ネットワーク共通編

ネットワーク構成

  • SDPF クラウド/サーバーのネットワーク構成イメージは以下のとおりです。
  • 下記構成イメージは一例であり、オンプレミスのネットワークと同様に、自由なトポロジ―・メニュー選択・IPアドレス設計を実施いただくことが可能です。
diagram

ネットワークメニュー一覧

ネットワークメニューの一覧は以下のとおりです。

メニュー 概要
ロジカルネットワーク
  • テナント内の任意のリソース間をつなぐL2ネットワークを提供します。
  • オンプレミスのネットワーク同様の自由なトポロジー、自由なIPアドレス設計をクラウド上で柔軟に再現できます。
インターネット接続ゲートウェイ
  • テナントからインターネットへの接続機能を提供します。
  • お客様要件に合わせて伝送速度・品質を選択可能で、データ転送量に応じた料金は不要です。
Flexible InterConnect接続ゲートウェイ
  • テナントから Flexible InterConnect への接続機能を提供します。
  • Flexible InterConnectは、お客さま拠点とお客さまが利用されているさまざまなクラウドサービスやデータセンターなどの間を閉域でセキュアに接続する次世代インターコネクトサービスです。
ネットワークセキュリティ
  • 多様化した脅威に対して、ワンストップで統合的に対応します。
  • まずはFirewall機能のみを利用し、必要に応じてUTMにアップグレードという利用も可能です。
ファイアウォール(vSRX)
  • 任意の場所に配置できるファイアウォール機能を提供します。
  • vSRXの提供機能を最大限に開放して提供します。
セキュリティグループ
  • サーバーインスタンス単位で設定可能な仮想ファイアウォールを提供します。
ロードバランサー
  • 任意の場所に配置できるロードバランサ―機能を提供します。
  • NetScaler VPXの提供機能を最大限に開放して提供します。
Managed Load Balancer
  • 任意の場所に配置できるManaged型のロードバランサ―を提供します。
  • サービス提供事業者が本メニューの運用、監視、故障復旧対応を実施します。

サービス上限一覧

各メニューにおける利用上限値は以下のとおりです。

メニュー リソース 利用上限 備考・利用単位
ロジカルネットワーク テナントごとの提供ロジカルネットワーク数 64  
  テナントごとの提供サブネット数 128  
  テナントごとの提供ポート数 2048  
インターネット接続ゲートウェイ テナントごとの提供インターネット接続ゲートウェイ数 4  
  インターネット接続ゲートウェイごとのゲートウェイインターフェイス数 1  
  インターネット接続ゲートウェイごとのスタティックルート数 32  
  テナントごとのグローバルIPの提供サブネット数 4 取得単位はサブネットマスク長/32~/28
Flexible InterConnect接続ゲートウェイ テナントごとの提供Flexible InterConnect接続ゲートウェイ数 32  
  Flexible InterConnect接続ゲートウェイごとのゲートウェイインターフェイス数 1  
  Flexible InterConnect接続ゲートウェイごとのスタティックルート数 32  
Managed Firewall テナントごとの提供Managed Firewall数 上限なし  
  Managed Firewallごとのインターフェイス数 7  
Managed UTM テナントごとの提供Managed UTM数 上限なし  
  Managed UTMごとのインターフェイス数 7  
Managed WAF テナントごとの提供Managed WAF数 上限なし  
  Managed WAFごとのインターフェイス数 1  
ファイアウォール
(vSRX)
テナントごとの提供ファイアウォール数 64  
  ファイアウォールごとのインターフェイス数 8  
セキュリティグループ テナントごとのセキュリティグループ数 50  
  ポートごとのセキュリティグループ数 10  
  セキュリティグループごとのセキュリティグループルール数 20  
ロードバランサー テナントごとの提供ロードバランサ―数 16  
  ロードバランサ―ごとのインターフェイス数 4もしくは8 プランに準じて決定
  ロードバランサ―ごとに設定可能なシスログ転送先 8 11.0-67.12以降のバージョンにて提供
Managed Load Balancer テナントごとの提供Managed Load Balancer数 16  
  Managed Load Balancerごとのインターフェイス数 4  
  Managed Load Balancerごとのヘルスモニター数 50  
  Managed Load Balancerごとのリスナー数 50  
  Managed Load Balancerごとのポリシー数 50  
  Managed Load Balancerごとのスタティックルート数 25  
  Managed Load Balancerごとのターゲットグループ数 50  
  ターゲットグループごとのメンバー数 100  

