ニフクラユーザーガイド（ニフクラ設計ガイド(導入設計編)）

本文へジャンプします。

【重要なお知らせ】サービス統合に基づくサービス名称の読み替えのお願い（2024年4月1日）

2024年4月1日をもって、「ニフクラ」は、「FJcloud-V」に統合し、名称を変更しました。
「ニフクラ」「NIFCLOUD」「nifcloud」は、「FJcloud-V」に読み替えていただきますようお願いいたします。

ニフクラユーザーガイド

クラウドトップ>ユーザーガイド>ニフクラ設計ガイド(導入設計編)

はじめに
１．性能・拡張性
２．信頼性
３．ネットワーク
４．セキュリティ
５．システム構成・環境

はじめに

本ドキュメントの目的
- 本ドキュメントは、ニフクラでの商談対応やシステム設計を担当される方々が、ニフクラ上でのシステム設計に必要な知識を習得し、商談対応やシステム設計を円滑に行えるようになることを目的とします。
本ドキュメントの対象読者
- ニフクラを利用して商談対応、要件定義、システム設計をされる方
- オンプレミスまたはクラウド(IaaS)の商談対応、要件定義、システム設計の経験者
前提知識
- システム設計/システム運用に関する基本的な知識
  - OSに関する基本的な知識
  - インターネット、イントラネットに関する基本的な知識
  - セキュリティに関する基本的な知識
  - バックアップ、監視、冗長化などシステム設計/システム運用に関する基本的な知識
    ※システム設計経験を有することが望ましい
仮想化技術に関する以下の基本的な知識
- ハイパーバイザー、仮想サーバー、仮想ストレージ、仮想ネットワークに関する基本的な知識
- VMwareに関する基本的な知識
ニフクラサービスの変更は最新のドキュメントを参照してください。

本ドキュメントで提供する内容

本ドキュメントで提供する内容
- 本ドキュメントではニフクラを通じて、商談対応や要件定義、システム設計をされる皆様に提供してきた利用者がニフクラで設計をする際のナレッジ(実商談で培われたナレッジ)を、システムを設計するためのポイントをカテゴリに分類して提供します。
  ※利用者がニフクラ上でシステム設計/構築する際のナレッジを記載しています。サービスを提供するニフクラ側が作業する内容は含みません。
- 本ドキュメントで記載しているサービスに関して、利用できるゾーン/リージョンが限定されている場合があります。各サービスでの提供ゾーン/リージョンは最新のニフクラ仕様ページを確認してください。

本ドキュメントの構成

本ドキュメントは、以下の章立てで記載します。
設計のポイント

各章で検討や留意すべき特徴的な内容をポイントとして記載します。

設計ポイントの適用事例

設計のポイントで記載した内容を適用した事例を記載します。
各章の記載内容をかいつまんで把握したい場合は、適用事例まで参照してください。

カテゴリと留意事項

各カテゴリの作業レベルで、検討事項、留意事項を記載します。なお、オンプレミスと同様に検討できる項目については記載を省略しています。

方式設計と参考ドキュメント
各カテゴリの作業レベルで参考となる詳細ドキュメントの概要や参照先を記載します。
オンプレミスと同様に検討できる項目について

オンプレミスと同様となる設計については、本ドキュメントでは割愛します。既存のオンプレミスの設計を参考にしてください。

例：仮想マシンの中でのデータのバックアップ設計

アプリケーション設計の範囲で、既存の設計と変わりません

例：サーバーのバックアップ設計

物理サーバーのフルバックアップが仮想マシンのフルバックアップに変わるため、使うツールなどの方式設計は変わります。

バックアップの取得サイクルなどの設計は変わりません。

例：仮想マシンの冗長構成

OS及びアプリケーションレイヤより上の冗長化は物理サーバーやオンプレミスの仮想マシンと変わりません。

仮想マシン自体の冗長構成、例えばHigh Availability(HA)は構成する際に考慮点が必要です。

本ドキュメント活用のメリット

知識の習得
- 利用者がニフクラでシステムを構成する際に必要な知識を習得できます。
ニフクラの提供するサービス/機能を早い段階で適用判断が可能
- 本ドキュメントで提供するナレッジを活用すると以下の効果が期待できます
  - システムに対する要求事項のうち、システム構成の課題を解決するための構成サンプルを提示可能
  - ニフクラが提供するサービスや機能を利用するか、あるいは利用者側でミドルウェアなどを手配して導入するかの判断を、商談や要件定義などの早い段階で実施可能
システム構成の手戻りを抑制可能
- ニフクラのシステム構成に関するナレッジを習得することで、システム設計の後工程になって問題が発生するような事態を抑制できます。

１．性能・拡張性

設計のポイント

ニフクラにて性能・拡張性観点で設計をするポイントについて、以下のリソース区分ごとに記載していきます。

リソース区分	リソースの概要
仮想リソース全般	ニフクラが提供するプライベートLANやルーター、ロードバランサー（L4）サービスやニフクラRDB、仮想サーバー全般について記載します。

リソース区分

リソースの概要

仮想リソース全般

ニフクラが提供するプライベートLANやルーター、ロードバランサー（L4）サービスやニフクラRDB、仮想サーバー全般について記載します。

仮想リソース設計

ニフクラにて性能・拡張性観点で設計をする際は、以下の項目を検討してください。

仮想リソース全般

検討項目	検討内容	選択値・条件
サーバータイプ選定	ニフクラでは、vCPUとメモリをセットにした仮想サーバータイプを提供しています。リージョン/ゾーンにより選定可能なサーバータイプが異なります。 CPU性能値を計測したベンチマークを公開しているので参照して検討してください。	利用可能なサーバータイプはクラウド技術仕様/制限値（コンピューティング:サーバー）をご確認ください。
スケールアップ/スケールダウン	vCPU、メモリが不足している場合に、サーバータイプを上位のタイプに変更可能です。 vCPU、メモリが十分に余裕がある場合には、サーバータイプを下位のタイプに変更可能です。 ^[1] 1. 仮想サーバータイプの選択はできますが、CPUクロック数の選択はできません。
スケールアウト/スケールイン	同時に処理できる処理数を増やしたい場合には、仮想サーバーの台数を増やすスケールアウトを検討してください。仮想サーバー単体の性能向上策のスケールアップと組み合わせて、システム全体の性能を考慮してください。スケールアウトを検討する際には、スケールインによる台数削減の条件も合わせて検討してください。適切なスケールアウト/スケールインで、効率的にニフクラのシステムリソースを活用してください。
負荷分散	Webサーバー、APサーバーの同時処理性能を向上させるには、ロードバランサーを利用した負荷分散を検討してください。性能に関しては各ロードバランサーで必要帯域/スペックを契約してください。	ロードバランサー（L4）、マルチロードバランサー、L7ロードバランサー（Ivanti Virtual Traffic Manager）、統合ネットワークサービス（IPCOM VE2Vシリーズ）を提供
オートスケール	CPU、メモリ、ネットワークの使用率など閾値を設定して自動的にスケールアウト/スケールインすることで要件を満たせる場合は、オートスケールを検討してください。
DB リードレプリカ	データベースへのアクセスが多い場合には、参照専用のデータベース(リードレプリカ)の利用を検討してください。
増設ディスク増設	仮想サーバーに対してディスクを増設可能です。	増設可能なディスクの種類、数、容量はクラウド技術仕様/制限値(コンピューティング:増設ディスク)をご確認ください。ローカルディスク、増設ディスクの性能を計測したベンチマークを公開しているので参照して検討してください。
増設ディスクの容量拡張	一度作成した増設ディスクは、一部対象のOSで容量拡張可能です。対象イメージ以外で容量を拡張したい場合は、以下の方法等にて利用者自身で対応する必要があります。新たに要件を満たす容量の増設ディスクを作成し、手動でデータを移行する OS上で論理ボリュームを構成する	詳細な仕様はクラウド技術仕様/制限値(コンピューティング:増設ディスク)をご確認ください。
ネットワーク	仮想サーバーではサーバータイプでネットワーク性能が異なります。その他プライベート接続サービス ^[2] の性能については各サービスの仕様を確認してください。仮想サーバーのネットワーク性能を計測したベンチマークを公開しているので参照して検討してください。 2. 本ドキュメントでは、「ダイレクトポート」、「物理ポート」、「プライベートアクセス」の総称を「プライベート接続サービス」と表記します。「プライベート接続サービス」は、ニフクラ上での正式な呼称ではないため注意してください。
複数ゾーン構成	ネットワーク構成に合わせて、信頼性の観点も含めてプライベートブリッジ、ロードバランサー（L4）等を利用して複数のゾーンの利用を検討してください。	プライベートブリッジの提供リージョンはクラウド技術仕様/制限値（プライベートブリッジ）「提供リージョン」項目をご確認ください。
アプリ多重度	アプリを多重に起動できるよう設計してください。 IaaSでは、CPUクロック数をオンプレミスのように自由に選択できません。そのため、シングルスレッドで動くアプリ(バッチ処理アプリなど)はIaaSでは性能を出せないケースがあります。そこでアプリを複数のサーバーや複数のプロセス/スレッドで稼働できるよう設計してください。
各種制限値	ニフクラではプライベートLAN数、仮想サーバー数、増設ディスク容量・本数等、配備できるリソースに対してそれぞれ制限値があります。システム要件と制限値を勘案し、設計してください。	各種制限値は以下のリンクからご確認ください。クラウド技術仕様/制限値（ネットワーク：プライベートLAN）クラウド技術仕様/制限値（コンピューティング:サーバー）クラウド技術仕様/制限値(コンピューティング:増設ディスク)

検討項目

検討内容

選択値・条件

サーバータイプ選定

ニフクラでは、vCPUとメモリをセットにした仮想サーバータイプを提供しています。
リージョン/ゾーンにより選定可能なサーバータイプが異なります。
CPU性能値を計測したベンチマークを公開しているので参照して検討してください。

利用可能なサーバータイプはクラウド技術仕様/制限値（コンピューティング:サーバー）をご確認ください。

スケールアップ/スケールダウン

vCPU、メモリが不足している場合に、サーバータイプを上位のタイプに変更可能です。
vCPU、メモリが十分に余裕がある場合には、サーバータイプを下位のタイプに変更可能です。 ^[1]

1. 仮想サーバータイプの選択はできますが、CPUクロック数の選択はできません。

スケールアウト/スケールイン

同時に処理できる処理数を増やしたい場合には、仮想サーバーの台数を増やすスケールアウトを検討してください。仮想サーバー単体の性能向上策のスケールアップと組み合わせて、システム全体の性能を考慮してください。
スケールアウトを検討する際には、スケールインによる台数削減の条件も合わせて検討してください。適切なスケールアウト/スケールインで、効率的にニフクラのシステムリソースを活用してください。

負荷分散

Webサーバー、APサーバーの同時処理性能を向上させるには、ロードバランサーを利用した負荷分散を検討してください。
性能に関しては各ロードバランサーで必要帯域/スペックを契約してください。

ロードバランサー（L4）、マルチロードバランサー、L7ロードバランサー（Ivanti Virtual Traffic Manager）、統合ネットワークサービス（IPCOM VE2Vシリーズ）を提供

オートスケール

CPU、メモリ、ネットワークの使用率など閾値を設定して自動的にスケールアウト/スケールインすることで要件を満たせる場合は、オートスケールを検討してください。

DB リードレプリカ

データベースへのアクセスが多い場合には、参照専用のデータベース(リードレプリカ)の利用を検討してください。

増設ディスク増設

仮想サーバーに対してディスクを増設可能です。

増設可能なディスクの種類、数、容量はクラウド技術仕様/制限値(コンピューティング:増設ディスク)をご確認ください。
ローカルディスク、増設ディスクの性能を計測したベンチマークを公開しているので参照して検討してください。

増設ディスクの容量拡張

一度作成した増設ディスクは、一部対象のOSで容量拡張可能です。対象イメージ以外で容量を拡張したい場合は、以下の方法等にて利用者自身で対応する必要があります。

新たに要件を満たす容量の増設ディスクを作成し、手動でデータを移行する
OS上で論理ボリュームを構成する

詳細な仕様はクラウド技術仕様/制限値(コンピューティング:増設ディスク)をご確認ください。

ネットワーク

仮想サーバーではサーバータイプでネットワーク性能が異なります。
その他プライベート接続サービス ^[2] の性能については各サービスの仕様を確認してください。
仮想サーバーのネットワーク性能を計測したベンチマークを公開しているので参照して検討してください。

2. 本ドキュメントでは、「ダイレクトポート」、「物理ポート」、「プライベートアクセス」の総称を「プライベート接続サービス」と表記します。「プライベート接続サービス」は、ニフクラ上での正式な呼称ではないため注意してください。

複数ゾーン構成

ネットワーク構成に合わせて、信頼性の観点も含めてプライベートブリッジ、ロードバランサー（L4）等を利用して複数のゾーンの利用を検討してください。

プライベートブリッジの提供リージョンはクラウド技術仕様/制限値（プライベートブリッジ）「提供リージョン」項目をご確認ください。

アプリ多重度

アプリを多重に起動できるよう設計してください。
IaaSでは、CPUクロック数をオンプレミスのように自由に選択できません。そのため、シングルスレッドで動くアプリ(バッチ処理アプリなど)はIaaSでは性能を出せないケースがあります。そこでアプリを複数のサーバーや複数のプロセス/スレッドで稼働できるよう設計してください。

各種制限値

ニフクラではプライベートLAN数、仮想サーバー数、増設ディスク容量・本数等、配備できるリソースに対してそれぞれ制限値があります。システム要件と制限値を勘案し、設計してください。

各種制限値は以下のリンクからご確認ください。
クラウド技術仕様/制限値（ネットワーク：プライベートLAN）
クラウド技術仕様/制限値（コンピューティング:サーバー）
クラウド技術仕様/制限値(コンピューティング:増設ディスク)

適用指針

設計のポイントで例示した検討項目について、検討対象への適用の指針を記載します。

主な検討内容＼検討項目	サーバー単体に対して適用を検討する項目	システム全体に対して適用を検討する項目（同時接続処理数の向上に関連)
スケールアップ/ダウン	ディスク増設/拡張	帯域	負荷分散	スケールアウト/イン	オートスケール	複数ゾーン	DBリードレプリカ	アプリ多重度
ロードバランサー（L4）	－	－	○	○	－	○	○	－	－
Webサーバー + APサーバー	○	○ ※1	－	○	○	○	○	－	○
ニフクラRDB	○	○ ※2	－	－	－	－	－	○	○
データベースサーバー (独自)	○	○ ※1	－	－	－	－	○	○	○
バッチサーバー	○	○ ※1	－	－	○	－	○	－	○
ニフクラNAS	－	○ ※2	－	－	－	－	－	－	○

主な検討内容＼検討項目

サーバー単体に対して適用を検討する項目

システム全体に対して適用を検討する項目（同時接続処理数の向上に関連)

スケールアップ/ダウン

ディスク増設/拡張

帯域

負荷分散

スケールアウト/イン

オートスケール

複数ゾーン

DBリードレプリカ

アプリ多重度

ロードバランサー（L4）

－

○

－

○

－

Webサーバー + APサーバー

○

○ ※1

－

○

－

○

ニフクラRDB

○

○ ※2

－

○

データベースサーバー (独自)

○

○ ※1

－

○

バッチサーバー

○

○ ※1

－

○

－

○

－

○

ニフクラNAS

－

○ ※2

－

○

※1 ローカルディスクの容量拡張はできません。
※2 容量拡張が可能となります。別ディスク増設はできません。

典型的なニフクラの構成例

ロードバランサー（L4）でWeb/APサーバーを負荷分散
ロードバランサー（L4）からの分散対象サーバーのみインターネットからアクセス可能とする
データベースはニフクラRDBを利用して、冗長化、参照用のリードレプリカを配備
バッチサーバー2台、NASを配備(NASはニフクラで提供しているニフクラNASを配備)
冗長化を実装するサーバーは、構成例のとおり追加NICを利用して同期用のネットワークも別途構築可能

単一ゾーン構成例

構成図補足

【ロードバランサー（L4）】: ニフクラでは、可用性向上と性能向上のための負荷分散機能として、ロードバランサー（L4）を提供しています。
ロードバランサー（L4）を1つ設定することで、この事例のように仮想サーバーに負荷分散してアクセス可能です。プランは利用する帯域で選定します。
ニフクラではこの事例のロードバランサー（L4）以外に、マルチロードバランサー、L7ロードバランサー（Ivanti Virtual Traffic Manager）、統合ネットワークサービス（IPCOM VE2Vシリーズ）を提供しています。
【Web/APサーバー】: ロードバランサー（L4）からアクセスされる形態です。仮想サーバー単体の観点では、以下の対応でスケールアップが可能です。
①サーバータイプの変更でスケールアップして性能向上
②増設ディスクの容量拡張または追加によりデータ容量拡張
【ニフクラNAS】: ニフクラNASは、ニフクラが提供する NASサービスです。
【DBサーバー】: ニフクラRDBではオンプレミスで実施するような複雑なデータベースの構成設計をすることなく、APIのパラメーターだけでデータベースを冗長化するようなことも可能なサービスとなっています。
この事例では、参照スピードを向上させるため、データベースのリードレプリカを配備する構成としています。

複数のゾーンを利用したニフクラのシステム構成例

複数ゾーン構成、ロードバランサー（L4）でWeb/APサーバーを負荷分散
ロードバランサー（L4）からの分散対象サーバーのみインターネットからアクセス可能とする
データベースはDB用のサーバーを作成する
バッチサーバー、NASを配備（NASはニフクラで提供しているニフクラNASを配備）

※ゾーン間のデータ同期の仕組み、冗長構成などは別途検討してください。本構成例のとおり追加NICを利用して同期用のネットワークも作成できます。
※ルーターは各ゾーンで独立しています。ルーティングなどのネットワーク設計を検討する必要があります。

複数ゾーン構成例

構成図補足

【ロードバランサー（L4）】: ロードバランサー（L4）では、この事例のとおり複数のゾーンに配備された仮想サーバーへ負荷分散が可能です。
ニフクラではこの事例のロードバランサー（L4）以外に、マルチロードバランサー、L7ロードバランサー（Ivanti Virtual Traffic Manager）、統合ネットワークサービス（IPCOM VE2Vシリーズ）を提供しています。
※マルチロードバランサーは複数のゾーンに配備された仮想サーバーへは負荷分散できません。
【ニフクラNAS】: ニフクラNASは、ニフクラが提供するNASサービスです。ニフクラNASの機能では複数ゾーンでの冗長構成はサービスとしては実現できません。
【DBサーバー】: ニフクラRDBは複数ゾーンへまたがった構成はできません。
この事例では複数ゾーン構成となっているためニフクラRDBではなく仮想サーバー上にDBを搭載する構成となっています。

作業と留意事項

カテゴリ項目	作業	ニフクラでの作業概要
性能・拡張性	システム構成要素の選択	オンプレミスでは、サイジング実施の対象となるシステム構成要素を、性能のボトルネックとなりうるシステム資源の性能特性を考慮して選択します。ニフクラでは、サーバータイプ(vCPUとメモリの組み合わせ)、増設ディスク、ネットワークを必ずシステム構成要素としてください。
性能見積対象の決定	オンプレミスと同様に、システム資源の負荷を見積もるために必要な業務をアプリ担当チームと連携して抽出して、適切でかつ代表的なオンライン処理やバッチ処理を性能見積対象として選択してください。この際、オンライン処理とバッチ処理のシステム資源の競合についても考慮してください。
性能見積	性能見積対象から必要となるサーバー性能(vCPU/メモリ)やストレージ性能、ネットワーク性能を算出し、仮想サーバーその他のリソースを選定してください。
容量見積	ストレージの容量見積をしてください。ニフクラでは、使用できる増設ディスク容量に制限があります。そのため、ストレージ容量を見積もり、容量制限にかかる場合は実現方法を別途ご検討ください。(メモリ容量については、性能見積作業でのサーバータイプの選定により確定します)
通信容量見積	通信容量見積をし、通信の方式を決定してください。ニフクラでは帯域保証はありません。そのため、プロトタイプ検証によりスループットとレスポンスを確認のうえ、通信方式を決定してください。
性能検証のプロトタイピング	性能検証は要件定義工程でのプロトタイプ検証実施を推奨しています。実施していない場合は必ず実施してください。特にオンプレミスからのシステム移行において、移行前のH/W構成に基づいたサーバータイプ選定に留めず、ニフクラ上で検証をすることによって性能見積の妥当性を確認してください。
性能・容量の方式設計	性能・容量見積に基づいて、性能・容量の方式設計を実施してください。オンプレミスシステムと異なり、稼働後のリソース拡張/縮小を意識した設計をしてください。
拡張性の方式設計	性能・拡張性要件に基づいてシステム拡張性を確保するための方式を設計してください。 vCPU/メモリ/ストレージを拡張する方式として、スケールアップやスケールアウト等を検討してください。
運用設計(性能・拡張性)	システム全体の運用・保守設計に基づいて、システムが安定した性能を維持するための、管理・運用方法を設計してください。

カテゴリ項目

作業

ニフクラでの作業概要

性能・拡張性

システム構成要素の選択

オンプレミスでは、サイジング実施の対象となるシステム構成要素を、性能のボトルネックとなりうるシステム資源の性能特性を考慮して選択します。
ニフクラでは、サーバータイプ(vCPUとメモリの組み合わせ)、増設ディスク、ネットワークを必ずシステム構成要素としてください。

性能見積対象の決定

オンプレミスと同様に、システム資源の負荷を見積もるために必要な業務をアプリ担当チームと連携して抽出して、適切でかつ代表的なオンライン処理やバッチ処理を性能見積対象として選択してください。この際、オンライン処理とバッチ処理のシステム資源の競合についても考慮してください。

性能見積

性能見積対象から必要となるサーバー性能(vCPU/メモリ)やストレージ性能、ネットワーク性能を算出し、仮想サーバーその他のリソースを選定してください。

容量見積

ストレージの容量見積をしてください。
ニフクラでは、使用できる増設ディスク容量に制限があります。そのため、ストレージ容量を見積もり、容量制限にかかる場合は実現方法を別途ご検討ください。(メモリ容量については、性能見積作業でのサーバータイプの選定により確定します)

通信容量見積

通信容量見積をし、通信の方式を決定してください。
ニフクラでは帯域保証はありません。そのため、プロトタイプ検証によりスループットとレスポンスを確認のうえ、通信方式を決定してください。

性能検証のプロトタイピング

性能検証は要件定義工程でのプロトタイプ検証実施を推奨しています。実施していない場合は必ず実施してください。特にオンプレミスからのシステム移行において、移行前のH/W構成に基づいたサーバータイプ選定に留めず、ニフクラ上で検証をすることによって性能見積の妥当性を確認してください。

性能・容量の方式設計

性能・容量見積に基づいて、性能・容量の方式設計を実施してください。
オンプレミスシステムと異なり、稼働後のリソース拡張/縮小を意識した設計をしてください。

拡張性の方式設計

性能・拡張性要件に基づいてシステム拡張性を確保するための方式を設計してください。
vCPU/メモリ/ストレージを拡張する方式として、スケールアップやスケールアウト等を検討してください。

運用設計(性能・拡張性)

システム全体の運用・保守設計に基づいて、システムが安定した性能を維持するための、管理・運用方法を設計してください。

システム構成要素の選択

作業概要

オンプレミスでは、サイジング実施の対象となるシステム構成要素を、性能のボトルネックとなりうるシステム資源の性能特性を考慮して選択します。
ニフクラでは、サーバータイプ(vCPUとメモリの組み合わせ)、ストレージ、ネットワークを必ずシステム構成要素としてください。

留意事項

留意事項	内容
リソース選択	ニフクラのリソース選択方法、単位を把握してください。
ベストエフォート提供	ニフクラでは、ネットワークやストレージのリソースについては、ベストエフォート方式での提供です。

内容

リソース選択

ニフクラのリソース選択方法、単位を把握してください。

ベストエフォート提供

ニフクラでは、ネットワークやストレージのリソースについては、ベストエフォート方式での提供です。

ニフクラで提供される主なシステムリソース

システムリソース	ニフクラにおける選定項目	各リソースの見積をするタスク
vCPU数	個別の選択不可サーバータイプより選択	性能見積
メモリ容量
増設ディスク容量、増設ディスク本数	容量指定可能 ^[3] 増設ディスクは複数種類から選択可能 ^[4] 1サーバーに複数のディスク増設も可能 ^[5] 3. 利用可能なディスク容量はクラウド技術仕様/制限値(コンピューティング:増設ディスク)をご確認ください。 4. ゾーンによって選択できる増設ディスクは異なります。ニフクラゾーン別機能対応表・サーバー・ディスク機能「増設ディスク」項目の最新情報を確認してください。 5. 利用可能なディスク本数はクラウド技術仕様/制限値(コンピューティング:増設ディスク)をご確認ください。	容量見積
ネットワーク帯域	グローバルネットワーク(ベストエフォート) プライベートネットワーク(ベストエフォート)	通信容量見積

システムリソース

ニフクラにおける選定項目

各リソースの見積をするタスク

vCPU数

個別の選択不可
サーバータイプより選択

性能見積

メモリ容量

増設ディスク容量、増設ディスク本数

容量指定可能 ^[3]
増設ディスクは複数種類から選択可能 ^[4]
1サーバーに複数のディスク増設も可能 ^[5]

3. 利用可能なディスク容量はクラウド技術仕様/制限値(コンピューティング:増設ディスク)をご確認ください。

4. ゾーンによって選択できる増設ディスクは異なります。ニフクラゾーン別機能対応表・サーバー・ディスク機能「増設ディスク」項目の最新情報を確認してください。

5. 利用可能なディスク本数はクラウド技術仕様/制限値(コンピューティング:増設ディスク)をご確認ください。

容量見積

ネットワーク帯域

グローバルネットワーク(ベストエフォート)
プライベートネットワーク(ベストエフォート)

通信容量見積

性能見積

作業概要

性能見積対象から必要となるサーバー性能(vCPU/メモリ)やストレージ性能、ネットワーク性能を算出し、仮想サーバーその他のリソースについて選定してください。

留意事項

留意事項	内容	選択値・条件
仮想サーバータイプの選定	ニフクラでは、vCPUとメモリをセットにしたサーバータイプから選定してください。	利用可能なサーバータイプはクラウド技術仕様/制限値（コンピューティング:サーバー）をご確認ください。
CPUクロック数	CPUクロック数は公開しておりません。別途性能を測定したベンチマーク値などを確認してください。また、要件に沿って利用者自身で検証を実施し性能を確認してください。
係数での見積はNG	オンプレミスと異なり、システム係数などによる厳密な性能見積もりはできません。要件定義工程で性能検証をしていない場合は、CPU性能、ストレージ性能、ネットワーク性能等、プロトタイプで検証をしてください。 CPU性能サーバータイプを選定して性能検証してください。ストレージ性能 IOPSは保証できません。ネットワーク性能帯域保証はできません。
システム全体性能の考慮	仮想サーバー単体の性能に依存せず、システム全体として性能を充足するようなスケールアウトも考慮して設計してください。
平常時/ピーク時それぞれの見積	稼働後のスケールアップ/ダウンやスケールアウト/インを含め、平常時/ピーク時をそれぞれ意識してサーバータイプを選定してください。これにより、クラウドサービスによるコスト最適化が見込まれます。
スケール処理時の業務影響	稼働後のスケールアップ/ダウンやスケールアウト/インを見越して選定をする際、スケールアップ/ダウン、スケールアウト/イン実行時の業務影響について検討してください。また、スケールアップ/ダウン、スケールアウト/インの方法について設計をしてください。
プロトタイプ	要件定義工程にてプロトタイプによる性能測定を実施した場合はその内容を反映します。

内容

選択値・条件

仮想サーバータイプの選定

ニフクラでは、vCPUとメモリをセットにしたサーバータイプから選定してください。

利用可能なサーバータイプはクラウド技術仕様/制限値（コンピューティング:サーバー）をご確認ください。

CPUクロック数

CPUクロック数は公開しておりません。別途性能を測定したベンチマーク値などを確認してください。
また、要件に沿って利用者自身で検証を実施し性能を確認してください。

係数での見積はNG

オンプレミスと異なり、システム係数などによる厳密な性能見積もりはできません。
要件定義工程で性能検証をしていない場合は、CPU性能、ストレージ性能、ネットワーク性能等、プロトタイプで検証をしてください。

CPU性能: サーバータイプを選定して性能検証してください。
ストレージ性能: IOPSは保証できません。
ネットワーク性能: 帯域保証はできません。

システム全体性能の考慮

仮想サーバー単体の性能に依存せず、システム全体として性能を充足するようなスケールアウトも考慮して設計してください。

平常時/ピーク時それぞれの見積

稼働後のスケールアップ/ダウンやスケールアウト/インを含め、平常時/ピーク時をそれぞれ意識してサーバータイプを選定してください。これにより、クラウドサービスによるコスト最適化が見込まれます。

スケール処理時の業務影響

稼働後のスケールアップ/ダウンやスケールアウト/インを見越して選定をする際、スケールアップ/ダウン、スケールアウト/イン実行時の業務影響について検討してください。また、スケールアップ/ダウン、スケールアウト/インの方法について設計をしてください。

プロトタイプ

要件定義工程にてプロトタイプによる性能測定を実施した場合はその内容を反映します。

容量見積

作業概要

ストレージの容量見積をしてください。ニフクラでは、使用できるストレージ容量に制限が有ります。そのため、ストレージ容量を見積もり、容量制限にかかる場合はスケールアウトなども検討してください。

留意事項

留意事項	内容
ストレージ種別	ニフクラで利用可能なストレージは後述します。
物理装置の選定	物理的なディスクアレイ装置については、ユーザーによる選定は行えません。
IOPS	IOPS、スループットはベストエフォートでの提供となるため保証できません。要件定義工程で性能検証をしていない場合は、ストレージ性能について、プロトタイプで検証をしてください。

内容

ストレージ種別

ニフクラで利用可能なストレージは後述します。

物理装置の選定

物理的なディスクアレイ装置については、ユーザーによる選定は行えません。

IOPS

IOPS、スループットはベストエフォートでの提供となるため保証できません。
要件定義工程で性能検証をしていない場合は、ストレージ性能について、プロトタイプで検証をしてください。

ニフクラで利用可能なストレージ

ストレージ種別	用途・特徴	選択値・条件
ローカルディスク	仮想サーバー配備時にローカルディスクとしてアタッチされるディスク。	ローカルディスクの容量はクラウド技術仕様/制限値（コンピューティング:サーバー）「ディスク」項目でご確認ください。
増設ディスク	仮想サーバーに新しいボリュームとしてアタッチ可能なディスク。	利用可能な容量はクラウド技術仕様/制限値(コンピューティング:増設ディスク)をご確認ください。各フラッシュドライブ、ディスクの対応ゾーンはニフクラゾーン別機能対応表・サーバー・ディスク機能「増設ディスク」項目の最新情報を確認してください。
オブジェクトストレージサービス	オブジェクト単位でデータを分割保存するオンラインストレージ。
ニフクラNAS	NFS/CIFS プロトコルに対応したNAS。ニフクラNASではタイプを選択可能。	利用可能なタイプ、容量はクラウド技術仕様/制限値(NAS:NAS領域)をご確認ください。

