ニフクラでは、vCPUとメモリをセットにした仮想サーバータイプを提供しています。
リージョン/ゾーンにより選定可能なサーバータイプが異なります。
CPU性能値を計測した ベンチマークを公開 しているので参照して検討してください。
- はじめに
- 1.性能・拡張性
- 2.信頼性
-
3.ネットワーク
- 設計のポイント
- メニュー構成とメニュー選択時の条件
- 設計ポイントの適用事例
- ニフクラでの複数ゾーンのシステム構成例
- 拠点環境とのダイレクトポート接続事例
- データセンター環境との物理ポート(構内接続プラン)接続事例
- 拠点間VPNゲートウェイ接続事例
- インターネットVPN(H/W)接続事例
- リモートアクセスVPNゲートウェイ接続事例
- カテゴリ項目ごとの作業と留意事項
- LAN/WANに関する留意事項
- ロードバランサー(L4)に関する留意事項
- マルチロードバランサーに関する留意事項
- L7ロードバランサー(Ivanti Virtual Traffic Manager)に関する留意事項
- 統合ネットワークサービスに関する留意事項
- 方式詳細と参考ドキュメント
-
4.セキュリティ
- 設計のポイント
- ニフクラサービス適用事例
- ①仮想リソース操作(配備、起動・停止等)
- ②仮想サーバーなどの構築
- ファイアウォールとロードバランサー
- ③Webサービス提供
- 適用の指針
- カテゴリ項目ごとの作業と留意事項
- 認証・ID管理に関する留意事項
- コントロールパネル/APIの認証に関する留意事項
- 仮想サーバーの利用者管理に関する留意事項
- SSHに関する留意事項
- パケットへ対するアクセス制御に関する留意事項
- ファイアウォールグループの概要
- ファイアウォールグループの設定方法
- ファイアウォールグループの挙動
- ファイアウォールグループその他の留意事項
- 認証管理に関する留意事項
- 集中管理に関する留意事項
- 暗号化に関する留意事項
- 不正プログラム対策に関する留意事項
- 方式詳細と参考ドキュメント
- 5.システム構成・環境
はじめに
-
本ドキュメントの目的
-
本ドキュメントは、ニフクラでの商談対応やシステム設計を担当される方々が、ニフクラ上でのシステム設計に必要な知識を習得し、商談対応やシステム設計を円滑に行えるようになることを目的とします。
-
-
本ドキュメントの対象読者
-
ニフクラを利用して商談対応、要件定義、システム設計をされる方
-
オンプレミスまたはクラウド(IaaS)の商談対応、要件定義、システム設計の経験者
-
-
前提知識
-
システム設計/システム運用に関する基本的な知識
-
OSに関する基本的な知識
-
インターネット、イントラネットに関する基本的な知識
-
セキュリティに関する基本的な知識
-
バックアップ、監視、冗長化などシステム設計/システム運用に関する基本的な知識
※システム設計経験を有することが望ましい
-
-
-
仮想化技術に関する以下の基本的な知識
-
ハイパーバイザー、仮想サーバー、仮想ストレージ、仮想ネットワークに関する基本的な知識
-
VMwareに関する基本的な知識
-
-
ニフクラサービスの変更は最新のドキュメントを参照してください。
本ドキュメントで提供する内容
-
本ドキュメントで提供する内容
-
本ドキュメントではニフクラを通じて、商談対応や要件定義、システム設計をされる皆様に提供してきた利用者がニフクラで設計をする際のナレッジ(実商談で培われたナレッジ)を、システムを設計するためのポイントをカテゴリに分類して提供します。
※利用者がニフクラ上でシステム設計/構築する際のナレッジを記載しています。サービスを提供するニフクラ側が作業する内容は含みません。 -
本ドキュメントで記載しているサービスに関して、利用できるゾーン/リージョンが限定されている場合があります。各サービスでの提供ゾーン/リージョンは 最新のニフクラ仕様ページを確認してください。
-
本ドキュメントの構成
-
本ドキュメントは、以下の章立てで記載します。
- 設計のポイント
-
各章で検討や留意すべき特徴的な内容をポイントとして記載します。
- 設計ポイントの適用事例
-
設計のポイントで記載した内容を適用した事例を記載します。
各章の記載内容をかいつまんで把握したい場合は、適用事例まで参照してください。 - カテゴリと留意事項
-
各カテゴリの作業レベルで、検討事項、留意事項を記載します。なお、オンプレミスと同様に検討できる項目については記載を省略しています。
- 方式設計と参考ドキュメント
-
各カテゴリの作業レベルで参考となる詳細ドキュメントの概要や参照先を記載します。
-
オンプレミスと同様に検討できる項目について
-
オンプレミスと同様となる設計については、本ドキュメントでは割愛します。既存のオンプレミスの設計を参考にしてください。
- 例:仮想マシンの中でのデータのバックアップ設計
-
-
アプリケーション設計の範囲で、既存の設計と変わりません
-
- 例:サーバーのバックアップ設計
-
-
物理サーバーのフルバックアップが仮想マシンのフルバックアップに変わるため、使うツールなどの方式設計は変わります。
-
バックアップの取得サイクルなどの設計は変わりません。
-
- 例:仮想マシンの冗長構成
-
-
OS及びアプリケーションレイヤより上の冗長化は物理サーバーやオンプレミスの仮想マシンと変わりません。
-
仮想マシン自体の冗長構成、例えばHigh Availability(HA)は構成する際に考慮点が必要です。
-
-
-
本ドキュメント活用のメリット
-
知識の習得
-
利用者がニフクラでシステムを構成する際に必要な知識を習得できます。
-
-
ニフクラの提供するサービス/機能を早い段階で適用判断が可能
-
本ドキュメントで提供するナレッジを活用すると以下の効果が期待できます
-
システムに対する要求事項のうち、システム構成の課題を解決するための構成サンプルを提示可能
-
ニフクラが提供するサービスや機能を利用するか、あるいは利用者側でミドルウェアなどを手配して導入するかの判断を、商談や要件定義などの早い段階で実施可能
-
-
-
システム構成の手戻りを抑制可能
-
ニフクラのシステム構成に関するナレッジを習得することで、システム設計の後工程になって問題が発生するような事態を抑制できます。
-
1.性能・拡張性
設計のポイント
ニフクラにて性能・拡張性観点で設計をするポイントについて、以下のリソース区分ごとに記載していきます。
リソース区分 |
リソースの概要 |
---|---|
仮想リソース全般 |
ニフクラが提供するプライベートLANやルーター、ロードバランサー(L4)サービスやニフクラRDB、仮想サーバー全般について記載します。 |
仮想リソース設計
-
ニフクラにて性能・拡張性観点で設計をする際は、以下の項目を検討してください。
-
仮想リソース全般
検討項目
検討内容
選択値・条件
サーバータイプ選定
利用可能なサーバータイプは クラウド技術仕様/制限値(コンピューティング:サーバー) をご確認ください。
スケールアップ/スケールダウン
スケールアウト/スケールイン
同時に処理できる処理数を増やしたい場合には、仮想サーバーの台数を増やすスケールアウトを検討してください。仮想サーバー単体の性能向上策のスケールアップと組み合わせて、システム全体の性能を考慮してください。
スケールアウトを検討する際には、スケールインによる台数削減の条件も合わせて検討してください。適切なスケールアウト/スケールインで、効率的にニフクラのシステムリソースを活用してください。負荷分散
Webサーバー、APサーバーの同時処理性能を向上させるには、ロードバランサーを利用した負荷分散を検討してください。
