IPVマルチテナントアーキテクトガイド¶
IPVでは、複数のOvDCに業務システム/アプリケーションを分散配備し運用/維持管理を行うことが可能です。
本方式を「マルチテナント」と定義します。
マルチテナント方式では、複数のユーザーサービス/業務システム領域毎にOvDC(以降テナントと表記)を分離し、使用するリソース領域や運用コストを大幅に低減する方式となります。
マルチテナント方式を採用することで1つのOrg提供リソースを複数の管理ユーザーで共有することができます。
また、管理ユーザー単位でのアクセス制御を行う事でセキュアな運用が可能です。
マルチテナント方式構成を図示化すると以下の様になります。
この設計方針により業務システム、業務アプリケーションサービス単位でのサイロ化が可能となりワークロードを適切に分離する事が可能となります。
また、テナント間ワークロードトラフィックはネットワーク仮想アプライアンスを用いる事で適切な制御が可能となり、最小限のパイロットライト構成を組むことが可能となります。
IPVでは仮想ネットワークアーキテクチャとして「ハブ&スポーク方式」でのご利用を推奨します。
ハブ&スポーク方式は「ハブOvDC」にて全ての情報経路を集約し、個々の「スポークOvDC」に向けて情報を配送する仕組みとなります。
このネットワークトポロジにより各OvDCはプロジェクト、業務アプリケーションレベルで分離することが可能となりセキュリティ要件を効率的に管理することが可能となります。
スポークOvDC間通信を有効にするには、ハブOvDC内にネットワーク仮想アプライアンス(NVA)または次世代ファイアウォール(NGFW)を配備しEdgeNodeにて提供するデータセンターグループ所属OvDCネットワークを組み合わせることで、スポーク間トラフィック用のゲートウェイとして機能させることが可能です。
こうすることでIPV上の仮想ネットワークトラフィックを一元管理することが可能となります。
本ガイドではマルチテナント構成をハブ&スポーク方式で構築するための概要を記載致します。
構成を図示化すると以下の様になります。
目次
構築ガイド¶
本ガイドでは、マルチテナント構成を構築しテナント内ネットワークを仮想ネットワークアプライアンスを用いてハブ&スポークネットワークを構築する例を記載します。
本構成を採用する場合のメリットは以下となります。
採用メリット¶
- テナント単位でサイロ化することにより適切なテナント内ワークロードトラフィックを配備することが可能となり、柔軟で高度なクラウドインフラストラクチャネットワーク構成が可能
- 外部接続サービス(インターネット接続GW、Flexible InterConnect(以下、FIC)サービス)単位にテナントを分けることが可能となり、偶発的な漏洩のリスクが軽減可能
- テナント毎のユーザーアクセス制御を実装することが可能となりvApp制御と組み合わせる事でよりセキュアに、ユーザーによる不正な操作、操作ミスなどの抑制が可能
構築後の構成は以下図を参照下さい。
ネットワーク仮想アプライアンスを適切に配備・構成することによりIPVとの拠点間VPNゲートウェイ化も可能です。
マルチテナント構成構築留意事項¶
マルチテナントを組む際にはテナントの用途を定め、テナント内の論理ネットワーク構成を適切に設計する必要があります。
テナント内論理ネットワークを構成する上での留意事項には以下があります。
- 1)外部接続ネットワークとの接続を要するテナントIPVが提供するインターネット接続GW、Flexible InterConnect(以下、FIC)サービスを使用するテナントではOrg毎に生成されたEdgeNode(T0/T1-Gateway)を外部接続ネットワークへ接続する為のGatewayとして利用します。EdgeNodeが提供するファイアウォール、ロードバランサー機能は外部接続ネットワークとの接続に特化させることでセキュリティポイントを分離することが可能です。また、ネットワーク仮想アプライアンスを導入頂く事により高度で柔軟なネットワークを構成することが可能となります。
- 2)テナント間ネットワークを構成する場合テナント間ネットワークを構成する場合、ルートテーブルはT1-Gatewayが提供するデータセンターグループ機能を用いて実現します。これによりEdgeNodeに所属している"OvDCネットワーク[経路指定]"はテナント間ネットワークとしてご利用が可能となります。この際にネットワーク仮想アプライアンスを導入頂く事によりセグメント延伸が可能となりテナント間での同一セグメント利用が可能となります。
