ブログ

マルチクラウドにおける IP 重複の解決

F5 サムネイル
F5
2021年12月9日公開

プライベート IP アドレス指定は、プロトコルの最も便利な機能の 1 つです。 このアドレス空間は、インターネット経由で接続するのではなく、組織内のローカル範囲内で規制なく使用できるように指定されており、大規模な内部ネットワークを自由に作成できるようになりました。

ただし、この柔軟性には代償があります。以前は別々だった 2 つのプライベート IP ネットワークを接続しようとすると、両方のネットワークで同じ IP アドレスが使用されている可能性があります。 IP アドレスは各ネットワークまたはルーティング ドメイン内で一意である必要があるため、これらの重複により、重複する領域へのネットワーク アクセスや重複領域からのネットワーク アクセスが不安定になります。 影響を軽減するための従来の回避策はありますが、F5 Volterra は問題を完全に回避する方法を提供します。

重複が問題となる理由

ネットワークの 2 つの異なる部分が重複し、同じ IP サブネット アドレス範囲を使用する場合、主に 2 つの問題が発生します。 まず、アドレスがローカル エンドポイント向けではないことをどのデバイスも認識しないため、これら 2 つのサブネットは相互にまったく通信できません。 これらのサブネットが両方ともクライアント専用で、ユーザーでいっぱいの場合、この問題は簡単に解決できる可能性がありますが、一方のサブネットにネットワーク サービスが含まれている場合、もう一方のサブネットからそれらのサービスに完全にアクセスできなくなります。 さらに、IP の重複は、ネットワーク内の他の場所からそれらのサブネットに送信されるすべてのトラフィックに影響します。 ネットワーク内のルータは情報を交換するため、両方のサブネットが 2 つの異なる場所からアドバタイズされます。 正常に確立された接続であっても、接続がいつでも間違った場所に送信される可能性があります。

現代の IP 重複の流入

適切に管理されたネットワークで IP 重複が発生する最も一般的な原因は、以前は別々だった 2 つのネットワークを接続または結合することです。 2 つの組織が合併する場合、特に各組織の IT 部門がエンドポイントに 10/8、インフラストラクチャに 172.16/12 など、同様のアドレス割り当て規則を使用している場合は、このシナリオは容易に想像できます。 ただし、1 つ以上のクラウドに接続する場合、重複がますます一般的になっています。 最大の個別ネットワークはパブリック クラウド プロバイダーなどのハイパースケーラーにあり、必然的にプライベート IP アドレスを使用します。 各サーバーが多数の VM または多数のコンテナをホストしている場合、1 行で /16 ネットワーク全体が消費される可能性があります。 クラウドの需要が高まるにつれて、アクセスの需要も高まり、クライアントサイト VPN からサイト間 VPN、マルチクラウド ネットワーキング製品、さらにはクラウド データセンターへの直接 WAN 接続へと拡大しました。 サイト間 VPN と WAN リンクは、クラウド ネットワークの一部を顧客のネットワークに効果的に接続します。また、ほとんどの顧客ネットワークもプライベート IP アドレス上に構築されているため、IP の重複がますます増加しています。

IP 重複のパッチ適用 vs. IP重複の解決

分散型の最新アプリが一般的になるにつれて、ハイブリッド クラウド、クラウド間、エッジ間など、アプリ間の接続も一般的になるはずです。 スケーラブルなアーキテクチャには、IP の重複をきれいに自動化できる方法が必要です。 多くのネットワーク管理者はまず NAT に頼ります。結局のところ、NAT はプライベート IP アドレスがパブリック インターネットに接続できるようにするものだからです。 ただし、NAT は問題を解決するのではなく、問題を移動させるだけです。抽象化はサブネット内に拡張されないため、エッジ ケース (同じサブネット範囲を持つリモート ネットワークなど) に対処するための負担がアプリケーションとサービスに移ります。 さらに、NAT は、サブネットの内側と外側で収集されたイベントの間に偏りを生じさせることで可視性を不明瞭にします。 NAT によって導入される継続的な運用コストは、番号変更などの他のオプションの方が悪い場合にのみ正当化されます。

F5 の Volterra VoltMesh は、IP 重複に対するクリーンなソリューションを提供します。 重複は接続が L3 に依存している場合にのみ問題となるため、VoltMesh は、F5 の顧客が 25 年間依存してきたのと同じアプリケーション配信方法を使用して、L3 アドレスを L4 または L7 のトランザクションから分離します。 ただし、VoltMesh には独自の機能が追加されています。機能が分散されているため、IT 部門はメッシュ内の任意の IP アドレスを選択してアプリケーションを配信できます。また、機能が統合されているため、ネットワーク、セキュリティ、さらにはアプリケーションに対してエンドツーエンドの完全な可視性が維持されます。 VoltMesh を使用すると、実際の IP アドレスに関係なく、リモート サービスをローカル IP アドレスを使用してローカル サブネットに配信することも可能になるため、ネットワークの変更はまったく必要ありません。NAT、ファイアウォールのピンホール、ルーティングの変更も必要ありません。 VoltMesh は、ネットワークを中断することなく完全な制御と完全な可視性を提供し、可能な限りクリーンな IP 重複ソリューションを実現します。

マルチクラウド時代では、プライベート IP アドレス指定によってネットワークが拡大し、相互接続が進んでいます。つまり、従来の接続に重点が置かれている限り、IP の重複は問題であり続けるということです。 F5 Volterra VoltMesh は、オンプレミスでもクラウド間でも、アプリケーションをネットワーク層から分離し、接続なしでも到達可能であり、プライベート ネットワークをプライベートに保つために明確な分離を確保することで、安全にサービスを提供できます。


詳細については、F5 の DevCentral の「マルチクラウドの課題への旅」および「F5 による完全なマルチクラウド管理の実現」をご覧ください。