ネットワーク共通編¶

ネットワーク構成¶

SDPF クラウド/サーバーのネットワーク構成イメージは以下のとおりです。
下記構成イメージは一例であり、オンプレミスのネットワークと同様に、自由なトポロジ―・メニュー選択・IPアドレス設計を実施いただくことが可能です。

ネットワークメニュー一覧¶

ネットワークメニューの一覧は以下のとおりです。

メニュー	概要
ロジカルネットワーク	テナント内の任意のリソース間をつなぐL2ネットワークを提供します。オンプレミスのネットワーク同様の自由なトポロジー、自由なIPアドレス設計をクラウド上で柔軟に再現できます。
インターネット接続ゲートウェイ	テナントからインターネットへの接続機能を提供します。お客様要件に合わせて伝送速度・品質を選択可能で、データ転送量に応じた料金は不要です。
Flexible InterConnect接続ゲートウェイ	テナントから Flexible InterConnect への接続機能を提供します。 Flexible InterConnectは、お客さま拠点とお客さまが利用されているさまざまなクラウドサービスやデータセンターなどの間を閉域でセキュアに接続する次世代インターコネクトサービスです。
ネットワークセキュリティ	多様化した脅威に対して、ワンストップで統合的に対応します。まずはFirewall機能のみを利用し、必要に応じてUTMにアップグレードという利用も可能です。
ファイアウォール(vSRX)	任意の場所に配置できるファイアウォール機能を提供します。 vSRXの提供機能を最大限に開放して提供します。
セキュリティグループ	サーバーインスタンス単位で設定可能な仮想ファイアウォールを提供します。
ロードバランサー	任意の場所に配置できるロードバランサ―機能を提供します。 NetScaler VPXの提供機能を最大限に開放して提供します。
Managed Load Balancer	任意の場所に配置できるManaged型のロードバランサ―を提供します。サービス提供事業者が本メニューの運用、監視、故障復旧対応を実施します。

サービス上限一覧¶

各メニューにおける利用上限値は以下のとおりです。

メニュー	リソース	利用上限	備考・利用単位
ロジカルネットワーク	テナントごとの提供ロジカルネットワーク数	64
	テナントごとの提供サブネット数	128
	テナントごとの提供ポート数	2048
インターネット接続ゲートウェイ	テナントごとの提供インターネット接続ゲートウェイ数	4
	インターネット接続ゲートウェイごとのゲートウェイインターフェイス数	1
	インターネット接続ゲートウェイごとのスタティックルート数	32
	テナントごとのグローバルIPの提供サブネット数	4	取得単位はサブネットマスク長/32～/28
Flexible InterConnect接続ゲートウェイ	テナントごとの提供Flexible InterConnect接続ゲートウェイ数	32
	Flexible InterConnect接続ゲートウェイごとのゲートウェイインターフェイス数	1
	Flexible InterConnect接続ゲートウェイごとのスタティックルート数	32
Managed Firewall	テナントごとの提供Managed Firewall数	上限なし
	Managed Firewallごとのインターフェイス数	7
Managed UTM	テナントごとの提供Managed UTM数	上限なし
	Managed UTMごとのインターフェイス数	7
Managed WAF	テナントごとの提供Managed WAF数	上限なし
	Managed WAFごとのインターフェイス数	1
ファイアウォール (vSRX)	テナントごとの提供ファイアウォール数	64
	ファイアウォールごとのインターフェイス数	8
セキュリティグループ	テナントごとのセキュリティグループ数	50
	ポートごとのセキュリティグループ数	10
	セキュリティグループごとのセキュリティグループルール数	20
ロードバランサー	テナントごとの提供ロードバランサ―数	16
	ロードバランサ―ごとのインターフェイス数	4もしくは8	プランに準じて決定
	ロードバランサ―ごとに設定可能なシスログ転送先	8	11.0-67.12以降のバージョンにて提供
Managed Load Balancer	テナントごとの提供Managed Load Balancer数	16
	Managed Load Balancerごとのインターフェイス数	4
	Managed Load Balancerごとのヘルスモニター数	50
	Managed Load Balancerごとのリスナー数	50
	Managed Load Balancerごとのポリシー数	50
	Managed Load Balancerごとのスタティックルート数	25
	Managed Load Balancerごとのターゲットグループ数	50
	ターゲットグループごとのメンバー数	100

MTU設計ガイド¶

推奨値¶

ロジカルネットワークに接続するリソースのMTUは以下に設定し、MTUサイズ内で通信することを推奨します。推奨値は、データプレーンはインターネット等のWAN環境で標準となる1500バイト、ストレージプレーンはLAN内のストレージ通信高速化のため9000バイトとなります。
同じロジカルネットワークに接続するリソースでMTUが異なると、通信ができなくなりますので、ご注意ください。

