IBM Cloud 101 - #4 Virtual Private Cloud (VPC) を知る

Transcript

1. IBM Cloud 101 IBM Cloud 101 - #4 Virtual Private

   Cloud (VPC) を知る IBM Tech/Developer Dojo 101

2. 2 ©︎ 2022 IBM Corporation 本日の講師紹介 2 ©︎ 2022 IBM

   Corporation 写真 ▪氏名：小野田 安宏 / Yasuhiro Onoda ▪所属： 日本アイ・ビー・エム株式会社 テクノロジー事業本部 シニア・カスタマー・サクセス・マネージャ ( IBM Cloud ) ➢ IBM Cloud CSM のご紹介 • IBM Cloud の CSM は、お客様のビジネスに IBM Cloud がより 貢献できるよう技術面でご支援させていただくことで、ビジネスの成 功に向けた取り組みをお手伝いさせていただくことが役割です。 • 日々 IBM Cloud をお使いいただく中での効率化や新しいチャレン ジに対するご支援を通じて、お客様に IBM Cloud の魅力を実感 いただけるよう活動してまいります。 ➢ 略歴 • IBM SmartCloud (10円クラウド) サポート(2011) • モニタリング/死活監視 • Softlayer 日本語サポートの立ち上げに参加 • 2014/12-2015/05 • 2020 年より Qiita で PowerVS IBM i の情報を発信 @6onoda https://ibm.biz/PowerVS-IBMi • IBMユーザー研究会 サポーター IBM Community Japan - ナレッジモール研究 B-06 : PowerVirtualServer(IBMi)を効果的に活用する • 2021/10 より Public Cloud CSM IBM Cloud をご利用いた だいているお客様のチャレンジをご支援

3. 3 ©︎ 2022 IBM Corporation IBM Cloud 101 シリーズについて ➢

   IBM Cloud の初学者の方向けです ➢ 基本的な知識や便利な使い方の習熟が目的です ➢ 実際の操作のデモも交えた講義形式の講座です ➢ IBM Cloud を利用するうえで「まず押さえておいた方が良い」トピックを取り上げます シリーズ テーマ 時期 第1回 コンソール / CLI 開催済み 第2回 IAM 開催済み 第3回 IaaS / クラシック・インフラストラクチャ 開催済み 第4回 IaaS / VPC 7月20日 第5回 IaaS / ネットワーク 8月24日 第6回 IBM Cloud の管理機能 9月上旬 IBM Cloud 101 シリーズ ※表の内容は予定であり、今後変更となる可能性があります IBM Cloud のより詳しい知識を習得するには、『柔らか層本』をご活用ください。 今回

4. 4 ©︎ 2022 IBM Corporation 本日のアジェンダ ➢ 今回は、IBM Cloud の「クラシック・インフラストラクチャ」

   をテーマとして取り上げます。 ➢ 「クラシック・インフラストラクチャ」 は IBM Cloud IaaS 基盤 のとなった Softlayer社の IaaS 環境を発展させ たものです。 ➢ この講義では「クラシック・インフラストラクチャ」 の基本を学びます。 タイムテーブル 内容 14:00-14:05 オープニング 14:05-14:10 クラシック・インフラストラクチャとVPCの位置づけ 14:10-14:25 VPC 概説(柔らか層本をお借りして) 14:25-14:50 VPC 構築実践チュートリアル 14:50-14:55 QA 14:55-15:00 まとめ＆クロージング 本日のアジェンダ ※進捗状況により予定より早く終了する場合があります

5. 5 ©︎ 2022 IBM Corporation 何回目の IBM Cloud 101 ですか?

6. 6 ©︎ 2022 IBM Corporation IBM Cloud とは 企業の“Journey to

   Cloud”を支えるのがIBM Cloudです。VMWare vSphere や Power AIXのよ うな現行システムのクラウド移行からクラウドネイティブによるDX実現までサポートします。 モノリスに 実装された レガシーアプリ レガシーアプリ をIBM Cloudへ そのまま移行 コンテナにより リファクタ リングされた レガシーアプリ Cloud Hosted VMware VM / PowerVMを パブリッククラウドにLift & Shiftし、迅速な速度と スケール・メリットを実現 Containerized アプリを再設計せずに、ステートレス なアプリをコンテナ化。ステートフル なアプリはそのままに。 既存アプリのクラウド・サービス連携 とCI/CDの確立による アジャイル・ク ラウド運用の実現 Cloud Native お客様のペースに合わせてアプリ を再構築するか、マイクロサービ ス、コンテナ、DevOpsツールを活 用して、まったく新しいアプリを クラウドで構築 レガシーアプリ からIBM Cloud サービスを利用 Cloud Enabled VMをパブリッククラウド サービスに拡張すること により、VMをLift & Transform IBM Cloud Microservices Analytics IBM Watson Object Storage Machine Learning IBM Kubernetes Service IBM Cloud 190+ サービス Microservices RedHat OpenShift Kubernetes Service オンプレミス IBM Cloud Kubernetes Service RedHat OpenShift Kubernetes Service

7. IBM Cloud 101 IBM Cloud 101 #4 Virtual Private Cloud

   (VPC) を知る クラシック・インフラストラクチャとVPCの位置づけ 7 ©︎ 2022 IBM Corporation

8. ふたつの「技術よりな人が最初に読むIBM Cloud柔らか層本」 「技術よりな人が最初に読む IBM Cloud 柔らか層本」ですが、現行の v3 版 は 2022/04/01

   でファイナルになりました。 今後は v4 のみが更新されます。 柔らか層は、長らくIBM Cloudの利用者に参照され続けていましたが、VPCなど の新技術が広まっていく中、v3までの構成では、包括的な説明が難しくなってき ました。そこで、v4ではIBM Cloud全体の見通しをよくする為に章立てを変更 し、記述を加筆することにしました。 一方で、変更・加筆作業に時間を要しているため、完成までに時間を要していま す。絶えず変化するIBM Cloudの新技術を、更新作業が全部完了するまで学 ぶことができないのは問題と考え、一旦ベータという形で公開することになりまし た。資料は下記リンクから常に最新版をダウンロードするようにお願いいたします。 v3は今後変更予定はありません。新情報はv4にのみ追記していく予定です。 • v3: https://ibm.box.com/v/ibmcloud-yawaraka • v4(beta): https://ibm.box.com/v/ibmcloud-yawaraka-beta 8 ©︎ 2022 IBM Corporation

