに存在し、そのデータセンター内で vCloud Air にクロス接続する
顧客の接続。
論理プライベート WAN 接続
直接ネットワーク接続を設定して、構内からエンドツーエンドの仮想回線を使用できます。
サイト（コロケーション施設、本社、支社など）から vCloud Air があるデータセンターにプロビジョニン
グする接続のタイプおよび帯域幅は、接続を提供するために選択したネットワークサービスプロバイダの
能力およびサービスカタログによって異なります。たとえば、次のテクノロジを選択してプライベート
WAN 接続を実装できます。
n
マルチプロトコルラベルスイッチング (MPLS)
n
仮想プライベート LAN サービス (VPLS)
ネットワークサービスプロバイダまたは通信パートナーがこの接続を管理します。接続は顧客の構内から
vCloud Air があるデータセンター内のネットワークサービスプロバイダの終端スイッチへ橋渡ししま
す。ネットワークサービスプロバイダは、データセンターのミートミールーム (MMR) 内の vCloud Air
スイッチ上のポートへの接続、またはデータセンターの主配線盤 (MDF) などのキャリア終端デバイスへの
接続にパッチを適用する責任があります。
データセンター内クロス接続
直接ネットワーク接続を設定してデータセンター内クロス接続を使用できます。クロス接続は、データセ
ンター内の既存のポッドと同じ施設内の vCloud Air サービスとの間に、直接接続されたネットワーク回線
を提供します。データセンター内クロス接続を使用して、データセンター内の物理的に隔離されている 2
つの組織、特に顧客ケージと vCloud Air インフラストラクチャを接続できます。
VMware では、vCloud Air サービスにアクセスするデータセンター内のケージに 1 つ以上のアクセスポー
トが用意されています。クロス接続はポイントツーポイント接続であり、ネットワークサービスプロバイ
ダの装置を使用してトラフィックをルーティングしません。
42
VMware, Inc.
第 5 章 vCloud Air の直接接続
接続コンポーネント
どちらの接続オプションも、装置から vCloud Air への接続には 2 つのコンポーネントがあります。
n
vCloud Air の外部：データセンター内のミートミールームの vCloud Air スイッチなど、顧客の場所
から vCloud Air 接続ポイントへの接続。
n
vCloud Air の内部：vCloud Air サービスのゲートウェイへの vCloud Air 接続ポイントからの接続
図 5‑1. Direct Connect から vCloud Air への接続コンポーネント
顧客の構内
ネットワークサービス
プロバイダ (NSP)
NSP 管理
データセンター
ミートミールーム
ファイバパネル
NSP スイッチ
vCloud Air
スイッチ
パッチパネル
データセンター
所有者
管理
vCloud Air
接続
ポイント
VMware
管理対象 –
L2 ネットワーク
(VLAN)
vCloud Air
インフラストラクチャ
ゲートウェイ
お客様の
ケージ
仮想マシン
カスタマ
管理対象 –
VxLAN
ネットワーク
顧客のクラウド
顧客の装置から vCloud Air スイッチへの接続は、タグなしレイヤー 2 接続 (VLAN) として構成されます。
vCloud Air クラウド内では、ソフトウェア定義ネットワーク (VxLAN ベースネットワーク) を使用して
ネットワークが実装されます。
Direct Connect を順序付ける理由
次のようにクラウドを使用する場合は、vCloud Air に接続する直接ネットワーク接続を順序付けする必要
があることがよくあります。
n
n
VMware, Inc.
