-
IaaS環境でルーターの利用が必要
-
別途エクイニクス・ジャパンに「Equinix Cloud Exchange™」の契約が必要
ニフクラ設計・構築ガイド (プライベート接続サービス)
ドキュメント情報
- 区分
-
ネットワーク設計・構築
- リリース日
-
2022年7月1日
- 留意事項
-
2022 年 3 月時点の機能をもとに作成しております。
機能は順次エンハンスされますので、検討時にはニフクラホームページにて最新情報を確認ください。 - ■ニフクラホームページ
はじめに
-
本ドキュメントの目的
-
ニフクラで構築したシステムを他拠点のシステムと、プライベート接続サービスを利用して連携する際の知識を習得することを目的としています。
※本ドキュメントでは、「ダイレクトポート」、「プライベートアクセス」の総称を「プライベート接続サービス」と表記します。「プライベート接続サービス」はニフクラ上での正式な呼称ではないため注意してください。
-
-
本ドキュメントの読者
-
ニフクラを利用するシステムの要件定義を行う方
-
-
前提知識
-
ネットワーク関する基本的な知識
-
セキュリティに関する基本的な知識
-
ニフクラの機能に関する基本的な知識
-
-
本ドキュメントの注意事項
-
本ドキュメントは、2022年3月時点の機能をもとに作成しています。ニフクラは継続的にエンハンスが行われるクラウドサービスです。
-
-
ニフクラサービスの変更は最新のドキュメントを参照してください。
手配スケジュール・契約について
-
利用開始までの流れ
-
プライベート接続サービスを利用し、ニフクラとニフクラ外の環境のネットワークを構成する場合、作業スケジュールや利用者での作業内容、所要期間などについて、事前に確認してください。
-
プライベート接続サービスを利用する場合、ニフクラのサービスだけで完結しないことがほとんどとなります。(例:ダイレクトポート利用時の回線事業者の手配など)ニフクラへのお申し込み後の所要期間、回線事業者手配、回線繋ぎ込みの所用期間など、期間に余裕を持ってスケジューリングしてください。
※それぞれのサービスでの責任分界点等は後述します。
-
アイコンの説明
-
本ドキュメント構成図に使用されているアイコンは下記の通りとなります。
-
リージョン及びゾーンについて特に記載がなければ、単一リージョン、単一ゾーン構成を示します。
-
構成図内の名称は略称で記載されている場合があります。(下記()内が略称の例)
プライベート接続サービス
概要
プライベート接続サービスでは、以下のサービスを提供しています。
本機能により拠点環境とのセキュアなハイブリッドクラウドを実現します。併用も可能です。
- ダイレクトポート
-
ニフクラ環境と拠点環境をダイレクトに接続するための機能です。【別途 回線の契約必須】
拠点環境から専用線・閉域網で接続を可能にする、ポートを提供します。 - プライベートアクセス(閉域網 集線型接続サービス)
-
ニフクラから回線事業者の閉域網へのプライベートな接続を提供するサービスです。ニフクラと回線事業者の閉域網の物理接続を事前に行っているため論理接続を構築するだけで接続が可能です。以下のサービスを提供しています。
-
プライベートアクセス for ARTERIA
east-1、east-2、east-3、east-4、west-1で利用可能 -
プライベートアクセス for クラウドゲートウェイ クロスコネクト
east-1、east-2、east-3、east-4、west-1で利用可能 -
プライベートアクセス for SINET
east-1、east-2、east-3、east-4、west-1で利用可能 -
プライベートアクセス for Equinix Cloud Exchange™
east-2で利用可能 -
プライベートアクセス for Digital enhanced EXchange(DEX)
east-1、east-4、jp-west-2で利用可能 -
プライベートアクセス for OPTAGE
west-1で利用可能
-
サービスイメージ図
-
ダイレクトポート、プライベートアクセスではニフクラのリージョン間を接続することも可能となります。(各リージョンでサービスの利用が必要となります。)
-
プライベート接続サービス利用時にはニフクラでプライベートLANの利用が必須となります。
メニュー