性能に関しては各ロードバランサーで必要帯域/スペックを契約してください。ロードバランサー(L4)、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2Vシリーズ)を提供
オートスケール
CPU、メモリ、ネットワークの使用率など閾値を設定して自動的にスケールアウト/スケールインすることで要件を満たせる場合は、オートスケールを検討してください。
DB リードレプリカ
データベースへのアクセスが多い場合には、参照専用のデータベース(リードレプリカ)の利用を検討してください。
増設ディスク増設
仮想サーバーに対してディスクを増設可能です。
-
増設可能なディスクの種類、数、容量は クラウド技術仕様/制限値(コンピューティング:増設ディスク)をご確認ください。
-
ローカルディスク、増設ディスクの性能を計測した ベンチマークを公開 しているので参照して検討してください。
増設ディスクの容量拡張
一度作成した増設ディスクは、一部対象のOSで容量拡張可能です。対象イメージ以外で容量を拡張したい場合は、以下の方法等にて利用者自身で対応する必要があります。
-
新たに要件を満たす容量の増設ディスクを作成し、手動でデータを移行する
-
OS上で論理ボリュームを構成する
詳細な仕様は クラウド技術仕様/制限値(コンピューティング:増設ディスク)をご確認ください。
ネットワーク
複数ゾーン構成
ネットワーク構成に合わせて、信頼性の観点も含めてプライベートブリッジ、ロードバランサー(L4)等を利用して複数のゾーンの利用を検討してください。
プライベートブリッジの提供リージョンは クラウド技術仕様/制限値(プライベートブリッジ)「提供リージョン」項目をご確認ください。
アプリ多重度
アプリを多重に起動できるよう設計してください。
IaaSでは、CPUクロック数をオンプレミスのように自由に選択できません。そのため、シングルスレッドで動くアプリ(バッチ処理アプリなど)はIaaSでは性能を出せないケースがあります。そこでアプリを複数のサーバーや複数のプロセス/スレッドで稼働できるよう設計してください。各種制限値
ニフクラではプライベートLAN数、仮想サーバー数、増設ディスク容量・本数等、配備できるリソースに対してそれぞれ制限値があります。システム要件と制限値を勘案し、設計してください。
各種制限値は以下のリンクからご確認ください。
クラウド技術仕様/制限値(ネットワーク:プライベートLAN)
クラウド技術仕様/制限値(コンピューティング:サーバー)
クラウド技術仕様/制限値(コンピューティング:増設ディスク) -
-
適用指針
設計のポイントで例示した検討項目について、検討対象への適用の指針を記載します。
主な検討内容\検討項目 |
サーバー単体に対して適用を検討する項目 |
システム全体に対して適用を検討する項目(同時接続処理数の向上に関連) |
|||||||
---|---|---|---|---|---|---|---|---|---|
スケールアップ/ダウン |
ディスク増設/拡張 |
帯域 |
負荷分散 |
スケールアウト/イン |
オートスケール |
複数ゾーン |
DBリードレプリカ |
アプリ多重度 |
|
ロードバランサー(L4) |
- |
- |
○ |
○ |
- |
○ |
○ |
- |
- |
Webサーバー + APサーバー |
○ |
○ ※1 |
- |
○ |
○ |
○ |
○ |
- |
○ |
ニフクラRDB |
○ |
○ ※2 |
- |
- |
- |
- |
- |
○ |
○ |
データベースサーバー (独自) |
○ |
○ ※1 |
- |
- |
- |
- |
○ |
○ |
○ |
バッチサーバー |
○ |
○ ※1 |
- |
- |
○ |
- |
○ |
- |
○ |
ニフクラNAS |
- |
○ ※2 |
- |
- |
- |
- |
- |
- |
○ |
※1 ローカルディスクの容量拡張はできません。
※2 容量拡張が可能となります。別ディスク増設はできません。
典型的なニフクラの構成例
-
ロードバランサー(L4)でWeb/APサーバーを負荷分散
-
ロードバランサー(L4)からの分散対象サーバーのみインターネットからアクセス可能とする
-
データベースはニフクラRDBを利用して、冗長化、参照用のリードレプリカを配備
-
バッチサーバー2台、NASを配備(NASはニフクラで提供しているニフクラNASを配備)
-
冗長化を実装するサーバーは、構成例のとおり追加NICを利用して同期用のネットワークも別途構築可能
単一ゾーン構成例
構成図補足
- 【ロードバランサー(L4)】
-
ニフクラでは、可用性向上と性能向上のための負荷分散機能として、ロードバランサー(L4)を提供しています。
ロードバランサー(L4)を1つ設定することで、この事例のように仮想サーバーに負荷分散してアクセス可能です。プランは利用する帯域で選定します。
ニフクラではこの事例のロードバランサー(L4)以外に、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2Vシリーズ)を提供しています。 - 【Web/APサーバー】
-
ロードバランサー(L4)からアクセスされる形態です。仮想サーバー単体の観点では、以下の対応でスケールアップが可能です。
①サーバータイプの変更でスケールアップして性能向上
②増設ディスクの容量拡張または追加によりデータ容量拡張 - 【ニフクラNAS】
-
ニフクラNASは、ニフクラが提供する NASサービスです。
- 【DBサーバー】
-
ニフクラRDBではオンプレミスで実施するような複雑なデータベースの構成設計をすることなく、APIのパラメーターだけでデータベースを冗長化するようなことも可能なサービスとなっています。
この事例では、参照スピードを向上させるため、データベースのリードレプリカを配備する構成としています。
複数のゾーンを利用したニフクラのシステム構成例
-
複数ゾーン構成、ロードバランサー(L4)でWeb/APサーバーを負荷分散
-
ロードバランサー(L4)からの分散対象サーバーのみインターネットからアクセス可能とする
-
データベースはDB用のサーバーを作成する
-
バッチサーバー、NASを配備(NASはニフクラで提供しているニフクラNASを配備)
※ゾーン間のデータ同期の仕組み、冗長構成などは別途検討してください。本構成例のとおり追加NICを利用して同期用のネットワークも作成できます。
※ルーターは各ゾーンで独立しています。ルーティングなどのネットワーク設計を検討する必要があります。
複数ゾーン構成例
構成図補足
- 【ロードバランサー(L4)】
-
ロードバランサー(L4)では、この事例のとおり複数のゾーンに配備された仮想サーバーへ負荷分散が可能です。
ニフクラではこの事例のロードバランサー(L4)以外に、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2Vシリーズ)を提供しています。
※マルチロードバランサーは複数のゾーンに配備された仮想サーバーへは負荷分散できません。 - 【ニフクラNAS】
-
ニフクラNASは、ニフクラが提供するNASサービスです。ニフクラNASの機能では複数ゾーンでの冗長構成はサービスとしては実現できません。
- 【DBサーバー】
-
ニフクラRDBは複数ゾーンへまたがった構成はできません。
この事例では複数ゾーン構成となっているためニフクラRDBではなく仮想サーバー上にDBを搭載する構成となっています。
作業と留意事項
カテゴリ項目 |
作業 |
ニフクラでの作業概要 |
---|---|---|
性能・拡張性 |
システム構成要素の選択 |
オンプレミスでは、サイジング実施の対象となるシステム構成要素を、性能のボトルネックとなりうるシステム資源の性能特性を考慮して選択します。 |