- 3)テナント内ネットワークを構成する場合テナント内に配備する業務システムワークロード用とシステムコンポーネント間ワークロードトラフィックはOvDCネットワーク(隔離型)、vAppネットワークを利用する事でシステムレベルでのサイロ化が可能です。システムコンポーネント毎に接続ポイントを分離することでセキュアに構築することが可能となり、業務システムのワークロードを配備先のテナント内に留め、他テナントおよび外部接続ネットワークとの境界に当たるEdgeNodeへ伝播することを防ぐことが可能です。ただし、OvDCネットワーク[隔離型]はルートテーブルを保持することができない為、ネットワーク仮想アプライアンス等を用いてOvDCネットワーク[隔離型]を適切に運用する必要があります。
マルチテナント構築時のEdgeNodeおよびOvDCネットワーク[経路指定]設計における考慮点を以下図に示します。
設計時の参考にして下さい。
テナント内論理ネットワークを構成する上でのOvDCネットワーク[隔離型]設計における考慮点を以下図に示します。
構築手順¶
前提条件
使用するユーザーは、"Org Admin"です。
IPVご利用開始時に標準で用意されているロール、ロールに紐づいている権限は以下を参照ください。
1. 事前準備¶
仮想マシンの作成で使用するISO形式の仮想アプライアンスイメージをアップロードします。
OSインストーラー、および仮想マシンイメージファイルは、カタログへ保存します。
1.2. カタログの作成¶
vCDテナントポータルへログインし、Topメニューより[ライブラリ]をクリックします。
[コンテンツライブラリ]->[カタログ]をクリックします。
[新規]をクリックし、プライベートカタログを作成します。
カタログの作成完了後、[カタログ]に作成したカタログが表示されることを確認します。
1.3. 仮想アプライアンスイメージ(ISOファイル)のアップロード¶
[コンテンツライブラリ]->[メディアとその他]をクリックします。
[追加]をクリックし、下表の設定にてISOファイルをアップロードします。
| 項目 | 設定内容 |
|---|---|
| カタログ | 作成したプライベートカタログ |
| 名前 | vyos-rolling-latest.iso |
| アップロードするメディアを選択 | vyos-rolling-latest.iso |
ISOファイルのアップロード完了後、[メディアとその他]にアップロードしたISOファイルが表示されることを確認します。
1.4. vAppテンプレートの作成¶
[コンテンツライブラリ]->[vAppテンプレート]をクリックします。
[新規]をクリックし、下表の設定にてOVAファイルからvAppテンプレートを作成します。
| 項目 | 設定内容 |
|---|---|
| 1 ソースを選択参照 | 参照:OVAファイル(ubuntu-21.04-server-cloudimg-amd64.ova)を指定
ファイル:ubuntu-21.04-server-cloudimg-amd64.ova
|
| 2 vAppテンプレート名の選択 | 名前:Ubuntu-21.04-sv
説明:
カタログ:作成したプライベートカタログ
|
vAppテンプレートの作成については以下のチュートリアルを参照下さい。
vAppテンプレートの作成完了後、[vAppテンプレート]に作成したvAppテンプレートが表示されることを確認します。
2. OvDCネットワークの作成¶
ここでは2種類のOvDCネットワークを使用します。
利用可能なOvDCネットワークを適切に使用することでワークロード分離、セキュア化が可能となります。
本ガイドではスポークテナント間をL2VPNトンネルにて接続し、マルチテナント環境でのワークロード延伸を実現する例を記載します。
L2VPNトンネルの全体概要は以下となります。
2.1. 利用OvDCネットワークについて¶
本例ではスポーク間接続OvDCネットワークを複数用いる場合を想定しています。
スポーク間接続OvDCネットワークは単一でも問題ありません。
| 本ガイドでの名称 | 説明 |
|---|---|
| スポーク間接続用OvDCネットワーク | VPNゲートウェイ間接続で使用するOvDCネットワークです。 |