プライベート接続サービスが提供する接続メニューのサービス提供範囲は以下の通りです。
-
①ダイレクトポート
-
②プライベートアクセス
全体設計のポイント
はじめに
-
全体設計のポイント
-
ニフクラと接続する先の接続関係を整理し、ネットワーク全体の論理構成を決定してください。
-
プライベート接続サービスでは、アクセス制御機能がないため、ニフクラ以外の拠点間でも通信を行うことが可能です。複数の環境とニフクラを接続した際に、環境間の通信を抑止する場合は、拠点側またはデータセンターに設置するネットワーク機器でアクセス制御を行う必要があります。
-
-
プライベート接続サービスの構成例
ニフクラと利用者拠点をダイレクトポート接続した構成例
ポイント1の詳細
-
ニフクラと接続する先の接続関係を整理し、ネットワーク全体の論理構成を決定してください。
-
複数の拠点等とセキュアな接続のために利用する場合、すべての環境で利用されるIPアドレス範囲は重複しないように設計する必要があります。
経路設計
構成図補足
① |
利用者拠点、ニフクラ環境で複数ネットワーク帯がある場合などニフクラ内のIaaSのルーターで考慮必要 |
② |
利用者拠点、ニフクラ環境で複数ネットワーク帯がある場合など考慮必要 |
③ |
利用者拠点、ニフクラ環境で複数ネットワーク帯がある場合など考慮必要 |
④ |
プライベート接続サービスで、ニフクラ側に関しては基本的にL2SWのポート提供となります。そのため、プライベート接続サービス側の経路設計で留意する必要はありません。 |
経路設計に関しては、利用者拠点環境のネットワーク機器、回線事業者の設置機器、ニフクラ内のIaaSのルーター(複数プライベートLAN利用時)等で考慮してください。
※それぞれのサーバー等リソースでの経路設計に関しても同様に考慮してください。
※プライベート接続サービスの仕様を踏まえ、要件/構成に応じた十分なネットワーク設計をお願いします。
帯域設計
ニフクラのプライベート接続サービスでは、各サービスでベストエフォートでの提供となります。業務内容に応じてそれぞれのサービスの帯域を確認してください。
ニフクラ外の帯域に関してはそれぞれ利用者で確認してください。(閉域網の帯域など)
構成図補足
①ダイレクトポート |
1Gbpsベストエフォート |
②プライベートアクセス |
詳細は後述 |
信頼性設計
-
プライベート接続サービスでの冗長構成は以下となります。
-
ダイレクトポート
ポートを2つ契約することで、利用者にて冗長構成を実現可能です。 -
プライベートアクセス
回線によって異なります。
-
IPアドレス設計
-
IPアドレス設計のポイント
-
プライベート接続サービス利用時に必須となるプライベートLANに関して、指定可能なプレフィックス長は「16~28」となります。
-
プライベートアクセスについては各社でプレフィックス長制限が異なる可能性があります。詳細は各サービス提供元に確認してください。
-
拠点環境などのIPアドレス帯に関しては、特にニフクラから規定はありません。
-
全体の環境のネットワーク全体で、IPアドレス帯が重複しないよう留意してください。
-
ダイレクトポートを利用して回線を引き込むむ場合に、設置機器のIPアドレスの指定などに関しては、回線事業者に確認してください。
-
機能仕様
プライベート接続サービスの仕様を下表に示します。
項目 |
ダイレクトポート |
プライベートアクセス |
|||||
---|---|---|---|---|---|---|---|
for ARTERIA |
for クラウドゲートウェイ クロスコネクト |
for SINET |
for Equinix Cloud Exchange™ |
for Digital enhanced EXchange(DEX) |
for OPTAGE |
||
前提条件 |
IaaS環境でプライベートLANの利用が必要 |
||||||
別途キャリア契約があること |
別途「VECTANT クローズドIPネットワーク」及び「VECTANT セキュアクラウドアクセス共有型」の契約が必要 |
別途、NTT東日本の「フレッツ・VPN ワイド」または「フレッツ・VPNプライオ」及び「クラウドゲートウェイ」の契約が必要 |
別途国立情報学研究所に「クラウド接続サービス」の契約が必要 |
DEXの利用者担当サービスマネージャーがいること |
別途、オプテージの「VPNサービス」及び「ネットワークエクスチェンジ」の契約が必要 |
