Power Edge Router(PER)とは
PowerVS は、IBM Cloud の標準的な Classic 環境や VPC 環境と分離された環境に配置されていて、他の環境との接続に制約がありました。
オンプレから Direct Link で接続する場合も、いったん Classic や VPC を経由する必要がありました。DNS や COS といった、IBM Cloud サービスとプライベート接続したい場合にも工夫が必要でした。
しかし、PER 環境であれば、そのような制約は考慮する必要が無くなりました。
以前より PowerVS をご存じで、そのネットワークの制約に懸念をお持ちだった方は「PowerVSのDAL10でPower Edge Router(PER)が利用可能になったので試してみる」などで、その違いを確認してください。
今回は、複数回にわけて PER 環境を IBM i から利用していきます。
初回ではPER 環境を用意します。
ワークスペースの作成
PER の対応はワークスペースのレベルで決定します。
現在、新規に PER を作ると自動的にPER対応になります。特別な指定はありません。
作成直後「PER status」が「Error」と表示されますが、気にしないでください。内部情報の整合性を取っている状態です。しばらくするとエラーは消え、他のワークスペースと同様に「- 該当なし」になります。
「- 該当なし」というのもよくわからない表示ですが、ワークスペース名をクリックすると「Power Edge Router(PER)」が「Active」と表示されるはずです
プライベート・ネットワーク・サブネットの作成
当たり前ですが、PER による他の資源との接続には、パブリック・ネットワークを使いません。
まず、PowerVS の VSI を作成する前に、 プライベート・ネットワーク・サブネットを作成しましょう。
接続先を含め接続先全体のネットワーク構成を考えた上で、重複や矛盾が無いようにネットワークの範囲を指定します。
デフォルトで DNS サーバーとして「161.26.0.10」とサブネット外のものが指定されています。
これは、IBM Cloud が内部サービス用に用意しているものです。
つまり、PER 環境であれば何もしないでプライベート・ネットワーク経由で IBM Cloud の内部サービスに接続できる証でもあります。
仮想サーバー・インスタンスの作成
PowerVS の VSI を作成します。
プライベート・ネットワークで先ほど作ったプライベート・ネットワーク・サブネットを接続します。
設定されました。
IBM i の TCP/IP 設定の確認
PowerVS VSI にサインオンして TCP/IP 設定を確認します。
「CFGTCP」の「1」か「WRKTCPSTS OPTION(*IFC)」でプライベート・ネットワークの IP アドレスがアサインされるのを待ちます。
「CFGTCP」の「2」か「WRKTCPSTS OPTION(*RTE)」で経路情報を確認します。プライベート・サブネットの最初の IP アドレスがデフォルトルートになっています。
CFGTCPの「12」か「CHGTCPDMN」で DNS の設定を確認します。
DNS が設定されていませんでした。そこまでは、自動化されていないようです。
DNS の設定
DNS として「161.26.0.10」と「161.26.0.11」を指定します。
「161.26.0.10」は、サブネットを作成時に表示されていました。
「161.26.0.10」と「161.26.0.11」は IBM Cloud Virtual Private Endpoints(VPE)として提供される DNS で、IBM Cloud のプライベート環境からのみ利用可能なものです。
こちらに、少し説明があります。
「ping '161.26.0.10'」で DNS との疎通を確認します。
「nslookup 'www.ibm.com'」で DNS として動作しているか確認します。「161.26.0.10」の応答として結果が返ってきました。
「ping 'www.ibm.com'」で DNS が返した結果に接続を試みます。
接続できませんでした。
この結果は期待通りです。この Power VSI はプライベート・サブネットにしか接続されておらず、プライベート環境で安全に運用されることが期待されています。パブリックネットワークに接続できてはいけません。
自動的に接続が可能になるのは IBM Cloud が提供する DNS や COSのようなサービスへのプライベートネットワーク経由のものだけです。
それ以外に必要であれば、TGW 経由で自分で構成します。
非推奨: パブリック・ネットワークとの共存
パブリック・ネットワーク接続は PowerVS がどのようなものか確認するのには便利なのですが、本番利用環境では使うべきではありません。パブリック・ネットワーク接続を有効にし ssh サーバーを起動すると、その ssh サーバーは全世界に公開されます。
それでも、パブリック・ネットワーク接続を有効にするのであれば、その意味をよく理解し適切に保護してください。
この日記でも、これまでパブリック・ネットワーク接続での構成手順をご案内してきましたが、そうしないと PowerVS の機能紹介が出来なかったためです。
より安全な接続方法は「PowerVS IBM i 日記(67): PER 環境の利用(4) - VPC Linux の sshd 経由で 5250 接続する」を確認してください。
技術面でもパブリック・ネットワークとプライベート・ネットワークの両方のインターフェースを付けると考慮が必要になります。
下記は両方を付けた例です。
両方の IP アドレスが構成されました。
「ping '161.26.0.10'」で DNS との疎通を確認しますが、疎通できません。
これは、プライベート・ネットワーク側だけではなくパブリック・ネットワーク側にもデフォルトゲートウェイが設定されてしまい、今回の例では「161.26.0.10」への経路としてパブリック・ネットワーク側が選択されたためです。
そのため、プライベート・ネットワークを明示した ping では疎通が確認できます。
異なるネットワークにつながる複数インターフェースを持つ場合には、ルートテーブルを適切に構成する必要があります。
当日記のIndexはこちらです。
許可の無い転載を禁じます。
この記事は筆者の個人的な責任で無保証で提供しています。
当記事に関してIBMやビジネスパートナーに問い合わせることは、固くお断りします。