2024年11月22日更新
Power Virtual Serverにアクセスするためのルーターとして、Power Edge Router(PER)がGAされました。新しく作成されるWorkSpaceはPER環境がデフォルトとなり、Transit Gatewayからの接続のみ可能となります。
PERのGAによって、従来のIBM Cloud(x86)を経由した接続ではなく、オンプレミス→Direct Link→Transit Gateway→PER→PowerVS環境の接続が可能となりましたので、接続方法を記事を更新しています。
なお、PowerVSとIBM Cloud(x86)間のDirect Link/Cloud Connectionsは2025/2/18のEOS、2025/6/18のEOLが発表されており、今後は接続不可となりますので、ご注意ください。
はじめに
オンプレ環境からIBM CloudのPower Systems Virtual Serverにネットワーク接続する方法には複数のユースケースが考えられますが、今回はその複数方法をまとめました。
Power Systems Virtual Serverとは?
Power Systems Virtual Serverは、クラウド上で高性能な仮想マシンを提供するIBMのクラウドサービスです。Power Systems Virtual Serverは、IBM Power Systemsをベースにしており、高速で安定したプロセッサーとメモリーを搭載しています。これにより、ビジネスアプリケーションやデータベース、AI/MLなどのワークロードを高速に処理することができます。
既存のAIX/IBM i/LinuxのPowerVMベースのLPARワークロードを、IBM Cloudと高速に接続可能なコロケーション領域にて時間単位の従量課金で利用することが可能で、クラウドならではのクラウドネイティブアプリケーションなどの最先端技術とも連携することができるサービスです。
また、Power Systems Virtual Server環境は上の図のようにIBM Cloud環境とは独立した環境として設計されています。
ネットワークからPower Systems Virtual Serverへの接続方法
既存オンプレ環境で運用していたPowerの環境をクラウドに移行する際、ネットワークの接続も考慮しなければいけません。冒頭でも記載した通り、Power Systems Virtual Serverを接続する方法は複数あります。
Power Systems Virtual Serverは、IBM Cloud(Classic Infrastructure/VPC)上のリソースとは独立に管理されていて、また大きくPublic NetworkとPrivate Networkの2種類のネットワークインターフェースを利用することができます。
①パブリック接続
外部公開用途ではなく、管理用途での利用のみが想定されている接続方法で、「External IP」という名前のGlobal IPアドレスが払い出され、インターネット側からインスタンスにアクセスする際に利用することができます。
SSH(22)、HTTPS(443)、Ping、IBM i 5250 terminal emulation with SSL(992)以外の通信はブロックされる仕組みとなっていて(*参考)、Power Systems Virtual Server以外のIBM Cloud費用やPower Systems Virtual Serverパブリックアウトバンド費用が発生しないメリットがあります(*参考)。
②プライベート接続 SSL-VPN
次はSSL-VPNを利用したプライベート接続です。
無償で提供されるSSL-VPNをインストールし、IBM Cloud上にはJump Serverを立ててアクセスできるようにします。また、冒頭でPower Systems Virtual Server環境はIBM Cloudとは独立した環境として構成されると記載しましたが、その両環境の接続のためにCloud Connectionsを構成します。
この方法では、Jump Serverを介してアクセスすることでPower Systems Virtual Serverにおけるセキュリティーを高めることができますが、Power Systems Virtual Server以外のコストが発生します。
③プライベート接続 IPSec VPN (ClassicのVPN経由)
次はIPSec VPNを利用しながらClassicのVRA経由して接続する方法です。
オンプレ環境のルーターとIBM Cloud上のGateway Applianceの間にサイト間VPNを構成します。またCloud connectionsを構成してIBM CloudとPower Systems Virtual Server間を接続します。
構成したGateway ApplianceにNATを設定することで、オンプレからPower Systems Virtual Serverにアクセスできるようになりますが、Gateway Appliance ⇄ Power Systems Virtual ServerのルーターにGREトンネルを構成することによってNATなしでアクセスできる方法もあります。
この方法ではPower Systems Virtual Server以外にGateway Applianceの費用が発生しますが、1Gpbsの場合は5TB/月、10Gbpsの場合は20TB/月のパブリックアウトバウンド無償枠が含まれます。
なお、Transit Gatewayの機能を使用することで、ルーターを使わずに接続することも可能です。