vCloud Air を使用して次のタイプの Web サイトを実行する予定がある。
n
社内のデータベースやストレージで管理する、トラフィック量が多い Web サイト
n
PCI Express コンプライアンス要件に準拠した E コマースアプリケーション
vCloud Air で、次の特性を持つアプリケーションを実行する予定がある。
n
時間の制約がある
n
外部アクセスが許可されない
n
規制されている
n
バックエンドメインフレームに接続するフロントエンド Web サービスから成る
n
パッケージ化されたアプリケーションおよびホスト内部アプリケーション
43
VMware vCloud Air Networking Guide
n
VPN ポート使用時の要件や、政府コンプライアンスのプライベート接続要件など、特定のコンプライ
アンス要件がある。
n
ネットワークトラフィックがインターネットを通過すべきでない重要なワークロードを実行してい
る。
次の要件がある場合は、顧客のケージから同じデータセンターの vCloud Air への直接交差接続の順序付け
が必要になることがよくあります。
n
キャパシティの拡張に vCloud Air を使用する。
n
クラウドベースのアプリケーション展開の一環として、ハードウェアベースのネットワーク、ルーティ
ング、およびセキュリティソリューション、ハードウェアベースのアプリケーション監視ソリュー
ション、または特殊ストレージやサーバなどの特殊な機器が必要です。
VMware は、お客様による vCloud Air のハードウェアベースアプライアンスの展開をサポートしませ
ん。
n
プライバシー要件やコンプライアンス要件を守るためにデータを管理したいが、クラウドで実行してい
るアプリケーションの極めて近くにデータがある。vCloud Air とストレージソリューション（同じ
データセンターの顧客のケージにある）の高速交差接続が必要。
オーダリングとプロビジョニングのワークフローについて
vCloud Air への直接ネットワーク接続をオーダリングしプロビジョニングを行うワークフローでは、ユー
ザー、ユーザーのネットワークサービスプロバイダ、ユーザーの vCloud Air カスタマーサクセスチーム
の間で以下のやり取りの手順を行います。
前提条件
n
どの vCloud Air データセンターに接続するかを決定します。
1 か所または複数の場所との専用回線接続を確立できます。各ロケーションに接続したコロケーション
機器を用意する必要があります。
n
接続には次のどのオプションが必要かを判断します。
n
論理プライベート WAN 接続
注意オーダリングする接続タイプ（MPLS、VPLS、E-Line など）は、接続を可能にするために
選んだネットワークサービスプロバイダの機能およびサービスカタログに応じます。
n
イントラデータセンタークロス接続
ハイレベルのワークフロー
1
接続パートナー（ネットワークサービスプロバイダ、テレコムキャリヤ、データセンター所有者な
ど）との共同作業により、顧客側から vCloud Air を含んでいる設備までの接続を設定します。
Direct Connect で使用可能な接続オプションの詳細については、「Direct Connect サービスの概
要 (P. 42)」を参照してください。
vCloud Air データセンターへの接続を設定する詳細については、「接続パートナーとの共同作業によ
る接続の設定 (P. 45)」を参照してください。
2
My VMware アカウントにログインし、接続先となる vCloud Air データセンターへの Direct Connect
をオーダリングします。
詳細については、「vCloud Air への Direct Connect のオーダリング (P. 45)」を参照してください。
VMware によりオーダリングが処理されると、接続設定に対応する LOA-CFA (Letter of Authorization
– Customer Facility Assignment) フォームが、vCloud Air カスタマーサクセスチームの担当者から提
供されます。
44
VMware, Inc.
第 5 章 vCloud Air の直接接続
3
VMware が送信したこの LOA-CFA フォームを接続パートナーに配布してください。接続パートナー
は、パートナー側の機器から vCloud Air スイッチへの接続を確立するために、この LOA-CFA フォー
ムを必要とします。LOA-CFA は、顧客側のサーキットを接続する vCloud Air 機器のキャビネット、
パッチパネル、ポート番号を提供します。
接続パートナーの終端デバイスと vCloud Air スイッチ間の接続の詳細については、「図 5-1」を参照
してください。
VMware は、vCloud Air スイッチからデータセンターの vCloud Air インフラストラクチャまでを完
全に接続します。
4
接続パートナーと VMware の共同作業によるテストと検証のミーティングに参加して、vCloud Air へ
のエンドツーエンドの接続が想定通りに機能していることを検証します。
Direct Connect ネットワークが vCloud Air Web コンソールに表示されます。
5
vCloud Air にログインし、Direct Connect ネットワークの詳細を表示します。
詳細については、「vCloud Air での直接接続の表示 (P. 47)」を参照してください。
6
トラフィックを（接続オプションに応じて）顧客のケージまたは構内から、vCloud Air の仮想マシン
にルーティングします。
詳細については、「Direct Connect を経由したトラフィックのルーティング (P. 48)」を参照してくだ
さい。
接続パートナーとの共同作業による接続の設定
vCloud Air に追加する Direct Connect をオーダリングする前に、接続パートナーとの共同作業により