||
提供帯域(プライベート接続サービス側) |
1Gbpsベストエフォート |
「VECTANT セキュアクラウドアクセス共有型」の速度に準ずる |
NTT東日本側契約帯域に依存 |
1Gbps ベストエフォート |
200Mbps、500Mbps、1Gbps |
1Gbps ベストエフォート |
「ネットワークエクスチェンジ」の速度に準ずる |
接続レイヤー |
VECTANT セキュアクラウドアクセス共有型の仕様に準ずる |
クラウドゲートウェイ クロスコネクトの仕様に準ずる |
L2 |
L3(ルーターの契約が別途必要) |
L2 |
ネットワークエクスチェンジの仕様に準ずる |
|
利用可能プロトコル |
IPv4 |
IPv4 |
IPv4 |
IPv4 |
IPv4 |
IPv4 |
IPv4 |
回線冗長 |
可能 |
プライベートアクセスの範囲内に関しては冗長構成 |
プライベートアクセスの範囲内に関しては冗長構成 |
プライベートアクセスの範囲内に関しては冗長構成 |
プライベートアクセスの範囲内に関しては冗長構成 |
プライベートアクセスの範囲内に関しては冗長構成 |
プライベートアクセスの範囲内に関しては冗長構成 |
対向側MACアドレス学習数 |
- |
- |
- |
~100個以下(目安) |
- |
~100個以下(目安) |
- |
提供リージョン |
east-1、east-2、east-3、east-4、west-1 |
east-1、east-2、east-3、east-4、west-1 |
east-1、east-2、east-3、east-4、west-1 |
east-2 |
east-1、east-4、jp-west-2 |
west-1 |
ダイレクトポート
本項での記載範囲
接続ポイント
接続ポイントは、指定したデータセンターに設置され、それぞれ、接続できるリージョンが決まっています。
接続ポイント |
接続可能なリージョン |
---|---|
E01 |
east-1 |
E02 |
east-2 |
E03 |
east-3 |
E04 |
jp-east-4 |
W01 |
west-1 |
W03 |
jp-west-2 |
概要
-
利用者契約の専用線・閉域網との接続を実現します。
-
収容ポート及び回線事業者機器の設置場所(棚板)、電源を提供します。
- 提供範囲
-
-
収容ポート
-
回線事業者機器
-
設置場所(棚板)
-
電源(100V)
-
LANケーブル
-
冗長構成
-
スイッチポートを2口利用することにより、冗長構成を実現できます。
-
VRRP/HSRP等の冗長化プロトコルを接続ポイントであるL2スイッチを経由してルーター同士が通信することで、アクティブ・スタンバイ構成とすることが可能です。
-
ルーター同士のケーブル接続はできません。
※リンクアグリゲーションは実現できないため留意してください。
-
導入フロー
-
利用開始までの流れ
-
ダイレクトポートを利用する場合の導入までのフローを記載します。ヒアリングシートの送付、現地調査、工事などがあり、基本的に1ヶ月以上は要します。余裕を持ったスケジューリングとするよう留意してください。
-
導入時の作業は下記順番となります。
-
サービス申込
-
初回ヒアリングシート受領/送付
-
現地調査
-
回線引込工事
-
機器設置~結線・疎通確認
-
-
1. サービス申し込み |
2. 初回ヒアリングシート受領/送付 |
3. 現地調査 |
4. 回線引込工事 |
5. 機器設置~結線・疎通確認 |
|
---|---|---|---|---|---|
作業項目/詳細 |
|
|
|
|
|
注意事項 |
|
|
|
|
|
-
留意事項
-
回線の申し込み等は利用者が別途実施する必要があります。回線事業者との調整も含めてスケジューリングしてください。
-
データセンターへの入館は下記時間のみ受け付けています。(トラブル発生等の緊急の場合は24時間365日での入館を受付)
【入館受付時間】
10:00~17:00 (土・日・祝日・年末年始・富士通クラウドテクノロジーズ指定の禁止期間を除く)
-
仕様/留意事項
項目 |
仕様/留意事項 |
選択値・条件 |
---|---|---|
接続形態 |
