「SOFTLAYER NETWORK の基礎」 札幌勉強会資料

Japan SoftLayer User Group

¨  Hideaki Tokida

¤  Twitter: @tokida

¤  Facebook : hideaki.tokida

¨  所属：

¤  日本情報通信株式会社

¤  オンプレミスの常駐型運用サービス〜クラウド関連のお仕事を普段しています。

¨  SoftwareDesign にて「SoftLayerを使ってみませんか？」を短期連載中

はじめに

¨  SoftLayerのサービス建て付け ¨  全体のネットワーク構成 ¨  接続形式による方式の違い ¨  利用形態を考えてみる

本資料について

¨  SoftLayerのネットワークを説明する上で ¤ 時期により、Webサイト上の単語も少しづつ表現が変

わってきています。ここではなるべくWebサイトに沿った形で説明を記載していますが若干意味合いが違うものがありますのでご注意下さい。

サービスの建て付け

¨  SoftLayerの特徴として、同一の機能を持つ複数のサービスを選択する事が可能です。

¨  多くは「SoftLayer標準サービス」と「サードパーティ製品（アプライアンス製品含む）」のサービスがあります。 ¤  「サードパーティ製品」については、SoftLayer上のアプライアンスとして提供されるケース

と、別途購入するサーバ上に構築を行うケースがあります。

¨  例：Firewall ¤  Firewallの場合には、5種類のサービスから用途に応じてユーザは「選択」することが出

来ます。

¤  (a) Hardware Firewall　

¤  (b) Hardware Firewall (Dedicated)

¤  (c) Hardware Firewall (High Availability)

¤  (d) Fortigate Security Appliance

¤  (e) Gateway Appliance

SoftLayerのネットワーク全体

¨  全世界に、14DataCenterや19箇所の接続拠点（POP)などが張り巡らされてています(14年中に15カ国、40拠点へ）

¨  各DataCenterは、Private Networkにより接続されています。 ¤  冗長化された10G以上のネットワーク接続 ¤  安価なネットワーク転送量 （Internetへの送信のみ課金対象）

出典元：http://www.softlayer.com/our-platform

利用形態からみた構成

¨  ネットワークから見たクラウドデザインパターン 1)  SoftLayerの構成は、「Internet」アクセスの有無により利用でき

るサービスが異なります。まずはInternetアクセスの有無を考えます。

2)  次にどの様に「PrivateNetwork」へのアクセス経路を考えます。これにより大枠のネットワークデザインが確定します。

3)  最後に選択可能な（ネットワーク）サービスから目的に応じた機能を利用します。（「サービスの建て付け」で説明したように同じ機能を複数のサービスから選択が出来ますが、PrivateのみPublicのみの条件などがあり用途によっては特定のサービスのみが利用可能です）

ネットワーク構成パターン

ネットワーク構成パターンA ネットワーク構成パターンB

インターネット＋イントラネット接続 イントラネット接続

¨  ネットワーク構成パターン上に追加でコンポーネントを配置する事により、セキュリティの強化や速度の強化を行うことが出来ます。

Public

Private

Private

ネットワーク構成パターン（AまたはB）を選択しシステムを構築した後に変更する際には別途作業が必要となります。構成パターンB（Private）を選択した場合には、PrivateエリアからInternetへ通信は出来ませんが、Windows Update、RHEL及びUbuntuのレポジトリへはアクセスが可能です。

Internet

各DataCenterのつながり

¨  各地のデータセンターの連携 ¤ データセンターは全てPrivateNetworkで接続されている ¤ 各拠点からInternetへ高速に接続されている。

DC#3 DC#n DC#1 DC#2

Private Network ・各データセンターは内部ネットワークを通じて接続されている

Public Network Public Network Public Network Public Network

DataCenter内のネットワーク接続

出典：「Seattle Data Center 」

DataCenter内のネットワーク接続

出典：「Seattle Data Center 」

自分

のサ

ーバ

群 グローバル用のサー

ビス群

プライベート用のサービス群

Internetへの接続口

VPNへの接続口

i) パブリックネットワーク

¨  パブリックネットワーク ¤  大きく、バックボーンを支えている

「CoreNetwork」と利用するサーバが接続されている「FrontEnd Customer Network」があります。

¤  「Frontend Customer Network」上には、「DNSサービス」、「Load Balancer」そして「Firewall」等のサービスを経由してサーバに接続されています。重要な機能としてInternetへの接続が実施されています。

