IPV設計ガイド

IPVでは、新規申込を頂く事によりWebベースの専用ユーザーテナントポータルへのロールベースのアクセスが提供されます。
そのため、Organization(以降、Orgと表記)に所属するメンバーがのリソースと連携してvAppや仮想マシンを作成したり操作できます。
IPVではOrgを「サイト」と定義します。

Orgは、IPVコンソール "Organization作成"により作成、リソースの割り当て、さらにテナントポータルにアクセスするためのURLが生成されます。
各OrgにはOrg Adminが"1名以上"含まれ、初回のユーザー作成はIPVコンソール "Org Admin作成"によって作成されます。
メンバーの追加はIPVコンソール "Org Admin作成"もしくはテナントポータルで行う事ができます。
メンバーに対するポリシー設定はテナントポータルで行います。

Orgに割り当てられるリソースはIPVコンソール "vDC作成"にて生成される仮想データセンター(Organization Virtual Data Center 以降OvDCと表記)により割り当てられます。
OvDCはOrgに複数作成することが可能です。
IPVではOvDCを「テナント」と定義します。

IPVの利用にあたり1テナントに業務システム環境を構築する構成を"シングルテナント構成"と定義しています。
シングルテナント構成を拡張し、複数のOvDCを用いる場合を"マルチテナント構成"となり、本構成を採用することで事業部・業務サービスレベルに分離することが可能です。
また、複数のOrgを統合し、"マルチサイト構成"も可能です。

本ガイドではIPVをご利用する上でOrg、OvDCをどの様に構成することが可能なのかを記載致します。

対象読者

  • IPVを用いたシステム設計を行う方
  • VMware社NSX-Tを用いたシステム設計の知見がある方

IPV設計における構成要素


IPVの各構成要素と設計する上での考慮事項について記載します。

IPV構成要素考慮事項
用語 概要 IPVコンソール/vCDユーザーテナントポータル関連チュートリアル
Organization
企業データセンター用途もしくは事業部単位での利用を推奨致します。
本オブジェクトが"サイト"となります。
後述のモデルではOrg=サイトとなります。

Organizationは外部接続サービスの境界となり、基幹-末端通信(North-South Traffic)を行うポイントとなります。
複数Organizationをご利用する場合のメリットは複数事業部システムを連携する必要がある際にセキュリティポイントを各Organization単位に設定できることとなります。
OvDC
公開/非公開系システム群、基幹業務システム群もしくは事業部単位での利用を推奨致します。
Organization内のローカルなリソース空間となり、ローカル空間に閉じた末端間通信(ワークロードトラフィック)、ローカル空間をまたがる末端間通信(East-West Traffic)を実現することが可能です。
ローカル空間内の通信はローカル空間をまたがる末端間通信(East-West Traffic)を行わない限り切り離されています。
外部接続ゲートウェイ
IPVが提供する外部接続サービス。
各外部接続ゲートウェイではIPVコンソールよりStatic Routeの追加、Global IPの更新、帯域設定変更等の機能を提供します。
vApp
業務システム単位での利用を推奨致します。
vAppに閉じた末端間通信(ワークロードトラフィック)を実現することが可能です。
これによりサービスワークロードトラフィックをvApp外に流出させない事が可能です。

構成要素を以下に示します。

../_images/guide_ipv-design_element01.png


../_images/guide_ipv-design_element02.png

../_images/guide_ipv-design_element02-1.png

../_images/guide_ipv-design_element02-2.png

IPVで使用可能な仮想ネットワークの要素および概要を以下に示します。
仮想ネットワークを用途毎に組み合わせる事でより高度で柔軟なクラウドインフラストラクチャ環境を構成することが可能となります。

IPV_論理ネットワーク
論理ネットワーク 設計概要 IPVコンソール/vCDユーザーテナントポータル関連チュートリアル
T0-Gateway[外部接続境界]
外部接続サービスとの入出力、基幹-末端通信(North-South Traffic)の制御ポイントとなります。
IPV EdgeNode提供のFW機能は本ゲートウェイにて機能します。

本機能は外部接続制御に特化した使用を推奨致します。
T1-Gateway[内外境界]
外部接続サービスとの入出力、基幹-末端通信(North-South Traffic)の終点であり、複数テナント間での末端間通信(East-West Traffic)を制御します。
DHCP/DHCPリレー、分散FW、LBおよびNAT(SNAT/DNAT)機能を提供します。

分散FW、LBに関してはログ出力機能は提供されていない為、トラフィック制御用途に使用することを推奨します。
データセンターグループ
IPV内クロスOvDCネットワークを実現させるために使用します。
OvDCネットワーク[経路指定]、OvDCネットワーク[隔離型]を管理・制御し、範囲指定されたテナントでのルーティング機能を提供します。