vCloud Air のデータセンターロケーションへの接続を設定します。
ユーザーは、VMware とは関係なく各自の接続パートナーとの共同作業により、お客様の構内から
vCloud Air を含んでいるデータセンターのパートナーのエンドポイント（具体的にはパートナーの終端デ
バイス）までの接続を有効にします。
ネットワークサービスプロバイダはユーザーの施設で接続を設定し、vCloud Air データセンターで接続
を終端します。ネットワークサービスプロバイダは接続を完了すると、プロビジョニングプロセスを
vCloud Air カスタマーサクセスチームに引き継ぎます。
ユーザーは、vCloud Air へのクロス接続を希望する場合、データセンター所有者との共同作業により
vCloud Air 接続ポイントへの接続を設定します。
Direct Connect が使用可能になるデータセンターにはミートミールームが設けられます。データセンター
内のミートミールームには、ネットワークサービスプロバイダとテレコム企業が物理的に相互接続すると
同時にユーザーとも接続し、ローカルループ料金の負担無しにデータ交換できる領域があります。
VMware は、vCloud Air インフラストラクチャ機器をミートミールームに接続するので、ユーザーは顧客
側の機器からデータセンターロケーションまでの接続のためにどのネットワークサービスプロバイダと契
約するかを選ぶことができます。
vCloud Air への Direct Connect のオーダリング
My VMware を使用して必要な接続オプションを指定し、直接ネットワーク接続をオーダリングします。
Direct Connect を現在の Dedicated Cloud または Virtual Private Cloud サブスクリプションに対するアドオ
ン SKU としてオーダリングしてください。 Direct Connect サブスクリプションの長さは現在のサブスクリ
プションとコータームしています。たとえば、Dedicated Cloud の 12 か月のサブスクリプションをオーダ
リングしており、サブスクリプションが 6 か月残っている場合、Direct Connect のオーダリングは残りの 6
か月間有効になります。
VMware, Inc.
45
VMware vCloud Air Networking Guide
Direct Connect サブスクリプションに対して月次で請求され、Direct Connect の月次請求には、ネットワー
クサービスプロバイダまたは顧客の装置から vCloud Air データセンターの場所までの接続を提供する
データセンター所有者のコストや手数料は含まれません。
注意 Dedicated Cloud サービスを持つ顧客は、My VMware から 2 つ以上の SKU をオーダリングすること
で、直接ネットワーク接続に対して冗長性を設定できます。 2 つ以上の接続をオーダリングすると、
vCloud Air の同じゲートウェイから構内またはコロケーションセンターへの冗長接続が可能になります。
冗長性を実現するには、同じゲートウェイまたは異なるゲートウェイで終端する同じ速度または異なる速度
の複数の Direct Connect をオーダリングします。ただし、複数の仮想データセンターまたはゲートウェイ
で終端する 1 つの Direct Connect を使用することはできません。
開始する前に
Direct Connect をオーダリングするには、事前に次の前提条件が満たされている必要があります。
n
vCloud Air でアカウント管理者権限を持っていること。
n
Direct Connect を使用して接続する vCloud Air の場所が特定されていること。
n
接続先の vCloud Air データセンターに存在する接続パートナーが選択されていること。
n
顧客ケージまたは顧客構内からデータセンター内の接続パートナーの終端デバイスへの接続のうち、
接続パートナーの部分が完了していること。顧客の装置と接続パートナーの終端デバイス間の接続につ
いては、図 5-1 を参照してください。
手順
1
電子メールアドレスまたは My VMware アカウントの顧客番号を使用し、パスワードを入力して、
My VMware ポータルにログインします。
または
電子メールアドレスとパスワードで vCloud Air にログインします。 [ダッシュボード] の [関連リンク]
でさらにリソースを購入をクリックします。
My VMware ポータルが表示されます。
2
サブスクリプションサービスに移動します。
3
使用可能なアドオンタブで、必要な接続の Direct Connect の SKU を選択します。
Direct Connect の SKU は、次のオプションの組み合わせで使用できます。
n
Direct Connect が使用可能な vCloud Air データセンターの場所
n
vCloud Air サービス - Dedicated Cloud および Virtual Private Cloud のタイプ
n
Dedicated Cloud サービスの場合、10Gbps ポートまたは 1Gbps ポートの選択
注意 Virtual Private Cloud サブスクリプションの Direct Connect は、1Gbps ポート速度でのみ構
成可能です。
4
今すぐ購入をクリックします。
[アドオンリクエストオーダリング] ページが表示されます。
5
オーダリングの条項と条件に同意し、リクエストを送信をクリックします。
オーダリングの送信が完了したことを示す確認メッセージが表示され、申請 ID 番号が示されます。
次に進む前に
24 ～ 48 時間以内に、オーダリングを確認する電子メールが送信されます。vCloud Air ポータルにより、
構内から vCloud Air への直接ネットワーク接続がオーダリングされたが、接続が vCloud Air でプロビ
ジョニングされていないことが示されます。
46
VMware, Inc.