性能見積対象の決定 |
オンプレミスと同様に、システム資源の負荷を見積もるために必要な業務をアプリ担当チームと連携して抽出して、適切でかつ代表的なオンライン処理やバッチ処理を性能見積対象として選択してください。この際、オンライン処理とバッチ処理のシステム資源の競合についても考慮してください。 |
|
性能見積 |
性能見積対象から必要となるサーバー性能(vCPU/メモリ)やストレージ性能、ネットワーク性能を算出し、仮想サーバーその他のリソースを選定してください。 |
|
容量見積 |
ストレージの容量見積をしてください。 |
|
通信容量見積 |
通信容量見積をし、通信の方式を決定してください。 |
|
性能検証のプロトタイピング |
性能検証は要件定義工程でのプロトタイプ検証実施を推奨しています。実施していない場合は必ず実施してください。特にオンプレミスからのシステム移行において、移行前のH/W構成に基づいたサーバータイプ選定に留めず、ニフクラ上で検証をすることによって性能見積の妥当性を確認してください。 |
|
性能・容量の方式設計 |
性能・容量見積に基づいて、性能・容量の方式設計を実施してください。 |
|
拡張性の方式設計 |
性能・拡張性要件に基づいてシステム拡張性を確保するための方式を設計してください。 |
|
運用設計(性能・拡張性) |
システム全体の運用・保守設計に基づいて、システムが安定した性能を維持するための、管理・運用方法を設計してください。 |
システム構成要素の選択
- 作業概要
-
オンプレミスでは、サイジング実施の対象となるシステム構成要素を、性能のボトルネックとなりうるシステム資源の性能特性を考慮して選択します。
ニフクラでは、サーバータイプ(vCPUとメモリの組み合わせ)、ストレージ、ネットワークを必ずシステム構成要素としてください。-
留意事項
留意事項
内容
リソース選択
ニフクラのリソース選択方法、単位を把握してください。
ベストエフォート提供
ニフクラでは、ネットワークやストレージのリソースについては、ベストエフォート方式での提供です。
-
ニフクラで提供される主なシステムリソース
システムリソース
ニフクラにおける選定項目
各リソースの見積をするタスク
vCPU数
個別の選択不可
サーバータイプより選択性能見積
メモリ容量
増設ディスク容量、増設ディスク本数
3. 利用可能なディスク容量は クラウド技術仕様/制限値(コンピューティング:増設ディスク)をご確認ください。4. ゾーンによって選択できる増設ディスクは異なります。 ニフクラ ゾーン別機能対応表・サーバー・ディスク機能「増設ディスク」項目の最新情報を確認してください。5. 利用可能なディスク本数は クラウド技術仕様/制限値(コンピューティング:増設ディスク)をご確認ください。容量見積
ネットワーク帯域
グローバルネットワーク(ベストエフォート)
プライベートネットワーク(ベストエフォート)通信容量見積
-
性能見積
- 作業概要
-
性能見積対象から必要となるサーバー性能(vCPU/メモリ)やストレージ性能、ネットワーク性能を算出し、仮想サーバーその他のリソースについて選定してください。
-
留意事項
留意事項
内容
選択値・条件
仮想サーバータイプの選定
ニフクラでは、vCPUとメモリをセットにしたサーバータイプから選定してください。
利用可能なサーバータイプは クラウド技術仕様/制限値(コンピューティング:サーバー)をご確認ください。
CPUクロック数
CPUクロック数は公開しておりません。別途性能を測定した ベンチマーク値 などを確認してください。
また、要件に沿って利用者自身で検証を実施し性能を確認してください。係数での見積はNG
オンプレミスと異なり、システム係数などによる厳密な性能見積もりはできません。
要件定義工程で性能検証をしていない場合は、CPU性能、ストレージ性能、ネットワーク性能等、プロトタイプで検証をしてください。- CPU性能
-
サーバータイプを選定して性能検証してください。
- ストレージ性能
-
IOPSは保証できません。
- ネットワーク性能
-
帯域保証はできません。
システム全体性能の考慮
仮想サーバー単体の性能に依存せず、システム全体として性能を充足するようなスケールアウトも考慮して設計してください。
平常時/ピーク時 それぞれの見積
稼働後のスケールアップ/ダウンやスケールアウト/インを含め、平常時/ピーク時をそれぞれ意識してサーバータイプを選定してください。これにより、クラウドサービスによるコスト最適化が見込まれます。
スケール処理時の業務影響
稼働後のスケールアップ/ダウンやスケールアウト/インを見越して選定をする際、スケールアップ/ダウン、スケールアウト/イン実行時の業務影響について検討してください。また、スケールアップ/ダウン、スケールアウト/インの方法について設計をしてください。
プロトタイプ
要件定義工程にてプロトタイプによる性能測定を実施した場合はその内容を反映します。
-
容量見積
- 作業概要
-
ストレージの容量見積をしてください。ニフクラでは、使用できるストレージ容量に制限が有ります。そのため、ストレージ容量を見積もり、容量制限にかかる場合はスケールアウトなども検討してください。
-
留意事項
留意事項
内容
ストレージ種別
ニフクラで利用可能なストレージは後述します。
物理装置の選定
物理的なディスクアレイ装置については、ユーザーによる選定は行えません。
IOPS
IOPS、スループットはベストエフォートでの提供となるため保証できません。
要件定義工程で性能検証をしていない場合は、ストレージ性能について、プロトタイプで検証をしてください。 -
ニフクラで利用可能なストレージ
ストレージ種別
用途・特徴
選択値・条件
ローカルディスク
仮想サーバー配備時にローカルディスクとしてアタッチされるディスク。
ローカルディスクの容量は クラウド技術仕様/制限値(コンピューティング:サーバー)「ディスク」項目でご確認ください。
増設ディスク
仮想サーバーに新しいボリュームとしてアタッチ可能なディスク。
-
利用可能な容量は クラウド技術仕様/制限値(コンピューティング:増設ディスク)をご確認ください。
-
各フラッシュドライブ、ディスクの対応ゾーンは ニフクラ ゾーン別機能対応表・サーバー・ディスク機能「増設ディスク」項目の最新情報を確認してください。
オブジェクトストレージサービス
オブジェクト単位でデータを分割保存するオンラインストレージ。
ニフクラNAS
NFS/CIFS プロトコルに対応したNAS。ニフクラNASではタイプを選択可能。
利用可能なタイプ、容量は クラウド技術仕様/制限値(NAS:NAS領域)をご確認ください。
-
-
通信容量見積
- 作業概要
-
通信容量見積をし、通信の方式を決定してください。ニフクラでは帯域保証はありません。そのため、プロトタイプ検証によりスループットとレスポンスを確認のうえ、通信方式を決定してください。
-
留意事項
留意事項
内容
スループットとレスポンス
利用する接続形態(インターネット接続/ニフクラ内部)ごとに通信容量を確認し、それぞれの接続形態が必要なスループットを満たすか、レスポンスを満たすか検証してください。
要件定義工程で性能検証をしていない場合は、ネットワーク性能について、プロトタイプにて検証をしてください。 -
ニフクラで利用可能な接続形態
※詳細は『3.ネットワーク』の章を参照してください。接続形態
帯域保証
用途・特徴
選択値・条件
インターネット接続
なし(ベストエフォート)
標準提供されるインターネット接続です。共通のため帯域保証はできません。
プライベートネットワーク
なし(ベストエフォート)
ニフクラのプライベート側ネットワークです。共通のため帯域保証はできません。