| ワークロードネットワーク | 延伸対象のOvDCネットワークです。 |
スポーク間接続用のOvDCネットワークはEdge Gatewayに接続された経路指定型OvDCネットワークを利用します。
こちらのOvDCネットワークはVPNゲートウェイ間にてトンネル化する際に使用されます。
ワークロード用ネットワークはテナント外との疎通を行わせない為、隔離型OvDCネットワークとして構築します。
隔離型OvDCネットワークにすることによりテナント内に閉じたワークロードネットワークとなります。
注釈
ワークロード用OvDCネットワーク作成時ゲートウェイCIDRが重複しない様セグメント設計を行って下さい。
2.2. スポーク間接続用ネットワークの作成¶
Topメニューより[データセンター]をクリックします。
ネットワークを作成する[仮想データセンターカード]をクリックします。
[ネットワーク]->[ネットワーク]をクリックします。
[新規]をクリックし、下表の設定にて EdgeGatewayと接続する OvDCネットワークを作成します。
| 項目 | 設定内容 |
|---|---|
| 1 範囲 | データセンターグループ |
| 2 ネットワークタイプ | 経路指定 |
| 3 全般 | 名前:vpn-10.1.1.0
ゲートウェイCIDR:10.1.1.254/24
説明:
|
| 4 固定 IP プール | ゲートウェイCIDR:
固定IPプール:
|
| 5 DNS | プライマリDNS:
セカンダリDNS:
DNSサフィックス:
|
| 項目 | 設定内容 |
|---|---|
| 1 範囲 | データセンターグループ |
| 2 ネットワークタイプ | 経路指定 |
| 3 全般 | 名前:vpn-10.1.2.0
ゲートウェイCIDR:10.1.2.254/24
説明:
|
| 4 固定 IP プール | ゲートウェイCIDR:
固定IPプール:
|
| 5 DNS | プライマリDNS:
セカンダリDNS:
DNSサフィックス:
|
OvDCネットワーク追加設定完了後、[ネットワーク]に作成したOvCDCネットワークが表示されることを確認します。
2.3. ワークロードネットワークの作成¶
Topメニューより[データセンター]をクリックします。
ネットワークを作成する[仮想データセンターカード]をクリックします。
[ネットワーク]->[ネットワーク]をクリックします。
[新規]をクリックし、 EdgeGatewayと接続しないOvDC内に閉じた OvDCネットワークを作成します。
| 項目 | 設定内容 |
|---|---|
| 1 範囲 | 現在の組織仮想データセンター |
| 2 ネットワークタイプ | 隔離 |
| 3 全般 | 名前:work-192.168.0.0
ゲートウェイCIDR:192.168.0.254/24
説明:
|
| 4 固定 IP プール | ゲートウェイCIDR:
固定IPプール:
|
| 5 DNS | プライマリDNS:
セカンダリDNS:
DNSサフィックス:
|
| 項目 | 設定内容 |
|---|---|
| 1 範囲 | 現在の組織仮想データセンター |
| 2 ネットワークタイプ | 隔離 |
| 3 全般 | 名前:work-192.168.0.0
ゲートウェイCIDR:192.168.0.253/24
説明:
|
| 4 固定 IP プール | ゲートウェイCIDR:
固定IPプール:
|
| 5 DNS | プライマリDNS:
セカンダリDNS:
DNSサフィックス:
|
OvDCネットワーク追加設定完了後、[ネットワーク]に作成したOvCDCネットワークが表示されることを確認します。
また、延伸先テナント環境では作成したOvDCネットワーク以外が存在しないことも確認します。
2.4. OvDCネットワーク拡張[セグメント プロファイル設定]¶
テナント間延伸する際にブリッジ機能を用いたVPNコネクションを使用するためOvDCネットワーク拡張機能であるセグメント プロファイルを使用します。
この機能を用いる事により延伸先テナント環境とのVPNコネクションを実現します。
機能利用時のイメージは以下となります。
OvDCネットワークをカスタマイズし"MACアドレスの偽装転送等のセキュリティポリシー"を有効化します。
Topメニューより[データセンター]をクリックします。
本環境を構築する仮想データセンターカードをクリックします。
[ネットワーク]->[ネットワーク]をクリックします。
