IBM Power System Virtual ServerへのVPN接続

こんにちは、IBM Cloud 担当の花木です。
今回、IBM Power System Virtual Server on IBM Cloudへ、社内から廉価な方法でVPN接続する方法を試してみました。

1.IBM Power System Virtual Server
多くの企業において、ITリソースをクラウドで調達することが当たり間になりました。しかしながら、IBM Power Systemに多くを依存する企業にとって、IBM iやAIXを簡単に利用できるクラウドサービスがありませんでした。そんななか、本命のIBM Cloudにおいて、AIXやIBM iを使用できる仮想サーバタイプの IBM Power Systemが提供開始になり、ついに、2020年11月から、東京データセンターでも利用可能となりました。

2.小規模構成から利用可能
Power System Virtual Serverの提供価格は、Power Power System S922(上限なし共有)の0.25コア、2GBメモリー、80GB Tier 3 Disk、IBM i という構成で、月額$448.33から利用できます。小規模構成からお手軽な価格の利用が可能となっています。

3.プライベートネットワークからの接続
Power System Virtual Serverは、インターネット側から直接接続する際は、仮想サーバ単体での利用が可能なのですが、やっぱり企業ベースで使う場合は、専用線やVPNによる安全な接続方法を用いたいところです。IBM Cloudでは、Power System Virtual Serverのプライベートネットワークに接続するための方法として、VRA(Virtual Router Appliance)により、お客様の環境とPower System Virtual Serverがあるプライベートネットワークを中継する方法を提供しています(詳細は、Power Systems Virtual Server への接続の構成を参照)。
お客様環境からVRAまでをIPSec VPNもしくは専用線、VRAからPower System Virtual Server プライベートネットワークまでをGREトンネルで接続することで、お客様環境とPower System Virtual Serverとの安全性と相互接続性を実現することなっています。

4.今回のトライ目的
ただ、VRAは、ベアメタルサーバであるため、高価な点が難点。1台当たり月額 $766.10ぐらいからとなります。可用性を重視したHA構成とする場合、その倍となります。そのため、せっかく小規模構成による廉価なPower System Virtual Serverを選んだとしても、プライベートネットワークから接続しようととした場合、価格メリットが活かせないのがもったいないと思っていました。そこで、VRAを使わずに、お客様環境とPower System Virtual Server プライベートネットワークを安全に中継できる方法を考えてみました。

5.構成
VRAの代わりに、IBM Cloud の仮想マシン(Virtual Server for Classic)を使って中継する方法を試してみました。構成は以下の通りです。

(1)仮想マシン
 ・HA構成とするため、2台使用
 ・OSは、Red Hat 7.x Minimal(64bit)
 ・配置グループを利用し、2台が異なる仮想基盤ホストに配置されるように構成
(2)IPSec VPN
 ・Red Hatが標準で提供する「Libreswan」を使用
(3)GREトンネル
 ・OS標準のネットワークインタフェースの機能を使用
(4)HA構成
 ・Red Hatが標準で提供する「Keepalived」を使用

6.検証結果
上記構成で、弊社事業所内からPower System Virtual Serverプライベートネットワークへ通信できることを確認できました。
また、通信が確立された状態で片方の中継用仮想マシンをシャットダウンしましたが、pingレベルでパケットが1~2個がロストする程度で通信は維持されることを確認もできました。

7.最後に
今回使用した仮想マシン(1vCPU、1GB RAM、25GB Disk、100Mbps)は、2台で月額 $146 で済みました。小規模構成のPower System Virtual Serverを使う場合に試してみてはいかがでしょうか。

前の記事

リモート面接の心得