MTU設計ガイド

推奨値

  • ロジカルネットワークに接続するリソースのMTUは以下に設定し、MTUサイズ内で通信することを推奨します。推奨値は、データプレーンはインターネット等のWAN環境で標準となる1500バイト、ストレージプレーンはLAN内のストレージ通信高速化のため9000バイトとなります。
  • 同じロジカルネットワークに接続するリソースでMTUが異なると、通信ができなくなりますので、ご注意ください。
プレーン種別 データプレーン(D) ストレージプレーン(S)
MTU推奨値 1500 9000

各メニューの初期値および変更可否

  • 各メニューの初期値及び変更可否は以下一覧をご参照ください。
  • 同じロジカルネットワークに接続するリソースでMTUが異なると、通信ができなくなりますので、ご注意ください。
カテゴリー メニュー 初期値(単位:バイト) 変更可否
サーバー ベアメタルサーバー OS設定依存 OS設定依存
  サーバーインスタンス OS設定依存 OS設定依存
  OS
D:1500
S:1500 (※1)
一部不可(※2)
ストレージ ブロックストレージ(IO性能確保)
D:1500
S:9000
不可
  ファイルストレージ(スタンダード)
D:1500
S:9000
不可
ネットワーク ロジカルネットワーク
D:9000
S:9000
不可
  インターネット接続ゲートウェイ D:1500 不可
  Flexible InterConnect接続ゲートウェイ D:1500 不可
  ファイアウォール(vSRX) D:1500
  ロードバランサー D:1500 不可
  Managed Load Balancer D:1500 不可
  コロケーション接続 D:9000 不可
  Smart Data Platform 接続 接続元リソースに依存 不可
  クラウド/サーバー リージョン間接続 D:1500 不可
ハイパーバイザー  
D:1500
S:1500
セキュリティ Network-based Security D:1500
ミドルウェア Hyper-V OS設定依存 OS設定依存
  SAP HANA
D:1500
S:9000
不可
  Oracle OS設定依存 OS設定依存
  SQL Server D:1500
  Arcserve Unified Data Protection (UDP) Advanced Edition OS設定依存 OS設定依存
  HULFT OS設定依存 OS設定依存
  Windows Server Remote Desktop Services SAL OS設定依存 OS設定依存
バックアップ ArcserveUDP Cloud Direct D:1500
Platform Service Cloud Foundary(※3) D:1500
  Rancher(※3) D:1500
  WebRTC Platform D:1500 不可
  Power Systems D:1500 不可

注釈

  • Dはデータプレーンを、Sはストレージプレーンを指します。
  • (※1) ベアメタルサーバー利用時、データプレーン、ストレージプレーン両方の設定が必要なのでご注意ください。
  • (※2) Red Hat Enterprise Linux for SAP Applicationsは設定変更が出来ません。

冗長構成の構築方法

  • ネットワークメニューの冗長構成方法をご紹介します。
diagram
メニュー レイヤ 冗長方法
  • ロジカルネットワーク
レイヤ2 標準で冗長化されており、お客様による冗長化は不要です。
  • インターネット接続ゲートウェイ
  • Flexible InterConnect接続ゲートウェイ
レイヤ3
  • ロジカルネットワーク側
    • VRRP機能で冗長化します。
    • 対向リソースからはVRRPの仮想IPアドレスをネクストホップとしたスタティックルートを設定してください。
  • 外部ネットワーク側
    • BGP機能で冗長化します。お客様側の操作は不要です。
  • Managed Firewall
  • Managed UTM
レイヤ3
  • HA構成申込時にのみ冗長化されます。VRRP機能で冗長化します。
  • VRRP利用時は、接続するロジカルネットワークのDHCP機能(アドレス設定機能)を「有効」としてください。DHCP機能が「無効」の場合には、弊社ネットワークからソースのアドレスが0.0.0.0でARPリクエストが実施されます。この場合、弊社提供のロードバランサー、Managed Firewall/UTM等にてARPリプライを返さないことが確認されており、VRRPによる冗長化に影響し、切替わり時に通信断が継続する可能性があります。
  • 対向リソースからはVRRPの仮想IPアドレスをネクストホップとしたスタティックルートを設定してください。
  • 詳細は各メニューのドキュメントをご確認ください。
  • ファイアウォール
    (vSRX)
  • ロードバランサー

