IPV Internal Linkを活用した他サービス間VPN接続¶
IPV Internal Linkを用いてSDPFの各種サービスと接続することが可能です。
また、IPVでは仮想VPNアプライアンスを用いることで、サービス間VPNソリューションを構築することができ、より安全にワークロード内のデータ通信を保護することができます。
ここでは、IPSecVPNを用いて単一のOvDC(以降、テナントと表記)とSDPFクラウド/サーバー ハイパーバイザー環境とサイト間VPNを構築する方法を記載します。
IPSecVPNは、成熟したコスト効率の高いVPNソリューションです。
構築ガイド¶
本ガイドでは、サービス間VPNソリューションを構築するために仮想VPNゲートウェイとして" A10ネットワーク社 vThunder "を用いる例を記載します。
注釈
A10 vThunderにてIPSecVPNを利用する場合には以下のライセンスが必要となります。
■ A10 vThunder必要ライセンス
- A10 Thunder Convergent Firewall(CFW)ライセンス
- A10 IPSecVPNライセンス
ライセンス投入手順等は" こちら "を参照下さい。
注釈
各サービステナント内ワークロードを延伸する際にはL2VPNを採用して下さい。
サービス間VPNソリューション構築時の構成は以下図を参照下さい。
仮想VPNゲートウェイアプライアンスを適切に配備・構成することによりIPVとオンプレミス環境等とのサイト間VPNソリューション化も可能です。
サービス間VPN接続構成留意事項¶
サービス間VPNソリューションを構成する際にはセグメント設計ならびにIPV内仮想ネットワークを適切に行う必要があります。
テナント内論理ネットワークを構成する上での留意事項には以下があります。
- 1)外部接続ネットワークとの接続を要するテナントIPV Internal Linkを使用するテナントではOrg毎に生成されたEdgeNode(T0/T1-Gateway)を外部接続ネットワークへ接続する為のGatewayとして利用します。EdgeNodeが提供するファイアウォール、ロードバランサー機能は外部接続ネットワークとの接続に特化させることでセキュリティポイントを分離することが可能です。また、ネットワーク仮想アプライアンスを導入頂く事により高度で柔軟なネットワークを構成することが可能となります。
- 2)テナント内ネットワークを構成する場合テナント内に配備する業務システムワークロード用とシステムコンポーネント間ワークロードトラフィックはOvDCネットワーク(隔離型)、vAppネットワークを利用する事でシステムレベルでのサイロ化が可能です。システムコンポーネント毎に接続ポイントを分離することでセキュアに構築することが可能となり、業務システムのワークロードを配備先のテナント内に留め、他テナントおよび外部接続ネットワークとの境界に当たるEdgeNodeへ伝播することを防ぐことが可能です。ただし、OvDCネットワーク[隔離型]はルートテーブルを保持することができない為、ネットワーク仮想アプライアンス等を用いてOvDCネットワーク[隔離型]を適切に運用する必要があります。
サービス間VPNソリューション構築時のEdgeNodeおよびOvDCネットワーク[経路指定]設計における考慮点を以下図に示します。
設計時の参考にして下さい。
テナント内論理ネットワークを構成する上でのOvDCネットワーク[隔離型]設計における考慮点を以下図に示します。
構成概要¶
本ガイドで作成する仮想マシン、仮想マシンへ導入するソフトウェアは以下となります。
仮想サーバ名 |
役割 |
IPアドレス |
ディスクサイズ |
OS |
|---|---|---|---|---|
vThunder-a-rt01 |
OvDC_A用VPNゲートウェイ
|
vNIC0:172.16.1.250/24 (管理用)
vNIC1:172.16.11.250/24 (VPNコネクション用)
vNIC2:172.16.2.250/24 (ローカルネットワーク)
|
16GB |
ACOS(64bit) |
ovdc-a-mon01 |
疎通確認用サーバー |
vNIC0:172.16.2.1/24
|
80GB |
Ubuntu 21.04 LTS |
仮想サーバ名 |
役割 |
IPアドレス |
ディスクサイズ |
OS |
|---|---|---|---|---|
vThunder-a-rt01 |
SDPFクラウド/サーバー ハイパーバイザー用VPNゲートウェイ
|
vNIC0:10.1.1.252/24 (管理用)
vNIC1:192.168.111.251/24 (VPNコネクション用)