ニフクラ上に構築したシステムを回線事業者の専用線や閉域網に接続するために接続ポイントであるポートを提供するサービスです。L3接続が可能です。L2接続はできません。そのためニフクラとの接続についてはブロードキャストドメインを区切る必要があります。 |
|
スイッチポート仕様 |
|
|
回線事業者のネットワーク機器を設置するためのラック(19インチラック) |
ラックの管理は、ニフクラ側が行います。
|
|
L2スイッチ(接続ポイント)と回線事業者のネットワーク機器を接続するLANケーブル |
|
|
冗長構成 |
ダイレクトポート1口の契約の場合、ニフクラ側ポートはシングル構成となります。ダイレクトポートを2口契約することで、ニフクラ側ポートを冗長化することが可能です。VRRP/HSRPなどの冗長化用プロトコルをニフクラのポートを経由してルーター同士が通信することでアクティブ/スタンバイ構成とすることが可能です。ルーター同士のケーブル接続はできません。 |
|
データセンターへの入館 |
回線の敷設やネットワーク機器の設置などでニフクラのデータセンターに入館できるのは回線事業者のみとなります。ネットワーク機器は回線事業者の保守サポート付きのものを利用する必要があります。 |
|
責任分界点 |
「回線事業者のネットワーク機器」と「富士通クラウドテクノロジーズのL2スイッチと回線事業者のネットワーク機器とを接続するLANケーブル」との接続点とします。「回線事業者のネットワーク機器」と「富士通クラウドテクノロジーズのL2スイッチと回線事業者のネットワーク機器とを接続するLANケーブルとの接続は、回線事業者にて実施する必要があります。回線事業者にて接続できない場合、利用者にて回線事業者から「接続指示書」を入手し、富士通クラウドテクノロジーズへ送付することで富士通クラウドテクノロジーズにて接続作業を実施しますが、富士通クラウドテクノロジーズにて接続作業を行う場合、「接続指示書」が送付されてから、最短5営業日以降の対応となります。富士通クラウドテクノロジーズにて接続作業を行うにあたり、作業時間の指定や、利用者への事前連絡などは行いません。また、「接続指示書」を送付される時期によっては、開通予定日を過ぎる可能性があることを留意してください。 [3]
3. 接続指示書には、接続機器の図か写真付きでLANケーブルの接続先を明確に記載してください。回線事業者のネットワーク機器を設置しているラック及び電源の運用は利用者責任範囲となり、回線事業者が設置するネットワーク機器などのネットワークの運用は、利用者の責任範囲となります。責任分界点は、「電源」と「回線事業者のネットワーク機器」との接続点とします。
|
|
回線について |
メタル回線をご希望の場合は、別途、初期費用が発生します。メタル回線の敷設及び、ラックスペースの追加(1U)を希望される場合、申請時の備考欄にその旨を記入してください。 |
費用等の詳細につきましては、 こちらを確認してください。 |
トラブル時の対応 |
|
|
その他の制約事項 |
ネットワーク機器設置用ラックは、無線通信をする機器の設置を禁止しています。 |
|
冬季期間(12月~3月)のみ、外部から持ち込んだ機器の結露防止を目的として、機器の温度を建屋内の温度に慣らすために一時保管場所で3時間ほど機器を保管してください。 |
接続ポイントE01、E04 |
|
回線事業者のネットワーク機器に対する富士通クラウドテクノロジーズのリモートハンド対応は行いません。 |
||
スイッチポート1口に対して設置できる機器は1台のみ(ONUを除く)となります。 |
||
既存の閉域網と接続する際に、すべての通信をニフクラ経由とすることは禁止しています。 |
||
ダイレクトポート内での通信の帯域保証は行っていません。 |
||
IPアドレスのバッティングを避けるために、ダイレクトポートと接続しているプライベートLANでは、ニフクラのルーター機能のDHCP設定を「自動」にしないでください。 |
||
ダイレクトポートの利用申し込みを行うと、ダイレクトポートで接続するプライベートLANは削除できなくなります。 |
ダイレクトポート利用終了日の3営業日以降からプライベートLAN削除可能 |
|
すでにダイレクトポートを利用している場合、途中でのニフクラID、リージョン、ゾーンの変更等はできません。また、回線サービスの変更等にも対応していません。 |
||
遮断対象閾値
|
プライベートアクセス (閉域網 集線形接続サービス)
本項での記載範囲
本項では「プライベートアクセス」について説明します。
概要