ストレージ種別

用途・特徴

選択値・条件

ローカルディスク

仮想サーバー配備時にローカルディスクとしてアタッチされるディスク。

ローカルディスクの容量はクラウド技術仕様/制限値（コンピューティング:サーバー）「ディスク」項目でご確認ください。

増設ディスク

仮想サーバーに新しいボリュームとしてアタッチ可能なディスク。

利用可能な容量はクラウド技術仕様/制限値(コンピューティング:増設ディスク)をご確認ください。
各フラッシュドライブ、ディスクの対応ゾーンはニフクラゾーン別機能対応表・サーバー・ディスク機能「増設ディスク」項目の最新情報を確認してください。

オブジェクトストレージサービス

オブジェクト単位でデータを分割保存するオンラインストレージ。

ニフクラNAS

NFS/CIFS プロトコルに対応したNAS。ニフクラNASではタイプを選択可能。

利用可能なタイプ、容量はクラウド技術仕様/制限値(NAS:NAS領域)をご確認ください。

通信容量見積

作業概要

通信容量見積をし、通信の方式を決定してください。ニフクラでは帯域保証はありません。そのため、プロトタイプ検証によりスループットとレスポンスを確認のうえ、通信方式を決定してください。

留意事項

留意事項	内容
スループットとレスポンス	利用する接続形態(インターネット接続/ニフクラ内部)ごとに通信容量を確認し、それぞれの接続形態が必要なスループットを満たすか、レスポンスを満たすか検証してください。要件定義工程で性能検証をしていない場合は、ネットワーク性能について、プロトタイプにて検証をしてください。

内容

スループットとレスポンス

利用する接続形態(インターネット接続/ニフクラ内部)ごとに通信容量を確認し、それぞれの接続形態が必要なスループットを満たすか、レスポンスを満たすか検証してください。
要件定義工程で性能検証をしていない場合は、ネットワーク性能について、プロトタイプにて検証をしてください。

ニフクラで利用可能な接続形態
※詳細は『３．ネットワーク』の章を参照してください。

接続形態	帯域保証	用途・特徴	選択値・条件
インターネット接続	なし(ベストエフォート)	標準提供されるインターネット接続です。共通のため帯域保証はできません。
プライベートネットワーク	なし(ベストエフォート)	ニフクラのプライベート側ネットワークです。共通のため帯域保証はできません。
拠点間VPNゲートウェイ(IPsecVPN)	なし(ベストエフォート)	ニフクラのIaaS上にデプロイして、利用者拠点とインターネットVPN接続可能なサービスです。
インターネットVPN（H/W）(IPsecVPN)	なし(ベストエフォート)	機器設置型(ハードウェアタイプ)の利用者拠点とインターネットVPNで接続可能なサービスです。	利用可能帯域等の仕様は「インターネットVPN（H/W）」サービス仕様書をご確認ください。
リモートアクセスVPNゲートウェイ(SSL-VPN)	なし(ベストエフォート)	ニフクラのIaaS上にデプロイして、利用者端末とインターネットVPN接続可能なサービスです。
ダイレクトポート接続	なし(ベストエフォート)	回線事業者の閉域網・専用線を引き込みニフクラと直接接続できる物理ポートを提供します。	利用可能帯域など仕様の詳細はクラウド技術仕様/制限値(ネットワーク:ダイレクトポート（専用線・閉域網接続サービス）)をご確認ください。
物理ポート	なし (ベストエフォート)	プライベートブリッジを通信キャリアの回線または構内配線と接続するネットワークサービスです。	利用可能帯域や利用可能メディアタイプなど仕様の詳細はクラウド技術仕様/制限値（プライベートブリッジ：物理ポート）をご確認ください。

接続形態

帯域保証

用途・特徴

選択値・条件

インターネット接続

なし(ベストエフォート)

標準提供されるインターネット接続です。共通のため帯域保証はできません。

プライベートネットワーク

なし(ベストエフォート)

ニフクラのプライベート側ネットワークです。共通のため帯域保証はできません。

拠点間VPNゲートウェイ(IPsecVPN)

なし(ベストエフォート)

ニフクラのIaaS上にデプロイして、利用者拠点とインターネットVPN接続可能なサービスです。

インターネットVPN（H/W）(IPsecVPN)

なし(ベストエフォート)

機器設置型(ハードウェアタイプ)の利用者拠点とインターネットVPNで接続可能なサービスです。

利用可能帯域等の仕様は「インターネットVPN（H/W）」サービス仕様書をご確認ください。

リモートアクセスVPNゲートウェイ(SSL-VPN)

なし(ベストエフォート)

ニフクラのIaaS上にデプロイして、利用者端末とインターネットVPN接続可能なサービスです。

ダイレクトポート接続

なし(ベストエフォート)

回線事業者の閉域網・専用線を引き込みニフクラと直接接続できる物理ポートを提供します。

利用可能帯域など仕様の詳細はクラウド技術仕様/制限値(ネットワーク:ダイレクトポート（専用線・閉域網接続サービス）)をご確認ください。

物理ポート

なし (ベストエフォート)

プライベートブリッジを通信キャリアの回線または構内配線と接続するネットワークサービスです。

利用可能帯域や利用可能メディアタイプなど仕様の詳細はクラウド技術仕様/制限値（プライベートブリッジ：物理ポート）をご確認ください。

性能検証プロトタイプの①設計②開発(構築)③評価

作業概要

要件定義工程で性能検証をしていない場合は、CPU性能、ストレージ性能、ネットワーク性能等、プロトタイプで検証をしてください。

留意事項

留意事項	内容
プロトタイプの設計/開発	性能見積対象をもとに、性能検証用のプロトタイプを設計/開発(環境構築)してください。 CPU性能、ストレージ性能、ネットワーク性能等のIaaSの観点、アプリの多重度の観点などを盛り込んでください。特にアプリ多重度の観点では、シングルスレッドで動くアプリ(バッチ処理アプリなど)は、IaaSでは性能を出せないケースが多々ありますので、必ず検証対象として盛り込んでください。
プロトタイプでの検証と評価	検証を実施し、検証結果を評価してください。評価結果から、CPU性能見積、ストレージ性能見積、ネットワーク性能見積の見直しや、アプリ多重度等のアプリ設計の見直しをしてください。

内容

プロトタイプの設計/開発

性能見積対象をもとに、性能検証用のプロトタイプを設計/開発(環境構築)してください。
CPU性能、ストレージ性能、ネットワーク性能等のIaaSの観点、アプリの多重度の観点などを盛り込んでください。
特にアプリ多重度の観点では、シングルスレッドで動くアプリ(バッチ処理アプリなど)は、IaaSでは性能を出せないケースが多々ありますので、必ず検証対象として盛り込んでください。

プロトタイプでの検証と評価

検証を実施し、検証結果を評価してください。評価結果から、CPU性能見積、ストレージ性能見積、ネットワーク性能見積の見直しや、アプリ多重度等のアプリ設計の見直しをしてください。

仮想サーバー単体の観点

作業概要

性能・容量見積に基づいて、性能・容量の方式設計を実施します。オンプレミスシステムと異なり、稼働後のリソース拡張/縮小を意識した設計をします。

仮想サーバー単体の観点の留意事項

区分	留意事項	内容
性能	サーバータイプの選定	Webサーバー、APサーバー、データベース等の性能見積に合わせて、サーバータイプを選択してください。サーバータイプは、後からスケールアップ/スケールダウンで変更可能です。^[6] 6. スケールアップでvCPU数があがる場合は、OS/MWのライセンス数に注意してください。
サーバータイプの変更	スケールアップ/スケールダウン実施時は、仮想サーバーの停止/起動が伴います。^[7] 7. 停止中のサーバーは、OSに関わらず即時反映されます。	サーバータイプ変更時の注意点はクラウド技術仕様/制限値（コンピューティング:サーバー）をご確認ください。
ディスク性能	増設ディスクは用途に合わせて数種類から選択可能です。	利用可能なディスクはクラウド技術仕様/制限値(コンピューティング:増設ディスク)をご確認ください。
容量	ディスク容量	制限値を考慮して、仮想サーバーにアタッチする増設ディスクの容量を検討してください。
ディスク増設	仮想サーバーに対して、増設ディスクの増設が可能です。	利用可能なディスクの数はクラウド技術仕様/制限値(コンピューティング:増設ディスク)をご確認ください。
ディスク容量の拡張	仮想サーバー配備時に割り当てられるローカルディスクは拡張不可能です。仮想サーバーにアタッチ済みの増設ディスクは、一部対象のOSで容量を拡張可能です。対象イメージ以外で容量を拡張したい場合は、以下の方法等、利用者自身で対応する必要があります。新たに要件を満たす容量の増設ディスクを作成し、手動でデータを移行する OS上で論理ボリュームを構成する	ディスク容量拡張時の注意点はクラウド技術仕様/制限値(コンピューティング:増設ディスク)をご確認ください。
ディスク容量の制限値	ディスクの制限値を超えることが想定される場合は、別途増設ディスクをアタッチして対応を検討してください。
ニフクラRDBディスク容量の制限値	ニフクラRDBのディスクは、後から拡張が可能です。

区分

留意事項

内容

選択値・条件

性能

サーバータイプの選定

Webサーバー、APサーバー、データベース等の性能見積に合わせて、サーバータイプを選択してください。サーバータイプは、後からスケールアップ/スケールダウンで変更可能です。^[6]

6. スケールアップでvCPU数があがる場合は、OS/MWのライセンス数に注意してください。

サーバータイプの変更

スケールアップ/スケールダウン実施時は、仮想サーバーの停止/起動が伴います。^[7]

7. 停止中のサーバーは、OSに関わらず即時反映されます。

サーバータイプ変更時の注意点はクラウド技術仕様/制限値（コンピューティング:サーバー）をご確認ください。

ディスク性能

増設ディスクは用途に合わせて数種類から選択可能です。

利用可能なディスクはクラウド技術仕様/制限値(コンピューティング:増設ディスク)をご確認ください。

容量

ディスク容量

制限値を考慮して、仮想サーバーにアタッチする増設ディスクの容量を検討してください。

ディスク増設

仮想サーバーに対して、増設ディスクの増設が可能です。

利用可能なディスクの数はクラウド技術仕様/制限値(コンピューティング:増設ディスク)をご確認ください。

ディスク容量の拡張

仮想サーバー配備時に割り当てられるローカルディスクは拡張不可能です。
仮想サーバーにアタッチ済みの増設ディスクは、一部対象のOSで容量を拡張可能です。
対象イメージ以外で容量を拡張したい場合は、以下の方法等、利用者自身で対応する必要があります。

新たに要件を満たす容量の増設ディスクを作成し、手動でデータを移行する
OS上で論理ボリュームを構成する

ディスク容量拡張時の注意点はクラウド技術仕様/制限値(コンピューティング:増設ディスク)をご確認ください。

ディスク容量の制限値

ディスクの制限値を超えることが想定される場合は、別途増設ディスクをアタッチして対応を検討してください。

ニフクラRDBディスク容量の制限値

ニフクラRDBのディスクは、後から拡張が可能です。

システム全体の観点

作業概要

システム全体の観点の留意事項

区分	留意事項	内容	選択値・条件
性能	負荷分散	Webサーバー、APサーバーの同時処理性能を向上させるには、ロードバランサーを利用した負荷分散を検討してください。用途ごとにロードバランサーが提供されています。性能に関しては各ロードバランサーで必要帯域/スペックを選択できます。 ^[8] ^[9] 8. ロードバランサー（L4）とマルチロードバランサーはL4負荷分散となります。 9. 各ロードバランサーの性能指標は次の記載を参照してください。	ロードバランサー（L4）、マルチロードバランサー、L7ロードバランサー（Ivanti Virtual Traffic Manager）、統合ネットワークサービス（IPCOM VE2Vシリーズ）を提供
コンテンツ配信	静的なhtmlなどのファイルをキャッシュサーバーに配置するコンテンツ配信サービス(CDN)の利用を検討してください。ニフクラはサードパーティ製のソリューションサービスを提供しています。	Fastly、J-stream CDNextを提供
アプリ多重度	シングルスレッドで動くアプリ(バッチ処理など)はIaaSでは性能を出せないケースが多いため、アプリを多重に起動できるよう設計してください。
レスポンスの妥当性確認	オンプレミスシステムと同様に、システム全体のレスポンス概算見積もりをし、妥当性の確認をしてください。ニフクラではベストエフォート方式にて提供されるリソースがあるため、あくまでも概算での検討となることに留意してください。
データベースのリードレプリカ	データベースへのアクセスが多い場合に利用する参照専用のデータベース(リードレプリカ)の利用を検討してください。
容量	ディスク容量	制限値を考慮して、システム全体のディスク容量を検討してください。仮想サーバー単体のディスク容量(ローカルディスク/増設ディスク)に加えて、ディスクやデータベースをバックアップする際の増設ディスクなどの容量を検討してください。
ディスク容量の制限値	ディスクの制限値を超えることが想定される場合は、スケールアウトなどでの対応を検討してください。
通信容量	インターネットとニフクラ上のシステムとの間の通信容量、ニフクラ上のシステムとオンプレミスのシステムとの間の通信容量等の要件を確認してください。	課金対象となるグローバルネットワークの通信量はニフクラ料金一覧をご確認ください。

区分

留意事項

内容

選択値・条件

性能

負荷分散

Webサーバー、APサーバーの同時処理性能を向上させるには、ロードバランサーを利用した負荷分散を検討してください。
用途ごとにロードバランサーが提供されています。
性能に関しては各ロードバランサーで必要帯域/スペックを選択できます。 ^[8] ^[9]

8. ロードバランサー（L4）とマルチロードバランサーはL4負荷分散となります。

9. 各ロードバランサーの性能指標は次の記載を参照してください。

コンテンツ配信

静的なhtmlなどのファイルをキャッシュサーバーに配置するコンテンツ配信サービス(CDN)の利用を検討してください。
ニフクラはサードパーティ製のソリューションサービスを提供しています。

Fastly、J-stream CDNextを提供

アプリ多重度

シングルスレッドで動くアプリ(バッチ処理など)はIaaSでは性能を出せないケースが多いため、アプリを多重に起動できるよう設計してください。

レスポンスの妥当性確認

オンプレミスシステムと同様に、システム全体のレスポンス概算見積もりをし、妥当性の確認をしてください。
ニフクラではベストエフォート方式にて提供されるリソースがあるため、あくまでも概算での検討となることに留意してください。

データベースのリードレプリカ

データベースへのアクセスが多い場合に利用する参照専用のデータベース(リードレプリカ)の利用を検討してください。

容量

ディスク容量

制限値を考慮して、システム全体のディスク容量を検討してください。
仮想サーバー単体のディスク容量(ローカルディスク/増設ディスク)に加えて、ディスクやデータベースをバックアップする際の増設ディスクなどの容量を検討してください。

ディスク容量の制限値

ディスクの制限値を超えることが想定される場合は、スケールアウトなどでの対応を検討してください。

通信容量

インターネットとニフクラ上のシステムとの間の通信容量、ニフクラ上のシステムとオンプレミスのシステムとの間の通信容量等の要件を確認してください。

課金対象となるグローバルネットワークの通信量はニフクラ料金一覧をご確認ください。

各ロードバランサーの性能指標

ロードバランサー（L4）とマルチロードバランサー
- 両サービスともに用意されている帯域メニューから選択可能です。必要とする帯域を選択してください。
  それぞれのサービスが提供できるTLS性能イメージについては下記グラフを確認してください。詳細はロードバランサーのクラウドユーザーガイド(ネットワーク:ロードバランサーサービス比較)_TLS性能比較を参照してください。
L7ロードバランサー（Ivanti Virtual Traffic Manager）
- ニフクラの仮想サーバーにソフトウェアをインストールし利用します。機能によりシリーズを選択し、必要帯域のライセンスを購入し利用します。
  帯域とSSLのトランザクション数に応じて推奨サーバーを公開しています。選択時の参考にしてください。詳細はクラウド技術仕様/制限値（L7ロードバランサー（Ivanti Virtual Traffic Manager）全般）の推奨サーバーを参照してください。
統合ネットワークサービス（IPCOM VE2Vシリーズ）
- ニフクラのパブリックイメージとして公開しているIPCOM VE2Vシリーズを作成し利用します。機能によりシリーズを選択し、スペックによりタイプを選択します。
  負荷分散機能利用時のスループット/処理性能について参考測定値を公開しています。選択時の参考にしてください。詳細は統合ネットワークサービス（IPCOM VE2Vシリーズ）のクラウド技術仕様/制限値（【月額版】統合ネットワークサービス（IPCOM VE2Vシリーズ）全般）_性能を参照してください。

スケールアップ/ダウンの観点

作業概要

性能・拡張性要件に基づいて、システム拡張性を確保するための方式を設計します。vCPU/メモリ/ストレージを拡張する方式としてスケールアップやスケールアウト等を検討します。

スケールアップ/スケールダウンの観点の留意事項

区分	留意事項	内容	選択値・条件
性能	スケールアップ/スケールダウン	仮想サーバー単体の性能を向上させたい場合は、スケールアップを選択します。 OS/MWのライセンス数に注意してください。仮想サーバー内で複数の処理が同時に実行されてCPU負荷が大きい場合や、メモリ不足で処理スピードが出ない場合は、現状から仮想サーバーの単体性能を向上させられるサーバータイプを選択し、スケールアップします。ただし、1スレッドの処理で単純にCPUスピードが不足しているような場合は、IaaSレベルでは対応策がありません。アプリをマルチプロセス/マルチスレッドに対応させる等、アプリ設計も見直してください。	サーバータイプ変更時の注意点はクラウド技術仕様/制限値（コンピューティング:サーバー）「サーバータイプ変更について」項目をご確認ください。
データベースのスケールアップと制限事項	WebサーバーやAPサーバー、バッチサーバー等の仮想サーバー(クライアント)からデータベースに接続するシステム形態の場合で、クライアントの仮想サーバーをスケールアウトで増やした場合、データベースの同時接続数/同時処理数の増加により負荷があがります。その場合も、データベース用仮想サーバーのサーバータイプを変更し、スケールアップしてください。

区分

留意事項

内容

選択値・条件

性能

スケールアップ/スケールダウン

仮想サーバー単体の性能を向上させたい場合は、スケールアップを選択します。
OS/MWのライセンス数に注意してください。仮想サーバー内で複数の処理が同時に実行されてCPU負荷が大きい場合や、メモリ不足で処理スピードが出ない場合は、現状から仮想サーバーの単体性能を向上させられるサーバータイプを選択し、スケールアップします。ただし、1スレッドの処理で単純にCPUスピードが不足しているような場合は、IaaSレベルでは対応策がありません。アプリをマルチプロセス/マルチスレッドに対応させる等、アプリ設計も見直してください。

サーバータイプ変更時の注意点はクラウド技術仕様/制限値（コンピューティング:サーバー）「サーバータイプ変更について」項目をご確認ください。

データベースのスケールアップと制限事項

WebサーバーやAPサーバー、バッチサーバー等の仮想サーバー(クライアント)からデータベースに接続するシステム形態の場合で、クライアントの仮想サーバーをスケールアウトで増やした場合、データベースの同時接続数/同時処理数の増加により負荷があがります。その場合も、データベース用仮想サーバーのサーバータイプを変更し、スケールアップしてください。

スケールアウト/インの観点

作業概要

スケールアウト/スケールインの観点の留意事項

区分	留意事項	内容	選択値・条件
性能	スケールアウト/スケールイン	システムの同時処理性能を向上させたい場合は、スケールアウトを選択してください。スケールアウトでピーク時の同時処理性能の向上と、スケールインで平常時の仮想サーバー台数抑制によるコスト削減が見込まれます。
スケールアウト/スケールインの対応状況の確認	スケールアウト/インの際は、業務アプリやミドルウェアが機能的に対応できるか、OS/MWのライセンス上問題ないかを確認してください。スケールアウトできないパターン以下の場合は、スケールアウトできません。データベースサーバーのようにデータを一元管理するような場合他のシステムから接続される前提のシステムで、他システムがスケールアウトに対応できない場合オートスケールができないパターン以下の場合は、オートスケールできません。利用時にアクティベーションが必要なライセンスの場合ライセンスがホスト名と紐づく場合 OS/MWが機能的に対応していないような場合ニフクラでプライベートLANを利用している場合増設ディスク付きカスタマイズイメージの場合業務アプリの方式により検討が必要なパターン業務アプリがサーバー内にセッション情報やサーバー固有の設定情報を保持しているような方式の場合、サーバー内から固有の情報を外部のデータベースやNAS等の共有ディスクに保持するような方式へ変更ができれば、スケールアウト/スケールインは可能です。^[10]^[11] 10. 業務アプリやミドルウェアがログを出力する際は、スケールアウト/スケールインする仮想サーバー内にログ出力ではなく、別途syslogサーバーなどの外部サーバーにログ出力するよう設計してください。 11. ログなどが仮想サーバー内に保持される方式を変更できない場合は、ログなどを手動で退避し、手動でスケールインする運用を検討してください。
性能	オートスケールの条件	オートスケールでシステムを拡張したい場合は、オートスケールの条件を検討してください。リソース監視によりオートスケール処理負荷発生の時間が不定で、リソース負荷により仮想サーバー起動台数を増減したい場合、利用することが有効です。リソース負荷でトリガーが設定可能です。	設定可能なトリガー、注意事項についてクラウド技術仕様/制限値(コンピューティング:オートスケール)をご確認ください。
オートスケールの留意事項	オートスケールは、テンプレート(カスタマイズイメージ)を用いてシステムを構築します。オートスケールでは、ロードバランサー（L4）の併用を推奨します。ロードバランサー（L4）を併用すると、ヘルスチェック機能が利用可能です。その他、オートスケールの実装例なども含めて、クラウドデザインパターン:オートスケールパターンを確認してください。

区分

留意事項

内容

選択値・条件

性能

スケールアウト/スケールイン

システムの同時処理性能を向上させたい場合は、スケールアウトを選択してください。スケールアウトでピーク時の同時処理性能の向上と、スケールインで平常時の仮想サーバー台数抑制によるコスト削減が見込まれます。

スケールアウト/スケールインの対応状況の確認

スケールアウト/インの際は、業務アプリやミドルウェアが機能的に対応できるか、OS/MWのライセンス上問題ないかを確認してください。

スケールアウトできないパターン

以下の場合は、スケールアウトできません。

データベースサーバーのようにデータを一元管理するような場合
他のシステムから接続される前提のシステムで、他システムがスケールアウトに対応できない場合

オートスケールができないパターン

以下の場合は、オートスケールできません。

利用時にアクティベーションが必要なライセンスの場合
ライセンスがホスト名と紐づく場合
OS/MWが機能的に対応していないような場合
ニフクラでプライベートLANを利用している場合
増設ディスク付きカスタマイズイメージの場合

業務アプリの方式により検討が必要なパターン

業務アプリがサーバー内にセッション情報やサーバー固有の設定情報を保持しているような方式の場合、サーバー内から固有の情報を外部のデータベースやNAS等の共有ディスクに保持するような方式へ変更ができれば、スケールアウト/スケールインは可能です。^[10]^[11]

10. 業務アプリやミドルウェアがログを出力する際は、スケールアウト/スケールインする仮想サーバー内にログ出力ではなく、別途syslogサーバーなどの外部サーバーにログ出力するよう設計してください。

11. ログなどが仮想サーバー内に保持される方式を変更できない場合は、ログなどを手動で退避し、手動でスケールインする運用を検討してください。

性能

オートスケールの条件

オートスケールでシステムを拡張したい場合は、オートスケールの条件を検討してください。

リソース監視によりオートスケール処理: 負荷発生の時間が不定で、リソース負荷により仮想サーバー起動台数を増減したい場合、利用することが有効です。
リソース負荷でトリガーが設定可能です。

設定可能なトリガー、注意事項についてクラウド技術仕様/制限値(コンピューティング:オートスケール)をご確認ください。

オートスケールの留意事項

オートスケールは、テンプレート(カスタマイズイメージ)を用いてシステムを構築します。
オートスケールでは、ロードバランサー（L4）の併用を推奨します。ロードバランサー（L4）を併用すると、ヘルスチェック機能が利用可能です。
その他、オートスケールの実装例なども含めて、クラウドデザインパターン:オートスケールパターンを確認してください。

ストレージ容量の観点

作業概要

性能・拡張性要件に基づいて、システム拡張性を確保するための方式を設計します。ストレージ容量を拡張する方式としてスケールアップやスケールアウト等を検討します。

ストレージ容量留意事項

区分	留意事項	内容
容量	ストレージ容量の制限値	ストレージの制限値を超えることが想定される場合は、スケールアウトなどでの対応を検討してください。

区分

留意事項

内容

容量

ストレージ容量の制限値

ストレージの制限値を超えることが想定される場合は、スケールアウトなどでの対応を検討してください。

その他の観点

作業概要

性能・拡張性要件に基づいて、システム拡張性を確保するための方式を設計します。

その他の観点の留意事項

区分	留意事項	内容	選択値・条件
その他	ネットワーク帯とIPアドレス設計	ニフクラでは、仮想サーバー/ロードバランサー等の各種サービスを利用する際にIPアドレスを使用します。インターネット環境と通信可能なグローバルIPアドレス、共通プライベートでのプライベートIPアドレスは、ニフクラからDHCPで払いだされます。ニフクラのサーバーに払い出されるグローバルIPアドレス帯はニフクラホームページにて公開されています。プライベートIPアドレスは、プライベートLANを利用することで自由に設定可能です。^[12]マルチIPアドレスを利用することで、仮想サーバーに対し複数のグローバルIPアドレスを設定可能です。 12. ネットワークインターフェースへのIPアドレス割り当てについて禁止事項となる設定があります。ニフクラ禁止事項の内容をご確認ください。	プライベートLANで設定可能なプレフィックス長などの仕様の詳細はクラウド技術仕様/制限値（ネットワーク：プライベートLAN）をご確認ください。
リージョン内の複数ゾーンにまたがった同一サブネット	プライベートLANを利用していれば、プライベートブリッジを利用してプライベートLAN同士をL2延伸できます。
インターネットVPN接続する経路の拡張	インターネットVPNを利用する場合は拠点間VPNゲートウェイ/インターネットVPN（H/W）/リモートアクセスVPNゲートウェイを利用してください。多くの拠点とIPsecVPN接続したい場合は、プライベートLANと拠点間VPNゲートウェイの組で増やしてください。 IPsecVPN接続する拠点を例えば60拠点にしたい場合は、プライベートLAN2つとvpngw.medium1つ、vpngw.large1つを作成します。リモートアクセスVPNゲートウェイ1つあたりの最大コネクション数以上の接続が見込まれる場合には、プライベートLANとリモートアクセスVPNゲートウェイの組で増やしてください。	各接続方法の仕様については以下のリンク先をご確認ください。クラウド技術仕様/制限値(ネットワーク:拠点間VPNゲートウェイ) クラウド技術仕様/制限値(ネットワーク:リモートアクセスVPNゲートウェイ) クラウド技術仕様/制限値（拠点間VPNゲートウェイ:拠点間VPNゲートウェイ）「インターネットVPN（H/W）」サービス仕様書（PDF）クラウド技術仕様/制限値(ネットワーク:リモートアクセスVPNゲートウェイ)
各種リソースの制限値/制限値の緩和	仮想リソースでは各種リソースの制限値が存在します。各種リソースの制限値は利用サービスのニフクラ仕様ページを確認してください。システムを設計する際に、各種リソースの制限値がシステム拡張の阻害要因にならないよう、今後のシステム拡張も見据えて、各種リソースの制限値を確認してください。各種リソースの制限値は、上限を緩和できる場合があります。利用リソースの中で制限値を超えることが想定される場合は、ニフクラの仕様ページの「各種変更申請フォーム」より申請してください。^[13] 13. サービスによっては上限を緩和できないリソースもあるため留意してください。

区分

留意事項

内容

選択値・条件

その他

ネットワーク帯とIPアドレス設計

ニフクラでは、仮想サーバー/ロードバランサー等の各種サービスを利用する際にIPアドレスを使用します。インターネット環境と通信可能なグローバルIPアドレス、共通プライベートでのプライベートIPアドレスは、ニフクラからDHCPで払いだされます。ニフクラのサーバーに払い出されるグローバルIPアドレス帯はニフクラホームページにて公開されています。
プライベートIPアドレスは、プライベートLANを利用することで自由に設定可能です。^[12]マルチIPアドレスを利用することで、仮想サーバーに対し複数のグローバルIPアドレスを設定可能です。

12. ネットワークインターフェースへのIPアドレス割り当てについて禁止事項となる設定があります。ニフクラ禁止事項の内容をご確認ください。

プライベートLANで設定可能なプレフィックス長などの仕様の詳細はクラウド技術仕様/制限値（ネットワーク：プライベートLAN）をご確認ください。

リージョン内の複数ゾーンにまたがった同一サブネット

プライベートLANを利用していれば、プライベートブリッジを利用してプライベートLAN同士をL2延伸できます。

インターネットVPN接続する経路の拡張

インターネットVPNを利用する場合は拠点間VPNゲートウェイ/インターネットVPN（H/W）/リモートアクセスVPNゲートウェイを利用してください。
多くの拠点とIPsecVPN接続したい場合は、プライベートLANと拠点間VPNゲートウェイの組で増やしてください。
IPsecVPN接続する拠点を例えば60拠点にしたい場合は、プライベートLAN2つとvpngw.medium1つ、vpngw.large1つを作成します。
リモートアクセスVPNゲートウェイ1つあたりの最大コネクション数以上の接続が見込まれる場合には、プライベートLANとリモートアクセスVPNゲートウェイの組で増やしてください。

各接続方法の仕様については以下のリンク先をご確認ください。
クラウド技術仕様/制限値(ネットワーク:拠点間VPNゲートウェイ)
クラウド技術仕様/制限値(ネットワーク:リモートアクセスVPNゲートウェイ)
クラウド技術仕様/制限値（拠点間VPNゲートウェイ:拠点間VPNゲートウェイ）
「インターネットVPN（H/W）」サービス仕様書（PDF）
クラウド技術仕様/制限値(ネットワーク:リモートアクセスVPNゲートウェイ)

各種リソースの制限値/制限値の緩和

仮想リソースでは各種リソースの制限値が存在します。各種リソースの制限値は利用サービスのニフクラ仕様ページを確認してください。
システムを設計する際に、各種リソースの制限値がシステム拡張の阻害要因にならないよう、今後のシステム拡張も見据えて、各種リソースの制限値を確認してください。
各種リソースの制限値は、上限を緩和できる場合があります。利用リソースの中で制限値を超えることが想定される場合は、ニフクラの仕様ページの「各種変更申請フォーム」より申請してください。^[13]