vNIC2:172.16.30.251/24 (ローカルネットワーク)
|
16GB |
ACOS(64bit) |
hyv-a-mon01 |
疎通確認用サーバー |
vNIC0:172.16.30.1/24
|
80GB |
Ubuntu 21.04 LTS |
名称 |
バージョン |
|---|---|
qperf |
0.4.11 |
構築手順¶
前提条件
使用するユーザーは、"Org Admin"です。
IPVご利用開始時に標準で用意されているロール、ロールに紐づいている権限は以下を参照ください。
1. 事前準備¶
仮想マシンの作成で使用するOVA(F)形式の仮想アプライアンスイメージをアップロードします。
仮想マシンイメージファイルは、プライベートカタログへ保存します。
1.2. カタログの作成¶
vCDテナントポータルへログインし、Topメニューより[ライブラリ]をクリックします。
[コンテンツライブラリ]->[カタログ]をクリックします。
[新規]をクリックし、プライベートカタログを作成します。
カタログの作成完了後、[カタログ]に作成したカタログが表示されることを確認します。
1.3. vAppテンプレートの作成¶
[コンテンツライブラリ]->[vAppテンプレート]をクリックします。
[新規]をクリックし、下表の設定にてOVAファイルからvAppテンプレートを作成します。
項目 |
設定内容 |
|---|---|
1 ソースを選択参照 |
参照:OVAファイル(vThunder_5.2.1-p5.114.ova)を指定
ファイル:vThunder_5.2.1-p5.114.ova
|
2 vAppテンプレート名の選択 |
名前:vThundr_5.2.1-p5.114
説明:
カタログ:作成したプライベートカタログ
|
項目 |
設定内容 |
|---|---|
1 ソースを選択参照 |
参照:OVAファイル(ubuntu-21.04-server-cloudimg-amd64.ova)を指定
ファイル:ubuntu-21.04-server-cloudimg-amd64.ova
|
2 vAppテンプレート名の選択 |
名前:Ubuntu-21.04-sv
説明:
カタログ:作成したプライベートカタログ
|
vAppテンプレートの作成については以下のチュートリアルを参照下さい。
vAppテンプレートの作成完了後、[vAppテンプレート]に作成したvAppテンプレートが表示されることを確認します。
2. OvDCネットワークの作成¶
ここでは2種類のOvDCネットワークを使用します。
利用可能なOvDCネットワークを適切に使用することでワークロード分離、セキュア化が可能となります。
本ガイドではSDPFクラウド/サーバー ハイパーバイザーとIPV OvDC間をIPSecVPNトンネルにて構築し、サービス間でのワークロード延伸を実現します。
IPSecVPNトンネルの全体概要は以下となります。
作成するOvDCネットワークの概要は以下となります。
2.1. 利用OvDCネットワークについて¶
本ガイドでの名称 |
説明 |
|---|---|
VPNコネクション用ネットワーク |
VPNゲートウェイ間接続で使用するOvDCネットワークです。 |
管理用ネットワーク |
VPNゲートウェイの管理に使用するOvDCネットワークです。 |
ワークロード用 |
延伸対象のOvDCネットワークです。 |
VPNコネクション用のOvDCネットワークはEdge Gatewayに接続された経路指定型OvDCネットワークを利用します。
このOvDCネットワークはVPNゲートウェイ間にてトンネル化する際に使用します。
ワークロード用ネットワークはテナント外との疎通を行わせない為、隔離型OvDCネットワークとして構築します。
隔離型OvDCネットワークにすることによりテナント内に閉じたワークロードネットワークとなります。
注釈
ワークロード用OvDCネットワーク作成時ゲートウェイCIDRが重複しない様セグメント設計を行って下さい。
2.2. VPNコネクション用ネットワークの作成¶
Topメニューより[データセンター]をクリックします。
ネットワークを作成する[仮想データセンターカード]をクリックします。
[ネットワーク]->[ネットワーク]をクリックします。
[新規]をクリックし、下表の設定にて EdgeGatewayと接続する OvDCネットワークを作成します。
項目 |
設定内容 |
|---|---|
1 範囲 |
データセンターグループ |
2 ネットワークタイプ |
経路指定 |
3 全般 |
名前:External-ovdcnw03
ゲートウェイCIDR:172.16.11.254/24
説明:
|
4 固定 IP プール |
ゲートウェイCIDR:
