例: 透過的なサービスチェーンの作成
このセクションでは、ジュニパーネットワークスのContrailユーザーインターフェイスを使用して透過モードのサービスチェーンを作成する例を示します。ブリッジモードとも呼ばれる透過モードは、レイヤー2ファイアウォール、侵入検知および防止(IDP)など、パケットを変更しないサービスに使用されます。次のサービス チェーンの例は、サービス インスタンスのスケーリングも示しています。
透過モードサービスチェーンの作成
透過モードのサービスチェーンを作成するには:
左右の仮想ネットワークを作成します。[ >ネットワーク>ネットワークの構成 ] を選択し、 left_vn と right_vnを作成します。 図1を参照してください。
図 1: ネットワーク の作成透過モードのサービス テンプレートを設定します。[> サービス>サービス テンプレートの設定] に移動し、[サービス テンプレート] の [作成] ボタンをクリックします。[サービス テンプレートの追加] ウィンドウが表示されます。図2を参照してください。
図 2: サービス テンプレート の追加表 1: サービス テンプレート フィールドの追加 フィールド
説明
名前
サービス テンプレートの名前を入力します。
サービスモード
サービス モードとして、[ ネットワーク内 ] または [透過] を選択します。
サービスのスケーリング
1 つのサービス インスタンスに対して複数の仮想マシンを使用してサービスをスケール アウトする場合は、[ サービスのスケーリング] チェック ボックスをオンにします。スケーリングを選択すると、各仮想マシン インターフェイスの特定のインターフェイスに同じ IP アドレスを使用するか、各仮想マシンに新しいアドレスを割り当てるかを選択できます。NAT サービスの場合、左(内部)インターフェイスは同じ IP アドレスを持ち、右(外部)インターフェイスは異なる IP アドレスを持つ必要があります。
イメージ名
使用可能なイメージの一覧から、サービスのイメージを選択します。
インターフェイスタイプ
このサービスのインターフェイス タイプを選択します。
ファイアウォールまたはNATサービスの場合、 左 インターフェイスと 右インターフェイス の両方が必要です。
アナライザー サービスの場合、 左側のインターフェイス のみが必要です。
ジュニパーネットワークスの仮想イメージの場合、左右の要件に加えて、 管理インターフェイス も必要です。
[サービス テンプレート の追加(Add Service Template)] で、透過モードのサービス テンプレートに対して次の手順を実行します。
名前: ファイアウォール テンプレート
サービスモード:透過
サービスのスケーリング: これを選択します。
イメージ名:vsrxブリッジ
インターフェイスタイプ: 左インターフェイス、右インターフェイス、および管理インターフェイスを選択します。
特定のサービスインスタンスに対して複数のインスタンスを起動する場合は、[ サービスのスケーリング] チェックボックスをオンにして、 共有 IP 機能を有効にします。
「 保存」をクリックします。
サービス インスタンスを作成します。[ > サービス>サービス インスタンスの構成] に移動し、[ 作成] をクリックしてから、使用するテンプレートを選択し、対応する左、右、または管理ネットワークを選択します。 図3を参照してください。
図 3: サービス インスタンス の作成表 2: サービス インスタンスの作成フィールド フィールド
説明
インスタンス名
サービス インスタンスの名前を入力します。
サービス テンプレート
使用可能なサービス テンプレートのリストから、このインスタンスに使用するサービス テンプレートを選択します。
左ネットワーク
使用可能な仮想ネットワークの一覧から、左側のインターフェイスに使用するネットワークを選択します。透過モードの場合は、[ 自動構成] を選択します。
適切なネットワーク
使用可能な仮想ネットワークの一覧から、適切なインターフェイスに使用するネットワークを選択します。透過モードの場合は、[自動構成] を選択します
管理ネットワーク
管理インターフェイスを使用している場合は、[自動構成] を選択します。ソフトウェアは、内部で作成された仮想ネットワークを使用します。透過モードの場合は、[自動構成] を選択します
スケーリングが有効になっている場合は、[ インスタンス数] フィールドに値を入力して、起動するサービス仮想マシンのインスタンスの数を定義します。 図4を参照してください。
図 4: サービス インスタンスの詳細次に、ネットワークポリシーを設定します。[ >ネットワーク>ポリシーの設定]に移動します。
ポリシーに fw-policy という名前を付けます。
[送信元ネットワーク] を [ left_vn ] に、[宛先ネットワーク] を [right_vn] に設定します。
[サービスの適用] をオンにして、サービス(fwインスタンス)を選択します。
図 5: ポリシー の作成次に、それを以前に作成したネットワーク( left_vn とright_vn)に関連付け ます。[ >ネットワーク>ポリシーの設定]に移動します。
left_vn右側にある歯車のアイコンをクリックして、[ネットワークの編集]を有効にします。
left_vn の [ネットワークの編集] ダイアログ ボックスで、[ネットワーク ポリシー] フィールドで [nat-policy] を選択します。
right_vnに対してこのプロセスを繰り返します。
次に、(OpenStack から) 仮想マシンを起動し、次の手順を実行してサービスチェーン内のトラフィックをテストします。
[ >ネットワーク>ポリシーの設定]に移動します。
仮想ネットワーク left_vnで left_vm を起動します。
仮想ネットワーク right_vnで right_vm を起動します。
left_vmから IP アドレス (図 6 の 2.2.2.252) right_vm に ping を実行します。
right_vm の TCPDUMP は、パケットの送信元 IP が 2.2.2.253 に設定されていることを示します。
図 6: インスタンス の起動