本文へジャンプします。

【重要なお知らせ】サービス統合に基づくサービス名称の読み替えのお願い(2024年4月1日)

2024年4月1日をもって、「ニフクラ」は、「FJcloud-V」に統合し、名称を変更しました。
当サイトのアドレス(ドメイン名)に含まれる「nifcloud.com」は現時点では変更はございませんが、
各ページに記載の「ニフクラ」「NIFCLOUD」「nifcloud」は、「FJcloud-V」に読み替えていただきますようお願いいたします。

ニフクラ ユーザーガイド

クラウド トップ>ユーザーガイド>ニフクラ設計ガイド(導入設計編)
目次

はじめに

  • 本ドキュメントの目的

    • 本ドキュメントでは、当サービス環境上へのシステム移行/データ移行に必要な知識を提供し、商談対応やシステム設計を担当する方が、業務を円滑に進められることを目的とします。

  • 本ドキュメントの対象読者

    • 当サービスを利用して商談対応、要件定義、システム設計を行う方

    • オンプレミスまたはクラウド(IaaS)の商談対応、要件定義、システム設計の経験者

  • 前提知識

    • システム設計/システム運用に関する基本的な知識

      • OSに関する基本的な知識

      • インターネット、イントラネットに関する基本的な知識

      • セキュリティに関する基本的な知識

      • バックアップ、監視、冗長化などシステム設計/システム運用に関する基本的な知識
        ※システム設計経験を有することが望ましい。

  • 仮想化技術に関する以下の基本的な知識

    • ハイパーバイザー、仮想サーバー、仮想ストレージ、仮想ネットワークに関する基本的な知識

    • VMwareに関する基本的な知識

  • ニフクラサービスの変更は最新のドキュメントを参照してください。

本ドキュメントで提供する内容

  • 本ドキュメントでは当サービスを用いた商談対応や要件定義、システム設計に携わる方向けに提供してきた、実商談で培われた設計上のナレッジを提供します。
    システム設計時のポイントを、カテゴリ別に分類しています。
    ※利用者が当サービス上でシステム設計/構築する際のナレッジを記載しています。サービスを提供する当サービス側の作業内容は含みません。

  • 本ドキュメントで記載しているサービスの提供ゾーン/リージョンは クラウド技術仕様/制限値(共通:ゾーン別機能対応表)を確認してください。

本ドキュメントの構成

  • 本ドキュメントは、以下の章立てで記載します。

    設計のポイント

    各章で検討や留意すべき特徴的な内容をポイントとして記載します。

    設計ポイントの適用指針

    設計のポイントで記載した内容を適用する指針を記載します。

    カテゴリと留意事項

    各カテゴリの作業レベルで、検討事項、留意事項を記載します。なお、オンプレミスと同様に検討できる項目は記載を省略しています。

    方式設計と参考ドキュメント

    各カテゴリの作業レベルで参考となる詳細ドキュメントの概要や参照先を記載します。

  • オンプレミスと同様に検討できる項目について

    • オンプレミスと同様となる設計は、本ドキュメントでは割愛します。既存のオンプレミスの設計を参考にしてください。

      例:仮想マシン内のデータのバックアップ設計

      → アプリケーション設計の範囲で、既存の設計と変わりません。

      例:サーバーのバックアップ設計

      → 以下の対応は必要ですが、バックアップの取得サイクルなどの設計は変わりません。

      • フルバックアップ対象を物理サーバーから仮想マシンに変更。

      • 使用するツールなどの方式設計の見直し。

      例:仮想マシンの冗長構成

      → OS及びアプリケーションより上位のレイヤの冗長化は、物理サーバーやオンプレミスの仮想マシンと変わりません。ただし、仮想サーバー自体のHigh Availability (HA)などの冗長化を構成する際には考慮点があります。

本ドキュメント活用のメリット

  • 知識の習得

    • 利用者がニフクラでシステムを構成する際に必要な知識を習得できます。

  • 当サービスが提供するサービス/機能の適用可否を、早い段階で判断可能

    • 本ドキュメントで提供するナレッジを活用すると以下の効果が期待できます。

      • システムに対する要求事項のうち、システム構成の課題を解決するための構成サンプルを提示できます。

      • 商談や要件定義などの早い段階で、当サービスが提供するサービスや機能を利用するか、あるいは利用者側でミドルウェアなどを手配して導入するかを判断できます。

  • システム構成の手戻りを抑制可能

    • 当サービスのシステム構成に関するナレッジを習得し、システム設計の後工程で問題が発生するような事態を抑制できます。

1.性能・拡張性

設計のポイント

ニフクラにて性能・拡張性観点で設計をするポイントについて、以下のリソース区分ごとに記載していきます。

リソース区分

リソースの概要

仮想リソース全般

当サービスが提供する以下リソースについて記載します。

  • コンピューティング

    • 仮想サーバー

  • ネットワーク

    • プライベートLAN

    • ルーター

    • ロードバランサー(L4)

  • データベース

    • RDB

  • NAS

    • NAS
仮想リソース設計

  • ニフクラにて性能・拡張性観点で設計をする際は、以下の項目を検討してください。

    • 仮想リソース全般

      検討項目

      検討内容

      選択値・条件

      サーバータイプ選定

      ニフクラでは、vCPUとメモリをセットにした仮想サーバータイプを提供しています。
      リージョン/ゾーンにより選定可能なサーバータイプが異なります。
      CPU性能値を計測した ベンチマーク結果を参照し、検討してください。

      利用可能なサーバータイプは クラウド技術仕様/制限値(コンピューティング:サーバー) を確認してください。

      スケールアップ/スケールダウン

      vCPU、メモリが不足している際は、上位のサーバータイプへの変更を検討してください。
      vCPU、メモリが十分に余裕がある際は、下位のサーバータイプへの変更を検討してください。 [1]

      1. 仮想サーバータイプの選択はできますが、CPUクロック数の選択はできません。

      スケールアウト/スケールイン

      同時処理数を増やすには、仮想サーバーの台数を増やすスケールアウトを検討してください。
      仮想サーバー単体の性能向上策であるスケールアップと組み合わせて、システム全体の性能を考慮してください。
      スケールアウトを検討する際には、スケールインによる台数削減の条件も合わせて検討してください。
      適切なスケールアウト/スケールインで、効率的に当サービスのシステムリソースを活用してください。

      負荷分散

      Webサーバー、APサーバーの同時処理性能を向上させるには、ロードバランサーを利用した負荷分散を検討してください。
      性能に関しては各ロードバランサーで必要帯域/スペックを契約してください。

      以下を提供

      • ロードバランサー(L4)

      • マルチロードバランサー

      • L7ロードバランサー(Ivanti Virtual Traffic Manager)

      • 統合ネットワークサービス(IPCOM VE2Vシリーズ)を提供

      オートスケール

      以下の閾値を設定して自動的なスケールアウト/スケールインで要件を満たせる際には、オートスケールを検討してください。

      • CPUの使用率、継続時間

      • メモリの使用率、継続時間

      • ネットワークの流量(Mbps)、継続時間

      オートスケールのトリガー対象はクラウド技術仕様/制限値(コンピューティング:オートスケール)_トリガーの対象(複数選択可能)を確認してください。

      DB リードレプリカ

      データベースへのアクセスが多い場合には、参照専用のデータベース(リードレプリカ)の利用を検討してください。

      増設ディスク増設

      仮想サーバーに対してディスクを増設できます。
      ローカルディスク、増設ディスクの性能値を計測した ベンチマーク結果を参照し、検討してください。

      増設可能なディスクの種類、数、容量は クラウド技術仕様/制限値(コンピューティング:増設ディスク)を確認してください。

      増設ディスクの容量拡張

      一度作成した増設ディスクは、一部対象のOSで容量を拡張できす。対象イメージ以外で容量を拡張する際は、以下の方法等にて利用者自身で対応してください。

      • 新たに要件を満たす容量の増設ディスクを作成し、手動でデータを移行する。

      • OS上で論理ボリュームを構成する。

      詳細な仕様は クラウド技術仕様/制限値(コンピューティング:増設ディスク)を確認してください。

      ネットワーク

      仮想サーバーではサーバータイプでネットワーク性能が異なります。
      その他プライベート接続サービス [2] の性能は各サービスの仕様を確認してください。
      仮想サーバーのネットワーク性能値を計測した ベンチマーク結果を参照し、検討してください。

      2. 本ドキュメントでは、「ダイレクトポート」、「物理ポート」、「プライベートアクセス」の総称を「プライベート接続サービス」と表記します。「プライベート接続サービス」は、当サービス上での正式な呼称ではありません。

      複数ゾーン構成

      ネットワーク構成に合わせて、信頼性の観点も含めてプライベートブリッジ、ロードバランサー(L4)等を利用して複数ゾーンの利用を検討してください。

      プライベートブリッジの提供リージョンは クラウド技術仕様/制限値(プライベートブリッジ)「提供リージョン」項目を確認してください。

      アプリ多重度

      アプリを多重に起動できるよう設計してください。
      IaaSでは、CPUクロック数をオンプレミスのように自由に選択できません。そのため、シングルスレッドで動くバッチ処理などのアプリは、IaaSでは性能が出ないケースがあります。
      アプリを複数のサーバーや複数のプロセス/スレッドで稼働できるよう設計してください。

      各種制限値

      当サービスでは配備できるリソースに対してそれぞれ制限値があります。システム要件と制限値を勘案し、設計してください。

      • 制限値の例

        • プライベートLAN数

        • 仮想サーバー数

        • 増設ディスク容量・本数

      各種制限値は以下のリンクから確認してください。
適用指針

設計のポイントで例示した検討項目について、検討対象への適用の指針を記載します。

主な検討内容/検討項目

サーバー単体に対して適用を検討する項目

システム全体に対して適用を検討する項目(同時接続処理数の向上に関連)

スケールアップ/ダウン

ディスク増設/拡張

帯域

負荷分散

スケールアウト/イン

オートスケール

複数ゾーン

DBリードレプリカ

アプリ多重度

ロードバランサー(L4)

Webサーバー + APサーバー

○ ※1

ニフクラRDB

○ ※2

データベースサーバー (独自)

○ ※1

バッチサーバー

○ ※1

ニフクラNAS

○ ※2

※1 ローカルディスクの容量は拡張できません。
※2 ディスク容量を拡張できます。別ディスクの増設はできません。

典型的なニフクラの構成例

image

  • ロードバランサー(L4)でWeb/APサーバーを負荷分散

    • ロードバランサー(L4)からの分散対象サーバーのみインターネットからアクセス可能とする。

  • データベースはRDBを利用して冗長化し、参照用のリードレプリカを配備

  • NASは当サービスのNASを配備

  • バッチサーバー2台を配備

    • 冗長化を実装する仮想サーバーは、構成例のとおり追加NICを利用して同期用のネットワークも別途構築できる。

単一ゾーン構成例

image

構成図補足
【ロードバランサー(L4)】

ニフクラでは、可用性向上と性能向上のための負荷分散機能として、ロードバランサー(L4)を提供しています。
ロードバランサー(L4)を1つ設定し、本事例のように仮想サーバーへアクセスを振り分けます。プランは利用する帯域で選定します。
当サービスではロードバランサー(L4)以外に、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2Vシリーズ)を提供しています。

【Web/APサーバー】

ロードバランサー(L4)からアクセスされる形態です。仮想サーバーを複数台追加することで、性能と可用性を向上できます。
仮想サーバー単体の観点では、以下の対応でスケールアップできます。
①サーバータイプの変更でスケールアップして性能向上
②増設ディスクの容量拡張または追加によりデータ容量を拡張

【ニフクラNAS】

当サービスが提供する NASサービスです。NASのタイプは利用するデータ容量やI/O性能で選定します。

【DBサーバー】

RDBでは、オンプレミスで実施する複雑なデータベースの構成設計をすることなく、APIのパラメーターだけでデータベースを冗長化できるサービスです。
本事例では、参照スピードを向上させるため、データベースのリードレプリカを配備しています。

複数のゾーンを利用したニフクラのシステム構成例

image

  • 複数ゾーン構成とし、ロードバランサー(L4)でWeb/APサーバーを負荷分散

    • ロードバランサー(L4)からの分散対象サーバーのみインターネットからアクセス可能とする。

  • データベースはゾーンごとにDB用の仮想サーバーを配備

  • ゾーンごとにNASを配備

  • ゾーンごとにバッチサーバーを配備

※ゾーン間のデータ同期の仕組み、冗長構成などは別途検討してください。本構成例のとおり追加NICを利用して同期用のネットワークも作成できます。
※ルーターは各ゾーンで独立しています。ルーティングなどのネットワーク設計を検討してください。

複数ゾーン構成例

image

構成図補足
【ロードバランサー(L4)】

ロードバランサー(L4)では、本事例のとおり複数のゾーンに配備された仮想サーバーへ負荷分散できます。
当サービスではロードバランサー(L4)以外に、以下のロードバランサーを提供しています。

  • マルチロードバランサー

    • 複数のゾーンに配備された仮想サーバーへは負荷分散できません。

  • L7ロードバランサー(Ivanti Virtual Traffic Manager)

  • 統合ネットワークサービス(IPCOM VE2Vシリーズ)

【ニフクラNAS】

ニフクラNASは、ニフクラが提供するNASサービスです。ニフクラNASの機能では複数ゾーンでの冗長構成はサービスとしては実現できません。

【DBサーバー】

ニフクラRDBは複数ゾーンへまたがった構成はできません。
本事例では複数ゾーン構成のため、当サービスのRDBではなく仮想サーバー上にDBを搭載する構成となっています。

作業と留意事項

カテゴリ項目

作業

ニフクラでの作業概要

性能・拡張性

システム構成要素の選択

オンプレミスでは、性能のボトルネックとなりうるシステム資源の性能特性を考慮して、サイジング対象のシステム構成要素を選択します。
当サービスでは、サイジング対象のシステム構成要素として、以下を必ず含めてください。

  • サーバータイプ

  • 増設ディスク

  • ネットワーク

性能見積対象の決定

オンプレミスと同様に、システム資源の負荷を見積もる際は、アプリ担当チームと連携し、必要な業務から適切かつ代表的なオンライン処理やバッチ処理を性能見積対象として選択してください。
この際、オンライン処理とバッチ処理のシステム資源の競合についても考慮してください。

性能見積

性能見積対象から必要となる以下の性能要件を算出し、仮想サーバーその他のリソースを選定してください。

  • サーバー性能(vCPU/メモリ)

  • ストレージ性能

  • ネットワーク性能

容量見積

ストレージの容量見積をしてください。
当サービスでは、使用できるストレージ容量に制限があります。そのため、ストレージ容量を見積もり、容量制限にかかる際は実現方法を別途検討してください。
メモリ容量は、性能見積作業でのサーバータイプの選定により確定します。

通信容量見積

通信容量見積をし、通信の方式を決定してください。
ニフクラでは帯域保証はありません。そのため、プロトタイプ検証によりスループットとレスポンスを確認のうえ、通信方式を決定してください。

性能検証のプロトタイピング

性能検証は要件定義工程でのプロトタイプ検証を推奨します。未実施であれば、必ず実施してください。
特にオンプレミスからのシステム移行において、移行前のH/W構成に基づいたサーバータイプ選定に留めず、当サービス上での検証によって性能見積の妥当性を確認してください。

性能・容量の方式設計

性能・容量見積に基づいて、性能・容量の方式設計を実施してください。
オンプレミスシステムと異なり、稼働後のリソース拡張/縮小を意識した設計をしてください。

拡張性の方式設計

性能・拡張性要件に基づいてシステム拡張性を確保するための方式を設計してください。
vCPU/メモリ/ストレージを拡張する方式として、スケールアップやスケールアウト等を検討してください。

運用設計(性能・拡張性)

システム全体の運用・保守設計に基づいて、システムが安定した性能を維持するための管理・運用方法を設計してください。
システム構成要素の選択
作業概要

オンプレミスでは、性能のボトルネックとなりうるシステム資源の性能特性を考慮して、サイジング対象のシステム構成要素を選択します。
当サービスでは、サーバータイプ、ストレージ、ネットワークを必ずシステム構成要素としてください。

  • 留意事項

    留意事項

    内容

    リソース選択

    ニフクラのリソース選択方法、単位を把握してください。

    ベストエフォート提供

    当サービスでは、ネットワークやストレージのリソースは、ベストエフォート方式での提供です。

  • ニフクラで提供される主なシステムリソース

    システムリソース

    ニフクラにおける選定項目

    各リソースの見積をするタスク

    vCPU数

    個別の選択不可
    サーバータイプより選択

    性能見積

    メモリ容量

    増設ディスク容量、増設ディスク本数

    • 容量指定可能 [3]

    • 増設ディスクは複数種類から選択可能 [4]

    • 1サーバーに複数のディスク増設も可能 [5]

    3. 利用可能なディスク容量は クラウド技術仕様/制限値(コンピューティング:増設ディスク)を確認してください。
    4. ゾーンによって選択できる増設ディスクは異なります。 ゾーン別機能対応表・サーバー・ディスク機能「増設ディスク」項目を確認してください。
    5. 利用可能なディスク本数は クラウド技術仕様/制限値(コンピューティング:増設ディスク)を確認してください。

    容量見積

    ネットワーク帯域

    • 共通グローバルネットワーク(ベストエフォート)

    • 共通プライベートネットワーク(ベストエフォート)

    • プライベートLAN(ベストエフォート)

    通信容量見積
性能見積
作業概要

性能見積対象から必要となる以下の性能要件を算出し、仮想サーバーその他のリソースを選定してください。
当サービスでは、サーバータイプ、ストレージ、ネットワークを必ずシステム構成要素としてください。

  • 留意事項

    留意事項

    内容

    選択値・条件

    仮想サーバータイプの選定

    ニフクラでは、vCPUとメモリをセットにしたサーバータイプから選定してください。

    利用可能なサーバータイプは クラウド技術仕様/制限値(コンピューティング:クラウド サーバー(共有)タイプ)を確認してください。

    CPUクロック数

    CPUクロック数は公開しておりません。別途性能を測定した ベンチマーク値 などを確認してください。
    また、要件に沿って利用者自身で検証を実施し性能を確認してください。

    係数での見積はNG

    オンプレミスと異なり、システム係数などによる厳密な性能見積もりはできません。
    要件定義工程で性能検証が未実施であれば、プロトタイプで以下の性能検証を実施してください。

    CPU性能

    サーバータイプを選定して性能検証してください。

    ストレージ性能

    IOPSは保証できません。

    ネットワーク性能

    帯域保証はできません。

    システム全体性能の考慮

    仮想サーバー単体の性能に依存せず、システム全体として性能を充足するようなスケールアウトも考慮して設計してください。

    平常時/ピーク時 それぞれの見積

    稼働後のスケールアップ/ダウンやスケールアウト/インを含め、平常時/ピーク時をそれぞれ意識してサーバータイプを選定してください。
    これにより、クラウドサービスによるコスト最適化が見込まれます。