固定IPプール:
|
5 DNS |
プライマリDNS:
セカンダリDNS:
DNSサフィックス:
|
OvDCネットワーク追加設定完了後、[ネットワーク]に作成したOvCDCネットワークが表示されることを確認します。
2.3. 管理用ネットワークの作成¶
Topメニューより[データセンター]をクリックします。
ネットワークを作成する[仮想データセンターカード]をクリックします。
[ネットワーク]->[ネットワーク]をクリックします。
[新規]をクリックし、下表の設定にて EdgeGatewayと接続する OvDCネットワークを作成します。
項目 |
設定内容 |
|---|---|
1 範囲 |
データセンターグループ |
2 ネットワークタイプ |
経路指定 |
3 全般 |
名前:mgmt-ovdcnw01
ゲートウェイCIDR:172.16.1.254/24
説明:
|
4 固定 IP プール |
ゲートウェイCIDR:
固定IPプール:
|
5 DNS |
プライマリDNS:
セカンダリDNS:
DNSサフィックス:
|
OvDCネットワーク追加設定完了後、[ネットワーク]に作成したOvCDCネットワークが表示されることを確認します。
2.4. ワークロードネットワークの作成¶
Topメニューより[データセンター]をクリックします。
ネットワークを作成する[仮想データセンターカード]をクリックします。
[ネットワーク]->[ネットワーク]をクリックします。
[新規]をクリックし、 EdgeGatewayと接続しないOvDC内に閉じた OvDCネットワークを作成します。
項目 |
設定内容 |
|---|---|
1 範囲 |
現在の組織仮想データセンター |
2 ネットワークタイプ |
隔離 |
3 全般 |
名前:alb-ovdcnw01
ゲートウェイCIDR:172.16.2.254/24
説明:
|
4 固定 IP プール |
ゲートウェイCIDR:
固定IPプール:
|
5 DNS |
プライマリDNS:
セカンダリDNS:
DNSサフィックス:
|
OvDCネットワーク追加設定完了後、[ネットワーク]に作成したOvCDCネットワークが表示されることを確認します。
また、延伸先テナント環境では作成したOvDCネットワーク以外が存在しないことも確認します。
2.5. OvDCネットワーク拡張設定[Segment Profiles設定]¶
サービス間にてワークロード延伸する際にVPNコネクションを使用するためOvDCネットワーク拡張機能であるSegment Profilesを使用します。
この機能を用いる事により延伸先サービステナント環境とのVPNコネクションを実現します。
OvDCネットワークを拡張機能によりカスタマイズし"MACアドレスの偽装転送"等を有効化します。
本環境を構築する仮想データセンターカードをクリックします。
「仮想データセンター」(以下、OvDC)内、左ペインメニューより[ネットワーク]を押下します。
[ネットワーク] リストより編集対象のOvDCネットワーク名をクリックします。
[Segment Profiles]タブで、[編集]をクリックします。
- [Edit Segment Profiles]ダイアログにて「Use a Custom set of Segment Profiles」にチェックします。[MACアドレス検出]->[mac-learning-enabled]を選択し、mac-learning-enabled機能を有効化します。編集完了後、[保存]をクリックします。
設定対象OvDCネットワークは以下となります。
対象OvDCネットワーク |
用途 |
|---|---|
External-ovdcnw03 |
VPNゲートウェイ間接続で使用するOvDCネットワーク |
alb-ovdcnw01 |
ワークロード対象OvDCネットワーク |
[SegmentProfile]に設定が反映されたことを確認します。
3. VPNゲートウェイの構築¶
ここでは延伸用VPNゲートウェイとしてA10ネットワーク社 vThunderを使用します。
注釈
VPNゲートウェイアプライアンスは他の商用製品でも同様に利用が可能です。
3.1. VPNゲートウェイのデプロイ¶
「vThunder」のデプロイを行います。
デプロイ方法は以下を参照下さい。
3.1.1. VPNゲートウェイ用vAppの作成¶
Topメニューより[データセンター]をクリックします。
ネットワークを作成する[仮想データセンターカード]をクリックします。
[コンピュート]->[vApp]をクリックします。
[新規]をクリックし[新規vApp]をクリックします。
下表の内容でvAppを作成します。
項目 |
設定内容 |
|---|---|
名前 |
