疎通確認(インターネット接続ゲートウェイ/共通機能プール)¶
本書の目的、位置づけ¶
- IaaS Powered by VMware(以下、IPV)を申し込まれた際にインターネット接続ゲートウェイ、共通機能プールサービスとの接続テストはお客様にて実施頂く事となります。本書では接続テストを行なう際の手順並びにテスト観点を記載致します。接続テストを実施する際のIPV構成イメージを以下に記載します。
接続テスト観点¶
- IPVサービス開通後の接続テストは大きく2つの確認点があります。1.共通機能プールとの接続性2.インターネット接続性接続テスト構成における各種ポイントを以下に記載します。■ ポイント:O1,I1vApp(仮想マシン)が接続されているOvDCネットワーク(経路指定型)からのトラフィックに対しEdgeGatewayにてNAT設定を行う事で外接部と通信が可能となります。■ ポイント:R1,R2OvDCネットワーク(経路指定型)経路に関するファイアウォール設定を行う事でEdgeGateway外接部とのNorth-Southトラフィックが可能となります。*EdgeGatewayファイアウォール機能、IPアドレスセット接続テストに用いるポイントは以下となります。■ T1. OvDCネットワークゲートウェイOvDCネットワーク接続テスト用に利用します。■ T2. Google Public DNSインターネット接続テストに利用します。■ T3,4. IPV提供NTPサーバ(プライマリ、セカンダリ)共通機能プールとの接続テストに利用します。
テスト概要:①OvDCネットワーク接続テスト
テスト概要:②,③外部接続テスト
以降の手順では以下の設定を使用します。
構築の際にはご自身の構築環境に沿った設定を使用して下さい。
| 設定箇所 | 項目 | 設定内容 |
|---|---|---|
| OvDCネットワーク | OvDCネットワーク名 | Tutorial-ext-net001 |
| EdgeGateway-NAT | 1. NAT名前
2. 外部IP
3. 内部IP
|
1. Connection-inet
2. 100.113.128.130
3. 172.16.1.0/24
|
| vApp/仮想マシン | 1. vApp名前
2. 仮想マシン名前
3. 仮想マシンテンプレート名
|
1. tutorial-test-vapp01
2. tutorial-test-sv01
3. -
|
接続テスト事前準備¶
1. OvDCネットワークの作成¶
接続テストに用いるOvDCネットワークを作成します。
- vCDテナントポータルログイン後、[Top]->ナビゲーションメニュー[データセンター]を選択し作成対象仮想データセンター(Organization Virtual Data Center、以降OvDCと表記)カードをクリックします。
- 左ペインメニュー内[ネットワーク]->[ネットワーク]を選択[新規]をクリックし以下の設定にてOvDCネットワークを作成します。
| 項目 | 設定内容 |
|---|---|
| 範囲 | データセンターグループ
- 選択データセンターグループ:SP-datacentergroup
|
| ネットワークタイプ | 経路指定 |
| 全般 | - 名前:tutorial-ext-net001
- ゲートウェイCIDR:172.16.1.254/24
- 説明:インターネット接続用
|
| 固定IPプール | - ゲートウェイCIDR:172.16.1.254/24
- 固定IPプール:
|
| DNS | - プライマリDNS:
- セカンダリDNS:
- DNSサフィックス:
|
- [ネットワーク]画面内に新規作成したOvDCネットワークが表示されていることを確認します。
以上でOvDCネットワークの作成は完了となります。
OvDCネットワークを複数使用する場合には同一の手順で作成を行って下さい。
OvDCネットワーク機能に関する詳細手順は以下の関連ドキュメントを参照下さい。
1.1. OvDCネットワークの作成_関連ドキュメント¶