9. 9 © 2021 IBM Corporation 目次 1. はじめに 1. 本書の目的

   2. 対象読者 3. 本書の構成 2. IBM Cloud とは 1. IBM Cloud とは 2. IBM Cloud のインフラとは 3. IBM Cloud の提供サービス 4. IBM Cloud の事例 3. コンピューティング 1. 物理サーバー 2. 仮想サーバー 3. よく利用される関連サービス サスペンド・ビリング プレイスメント・グループ 暗号化されたVSIイメージの利用 オートスケール、IPMI、保険 OSリロード、プロビジョニング・スクリプト 4. VMWare on IBM Cloud 5. SAP on IBM Cloud 6. IBM Power Systems Virtual Server 4. ストレージ 1. ストレージ概要 2. LocalSSDストレージ（仮想サーバー） 3. SANストレージ（仮想サーバー） 4. 内蔵 HDD・SSD (物理サーバー) 5. VMware vSAN (Software Defined Storage) 6. IBM Cloud Block / File Storage 7. IBM Cloud Object Storage（ICOS） 8. データ移行 5. ネットワーク 1. ネットワーク概要 2. ロードバランサー 3. 専用線接続サービス IPsec, DirectLink 4. よく利用される関連サービス CDN、Bandwidth、DNS、NTP、コロケーション 6. VPC 1. VPC(Virtual Private Cloud)とは 2. VPCの構成要素 3. その他 7. クラウド・ネイティブ 1. IBM Cloud Kubernetes Service 2. Cloud Foundry Application Runtime 3. IBM Cloud Functions (Serverless) 4. 主なデータストア・サービス IBM Cloud Databases、Cloudant Db2 on Cloud、Db2 Warehouse on Cloud 5. Satellite 6. Code Engine 8. セキュリティ管理 1. セキュリティの管理概要 2. 責任分界点 3. データセンター・セキュリティ 4. ネットワーク・セキュリティ 5. サーバー・セキュリティ 6. データ・セキュリティ 7. IBM Cloudコンソールでのセキュリティ設定 9. 監視・キャパシティ管理 1. IBM Cloudにおける監視 2. サーバーの監視 3. IPMIによる監視 4. RAID監視 5. ログ管理 6. キャパシティ管理 7. 監視システムの構成 8. 監視・ログ管理の新サービス 10. バックアップ 1. バックアップ全体管理イメージ 2. バックアップ方式 3. バックアップサービス 11. アカウント管理 1. アカウント管理の全体イメージ 2. ユーザー管理 3. アクセス管理 4. 複数アカウントの管理 5. マスターアカウントの変更方法 6. その他のパスワード管理 7. タグの管理 12. 課金 1. IBM Cloudのアカウントの種類 2. 課金管理とは 3. 課金の仕組み（クレジットカード課金） 4. 課金の仕組み（請求書課金） 5. 消費の仕組み（サブスクリプション） 6. 注文のキャンセル 7. 課金管理のTips 13. SLA・サポート 1. サービス・レベル・アグリーメント（SLA） 2. IBM Cloud におけるメンテナンス 3. IBM Cloud におけるライフサイクルポリシー 4. 障害時の対応フローと役割分担 5. IBM Cloud におけるサポート 6. Caseの起票・確認方法 7. カスタマー・インシデント・レポート (CIR) 8. 早期解決のためのCaseのコツ集 第3.1版

10. 10 © 2022 IBM Corporation 目次 1. はじめに 1. 本書の目的

    2. 対象読者 3. 本書の構成 2. IBM Cloud とは 1. IBM Cloud とは 2. IBM Cloud のインフラとは 3. IBM Cloudの事例 4. 参考情報リスト 3. Virtual Private Cloud（VPC） 1. Virtual Private Cloud（VPC）概要 2. コンピュート（VPC） 3. ストレージ（VPC） 4. ネットワーク（VPC） 5. セキュリティ（VPC） 6. その他（VPC） 4. Classic Infrastructure 1. Classic Infrastructure概要 2. コンピュート（Classic） 3. ストレージ（Classic） 4. ネットワーク（Classic） 5. セキュリティ（Classic） 6. その他（Classic） 5. Power Systems Virtual Server 1. Power Systems Virtual Server概要 2. コンピュート（PowerVS） 3. ストレージ（PowerVS） 4. ネットワーク（PowerVS） 5. その他（PowerVS） 6. Hyper Protect Service/LinuxONE 1. LinuxONE for VPC概要 7. VMware on IBM Cloud 1. VMware on IBM Cloud 概要 2. 構成オプション（VMware on IBM Cloud） 3. ユースケース（VMware on IBM Cloud） 4. 事例（VMware on IBM Cloud） 8. SAP on IBM Cloud 1. SAP認定IBM Cloudのラインナップ 2. SAP認定Bare Metal 3. SAP認定VMware on IBM Cloud 4. SAP認定Gen2 5. SAP認定Power Systems Virtual Server 6. RISE with SAP on IBM Cloud 9. オブジェクトストレージサービス 1. IBM Cloud Object Storage（ICOS）概要 2. IBM Cloud Object Storage（ICOS）詳細 3. データ移行 10. クラウド・ネイティブ アプリケーションサービス 1. IBM Cloud Kubernetes Service 2. Code Engine 3. Cloud Foundry Application Runtime 4. IBM Cloud Functions (Serverless) 5. DevOps 11. クラウド・ネイティブ データベースサービス 1. IBM Cloud Databases 2. Cloudant 3. Db2 on Cloud 4. Db2 Warehouse on Cloud 12. 分散クラウド 1. Satellite 13. 外部連携・接続サービス 1. Direct Link 2. Transit Gateway 3. VPN 4. IBM Cloud Service Endpoints(CSE) 5. ドメイン取得サービス・権威DNSサービス 6. DNS Services 7. Cloud Internet Services 8. SendGrid 9. コロケーションサービス 14. セキュリティ管理 2. 15. 監視・キャパシティ管理 1. IBM Cloud Log Analysis 2. IBM Cloud Monitoring 3. IBM Cloud Activity Tracker 16. アカウント管理 1. アカウント管理の全体イメージ 2. ユーザー管理 3. アクセス管理 4. 複数アカウントの管理 5. マスターアカウントの変更方法 6. その他のパスワード管理 7. タグの管理 17. 課金 1. IBM Cloudのアカウントの種類 2. 課金管理とは 3. 課金の仕組み（クレジットカード課金） 4. 課金の仕組み（請求書課金） 5. 消費の仕組み（サブスクリプション） 6. 注文のキャンセル 7. 課金管理のTips 18. SLA・サポート 1. サービス・レベル・アグリーメント（SLA） 2. IBM Cloud におけるメンテナンス 3. IBM Cloud におけるライフサイクルポリシー 4. 障害時の対応フローと役割分担 5. IBM Cloud におけるサポート 6. Caseの起票・確認方法 7. カスタマー・インシデント・レポート (CIR) 8. 早期解決のためのCaseのコツ集 要修正 要修正 第 4-beta版

11. Classic VPC 11 概念図 ©︎ 2022 IBM Corporation

12. 機能比較抜粋 カテゴリー クラシック VPC サービス カタログにあるすべてのサービス 仮想サーバー、一部のDCでベアメタル アークテク チャー 単一の

    10.x.x.x であるPrivate NW Public NWへの直接接続 SDNとzoneによるアーキテクチャー ロケーション 構成体 DCとPOD、VLAN スパンニングの考慮 リージョン・モデルによる仮想化 課金 時間、月、請求処理中断、予約(1・3年) 安価な一時利用VSIあり 時間、請求処理中断、継続使用割引 プロファイル GPU プロファイルも含めて、すべてのプロ ファイル より大きな RAM および vCPU オプションを伴 う、平衡型プロファイル、コンピュート・プロ ファイル、メモリー・プロファイル IP アドレス IPv6 アドレスのサポート IPv4 アドレスのみ ストレージ ストレージ・サービス、ブロック・スト レージ (iSCSI) およびファイル・ストレージ (NFS ベース) 1 次ブート・ディスクとしてのブロック・スト レージ (基本的なライフサイクル管理あり)、お よび 2 次データ・ボリューム アクセス制御 クラシック専用管理 IAM とリソース・グループへの統合 API 既存の SoftLayer API (SLAPI) 開発者向けの REST ベースの新しい API 12 ©︎ 2022 IBM Corporation https://cloud.ibm.com/docs/cloud-infrastructure?topic=cloud-infrastructure-compare-infrastructure

