ネットワーク共通編

ネットワーク構成

  • Enterprise Cloud 2.0のネットワーク構成イメージは以下のとおりです。
  • 下記構成イメージは一例であり、オンプレミスのネットワークと同様に、自由なトポロジ―・メニュー選択・IPアドレス設計を実施いただくことが可能です。
diagram

ネットワークメニュー一覧

ネットワークメニューの一覧は以下のとおりです。

メニュー 概要
ロジカルネットワーク
  • テナント内の任意のリソース間をつなぐL2ネットワークを提供します。
  • オンプレミスのネットワーク同様の自由なトポロジー、自由なIPアドレス設計をクラウド上で柔軟に再現できます。
インターネット接続
  • テナントからインターネットへの接続機能を提供します。
  • お客様要件に合わせて伝送速度・品質を選択可能で、データ転送量に応じた料金は不要です。
VPN接続
  • テナントからNTTComの高品質なIP-VPNサービスへの接続機能を提供します。
  • お客様要件に合わせて伝送速度・品質を選択可能で、データ転送量に応じた料金は不要です。
ネットワーク型セキュリティ
  • 多様化した脅威に対して、ワンストップで統合的に対応します。
  • まずはFirewall機能のみを利用し、必要に応じてUTMにアップグレードという利用も可能です。
ファイアウォール(vSRX)
  • 任意の場所に配置できるファイアウォール機能を提供します。
  • vSRXの提供機能を最大限に開放して提供します。
ファイアウォール(Brocade 5600 vRouter)
※ 2017/7/1 新規販売停止
  • 任意の場所に配置できるファイアウォール機能を提供します。
  • Brocade 5600 vRouterの提供機能を最大限に開放して提供します。
ロードバランサー(NetScaler VPX)
  • 任意の場所に配置できるロードバランサ―機能を提供します。
  • NetScaler VPXの提供機能を最大限に開放して提供します。

サービス上限一覧

各メニューにおける利用上限値は以下のとおりです。

メニュー リソース 利用上限 備考・利用単位
ロジカルネットワーク テナントごとの提供ロジカルネットワーク数 64  
  テナントごとの提供サブネット数 128  
  テナントごとの提供ポート数 2048  
インターネット接続 テナントごとの提供インターネットゲートウェイ数 4  
  インターネットゲートウェイごとのゲートウェイインターフェイス数 1  
  インターネットゲートウェイごとのスタティックルート数 32  
  テナントごとの提供サブネット数 4 取得単位はサブネットマスク長/32~/28
VPNゲートウェイ テナントごとの提供VPNゲートウェイ数 32  
  VPNゲートウェイごとのゲートウェイインターフェイス数 1  
  VPNゲートウェイごとのスタティックルート数 32  
Managed Firewall テナントごとの提供Managed Firewall数 上限なし  
  Managed Firewallごとのインターフェイス数 7  
Managed UTM テナントごとの提供Managed UTM数 上限なし  
  Managed UTMごとのインターフェイス数 7  
Managed WAF テナントごとの提供Managed WAF数 上限なし  
  Managed WAFごとのインターフェイス数 1  
ファイアウォール
(vSRX)
テナントごとの提供ファイアウォール数 64  
  ファイアウォールごとのインターフェイス数 8  
ファイアウォール
(Brocade 5600 vRouter)
テナントごとの提供ファイアウォール数 16 2017/7/1 新規販売停止
  ファイアウォールごとのインターフェイス数 4もしくは8 プランに準じて決定
ロードバランサー
(NetScaler VPX)
テナントごとの提供ロードバランサ―数 16  
  ロードバランサ―ごとのインターフェイス数 4もしくは8 プランに準じて決定
  ロードバランサ―ごとに設定可能なシスログ転送先 8 11.0-67.12以降のバージョンにて提供

MTU設計ガイド

推奨値

  • ロジカルネットワークに接続するリソースのMTUは以下に設定し、MTUサイズ内で通信することを推奨します。推奨値は、データプレーンはインターネット等のWAN環境で標準となる1500バイト、ストレージプレーンはLAN内のストレージ通信高速化のため9000バイトとなります。
  • 同じロジカルネットワークに接続するリソースでMTUが異なると、通信ができなくなりますので、ご注意ください。
プレーン種別 データプレーン(D) ストレージプレーン(S)
MTU推奨値 1500 9000

