SINETクラウド接続サービスについて
第1版
平成29年12月18日
国立情報学研究所
学術基盤課 SINET利用推進室
第11回 研究教育のためのクラウド利活用セミナー内容
SINETクラウド接続サービスの概要 クラウド接続サービスの枠組みと現在の利用状況 SINETクラウド接続サービスを利用することのメリット クラウド接続に必要なネットワーク構成 タグVLAN BGP接続(必要な場合) 申請手続き 申請フロー アンタグからタグVLANへ変更 別キャンパス扱い SINET5のVPNサービス(L2オンデマンド、仮想大学LAN) 問い合せ窓口はじめに
SINETクラウド接続サービスとは、SINETがクラウドサービスを提供するのではな く、加入機関とクラウド事業者間のL2VPN接続環境を提供するサービスです。 (2011年7月スタート) SINETクラウド接続サービスでいう「クラウド」とは商用のデータセンタを介して 何らかのサービスが提供されるものを対象としています。(ハウジングサービス等 も対象です) SINETに直接接続しているクラウド事業者のことをSINETでは「サービス提供機関」 と呼んでいます。 サービス提供機関になるための主な条件 • SINETの「L2VPN」接続サービスを利用 • 帯域が保障されたアクセス回線(専用線、ダークファイバ等)でSINETに接続 • アクセス回線は複数の加入機関で共用(加入機関毎にVLANで論理分割) 上記条件を満たさない場合は、サービス提供機関にはなれません。 クラウド事業者がサービス提供機関に参入せずとも加入機関の「別キャンパス」と いう扱いで加入機関が主体となりSINETに申請することで商用のデータセンタを SINETに直接接続することも可能です。 SINETを介してクラウド と接続するサービス SINETに直結した商用クラウドサービス(提供中21)を、100以上の加入機関に提供中 (参考)https://www.sinet.ad.jp/service_provider/service_providers_list
サービス提供機関一覧
NEC AWS NJC UQ CTC伊藤忠 NTTコム NHNテコラス CTC 中部テレ FJCT GMOインターネット :提供中 21社(25拠点) :調整中 3社 K-OPT NTT東 11社 学認クラウド 導入支 援サービスチェック リスト回答の検証結 果を提供中の事業者 大学・研究機関等 直 結 自由に選択可能 クラウドデータセンタ 高性能セキュア ネットワーク (L2VPN) NTTデータ九州 NTT-SmC NTT-SmC IIJ さくらインターネット NTT西 ねこじゃらし 日本MS 佐賀IDC さくらインターネット (満杯中) HOTnet NTT東 (満杯中) 三谷商事 ミライネット 富士通 富士通 三谷商事 福岡2 大阪 東京1 神奈川 岐阜 兵庫 愛知 佐賀 群馬埼玉 北海道1 福井5 9 11 14 17 21 21 0 5 10 15 20 25 サービス提供機関数 2 14 31 51 66 83 102 0 20 40 60 80 100 120 利用加入機関数
(2017年12月14日現在)
サービス提供機関数と利用加入機関数の推移
サービス提供機関として承認され ている機関数(提供中)の推移SINETクラウド接続サービスの特徴
SINETクラウド接続サービス経由のクラウド利用にはさまざまなメリットがあります。 SINETのL2VPN接続サー ビスは利用できません サービス提供機関のクラウド ノード ノード SINET5は全国100Gフル メッシュで超高速・低遅 延なネットワークを実現 しています 専用線・ダークファイバ 等、帯域が保障された回 線で接続しています 加入機関 商用インターネット 一般的なクラウド GW コア コア コア エッジ エッジ エッジ エッジ エッジ エッジ エッジ エッジ GW エッジ エッジ ノード ノード ノード ノード ノード ノード ノード ノード GW ノード ノード (参考) 加入機関の負担でクラウド と繋ぐ回線を用意する必要 があります SINET4 SINET5 L2VPN接続はVLAN番号で 論理分割するため、VPN装 置は不要です 速度の低下もありません VPNでクラウドと接続 するにはVPN装置等が 必要になります L2VPN接続で拠点間を繋ぐため安全です SINETが巨大な一つのL2SWになりますの で、学内LANと同等の扱いが可能になりますSINETクラウド接続サービスの接続イメージ図