13. サービスによっては上限を緩和できないリソースもあるため留意してください。

性能・拡張性運用設計

作業概要

システム全体の運用・保守設計に基づいて、システムが安定した性能を維持するための、管理・運用方法を設計します。

留意事項

区分	留意事項	内容
監視	性能監視、リソース監視	性能監視、リソース監視等の監視方式と、異常を検知した際の通知方式を検討してください。性能監視：CPUの利用状況や、業務アプリの同時処理状況等を監視します。リソース監視：メモリの利用状況や、ストレージの利用状況を監視します。 CPUやメモリの使用量等、仮想サーバーのリソース監視については、ニフクラの基本監視サービスで監視可能です。監視可能な項目は、ニフクラの仕様ページを確認してください。ただし、業務アプリのレスポンスや、業務アプリが使用しているメモリ量などを監視したい場合は、ニフクラの機能ではできません。別途、Zabbix等の監視ツールを導入してください。
対処	スケールアップ、スケールアウト等の検討と実施	性能監視、リソース監視の状況に応じて、スケールアップ/スケールダウン、スケールアウト/スケールイン等をシステムに合わせて検討してください。
オートスケールの処理条件の見直し	オートスケールを活用することで臨機応変にシステムを拡張している場合、オートスケールの条件見直しを検討してください。
運用	オートスケールのカスタマイズイメージ運用	オートスケールでは、カスタマイズイメージを元にスケールアウトをします。そのため、オートスケールで利用するカスタマイズイメージのセキュリティの最新化について検討してください。^[14] 14. カスタマイズイメージにパッチ未適用の状態では、オートスケールで作成される仮想サーバーもパッチが適用されていない状態になります。

区分

留意事項

内容

監視

性能監視、リソース監視

性能監視、リソース監視等の監視方式と、異常を検知した際の通知方式を検討してください。

性能監視：CPUの利用状況や、業務アプリの同時処理状況等を監視します。
リソース監視：メモリの利用状況や、ストレージの利用状況を監視します。

CPUやメモリの使用量等、仮想サーバーのリソース監視については、ニフクラの基本監視サービスで監視可能です。監視可能な項目は、ニフクラの仕様ページを確認してください。
ただし、業務アプリのレスポンスや、業務アプリが使用しているメモリ量などを監視したい場合は、ニフクラの機能ではできません。別途、Zabbix等の監視ツールを導入してください。

対処

スケールアップ、スケールアウト等の検討と実施

性能監視、リソース監視の状況に応じて、スケールアップ/スケールダウン、スケールアウト/スケールイン等をシステムに合わせて検討してください。

オートスケールの処理条件の見直し

オートスケールを活用することで臨機応変にシステムを拡張している場合、オートスケールの条件見直しを検討してください。

運用

オートスケールのカスタマイズイメージ運用

オートスケールでは、カスタマイズイメージを元にスケールアウトをします。そのため、オートスケールで利用するカスタマイズイメージのセキュリティの最新化について検討してください。^[14]

14. カスタマイズイメージにパッチ未適用の状態では、オートスケールで作成される仮想サーバーもパッチが適用されていない状態になります。

方式詳細と参考ドキュメント

詳細な方式例としてCDP (クラウドデザインパターン)や、システム構成の参考事例、参考ドキュメントを記載します。

設計項目	ドキュメント掲載先	ドキュメント名または本ドキュメント内のタイトル	内容
性能関連	本ドキュメント	複数ゾーン構成例	性能・拡張性の観点を考慮した複数ゾーン構成の事例を記載しています。
CDP	スケールアップ/スケールダウンパターン	仮想サーバーを作成した後に判明した性能不足や性能過剰に対して、臨機応変に仮想サーバーの性能を変更したい場合のパターンです。
ニフクラ一般公開ページ	ニフクラサーバータイプ・仕様	ニフクラで提供しているサーバータイプ(vCPU/メモリの組み合わせ)の一覧が記載されています。ニフクラサーバータイプ・仕様
ニフクラ一般公開ページ	ニフクラRDB	ニフクラで提供しているニフクラRDBのタイプ一覧や仕様詳細が記載されています。クラウド技術仕様/制限値(RDB)
拡張性関連	CDP	サーバー冗長化パターン	Webサービスで、性能、信頼性を考慮した場合のパターンです。
CDP	複数リージョンでのDRパターン：ホットスタンバイ	データセンターの火災や大規模な電源障害など、1つのリージョン全体に影響があるような事態でも、業務を継続したいパターンです。
CDP	オートスケールパターン	負荷分散機能に加え、アクセス状況により仮想サーバーの増設を可能にするパターンです。
CDP	ディスク増設パターン	一時的にストレージが必要になったなど、必要に応じてディスクを増設したい場合のパターンです。

設計項目

ドキュメント掲載先

ドキュメント名または本ドキュメント内のタイトル

内容

性能関連

本ドキュメント

複数ゾーン構成例

性能・拡張性の観点を考慮した複数ゾーン構成の事例を記載しています。

CDP

スケールアップ/スケールダウンパターン

仮想サーバーを作成した後に判明した性能不足や性能過剰に対して、臨機応変に仮想サーバーの性能を変更したい場合のパターンです。

ニフクラ一般公開ページ

ニフクラサーバータイプ・仕様

ニフクラで提供しているサーバータイプ(vCPU/メモリの組み合わせ)の一覧が記載されています。
ニフクラサーバータイプ・仕様

ニフクラ一般公開ページ

ニフクラRDB

ニフクラで提供しているニフクラRDBのタイプ一覧や仕様詳細が記載されています。
クラウド技術仕様/制限値(RDB)

拡張性関連

CDP

サーバー冗長化パターン

Webサービスで、性能、信頼性を考慮した場合のパターンです。

CDP

複数リージョンでのDRパターン：ホットスタンバイ

データセンターの火災や大規模な電源障害など、1つのリージョン全体に影響があるような事態でも、業務を継続したいパターンです。

CDP

オートスケールパターン

負荷分散機能に加え、アクセス状況により仮想サーバーの増設を可能にするパターンです。

CDP

ディスク増設パターン

一時的にストレージが必要になったなど、必要に応じてディスクを増設したい場合のパターンです。

２．信頼性

設計のポイント

ニフクラにて信頼性観点で設計をする際のポイントについて、以下のリソース区分について記載していきます。

リソース区分	リソースの概要
仮想リソース全般	ニフクラが提供するプライベートLANやルーター、ロードバランサー（L4）サービスやニフクラRDB、仮想サーバー全般について記載します。

リソース区分

リソースの概要

仮想リソース全般

ニフクラが提供するプライベートLANやルーター、ロードバランサー（L4）サービスやニフクラRDB、仮想サーバー全般について記載します。

仮想リソース

ニフクラにて信頼性観点で設計をする際には、以下の項目を検討してください。

仮想リソース全般

検討項目	検討内容	選択値・条件
信頼性対策方式	システム構成要素ごとの業務への影響、対象範囲、信頼性確保の前提条件を確認し、信頼性対策方式を設計してください。ニフクラ基盤はすべて冗長化しています。詳細情報は非公開です。仮想リソース単体の信頼性を検討してください。ルーターなどのネットワーク系の仮想リソースは、物理サーバーの故障時に、HA機能で復旧します。ディスクは、書き込まれたデータに関して物理機器側で冗長化(RAID6相当)をしています。仮想サーバー単体は、HA機能で、仮想サーバーが搭載された物理サーバーの故障時に復旧します。仮想リソースを組み合わせたシステム全体についての信頼性を検討してください。Webサーバーやデータベース等、それぞれの仕組みに合わせて、運用待機構成(ホットスタンバイやコールドスタンバイ)または両系運用構成を検討してください。
データ保全方式	信頼性要件に基づいてデータ保全のための実現方式を設計してください。対象のデータにより、ニフクラの機能やサードパーティ製のミドルウェアを利用してディスク単位でフルバックアップするか、ファイル単位で増分バックアップや差分バックアップする等、データ保全の方式を検討してください。バックアップ/セキュリティサービス（Acronis Cyber Protect Cloud）を利用することにより、増分/差分バックアップ等も行えます。別途ファイルのバックアップツールを自作する、あるいは、バックアップ用のミドルウェアを導入することを検討してください。導入に必要なライセンス数などには留意してください。ニフクラのバックアップサービスは利用リージョンの混雑状況により、希望の時間帯でバックアップの設定をできない場合があります。	カスタマイズイメージの仕様についてはクラウド技術仕様/制限値（コンピューティング：カスタマイズイメージ/イメージ配布）をご確認ください。バックアップサービスの仕様についてはクラウド技術仕様/制限値(コンピューティング:バックアップ)をご確認ください。
災害対策方式	信頼性要件に基づいて、自然災害などの備えとなる機器やシステムを設計してください。データのバックアップや、システム全体を遠隔地の災害対策環境(DRサイト)に保全するための実現方式を検討してください。^[15] DRサイトを構築する場合、同じ国内の別リージョンを選択してください。ニフクラでは、リージョン間でデータ同期を支援する機能の提供はありません。 DRサイト間でデータを同期したい場合は、サイト間のネットワークをIPsecVPNかダイレクトポートサービスを用いて回線を別途ニフクラに引き込み、リージョン間を接続したうえでscpなどのコマンドでコピーするスクリプトを作成する、あるいはバックアップ用ミドルウェアを導入することを検討してください。ニフクラでは、DRサイトを切り替える機能は提供しません。DNSのフェイルオーバー機能などを利用したサイト切り替え方式を検討してください。 15. 本ドキュメント内「DNSのフェイルオーバー機能での切替動作概要」参照	東日本リージョン/西日本リージョンより選択

検討項目

検討内容

選択値・条件

信頼性対策方式

システム構成要素ごとの業務への影響、対象範囲、信頼性確保の前提条件を確認し、信頼性対策方式を設計してください。

ニフクラ基盤はすべて冗長化しています。詳細情報は非公開です。
仮想リソース単体の信頼性を検討してください。
ルーターなどのネットワーク系の仮想リソースは、物理サーバーの故障時に、HA機能で復旧します。
ディスクは、書き込まれたデータに関して物理機器側で冗長化(RAID6相当)をしています。
仮想サーバー単体は、HA機能で、仮想サーバーが搭載された物理サーバーの故障時に復旧します。
仮想リソースを組み合わせたシステム全体についての信頼性を検討してください。Webサーバーやデータベース等、それぞれの仕組みに合わせて、運用待機構成(ホットスタンバイやコールドスタンバイ)または両系運用構成を検討してください。

データ保全方式

信頼性要件に基づいてデータ保全のための実現方式を設計してください。
対象のデータにより、ニフクラの機能やサードパーティ製のミドルウェアを利用してディスク単位でフルバックアップするか、ファイル単位で増分バックアップや差分バックアップする等、データ保全の方式を検討してください。

バックアップ/セキュリティサービス（Acronis Cyber Protect Cloud）を利用することにより、増分/差分バックアップ等も行えます。
別途ファイルのバックアップツールを自作する、あるいは、バックアップ用のミドルウェアを導入することを検討してください。導入に必要なライセンス数などには留意してください。
ニフクラのバックアップサービスは利用リージョンの混雑状況により、希望の時間帯でバックアップの設定をできない場合があります。

カスタマイズイメージの仕様についてはクラウド技術仕様/制限値（コンピューティング：カスタマイズイメージ/イメージ配布）をご確認ください。
バックアップサービスの仕様についてはクラウド技術仕様/制限値(コンピューティング:バックアップ)をご確認ください。

災害対策方式

信頼性要件に基づいて、自然災害などの備えとなる機器やシステムを設計してください。
データのバックアップや、システム全体を遠隔地の災害対策環境(DRサイト)に保全するための実現方式を検討してください。^[15]

DRサイトを構築する場合、同じ国内の別リージョンを選択してください。
ニフクラでは、リージョン間でデータ同期を支援する機能の提供はありません。
DRサイト間でデータを同期したい場合は、サイト間のネットワークをIPsecVPNかダイレクトポートサービスを用いて回線を別途ニフクラに引き込み、リージョン間を接続したうえでscpなどのコマンドでコピーするスクリプトを作成する、あるいはバックアップ用ミドルウェアを導入することを検討してください。
ニフクラでは、DRサイトを切り替える機能は提供しません。DNSのフェイルオーバー機能などを利用したサイト切り替え方式を検討してください。

15. 本ドキュメント内「DNSのフェイルオーバー機能での切替動作概要」参照

東日本リージョン/西日本リージョンより選択

適用の指針

設計のポイントで例示した検討項目について、検討対象への適用の指針を記載します。

主な検討内容＼検討項目	サーバー単体に対して適用を検討する項目	システム全体に対して適用を検討する項目
共通	運用待機(active/standby)	両系運用(active/active)
HA	サーバーセパレート	複数ゾーン	冗長化設定	その他のクラスター製品	コールドスタンバイ	負荷分散	オートスケール	その他のクラスター構成
ルーター/拠点間VPNゲートウェイ/マルチロードバランサー/リモートアクセスVPNゲートウェイ	○	－	－	－	－	－	－	－	－
ロードバランサー	－	－	○※1	○※1	－	－	－	－	－
Webサーバー APサーバー	○	○	○※2	－	△※3	○	○	○※4	△※3
データベースサービス(ニフクラRDB)	○	○※5	－	○	－	－	－	－	－
データベースサーバー(独自)	○	○	○※2	－	△※3	○	－	－	△※3
バッチサーバー	○	○	○※2	－	△※3	○	－	－	△※3
ニフクラ NAS ※6	－	－	－	－	－	－	－	－	－

主な検討内容＼検討項目

サーバー単体に対して適用を検討する項目

システム全体に対して適用を検討する項目

共通

運用待機(active/standby)

両系運用(active/active)

サーバーセパレート

複数ゾーン

冗長化設定

その他のクラスター製品

コールドスタンバイ

負荷分散

オートスケール

その他のクラスター構成

ルーター/拠点間VPNゲートウェイ/マルチロードバランサー/リモートアクセスVPNゲートウェイ

○

－

ロードバランサー

－

○※1

－

Webサーバー APサーバー

○

○※2

－

△※3

○

○※4

△※3

データベースサービス(ニフクラRDB)

○

○※5

－

○

－

データベースサーバー(独自)

○

○※2

－

△※3

○

－

△※3

バッチサーバー

○

○※2

－

△※3

○

－

△※3

ニフクラ NAS ※6

－

※1 ロードバランサーは物理的に冗長構成となっており、信頼性は担保されています。
※2 複数ゾーンへの配備は可能です。ゾーン間をプライベートブリッジを利用することによりL2接続できます。冗長化の方式は別途検討してください。
※3 その他のクラスター製品に関してはクラウド環境での利用に関して、技術上、ライセンス上問題ないか事前に確認してください。
※4 オートスケール機能は、プライベートLAN環境には対応していません。
※5 ニフクラRDBを冗長化した場合、異なる物理サーバーに配備されます。
※6 ニフクラNASは冗長化されています。ただし障害時は5分を目安として切り替わりのための停止が発生します。

適用事例：単一ゾーン構成

構成図補足

【ロードバランサー（L4）】

ニフクラでは、可用性向上と性能向上のための負荷分散機能として、ロードバランサー（L4）サービスを提供しています。
ロードバランサー（L4）サービスを 1つ設定することで、この事例のように仮想サーバーへ負荷分散が可能です。
ロードバランサー（L4）サービスの構成では、信頼性の観点では以下の特徴があります。
①ロードバランサー（L4）に障害が発生した場合、Standby機に切り替わりが発生し正常復旧します。
→本ドキュメント内「ロードバランサー(L4)を利用したシステムの障害時の動作」参照
②ロードバランサー（L4）で設定している仮想サーバーでの障害発生により、ヘルスチェックがエラーとなった場合、仮想サーバーは負荷分散の対象から切り離されます。
他ロードバランサー
マルチロードバランサーではHAで信頼性を担保します。L7ロードバランサー（Ivanti Virtual Traffic Manager）はHAの対象となります。冗長構成を組むことも可能です。

【Web/APサーバー】

ロードバランサー（L4）からアクセスされる形態です。

【DBサーバー】

ニフクラRDBは、オンプレミスで実施する複雑なデータベースの構成設計をすることなく、APIのパラメーターだけでデータベースの冗長化が可能なサービスです。ニフクラRDBの特徴的な構成として、以下の内容で構成しています。

データベースを同一のゾーン内にて主系/待機系で冗長化する構成。さらに、データ保全の観点で、以下の機能も利用可能です。
- ①データベースの自動バックアップ
- ②ポイントインタイムリカバリー

適用事例：複数ゾーン構成

構成図補足

【DBサーバー】: ニフクラRDBは複数ゾーンにまたがった構成はできません。そのため本事例でのデータベースサーバーは、独自にIaaSで構築した構成となります。
冗長化、同期の仕組み、バックアップ方式等は、別途利用者側で検討する必要があります。
本事例のとおり追加NICを利用することでサービス用のプライベートLANとは別に、同期用のプライベートLANも構築可能です。

カテゴリ項目ごとの作業と留意事項

カテゴリ項目ごとの作業概要
※ここではニフクラのリソースについてのみ記載します。

カテゴリ項目	作業	ニフクラでの作業概要
信頼性	信頼性対策の方式設計	システム構成要素ごとの業務への影響、対象範囲/信頼性確保の前提条件を確認し、信頼性対策方式を設計してください。ニフクラ基盤の信頼性対策方式を前提に、利用者が配備したニフクラの仮想リソースの信頼性対策方式を検討してください。検討のポイント運用待機構成(ホットスタンバイやコールドスタンバイ)、両系運用
データ保全対策の方式設計	信頼性要件に基づいて、データ保全のための実現方式を設計してください。対象のデータにより、ニフクラのカスタマイズイメージ機能やバックアップサービスを利用してサーバー単位でフルバックアップするか、ファイル単位でフルバックアップや増分/差分バックアップする等、データ保全の方式を検討してください。検討のポイントサーバーのバックアップ→カスタマイズ機能、バックアップサービス、バックアップ/セキュリティサービス（Acronis Cyber Protect Cloud）を検討ファイルのバックアップ→バックアップ/セキュリティサービス（Acronis Cyber Protect Cloud）、ツール自作等を検討
災害対策の方式設計	信頼性要件に基づいて、自然災害などの備えとなる機器やシステムを設計してください。データのバックアップや、システム全体を遠隔地の災害対策環境(DRサイト)に保全するための実現方式を検討してください。検討のポイント DRサイトの規模/内容 DRサイトとのデータ同期(バックアップ) DRサイトへのサイト切替(DNSのフェイルオーバー機能などによる切替)
障害時対応の方式設計	障害対策方式(復旧方式の設定、縮退操作の設定)を設計してください。基本的な設計方法はオンプレミスと同様です。ニフクラRDBなどニフクラが提供するサービスについても、障害発生、復旧時の挙動を把握して設計してください。
信頼性運用設計(定常時)	システム全体の運用・保守設計に基づいて、信頼性の定常時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスシステムと同様です。(記載を省略します。)
信頼性運用設計(障害時)	システム全体の運用・保守設計に基づいて、信頼性の障害時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスシステムと同様です。(記載を省略します。)

カテゴリ項目

作業

ニフクラでの作業概要

信頼性

信頼性対策の方式設計

システム構成要素ごとの業務への影響、対象範囲/信頼性確保の前提条件を確認し、信頼性対策方式を設計してください。
ニフクラ基盤の信頼性対策方式を前提に、利用者が配備したニフクラの仮想リソースの信頼性対策方式を検討してください。

検討のポイント
運用待機構成(ホットスタンバイやコールドスタンバイ)、両系運用

データ保全対策の方式設計

信頼性要件に基づいて、データ保全のための実現方式を設計してください。
対象のデータにより、ニフクラのカスタマイズイメージ機能やバックアップサービスを利用してサーバー単位でフルバックアップするか、ファイル単位でフルバックアップや増分/差分バックアップする等、データ保全の方式を検討してください。

検討のポイント
サーバーのバックアップ→カスタマイズ機能、バックアップサービス、バックアップ/セキュリティサービス（Acronis Cyber Protect Cloud）を検討
ファイルのバックアップ→バックアップ/セキュリティサービス（Acronis Cyber Protect Cloud）、ツール自作等を検討

災害対策の方式設計

信頼性要件に基づいて、自然災害などの備えとなる機器やシステムを設計してください。
データのバックアップや、システム全体を遠隔地の災害対策環境(DRサイト)に保全するための実現方式を検討してください。

検討のポイント
DRサイトの規模/内容
DRサイトとのデータ同期(バックアップ)
DRサイトへのサイト切替(DNSのフェイルオーバー機能などによる切替)

障害時対応の方式設計

障害対策方式(復旧方式の設定、縮退操作の設定)を設計してください。基本的な設計方法はオンプレミスと同様です。
ニフクラRDBなどニフクラが提供するサービスについても、障害発生、復旧時の挙動を把握して設計してください。

信頼性運用設計(定常時)

システム全体の運用・保守設計に基づいて、信頼性の定常時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスシステムと同様です。(記載を省略します。)

信頼性運用設計(障害時)

システム全体の運用・保守設計に基づいて、信頼性の障害時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスシステムと同様です。(記載を省略します。)

信頼性対策の方式設計(ニフクラ基盤)

作業概要

システム構成要素ごとの業務への影響、対象範囲/信頼性確保の前提条件を確認し、信頼性対策方式を設計してください。
ニフクラ基盤の信頼性対策方式を前提として、利用者が配備したニフクラの仮想リソースの信頼性対策方式を検討してください。

区分1	区分2	対象	信頼性方式	信頼性方式が実現する内容
ニフクラ基盤	物理機器	ネットワークストレージ物理サーバー	冗長化	ニフクラを構成するすべての物理機器は冗長化しています。ストレージは、RAID6相当で冗長化しています。^[16] 16. 物理機器の故障時には、コントローラやパス切り替えに伴う一時的なI/O遅延または断となる場合があります。
仮想リソース搭載物理サーバー	自動フェイルオーバー（HA機能）	物理サーバーに関して、筐体内の部品単位で必要に応じて冗長化されています。(内容は非公開) 仮想サーバーの配備された物理サーバーが故障した場合でも、筐体内の仮想サーバーを別の物理サーバーにフェイルオーバーします。^[17] 17. 自動フェイルオーバー（HA機能）した仮想サーバーは、障害があった時点の状態となります。起動状態であれば、HA後に起動されます。停止状態であれば、HA後も停止状態となります。
リソース再配置	利用者がリソースを大量に消費した場合、ニフクラ内部で自動的にリソースの再配置が行われ、負荷障害を抑止します。
仮想リソース単体	サーバー	仮想サーバー	自動フェイルオーバー（HA機能）^[18] 18. 利用者側で設定は不可	仮想サーバーが配備された物理サーバーにて故障した場合、筐体内の仮想サーバーを別の物理サーバーにフェイルオーバーします。
サーバーセパレート	指定した仮想サーバーを異なる物理サーバー上へ分離配備する機能です。冗長化用途のサーバーが物理ホスト障害の影響を同時に受ける確率を軽減します。 ^[19] 19. 物理機器故障などで当該サーバー搭載物理ホスト交換が発生した場合は、一時的に同一の物理ホストへ配置されることがあります。仮想化基盤側のリソース状況にも起因しますが、5分程度で異なる物理ホスト上へ分散される仕様となっております。
増設ディスク	「A/B」2種類提供される増設ディスク	別筐体利用	A/Bの別筐体となるディスクを用意しています。AとBではそれぞれ筐体の分離が保証されます。A同士またはB同士における筐体分離の保証はないため留意してください。
システム全体	共通	環境	複数ゾーン	物理的に区分された環境(ゾーン)を複数組み合わせてシステムを構成することにより、環境の信頼性向上が可能です。
運用待機	サービス	ニフクラRDB	ホットスタンバイ	ニフクラRDBでは、冗長化設定によりホットスタンバイが可能です。
ロードバランサー（L4）自体	ホットスタンバイ^[20] 20. 利用者側で設定は不可	ロードバランサー（L4）については、ニフクラにて冗長化を実施しています。万が一の故障時には、自動的に待機系への切り替わりが実施されます。
サーバー	仮想サーバー	その他コールドスタンバイ	仮想サーバーは、オンプレミスと同様にコールドスタンバイの構成も可能です。
両系運用	サービス	仮想サーバー	負荷分散	ロードバランサーを利用して負荷分散構成の実現が可能です。仮想サーバー異常時は、ロードバランサーによって切り離されます。本ドキュメント内「ロードバランサー（L4）を利用したシステムの障害時の動作」を参照
サーバー	仮想サーバー	オートスケール	CPU、メモリ使用率、ネットワーク流量に応じて、設定した上限まで仮想サーバーの稼働が可能です。

区分1

区分2

対象

信頼性方式

信頼性方式が実現する内容

ニフクラ基盤

物理機器

ネットワークストレージ物理サーバー

冗長化

ニフクラを構成するすべての物理機器は冗長化しています。
ストレージは、RAID6相当で冗長化しています。^[16]

16. 物理機器の故障時には、コントローラやパス切り替えに伴う一時的なI/O遅延または断となる場合があります。

仮想リソース搭載物理サーバー

自動フェイルオーバー（HA機能）

物理サーバーに関して、筐体内の部品単位で必要に応じて冗長化されています。(内容は非公開)
仮想サーバーの配備された物理サーバーが故障した場合でも、筐体内の仮想サーバーを別の物理サーバーにフェイルオーバーします。^[17]

17. 自動フェイルオーバー（HA機能）した仮想サーバーは、障害があった時点の状態となります。起動状態であれば、HA後に起動されます。停止状態であれば、HA後も停止状態となります。

リソース再配置

利用者がリソースを大量に消費した場合、ニフクラ内部で自動的にリソースの再配置が行われ、負荷障害を抑止します。

仮想リソース単体

サーバー

仮想サーバー

自動フェイルオーバー（HA機能）^[18]

18. 利用者側で設定は不可

仮想サーバーが配備された物理サーバーにて故障した場合、筐体内の仮想サーバーを別の物理サーバーにフェイルオーバーします。

サーバーセパレート

指定した仮想サーバーを異なる物理サーバー上へ分離配備する機能です。冗長化用途のサーバーが物理ホスト障害の影響を同時に受ける確率を軽減します。 ^[19]

19. 物理機器故障などで当該サーバー搭載物理ホスト交換が発生した場合は、一時的に同一の物理ホストへ配置されることがあります。仮想化基盤側のリソース状況にも起因しますが、5分程度で異なる物理ホスト上へ分散される仕様となっております。

増設ディスク

「A/B」2種類提供される増設ディスク

別筐体利用

A/Bの別筐体となるディスクを用意しています。AとBではそれぞれ筐体の分離が保証されます。A同士またはB同士における筐体分離の保証はないため留意してください。

システム全体

共通

環境

複数ゾーン

物理的に区分された環境(ゾーン)を複数組み合わせてシステムを構成することにより、環境の信頼性向上が可能です。

運用待機

サービス

ニフクラRDB

ホットスタンバイ

ニフクラRDBでは、冗長化設定によりホットスタンバイが可能です。

ロードバランサー（L4）自体

ホットスタンバイ^[20]

20. 利用者側で設定は不可

ロードバランサー（L4）については、ニフクラにて冗長化を実施しています。
万が一の故障時には、自動的に待機系への切り替わりが実施されます。

サーバー

仮想サーバー

その他
コールドスタンバイ

仮想サーバーは、オンプレミスと同様にコールドスタンバイの構成も可能です。

両系運用

サービス

仮想サーバー

負荷分散

ロードバランサーを利用して負荷分散構成の実現が可能です。
仮想サーバー異常時は、ロードバランサーによって切り離されます。

本ドキュメント内
「ロードバランサー（L4）を利用したシステムの障害時の動作」を参照

サーバー

仮想サーバー

オートスケール

CPU、メモリ使用率、ネットワーク流量に応じて、設定した上限まで仮想サーバーの稼働が可能です。

データ保全対策の方式設計

作業概要

信頼性要件に基づいてデータ保全のための実現方式を設計してください。
対象のデータによりニフクラのカスタマイズイメージ機能を利用してサーバーをフルバックアップするか、ファイル単位でフルバックアップや増分/差分バックアップする等、データ保全の方式を検討してください。

ニフクラでのバックアップ手法

バックアップ手法	データ保全の対象	データ保全の環境	留意事項、その他備考
サーバー全体	増設ディスク	ファイル	他ゾーン	他リージョン	他サイト
バックアップ用ミドルウェア導入/scpコマンド等でデータコピー	○	○	○	○	○	○	バックアップ先として他ゾーン/他リージョン/他サイト等を利用する場合は、別途通信経路を検討してください。(IPsec VPN接続など) ^[21] 21. ニフクラ上での実現可否などは事前に確認/検証してください。
バックアップ/セキュリティサービス（Acronis Cyber Protect Cloud）	○	○	○	○	○	○	バックアップ先として他ゾーン/他リージョン/他サイト等を利用する場合は、別途通信経路を検討してください。(IPsec VPN接続など)
ワンデイスナップショット	○	○	－	－	－	－	システム/増設ディスクとも、ある時点の状態をスナップショットとして保持する方式です。スナップショットからシステムのリカバリも可能です。^[22] 22. 保存期限等の仕様についてクラウド技術仕様/制限値(コンピューティング:ワンデイスナップショット)をご確認ください。
カスタマイズイメージ(バックアップ)	○	○	－	○	○	－	サーバーを作成する際のテンプレートをイメージ化して保存しておく機能です。保存先は他のゾーン/リージョンにも保存可能です。^[23] 23. 保存可能な容量などの仕様はクラウド技術仕様/制限値（コンピューティング：カスタマイズイメージ/イメージ配布）をご確認ください。
バックアップ	○	○	－	－	－	－	ニフクラのサーバーを対象に定期的な自動バックアップや任意のタイミングでバックアップを取得する機能です。^[24] 24. 保存可能な容量や世代、その他注意点などクラウド技術仕様/制限値(コンピューティング:バックアップ)をご確認ください。

バックアップ手法

データ保全の対象

データ保全の環境

留意事項、その他備考

サーバー全体

増設ディスク

ファイル

他ゾーン

他リージョン

他サイト

バックアップ用ミドルウェア導入/scpコマンド等でデータコピー

○

バックアップ先として他ゾーン/他リージョン/他サイト等を利用する場合は、別途通信経路を検討してください。(IPsec VPN接続など) ^[21]

21. ニフクラ上での実現可否などは事前に確認/検証してください。

バックアップ/セキュリティサービス（Acronis Cyber Protect Cloud）

○

バックアップ先として他ゾーン/他リージョン/他サイト等を利用する場合は、別途通信経路を検討してください。(IPsec VPN接続など)

ワンデイスナップショット

○

－

システム/増設ディスクとも、ある時点の状態をスナップショットとして保持する方式です。スナップショットからシステムのリカバリも可能です。^[22]

22. 保存期限等の仕様についてクラウド技術仕様/制限値(コンピューティング:ワンデイスナップショット)をご確認ください。

カスタマイズイメージ(バックアップ)

○

－

○

－

サーバーを作成する際のテンプレートをイメージ化して保存しておく機能です。保存先は他のゾーン/リージョンにも保存可能です。^[23]

23. 保存可能な容量などの仕様はクラウド技術仕様/制限値（コンピューティング：カスタマイズイメージ/イメージ配布）をご確認ください。

バックアップ

○

－

ニフクラのサーバーを対象に定期的な自動バックアップや任意のタイミングでバックアップを取得する機能です。^[24]