13. IBM Cloud 101 IBM Cloud 101 - #4 Virtual Private

    Cloud (VPC) を知る VPC 概説(柔らか層本をお借りして) 13 ©︎ 2022 IBM Corporation

14. 下記をお借りして説明します 14 ©︎ 2022 IBM Corporation https://ibm.box.com/v/ibmcloud-yawaraka-beta

15. 15 © 2022 IBM Corporation © 2022 IBM Corporation 第

    4-beta 版 技術よりな人が最初に読む IBM Cloud 柔らか層本 https://ibm.box.com/v/ibmcloud-yawaraka-beta 本資料は修正が完了していないページがあります。

16. 16 © 2022 IBM Corporation 目次 1. はじめに 1. 本書の目的

    2. 対象読者 3. 本書の構成 2. IBM Cloud とは 1. IBM Cloud とは 2. IBM Cloud のインフラとは 3. IBM Cloudの事例 4. 参考情報リスト 3. Virtual Private Cloud（VPC） 1. Virtual Private Cloud（VPC）概要 2. コンピュート（VPC） 3. ストレージ（VPC） 4. ネットワーク（VPC） 5. セキュリティ（VPC） 6. その他（VPC） 4. Classic Infrastructure 1. Classic Infrastructure概要 2. コンピュート（Classic） 3. ストレージ（Classic） 4. ネットワーク（Classic） 5. セキュリティ（Classic） 6. その他（Classic） 5. Power Systems Virtual Server 1. Power Systems Virtual Server概要 2. コンピュート（PowerVS） 3. ストレージ（PowerVS） 4. ネットワーク（PowerVS） 5. その他（PowerVS） 6. Hyper Protect Service/LinuxONE 1. ZaaS概要 2. Hyper Protect Crypto Services 3. LinuxONE Virtual Servers for VPC 4. Wazi aaS 5. Hyper Protect Virtual Server for VPC 7. VMware on IBM Cloud 1. VMware on IBM Cloud 概要 2. 構成オプション（VMware on IBM Cloud） 3. ユースケース（VMware on IBM Cloud） 4. 事例（VMware on IBM Cloud） 8. SAP on IBM Cloud 1. SAP認定IBM Cloudのラインナップ 2. SAP認定Bare Metal 3. SAP認定VMware on IBM Cloud 4. SAP認定VPC 5. SAP認定Power Systems Virtual Server 6. RISE with SAP on IBM Cloud 9. オブジェクトストレージサービス 1. IBM Cloud Object Storage（ICOS）概要 2. IBM Cloud Object Storage（ICOS）詳細 3. データ移行 10. クラウド・ネイティブ アプリケーションサービス 1. IBM Cloud Kubernetes Service 2. Code Engine 3. Cloud Foundry Application Runtime 4. IBM Cloud Functions (Serverless) 5. DevOps 11. クラウド・ネイティブ データベースサービス 1. IBM Cloud Databases 2. Cloudant 3. Db2 on Cloud 4. Db2 Warehouse on Cloud 12. 分散クラウド 1. Satellite 2. 最近のupdate 13. 外部連携・接続サービス 1. Direct Link 2. Transit Gateway 3. VPN 4. IBM Cloud Service Endpoints(CSE) 5. ドメイン取得サービス・権威DNSサービス 6. DNS Services 7. Cloud Internet Services 8. SendGrid 9. コロケーションサービス 14. セキュリティ管理 2. 15. 監視・キャパシティ管理 1. IBM Cloud Log Analysis 2. IBM Cloud Monitoring 3. IBM Cloud Activity Tracker 16. アカウント管理 1. アカウント管理の全体イメージ 2. ユーザー管理 3. アクセス管理 4. 複数アカウントの管理 5. マスターアカウントの変更方法 6. その他のパスワード管理 7. タグの管理 17. 課金 1. IBM Cloudのアカウントの種類 2. 課金管理とは 3. 課金の仕組み（クレジットカード課金） 4. 課金の仕組み（請求書課金） 5. 消費の仕組み（サブスクリプション） 6. 注文のキャンセル 7. 課金管理のTips 18. SLA・サポート 1. サービス・レベル・アグリーメント（SLA） 2. IBM Cloud におけるメンテナンス 3. IBM Cloud におけるライフサイクルポリシー 4. 障害時の対応フローと役割分担 5. IBM Cloud におけるサポート 6. Caseの起票・確認方法 7. カスタマー・インシデント・レポート (CIR) 8. 早期解決のためのCaseのコツ集 要修正

17. 17 © 2022 IBM Corporation 目次 3 1. Virtual Private

    Cloud（VPC）概要 2. コンピュート（VPC） 3. ストレージ（VPC） 4. ネットワーク（VPC） 5. セキュリティ（VPC） 6. その他（VPC） 1. はじめに 2. IBM Cloudとは 3. Virtual Private Cloud（VPC） 4. Classic Infrastructure 5. Power Systems Virtual Server 6. Hyper Protect Service/LinuxONE 7. VMware on IBM Cloud 8. SAP on IBM Cloud 9. オブジェクトストレージサー ビス 10. クラウド・ネイティブ アプリ ケーションサービス 11. クラウド・ネイティブ データ ベースサービス 12. 分散クラウド 13. 外部連携・接続サービス 14. セキュリティ管理 15. 監視・キャパシティ管理 16. アカウント管理 17. 課金 18. SLA・サポート

18. 18 © 2022 IBM Corporation 3-1. Virtual Private Cloud（VPC）概要 本章では、IBM

    CloudにおけるVirtual Private Cloud（VPC）について解説します。 VPCは IBM Cloud の第⼆世代のプラットフォームです。Classic Infrastructureに⽐べ、ネットワーク帯域やプロビジョニ ングのスピードが⼤幅に向上しています。サーバーを配置するサブネットをユーザー⾃⾝で定義可能なため、特にオンプレ ミスとプライベート接続する用途において、⾃由度の⾼いネットワーク設計を可能にします。

19. 19 © 2022 IBM Corporation 3-1. Virtual Private Cloud（VPC）概要 カテゴリ

    VPCでの状況 全般 利用しているHW/NW機器 SDNを実現する次世代用機器をClassic Infrastructureとは別 に導入 Region ダラス、ワシントンDC、ロンドン、フランクフルト、東京、 ⼤阪、シドニー、トロント、サンパウロ RegionあたりのVPC数 デフォルトは10(Caseを起票することで上限を上げることが 可能） Classic Access VPC 利用可能

20. 20 © 2022 IBM Corporation 3-1. Virtual Private Cloud（VPC）概要 カテゴリ

    VPCでの状況 Computing (VSI) OS(x86) CentOS 7 Debian 9, 10, 11 Fedora CoreOS 35 Red Hat Enterprise Linux 7, 8 Rocky Linux 8 Ubuntu 18, 20 Windows 2012, 2012R2, 2016, 2019, 2022 SLES 12, 15(SAP用途） OS(s390x) SLES15, Ubuntu 18.04, z/OS 利用可能なリージョン(x86) 全てのMZR 利用可能なリージョン(s390x) 東京、ロンドン、トロント、サンパウロ Hypervisor KVM 最⼤Network速度 80Gbps(25Gbps x vNIC) プロビジョニング速度 数秒〜数十秒 VNC/Serial Console 利用可能 Dedicated Host 利用可能 Auto Scale 利用可能 Resizing VSI 利用可能 Placement Group 利用可能 Instance Metadata 利用可能 GPU 利用可能(NVIDIA V100 GPU) Bandwidth Allocationの動的な変更 利用可能