拠点間VPNゲートウェイ(IPsecVPN)
なし(ベストエフォート)
ニフクラのIaaS上にデプロイして、利用者拠点とインターネットVPN接続可能なサービスです。
インターネットVPN(H/W)(IPsecVPN)
なし(ベストエフォート)
機器設置型(ハードウェアタイプ)の利用者拠点とインターネットVPNで接続可能なサービスです。
利用可能帯域等の仕様は 「インターネットVPN(H/W)」サービス仕様書をご確認ください。
リモートアクセスVPNゲートウェイ(SSL-VPN)
なし(ベストエフォート)
ニフクラのIaaS上にデプロイして、利用者端末とインターネットVPN接続可能なサービスです。
ダイレクトポート接続
なし(ベストエフォート)
回線事業者の閉域網・専用線を引き込みニフクラと直接接続できる物理ポートを提供します。
利用可能帯域など仕様の詳細は クラウド技術仕様/制限値(ネットワーク:ダイレクトポート(専用線・閉域網 接続サービス))をご確認ください。
物理ポート
なし (ベストエフォート)
プライベートブリッジを通信キャリアの回線または構内配線と接続するネットワークサービスです。
利用可能帯域や利用可能メディアタイプなど仕様の詳細は クラウド技術仕様/制限値(プライベートブリッジ:物理ポート)をご確認ください。
-
性能検証プロトタイプの①設計②開発(構築)③評価
- 作業概要
-
要件定義工程で性能検証をしていない場合は、CPU性能、ストレージ性能、ネットワーク性能等、プロトタイプで検証をしてください。
-
留意事項
留意事項
内容
プロトタイプの設計/開発
性能見積対象をもとに、性能検証用のプロトタイプを設計/開発(環境構築)してください。
CPU性能、ストレージ性能、ネットワーク性能等のIaaSの観点、アプリの多重度の観点などを盛り込んでください。
特にアプリ多重度の観点では、シングルスレッドで動くアプリ(バッチ処理アプリなど)は、IaaSでは性能を出せないケースが多々ありますので、必ず検証対象として盛り込んでください。プロトタイプでの検証と評価
検証を実施し、検証結果を評価してください。評価結果から、CPU性能見積、ストレージ性能見積、ネットワーク性能見積の見直しや、アプリ多重度等のアプリ設計の見直しをしてください。
-
仮想サーバー単体の観点
- 作業概要
-
性能・容量見積に基づいて、性能・容量の方式設計を実施します。オンプレミスシステムと異なり、稼働後のリソース拡張/縮小を意識した設計をします。
-
仮想サーバー単体の観点の留意事項
区分
留意事項
内容
選択値・条件
性能
サーバータイプの選定
サーバータイプの変更
サーバータイプ変更時の注意点は クラウド技術仕様/制限値(コンピューティング:サーバー)をご確認ください。
ディスク性能
増設ディスクは用途に合わせて数種類から選択可能です。
利用可能なディスクは クラウド技術仕様/制限値(コンピューティング:増設ディスク)をご確認ください。
容量
ディスク容量
制限値を考慮して、仮想サーバーにアタッチする増設ディスクの容量を検討してください。
ディスク増設
仮想サーバーに対して、増設ディスクの増設が可能です。
利用可能なディスクの数は クラウド技術仕様/制限値(コンピューティング:増設ディスク)をご確認ください。
ディスク容量の拡張
仮想サーバー配備時に割り当てられるローカルディスクは拡張不可能です。
仮想サーバーにアタッチ済みの増設ディスクは、一部対象のOSで容量を拡張可能です。
対象イメージ以外で容量を拡張したい場合は、以下の方法等、利用者自身で対応する必要があります。-
新たに要件を満たす容量の増設ディスクを作成し、手動でデータを移行する
-
OS上で論理ボリュームを構成する
ディスク容量拡張時の注意点は クラウド技術仕様/制限値(コンピューティング:増設ディスク)をご確認ください。
ディスク容量の制限値
ディスクの制限値を超えることが想定される場合は、別途増設ディスクをアタッチして対応を検討してください。
ニフクラRDBディスク容量の制限値
ニフクラRDBのディスクは、後から拡張が可能です。
-
-
システム全体の観点
- 作業概要
-
性能・容量見積に基づいて、性能・容量の方式設計を実施します。オンプレミスシステムと異なり、稼働後のリソース拡張/縮小を意識した設計をします。
-
システム全体の観点の留意事項
区分
留意事項
内容
選択値・条件
性能
負荷分散
ロードバランサー(L4)、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2Vシリーズ)を提供
コンテンツ配信
静的なhtmlなどのファイルをキャッシュサーバーに配置するコンテンツ配信サービス(CDN)の利用を検討してください。
ニフクラはサードパーティ製のソリューションサービスを提供しています。Fastly、J-stream CDNextを提供
アプリ多重度
シングルスレッドで動くアプリ(バッチ処理など)はIaaSでは性能を出せないケースが多いため、アプリを多重に起動できるよう設計してください。
レスポンスの妥当性確認
オンプレミスシステムと同様に、システム全体のレスポンス概算見積もりをし、妥当性の確認をしてください。
ニフクラではベストエフォート方式にて提供されるリソースがあるため、あくまでも概算での検討となることに留意してください。データベースのリードレプリカ
データベースへのアクセスが多い場合に利用する参照専用のデータベース(リードレプリカ)の利用を検討してください。
容量
ディスク容量
制限値を考慮して、システム全体のディスク容量を検討してください。
仮想サーバー単体のディスク容量(ローカルディスク/増設ディスク)に加えて、ディスクやデータベースをバックアップする際の増設ディスクなどの容量を検討してください。ディスク容量の制限値
ディスクの制限値を超えることが想定される場合は、スケールアウトなどでの対応を検討してください。
通信容量
インターネットとニフクラ上のシステムとの間の通信容量、ニフクラ上のシステムとオンプレミスのシステムとの間の通信容量等の要件を確認してください。
課金対象となるグローバルネットワークの通信量は ニフクラ 料金一覧をご確認ください。
- 各ロードバランサーの性能指標
-
ロードバランサー(L4)とマルチロードバランサー
-
両サービスともに用意されている帯域メニューから選択可能です。必要とする帯域を選択してください。
それぞれのサービスが提供できるTLS性能イメージについては下記グラフを確認してください。詳細はロードバランサーの クラウドユーザーガイド(ネットワーク:ロードバランサー サービス比較)_TLS性能比較 を参照してください。
-
-
L7ロードバランサー(Ivanti Virtual Traffic Manager)
-
ニフクラの仮想サーバーにソフトウェアをインストールし利用します。機能によりシリーズを選択し、必要帯域のライセンスを購入し利用します。
帯域とSSLのトランザクション数に応じて推奨サーバーを公開しています。選択時の参考にしてください。詳細は クラウド技術仕様/制限値(L7ロードバランサー(Ivanti Virtual Traffic Manager)全般) の推奨サーバーを参照してください。
-
-
統合ネットワークサービス(IPCOM VE2Vシリーズ)
-
ニフクラのパブリックイメージとして公開しているIPCOM VE2Vシリーズを作成し利用します。機能によりシリーズを選択し、スペックによりタイプを選択します。
負荷分散機能利用時のスループット/処理性能について参考測定値を公開しています。選択時の参考にしてください。詳細は統合ネットワークサービス(IPCOM VE2Vシリーズ)の クラウド技術仕様/制限値(【月額版】統合ネットワークサービス(IPCOM VE2Vシリーズ)全般)_性能を参照してください。