第 5 章 vCloud Air の直接接続
VMware でオーダリングが処理されると、vCloud Air カスタマーサクセスチームにより接続設定の Letter
of Authorization – Customer Facility Assignment (LOA-CFA) フォームが送信されます。 VMware から送信
された LOA-CFA フォームを、接続パートナーに送信します。接続パートナーが装置から vCloud Air ス
イッチへの接続を確立するには、LOA-CFA フォームが必要です。 LOA-CFA では、顧客の回線を接続する
ための vCloud Air 装置のキャビネット、パッチパネル、ポート番号を提供します。
VMware オペレーションと連携してオーダリングを完了する
直接ネットワーク接続をオーダリングした後に、vCloud Air のカスタマーサクセスチームと協力して
vCloud Air 内と vCloud Director 内の接続を設定するために必要な情報を提供します。
VMware の担当者から問い合わせがあったら、次の情報を提供します。
n
接続する仮想マシンを含む仮想データセンターの名前
n
Direct Connect の接続オプション — データセンター内の WAN 接続またはクロス接続
n
お客様の機器から接続を設定するネットワークサービスプロバイダまたはクロス接続パートナー
（データセンターの所有者など）
n
vCloud Air の仮想マシンに必要な接続タイプ：
n
n
ルーティングされた接続 — ゲートウェイを介してルーティングされる仮想マシンへの接続
n
直接接続 — 外部ネットワークから仮想マシンへの直接接続
ルーティングされた接続のみ：
n
vCloud Air で構成される仮想データセンターのゲートウェイの名前
n
ゲートウェイ IP アドレス
vCloud Air のすべての仮想マシンは、インターネット接続にこのゲートウェイ IP アドレスを使用
します。
n
ゲートウェイサブネットマスク
n
IP プール — Direct Connect サブネットから IP アドレスのプールを予約する
vCloud Air で使用する IP アドレスの範囲
注意 Direct Connect ネットワークを含む仮想データセンターに対して構成している Dedicated Cloud
サービスおよび複数のゲートウェイがある場合は、Direct Connect 接続を終了するために使用するゲー
トウェイを決定します。複数の仮想データセンターまたはゲートウェイで 1 つの Direct Connect 接続
を使用して終了することはできません。
注意 vCloud Air で IP アドレス範囲を変更または追加する場合は、これらの IP アドレス範囲へのルーティ
ングを適切に構成できるように、接続プロバイダを更新する必要があります。
Direct Connect インターフェイスでは、プライベート IP アドレスの構成範囲を提供できます。Direct
Connect インターフェイスおよび Direct Connect インターフェイスに接続する仮想マシンは、このプライ
ベート IP アドレスの範囲内で構成できます。
vCloud Air での直接接続の表示
ネットワークサービスプロバイダから物理的接続がプロビジョニングされたら、vCloud Air ポータルにロ
グインして、接続に関する詳細を表示します。
直接接続インターフェイスは 2 番目の外部インターフェイスになります。 vCHS ポータルは現在、2 つの外
部インターフェイスをサポートしています。
VMware, Inc.
