VMware から IBM Cloud VPC VSIへ（パート2）: VPCネットワーク設計

本記事は、原著者の許可を得て以下のリンクを翻訳したものです。翻訳内容に誤りがある場合、その責任は翻訳者にあります。また記事によっては、Qiitaで読みやすいように段落分け、カテゴライズ分けをして記述しているものもありますのでご了承ください。

https://fullvalence.com/2025/10/30/from-vmware-to-ibm-cloud-vpc-vsi-part-2-vpc-network-design/

このシリーズの全てのブログ記事はこちらです：

• VMwareからIBM Cloud VPC VSIへ（パート1）：導入
• VMwareからIBM Cloud VPC VSIへ（パート2）：VPCネットワーク設計
• VMwareからIBM Cloud VPC VSIへ（パート3）：仮想マシンの移行
• VMwareからIBM Cloud VPC VSIへ（パート4）：バックアップとリストア
• VMwareからIBM Cloud VPC VSIへ（パート5）：VPCオブジェクトモデル
• VMwareからIBM Cloud VPC VSIへ（パート6）：ディザスターリカバリー
• VMwareからIBM Cloud VPC VSIへ（パート7）：自動化
• VMwareからIBM Cloud VPC VSIへ（パート8）：Veeam Backup and Replication

---

VMware管理者向けに、IBM Cloud VPCネットワークについて理解しておくべき重要なポイントは以下の通りです：

VPCネットワークの基本

• VPCネットワークはレイヤー3のソフトウェア定義ネットワークであり、レイヤー2ネットワークではありません。VSIはレイヤー2ネットワークとやり取りしているように見えるかもしれませんが、完全には正しくありません。

仮想ネットワークインターフェイス（VNI）とIPアドレス

• 仮想マシンで使用されるすべてのIPアドレスは、VSIに割り当てられた仮想ネットワークインターフェイス（VNI）で表現されます。VNIは仮想マシンとIPアドレスを結ぶリンクを表します。
• VNIにはセカンダリIPアドレスを割り当てることも可能です。また、パブリックなフローティングIPをVNIに割り当てることもでき、これは特定のVSIに対するインターネット向けのSNATおよびDNATとして機能します。
• インスタンスプロファイルによっては、複数のVNIをVSIに割り当てることもでき、VSI上では追加のNICとして認識されます。

サブネットとプライベートゲートウェイ

• アウトバウンドのパブリックネットワークトラフィックに限り、サブネット全体にプライベートゲートウェイを割り当てることができます。同じゾーン内のすべてのサブネットは同じプライベートゲートウェイIPを共有し、インターネット向けのSNATとして機能します。

ルーティングされた（プライベート）トラフィック

• VNIはルートテーブルで制御されたプライベートトラフィックのターゲットにもできます。この場合、VNI側ではアウトバウンドトラフィック用にIPスプーフィングを有効にし、インバウンドトラフィックについてはVPC内にVNIをターゲットとした静的ルートを設定する必要があります。

パブリックアドレス範囲（PAR）と静的ルーティング

• IBMは最近、PAR（Public Address Ranges）のサポートも開始しました。PARはルートテーブルで制御されたされたパブリックIPです。IPスプーフィングが有効な場合、サブネット全体をVSI/VNIに静的ルーティングすることが可能です。例えば、ファイアウォールやゲートウェイアプライアンスを使ってパブリックトラフィックを検査・制御したい場合に活用できます。

VIPの制限

• 複数VSIでVIPを共有する単純で信頼できる方法はありません。静的ルーティングが必要なため、ルートテーブルで制御されたIPをVIPに使うことは、自動化して静的ルートを再設定する場合を除き実用的ではありません。
• フローティングVNIはVPCベアメタルではサポートされていますが、VPC VSIではサポートされていません。VPCではアプリケーションおよびネットワークロードバランサーが提供されており、VIPの使用ケースの一部をカバーできます。
• ファイアウォールやゲートウェイアプライアンスでVIPを使用する必要がある場合、BGPを代替手段として検討するか、フローティングVNIがサポートされている小規模なベアメタルプロファイルでアプライアンスをデプロイすることを検討してください。

訳者注：ここでのフローティングVNIとは、VPC内の物理サーバーで定義することができる、Floating機能を有効にしたVLAN Interfaceを指します。
この機能を有効にすると、同じリソースグループ内の別のベアメタルサーバーで GARP または RARP が検出された場合、そのインターフェースは自動的に他のサーバーへ移動します。デフォルトではこの機能は無効になっています。
https://cloud.ibm.com/docs/vpc?topic=vpc-managing-nic-for-bare-metal-servers

セキュリティーグループによるネットワーク分割

• VPCでは、セキュリティーグループをネットワーク分割の手段として利用できます。セキュリティーグループは分散型ファイアウォールに類似していますが、単純な列挙型ルールセットとは少し異なる方法で実装されています。
• インターフェイスに複数のセキュリティグループを割り当てることができ、いずれかのセキュリティーグループで許可すればトラフィックが許可されます。
• セキュリティーグループのルールでは、セキュリティーグループそのものを参照して「このセキュリティーグループのメンバーはこのトラフィックを私とやり取りできる」と表現することも可能です。これにより柔軟な分割構成が可能ですが、複雑化しやすく、どのトラフィックがデバイスに許可されるかは一目で分かりにくい場合があります。

トランジットゲートウェイによるネットワーク接続

• IBM Cloudのトランジットゲートウェイはネットワーク間接続手段を提供します。複数VPCを接続するだけでなく、VPCとVMwareワークロードを接続する場合にも利用可能です。

  • IBM Cloud Classic Infrastructure ネットワーク上のVMwareワークロードに接続する場合：トランジットゲートウェイをクラシックアカウントに接続
  • IBM Cloud Classic Infrastructure ネットワーク上のNSXオーバーレイに接続する場合：GREトンネルを使ってトランジットゲートウェイをNSXエッジに接続
  • VCF as a Service（VCFaaS）上のVMwareワークロードに接続する場合：GREトンネルを使ってトランジットゲートウェイをVCFaaSエッジに接続

• VMwareからVPC VSIへの移行計画では、トランジットゲートウェイが環境間の接続を提供することになります。一般的には、一度に少なくとも1サブネット分の仮想マシンを移動する計画を立てる必要があります。個別のサブネットをVMware環境とVPC環境間でL2延伸させることはできません。

サブネット内の予約アドレス

• 各サブネットでは、VPCが以下のアドレスを厳密に予約しています：.0、.1（ゲートウェイ用）、.2、.3およびブロードキャストアドレスです。これらのアドレスはVSI VNIに割り当てられません。そのため、VPCでは自由にプライベートネットワークを使用できても、移行時には一部の仮想マシンのIP再割り当てを計画する必要があります。

訳者注: .2と.3はどちらもIBM CloudによってreserveされているIPアドレスです。

追加の参考情報

• 上記のものは主要なポイントを短くリスト化したものに過ぎません。VPCのドキュメントは非常に充実しており、Cloud Service EndpointsやVirtual Private Endpointsの仕組み、DNSaaSやIBMのロードバランサーといった関連サービスについても確認しておくと良いでしょう。
• IBM Cloudのソリューションライブラリも探索する価値があります。VPCパターンが多数掲載されています。例えば、VPCハブ・アンド・スポークパターンは、複数のVPCが互いに接続する場合やオンプレミスネットワーク、パブリックネットワークに接続する場合に、トランジットVPCを活用してゲートウェイおよびファイアウォール機能を提供する一般的なパターンです。