-
-
スケールアップ/ダウンの観点
- 作業概要
-
性能・拡張性要件に基づいて、システム拡張性を確保するための方式を設計します。vCPU/メモリ/ストレージを拡張する方式としてスケールアップやスケールアウト等を検討します。
-
スケールアップ/スケールダウンの観点の留意事項
区分
留意事項
内容
選択値・条件
性能
スケールアップ/スケールダウン
仮想サーバー単体の性能を向上させたい場合は、スケールアップを選択します。
OS/MWのライセンス数に注意してください。仮想サーバー内で複数の処理が同時に実行されてCPU負荷が大きい場合や、メモリ不足で処理スピードが出ない場合は、現状から仮想サーバーの単体性能を向上させられるサーバータイプを選択し、スケールアップします。ただし、1スレッドの処理で単純にCPUスピードが不足しているような場合は、IaaSレベルでは対応策がありません。アプリをマルチプロセス/マルチスレッドに対応させる等、アプリ設計も見直してください。サーバータイプ変更時の注意点は クラウド技術仕様/制限値(コンピューティング:サーバー)「サーバータイプ変更について」項目をご確認ください。
データベースのスケールアップと制限事項
WebサーバーやAPサーバー、バッチサーバー等の仮想サーバー(クライアント)からデータベースに接続するシステム形態の場合で、クライアントの仮想サーバーをスケールアウトで増やした場合、データベースの同時接続数/同時処理数の増加により負荷があがります。その場合も、データベース用仮想サーバーのサーバータイプを変更し、スケールアップしてください。
-
スケールアウト/インの観点
- 作業概要
-
性能・拡張性要件に基づいて、システム拡張性を確保するための方式を設計します。vCPU/メモリ/ストレージを拡張する方式としてスケールアップやスケールアウト等を検討します。
-
スケールアウト/スケールインの観点の留意事項
区分
留意事項
内容
選択値・条件
性能
スケールアウト/スケールイン
システムの同時処理性能を向上させたい場合は、スケールアウトを選択してください。スケールアウトでピーク時の同時処理性能の向上と、スケールインで平常時の仮想サーバー台数抑制によるコスト削減が見込まれます。
スケールアウト/スケールインの対応状況の確認
スケールアウト/インの際は、業務アプリやミドルウェアが機能的に対応できるか、OS/MWのライセンス上問題ないかを確認してください。
- スケールアウトできないパターン
-
以下の場合は、スケールアウトできません。
-
データベースサーバーのようにデータを一元管理するような場合
-
他のシステムから接続される前提のシステムで、他システムがスケールアウトに対応できない場合
-
- オートスケールができないパターン
-
以下の場合は、オートスケールできません。
-
利用時にアクティベーションが必要なライセンスの場合
-
ライセンスがホスト名と紐づく場合
-
OS/MWが機能的に対応していないような場合
-
ニフクラでプライベートLANを利用している場合
-
増設ディスク付きカスタマイズイメージの場合
-
- 業務アプリの方式により検討が必要なパターン
-
業務アプリがサーバー内にセッション情報やサーバー固有の設定情報を保持しているような方式の場合、サーバー内から固有の情報を外部のデータベースやNAS等の共有ディスクに保持するような方式へ変更ができれば、スケールアウト/スケールインは可能です。[10][11]
性能
オートスケールの条件
オートスケールでシステムを拡張したい場合は、オートスケールの条件を検討してください。
- リソース監視によりオートスケール処理
-
負荷発生の時間が不定で、リソース負荷により仮想サーバー起動台数を増減したい場合、利用することが有効です。
リソース負荷でトリガーが設定可能です。
設定可能なトリガー、注意事項について クラウド技術仕様/制限値(コンピューティング:オートスケール)をご確認ください。
オートスケールの留意事項
オートスケールは、テンプレート(カスタマイズイメージ)を用いてシステムを構築します。
オートスケールでは、ロードバランサー(L4)の併用を推奨します。ロードバランサー(L4)を併用すると、ヘルスチェック機能が利用可能です。
その他、オートスケールの実装例なども含めて、 クラウドデザインパターン:オートスケールパターンを確認してください。
-
ストレージ容量の観点
- 作業概要
-
性能・拡張性要件に基づいて、システム拡張性を確保するための方式を設計します。ストレージ容量を拡張する方式としてスケールアップやスケールアウト等を検討します。
-
ストレージ容量留意事項
区分
留意事項
内容
容量
ストレージ容量の制限値
ストレージの制限値を超えることが想定される場合は、スケールアウトなどでの対応を検討してください。
-
その他の観点
- 作業概要
-
性能・拡張性要件に基づいて、システム拡張性を確保するための方式を設計します。
-
その他の観点の留意事項
区分
留意事項
内容
選択値・条件
その他
ネットワーク帯とIPアドレス設計
ニフクラでは、仮想サーバー/ロードバランサー等の各種サービスを利用する際にIPアドレスを使用します。インターネット環境と通信可能なグローバルIPアドレス、共通プライベートでのプライベートIPアドレスは、ニフクラからDHCPで払いだされます。ニフクラのサーバーに払い出されるグローバルIPアドレス帯はニフクラホームページにて公開されています。
プライベートIPアドレスは、プライベートLANを利用することで自由に設定可能です。[12]マルチIPアドレスを利用することで、仮想サーバーに対し複数のグローバルIPアドレスを設定可能です。プライベートLANで設定可能なプレフィックス長などの仕様の詳細は クラウド技術仕様/制限値(ネットワーク:プライベートLAN)をご確認ください。
リージョン内の複数ゾーンにまたがった同一サブネット
プライベートLANを利用していれば、プライベートブリッジを利用してプライベートLAN同士をL2延伸できます。
インターネットVPN接続する経路の拡張
インターネットVPNを利用する場合は拠点間VPNゲートウェイ/インターネットVPN(H/W)/リモートアクセスVPNゲートウェイを利用してください。
多くの拠点とIPsecVPN接続したい場合は、プライベートLANと拠点間VPNゲートウェイの組で増やしてください。
IPsecVPN接続する拠点を例えば60拠点にしたい場合は、プライベートLAN2つとvpngw.medium1つ、vpngw.large1つを作成します。
リモートアクセスVPNゲートウェイ1つあたりの最大コネクション数以上の接続が見込まれる場合には、プライベートLANとリモートアクセスVPNゲートウェイの組で増やしてください。各種リソースの制限値/制限値の緩和
仮想リソースでは各種リソースの制限値が存在します。各種リソースの制限値は利用サービスの ニフクラ仕様ページ を確認してください。
システムを設計する際に、各種リソースの制限値がシステム拡張の阻害要因にならないよう、今後のシステム拡張も見据えて、各種リソースの制限値を確認してください。
各種リソースの制限値は、上限を緩和できる場合があります。利用リソースの中で制限値を超えることが想定される場合は、ニフクラの仕様ページの「 各種変更申請フォーム 」より申請してください。[13]
13. サービスによっては上限を緩和できないリソースもあるため留意してください。
-
性能・拡張性運用設計
- 作業概要
-
システム全体の運用・保守設計に基づいて、システムが安定した性能を維持するための、管理・運用方法を設計します。
-
留意事項
区分
留意事項
内容
監視
性能監視、リソース監視