21. 21 © 2022 IBM Corporation 3-1. Virtual Private Cloud（VPC）概要 カテゴリ

    VPCでの状況 Computing (Baremetal) OS, Hypervisor ESXi 7.0 Red Hat Enterprise Linux 8 Ubuntu 18, 20 利用可能リージョン ダラス、ワシントン、フランクフルト 最⼤Network速度 100 Gbps(SmartNIC) プロビジョニング速度 10〜20分 VNC/Serial Console 利用可能

22. 22 © 2022 IBM Corporation 3-1. Virtual Private Cloud（VPC）概要 カテゴリ

    VPCでの状況 Storage (VSI) Block Storage: 2TB以下のVolume 利用可能 Block Storage: 2TB+のVolume 利用可能 Block Storage: ストレージの動的拡張 利用可能 Block Storage: ストレージのIOPS変更 利用可能 Snapshot for Block Storage 利用可能 Image from Volume 利用可能 File Storage Limited Availability Instance Volume 利用可能 カテゴリ VPCでの状況 Storage (Baremetal) 内蔵ストレージ ブート領域として960GB SSD オプションとしてvSANに利用可能なNVMe SSD 外部ストレージ File Storage（Limited Availability）

23. 23 © 2022 IBM Corporation 3-1. Virtual Private Cloud（VPC）概要 カテゴリ

    VPCの状況 Network Site-to-site VPN 利用可能 Client-to-Server VPN 利用可能 VPE(Virtual Private Endpoint) 利用可能 Load Balancer(Application Load Balancer: Proxy型) 利用可能 Load Balancer(Network Load Balancer: DSR型) 利用可能 Load Balancer(Network Load Balancer: route mode) 利用可能 Transit Gateway: ⾃アカウントのClassic/VPC 間接続 利用可能 Transit Gateway: 別アカウントのVPC/Classic Infrastructureとの接続 利用可能 Transit Gateway: Generic Routing Encapsulation (GRE) 接続 利用可能 Transit Gateway: Direct Link接続 利用可能 Transit Gateway: 経路情報のレポーティング 利用可能 Private DNS Service 利用可能 Private DNS Service(GLB) 利用可能 Private DNS Service(Custom Resolver) 利用可能 Custom Route 利用可能 VNF Palo Alto/Checkpoint/F5: 利用可能

24. 24 © 2022 IBM Corporation 3-1. Virtual Private Cloud（VPC）概要 カテゴリ

    VPCでの状況 Security Security Group 利用可能 Network ACL 利用可能 Flow Logs 利用可能 BYOK(Bring Your Own Key) 利用可能 Activity Tracker連携 利用可能 Container IBM Kubernetes Service 利用可能 Red Hat OpenShift on IBM Cloud 利用可能

25. 25 © 2022 IBM Corporation 3-1. Virtual Private Cloud（VPC）概要 VPC

    • VPCはRegionごとに作成し、複数のZoneにまたがって構成します。 • IBM CloudのVPCには、通常のVPCとClassic Access VPCの⼆種類が存在 します。

26. 26 © 2022 IBM Corporation 3-1. Virtual Private Cloud（VPC）概要 Classic

    Access VPC (標準の）VPC 作成可能数 Regionごとに１つのみ Regionごとに、Classic Access VPCと標準の VPCを合わせて10まで 作成できるネットワークアドレスの自由度 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16か ら⾃由にsubnetを作成可能 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16か ら⾃由にsubnetを作成可能 Zone間のPrivate NW通信 可能（通信費用は無料） 可能（通信費用は無料） Classic InfrastructureとのPrivate NW通信 可能（通信費用は無料） ただし、Classic Infrastructureで優先経路が設定 されているアドレス帯（10.0.0.0/14など）を Classic Access VPC上で利用した場合には、その アドレス帯にはClassic Infrastructureからは接続 できない。 可能（Transit Gatewayを利用） ただし、Classic Infrastructureで優先経路が設定 されているアドレス帯（10.0.0.0/14など）を VPC上で利用した場合には、そのアドレス帯には Classic Infrastructureからは接続できない。 他VPCとPrivate NW通信 Classic Access VPC同士であれば可能（通信費用 は無料） ※Classic Access VPCはRegionごとに１つしか作 成できないので、Classic Access VPC間通信は Region間通信になる 可能（Transit Gatewayを利用） 他アカウントのVPCとのPrivate NW接続 不可 可能（Transit Gatewayを利用） 専用線接続 可能。 ただし、Direct Link ClassicによるClassic Infrastructure経由になるため、Classic Infrastructureで優先経路が設定されているアド レス帯（10.0.0.0/14など）をClassic AccessVPC上で利用した場合には、そのアドレス 帯にはDirect Link経由で接続できない。 可能(Direct Link 2.0によるClassic Infrastructureを経由しない直接接続） • Classic Access VPCは今後機能拡張されず、VPCの利点を活かせない可能性があります。今後は、標準のVPCとTransit Gatewayの組み合わせを選択してください。

27. 27 © 2022 IBM Corporation 3-1. Virtual Private Cloud（VPC）概要 address

    prefixとsubnet • VPCでは、まずaddress prefixと呼ばれるIP rangeをZoneごとに定義します。 • subnetはaddress prefixから切り出して定義します。 • address prefixがZoneごとに構成されるため、subnetはZoneをまたいで構成することはできません。

28. 28 © 2022 IBM Corporation 3-1. Virtual Private Cloud（VPC）概要 subnetにはreserved

    IPという名前付きのIPアドレスを予約する機能があります。VSIを作成する際には、このreserved IP を指定することで、繰り返し同じIPアドレスを指定してプロビジョニング可能になります。 （参考）https://qiita.com/testnin2/items/1a15a793aa73d7b61578 Reserved IPの作成 VSI作成時にreserved IPを指定

29. 29 © 2022 IBM Corporation 3-1. Virtual Private Cloud（VPC）概要 •

    Zone内の通信に加えて、同一region内のZone間通信に対しても課金は発生しません。 • Classic InfrastructureのVSIでは時間課金と月額課金のサーバーがありましたが、VPCのVSIでは秒課金しかありません （例えば 90秒利用した場合は、90秒だけ課金されます）。 また、VPCのベアメタルは時間課金です。利用時間に応じて vCPU/RAM/OSライセンスに対して以下の値引きが発生します。詳細は以下リンクをご参照ください。 https://www.ibm.com/cloud/vpc/pricing １ヶ月の利用時間 １ヶ月の時間（730時間想定の場合） 割引率 時間単価 (割引前の価格が$1/hourの場合） 20%未満の期間 ~146時間まで なし $1/hour 20%-40%の期間 146~292時間 5% $0.95/hour 40%-60%の期間 292~438時間 10% $0.90/hour 60%-80%の期間 438~584時間 15% $0.85/hour 80%-100%の期間 584~730時間 20% $0.80/hour • 計算例 • 400時間利用し続けた場合の課金: • $1*146 + $0.95*146 + $0.90* 108 • 1ヶ月使い続けた場合の課金はTotalでは1割引に相当: • $1*146 + $0.95*146 + $0.90*146 + $0.85*146 + $0.80*146 = ($1+$0.95+$0.90+$0.085+$0.80)*146 = ($1+$0.95+$0.90+$0.085+$0.80)/5 * 730 = $0.90 * 730

