(2016年時点での内容をアーカイブとして掲載しているため、一部の掲載内容が最新情報とは異なる場合がありますので、ご了承ください。最新のIBM Cloudのアップデート情報はこちらを参照してください。)
概要
本章はIPネットワークやLANスイッチングの知識を前提として書かれていますが、本章を把握していなければ、ソフトレイヤーのサーバーを利用するのが難しいということもありません。 素早くサーバーを起動したい場合は、「1.2 仮想サーバーを起動するには?」から読み進めることをお勧めします。
パブリックとプライベートのネットワーク
SoftLayerのクラウドのネットワークは、VLANとIPネットワークのサブネットの組み合わせだけで作られ、プライベートIPアドレスをパブリックIPアドレスと対応づけて、NATするような事がありません。 このため仮想サーバーや物理サーバーは、次の図のように「Public Network」と「Private Network」および、管理ネットワークに接続されます。
「Public Network」は、インターネットからアクセスできるグローバルIPアドレスが割当られます。 そして「Private Network」は、サーバー間の通信、SoftLayerの「OS Update」や 「NAS」ストレージなどの内部サービスへのアクセス、VPN経由のアクセスなどに利用され、10.0.0.0/8のプライベート・アドレス範囲を分割して利用しています。 そして、サーバーのコンソールにログインするための経路として「Out-of-Band Management」と表す管理ネットワークも、プライベート・アドレスが割当られています。
次の画面コピーは、サーバーに「Public IP」と「Private IP」が割当られた例です。「Public IP」にはインターネットからアクセスできるグローバルIPアドレス、「Private IP」には、プライベートIPアドレスの範囲から割当られていることが判ります。そして、これら二つのサーバーのIPアドレスは、同じサブネットに属しています。「Out-of-Band Management」のIPアドレスは、基本的な操作ではアクセスすることが無いため、リスト画面には表示されません。
この例では仮想サーバーを香港データセンターに2台注文したものですが、SoftLayerではネットワークのVLAN設定、サブネットの付与、サブネット範囲からのIPアドレスの割当が自動化されているので、ネットワークに詳しくない方でも、どんどんサーバーを構築していくことができます。
これからサーバーのVLAN接続とIPアドレスの割当について、そして、ロードバランサーやファイアウォールとの関係を見ていきます。
初めてのVLAN注文
SoftLayerでは、サーバーを注文する際にVLANとサブネットが自動的に割当られます。 利用者は特別にVLANやサブネットを注文する必要はなく、サーバーを注文すると自動的に割当られます。 次は初めて仮想サーバーや物理サーバーを初めて注文する時のサーバーのオーダー画面の一部です。 この画面の「VLAN Selection」の欄に「(No VLANs available)」と表示されています。 このまま注文を確定させると、サーバーのプロビジョニングされる過程でVLANとサブネットが割当られます。 2回目以降は、この表示が変化しますので、再度この部分に触れていきます。
サーバーのVLAN接続
次の画面コピーは、仮想サーバーのプロビジョニングが完了した状態で「Device List」からサーバーをクリックした時に表示される「Device Detail」の「
」部分の画面です。この画面からVLANとサブネットの関係を読み解いていきます。
この画面の表示から、仮想サーバーは、2つのVLAN、パブリック側のVLAN ID: sea01.fcr02.1697、プライベート側のVLAN ID: sea01.bcr02.1418、に接続されています。 このVLAN IDの 先頭のseaは、データセンターの略称で、シアトルを表しています。 次のfcr02は、Frontend Customer Routerの2番目という意味で、フロント側つまりパブリック側になります。 これを解釈するとパブリック側の VLAN は 1697という番号で、fcr02 というルーターが、パブリック・ネットワークへのゲートウェイとなり、サーバーと接続するためのL2スイッチを経由して繋がっていることがわかります。
そして、bcr02は、Backend Customer Routerの2番目を表しプライベート側で、VLAN番号が1418、同様にbcr02が、ソフトレイヤーのプライベート・ネットワークへのゲートウェイになっていることが読み解けます。
これまでの説明を図に書き表したものが以下になります。前述の画面コピーにない情報として、L2 Switchの存在がありますが、この情報はカスタマーポータルからメニューを「Network」->「Status」->「Local」に進んで、「Infrastructure Overview」の部分で、デバイス名をクリックして展開することで、ルーターからサーバーまでに存在するL2 Switchを確認することができます。
パブリック側のVLAN ID: sea01.fcr02.1697には、グローバル・ネットワーク・アドレスの173.192.162.32/27が割当られています。そして、この中のグローバルIPアドレスの173.192.162.57が、仮想サーバーに割当られています。 そして、プライベート側のVLAN ID: sea01.bcr02.1418には、プライベート・ネットワーク・アドレスの10.29.29.192/26が割当られ、仮想サーバーには、この中から10.29.29.194が割当られています。