以下の対象OvDCネットワークをクリックします。
[セグメント プロファイル]->[編集]をクリックします。
[MACアドレス検出]->[mac-learning-enabled]を選択し、mac-learning-enabled機能を有効化します。
設定対象OvDCネットワークは以下となります。
| 対象OvDCネットワーク | 用途 |
|---|---|
| スポーク間接続用ネットワーク | VPNゲートウェイ間接続で使用するOvDCネットワーク |
| ワークロードネットワーク | 延伸対象OvDCネットワーク |
[セグメント プロファイル]に設定が反映されたことを確認します。
3. ワークロード延伸用VPNゲートウェイの構築¶
ここでは延伸用VPNゲートウェイとしてオープンソース仮想ルーターアプライアンスである「VyOS」を使用します。
VPNゲートウェイアプライアンスは他の商用製品でも同様に利用が可能です。
3.1. 仮想ルーターアプラインスのデプロイ¶
3.1.1. ワークロード延伸VPNゲートウェイ用vAppの作成¶
Topメニューより[データセンター]をクリックします。
ネットワークを作成する[仮想データセンターカード]をクリックします。
[コンピュート]->[vApp]をクリックします。
[新規]をクリックし[新規vApp]をクリックします。
下表の内容でvAppを作成します。
| 項目 | 設定内容 |
|---|---|
| 名前 | l2vpn-gw-site-A |
| 説明 | ‐ |
| パワーオン | チェックなし |
| 項目 | 設定内容 |
|---|---|
| 名前 | l2vpn-gw-site-B |
| 説明 | ‐ |
| パワーオン | チェックなし |
3.1.2. ワークロード延伸VPNゲートウェイ用vAppへのネットワークの追加¶
作成したvAppにネットワークを追加します。
vAppのリストより"l2vpn-gw-site-{n}"カードを探し、カードの下部にある[アクション]をクリックします。
表示されたメニューリストから[追加]->[ネットワークの追加]をクリックします。
下表の設定にてvAppへネットワークを追加します。
3.1.3. ワークロード延伸VPNゲートウェイ用仮想マシンの作成¶
事前準備にてアップロードした、ISO形式の仮想アプライアンスイメージを使用して、ワークロード延伸VPNゲートウェイ用仮想マシンを作成します。
[コンピュート]->[vApp]をクリックします。
vAppのリストより{vApp名}カードを探し、カードの下部にある[アクション]をクリックします。
表示されたメニューリストから[追加]->[仮想マシンの追加]をクリックします。
[仮想マシンを{vApp名}に追加]ダイアログが表示されます。
[仮想マシンの追加]をクリックし、下表の設定にてvAppへ仮想マシンを作成します。
| 項目 | 設定内容 |
|---|---|
| 名前 | ovdc-{n}-rt01 |
| 説明 | ‐ |
| タイプ | 新規にチェック |
| OSファミリ | その他 |
| オペレーティング システム | FreeBSD 12 (64bit) |
| ブートイメージ | [カタログ]->[メディアその他]にアップロードした"vyos-rolling-latest.iso"を選択 |
| コンピュート | 1. サイズの選択:事前定義済みのサイズ変更オプションにチェック
2. コンピュートサイズ:中にチェック
|
| ストレージ | 1. ストレージポリシー:仮想マシンのデフォルトポリシー
2. サイズ: 16GB
|
| カスタムストレージポリシーの使用 | チェックなし
|
| ネットワーク | 3本のOvDCネットワークと接続するため、2つのNICを追加します。
NIC No: 1
ネットワーク: vpn-10.1.{n}.0
ネットワークアダプタ タイプ: E1000
IPモード: 固定 - 手動
IPアドレス: 10.1.{n}.253
プライマリNIC: チェック
NIC No: 2
ネットワーク: work-192.168.0.0
ネットワークアダプタ タイプ: E1000
IPモード: 固定 - 手動
IPアドレス: 192.168.0.{OvDC#1:252,OvDC#2:251}
プライマリNIC:
|
[OK]をクリックすることで、仮想マシンの構築処理が実行されます。