30. 30 © 2022 IBM Corporation 3-2. コンピュート（VPC） VSI（仮想サーバー） • VPCのVSIは、Balanced/Compute/Memory/GPU/High

    memoryの5つのCategoryから選択可能です。 • 利用時間に応じた⾃動割引が行われます。suspend billingにも対応しています。 • "User Data"内にスクリプトを記載することで、プロビジョニング時に指定した作業を⾃動実行可能です。 • ホストサーバー障害時には、数分以内に⾃動的に別のホストサーバーで再起動を試行します。 https://cloud.ibm.com/docs/vpc?topic=vpc-faqs-for-vsis#faq-vsi-13 https://qiita.com/testnin2/items/bcefff6c61f089d01f25

31. 31 © 2022 IBM Corporation 3-2. コンピュート（VPC） • VSIが同一の物理ホストで動作しないことを確実に保証する仕組みとして、placement groupを利用することも可能です。

    placement group作成時には以下のいずれかを選択します。 • Host spread: • ホストレベルのAnti-Affinityを保証する方法です。このplacement groupに収納されるVSIインスタンスは、それぞれが別の物理ホストに配置されます 。１つのplacement groupあたり最⼤で12VSIインスタンスまで収納することが可能です。 • Power spread: • 電源レベルのAnti-Affinityを保証する方法です。このplacement groupに収納されるVSIインスタンスは、それぞれが別の物理ホストに配置されるだけ でなく、電源レベルで異なる環境上に配置されます。１つのplacement groupあたり最⼤で4VSIインスタンスまで収納することが可能です。 • 詳細は以下リンクを参照ください。 • https://cloud.ibm.com/docs/vpc?topic=vpc-about-placement-groups-for-vpc • VSIはデフォルトでHyper threading(HT)が有効化されていますが無効化することも可能です。アプリケーションによって はHTを無効化したい場合は、以下の手順に従って実施してください。 • https://cloud.ibm.com/docs/vpc?topic=vpc-disabling-hyper-threading • ハイパーバイザーのメンテナンス実施時にはLive Patchでは対応できない場合は、Live Migrationを行うことで利用者がほ とんど意識することない透過的な運用を試みます。ただし、メンテナンスの内容によってはVSIの再起動を要するものも存在 します。その場合はスケジュール・メンテナンスのイベントを通知します。詳細は下記リンクをご参照ください。 • https://cloud.ibm.com/docs/vpc?topic=vpc-about-cloud-maintenance

32. 32 © 2022 IBM Corporation 3-2. コンピュート（VPC） • VSIには専有タイプ(dedicated host)も選択可能です。

    • dedicated hostを利用することで、１台の物理ホストを利用者に専用に割り当てます。利用者はこの事前予約済みのリ ソースを使って仮想サーバー(VSI)をプロビジョニングすることができます。 • dedicated hostは、必ず１つのdedicated host groupに属する必要があります。dedicated host groupはZoneごとに 構成され、共通のサーバープロファイルを利用します。 • サーバー注文時には「Specify host」でホストを指定するか、「Specify group」でdedicated host groupを指定しま す。 • dedicated hostは自アカウント内の複数VPCにまたがって共有利用することも可能です。 • 「Specify group」で注文したVSIについては、Instance placement属性を一時的にdisabledにすることで別の dedicated hostに移動することが可能です。詳細は以下を参照してください。 https://qiita.com/testnin2/items/eb94c64e062707d011da • dedicated hostの物理障害時の挙動については以下を参照してください。 https://cloud.ibm.com/docs/vpc?topic=vpc-faqs-dedicated-host#faq-dedicated-host-5&locale=en • dedicated hostは⼤量のvCPUを事前に割り当てる必要があるため、VPCのquota（現在はregionあたり200vCPU) に簡単に引っかかってしまいます。事前にCaseを起票してquotaの上限を引き上げてもらうことを推奨します。 https://cloud.ibm.com/docs/vpc?topic=vpc-creating-dedicated-hosts-instances&locale=en https://cloud.ibm.com/docs/vpc?topic=vpc-quotas

33. 33 © 2022 IBM Corporation 3-2. コンピュート（VPC） • OS選択画面における「IBM Cloud

    image lifecycle chart」を選択することで、各OSのEOS情報を確認することができます。

34. 34 © 2022 IBM Corporation 3-2. コンピュート（VPC） Auto Scale •

    最⼤100台までのVSIを動的もしくは静的にAuto Scale可能。 • VPC Load Balancerとの連動も可能。 https://qiita.com/testnin2/items/9c1d04b31e20941b51fb https://qiita.com/testnin2/items/6ba31461749941ee039a Instance Template • 展開するVSIの雛形。 • プロファイル(vCPU/Memory) • SSH鍵 • Security Group • User Data • Instance Groupを利用せずとも単独で利用可能 Instance Group • Instance Templateを元に増減させる際のポリシーを定める • 展開先のsubnet • VPC Load BalancerのBackend poolやポート番号 • スケーリングメソッド • 静的: 0台〜100台を指定 • 動的: 最⼤値、最小値、集計期間、クールダウン期間、メトリック（ CPU使用率、メモリ使用率、Network流量）を指定 • スケジューリングベースでの増減も可能。 • Instance groupで定義されたsubnetはランダムに選択される。 • FIFO(First In/First Out)でインスタンスは増減するので、削除さ れる時は一番古いサーバーが削除される。 • 以下の制約あり • Secondary network interfaceはサポートされていない。 • floating IPはサポートされていない。 • data volumeはサポートされていない。

35. 35 © 2022 IBM Corporation 3-2. コンピュート（VPC） ベアメタル（物理サーバー） • VPCのベアメタルサーバーは、Balanced/Compute/Memoryの3つのCategoryから選択可能です。

    • CPU・メモリ・ストレージ・NICは時間課金、Hypervisor（ESXi）は月額課金（初月は日割り）です。 • 利用時間に応じた⾃動割引が行われます。suspend billingは利用できません。 • "User Data"内にスクリプトを記載することで、プロビジョニング時に指定した作業を⾃動実行可能です。 • VPCの周辺サービスと組み合わせて利用可能です。（Security Groups, ACL, Load Balancer, Public Gateway, Floating IP, Transit Gateway, Direct Link 2.0 等） https://cloud.ibm.com/docs/vpc?topic=vpc-about-bare-metal-servers&interface=ui https://qiita.com/testnin2/items/1b0afe2a70d525b0c5a2 BMS BMS BMS BMS