¤  個々のサーバのInterfaceまでがパブリックネットワークとなります。

ii) プライベートネットワーク

¨  プライベートネットワーク ¤ 顧客が利用する

「Backend Customer Network」とSoftLayer上の各種サービスが稼働している「Backend Service Network」がある。

¤  「Backend Service Network」にiSCSIなどのストレージまたMonitoringやUpdate用のレポジトリなどが存在する。

iii) マネジメントネットワーク

¨  マネジメントネットワーク ¤ プライベートから繋がるネットワークでVPN接続等の

Out-of-Bandやメンテナンス等のサービスが稼働する

論理的なネットワーク構成

¨  ユーザは、SoftLayer全体のネットワークから「個別」に用意されたネットワークを利用することが出来ます。

¨  SoftLayerから割り当てられた単位でNetworkを管理していくことになります。

¨  ユーザが利用できる一番大きな単位はVLANと呼ばれる管理となり、これは一つのコリジョンドメインとなります。

¨  VLANは、複数のSubnetで構成されています。 ¨  Subnetはセグメント（IPアドレス）が割り当てられておりユーザが意識するネットワークの最小

単位となります。

VLAN#1

Subnet#1 Subnet#2

・・・ ・・・

VLAN#2

Subnet#3 Subnet#4

・・・ ・・・

VLANは、DataCenterをまたがっては構成できません。 全てのVLANを同一のコリジョンドメインにするための「VLANスパニング」機能があります。

IP Multicast の通信範囲

¨  Softlayerでは、IP Mutilicastが利用可能です。 ¤  同一Subnet内で許可されています。

VLAN#1

Subnet#1 Subnet#2

・・・ ・・・

VLAN#2

Subnet#3 Subnet#4

・・・ ・・・

IPレベルの通信可能（vlan spaningが有効の場合）

IPレベルの通信可能（vlan spaningが無効の場合）

MutlicastDNSの通信可能

サーバから見たネットワーク

¨  個々のサーバからは標準では2つのNICがあり各々「Public Network」と「Private Network」に接続されています。

¨  仮想サーバと物理サーバではInterfaceカードの差はありますが接続されてる先は同じと考えて良いと思います。（どちらも同じサーバとして扱えるのことも利点です）

¨  管理用の「Management　Network」も同様にPrivate Networkとしてサーバからは見えます（IPアドレスとして連続した番号が割り当てらています）

eth0

eth1

eth0

eth1

Bond0:チーミング

Public Network

Private Network　＆　Management Network

仮想基盤

eth2

eth3

Bond1:チーミング

eth4

Management用（OSから見える場合と見えない場合あり）

仮想サーバ ベアメタルサーバ

PrivateNetworkのIPアドレス体系

¨  ユーザに割り当てられているPrivateは自由に変更することが出来ません。

¨  注意点 ¤  IPアドレス体系の持ち込みは出来ない（任意のIPアド

レス体系を作ることが出来ない） ¤ DataCenterによっても割り当てられている範囲が違う ¤ サーバをオーダするまでどのIPアドレスが割当たるか

不明（後述するVPN接続などでNAT変換が必要なのかなど判断するタイミングが難しい）

サーバをプールに追加しない場合 サーバをプールに追加する場合

サーバBの帯域超過分を追加で支払う。 (例の場合:1TBで$100)

サーバをプールに追加した金額を支払う。 (例の場合:初月:プール作成費用$25+2サーバで$50=$75、初月以降:2サーバで$50)