l2vpn-gw-site-A |
説明 |
‐ |
パワーオン |
チェックなし |
3.1.2.VPNゲートウェイ用vAppへのネットワークの追加¶
作成したvAppにネットワークを追加します。
vAppのリストより"l2vpn-gw-site-{n}"カードを探し、カードの下部にある[アクション]をクリックします。
表示されたメニューリストから[追加]->[ネットワークの追加]をクリックします。
下表の設定にてvAppへネットワークを追加します。
3.2. サービス間VPN(IPSecVPN)の構築¶
A10 vThunderではIPSecVPN構築に適した" App Centric Templates(ACT) "が用意されています。
本機能を利用することで容易にIPSecVPNソリューションを構築することができます。
本手順では" App Centric Templates(ACT) "を用いてサービス間VPNソリューションを構築します。
※ 対向拠点側にデプロイしたvThunderも同様に設定を行う必要があります。
IPSecVPNトンネルの設定概要は以下となります。
vThunder 管理コンソールよりApp Centric Templates(ACT)を用いてIPSecVPNを構成する手順を記載します。
App Centric Templates(ACT) IPSecVPNでは以下の3つのセクションで構成されます。
セクション |
内容 |
|---|---|
Wizard |
フローベースのIPSecVPN設定を提供 |
DashBoard |
システムの現在の状態に関する統計情報(IPSecトラフィック統計含む)を提供 |
Configuration |
現在の設定といくつかの高度なオプション設定を提供 |
[Wirzard]を用いてIPSecVPNを構成していきます。
A10 vThunder WEB管理コンソールへ接続します。
Topメニューより[システム] -> [Appテンプレート]をクリックします。
別タブにApp Centric Templates(ACT)が表示されることを確認します。
App Centric Templates(ACT)メニューより[IPSecVPN]をクリックします。
左メニューより[Wizard]を選択します。
設定ウィザードの各項目に従い設定を行っていきます。
トポロジー選択
VPNソリューショントポロジーを選択します。
今回、SDPF内サービス間VPNソリューションとなりますので"A10 - A10 IPSEC VPN TOPOLOGY"にチェックがあることを確認し[NEXT]をクリックします。
ルーティング設定
ルーティング設定のステップは2つのパートに分かれています。
最初に対応するIPアドレスを持つインターフェースの設定を行います。
設定後、[NEXT]をクリックします。
次にA10 CFWデバイスのL3ルーティングの設定です。
L3ルーティング設定では"Static"になっていることを確認し[NEXT]をクリックします。
注釈
L3ルーティング設定ではBGPも選択できます。
IPV Internal Linkを使用する場合は標準設定である"Static"を使用下さい。
以下にサンプル設定値を記載します。
設定項目 |
設定値 |
|---|---|
Interface |
ethernet 2 |
IP Address |
172.16.2.249/24 |
設定項目 |
設定値 |
|---|---|
Interface |
ethernet 1 |
IP Address |
172.16.11.249/24 |
トンネルインターフェイス設定
IPsecは、多くのコンポーネント技術と暗号化方式を含んでいます。
このステップでは、IKE(インターネット鍵交換)およびIPsecトンネルパラメーター(IKEローカルID、IKEリモートID、IPsecトラフィックセレクタなど)を設定します。
設定後、[NEXT]をクリックします。
以下にサンプル設定値を記載します。
設定項目 |
設定値 |
|---|---|
Local IP |
172.16.11.249/24 |
Remote IP |
192.168.111.253 |
設定項目 |
設定値 |
|---|---|
Local IP |
10.1.0.249/24 |
Remote IP |
10.1.0.253 |
設定項目 |
設定値 |
|---|---|
Remote Subnet |
172.16.30.0/24 |
IKEゲートウェイ設定
IKEチャネルの各種プロパティを設定します。
ここでは、"Authentication"と"Encryption"2つのセクションを設定します。
設定後、[NEXT]をクリックします。