    スケール処理時の業務影響

    稼働後のスケールアップ/ダウンやスケールアウト/インを見越して選定をする際、スケールアップ/ダウン、スケールアウト/イン実行時の業務影響について検討してください。
    また、スケールアップ/ダウン、スケールアウト/インの方法について設計してください。

    プロトタイプ

    要件定義工程にてプロトタイプによる性能測定を実施した際は、その内容を反映します。
容量見積
作業概要

ストレージの容量見積をしてください。当サービスでは、使用できるストレージ容量に制限があります。
そのため、ストレージ容量を見積もり、容量制限にかかる際はスケールアウトなども検討してください。

通信容量見積
作業概要

通信容量見積をし、通信の方式を決定してください。当サービスでは帯域保証はありません。
そのため、プロトタイプ検証によりスループットとレスポンスを確認のうえ、通信方式を決定してください。

  • 留意事項

    留意事項

    内容

    スループットとレスポンス

    インターネット接続や当サービス内部といった利用する接続形態ごとに通信容量を確認し、必要なスループットとレスポンスを満たすか検証してください。
    要件定義工程で性能検証が未実施であれば、プロトタイプでネットワーク性能を検証してください。

  • ニフクラで利用可能な接続形態
    ※詳細は『3.ネットワーク』の章を参照してください。

    接続形態

    帯域保証

    用途・特徴

    選択値・条件

    インターネット接続

    なし(ベストエフォート)

    標準提供されるインターネット接続です。共通のため帯域保証はできません。

    プライベートネットワーク

    なし(ベストエフォート)

    ニフクラのプライベート側ネットワークです。共通のため帯域保証はできません。

    拠点間VPNゲートウェイ(IPsecVPN)

    なし(ベストエフォート)

    ニフクラのIaaS上にデプロイして、利用者拠点とインターネットVPN接続可能なサービスです。

    インターネットVPN(H/W)(IPsecVPN)

    なし(ベストエフォート)

    機器設置型(ハードウェアタイプ)の利用者拠点とインターネットVPNで接続可能なサービスです。

    利用可能帯域等の仕様は 「インターネットVPN(H/W)」サービス仕様書を確認してください。

    リモートアクセスVPNゲートウェイ(SSL-VPN)

    なし(ベストエフォート)

    ニフクラのIaaS上にデプロイして、利用者端末とインターネットVPN接続可能なサービスです。

    ダイレクトポート接続

    なし(ベストエフォート)

    回線事業者の閉域網・専用線を引き込みニフクラと直接接続できる物理ポートを提供します。

    利用可能帯域など仕様の詳細は クラウド技術仕様/制限値(ネットワーク:ダイレクトポート(専用線・閉域網 接続サービス))を確認してください。

    物理ポート

    なし (ベストエフォート)

    プライベートブリッジを通信キャリアの回線または構内配線と接続するネットワークサービスです。

    利用可能帯域や利用可能メディアタイプなど仕様の詳細は クラウド技術仕様/制限値(プライベートブリッジ:物理ポート)を確認してください。

    プライベートアクセス

    なし (ベストエフォート)

    当サービスから回線事業者の閉域網へのプライベートな接続を提供するサービスです。
    当サービスと回線事業者の閉域網は事前に物理接続済みのため、論理接続を構築するだけで接続できます。

    利用可能帯域など仕様の詳細は クラウド技術仕様/制限値(ネットワーク:プライベートアクセス)を確認してください。
性能検証のプロトタイピング
作業概要

性能検証は要件定義工程でのプロトタイプ検証を推奨します。未実施であれば、必ず実施してください。

  • 留意事項

    留意事項

    内容

    プロトタイプでの検証と評価

    検証を実施し、検証結果を評価してください。評価結果から以下を見直してください。

    • 性能見積

      • CPU性能見積

      • ストレージ性能見積

      • ネットワーク性能見積

    • アプリケーション設計

      • アプリ多重度等

    プロトタイプの設計/開発

    性能見積対象をもとに、性能検証用のプロトタイプを設計/開発(環境構築)してください。
    性能見積では、以下の観点を考慮してください。

    • IaaSの観点

      • CPU性能

      • ストレージ性能

      • ネットワーク性能 等

    • アプリケーションの観点

      • アプリの多重度

    特にアプリ多重度の観点では、シングルスレッドで動くバッチ処理などのアプリは、IaaSでは性能が出ないケースがあります。必ず検証対象として盛り込んでください。
仮想サーバー単体の観点
作業概要

性能・容量見積に基づいて、性能・容量の方式設計を実施します。オンプレミスシステムと異なり、稼働後のリソース拡張/縮小を意識した設計をします。

  • 仮想サーバー単体の観点の留意事項

    区分

    留意事項

    内容

    選択値・条件

    性能

    サーバータイプの選定

    Webサーバー、APサーバー、データベース等の性能見積に合わせて、サーバータイプを選択してください。サーバータイプは、後からスケールアップ/スケールダウンで変更できます。[6]

    6. スケールアップでvCPU数が増加する際は、OS/MWのライセンス数に注意してください。

    サーバータイプの変更

    スケールアップ/スケールダウン実施時は、仮想サーバーの停止/起動が伴います。[7]

    7. 停止中のサーバーは、OSに関わらず即時反映されます。

    サーバータイプ変更時の注意点は クラウド技術仕様/制限値(コンピューティング:クラウド サーバー(共有)タイプ)を確認してください。

    ディスク性能

    増設ディスクは用途に合わせて数種類から選択できます。

    利用可能なディスクは クラウド技術仕様/制限値(コンピューティング:増設ディスク)を確認してください。

    容量

    ディスク容量

    制限値を考慮して、仮想サーバーにアタッチする増設ディスクの容量を検討してください。

    ディスク増設

    仮想サーバーに対して、増設ディスクを増設できます。

    利用可能なディスクの数は クラウド技術仕様/制限値(コンピューティング:増設ディスク)を確認してください。

    ディスク容量の拡張

    仮想サーバー配備時に割り当てられるローカルディスクは、拡張できません。
    仮想サーバーにアタッチ済みの増設ディスクは、一部対象のOSで容量を拡張できます。
    対象イメージ以外で容量を拡張する際は、以下の方法等、利用者自身で対応してください。

    • 新たに要件を満たす容量の増設ディスクを作成し、手動でデータを移行する。

    • OS上で論理ボリュームを構成する。

    ディスク容量拡張時の注意点は クラウド技術仕様/制限値(コンピューティング:増設ディスク)を確認してください。

    ディスク容量の制限値

    ディスク制限値の超過が想定される際は、別途増設ディスクをアタッチして対応を検討してください。

    ニフクラRDBディスク容量の制限値

    RDBのディスクは、後から拡張できます。
システム全体の観点
作業概要

性能・容量見積に基づいて、性能・容量の方式設計を実施します。オンプレミスシステムと異なり、稼働後のリソース拡張/縮小を意識した設計をします。

  • システム全体の観点の留意事項

    区分

    留意事項

    内容

    選択値・条件

    性能

    負荷分散

    Webサーバー、APサーバーの同時処理性能を向上させるには、ロードバランサーを利用した負荷分散を検討してください。
    用途ごとにロードバランサーが提供されています。
    性能に関しては各ロードバランサーで必要帯域/スペックを選択できます。 [8] [9]

    8. ロードバランサー(L4)とマルチロードバランサーはL4負荷分散となります。
    9. 各ロードバランサーの性能指標は各ロードバランサーの性能指標を参照してください。

    以下を提供

    • ロードバランサー(L4)

    • マルチロードバランサー

    • L7ロードバランサー(Ivanti Virtual Traffic Manager)

    • 統合ネットワークサービス(IPCOM VE2Vシリーズ)

    コンテンツ配信

    静的なhtmlなどのファイルをキャッシュサーバーに配置するコンテンツ配信サービス(CDN)の利用を検討してください。
    ニフクラはサードパーティ製のソリューションサービスを提供しています。

    Fastlyを提供

    アプリ多重度

    シングルスレッドで動くバッチ処理などのアプリはIaaSでは性能を出せないケースが多いため、アプリを多重に起動できるよう設計してください。

    レスポンスの妥当性確認

    オンプレミスシステムと同様に、システム全体のレスポンス概算見積もりをし、妥当性を確認してください。
    当サービスではベストエフォート方式にて提供されるリソースがあるため、概算での検討となることに留意してください。

    データベースのリードレプリカ

    データベースへのアクセスが多い際は、参照専用のデータベース(リードレプリカ)の利用を検討してください。

    容量

    ディスク容量

    制限値を考慮して、システム全体のディスク容量を検討してください。
    仮想サーバー単体のディスク容量に加えて、ディスクやデータベースをバックアップする際の増設ディスクなどの容量を検討してください。

    ディスク容量の制限値

    ディスク制限値の超過が想定される際は、スケールアウトなどでの対応を検討してください。

    通信容量

    インターネットと当サービス上のシステム間、および当サービス上のシステムとオンプレミスシステム間の通信容量等、要件を確認してください。

    課金対象となるグローバルネットワークの通信量は 料金一覧を確認してください。
    各ロードバランサーの性能指標
スケールアップ/ダウンの観点
作業概要

性能・拡張性要件に基づいて、システム拡張性を確保するための方式を設計します。
vCPU/メモリ/ストレージを拡張する方式としてスケールアップやスケールアウト等を検討します。

  • スケールアップ/スケールダウンの観点の留意事項

    区分

    留意事項

    内容

    選択値・条件

    性能

    スケールアップ/スケールダウン

    仮想サーバー単体の性能を向上させるには、スケールアップを選択します。
    例えば、仮想サーバー内で複数の処理が同時に実行されてCPU負荷が大きい、メモリ不足で処理スピードが出ない状況では、スケールアップが有効です。現状より仮想サーバーの単体性能を向上させられるサーバータイプを選択してください。
    ただし、1スレッドの処理で単純にCPUスピードが不足する際は、IaaSレベルでは対応策がありません。
    アプリをマルチプロセス/マルチスレッドに対応させる等、アプリ設計も見直してください。
    スケールアップに伴い、OS/MWのライセンス数に変動がないか確認してください。

    サーバータイプ変更時の注意点は クラウド技術仕様/制限値(コンピューティング:クラウド サーバー(共有)タイプ)「サーバータイプ変更について」項目を確認してください。

    データベースのスケールアップと制限事項

    WebサーバーやAPサーバー、バッチサーバー等、データベースクライアントとなる仮想サーバーからデータベースに接続するシステム形態では、クライアント側の仮想サーバーをスケールアウトで増やすと、データベースの同時接続数/同時処理数が増加し、負荷が高くなります。
    その際は、データベース用仮想サーバーのサーバータイプを変更し、スケールアップしてください。
スケールアウト/インの観点
作業概要

性能・拡張性要件に基づいて、システム拡張性を確保するための方式を設計します。
vCPU/メモリ/ストレージを拡張する方式としてスケールアップやスケールアウト等を検討します。

  • スケールアウト/スケールインの観点の留意事項

    区分

    留意事項

    内容

    選択値・条件

    性能

    スケールアウト/スケールイン

    システムの同時処理性能を向上させるには、スケールアウトを選択します。
    スケールアウトでピーク時の同時処理性能の向上と、スケールインで平常時の仮想サーバー台数抑制によるコスト削減が見込まれます。

    スケールアウト/スケールインの対応状況の確認

    スケールアウト/インの際は、業務アプリやミドルウェアが機能的に対応できるか、OS/MWのライセンス上問題がないかを確認してください。

    スケールアウトできないパターン

    以下の場合は、スケールアウトできません。

    • データベースサーバーのようにデータを一元管理するシステム

    • 他システムからの接続が前提で、その接続元システムがスケールアウトに対応できないシステム

    オートスケールができないパターン

    以下の場合は、オートスケールできません。

    • 利用時にアクティベーションが必要なライセンスがある

    • ライセンスがホスト名と紐づける必要がある

    • OS/MWが機能的に対応していない

    • プライベートLANを利用している

    • 増設ディスク付きカスタマイズイメージを利用している

    業務アプリの方式により検討が必要なパターン

    業務アプリがサーバー内にセッション情報やサーバー固有の設定情報を保持する方式であれば、サーバー内の固有の情報を外部のデータベースやNAS等の共有ディスクに保持する方式へ変更することで、スケールアウト/スケールインは可能です。[10][11]

    10. 業務アプリやミドルウェアがログを出力する際は、スケールアウト/スケールインする仮想サーバー内にログ出力するのではなく、別途syslogサーバーなどの外部サーバーへログ出力するよう設計してください。
    11. ログなどが仮想サーバー内に保持される方式を変更できない際は、ログなどを手動で退避し、手動でスケールインする運用を検討してください。

  • オートスケールの観点の留意事項

    区分

    留意事項

    内容

    選択値・条件

    性能

    オートスケールの条件

    オートスケールでシステムを拡張する際は、オートスケールの条件を検討してください。

    リソース監視によりオートスケール処理

    負荷発生の時間が不定で、リソース負荷に応じて仮想サーバーの起動台数を増減させるには、オートスケールの利用が有効です。
    オートスケール処理のトリガーとして、リソース負荷を設定できます。

    設定可能なトリガー、注意事項は クラウド技術仕様/制限値(コンピューティング:オートスケール)を確認してください。

    オートスケールの留意事項

    オートスケールは、テンプレート(カスタマイズイメージ)を用いてシステムを構築します。
    オートスケールでは、ロードバランサー(L4)の併用を推奨します。ロードバランサー(L4)を併用すると、ヘルスチェック機能が利用できます。

    オートスケールの実装例は クラウドデザインパターン:オートスケールパターンを確認してください。
ストレージ容量の観点
作業概要

性能・拡張性要件に基づいて、システム拡張性を確保するための方式を設計します。
ストレージ容量を拡張する方式としてスケールアップやスケールアウト等を検討します。

  • ストレージ容量の留意事項

    区分

    留意事項

    内容

    容量

    ストレージ容量の制限値

    ストレージの制限値を超えると想定される際は、スケールアウトなどでの対応を検討してください。
その他の観点
作業概要

性能・拡張性要件に基づいて、システム拡張性を確保するための方式を設計します。

  • その他の観点の留意事項

    区分

    留意事項

    内容

    選択値・条件

    その他

    ネットワーク帯とIPアドレス設計

    当サービスでは、仮想サーバー/ロードバランサー等の各種サービスを利用する際にIPアドレスを使用します。
    インターネット環境と通信可能なグローバルIPアドレス、共通プライベートでのプライベートIPアドレスは、当サービスからDHCPで払い出されます。
    当サービスのサーバーに払い出されるグローバルIPアドレス帯は ip_ranges.jsonを参照してください。
    プライベートIPアドレスは、プライベートLANの利用で自由に設定できます。[12]
    マルチIPアドレスを利用すれば、仮想サーバーに対し複数のグローバルIPアドレスを設定できます。

    12. ネットワークインターフェースへのIPアドレス割り当てについて禁止事項となる設定があります。当サービスの 禁止事項を確認してください。

    プライベートLANで設定可能なプレフィックス長などの仕様の詳細は クラウド技術仕様/制限値(ネットワーク:プライベートLAN)を確認してください。

    リージョン内の複数ゾーンにまたがった同一サブネット

    プライベートLANを利用していれば、プライベートブリッジを利用してプライベートLAN同士をL2延伸できます。

    インターネットVPN接続する経路の拡張

    インターネットVPNを利用する際は以下を利用できます。

    • 拠点間VPNゲートウェイ

    • インターネットVPN(H/W)

    • リモートアクセスVPNゲートウェイ

    多くの拠点とIPsecVPN接続するには、プライベートLANと拠点間VPNゲートウェイの組で増やしてください。
    例えば、IPsecVPN接続する拠点を60拠点にする際は、プライベートLAN2つとvpngw.medium1つ、vpngw.large1つを作成します。
    リモートアクセスVPNゲートウェイ1つあたりの最大コネクション数以上の接続が見込まれる際には、プライベートLANとリモートアクセスVPNゲートウェイの組で増やしてください。

    各接続方法の仕様は以下のリンク先を確認してください。
    クラウド技術仕様/制限値(ネットワーク:拠点間VPNゲートウェイ)
    クラウド技術仕様/制限値(ネットワーク:リモートアクセスVPNゲートウェイ)
    クラウド技術仕様/制限値(拠点間VPNゲートウェイ:拠点間VPNゲートウェイ)
    「インターネットVPN(H/W)」サービス仕様書(PDF)
    クラウド技術仕様/制限値(ネットワーク:リモートアクセスVPNゲートウェイ)

    各種リソースの制限値/制限値の緩和

    仮想リソースでは各種リソースの制限値が存在します。各種リソースの制限値は利用サービスの ニフクラ仕様ページ を確認してください。
    システムを設計する際は、各種リソースの制限値がシステム拡張の阻害要因にならないよう、今後のシステム拡張も見据えて、各種リソースの制限値を確認してください。
    各種リソースの制限値は、上限を緩和できる可能性があります。利用リソースの中で制限値を超えることが想定される際は、当サービスの仕様ページの「 各種変更申請フォーム 」より申請してください。[13]

    13. サービスによっては上限を緩和できないリソースもあります。
性能・拡張性運用設計
作業概要

システム全体の運用・保守設計に基づいて、システムが安定した性能を維持するための、管理・運用方法を設計します。

  • 留意事項

    区分

    留意事項

    内容

    監視

    性能監視、リソース監視

    性能監視、リソース監視等の監視方式と、異常を検知した際の通知方式を検討してください。

    • 性能監視:CPUの利用状況や、業務アプリの同時処理状況等を監視します。

    • リソース監視:メモリの利用状況や、ストレージの利用状況を監視します。

    CPUやメモリの使用量等、仮想サーバーのリソース監視は、当サービスの基本監視サービスで監視できます。監視可能な項目は、クラウド技術仕様/制限値(監視:監視)を確認してください。
    ただし、業務アプリのレスポンスや、業務アプリが使用しているメモリ量などの監視は、当サービスの機能では対応できません。別途、Zabbix等の監視ツールを導入してください。

    対処

    スケールアップ、スケールアウト等の検討と実施

    性能監視、リソース監視の状況に応じて、スケールアップ/スケールダウン、スケールアウト/スケールイン等をシステムに合わせて検討してください。

    オートスケールの処理条件の見直し

    オートスケールを活用して臨機応変にシステムを拡張している際は、オートスケールの条件見直しを検討してください。

    運用

    オートスケールのカスタマイズイメージ運用

    オートスケールでは、カスタマイズイメージを元にスケールアウトします。そのため、オートスケールで利用するカスタマイズイメージのセキュリティを最新化するよう検討してください。[14]