ネットワーク帯域のプールについて

注意点1 プールはUS、EU(アムステルダム、ロンドン)、アジア(シンガポール、香港)の3箇所から選択できます。 異なる箇所にあるサーバは同じプールに追加することができません。(例:シンガポールとロンドンにあるサーバは同じプールに追加できません)

プール

サーバA,Bで 使用した帯域 7TB

サーバBをプールに追加

サーバAをプールに追加

　　　月額$25

　　　　月額$25

サーバA

サーバB

サーバAの 契約した帯域

サーバBの 契約した帯域

サーバAで 使用した帯域1TB

サーバBで 使用した帯域6TB

5TB 1TB

5TB 5TB

1TB

サーバA

サーバB

サーバBの 契約した帯域

サーバAで 使用した帯域1TB

サーバBで 使用した帯域6TB

5TB

5TB 5TB

1TB

サーバA

サーバB

サーバAの 契約した帯域

サーバBの 契約した帯域

サーバAで 使用した帯域1TB

サーバBで 使用した帯域6TB

5TB 1TB

5TB 5TB

1TB 6TB

10TB 1TB

1TB

サーバAの 契約した帯域

サーバA,Bの 契約した帯域

表:ネットワーク帯域のプール概要

SoftLayerへの接続

¨  SoftLayerのネットワークにユーザがアクセする方法は3種類ほどあります。

¤  SSL-VPN/PPTP経由 ¤  IP-SEC VPN経由（オプション／アプライアンスゲートウェイ） ¤  DirectLink専用線接続

¨  この中の接続の内、SSL-VPN接続・IP-SEC接続・専用線接続を行うことでどの様な形式として接続されるかを記載していきます。

閉域網

接続方式 標準/オプション 特徴 接続先

SSL VPN 標準（無償） サービス

・お客様のPCから個別に接続可能 ・管理者/エンドユーザ共に使用可能

DC/POPの中から 都度選択可能 PPTP VPN

IPSec VPN

有償オプション サービス

・お客様DC/オフィスのVPNルータから接続可能 ・管理者/エンドユーザ共に使用可能

購入時に選択した DCのみ

有償オプション アプライアンスゲート

ウェイ

・お客様DC/オフィスのVPNルータから接続可能 ・VPN接続はInternet経由での接続 ・様々な接続形態に対応

購入時のDCのInternet側

専用線 有償オプション

サービス

・専用線を別途敷設し、SoftLayerの東京PoPに 　お客様DC/オフィスのルータから接続可能 ・エンドユーザが使用可能

購入時に選択した PoPのみ

　Internet

　SoftLayer WAN

DC � プライ ベート VLAN

パブリック VLAN

Vyatta gateway appliance

DC

Internet

SSL VPN

PPTP VPN

IPSec VPN

IPSec VPN （Vyattaを利用）

専用線 PoP

PoP

PoP

PoP DC

DC

i) SSL-VPN接続

¨  SSL-VPNについて ¤  端末とSoftLayerのNetworkを接続する最も簡単な方法です。

¤  主にメンテナンスや開発で利用することが想定されます。

¤  SoftLayer上で管理されているユーザ毎に利用の可否を選択することが出来ます。

¤  SSL-VPNで接続すると（以降のVPN接続は全て同じ）、「Management Network」に接続され「Private Network」経由でサーバに接続する事が可能です。