36. 36 © 2022 IBM Corporation 3-3. ストレージ（VPC） VSIのストレージ • Block

    Storage • Boot Volume • サイズ： 100〜250 GB • IOPS性能: Max 3,000 IOPS • Data Volume • ボリューム数: • 12まで • 1 ボリュームあたりの構成 • Tier構成： • IOPS性能: 3 IOPS/GB, 5 IOPS/GB, 10 IOPS/GB • サイズ: 3 IOPS/GB : 10GB~16,000GB 5 IOPS/GB : 10GB~9,600GB 10 IOPS/GB : 10GB~4,800GB • Custom構成 • サイズ: 10GB~16,000GB • IOPS性能: 100 IOPS ~ 48,000 IOPS（サイズにより指定可能なIOPSの範囲が変動） • Snapshotの取得が可能。 • 暗号化オプション • Provider Managed(IBMが鍵を管理） • Key Protect(ユーザー鍵の持ち込みが可能）: FIPS140-2 Level 3準拠 • Hyper Protect Crypto Services(ユーザー鍵の持ち込みが可能): FIPS 140-2 Level 4準拠 https://cloud.ibm.com/docs/vpc?topic=vpc-quotas#block-storage-quotas https://cloud.ibm.com/docs/vpc?topic=vpc-attaching-block-storage#vol-attach-limits https://cloud.ibm.com/docs/vpc?topic=vpc-block-storage-about https://cloud.ibm.com/docs/vpc?topic=vpc-capacity-performance https://cloud.ibm.com/docs/vpc?topic=vpc-block-storage-profiles https://cloud.ibm.com/docs/vpc?topic=vpc-vpc-encryption-about • Classic InfrastructureのEndurance Storageとは異なり、 複数のVSIからアクセス可能な共有ストレージはVPCでは 現時点で提供されていません。１つのボリューム(Block Storage)は、１つのVSIからのみアクセス可能です。 • Key ProtectやHyper Protect Crypto Serviceのような KMSシステムにアクセスできなくなった場合でも、 DEK(Data Encryption Key)はハイパーバイザー上のメ モリにキャッシュされているため、継続してストレージ にアクセスすることができます。しかし、VSIが停止し た場合（再起動、電源断など）、DEKはメモリ上から削 除されるため、VSI起動時にKMSシステムにアクセスで きない場合はストレージにアクセスができなくなります。

37. 37 © 2022 IBM Corporation 3-3. ストレージ（VPC） VSIのストレージ • Instance

    Storage • サーバーProfile選択時にオプションとして選択。 • ⾼速だが揮発性があるため、ホスト障害時やサーバー停止時にデータが失われる可能性がある。 • 参考情報 • https://cloud.ibm.com/docs/vpc?topic=vpc-instance-storage

38. 38 © 2022 IBM Corporation 3-3. ストレージ（VPC） VSIのストレージ • File

    Storage • NFSv4.1以上。 • 同一AZにある複数VSIから共有可能。特定のVPCに属さないため、複数のVPCから同時にファイル共有が可能。 • Tier 構成 • サイズ: 10GB~16TB（3 IOPS/GBおよびAPI利用時に限り、32TBまで指定可能） • IOPS性能: 3 IOPS/GB, 5 IOPS/GB, 10 IOPS/GB, Custom。IOPSは後から変更可能。 • 以下の制約あり。 • 2022年2月現在Limited Availabilityであり、DAL/WDC/FRA/LON/SYD/TOKで利用可能。 • 別Zoneからはマウントできない。 • ストレージサイズを後から変更できない。 -> 後から⼤きくすることができるようになりました。 • ホストレベルのAuthorizationはできない（Zone内のどのサーバーからもマウント可能）。 • Snapshotを取得できない。 • BYOKができない。 • 別Zoneへのレプリケーションの取得も可能 • hourly/daily/weekly/monthlyもしくはcron表記でスケジューリングが指定可能 • レプリカ先は、read onlyでアクセス可能 • 参考情報 • https://cloud.ibm.com/docs/vpc?topic=vpc-file-storage-vpc-about • https://qiita.com/testnin2/items/376db939a45369bd209d

39. 39 © 2022 IBM Corporation 3-3. ストレージ（VPC） Snapshot/Image from Volume

    • VPC VSIのストレージは、Snapshot機能を利用してある時点のデータ状態を保持することが可能です。 • Image from Volume機能を使ってカスタマイズしたVSIのテンプレート化が可能です。 Snapshot Image from Volume VSIの状態 VSI起動時のみ取得可能 VSI停止時のみ取得可能。 取得時間 一瞬 データ容量に依存。 Image取得中はVSIは起動 できない。 Boot Volume 取得可 取得可 Data Volume 取得可 取得不可 同一リージョンへの展開 可能 可能 別リージョンへの展開 不可 不可 容量制限 100 snapshot or 10TBまで 特になし リストア機能 新規VSI作成時に指定する か、既存VSIに新規 Volumeとして指定するこ とでリストア可能 新規VSI作成時に指定可能 https://cloud.ibm.com/docs/vpc?topic=vpc-snapshots-vpc-planning https://cloud.ibm.com/docs/vpc?topic=vpc-image-from-volume-vpc

40. 40 © 2022 IBM Corporation 3-3. ストレージ（VPC） ベアメタルのストレージ • 内蔵ディスク

    • ブート領域として960GB SSD。 • オプションとして、vSANに利用可能なNVMe SSDを選択可能。 ベアメタルの内蔵ストレージはマネージドでは無いため、ユーザーにて管理が必要です。 2022年2月時点でBlock Storage, File Storageはサポートされていません。（File Storageは正式GA前のSelect Availabilityである点に留意の上、申請して使用することは技術的には可能です） https://cloud.ibm.com/docs/vpc?topic=vpc-bare-metal-servers-storage

41. 41 © 2022 IBM Corporation 3-4. ネットワーク（VPC） VSIのvNIC • 5つまでvNICを付与可能です。

    • IPv6は利用できません。 • Multicastは利用できません。 • vNICを後から追加・削除は可能です。ただし 最初に割り当てたvNICは削除できません。 • インスタンスあたりのBandwidthの上限は、 プロファイルによって決まっています。 • このBandwidthはVolume bandwidth（ス トレージアクセス）とNetwork bandwidth （ネットワークアクセス）の合算値になりま す。Volume bandwidthとNetwork bandwidthへの配分は後から変更することが 可能です。 • 4GbpsのNetwork bandwidthは、送信も受信 もそれぞれ4Gbpsまで可能だという意味にな ります。 • プロファイルによっては、80Gbpsモデルまで 選択可能です。 • 1vNICあたりの上限は25Gbpsです。例えば、 もし48 GbpsのNetwork bandwidthが割り当 てられていたとしても、NICが1つであれば 25Gbpsまでしか利用できません。NICが2つ の場合は24Gbps x 2、NICが3つの場合は 16Gbps x 3となります。 https://cloud.ibm.com/docs/vpc?topic=vpc-profiles#network-perf-notes-for-profiles https://cloud.ibm.com/docs/vpc?topic=vpc-bandwidth-allocation-profiles

42. 42 © 2022 IBM Corporation 3-4. ネットワーク（VPC）

43. 43 © 2022 IBM Corporation 3-4. ネットワーク（VPC） ベアメタル（物理サーバー）のNIC • ベアメタルサーバーのNICには、PCIインターフェースとVLANインターフェースの2種類があります。

    • PCI InterfaceはOSから認識される物理ポートです。ESXiではvmnic0, vmnic1, ...と認識されるアップリンクポートになり ます。ただし、本当の物理ポートではなく、SmartNICの仮想化機能であたかも物理ポートがOSに搭載されているように見 せています。（本当の物理インターフェースは、冗長化された100GbpsのSmartNICです） • VLAN Interfaceは一般的にESXi上のゲストOSやカーネルポートに割り当てるVLAN IDでタグ付けされたインターフェー スです(VLAN ID=0は利用できません）。1つのVLAN Interfaceは必ずどれか1つのPCI Interfaceに紐づく必要があります 。1つのVLAN Interfaceを複数のPCI Interfaceに紐づけることはできません。 • PCI Interfaceは最⼤で8つまで構成可能です。 • PCI InterfaceとVLAN Interfaceは合計で25までUI上から作成可能です。CLIであれば128まで作成可能ですが、IBM Cloud として性能評価は完了しておらず、vMotionなどの性能に影響を与える可能性があります。よって、VLAN Interfaceをたく さん要する場合には、VMware NSXなどのネットワーク仮想化ソリューションを利用することが推奨されます。 https://cloud.ibm.com/docs/vpc?topic=vpc-bare-metal-servers-network https://cloud.ibm.com/docs/vpc?topic=vpc-managing-nic-for-bare-metal-servers#overview-bare-metal-network-interfaces&locale=en https://qiita.com/testnin2/items/198019d564829138ebed