各メニューの初期値および変更可否

  • 各メニューの初期値及び変更可否は以下一覧をご参照ください。
  • 同じロジカルネットワークに接続するリソースでMTUが異なると、通信ができなくなりますので、ご注意ください。
カテゴリー メニュー 初期値(単位:バイト) 変更可否
サーバー ベアメタルサーバー OS設定依存 OS設定依存
  仮想サーバー OS設定依存 OS設定依存
  OS
D:1500
S:1500 (※1)
一部不可(※2)
ストレージ ブロックストレージ(IO性能確保)
D:1500
S:9000
不可
  ファイルストレージ(プレミアム) S:9000 不可
  ファイルストレージ(スタンダード)
D:1500
S:9000
不可
ネットワーク ロジカルネットワーク
D:9000
S:9000
不可
  インターネット接続 D:1500 不可
  VPNゲートウェイ D:1500 不可
  ファイアウォール(vSRX) D:1500
  ファイアウォール(Brocade 5600 vRouter)(※3) D:1500 不可
  ロードバランサー(NetScaler VPX) D:1500 不可
SD-Exchange コロケーション接続 D:9000 不可
  Enterprise Cloud 1.0 接続 D:1500 不可
  Enterprise Cloud 2.0 接続 接続元リソースに依存 不可
  Amazon Web Services 接続 D:1500 不可
  Google Cloud Platform 接続 D:1500 不可
  Microsoft Azure 接続 D:1500 不可
  遠隔データセンタ接続 D:1500 不可
専用ハイパーバイザー  
D:1500
S:1500
セキュリティ Network-based Security D:1500 不可(Managed WAFのみ可)
ミドルウェア Hyper-V OS設定依存 OS設定依存
  SAP HANA
D:1500
S:9000
不可
  Oracle OS設定依存 OS設定依存
  SQL Server D:1500
  Arcserve Unified Data Protection (UDP) Advanced Edition OS設定依存 OS設定依存
  Veeam Backup & Replication (VBR) for vSphere OS設定依存 OS設定依存
  HULFT OS設定依存 OS設定依存
  Windows Server Remote Desktop Services SAL OS設定依存 OS設定依存
Platform Service Cloud Foundary(※3) D:1500
  Rancher(※3) D:1500
  WebRTC Platform D:1500 不可
  Power Systems D:1500 不可

注釈

  • Dはデータプレーンを、Sはストレージプレーンを指します。
  • (※1) ベアメタルサーバー利用時、データプレーン、ストレージプレーン両方の設定が必要なのでご注意ください。
  • (※2) Red Hat Enterprise Linux for SAP Applicationsは設定変更が出来ません。
  • (※3) 現在新規販売停止、あるいはサービス終了しているメニューです。

冗長構成の構築方法

  • ネットワークメニューの冗長構成方法方法をご紹介します。
diagram
メニュー 方式 冗長方法
  • ロジカルネットワーク
レイヤ2 標準で冗長化されており、お客様による冗長化は不要です。
  • インターネット接続
  • VPN接続
レイヤ3
  • ロジカルネットワーク側
    • VRRP機能で冗長化します。
    • 対向リソースからはVRRPの仮想IPアドレスをネクストホップとしたスタティックルートを設定してください。
  • 外部ネットワーク側
    • BGP機能で冗長化します。お客様側の操作は不要です。
  • Managed Firewall
  • Managed UTM
レイヤ3
  • HA構成申込時にのみ冗長化されます。VRRP機能で冗長化します。
  • VRRP利用時は、接続するロジカルネットワークのDHCP機能(アドレス設定機能)を「有効」としてください。DHCP機能が「無効」の場合には、弊社ネットワークからソースのアドレスが0.0.0.0でARPリクエストが実施されます。この場合、弊社提供のロードバランサー、Managed Firewall/UTM等にてARPリプライを返さないことが確認されており、VRRPによる冗長化に影響し、切替わり時に通信断が継続する可能性があります。
  • 対向リソースからはVRRPの仮想IPアドレスをネクストホップとしたスタティックルートを設定してください。
  • 詳細は各メニューのドキュメントをご確認ください。
  • ファイアウォール
    (vSRX)
  • ファイアウォール
    (Brocade 5600 vRouter)
  • ロードバランサー
    (NetScaler VPX)
レイヤ3