24. 保存可能な容量や世代、その他注意点などクラウド技術仕様/制限値(コンピューティング:バックアップ)をご確認ください。

仮想サーバーのエクスポート機能、テープバックアップなどの機能提供はありません。留意してください。

災害対策の方式設計

作業概要

信頼性要件に基づいて、自然災害などの備えとなる機器やシステムを設計してください。
データのバックアップやシステム全体を遠隔地の災害対策環境(DRサイト)に保全するための実現方式を検討してください。

検討事項

検討事項	内容
DRサイト規模、内容	目標復旧時間/復旧時点、求められる性能などにより、DRサイトを本番環境と同一構成とするか、最小限のシステム構成とするか等、DRサイトの規模、内容を検討してください。 DRサイトの規模、内容を検討する際は、ゾーン間での冗長化も合わせて検討してください。次表に、業務継続性別のDRサイト/ゾーン冗長の選択指針例を記載します。本ドキュメント内「DRサイト構築事例概要：構成概要」を参照
DRサイト構築	DRサイトを構築する際は、各リージョンでそれぞれシステムを構築してください。カスタマイズイメージ(バックアップ)/イメージ配布やクラウド型バックアップサービス(バックアップ/セキュリティサービス（Acronis Cyber Protect Cloud）)を利用することにより、別リージョンへ同一の仮想サーバーを作成できます。
DRサイト間ネットワーク	プライベートブリッジにより、リージョン間のプライベートLANを接続できます。ダイレクトポートサービスを利用し、閉域網や専用線によりリージョン間を接続できます。拠点間VPNゲートウェイ、インターネットVPN（H/W）を利用し、IPsecVPNを用いて、暗号化された経路で安価にインターネット越しに接続できます。
DRサイト間データ同期	DRサイト間でデータを同期したい場合は、サイト間のネットワークをIPsecVPNかリージョン間を閉域網などにより接続し、scpなどのコマンドでコピーするスクリプトを作成する、あるいはレプリケーション可能なミドルウェアを導入することを検討してください。
DRサイト切替	ニフクラでは、DRサイトを切り替える機能は提供していません。外部に公開しているWebサイトなどでは、DNSのフェイルオーバー機能を利用することでDRサイトへの切り替えが可能です。複数リージョンにて、同一のシステムを構築し、DNSサービスの「フェイルオーバー」機能を利用することで、リージョン障害が起こった場合でも別リージョンで業務継続可能となります。

内容

DRサイト規模、内容

目標復旧時間/復旧時点、求められる性能などにより、DRサイトを本番環境と同一構成とするか、最小限のシステム構成とするか等、DRサイトの規模、内容を検討してください。
DRサイトの規模、内容を検討する際は、ゾーン間での冗長化も合わせて検討してください。
次表に、業務継続性別のDRサイト/ゾーン冗長の選択指針例を記載します。

本ドキュメント内「DRサイト構築事例概要：構成概要」を参照

DRサイト構築

DRサイトを構築する際は、各リージョンでそれぞれシステムを構築してください。
カスタマイズイメージ(バックアップ)/イメージ配布やクラウド型バックアップサービス(バックアップ/セキュリティサービス（Acronis Cyber Protect Cloud）)を利用することにより、別リージョンへ同一の仮想サーバーを作成できます。

DRサイト間ネットワーク

プライベートブリッジにより、リージョン間のプライベートLANを接続できます。
ダイレクトポートサービスを利用し、閉域網や専用線によりリージョン間を接続できます。
拠点間VPNゲートウェイ、インターネットVPN（H/W）を利用し、IPsecVPNを用いて、暗号化された経路で安価にインターネット越しに接続できます。

DRサイト間データ同期

DRサイト間でデータを同期したい場合は、サイト間のネットワークをIPsecVPNかリージョン間を閉域網などにより接続し、scpなどのコマンドでコピーするスクリプトを作成する、あるいはレプリケーション可能なミドルウェアを導入することを検討してください。

DRサイト切替

ニフクラでは、DRサイトを切り替える機能は提供していません。
外部に公開しているWebサイトなどでは、DNSのフェイルオーバー機能を利用することでDRサイトへの切り替えが可能です。複数リージョンにて、同一のシステムを構築し、DNSサービスの「フェイルオーバー」機能を利用することで、リージョン障害が起こった場合でも別リージョンで業務継続可能となります。

業務継続性別のDRサイト/ゾーン冗長の選択指針例

災害対策(DRサイト)	ゾーン規模障害対策	許容可能停止時間	仮想サーバー SLA対象	システム概要	推奨適用パターン
リージョン	ゾーン
必要	必要	無停止	対象	大規模基幹システム	複数リージョン	複数ゾーン
不要	数時間	基幹システム	複数リージョン	単一ゾーン
不要	必要	数時間	基幹システム	単一リージョン	複数ゾーン
不要	1日程度	非基幹システム情報参照系システム	単一リージョン	単一ゾーン

災害対策(DRサイト)

ゾーン規模障害対策

許容可能停止時間

仮想サーバー SLA対象

システム概要

推奨適用パターン

リージョン

ゾーン

必要

無停止

対象

大規模基幹システム

複数リージョン

複数ゾーン

不要

数時間

基幹システム

複数リージョン

単一ゾーン

不要

必要

数時間

基幹システム

単一リージョン

複数ゾーン

不要

1日程度

非基幹システム
情報参照系システム

単一リージョン

単一ゾーン

障害時対応の方式設計

作業概要

障害対策方式(復旧方式の設定、縮退操作の設定)を設計してください。基本的な設計方法はオンプレミスと同様です。
ニフクラRDBなどニフクラが提供するサービスについても、障害発生時、復旧時の挙動を把握して設計してください。

検討事項

検討事項	内容
復旧方式	Webサーバーなどの仮想リソースごとに、想定される障害一覧、業務影響、復旧方式などを検討してください。ニフクラで想定される障害としては、以下のようなものがあります。仮想リソース(ルーター、マルチロードバランサー、仮想サーバー等)を配備した物理機器のハード障害仮想サーバー障害(OS以上の領域の障害に伴う) 仮想サーバー内のOS/ミドルウェア障害仮想サーバー内のアプリ障害仮想サーバー内のアプリのスローダウンゾーン障害ニフクラ⇔オンプレミス間ネットワーク障害等
縮退方式	冗長化構成にしている仮想リソースに対して、片系で障害が発生した場合のSE作業及びシステム動作を検討してください。ニフクラで想定される障害としては、以下のようなものがあります。ロードバランサーで障害ロードバランサーにて負荷分散されているWebサーバーで障害冗長化設定したニフクラRDBの片系障害等

内容

復旧方式

Webサーバーなどの仮想リソースごとに、想定される障害一覧、業務影響、復旧方式などを検討してください。ニフクラで想定される障害としては、以下のようなものがあります。

仮想リソース(ルーター、マルチロードバランサー、仮想サーバー等)を配備した物理機器のハード障害
仮想サーバー障害(OS以上の領域の障害に伴う)
- 仮想サーバー内のOS/ミドルウェア障害
- 仮想サーバー内のアプリ障害
- 仮想サーバー内のアプリのスローダウン
ゾーン障害
ニフクラ⇔オンプレミス間ネットワーク障害

等

縮退方式

冗長化構成にしている仮想リソースに対して、片系で障害が発生した場合のSE作業及びシステム動作を検討してください。ニフクラで想定される障害としては、以下のようなものがあります。

ロードバランサーで障害
ロードバランサーにて負荷分散されているWebサーバーで障害
冗長化設定したニフクラRDBの片系障害

等

復旧方式の設計例

検討対象	想定される障害	影響範囲	業務影響	復旧方式
ルーター拠点間VPNゲートウェイマルチロードバランサー仮想サーバーリモートアクセスVPNゲートウェイ	仮想リソースを搭載した物理機器のハード障害	単体	あり	仮想リソースのHA後、必要に応じて業務的なリカバリ処理を実施
ゾーン障害	ゾーン	あり	ニフクラ基盤の復旧後、必要に応じて業務的なリカバリ処理を実施
ロードバランサー（L4）	物理機器障害	単体	あり	自動で従系に切り替わるため、基本対処の必要なし
ゾーン障害	ゾーン	なし	ゾーンに依存しないためロードバランサー（L4）自体に影響はなし
ロードバランサー配下のWebサーバー	仮想リソースを搭載した物理機器のハード障害	片系	なし(縮退)	仮想リソースのHA後、ロードバランサーに自動組込み必要に応じて業務的なリカバリ処理を実施
両系	業務停止	ニフクラ基盤の復旧後、必要に応じて業務的なリカバリ処理を実施 ^[25] 25. 仮想サーバーはサーバーセパレート設定をすることで、同一の物理筐体にならないよう設定可能だが、その設定をしたうえですべてのWebサーバーが障害の場合は、ゾーン障害相当の障害が発生している可能性がある
OS/ミドルウェア障害	片系	なし(縮退)	必要に応じて業務的なリカバリ処理を実施
両系	業務停止	業務を停止して、OS/ミドルウェア保守を実施
アプリ障害	片系	なし(縮退)	必要に応じて業務的なリカバリ処理を実施
両系	業務停止	業務を停止して、アプリ保守を実施
アプリのスローダウン	－	性能劣化	必要に応じて業務的なリカバリ処理を実施
以下省略

検討対象

想定される障害

影響範囲

業務影響

復旧方式

ルーター拠点間VPNゲートウェイマルチロードバランサー仮想サーバーリモートアクセスVPNゲートウェイ

仮想リソースを搭載した物理機器のハード障害

単体

あり

仮想リソースのHA後、必要に応じて業務的なリカバリ処理を実施

ゾーン障害

ゾーン

あり

ニフクラ基盤の復旧後、必要に応じて業務的なリカバリ処理を実施

ロードバランサー（L4）

物理機器障害

単体

あり

自動で従系に切り替わるため、基本対処の必要なし

ゾーン障害

ゾーン

なし

ゾーンに依存しないためロードバランサー（L4）自体に影響はなし

ロードバランサー配下のWebサーバー

仮想リソースを搭載した物理機器のハード障害

片系

なし(縮退)

仮想リソースのHA後、ロードバランサーに自動組込み必要に応じて業務的なリカバリ処理を実施

両系

業務停止

ニフクラ基盤の復旧後、必要に応じて業務的なリカバリ処理を実施 ^[25]

25. 仮想サーバーはサーバーセパレート設定をすることで、同一の物理筐体にならないよう設定可能だが、その設定をしたうえですべてのWebサーバーが障害の場合は、ゾーン障害相当の障害が発生している可能性がある

OS/ミドルウェア障害

片系

なし(縮退)

必要に応じて業務的なリカバリ処理を実施

両系

業務停止

業務を停止して、OS/ミドルウェア保守を実施

アプリ障害

片系

なし(縮退)

必要に応じて業務的なリカバリ処理を実施

両系

業務停止

業務を停止して、アプリ保守を実施

アプリのスローダウン

－

性能劣化

必要に応じて業務的なリカバリ処理を実施

以下省略

memo: ニフクラに限らず、オンプレミスでも、上記のような復旧方式や縮退方式の設計は必要です。復旧方式や縮退方式は、仮想サーバーで処理する業務により、処理内容を検討してください。

方式詳細と参考ドキュメント

詳細な方式例としてCDP (クラウドデザインパターン)や、システム構成の参考事例、参考ドキュメントを記載します。

設計項目	ドキュメント掲載先	ドキュメント名または本ドキュメント内のタイトル	内容
信頼性関連	本ドキュメント内	適用事例：複数ゾーン構成	信頼性の観点を考慮した複数ゾーン構成の事例を記載しています。
CDP	サーバー冗長化パターン	Webサービスで、性能、信頼性を考慮した構成を実現したい場合のパターンです。
本ドキュメント内	ロードバランサー（L4）を利用したシステムの障害時の動作	ニフクラのロードバランサー（L4）を利用したシステムの想定障害として、ロードバランサー（L4）自体が異常の場合と、ロードバランサー（L4）配下の仮想サーバーが異常の場合を記載しています。
CDP	複数リージョンでのDRパターン：ホットスタンバイ	データセンターの火災や大規模な電源障害など、1つのリージョン全体に影響があるような事態でも、業務を継続したいパターンです。
CDP	オートスケールパターン	負荷分散機能に加え、アクセス状況により仮想サーバーの増減を可能にするパターンです。
CDP	NAS利用パターン	共有ストレージを構築するパターンです。
CDP	サーバーセパレートパターン	仮想サーバーを確実に別々の物理サーバー上に配備することで、ニフクラ内部で物理サーバー故障時の影響範囲を局所化するようにしたい場合のパターンです。
CDP	RDBパターン	セットアップや運用(スケーリング、バックアップなど)を容易に実行できる、ニフクラのニフクラRDBを利用するパターンです。
データ保全関連	CDP	スナップショット/リストアパターン	仮想サーバーにOSのパッチ適用作業などをする前や、増設ディスクのデータを変更する前に、データを高速に保存し、万一の場合に復旧できるようにしたいといった場合のパターンです。
CDP	サーバーコピーパターン：サーバーの複製	ニフクラに配備した仮想サーバーを、サーバー構築の効率化のために複製したいといった場合のパターンです。
災害対策関連	本ドキュメント内	DRサイト構築事例概要：構成概要	東日本リージョンに本番環境、西日本リージョンに災害対策環境(DRサイト)を構築する事例です。本番環境から DRサイトへのバックアップ例も記載しています。
本ドキュメント内	DNSのフェイルオーバー機能での切替動作概要	東日本リージョンがダウンした際に、西日本リージョンに切り替える事例です。

設計項目

ドキュメント掲載先

ドキュメント名または本ドキュメント内のタイトル

内容

信頼性関連

本ドキュメント内

適用事例：複数ゾーン構成

信頼性の観点を考慮した複数ゾーン構成の事例を記載しています。

CDP

サーバー冗長化パターン

Webサービスで、性能、信頼性を考慮した構成を実現したい場合のパターンです。

本ドキュメント内

ロードバランサー（L4）を利用したシステムの障害時の動作

ニフクラのロードバランサー（L4）を利用したシステムの想定障害として、ロードバランサー（L4）自体が異常の場合と、ロードバランサー（L4）配下の仮想サーバーが異常の場合を記載しています。

CDP

複数リージョンでのDRパターン：ホットスタンバイ

データセンターの火災や大規模な電源障害など、1つのリージョン全体に影響があるような事態でも、業務を継続したいパターンです。

CDP

オートスケールパターン

負荷分散機能に加え、アクセス状況により仮想サーバーの増減を可能にするパターンです。

CDP

NAS利用パターン

共有ストレージを構築するパターンです。

CDP

サーバーセパレートパターン

仮想サーバーを確実に別々の物理サーバー上に配備することで、ニフクラ内部で物理サーバー故障時の影響範囲を局所化するようにしたい場合のパターンです。

CDP

RDBパターン

セットアップや運用(スケーリング、バックアップなど)を容易に実行できる、ニフクラのニフクラRDBを利用するパターンです。

データ保全関連

CDP

スナップショット/リストアパターン

仮想サーバーにOSのパッチ適用作業などをする前や、増設ディスクのデータを変更する前に、データを高速に保存し、万一の場合に復旧できるようにしたいといった場合のパターンです。

CDP

サーバーコピーパターン：サーバーの複製

ニフクラに配備した仮想サーバーを、サーバー構築の効率化のために複製したいといった場合のパターンです。

災害対策関連

本ドキュメント内

DRサイト構築事例概要：構成概要

東日本リージョンに本番環境、西日本リージョンに災害対策環境(DRサイト)を構築する事例です。本番環境から DRサイトへのバックアップ例も記載しています。

本ドキュメント内

DNSのフェイルオーバー機能での切替動作概要

東日本リージョンがダウンした際に、西日本リージョンに切り替える事例です。

ロードバランサー（L4）を利用したシステムの障害時の動作

障害事例～ロードバランサー（L4）障害時

ニフクラのロードバランサー（L4）異常時は、従系へ自動的に切り替わりが発生し、正常復旧します。そのため利用者側でロードバランサー（L4）についての対処は不要です。

検討事項

セッション引継ぎ
- ロードバランサー（L4）の切り替わり時にはセッションの引継ぎは行われないことに留意してください。
切り戻し
- 復旧したロードバランサー（L4）は従系として組込みを実施し、基本的に切り戻しは実施しない方針となります。やむを得ず、切り戻しをする場合は、事前にメンテナンス告知を実施し作業します。障害お知らせ通知などを利用して情報を収集してください。

振り分け先サーバー障害時のロードバランサー（L4）の動作

障害事例～ロードバランサー（L4）配下の仮想サーバー障害時
- ロードバランサー（L4）配下に、Webサーバーが2台設定されているものとします。
  Webサーバー2台のうち、1台に正常にアクセスできなくなり、ロードバランサー（L4）からのヘルスチェックが異常となった場合、そのWebサーバーがロードバランサー（L4）から切り離されます。
  切り離されたWebサーバーは、ロードバランサー（L4）のヘルスチェックで正常なアクセスが確認できた場合、再度ロードバランサー（L4）に組み込まれます。
正常時
- Webサーバー2台に正常にアクセスできている状態
Webサーバーに異常発生
- Webサーバー1台が正常にアクセスできなくなった状態。ヘルスチェック結果が異常
異常になったWebサーバーを切り離し
- 正常にアクセスできなくなったWebサーバーを切り離した状態

DRサイト構築事例概要：構成概要

概要

東日本リージョンに本番環境、西日本リージョンに災害対策環境(DRサイト)を構築
DRサイトは、非常時用として各サーバー1台構成でシステムとネットワークを構築
西日本リージョンのシステムは、東日本リージョンにて作成した手順と同様の手順で作成するかカスタマイズイメージ、Acronis等を利用して構築
東日本リージョンと西日本リージョンのネットワークは以下2つのパターンで構築
- ①プライベートブリッジを利用してリージョン間のプライベートLANでL2接続(重要データはプライベートLANの経路で転送)
- ②拠点間VPNゲートウェイ、インターネットVPN（H/W）等を利用してIPsecVPNでインターネット越しに接続

※拠点間VPNゲートウェイに接続されたプライベートLAN同士は、プライベートブリッジなどの接続サービスによって接続できません。（プライベートブリッジとの併用時の注意点についてを参照）

DRサイト構築事例概要：バックアップ構成

構成図補足

【リージョン間のバックアップ、レプリケーション】: DR環境へのバックアップ、データのレプリケーションには、リージョン間をプライベートブリッジ接続の経路や、IPsecVPNで接続したインターネット越しの経路を通じて実施
※バックアップは自作ツールまたはバックアップ用ミドルウェアを利用
※拠点間VPNゲートウェイに接続されたプライベートLAN同士は、プライベートブリッジなどの接続サービスによって接続できません。（プライベートブリッジとの併用時の注意点についてを参照）

DNSのフェイルオーバー機能での切替動作概要

構成図補足

【東日本リージョン罹災時】

DNSフェイルオーバーにより自動で、応答するレコードを切り替える。

フェイルオーバーによるサイト切替の概要

ニフクラDNSのフェイルオーバーにて、プライマリに東日本のロードバランサー（L4）のIPアドレスを設定する。セカンダリに西日本のWeb/APサーバーのグローバルIPアドレスを設定する。
上記の設定により東日本罹災時、DNSフェイルオーバーが発生し、セカンダリのIPアドレスのレコード情報を応答することになります。

３．ネットワーク

設計のポイント

以下では、ネットワーク関連のニフクラのサービス/機能を記載しています。ニフクラにてネットワーク観点で設計をする際には、以下のニフクラのサービス/機能を検討してください。

区分	対応するサービス/機能	ニフクラのサービス/機能の概要	選択値・条件
LAN	プライベートLAN	ニフクラではサーバー作成時、サーバーにグローバルネットワークとプライベートネットワークの2つにNICが接続されます。グローバルネットワークインターネット側と通信可能な共通グローバルネットワークです。プライベートネットワークインターネット環境とは隔離されたネットワークです。サーバー作成時にはデフォルトで共通プライベートに接続されます。共通プライベートネットワークから、L2レベルで隔離されたプライベートLANへ変更可能です。プライベートLANを利用することにより、プライベートLANに接続された仮想サーバーのNICに、OSから静的にIPアドレスを設定できます。 ^[26] 26. サーバー作成後追加NICを付与することにより複数のプライベートLANに所属させることが可能です。	プライベートLANにて利用可能なプレフィックス長等の仕様はクラウド技術仕様/制限値（ネットワーク：プライベートLAN）をご確認ください。プライベートLANに接続されたNIC以外のネットワーク設定変更は禁止事項 (一部を除く)
ルーター	共通グローバルネットワークと共通プライベートネットワーク、またはプライベートLANを接続する機能を提供します。ルーティング機能、NAT機能、Webプロキシ機能、DHCPオプション機能等を利用できます。通常の仮想サーバーと同様に、ファイアウォールグループに所属できます。
プライベートブリッジ	リージョン内の異なるゾーン間(ゾーン内も可)のプライベートLAN同士をL2延伸にて接続可能なサービスです。プライベートブリッジを利用することにより、複数のゾーンを利用したシステムを簡単に構築できます。	利用可能なリージョンはクラウド技術仕様/制限値（プライベートブリッジ）「提供リージョン」項目をご確認ください。
WAN	ダイレクトポート/物理ポート、プライベートアクセス（閉域網集線型接続サービス）	ダイレクトポート/物理ポート、プライベートアクセス（閉域網集線型接続サービス）は、ニフクラ環境と利用者環境を接続するサービスです。ダイレクトポート^[27] ニフクラ上に構築したシステムへ、利用者の拠点、データセンター等から専用線・閉域網でダイレクトに接続するためのポートを提供します物理ポートプライベートブリッジを通信キャリアの回線または構内配線と接続するネットワークサービスです。プライベートアクセス（閉域網集線型接続サービス）ニフクラから回線事業者の閉域網へのプライベートな接続を提供するサービスです。ニフクラと回線事業者の閉域網の物理接続を事前に行っているため論理接続を構築するだけで接続が可能です。 27. 本ドキュメントの「拠点環境とのダイレクトポート接続事例」を参照
拠点間VPNゲートウェイ	ニフクラのIaaS上に配備して、利用者拠点とインターネットVPN接続可能なサービスです。^[28] 28. 本ドキュメント内「拠点間VPNゲートウェイ接続事例」を参照	接続方式はクラウド技術仕様/制限値（拠点間VPNゲートウェイ）をご確認ください。
インターネットVPN（H/W）	機器設置型(ハードウェアタイプ)で、利用者拠点とインターネットVPNで接続可能なサービスです。^[29] 29. 本ドキュメント内「インターネットVPN（H/W）接続事例」を参照	接続方式は「インターネットVPN（H/W）」サービス仕様書（PDF）をご確認ください。
リモートアクセスVPNゲートウェイ	ニフクラのIaaS上に配備して、利用者端末とインターネットVPNで接続可能なサービスです。^[30] 30. 本ドキュメント内「リモートアクセスVPNゲートウェイ接続事例」を参照	詳細な仕様はクラウド技術仕様/制限値(ネットワーク:リモートアクセスVPNゲートウェイ)をご確認ください。
サーバー負荷分散	ロードバランサー（L4）	ロードバランサー（L4）サービスは、L4層の負荷分散をするサービスです。L7層は非対応です。
マルチロードバランサー	マルチロードバランサーは、L4層の負荷分散をするサービスです。L7層は非対応です。
L7ロードバランサー（Ivanti Virtual Traffic Manager）	L7ロードバランサーは、サードパーティ製のソリューションサービスとなります。 L4層の負荷分散のみならず、L7層の負荷分散が可能です。
ファイアウォール(セキュリティの章も参照)	ファイアウォール	ファイアウォールサービスは、プロトコル、ポート番号、Incoming/Outgoingでアクセス許可を制御する機能です。仮想サーバー、ルーター、拠点間VPNゲートウェイに適用可能で、複数サーバーを同一ルールに所属させることが可能です。	対応プロトコル等の仕様はクラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)をご確認ください。
ウイルスゲート IDS/IPS (詳細はセキュリティの章を参照)	Trend Micro Cloud One - Workload Security	サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーへオプションで導入可能です。本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。
ウイルス・スパイウエア対策（ESET Server Security）	サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーへオプションで導入可能です。本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。
IDS	ネットワーク上を流れるパケットを常時監視し、不正アクセスを検知し通報するサービスをオプションで導入可能です。ニフクラ上で構築されたサーバーへの様々な不正アクセスや、サーバーに仕掛けられた悪意のあるプログラム(トロイの木馬、バックドア等)の発する情報を常時監視し、ファイアウォールで防ぐことのできない攻撃も検知可能です。
統合ネットワークサービス	統合ネットワークサービス（IPCOM VE2Vシリーズ）	ニフクラパートナーのソフトウェアを利用したソリューションサービスです。ニフクラの仮想マシンに対して高度なネットワーク機能を提供します。セキュリティ対策機能(ファイアウォール、IPS、VPNなど)を提供するSCシリーズと、ネットワーク最適化機能(帯域制御、サーバー負荷分散、SSLアクセラレータ―、WAFなど)を提供するLSシリーズで構成されます。各機能の詳細は「データシート」^[31] を参照してください。 31. ドキュメント内のVE2はVE2Vに読み替えてください。	4つの機能シリーズ（SC、SC PLUS、LS、LS PLUS）と、2つのスペック(220/100)の、合計8種類から選択
その他	DNS/GSLB（広域負荷分散）/ドメイン取得・管理	ニフクラが提供するDNSサービスです。インターネットと通信ができる環境から利用可能です。キャッシュDNSの機能はないため留意してください。
ESS（メール配信）	ニフクラが提供するメール配信サービスです。メール送信機能のみとなります。
CDN（Fastly）	サードパーティ製のソリューションサービスのCDNです。独自システムと高スペックインフラによる瞬時キャッシュ消去/更新で、従来のCDNでは実現が難しかった動的コンテンツをキャッシュできることが特徴です。
CDN（J-Stream CDNext）	サードパーティ製のソリューションサービスのCDNです。配信規模・内容に応じて柔軟な配信制御が可能な管理コンソールと日本企業ならではのサポートを提供します。
WAF（Scutum）	サードパーティ製のソリューションサービスのWAFです。サイト上のアプリケーションに特化したファイアウォール機能をSaaS型で提供します。
WAF（攻撃遮断くん）	サードパーティ製のソリューションサービスのWAFです。用途に応じたセキュリティタイプを選定可能です。	サーバーセキュリティタイプ、WEBセキュリティタイプ、DDoSセキュリティタイプから選択
検疫ネットワーク/URLフィルター/スパム対策	ニフクラでは、左記の区分に該当するサービスや機能はありません。	左記のように、ネットワーク機器で対応するような機能やサービスは、ニフクラ上ではありません。左記の機能が必須要件であれば、オンプレミス環境に左記の機能を実現する環境を導入し、ニフクラ環境とオンプレミス環境を、プライベートアクセスなどで接続して利用するシステム構成により要件に対応してください。

区分

対応するサービス/機能

ニフクラのサービス/機能の概要

選択値・条件

LAN

プライベートLAN

ニフクラではサーバー作成時、サーバーにグローバルネットワークとプライベートネットワークの2つにNICが接続されます。

グローバルネットワークインターネット側と通信可能な共通グローバルネットワークです。
プライベートネットワークインターネット環境とは隔離されたネットワークです。
サーバー作成時にはデフォルトで共通プライベートに接続されます。
共通プライベートネットワークから、L2レベルで隔離されたプライベートLANへ変更可能です。

プライベートLANを利用することにより、プライベートLANに接続された仮想サーバーのNICに、OSから静的にIPアドレスを設定できます。

^[26]

26. サーバー作成後追加NICを付与することにより複数のプライベートLANに所属させることが可能です。

プライベートLANにて利用可能なプレフィックス長等の仕様はクラウド技術仕様/制限値（ネットワーク：プライベートLAN）をご確認ください。
プライベートLANに接続されたNIC以外のネットワーク設定変更は禁止事項 (一部を除く)

ルーター

共通グローバルネットワークと共通プライベートネットワーク、またはプライベートLANを接続する機能を提供します。
ルーティング機能、NAT機能、Webプロキシ機能、DHCPオプション機能等を利用できます。
通常の仮想サーバーと同様に、ファイアウォールグループに所属できます。

プライベートブリッジ

リージョン内の異なるゾーン間(ゾーン内も可)のプライベートLAN同士をL2延伸にて接続可能なサービスです。プライベートブリッジを利用することにより、複数のゾーンを利用したシステムを簡単に構築できます。

利用可能なリージョンはクラウド技術仕様/制限値（プライベートブリッジ）「提供リージョン」項目をご確認ください。

WAN

ダイレクトポート/物理ポート、プライベートアクセス（閉域網集線型接続サービス）

ダイレクトポート/物理ポート、プライベートアクセス（閉域網集線型接続サービス）は、ニフクラ環境と利用者環境を接続するサービスです。

ダイレクトポート^[27]
ニフクラ上に構築したシステムへ、利用者の拠点、データセンター等から専用線・閉域網でダイレクトに接続するためのポートを提供します
物理ポート
プライベートブリッジを通信キャリアの回線または構内配線と接続するネットワークサービスです。
プライベートアクセス（閉域網集線型接続サービス）
ニフクラから回線事業者の閉域網へのプライベートな接続を提供するサービスです。ニフクラと回線事業者の閉域網の物理接続を事前に行っているため論理接続を構築するだけで接続が可能です。

27. 本ドキュメントの「拠点環境とのダイレクトポート接続事例」を参照

拠点間VPNゲートウェイ

ニフクラのIaaS上に配備して、利用者拠点とインターネットVPN接続可能なサービスです。^[28]

28. 本ドキュメント内「拠点間VPNゲートウェイ接続事例」を参照

接続方式はクラウド技術仕様/制限値（拠点間VPNゲートウェイ）をご確認ください。

インターネットVPN（H/W）

機器設置型(ハードウェアタイプ)で、利用者拠点とインターネットVPNで接続可能なサービスです。^[29]

29. 本ドキュメント内「インターネットVPN（H/W）接続事例」を参照

接続方式は「インターネットVPN（H/W）」サービス仕様書（PDF）をご確認ください。

リモートアクセスVPNゲートウェイ

ニフクラのIaaS上に配備して、利用者端末とインターネットVPNで接続可能なサービスです。^[30]

30. 本ドキュメント内「リモートアクセスVPNゲートウェイ接続事例」を参照

詳細な仕様はクラウド技術仕様/制限値(ネットワーク:リモートアクセスVPNゲートウェイ)をご確認ください。

サーバー負荷分散

ロードバランサー（L4）

ロードバランサー（L4）サービスは、L4層の負荷分散をするサービスです。L7層は非対応です。

マルチロードバランサー

マルチロードバランサーは、L4層の負荷分散をするサービスです。L7層は非対応です。

L7ロードバランサー（Ivanti Virtual Traffic Manager）

L7ロードバランサーは、サードパーティ製のソリューションサービスとなります。 L4層の負荷分散のみならず、L7層の負荷分散が可能です。

ファイアウォール(セキュリティの章も参照)

ファイアウォール

ファイアウォールサービスは、プロトコル、ポート番号、Incoming/Outgoingでアクセス許可を制御する機能です。仮想サーバー、ルーター、拠点間VPNゲートウェイに適用可能で、複数サーバーを同一ルールに所属させることが可能です。

