BLOG

マルチクラウドにおけるIPの重複を解決する

サムネール
Published December 09, 2021

プライベートIPアドレス指定は、このプロトコルの最も便利な機能の1つです。このアドレス空間は、インターネットを介した接続ではなく、組織内のローカルな範囲で無制限に使用できるように指定されており、大規模な内部ネットワークを自由に構築することができます。

しかし、この柔軟性の代償として、これまで別々に存在していた2つのプライベートIPネットワークを接続しようとすると、両方のネットワークで同じIPアドレスが使用されている場合があります。IPアドレスは各ネットワークまたはルーティング ドメイン内で一意でなければならないため、これらの重複は、重複するエリアに出入りするネットワーク アクセスを不安定にする原因となります。この影響を軽減するための従来の回避策もありますが、F5 Volterraはこの問題を完全に回避する方法を提供します。

重複が問題となる理由

ネットワークの異なる2つの部分が重なり合って、同じIPサブネット アドレス範囲を使用すると、主に2つの問題が発生します。まず、これら2つのサブネットは互いにまったく通信できません。なぜなら、どのデバイスも、そのアドレスがローカル エンドポイント用でないことを認識しないためです。これらのサブネットが両方ともクライアント専用ですべてユーザーが使用しているのであれば、この問題は簡単に解決できるかもしれませんが、一方のサブネットにネットワーク サービスが含まれている場合、それらのサービスは互いに完全にアクセスできなくなります。さらに、IPの重複は、ネットワーク内の他の場所からそれらのサブネットに向かうすべてのトラフィックに影響を及ぼします。ネットワーク内のルーターは情報を交換するため両方のサブネットが通知されますが、通知元となる2つの場所は異なります。接続が正常に確立されていても、間違った場所に接続が送信される可能性が常にあるのです。

近年、増加しているIPの重複

よく管理されたネットワークでIPが重複する最も一般的な原因は、これまで別々のネットワークであった2つのネットワークを接続または統合することです。想像しやすいシナリオとしては、2つの組織を統合する場合、特にそれぞれの組織のIT部門がエンドポイントには10/8、インフラストラクチャには172.16/12のように類似したアドレス割り当て規則を使用していた場合があります。しかし、1つまたは複数のクラウドに接続する際に重複が生じることがますます一般的になりつつあります。最大の個別ネットワークは、パブリック クラウド プロバイダのようなハイパースケーラーにあり、それらは必然的にプライベートIPアドレス指定を使用しています。各サーバーが大量のVMや大量のコンテナをホストしている場合、1つの列が/16ネットワーク全体を使用することもあります。クラウドの需要が高まるにつれ、アクセスに対する需要も高まり、クライアント サイトのVPNからサイト間VPN、マルチクラウド ネットワーキング製品、さらにはクラウド データ センタへの直接WAN接続へと拡大しています。サイト間VPNおよびWANのリンクは、クラウド ネットワークの一部をお客様のネットワークに効果的に接続し、ほとんどのお客様のネットワークもプライベートIPアドレスで構築されているため、IPの重複はますます増えることになります。

IPの重複の修正と解決

最新の分散型アプリケーションの普及に伴い、ハイブリッド クラウド、クラウド間、エッジからクラウドといったアプリケーション間接続も一般的になってきています。スケーラブルなアーキテクチャに必要となるのが、IPの重複をきれいに自動化できる対処法です。多くのネットワーク管理者がまずNATに着目するのは、やはりNATがプライベートIPアドレスのパブリック インターネットへの接続を可能にするためです。しかし、NATは問題を解決するのではなく、問題をずらすだけです。抽象化はサブネット内部には及ばないため、エッジ ケース(同じサブネット範囲のリモート ネットワークなど)に対処するために、アプリケーションとサービスに負担をかけることになります。さらに、NATは、サブネットの内側と外側で収集されたイベントの間に歪みを生じさせるため、可視性が損なわれます。NATがもたらす継続的な運用コストが正当化されるのは、番号再割り当てなど他の選択肢が適さない場合に限られます。

F5のVolterra VoltMeshは、IPの重複に対するクリーンなソリューションを提供します。重複は、接続がL3に依存している場合にのみ問題となるため、VoltMeshはL3アドレスをL4またはL7のトランザクションから分離し、F5のお客様から25年の信頼を得ているアプリケーション デリバリ方法を使用します。ただし、VoltMeshにはさらにユニークな特徴があり、その機能が分散されているため、IT部門はメッシュ内の任意のIPアドレスを選択してアプリケーションをデリバリできます。また、その機能が統合されているため、ネットワーキング、セキュリティ、さらにはアプリケーションまで、エンドツーエンドの完全な可視性が維持されます。VoltMeshを使用すると、リモート サービスを、その実際のIPアドレスが何であれ、ローカルのサブネットにローカルのIPアドレスでデリバリすることも可能です。NATやファイアウォールのピンホール、ルーティングの変更など、ネットワークの変更はまったく必要ありません。VoltMeshは、ネットワークを遮断することなく、完全な制御と完全な可視性を提供し、IPの重複に対する最もクリーンなソリューションを実現します。

マルチクラウド時代のネットワークは、プライベートIPアドレス指定によって拡張と相互接続を続けており、従来の接続性に注目している限り、IPの重複は今後も問題となるでしょう。オンプレミスでもクラウド間でも、F5 Volterra VoltMeshは、アプリケーションをネットワーク層から切り離し、接続性がなくても到達可能にし、クリーンな分離でプライベート ネットワークをプライベートに維持することで、安全にサービスを提供することができます。


詳細については、F5のDevCentralの「マルチクラウドの課題への取り組み」、および「F5によってマルチクラウド管理の完全性を実現」をご覧ください。