    14. カスタマイズイメージにパッチが未適用の状態では、オートスケールで作成される仮想サーバーにもパッチは適用されません。
方式詳細と参考ドキュメント

詳細な方式例としてCDP (クラウドデザインパターン)や、システム構成の参考事例、参考ドキュメントを記載します。

設計項目

ドキュメント掲載先

ドキュメント名または本ドキュメント内のタイトル

内容

性能関連

本ドキュメント

複数ゾーン構成例

性能・拡張性の観点を考慮した複数ゾーン構成の事例を記載しています。

CDP

スケールアップ/スケールダウンパターン

仮想サーバーを作成した後に判明した性能不足や性能過剰に対して、臨機応変に仮想サーバーの性能変更を可能にするパターンです。

ニフクラ一般公開ページ

ニフクラ サーバータイプ・仕様

当サービスで提供しているサーバータイプ(vCPU/メモリの組み合わせ)の一覧を記載しています。
ニフクラ サーバータイプ・仕様

当サービス一般公開ページ

ロードバランサー(L4)

当サービスで提供しているロードバランサー(L4)の仕様詳細が記載されています。
クラウド技術仕様/制限値(ロードバランサー(L4))

当サービス一般公開ページ

NAS

当サービスで提供しているNASの仕様詳細が記載されています。
クラウド技術仕様/制限値(NAS:NAS領域)

ニフクラ一般公開ページ

ニフクラRDB

当サービスで提供しているRDBのタイプ一覧や仕様詳細を記載しています。
クラウド技術仕様/制限値(RDB)

拡張性関連

CDP

サーバー冗長化パターン

Webサービスで、性能、信頼性を考慮したパターンです。

CDP

複数リージョンでのDRパターン:ホットスタンバイ

データセンターの火災や大規模な電源障害など、1つのリージョン全体に影響があるような事態でも、業務継続を可能にするパターンです。

CDP

オートスケールパターン

負荷分散機能に加え、アクセス状況により仮想サーバーの増設を可能にするパターンです。

CDP

ディスク増設パターン

一時的にストレージが必要になったなど、必要に応じてディスク増設を可能にするパターンです。

2.信頼性

設計のポイント

当サービスにて信頼性観点で設計をする際のポイントについて、以下のリソース区分ごとに記載していきます。

リソース区分

リソースの概要

仮想リソース全般

当サービスが提供する以下リソースについて記載します。

  • コンピューティング

    • 仮想サーバー

  • ネットワーク

    • プライベートLAN

    • ルーター

    • ロードバランサー(L4)

  • データベース

    • RDB
仮想リソース

  • ニフクラにて信頼性観点で設計をする際には、以下の項目を検討してください。

    • 仮想リソース全般

      検討項目

      検討内容

      選択値・条件

      信頼性対策方式

      システム構成要素ごとの業務への影響、対象範囲、信頼性確保の前提条件を確認し、信頼性対策方式を設計してください。

      • ニフクラ基盤はすべて冗長化しています。詳細情報は非公開です。

      • 仮想リソース単体の信頼性を検討してください。

        • 仮想サーバー単体は、仮想サーバーが搭載された物理サーバーの故障時に、HA機能で復旧します。

        • ディスクは、書き込まれたデータに関して物理機器側でRAID6相当で冗長化されています。

        • ルーターなどのネットワーク系の仮想リソースは、物理サーバーの故障時に、HA機能で復旧します。

      • 仮想リソースを組み合わせたシステム全体の信頼性を検討してください。

        • Webサーバーやデータベース等、それぞれの仕組みに合わせて、ホットスタンバイやコールドスタンバイの運用待機構成、または両系運用構成を検討してください。

      可用性向上の対策は、可用性向上への取り組みを確認してください。

      データ保全方式

      信頼性要件に基づいてデータ保全のための実現方式を設計してください。
      対象のデータにより、ニフクラの機能やサードパーティ製のミドルウェアを利用してディスク単位でフルバックアップするか、ファイル単位で増分バックアップや差分バックアップする等、データ保全の方式を検討してください。

      • バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)の利用により、増分/差分バックアップ等も実施できます。

      • 別途ファイルのバックアップツールを自作するか、バックアップ用のミドルウェアを導入するか検討してください。導入に必要なライセンス数などは確認してください。

      • 当サービスのバックアップサービスは利用リージョンの混雑状況により、希望時間帯でのバックアップ設定ができない可能性があります。

      災害対策方式

      信頼性要件に基づいて、自然災害などの備えとなる機器やシステムを設計してください。
      データのバックアップや、システム全体を遠隔地の災害対策環境(DRサイト)に保全するための実現方式を検討してください。[15]

      • DRサイトを構築する際は、同じ国内の別リージョンを選択してください。

      • 当サービスでは、リージョン間でデータ同期を支援する機能は提供していません。
        DRサイト間でのデータ同期を実現するには、サイト間のネットワークをIPsecVPNかダイレクトポートサービスを用いて回線を別途当サービスに引き込む等、リージョン間を接続したうえでscpなどのコマンドでコピーするスクリプトを作成するか、バックアップ用ミドルウェアを導入するか検討してください。

      • 当サービスでは、DRサイトを切り替える機能は提供していません。
        DNSのフェイルオーバー機能等を利用したサイト切り替え方式を検討してください。

      15. 本ドキュメント内「DNSのフェイルオーバー機能での切替動作概要」参照

      東日本リージョン/西日本リージョンより選択
適用の指針

  • 設計のポイントで例示した検討項目について、検討対象への適用の指針を記載します。

主な検討内容/検討項目

サーバー単体に対して適用を検討する項目

システム全体に対して適用を検討する項目

共通

運用待機(active/standby)

両系運用(active/active)

HA

サーバーセパレート

複数ゾーン

冗長化設定

その他のクラスター製品

コールドスタンバイ

負荷分散

オートスケール

その他のクラスター構成

ルーター/拠点間VPNゲートウェイ/マルチロードバランサー/リモートアクセスVPNゲートウェイ

ロードバランサー

○※1

○※1

Webサーバー/APサーバー

○※2

△※3

○※4

△※3

データベースサービス(ニフクラRDB)

○※5

データベースサーバー(独自)

○※2

△※3

△※3

バッチサーバー

○※2

△※3

△※3

ニフクラ NAS ※6

  • ※1 ロードバランサーは物理的に冗長構成となっており、信頼性は担保されています。

  • ※2 複数ゾーンへの配備が可能です。ゾーン間はプライベートブリッジを利用してL2接続できます。冗長化の方式は別途検討してください。

  • ※3 その他のクラスター製品は、クラウド環境での利用において技術上、ライセンス上の問題がないか事前に確認してください。

  • ※4 オートスケール機能は、プライベートLAN環境には対応していません。

  • ※5 RDBを冗長化すると、異なる物理サーバーに配備されます。

  • ※6 NASは冗長化されています。ただし、障害発生時は切り替わりのため5分を目安とした停止が発生します。

適用事例:単一ゾーン構成

image

構成図補足
【ロードバランサー(L4)】

当サービスでは、可用性向上と性能向上のための負荷分散機能として、ロードバランサー(L4)を提供しています。
ロードバランサー(L4)を1つ設定し、本事例のように仮想サーバーへアクセスを振り分けます。
ロードバランサー(L4)構成では、信頼性の観点で以下の特徴があります。
①ロードバランサー(L4)に障害が発生すると、Standby機への切り替わりが発生し正常復旧します。
→本ドキュメント内「ロードバランサー(L4)を利用したシステムの障害時の動作」参照
②ロードバランサー(L4)配下の仮想サーバーでの障害が発生し、ヘルスチェックでエラーを検知すると、該当の仮想サーバーは負荷分散の対象から切り離されます。
他ロードバランサー
マルチロードバランサーではHAで信頼性を担保します。L7ロードバランサー(Ivanti Virtual Traffic Manager)はHAの対象となります。冗長構成を組むことも可能です。

【Web/APサーバー】

ロードバランサー(L4)からアクセスされる形態です。

【DBサーバー】

RDBは、オンプレミスで実施する複雑なデータベースの構成設計をすることなく、APIのパラメーターだけでデータベースを冗長化できるサービスです。
RDBの特徴的な構成として、以下の内容で構成しています。

  • データベースを同一のゾーン内にて主系/待機系で冗長化する構成。さらに、データ保全の観点で、以下の機能も利用できます。

    • ①データベースの自動バックアップ

    • ②ポイントインタイムリカバリー

適用事例:複数ゾーン構成

image

構成図補足
【DBサーバー】

RDBは複数ゾーンにまたがった構成はできません。そのため本事例でのデータベースサーバーは、独自にIaaSで構築した構成となっています。
冗長化、同期の仕組み、バックアップ方式等は、別途利用者側で検討してください。
本事例のように、追加NICを利用してサービス用のプライベートLANとは別に、同期用のプライベートLANも構築できます。

カテゴリ項目ごとの作業と留意事項

  • カテゴリ項目ごとの作業概要
    ※当サービスのリソースについてのみ記載します。

    カテゴリ項目

    作業

    ニフクラでの作業概要

    信頼性

    信頼性対策の方式設計

    システム構成要素ごとに、業務への影響、対象範囲/信頼性確保の前提条件を確認し、信頼性対策方式を設計してください。
    ニフクラ基盤の信頼性対策方式を前提に、利用者が配備したニフクラの仮想リソースの信頼性対策方式を検討してください。

    • 検討のポイント
      ホットスタンバイやコールドスタンバイの運用待機構成、両系運用

    データ保全対策の方式設計

    信頼性要件に基づいて、データ保全の実現方式を設計してください。
    対象のデータにより、当サービスのカスタマイズイメージ機能やバックアップサービスを利用したサーバー単位でのフルバックアップ、またはファイル単位でのフルバックアップや増分/差分バックアップ等、データ保全の方式を検討してください。

    • 検討のポイント

      • サーバーのバックアップ
        カスタマイズ機能、バックアップサービス、バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)を検討

      • ファイルのバックアップ
        バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)、ツール自作等を検討

    災害対策の方式設計

    信頼性要件に基づいて、自然災害などへの備えとなる機器やシステムを設計してください。
    データのバックアップや、システム全体を遠隔地の災害対策環境(DRサイト)に保全するための実現方式を検討してください。[16]

    • 検討のポイント
      DRサイトの規模/内容
      DRサイトとのデータ同期(バックアップ)
      DRサイトへのサイト切替(DNSのフェイルオーバー機能などによる切替)

    障害時対応の方式設計

    障害対策方式(復旧方式の設定、縮退操作の設定)を設計してください。基本的な設計方法はオンプレミスと同様です。
    ニフクラRDBなどニフクラが提供するサービスについても、障害発生、復旧時の挙動を把握して設計してください。

    信頼性運用設計(定常時)

    システム全体の運用・保守設計に基づいて、信頼性の定常時の管理、運用方法を設計してください。
    基本的な設計方法はオンプレミスシステムと同様です。

    信頼性運用設計(障害時)

    システム全体の運用・保守設計に基づいて、信頼性の障害時の管理、運用方法を設計してください。
    基本的な設計方法はオンプレミスシステムと同様です。
信頼性対策の方式設計(ニフクラ基盤)
作業概要

システム構成要素ごとに、業務への影響、対象範囲/信頼性確保の前提条件を確認し、信頼性対策方式を設計してください。
当サービス基盤の信頼性対策方式を前提に、利用者が配備した当サービスの仮想リソースの信頼性対策方式を検討してください。

区分1

区分2

対象

信頼性方式

信頼性方式が実現する内容

ニフクラ基盤

物理機器

ネットワークストレージ物理サーバー

冗長化

ニフクラを構成するすべての物理機器は冗長化しています。
ストレージは、RAID6相当で冗長化しています。[17]

17. 物理機器の故障時には、コントローラやパス切り替えに伴う一時的なI/O遅延またはI/O断となる可能性があります。

仮想リソース搭載物理サーバー

自動フェイルオーバー(HA機能)

物理サーバーは、筐体内の部品単位で必要に応じて冗長化されています。[18]
仮想サーバーが配備された物理サーバーが故障しても、筐体内の仮想サーバーは別の物理サーバーへフェイルオーバーします。[19]

18. 内容は非公開
19. 自動フェイルオーバー(HA機能)した仮想サーバーは、障害発生時点の状態となります。起動状態であれば、HA後に起動されます。停止状態であれば、HA後も停止状態となります。

リソース再配置

利用者がリソースを大量に消費すると、当サービス内部で自動的にリソースが再配置され、負荷障害を抑止します。

仮想リソース単体

サーバー

仮想サーバー

自動フェイルオーバー(HA機能)[20]

20. 利用者側で設定は不可

仮想サーバーが配備された物理サーバーで故障が発生すると、筐体内の仮想サーバーは別の物理サーバーへフェイルオーバーします。

サーバーセパレート

指定した仮想サーバーを異なる物理サーバー上へ分離配備する機能です。
冗長化用途のサーバーが物理ホスト障害の影響を同時に受ける確率を軽減します。 [21]

21. 物理機器の故障などで当該サーバーが搭載する物理ホストの交換発生時には、一時的に同一の物理ホストへ配置される可能性があります。仮想化基盤側のリソース状況にも起因しますが、5分程度で異なる物理ホスト上へ分散される仕様です。

増設ディスク

「A/B」2種類提供される増設ディスク

別筐体利用

A/Bの別筐体となるディスクを用意しています。AとBではそれぞれ筐体の分離が保証されます。
A同士またはB同士における筐体分離は保証されません。

システム全体

共通

環境

複数ゾーン

物理的に区分されたゾーンを複数組み合わせてシステムを構成して、環境の信頼性を向上できます。

運用待機

サービス

ニフクラRDB

ホットスタンバイ

RDBでは、冗長化設定によりホットスタンバイ構成を構築できます。

ロードバランサー(L4)自体

ホットスタンバイ[22]

22. 利用者側で設定は不可

ロードバランサー(L4)は、当サービスにて冗長化を実施しています。
万が一の故障時には、自動的に待機系へ切り替わります。

サーバー

仮想サーバー

その他
コールドスタンバイ

仮想サーバーは、オンプレミスと同様にコールドスタンバイの構成も構築できます。

両系運用

サービス

仮想サーバー

負荷分散

ロードバランサーを利用して負荷分散構成を構築できます。
仮想サーバー異常時は、ロードバランサーによって切り離されます。

サーバー

仮想サーバー

オートスケール

以下の項目に応じて、設定した上限まで仮想サーバーを稼働できます。

  • CPU使用率

  • メモリ使用率

  • ネットワーク流量
データ保全対策の方式設計
作業概要

信頼性要件に基づいて、データ保全の実現方式を設計してください。
対象のデータにより、当サービスのカスタマイズイメージ機能やバックアップサービスを利用したサーバー単位でのフルバックアップ、またはファイル単位でのフルバックアップや増分/差分バックアップ等、データ保全の方式を検討してください。

  • ニフクラでのバックアップ手法

    バックアップ手法

    データ保全の対象

    データ保全の環境

    留意事項、その他備考

    サーバー全体

    増設ディスク

    ファイル

    他ゾーン

    他リージョン

    他サイト

    バックアップ用ミドルウェア導入/scpコマンド等でデータコピー

    バックアップ先として他ゾーン/他リージョン/他サイト等を利用する際は、IPsec VPN接続などの通信経路を別途検討してください。 [23]

    23. 当サービス上での実現可否などは事前に確認/検証してください。

    バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)

    バックアップ先として他ゾーン/他リージョン/他サイト等を利用する際は、IPsec VPN接続などの通信経路を別途検討してください。

    ワンデイスナップショット

    システム/増設ディスクとも、ある時点の状態をスナップショットとして保持する方式です。スナップショットからシステムをリカバリできます。[24]

    カスタマイズイメージ(バックアップ)

    サーバーを作成する際のテンプレートをイメージ化して保存する機能です。保存先は他のゾーン/リージョンにも保存可能です。[25]

    バックアップ

    当サービスのサーバーを対象に定期的な自動バックアップや任意のタイミングでバックアップを取得する機能です。[26]

    26. 保存可能な容量や世代、その他注意点などは クラウド技術仕様/制限値(コンピューティング:バックアップ)を確認してください。

  • 仮想サーバーのエクスポート機能、テープバックアップなどの機能提供はありません。

災害対策の方式設計
作業概要

信頼性要件に基づいて、自然災害などに備えた機器やシステムを設計してください。
データのバックアップやシステム全体を、遠隔地の災害対策環境(DRサイト)へ保全する実現方式を検討してください。

  • 検討事項

    検討事項

    内容

    DRサイト規模、内容

    目標復旧時間/復旧時点、求められる性能などにより、DRサイトを本番環境と同一構成とするか、最小限のシステム構成とするか等、DRサイトの規模、内容を検討してください。
    DRサイトの規模、内容を検討する際は、ゾーン間での冗長化も合わせて検討してください。
    次表に、業務継続性別のDRサイト/ゾーン冗長の選択指針例を記載します。

    DRサイト構築

    DRサイトを構築する際は、各リージョンでそれぞれシステムを構築してください。
    カスタマイズイメージ(バックアップ)/イメージ配布やクラウド型バックアップサービス(バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud))の利用により、別リージョンへ同一の仮想サーバーを作成できます。

    DRサイト間ネットワーク

    プライベートブリッジにより、リージョン間のプライベートLANを接続できます。
    ダイレクトポートサービスを利用し、閉域網や専用線によりリージョン間を接続できます。
    拠点間VPNゲートウェイ、インターネットVPN(H/W)を利用し、IPsecVPNを用いて、暗号化された経路で安価にインターネット経由で接続できます。

    DRサイト間データ同期

    DRサイト間でのデータ同期を実現するには、サイト間のネットワークをIPsecVPNかリージョン間を閉域網などにより接続し、scpなどのコマンドでコピーするスクリプトを作成するか、レプリケーション可能なミドルウェアを導入するか検討してください。

    DRサイト切替

    ニフクラでは、DRサイトを切り替える機能は提供していません。
    外部に公開しているWebサイトなどでは、DNSのフェイルオーバー機能を利用してDRサイトへ切り替えできます。
    複数リージョンで同一のシステムを構築し、DNSサービスの「フェイルオーバー」機能を利用すれば、リージョン障害が発生しても別リージョンで業務を継続できます。

  • 業務継続性別のDRサイト/ゾーン冗長の選択指針例

    災害対策(DRサイト)

    ゾーン規模障害対策

    許容可能停止時間

    仮想サーバー SLA対象

    システム概要

    推奨適用パターン

    リージョン

    ゾーン

    必要

    必要

    無停止

    対象

    大規模基幹システム

    複数リージョン

    複数ゾーン

    不要

    数時間

    基幹システム

    複数リージョン

    単一ゾーン

    不要

    必要

    数時間

    基幹システム

    単一リージョン

    複数ゾーン

    不要

    1日程度

    非基幹システム
    情報参照系システム

    単一リージョン

    単一ゾーン
障害時対応の方式設計
作業概要

復旧方式の設定、縮退操作の設定など、障害対策方式を設計してください。基本的な設計方法はオンプレミスと同様です。
RDBなど当サービスが提供するサービスについても、障害発生時および復旧時の挙動を把握した上で設計してください。