対応プロトコル等の仕様はクラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)をご確認ください。

ウイルスゲート IDS/IPS (詳細はセキュリティの章を参照)

Trend Micro Cloud One - Workload Security

サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーへオプションで導入可能です。

本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。

ウイルス・スパイウエア対策（ESET Server Security）

サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーへオプションで導入可能です。

本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。

IDS

ネットワーク上を流れるパケットを常時監視し、不正アクセスを検知し通報するサービスをオプションで導入可能です。ニフクラ上で構築されたサーバーへの様々な不正アクセスや、サーバーに仕掛けられた悪意のあるプログラム(トロイの木馬、バックドア等)の発する情報を常時監視し、ファイアウォールで防ぐことのできない攻撃も検知可能です。

統合ネットワークサービス

統合ネットワークサービス（IPCOM VE2Vシリーズ）

ニフクラパートナーのソフトウェアを利用したソリューションサービスです。ニフクラの仮想マシンに対して高度なネットワーク機能を提供します。セキュリティ対策機能(ファイアウォール、IPS、VPNなど)を提供するSCシリーズと、ネットワーク最適化機能(帯域制御、サーバー負荷分散、SSLアクセラレータ―、WAFなど)を提供するLSシリーズで構成されます。各機能の詳細は「データシート」^[31] を参照してください。

31. ドキュメント内のVE2はVE2Vに読み替えてください。

4つの機能シリーズ（SC、SC PLUS、LS、LS PLUS）と、2つのスペック(220/100)の、合計8種類から選択

その他

DNS/GSLB（広域負荷分散）/ドメイン取得・管理

ニフクラが提供するDNSサービスです。
インターネットと通信ができる環境から利用可能です。キャッシュDNSの機能はないため留意してください。

ESS（メール配信）

ニフクラが提供するメール配信サービスです。メール送信機能のみとなります。

CDN（Fastly）

サードパーティ製のソリューションサービスのCDNです。
独自システムと高スペックインフラによる瞬時キャッシュ消去/更新で、従来のCDNでは実現が難しかった動的コンテンツをキャッシュできることが特徴です。

CDN（J-Stream CDNext）

サードパーティ製のソリューションサービスのCDNです。
配信規模・内容に応じて柔軟な配信制御が可能な管理コンソールと日本企業ならではのサポートを提供します。

WAF（Scutum）

サードパーティ製のソリューションサービスのWAFです。
サイト上のアプリケーションに特化したファイアウォール機能をSaaS型で提供します。

WAF（攻撃遮断くん）

サードパーティ製のソリューションサービスのWAFです。
用途に応じたセキュリティタイプを選定可能です。

サーバーセキュリティタイプ、WEBセキュリティタイプ、DDoSセキュリティタイプから選択

検疫ネットワーク/URLフィルター/スパム対策

ニフクラでは、左記の区分に該当するサービスや機能はありません。

左記のように、ネットワーク機器で対応するような機能やサービスは、ニフクラ上ではありません。左記の機能が必須要件であれば、オンプレミス環境に左記の機能を実現する環境を導入し、ニフクラ環境とオンプレミス環境を、プライベートアクセスなどで接続して利用するシステム構成により要件に対応してください。

メニュー構成とメニュー選択時の条件

プライベート接続サービスでは、以下のサービスを提供しています。本機能により拠点環境とのセキュアなハイブリッドクラウドを実現します。併用も可能です。

設計ポイントの適用事例

典型的なシステム構成例や、外部環境との接続など、ニフクラで提供しているネットワーク関連のサービス/機能の適用事例を記載します。

適用事例	利用するサービス/機能	概要
(1) ニフクラで構成可能な複数ゾーンのシステム構成例	プライベートLAN ルータープライベートブリッジロードバランサー（L4）追加NIC	ニフクラで構成可能な複数ゾーンを利用したシステム構成例を記載します。ニフクラで提供する左記のサービス/機能を利用して、システムの信頼性を向上します。プライベートLAN、プライベートブリッジを利用した複数ゾーン構成で、システムの信頼性を向上プライベートLANをルーターで、2階層に分割 Web/APを配備するネットワークデータベースなどを配備するプライベートネットワーク冗長化が必要なデータベースなどのために同期用のネットワークを配備。インターネットからアクセス可能なネットワークに、Web/APサーバーを配備。それぞれ別ゾーンに配備するように考慮し、ロードバランサー（L4）で負荷分散を実施。
(2) ニフクラのシステムとデータセンター環境、拠点環境とのダイレクトポート接続事例	ダイレクトポート^[32] 32. 本機能の詳細は、以下のドキュメントを参照してください。『クラウド技術仕様/制限値(ネットワーク:ダイレクトポート（専用線・閉域網接続サービス）)』	ダイレクトポートを利用してニフクラ上に構築したシステムに、拠点環境と専用線・閉域網からダイレクトに接続する事例を記載します。
(3) ニフクラのシステムとデータセンター環境との物理ポート（構内接続プラン）接続事例	物理ポート（構内接続プラン） ^[33] 33. 本機能の詳細は、以下のドキュメントを参照してください。『クラウド技術仕様/制限値（プライベートブリッジ：物理ポート）』	物理ポート（構内接続プラン）を利用してニフクラ上に構築したシステムとデータセンターのホスティング環境を、物理ポートでダイレクトに接続する事例を記載します。
(4) VPN接続事例	拠点間VPNゲートウェイインターネットVPN（H/W）リモートアクセスVPNゲートウェイ	ニフクラ環境とのインターネットVPN接続例です。拠点、端末からニフクラ環境にIPsecVPN/SSL-VPNを用いて接続する3つのパターンを記載します。
(5) DRサイト構築事例	ダイレクトポート拠点間VPNゲートウェイ	同一国内のリージョン間を接続する事例です。ダイレクトポートでの接続とインターネットVPN接続を利用します。本ドキュメント内「DRサイト構築事例概要：構成概要」を参照してください。

適用事例

利用するサービス/機能

概要

(1) ニフクラで構成可能な複数ゾーンのシステム構成例

プライベートLAN
ルーター
プライベートブリッジ
ロードバランサー（L4）
追加NIC

ニフクラで構成可能な複数ゾーンを利用したシステム構成例を記載します。ニフクラで提供する左記のサービス/機能を利用して、システムの信頼性を向上します。

プライベートLAN、プライベートブリッジを利用した複数ゾーン構成で、システムの信頼性を向上
プライベートLANをルーターで、2階層に分割
- Web/APを配備するネットワーク
- データベースなどを配備するプライベートネットワーク
冗長化が必要なデータベースなどのために同期用のネットワークを配備。
インターネットからアクセス可能なネットワークに、Web/APサーバーを配備。それぞれ別ゾーンに配備するように考慮し、ロードバランサー（L4）で負荷分散を実施。

(2) ニフクラのシステムとデータセンター環境、拠点環境とのダイレクトポート接続事例

ダイレクトポート^[32]

32. 本機能の詳細は、以下のドキュメントを参照してください。『クラウド技術仕様/制限値(ネットワーク:ダイレクトポート（専用線・閉域網接続サービス）)』

ダイレクトポートを利用してニフクラ上に構築したシステムに、拠点環境と専用線・閉域網からダイレクトに接続する事例を記載します。

(3) ニフクラのシステムとデータセンター環境との物理ポート（構内接続プラン）接続事例

物理ポート（構内接続プラン） ^[33]

33. 本機能の詳細は、以下のドキュメントを参照してください。『クラウド技術仕様/制限値（プライベートブリッジ：物理ポート）』

物理ポート（構内接続プラン）を利用してニフクラ上に構築したシステムとデータセンターのホスティング環境を、物理ポートでダイレクトに接続する事例を記載します。

(4) VPN接続事例

拠点間VPNゲートウェイ
インターネットVPN（H/W）
リモートアクセスVPNゲートウェイ

ニフクラ環境とのインターネットVPN接続例です。
拠点、端末からニフクラ環境にIPsecVPN/SSL-VPNを用いて接続する3つのパターンを記載します。

(5) DRサイト構築事例

ダイレクトポート
拠点間VPNゲートウェイ

同一国内のリージョン間を接続する事例です。ダイレクトポートでの接続とインターネットVPN接続を利用します。
本ドキュメント内「DRサイト構築事例概要：構成概要」を参照してください。

ニフクラでの複数ゾーンのシステム構成例

構成図補足

【ルーター】: ニフクラのルーターは、異なるネットワーク同士を接続し、ネットワーク間で通信できるようにする機能を持ちます。インターネットに接続された共通グローバルネットワークと共通プライベートネットワーク、あるいは、プライベートLAN同士を接続します。
ネットワーク接続の際に、ネットワーク同士のルーティングや、ファイアウォール機能の利用も可能です。また、NAT機能、Webプロキシ機能、DHCPオプション機能等も利用できます。
【ロードバランサー（L4）】: ニフクラでは、信頼性向上と性能向上のための負荷分散機能として、L4層のロードバランサーを提供しています。ロードバランサー（L4）を 1つ設定することで、複数のゾーンに配備された仮想サーバーへ負荷分散ができます。ロードバランサー（L4）では複数の帯域が用意されています。必要に応じた帯域を契約して利用してください。
【追加NIC】: 仮想サーバーに対して複数のNICを付与可能なサービスです。追加NICを利用することで、複数のプライベートLANに所属でき、複雑なネットワーク構成が実現可能です。
【プライベートブリッジ】: 対応リージョン内の異なるゾーン間(ゾーン内も可)のプライベートLAN同士を接続できるサービスです。プライベートブリッジ利用することにより、複数のゾーンを利用したシステムを簡単に構築できます。
プライベートブリッジは帯域確保が可能なサービスです。利用可能なリージョンや選択可能な帯域はクラウド技術仕様/制限値（プライベートブリッジ）でご確認ください。

ニフクラが提供するネットワークに関するサービス/機能を利用して、システムの信頼性を向上する構成例です。

システム構成の特徴
- プライベートブリッジにより異なるゾーン間のプライベートLANをL2接続する構成で、システムの信頼性を向上
- ネットワークをルーターで、2階層に分割
  1. Web/APサーバーを配備するネットワーク
  2. データベースなどを配備するプライベート用ネットワーク
- 冗長化が必要なデータベースなどのために同期用のネットワークを配備
- インターネットからアクセス可能なネットワークに、ロードバランサー（L4）やWeb/APサーバーを配備

拠点環境とのダイレクトポート接続事例

ダイレクトポートの接続事例

上図ではニフクラ環境を複数のプライベートLANで構成した複数セグメントでの構成としています。

ダイレクトポート接続
- 利用者の拠点、データセンター環境等と接続する機能です。回線事業者の閉域網・専用線を引き込みニフクラと直接接続できる物理ポートを提供します。導入にあたっては、以下を検討して設計してください。
  1. 利用可能な接続機能の確認
  2. ネットワーク全体の論理構成設計
  3. ルーティング(経路)設計
  4. 帯域設計
  5. 信頼性設計
  6. IP アドレス設計
ルーティング設定について
- ダイレクトポートで接続するプライベートLAN以外のプライベートLANへ通信が発生する場合、利用者環境側に複数セグメントがある場合など、ルーティング設計は入念に行ってください。開通後、通信できない場合があります。
- 回線事業者が設置するネットワーク機器は、回線事業者の保守サポートが必要です。
  個別にルーティング設定を必要とする場合は回線事業者へ依頼する必要があります。実現可否など、事前に回線事業者へ確認してください。

データセンター環境との物理ポート（構内接続プラン）接続事例

物理ポート（構内接続プラン）の接続事例

上図ではニフクラ環境で複数のプライベートLANで構成した複数セグメントでの構成としています。

物理ポート（構内接続プラン）
- 利用者のハウジングエリアと接続する機能です。富士通クラウドテクノロジーズ指定のデータセンター内に、ニフクラとの接続ポイントとなる物理ポートを提供します。導入にあたっては、以下を検討して設計してください。
  1. 利用可能な接続機能の確認
  2. ネットワーク全体の論理構成設計
  3. ルーティング( 経路 ) 設計
  4. 帯域設計
  5. 信頼性設計
  6. IP アドレス設計
ルーティング設定について
- 物理ポート（構内接続プラン）で接続するプライベートLAN以外のプライベートLANと通信が発生する場合、利用者環境側で複数セグメントがある場合など、ルーティング設定は入念に行ってください。開通後、通信できない場合があります。
- ニフクラ環境のルーティング設定と合わせて、ハウジングエリアに設置するネットワーク機器でのルーティング設定も考慮してください。

拠点間VPNゲートウェイ接続事例

拠点間VPNゲートウェイを利用して利用者環境とインターネット経由で接続するIPsecVPN構成例です。

同時接続可能な拠点数や接続方式など仕様の詳細はクラウド技術仕様/制限値（拠点間VPNゲートウェイ:拠点間VPNゲートウェイ）をご確認ください。

インターネットVPN（H/W）接続事例

インターネットVPN（H/W）を利用して利用者環境とインターネット経由で接続するIPsecVPN接続例です。

VPN通信帯域や構成の詳細はクラウド機能・サービス（インターネットVPN（H/W））をご確認ください。

リモートアクセスVPNゲートウェイ接続事例

リモートアクセスVPNゲートウェイを利用して利用者端末とインターネット経由で接続するSSL-VPN構成例です。

同時接続可能数や利用者端末との接続方法などの詳細はクラウド技術仕様/制限値(ネットワーク:リモートアクセスVPNゲートウェイ)をご確認ください。

カテゴリ項目ごとの作業と留意事項

カテゴリ項目ごとの作業概要

カテゴリ項目	作業	ニフクラでの作業概要
ネットワーク	ネットワーク論理設計	ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や各種制御方式等を設計してください。
ネットワーク物理設計	ニフクラのサービス内は仮想ネットワークのため、記載を省略します。^[34] 34. ニフクラの環境から、ダイレクトポート接続、IPsecVPNで接続されるオンプレミス環境側の物理設計については、従来のオンプレミスでの方式で設計してください。
ネットワーク構成規約の設計	ネットワーク、サブネット、ポート、ID/パスワードなどの構成の設計や管理に必要な規約については、オンプレミスと同様に設計してください。
ネットワーク運用設計(定常時)	システム全体の運用・保守設計に基づいて、信頼性の定常時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスと同様です。「ニフクラ設計ガイド(運用・保守設計編) 運用・保守」を参照してください。
ネットワーク運用設計(障害時)	システム全体の運用・保守設計に基づいて、信頼性の障害時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスと同様です。「ニフクラ設計ガイド(運用・保守設計編) 運用・保守」を参照してください。

カテゴリ項目

作業

ニフクラでの作業概要

ネットワーク

ネットワーク論理設計

ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や各種制御方式等を設計してください。

ネットワーク物理設計

ニフクラのサービス内は仮想ネットワークのため、記載を省略します。^[34]

34. ニフクラの環境から、ダイレクトポート接続、IPsecVPNで接続されるオンプレミス環境側の物理設計については、従来のオンプレミスでの方式で設計してください。

ネットワーク構成規約の設計

ネットワーク、サブネット、ポート、ID/パスワードなどの構成の設計や管理に必要な規約については、オンプレミスと同様に設計してください。

ネットワーク運用設計(定常時)

システム全体の運用・保守設計に基づいて、信頼性の定常時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスと同様です。「ニフクラ設計ガイド(運用・保守設計編) 運用・保守」を参照してください。

ネットワーク運用設計(障害時)

システム全体の運用・保守設計に基づいて、信頼性の障害時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスと同様です。「ニフクラ設計ガイド(運用・保守設計編) 運用・保守」を参照してください。

LAN/WANに関する留意事項

作業概要: ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。

ニフクラのサービス/機能	留意事項	内容	選択値・条件
仮想ネットワーク/サブネット	共通グローバルネットワーク	サーバー配備時に接続されるグローバルネットワークで、インターネットに公開されたネットワークとなります。(サーバーに接続しないことも可能です。)
共通プライベートネットワーク	サーバー配備時に接続されるプライベートネットワークで、他ユーザーと共通のプライベートネットワークとなります。(プライベートLANを作成している場合、サーバー配備時にプライベートLANへ接続した状態にもできます。)
プライベートLAN	プライベートLANは共通プライベートネットワークとL2レベルで隔離されたネットワークです。利用者が任意に作成します。ルーターを用いてプライベートLAN同士を接続できます。	設定可能なプレフィックス長やその他注意事項等はクラウド技術仕様/制限値（ネットワーク：プライベートLAN）をご確認ください。
付替IPアドレス	共通グローバルネットワーク、共通プライベートネットワークのIPアドレスを付替IPアドレスとすることで、同一のIPアドレスを他サーバーに付け替えて利用可能です。 ^[35] 35. 起動中のサーバーでIPの付替/解除をする際は、必ずサーバーの再起動が発生します。停止中のサーバーでIPの付替/解除をする際にサーバーを再起動させたくない場合は、再起動しないを選択してください。ただし、サーバー停止中であっても再起動が必要になる場合があります。	ゾーン/リージョンをまたいだIPアドレスの設定はできない
グローバルIPアドレス	インターネットに公開されているネットワーク上のIPアドレスです。仮想サーバーをインターネットに公開する場合は、グローバルIPアドレスが必要になります。仮想サーバー配備時に、グローバルIPアドレスを付与するかしないかを選択できます。ニフクラのサーバーに払い出されるグローバルIPアドレス帯はニフクラホームページにて公開されています。
グローバルIPアドレスの指定	グローバルIPアドレスは個別に指定はできません。サーバー配備時、グローバルIPアドレスを付与する場合、 DHCPにより自動でIPアドレスが割り振られます。	利用者が何らかの手段で取得しているグローバルIPアドレスの持ち込み不可
IPアドレス設計接続先と重複しない設計	ニフクラでは、IPsecVPN/SSL-VPNやダイレクトポート接続等による外部環境との接続(4章「外部接続」で記載)が可能です。この外部接続により、あるニフクラの環境を別の環境と接続して通信する設計が可能です。この場合、接続先の環境も含めて、IPアドレスが重複しないように設計してください。
DHCP	共通グローバルネットワークと共通プライベートネットワークはDHCPによりIPアドレスが割り当てられます。^[36] ^[37] プライベートLANに所属させたサーバーへDHCPを用いてIPアドレスを付与したい場合は、ルーターのDHCP機能を利用できます。ルーターのDHCPオプションにより、IPアドレスと合わせて、ゲートウェイのIPアドレス、DNSサーバー、NTPサーバー、WINSサーバーのIPアドレス等の指定も可能です。また、利用者のサーバーのネットワークインターフェースがプライベートLANへ接続されている場合に限り、そのネットワークインターフェースにて DHCP サーバーの構築が可能です。 36. マルチIPアドレス利用時以外は、手動で静的に設定することは禁止事項に抵触します。 37. マルチIPアドレスの場合は、手動での割り当てが必要となります	「バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)」での復元時に限り、DHCP設定をオフにし、DNSサーバーのIPアドレスを設定することは禁止事項の対象外
DNSサーバー	公開DNSサーバーなどを指定するか、IaaS環境に構築を検討してください。ルーターでDHCP機能を利用する場合にはDNSの指定が可能です。ルーターでDHCP機能を利用しない場合はOS上から設定する必要があります。	ニフクラでは名前解決用のキャッシュDNSのサービスなし
追加のルート設定	ルーターでDHCP機能を利用する場合にはゲートウェイの指定が可能です。複数のルーティング情報が必要な場合や、ルーターでDHCP機能を利用しない場合にはOS上から設定する必要があります。
追加NIC	仮想サーバーに付与することで複数のプライベートLANへの所属が可能です。	仮想サーバーへの追加NIC付与時の制限事項があります。詳細はクラウド技術仕様/制限値（コンピューティング：:追加NIC）をご確認ください。
マルチIPアドレス	ゾーン内の異なるサーバーで同一のグローバルIPアドレスを使用可能になります。また、複数のグローバルIPアドレスが同じサーバーで使用可能になります。^[38] 38. マルチIPアドレスグループが割り当てられたサーバーに対してできない操作があります。	マルチIPアドレスグループが割り当てられたサーバーに対してできない操作はクラウド技術仕様/制限値（マルチIPアドレス）でご確認ください。
ルーター	プライベートLAN同士の接続	同一ゾーン内のプライベートLAN同士はルーターを利用して接続できます。
ルーティング	IPsecVPN やダイレクトポート接続等による外部環境との接続をする場合は、正常な通信ができるように、利用者が仮想サーバーとルーターのそれぞれへルーティングを設定してください。ルーティング設定を間違えると、通信させたいリソース通しが通信できなかったり、パケットの行きと帰りの経路が異なる経路になる場合があります。^[39] 39. ルーターのルートテーブル設定でターゲットに共通グローバル、または共通プライベートのIPアドレスをネクストホップとして設定した場合にはNAT設定が必要です。
NAT機能	ルーターは、NAT機能を提供します。	詳細な仕様はクラウド技術仕様/制限値(ネットワーク:ルーター:NAT)をご確認ください。
Webプロキシ機能	ルーターはWebプロキシ機能を提供しています。グローバルIPアドレスを割り当てしていないサーバーからパッチを適用するなどの用途として利用可能です。
ルーター数上限	プライベートLANに接続できるルーター数、ルーターが接続可能なネットワーク数に制限があります。	詳細な仕様はクラウド技術仕様/制限値(ネットワーク:ルーター)をご確認ください。
ルーターのアクセス制御	ルーターのアクセス制御は仮想サーバーと同様にファイアウォールでアクセス制御が可能です。
プライベートブリッジ	複数ゾーン/リージョン構成の概要	物理的に異なる環境であるゾーンを複数用いて、信頼性を高める構成です。ゾーン間のプライベートLANをプライベートブリッジにより、L2で接続します。
複数ゾーン/リージョン接続の概要	複数のゾーン/リージョンにそれぞれプライベートLANを作成した後、コントロールパネルからオンデマンドで設定します。プライベートブリッジの開通には下記作業が必要です。ゾーンごとにプライベートLANを作成プライベートLANごとにコネクターを作成プライベートブリッジを作成プライベートブリッジに東西接続オプションを付与^[40] コネクターとプライベートブリッジの紐づけ詳細は、クラウドデザインパターン内の「リージョン間接続パターン：プライベートブリッジ」を参照してください。拠点間VPNゲートウェイに接続されたプライベートLAN同士を、プライベートブリッジなどの接続サービスによって接続できません。プライベートブリッジと併用する際、構成に注意が必要となるサービスがあります。ネットワークループを防ぐため、下記のサービスと接続されている複数のプライベートLANを、同じブリッジに接続することは控えてください。プライベートアクセス for SINET 拠点間VPNゲートウェイ 40. リージョン間接続をする場合のみ
ダイレクトポート	接続形態	ニフクラ上に構築したシステムを回線事業者の専用線や閉域網に接続するために接続ポイントであるポートを提供するサービスです。ブロードキャストドメインを区切る必要があるためルーターやL3スイッチ等と接続が必要となります。	L2接続不可
制限/留意事項	以下について様々な制限/留意事項があります。・スイッチポート・回線事業者のネットワーク機器を設置するためのラック・LANケーブル・冗長構成・データセンターへの入館・スイッチのメンテナンスなど	詳細な仕様はクラウド機能・サービス（ダイレクトポート（専用線・閉域網接続サービス））、クラウド技術仕様/制限値(ネットワーク:ダイレクトポート（専用線・閉域網接続サービス）)のサービス仕様書をご確認ください。
拠点間VPNゲートウェイ	接続できる拠点数	作成タイプにより拠点間VPNゲートウェイ1つあたりで同時接続可能な拠点が異なります。	接続できる拠点数についてはクラウド技術仕様/制限値（拠点間VPNゲートウェイ:拠点間VPNゲートウェイ）をご確認ください。
通信が可能な範囲	接続形態により、通信の可能な範囲が異なります。 IPsec：拠点間VPNゲートウェイが接続されたプライベートLANと、対向のゲートウェイに接続される1つのサブネット間のみ通信が可能です。 IPsec VTI：適切なルーティングテーブルの設定により、拠点間VPNゲートウェイが接続されたプライベートLAN以外のプライベートLAN、対向のゲートウェイに接続されるサブネット以外のサブネット間とも通信が可能です。 L2TPv3/IPsec：プライベートLANと対向のゲートウェイに接続される1つのサブネットとL2で接続可能です。他プライベートLAN、サブネットとも通信をしたい場合、ルーティング設定を適切に行うことで、通信が可能です。
モバイルアクセス	モバイル機器との通信(L2TP/IPsec)はできません。
アクセス制御	ニフクラの仮想サーバーと同様、ニフクラファイアウォールの設定が可能です。
インターネットVPN（H/W）	接続できる拠点数	1契約(1接続点)あたり1拠点との接続が可能です。
通信が可能な範囲	インターネットVPN（H/W）を接続したプライベートLANと、対向のゲートウェイに接続されるサブネット、申し込み時に指定した拠点側の他サブネットとの通信が可能です。インターネットVPN（H/W）が接続されたプライベートLAN以外のセグメントとは通信できません。
モバイルアクセス	モバイル機器との通信(L2TP/IPsec)はできません。
アクセス制御	インターネットVPN（H/W）には、ニフクラのファイアウォールの設定はできません。
リモートアクセスVPNゲートウェイ	接続可能なコネクション数	作成タイプごとにリモートアクセスVPNゲートウェイ1つあたりの同時接続可能数が異なります。	同時接続可能数についてはクラウド技術仕様/制限値(ネットワーク:リモートアクセスVPNゲートウェイ)をご確認ください。
通信が可能な範囲	クライアントソフト ^[41]を導入した端末から、リモートアクセスVPNゲートウェイが接続されたプライベートLAN上のリソースのみ通信が可能です。 41. 接続確認済みOS及びクライアント環境の詳細については、クラウド技術仕様/制限値(ネットワーク:リモートアクセスVPNゲートウェイ) の「接続確認済みOS」を確認してください。	分割トンネル: VPNトラフィックのみがリモートアクセスVPNゲートウェイを通過フルトンネル: 全トラフィックがリモートアクセスVPNゲートウェイ通過(ローカルサブネットを含む) ^[42] 42. v1でのみサポート。v1のサポート終了期限は2023/7/31です。v2ではサポートされません。
アクセス制御	リモートアクセスVPNゲートウェイにはニフクラのファイアウォールの設定はできません。
証明書	クライアント証明書認証を利用する場合は、ニフクラ側にてCA証明書の設定が必要です。リモートアクセスVPNゲートウェイではサーバー証明書の設定は必須です。	詳細は技術仕様を確認してください。
クライアントソフト	オンプレミス環境にクライアントアプリケーションのダウンロードが必要です。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

仮想ネットワーク/サブネット

共通グローバルネットワーク

サーバー配備時に接続されるグローバルネットワークで、インターネットに公開されたネットワークとなります。(サーバーに接続しないことも可能です。)

共通プライベートネットワーク

サーバー配備時に接続されるプライベートネットワークで、他ユーザーと共通のプライベートネットワークとなります。(プライベートLANを作成している場合、サーバー配備時にプライベートLANへ接続した状態にもできます。)

プライベートLAN

プライベートLANは共通プライベートネットワークとL2レベルで隔離されたネットワークです。利用者が任意に作成します。ルーターを用いてプライベートLAN同士を接続できます。

設定可能なプレフィックス長やその他注意事項等はクラウド技術仕様/制限値（ネットワーク：プライベートLAN）をご確認ください。

付替IPアドレス

共通グローバルネットワーク、共通プライベートネットワークのIPアドレスを付替IPアドレスとすることで、同一のIPアドレスを他サーバーに付け替えて利用可能です。 ^[35]

35. 起動中のサーバーでIPの付替/解除をする際は、必ずサーバーの再起動が発生します。停止中のサーバーでIPの付替/解除をする際にサーバーを再起動させたくない場合は、再起動しないを選択してください。ただし、サーバー停止中であっても再起動が必要になる場合があります。

ゾーン/リージョンをまたいだIPアドレスの設定はできない

グローバルIPアドレス

インターネットに公開されているネットワーク上のIPアドレスです。
仮想サーバーをインターネットに公開する場合は、グローバルIPアドレスが必要になります。
仮想サーバー配備時に、グローバルIPアドレスを付与するかしないかを選択できます。ニフクラのサーバーに払い出されるグローバルIPアドレス帯はニフクラホームページにて公開されています。

グローバルIPアドレスの指定

グローバルIPアドレスは個別に指定はできません。サーバー配備時、グローバルIPアドレスを付与する場合、 DHCPにより自動でIPアドレスが割り振られます。

利用者が何らかの手段で取得しているグローバルIPアドレスの持ち込み不可

IPアドレス設計接続先と重複しない設計

ニフクラでは、IPsecVPN/SSL-VPNやダイレクトポート接続等による外部環境との接続(4章「外部接続」で記載)が可能です。
この外部接続により、あるニフクラの環境を別の環境と接続して通信する設計が可能です。この場合、接続先の環境も含めて、IPアドレスが重複しないように設計してください。

DHCP

共通グローバルネットワークと共通プライベートネットワークはDHCPによりIPアドレスが割り当てられます。^[36] ^[37]
プライベートLANに所属させたサーバーへDHCPを用いてIPアドレスを付与したい場合は、ルーターのDHCP機能を利用できます。
ルーターのDHCPオプションにより、IPアドレスと合わせて、ゲートウェイのIPアドレス、DNSサーバー、NTPサーバー、WINSサーバーのIPアドレス等の指定も可能です。また、利用者のサーバーのネットワークインターフェースがプライベートLANへ接続されている場合に限り、そのネットワークインターフェースにて DHCP サーバーの構築が可能です。

36. マルチIPアドレス利用時以外は、手動で静的に設定することは禁止事項に抵触します。

37. マルチIPアドレスの場合は、手動での割り当てが必要となります

「バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)」での復元時に限り、DHCP設定をオフにし、DNSサーバーのIPアドレスを設定することは禁止事項の対象外

DNSサーバー

公開DNSサーバーなどを指定するか、IaaS環境に構築を検討してください。
ルーターでDHCP機能を利用する場合にはDNSの指定が可能です。ルーターでDHCP機能を利用しない場合はOS上から設定する必要があります。

ニフクラでは名前解決用のキャッシュDNSのサービスなし

追加のルート設定

ルーターでDHCP機能を利用する場合にはゲートウェイの指定が可能です。複数のルーティング情報が必要な場合や、ルーターでDHCP機能を利用しない場合にはOS上から設定する必要があります。

追加NIC

仮想サーバーに付与することで複数のプライベートLANへの所属が可能です。

仮想サーバーへの追加NIC付与時の制限事項があります。詳細はクラウド技術仕様/制限値（コンピューティング：:追加NIC）をご確認ください。

マルチIPアドレス

ゾーン内の異なるサーバーで同一のグローバルIPアドレスを使用可能になります。また、複数のグローバルIPアドレスが同じサーバーで使用可能になります。^[38]

