仮想ルータ機能
対象リージョン:東日本第3/西日本第3
外部ネットワークと内部ネットワーク、またはネットワーク同士を接続するための仮想ルータ機能を提供します。
ネットワークと仮想ルータの関係を、以下の図に示します。
仮想ルータの作成
以下の項目を指定して、仮想ルータを作成します。
項目 | 説明 | 必須 |
---|---|---|
仮想ルータ名 | 仮想ルータを識別する名称 |
仮想ルータの情報変更
既存の仮想ルータに対し、設定情報を変更します。仮想ルータを外部ネットワークに接続するには、本機能で外部ネットワークを設定します。
項目 | 説明 | 必須 |
---|---|---|
仮想ルータ名 | 変更したい名称 | |
外部ネットワークID |
外部ネットワークのID 外部ネットワークIDはサブネット一覧から確認できます。 |
仮想ルータとネットワークのアタッチ
既存の仮想ルータに対し、新たにサブネットを追加でアタッチする場合は、以下のように操作します。
-
追加でアタッチしたいサブネットにポートを作成します。
アタッチ先となる仮想ルータのサブネットにゲートウェイアドレスが指定されている場合、同じアドレスを使用してポートを作成してください。
-
作成したポートを仮想ルータにインターフェースとして追加します。
同じ仮想ルータにアタッチされたサブネット同士が仮想ルータ経由で通信できるよう、自動的にルーティングテーブルが設定されます。
- 仮想ルータを多段に構成できません。1つのネットワークにつき、アタッチできる仮想ルータは1つです。
- 仮想ルータにアタッチされたサブネットのゲートウェイアドレスに「null」を設定できません。
- 仮想ルータにアタッチされたサブネット配下に仮想サーバが存在していない場合、サブネットのゲートウェイアドレスに通信できません。
- 仮想ルータにアタッチされたサブネットのゲートウェイアドレスへの pingおよび tracerouteを実行した場合、優先度の低いトラフィックとして扱われ、同一サブネット内の他の通信ノードと比べたレスポンスは相対的に低くなります。
仮想ルータの削除
不要になった仮想ルータを削除します。
- 仮想ルータにサブネットがアタッチされている場合、仮想ルータは削除できません。事前にすべてのサブネットをデタッチしておく必要があります。
- ポートに allowed_address_pairsパラメータが設定されている場合、allowed_address_pairを解除してからルータをデタッチしてください。
NAT機能
仮想ルータでは以下のNAT機能が使用できます。
-
SNAT
ネットワークからFJcloud-O以外のネットワークに向けての通信
SNAT機能は、外部ネットワークに接続された仮想ルータのサブネットのリソースからの通信だけ有効です。
注:- FJcloud-OのIaaSサービス以外で管理されたIPアドレス(例えば、プライベート接続で接続された顧客のオンプレミスのネットワークのIPアドレス)に対するSNATはサポート対象外です。
サポート対象外のアドレスから、IaaSの仮想ルータを経由する外部のインターネットへの通信が必要な場合は、ProxyまたはNATの機能を持たせた仮想サーバをプロジェクトに設置し、その仮想サーバにてアドレスを変換する必要があります。
-
デフォルトではSNAT機能が無効です。SNAT機能を有効にするには、external_gateway_infoパラメータ、および SNAT通信可否(nuage_underlay)パラメータの指定が必要です。nuage_underlayパラメータには、SNAT通信なしの場合は「off」、SNAT通信ありの場合は「snat」を指定してください。
nuage_underlayパラメータの詳細については、APIリファレンス(東日本リージョン3/西日本リージョン3)の「API詳細(Routers)」を参照してください。
-
SNATを用いたインターネットへの通信について、KeepAlive等により通信コネクションを長時間かつ多数維持し続けるケースにおいて、同一物理ホストに搭載されている仮想サーバ全体のSNATを用いたインターネットへの通信ができなくなることがあります。
-
物理ホストが使用できるコネクション数には上限があり、同一物理ホスト上で動作する全ての仮想サーバからのコネクション総数はこの上限を上回ることができません。そのため仮想サーバからSNATによるインターネット通信する場合には、KeepAliveの設定を見直すなど、不要なコネクションは適切に切断してください。
-
インターネットへの通信要件として通信コネクションを長時間かつ多数維持し続ける必要がある場合や通信の安定性を求める場合は、SNATによる通信ではなく、専用のグローバルIPアドレスを割り当てられるフローティングIPによる通信を利用してください。
ヒント:通信時に使用される送信元グローバルIPアドレスについて
- ポートにグローバルIPアドレスが設定されている場合は、そのグローバルIPアドレスが通信に使用されます。
-
ポートにグローバルIPアドレスが設定されていない場合は、リージョンごとに設定されたSNATアドレスプールから自動でグローバルIPアドレスが割り当てられます。変換後のグローバルIPアドレスを指定、あるいは固定することはできません。
グローバルIPアドレスの詳細については、ヘルプデスクまで問い合わせてください。
- FJcloud-OのIaaSサービス以外で管理されたIPアドレス(例えば、プライベート接続で接続された顧客のオンプレミスのネットワークのIPアドレス)に対するSNATはサポート対象外です。
-
DNAT
FJcloud-O以外のネットワークからネットワークに向けての通信
リソースのポートにグローバルIPアドレスを割り当てた場合は、そのグローバルIPアドレスとプライベートIPアドレスを相互にアドレス変換します。
プロジェクト間ネットワーク接続機能
プロジェクト間ネットワーク接続機能の詳細については、「ネットワークRBAC (Role-Based Access Control)」を参照してください。
ヘルプデスク経由で設定したプロジェクト間ネットワーク接続機能の詳細、設定解除については、「プロジェクト間ネットワーク接続 利用ガイド」を参照してください。
※以降、ヘルプデスク経由の新規設定申請はせずに「ネットワークRBAC (Role-Based Access Control)」を利用してください。
- 仮想ルータにデフォルトルート(0.0.0.0/0)が設定されている場合、その仮想ルータ配下の仮想サーバは、FJcloud-O以外のネットワークに接続できません。
-
外部ネットワークが接続されている仮想ルータにスタティックルートを設定する場合、プライベートアドレスだけ設定できます。
代表的な例の設定可否を示します。
表 3. 代表的な例の設定可否 IPアドレス 設定可否 0.0.0.0/0 × 100.64.0.0/16 × 100.64.0.0/24 × 100.64.0.0/32 × 133.162.0.0/16 × 10.0.0.0/8 ◯ 172.16.0.0/16 ◯ 172.16.0.0/24 ◯ 192.168.0.0/24 ◯ 192.168.0.0/32 ◯ - 仮想ルータの更新時に、external_gateway_info(外部ゲートウェイの情報)とroutes(仮想ルータのルーティング情報)を同時に削除する場合は、事前に以下の操作を実施してください。
- 更新する仮想ルータ配下に割り当てられたFloating IPを全て解除する
- 更新する仮想ルータ配下のインターネットに公開しているSSL-VPNとpublicタイプの、ロードバランサー(NFV)を全て削除する
-
DEXサービスに接続している仮想ルータにデフォルトルート(0.0.0.0/0)を設定した場合、DEXサービス側にデフォルトルートは伝達されません。
DEXサービスの詳細については、「DEX(Digital enhanced EXchange)」を参照してください。
- 仮想ルータを外部ネットワークに接続すると、仮想ルータにEXTERNAL_FIXED_IPが設定されます。現時点では、この設定による仮想ルータの動作に影響はありません。