A大学 A大学のL2VPNはVLAN 「A」でSINETへ接続 B大学 B大学のL2VPNはVLAN 「B」でSINETへ接続 サービス 提供機関 ノード ノード ノード A大学用 B大学用 SINETへタグVLAN で接続する 加入機関側のVLAN番号とサービス提供機関側 のVLAN番号を一致させる必要はありません 使用できるVLAN番号は2~4094の範囲で自由 に指定できます SINETは拠点間の L2VPNの設定のみ (L2の土管を構築) 1本の回線を複数の機関で共有 するため、L2SW等で利用機関 毎にVLANで論理分割するIP Dual接続の構成例
「IPv4/IPv6 Dual接続(IP Dual接続)」は、インターネット接続を行うための SINETの基本的な接続(L3)サービスです。 SINETが加入機関様の接続用に払い出す150.99.xxx.zzz(接続セグメント用IPアド レス)を加入機関機器に設定します。 SINET5 加入機関 ルータ FW 学内LAN 学内LAN 接続セグメント用アドレスは、 150.99.xxx.yyy/30 という形式で払い出されます(申請 窓口よりご案内します)。 中2つのアドレスのうち、老番を加入 機関機器のWAN側へ、若番をSINET 側へ(加入機関機器にデフォルト ゲートウェイとして設定)それぞれ 設定します。 老番 若番 例) IP Dual接続の基本的な構成イメージ SW等
L2VPN接続の構成例(1)
L2VPN接続サービスは、拠点間を同一のセグメントで閉域網を構築するサービスです。 IP Dual接続用とL2VPN接続用のVLANを分けることで同一の物理回線で両サービスの 利用が可能です。VLAN番号は2~4094の範囲で自由に指定できます。 加入機関のWAN側をタグVLANに設定し、SINETと接続します(WAN側がアンタグの 場合は設定変更が必要です)。 SINET5 加入機関 ルータ FW 学内LAN IP Dual 例) L2VPN接続の基本的な構成イメージ L2VPN L2SW等を設 置してWAN 側をタグ VLANに設定 VLAN B VLAN A L2VPN IP Dual インターネット VLAN A・B SINET側もタグ VLANに設定 L2VPNの場 合、SINETは巨 大な L2SWになる サービス 提供機関L2VPN接続の構成例(2)
SINET5 加入機関 ルータ ① クラウド接続サービスの基本的な構成イメージ VLAN B VLAN A IP Dual IP Dual L2VPN サービス提供機関 SINET5 加入機関 ルータ VLAN B IP Dual IP Dual L2VPN サービス提供機関 VLAN A 拠点間の通信はL3になっているが、 ① と同様にL2VPN接続で利用 SINET機器はL2SWとして動作 ルータ L2SW等 L2SW等 ルータ ② L2VPN上でL3の通信を行う場合の構成イメージ L2のままクラウド資源 と通信させたくない等 の理由でルータを挟む 拠点間で同一セグメントのネッ トワークを構築できることが L2VPN接続の最大の利点 L2VPN接続用に別 途ルータが必要VLAN番号の調整
SINET網内でVLAN変換をしますので、加入機関側とサービス提供機関側のVLAN番号を一致さ せる必要はありません。 他拠点を意識せずに、自拠点のネットワークの都合でVLAN番号を決めることができます。 加入機関・SINET網内・サービス提供機関のVLANイメージ サービス 提供機関 A大学 B大学 C大学 加入機関のVLAN番号 と一致させる必要なし VLAN 10 VLAN20 VLAN10 VLAN 1000 VLAN 2000 VLAN 3000 VLAN 100:A大学 VLAN 200:B大学 VLAN 300:C大学 他拠点のVLAN番号 を意識する必要なし ここで 変換 網内の VLAN番号 は非開示SINET5接続機器の設定について
VLANを利用してSINET5と接続を行う際は、申請しているVLANのみ送出するよう、 機器の設定をお願いします(設定詳細は、機器ベンダへご確認ください)。
interface GigabitEthernet x/y/z switchport mode trunk