プレーン種別	データプレーン(D)	ストレージプレーン(S)
MTU推奨値	1500	9000

各メニューの初期値および変更可否¶

各メニューの初期値及び変更可否は以下一覧をご参照ください。
同じロジカルネットワークに接続するリソースでMTUが異なると、通信ができなくなりますので、ご注意ください。

カテゴリー	メニュー	初期値（単位：バイト）	変更可否
サーバー	ベアメタルサーバー	OS設定依存	OS設定依存
	サーバーインスタンス	OS設定依存	OS設定依存
	OS	D:1500 S:1500 (※1)	一部不可（※2）
ストレージ	ブロックストレージ（IO性能確保）	D:1500 S:9000	不可
	ファイルストレージ（スタンダード）	D:1500 S:9000	不可
ネットワーク	ロジカルネットワーク	D:9000 S:9000	不可
	インターネット接続ゲートウェイ	D:1500	不可
	Flexible InterConnect接続ゲートウェイ	D:1500	不可
	ファイアウォール（vSRX）	D:1500	可
	ロードバランサー	D:1500	不可
	Managed Load Balancer	D:1500	不可
	コロケーション接続	D:9000	不可
	Smart Data Platform 接続	接続元リソースに依存	不可
	クラウド/サーバーリージョン間接続	D:1500	不可
ハイパーバイザー		D:1500 S:1500	可
セキュリティ	Network-based Security	D:1500	可
ミドルウェア	Hyper-V	OS設定依存	OS設定依存
	SAP HANA	D:1500 S:9000	不可
	Oracle	OS設定依存	OS設定依存
	SQL Server	D:1500	可
	Arcserve Unified Data Protection (UDP) Advanced Edition	OS設定依存	OS設定依存
	HULFT	OS設定依存	OS設定依存
	Windows Server Remote Desktop Services SAL	OS設定依存	OS設定依存
バックアップ	Arcserve Cloud Direct	D:1500	可
Platform Service	Cloud Foundary(※3)	D:1500	可
	Rancher(※3)	D:1500	可
	WebRTC Platform	D:1500	不可
	Power Systems	D:1500	不可

注釈

Dはデータプレーンを、Sはストレージプレーンを指します。
(※1) ベアメタルサーバー利用時、データプレーン、ストレージプレーン両方の設定が必要なのでご注意ください。
(※2) Red Hat Enterprise Linux for SAP Applicationsは設定変更が出来ません。

冗長構成の構築方法¶

ネットワークメニューの冗長構成方法をご紹介します。

メニュー	レイヤ	冗長方法
ロジカルネットワーク	レイヤ2	標準で冗長化されており、お客様による冗長化は不要です。
インターネット接続ゲートウェイ Flexible InterConnect接続ゲートウェイ	レイヤ3	ロジカルネットワーク側 VRRP機能で冗長化します。対向リソースからはVRRPの仮想IPアドレスをネクストホップとしたスタティックルートを設定してください。外部ネットワーク側 BGP機能で冗長化します。お客様側の操作は不要です。
Managed Firewall Managed UTM	レイヤ3	HA構成申込時にのみ冗長化されます。VRRP機能で冗長化します。 VRRP利用時は、接続するロジカルネットワークのDHCP機能(アドレス設定機能)を「有効」としてください。DHCP機能が「無効」の場合には、弊社ネットワークからソースのアドレスが0.0.0.0でARPリクエストが実施されます。この場合、弊社提供のロードバランサー、Managed Firewall/UTM等にてARPリプライを返さないことが確認されており、VRRPによる冗長化に影響し、切替わり時に通信断が継続する可能性があります。対向リソースからはVRRPの仮想IPアドレスをネクストホップとしたスタティックルートを設定してください。詳細は各メニューのドキュメントをご確認ください。 Managed Firewall 詳細情報 Managed UTM 詳細情報 NG設定集
ファイアウォール (vSRX) ロードバランサー	レイヤ3	複数リソースを契約頂き、お客様にて冗長構成を設定頂く必要があります。 VRRP機能やSNAT機能で冗長化します。 VRRP利用時は、接続するロジカルネットワークのDHCP機能(アドレス設定機能)を「有効」としてください。DHCP機能が「無効」の場合には、弊社ネットワークからソースのアドレスが0.0.0.0でARPリクエストが実施されます。この場合、弊社提供のロードバランサー、Managed Firewall/UTM等にてARPリプライを返さないことが確認されており、VRRPによる冗長化に影響し、切替わり時に通信断が継続する可能性があります。対向リソースからはVRRPの仮想IPアドレスをネクストホップとしたスタティックルートを設定してください。詳細は各メニューのドキュメントをご確認ください。ファイアウォール(vSRX) 詳細情報ファイアウォール(vSRX) 動作確認済設定例ロードバランサー詳細情報ロードバランサー動作確認済設定例
Managed Load Balancer	レイヤ3	HA構成（冗長構成）申込時にのみ冗長化されます。詳細はManaged Load Balancerメニューのドキュメントをご確認ください。 Managed Load Balancer 詳細情報