この図のサーバーのIPアドレスやルーティングは、自動的に設定され、サーバーのオーナーは何もする必要がありません。ルーティング設定は、次のターミナル画面のコピーのように、10.0.0.0/8 の範囲でプライベート IP ネットワークは、BCRに向けられ、その他はデフォルトとして、パブリック・ネットワークを向いています。
ip route
default via 172.192.162.33 dev eth1 metric 100
10.0.0.0/8 via 10.29.29.193 dev eth0
10.29.29.192/26 dev eth0 proto kernel scope link src 10.29.29.194
173.192.162.32 /27 dev eth1 proto kernel scope link src 173.192.162.57
2回目以降のVLAN指定
既にVLANが割当られている場合、言い替えると、一つのデータセンターで、サーバーを2回目に注文する場合の様子について見ていきます。次のサーバーのオーダー画面のように、今度は「Backend VLAN」の項目が表示されています。 ここで、最初に注文したサーバーと同じVLANであるsea01.bcr02.1418を選択します。 ここで、「-Any-」を選択すると、任意のVLANが、割り当てられます。
「Backend VLAN」に、sea01.bcr02.1418を選択すると、「Frontend VLAN」の項目が表示されます。こちらも、同様に既存のVLANを選択して、次へ進めます。 ここでも、「-Any-」を選択すると、任意のVLANが、割り当てられます。
前述のVLANの設定での仮想サーバーのプロビジョニング結果が、次の図になります。 二つのサーバーは、同じVLAN、同じサブネットに割当られています。 次に、これらのサーバーのバックエンドのサーバーをつくってみます。
インターネットから保護されたサーバー
インターネットから直接接続しないバックエンドのサーバーとして、サーバーを注文するには、次のオーダー画面のように、「UPLINK PORT SPEEDS」の項目で、「Private Only」の中から、アップ・リンク速度を選択します。 この設定により「Backend VLAN」だけが選択できるようになり、既存のVLAN sea01.bcr02.1418 を指定します。
次の図が、前述の設定によって構築されたネットワークとサーバーの構成図です。三番目のサーバーは、パブリック・ネットワークへ接続されず、インターネットからアクセスできないサーバーになっています。これらは、カスタマーポータル画面の「Devices」から、システムを構成するサーバーとIPアドレスのリストを確認できます。
パブリック・ネットワークに接続された2台のサーバーはウェブ・サーバーで、プライベート・ネットワークだけに接続されたサーバーは、データベース・サーバーと見立てることができます。
ロードバランサーやファイアウォールの追加
次にローカル・ロードバランサー(以下LLBとします)とファイアウォール(以下HFWとします)を導入していきます。ここでは、LANとサブネットに注目していますので、詳細な注文方法は、他の章をご参照お願いします。 次の図は、LLBとHFWを加えた時の構成図になります。LLBやHFWは、パブリック側VLANとインターネットの接続点の間に配置されます。
LLBは、HFWの前側に配置されるところが特徴です。 そして、2台のウェブサーバーのアドレスを代表する VIP (Virtual IP address)が、LLBに割当られます。LLBは、手頃な価格から、高負荷に耐えられるタイプ、2重化構成まで、複数の選択ができます。 ここでは次の図の「Local Load Balancing」の「Connections/Second」に示される同時接続数 250/秒の最小機能のLLBです。
HFWは、サーバーごとに注文するタイプ、ネットワークとしてVLANまるごと保護するタイプを選択できます。その他、ソフトウェア・ファイアウォールとして、サーバーのOS上で設定するものがあります。次の画面は、サーバーごとに注文するタイプの最も手頃な価格のHFWです。 カスタマーポータルの「Device Details」にある「Firewall」のタブから、ルールを設定できます。 次の画面は、HTTP、HTTPSだけを通過させる設定を適用したものです。
全体の確認
次のVLANs画面は、カスタマーポータル https://control.softlayer.com/ -> 「Network」 -> 「IP Management」 -> 「VLANs」からアクセスできます。 さらに「VLAN Number」のリンクをクリックすることで、そのVLANに属するサーバーとサブネットを参照できます。 このVLANsの画面の「VLAN Number」1697 の右側、「Gateway / Firewall」列に、「Individually Protected Servers」と表示されています。これは、サーバーごとに注文するタイプのHFWで保護されていることを示しています。
「Private VLAN 1418 on bcr02.sea01 Details」の画面では、3つの仮想サーバーが接続されており、そのIPアドレスと、それらのサブネットを参照することができます。
「Public VLAN 1697 on fcr02.sea01 Details」の画面では、インターネットからアクセスできる2つの仮想サーバーが接続されており、同様にIPアドレスとサブネットを参照することができます。
以上、SoftLayerのネットワーク構成は、たいへん特徴的なもので、シンプルで判りやすいものになっています。