switchport trunk allowed vlan 100
! Cisco機器の例 interfaces { ge-x/y/z { vlan-tagging; unit 0 { family bridge { interface-mode trunk; vlan-id-list [ 100 ]; } } } } Juniper機器の例 加入機関 RT/L3SW等 加入機関LAN SINET5 申請したVLANのみを送出するよう設定 Payload Tag Src Dst VLAN 100 のみ 送出する設定例
クラウドサービス利用開始までの流れ
SINET 申請窓口 加入機関 ② SINET5利用申請書 (商用クラウド利用) 加入機関よりサービス提供 機関のサービスを利用する 申請書を提出します ④ 設定 手配 ① サービス提供機関のサ-ビス利用に関する契約 加入機関とサービス提供機関の間で、サービス契約を行ってください ⑤ 設定情報等連絡 加入機関へ接続に必要な 設定情報をメールにて連絡 します ③ 設定内容の調整 以下項目について調整します ・利用期間 ・VLAN番号 ・接続ポート ・設定投入日時 サービス 提供機関 ⑦ 電話連絡にて加入機関の接続作業を開始 加入機関よりSINETオペレーションセンタへ接続開始 連絡を行います ⑧ サービス提供機関 接続開始 サービス提供機関、加入機関の間でクラウドサービス利用が開始されます ⑥ 設定開始 サービス提供 機関の設定を 行います SINET オペレーション センタ 接続作業日は、② のSINET5利用申請 書(商用クラウド利 用)で加入機関より 指定された日時と なります。 サービス提供機関 側と接続のタイミ ングを合せる必要 はありません。 ③ での調整した 設定投入日時に 合せて、SINET オペレーション センタにて設定 します。 加入機関側の接 続とタイミング を合わせる必要 はありませんの で、任意のタイ ミングで設定を 行ってくださ い。 VLAN番号や利用開始 時期等の調整も事前 に行ってください。 なお、契約に関して SINETは一切関知し ません。クラウドサービス利用開始の前に(1)
IP Dual接続をアンタグからタグVLANに変更するには何が必要になりますか? タグVLANに対応した機器が必要です。 加入機関拠点のWAN側にL2SW等を設置してタグVLANでSINETと接続して下さい。 「IPv4/IPv6 Dualサービス申請書」を提出して下さい。 申請書にIP Dual接続で使用するVLAN番号をお書き下さい。 アンタグ接続からタグVLAN接続に変更の際に通信断が発生します。 通常数分から10分程度通信が切れますのでご留意下さい。 現在の接続方式が不明な場合は、SINET申請窓口までお問い合せ下さい。 IP Dual接続とL2VPN接続を単一のアクセス回線で共用しないといけないのですか? L2VPN接続用にアクセス回線を新設することも可能です。 SINET5ノードのポートの利用状況によっては、ご希望に沿えない場合があります。 (参考) https://www.sinet.ad.jp/application_procedures/form-ipdual https://www.sinet.ad.jp/faqs/technicalクラウドサービス利用開始の前に(2)
加入機関とサービス提供機関の2拠点間でしか利用できないのですか? 3拠点以上でも利用可能です。(後から拠点の追加等も可能です) ただし、「SINET5利用申請書(商用クラウド利用)」は2拠点間で利用することに 特化した申請書になっています。 3拠点以上でL2VPNを構築する場合は、通常のL2VPNの利用申請の流れで申請を お願いします。 通常のL2VPNの利用申請は以下の2段階の申請が必要です。 ① VPN利用開始申請 VPNの代表者(加入機関)から申請します。 SINETからVPNサービスの利用承認が得られたら、下記②の申請を行います。 ② サービス利用申請 それぞれの接続拠点から申請します。 サービス提供機関側はサービス提供機関の担当者から申請します。 (参考) https://www.sinet.ad.jp/connect_service/service/l2vpnクラウドサービス利用開始の前に(3)