38. マルチIPアドレスグループが割り当てられたサーバーに対してできない操作があります。

マルチIPアドレスグループが割り当てられたサーバーに対してできない操作はクラウド技術仕様/制限値（マルチIPアドレス）でご確認ください。

ルーター

プライベートLAN同士の接続

同一ゾーン内のプライベートLAN同士はルーターを利用して接続できます。

ルーティング

IPsecVPN やダイレクトポート接続等による外部環境との接続をする場合は、正常な通信ができるように、利用者が仮想サーバーとルーターのそれぞれへルーティングを設定してください。
ルーティング設定を間違えると、通信させたいリソース通しが通信できなかったり、パケットの行きと帰りの経路が異なる経路になる場合があります。^[39]

39. ルーターのルートテーブル設定でターゲットに共通グローバル、または共通プライベートのIPアドレスをネクストホップとして設定した場合にはNAT設定が必要です。

NAT機能

ルーターは、NAT機能を提供します。

詳細な仕様はクラウド技術仕様/制限値(ネットワーク:ルーター:NAT)をご確認ください。

Webプロキシ機能

ルーターはWebプロキシ機能を提供しています。グローバルIPアドレスを割り当てしていないサーバーからパッチを適用するなどの用途として利用可能です。

ルーター数上限

プライベートLANに接続できるルーター数、ルーターが接続可能なネットワーク数に制限があります。

詳細な仕様はクラウド技術仕様/制限値(ネットワーク:ルーター)をご確認ください。

ルーターのアクセス制御

ルーターのアクセス制御は仮想サーバーと同様にファイアウォールでアクセス制御が可能です。

プライベートブリッジ

複数ゾーン/リージョン構成の概要

物理的に異なる環境であるゾーンを複数用いて、信頼性を高める構成です。ゾーン間のプライベートLANをプライベートブリッジにより、L2で接続します。

複数ゾーン/リージョン接続の概要

複数のゾーン/リージョンにそれぞれプライベートLANを作成した後、コントロールパネルからオンデマンドで設定します。プライベートブリッジの開通には下記作業が必要です。

ゾーンごとにプライベートLANを作成
プライベートLANごとにコネクターを作成
プライベートブリッジを作成
プライベートブリッジに東西接続オプションを付与^[40]
コネクターとプライベートブリッジの紐づけ

詳細は、クラウドデザインパターン内の「リージョン間接続パターン：プライベートブリッジ」を参照してください。
拠点間VPNゲートウェイに接続されたプライベートLAN同士を、プライベートブリッジなどの接続サービスによって接続できません。
プライベートブリッジと併用する際、構成に注意が必要となるサービスがあります。ネットワークループを防ぐため、下記のサービスと接続されている複数のプライベートLANを、同じブリッジに接続することは控えてください。

プライベートアクセス for SINET
拠点間VPNゲートウェイ

40. リージョン間接続をする場合のみ

ダイレクトポート

接続形態

ニフクラ上に構築したシステムを回線事業者の専用線や閉域網に接続するために接続ポイントであるポートを提供するサービスです。ブロードキャストドメインを区切る必要があるためルーターやL3スイッチ等と接続が必要となります。

L2接続不可

制限/留意事項

以下について様々な制限/留意事項があります。

・スイッチポート
・回線事業者のネットワーク機器を設置するためのラック
・LANケーブル
・冗長構成
・データセンターへの入館
・スイッチのメンテナンス
など

詳細な仕様はクラウド機能・サービス（ダイレクトポート（専用線・閉域網接続サービス））、クラウド技術仕様/制限値(ネットワーク:ダイレクトポート（専用線・閉域網接続サービス）)のサービス仕様書をご確認ください。

拠点間VPNゲートウェイ

接続できる拠点数

作成タイプにより拠点間VPNゲートウェイ1つあたりで同時接続可能な拠点が異なります。

接続できる拠点数についてはクラウド技術仕様/制限値（拠点間VPNゲートウェイ:拠点間VPNゲートウェイ）をご確認ください。

通信が可能な範囲

接続形態により、通信の可能な範囲が異なります。

IPsec：拠点間VPNゲートウェイが接続されたプライベートLANと、対向のゲートウェイに接続される1つのサブネット間のみ通信が可能です。
IPsec VTI：適切なルーティングテーブルの設定により、拠点間VPNゲートウェイが接続されたプライベートLAN以外のプライベートLAN、対向のゲートウェイに接続されるサブネット以外のサブネット間とも通信が可能です。
L2TPv3/IPsec：プライベートLANと対向のゲートウェイに接続される1つのサブネットとL2で接続可能です。他プライベートLAN、サブネットとも通信をしたい場合、ルーティング設定を適切に行うことで、通信が可能です。

モバイルアクセス

モバイル機器との通信(L2TP/IPsec)はできません。

アクセス制御

ニフクラの仮想サーバーと同様、ニフクラファイアウォールの設定が可能です。

インターネットVPN（H/W）

接続できる拠点数

1契約(1接続点)あたり1拠点との接続が可能です。

通信が可能な範囲

インターネットVPN（H/W）を接続したプライベートLANと、対向のゲートウェイに接続されるサブネット、申し込み時に指定した拠点側の他サブネットとの通信が可能です。インターネットVPN（H/W）が接続されたプライベートLAN以外のセグメントとは通信できません。

モバイルアクセス

モバイル機器との通信(L2TP/IPsec)はできません。

アクセス制御

インターネットVPN（H/W）には、ニフクラのファイアウォールの設定はできません。

リモートアクセスVPNゲートウェイ

接続可能なコネクション数

作成タイプごとにリモートアクセスVPNゲートウェイ1つあたりの同時接続可能数が異なります。

同時接続可能数についてはクラウド技術仕様/制限値(ネットワーク:リモートアクセスVPNゲートウェイ)をご確認ください。

通信が可能な範囲

クライアントソフト ^[41]を導入した端末から、リモートアクセスVPNゲートウェイが接続されたプライベートLAN上のリソースのみ通信が可能です。

41. 接続確認済みOS及びクライアント環境の詳細については、クラウド技術仕様/制限値(ネットワーク:リモートアクセスVPNゲートウェイ) の「接続確認済みOS」を確認してください。

分割トンネル: VPNトラフィックのみがリモートアクセスVPNゲートウェイを通過
フルトンネル: 全トラフィックがリモートアクセスVPNゲートウェイ通過(ローカルサブネットを含む) ^[42]

42. v1でのみサポート。v1のサポート終了期限は2023/7/31です。v2ではサポートされません。

アクセス制御

リモートアクセスVPNゲートウェイにはニフクラのファイアウォールの設定はできません。

証明書

クライアント証明書認証を利用する場合は、ニフクラ側にてCA証明書の設定が必要です。
リモートアクセスVPNゲートウェイではサーバー証明書の設定は必須です。

詳細は技術仕様を確認してください。

クライアントソフト

オンプレミス環境にクライアントアプリケーションのダウンロードが必要です。

ロードバランサー(L4)に関する留意事項

作業概要: ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。

ニフクラのサービス/機能	留意事項	内容
ロードバランサー(L4)	サービスの概要	ニフクラでは、信頼性向上と性能向上のための負荷分散機能として、L4層のロードバランサーを提供しています。ロードバランサー（L4）サービスを1つ設定することで、同一リージョンの複数のゾーンに配備された仮想サーバーへ負荷分散が可能です。
各種数量	作成可能なロードバランサー（L4）数は、リージョンごとに制限されます。	作成可能数やポート設定数はクラウド技術仕様/制限値（ロードバランサー（L4））の仕様一覧をご確認ください。
ネットワーク構成	ロードバランサー（L4）ではグローバルIPアドレスを持つ仮想サーバーを負荷分散対象として設定が可能です。プライベート側からの負荷分散、プライベート側への負荷分散には対応していません。
帯域	帯域は、複数コネクションでの最大帯域となっており、単一のコネクションでは契約の帯域を使い切れない場合もあります。	利用可能な帯域についてはクラウド技術仕様/制限値（ロードバランサー（L4））の仕様一覧をご確認ください。
アクセス元IPの取得	http(80)、https(443)且つSSLアクセラレーターを利用してのアクセス(80)の場合、ヘッダー情報「X-Forwarded-For」に送信元のIPアドレスの情報が付与されます。
暗号化SUITE	暗号化タイプごとにSSLセキュリティポリシーをテンプレート化しており、ロードバランサー（L4）ごとにテンプレートの選択が可能です。(テンプレートを選択していない場合は、暗号化タイプごとの初期テンプレートが適応)	standard、atsから選択可能 Apple社のApp Storeでアプリを公開する必要がある場合はatsを選択
負荷分散可能なレイヤー	ニフクラのロードバランサー（L4）サービスでは、L4層の負荷分散が可能です。アクセス先のURLに含まれるドメイン名やパス等に応じて負荷分散条件を設定するL7層の負荷分散はできません。
負荷分散のポリシー設定	ニフクラのロードバランサー（L4）サービスでは、以下の設定が可能です。バランスポリシーラウンドロビンと、リーストコネクションの設定可能セッション固定ソースIPアドレスを元にセッションをサーバーに固定可能	セッション保持時間等の仕様の詳細はクラウド技術仕様/制限値（ロードバランサー（L4））をご確認ください。
Sorryページ設定	ヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、且つ、他の負荷分散可能な仮想サーバーが存在しなかった場合、ニフクラ側で用意した定型メッセージを表示できる	Sorryページは、待ち受けポートがHTTP(80/tcp)の場合のみ利用可能
ヘルスチェックの設定	サーバーからの応答時間がタイムアウトを越えた場合にサーバーをロードバランサーから切り離します。	ヘルスチェックで設定可能な値についてはクラウド技術仕様/制限値（ロードバランサー（L4））をご確認ください。
Sorryページ設定	ヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、且つ、他の負荷分散可能な仮想サーバーが存在しなかった場合、ニフクラ側で用意した定型メッセージを表示できる	Sorryページは、待ち受けポートがHTTP(80/tcp)の場合のみ利用可能

ニフクラのサービス/機能

留意事項

内容

選択値・条件

ロードバランサー(L4)

サービスの概要

ニフクラでは、信頼性向上と性能向上のための負荷分散機能として、L4層のロードバランサーを提供しています。ロードバランサー（L4）サービスを1つ設定することで、同一リージョンの複数のゾーンに配備された仮想サーバーへ負荷分散が可能です。

各種数量

作成可能なロードバランサー（L4）数は、リージョンごとに制限されます。

作成可能数やポート設定数はクラウド技術仕様/制限値（ロードバランサー（L4））の仕様一覧をご確認ください。

ネットワーク構成

ロードバランサー（L4）ではグローバルIPアドレスを持つ仮想サーバーを負荷分散対象として設定が可能です。プライベート側からの負荷分散、プライベート側への負荷分散には対応していません。

帯域

帯域は、複数コネクションでの最大帯域となっており、単一のコネクションでは契約の帯域を使い切れない場合もあります。

利用可能な帯域についてはクラウド技術仕様/制限値（ロードバランサー（L4））の仕様一覧をご確認ください。

アクセス元IPの取得

http(80)、https(443)且つSSLアクセラレーターを利用してのアクセス(80)の場合、ヘッダー情報「X-Forwarded-For」に送信元のIPアドレスの情報が付与されます。

暗号化SUITE

暗号化タイプごとにSSLセキュリティポリシーをテンプレート化しており、ロードバランサー（L4）ごとにテンプレートの選択が可能です。(テンプレートを選択していない場合は、暗号化タイプごとの初期テンプレートが適応)

standard、atsから選択可能
Apple社のApp Storeでアプリを公開する必要がある場合はatsを選択

負荷分散可能なレイヤー

ニフクラのロードバランサー（L4）サービスでは、L4層の負荷分散が可能です。アクセス先のURLに含まれるドメイン名やパス等に応じて負荷分散条件を設定するL7層の負荷分散はできません。

負荷分散のポリシー設定

ニフクラのロードバランサー（L4）サービスでは、以下の設定が可能です。

バランスポリシー
ラウンドロビンと、リーストコネクションの設定可能
セッション固定
ソースIPアドレスを元にセッションをサーバーに固定可能

セッション保持時間等の仕様の詳細はクラウド技術仕様/制限値（ロードバランサー（L4））をご確認ください。

Sorryページ設定

ヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、且つ、他の負荷分散可能な仮想サーバーが存在しなかった場合、ニフクラ側で用意した定型メッセージを表示できる

Sorryページは、待ち受けポートがHTTP(80/tcp)の場合のみ利用可能

ヘルスチェックの設定

サーバーからの応答時間がタイムアウトを越えた場合にサーバーをロードバランサーから切り離します。

ヘルスチェックで設定可能な値についてはクラウド技術仕様/制限値（ロードバランサー（L4））をご確認ください。

Sorryページ設定

Sorryページは、待ち受けポートがHTTP(80/tcp)の場合のみ利用可能

マルチロードバランサーに関する留意事項

作業概要: ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。

ニフクラのサービス/機能	留意事項	内容
マルチロードバランサー	サービスの概要	ニフクラでは信頼性向上と性能向上のための負荷分散機能として、L4層のマルチロードバランサーを提供しています。マルチロードバランサーでは、複数のゾーンに配備された仮想サーバーへ負荷分散できません。
各種数量	作成可能なマルチロードバランサー数は、1IDごとに制限されます。	作成可能な数、設定可能なポート数はクラウド技術仕様/制限値(ネットワーク:マルチロードバランサー)をご確認ください。^[43] 43. ポート設定のプロトコルをTCP、ポート番号を21にした際、振り分けプロトコルをFTPと解釈せず、FTPの振り分けはできません。
ネットワーク構成	マルチロードバランサーはグローバル側の負荷分散、プライベートLAN側への負荷分散も可能です。^[44] 44. マルチロードバランサーに付与しているネットワークに所属するニフクラの仮想サーバーのみ負荷分散対象にできます。
帯域	クラウド技術仕様/制限値(ネットワーク:マルチロードバランサー)「最大ネットワーク流量」項目をご確認ください。
アクセス元IPの取得	1arm構成の場合アクセス元のIPアドレスは透過されません。http、https且つSSLアクセラレーターを利用してのアクセスの場合、ヘッダー情報「X-Forwarded-For」に送信元のIPアドレスの情報が付与されます。 2arm構成の場合アクセス元のIPアドレスが透過されます。事前にX-Forwarded-Forヘッダーが付与されている場合、X-Forwarded-Forヘッダーは上書きされます。
暗号化SUITE	ats に対応しています。
負荷分散可能なレイヤー	ニフクラのマルチロードバランサーでは、L4層の負荷分散が可能です。アクセス先のURLに含まれるドメイン名やパス等に応じて負荷分散条件を設定するL7層の負荷分散はできません。
ルートテーブルの設定	マルチロードバランサーに適応可能なルートテーブルは、設定されているルートのターゲットがIPアドレスの場合のみ適応可能です。	マルチロードバランサーがグローバル接続時、デフォルトルートが設定されているルートテーブルは適応不可
負荷分散のポリシー設定	ニフクラのマルチロードバランサーでは、以下の設定が可能です。バランスポリシーラウンドロビンと、リーストコネクションの設定が可能です。セッション固定ソースIPアドレス、cookieを元にセッションをサーバーに固定できます。	セッションの保持時間クラウド技術仕様/制限値(ネットワーク:マルチロードバランサー)をご確認ください。
ヘルスチェックの設定	サーバーからの応答時間がタイムアウトを越えた場合にサーバーをロードバランサーから切り離します。	ヘルスチェックの設定項目はクラウド技術仕様/制限値(ネットワーク:マルチロードバランサー)をご確認ください。送信元IP：振り分け先ネットワーク側に設定したマルチロードバランサーIPアドレスとシステムIPアドレス ^[45]がヘルスチェックの送信元IPとして利用されます。ネットワーク設定の考慮：マルチロードバランサーから振り分け先サーバーまでのネットワーク設定について送信元IP(マルチロードバランサーIPアドレスとシステムIPアドレス)を考慮してください。振り分け先サーバーに適用しているファイアウォール等に送信元IPを許可ニフクラファイアウォール OS上のファイアウォール OS上で利用中のセキュリティ製品振り分け先サーバーまでの通信経路上の転送設定 45. ネットワークでプライベートLANを指定した場合にマルチロードバランサーのIPアドレスとは別に、システム的に必要となる2つのIPアドレス
Sorryページ設定	ヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、且つ、他の負荷分散可能な仮想サーバーが存在しなかった場合のリダイレクト情報を設定することによりSorryページを表示させることが可能です。^[46] 46. リダイレクト先は別途用意する必要があります。	Sorryページは待ち受けポート設定がHTTP/HTTPSの場合利用可能(ポートは任意に設定可能) レスポンスコードは302

ニフクラのサービス/機能

留意事項

内容

選択値・条件

マルチロードバランサー

サービスの概要

ニフクラでは信頼性向上と性能向上のための負荷分散機能として、L4層のマルチロードバランサーを提供しています。マルチロードバランサーでは、複数のゾーンに配備された仮想サーバーへ負荷分散できません。

各種数量

作成可能なマルチロードバランサー数は、1IDごとに制限されます。

作成可能な数、設定可能なポート数はクラウド技術仕様/制限値(ネットワーク:マルチロードバランサー)をご確認ください。^[43]

43. ポート設定のプロトコルをTCP、ポート番号を21にした際、振り分けプロトコルをFTPと解釈せず、FTPの振り分けはできません。

ネットワーク構成

マルチロードバランサーはグローバル側の負荷分散、プライベートLAN側への負荷分散も可能です。^[44]

44. マルチロードバランサーに付与しているネットワークに所属するニフクラの仮想サーバーのみ負荷分散対象にできます。

帯域

クラウド技術仕様/制限値(ネットワーク:マルチロードバランサー)「最大ネットワーク流量」項目をご確認ください。

アクセス元IPの取得

1arm構成の場合
- アクセス元のIPアドレスは透過されません。http、https且つSSLアクセラレーターを利用してのアクセスの場合、ヘッダー情報「X-Forwarded-For」に送信元のIPアドレスの情報が付与されます。
2arm構成の場合
- アクセス元のIPアドレスが透過されます。事前にX-Forwarded-Forヘッダーが付与されている場合、X-Forwarded-Forヘッダーは上書きされます。

暗号化SUITE

ats に対応しています。

負荷分散可能なレイヤー

ニフクラのマルチロードバランサーでは、L4層の負荷分散が可能です。アクセス先のURLに含まれるドメイン名やパス等に応じて負荷分散条件を設定するL7層の負荷分散はできません。

ルートテーブルの設定

マルチロードバランサーに適応可能なルートテーブルは、設定されているルートのターゲットがIPアドレスの場合のみ適応可能です。

マルチロードバランサーがグローバル接続時、デフォルトルートが設定されているルートテーブルは適応不可

負荷分散のポリシー設定

ニフクラのマルチロードバランサーでは、以下の設定が可能です。

バランスポリシー
ラウンドロビンと、リーストコネクションの設定が可能です。
セッション固定
ソースIPアドレス、cookieを元にセッションをサーバーに固定できます。

セッションの保持時間クラウド技術仕様/制限値(ネットワーク:マルチロードバランサー)をご確認ください。

ヘルスチェックの設定

サーバーからの応答時間がタイムアウトを越えた場合にサーバーをロードバランサーから切り離します。

ヘルスチェックの設定項目はクラウド技術仕様/制限値(ネットワーク:マルチロードバランサー)をご確認ください。
送信元IP：振り分け先ネットワーク側に設定したマルチロードバランサーIPアドレスとシステムIPアドレス ^[45]がヘルスチェックの送信元IPとして利用されます。
ネットワーク設定の考慮：
- マルチロードバランサーから振り分け先サーバーまでのネットワーク設定について送信元IP(マルチロードバランサーIPアドレスとシステムIPアドレス)を考慮してください。
  - 振り分け先サーバーに適用しているファイアウォール等に送信元IPを許可
    
    ニフクラファイアウォール
    
    OS上のファイアウォール
    
    OS上で利用中のセキュリティ製品
  - 振り分け先サーバーまでの通信経路上の転送設定

45. ネットワークでプライベートLANを指定した場合にマルチロードバランサーのIPアドレスとは別に、システム的に必要となる2つのIPアドレス

Sorryページ設定

ヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、且つ、他の負荷分散可能な仮想サーバーが存在しなかった場合のリダイレクト情報を設定することによりSorryページを表示させることが可能です。^[46]

46. リダイレクト先は別途用意する必要があります。

Sorryページは待ち受けポート設定がHTTP/HTTPSの場合利用可能(ポートは任意に設定可能)
レスポンスコードは302

L7ロードバランサー（Ivanti Virtual Traffic Manager）に関する留意事項

作業概要: ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。

ニフクラのサービス/機能	留意事項	内容
L7ロードバランサー（Ivanti Virtual Traffic Manager）	サービスの概要	ニフクラでは、信頼性向上と性能向上のための負荷分散機能としてL4層だけでなくL7層にも対応したL7ロードバランサーを提供しています。L7ロードバランサーでは、複数のゾーンに配備された仮想サーバーへ負荷分散が可能です。L7ロードバランサーはサードパーティ製のソリューションサービスとなります。^[47] 47. 利用者にて、セットアップ手順書及びインストーラーを図研ネットウエイブ株式会社のサイトよりダウンロードし、インストールする必要があります。
ネットワーク構成	L7ロードバランサーはグローバルネットワーク側の負荷分散、プライベートLAN側への負荷分散も可能になります。ネットワーク構成によりL7ロードバランサーを構成するOS上で適切にルーティング設定などが必要になります。
帯域	シリーズにより利用できる帯域が異なります。	詳細はクラウド技術仕様/制限値（L7ロードバランサー（Ivanti Virtual Traffic Manager）全般）をご確認ください。
アクセス元IPの取得	http、https且つSSLアクセラレーターを利用してのアクセスの場合、ヘッダー情報に送信元IPアドレスが付与されます。「X-Forwarded-For」への変更も可能です。 httpsアクセスでSSLアクセラレーターをロードバランサーで行わない場合も、設定により独自ヘッダーを付与し、アクセス元IPの取得も可能です。
暗号化SUITE	atsに対応しています。
負荷分散可能なレイヤー	ニフクラのL7ロードバランサーでは、L4層/L7層の負荷分散が可能です。
IP Transparency	IP Transparencyを利用する場合に、バックエンドノードへのアクセスとして共通グローバル、または共通プライベートは利用できません。IP Transparencyを利用する場合にはL7ロードバランサー、バックエンドノードともにプライベートLANを利用する必要があります。
負荷分散のポリシー設定	ニフクラのL7ロードバランサーでは、以下の設定が可能です。バランスポリシーセッション固定プロトコルに応じて設定が可能です。	バランスポリシー、セッション固定の設定値についてはクラウド技術仕様/制限値（L7ロードバランサー（Ivanti Virtual Traffic Manager）全般）の仕様をご確認ください。
ヘルスチェックの設定	サーバーからの応答時間がタイムアウトを越えた場合にサーバーをロードバランサーから切り離します。	ヘルスチェックの設定値については Ivanti Virtual Traffic Managerセットアップ手順書 [PDFファイル(ver22.2)]をご確認ください。
Sorryページ設定	ヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、かつ、他の負荷分散可能な仮想サーバーが存在しなかった場合のリダイレクト情報を設定することによりsorryページを表示させることが可能です。ページのカスタマイズも可能で、Virtual Server設定ごとにHTTP/HTTPS/他プロトコルで利用可能です。	Sorryページの詳細な仕様は Ivanti Virtual Traffic Managerセットアップ手順書 [PDFファイル(ver22.2)]をご確認ください。
サポート範囲	OS上の設定は利用者責任範囲となります。またL7の負荷分散へ対応していることにより柔軟な設定が可能な分、複雑となります。サポート問い合わせ時、利用者側で切り分けが必要なことが多々あります。留意してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

L7ロードバランサー（Ivanti Virtual Traffic Manager）

サービスの概要

ニフクラでは、信頼性向上と性能向上のための負荷分散機能としてL4層だけでなくL7層にも対応したL7ロードバランサーを提供しています。L7ロードバランサーでは、複数のゾーンに配備された仮想サーバーへ負荷分散が可能です。L7ロードバランサーはサードパーティ製のソリューションサービスとなります。^[47]

47. 利用者にて、セットアップ手順書及びインストーラーを図研ネットウエイブ株式会社のサイトよりダウンロードし、インストールする必要があります。

ネットワーク構成

L7ロードバランサーはグローバルネットワーク側の負荷分散、プライベートLAN側への負荷分散も可能になります。
ネットワーク構成によりL7ロードバランサーを構成するOS上で適切にルーティング設定などが必要になります。

帯域

シリーズにより利用できる帯域が異なります。

詳細はクラウド技術仕様/制限値（L7ロードバランサー（Ivanti Virtual Traffic Manager）全般）をご確認ください。

アクセス元IPの取得

http、https且つSSLアクセラレーターを利用してのアクセスの場合、ヘッダー情報に送信元IPアドレスが付与されます。「X-Forwarded-For」への変更も可能です。
httpsアクセスでSSLアクセラレーターをロードバランサーで行わない場合も、設定により独自ヘッダーを付与し、アクセス元IPの取得も可能です。

暗号化SUITE

atsに対応しています。

負荷分散可能なレイヤー

ニフクラのL7ロードバランサーでは、L4層/L7層の負荷分散が可能です。

IP Transparency

IP Transparencyを利用する場合に、バックエンドノードへのアクセスとして共通グローバル、または共通プライベートは利用できません。IP Transparencyを利用する場合にはL7ロードバランサー、バックエンドノードともにプライベートLANを利用する必要があります。

負荷分散のポリシー設定

ニフクラのL7ロードバランサーでは、以下の設定が可能です。

バランスポリシー
セッション固定
プロトコルに応じて設定が可能です。

バランスポリシー、セッション固定の設定値についてはクラウド技術仕様/制限値（L7ロードバランサー（Ivanti Virtual Traffic Manager）全般）の仕様をご確認ください。

ヘルスチェックの設定

サーバーからの応答時間がタイムアウトを越えた場合にサーバーをロードバランサーから切り離します。

ヘルスチェックの設定値については Ivanti Virtual Traffic Managerセットアップ手順書 [PDFファイル(ver22.2)]をご確認ください。

Sorryページ設定

ヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、かつ、他の負荷分散可能な仮想サーバーが存在しなかった場合のリダイレクト情報を設定することによりsorryページを表示させることが可能です。ページのカスタマイズも可能で、Virtual Server設定ごとにHTTP/HTTPS/他プロトコルで利用可能です。

Sorryページの詳細な仕様は Ivanti Virtual Traffic Managerセットアップ手順書 [PDFファイル(ver22.2)]をご確認ください。

サポート範囲

OS上の設定は利用者責任範囲となります。またL7の負荷分散へ対応していることにより柔軟な設定が可能な分、複雑となります。サポート問い合わせ時、利用者側で切り分けが必要なことが多々あります。留意してください。

統合ネットワークサービスに関する留意事項

作業概要: ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。

ニフクラのサービス/機能	留意事項	内容
統合ネットワークサービス（IPCOM VE2Vシリーズ）	サービスの概要	「統合ネットワークサービス（IPCOM VE2Vシリーズ）」(以降IPCOM VE2Vシリーズと記載)はセキュリティ対策機能と、ネットワーク最適化機能を提供するネットワークソリューションサービスです。^[48] 48. 詳細は「スタートガイド」を参照してください。
ネットワーク構成	IPCOM VE2Vシリーズはグローバルネットワーク側の負荷分散、プライベートLAN側への負荷分散も可能になります。(LSシリーズのみ)
負荷分散可能なレイヤー	柔軟な負荷分散方法が可能です。^[49]^[50] 49. 機能シリーズによって対応可否が異なります。SCシリーズ(SC、SC PUS)ではサーバー負荷分散機能は利用できません。 50. 機能の詳細は「データシート」を参照してください。(ドキュメント内のVE2はVE2Vに読み替えてください。)
構成	本製品は仮想アプライアンスであり、各スペックに対応したサーバータイプを選択する必要があります。	別途100GBの増設ディスクが必要
その他制限事項	プライベートLANの利用が必須となる機能の詳細は「スタートガイド」を参照してください。サーバー負荷分散やアドレス変換の機能で複数のグローバルIPアドレスを設定するときは、マルチIPの利用が必須となります。詳細は「データシート」^[51]を参照してください。ニフクラ基盤上の共通グローバルはDHCPやマルチキャストの通信不可という仕様のため、利用できない機能が存在します。 51. ドキュメント内のVE2はVE2Vに読み替えてください。	プライベートLANのみ利用している環境下でのみ冗長化可能

ニフクラのサービス/機能

留意事項

内容

選択値・条件

統合ネットワークサービス（IPCOM VE2Vシリーズ）

サービスの概要

「統合ネットワークサービス（IPCOM VE2Vシリーズ）」(以降IPCOM VE2Vシリーズと記載)はセキュリティ対策機能と、ネットワーク最適化機能を提供するネットワークソリューションサービスです。^[48]

48. 詳細は「スタートガイド」を参照してください。

ネットワーク構成

IPCOM VE2Vシリーズはグローバルネットワーク側の負荷分散、プライベートLAN側への負荷分散も可能になります。(LSシリーズのみ)

負荷分散可能なレイヤー

柔軟な負荷分散方法が可能です。^[49]^[50]

49. 機能シリーズによって対応可否が異なります。SCシリーズ(SC、SC PUS)ではサーバー負荷分散機能は利用できません。

50. 機能の詳細は「データシート」を参照してください。(ドキュメント内のVE2はVE2Vに読み替えてください。)

構成

本製品は仮想アプライアンスであり、各スペックに対応したサーバータイプを選択する必要があります。

別途100GBの増設ディスクが必要

その他制限事項

プライベートLANの利用が必須となる機能の詳細は「スタートガイド」を参照してください。
サーバー負荷分散やアドレス変換の機能で複数のグローバルIPアドレスを設定するときは、マルチIPの利用が必須となります。詳細は「データシート」^[51]を参照してください。
ニフクラ基盤上の共通グローバルはDHCPやマルチキャストの通信不可という仕様のため、利用できない機能が存在します。