2. vAppの作成¶
接続テストに用いる仮想マシンを作成します。
仮想マシンはOvDC上に直接作成することも可能ですが、本サービスではvAppを活用することを推奨しております。
本手順ではOVAファイルを用いて新規vApp + 仮想マシンを作成します。
接続テストで用いるOVAファイルは事前に作成もしくはダウンロードして下さい。
本手順ではCANONICAL社が提供しているCloud利用を目的としたUbuntu OVAファイルを使用します。
- 使用OVAファイル:ubuntu-21.04-server-cloudimg-amd64.ova
OVAファイルを使用し、接続テスト用のvApp + 仮想マシンを作成します。
- vCDテナントポータルログイン後、[Top]->ナビゲーションメニュー[データセンター]を選択し作成対象OvDCカードをクリックします。
- 左ペインメニュー内[コンピュート]->[vApp]を選択[OVFからvAppを追加]をクリックし以下の設定にてvAppを作成します。
| 項目 | 設定内容 | |
|---|---|---|
| ソース | 参照 | ubuntu-21.04-server-cloudimg-amd64.ova |
| vApp名を選択 | 1. 名前
2. 説明
|
1. tutorial-test-vapp01
2. 接続テスト用
|
| リソースの構成 | 1. コンピュータ名
2. ストレージポリシー
|
1. tutorial-test-sv01
2. ※開通時の標準ストレージポリシーを選択してください。
|
| ネットワークの構成 | 1. 詳細ネットワークのワークフローに切り替える
2. プライマリNIC
3. ネットワーク
|
1. チェックしない
2. チェックしない
3. なし
|
| カスタムプロパティ | hostname ※他項目もありますが本手順ではこの項目のみを編集 | tutorial-test-sv01 |
| ハードウェアをカスタマイズ | 1. 仮想CPUの数
2. ソケットあたりのコア数
3. メモリの合計
|
1. 2
2. 1
3. 4
|
- [vApp]内に作成したvAppカードが表示されていることを確認します。作成したvAppを選択しvAppメニュー内[仮想マシン]を選択します。OVAからデプロイされた仮想マシン名が存在していることを確認します。
- 仮想マシンのデプロイが完了した為、vAppへ作成したOvDCネットワークを追加します。[vApp]画面上部メニュー[すべてのアクション]を選択し、[追加]->[ネットワークを追加]を選択します。[vAppへのネットワーク追加]ダイアログが表示されます。以下設定にてvAppにネットワークを追加します。
| 項目 | 設定内容 |
|---|---|
| タイプ | 組織VDCネットワーク
- 選択OvDCネットワーク:tutorial-ext-net001
|
- 仮想マシンのデプロイが完了した為、vAppへ作成したOvDCネットワークを追加します。[vApp]画面上部メニュー[すべてのアクション]を選択し、[追加]->[ネットワークを追加]を選択します。[vAppへのネットワーク追加]ダイアログが表示されます。以下設定にてvAppにネットワークを追加します。
- [vApp]メニュー内、[ネットワーク図]を選択します。vApp内に追加されたネットワーク名並びに仮想マシンに接続されていない事を確認します。[仮想マシン]画面へ遷移し、メニュー内[NIC]を選択します。[編集]を選択し、仮想マシンNICの編集を行います。編集項目を以下に記載します。
| 項目 | 設定内容 |
|---|---|
| 接続済み | チェック |
| ネットワーク | tutorial-ext-net001 |
| IP モード | 固定-手動 |
| IP アドレス | 172.16.1.1 |
- [仮想マシン]->[NIC]画面にて設定内容が反映されていることを確認します。NIC設定が完了した事を確認し、[仮想マシン]画面上部の[パワーオン]を実行します。