作成完了後、[l2vpn-gw-site-{n}カード]->[ネットワーク図]をクリックし仮想マシンが作成されていること、仮想マシンが3つのOvDCネットワークに紐づいていることを確認します。
3.2. テナント間VPNコネクション(L2TPv3)の構築¶
テナント間VPNコネクション(L2TPv3)を構築します。
L2VPNトンネルの設定概要は以下となります。
以下にサンプルConfigを記載します。
注釈
デプロイ後KeyBoard設定は英字となっています。
SSH接続等を行う際は注意して下さい。
■ 基本設定コマンド
Linux¶
## VyOSのハードディスクインストールを行っていることが前提
configure #設定権限へ移行
set system host-name {ホスト名}
delete system ntp server time{1,2,3}.vyos.net #デフォルト設定の削除措置
set system ntp server {NTPサーバー}
set service ssh port 22
## Syslogサーバーが存在数場合
set system syslog host {syslogサーバ} facility {ファシリティ} level {ログレベル}
set system login user admin authentication plaintext-password {パスフレーズ}
■ インターフェイス設定
Linux¶
## デフォルトゲートウェイ設定
set protocols static route 0.0.0.0/0 next-hop {VPN延伸用IPセグメントゲートウェイアドレス}
## NIC0設定
set interfaces ethernet eth0 description {"インターフェイス説明"}
set interfaces ethernet eth0 address {"VPN延伸用IPセグメント/サブネット{xx}"}
## NIC1設定
set interfaces ethernet eth1 description {"インターフェイス説明"}
## L2TPインターフェイス設定
set interfaces l2tpv3 {"L2TP用インターフェイス"}
set interfaces l2tpv3 {"L2TP用インターフェイス"} description {"インターフェイス説明"}
set interfaces l2tpv3 {"L2TP用インターフェイス"} source-address {"eth0アドレス"}
set interfaces l2tpv3 {"L2TP用インターフェイス"} remote {"対向延伸用OvDCネットワーク接続インターフェイスIPアドレス"}
set interfaces l2tpv3 {"L2TP用インターフェイス"} tunnel-id {"ID"}
set interfaces l2tpv3 {"L2TP用インターフェイス"} peer-tunnel-id {"対向ID"}
set interfaces l2tpv3 {"L2TP用インターフェイス"} session-id {"ID"}
set interfaces l2tpv3 {"L2TP用インターフェイス"} peer-session-id {"対向ID"}
set interfaces l2tpv3 {"L2TP用インターフェイス"} source-port {"使用ポート"}
set interfaces l2tpv3 {"L2TP用インターフェイス"} destination-port {"対向ポート"}
set interfaces bridge br0 address {"延伸セグメント接続側ゲートウェイアドレス/xx"}
set interfaces bridge br0 member interface eth1 #延伸セグメント接続インターフェイスのブリッジへの追加
set interfaces bridge br0 member interface l2tpeth0 #ブリッジ対象L2TPインターフェイスのブリッジへの追加
commit
exit
■ インターフェイス設定確認
Linux¶
## インターフェイス設定確認
show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
# インターフェイス設定内容表示
## ブリッジインターフェイス設定確認
show bridge br0