44. 44 © 2022 IBM Corporation 3-4. ネットワーク（VPC） Floating IP/Public Gateway

    • VPCのVSIやベアメタルがインターネットと通信する手段としては、Floating IPを使う方法とPublic Gatewayを使う方法が あります。 Floating IP Public Gateway 制御レベル VSIのvNIC、ベアメタルの PCI Interface, ベアメタル のVLAN Interface subnet （複数のsubnetで利用可 能） 利用可能な通信 インターネットからの Inbound/Outbound両方 の通信が可能 インターネットへの outbound通信のみ可能 （インターネットからの Inboundは許可しない） Global IPアドレスの予約 （付け替え可能かどうか） 可能。 ただし、同一Zone内の subnetに対してのみ付け 換え可能。 可能。 ただし、同一Zone内の subnetに対してのみ付け 換え可能。 その他注意点 • １つのVSIには１つの Floating IPしか割り当 てることはできない。複 数のvNICがある場合は、 どれか１つのvNICにの みFloating IPを割り当 てることが可能。 • Zoneあたり1つしか作成 できない。 • IPアドレスを予約する機 能がないため、Public Gatewayを再作成する とGlobal IPアドレスが 変わってしまう。 https://cloud.ibm.com/docs/vpc?topic=vpc-about-networking-for-vpc#external-connectivity https://cloud.ibm.com/docs/vpc?topic=vpc-about-networking-for-vpc#public-gateway-for-external-connectivity https://cloud.ibm.com/docs/vpc?topic=vpc-about-networking-for-vpc#floating-ip-for-external-connectivity

45. 45 © 2022 IBM Corporation 3-4. ネットワーク（VPC） Flow Logs •

    vNICに対するアクセスログを取得する機能です。 • VPC/Subnet/Instance/InterfaceレベルでどのvNICに対するログを取得するかを指定することができます。 • ログは、５分おき、もしくは100 KBに達した時点でICOS(IBM Cloud Object Storage)に保管されます。 https://cloud.ibm.com/docs/vpc?topic=vpc-flow-logs https://cloud.ibm.com/docs/vpc?topic=vpc-fl-faq&locale=en • ICOSのbucketはVPCと同一Regionである必要があり ます。Cross-Regionalはサポートされていません。 • TCP/UDPはサポートしていますが、ICMPはサポート していません • 2022年2月時点でベアメタルはFlow Logsに対応して いません。

46. 46 © 2022 IBM Corporation 3-4. ネットワーク（VPC） Load Balancer •

    Managed ServiceのLoad Balancer。 • HTTP/HTTPS/TCPをサポートするReverse Proxy型ロードバランサー： Application Load Balancer(ALB) • TCP/UDPをサポートするDirect Server Return型ロードバランサー: Network Load Balancer(NLB) • ALBとNLBの違いについての詳細は、以下を参照。 • https://cloud.ibm.com/docs/vpc?topic=vpc-nlb-vs-elb&locale=en • https://qiita.com/testnin2/items/e97357b875980b95f4aa • 汎用的に用途で利用されるALBについての特徴は以下の通り。 • defaultではLoad BalancerのFQDNに対して2つのインスタンス がデプロイされる(IPアドレスが2つ割り振られる）。subnetを 複数選択することでZoneまたぎで配置される。 • 負荷に応じて⾃動的にインスタンス数が増減する（IPアドレスの 数が変化する。） • フロントエンド側リスナーは以下をサポート • HTTP/HTTPS(SSL Offload機能あり）/TCP • ポリシー制御(HTTP/HTTPSの場合） • バックエンド側プールは以下をサポート • HTTP/HTTPS/TCP • Round Robin/Weighted Round Robin/Least Connections • Source IPベースのSession Stickiness: • Security Groupをサポート

47. 47 © 2022 IBM Corporation 3-4. ネットワーク（VPC） Site-to-Site VPN •

    Managed ServiceのSite-To-Site VPNサービス。 • 最⼤で650Mbpsのスループットをサポートします。 • IKEv1 and IKEv2 • Authentication algorithms: md5, sha1, sha256 • Encryption algorithms: 3des, aes128, aes256 • Diffie-Hellman (DH) groups: 2, 5, 14 • IKE negotiation mode: main • IPSec transform protocol: ESP • IPSec encapsulation mode: tunnel • Perfect Forward Secrecy (PFS) • Dead Peer Detection • Routing: Policy-based • Authentication Mode: Pre-shared key • policy-based VPN(Active/Standby mode) • route-based VPN(Active/Active mode)

48. 48 © 2022 IBM Corporation 3-4. ネットワーク（VPC） Client-to-Site VPN •

    Managed ServiceのClient-To-Site VPNサービス。OpenVPNを利用。 • 以下の３つの認証方式から選択できます。CRLを使って特定のユーザーのクライアント証明書を失効させることも可能です。 • クライアント証明書 • UserID/passcode（passcodeは別途ブラウザ上でIBMidを使った認証をした際に取得されるワンタイムのコードであり⼆要素認証を実現） • クライアント証明書とUserID/passcodeを両方使用（「どちらかで接続できる」という意味ではない） • 以下の接続方式から選択できます。 • Split Tunnel方式: VPNの先にあるサーバーに対して接続する時はtunnel inferface経由でVPN接続するが、それ以外のアクセスは、デフォ ルトのインターフェース経由で(VPNを利用しない時の経路を使って）アクセスする方法。 クライアントにとってdefault gatewayはVPNを 張る前と同じで変わらず、VPN経由の通信だけtunnel interfaceを使ってstatic routeで構成される。 • Full Tunnel方式: (static routeなどの優先経路がない限りは）全ての通信はデフォルトでVPN経由にする方法。クライアントにとって default gatewayがVPN Gatewayになる。 • デフォルトではUDP/443を利用。TCPや別のポート番号にも変更可能。 • VPNサーバーに対してSecurity Groupを構成し、VPN Clientの接続元を制限することが可能。 • 「VPNサーバー経路」として、宛先CIDRに対してどのように通信するかを指定可能。 • Deliver（配信）: そのままパケットを配布（ VPNサービスと同じVPCのサーバーなどに利用） • Drop（ドロップ）: 通信を禁止させたい場合に明示的に指定。 • Transfer(変換）: VPNサーバーでSource NATを実施。そのため、Transit Gateway経由で異なるVPCに接続する際や、Service Endpoint(161.26.0.0/16)に接続したい場合や、インターネットにアクセスしたい場合に利用。 • https://qiita.com/y_tama/items/16987e07842262cd9068 • https://qiita.com/testnin2/items/cbf361820e145a8e84c7 • https://qiita.com/testnin2/items/0a71445529bc1c5be180 • https://qiita.com/testnin2/items/946e8227486b470852e0