レイヤ3
  • 複数リソースを契約頂き、お客様にて冗長構成を設定頂く必要があります。
  • VRRP機能やSNAT機能で冗長化します。
  • VRRP利用時は、接続するロジカルネットワークのDHCP機能(アドレス設定機能)を「有効」としてください。DHCP機能が「無効」の場合には、弊社ネットワークからソースのアドレスが0.0.0.0でARPリクエストが実施されます。この場合、弊社提供のロードバランサー、Managed Firewall/UTM等にてARPリプライを返さないことが確認されており、VRRPによる冗長化に影響し、切替わり時に通信断が継続する可能性があります。
  • 対向リソースからはVRRPの仮想IPアドレスをネクストホップとしたスタティックルートを設定してください。
  • 詳細は各メニューのドキュメントをご確認ください。
Managed Load Balancer レイヤ3
  • HA構成(冗長構成)申込時にのみ冗長化されます。
  • 詳細はManaged Load Balancerメニューのドキュメントをご確認ください。

NG構成例

  • ロジカルネットワークではオンプレミス環境と同様な自由なネットワークアーキテクチャを実現します。
  • 通信プロトコルの制約などから、下記構成では正常に動作致しませんので、下記構成例を確認いただき、適切に設定頂きますようお願いいたします。
  • その他の各メニュー個別の制約事項については、各メニューの詳細情報をご確認ください。
NG構成例 説明
_images/ln_ng_asymmetry_traffic.png
  • 非対称通信(トラフィックの行きと帰りが別経路となる通信)は通信が出来なくなる場合があります。
  • トラフィックの行きと帰りが同一経路となる対称通信となるように設計してください。
_images/ln_ng_same_network.png
  • 同一リソースから同一ロジカルネットワークに複数接続し、同じ送信元MACアドレスを用いて通信すると、通信が出来なくなる場合があります。
  • 同一ロジカルネットワークの異なるサブネットを指定した場合も同様に通信が出来なくなる場合があります。1つのロジカルネットワークにサブネットを複数作成すると、異なるアドレス帯の通信を転送することは可能となりますが、同一L2ネットワーク(同一VLAN)に通信が流れるため、セキュリティ面での効果はありません。
  • 同一リソースからは異なるロジカルネットワークに接続するようにしてください。
_images/ln_ng_mac_duplication.png
  • MACアドレス重複防止のため以下メニューを同一のロジカルネットワークに接続することが出来ません。接続した場合、通信が出来なくなる場合があります。
    • 複数のインターネット接続ゲートウェイ
    • 複数のクラウド/サーバー リージョン間接続
    • 複数のFlexible InterConnect接続ゲートウェイ
_images/ln_ng_l2_roop.png
  • L2ループ防止のため以下メニューを同一のロジカルネットワークに接続することは出来ません
    • コロケーション接続とコロケーション接続
_images/ln_ng_vrrp_id_duplication.png
  • MACアドレス重複防止のため、同一のロジカルネットワークに接続したリソース間ではVRID (VRRP ID)は重複しないように設計してください。
  • VRRP利用時に通信に用いる仮想MACアドレスはVRID (VRRP ID)に基づいて「00:00:5e:00:01:"VRID (VRRP ID)値"」という値となるため、同じVRID (VRRP ID)とするとMACアドレスが重複します。
  • 主なメニュー個別のVRID (VRRP ID)の利用状況は以下の通りです。
    • ネットワークセキュリティ(Managed FW/UTM)で利用可能なVRID (VRRP ID)は1~100です。また、事業者設備でVRID (VRRP ID)の11を利用しているため、11以外の値を利用してください。

注釈

  • Managed FirewallもしくはManaged UTMにて複数のインターフェースを利用している場合、各インターフェースの対向機器のMACアドレスが重複した構成で利用できない仕様は、2018年1月16日に解消致しました。