  • 検討事項

    検討事項

    内容

    復旧方式

    Webサーバーなどの仮想リソースごとに、想定される障害、業務影響、復旧方式などを検討してください。
    当サービスで想定される障害は、主に以下のとおりです。

    • 仮想リソースを配備した物理機器のハード障害

      • ルーター

      • マルチロードバランサー

      • 仮想サーバー 等

    • OS以上の領域に起因する仮想サーバー障害

      • 仮想サーバー内のOS/ミドルウェア障害

      • 仮想サーバー内のアプリ障害

      • 仮想サーバー内のアプリのスローダウン

    • ゾーン障害

    • ニフクラ⇔オンプレミス間ネットワーク障害

    縮退方式

    冗長化構成の仮想リソースに対して、片系で障害が発生した際のSE作業及びシステム動作を検討してください。
    当サービスで想定される障害は、主に以下のとおりです。

    • ロードバランサーでの障害

    • ロードバランサーにて負荷分散されているWebサーバーでの障害

    • 冗長化設定したニフクラRDBの片系障害
復旧方式の設計例

  • 復旧方式の設計例

    検討対象

    想定される障害

    影響範囲

    業務影響

    復旧方式

    ルーター
    拠点間VPNゲートウェイ
    マルチロードバランサー
    仮想サーバー
    リモートアクセスVPNゲートウェイ

    仮想リソースを搭載した物理機器のハード障害

    単体

    あり

    仮想リソースのHA後、必要に応じて業務的なリカバリ処理を実施

    ゾーン障害

    ゾーン

    あり

    ニフクラ基盤の復旧後、必要に応じて業務的なリカバリ処理を実施

    ロードバランサー(L4)

    物理機器障害

    単体

    あり

    自動で従系に切り替わるため、基本対処の必要なし

    ゾーン障害

    ゾーン

    なし

    ゾーンに依存しないためロードバランサー(L4)自体に影響はなし

    ロードバランサー配下のWebサーバー

    仮想リソースを搭載した物理機器のハード障害

    片系

    なし(縮退)

    仮想リソースのHA後、ロードバランサーに自動組込み
    必要に応じて業務的なリカバリ処理を実施

    両系

    業務停止

    当サービス基盤の復旧後、必要に応じて業務的なリカバリ処理を実施 [27]

    27. 仮想サーバーはサーバーセパレートの設定で、異なる物理筐体へ配置できます。しかし、その設定をした上ですべてのWebサーバーで障害が発生した際は、ゾーン障害相当の障害となる可能性があります。

    OS/ミドルウェア障害

    片系

    なし(縮退)

    必要に応じて業務的なリカバリ処理を実施

    両系

    業務停止

    業務を停止して、OS/ミドルウェア保守を実施

    アプリ障害

    片系

    なし(縮退)

    必要に応じて業務的なリカバリ処理を実施

    両系

    業務停止

    業務を停止して、アプリ保守を実施

    アプリのスローダウン

    性能劣化

    必要に応じて業務的なリカバリ処理を実施

    以下省略
    memo

    ニフクラに限らず、オンプレミスでも、上記のような復旧方式や縮退方式の設計は必要です。復旧方式や縮退方式は、仮想サーバーで処理する業務により、処理内容を検討してください。

方式詳細と参考ドキュメント

詳細な方式例としてCDP (クラウドデザインパターン)や、システム構成の参考事例、参考ドキュメントを記載します。

設計項目

ドキュメント掲載先

ドキュメント名または本ドキュメント内のタイトル

内容

信頼性関連

本ドキュメント内

適用事例:複数ゾーン構成

信頼性の観点を考慮した複数ゾーン構成の事例を記載しています。

CDP

サーバー冗長化パターン

Webサービスで、性能、信頼性を考慮した構成を実現するパターンです。

本ドキュメント内

ロードバランサー(L4)を利用したシステムの障害時の動作

当サービスのロードバランサー(L4)を利用したシステムの想定障害として、以下の記載しています。

  • ロードバランサー(L4)障害時

  • ロードバランサー(L4)配下の仮想サーバー障害時

CDP

複数リージョンでのDRパターン:ホットスタンバイ

データセンターの火災や大規模な電源障害など、1つのリージョン全体に影響を及ぼす事態でも、業務継続を実現するパターンです。

CDP

オートスケールパターン

負荷分散機能に加え、アクセス状況により仮想サーバーの増減を可能にするパターンです。

CDP

NAS利用パターン

共有ストレージを構築するパターンです。

CDP

サーバーセパレートパターン

別々の物理サーバー上へ仮想サーバーを配備して、当サービス内部で物理サーバー故障時の影響範囲を局所化するパターンです。

CDP

RDBパターン

セットアップやスケーリング、バックアップなどの運用を容易に実行できる、RDBを利用するパターンです。

データ保全関連

CDP

スナップショット/リストアパターン

仮想サーバーへのOSパッチ適用前や、増設ディスクのデータ変更前に、データを高速に保存し、万一の際に復旧を可能にするパターンです。

CDP

サーバーコピーパターン:サーバーの複製

当サービスに配備した仮想サーバーを、サーバー構築の効率化のために複製するパターンです。

災害対策関連

本ドキュメント内

DRサイト構築事例概要:構成概要

東日本リージョンに本番環境、西日本リージョンに災害対策環境(DRサイト)を構築する事例です。本番環境からDRサイトへのバックアップ例も記載しています。

本ドキュメント内

DNSのフェイルオーバー機能での切替動作概要

東日本リージョンがダウンした際に、西日本リージョンに切り替える事例です。
ロードバランサー(L4)を利用したシステムの障害時の動作
障害事例~ロードバランサー(L4)障害時

当サービスのロードバランサー(L4)異常時は、従系へ自動的に切り替わり、正常復旧します。そのため利用者側でロードバランサー(L4)への対処は不要です。

検討事項

  • セッション引継ぎ

    • ロードバランサー(L4)の切り替わり時にはセッションは引き継がれません。

  • 切り戻し

    • 復旧したロードバランサー(L4)は従系として組み込み、基本的に切り戻しは実施しない方針です。やむを得ず、切り戻しをする際は、事前にメンテナンス告知を実施し作業します。障害お知らせ通知などを利用して情報を収集してください。

振り分け先サーバー障害時のロードバランサー(L4)の動作
障害事例~ロードバランサー(L4)配下の仮想サーバー障害時

  • ロードバランサー(L4)配下に、Webサーバーが2台設定されているものとします。
    Webサーバー2台のうち、1台に正常にアクセスできなくなり、ロードバランサー(L4)からのヘルスチェックが異常となると、そのWebサーバーがロードバランサー(L4)から切り離されます。
    切り離されたWebサーバーは、ロードバランサー(L4)のヘルスチェックで正常なアクセスが確認できると、再度ロードバランサー(L4)に組み込まれます。

正常時

  • Webサーバー2台に正常にアクセスできている状態

    image

Webサーバーに異常発生

  • Webサーバー1台に正常にアクセスできず、ヘルスチェック結果が異常な状態

    image

異常になったWebサーバーを切り離し

  • 正常にアクセスできなくなったWebサーバーを切り離した状態

    image

DRサイト構築事例概要:構成概要

image

概要

  • 東日本リージョンに本番環境、西日本リージョンに災害対策環境(DRサイト)を構築

  • DRサイトは、非常時用として各サーバー1台構成でシステムとネットワークを構築

  • 西日本リージョンのシステムは、東日本リージョンにて作成した手順と同様の手順で作成するかカスタマイズイメージ、Acronis等を利用して構築

  • 東日本リージョンと西日本リージョンのネットワークは以下2つのパターンで構築

    • ①プライベートブリッジを利用してリージョン間のプライベートLANでL2接続
       重要データはプライベートLANの経路で転送します。

    • ②拠点間VPNゲートウェイ、インターネットVPN(H/W)等を利用したIPsecVPNによりインターネット経由で接続
       ※拠点間VPNゲートウェイに接続されたプライベートLAN同士は、プライベートブリッジなどの接続サービスによって接続できません。
        プライベートブリッジとの併用時の注意点についてを参照してください。

DRサイト構築事例概要:バックアップ構成

image

構成図補足
【リージョン間のバックアップ、レプリケーション】

DR環境へのバックアップ、データのレプリケーションには、リージョン間をプライベートブリッジ接続の経路や、IPsecVPNで接続したインターネット経由の経路を通じて実施
※バックアップは自作ツールまたはバックアップ用ミドルウェアを利用します。
※拠点間VPNゲートウェイに接続されたプライベートLAN同士は、プライベートブリッジなどの接続サービスによって接続できません。
プライベートブリッジとの併用時の注意点についてを参照してください。

DNSのフェイルオーバー機能での切替動作概要

image

構成図補足
【東日本リージョン罹災時】

DNSフェイルオーバーにより自動で、応答するレコードを切り替える。

フェイルオーバーによるサイト切替の概要

  • DNSのフェイルオーバーにて、以下の設定をします。

    • プライマリに東日本のロードバランサー(L4)のIPアドレスを設定

    • セカンダリに西日本のWeb/APサーバーのグローバルIPアドレスを設定

  • 上記の設定により東日本罹災時、DNSフェイルオーバーが発生し、セカンダリのIPアドレスのレコード情報を応答します。

3.ネットワーク

設計のポイント

当サービスにてネットワーク観点で設計をする際は、以下のネットワーク関連サービス/機能を検討してください。

区分

対応するサービス/機能

ニフクラのサービス/機能の概要

選択値・条件

LAN

プライベートLAN

ニフクラではサーバー作成時、サーバーにグローバルネットワークとプライベートネットワークの2つにNICが接続されます。

グローバルネットワーク

インターネット側と通信できる共通グローバルネットワークです。

プライベートネットワーク

インターネット環境とは隔離されたネットワークです。
サーバー作成時にはデフォルトで共通プライベートに接続されます。
共通プライベートネットワークから、L2レベルで隔離されたプライベートLANへ変更できます。

プライベートLANを利用すると、プライベートLANに接続された仮想サーバーのNICに、OS側で静的にIPアドレスを設定できます。[28]

28. サーバー作成後、追加NICの付与により複数のプライベートLANに接続できます。

ルーター

共通グローバルネットワークと共通プライベートネットワーク、またはプライベートLANを接続する機能を提供します。
以下の機能等を利用できます。

  • ルーティング機能

  • NAT機能

  • Webプロキシ機能

  • DHCP機能

通常の仮想サーバーと同様に、ファイアウォールグループに所属できます。

プライベートブリッジ

以下のプライベートLAN同士をL2延伸にて接続できるサービスです。

  • リージョン間

  • リージョン内の異なるゾーン間

  • 同一ゾーン内

プライベートブリッジを利用すると、複数のリージョンやゾーンを利用したシステムを簡単に構築できます。

利用可能なリージョンは クラウド技術仕様/制限値(プライベートブリッジ)「提供リージョン」項目を確認してください。

WAN

ダイレクトポート/物理ポート、プライベートアクセス(閉域網集線型接続サービス)

ダイレクトポート/物理ポート、プライベートアクセス(閉域網集線型接続サービス)は、ニフクラ環境と利用者環境を接続するサービスです。

  • ダイレクトポート[29]
    当サービス上に構築したシステムへ、利用者の拠点、データセンター等から専用線・閉域網でダイレクトに接続するポートを提供します。

  • 物理ポート
    プライベートブリッジを通信キャリアの回線または構内配線と接続するネットワークサービスです。

  • プライベートアクセス(閉域網 集線型接続サービス)
    当サービスから回線事業者の閉域網へのプライベートな接続を提供するサービスです。
    当サービスと回線事業者の閉域網の物理接続を事前に行っているため、論理接続を構築するだけで接続できます。

29. 本ドキュメントの「拠点環境とのダイレクトポート接続事例」を参照してください。

拠点間VPNゲートウェイ

当サービスのIaaS上に配備して、利用者拠点とインターネットVPN接続できるサービスです。[30]

30. 本ドキュメント内「拠点間VPNゲートウェイ接続事例」を参照してください。

接続方式は クラウド技術仕様/制限値(拠点間VPNゲートウェイ)を確認してください。

インターネットVPN(H/W)

機器設置型のハードウェアタイプで、利用者拠点とインターネットVPNで接続できるサービスです。[31]

31. 本ドキュメント内「インターネットVPN(H/W)接続事例」を参照してください。

接続方式は 「インターネットVPN(H/W)」サービス仕様書(PDF)を確認してください。

リモートアクセスVPNゲートウェイ

当サービスのIaaS上に配備して、利用者端末とインターネットVPNで接続できるサービスです。[32]

32. 本ドキュメント内「リモートアクセスVPNゲートウェイ接続事例」を参照してください。

詳細な仕様は クラウド技術仕様/制限値(ネットワーク:リモートアクセスVPNゲートウェイ)を確認してください。

サーバー負荷分散

ロードバランサー(L4)

ロードバランサー(L4)は、L4層の負荷分散をするサービスです。L7層は非対応です。

マルチロードバランサー

マルチロードバランサーは、L4層の負荷分散をするサービスです。L7層は非対応です。

L7ロードバランサー(Ivanti Virtual Traffic Manager)

L7ロードバランサーは、サードパーティ製のソリューションサービスです。 L4層の負荷分散のみならず、L7層の負荷分散にも対応します。

ファイアウォール(詳細はセキュリティの章を参照)

ファイアウォール

ファイアウォールサービスは、以下の設定要素でアクセス許可を制御する機能です。

  • プロトコル

  • ポート番号

  • Incoming/Outgoing

また、以下のリソースに適用でき、複数のリソースが同一ファイアウォールグループに所属できます。

  • 仮想サーバー

  • ルーター

  • 拠点間VPNゲートウェイ

対応プロトコル等の仕様は クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)を確認してください。

ウイルス対策 IDS/IPS (詳細はセキュリティの章を参照)

Trend Micro Cloud One - Workload Security

サードパーティ製のソリューションサービスです。当サービスに配備した仮想サーバーへオプションで導入できます。

本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。

ウイルス・スパイウエア対策(ESET Server Security)

サードパーティ製のソリューションサービスです。当サービスに配備した仮想サーバーへオプションで導入できます。

本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。

IDS

ネットワーク上を流れるパケットを常時監視し、不正アクセスを検知し通報するサービスをオプションで導入できます。
当サービス上で構築されたサーバーへの様々な不正アクセスや、サーバーに仕掛けられた悪意のあるプログラムが発する情報を常時監視し、ファイアウォールで防ぎきれない攻撃も検知できます。

統合ネットワークサービス

統合ネットワークサービス(IPCOM VE2Vシリーズ)

当サービスパートナーのソフトウェアを利用したソリューションサービスです。
当サービスの仮想マシンに対して高度なネットワーク機能を提供します。
以下のシリーズで構成されます。

  • SCシリーズ

    • ファイアウォール、IPSなどのセキュリティ対策機能を提供します。

  • LSシリーズ

    • 帯域制御、サーバー負荷分散などネットワーク最適化機能を提供します。

4つの機能シリーズ(SC、SC PLUS、LS、LS PLUS)と、2つのスペック(220/100)の、合計8種類から選択できます。
各機能の詳細は「 データシート[33] を参照してください。

33. ドキュメント内のVE2はVE2Vに読み替えてください。

その他

DNS/GSLB(広域負荷分散)/ドメイン取得・管理

ニフクラが提供するDNSサービスです。
インターネットと通信する環境から利用できます。キャッシュDNSの機能は提供していません。

ESS(メール配信)

当サービスが提供するメール配信サービスです。メール送信機能のみ提供しています。

CDN(Fastly)

サードパーティ製のソリューションサービスのCDNです。
独自システムと高スペックインフラによる瞬時のキャッシュ消去/更新で、従来のCDNでは実現が難しかった動的コンテンツをキャッシュできる点が特徴です。

WAF(Scutum)

サードパーティ製のソリューションサービスのWAFです。
サイト上のアプリケーションに特化したファイアウォール機能をSaaS型で提供します。

WAF(攻撃遮断くん)

サードパーティ製のソリューションサービスのWAFです。
用途に応じたセキュリティタイプを選定できます。

選択できるセキュリティタイプは以下のとおり。

  • サーバーセキュリティタイプ

  • WEBセキュリティタイプ

  • DDoSセキュリティタイプ

検疫ネットワーク/URLフィルター/スパム対策

ニフクラでは、左記の区分に該当するサービスや機能はありません。

左記のように、ネットワーク機器で対応する機能やサービスは、当サービスでは提供していません。
左記の機能が必須要件であれば、オンプレミス環境に左記の機能を実現する環境を導入し、当サービス環境とオンプレミス環境をプライベートアクセスなどで接続するシステム構成で、要件に対応してください。
メニュー構成とメニュー選択時の条件

プライベート接続サービスでは、以下のサービスを提供しています。本機能により拠点環境とのセキュアなハイブリッドクラウドを実現します。
提供する各サービスは組み合わせて利用できます。

image

設計ポイントの適用事例

典型的なシステム構成例や、外部環境との接続など、ニフクラで提供しているネットワーク関連のサービス/機能の適用事例を記載します。

適用事例

利用するサービス/機能

概要

複数ゾーンのシステム構成例

  • プライベートLAN

  • ルーター

  • プライベートブリッジ

  • ロードバランサー(L4)

  • 追加NIC

当サービスで構成可能な複数ゾーンを利用したシステム構成例を記載します。
当サービスで提供するサービス/機能を利用して、システムの信頼性を向上させます。

  • プライベートLAN、プライベートブリッジを利用した複数ゾーン構成にします。

  • プライベートLANをルーターで、2階層に分割します。

    • Web/APサーバーを配備するネットワーク

    • データベースなどを配備するプライベートネットワーク

  • 冗長化が必要なデータベースなどのために同期用のネットワークを配備します。

  • インターネットからアクセスできるネットワークに、Web/APサーバーを配備します。

    • Web/APサーバーは別ゾーンに配備

    • ロードバランサー(L4)で負荷分散を実施

当サービスのシステムとデータセンター環境、拠点環境とのダイレクトポート接続事例

  • ダイレクトポート[34]

ダイレクトポートを利用してニフクラ上に構築したシステムに、拠点環境と専用線・閉域網からダイレクトに接続する事例を記載します。

当サービスのシステムとデータセンター環境との物理ポート(構内接続プラン)接続事例

  • 物理ポート(構内接続プラン) [35]

35. 本機能の詳細は、「クラウド技術仕様/制限値(プライベートブリッジ:物理ポート)」を参照してください。

物理ポート(構内接続プラン)を利用してニフクラ上に構築したシステムとデータセンターのホスティング環境を、物理ポートでダイレクトに接続する事例を記載します。

VPN接続事例

  • 拠点間VPNゲートウェイ

  • インターネットVPN(H/W)

