プライベートクラウドには、主に2つの言い方があります。1つは、専用ハードウェア上でリソースを物理的に分離する方法、もう1つは分離されたネットワークによる仮想的な分離です。
物理的な分離によるプライベートクラウドの場合、通常、シングルテナントのユーザーとしてハードウェアをレンタルし、私たちのリソースは他のユーザーから明確に分離されています。Private Cloud by virtual separationでは、我々のリソースはマルチテナント環境にあり、ソフトウェアレベルで他のユーザーや公衆インターネットから隔離されています。これは、内部クラウド、イントラネット、またはより一般的には仮想プライベートクラウド(VPC)と呼ばれることもあります。
最終的に、プライベートクラウドの中核となる機能は、インフラ を分離して保護する能力です。これにより、ネットワークの攻撃対象領域を大幅に削減し、セキュリティを向上させることができます。VPC を利用することで、費用対効果を維持したまま、ソフトウェアレベルでこれを実現することができます。
VPC、VLAN、VPNを理解する
VPCでは、サーバーは他のパブリッククラウドリソースから遮断され、通常、独自のサブネットの集合体またはセットに限定されます。また、VLAN(Virtual Local Area Network)を利用することで、このような制限を行うこともできます。
VLANがどのような役割を果たすかを理解するために、部屋にある5台のデスクトップ・コンピュータがイーサネット・ケーブルで結ばれ、互いに内密に通信している様子を想像してみてください。昔は実際にそうしていましたが、現在ではケーブルを取り除き、OSIモデルの物理層からデータリンク層に接続を移してVLANを使用しています。
上記の例では、ユーザーは同じ部屋にいますが、これは今日、一般的なシナリオではありません。ユーザーが外部の場所から孤立したネットワークにアクセスするためには、VPN(Virtual Private Network)を設定する必要があります。VPN は、暗号化されたトンネルを経由して、ユーザーが公共のインターネットを介したプライベート・ネットワークに安全に接続するための手段です。
要約すると、VPCまたはVLANを使用して分離されたネットワークを作成し、この分離されたネットワークに安全にアクセスするために使用するのがVPNということになります。VPCとVLANという用語は同じ意味で使われることがありますが、確かに同じものではないことがわかります。
VLANをVPCとして使用することは可能ですか?
簡単に言うと、VLANをVPCとして使用することは可能です。VLANはネットワークの分離を実現し、機密情報を安全な空間でホストすることを可能にしますが、これにはいくつかの追加的な計画と考察が必要です。VLANと真のVPCの大きな違いは、OSIモデルの第2層と第3層を見ることでわかります。より詳しく見ていきましょう。
レイヤ2、データリンク層は、スイッチングとイーサネットケーブルを含みます。VLANは本質的に物理的なイーサネット・ケーブルの仮想的な代替物なので、レイヤ2の分離と考えられるでしょう。VMをVLANにアタッチすると、私たちは事実上、自分自身の分離された仮想ネットワーク・スイッチに接続されることになります。
レイヤー3はネットワーク層で、IPv4とIPv6が含まれます。例えば、ファイアウォールはレイヤー3(またはそれ以上)にあり、許可リストとブロックリストを使用してIPアドレスごとにトラフィックを監視し、フィルタリングします。これには通常、ネットワークとOSレベルのファイアウォールが含まれます。真のVPCには、レイヤー2、レイヤー3、およびそれ以上をカバーするソリューションが組み込まれています。
レイヤー2以上の接続を安全にするためには、いくつかの追加ツールが必要になります。OSレベルのファイアウォールは、iptablesやnftablesで実装できる。また、アドレス解決プロトコル(ARP)と近隣発見(ND)の保護も必要かもしれません。
このように、VLANはVMを分離するのに十分な機能ですが、真の仮想パブリッククラウドとして使用する前にやるべきことがあります。イーサネット・ケーブルの比較に戻ると、リスクとセキュリティに関する考慮は、共有ネットワーク・スイッチに接続された一連の物理マシンと何ら変わりはない。
LinodeでVLANをVPCとして使用することは可能ですか?
簡単に言うと、はい、LinodeのVPCとしてVLANを使用することができます。LinodeはCloud Managerから直接デプロイできるVLAN製品を提供しており、Linode間で安全なレイヤー2のネットワーク分離を実現することができます。しかし、要件を検討し、追加のレイヤー3ソリューションを構成する計画があることを確認することが非常に重要です。
LinodeのVLANサービスの一般的な使用例を確認することから始めましょう。LinodeのVLANは、Linodeで無料で使用でき、世界中の複数のデータセンターで利用可能です。リソースを分離するセキュリティに加え、プライベートネットワークの転送は無料です。これは、VLANを介した通信がLinodeの毎月のネットワーク転送クォータにカウントされないことを意味します。
コメント