性能監視、リソース監視等の監視方式と、異常を検知した際の通知方式を検討してください。
-
性能監視:CPUの利用状況や、業務アプリの同時処理状況等を監視します。
-
リソース監視:メモリの利用状況や、ストレージの利用状況を監視します。
CPUやメモリの使用量等、仮想サーバーのリソース監視については、ニフクラの基本監視サービスで監視可能です。監視可能な項目は、ニフクラの仕様ページを確認してください。
ただし、業務アプリのレスポンスや、業務アプリが使用しているメモリ量などを監視したい場合は、ニフクラの機能ではできません。別途、Zabbix等の監視ツールを導入してください。対処
スケールアップ、スケールアウト等の検討と実施
性能監視、リソース監視の状況に応じて、スケールアップ/スケールダウン、スケールアウト/スケールイン等をシステムに合わせて検討してください。
オートスケールの処理条件の見直し
オートスケールを活用することで臨機応変にシステムを拡張している場合、オートスケールの条件見直しを検討してください。
運用
オートスケールのカスタマイズイメージ運用
-
-
方式詳細と参考ドキュメント
詳細な方式例としてCDP (クラウドデザインパターン)や、システム構成の参考事例、参考ドキュメントを記載します。
設計項目 |
ドキュメント掲載先 |
ドキュメント名または本ドキュメント内のタイトル |
内容 |
---|---|---|---|
性能関連 |
本ドキュメント |
複数ゾーン構成例 |
性能・拡張性の観点を考慮した複数ゾーン構成の事例を記載しています。 |
CDP |
仮想サーバーを作成した後に判明した性能不足や性能過剰に対して、臨機応変に仮想サーバーの性能を変更したい場合のパターンです。 |
||
ニフクラ一般公開ページ |
ニフクラ サーバータイプ・仕様 |
ニフクラで提供しているサーバータイプ(vCPU/メモリの組み合わせ)の一覧が記載されています。 |
|
ニフクラ一般公開ページ |
ニフクラRDB |
ニフクラで提供しているニフクラRDBのタイプ一覧や仕様詳細が記載されています。 |
|
拡張性関連 |
CDP |
Webサービスで、性能、信頼性を考慮した場合のパターンです。 |
|
CDP |
データセンターの火災や大規模な電源障害など、1つのリージョン全体に影響があるような事態でも、業務を継続したいパターンです。 |
||
CDP |
負荷分散機能に加え、アクセス状況により仮想サーバーの増設を可能にするパターンです。 |
||
CDP |
一時的にストレージが必要になったなど、必要に応じてディスクを増設したい場合のパターンです。 |
2.信頼性
設計のポイント
ニフクラにて信頼性観点で設計をする際のポイントについて、以下のリソース区分について記載していきます。
リソース区分 |
リソースの概要 |
---|---|
仮想リソース全般 |
ニフクラが提供するプライベートLANやルーター、ロードバランサー(L4)サービスやニフクラRDB、仮想サーバー全般について記載します。 |
仮想リソース
-
ニフクラにて信頼性観点で設計をする際には、以下の項目を検討してください。
-
仮想リソース全般
検討項目
検討内容
選択値・条件
信頼性対策方式
システム構成要素ごとの業務への影響、対象範囲、信頼性確保の前提条件を確認し、信頼性対策方式を設計してください。
-
ニフクラ基盤はすべて冗長化しています。詳細情報は非公開です。
-
仮想リソース単体の信頼性を検討してください。
-
ルーターなどのネットワーク系の仮想リソースは、物理サーバーの故障時に、HA機能で復旧します。
-
ディスクは、書き込まれたデータに関して物理機器側で冗長化(RAID6相当)をしています。
-
仮想サーバー単体は、HA機能で、仮想サーバーが搭載された物理サーバーの故障時に復旧します。
-
仮想リソースを組み合わせたシステム全体についての信頼性を検討してください。Webサーバーやデータベース等、それぞれの仕組みに合わせて、運用待機構成(ホットスタンバイやコールドスタンバイ)または両系運用構成を検討してください。
データ保全方式
信頼性要件に基づいてデータ保全のための実現方式を設計してください。
対象のデータにより、ニフクラの機能やサードパーティ製のミドルウェアを利用してディスク単位でフルバックアップするか、ファイル単位で増分バックアップや差分バックアップする等、データ保全の方式を検討してください。-
バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)を利用することにより、増分/差分バックアップ等も行えます。
-
別途ファイルのバックアップツールを自作する、あるいは、バックアップ用のミドルウェアを導入することを検討してください。導入に必要なライセンス数などには留意してください。
-
ニフクラのバックアップサービスは利用リージョンの混雑状況により、希望の時間帯でバックアップの設定をできない場合があります。
-
カスタマイズイメージの仕様については クラウド技術仕様/制限値(コンピューティング:カスタマイズイメージ/イメージ配布)をご確認ください。
-
バックアップサービスの仕様については クラウド技術仕様/制限値(コンピューティング:バックアップ)をご確認ください。
災害対策方式
信頼性要件に基づいて、自然災害などの備えとなる機器やシステムを設計してください。
データのバックアップや、システム全体を遠隔地の災害対策環境(DRサイト)に保全するための実現方式を検討してください。[15]-
DRサイトを構築する場合、同じ国内の別リージョンを選択してください。
-
ニフクラでは、リージョン間でデータ同期を支援する機能の提供はありません。
-
DRサイト間でデータを同期したい場合は、サイト間のネットワークをIPsecVPNかダイレクトポートサービスを用いて回線を別途ニフクラに引き込み、リージョン間を接続したうえでscpなどのコマンドでコピーするスクリプトを作成する、あるいはバックアップ用ミドルウェアを導入することを検討してください。
-
ニフクラでは、DRサイトを切り替える機能は提供しません。DNSのフェイルオーバー機能などを利用したサイト切り替え方式を検討してください。
15. 本ドキュメント内「DNSのフェイルオーバー機能での切替動作概要」参照東日本リージョン/西日本リージョンより選択
-
-
適用の指針
-
設計のポイントで例示した検討項目について、検討対象への適用の指針を記載します。
主な検討内容\検討項目 |
サーバー単体に対して適用を検討する項目 |
システム全体に対して適用を検討する項目 |
|||||||
---|---|---|---|---|---|---|---|---|---|
共通 |
運用待機(active/standby) |
両系運用(active/active) |
|||||||
HA |
サーバーセパレート |
複数ゾーン |
冗長化設定 |
その他のクラスター製品 |
コールドスタンバイ |
負荷分散 |
オートスケール |
その他のクラスター構成 |
|
ルーター/拠点間VPNゲートウェイ/マルチロードバランサー/リモートアクセスVPNゲートウェイ |
○ |
- |
- |
- |
- |
- |
- |
- |
- |
ロードバランサー |
- |
- |
○※1 |
○※1 |
- |
- |
- |
- |
- |
Webサーバー APサーバー |
○ |
○ |
○※2 |
- |
△※3 |
○ |
○ |
○※4 |
△※3 |
データベースサービス(ニフクラRDB) |
○ |
○※5 |
- |
○ |
- |
- |
- |
- |
- |
データベースサーバー(独自) |
○ |
○ |
○※2 |
- |
△※3 |
○ |
- |
- |
△※3 |
バッチサーバー |
