[Eucalyptus-Users 0459] Re: Eucalyptus のネットワーク構成について

[Kenji Funasaki]

伊藤さん、羽深さん、

ありがとうございます。
とても参考になります。

VNET_MODE="MANAGED" の場合、構成２の場合でも、
クライアントからインスタンスへの通信は、CCを経由するということは
とても興味深いです。

おそらく、"MANAGED"の場合、CCの役割の中には、NAT や VLAN の
機能のほかにも、セキュリティグループを用いたアクセス制限も入ってくるのかなと
考えています。 とすると、CC を経由することが必須となるのかと。

頂いた内容をもとに、ネットワークの構成について、もう少し検討および
検証してみようと思います。

試した内容で、新たに分かったこと等がありましたら、
共有させて頂きます。

よろしくお願いいたします。


2011年2月8日16:09 Osamu Habuka <habukao ＠ intellilink.co.jp>:

> 呼ばれて飛び出て…(自重)、羽深です。
>
> 構成2でも VNET_MODE="MANAGED" が使えますが、その場合にも
> client からの通信は PublicIP および ElasticIP に
> 通信しなければならないです。(PublicIP および ElasticIP は
> CC の VNET_PUBINTERFACE および VNET_INTERFACE に指定した
> NIC に付与されるため)
> それと、VNET_MODE="MANAGED" にした場合、構成2であっても
> client は直接インスタンスの PrivateIP には接続できない
> はずです…。(セキュリティ毎に分割された独立ネットワークが
> 形成されて、その中でインスタンスは通信するため)
>
> ですので、構成2にした場合は伊藤さんのメールにあるように
> STATICにするか、もしくは MANAGED モードで以下のように
> 設定することをおすすめします。但し、以下の前提条件の場合のみ。
> ・各ホストの NIC は eth0 のみであること
> ・CLC/CC/SC の eth0 は 192.168.2.99 以下であること
> ・NC の eth0 は 192.168.2.99 以下であること
>
> ○ CLC の eucalyptus.conf (の一部)
> #VNET_PUBINTERFACE
> #VNET_PRIVINTERFACE
> VNET_INTERFACE="eth0"
> VNET_MODE="MANAGED"
> VNET_SUBNET="10.1.0.0"
> VNET_NETMASK="255.255.0.0"
> VNET_DNS=""  # ← もし DNS サーバがあれば指定してください
> VNET_ADDRSPERNET="64"
> VNET_PUBLICIPS="192.168.2.100-192.168.2.200"
> #VNET_MODE="SYSTEM"
>
> ○ NC の eucalyptus.conf (の一部)
> #VNET_PUBINTERFACE
> #VNET_PRIVINTERFACE
> VNET_INTERFACE="eth0"
> VNET_MODE="MANAGED"
> #VNET_MODE="SYSTEM"
>
> たぶん、これで RunInstances 時に --addressing private を
> 指定せずにインスタンスを起動すれば、PublicIP で client
> から接続できます。
>
> 取り急ぎ。
>
>
> > NTTデータの伊藤です。
> >
> > 羽深さんあたりが出てくる気がしますが、
> > 舟崎さんここでもお会いしましたね…ということで。:)
> >
> > 構成１は VNET_MODE がMANAGEDモードもしくは MANAGED-NOVLAN モードが前提
> > の構成基本的に Eucalyptus に NAT させることになります。
> >
> > 構成２のようにしたい場合は、SYSTEM モードかSTATIC モードを
> > 使えば可能だと思います。
> > VMにIPをわりつけるため、自前で DHCP サーバを用意する等の対応が必要になります。
> >
> > VNET_MODE のそれぞれについては、
> >
> > /etc/eucalyptus/eucalyptus.conf
> >
> > に詳しい説明がありますのでご一読いただけるとよいかと思います。
> >
> > 構成１のメリットとしては、Amazon EC2と同様に、複数のユーザのVMを
> > 収容する場合に VLAN できちんと isolation できること…等でしょうか。
> > ここは要件次第だと思います。
> >
> > とりいそぎ。
> >
> > From: Kenji Funasaki <kenji.funasaki ＠ gmail.com>
> > Subject: [Eucalyptus-Users 0454] Eucalyptus のネットワーク構成について
> > Date: Tue, 8 Feb 2011 13:50:35 +0900
> >
> >> 初めて投稿させて頂きます。舟崎と申します。
> >>
> >> Eucalyptus のネットワーク構成について２点質問させてください。
> >>
> >> 通常だと、下記のような構成で、NC 上で動くインスタンスへ
> >> クライアントからアクセスするときには、CC(Cluster Controller) の NAT を
> >> 経由するようですが、
> >>
> >> ○構成１
> >>           client
> >>            |
> >> +-------+--+----------------+ 192.168.1.0 (LAN)
> >>         |
> >>      +--+-------------+
> >>      | CLC / CC / SC  |
> >>      +--+-------------+
> >>         |
> >> +-------+-----+-----------+ 192.168.2.0
> >>               |
> >>             +-+---+
> >>             | NC  |
> >>             +-----+
> >>
> >> 下記のような構成をとることは可能でしょうか？
> >>
> >> ○構成２
> >>           client
> >>            |
> >> +-------+--+----------------+ 192.168.1.0 (LAN)
> >>         |
> >>       +-+-------+          +----------------+
> >>       | router  |          | CLC / CC / SC  |
> >>       +-+-------+          +-----+----------+
> >>         |                        |
> >> +-------+------------------------+------+-----------+ 192.168.2.0
> >>                                         |
> >>                                       +-+---+
> >>                                       | NC  |
> >>                                       +-----+
> >>
> >> 構成２の場合、インスタンス起動時に
> >> euca-run-instances emi-xxxxx --addressing private
> >> とすることで、NC 上のインスタンスに、192.168.2.x のアドレスが割り振られるかと
> >> 思います。
> >>
> >> そのインスタンスへは、client からは router 経由でアクセスが
> >> 可能なため、CC を経由する必要がないかと考えますが、
> >>
> >> 構成２の方法だと、NAT を使用しないため、ElasticIP を割り当てできないなどの
> >> デメリットも考えられます。
> >>
> >> ですが、もしかすると他に、構成１にした方が良い理由があるのかと考えているのですが、
> >> 何か他に、メリット・デメリット等はありますでしょうか？
> >>
> >> よろしくお願い致します。
> > _______________________________________________
> > Eucalyptus-Users mailing list
> > Eucalyptus-Users ＠ ml.eucalyptus-users.jp
> > http://ml.eucalyptus-users.jp/mailman/listinfo/eucalyptus-users
> >
> >
>
>
> --
> +-                                               -+
> | Osamu Habuka                                    |
>  Consultant
>  Software Services Integration Business Unit
>  Software Services Integration Business Division
>  NTT Data Intellilink Corp.
>
>  E-mail: habukao ＠ intellilink.co.jp
>  Address: Pacific Marks Tsukishima, 1-15-7,
>       Tsukishima, Chuo-ku, Tokyo 104-0052, Japan
> | Tel: +81-3-5843-6880       Fax: +81-3-5843-6881 |
> +-                                               -+
>
>
> _______________________________________________
> Eucalyptus-Users mailing list
> Eucalyptus-Users ＠ ml.eucalyptus-users.jp
> http://ml.eucalyptus-users.jp/mailman/listinfo/eucalyptus-users
>
-------------- next part --------------
HTMLの添付ファイルが除去されました.
URL: http://ml.eucalyptus-users.jp/pipermail/eucalyptus-users/attachments/20110209/4b53e2a7/attachment-0001.html