bridge name bridge id STP enabled interfaces
## ブリッジインターフェイス_L2TPv3インターフェース接続確認
show bridge br0 macs
port no mac addr is local? ageing timer
# インターフェイス設定内容表示
VyOSにてVLANタグを利用したい場合には以下コマンドにて実現することが可能です。
■ VLANインターフェイス設定
Linux¶
## VLAN設定
set interfaces ethernet eth1 vif {VLAN_ID}
両環境にてVPNゲートウェイを構築後、Pingにて疎通確認を行って下さい。
3.3. VPNコネクション疎通確認用VM構築¶
VPNコネクション疎通確認用VMを構築します。
事前準備にてアップロードした、仮想マシンイメージファイルを使用して、VPNコネクション疎通確認用VM用仮想マシンを作成します。
[コンピュート]->[vApp]をクリックします。
vAppのリストより{vApp名}カードを探し、カードの下部にある[アクション]をクリックします。
表示されたメニューリストから[追加]->[仮想マシンの追加]をクリックします。
[仮想マシンを{vApp名}に追加]ダイアログが表示されます。
[仮想マシンの追加]をクリックし、下表の設定にてvAppへ仮想マシンを作成します。
注釈
qperf導入用に一時的にインターネット接続が可能なOvDCネットワークにNIC接続して下さい。
qperf導入後、「netplan」コマンドにて設定を変更して下さい。
| 項目 | 設定内容 |
|---|---|
| 名前 | ovdc-{n}-mon01 |
| 説明 | ‐ |
| タイプ | テンプレートから |
| テンプレート | Ubuntu-21.0.4-SV ※tutorial-catalog |
| ストレージ | |
| コンピュート | 項目なし
|
| NIC | 項目なし※別途、仮想マシン構成設定にて追加するため、空欄となります。
|
| カスタムプロパティ | 項目なし
|
| エンドユーザー使用許諾契約書(EULA) | 項目なし
|
[OK]をクリックし、仮想マシンを構築します。
作成完了後、[vApp]->[l2vpn-gw-site-{n}カード]をクリックし、仮想マシン内に追加した仮想マシン名が表示されていることを確認します。
仮想マシン名をクリックし、対象仮想マシン画面へ遷移します。
[ハードウェア]->[NIC]をクリックします。
[編集]をクリックし、下表の設定にてNICを追加します。
| NIC No | ネットワーク | ネットワークアダプタ タイプ | IPモード | IPアドレス | プライマリNIC |
|---|---|---|---|---|---|
| 0 | work-192.168.0.0 | VMXNET3 | 固定 - 手動 | 192.168.0.{OvDC#1:1,OvDC#2:2} | ‐ |
[ハードウェア]->[コンピュート]をクリックしメモリの増設を実施します。
必要に応じてCPU、メモリの増設を行って下さい。
下部にある"メモリ"欄の[編集]をクリックし、変更します。
上部メニューの[パワーオン]をクリックします。
仮想マシンが起動したら、上部メニュー[WEBコンソールを起動]をクリックします。
別ウィンドウにて、WEBコンソールが起動します。
WEBコンソールを用いて仮想マシンにログインを行い、デスクトップが正常に表示されるのを確認します。
下表のログイン情報にてOSへログインします。
| ログインID | パスワード |
|---|---|
| root | [ゲストOSのカスタマイズ]->[編集]、[ゲストプロパティの編集]->[パスワードを指定]に記載された値 |
3.3.1.仮想マシンのネットワーク設定¶
使用しているOVA(OVF)では"cloud-init"による設定がなされているため、テナント環境に沿ったネットワーク回りの再設定を実施します。
Ubuntuでは、ネットワーク設定として「netplan」を使用して設定を行います。
※「50-cloud-init.yaml」が仮想マシン内に生成されています。これは、"cloud-init"がOSデプロイ時に使用するファイルとなります。このファイルをコピーしてネットワーク設定を行います。