  • リモートアクセスVPNゲートウェイ

当サービス環境とのインターネットVPN接続事例です。
拠点、端末からニフクラ環境にIPsecVPN/SSL-VPNを用いて接続する3つのパターンを記載します。

DRサイト構築事例

  • ダイレクトポート

  • 拠点間VPNゲートウェイ

同一国内のリージョン間を接続する事例です。ダイレクトポートでの接続とインターネットVPN接続を利用します。
本ドキュメント内「DRサイト構築事例概要:構成概要」を参照してください。
複数ゾーンのシステム構成例

image

構成図補足
【ルーター】

当サービスのルーターは、異なるネットワーク同士を接続し、ネットワーク間で通信できるようにする機能を持ちます。

  • 以下のネットワーク同士を接続します。

    • インターネットに接続された共通グローバルネットワーク

    • 共通プライベートネットワーク

    • プライベートLAN同士

  • ネットワーク接続の際に、以下の機能を利用できます。

    • ルーティング機能

    • NAT機能

    • Webプロキシ機能

    • DHCP機能

また、ファイアウォールグループで定義された設定を、ルーターへ適用できます。

【ロードバランサー(L4)】

当サービスでは、信頼性と性能を向上させる負荷分散機能として、L4層のロードバランサーを提供しています。
ロードバランサー(L4)を 1つ設定し、複数ゾーンに配備された仮想サーバーへ負荷分散できます。
ロードバランサー(L4)では複数の帯域が用意されています。必要に応じた帯域を契約して利用してください。

【追加NIC】

仮想サーバーに対して複数のNICを付与するサービスです。
追加NICを利用すると、複数のプライベートLANに接続でき、複雑なネットワーク構成を構築できます。

【プライベートブリッジ】

プライベートLAN同士をL2接続するネットワークサービスです。対応リージョン内のプライベートLAN同士を接続したり、複数のゾーンやリージョンを利用したシステムを構築できます。
また、帯域確保もできます。
利用可能なリージョンや選択可能な帯域は クラウド技術仕様/制限値(プライベートブリッジ)で確認してください。


ニフクラが提供するネットワークに関するサービス/機能を利用して、システムの信頼性を向上する構成例です。

  • システム構成の特徴

    • プライベートブリッジにより異なるゾーン間のプライベートLANをL2接続する構成で、システムの信頼性を向上

    • ネットワークをルーターで、2階層に分割

      1. Web/APサーバーを配備するネットワーク

      2. データベースなどを配備するプライベート用ネットワーク

    • 冗長化が必要なデータベースなどのために同期用のネットワークを配備

    • インターネットからアクセス可能なネットワークに、ロードバランサー(L4)やWeb/APサーバーを配備

拠点環境とのダイレクトポート接続事例

image

ダイレクトポートの接続事例

上図ではニフクラ環境を複数のプライベートLANで構成した複数セグメントでの構成としています。

  • ダイレクトポート接続

    • 利用者の拠点、データセンター環境等と接続する機能です。回線事業者の閉域網・専用線を引き込み当サービスと直接接続できる物理ポートを提供します。
      導入にあたっては、以下を検討して設計してください。

      1. 利用可能な接続機能の確認

      2. ネットワーク全体の論理構成設計

      3. ルーティング(経路)設計

      4. 帯域設計

      5. 信頼性設計

      6. IP アドレス設計

  • ルーティング設定について

    • ダイレクトポートで接続するプライベートLAN以外のプライベートLANへ通信が発生する場合、利用者環境側に複数セグメントがある場合など、入念にルーティング設計を実施してください。
      開通後、通信できない可能性があります。

    • 回線事業者が設置するネットワーク機器は、回線事業者の保守サポートが必須です。
      個別にルーティング設定が必要な際は、回線事業者へ依頼してください。実現可否など、事前に回線事業者へ確認してください。

データセンター環境との物理ポート(構内接続プラン)接続事例

image

物理ポート(構内接続プラン)の接続事例

上図では当サービス環境を複数のプライベートLANで構成した複数セグメントでの構成としています。

  • 物理ポート(構内接続プラン)

    • 利用者のハウジングエリアと接続する機能です。富士通指定のデータセンター内に、当サービスとの接続ポイントとなる物理ポートを提供します。
      導入にあたっては、以下を検討して設計してください。

      1. 利用可能な接続機能の確認

      2. ネットワーク全体の論理構成設計

      3. ルーティング( 経路 ) 設計

      4. 帯域設計

      5. 信頼性設計

      6. IP アドレス設計

  • ルーティング設定について

    • 物理ポート(構内接続プラン)で接続するプライベートLAN以外のプライベートLANと通信が発生する場合、利用者環境側で複数セグメントがある場合など、入念にルーティング設計を実施してください。
      開通後、通信できない可能性があります。

    • ニフクラ環境のルーティング設定と合わせて、ハウジングエリアに設置するネットワーク機器でのルーティング設定も考慮してください。

拠点間VPNゲートウェイ接続事例

image

拠点間VPNゲートウェイを利用して利用者環境とインターネット経由で接続するIPsecVPN構成例です。

インターネットVPN(H/W)接続事例

image

インターネットVPN(H/W)を利用して利用者環境とインターネット経由で接続するIPsecVPN接続例です。

リモートアクセスVPNゲートウェイ接続事例

image

リモートアクセスVPNゲートウェイを利用して利用者端末とインターネット経由で接続するSSL-VPN構成例です。

カテゴリ項目ごとの作業と留意事項

カテゴリ項目ごとの作業概要

カテゴリ項目

作業

ニフクラでの作業概要

ネットワーク

ネットワーク論理設計

ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や各種制御方式等を設計してください。

ネットワーク物理設計

当サービスのサービス内は仮想ネットワークのため、記載を省略します。[36]

36. 当サービスの環境から、ダイレクトポート接続、IPsecVPNで接続されるオンプレミス環境側の物理設計は、従来のオンプレミスでの方式で設計してください。

ネットワーク構成規約の設計

以下の構成の設計や管理に必要な規約は、オンプレミスと同様に設計してください。

  • ネットワーク

  • サブネット

  • ポート

  • ID/パスワード 等

ネットワーク運用設計(定常時)

システム全体の運用・保守設計に基づいて、信頼性の定常時の管理、運用方法を設計してください。
基本的な設計方法はオンプレミスと同様です。「設計ガイド(運用・保守設計編) 運用・保守」を参照してください。

ネットワーク運用設計(障害時)

システム全体の運用・保守設計に基づいて、信頼性の障害時の管理、運用方法を設計してください。
基本的な設計方法はオンプレミスと同様です。当サービスの「設計ガイド(運用・保守設計編) 運用・保守」を参照してください。
LAN/WANに関する留意事項
作業概要

ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

仮想ネットワーク/サブネット

共通グローバルネットワーク

サーバー配備時に接続されるグローバルネットワークで、インターネットに公開されたネットワークです。[37]

37. グローバルネットワークはサーバーに接続しない選択もできます。

共通プライベートネットワーク

サーバー配備時に接続されるプライベートネットワークで、他ユーザーと共通のプライベートネットワークです。[38]

38. プライベートLANを作成していれば、サーバー配備時にプライベートLANへの接続もできます。

プライベートLAN

プライベートLANは共通プライベートネットワークとL2レベルで隔離されたネットワークです。
利用者が任意に作成します。
ルーターを用いてプライベートLAN同士を接続できます。

設定可能なプレフィックス長やその他注意事項等は クラウド技術仕様/制限値(ネットワーク:プライベートLAN)を確認してください。

付替IPアドレス

共通グローバルネットワーク、共通プライベートネットワークのIPアドレスを付替IPアドレスにして、同一のIPアドレスを他サーバーに付け替えて利用できます。 [39]

39. 起動中のサーバーでIPの付替/解除をすると、必ずサーバーの再起動が発生します。停止中のサーバーでIPの付替/解除をする際にサーバーを再起動させたくなければ、「再起動しない」を選択してください。ただし、サーバー停止中であっても再起動が必要になる可能性があります。

ゾーン/リージョンをまたいだIPアドレスの設定はできません。

グローバルIPアドレス

インターネットに公開されているネットワーク上のIPアドレスです。
仮想サーバーをインターネットに公開するには、グローバルIPアドレスが必要です。
仮想サーバー配備時に、グローバルIPアドレスを付与するか選択できます。
当サービスのサーバーに払い出されるグローバルIPアドレス帯は ip_ranges.jsonを参照してください。

グローバルIPアドレスの指定

グローバルIPアドレスは個別に指定はできません。
仮想サーバー配備時、グローバルIPアドレスを付与すると、 DHCPにより自動でIPアドレスが割り振られます。

利用者が何らかの手段で取得しているグローバルIPアドレスは、持ち込みできません。

接続先と重複しないIPアドレス設計

当サービスでは、IPsecVPN/SSL-VPNやダイレクトポート接続等による外部環境との接続ができます。
外部接続により、当サービスの環境を別の環境と接続して通信する設計できます。
接続先の環境も含めて、IPアドレスが重複しないように設計してください。

DHCP

共通グローバルネットワークと共通プライベートネットワークはDHCPによりIPアドレスが割り当てられます。[40] [41]
プライベートLANに接続させたサーバーへDHCPを用いてIPアドレスを付与する際は、ルーターのDHCP機能を利用できます。
ルーターのDHCPオプションにより、IPアドレスと合わせて、以下を指定できます。

  • ゲートウェイのIPアドレス

  • DNSサーバー

  • NTPサーバー

  • WINSサーバーのIPアドレス 等

また、利用者のサーバーのネットワークインターフェースがプライベートLANへ接続されていれば、そのネットワークインターフェースにてDHCPサーバーを構築できます。

40. マルチIPアドレス利用時以外は、手動で静的に設定することは禁止事項に抵触します。
41. マルチIPアドレスの際は、手動で割り当ててください。

「バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)」での復元時に限り、DHCP設定をオフにし、DNSサーバーのIPアドレスを設定することは禁止事項の対象外です。

DNSサーバー

公開DNSサーバーなどを指定するか、IaaS環境への構築を検討してください。
ルーターでDHCP機能を利用する際にDNSを指定できます。ルーターでDHCP機能を利用しない際は、OS上から設定してください。

当サービスでは、名前解決用のキャッシュDNSのサービスは提供していません。

追加のルート設定

ルーターでDHCP機能を利用する際には、ゲートウェイを指定できます。
複数のルーティング情報が必要な際や、ルーターでDHCP機能を利用しない際には、OS上から設定してください。

追加NIC

仮想サーバーに付与して複数のプライベートLANへの接続ができます。

仮想サーバーへの追加NIC付与時の制限事項があります。詳細は クラウド技術仕様/制限値(コンピューティング::追加NIC)を確認してください。

マルチIPアドレス

ゾーン内の異なるサーバーで同一のグローバルIPアドレスを使用できます。
また、複数のグローバルIPアドレスが同じサーバーで使用できます。[42]

42. マルチIPアドレスグループが割り当てられたサーバーに対してできない操作があります。

マルチIPアドレスグループが割り当てられたサーバーに対してできない操作は クラウド技術仕様/制限値(マルチIPアドレス)で確認してください。

ルーター

プライベートLAN同士の接続

同一ゾーン内の異なるネットワークセグメントのプライベートLAN同士はルーターを利用して接続できます。

ルーティング

IPsecVPNやダイレクトポート接続等で外部環境と接続する際は、正常な通信ができるように、利用者が仮想サーバーとルーターのそれぞれへルーティングを設定してください。
ルーティング設定を誤ると、通信させたいリソース同士が通信できなかったり、パケットの行きと戻りで異なる経路になる可能性があります。[43]

43. ルーターのルートテーブル設定でターゲットに共通グローバル、または共通プライベートのIPアドレスをネクストホップとして設定した際には、NAT設定を実施してください。

NAT機能

ルーターは、NAT機能を提供します。

詳細な仕様は クラウド技術仕様/制限値(ネットワーク:ルーター:NAT)を確認してください。

Webプロキシ機能

ルーターはWebプロキシ機能を提供しています。
グローバルIPアドレスを割り当てていないサーバーからパッチを適用するなどの用途で利用できます。

ルーター数上限

プライベートLANに接続できるルーター数、ルーターが接続可能なネットワーク数に制限があります。

詳細な仕様は クラウド技術仕様/制限値(ネットワーク:ルーター:ルーター)を確認してください。

ルーターのアクセス制御

ルーターのアクセス制御は仮想サーバーと同様にファイアウォールで実施できます。

プライベートブリッジ

複数ゾーン/リージョン構成の概要

物理的に異なる環境であるゾーンを複数用いて、信頼性を高める構成です。
複数ゾーンにあるプライベートLAN同士を、プライベートブリッジによりL2で接続します。

複数ゾーン/リージョン接続の概要

複数のゾーン/リージョンにそれぞれプライベートLANを作成した後、コントロールパネルからオンデマンドで設定します。
プライベートブリッジの開通には以下の作業を実施してください。

  1. ゾーンごとにプライベートLANを作成

  2. プライベートLANごとにコネクターを作成

  3. プライベートブリッジを作成

  4. プライベートブリッジに東西接続オプションを付与[44]

  5. コネクターとプライベートブリッジを紐づけ

拠点間VPNゲートウェイに接続されたプライベートLAN同士を、プライベートブリッジなどの接続サービスによって接続できません。
プライベートブリッジと併用する際、構成に注意が必要となるサービスがあります。ネットワークループを防ぐため、以下のサービスと接続されている複数のプライベートLANを、同じプライベートブリッジに接続しないでください。

  • プライベートアクセス for SINET

  • 拠点間VPNゲートウェイ

44. リージョン間接続をする場合のみ

プライベートブリッジ開通作業の詳細は、クラウドデザインパターン内の「リージョン間接続パターン:プライベートブリッジ」を参照してください。

ダイレクトポート

接続形態

当サービス上に構築したシステムを回線事業者の専用線や閉域網に接続するために、接続ポイントとなるポートを提供するサービスです。
ブロードキャストドメインを区切る必要があるため、ルーターやL3スイッチ等と接続してください。

L2接続はできません。

制限/留意事項

以下について様々な制限/留意事項があります。

・スイッチポート
・回線事業者のネットワーク機器を設置するためのラック
・LANケーブル
・冗長構成
・データセンターへの入館
・スイッチのメンテナンス
など

詳細は以下を確認してください。

拠点間VPNゲートウェイ

接続できる拠点数

作成タイプにより拠点間VPNゲートウェイ1つあたりで同時接続可能な拠点数が異なります。

接続できる拠点数は クラウド技術仕様/制限値(拠点間VPNゲートウェイ:拠点間VPNゲートウェイ)を確認してください。

通信が可能な範囲

接続形態により、通信できる範囲が異なります。

IPsec

拠点間VPNゲートウェイが接続されたプライベートLANと、対向のゲートウェイに接続される1つのサブネット間のみ通信できます。

IPsec VTI

適切なルーティングテーブルの設定により、拠点間VPNゲートウェイが接続されたプライベートLAN以外のプライベートLAN、対向のゲートウェイに接続されるサブネット以外のサブネット間とも通信できます。

L2TPv3/IPsec

プライベートLANと対向のゲートウェイに接続される1つのサブネットとL2で接続できます。
他プライベートLAN、サブネットとも通信をする際は、ルーティングの適切な設定により通信できます。

モバイルアクセス

L2TP/IPsecのようなモバイル機器との通信はできません。

アクセス制御

当サービスの仮想サーバーと同様、ファイアウォールを設定できます。

インターネットVPN(H/W)

接続できる拠点数

1契約(1接続点)あたり1拠点と接続できます。

通信が可能な範囲

インターネットVPN(H/W)を接続したプライベートLANと、対向のゲートウェイに接続されるサブネット、申し込み時に指定した拠点側の他サブネットとの通信ができます。
インターネットVPN(H/W)が接続されたプライベートLAN以外のセグメントとは通信できません。

モバイルアクセス

L2TP/IPsecのようなモバイル機器との通信はできません。

アクセス制御

インターネットVPN(H/W)には、ファイアウォールは設定できません。

リモートアクセスVPNゲートウェイ

接続可能なコネクション数

作成タイプごとにリモートアクセスVPNゲートウェイ1つあたりの同時接続可能数が異なります。

同時接続可能数は クラウド技術仕様/制限値(ネットワーク:リモートアクセスVPNゲートウェイ)を確認してください。

通信が可能な範囲

クライアントソフト [45]を導入した端末から、リモートアクセスVPNゲートウェイが接続されたプライベートLAN上のリソースのみ通信できます。

45. 接続確認済みOS及びクライアント環境の詳細は、 クラウド技術仕様/制限値(ネットワーク:リモートアクセスVPNゲートウェイ) の「接続確認済みOS」を確認してください。

アクセス制御

リモートアクセスVPNゲートウェイにはファイアウォールは設定できません。

証明書

クライアント証明書認証を利用するには、当サービス側にてCA証明書を設定してください。
リモートアクセスVPNゲートウェイではサーバー証明書の設定は必須です。

詳細はクラウド技術仕様/制限値(ネットワーク:リモートアクセスVPNゲートウェイ:証明書)を確認してください。

クライアントソフト

オンプレミス環境にクライアントアプリケーションをダウンロードしてください。
ロードバランサー(L4)に関する留意事項
作業概要

ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

ロードバランサー(L4)

サービスの概要

当サービスでは、信頼性向上と性能向上させる負荷分散機能として、L4層のロードバランサーを提供しています。
ロードバランサー(L4)を1つ設定し、同一リージョンの複数のゾーンに配備された仮想サーバーへ負荷分散できます。

各種数量

作成可能なロードバランサー(L4)数は、リージョンごとに制限されます。

作成可能数やポート設定数は クラウド技術仕様/制限値(ロードバランサー(L4))の仕様一覧を確認してください。

ネットワーク構成

ロードバランサー(L4)ではグローバルIPアドレスを持つ仮想サーバーを負荷分散対象として設定できます。
プライベート側からの負荷分散、プライベート側への負荷分散には対応していません。

帯域

帯域は複数コネクションでの最大帯域となっており、単一のコネクションでは契約の帯域を使い切れない可能性もあります。

利用可能な帯域は クラウド技術仕様/制限値(ロードバランサー(L4))の仕様一覧を確認してください。

アクセス元IPの取得

http(80)、またはhttps(443)かつSSLアクセラレーターを利用したアクセス(80)では、ヘッダー情報「X-Forwarded-For」に送信元のIPアドレス情報が付与されます。

暗号化SUITE

暗号化タイプごとにSSLセキュリティポリシーをテンプレート化しており、ロードバランサー(L4)ごとにテンプレートを選択できます。[46]

46. テンプレートが未選択であれば、暗号化タイプごとの初期テンプレートが適用されます。

  • standard、atsから選択できます。

  • Apple社のApp Storeでアプリを公開する必要があれば、atsを選択してください。

負荷分散可能なレイヤー

当サービスのロードバランサー(L4)では、L4層の負荷分散ができます。
アクセス先のURLに含まれるドメイン名やパス等に応じて負荷分散条件を設定するL7層の負荷分散はできません。