51. ドキュメント内のVE2はVE2Vに読み替えてください。

プライベートLANのみ利用している環境下でのみ冗長化可能

方式詳細と参考ドキュメント

詳細な方式例としてCDP (クラウドデザインパターン)や、システム構成の参考事例、参考ドキュメントを記載します。

設計項目	ドキュメント掲載先	ドキュメント名または本ドキュメント内のタイトル	内容
仮想ネットワーク関連	本ドキュメント	ニフクラでの複数ゾーンのシステム構成例	ニフクラで構成可能な複数ゾーンのシステム構成です。ニフクラが提供するネットワークに関するサービス/機能を利用して、システムの信頼性などを向上します。
本ドキュメント	プライベートLANの実装	構成事例の実装作業の段取りの中で、ネットワーク/サブネット作成等を記載します。
CDP	インターネット接続パターン	インターネットから参照できるように仮想サーバーを配備するパターンです。サーバー配備時、サーバーにグローバルIPアドレスを付与する構成で、ニフクラの基本を記載しています。
CDP	複数階層ネットワーク構成パターン	2階層ネットワークのパターンです。用途に応じてプライベートLANを分割した構成を記載します。
WAN関連	本ドキュメント	拠点環境とのダイレクトポート接続事例	ダイレクトポート接続機能を使って、利用者のデータセンター環境、拠点環境と専用線/閉域網で接続する事例を記載します。記載例ではニフクラ環境を2セグメント構成で記載しています。
本ドキュメント	物理ポート（構内接続プラン）接続事例	ニフクラのシステムと、データセンター環境との物理ポート（構内接続プラン）接続事例を記載します。記載例ではニフクラ環境を2セグメント構成で記載しています。
本ドキュメント	拠点間VPNゲートウェイ接続事例	拠点間VPNゲートウェイ、インターネットVPN（H/W）、リモートアクセスVPNゲートウェイでのIPsecVPN/SSL-VPNで接続する事例を記載します。
CDP	ハイブリットクラウド：VPN接続パターン	IPsecVPN接続を記載したパターンです。
プライベートブリッジ関連	CDP	リージョン間接続パターン：プライベートブリッジ	複数のゾーンを用いてシステムを構成するパターンです。それぞれのゾーンにプライベートLANを作成しプライベートLAN同士はプライベートブリッジを用いて接続し、複数のゾーン構成を作成します。
負荷分散関連	CDP	サーバー冗長化パターン	Webサービスで、性能、信頼性を考慮した構成を実現したい場合のパターンです。
CDP	マルチゾーンパターン	ゾーンを束ねている物理機器の全系統ダウンなど、ゾーン全体がダウンするような事態でも、業務を継続したい場合のパターンです。

設計項目

ドキュメント掲載先

ドキュメント名または本ドキュメント内のタイトル

内容

仮想ネットワーク関連

本ドキュメント

ニフクラでの複数ゾーンのシステム構成例

ニフクラで構成可能な複数ゾーンのシステム構成です。ニフクラが提供するネットワークに関するサービス/機能を利用して、システムの信頼性などを向上します。

本ドキュメント

プライベートLANの実装

構成事例の実装作業の段取りの中で、ネットワーク/サブネット作成等を記載します。

CDP

インターネット接続パターン

インターネットから参照できるように仮想サーバーを配備するパターンです。サーバー配備時、サーバーにグローバルIPアドレスを付与する構成で、ニフクラの基本を記載しています。

CDP

複数階層ネットワーク構成パターン

2階層ネットワークのパターンです。用途に応じてプライベートLANを分割した構成を記載します。

WAN関連

本ドキュメント

拠点環境とのダイレクトポート接続事例

ダイレクトポート接続機能を使って、利用者のデータセンター環境、拠点環境と専用線/閉域網で接続する事例を記載します。記載例ではニフクラ環境を2セグメント構成で記載しています。

本ドキュメント

物理ポート（構内接続プラン）接続事例

ニフクラのシステムと、データセンター環境との物理ポート（構内接続プラン）接続事例を記載します。記載例ではニフクラ環境を2セグメント構成で記載しています。

本ドキュメント

拠点間VPNゲートウェイ接続事例

拠点間VPNゲートウェイ、インターネットVPN（H/W）、リモートアクセスVPNゲートウェイでのIPsecVPN/SSL-VPNで接続する事例を記載します。

CDP

ハイブリットクラウド：VPN接続パターン

IPsecVPN接続を記載したパターンです。

プライベートブリッジ関連

CDP

リージョン間接続パターン：プライベートブリッジ

複数のゾーンを用いてシステムを構成するパターンです。それぞれのゾーンにプライベートLANを作成しプライベートLAN同士はプライベートブリッジを用いて接続し、複数のゾーン構成を作成します。

負荷分散関連

CDP

サーバー冗長化パターン

Webサービスで、性能、信頼性を考慮した構成を実現したい場合のパターンです。

CDP

マルチゾーンパターン

ゾーンを束ねている物理機器の全系統ダウンなど、ゾーン全体がダウンするような事態でも、業務を継続したい場合のパターンです。

４．セキュリティ

設計のポイント

以下では、セキュリティ関連のニフクラのサービス/機能を記載しています。ニフクラにてセキュリティ観点で設計をする際には、以下のニフクラのサービス・機能を検討してください。

区分	区分の概要	対応するサービス/機能	ニフクラのサービス/機能の概要	選択値・条件
認証・ID管理	【認証】情報システムに対する利用者の識別をする技術【ID管理】認証・認可に使用するID情報のライフサイクルを管理する技術	マルチアカウント	ニフクラのコントロールパネル/APIを利用する際に、操作範囲に制限を持たせたアカウントを作成できる機能です。^[52] 52. 運用者権限・閲覧権限のユーザーには、許可する操作を定義したポリシーを追加可能です。	管理者権限、運用者権限、閲覧権限のアカウントの作成可能一部マルチアカウント未対応サービスあり
SSHキー	Linux系の仮想サーバーにログインするためのSSHキーの発行/登録/インポート/削除操作が可能です。
アクセスコントロール	情報システムに対するアクセス時の許可を操作者の権利に応じて行う技術	IP許可制限	コントロールパネルやAPIのアクセスについて、特定のIPアドレスからのアクセスのみを許可する機能です。許可したIPアドレス以外からのアクセスを制限します。
OTP認証	OTP認証とは、コントロールパネルへログインする際に、専用のアプリケーション^[53]に表示されるワンタイムコードをパスワードとして用いる認証方式のことです。OTP認証を利用することで、セキュリティの強化を実現できます。契約管理メニューの二要素認証は同じ機能となります。 OTP認証は無料で利用できます。 53. FreeOTP または Google Authenticator（Google認証システム）
ファイアウォール	ファイアウォールサービスは、プロトコル、ポート番号、Incoming/Outgoingでアクセス許可を制御する機能です。仮想サーバー、ルーター、拠点間VPNゲートウェイに設定可能です。	選択可能なプロトコルはクラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)をご確認ください。
サーバー向けクラウド型セキュリティ（Trend Micro Cloud One – Workload Security）	サードパーティ製のソリューションサービスです。ニフクラへ配備した仮想サーバーにオプションで導入可能です。区分の範囲では以下の機能があります。 IDS/IPS Firewall Web Reputation 本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。
証跡管理	情報システムの信頼性/安全性/効率性/有効性の確保が事後に実証可能なよう、情報システムに対するアクセスを記録し、記録されたデータを管理する技術	ニフクラ API (ログ取得)	ファイアウォールグループのアクセス拒否のログ取得、基本監視のログ取得などのAPIを提供しています。ログを取得できないサービス/機能や仮想リソースがあるため留意してください。
集中管理インシデント管理脆弱性管理構成管理	情報システム全体のセキュリティ対策レベルを恒常的に把握/維持/向上を図ることを目的とした技術	ニフクラコントロールパネル/API	コントロールパネルやAPIで、ニフクラ上の仮想リソースの一覧取得が可能です。
サーバー向けクラウド型セキュリティ（Trend Micro Cloud One – Workload Security）	サードパーティ製のソリューションサービスです。ニフクラへ配備した仮想サーバーにオプションで導入可能です。区分の範囲では以下の機能があります。変更監視ログ監視
暗号化データの秘匿ファイル、ストレージ、通信上のデータ等認証(電子署名など)	秘匿すべき情報の表現を組み替えて第三者が参照したり利用したりできないようにする技術	ロードバランサー	それぞれのロードバランサー(ロードバランサー（L4）、マルチロードバランサー、L7ロードバランサー（Ivanti Virtual Traffic Manager）、統合ネットワークサービス（IPCOM VE2Vシリーズ）)でhttpsの暗号化通信に対応しています。
拠点間VPNゲートウェイ	オンプレミスなどの拠点とインターネットを経由してIPsecVPNで接続する機能です。
インターネットVPN（H/W）	オンプレミスなどの拠点とインターネットを経由してIPsecVPNで接続する機能です。
リモートアクセスVPNゲートウェイ	利用者端末とインターネット経由でSSL-VPNにて接続する機能です。
不正プログラム対策	セキュリティの3要素(機密性・完全性・可用性)を脅かす悪意を持って作られたプログラムへの対策を目的とした技術	サーバー向けクラウド型セキュリティ（Trend Micro Cloud One – Workload Security）	サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーへオプションで導入可能です。区分の範囲では以下の機能があります。ウイルス対策 IDS/IPS
ウイルス・スパイウエア対策（ESET Server Security）	サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーへオプションで導入可能です。セキュリティ機能として、以下の機能があります。ウイルス・スパイウェア対策
IDS	ネットワーク上を流れるパケットを常時監視し、不正アクセスを検知し通報するサービスをオプションで導入可能です。

区分

区分の概要

対応するサービス/機能

ニフクラのサービス/機能の概要

選択値・条件

認証・ID管理

【認証】
情報システムに対する利用者の識別をする技術
【ID管理】
認証・認可に使用するID情報のライフサイクルを管理する技術

マルチアカウント

ニフクラのコントロールパネル/APIを利用する際に、操作範囲に制限を持たせたアカウントを作成できる機能です。^[52]

52. 運用者権限・閲覧権限のユーザーには、許可する操作を定義したポリシーを追加可能です。

管理者権限、運用者権限、閲覧権限のアカウントの作成可能
一部マルチアカウント未対応サービスあり

SSHキー

Linux系の仮想サーバーにログインするためのSSHキーの発行/登録/インポート/削除操作が可能です。

アクセスコントロール

情報システムに対するアクセス時の許可を操作者の権利に応じて行う技術

IP許可制限

コントロールパネルやAPIのアクセスについて、特定のIPアドレスからのアクセスのみを許可する機能です。許可したIPアドレス以外からのアクセスを制限します。

OTP認証

OTP認証とは、コントロールパネルへログインする際に、専用のアプリケーション^[53]に表示されるワンタイムコードをパスワードとして用いる認証方式のことです。OTP認証を利用することで、セキュリティの強化を実現できます。
契約管理メニューの二要素認証は同じ機能となります。
OTP認証は無料で利用できます。

53. FreeOTP または Google Authenticator（Google認証システム）

ファイアウォール

ファイアウォールサービスは、プロトコル、ポート番号、Incoming/Outgoingでアクセス許可を制御する機能です。仮想サーバー、ルーター、拠点間VPNゲートウェイに設定可能です。

選択可能なプロトコルはクラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)をご確認ください。

サーバー向けクラウド型セキュリティ（Trend Micro Cloud One – Workload Security）

サードパーティ製のソリューションサービスです。ニフクラへ配備した仮想サーバーにオプションで導入可能です。区分の範囲では以下の機能があります。

IDS/IPS
Firewall
Web Reputation

本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。

証跡管理

情報システムの信頼性/安全性/効率性/有効性の確保が事後に実証可能なよう、情報システムに対するアクセスを記録し、記録されたデータを管理する技術

ニフクラ API (ログ取得)

ファイアウォールグループのアクセス拒否のログ取得、基本監視のログ取得などのAPIを提供しています。ログを取得できないサービス/機能や仮想リソースがあるため留意してください。

集中管理

インシデント管理
脆弱性管理
構成管理

情報システム全体のセキュリティ対策レベルを恒常的に把握/維持/向上を図ることを目的とした技術

ニフクラコントロールパネル/API

コントロールパネルやAPIで、ニフクラ上の仮想リソースの一覧取得が可能です。

サーバー向けクラウド型セキュリティ（Trend Micro Cloud One – Workload Security）

変更監視
ログ監視

暗号化

データの秘匿ファイル、ストレージ、通信上のデータ等
認証(電子署名など)

秘匿すべき情報の表現を組み替えて第三者が参照したり利用したりできないようにする技術

ロードバランサー

それぞれのロードバランサー(ロードバランサー（L4）、マルチロードバランサー、L7ロードバランサー（Ivanti Virtual Traffic Manager）、統合ネットワークサービス（IPCOM VE2Vシリーズ）)でhttpsの暗号化通信に対応しています。

拠点間VPNゲートウェイ

オンプレミスなどの拠点とインターネットを経由してIPsecVPNで接続する機能です。

インターネットVPN（H/W）

オンプレミスなどの拠点とインターネットを経由してIPsecVPNで接続する機能です。

リモートアクセスVPNゲートウェイ

利用者端末とインターネット経由でSSL-VPNにて接続する機能です。

不正プログラム対策

セキュリティの3要素(機密性・完全性・可用性)を脅かす悪意を持って作られたプログラムへの対策を目的とした技術

サーバー向けクラウド型セキュリティ（Trend Micro Cloud One – Workload Security）

サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーへオプションで導入可能です。区分の範囲では以下の機能があります。

ウイルス対策
IDS/IPS

ウイルス・スパイウエア対策（ESET Server Security）

サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーへオプションで導入可能です。セキュリティ機能として、以下の機能があります。

ウイルス・スパイウェア対策

IDS

ネットワーク上を流れるパケットを常時監視し、不正アクセスを検知し通報するサービスをオプションで導入可能です。

セキュリティ対策では、利用者により実施するセキュリティ対策と、ニフクラ基盤側で実施する対策があります。本ドキュメントは利用者が実施する対策を記載します。

ニフクラサービス適用事例

ロードバランサー（L4）とWeb/APサーバー、ニフクラRDBを配備した事例から、ニフクラのサービス/機能の適用を検討する以下3つの適用シーンについて記載します。

適用シーン	利用するサービス/機能	概要
① 仮想リソース操作(配備、起動・停止等)	コントロールパネル、API、マルチアカウント	管理者以上の権限が付与されたアカウントで、仮想リソースを配備する事例を記載します。
② 仮想サーバーなど構築	拠点間VPNゲートウェイ、SSHキー、ファイアウォール、 Workload Security、ロードバランサー（L4）(https)	仮想サーバーなどを構築する観点で事例を記載します。仮想サーバーには、IPsecVPNにより暗号化した経路で、SSHキーを使ってログインします。ファイアウォールでアクセス制御をします。
③ Webサービス提供	Webサービスの観点で事例を記載します。アクセス制御を変更して、不特定のアクセス元からロードバランサー（L4）でhttps通信する事例を記載します。また、サービス提供中に仮想サーバーで考慮するセキュリティなどについて記載します。

適用シーン

利用するサービス/機能

概要

① 仮想リソース操作(配備、起動・停止等)

コントロールパネル、API、マルチアカウント

管理者以上の権限が付与されたアカウントで、仮想リソースを配備する事例を記載します。

② 仮想サーバーなど構築

拠点間VPNゲートウェイ、SSHキー、ファイアウォール、 Workload Security、ロードバランサー（L4）(https)

仮想サーバーなどを構築する観点で事例を記載します。
仮想サーバーには、IPsecVPNにより暗号化した経路で、SSHキーを使ってログインします。ファイアウォールでアクセス制御をします。

③ Webサービス提供

Webサービスの観点で事例を記載します。
アクセス制御を変更して、不特定のアクセス元からロードバランサー（L4）でhttps通信する事例を記載します。また、サービス提供中に仮想サーバーで考慮するセキュリティなどについて記載します。

構成図補足

①仮想リソース操作(マルチアカウントを利用): プライベートLAN作成・設定、ルーター作成・設定、ファイアウォール作成・設定、ロードバランサー（L4）作成・設定、ニフクラRDB作成・設定、 SSHキー作成、仮想サーバー作成・設定・起動停止、各種ログ取得等
②仮想サーバーなど構築: httpdサーバーなどのソフトウェア導入・設定、ニフクラRDBの設定、Workload Security導入・設定など
③Webサービス提供: Web利用者向け

①仮想リソース操作(配備、起動・停止等)

以下のようにマルチアカウントを利用することにより、仮想リソース操作のための権限を適切に管理する利用者管理運用が可能です。

一部マルチアカウントには対応していないサービスもあるため留意してください。

運用者権限・閲覧権限のユーザーには、許可する操作を定義したポリシーを追加できます。

項目	ニフクラID 管理者	設定可能な権限
マルチアカウント管理者権限	マルチアカウント運用者権限	マルチアカウント閲覧権限
アカウント作成	○	×	×	×
コントロールパネル・API操作	○	○	詳細は「マルチアカウント権限比較表（エンジニアリングパーツ)」を参照運用者権限・閲覧権限のユーザーには、許可する操作を定義したポリシーを追加できます	運用者権限・閲覧権限のユーザーには、許可する操作を定義したポリシーを追加できます
コントロールパネル閲覧	○	○	○	○

項目

ニフクラID 管理者

設定可能な権限

マルチアカウント管理者権限

マルチアカウント運用者権限

マルチアカウント閲覧権限

アカウント作成

○

コントロールパネル・API操作

○

詳細は「マルチアカウント権限比較表（エンジニアリングパーツ)」を参照
運用者権限・閲覧権限のユーザーには、許可する操作を定義したポリシーを追加できます

運用者権限・閲覧権限のユーザーには、許可する操作を定義したポリシーを追加できます

コントロールパネル閲覧

○

②仮想サーバーなどの構築

構成図補足

ロードバランサー（L4）アクセス制御: アクセス元IPアドレス/ネットワーク帯(CIDR表記)の制限が可能です。
構築中は特定のアクセス元からのみ許可します。

仮想サーバーなどの構築観点のセキュリティ

配備する仮想サーバーなどのリソースは、ファイアウォールで制御をします。システム構築中は、不用意にアクセスされないよう、アクセス元を限定してください。
仮想サーバーには、IPsecVPNにより暗号化した経路で、SSHキーを使ってログインするようにしてください。

Trend Micro Cloud One - Workload Security
- サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーへオプションで導入可能です。セキュリティ機能として以下の機能があります。
  - IDS/IPS
  - Web Reputation
  - 変更監視
  - Firewall
  - ウイルス対策
  - ログ監視
- 本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。
  本サービスを利用する際は、仮想サーバーにWorkload Securityのエージェントを導入して、仮想サーバーからTrend Micro社のCloud Oneの管理サーバーにhttps(443/tcp)でアクセスできるようにファイアウォールグループを設定します。
ファイアウォール
- ファイアウォールサービスはプロトコル、ポート番号、Incoming/Outgoingでアクセス許可を制御する機能です。サーバー、ルーター、拠点間VPNゲートウェイに適用可能で、複数サーバーを同一ルールに所属させることが可能です。Outgoingでは設定無しの場合全て許可となります。
  - 拠点間VPNゲートウェイ
    構築中は、特定のアクセス元拠点からとのみ通信可能にする。
  - Web/APサーバー
    DBサーバーへのDB用の通信ポートの送信を許可特定のアクセス元からssh (22/tcp)からの受信を許可 ※ロードバランサー（L4）からの通信は許可ルールの追加をせずとも許可されます。
DBファイアウォール
- ニフクラRDB用のファイアウォールとしてDBファイアウォールの利用が可能です。Incomingの設定が可能です。
  - 接続元種別としてCIDRか、IaaSで作成したファイアウォールグループの指定が可能です。
  - DBサーバー
    Web/APサーバー用に作成したファイアウォールグループからの受信を許可

ファイアウォールとロードバランサー

ファイアウォールグループ設定例
※本設定例ではOUTルールは設定なしで記載しています。(デフォルトすべて許可)

Web/APサーバー用ファイアウォールグループ設定例

INルール設定

プロトコル

宛先ポート

接続元種別

IP/CIDR・グループ

備考

SSH

22

IP/CIDR

x.x.x.x

IPsec-VPN経由でログインする特定のアクセス元

プロトコル	宛先ポート	接続元種別	IP/CIDR・グループ	備考
SSH	22	IP/CIDR	x.x.x.x	IPsec-VPN経由でログインする特定のアクセス元

拠点間VPNゲートウェイ用ファイアウォールグループ設定例

INルール設定

プロトコル	宛先ポート	接続元種別	IP/CIDR・グループ	備考
ANY	－	グループ	Web/AP用	Web/AP用ファイアウォールグループを指定し、Web/APサーバーからの通信を許可
ESP	－	IP/CIDR	y.y.y.y	拠点側VPN装置からの通信を許可
UDP	500	IP/CIDR
UDP	4500	IP/CIDR

プロトコル

宛先ポート

接続元種別

IP/CIDR・グループ

備考

ANY

－

グループ

Web/AP用

Web/AP用ファイアウォールグループを指定し、Web/APサーバーからの通信を許可

ESP

－

IP/CIDR

y.y.y.y

拠点側VPN装置からの通信を許可

UDP

500

IP/CIDR

UDP

4500

IP/CIDR

DBファイアウォール設定例
- DBファイアウォール設定例
  
  接続元種別
  
  IPアドレス・グループ
  
  備考
  
  グループ
  
  Web/AP用
  
  Web/AP用ファイアウォールグループを指定し、Web/APサーバーからの通信を許可

接続元種別	IPアドレス・グループ	備考
グループ	Web/AP用	Web/AP用ファイアウォールグループを指定し、Web/APサーバーからの通信を許可

ロードバランサー（L4）アクセス制御設定例

ロードバランサー（L4）アクセス制御設定例
※本設定例では「許可するIPを指定する」で記載しています。（拒否するIPを指定も可能）

アクセス元IPアドレス/CIDR	備考
(構築時) x.x.x.x (完了時)設定なし	構築時では特定のIPアドレスからのみ通信を許可構築完了後、設定を削除し、不特定のアクセス元からの通信を許可

アクセス元IPアドレス/CIDR

備考

(構築時) x.x.x.x
(完了時)設定なし

構築時では特定のIPアドレスからのみ通信を許可
構築完了後、設定を削除し、不特定のアクセス元からの通信を許可

③Webサービス提供

構成図補足

ロードバランサー（L4）アクセス制御

構築完了後は、設定を削除し不特定のアクセス元からの通信を許可

仮想サーバーのセキュリティ

仮想サーバーにログインするにはSSHキーを利用します。SSHキーは紛失しないよう、厳重に管理してください。
仮想サーバーに割り当てるディスクは、ニフクラでは暗号化していません。必要であれば、利用者側で独自に実装してください。
OSのパッチを適用できるようなサービスは提供していません。必要に応じて利用者側で独自に実装してください。OSパッチを含め、システム全体のインシデント管理や脆弱性管理、構成管理は、利用者側で実施してください。
仮想サーバーへの不正アクセスログを取得する場合は、iptablesなどのOS標準のツールの導入や、Workload Securityの導入を検討してください。
ログの集約や集約したログの集中管理などをしたい場合は、監視ツールの導入を検討してください。

ニフクラRDBで提供するDBサーバーのセキュリティ

ニフクラRDBに割り当てるディスクは、ニフクラでは暗号化していません。
データベースの行レベルでの暗号化が必要な場合は、利用者側にて独自に実装（利用者側で暗号化したデータを格納など）するか、独自にデータベース自体を導入してください。

Webサービスの提供観点のセキュリティ

ロードバランサー（L4）はhttps通信が可能です。
ロードバランサー（L4）は、アクセスログを取得できません。
仮想サーバーのセキュリティを強化する場合は、Workload Securityなどの導入を検討してください。

適用の指針

セキュリティは、ニフクラの機能だけでは完結しません。利用者システム上のセキュリティ対策と組み合わせて、ニフクラのセキュリティ関連のサービス/機能を適用し、適切にシステムを管理してください。

区分検討対象	認証・ID管理	アクセスコントロール	証跡管理	集中管理	暗号化	不正プログラム対策	適用シーン
アカウント	機能/サービス	マルチアカウント SSHキー	IP許可制限 OTP認証	アクティビティログ	コントロールパネル API	https		①
利用者	ニフクラ機能/サービスを利用し、運用で適切に管理	アクティビティログを取得 API操作ログを保存	ニフクラ機能/サービスを利用し、運用で適切に管理	APIアクセスできる最新のcurlなどのツールを用意	利用者端末からアカウントなどの情報漏えいに留意
ネットワーク	機能/サービス		ファイアウォール	仮想リソース管理コントロールパネル/APIによる一覧取得	IPsecVPN	IDS	②
利用者		ニフクラ機能/サービスを利用し、運用で適切に管理	ファイアウォールのアクセスを拒否したログは取得可能	ニフクラ機能/サービスを利用し、運用で適切に管理	ニフクラ機能/サービスを利用し、運用で適切に管理	ニフクラ機能/サービスを利用し、運用で適切に管理
仮想サーバー	機能/サービス	SSHキーペア認証^[54] 54. 仮想サーバーログイン用	Workload Security ファイアウォール	ログ取得API^[55] 55. 一部のログのみ	コントロールパネル API Workload Security		Workload Security ESET^[56] 56. ウイルス対策など
利用者	ニフクラ機能/サービスを利用し、運用で適切に管理必要に応じて、利用者独自にアカウント追加	ニフクラ機能/サービスを利用し、運用で適切に管理必要に応じOS標準のiptablesなどで独自にアクセス制御設定	作業ログなどを保存必要に応じOS標準のiptablesなどで独自にログ取得必要に応じログ集約や監視ツールを導入	OSまではニフクラ機能/サービスを利用し、運用で適切に管理システム全体として適切な管理方式を利用者が検討/実装	暗号化は必要に応じて独自に実装一部ゾーンのローカルディスク及び増設ディスクでは筐体暗号化対応しています。詳細はニフクラゾーン別機能対応表を確認してください。	ニフクラ機能/サービス利用または独自に実装
ニフクラRDB	機能/サービス	－	DBファイアウォール	ログ取得API^[57] 57. 一部のログのみ	コントロールパネル API
利用者	ニフクラ機能/サービスを利用し、運用で適切に管理必要に応じて、利用者独自にアカウントを追加	作業ログなどを保存	ニフクラ機能/サービスを利用し、運用で適切に管理	必要に応じて独自に実装(暗号化したデータを格納するなど)
Webサービス	機能/サービス				Workload Security	https(ロードバランサー)	Workload Security ESET IDS	③
利用者	利用者で独自に実装	利用者で独自に実装	利用者で独自に実装	ニフクラ機能/サービス利用または独自に実装

区分検討対象

認証・ID管理

アクセスコントロール

証跡管理

集中管理

暗号化

不正プログラム対策

適用シーン

アカウント

機能/サービス

マルチアカウント
SSHキー

IP許可制限
OTP認証

アクティビティログ

コントロールパネル API

https

①

利用者

ニフクラ機能/サービスを利用し、運用で適切に管理

アクティビティログを取得
API操作ログを保存

ニフクラ機能/サービスを利用し、運用で適切に管理

APIアクセスできる最新のcurlなどのツールを用意

利用者端末からアカウントなどの情報漏えいに留意

ネットワーク

機能/サービス

ファイアウォール

仮想リソース管理
コントロールパネル/APIによる一覧取得

IPsecVPN

②

利用者

ニフクラ機能/サービスを利用し、運用で適切に管理

ファイアウォールのアクセスを拒否したログは取得可能

ニフクラ機能/サービスを利用し、運用で適切に管理

ニフクラ機能/サービスを利用し、運用で適切に管理

ニフクラ機能/サービスを利用し、運用で適切に管理

仮想サーバー

機能/サービス

SSHキーペア認証^[54]

54. 仮想サーバーログイン用

Workload Security
ファイアウォール

ログ取得API^[55]

55. 一部のログのみ

コントロールパネル API
Workload Security

Workload Security
ESET^[56]

56. ウイルス対策など

利用者

ニフクラ機能/サービスを利用し、運用で適切に管理
必要に応じて、利用者独自にアカウント追加

ニフクラ機能/サービスを利用し、運用で適切に管理
必要に応じOS標準のiptablesなどで独自にアクセス制御設定

作業ログなどを保存
必要に応じOS標準のiptablesなどで独自にログ取得
必要に応じログ集約や監視ツールを導入

OSまではニフクラ機能/サービスを利用し、運用で適切に管理
システム全体として適切な管理方式を利用者が検討/実装

暗号化は必要に応じて独自に実装
- 一部ゾーンのローカルディスク及び増設ディスクでは筐体暗号化対応しています。詳細はニフクラゾーン別機能対応表を確認してください。

ニフクラ機能/サービス利用
または独自に実装

ニフクラRDB

機能/サービス

－

DBファイアウォール

ログ取得API^[57]

57. 一部のログのみ

コントロールパネル API

利用者

ニフクラ機能/サービスを利用し、運用で適切に管理
必要に応じて、利用者独自にアカウントを追加

作業ログなどを保存

ニフクラ機能/サービスを利用し、運用で適切に管理

必要に応じて独自に実装(暗号化したデータを格納するなど)

Webサービス

機能/サービス

Workload Security

https(ロードバランサー)

Workload Security
ESET
IDS

③

利用者

利用者で独自に実装

利用者で独自に実装

利用者で独自に実装

ニフクラ機能/サービス利用
または独自に実装

カテゴリ項目ごとの作業と留意事項

カテゴリ項目ごとの作業概要

カテゴリ項目	作業	ニフクラでの作業概要
セキュリティ	セキュリティの方式設計	システム要件で必要なセキュリティ対策について方式を具体化し、セキュリティ機能の方式を設計してください
セキュリティシステム構成設計	ファイアウォール、ID/パスワードなどの構成の設計や管理に必要な規約については、オンプレミスと同様に設計してください。
セキュリティ運用設計(定常時)	システム全体の運用・保守設計に基づいて、セキュリティの定常時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスと同様です。「ニフクラ設計ガイド(運用・保守設計編) 運用・保守」を参照してください。
セキュリティ運用設計(障害時)	システム全体の運用・保守設計に基づいて、セキュリティの障害時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスと同様です。「ニフクラ設計ガイド(運用・保守設計編) 運用・保守」を参照してください。

カテゴリ項目

作業

ニフクラでの作業概要

セキュリティ

セキュリティの方式設計

システム要件で必要なセキュリティ対策について方式を具体化し、セキュリティ機能の方式を設計してください

セキュリティシステム構成設計

ファイアウォール、ID/パスワードなどの構成の設計や管理に必要な規約については、オンプレミスと同様に設計してください。

セキュリティ運用設計(定常時)

システム全体の運用・保守設計に基づいて、セキュリティの定常時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスと同様です。「ニフクラ設計ガイド(運用・保守設計編) 運用・保守」を参照してください。

セキュリティ運用設計(障害時)

システム全体の運用・保守設計に基づいて、セキュリティの障害時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスと同様です。「ニフクラ設計ガイド(運用・保守設計編) 運用・保守」を参照してください。

認証・ID管理に関する留意事項

作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

項目	留意事項	内容
利用者管理	ユーザーID区分	ニフクラ上でシステムを構築する場合、ニフクラでは以下の①～③等のユーザーID区分があります。また、利用者側で④～⑦等のユーザーID区分が想定されます。 ④～⑦については、それぞれ、ユーザーIDの作成/変更/削除時のルールを検討してください。ほかはシステム上必須となりますので削除できません。ニフクラの仕組みで発行するユーザーID ①ニフクラ利用者がニフクラを利用するために発行されるニフクラのユーザーID (ニフクラID) ②ニフクラ利用者がニフクラで仮想サーバーを配備した際に作成されるOSのユーザーID ③ニフクラ利用者がニフクラでニフクラRDBやニフクラNASを配備した際に作成されるマスターユーザーID 利用者が任意に作成するユーザーID ④ニフクラ利用者がマルチアカウント機能で任意に作成するニフクラのユーザーID ⑤ニフクラ利用者が仮想サーバー上で任意に作成するOSのユーザーID ⑥ニフクラ利用者がニフクラRDB上で任意に作成するDBのユーザーID ⑦ニフクラ利用者がシステム上でWebサービスを提供する際に作成するWebサービス用のユーザーID
ニフクラIDのパスワード	ニフクラIDは自動付与となります。	パスワード文字列条件等はニフクラカスタマーサポートパスワードについてをご確認ください。
マルチアカウントアカウント名の使用可能な文字	クラウド操作方法ガイド(アカウントメニュー:マルチアカウント作成)のアカウント名とパスワードについてのご注意事項をご確認ください。
マルチアカウントアカウント名の入力制限	クラウド操作方法ガイド(アカウントメニュー:マルチアカウント作成)のアカウント名とパスワードについてのご注意事項をご確認ください。
マルチアカウントアカウント名に使用できない組み合わせ	クラウド操作方法ガイド(アカウントメニュー:マルチアカウント作成)のアカウント名とパスワードについてのご注意事項をご確認ください。
マルチアカウントパスワードの使用可能な文字	クラウド操作方法ガイド(アカウントメニュー:マルチアカウント作成)のアカウント名とパスワードについてのご注意事項をご確認ください。
マルチアカウントパスワードの入力制限	クラウド操作方法ガイド(アカウントメニュー:マルチアカウント作成)のアカウント名とパスワードについてのご注意事項をご確認ください。