用途に応じて経路制御を活用することが可能です。
推奨用途)
テナント内サービス・事業部レベルでのネットワーク分離
Adbanced Load Balancer
IPV内T1-Gatewayに接続されたロードバランサー機能となります。
OvDCネットワーク[経路指定]と連動し、ロードバランシングを提供します。
OvDCネットワーク[経路指定]
外部接続サービスとの入出力、基幹-末端通信(North-South Traffic)を行う際に使用することを推奨致します。
複数テナント間での末端間通信(East-West Traffic)をご利用する場合も本ネットワークを使用します。
経路指定型には以下の2種類が選択可能です。
用途に応じて選択して下さい。

組織仮想データセンター内:作成OvDC内の仮想マシンのみ接続できる仮想ネットワークを提供します。
データセンターグループ:T1-Gatewayに接続されているOvDC間でルーティング、分散ファイアウォール機能を提供します。

Edge Gateway提供の各種サービス(DHCP/DHCPリレー、FW、LB)を利用する場合にも本ネットワークを使用して下さい。
セグメントプロファイル機能を用いて仮想アプライアンスを有効に活用することが可能です。
OvDCネットワーク[隔離型]
OvDC内に閉じた末端間通信(ワークロードトラフィック)を実現するのに採用することを推奨致します。
OvDCネットワーク[隔離型]の通信は使用するOvDCに閉じており、OvDCネットワーク[経路指定]を経由しない限り切り離されています。

セグメントプロファイル機能を用いて仮想アプライアンスを有効に活用することが可能です。
vAppネットワーク
vApp内の末端間通信(ワークロードトラフィック)を実現する際に利用する事を推奨致します。
他vAppとの通信はOvDCネットワーク[隔離型]を使用することで可能となります。
-

IPVにおける設計モデル


IPVでは様々なシステムモデルに応じた構成が可能となります。
IPV環境では、IPV内に構築されたシステムの各テナントが完全に独立した仮想インフラストラクチャスタックとして構成することが可能となります。
システムの各テナントが独自に専用のリソースを有しますが、共有構造として管理可能となります。
以下の様な設計モデルを採用することが可能となります。

../_images/guide_ipv-design-model.png

各モデルの採用メリット、構成要素を以下表に示します。

IPV_設計モデル-構成要素
設計モデル 概要/採用メリット
シングルテナント
1つのテナントの中に企業(ユーザー)専有のサービスを構築する方式
・構築システムに対して最も適切な性能とスループットを実現
・構築システムのデータのみのため移行が簡単
マルチテナント
1つのサイト内に複数の企業(ユーザー)用テナントを設け、リソースや運用コストを大幅に低減する方式
・データを集約することで、他テナントに影響を与えるサイバー攻撃のリスクが低減
・個々のシステムに適したカスタマイズが可能
・共有システムを採用することでテナント間ブリッジ構成も可能
・テナントごとに個別のDR戦略を採⽤可能
マルチサイト
複数のサイトを設けることで構築システムの可用性と信頼性を確保する方式
・同一リージョン内でのスケールアウト用として利用可能(同一リージョン内であればサイト間ネットワーク共有可能)
・サイトレベルで分離される為、より高度な環境分離が可能
・マルチリージョンマルチサイトを行うことで最短の復旧時間(最小RTO)と最小のデータ損失(最小RPO)でDR構築が可能
・パイロットライト、ウォームスタンバイ構成を構築することが可能

上記のシステムモデルに応じて様々なDRアーキテクトが選択可能となります。
IPVでは、「 Cohesity Data Protection 」「 VMWare VMware Cloud Director Availability 」を活用することで各DRアーキテクトを実現することが可能となります。
以下の様なDRアーキテクトを採用することが可能です。

IPV_設計モデル-構成要素
DRアーキテクト 概要/採用メリット 構成要素
バックアップ/リストア
定期的にシステムのバックアップを作成、障害発生時はバックアップからの復旧する方式
・最小コストでの実現
■デメリット
・サイト障害等での復旧ができない
ウォームスタンバイ
複数のサイト/テナントを用いてメインサイト/テナントの縮小構成を構築しデータ同期する方式
・構築システムに対して最も適切な性能とスループットを実現
・構築システムのデータのみのため移行が簡単
マルチサイト(リージョン/リージョン) ※
複数のサイトを構築する方式
・構築システムに対して最も適切な性能とスループットを実現
・構築システムのデータのみのため移行が簡単

構築ガイド

各ガイドは設計考慮事項を踏まえた内容となっております。
詳細は各ガイドをご参照下さい。