47
VMware vCloud Air Networking Guide
開始する前に
n
ネットワークサービスプロバイダによって、コロケーションセンターへの直接ネットワーク接続が物
理的にプロビジョニングされました。
n
vCloud Air への回路がプロビジョニングされたことを、vCloud Air 顧客成功チームに伝えました。
n
顧客成功チームがプロビジョニングの完了を確認しました。
手順
1
電子メールアドレスとパスワードで vCloud Air にサインインします。
クラウドの地域ページが表示されます。
2
直接ネットワーク接続をオーダリングした地域をクリックします。
3
ゲートウェイタブをクリックし、終端のゲートウェイとして構成するために vCloud Air 顧客成功チー
ムに提供したゲートウェイの名前をクリックします。
そのゲートウェイに関連付けられたネットワークの詳細とネット枠の詳細が表示されます。
接続のステータス（アクティブ、冗長性の有効化、フェイルオーバーの状態など）および接続の速度を
表示できます。
Direct Connect を経由したトラフィックのルーティング
vCloud Air に直接ネットワーク接続をプロビジョニングしたら、vCloud Air Web コンソールで、この接続
を経由してトラフィックをルーティングするように仮想マシンを設定します。直接ネットワーク接続を経
由して仮想マシンのトラフィックをルーティングするには、仮想マシンの NAT ルールを作成し、この接続
を経由してトラフィックをルーティングできるようにする必要があります。
注意 NAT ルールの構成については、「NAT ルールの追加」を参照してください。
開始する前に
n
ネットワークサービスプロバイダは、直接ネットワーク接続をコロケーションセンターに物理的にプ
ロビジョニングします。
n
ユーザーは、vCloud Air への回路がプロビジョニングされたことを vCloud Air カスタマーサクセス
チームに通知します。
n
vCloud Air の管理者権限が付与されます。
手順
1
ゲートウェイタブで、vCloud Air カスタマーサクセスチームに通知したゲートウェイ名をクリック
して終了ゲートウェイとして構成します。
2
NAT ルールタブをクリックします。
ゲートウェイに構成された NAT ルールのリストが表示されます。
3
vCloud Air ゲートウェイから社内のルーターまたはネットワークサービスプロバイダのルーターに送
信されるトラフィックをルーティングするには、[1 つ追加] ドロップダウンリストから [送信先 NAT]
を選択します。
送信先ルーターの IP アドレスは、接続タイプに応じて異なります。
[送信先 NAT ルールの追加] ダイアログボックスが表示されます。設定を完了し、DNAT ルールを追
加します。詳細については、「NAT ルールの追加」を参照してください。
48
VMware, Inc.
第 5 章 vCloud Air の直接接続
4
仮想マシンへの固定ルートを作成するには、vCloud Director での管理をクリックします。『
vCloud Director』の「組織の仮想データセンターネットワークの固定ルーティングの有効化」を参照
してください。
直接ネットワーク接続の詳細に表示される IP プール範囲から NAT IP アドレスを選択します。
5
社内のルーターまたはネットワークサービスプロバイダのルーターから vCloud Air ゲートウェイに
送信するトラフィックをルーティングするには、[1 つ追加] ドロップダウンリストから [送信元 NAT]
を選択します。
[送信元 NAT ルールの追加] ダイアログボックスが表示されます。設定を完了し、SNAT ルールを追加
します。詳細については、「NAT ルールの追加」を参照してください。
VMware, Inc.
49
VMware vCloud Air Networking Guide
50
VMware, Inc.
Index
Symbols
仮想マシン
DHCP 37
ネットワークの編集 38
ネットワークへの接続 38
vSphere 7
A
Active Directory 35
C
CIDR, ファイアウォールルール 29
D
DHCP
仮想マシン 37
DNS 設定の変更 17
IP アドレス 11
IP プール 14
概要 14
Direct Connect
オーダリング 45
オーダリングの完了 47
直接接続 47
ネットワークサービスプロバイダ 45
プロビジョニング 44
ルーティングされた接続 47
ルーティングの設定 48
DMZ 17
DNS
外部サーバ 17
概要 17
I
ICMP タイプ 24
IPsec
暗号化 33
概要 31
設定 33
設定の概要 32
IP アドレス
DHCP 14
空きまたは割り当て済み 19
仮想プライベートクラウドサービス 11
固定 11
固定プール 37
VMware, Inc.
重複 31
専用クラウドサービス 11
パブリック 11
ピア 32
複数のサブネットからのサブ割り当て 11
IP 範囲, See IP プール
IP プールのサブ割り当て 15
IP プール
仮想マシン 37
仮想マシンで使用される 38
サブ割り当て済み 15
M
MAC アドレス 35
Microsoft Active Directory 35
N
NAT
IPsec 31
ルールの追加 19, 24
例 14
O
Org VDC ネットワーク
DHCP 14
DNS 17
S
SLA, 直接接続 41
SSL VPN 30, 35
V
vApps 35
vCloud Director
IPsec 構成 32
ゲートウェイの削除 21
固定ルーティング 17
ネットワークサービスの構成 12
vCloud Networking and Security Edge
Gateway 8
VMware Tools 37
VPN
概要 30
設定 33
直接接続 41
有効化 33
51
VMware vCloud Air Networking Guide
X
XVLAN 7, 8
52
VMware, Inc.

Download Report