○ |
○ |
○※2 |
- |
△※3 |
○ |
- |
- |
△※3 |
ニフクラ NAS ※6 |
- |
- |
- |
- |
- |
- |
- |
- |
- |
-
※1 ロードバランサーは物理的に冗長構成となっており、信頼性は担保されています。
-
※2 複数ゾーンへの配備は可能です。ゾーン間をプライベートブリッジを利用することによりL2接続できます。冗長化の方式は別途検討してください。
-
※3 その他のクラスター製品に関してはクラウド環境での利用に関して、技術上、ライセンス上問題ないか事前に確認してください。
-
※4 オートスケール機能は、プライベートLAN環境には対応していません。
-
※5 ニフクラRDBを冗長化した場合、異なる物理サーバーに配備されます。
-
※6 ニフクラNASは冗長化されています。ただし障害時は5分を目安として切り替わりのための停止が発生します。
適用事例:単一ゾーン構成
構成図補足
- 【ロードバランサー(L4)】
-
ニフクラでは、可用性向上と性能向上のための負荷分散機能として、ロードバランサー(L4)サービスを提供しています。
ロードバランサー(L4)サービスを 1つ設定することで、この事例のように仮想サーバーへ負荷分散が可能です。
ロードバランサー(L4)サービスの構成では、信頼性の観点では以下の特徴があります。
①ロードバランサー(L4)に障害が発生した場合、Standby機に切り替わりが発生し正常復旧します。
→本ドキュメント内「ロードバランサー(L4)を利用したシステムの障害時の動作」参照
②ロードバランサー(L4)で設定している仮想サーバーでの障害発生により、ヘルスチェックがエラーとなった場合、仮想サーバーは負荷分散の対象から切り離されます。
他ロードバランサー
マルチロードバランサーではHAで信頼性を担保します。L7ロードバランサー(Ivanti Virtual Traffic Manager)はHAの対象となります。冗長構成を組むことも可能です。 - 【Web/APサーバー】
-
ロードバランサー(L4)からアクセスされる形態です。
- 【DBサーバー】
-
ニフクラRDBは、オンプレミスで実施する複雑なデータベースの構成設計をすることなく、APIのパラメーターだけでデータベースの冗長化が可能なサービスです。ニフクラRDBの特徴的な構成として、以下の内容で構成しています。
-
データベースを同一のゾーン内にて主系/待機系で冗長化する構成。さらに、データ保全の観点で、以下の機能も利用可能です。
-
①データベースの自動バックアップ
-
②ポイントインタイムリカバリー
-
-
適用事例:複数ゾーン構成
構成図補足
- 【DBサーバー】
-
ニフクラRDBは複数ゾーンにまたがった構成はできません。そのため本事例でのデータベースサーバーは、独自にIaaSで構築した構成となります。
冗長化、同期の仕組み、バックアップ方式等は、別途利用者側で検討する必要があります。
本事例のとおり追加NICを利用することでサービス用のプライベートLANとは別に、同期用のプライベートLANも構築可能です。
カテゴリ項目ごとの作業と留意事項
-
カテゴリ項目ごとの作業概要
※ここではニフクラのリソースについてのみ記載します。カテゴリ項目
作業
ニフクラでの作業概要
信頼性
信頼性対策の方式設計
システム構成要素ごとの業務への影響、対象範囲/信頼性確保の前提条件を確認し、信頼性対策方式を設計してください。
ニフクラ基盤の信頼性対策方式を前提に、利用者が配備したニフクラの仮想リソースの信頼性対策方式を検討してください。-
検討のポイント
運用待機構成(ホットスタンバイやコールドスタンバイ)、両系運用
データ保全対策の方式設計
信頼性要件に基づいて、データ保全のための実現方式を設計してください。
対象のデータにより、ニフクラのカスタマイズイメージ機能やバックアップサービスを利用してサーバー単位でフルバックアップするか、ファイル単位でフルバックアップや増分/差分バックアップする等、データ保全の方式を検討してください。-
検討のポイント
サーバーのバックアップ→カスタマイズ機能、バックアップサービス、バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)を検討
ファイルのバックアップ→バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)、ツール自作等を検討
災害対策の方式設計
信頼性要件に基づいて、自然災害などの備えとなる機器やシステムを設計してください。
データのバックアップや、システム全体を遠隔地の災害対策環境(DRサイト)に保全するための実現方式を検討してください。-
検討のポイント
DRサイトの規模/内容
DRサイトとのデータ同期(バックアップ)
DRサイトへのサイト切替(DNSのフェイルオーバー機能などによる切替)
障害時対応の方式設計
障害対策方式(復旧方式の設定、縮退操作の設定)を設計してください。基本的な設計方法はオンプレミスと同様です。
ニフクラRDBなどニフクラが提供するサービスについても、障害発生、復旧時の挙動を把握して設計してください。信頼性運用設計(定常時)
システム全体の運用・保守設計に基づいて、信頼性の定常時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスシステムと同様です。(記載を省略します。)
信頼性運用設計(障害時)
システム全体の運用・保守設計に基づいて、信頼性の障害時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスシステムと同様です。(記載を省略します。)
-
信頼性対策の方式設計(ニフクラ基盤)
- 作業概要
-
システム構成要素ごとの業務への影響、対象範囲/信頼性確保の前提条件を確認し、信頼性対策方式を設計してください。
ニフクラ基盤の信頼性対策方式を前提として、利用者が配備したニフクラの仮想リソースの信頼性対策方式を検討してください。区分1
区分2
対象
信頼性方式
信頼性方式が実現する内容
ニフクラ基盤
物理機器
ネットワークストレージ物理サーバー
冗長化
仮想リソース搭載物理サーバー
自動フェイルオーバー(HA機能)
リソース再配置
利用者がリソースを大量に消費した場合、ニフクラ内部で自動的にリソースの再配置が行われ、負荷障害を抑止します。
仮想リソース単体
サーバー
仮想サーバー
仮想サーバーが配備された物理サーバーにて故障した場合、筐体内の仮想サーバーを別の物理サーバーにフェイルオーバーします。
サーバーセパレート
増設ディスク
「A/B」2種類提供される増設ディスク
別筐体利用
A/Bの別筐体となるディスクを用意しています。AとBではそれぞれ筐体の分離が保証されます。A同士またはB同士における筐体分離の保証はないため留意してください。
システム全体
共通
環境
複数ゾーン
物理的に区分された環境(ゾーン)を複数組み合わせてシステムを構成することにより、環境の信頼性向上が可能です。
運用待機
サービス
ニフクラRDB
ホットスタンバイ
ニフクラRDBでは、冗長化設定によりホットスタンバイが可能です。
ロードバランサー(L4)自体
ロードバランサー(L4)については、ニフクラにて冗長化を実施しています。
万が一の故障時には、自動的に待機系への切り替わりが実施されます。サーバー
仮想サーバー
その他
コールドスタンバイ仮想サーバーは、オンプレミスと同様にコールドスタンバイの構成も可能です。
両系運用
サービス
仮想サーバー
負荷分散
ロードバランサーを利用して負荷分散構成の実現が可能です。
仮想サーバー異常時は、ロードバランサーによって切り離されます。-
本ドキュメント内
「ロードバランサー(L4)を利用したシステムの障害時の動作」を参照
