【IIJ GIOの裏側を語る#8】クラウドサービスに対応した仮想ネットワーク基盤

連載『IIJ GIOの裏側を語る』では、IIJのクラウドサービス「IIJ GIO」の安定稼働を支える仕組みを、サービスの開発者や基盤運用エンジニアが解説します。

今回は、クラウドサービスに対応した仮想ネットワーク基盤」についてご説明します。

クラウドサービスに対応した仮想ネットワーク基盤

弊社のクラウドサービス「IIJ GIOインフラストラクチャーP2」をはじめとするクラウドリソース群への接続手段として、インターネットのみでは昨今の市場ニーズを満たすことはできません。
セキュリティが担保された閉域IP網を介して各クラウドリソース及びオンプレミスが相互接続されるべきであり、またクラウドらしい物理的な配置にとらわれない振る舞いが可能なネットワークが求められます。

お客様専用のバックボーンの提供

IIJプライベートバックボーンサービスは、マルチクラウドを想定しているため、IIJのクラウドサービス群にとどまらず、他社のクラウドサービス(Microsoft Azure等)含めて相互接続することができるサービスです。MPLS/L3VPNによるマルチテナントのL3閉域IP網を作り出し、お客さま専用のプライベートネットワークとして提供しています。

図1:サービス構成例

上記の図は、イメージをつかむための抽象図です。中央にあるIIJプライベートバックボーンサービスが、様々なクラウドサービスやオンプレミスを相互接続しています。
2017年4月現在、18個のサービス間を接続することが可能になっており、お客様ごとに必要なリソースをプライベートネットワークの中に接続することが出来ます。
これを具体化すると、以下のような構造になります。
あらかじめ物理的な接続を行っている IIJ GIO や、Microsoft Azure、Amazon AWS などのクラウドリソースなどでは、論理的な設定作業を行うだけで、各リソース間のプライベートネットワークを構築することが可能になっています。そこに、お客様拠点との物理的な接続や、Internet VPN での接続を行うことで、お客様のプライベートネットワークの一部としてご利用になれます。

図2:仮想ネットワークアーキテクチャ

上記の図では、末端にあるVLANの色単位で”網”が作られます。
MPLSによるL3VPNで色ごとの網を構築し、経路情報はVRFを利用し網単位に分けたうえで、MP-BGPによって網内に伝達します。

これらは各色の単位でそれぞれ別(マルチテナント)の閉域IP網とみなすことができます。また物理的立地に依存しない網構築を実現することができます。
たとえばあるPEは東京にあり、あるPEは大阪にあったとしても、各VLANに接続された機器からはIP的に1 hopで到達しているようにみえるので、1つのルータがクラウド上にあるイメージで、直感的に利用いただくことができます。 特別な設定も必要ありません。

基盤構成

上記のような広域のオーバーレイネットワークを構築するには、品質の高いアンダーレイネットワークが必要です。ここが弱いと、”クラウドらしい、物理的立地にとらわれない仮想ネットワーク” が破たんします。上述のように東京と大阪が1 hopに見えると言っても、アンダーレイ的には様々な機器を経由しているので、これが遅いと、逆に “1 hopあたりの遅延が大きい低品質のネットワーク”に見えてしまいます。

IIJでは、日本初の商用インターネットサービスプロバイダーとして培ってきたネットワークインフラを運用するノウハウがあり、これを活かした基盤構築と運用を行っています。

今回ご紹介したIIJ プライベートバックボーンサービスの基盤もインターネットを支えるバックボーンと同じ基盤上に仮想ネットワーク基盤を構築することで、インターネットバックボーンと同様に高い品質を保っています。

図3.基盤アーキテクチャ

※2017年4月に弊社ブログに掲載した記事を、一部加筆修正しました。