NG構成例

  • ロジカルネットワークではオンプレミス環境と同様な自由なネットワークアーキテクチャを実現します。
  • 通信プロトコルの制約などから、下記構成では正常に動作致しませんので、下記構成例を確認いただき、適切に設定頂きますようお願いいたします。
  • その他の各メニュー個別の制約事項については、各メニューのサービス説明書をご確認ください。
NG構成例 説明
_images/ln_ng_asymmetry_traffic.png
  • 非対称通信(トラフィックの行きと帰りが別経路となる通信)は通信が出来なくなる場合があります。
  • トラフィックの行きと帰りが同一経路となる対称通信となるように設計してください。
_images/ln_ng_same_network.png
  • 同一リソースから同一ロジカルネットワークに複数接続し、同じ送信元MACアドレスを用いて通信すると、通信が出来なくなる場合があります。
  • 同一ロジカルネットワークの異なるサブネットを指定した場合も同様に通信が出来なくなる場合があります。1つのロジカルネットワークにサブネットを複数作成すると、異なるアドレス帯の通信を転送することは可能となりますが、同一L2ネットワーク(同一VLAN)に通信が流れるため、セキュリティ面での効果はありません。
  • 同一リソースからは異なるロジカルネットワークに接続するようにしてください。
_images/ln_ng_real_mac_redundancy.png
  • 仮想メニュー(仮想サーバー、Managed Firewall、ロードバランサ―(NetScaler VPX)など)では、Microsoft Failover ClusterやLinux Heartbeatのように、実MACアドレスを用いて冗長化する方式(通信用の仮想IPアドレスを処理するMACアドレスが冗長切替り後に変わる冗長化方式)は動作しません。
  • VRRPプロトコルのように、仮想MACアドレス用いて冗長化する方式(通信用の仮想IPアドレスを処理するMACアドレスが冗長切替り後に変わらない冗長化方式)をご利用ください。
  • VRRPプロトコルなどをご利用される際、冗長化を組む全ての仮想メニューリソースのポートの「許可されたアドレスのペア」項に、同じ仮想IPアドレス・仮想MACアドレスのペアを設定してください。
_images/ln_ng_mac_duplication.png
  • MACアドレス重複防止のため以下メニューを同一のロジカルネットワークに接続することが出来ません。接続した場合、通信が出来なくなる場合があります。
    • 複数のインターネット接続
    • 複数のVPN接続
    • 複数のAmazon Web Services接続
    • 複数のMicrosoft Azure接続
    • 複数のGoogle Cloud Platform接続
    • 複数の遠隔データセンター接続
    • VPN接続・Amazon Web Services接続・Microsoft Azure接続の組み合わせ
_images/ln_ng_l2_roop.png
  • L2ループ防止のため以下メニューを同一のロジカルネットワークに接続することは出来ません
    • コロケーション接続とコロケーション接続
    • Enterprise Cloud 1.0接続とEnterprise Cloud 1.0接続
    • コロケーション接続とEnterprise Cloud 1.0接続
_images/ln_ng_vrrp_id_duplication.png
  • MACアドレス重複防止のため、同一のロジカルネットワークに接続したリソース間ではVRID (VRRP ID)は重複しないように設計してください。
  • VRRP利用時に通信に用いる仮想MACアドレスはVRID (VRRP ID)に基づいて「00:00:5e:00:01:”VRID (VRRP ID)値”」という値となるため、同じVRID (VRRP ID)とするとMACアドレスが重複します。
  • 主なメニュー個別のVRID (VRRP ID)の利用状況は以下の通りです。
    • ネットワーク型セキュリティ(Managed FW/UTM)で利用可能なVRID (VRRP ID)は1~100です。また、事業者設備でVRID (VRRP ID)の11を利用しているため、11以外の値を利用してください。
    • Enterprise Cloud 1.0では事業者設備でVRID (VRRP ID)の0~80を利用しています。Enterprise Cloud 1.0接続の利用時、もしくはコロケーション接続の先でEnterprise Cloud 1.0と接続している場合は、他のリソースでは0~80を利用しないでください。

注釈

  • Managed FirewallもしくはManaged UTMにて複数のインターフェースを利用している場合、各インターフェースの対向機器のMACアドレスが重複した構成で利用できない仕様は、2018年1月16日に解消致しました。