Direct LinkにてIBM Cloudと通信しつつ、IBM Cloud上VRAの前後にTransit Gateway #1 ⇄ VRA、VRA ⇄ Transit Gateway #2と2つのTransit Gatewayを構成することによって接続できます。
④-1 プライベート接続 – Direct Link による専用線接続(PERが有効でないworkspace)
次はIBM Cloud専用線であるDirect Linkを利用して接続する方法の中で、PERが有効でないworkspace環境(PER GA前に作成されたworkspace)の接続方法です。
基本的な構成方法としては③のIPSec VPNを利用した方法とあまり変わりませんが、VPNを利用してインターネット経由で接続するのではなく、Direct Linkを利用してキャリア回線を経由する方法です。
Direct Linkにて専用線接続としてIBM Cloud環境にアクセスし、Cloud connectionsにてIBM CloudとPower Systems Virtual Serverを接続することによってアクセスすることが可能となります。その際にIBM Cloud上のGateway ApplianceにNATを設定する必要がありますが、オンプレ環境ルーター ⇄ Gateway Appliance、Gateway Appliance ⇄ Power Systems Virtual Serverルーターの両方にそれぞれGREトンネルを構成することで、NATなしでアクセスすることも可能です。
VPNを利用する方法に比べ、よりセキュアなアクセスを実現することが可能となりますが、Power Systems Virtual Server以外にGateway ApplianceとDirect Linkのオーダーが必要となります。また、オンプレ環境からクラウド環境までのラストワンマイル回線はユーザーがキャリアから直接購入する必要があります。
④-2 プライベート接続 – Direct Link による専用線接続(PERが有効なworkspace)
次はIBM Cloud専用線であるDirect Linkを利用して接続する方法の中で、PERが有効なworkspace環境(PER GA後に作成されたworkspace)の接続方法です。
こちらの方法はDirect Linkにて専用線接続としてTransit Gatewayに、Transit GatewayからPERに接続してPowerVS環境に接続する方法です。
上記のPERが有効ではないWorkspaceの接続方法に比べ新たにTransit Gatewayが必要(無料枠あり)となりますが、従来の接続方法のようなIBM Cloudのサーバー(x86)が不要になり、NATやGREの設定も不要となるため、構成としては非常に簡単な接続方法です。
さらにTransit Gatewayを経由して、IBM CloudのVPCやClassic環境にもアクセスできるので、拡張性面でもメリットになりますので、IBM Cloudとしての推奨接続方法となります。
なお、こちらも同様、オンプレ環境からクラウド環境までのラストワンマイル回線はユーザーがキャリアから直接購入する必要があります。
⑤プライベート接続 Megaport社を利用した接続
次はMegaport社の契約にて接続する方法です。Megaport社は、アジア太平洋、北米、ヨーロッパ、中東の数百のグローバル・サービスへのオンデマンド接続を可能にするグローバル・ネットワーク・インフラストラクチャーを運用し、ネットワーク接続を作成および管理する簡単な方法を提供するソフトウェアレイヤー社としてIBM Cloudを初め複数ベンダーのネットワーク周りのサービスを提供しています。
Megaport社と契約し、「接続ポート」を購入し、オンプレからキャリア回線を経由して最寄りのMegaport拠点に接続し、IBM Cloudのサポートチケットを起票にてPower Systems Virtual Serverの「接続ポート」に対するService ID(VXC identifier)を取得します。
その後、オンプレ環境「接続ポート」からPower Systems Virtual Server環境「接続ポート」までのVXC(仮想回線)をMegaport社から購入し、直接接続します。
この方法はPower Systems Virtual Server以外のIBM Cloud費用は発生しませんが、Megaport社にて接続ポートや仮想回線などを別途購入する必要があります。また2023年5月現在、日本国内ですとOSA21は接続をサポートしていますが、TOK04ではサポートされていないのでご注意ください。(*参考)
⑥プライベート接続 IPSec VPN(VPNaaSによる直接接続)
次はIPSec VPNを利用しながらPower Systems Virtual ServerのVPNaaSにより直接接続する方法です。
Power Systems Virtual ServerではVPNaaSが利用可能であるため、オンプレ環境のルーターとPower Systems Virtual ServerのVPNaaSとの間にサイト間VPNを構成し接続することでアクセスできるようになります。
Power Systems Virtual Server以外のIBM Cloud費用は発生しませんが、注意点として、x86へのDirect Link Connectと併用する場合、Power Systems Virtual Serverの1つのサブネットは同時にVPNaaSとDirect Link Connectにはアタッチできないため、LPARを2つのサブネットに所属させる必要があります。