以下にサンプル設定値を記載します。
設定項目 |
設定値 |
|---|---|
Pre-Share Key |
パスフレーズを入力 ※対向側と合わせて下さい |
設定項目 |
設定値 |
|---|---|
Encryption |
sha256 |
Hash |
sha256 |
DH Group |
1 |
Dead Peer Detection |
チェックなし |
IPSec設定
このステップでは、IPsecトンネルのIPsec固有設定を行います。
暗号化、ハッシュ、DHグループ設定を、前述のIKE設定で選択したパラメータと一致するように構成して下さい。
設定後、[NEXT]をクリックします。
以下にサンプル設定値を記載します。
設定項目 |
設定値 |
|---|---|
Encryption |
sha256 |
Hash |
sha256 |
DH Group |
1 |
MTU |
1500 |
[REVIEW]画面にて設定内容を確認し[FINISH]をクリックします。
[FINISH]クリック後、[Configuration]・[DashBoard]セクションならびにA10 管理コンソールにて正常に設定内容が反映されているかを確認します。
まず、[Configuration]セクションにて設定が反映されていることを確認します。
[DashBoard]セクションにてVPNトンネル状態が正常であることを確認します。
A10管理コンソールにて設定内容の確認と各インターフェイスの状態を確認します。
トンネルインターフェイス(IKEゲートウェイの接続確立含む)がアップしていない場合、アプライアンスCLIへ接続し以下のコマンドを実行します。
Linux¶
## トンネルインターフェイスのUPコマンド
#管理権限へ遷移
vThunder> enable
#Config設定権限へ遷移
vThunder# configure
#インターフェイス権限へ移行
vThunder(config)# vpn ipsec Tunnel_{Wizardにて設定したトンネルIPアドレス}
#トンネルインターフェイス起動
vThunder(config-ipsec:Tunnel_{Wizardにて設定したトンネルIPアドレス})# up
Topメニューより[セキュリティ] -> [IPSecVPN]へ移動
[IPSecVPN]内の"VPNトンネル""IKEゲートウェイ""トンネルインターフェイス"を確認します。
[Wizard]セクションにより生成されるConfigのサンプルを以下に記載します。
■ インターフェイス設定
Linux¶
## インターフェイス設定
interface ve XXX
user-tag uiext_vpn_internal_routing_ve_XXX
ip address 172.16.2.249 255.255.255.0
interface ve XXY
user-tag uiext_vpn_external_routing_ve_XXY
ip address 172.16.11.249 255.255.255.0
interface tunnel 1
user-tag uiext_vpn_interface_tunnel_1
ip address 10.1.0.249 255.255.255.0
## VLAN設定
vlan XXX
untagged ethernet 2
router-interface ve XXX
user-tag uiext_vpn_internal_routing_vlan_XXX
vlan XXY
untagged ethernet 1
router-interface ve XXY
user-tag uiext_vpn_external_routing_vlan_XXY
## IPSecVPN設定
vpn nat-traversal-flow-affinity
vpn ike-gateway IKE_192.168.111.253
auth-method preshare-key encrypted SqPs7PiN2OXRFh1UAgTa2Nuov+pKnuE0KkQU9WDd4uRiX8gqygmo/7onCm5TN89/
encryption aes-256 hash sha256
local-address ip 172.16.11.249
remote-address ip 192.168.111.253
nat-traversal
user-tag uiext_vpn_IKE_192.168.111.253
vpn ipsec Tunnel_10.1.0.253
dh-group 1
encryption aes-256 hash sha256