項目

留意事項

内容

選択値・条件

利用者管理

ユーザーID区分

ニフクラ上でシステムを構築する場合、ニフクラでは以下の①～③等のユーザーID区分があります。また、利用者側で④～⑦等のユーザーID区分が想定されます。
④～⑦については、それぞれ、ユーザーIDの作成/変更/削除時のルールを検討してください。ほかはシステム上必須となりますので削除できません。

ニフクラの仕組みで発行するユーザーID
①ニフクラ利用者がニフクラを利用するために発行されるニフクラのユーザーID (ニフクラID)
②ニフクラ利用者がニフクラで仮想サーバーを配備した際に作成されるOSのユーザーID
③ニフクラ利用者がニフクラでニフクラRDBやニフクラNASを配備した際に作成されるマスターユーザーID
利用者が任意に作成するユーザーID
④ニフクラ利用者がマルチアカウント機能で任意に作成するニフクラのユーザーID
⑤ニフクラ利用者が仮想サーバー上で任意に作成するOSのユーザーID
⑥ニフクラ利用者がニフクラRDB上で任意に作成するDBのユーザーID
⑦ニフクラ利用者がシステム上でWebサービスを提供する際に作成するWebサービス用のユーザーID

ニフクラIDのパスワード

ニフクラIDは自動付与となります。

パスワード文字列条件等はニフクラカスタマーサポートパスワードについてをご確認ください。

マルチアカウント
アカウント名の使用可能な文字

クラウド操作方法ガイド(アカウントメニュー:マルチアカウント作成)のアカウント名とパスワードについてのご注意事項をご確認ください。

マルチアカウント
アカウント名の入力制限

クラウド操作方法ガイド(アカウントメニュー:マルチアカウント作成)のアカウント名とパスワードについてのご注意事項をご確認ください。

マルチアカウント
アカウント名に使用できない組み合わせ

クラウド操作方法ガイド(アカウントメニュー:マルチアカウント作成)のアカウント名とパスワードについてのご注意事項をご確認ください。

マルチアカウント
パスワードの使用可能な文字

クラウド操作方法ガイド(アカウントメニュー:マルチアカウント作成)のアカウント名とパスワードについてのご注意事項をご確認ください。

マルチアカウント
パスワードの入力制限

クラウド操作方法ガイド(アカウントメニュー:マルチアカウント作成)のアカウント名とパスワードについてのご注意事項をご確認ください。

コントロールパネル/APIの認証に関する留意事項

作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

コントロールパネル/APIの認証に関する留意事項

ニフクラのサービス/機能

留意事項

内容

選択値・条件

コントロールパネル/APIの認証

ニフクラコントロールパネルへのログイン^[58]

58. OTP認証利用時

仮想サーバー作成などをするニフクラコントロールパネルは、OTP認証、ユーザーID/パスワードでログインします。

APIの認証

APIの認証にはAccesskey (公開キー)とSecretAccessKey (秘密キー)のペアからなる認証キーが必要となります。再発行も可能です。

SecretAccessKeyが外部に漏れると、第三者からAPIを実行される可能性があります。取り扱いには十分留意してください。
認証キーの「新規作成」を行うと、すでに登録されている認証キーは使用できなくなりますので、留意してください。

認証キーは1アカウントにつき1件のみ登録可能

仮想サーバーの利用者管理に関する留意事項

作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

仮想サーバーの利用者管理

仮想サーバー作成時のユーザーID

ニフクラが提供する各種イメージからの仮想サーバー作成時には、各OSによってログイン方法が異なります。^[59]

CentOS ：サーバー作成時に作成(指定)したSSHキーによりログイン
Red Hat Enterprise Linux ：サーバー作成時に作成(指定)したSSHキーによりログイン
Ubuntu ：サーバー作成時に作成(指定)したSSHキーによりログイン
Windows ：サーバー作成時に指定した管理者アカウント、パスワードによりログイン

Linux系サーバーには以下注意事項があります。

注意事項: ニフクラのコンソール機能を利用する場合にはrootパスワードが必要となります。コンソール接続が必要な場合は事前にSSHでログインしrootパスワードを設定しておくか、コンソール接続時にシングルユーザーモードにてログインし、rootパスワードを設定してください。

59. 作成後のログイン方法は利用者自身で変更可能です。要件によって変更してください。

rootパスワードはデフォルトで設定なし

Windows仮想サーバーのパスワード

Windows仮想サーバーを新規に作成する際には管理者アカウント/管理者パスワードを指定します。

設定可能な文字列についてはクラウド技術仕様/制限値（コンピューティング:サーバー）をご確認ください。

Windows仮想サーバーへのログイン

Windows仮想サーバーへのログインは、リモートデスクトップ接続、コンソール接続でサーバー作成時に指定した管理者アカウント/管理者パスワードでログイン可能です。

SSHに関する留意事項

作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

仮想サーバーの利用者管理

SSHキーの作成

仮想サーバーにログインするためのSSHキーは、コントロールパネルまたはAPIで作成します。
キーペアには以下の注意事項があります。

設定可能な文字列はクラウド技術仕様/制限値(コンピューティング:SSHキー)でご確認ください。

SSHキーの有効範囲

SSHキーは、リージョン単位で作成します。
同一の内容のSSHキーを使いたい場合は、SSH公開鍵をインポートすることでサーバーの作成とログインに利用できます。

SSHキーの管理

仮想サーバーへログインするために作成したSSHキーは、厳重に保管/管理してください。
SSHキーを紛失すると、再発行できません。そのため、新たにSSHキーを作成して、仮想サーバーを再度作成するか、コンソール機能でログインし、新たに公開鍵/秘密鍵の設定を実施してください。SSHキーが漏えいすると、そのキーペアで仮想サーバーへ不正にアクセスされる可能性があります。

パケットへ対するアクセス制御に関する留意事項

作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

パケットに対するアクセス制御

ファイアウォール

ニフクラでは、パケットに対するアクセス制御の機能として、ファイアウォールを提供しています。

アクセス制御の徹底依頼

仮想サーバーなどを配備する前に、必ず、ファイアウォールでアクセス制御を設定してください。
適切なアクセス制御を設定しないで仮想サーバーを配備した場合、不正なアクセスを受ける可能性があります。

ファイアウォールグループの概要

作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

ファイアウォールグループ

ファイアウォールグループの特徴

ファイアウォールグループは、その名の通りセキュリティのルールをグルーピングできる機能です。従来の iptables のようなパケットフィルタリングと比べて、ファイアウォールグループを設定して複数の仮想サーバーなどをまとめてアクセス制御できるため、

設定/変更が容易
管理が容易
複雑な構成にも簡易に対応可能

といった特徴があります。
ファイアウォールグループの名称は任意に設定可能です。

設定可能なファイアウォールグループ名はクラウド技術仕様/制限値(コンピューティング:ファイアウォール:グループ)をご確認ください。

ファイアウォールグループのルール

ファイアウォールルールの設定項目、仕様の詳細はクラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)をご確認ください。

設定対象のリソースはクラウド技術仕様/制限値(コンピューティング:ファイアウォール:グループ)をご確認ください。

ファイアウォールグループを作成した際のデフォルトルール

ファイアウォールグループを作成した際に、デフォルト適用されるルールがあります。詳細はクラウド技術仕様/制限値(コンピューティング:ファイアウォール:グループ)をご確認ください。

ルールの適用順序

パケットは、に適用される順番はクラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)のルールの適用順序についてをご確認ください。

ファイアウォールグループの有効範囲

クラウド技術仕様/制限値(コンピューティング:ファイアウォール:グループ)のファイアウォール適用の範囲をご確認ください。

ファイアウォールグループの設定方法

作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

ファイアウォールグループ

ファイアウォールグループのルールでロードバランサーの設定方法

マルチロードバランサー、L7ロードバランサー（Ivanti Virtual Traffic Manager）、統合ネットワークサービス（IPCOM VE2Vシリーズ）(以降IPCOM VE2Vシリーズと記載)はプライベートLANに接続可能です。
- その際のIPアドレスはプライベートLAN環境下では、任意のものを設定可能です。
仮想サーバーに対するマルチロードバランサー、L7ロードバランサー、IPCOM VE2Vシリーズからの通信に関しては、設定したIPアドレスでのアクセス制御をファイアウォールのルールで実施してください。
- ロードバランサー（L4）に付与されたIPアドレスに関してはファイアウォールルールの設定は不要です。ニフクラのファイアウォールではロードバランサー（L4）からの通信をすべて許可しています。
ロードバランサーの各サービス自体へのアクセス制御は以下で設定してください。
- ロードバランサー（L4）：ロードバランサー（L4）用のアクセス制御機能を利用してください。
- マルチロードバランサー：マルチロードバランサーへのアクセス制御はできないため、仮想サーバー側で実施してください。
- L7ロードバランサー（Ivanti Virtual Traffic Manager）：通常の仮想サーバーと同様、ファイアウォール機能を利用可能です。
- IPCOM VE2Vシリーズ：アクセス制御機能または通常の仮想サーバーと同様、ファイアウォール機能を利用可能です。

ファイアウォールグループのルールでニフクラRDB/ニフクラNASの設定方法

ニフクラRDB/ニフクラNASはプライベートLANに接続可能です。
- その際のIPアドレスは任意のものを設定可能です。
ニフクラRDB/ニフクラNASからの通信に関しては設定したIPアドレスでのアクセス制御をファイアウォールのルールで実施してください。
ニフクラRDB/ニフクラNASへのアクセス制御は以下で設定してください。
- ニフクラRDB：DBファイアウォール ^[60] ^[61]
- ニフクラNAS：NASファイアウォール ^[60] ^[61]

60. IaaS環境のファイアウォールグループとは別で管理する必要があります。

61. IaaS環境のファイアウォールグループを接続元に指定したアクセス許可設定も可能です。

ファイアウォールグループの制限

ファイアウォールグループには制限があります。

設定可能数、ログの保存件数等、仕様の詳細は以下の各技術仕様/制限値のページをご確認ください。
クラウド技術仕様/制限値(コンピューティング:ファイアウォール:グループ)
クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)
クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ログ)

ファイアウォールグループの挙動

作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

ファイアウォールグループ

TCPに対する動作について

クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)のフィルタの動作仕様をご確認ください。

ハーフオープン発生時の挙動について

クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)のフィルタの動作仕様をご確認ください。

ハーフクローズ発生時の挙動について

クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)のフィルタの動作仕様をご確認ください。

非対称な通信に対する挙動について

クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)のフィルタの動作仕様をご確認ください。

ファイアウォールグループその他の留意事項

作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

ファイアウォールグループ

ファイアウォールグループのルールでIPアドレスの設定方法

IPアドレスを設定する際は、一般的なCIDR形式で設定します。
x.x.x.x/32 という形式だと、IPアドレス x.x.x.x をもつ特定のサーバーとなります。
x.x.x.x/24 という形式だと、IPアドレス x.x.x.0～x.x.x.255 をもつサブネットとなります。

IPアドレス重複防止ルールについて

共通ネットワークに接続されるサーバーへは、IPアドレスの重複を防止するファイアウォールルールが自動的に適用されます。(デフォルトルール同様、設定の無効化はできません。)

コネクションのタイムアウトについて

コネクションは無通信状態が続くとタイムアウトいたします。タイムアウト値はファイアウォール上のTCP状態によって、異なります。

TCP状態に応じたタイムアウト値はクラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)をご確認ください。

ALGとして動作するプロトコルについて

特定のプロトコルであると判断された場合、ネットワークプロトコルを解釈し制御をします。

特定のポート/プロトコルはクラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)をご確認ください。

認証管理に関する留意事項

作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ログ取得に関する留意事項

ニフクラのサービス/機能

留意事項

内容

選択値・条件

ログ取得

ニフクラの機能で取得可能なログ

ニフクラの機能で主に利用する機能での取得可能なログは以下です。
①コントロールパネル/APIの操作ログ(アクティビティログ)
②ファイアウォールのアクセス拒否ログ
③ニフクラRDBのイベントログ
④拠点間VPNゲートウェイのログ
⑤ESS 配信ログ
そのほかに関しては各機能の詳細を確認してください。

ニフクラの機能にて取得できないログ

主に利用されるニフクラの機能のうち、ログが取得できないものがあります。内容に関しては各機能の詳細を確認してください。

以下は取得不可

ロードバランサー（L4）のアクセス制御ログ
コントロールパネル操作以外の仮想サーバー内のログ
オブジェクトストレージのログ

ログ収集、ログ集約

利用者側で必要に応じてログ集約可能なツールを導入してください。

ログ収集、ログ集約機能は未提供

集中管理に関する留意事項

作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

インシデント管理

セキュリティのインシデント管理

サードパーティ製のソリューションサービスの Workload Security を検討してください。

ニフクラの基本機能ではセキュリティのインシデント管理の機能なし

サーバー向けクラウド型セキュリティ（Trend Micro Cloud One – Workload Security）

サードパーティ製のソリューションサービスです。ニフクラへ配備した仮想サーバーにオプションで導入可能です。セキュリティ機能として、以下の機能があります。

IDS/IPS
Web Reputation
Firewall
変更監視
ウイルス対策
ログ監視

本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。

ニフクラの監視サービス

ニフクラの基本監視サービスで監視できる内容は、主に仮想リソースの使用状況です。

基本監視サービスではセキュリティインシデントの監視はできない

構成管理

構成情報の提供

ニフクラでは、コントロールパネルやAPIにより、仮想リソースの情報を一覧取得できます。

構成管理

コントロールパネルやAPIにより仮想リソースの最新の情報を取得して、必要に応じて利用者側でドキュメント化するなど、管理方式を設計してください。

脆弱性管理

脆弱性の情報収集と対応判断

ニフクラからは、OSやミドルウェアの脆弱性情報は提供しません。ただし、ニフクラを利用するにあたり影響が大きいと考えられる脆弱性へ関しては、別途案内する場合があります。原則、利用者側で必要に応じて情報を取得して、脆弱性に対する対応を検討してください。

脆弱性に対する対応(OS)

脆弱性対策のOSパッチは利用者側で必要に応じて収集して適用してください。^[62]

62. ニフクラが提供するスタンダードイメージは、脆弱性の脅威によってニフクラ側でイメージを更新する場合があります。

OSの脆弱性対策で使えるOSパッチ用のサービスは提供なし

脆弱性に対する対応(その他)

ミドルウェアなどのパッチは、利用者側で必要に応じて情報を取得して適用してください。

ニフクラRDBのパッチ適用

稼働中のニフクラRDBへ対しては、基本的にパッチは適用しない方針となります。^[63]

63. 脆弱性対応などで、既存運用環境に対して、メンテンスすることはあります。

暗号化に関する留意事項

作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

暗号化に関する留意事項

ニフクラのサービス/機能

留意事項

内容

選択値・条件

暗号化

コントロールパネル/APIの暗号化

ニフクラコントロールパネル、APIエンドポイントのいずれも、httpsで提供しています。

ロードバランサー

各ロードバランサー(ロードバランサー（L4）、マルチロードバランサー、L7ロードバランサー（Ivanti Virtual Traffic Manager）、統合ネットワークサービス（IPCOM VE2Vシリーズ）)は、httpsを利用できます。

オブジェクトストレージサービス

SSL（https）のみ対応しています。

通信経路の暗号化

ニフクラでは、通信経路の暗号化で、IPsecVPN/SSL-VPN が可能な拠点間VPNゲートウェイ、インターネットVPN（H/W）、リモートアクセスVPNゲートウェイを提供しています。詳細はネットワークの章を参照してください。

不正プログラム対策に関する留意事項

作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

不正プログラム対策に関する留意事項

ニフクラのサービス/機能

留意事項

内容

選択値・条件

不正プログラム対策
-サーバー向けクラウド型セキュリティ（Trend Micro Cloud One – Workload Security）

概要

IDS/IPS
Web Reputation
Firewall
変更監視
ウイルス対策
ログ監視

本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。

IPS/IDS (侵入防御)

ネットワーク経由の脆弱性に対する攻撃、SQLインジェクション攻撃、XSS攻撃、及びその他のWebアプリケーションの脆弱性からコンピューターを保護します。

Firewall

ネットワークレイヤー2～4 までをカバーし通信を制御する、ホスト型ファイアウォールを提供します。

ウイルス対策

不正プログラム、ウイルス、トロイの木馬、スパイウェアなどのファイルベースの脅威からリアルタイムに保護する機能と、手動またはスケジュールで保護する機能を提供します。

Web Reputation

不正なURLへのアクセスをブロックすることによって、Webの脅威から保護します。

変更監視

コンピューター上の特定の領域に関する変更を監視します。

ログ監視

OS 及びアプリケーションで生成されたログやイベントの中身を監視します。ログの中身からシステム上のポリシー違反・アプリの不具合、不正侵入などに関するイベントを検知します。

他アンチウイルス製品との併用

「Workload Security」と他アンチウイルス製品は同一サーバー上で同時に利用できません。

DDoS対応

DDoSなどネットワーク型の攻撃には対応できません。個別にDDoS対策製品の導入を検討してください。

Workload Security の通信

Cloud Oneの管理サーバーと、ニフクラ上の保護対象サーバーとの通信は、以下のいずれかを選択できます。
①Workload Securityの保護対象サーバーとCloud Oneの管理サーバー間での双方向の通信
②Workload Securityの保護対象サーバーからCloud Oneの管理サーバーに対する一方向の通信
①②のどちらを選択しても機能差はありません。
①を選択した場合、Cloud Oneの管理サーバーから保護対象のサーバーへの通信が発生します。また、管理サーバーから保護対象のサーバーへアクセスが発生します。
②を選択した場合、保護対象サーバーから管理サーバーに対して通信します。
以下ドキュメントも参照してください。

Trend Micro Cloud One Documentation Workload Security - Workload Securityとエージェント間の通信

必要な通信、ポート番号についてはクラウド技術仕様/制限値（サーバー向けクラウド型セキュリティ（Trend Micro Cloud One – Workload Security）全般）をご確認ください。

Proxy環境での利用

Workload SecurityをProxy環境で使う場合は、以下を確認ください。

Trend Micro Cloud One Documentation Workload Security - プロキシの設定

不正プログラム対策 - ウイルス・スパイウエア対策（ESET Server Security）

概要

ウイルス・スパイウェア対策
サーバー保護機能
HIPS(ホスト型IPS)
Webアクセス保護など

本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。

ウイルス・スパイウェア対策

軽快なスキャン動作と高い検出率を実現したESET社開発のThreatSenseテクノロジーにより、メールやインターネットをはじめとした、あらゆる経路から侵入するウイルス・スパイウェアなどのマルウェアからサーバーを守ります。

サーバー保護機能

インストールした環境(OSやインストールされたアプリケーション)を自動的に認識し、その環境に最適な除外設定(ウイルス検査の除外設定)を追加します。^[64]

64. Windowsサーバー用プログラム

Webアクセス保護

悪意のあるコンテンツが含まれていることがわかっているWebページへのアクセスをブロックします。
その他のすべてのWebページは読み込み時、ThreatSenseスキャンによって検査され、悪意のあるコンテンツの検出時にブロックされます。

HIPS(ホスト型IPS)

OSの内部で発生している事象、各アプリのアクション等を監視する機能で、脆弱性をついたゼロデイ攻撃や、ターゲット型の攻撃に対しても保護する機能を提供します。

不正プログラム対策 -IDS

概要

ネットワーク上を流れるパケットを常時監視し、不正アクセスを検知し通報をするサービスをオプションで導入可能です。ニフクラ上で構築されたサーバーへの様々な不正アクセスや、サーバーに仕掛けられた悪意のあるプログラム(トロイの木馬、バックドア等)の発する情報を常時監視し、ファイアウォールで防ぐことのできない攻撃も検知可能です。

連絡方法

「メールのみ」と「メールと電話」から選択可能です。

検知基準

デフォルトポリシー(Windows用ポリシー、Linux用ポリシー)、カスタムポリシーから選択可能です。

方式詳細と参考ドキュメント

詳細な方式例としてCDP (クラウドデザインパターン)や、システム構成の参考事例、参考ドキュメントを記載します。

設計項目

ドキュメント掲載先

ドキュメント名または本ドキュメント内のタイトル名

内容

アクセスコントロール関連

CDP

インターネット接続パターン

インターネットから参照できるように仮想サーバーを配備するパターンです。仮想サーバーをインターネットからアクセスできるようにするための、もっとも基本的なファイアウォールグループの設定を記載します。

CDP

ファイアウォールグループ活用パターン

フラットな構成のネットワークで、ファイアウォールグループでセキュリティを高める例を記載します。

暗号化関連

CDP

サーバー冗長化パターン

Webサービスで、性能、信頼性を考慮した構成を実現したい場合のパターンです。

本ドキュメント

拠点間VPNゲートウェイ接続事例

IPsecVPN/SSL-VPN接続の接続事例を記載します。拠点間VPNゲートウェイ、インターネットVPN（H/W）、リモートアクセスVPNゲートウェイの接続事例を記載しています。

CDP

ハイブリットクラウド：VPN接続パターン

IPsecVPN接続を記載したパターンです。

Trend Micro社^[65]

65. 社外サイトのため、リンク先が変更されている可能性があります。

Cloud One - Workload Security ビジネスサポート

製品仕様やFAQがまとめて掲載されています。

Trend Micro Cloud One Documentation

Workload Securityのオンラインドキュメント
 ポート番号、URL、及びIPアドレス
 ファイアウォールルールの作成
 Windows Server 2016へWorkload Securityをインストールした後、Windows Defenderを無効にする(不正プログラム対策)
iptablesでエージェントを使用する

５．システム構成・環境

システム構成・環境に関する作業概要

カテゴリ項目ごとの作業概要

カテゴリ項目

作業

ニフクラでの作業概要

備考

システム構成・環境

システム構成設計

システム構成を設計する際に、各種設定の制限値を確認してください。
仮想リソースが不足する場合、上限が開放可能なサービスもあります。

オンプレミスと同様に設計してください。
(記載は省略します。)

システム処理関連図設計

オンプレミスと同様に設計してください。 ^[66]

66. 物理サーバーが仮想サーバーに置き換わるだけで、設計手法は変わりません。

システム構成・環境規約の検討

仮想環境のシステム構成を設計する際に、仮想リソースに付ける名称の規約を設計してください。

ハードウェア構成設計

オンプレミスで行うハードウェア構成設計と同じように、ニフクラの仮想環境構成を設計してください。

ハードウェア構成一覧の作成

オンプレミスと同様に一覧を作成してください。 ^[67]

67. 物理サーバーが仮想サーバーに置き換わるだけで、作成手法は変わりません。

ソフトウェア構成設計

仮想サーバー上に導入するソフトウェアは、利用者の責任範囲になります。利用者側で、ニフクラ上で動作可能か、ライセンス数はいくつ必要か等、確認してください。
→本ドキュメント内の各種「ソフトウェア構成設計」参照

ソフトウェア構成一覧の作成

オンプレミスと同様に一覧を作成してください。

ハードウェア・ソフトウェア導入計画の具体化

オンプレミスと同様に、仮想リソースやソフトウェアの導入計画を検討し、スケジュールや役割分担、体制について具体化してください。

ハードウェア・ソフトウェアの手配・管理

オンプレミスと同様に、仮想リソースやソフトウェアを手配し、管理してください。

ソフトウェア構成設計(OS)

作業概要

仮想サーバー上に導入するソフトウェアは、利用者の責任範囲になります。利用者側で、ニフクラ上で動作可能か、ライセンス数はいくつ必要か等確認してください。

留意事項区分

留意事項

内容

選択値・条件

Microsoft

Windows Server ^[68]

68. SPLAライセンスで提供

Windows7やWindows10等のクライアントOSはSPLAライセンス上NGとなります。
Windows Server2003のOSなどレガシーOSもVMインポートにより持込可能^[69]ですが、セキュリティ上推奨しません。

^[70]

69. ライセンスはニフクラからのSPLA提供

70. VMインポート時、OS以外のライセンスについては別途購入元へ持込可否の確認、持込申請方法の確認/実施をして利用してください。

VMインポート時OS以外のミドルウェア等のSPLA提供は非対応

Red Hat Enterprise Linux

サブスクリプション提供

ニフクラが提供する Red Hat Enterprise Linuxはサブスクリプション契約を包括して提供しています。そのため別途サブスクリプションを購入する必要はありません。 ^[71]

71. サブスクリプションのみの別途購入はできません。

Red Hat Cloud Access

ニフクラはRed Hat認定クラウドプロバイダーのため、Red Hat Cloud Accessにより”Bring Your Own Subscription”が可能。利用者保有のOSイメージの持込ができます。^[72] ^[73]

72. サポートは Red Hat社から提供されます。

73. VMインポートにて持ち込んだサーバーはRed Hat CloudAccessを利用してください。

VMインポートにて持ち込んだサーバーはニフクラのサブスクリプション利用不可

その他OSライセンス

利用者にて確認

ニフクラが提供していないOS、インポート検証済みOS以外のOSの場合でも、VMインポートの条件を満たせばVMインポートが可能です。 ^[74] ^[75] ^[76]

74. ライセンスの持込可否に関しては提供元へ確認してください。

75. 検証済みOS以外のVMインポートについては、サーバー及びコントロールパネルの動作保障がありません。事前に入念な検証を実施してください。

76. インポート検証済みOS以外のOSを利用する場合は利用者責任の元、実施してください。

その他MWライセンス

利用者にて確認

その他のMWの持込などもニフクラでは制限していません。持込可否、動作要件の購入元への確認、事前検証等をし必要に応じて利用してください。

ソフトウェア構成設計(ミドルウェア)

作業概要

留意事項区分

留意事項

内容

Oracle

ニフクラOVMを利用

Oracle Databaseに関しては、ニフクラOVMを利用してOracle Databaseライセンスを持ち込むことができる仮想サーバーを所定の方法で作成し、そのサーバーにOracle Databaseをインストールして利用できます。

IBM (MQ、ノーツ等)

基本的に利用不可

IBM社の定めるパブリッククラウド(EPC)に関してIBM製品の導入が可能になる場合があります。詳細はIBM社に確認してください。
参考：パブリック・クラウド環境向けのソフトウェア・アクセス・カタログ・ライセンス

Microsoft

License Mobility

ソフトウェアアシュアランスによるLicense Mobilityへ対応しているソフトウェアは、適切な持ち込み対応をすることで、ニフクラに持ち込み可能です。

Office製品の持ち込み

ニフクラのパブリックIaaS環境にはボリュームライセンスなどでのOffice製品は持ち込み不可能です。SPLAライセンスで提供しているOfficeを利用してください。

Hyper-Vの利用不可

ニフクラ環境では再仮想化を禁止事項としているため利用不可となります。

参考ドキュメント

参考ドキュメントを記載します。

区分

ドキュメント掲載先

本ドキュメント内のページタイトル

内容

ソフトウェア構成関連

Microsoft社のミドルウェアのLicense Mobility

Microsoft社

Microsoft社のミドルウェアについては、ソフトウェアアシュアランスによるLicense Mobilityへ対応するミドルウェアは、ニフクラ上にライセンス持込みが可能です。
ソフトウェアアシュアランスによるライセンスモビリティ

※本ページ記載の金額は、すべて税抜表示です。
※本ページ記載の他社製品名および会社名などは、各社の商標または登録商標です。
※本ページの内容は、2024年5月08日時点の情報です。

各種お問い合わせ

推奨画面サイズ　1024×768 以上

ニフクラユーザーガイド（ニフクラ設計ガイド(導入設計編)）

ニフクラ ユーザーガイド

はじめに

本ドキュメントで提供する内容

本ドキュメントの構成

本ドキュメント活用のメリット

１．性能・拡張性

設計のポイント

仮想リソース設計

適用指針

典型的なニフクラの構成例

単一ゾーン構成例

構成図補足

複数のゾーンを利用したニフクラのシステム構成例

複数ゾーン構成例

構成図補足

作業と留意事項

システム構成要素の選択

性能見積

容量見積

通信容量見積

性能検証プロトタイプの①設計②開発(構築)③評価

仮想サーバー単体の観点

システム全体の観点

スケールアップ/ダウンの観点

スケールアウト/インの観点

ストレージ容量の観点

その他の観点

性能・拡張性運用設計

方式詳細と参考ドキュメント

２．信頼性

設計のポイント

仮想リソース

適用の指針

適用事例：単一ゾーン構成

構成図補足

適用事例：複数ゾーン構成

構成図補足

カテゴリ項目ごとの作業と留意事項

信頼性対策の方式設計(ニフクラ基盤)

データ保全対策の方式設計

災害対策の方式設計

障害時対応の方式設計

復旧方式の設計例

方式詳細と参考ドキュメント

ロードバランサー（L4）を利用したシステムの障害時の動作

振り分け先サーバー障害時のロードバランサー（L4）の動作

DRサイト構築事例概要：構成概要

DRサイト構築事例概要：バックアップ構成

構成図補足

DNSのフェイルオーバー機能での切替動作概要

構成図補足

３．ネットワーク

設計のポイント

メニュー構成とメニュー選択時の条件

設計ポイントの適用事例

ニフクラでの複数ゾーンのシステム構成例

構成図補足

拠点環境とのダイレクトポート接続事例

ダイレクトポートの接続事例

データセンター環境との物理ポート（構内接続プラン）接続事例

物理ポート（構内接続プラン）の接続事例

拠点間VPNゲートウェイ接続事例

インターネットVPN（H/W）接続事例

リモートアクセスVPNゲートウェイ接続事例

カテゴリ項目ごとの作業と留意事項

LAN/WANに関する留意事項

ロードバランサー(L4)に関する留意事項

マルチロードバランサーに関する留意事項

L7ロードバランサー（Ivanti Virtual Traffic Manager）に関する留意事項

統合ネットワークサービスに関する留意事項

方式詳細と参考ドキュメント

４．セキュリティ

設計のポイント

ニフクラサービス適用事例

構成図補足

①仮想リソース操作(配備、起動・停止等)

②仮想サーバーなどの構築

構成図補足

仮想サーバーなどの構築観点のセキュリティ

ニフクラユーザーガイド