注釈
CANONICAL社が提供しているcloud-image用OVAファイルをデプロイした場合、パワーオン後に"blk_update_request:I/O Error"が発生します。
これはフロップードライブ デバイスモジュールがインストールされている為に発生するエラーとなります。
[WEBコンソールの起動]にて暫く待機するとログイン画面へ遷移しますのでログイン後に以下の措置を行ってデバイスモジュールを使用しない様に設定して下さい。
■ フロッピーデバイスモジュール無効化コマンド
Linux¶
sudo rmmod floppy
echo "blacklist floppy" | sudo tee /etc/modprobe.d/blacklist-floppy.conf
sudo dpkg-reconfigure initramfs-tools
- 仮想マシンが正常に起動したことを確認した後に接続テスト用に各種設定を行ないます。[仮想マシン]画面上部メニューの[WEBコンソールの起動]をクリックします。
- WEBコンソールが起動したことを確認し、[仮想マシン]メニュー内の[ゲストOSのカスタマイズ]を選択します。[ゲストOSのカスタマイズ]上部の[編集]を選択します。[ゲストプロパティの編集]内、[パスワードを指定]に表示されているパスワードを控えておきます。
注釈
デプロイしたOSのrootパスワードは[ゲストプロパティの編集]-[パスワードを指定]に生成されているパスワードとなります。
- 控えておいたパスワードを使用してWEBコンソールよりOSへログインを行ないます。ログイン後、以下接続テスト用に機能設定を行います。1. 共通機能プール接続テスト用…systemd-timesyncd2. インターネット接続用…IPアドレス設定
注釈
本手順ではOvDCネットワークのDHCP、固定IP-自動機能は使用せず、手動で設定を行なっています。
OvDCネットワークの固定IPプールを用いる場合、VMwareToolsが導入されている必要があります。
2.1. 共通機能プール接続テスト用NTP設定¶
本手順ではUbuntu標準のNTPクライアントを使用し共通機能プールにて提供しているNTPサービスとの接続性テストを行います。
NTPクライアントとしては"NTPd"もしくは"Chrony"が他にあります。
本手順ではUbuntu標準NTPクライアントとChronyでの設定例を記載します。
注釈
Chrony導入に関する手順は記載しません。
IPV提供共通機能プール利用時のNTP設定例のみとなります。
- systemd-timesyncd設定
"systemd-timesyncd.service"はUbuntuで既定で実行されているNTPクライアントサービスとなります。
設定の前に以下コマンドにてサービスが稼働している事を確認します。
■ "systemd-timesyncd.service"稼働確認コマンド
Linux¶
systemctl status systemd-timesyncd
"systemd-timesyncd.service"が稼働していることを確認し、NTPクライアントの設定を行っていきます。
設定対象となるのは前述のT3,4のIPアドレスを"systemd-timesyncd.service"設定ファイル(timesyncd.conf)に設定します。
設定箇所は"timesyncd.conf"内の[Time]セクションに定義されている『NTP』項目で定義します。
『NTP』項目には"ホスト名"もしくは"IPアドレス"を指定します。
複数のNTPサーバを指定する際には"ホスト名"もしくは"IPアドレス"を空白で区切ります。
注釈
共通機能プールにて提供しているのはNTPサーバとなります。
NTPプールは提供しておりません。
その為、設定項目は『NTP』となります。
■ timesyncd.conf設定
Linux¶
vi /etc/systemd/timesyncd.conf
### vi 設定内容
## 中略 ##
[Time]