traffic-selector ipv4 local 172.16.2.0 255.255.255.0 remote 172.16.30.0 255.255.255.0
user-tag uiext_vpn_tunnel_10.1.0.253
sampling-enable packets-encrypted
sampling-enable packets-decrypted
sampling-enable bytes-encrypted
sampling-enable bytes-decrypted
bind tunnel 1 10.1.0.253
ike-gateway IKE_192.168.111.253
両環境にてVPNゲートウェイを構築後、VPNコネクション疎通確認用VMにて疎通確認を行って下さい。
3.3. VPNコネクション疎通確認用VM構築¶
VPNコネクション疎通確認用VMを構築します。
事前準備にてアップロードした、仮想マシンイメージファイルを使用して、VPNコネクション疎通確認用VM用仮想マシンを作成します。
[コンピュート]->[vApp]をクリックします。
vAppのリストより{vApp名}カードを探し、カードの下部にある[アクション]をクリックします。
表示されたメニューリストから[追加]->[仮想マシンの追加]をクリックします。
[仮想マシンを{vApp名}に追加]ダイアログが表示されます。
[仮想マシンの追加]をクリックし、下表の設定にてvAppへ仮想マシンを作成します。
注釈
qperf導入用に一時的にインターネット接続が可能なOvDCネットワークにNIC接続して下さい。
qperf導入後、「netplan」コマンドにて設定を変更して下さい。
項目 |
設定内容 |
|---|---|
名前 |
ovdc-{n}-mon01 |
説明 |
‐ |
タイプ |
テンプレートから |
テンプレート |
Ubuntu-21.0.4-SV ※tutorial-catalog |
ストレージ |
|
コンピュート |
項目なし
|
NIC |
項目なし※別途、仮想マシン構成設定にて追加するため、空欄となります。
|
カスタムプロパティ |
項目なし
|
エンドユーザー使用許諾契約書(EULA) |
項目なし
|
[OK]をクリックし、仮想マシンを構築します。
作成完了後、[vApp]->[l2vpn-gw-site-{n}カード]をクリックし、仮想マシン内に追加した仮想マシン名が表示されていることを確認します。
仮想マシン名をクリックし、対象仮想マシン画面へ遷移します。
[ハードウェア]->[NIC]をクリックします。
[編集]をクリックし、下表の設定にてNICを追加します。
NIC No |
ネットワーク |
ネットワークアダプタ タイプ |
IPモード |
IPアドレス |
プライマリNIC |
|---|---|---|---|---|---|
0 |
alb-ovdcnw01 |
VMXNET3 |
固定 - 手動 |
172.16.2.248 |
‐ |
[ハードウェア]->[コンピュート]をクリックしメモリの増設を実施します。
必要に応じてCPU、メモリの増設を行って下さい。
下部にある"メモリ"欄の[編集]をクリックし、変更します。
上部メニューの[パワーオン]をクリックします。
仮想マシンが起動したら、上部メニュー[WEBコンソールを起動]をクリックします。
別ウィンドウにて、WEBコンソールが起動します。
WEBコンソールを用いて仮想マシンにログインを行い、デスクトップが正常に表示されるのを確認します。
下表のログイン情報にてOSへログインします。
ログインID |
パスワード |
|---|---|
root |
[ゲストOSのカスタマイズ]->[編集]、[ゲストプロパティの編集]->[パスワードを指定]に記載された値 |
3.3.1.仮想マシンのネットワーク設定¶
使用しているOVA(OVF)では"cloud-init"による設定がなされているため、テナント環境に沿ったネットワーク回りの再設定を実施します。
Ubuntuでは、ネットワーク設定として「netplan」を使用して設定を行います。
※「50-cloud-init.yaml」が仮想マシン内に生成されています。これは、"cloud-init"がOSデプロイ時に使用するファイルとなります。このファイルをコピーしてネットワーク設定を行います。
以下のコマンドにて仮想マシンのネットワーク設定を行います。
注釈
キーボード設定の変更およびフロッピーモジュールの削除を行う場合は以下を実施下さい。
■ フロッピーデバイスモジュール無効化コマンド
Linux¶
sudo rmmod floppy
echo "blacklist floppy" | sudo tee /etc/modprobe.d/blacklist-floppy.conf