負荷分散のポリシー設定

当サービスのロードバランサー(L4)では、以下の設定ができます。

  1. バランスポリシー
     ラウンドロビン、リーストコネクションの設定が可能

  2. セッション固定
     ソースIPアドレスを元にセッションをサーバーに固定可能

セッション保持時間等の仕様の詳細は クラウド技術仕様/制限値(ロードバランサー(L4))を確認してください。

Sorryページ設定

ヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、かつ、他の負荷分散可能な仮想サーバーが存在しなければ、当サービス側で用意した定型メッセージを表示します。

Sorryページは、待ち受けポートがHTTP(80/tcp)の場合のみ利用できます。

ヘルスチェックの設定

サーバーからの応答時間がタイムアウトを越えると、サーバーをロードバランサーから切り離します。

ヘルスチェックで設定可能な値は クラウド技術仕様/制限値(ロードバランサー(L4))を確認してください。
マルチロードバランサーに関する留意事項
作業概要

ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

マルチロードバランサー

サービスの概要

当サービスでは信頼性向上と性能向上のための負荷分散機能として、L4層のマルチロードバランサーを提供しています。
マルチロードバランサーでは、複数のゾーンに配備された仮想サーバーへ負荷分散できません。

各種数量

作成可能なマルチロードバランサー数は、1IDごとに制限されます。

作成可能な数、設定可能なポート数は クラウド技術仕様/制限値(ネットワーク:マルチロードバランサー)を確認してください。[47]

47. ポート設定のプロトコルをTCP、ポート番号を21にした際、振り分けプロトコルをFTPと解釈せず、FTPの振り分けはできません。

ネットワーク構成

マルチロードバランサーはグローバル側の負荷分散、プライベートLAN側への負荷分散ができます。[48]

48. マルチロードバランサーに付与しているネットワークに所属する当サービスの仮想サーバーのみ負荷分散対象にできます。

帯域

マルチロードバランサーのVIP当たりの最大ネットワーク流量を指定できます。

詳細はクラウド技術仕様/制限値(ネットワーク:マルチロードバランサー)「最大ネットワーク流量」項目を確認してください。

アクセス元IPの取得

  • ワンアーム構成の場合

    • アクセス元のIPアドレスは透過されません。http、httpsかつSSLアクセラレーターを利用してアクセスすると、ヘッダー情報「X-Forwarded-For」に送信元のIPアドレス情報が付与されます。

  • ツーアーム構成の場合

    • アクセス元のIPアドレスが透過されます。事前にX-Forwarded-Forヘッダーが付与されていると、X-Forwarded-Forヘッダーは上書きされます。

暗号化SUITE

ats に対応しています。

負荷分散可能なレイヤー

当サービスのマルチロードバランサーでは、L4層の負荷分散ができます。アクセス先のURLに含まれるドメイン名やパス等に応じて負荷分散条件を設定するL7層の負荷分散はできません。

ルートテーブルの設定

マルチロードバランサーには、ルートテーブルに設定されているルートのターゲットがIPアドレスの場合のみ、ルートテーブルを設定できます。

グローバル接続されているマルチロードバランサーには、デフォルトルートが設定されているルートテーブルは設定できません。

負荷分散のポリシー設定

当サービスのマルチロードバランサーでは、以下の設定ができます。

  1. バランスポリシー
     ラウンドロビン、リーストコネクションの設定が可能

  2. セッション固定
     ソースIPアドレス、cookieを元にセッションをサーバーに固定可能

セッションの保持時間は クラウド技術仕様/制限値(ネットワーク:マルチロードバランサー)を確認してください。

ヘルスチェックの設定

サーバーからの応答時間がタイムアウトを越えると、サーバーをロードバランサーから切り離します。

  • ヘルスチェックの設定項目は クラウド技術仕様/制限値(ネットワーク:マルチロードバランサー)を確認してください。

  • 送信元IP

    • 振り分け先ネットワーク側に設定したマルチロードバランサーIPアドレスとシステムIPアドレス [49]がヘルスチェックの送信元IPとして利用されます。

  • ネットワーク設定の考慮

    • マルチロードバランサーから振り分け先サーバーまでのネットワーク設定について送信元IP(マルチロードバランサーIPアドレスとシステムIPアドレス)を考慮してください。

      • 振り分け先サーバーに適用しているファイアウォール等に送信元IPを許可

        • ニフクラファイアウォール

        • OS上のファイアウォール

        • OS上で利用中のセキュリティ製品

      • 振り分け先サーバーまでの通信経路上の転送設定

49. ネットワークでプライベートLANを指定した際に、マルチロードバランサーのIPアドレスとは別に、システム的に必要となる2つのIPアドレスがあります。

Sorryページ設定

ヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、かつ、他の負荷分散可能な仮想サーバーが存在しなければ、リダイレクト情報の設定によりSorryページを表示できます。[50]

50. リダイレクト先は別途用意してください。

  • Sorryページは待ち受けポート設定がHTTP/HTTPSの場合利用できます。ポートは任意に設定できます。

  • リダイレクト可能なレスポンスコードは302です。
L7ロードバランサー(Ivanti Virtual Traffic Manager)に関する留意事項
作業概要

ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

L7ロードバランサー(Ivanti Virtual Traffic Manager)

サービスの概要

当サービスでは、信頼性向上と性能向上のための負荷分散機能としてL4層だけでなくL7層にも対応したL7ロードバランサーを提供しています。
L7ロードバランサーでは、複数のゾーンに配備された仮想サーバーへ負荷分散できます。
L7ロードバランサーはサードパーティ製のソリューションサービスです。[51]

51. 利用者にて、セットアップ手順書及びインストーラーを図研ネットウエイブ株式会社のサイトよりダウンロードし、インストールしてください。

ネットワーク構成

L7ロードバランサーはグローバルネットワーク側の負荷分散、プライベートLAN側への負荷分散ができます。
ネットワーク構成によりL7ロードバランサーを構成するOS上で適切にルーティング設定などを実施してください。

帯域

シリーズにより利用できる帯域が異なります。

詳細は クラウド技術仕様/制限値(L7ロードバランサー(Ivanti Virtual Traffic Manager)全般)を確認してください。

アクセス元IPの取得

http、https且つSSLアクセラレーターを利用したアクセスでは、ヘッダー情報に送信元IPアドレスが付与されます。「X-Forwarded-For」への変更もできます。
httpsアクセスでSSLアクセラレーターをロードバランサーで実施しない際も、設定により独自ヘッダーを付与し、アクセス元IPの取得もできます。

暗号化SUITE

atsに対応しています。

負荷分散可能なレイヤー

当サービスのL7ロードバランサーでは、L4層/L7層の負荷分散ができます。

IP Transparency

IP Transparencyを利用するには、L7ロードバランサー、バックエンドノードともにプライベートLANを利用してください。
バックエンドノードへのアクセスとして、共通グローバル、または共通プライベートは利用できません。

負荷分散のポリシー設定

当サービスのL7ロードバランサーでは、以下の設定ができます。

  1. バランスポリシー

  2. セッション固定
     プロトコルに応じて設定が可能

バランスポリシー、セッション固定の設定値は クラウド技術仕様/制限値(L7ロードバランサー(Ivanti Virtual Traffic Manager)全般)の仕様を確認してください。

ヘルスチェックの設定

サーバーからの応答時間がタイムアウトを越えると、サーバーをロードバランサーから切り離します。

ヘルスチェックの設定値は ソフトウェアL7ロードバランサ Ivanti Virtual Traffic Manager(旧:Pulse Secure Virtual Traffic Manager) から Ivanti Virtual Traffic Managerセットアップ手順書 を確認してください。

Sorryページ設定

ヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、かつ、他の負荷分散可能な仮想サーバーが存在しなければ、リダイレクト情報の設定によりsorryページを表示できます。
ページのカスタマイズも可能で、Virtual Server設定ごとにHTTP/HTTPS/他プロトコルが利用できます。

Sorryページの詳細な仕様は ソフトウェアL7ロードバランサ Ivanti Virtual Traffic Manager(旧:Pulse Secure Virtual Traffic Manager) から Ivanti Virtual Traffic Managerセットアップ手順書 を確認してください。

サポート範囲

OS上の設定は利用者の責任範囲です。またL7の負荷分散へ対応していることで柔軟な設定ができる反面、複雑となります。
サポート問い合わせ時には、利用者側で切り分けが必要なことが多々あります。
統合ネットワークサービスに関する留意事項
作業概要

ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

統合ネットワークサービス(IPCOM VE2Vシリーズ)

サービスの概要

「統合ネットワークサービス(IPCOM VE2Vシリーズ)」(以降IPCOM VE2Vシリーズと記載)はセキュリティ対策機能と、ネットワーク最適化機能を提供するネットワークソリューションサービスです。[52]

52. 詳細は「 スタートガイド 」を参照してください。

ネットワーク構成

IPCOM VE2Vシリーズはグローバルネットワーク側の負荷分散、プライベートLAN側への負荷分散ができます。

サーバー負荷分散はLSシリーズのみ対応しています。

負荷分散可能なレイヤー

柔軟な負荷分散方法に対応しています。[53][54]

53. 機能シリーズによって対応可否が異なります。SCシリーズ(SC、SC PUS)ではサーバー負荷分散機能は利用できません。
54. 機能の詳細は「 データシート 」を参照してください。ドキュメント内のVE2はVE2Vに読み替えてください。

構成

本製品は仮想アプライアンスであり、各スペックに対応したサーバータイプを選択してください。

別途100GBの増設ディスクが必要です。

その他制限事項

プライベートLANの利用が必須となる機能の詳細は「 スタートガイド 」を参照してください。
サーバー負荷分散やアドレス変換の機能で複数のグローバルIPアドレスを設定するときは、マルチIPの利用が必須となります。
詳細は「 データシート[55]を参照してください。
ニフクラ基盤上の共通グローバルはDHCPやマルチキャストの通信不可という仕様のため、利用できない機能が存在します。

55. ドキュメント内のVE2はVE2Vに読み替えてください。

プライベートLANのみ利用している環境下でのみ、冗長化できます。
方式詳細と参考ドキュメント

詳細な方式例としてCDP (クラウドデザインパターン)や、システム構成の参考事例、参考ドキュメントを記載します。

設計項目

ドキュメント掲載先

ドキュメント名または本ドキュメント内のタイトル

内容

仮想ネットワーク関連

本ドキュメント

複数ゾーンのシステム構成例

ニフクラで構成可能な複数ゾーンのシステム構成です。ニフクラが提供するネットワークに関するサービス/機能を利用して、システムの信頼性などを向上します。

CDP

インターネット接続パターン

インターネットから参照できるように仮想サーバーを配備するパターンです。
サーバー配備時、サーバーにグローバルIPアドレスを付与する構成で、当サービスの基本的な構成を記載しています。

CDP

複数階層ネットワーク構成パターン

2階層ネットワークのパターンです。用途に応じてプライベートLANを分割した構成を記載しています。

WAN関連

本ドキュメント

拠点環境とのダイレクトポート接続事例

ダイレクトポート接続機能を使用して、利用者のデータセンター環境、拠点環境と専用線/閉域網で接続する事例を記載しています。
記載例では当サービス環境を2セグメント構成で記載しています。

本ドキュメント

物理ポート(構内接続プラン)接続事例

当サービスのシステムと、データセンター環境との物理ポート(構内接続プラン)接続事例を記載しています。
記載例では当サービス環境を2セグメント構成で記載しています。

本ドキュメント

拠点間VPNゲートウェイ接続事例

拠点間VPNゲートウェイ、インターネットVPN(H/W)、リモートアクセスVPNゲートウェイでのIPsecVPN/SSL-VPNで接続する事例を記載しています。

CDP

ハイブリットクラウド:VPN接続パターン

IPsecVPN接続を記載したパターンです。

プライベートブリッジ関連

CDP

リージョン間接続パターン:プライベートブリッジ

複数のゾーンを用いてシステムを構成するパターンです。
それぞれのゾーンに作成したプライベートLAN同士をプライベートブリッジを用いて接続し、複数のゾーン構成を作成します。

負荷分散関連

CDP

サーバー冗長化パターン

Webサービスで、性能、信頼性を考慮した構成を実現するパターンです。

CDP

マルチゾーンパターン

ゾーンを束ねている物理機器の全系統ダウンなど、ゾーン全体がダウンする事態でも、業務継続を実現するパターンです。

4.セキュリティ

設計のポイント

セキュリティ関連のサービス/機能を記載しています。当サービスにてセキュリティ観点で設計をする際には、以下のサービス・機能を検討してください。

区分

区分の概要

対応するサービス/機能

ニフクラのサービス/機能の概要

選択値・条件

認証・ID管理

【認証】
情報システムに対する利用者を識別する技術
【ID管理】
認証・認可に使用するID情報のライフサイクルを管理する技術

マルチアカウント

当サービスのコントロールパネル/APIを利用する際に、操作範囲に制限を持たせたアカウントを作成できる機能です。[56]

56. 運用者権限・閲覧権限のユーザーには、許可する操作を定義したポリシーを追加できます。

  • 管理者権限、運用者権限、閲覧権限のアカウントを作成できます。

  • 一部マルチアカウント未対応のサービスがあります。

SSHキー

Linux系の仮想サーバーへのログインで利用するSSHキーに対して、以下の操作ができます。

  • 発行

  • 登録

  • インポート

  • 削除操作

アクセスコントロール

情報システムに対するアクセス時の許可を操作者の権利に応じて行う技術

IP許可制限

コントロールパネルやAPIへ、特定のIPアドレスからのみアクセスを許可する機能です。

OTP認証

コントロールパネルへログインする際に、専用のアプリケーション[57]に表示されるワンタイムコードをパスワードとして用いる認証方式です。
本機能の利用により、セキュリティを強化できます。
契約管理メニューの二要素認証は、本機能と同じ機能です。
OTP認証は無料で利用できます。

57. FreeOTP または Google Authenticator(Google認証システム)

ファイアウォール

以下の要素に基づいて、アクセス許可を制御する機能です。

  • プロトコル

  • ポート番号

  • Incoming/Outgoing

本サービスは、以下のリソースに適用できます。

  • 仮想サーバー

  • ルーター

  • 拠点間VPNゲートウェイ

選択可能なプロトコルは クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)を確認してください。

サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security)

サードパーティ製のソリューションサービスです。当サービスに配備した仮想サーバーへオプションで導入できます。
区分の範囲では、以下の機能を提供します。

  • IDS/IPS

  • Firewall

  • Web Reputation

本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。

証跡管理

情報システムの信頼性/安全性/効率性/有効性の確保が事後に実証できるよう、情報システムへのアクセスを記録し、記録されたデータを管理する技術

API (ログ取得)

ファイアウォールグループのアクセス拒否のログ取得、基本監視のログ取得などのAPIを提供します。
ただし、ログを取得できないサービス/機能や仮想リソースがあります。

集中管理

  • インシデント管理

  • 脆弱性管理

  • 構成管理

情報システム全体のセキュリティ対策レベルを恒常的に把握/維持/向上を図ることを目的とした技術

ニフクラコントロールパネル/API

コントロールパネルやAPIで、当サービス上の仮想リソースの一覧を取得できます。

サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security)

サードパーティ製のソリューションサービスです。当サービスに配備した仮想サーバーへオプションで導入できます。
区分の範囲では、以下の機能を提供します。

  • 変更監視

  • ログ監視

暗号化

  • データの秘匿 ファイル、ストレージ、通信上のデータ等

  • 認証(電子署名など)

秘匿すべき情報の表現を組み替えて、第三者が参照や利用ができないようにする技術

ロードバランサー

提供する以下のロードバランサーでhttpsの暗号化通信に対応しています。

  • ロードバランサー(L4)

  • マルチロードバランサー

  • L7ロードバランサー(Ivanti Virtual Traffic Manager)

  • 統合ネットワークサービス(IPCOM VE2Vシリーズ)

拠点間VPNゲートウェイ

オンプレミスなどの拠点とインターネットを経由してIPsecVPNで接続する機能です。

インターネットVPN(H/W)

オンプレミスなどの拠点とインターネットを経由してIPsecVPNで接続する機能です。

リモートアクセスVPNゲートウェイ

利用者端末とインターネットを経由してSSL-VPNで接続する機能です。

不正プログラム対策

以下セキュリティの3要素を脅かす悪意あるプログラムへの対策を目的とした技術

  • 機密性

  • 完全性

  • 可用性

サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security)

サードパーティ製のソリューションサービスです。当サービスに配備した仮想サーバーへオプションで導入できます。
区分の範囲では、以下の機能を提供します。

  • ウイルス対策

  • Webアプリケーション保護

  • IDS/IPS

ウイルス・スパイウエア対策(ESET Server Security)

サードパーティ製のソリューションサービスです。当サービスに配備した仮想サーバーへオプションで導入できます。
セキュリティ機能として、以下の機能を提供します。

  • ウイルス・スパイウェア対策

IDS

ネットワーク上を流れるパケットを常時監視し、不正アクセスを検知し通報するサービスをオプションで導入できます。

セキュリティ対策では、利用者により実施するセキュリティ対策と、ニフクラ基盤側で実施する対策があります。本ドキュメントは利用者が実施する対策を記載します。

ニフクラサービス適用事例

ロードバランサー(L4)とWeb/APサーバー、ニフクラRDBを配備した事例から、ニフクラのサービス/機能の適用を検討する以下3つの適用シーンについて記載します。

適用シーン

利用するサービス/機能

概要

① 仮想リソース操作(配備、起動・停止等)

  • コントロールパネル

  • API

  • マルチアカウント

管理者以上の権限が付与されたアカウントで、仮想リソースを配備する事例を記載します。

②  仮想サーバーなど構築

  • 拠点間VPNゲートウェイ

  • SSHキー

  • ファイアウォール

  • Workload Security

  • ロードバランサー(L4)(https)

仮想サーバーなどを構築する観点で事例を記載します。
仮想サーバーには、IPsecVPNにより暗号化した経路で、SSHキーを使用してログインします。
ファイアウォールでアクセスを制御します。

③  Webサービス提供

Webサービスの観点で事例を記載します。
アクセス制御を変更して、不特定のアクセス元からロードバランサー(L4)でhttps通信する事例を記載します。
また、サービス提供中に仮想サーバーで考慮するセキュリティなどについて記載します。

image

構成図補足
①仮想リソース操作(マルチアカウントを利用)

コントロールパネルやAPIを通じて、クラウド基盤となる仮想リソースを構築・管理します。

  • プライベートLAN作成・設定

  • ルーター作成・設定

  • ファイアウォール作成・設定

  • ロードバランサー(L4)作成・設定

  • RDB作成・設定

  • SSHキー作成

  • 仮想サーバー作成・設定・起動停止

  • 各種ログ取得 等

②仮想サーバーなど構築

作成した仮想サーバーに対して、サービス提供に必要な環境を整えます。

  • httpdサーバーなどのソフトウェア導入・設定

  • RDBの設定

  • Workload Security導入・設定 等

③Webサービス提供

Web利用者向けにサービスを提供します。

①仮想リソース操作(配備、起動・停止等)