#NTP=
## 追加項目
NTP=213.198.30.36 213.198.30.37
#FallbackNTP=ntp.ubuntu.com
#RootDistanceMaxSec=5
#PollINtervalMinSec=32
#PollIntervalMaxSec=2048
"timesyncd.conf"設定後、"systemd-timesyncd.service"の再起動を行ないます。
■ systemd-timesyncd.service再起動コマンド
Linux¶
systemctl restart systemd-timesyncd
"systemd-timesyncd.service"の再起動にてエラーが出力されないことを確認します。
"timedatectl"コマンドにて設定が反映されている事の確認を行ないます。
■ systemd-timesyncd.service設定反映確認コマンド1
Linux¶
timedatectl show
■ systemd-timesyncd.service設定反映確認コマンド2
Linux¶
timedatectl timesync-status
- 1.2. chronyd設定
"chrony"はCentOS 7/RedHatEnterpriseLinux 7でntpdの変わりに標準となったNTPサービスとなります。
設定の前に以下コマンドにてサービスが稼働している事を確認します。
■ "chrony"稼働確認コマンド
Linux¶
systemctl status chronyd
"chronyd.service"が稼働していることを確認し、NTPクライアントの設定を行っていきます。
設定対象となるのは前述のT3,4のIPアドレスを"chronyd.service"設定ファイル(chrony.conf)に設定します。
設定箇所は"chrony.conf"内に定義されている『server』項目で定義します。
『server』項目には"ホスト名"もしくは"IPアドレス"を指定します。
複数のNTPサーバを指定する際には改行し『server』項目を追加して設定します。
注釈
共通機能プールにて提供しているのはNTPサーバとなります。
NTPプールは提供しておりません。
その為、設定項目は『NTP』となります。
警告
RedHatではNTPサーバ設定では"2つのNTPサーバのみ"を利用することは推奨されません。
もし、1つ以上のNTPサーバが必要な場合には、4つのNTPサーバが最小として推奨されます。
その為、設定項目は『NTP』となります。
■ chrony.conf設定
Linux¶
vi /etc/chrony.conf
### vi 設定内容
# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
## 追加項目
server 213.198.30.36 iburst
server 213.198.30.37 iburst
# Record the rate at which the system clock gains/losses time.
driftfile /var/lib/chrony/drift
# Allow the system clock to be stepped in the first three updates
# if its offset is larger than 1 second.
makestep 1.0 3
## 中略 ##
# Specify directory for log files.
## 確認項目:ログの出力先ディレクトリ
logdir /var/log/chrony
# Select which information is logged.
#log measurements statistics tracking
## 追加項目:取得するログの種類を設定
log measurements statistics tracking
"chrony.conf"設定後、"chronyd.service"の再起動を行ないます。
■ chronyd.service再起動コマンド
Linux¶
systemctl restart chronyd
"chronyd.service"の再起動にてエラーが出力されないことを確認します。
"chronyc"コマンドにて設定が反映したNTPサーバとの接続状態を確認します。
■ chronyd.service設定反映確認コマンド
Linux¶
chronyc sources
2.2. OvDCネットワーク接続テスト用インターフェイス設定¶
Ubuntuではネットワーク管理に"netplan"を使用しています。
本手順で使用している仮想マシンはCANONICAL社が提供しているCloudイメージ用カスタマイズが施されたものを使用しています。
その為、デフォルト設定ファイルは『50-cloud-init.yaml』となります。
本手順ではUbuntu標準ネットワーク管理のnetplanでの固定IPアドレス設定例を記載します。
■ netplanデフォルトファイルの無効化コマンド
Linux¶
mv /etc/netplan/50-cloud-init.yaml /etc/netplan/50-cloud-init.yaml.org
■ netplan インターフェイス設定コマンド
Linux¶
vi /etc/netplan/01-netcfg.yaml
### vi 設定内容
network:
ethernets:
## インターフェイス名は環境により変動します。事前にご確認下さい。
ens192:
dhcp4: no
addresses: [172.16.1.1/24]
gateway4: 172.16.1.254
dhcp6: no
version: 2
netplan設定を行なった後、以下コマンドにて設定を反映します。
■ netplan 設定反映コマンド
Linux¶
netplan apply
以下、設定反映確認コマンドを実施し、ネットワークインターフェイスに固定IPアドレスが割り当てられていることを確認します。
■ netplan インターフェイス設定反映確認コマンド
Linux¶
ip addr
以上でvAppの作成ならびに仮想マシン準備は完了となります。
vApp機能に関する詳細手順は以下の関連ドキュメントを参照下さい。
2.3. vAppの作成_関連ドキュメント¶
3. EdgeGateway設定¶
インターネット接続ゲートウェイ ↔ EdgeGateway間での通信を可能とさせる為、EdgGatewayに対して"NAT(SNAT/DNAT)"および"ファイアウォール ルール追加"を行います。
本設定を行う事によりOvDCネットワークからインターネットならびに共通機能プール提供サービスを利用可能となります。
3.1. NAT作成¶
- vCDテナントポータルログイン後、[Top]->ナビゲーションメニュー[データセンター]を選択し作成対象OvDCカードをクリックします。
- 左ペインメニュー内[ネットワーク]->[エッジ]を選択。設定対象エッジをクリックします。
- [エッジ]メニュー内[サービス]->[NAT]を選択。上部メニューの[新規]をクリックし以下の設定にてNATを作成します。
| 項目 | 設定内容 |
|---|---|
| 名前 | Connection-inet |
| 状態 | 有効化 ※右にスライド(緑) |
| ログ記録 | 無効化 ※左にスライド(灰色) |
| インターフェイスタイプ | SNAT |
| 外部IP | 100.133.128.130 ( 脚注参照 ) |
| 内部IP | 172.16.1.0/24 |
| ターゲットIPアドレス | - |
脚注
| [1] | (i)アイコンにて使用可能な外部IPアドレスを確認する事が可能です。 |
- [NAT]画面内に新規作成したNAT設定名が表示されていることを確認します。
詳細は EdgeGateway操作手順_ネットワークアドレス変換(NAT)設定 を参照下さい。
3.2. ファイアウォール ルール作成¶
- vCDテナントポータルログイン後、[Top]->ナビゲーションメニュー[データセンター]を選択し作成対象OvDCカードをクリックします。
- 左ペインメニュー内[ネットワーク]->[エッジ]を選択。設定対象エッジをクリックします。
- ファイアウォールルール作成に必要となるIPアドレスセットを先に作成します。[エッジ]メニュー内[セキュリティ]->[IPアドレスセット]を選択。上部メニューの[新規]をクリックし以下の設定にてIPアドレスセットを作成します。
| 項目 | 設定内容 |
|---|---|
| 名前 | 172.16.1.0/24 |
| IPアドレス | 172.16.1.0/24 |
- [IPアドレスセット]画面内に新規作成したIPアドレスセット名が表示されていることを確認します。
- [エッジ]メニュー内[サービス]->[ファイアウォール]を選択。上部メニューの[ルールの編集]をクリックします。[ルールの編集]画面が表示され、上部の[最上部に新規作成]をクリックし以下の設定にてルールの追加を行います。
| 項目 | 設定内容 |
|---|---|
| 名前 | external-100.133.128.128/28 |
| 状態 | 有効化 ※右にスライド(緑) |
| ソース | ※IPアドレスセットより"172.16.1.0/24"を選択 |
| ターゲット | [任意のターゲット]有効化 ※右にスライド(緑) |
| アクション | 許可 |
| IP プロトコル | IPv4 |
| ログ記録 | 無効化 ※左にスライド(灰色) |
- [ファイアウォール]画面内に新規作成したルール名が表示されていることを確認します。
接続テスト¶
事前準備が完了した後に接続テストを実施します。
テストはOvDC環境内から順に外部接続へ実施します。
1. OvDCネットワーク接続テスト¶
本テストでOvDC内のネットワーク接続性を確認します。
本テストではPing(ICMP)での疎通性確認を行ないます。
疎通性確認によるテスト経路を以下に図示します。
接続性テスト:①OvDCネットワーク接続テスト経路
2. 共通機能プール接続テスト¶
本テストでOvDC内から共通機能プールへのネットワーク接続性を確認します。
本テストではPing(ICMP)およびNTPDでの疎通性確認を行ないます。
疎通性確認によるテスト経路を以下に図示します。
接続性テスト:②共通機能プール接続テスト経路
NTPDにて共通機能プール提供のNTPサーバから時刻同期が正常に行なわれていることを確認します。
"timedatectl"コマンドにて設定が反映されている事の確認を行ないます。
■ systemd-timesyncd.service時刻同期確認コマンド
Linux¶
timedatectl timesync-status
3. インターネット接続テスト¶
本テストでOvDC内からインターネットへのネットワーク接続性を確認します。
本テストではPing(ICMP)での疎通性確認を行ないます。
疎通性確認によるテスト経路を以下に図示します。
接続性テスト:③インターネット接続テスト経路