sudo dpkg-reconfigure initramfs-tools
■ キーボード設定変更(日本語)コマンド
Linux¶
sudo dpkg-reconfigure keyboard-configuration
# 設定変更用GUIに遷移します
#1. Keyboard model項目にて"Generic 105-key(Intl)PC"を選択
#2. country of origin for the keyboard項目にて"Japanese"を選択
#3. keyboard layout項目にて"Japanese"を選択
#4. 以降、各キー、ファンクション設定を必要に応じて項目を選択
# 設定変更用GUIが終了した後に再起動をすることでKeyBoard設定が変更されます
reboot
■ 仮想マシンネットワーク設定
Linux¶
# 変更前のネットワーク設定を確認します
ip addr show
# 出力結果
# 0: lo: ~
# 1: ens{No}: ~ ← ens{No}が仮想マシンに追加したNICのデバイス名となります。
#
# 50-cloud-init.yamlファイルをコピーして01-netcfg.yamlファイルを作成します。
sudo cp /etc/netplan/50-cloud-init.yaml /etc/netplan/01-netcfg.yaml
# 50-cloud-init.yamlファイルをリネームします。
sudo mv /etc/netplan/50-cloud-init.yaml /etc/netplan/50-cloud-init.yaml.org
# 01-netcfg.yamlファイルを編集します。
sudo vi /etc/netplan/01-netcfg.yaml
# vi 編集内容
# This file is generated from information provided by the datasource.
## 中略
# network: {config: disabled}
network:
ethernets:
ens{xxx}: # デバイス名は"ip addr show"コマンドにて確認したものとなります。
dhcp4: no
addresses: [{テナントポータルにて指定したIPアドレス}/{サブネット}]
gateway4: {VPNゲートウェイブリッジインターフェイスIPアドレス}
nameservers:
addresses: # DNSサーバー
dhcp6: no
version: 2
# netplan設定内容を反映します。
netplan apply
# 変更が反映されていることを確認します
ip addr show
以上で、テナント間L2VPNネットワーク設定が完了となります。
3.3.2. 疎通確認用ツールの導入、設定¶
qperfパッケージを導入します。
qperf以外にiperf、netperf等でも疎通確認が行えます。
本ガイドではqperfを採用しています。
Linux¶
# パッケージの最新化を行います。
sudo apt update -y
sudo apt upgrade -y
# qperfパッケージ導入。
sudo apt install qperf -y
以上で、パッケージ導入の事前準備が完了です。
qperfを用いて疎通確認を行います。
qperfは2ノード間(クライアント/サーバ)のネットワーク帯域幅および待機時間を測定します。
本ツールはTCP/IPだけでなくRDMAトランスポートの測定も可能です。
取得可能な測定指標はTCPに限らずUDP、SCTPも対象となります。
測定の際にはサーバーとする仮想マシン上で「qperf」を実行し、クライアント側で確認する際の詳細な指定を行います。
qperfにて行える確認コマンドを以下に示します。
Linux¶
# TCP帯域幅・待機時間測定
qperf {xxx.xxx.xxx.xxx} tcp_bw tcp_lat
# UDP待機時間測定
qperf {xxx.xxx.xxx.xxx} udp_lat quit
# TCP帯域幅/待機時間+メッセージサイズ(1~64K)測定
qperf –vvu –oo msg_size:1:64K:*2 -ub {xxx.xxx.xxx.xxx} conf tcp_bw tcp_lat
# UDP帯域幅/待機時間+メッセージサイズ(1~64K)測定
qperf –vvu –oo msg_size:1:64K:*2 -ub {xxx.xxx.xxx.xxx} conf udb_bw udp_lat
上記、コマンドを使用してVPNゲートウェイ経由のネットワーク性能、疎通性の確認が行えます。