NG構成例¶

ロジカルネットワークではオンプレミス環境と同様な自由なネットワークアーキテクチャを実現します。
通信プロトコルの制約などから、下記構成では正常に動作致しませんので、下記構成例を確認いただき、適切に設定頂きますようお願いいたします。
その他の各メニュー個別の制約事項については、各メニューの詳細情報をご確認ください。

NG構成例	説明
	非対称通信（トラフィックの行きと帰りが別経路となる通信）は通信が出来なくなる場合があります。トラフィックの行きと帰りが同一経路となる対称通信となるように設計してください。
	同一リソースから同一ロジカルネットワークに複数接続し、同じ送信元MACアドレスを用いて通信すると、通信が出来なくなる場合があります。同一ロジカルネットワークの異なるサブネットを指定した場合も同様に通信が出来なくなる場合があります。1つのロジカルネットワークにサブネットを複数作成すると、異なるアドレス帯の通信を転送することは可能となりますが、同一L2ネットワーク(同一VLAN)に通信が流れるため、セキュリティ面での効果はありません。同一リソースからは異なるロジカルネットワークに接続するようにしてください。
	MACアドレス重複防止のため以下メニューを同一のロジカルネットワークに接続することが出来ません。接続した場合、通信が出来なくなる場合があります。複数のインターネット接続ゲートウェイ複数のクラウド/サーバーリージョン間接続複数のFlexible InterConnect接続ゲートウェイ
	L2ループ防止のため以下メニューを同一のロジカルネットワークに接続することは出来ませんコロケーション接続とコロケーション接続
	MACアドレス重複防止のため、同一のロジカルネットワークに接続したリソース間ではVRID (VRRP ID)は重複しないように設計してください。 VRRP利用時に通信に用いる仮想MACアドレスはVRID (VRRP ID)に基づいて「00:00:5e:00:01:"VRID (VRRP ID)値"」という値となるため、同じVRID (VRRP ID)とするとMACアドレスが重複します。主なメニュー個別のVRID (VRRP ID)の利用状況は以下の通りです。ネットワークセキュリティ（Managed FW/UTM）で利用可能なVRID (VRRP ID)は1～100です。また、事業者設備でVRID (VRRP ID)の11を利用しているため、11以外の値を利用してください。

注釈

Managed FirewallもしくはManaged UTMにて複数のインターフェースを利用している場合、各インターフェースの対向機器のMACアドレスが重複した構成で利用できない仕様は、2018年1月16日に解消致しました。

ロジカルネットワーク

NG構成例	説明
	非対称通信（トラフィックの行きと帰りが別経路となる通信）は通信が出来なくなる場合があります。トラフィックの行きと帰りが同一経路となる対称通信となるように設計してください。
	同一リソースから同一ロジカルネットワークに複数接続し、同じ送信元MACアドレスを用いて通信すると、通信が出来なくなる場合があります。同一ロジカルネットワークの異なるサブネットを指定した場合も同様に通信が出来なくなる場合があります。1つのロジカルネットワークにサブネットを複数作成すると、異なるアドレス帯の通信を転送することは可能となりますが、同一L2ネットワーク(同一VLAN)に通信が流れるため、セキュリティ面での効果はありません。同一リソースからは異なるロジカルネットワークに接続するようにしてください。
	MACアドレス重複防止のため以下メニューを同一のロジカルネットワークに接続することが出来ません。接続した場合、通信が出来なくなる場合があります。複数のインターネット接続ゲートウェイ複数のクラウド/サーバーリージョン間接続複数のFlexible InterConnect接続ゲートウェイ
	L2ループ防止のため以下メニューを同一のロジカルネットワークに接続することは出来ませんコロケーション接続とコロケーション接続
	MACアドレス重複防止のため、同一のロジカルネットワークに接続したリソース間ではVRID (VRRP ID)は重複しないように設計してください。 VRRP利用時に通信に用いる仮想MACアドレスはVRID (VRRP ID)に基づいて「00:00:5e:00:01:"VRID (VRRP ID)値"」という値となるため、同じVRID (VRRP ID)とするとMACアドレスが重複します。主なメニュー個別のVRID (VRRP ID)の利用状況は以下の通りです。ネットワークセキュリティ（Managed FW/UTM）で利用可能なVRID (VRRP ID)は1～100です。また、事業者設備でVRID (VRRP ID)の11を利用しているため、11以外の値を利用してください。