以下のコマンドにて仮想マシンのネットワーク設定を行います。
注釈
キーボード設定の変更およびフロッピーモジュールの削除を行う場合は以下を実施下さい。
■ フロッピーデバイスモジュール無効化コマンド
Linux¶
sudo rmmod floppy
echo "blacklist floppy" | sudo tee /etc/modprobe.d/blacklist-floppy.conf
sudo dpkg-reconfigure initramfs-tools
■ キーボード設定変更(日本語)コマンド
Linux¶
sudo dpkg-reconfigure keyboard-configuration
# 設定変更用GUIに遷移します
#1. Keyboard model項目にて"Generic 105-key(Intl)PC"を選択
#2. country of origin for the keyboard項目にて"Japanese"を選択
#3. keyboard layout項目にて"Japanese"を選択
#4. 以降、各キー、ファンクション設定を必要に応じて項目を選択
# 設定変更用GUIが終了した後に再起動をすることでKeyBoard設定が変更されます
reboot
■ 仮想マシンネットワーク設定
Linux¶
# 変更前のネットワーク設定を確認します
ip addr show
# 出力結果
# 0: lo: ~
# 1: ens{No}: ~ ← ens{No}が仮想マシンに追加したNICのデバイス名となります。
#
# 50-cloud-init.yamlファイルをコピーして01-netcfg.yamlファイルを作成します。
sudo cp /etc/netplan/50-cloud-init.yaml /etc/netplan/01-netcfg.yaml
# 50-cloud-init.yamlファイルをリネームします。
sudo mv /etc/netplan/50-cloud-init.yaml /etc/netplan/50-cloud-init.yaml.org
# 01-netcfg.yamlファイルを編集します。
sudo vi /etc/netplan/01-netcfg.yaml
# vi 編集内容
# This file is generated from information provided by the datasource.
## 中略
# network: {config: disabled}
network:
ethernets:
ens{xxx}: # デバイス名は"ip addr show"コマンドにて確認したものとなります。
dhcp4: no
addresses: [{テナントポータルにて指定したIPアドレス}/{サブネット}]
gateway4: {VPNゲートウェイブリッジインターフェイスIPアドレス}
nameservers:
addresses: # DNSサーバー
dhcp6: no
version: 2
# netplan設定内容を反映します。
netplan apply
# 変更が反映されていることを確認します
ip addr show
以上で、テナント間L2VPNネットワーク設定が完了となります。
3.3.2. 疎通確認用ツールの導入、設定¶
qperfパッケージを導入します。
qperf以外にiperf、netperf等でも疎通確認が行えます。
本ガイドではqperfを採用しています。
Linux¶
# パッケージの最新化を行います。
sudo apt update -y
sudo apt upgrade -y
# qperfパッケージ導入。
sudo apt install qperf -y
以上で、パッケージ導入の事前準備が完了です。
qperfを用いて疎通確認を行います。
qperfは2ノード間(クライアント/サーバ)のネットワーク帯域幅および待機時間を測定します。
本ツールはTCP/IPだけでなくRDMAトランスポートの測定も可能です。
取得可能な測定指標はTCPに限らずUDP、SCTPも対象となります。
測定の際にはサーバーとする仮想マシン上で「qperf」を実行し、クライアント側で確認する際の詳細な指定を行います。
qperfにて行える確認コマンドを以下に示します。
Linux¶
# TCP帯域幅・待機時間測定
qperf {xxx.xxx.xxx.xxx} tcp_bw tcp_lat
# UDP待機時間測定
qperf {xxx.xxx.xxx.xxx} udp_lat quit
# TCP帯域幅/待機時間+メッセージサイズ(1~64K)測定
qperf –vvu –oo msg_size:1:64K:*2 -ub {xxx.xxx.xxx.xxx} conf tcp_bw tcp_lat
# UDP帯域幅/待機時間+メッセージサイズ(1~64K)測定
qperf –vvu –oo msg_size:1:64K:*2 -ub {xxx.xxx.xxx.xxx} conf udb_bw udp_lat
上記、コマンドを使用してVPNゲートウェイ経由のネットワーク性能、疎通性の確認が行えます。
4. テナント間でのNAT利用について¶
マルチテナントを組む際にテナント間通信にNATを利用するケースがあると思います。
テナント間でのNAT通信を構成する際には以下のの留意事項があります。
- T1-GatewayでのNAT折り返しはできません。EdgeGatewayにて提供するNAT機能の適用ポイントはT1-Gateway <-> T0-Gatewayとなる為、一度External Networkまで通信を伸ばす必要があります。
- NAT用グローバルIPアドレスが必要です。T0-Gateway - External Networkにて通信の折り返しを行う為、グローバルIPアドレスが必要となります。
テナント間NATの利用設定概要は以下となります。