L2VPN上でL3の通信を行うには申請が必要ですか? SINETへ申請は不要です。 IP Dual接続と異なり、L2VPNの土管の中で行われるL3の通信になるため、SINET は一切関知しません。 L2VPN接続用に別途必要なルータの設定等についてもSINETは関知しませんので、 サービス提供機関のご担当者にご確認下さい。 「仮想大学LANサービス」でサービス提供機関のクラウドを利用できますか? 複数の拠点を持つ単一の加入機関に特化したサービスのため、クラウド拠点も 単一の加入機関のみが利用していることを想定しています。 VLANの取り扱いがL2VPNサービスと異なる等、利用の際に制限や注意事項もあり ますので、 「仮想大学LANサービス」でサービス提供機関のクラウド利用を検討 する際は、事前にSINET利用推進室までご相談をお願いします。 (参考) https://www.sinet.ad.jp/connect_service/service/vswitchタグVLAN接続への変更申請(1)
アンタグからタグVLAN接続に変更は、VPN利用開始時に同時に行うことも、インター ネット接続をまずタグVLAN化し、後からVPNを利用開始することも可能です。 加入機関の都合に合わせてご検討下さい。 インターネット接続の変更申請は「IPv4/IPv6 Dualサービス申請書」をお使い下さい。 (詳細) https://www.sinet.ad.jp/application_procedures/form-ipdual アンタグからタグVLAN接続に変更の際には通常短時間(数分から10分程度)の通信断が 発生します。 タグVLAN化以降のVLANの追加や削除では通信断は発生しません。 加入機関側機器で対応可能であれば、新規接続の際に、当面はインターネット接続しか 利用の予定がなくてもタグVLANで接続する事をお勧めします。 最初からタグVLAN接続にしておけば将来VPNサービス利用時に通信断が発生せずに済み ます。タグVLAN接続への変更申請(2)
変更届 https://www.sinet.ad.jp/application_procedures/form-ipdual
ここにインターネット接続用 のVLAN番号を記入
別キャンパス扱いとは
商用のデータセンタ拠点等、実在するキャンパスとは異なる接続拠点をSINETでは 「別キャンパス扱い」と呼び、加入機関の拠点と見做しています。 別キャンパス扱いでSINETに接続する際は、加入機関から申請します。 (データセンタ事業者等の名義で申請はできません) 利用できるSINETのサービスに差異はありません。 一方、SINETクラウド接続サービスでは、L2VPN接続サービスしか利用できません。 (運用方針上の制限)。 クラウド接続サービスでの利用シーン クラウド拠点からインターネット接続(IP Dual接続)したいとき 公開サーバ等をクラウド拠点に置きたいとき など※ クラウド拠点からIP Dual接続をするには加入機関のグローバルIPアドレスが必要に なります。サービス提供機関が所有しているグローバルIPは使用できません。
別キャンパス扱いによる接続
クラウド接続サービスで接続しているサービス提供機関の拠点から別キャンパス扱い で接続したいときは以下の流れになります。 サービス提供機関に確認 • 利用中/予定のサービス提供機関に別キャンパス扱いでの接続が可能かどうか 事前に確認して下さい(SINETは関知しません) 。 接続申請書を加入機関から提出 • VLAN番号や接続情報については加入機関とサービス提供機関の間で調整し、 利用申請書は加入機関から提出して下さい。 A大学 B大学 IP Dual接続を利用する場合は、B 大学の別キャンパスとしてクラウド 拠点側の接続申請もB大学が行う サービス提供機関 ノード ノード インターネット L2VPN接続で利用する場合 は、「クラウド接続サービス の枠組み」になるため、クラ ウド拠点側の接続申請はサー ビス提供機関が行う 自宅、民間等 L2VPN L2VPN IP Dual接続形態の違いまとめ