ii) IP-SEC接続

¨  ２つのIP−SEC接続方式 ¤  SoftLayer標準サービスを利用するケース（プライベート経由）

n  ユーザのセグメントはIPマスカレードが適応される（送信元NAT） n  １：１NATが必要な場合にはTicketで対応

¤  Gatewayアプライアンスを利用するケース（パブリック経由） n  NATが適応されない n  送信経路がパブリック経由のため課金対象

iii) 専用線接続

¨  「Direct Link」サービス ¤  専用線を接続するためには、「東京POP（Equinix)」へ閉域網（NTTコム-Uno, KDDI-WAVS,

SoftBank-Ultina)を利用して接続します。

¤  Direct Linkを実施する場合には、東京POP内に設置したお客様ラックとSoftLayerの回線を接続する必要があります。

ネットワークサービス

¨  SoftLayerの様なIaaSサービスを利用する上で必須の機能として「ネットワーク」系のサービスがあります

¨  代表的なサービス ¤  Load Balancer機能 ¤  Firewall機能

¨  Security系サービス ¤ ウィルス検知機能

¨  Internet系サービス ¤ DNS機能 ¤  SSH証明書

各種サービスの特徴と操作イメージ

Service 機能紹介

Local Load Balancer

¨  特徴 ¤  １環境に対して、n台のLoad Balancerを設置可能 ¤  (VIP１個ずつ購入） ¤  LB上で待受Portを分けることにより複数の分散が可能 ¤  管理ポータルからの簡単な設定追加

Internet　Gateway

Internet

test001 test002 test003

119.81.71.73/29

10.64.115.0/26

VLAN：sng01.fcr01a.1123

VLAN：sng01.bcr01a.1367

.75 .76 .78

.58 .30 .34

10.66.15.56/29

Load Balancer

Port 80

test004

.79

.34

Port 81

VIP (.100)

•  機能 •  分散方式

•  ヘルスチェック •  振り分け先のサーバへTCPポート

を指定してチェックの実施

『従量課金対象』 Connection XXX数/sec

Connectionの割合を選択(例：Port80: 50%, Port81 : 50% 等）

¨  メニューから「Network」→「Load Balancing」→「Local」を選択。

項目 内容

VIP Load Balancerにアクセスするための仮想IPアドレス

Device Load Balancerのデバイス名（機器名.ロケーション)

Location 設置しているDataCenter名

SSL offload Load BalancerでSSHの終端を実施するかしないか

Connections/secound トランザクション数

Type LoadBalanceｒの種類

図 View画面での表示項目説明

¨  新規に「グループ」を追加 設定項目 設定値

Group Type サービスのプロトコルの選択 ・DNS/FTP/HTTP/TCP/UDP

Balancing Method 負荷分散方式の選択 ①Consistent Hash IP ②Insert Cookie ③Persistent IP ④Least Connections 　　・ w/ Inserted Cookie ・ w/ Persistent IP ④Round Robin 　　・ w/ Inserted Cookie 　　・ w/ Persistent IP ⑤Shortest Response 　　・ w/ Inserted Cookie 　　・ w/ Persistent IP　　　

Virtual Port LBでの待受ポート

Connection Allocation 定義された「グループ」間での接続数の割り当て（全体で100%になるように調整する）

AdvanceSettings TCPプロトコルの場合にはTimeout(秒）を設定可能

¨  「グループ」に対して「サービス」（分散先のサーバ）の追加

設定項目 設定値

IP Address 同じDataCenter内のパブリック「IPアドレス」から選択

Port 振り分けを行うポート番号

Health Cheack Type HTTP Ping TCP (「グループ」で選択したTypeに準ずる）

Weight 重み付け

Enabled 有効・無効

Hardware Firewall

¨  特徴 ¤  サーバ毎にFirewallを定義 ¤  Firewall機能はポートフィルタを提供 ¤  Internalへの通信をBlock（Outboundは制御しない）

Internet　Gateway

Internet

test001 test002 test003

10.64.115.0/26

VLAN：sng01.fcr01a.1123

VLAN：sng01.bcr01a.1367

.75 .76 .78

.58 .30 .34

10.66.15.56/29

test004

.79

.34

Hardware Firwall

ポートフィルタの実施 最大50個

サーバ単位で設定を実施

¨  Hardware Firewall の設定 ¤  各サーバ単位で設定を実施 ¤  購入すると「Firewall」のタブが追加される。

¨  Firewallの定義の追加

Action 許可の種類 ・Permit ・Deny

Source 送信元IPアドレス（CIDR形式）

Destination 送信先IPアドレス（このサーバのPublicIPアドレス）

PortRange ポートの範囲を指定

Protocol プロトコルの指定 ・TCP ・GRE ・ICMP ・UDP ・PPTP ・AH ・ESP

Speed and Change の構築