49. 49 © 2022 IBM Corporation 3-4. ネットワーク（VPC） VPE(Virtual Private Endpoint)

    • 指定したVPCから、IBM CloudのサービスのPrivate Endpointにアクセス可能となる機能です。 • IBM Cloud Service Endpointsとの違いは、VPC内で定義されるPrivate IPを使ってアクセスを可能となることや、VPCのセ キュリティー機能（Security Group/Network ACL）を使って通信制御が可能なことです。 • 現時点でVPEとして利用できるサービスは以下を参照して下さい。 https://cloud.ibm.com/docs/vpc?topic=vpc-vpe-supported-services&locale=en • Reserved IPはシステムによって⾃動的に割り当てられます。現時点では、利用者が明示的にアドレスを指定することはできません。 -> ユーザーが 定義したReserved IPを指定できるようになりました。 • VPEにDirect Link 2.0経由やTransit Gateway経由で直接アクセスすることはできません。 https://cloud.ibm.com/docs/vpc?topic=vpc-limitations-vpe • 2022年2月時点でベアメタルからVPEへのアクセスはできません。 VPEは、以下で構成されます。 • IBM Cloudのサービスに接続するためのEndpoint Gateway。AZに またがって構成されており冗長化されている。 • Endpoint Gatewayに紐づけるIPアドレス（Reserved IP)。 Reserved IPは１つのEndpoint Gatewayに対して1つのZoneに 付き1つのみ割り当て可能です。 実際の注文方法や設定方法は以下を参照してください。 • https://cloud.ibm.com/docs/vpc?topic=vpc-about-vpe&locale=en • https://qiita.com/testnin2/items/4663169274975bdb7a9e

50. 50 © 2022 IBM Corporation 3-4. ネットワーク（VPC） VPC Route •

    VPC内部のルーティング・テーブルを利用者が編集することにより、柔軟な経路制御が可能になります。 • 各々の経路(route)として、宛先CIDR, Zone, next hope, およびAction(Deliver/Drop/Delegate/Delegate-VPC)を指定 可能です。 • 経路（Route)を作成するたびに、どのZoneのルーティングテーブルに追加をするかを指定するために、Locationを選択します。これに より、VPC のゾーンごとに複数のrouting tableが存在できます。 • VPC内部のあるSubnetからパケットが出ていく際には、そのSubnetの属するZoneのルーティングテーブルを利用して、パケットの次 の送信先が決定されます。 • VPC Routeの種類と特徴は以下になります。 Egress Route Ingress Route 利用目的 VPC内部から発信する経路を制御 (同一Zoneもしくは異なるZoneへ の発信を含む） VPC外部から発信する経路を制御 該当のRouting Tableを利用する パケットの発信元の指定方法 VPC内のsubnet（指定がない場 合はデフォルトのRouting Table を利用） - Direct Link - Transit Gateway - VPC Zone（異なるZoneからの 受信） next hopの指定方法 next hopのアドレスは別Zoneの アドレスであっても良い。 next hopのアドレスは同一Zone のアドレスである必要がある。 • 主な注意点 • ある宛先アドレスに対して複数の宛先CIDRが当てはまる場合は、その中で最も特定で きる宛先CIDRが選択されます（longest matching) • ある宛先アドレスに対してまったく等価な宛先が存在する場合は、round-robinで割り 振られます。 • その他制約事項は以下を参照してください。 • https://cloud.ibm.com/docs/vpc?topic=vpc-about-custom-routes

51. 51 © 2022 IBM Corporation 3-4. ネットワーク（VPC） • Custom Routeを使った、RFC1918で規定されているPrivate

    IP address(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) 以外のアドレスを利用する場合について • RFC1918で規定されているアドレス帯以外をVPC内で利用したい場合 • RFC1918で規定されているアドレス帯以外に対し、Direct Link 2.0経由/Transit Gatewayでアクセスしたい場合。 • RFC1918で規定されているアドレス帯以外のアドレスから、Direct Link 2.0経由/Transit Gatewayでアクセスしたい場合。 などのユースケースにおいては、custom routeのactionにて「Delegate-VPC」を利用します。「Delegate」では単にVPC内部のシステム ルートテーブルを利用するためRFC1918で規定されているアドレス帯以外にアクセスする場合にはFloating IP/Public Gatewayを利用しま す。しかし、「Delegate-VPC」を選択することでそのアドレス帯へのアクセスにFloating IP/Public Gatewayを利用せず、そのアドレス帯 がInternetではなくVPC内に存在するとみなします。詳細は以下のリンクを参照してください。 • https://cloud.ibm.com/docs/vpc?topic=vpc-create-vpc-route&locale=en • https://cloud.ibm.com/docs/vpc?topic=vpc-interconnectivity&locale=en#routing-considerations-iana

52. 52 © 2022 IBM Corporation 3-5. セキュリティ（VPC） Security Group/Network ACL

    • Security GroupとNetwork ACLはVPCでのパケットフィルタリング機能を提供します。 • 両者の違いは以下になります。 https://cloud.ibm.com/docs/vpc?topic=vpc-security-in-your-vpc#compare-security-groups-and-access-control-lists https://cloud.ibm.com/docs/vpc?topic=vpc-using-security-groups https://cloud.ibm.com/docs/vpc?topic=vpc-using-acls Security Group Network ACL 制御レベル VSI, ALB, VPE, ベアメタ ル subnet State管理 Stateful firewall （インバウンド接続が許可 されると、その応答も許可 される） Stateless firewall （インバウンド接続とアウ トバウンド接続の両方を明 示的に許可する必要があ る） サポートされているルール 許可ルール 許可ルールと拒否ルール ルールの適用方法 全てのルールが評価される ルールは順番に処理される。 設定の注意点 １つのVSIに複数のセキュ リティーグループを適用す ることができる • 複数のsubnetに同一の Network ACLを適用す ることができる。 • 1つのsubnetには1つの ACLのみ設定することが 可能。複数のNetwork ACLを適用することはで きない。

53. IBM Cloud 101 IBM Cloud 101 #4 Virtual Private Cloud

    (VPC) を知る Demo - VPC 構築実践チュートリアル 53 ©︎ 2022 IBM Corporation

54. デモの内容はこちら ©︎ 2022 IBM Corporation https://ibm.biz/cloud101vpc

55. Question ? 55 ©︎ 2022 IBM Corporation

56. IBM Cloud 101 IBM Cloud 101 #4 Virtual Private Cloud

    (VPC) を知る まとめ 56 ©︎ 2022 IBM Corporation

57. 57 ©︎ 2022 IBM Corporation 本日のまとめ • IBM Cloud の

    IaaS 環境には Classic と VPC の二つの環境がある • VPC は仮想化されたネットワーク環境として提供される • ちゃんと設計を考えて作り始めよう • VPC でもベアメタル・サーバーは提供される • VPC では z 環境も提供される • VPC のアクセス制御は IAM 管理 • VPC環境では別アカウント間を含めて柔軟なネットワーク接続が可能 • Classic と VPC 環境の選択は適材適所。要件によって判断しよう

58. 58 ©︎ 2022 IBM Corporation 次回の IBM Cloud 101 は？

    IBM Cloud 101 – #5 ネットワークを知る 次回は 8月24日 14:00-15:00 https://ibm-developer.connpass.com/event/254745/

59. ご清聴有難うございました IBM Tech/Developer Dojo 101

60. 60 ©︎ 2022 IBM Corporation アンケートをお願いします