  • 以下のようにマルチアカウントを利用し、仮想リソース操作のための権限を適切に管理する利用者管理運用ができます。

    • 一部マルチアカウントには対応していないサービスもあります。

    • 運用者権限・閲覧権限のユーザーには、許可する操作を定義したポリシーを追加できます。

      image

      項目

      ニフクラID 管理者

      設定可能な権限

      マルチアカウント管理者権限

      マルチアカウント運用者権限

      マルチアカウント閲覧権限

      アカウント作成

      ×

      ×

      ×

      コントロールパネル・API操作

      • 運用者権限・閲覧権限のユーザーには、許可する操作を定義したポリシーを追加できます。

      コントロールパネル閲覧

②仮想サーバーなどの構築

image

構成図補足
ロードバランサー(L4)アクセス制御

アクセス元IPアドレス/ネットワーク帯(CIDR表記)の制限ができます。
構築中は特定のアクセス元からのみ許可します。

仮想サーバーなどの構築観点のセキュリティ

配備する仮想サーバーなどのリソースは、ファイアウォールで制御します。
システム構築中は、不用意にアクセスされないよう、アクセス元を限定してください。
仮想サーバーには、IPsecVPNで暗号化した経路で、SSHキーを使用してログインしてください。

  • Trend Micro Cloud One - Workload Security

    • サードパーティ製のソリューションサービスです。当サービスに配備した仮想サーバーへオプションで導入できます。セキュリティ機能として以下の機能を提供します。

      • IDS/IPS

      • Web Reputation

      • Webアプリケーション保護

      • 変更監視

      • Firewall

      • ウイルス対策

      • ログ監視

    • 本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。
      本サービスを利用する際は、仮想サーバーにWorkload Securityのエージェントを導入して、仮想サーバーからTrend Micro社のCloud Oneの管理サーバーにhttps(443/tcp)でアクセスを許可するファイアウォールグループを設定してください。

  • ファイアウォール

    • ファイアウォールサービスは以下の要素でアクセス許可を制御する機能です。

      • プロトコル

      • ポート番号

      • Incoming/Outgoing

    • 以下のリソースに適用でき、複数サーバーが同一ファイアウォールグループに所属できます。Outgoingではルール設定がなければ、全ての通信が許可されます。

      • サーバー

      • ルーター

      • 拠点間VPNゲートウェイ

        • 拠点間VPNゲートウェイ
          構築中は、特定のアクセス元拠点からのみ通信を許可します。

        • Web/APサーバー
          DBサーバーへのDB用通信ポートの送信を許可し、特定のアクセス元からssh (22/tcp)での受信を許可します。
          ※ロードバランサー(L4)からの通信は許可ルールの追加をせずとも許可されます。

  • DBファイアウォール

    • RDB用のファイアウォールとしてDBファイアウォールを利用できます。Incomingの設定ができます。

      • 接続元種別としてCIDRか、IaaSで作成したファイアウォールグループを指定できます。

      • DBサーバー
        Web/APサーバー用に作成したファイアウォールグループからの受信を許可します。

ファイアウォールとロードバランサー

  • ファイアウォールグループ設定例
    ※本設定例ではOUTルールは設定なしで記載しています。OUTルールはデフォルトで、すべての通信を許可します。

    • Web/APサーバー用ファイアウォールグループ設定例

      INルール設定

      プロトコル

      宛先ポート

      接続元種別

      IP/CIDR・グループ

      備考

      SSH

      22

      IP/CIDR

      x.x.x.x

      IPsec-VPN経由でログインする特定のアクセス元を許可します。

    • 拠点間VPNゲートウェイ用ファイアウォールグループ設定例

      INルール設定

      プロトコル

      宛先ポート

      接続元種別

      IP/CIDR・グループ

      備考

      ANY

      グループ

      Web/AP用

      Web/AP用ファイアウォールグループを指定し、Web/APサーバーからの通信を許可します。

      ESP

      IP/CIDR

      y.y.y.y

      拠点側VPN装置からの通信を許可します。

      UDP

      500

      IP/CIDR

      UDP

      4500

      IP/CIDR

  • DBファイアウォール設定例

    • DBファイアウォール設定例

      接続元種別

      IPアドレス・グループ

      備考

      グループ

      Web/AP用

      Web/AP用ファイアウォールグループを指定し、Web/APサーバーからの通信を許可します。

  • ロードバランサー(L4)アクセス制御設定例

    • ロードバランサー(L4)アクセス制御設定例
      ※本設定例では、指定したアクセス元IPアドレス/CIDRからは「通信を許可する」設定で記載しています。なお、「通信を拒否する」指定もできます。

      アクセス元IPアドレス/CIDR

      備考

      (構築時) x.x.x.x
      (完了時)設定なし

      構築時では特定のIPアドレスからのみ通信を許可します。
      構築完了後、設定を削除し、不特定のアクセス元からの通信を許可します。
③Webサービス提供

image

構成図補足
ロードバランサー(L4)アクセス制御

構築完了後は、設定を削除し不特定のアクセス元からの通信を許可します。

仮想サーバーのセキュリティ

  • 仮想サーバーへのログインにはSSHキーを利用します。SSHキーは紛失しないよう、厳重に管理してください。

  • 仮想サーバーに割り当てるディスクは、ニフクラでは暗号化していません。必要であれば、利用者側で独自に実装してください。

  • OSのパッチを適用できるサービスは提供していません。
    必要に応じて利用者側で独自に実装してください。
    OSパッチを含め、システム全体のインシデント管理や脆弱性管理、構成管理は、利用者側で実施してください。

  • 仮想サーバーへの不正アクセスログを取得する際は、iptablesなどのOS標準のツールの導入や、Workload Securityの導入を検討してください。

  • ログの集約や集約したログを集中管理する際は、監視ツールの導入を検討してください。

ニフクラRDBで提供するDBサーバーのセキュリティ

ニフクラRDBに割り当てるディスクは、ニフクラでは暗号化していません。
データベースの行レベルでの暗号化が必要な際は、利用者側で実装して独自にデータを暗号化するか、独自にデータベース自体を導入してください。

Webサービスの提供観点のセキュリティ

  • ロードバランサー(L4)はhttps通信ができます。

  • ロードバランサー(L4)は、アクセスログを取得できません。

  • 仮想サーバーのセキュリティを強化するには、Workload Securityなどの導入を検討してください。

適用の指針

セキュリティは、当サービスの機能だけでは完結しません。
セキュリティ関連のサービス/機能を適用し、利用者システム上のセキュリティ対策と組み合わせて、適切にシステムを管理してください。

区分検討対象

認証・ID管理

アクセスコントロール

証跡管理

集中管理

暗号化

不正プログラム対策

適用シーン

アカウント

機能/サービス

  • マルチアカウント

  • SSHキー

  • IP許可制限

  • OTP認証

  • アクティビティログ

  • コントロールパネル/API

  • https

利用者

  • ニフクラ機能/サービスを利用し、運用で適切に管理

  • アクティビティログを取得

  • API操作ログを保存

  • ニフクラ機能/サービスを利用し、運用で適切に管理

  • APIアクセスできる最新のcurlなどのツールを用意

  • 利用者端末からアカウントなどの情報漏えいに留意

ネットワーク

機能/サービス

  • ファイアウォール

  • 仮想リソース管理

  • コントロールパネル/APIによる一覧取得

  • IPsecVPN

  • IDS

利用者

  • ニフクラ機能/サービスを利用し、運用で適切に管理

  • ファイアウォールで拒否された通信ログは取得可能

  • ニフクラ機能/サービスを利用し、運用で適切に管理

  • ニフクラ機能/サービスを利用し、運用で適切に管理

  • ニフクラ機能/サービスを利用し、運用で適切に管理

仮想サーバー

機能/サービス

  • SSHキーペア認証[58]

58. 仮想サーバーログイン用

  • Workload Security

  • ファイアウォール

  • ログ取得API[59]

59. 一部のログのみ

  • コントロールパネル/API

  • Workload Security

  • Workload Security

  • ESET[60]

60. ウイルス対策など

利用者

  • ニフクラ機能/サービスを利用し、運用で適切に管理

  • 必要に応じて、利用者独自にアカウント追加

  • ニフクラ機能/サービスを利用し、運用で適切に管理

  • 必要に応じて、OS標準のiptablesなどで独自にアクセス制御設定

  • 作業ログなどを保存

  • 必要に応じて、OS標準のiptablesなどで独自にログ取得

  • 必要に応じて、ログ集約や監視ツールを導入

  • OSまではニフクラ機能/サービスを利用し、運用で適切に管理

  • システム全体として適切な管理方式を利用者が検討/実装

  • 必要に応じて、暗号化を独自に実装[61]

61. 一部ゾーンのローカルディスク及び増設ディスクでは筐体暗号化に対応しています。詳細は ゾーン別機能対応表 を確認してください。

  • 機能/サービスを利用

  • 必要に応じて、利用者で独自に実装

ニフクラRDB

機能/サービス

  • DBファイアウォール

  • ログ取得API[62]

62. 一部のログのみ

  • コントロールパネル/API

利用者

  • ニフクラ機能/サービスを利用し、運用で適切に管理

  • 必要に応じて、利用者独自にアカウントを追加

  • 作業ログなどを保存

  • ニフクラ機能/サービスを利用し、運用で適切に管理

  • 必要に応じて、暗号化したデータを格納するなど独自に実装

Webサービス

機能/サービス

  • Workload Security

  • https(ロードバランサー)

  • Workload Security

  • ESET

  • IDS

利用者

  • 利用者で独自に実装

  • 利用者で独自に実装

  • 利用者で独自に実装

  • 機能/サービスを利用

  • 必要に応じて、利用者で独自に実装
カテゴリ項目ごとの作業と留意事項

カテゴリ項目ごとの作業概要

カテゴリ項目

作業

ニフクラでの作業概要

セキュリティ

セキュリティの方式設計

システム要件で必要なセキュリティ対策について方式を具体化し、セキュリティ機能の方式を設計してください。

セキュリティシステム構成設計

ファイアウォール、ID/パスワードなどの構成設計や管理に必要な規約は、オンプレミスと同様に設計してください。

セキュリティ運用設計(定常時)

システム全体の運用・保守設計に基づいて、セキュリティの定常時の管理、運用方法を設計してください。
基本的な設計方法はオンプレミスと同様です。当サービスの 「設計ガイド(運用・保守設計編) 運用・保守」を参照してください。

セキュリティ運用設計(障害時)

システム全体の運用・保守設計に基づいて、セキュリティの障害時の管理、運用方法を設計してください。
基本的な設計方法はオンプレミスと同様です。当サービスの 「設計ガイド(運用・保守設計編) 運用・保守」を参照してください。
認証・ID管理に関する留意事項
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

項目

留意事項

内容

選択値・条件

利用者管理

ユーザーID区分

当サービス上でシステムを構築する際、当サービスでは以下の①~③等のユーザーID区分があります。
また、利用者側で④~⑦等のユーザーID区分が想定されます。
④~⑦は、それぞれ、ユーザーIDの作成/変更/削除時のルールを検討してください。
①~③は、システム上必須のため削除できません。

  • ニフクラの仕組みで発行するユーザーID
    ①ニフクラ利用者がニフクラを利用するために発行されるニフクラのユーザーID (ニフクラID)
    ②ニフクラ利用者がニフクラで仮想サーバーを配備した際に作成されるOSのユーザーID
    ③ニフクラ利用者がニフクラでニフクラRDBやニフクラNASを配備した際に作成されるマスターユーザーID

  • 利用者が任意に作成するユーザーID
    ④ニフクラ利用者がマルチアカウント機能で任意に作成するニフクラのユーザーID
    ⑤ニフクラ利用者が仮想サーバー上で任意に作成するOSのユーザーID
    ⑥ニフクラ利用者がニフクラRDB上で任意に作成するDBのユーザーID
    ⑦ニフクラ利用者がシステム上でWebサービスを提供する際に作成するWebサービス用のユーザーID

ニフクラIDのパスワード

利用者自身で、ユーザーIDに対するパスワードを設定します。 なお、ユーザーIDは自動付与となります。

パスワード文字列条件等は カスタマーサポート パスワードについてを確認してください。

マルチアカウント
アカウント名の使用可能な文字

クラウド操作方法ガイド(アカウントメニュー:マルチアカウント 作成)のアカウント名とパスワードについての注意事項を確認してください。

マルチアカウント
アカウント名の入力制限

クラウド操作方法ガイド(アカウントメニュー:マルチアカウント 作成)のアカウント名とパスワードについての注意事項を確認してください。

マルチアカウント
アカウント名に使用できない組み合わせ

クラウド操作方法ガイド(アカウントメニュー:マルチアカウント 作成)のアカウント名とパスワードについての注意事項を確認してください。

マルチアカウント
パスワードの使用可能な文字

クラウド操作方法ガイド(アカウントメニュー:マルチアカウント 作成)のアカウント名とパスワードについての注意事項を確認してください。

マルチアカウント
パスワードの入力制限

クラウド操作方法ガイド(アカウントメニュー:マルチアカウント 作成)のアカウント名とパスワードについての注意事項を確認してください。
コントロールパネル/APIの認証に関する留意事項
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

コントロールパネル/APIの認証

ニフクラコントロールパネルへのログイン[63]

63. OTP認証利用時

仮想サーバー作成などで利用するコントロールパネルは、OTP認証、ユーザーID/パスワードでログインします。

APIの認証

APIの認証にはAccesskey (公開キー)とSecretAccessKey (秘密キー)のペアからなる認証キーが必要です。再発行もできます。

  • SecretAccessKeyが外部に漏れると、第三者からAPIを実行される可能性があります。利用者自身で管理してください。

  • 認証キーの「新規作成」を実施すると、すでに登録されている認証キーは使用できなくなります。

認証キーは1アカウントにつき1件のみ登録できます。
仮想サーバーの利用者管理に関する留意事項
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

仮想サーバーの利用者管理

Linux系サーバーへのログイン

以下Linux系サーバーはサーバー作成時に作成または、指定したSSHキーを使ってログインしてください。[64]

  • CentOS

  • Red Hat

  • Ubuntu

    注意事項

    コンソール機能を利用するには、rootパスワードが必要です。
    コンソール接続が必要な際は、事前にSSHでログインしrootパスワードを設定するか、コンソール接続時に シングルユーザーモードにてログインしrootパスワードを設定してください。

64. 作成後のログイン方法は利用者自身で変更可能です。要件によって変更してください。

rootパスワードはデフォルトでは設定されていません。

Windowsサーバーへのログイン

Windows仮想サーバーは、サーバー作成時に指定した管理者アカウント/管理者パスワードを使い、リモートデスクトップ接続、コンソール接続でログインしてください。
管理者アカウント/管理者パスワードに設定可能な文字列は クラウド技術仕様/制限値(コンピューティング:サーバー)を確認してください。
SSHに関する留意事項
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

仮想サーバーの利用者管理

SSHキーの作成

仮想サーバーへのログインで利用するSSHキーは、コントロールパネルまたはAPIで作成します。

設定可能な文字列は クラウド技術仕様/制限値(コンピューティング:SSHキー)を確認してください。

SSHキーの有効範囲

SSHキーは、リージョン単位で作成します。
同一の内容のSSHキーを使用するには、SSH公開鍵をインポートしてください。サーバーの作成とログインで利用できます。

SSHキーの管理

作成したSSHキーは、厳重に保管/管理してください。
SSHキーを紛失すると、再発行できません。そのため、新たにSSHキーを作成して仮想サーバーを再度作成するか、コンソール機能でログインして新たに公開鍵/秘密鍵を設定してください。
SSHキーが漏えいすると、そのキーペアで仮想サーバーへ不正にアクセスされる可能性があります。
パケットへ対するアクセス制御に関する留意事項
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

パケットに対するアクセス制御

ファイアウォール

ニフクラでは、パケットに対するアクセス制御の機能として、ファイアウォールを提供しています。

アクセス制御の徹底依頼

仮想サーバーなどを配備する前に、必ず、ファイアウォールでアクセス制御を設定してください。
適切なアクセス制御を設定せずに仮想サーバーを配備すると、不正なアクセスを受ける可能性があります。
ファイアウォールグループの概要
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

ファイアウォールグループ

ファイアウォールグループの特徴

ファイアウォールグループは、セキュリティのルールをグルーピングできる機能です。ファイアウォールグループを設定して複数の仮想サーバーなどをまとめてアクセス制御できます。
従来のiptablesのようなパケットフィルタリングと比べて、以下の特徴があります。

  • 設定/変更が容易

  • 管理が容易

  • 複雑な構成にも簡易に対応可能

ファイアウォールグループの名称は任意に設定できます。

設定可能なファイアウォールグループ名は クラウド技術仕様/制限値(コンピューティング:ファイアウォール:グループ)を確認してください。

ファイアウォールグループのルール

ファイアウォールの通信制御ルールを定義します。
当サービスのファイアウォールは、基本的にはすべての通信を拒否し、ルールに列挙した通信のみ許可する方式です。

ファイアウォール ルールの設定項目、仕様の詳細は クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)を確認してください。
設定対象のリソースは クラウド技術仕様/制限値(コンピューティング:ファイアウォール:グループ)を確認してください。

ファイアウォールグループを作成した際のデフォルトルール

ファイアウォールグループを作成した際に、デフォルトで適用されるルールがあります。

詳細は クラウド技術仕様/制限値(コンピューティング:ファイアウォール:グループ)を確認してください。

ルールの適用順序

パケットに適用されるルールには順番があります。

詳細は クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)のルールの適用順序についてを確認してください。

ファイアウォールグループの適用範囲

サーバーは1つのファイアウォールにのみ所属できます。ファイアウォールグループ作成時に、ほかのファイアウォールグループに所属しているサーバーを指定できません。

詳細は クラウド技術仕様/制限値(コンピューティング:ファイアウォール:グループ)のファイアウォール適用の範囲を確認してください。
ファイアウォールグループの設定方法
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

ファイアウォールグループ

ファイアウォールグループのルールでロードバランサーの設定方法

  • 以下ロードバランサーサービスはプライベートLANに接続できます。
    その際のIPアドレスは、プライベートLAN環境下において任意に設定できます。

    • マルチロードバランサー

    • L7ロードバランサー(Ivanti Virtual Traffic Manager)

    • 統合ネットワークサービス(IPCOM VE2Vシリーズ)(以降IPCOM VE2Vシリーズと記載)

  • 仮想サーバーに対する上記ロードバランサーからの通信では、設定したIPアドレスでのアクセス制御をファイアウォールのルールで実施してください。

    • ロードバランサー(L4)に付与されたIPアドレスはファイアウォールルールの設定が不要です。
      当サービスのファイアウォールではロードバランサー(L4)からの通信をすべて許可します。

