IBM Cloud をインストールするためのサイト間 VPN の構成

サイト間の IP 複製を構成できます。

このタスクについて

IBM Spectrum Virtualize for Public Cloud ソフトウェアは、オンプレミス・サーバーと IBM Cloud™ の仮想サーバーとの間で ping できる必要があります。この VPN を保護するために、Internet Protocol Security (IPSec) を使用できます。IBM Cloud での IPSec ではネットワーク・アドレス変換 (NAT) を実行する必要がありますが、これは IP 複製と互換性がありません。IBM Cloud ネットワークで IPSec を使用する必要がある場合は、仮想ルーターおよび仮想ファイアウォールを提供する Vyatta ソフトウェア・アプライアンスを使用します。

手順

  1. IBM Cloud ポータルで、「ポータル」 > 「ネットワーク」 > 「Gateway Appliances」を選択して、Vyatta アプライアンスを注文します。
  2. 保護する VLAN とアプライアンスを関連付けます。
    1. カスタマー・ポータルの「ゲートウェイ・アプライアンスの詳細 (Gateway Appliance Details)」画面にナビゲートします。
    2. 「VLAN の関連付け」をクリックして、適切な VLAN を選択します。
    3. 「関連付ける」をクリックして、VLAN を関連付けます。
    4. 「関連付けられた VLAN」の状況画面で、指定した VLAN が「経路指定されている」に設定されていることを確認します。
  3. 次のコマンドを使用して、Vyatta アプライアンスにログインします。 
    ssh user_name@device_ip
    user_name
    ゲートウェイ・デバイスのユーザー名。
    device_ip
    デバイスのパブリックまたはプライベートの IP アドレス。
  4. VLAN 内のすべてのサブネットへの仮想インターフェース (VIF) をセットアップします。
    このステップは、サブネットが相互にアクセスできるようにするために必要です。 これらのサブネットのリストは、VLAN のネットワーキング・オプションの下の IBM Cloud ポータルから取得できます。
    1. サブネット・アドレスごとに、次のコマンドを入力します。 
      set interfaces bonding bonded_interface vif vlan_num address nnn.nnn.nnn.nnn/nnn
      bonded_interface
      Link Aggregation Control Protocol (LACP) 結合インターフェースの名前。プライベート・インターフェースとパブリック・インターフェースで別々の set コマンドのグループを入力します。
      vlan_num
      管理されている VLAN の数。
      nnn.nnn.nnn.nnn/nnn
      ゲートウェイ IP アドレスおよびマスク。
    2. VIF ごとに、次のコマンドを入力します。 
      set interfaces bonding bonded_interface vif vlan_num vlan vlan_num
      bonded_interface
      Link Aggregation Control Protocol (LACP) 結合インターフェースの名前。プライベート・インターフェースとパブリック・インターフェースで別々の set コマンドのグループを入力します。
      vlan_num
      管理されている VLAN の数。
    以下の例は、プライベート・インターフェース (dp0bond0) とパブリック・インターフェース (dp0bond1) の両方に対するコマンドを示しています。
    set interfaces bonding dp0bond0 vif 990 address dhcp
set interfaces bonding dp0bond0 vif 990 address 10.93.4.65/26
set interfaces bonding dp0bond0 vif 990 address 10.93.135.193/26
set interfaces bonding dp0bond0 vif 990 vlan 990
set interfaces bonding dp0bond1 vif 962 address dhcp
set interfaces bonding dp0bond1 vif 962 address 169.60.16.11/28
set interfaces bonding dp0bond1 vif 962 vlan 962
    注: インターフェースがオンラインになり、ゲートウェイが確立された後、インターネット上でパブリック・ネットワークがアクセス可能になります。セキュリティーを強化するために、パブリック・ネットワークとの間のトラフィックを制限するためのファイアウォールの規則を構成してください。
  5. Vyatta アプライアンスで IPSec を構成します。
    詳しくは、https://public.dhe.ibm.com/cloud/bluemix/network/vra/vyatta-network-os-5.2r1-ipsec-vpn.pdfを参照してください。
  6. ローカル・データ・センター管理者は、VPN のオンプレミス・サイドを上記の指定と一致するように構成する必要があります。
    IP 複製ポートは、オンプレミスとクラウド内のシステムの間に介在するすべてのファイアウォールでオープンされている必要があります。IBM Spectrum Virtualize で構築されている別のシステムとの IP 複製をセットアップする場合は、その製品の TCP/IP 要件に注意してください。その製品の資料で「システムの TCP/IP 要件」を検索してください。表 1 に、IP 協力関係に適用されるこの情報の要約を示します。最後の「サービス・タイプ」列は、このコンテキストには関連していません。
    表 1. IP 協力関係の TCP/IP ポートおよびサービスの要約
    サービス トラフィックの方向 プロトコル ポート サービス・タイプ
    IP 協力関係管理の IP 通信 インバウンド TCP 3260 オプション
    IP 協力関係管理の IP 通信 アウトバウンド TCP 3260 オプション
    IP 協力関係データ・パス接続 インバウンド TCP 3265 オプション
    IP 協力関係データ・パス接続 アウトバウンド TCP 3265 オプション