「クラウド接続サービスの枠組み」と「別キャンパス扱い」の主な違いをまとめると 以下になります。 クラウド接続サービスの枠組み(L2VPNに限定) 回線整備: サービス提供機関の責任でSINETへ接続 回線利用者: サービス提供機関の利用者で共用(タグVLAN) IPアドレス: 閉域網で利用するため、プライベートIPアドレスでよい 申請者: 加入機関側は加入機関、クラウド側はサービス提供機関から申請 別キャンパス扱い(IP Dual等のサービスも利用可能) 回線整備: 加入機関の責任でSINETへ接続 回線利用者: 原則として回線を整備した加入機関のみが利用(アンタグも可) ※ クラウド接続サービスの枠組みで整備した回線を共用する場合は事前にサービス 提供機関に確認 IPアドレス: IP Dual接続の場合は、加入機関のグローバルIPアドレスが必須 申請者: すべて加入機関から申請確認事項まとめ
加入機関設備に関する確認事項 ネットワーク機器やアクセス回線がタグVLANに対応しているか 現在の接続方式がアンタグかタグVLANどちらになっているか サービス提供機関に関する確認事項 BGP接続が必要となるか 別キャンパス扱いに対応しているか(インターネット接続が必要な場合) SINETに申請する前の確認事項 サービス提供機関と契約が済んでいるかSINET5のVPNサービス
(L2VPN/VPLS)
L2オンデマンド(L2OD)サービス(1)
L2ODサービスを利用する事で、加入機関自身でVPNのセルフプロビジョニングが可能です。 従来のVPN(=スタティック)では加入機関からその都度申請をいただいて設定するのに対し、 L2ODサービスは加入機関にて、必要に応じてVPNの設定/変更(=セルフプロビジョニング)が 可能です。 L2オンデマンドは、通信経路も自由に設定可能なので、高遅延でのアプリケーションの挙動テス トなどにもご利用頂けます。 L2オンデマンドサービスのイメージ SINET 利用機関 SINET 利用機関 ユーザ SINET 利用機関 SINET 利用機関 ユーザ ユーザ ユーザ ユーザ ユーザ ユーザ ユーザ ユーザ ユーザ :L2VPN(2地点) :VPLS(多地点) 経路指定 動的設定 Global Requester 設定要求 クラウド コントローラ REST 帯域確保 L2OD サーバ 最短パス(通常挙動) 長パス(経路設定) NSIL2オンデマンド(L2OD)サービス(2)
L2オンデマンドは、REST APIでの設定が可能です。 遠隔バックアップサイトを、通常は切断しておき、バックアップを行う時だけ接続するといった 使い方が可能です。 L2OD サーバ バックアップスクリプト (2) VPN設定 (2) VPN設定 (3) 開通したVPNでデータバックアップ 拠点A 拠点B (1) REST API仮想大学LANサービス
多数のVLANを利用する、多くの拠点にVLANを展開するような構成については、仮想大学LAN サービスの利用をご検討ください(~100VLAN程度)。 仮想大学LANサービスのイメージ A拠点 B拠点 C拠点 D拠点 E拠点 全体で利用する VLAN:100~200 VLAN 100-129 VLAN 130-169 VLAN 170-200 申請した範囲内のVLANを自由に設定可能 従来型のVPNと異なり SINET網内でVLANの 変換はしません SINET機器がVLANを自動 認識し、VPNを構築します 同じVLAN番号同士でしか VPNは構築できませんVPNサービスの比較
L2VPN/VPLS L2オンデマンド 仮想大学LAN VPNの利用シーン 単一機関や他機関と静的に VPNを構成(VLANの変更や対 地の変更が発生しない利用) 単一機関や他機関と動的に VPNを構成(VLANの変更や対 地の変更が発生する利用) VPNのメンバ構成が単一機関 に限定され、VLANを沢山使用 するような利用 利用VLAN数の目安 数個程度(都度申請) 10個程度 100個程度 VLAN番号の調整 不要 (SINET機器でVLAN変 換、各拠点任意のVLAN番号で 接続) 同左 必要 (VLAN変換不可、使用 するVLAN番号を全拠点で揃え る) VLAN番号の指定 1個ずつ指定 範囲で指定 範囲で指定 利用申請 2段階申請 (VPN利用開始申請、サービス利用申請) 2段階申請 (L2ODサーバ登録申請、L2ODサービス申請) 仮想大学LAN申請の1通のみ
VLANの設定作業 SINETオペセンが設定 利用者がWeb操作で設定 VLANを自動認識
VLANの変更申請 必要 (変更の都度必要) 不要 (申請時の範囲内なら 不要) 同左 QoS 低廃棄、高廃棄 低廃棄、高廃棄に加えて優先 的なQoS制御指定、帯域指定 なし クラウド接続サー ビスとの併用 可能 同左 利用したいサービスを提供するクラウド事業者に要確認