-
プライベートアクセスはニフクラから回線事業者の閉域網へのプライベートな接続を提供するサービスです。ニフクラと回線事業者の閉域網の物理接続を事前に行っているため論理接続を構築するだけで接続可能です。
-
接続先ネットワークとして以下を提供しています。
サービス名 |
ネットワーク |
利用可能リージョン |
---|---|---|
提供事業者 |
||
プライベートアクセス for ARTERIA |
VECTANT クローズドIPネットワーク |
east-1, east-2, east-3, east-4, west-1 |
アルテリア・ネットワークス |
||
プライベートアクセス for クラウドゲートウェイ クロスコネクト |
フレッツ・VPN ワイド |
east-1, east-2, east-3, east-4, west-1 |
NTT東日本 |
||
プライベートアクセス for SINET |
学術情報ネットワーク(SINET5) |
east-1, east-2, east-3, east-4, west-1 |
国立情報学研究所(NII) |
||
プライベートアクセス for Equinix Cloud Exchange™ |
Equinix Cloud Exchange™ |
east-2 |
エクイニクス・ジャパン |
||
プライベートアクセス for Digital enhanced EXchange(DEX) |
DEXの閉域ネットワーク |
east-1, east-4, jp-west-2 |
富士通 |
||
プライベートアクセス for OPTAGE |
VPNサービス・ネットワークエクスチェンジ |
west-1 |
オプテージ |
サービス毎の接続点と、責任範囲
プライベートアクセス for ARTERIA
① |
VECTANT セキュアクラウドアクセス共有型の申し込みが必要 |
プライベートアクセス for クラウドゲートウェイ クロスコネクト
① |
クラウドゲートウェイ クロスコネクトの申し込みが必要 |
プライベートアクセス for SINET
① |
クラウド接続サービスの申し込みが必要 |
プライベートアクセス for Equinix Cloud Exchange™
① |
プライベートLAN1にはルーター以外の接続は禁止 |
② |
Equinix提供範囲 |
③ |
利用者にて手配が必要 |
プライベートアクセス for Digital enhanced EXchange(DEX)
プライベートアクセス for OPTAGE
① |
ネットワークエクスチェンジの申し込みが必要 |
各サービス利用開始までの流れ
プライベート接続を利用する場合の導入までのフローを記載します。余裕をもったスケジューリングとするよう留意してください。
- プライベートアクセス for ARTERIA
-
-
プライベートアクセス申し込み(利用者作業)
-
プライベートアクセス申込番号を通知(富士通クラウドテクノロジーズ)
-
VECTANTセキュアクラウドアクセス共有型申し込み(利用者作業)
-
富士通クラウドテクノロジーズ/アルテリア・ネットワークスより設定完了通知
-
利用開始
-
- プライベートアクセス for クラウドゲートウェイクロスコネクト
-
-
プライベートアクセス申し込み(利用者作業)
-
プライベートアクセス申込番号を通知(富士通クラウドテクノロジーズ)
-
クラウドゲートウェイクロスコネクト申し込み(利用者作業)
-
富士通クラウドテクノロジーズ/NTT東日本より設定完了通知
-
利用開始
-
- プライベートアクセス for SINET
-
-
プライベートアクセス申し込み(利用者作業)
-
プライベートアクセス申込番号を通知(富士通クラウドテクノロジーズ)
-
クラウド接続サービス申し込み(利用者作業)
-
設定作業/設定完了を通知(富士通クラウドテクノロジーズ)
-
設定作業(利用者など)
-
利用開始
-
- プライベートアクセス for Equinix Cloud Exchange™
-
-
IaaS上でルーター、プライベートLANの作成(利用者作業)
-
プライベートアクセス申し込み(利用者作業)
-
プライベートアクセス申込番号を通知(富士通クラウドテクノロジーズ)
-
Equinix Cloud Exchange™の申し込み(利用者作業)
-
設定作業/設定完了を通知(富士通クラウドテクノロジーズなど)