  • ロードバランサーの各サービス自体へのアクセス制御は、以下で設定してください。

    • ロードバランサー(L4):ロードバランサー(L4)用のアクセス制御機能を利用してください。

    • マルチロードバランサー:マルチロードバランサーへのアクセス制御はできないため、仮想サーバー側で実施してください。

    • L7ロードバランサー(Ivanti Virtual Traffic Manager):通常の仮想サーバーと同様、ファイアウォール機能を利用してください。

    • IPCOM VE2Vシリーズ:アクセス制御機能または通常の仮想サーバーと同様、ファイアウォール機能を利用してください。

ファイアウォールグループのルールでRDB/NASの設定方法

  • RDB/NASはプライベートLANに接続できます。

    • その際のIPアドレスは任意に設定できます。

  • RDB/NASからの通信に関しては、設定したIPアドレスでのアクセス制御をファイアウォールのルールで実施してください。

  • RDB/NASへのアクセス制御は、以下で設定してください。

    • RDB:DBファイアウォール [65] [66]

    • NAS:NASファイアウォール [65] [66]

65. IaaS環境のファイアウォールグループとは別で管理してください。
66. IaaS環境のファイアウォールグループを接続元に指定したアクセス許可設定もできます。

ファイアウォールグループの制限

ファイアウォールグループには制限があります。

設定可能数、ログの保存件数等、仕様の詳細は以下の各技術仕様/制限値のページを確認してください。
ファイアウォールグループの挙動
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

ファイアウォールグループ

TCPに対する動作について

クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)のフィルタの動作仕様を確認してください。

ハーフオープン発生時の挙動について

クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)のフィルタの動作仕様を確認してください。

ハーフクローズ発生時の挙動について

クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)のフィルタの動作仕様を確認してください。

非対称な通信に対する挙動について

クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)のフィルタの動作仕様を確認してください。
ファイアウォールグループその他の留意事項
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

ファイアウォールグループ

ファイアウォールグループのルールにおけるIPアドレスの設定方法について

IPアドレスを設定する際は、一般的なCIDR形式で設定します。
x.x.x.x/32 という形式だと、IPアドレス x.x.x.x をもつ特定のサーバーとなります。
x.x.x.x/24 という形式だと、IPアドレス x.x.x.0~x.x.x.255 をもつサブネットとなります。

IPアドレス重複防止ルールについて

共通ネットワークに接続されるサーバーへは、IPアドレスの重複を防止するファイアウォールルールが自動的に適用されます。
デフォルトルール同様、設定の無効化はできません。

コネクションのタイムアウトについて

コネクションは無通信状態が続くとタイムアウトします。
タイムアウト値はファイアウォール上のTCP状態によって、異なります。

TCP状態に応じたタイムアウト値は クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)を確認してください。

ALGとして動作するプロトコルについて

特定のプロトコルと判断されると、ネットワークプロトコルを解釈し制御します。

特定のポート/プロトコルは クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)を確認してください。
認証管理に関する留意事項
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

  • ログ取得に関する留意事項

    ニフクラのサービス/機能

    留意事項

    内容

    選択値・条件

    ログ取得

    ニフクラの機能で取得可能なログ

    当サービスで主に利用される機能で取得可能なログは、以下のとおりです。
    ①コントロールパネル/APIの操作ログ(アクティビティログ)
    ②ファイアウォールのアクセス拒否ログ
    ③ニフクラRDBのイベントログ
    ④拠点間VPNゲートウェイのログ
    ⑤ESS 配信ログ
    上記以外のログに関しては、各機能の詳細を確認してください。

    ニフクラの機能にて取得できないログ

    主に利用される当サービスの機能のうち、ログが取得できない機能があります。各機能の詳細を確認してください。

    以下はログが取得できません。

    • ロードバランサー(L4)のアクセス制御ログ

    • コントロールパネル操作以外の仮想サーバー内のログ

    • オブジェクトストレージのログ

    ログ収集、ログ集約

    必要に応じて、利用者側でログ集約可能なツールを導入してください。

    ログ収集、ログ集約機能は提供していません。
集中管理に関する留意事項
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

インシデント管理

セキュリティのインシデント管理

サードパーティ製のソリューションサービスの Workload Security を検討してください。

当サービスの基本機能では、セキュリティのインシデント管理機能は提供していません。

サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security)

サードパーティ製のソリューションサービスです。当サービスに配備した仮想サーバーへオプションで導入できます。
セキュリティ機能として、以下の機能を提供します。

  • IDS/IPS

  • Web Reputation

  • Firewall

  • 変更監視

  • ウイルス対策

  • ログ監視

本サービスは仮想サーバー上のサービスであり、ネットワーク上での対策が必要なDDoS対策には適用できません。

ニフクラの監視サービス

ニフクラの基本監視サービスで監視できる内容は、主に仮想リソースの使用状況です。

基本監視サービスでは、セキュリティインシデントは監視できません。

構成管理

構成情報の提供

当サービスでは、コントロールパネルやAPIにより、仮想リソースの情報を一覧で取得できます。

構成管理

コントロールパネルやAPIにより仮想リソースの最新の情報を取得して、必要に応じて利用者側でドキュメント化するなど、管理方式を設計してください。

脆弱性管理

脆弱性の情報収集と対応判断

当サービスからは、OSやミドルウェアの脆弱性情報は提供しません。
ただし、当サービスを利用するにあたり影響が大きいと考えられる脆弱性は、別途案内する可能性があります。
原則、必要に応じて利用者側で情報を取得して、脆弱性への対応を検討してください。

脆弱性に対する対応(OS)

脆弱性対策のOSパッチは、必要に応じて利用者側で収集して適用してください。[67]

67. 当サービスが提供するスタンダードイメージは、脆弱性の脅威によって当サービス側でイメージを更新する可能性があります。

OSの脆弱性対策で使用できるOSパッチ用のサービスは、提供していません。

脆弱性に対する対応(その他)

ミドルウェアなどのパッチは、必要に応じて利用者側で情報を取得して適用してください。

ニフクラRDBのパッチ適用

稼働中のRDBへ対しては、基本的にパッチは適用しない方針です。[68]

68. 脆弱性対応などで、既存運用環境のメンテンスはあります。
暗号化に関する留意事項
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

暗号化

コントロールパネル/APIの暗号化

ニフクラコントロールパネル、APIエンドポイントのいずれも、httpsで提供しています。

ロードバランサー

提供する以下ロードバランサーでhttpsを利用できます。

  • ロードバランサー(L4)

  • マルチロードバランサー

  • L7ロードバランサー(Ivanti Virtual Traffic Manager)

  • 統合ネットワークサービス(IPCOM VE2Vシリーズ)

オブジェクトストレージサービス

SSL(https)のみ対応しています。

通信経路の暗号化

当サービスでは、通信経路の暗号化で、IPsecVPN/SSL-VPN が可能な以下サービスを提供しています。詳細は「3.ネットワーク」の章を参照してください。

  • 拠点間VPNゲートウェイ

  • インターネットVPN(H/W)

  • リモートアクセスVPNゲートウェイ

ストレージの暗号化

必要に応じて、利用者側でデータの暗号化を実装してください。

一部の環境については、ストレージ筐体でのデータ暗号化に対応しています。詳細はクラウド技術仕様/制限値(共通:ゾーン別機能対応表)を確認してください。
不正プログラム対策に関する留意事項
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

不正プログラム対策
-サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security)

概要

サードパーティ製のソリューションサービスです。当サービスに配備した仮想サーバーへオプションで導入できます。
セキュリティ機能として、以下の機能を提供します。

  • IDS/IPS

  • Web Reputation

  • Firewall

  • 変更監視

  • ウイルス対策

  • ログ監視

本サービスは仮想サーバー上のサービスであり、ネットワーク上での対策が必要なDDoS対策には適用できません。

IPS/IDS (侵入防御)

以下の攻撃や脆弱性などからコンピューターを保護します。

  • ネットワーク経由の脆弱性に対する攻撃

  • SQLインジェクション攻撃

  • XSS攻撃

  • Webアプリケーションの脆弱性

Firewall

ネットワークレイヤー2~4 までをカバーし通信を制御する、ホスト型ファイアウォールを提供します。

ウイルス対策

以下のファイルベースの脅威からリアルタイムに保護する機能と、手動またはスケジュールで保護する機能を提供します。

  • 不正プログラム

  • ウイルス

  • トロイの木馬

  • スパイウェア 等

Web Reputation

不正なURLへのアクセスをブロックして、Webの脅威から保護します。

変更監視

コンピューター上の特定の領域に関する変更を監視します。

ログ監視

OS及びアプリケーションで生成されたログやイベントの内容を監視します。
ログの内容から、以下のイベントを検知します。

  • システム上のポリシー違反

  • アプリの不具合

  • 不正侵入 等

他アンチウイルス製品との併用

「Workload Security」と他アンチウイルス製品は、同一サーバー上で同時に利用できません。

DDoS対応

DDoSなどネットワーク型の攻撃には対応できません。個別にDDoS対策製品の導入を検討してください。

Workload Security の通信

Cloud Oneの管理サーバーと、当サービス上の保護対象サーバーとの通信は、Trend Micro Cloud One Documentation Workload Security - Workload Securityとエージェント間の通信を参照してください。

必要な通信、ポート番号は クラウド技術仕様/制限値(サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security)全般)を確認してください。

Proxy環境での利用

Workload SecurityをProxy環境で使用する際は、Trend Micro Cloud One Documentation Workload Security - プロキシの設定を参照してください。

不正プログラム対策 - ウイルス・スパイウエア対策(ESET Server Security)

概要

サードパーティ製のソリューションサービスです。当サービスに配備した仮想サーバーへオプションで導入できます。
セキュリティ機能として、以下の機能を提供します。

  • ウイルス・スパイウェア対策

  • サーバー保護機能

  • HIPS(ホスト型IPS)

  • Webアクセス保護など

本サービスは仮想サーバー上のサービスであり、ネットワーク上での対策が必要なDDoS対策には適用できません。

ウイルス・スパイウェア対策

軽快なスキャン動作と高い検出率を実現したESET社開発のThreatSenseテクノロジーにより、メールやインターネットをはじめとした、あらゆる経路から侵入するウイルス・スパイウェアなどのマルウェアからサーバーを保護します。

サーバー保護機能

インストールされたOSやアプリケーションの環境を自動的に認識し、その環境に最適なウイルス検査の除外設定を追加します。[69]

69. Windowsサーバー用プログラム

Webアクセス保護

悪意のあるコンテンツを含むWebページへのアクセスをブロックします。
その他のすべてのWebページは読み込み時、ThreatSenseスキャンによって検査され、悪意のあるコンテンツの検出時にブロックされます。

HIPS(ホスト型IPS)

OS内部で発生している事象や各アプリケーションのアクション等を監視する機能です。
脆弱性をついたゼロデイ攻撃やターゲット型の攻撃に対しても、保護する機能を提供します。

不正プログラム対策 -IDS

概要

ネットワーク上を流れるパケットを常時監視し、不正アクセスを検知して通報するサービスをオプションで導入できます。
当サービス上で構築されたサーバーへの様々な不正アクセスや、サーバーに仕掛けられたトロイの木馬、バックドア等の悪意あるプログラムの発する情報を常時監視し、ファイアウォールで防御できない攻撃も検知できます。

連絡方法

「メールのみ」と「メールと電話」から選択できます。

検知基準

デフォルトポリシー(Windows用ポリシー、Linux用ポリシー)、カスタムポリシーから選択できます。
方式詳細と参考ドキュメント

詳細な方式例としてCDP (クラウドデザインパターン)や、システム構成の参考事例、参考ドキュメントを記載します。

設計項目

ドキュメント掲載先

ドキュメント名または本ドキュメント内のタイトル名

内容

アクセスコントロール関連

CDP

インターネット接続パターン

インターネットから参照できるように仮想サーバーを配備するパターンです。
仮想サーバーをインターネットからアクセスできるようにするための、もっとも基本的なファイアウォールグループの設定を記載します。

CDP

ファイアウォールグループ活用パターン

フラットな構成のネットワークで、ファイアウォールグループでセキュリティを高める例を記載します。

暗号化関連

CDP

サーバー冗長化パターン

Webサービスで、性能、信頼性を考慮した構成を実現するパターンです。

本ドキュメント

拠点間VPNゲートウェイ接続事例

IPsecVPN/SSL-VPN接続の接続事例を記載します。以下の接続事例を記載しています。

  • 拠点間VPNゲートウェイ

  • インターネットVPN(H/W)

  • リモートアクセスVPNゲートウェイ

CDP

ハイブリットクラウド:VPN接続パターン

IPsecVPN接続を記載したパターンです。

Trend Micro社[70]

70. 社外サイトのため、リンク先が変更されている可能性があります。

Business Success Cloud One - Endpoint and Workload Security

製品仕様やFAQがまとめて掲載されています。

Trend Micro Cloud One Documentation

Workload Securityのオンラインヘルプセンター_Workload Secuヘルプセンター_
ポート番号、URL、及びIPアドレス
ファイアウォールルールを作成する
Deep SecurityとMicrosoft Defender Antivirus for Windowsの設定
iptablesでエージェントを使用する

5.システム構成・環境

システム構成・環境に関する作業概要

カテゴリ項目ごとの作業概要

カテゴリ項目

作業

ニフクラでの作業概要

備考

システム構成・環境

システム構成設計

システム構成を設計する際に、各種設定の制限値を確認してください。
仮想リソースが不足する場合、制限値の上限を開放できるサービスもあります。

オンプレミスと同様に設計してください。
記載は省略します。

システム処理関連図設計

オンプレミスと同様に設計してください。 [71]

71. 物理サーバーが仮想サーバーに置き換わるだけで、設計手法は変わりません。

システム構成・環境規約の検討

仮想環境のシステム構成を設計する際に、仮想リソースに付ける名称の規約を設計してください。

ハードウェア構成設計

オンプレミスと同様に、当サービスの仮想環境構成を設計してください。

ハードウェア構成一覧の作成

オンプレミスと同様に一覧を作成してください。 [72]

72. 物理サーバーが仮想サーバーに置き換わるだけで、作成手法は変わりません。

ソフトウェア構成設計

仮想サーバー上に導入するソフトウェアは、利用者の責任範囲です。利用者側で、当サービス上で動作可能か、ライセンス数はいくつ必要か等、確認してください。[73]

73. 本ドキュメント内の「ソフトウェア構成設計(OS)」 、「ソフトウェア構成設計(ミドルウェア)」を参照してください。

ソフトウェア構成一覧の作成

オンプレミスと同様に一覧を作成してください。

ハードウェア・ソフトウェア導入計画の具体化

オンプレミスと同様に、仮想リソースやソフトウェアの導入計画を検討し、スケジュールや役割分担、体制について具体化してください。

ハードウェア・ソフトウェアの手配・管理

オンプレミスと同様に、仮想リソースやソフトウェアを手配し、管理してください。
ソフトウェア構成設計(OS)
作業概要

仮想サーバー上に導入するソフトウェアは、利用者の責任範囲です。利用者側で、当サービス上で動作可能か、ライセンス数はいくつ必要か等、確認してください。

留意事項区分

留意事項

内容

選択値・条件

Microsoft

Windows Server [74]

74. SPLAライセンスで提供

Windows7やWindows10等のクライアントOSは、SPLAライセンス上当サービスに持込できません。
Windows Server2003のOSなどレガシーOSもVMインポートにより持込可能[75]ですが、セキュリティ上推奨しません。[76]

75. ライセンスは当サービスからのSPLA提供
76. VMインポート時、OS以外のライセンスは別途購入元へ持込可否の確認、持込申請方法の確認/実施をして利用してください。

VMインポート時OS以外のミドルウェア等のSPLA提供は非対応です。

Red Hat Enterprise Linux

サブスクリプション提供

当サービスが提供する Red Hat Enterprise Linuxは、サブスクリプション契約を包括して提供しています。
利用者によるサブスクリプションの購入は不要です。 [77]

77. サブスクリプションのみの別途購入はできません。

Red Hat Cloud Access

当サービスはRed Hat認定クラウドプロバイダーです。Red Hat Cloud Accessにより”Bring Your Own Subscription”ができ、利用者保有のOSイメージを持ち込めます。[78] [79]

78. サポートは Red Hat社から提供されます。
79. VMインポートにて持ち込んだサーバーはRed Hat CloudAccessを利用してください。

VMインポートにて持ち込んだサーバーは、当サービスのサブスクリプションを利用できません。

その他OSライセンス

利用者にて確認

当サービスが提供していないOS、インポート検証済みOS以外のOSでも、VMインポートの条件を満たせばVMインポートができます。 [80] [81] [82]

80. ライセンスの持込可否は提供元へ確認してください。
81. 検証済みOS以外のVMインポートは、サーバー及びコントロールパネルの動作保証がありません。事前に入念な検証を実施してください。
82. インポート検証済みOS以外のOSを利用する際は、利用者責任の元、実施してください。

その他MWライセンス

利用者にて確認

その他のMWの持込なども、当サービスでは制限していません。
持込可否、動作要件の購入元への確認、事前検証等を実施し、必要に応じて利用してください。
ソフトウェア構成設計(ミドルウェア)
作業概要

仮想サーバー上に導入するソフトウェアは、利用者の責任範囲です。利用者側で、当サービス上で動作可能か、ライセンス数はいくつ必要か等、確認してください。

留意事項区分

留意事項

内容

Oracle

ニフクラOVMを利用

Oracle Databaseは、OVMで利用できます。
OVMの詳細は クラウド技術仕様/制限値(OVM) を参照してください。

IBM (MQ、ノーツ等)

基本的に利用不可

IBM社の定めるパブリッククラウド(EPC)に関して、IBM製品を導入できる可能性があります。
詳細はIBM社に確認してください。

Microsoft

License Mobility

ソフトウェアアシュアランスによるLicense Mobilityに対応しているソフトウェアは、適切な持ち込み対応により、当サービスに持ち込みできます。

Office製品の持ち込み

当サービスのパブリックIaaS環境には、ボリュームライセンスなどでのOffice製品は持ち込みできません。
SPLAライセンスで提供しているOffice製品を利用してください。

Hyper-Vの利用不可

当サービス環境では再仮想化を禁止事項としているため、利用できません。
参考ドキュメント

参考ドキュメントを記載します。

区分

ドキュメント掲載先

本ドキュメント内のページタイトル

内容

ソフトウェア構成関連

Microsoft社のミドルウェアのLicense Mobility

Microsoft社

Microsoft社のミドルウェアのうち、ソフトウェアアシュアランスによるLicense Mobilityに対応するミドルウェアは、当サービス上にライセンスを持込みできます。 [83]

フィードバック

サービス利用中のトラブルは、ニフクラサポート窓口にお願いします。

お役に立ちましたか?
  • ※本ページ記載の金額は、すべて税抜表示です。
  • ※本ページ記載の他社製品名および会社名などは、各社の商標または登録商標です。
  • ※本ページの内容は、2025年10月23日時点の情報です。

推奨画面サイズ 1024×768 以上

ページの先頭へ