-
利用開始
-
- プライベートアクセス for Digital enhanced EXchange(DEX)
-
本サービスの利用は富士通各種サービスのDEXメニューを契約していることが前提となります。
-
利用者担当のサービスマネージャーに利用可否を確認(利用者作業)
-
プライベートアクセス申し込み(利用者作業)
-
プライベートアクセス申込番号を通知(富士通クラウドテクノロジーズ)
-
接続申請書の作成(利用者作業)
-
設定作業/設定完了を通知(富士通クラウドテクノロジーズ/富士通)
-
利用開始
-
- プライベートアクセス for OPTAGE
-
-
プライベートアクセス申し込み(利用者作業)
-
プライベートアクセス申込番号を通知(富士通クラウドテクノロジーズ)
-
ネットワークエクスチェンジ申し込み(利用者作業)
-
設定作業/設定完了を通知(富士通クラウドテクノロジーズ/オプテージ)
-
利用開始
-
仕様/留意事項
プライベートアクセス for ARTERIA
項目 |
仕様/留意事項 |
---|---|
通信速度 |
「VECTANT セキュアクラウドアクセス共有型」の速度に準じます。 |
接続レイヤー |
「VECTANT セキュアクラウドアクセス共有型」の仕様に準じます。 |
利用可能リージョン |
east-1、east-2、east-3、east-4、west-1 |
事前作業 |
事前にプライベートLANを作成しておく必要があります。 |
留意事項 |
|
プライベートアクセス for クラウドゲートウェイクロスコネクト
項目 |
仕様/留意事項 |
---|---|
通信速度 |
「クラウドゲートウェイ クロスコネクト」の速度に準じます。 |
接続レイヤー |
「クラウドゲートウェイ クロスコネクト」の仕様に準じます。 |
利用可能リージョン |
east-1、east-2、east-3、east-4、west-1 |
事前作業 |
事前にプライベートLAN及び、仮想サーバーを作成しておく必要があります。 |
留意事項 |
|
プライベートアクセス for SINET
項目 |
仕様/留意事項 |
---|---|
通信速度 |
IN/OUT:1Gbps ベストエフォート |
接続レイヤー |
L2 |
利用可能リージョン |
east-1、east-2、east-3、east-4、west-1 |
SINET5ノード |
東京1 |
事前作業 |
事前にプライベートLANを作成しておく必要があります。 |
前提条件 |
利用者がSINET5に加入していることが前提となります。 |
留意事項 |
|
プライベートアクセス for Equinix Cloud Exchange™
項目 |
仕様/留意事項 |
---|---|
通信速度 |
IN/OUT:200Mbps、500Mbps、1Gbps |
接続レイヤー |
L3(ルーターの契約が別途必要) |
利用可能リージョン |
east-2 |
事前作業 |
事前にプライベートLANとルーターを作成しておく必要があります。 |
留意事項 |
|
プライベートアクセス for Digital enhanced EXchange(DEX)
項目 |
仕様/留意事項 |
選択値・条件 |
---|---|---|
通信速度 |
IN/OUT:1Gbpsベストエフォート |
|
接続レイヤー |
L2 |
|
利用可能リージョン |
east-1、east-4、jp-west-2 |
|
事前作業 |
事前にプライベートLANを作成しておく必要があります。 |
|
接続可能データセンター |
館林データセンター、横浜データセンター、横浜港北データセンター、明石データセンター、千里データセンター、中部データセンター |
|
前提条件 |
DEXの利用者担当サービスマネージャーがいることが前提となります。 |
|
留意事項 |
6. プライベートブリッジとの併用に関しましては、一部接続可能なパターンもあります。
|
|
プライベートアクセス for OPTAGE
項目 |
仕様/留意事項 |
---|---|
通信速度 |
「ネットワークエクスチェンジ」の速度に準じます。 |
接続レイヤー |
「ネットワークエクスチェンジ」の仕様に準じます。 |
利用可能リージョン |
west-1 |
事前作業 |
事前にプライベートLANを作成しておく必要があります。 |
留意事項 |
|