サーバー
仮想サーバー
オートスケール
CPU、メモリ使用率、ネットワーク流量に応じて、設定した上限まで仮想サーバーの稼働が可能です。
-
データ保全対策の方式設計
- 作業概要
-
信頼性要件に基づいてデータ保全のための実現方式を設計してください。
対象のデータによりニフクラのカスタマイズイメージ機能を利用してサーバーをフルバックアップするか、ファイル単位でフルバックアップや増分/差分バックアップする等、データ保全の方式を検討してください。-
ニフクラでのバックアップ手法
バックアップ手法
データ保全の対象
データ保全の環境
留意事項、その他備考
サーバー全体
増設ディスク
ファイル
他ゾーン
他リージョン
他サイト
バックアップ用ミドルウェア導入/scpコマンド等でデータコピー
○
○
○
○
○
○
バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)
○
○
○
○
○
○
バックアップ先として他ゾーン/他リージョン/他サイト等を利用する場合は、別途通信経路を検討してください。(IPsec VPN接続など)
ワンデイスナップショット
○
○
-
-
-
-
システム/増設ディスクとも、ある時点の状態をスナップショットとして保持する方式です。スナップショットからシステムのリカバリも可能です。[22]
22. 保存期限等の仕様について クラウド技術仕様/制限値(コンピューティング:ワンデイスナップショット)をご確認ください。カスタマイズイメージ(バックアップ)
○
○
-
○
○
-
サーバーを作成する際のテンプレートをイメージ化して保存しておく機能です。保存先は他のゾーン/リージョンにも保存可能です。[23]
23. 保存可能な容量などの仕様は クラウド技術仕様/制限値(コンピューティング:カスタマイズイメージ/イメージ配布)をご確認ください。バックアップ
○
○
-
-
-
-
ニフクラのサーバーを対象に定期的な自動バックアップや任意のタイミングでバックアップを取得する機能です。[24]
24. 保存可能な容量や世代、その他注意点など クラウド技術仕様/制限値(コンピューティング:バックアップ)をご確認ください。 -
仮想サーバーのエクスポート機能、テープバックアップなどの機能提供はありません。留意してください。
-
災害対策の方式設計
- 作業概要
-
信頼性要件に基づいて、自然災害などの備えとなる機器やシステムを設計してください。
データのバックアップやシステム全体を遠隔地の災害対策環境(DRサイト)に保全するための実現方式を検討してください。-
検討事項
検討事項
内容
DRサイト規模、内容
目標復旧時間/復旧時点、求められる性能などにより、DRサイトを本番環境と同一構成とするか、最小限のシステム構成とするか等、DRサイトの規模、内容を検討してください。
DRサイトの規模、内容を検討する際は、ゾーン間での冗長化も合わせて検討してください。
次表に、業務継続性別のDRサイト/ゾーン冗長の選択指針例を記載します。-
本ドキュメント内「DRサイト構築事例概要:構成概要」を参照
DRサイト構築
DRサイトを構築する際は、各リージョンでそれぞれシステムを構築してください。
カスタマイズイメージ(バックアップ)/イメージ配布やクラウド型バックアップサービス(バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud))を利用することにより、別リージョンへ同一の仮想サーバーを作成できます。DRサイト間ネットワーク
プライベートブリッジにより、リージョン間のプライベートLANを接続できます。
ダイレクトポートサービスを利用し、閉域網や専用線によりリージョン間を接続できます。
拠点間VPNゲートウェイ、インターネットVPN(H/W)を利用し、IPsecVPNを用いて、暗号化された経路で安価にインターネット越しに接続できます。DRサイト間データ同期
DRサイト間でデータを同期したい場合は、サイト間のネットワークをIPsecVPNかリージョン間を閉域網などにより接続し、scpなどのコマンドでコピーするスクリプトを作成する、あるいはレプリケーション可能なミドルウェアを導入することを検討してください。
DRサイト切替
ニフクラでは、DRサイトを切り替える機能は提供していません。
外部に公開しているWebサイトなどでは、DNSのフェイルオーバー機能を利用することでDRサイトへの切り替えが可能です。複数リージョンにて、同一のシステムを構築し、DNSサービスの「フェイルオーバー」機能を利用することで、リージョン障害が起こった場合でも別リージョンで業務継続可能となります。 -
-
業務継続性別のDRサイト/ゾーン冗長の選択指針例
災害対策(DRサイト)
ゾーン規模障害対策
許容可能停止時間
仮想サーバー SLA対象
システム概要
推奨適用パターン
リージョン
ゾーン
必要
必要
無停止
対象
大規模基幹システム
複数リージョン
複数ゾーン
不要
数時間
基幹システム
複数リージョン
単一ゾーン
不要
必要
数時間
基幹システム
単一リージョン
複数ゾーン
不要
1日程度
非基幹システム
情報参照系システム単一リージョン
単一ゾーン
-
障害時対応の方式設計
- 作業概要
-
障害対策方式(復旧方式の設定、縮退操作の設定)を設計してください。基本的な設計方法はオンプレミスと同様です。
ニフクラRDBなどニフクラが提供するサービスについても、障害発生時、復旧時の挙動を把握して設計してください。-
検討事項
検討事項
内容
復旧方式
Webサーバーなどの仮想リソースごとに、想定される障害一覧、業務影響、復旧方式などを検討してください。ニフクラで想定される障害としては、以下のようなものがあります。
-
仮想リソース(ルーター、マルチロードバランサー、仮想サーバー等)を配備した物理機器のハード障害
-
仮想サーバー障害(OS以上の領域の障害に伴う)
-
仮想サーバー内のOS/ミドルウェア障害
-
仮想サーバー内のアプリ障害
-
仮想サーバー内のアプリのスローダウン
-
-
ゾーン障害
-
ニフクラ⇔オンプレミス間ネットワーク障害
等
縮退方式
冗長化構成にしている仮想リソースに対して、片系で障害が発生した場合のSE作業及びシステム動作を検討してください。ニフクラで想定される障害としては、以下のようなものがあります。
-
ロードバランサーで障害
-
ロードバランサーにて負荷分散されているWebサーバーで障害
-
冗長化設定したニフクラRDBの片系障害
等
-
-
復旧方式の設計例
-
復旧方式の設計例
検討対象
想定される障害
影響範囲
業務影響
復旧方式
ルーター 拠点間VPNゲートウェイ マルチロードバランサー 仮想サーバー リモートアクセスVPNゲートウェイ
仮想リソースを搭載した物理機器のハード障害
単体
あり
仮想リソースのHA後、必要に応じて業務的なリカバリ処理を実施
ゾーン障害
ゾーン
あり
ニフクラ基盤の復旧後、必要に応じて業務的なリカバリ処理を実施
ロードバランサー(L4)
物理機器障害
単体
あり
自動で従系に切り替わるため、基本対処の必要なし
ゾーン障害
ゾーン
なし
ゾーンに依存しないためロードバランサー(L4)自体に影響はなし
ロードバランサー配下のWebサーバー
仮想リソースを搭載した物理機器のハード障害
片系
なし(縮退)
仮想リソースのHA後、ロードバランサーに自動組込み必要に応じて業務的なリカバリ処理を実施
両系
業務停止
OS/ミドルウェア障害
片系
なし(縮退)
必要に応じて業務的なリカバリ処理を実施
両系
業務停止
業務を停止して、OS/ミドルウェア保守を実施
アプリ障害
片系
なし(縮退)
必要に応じて業務的なリカバリ処理を実施
両系
業務停止
業務を停止して、アプリ保守を実施
アプリのスローダウン
-
性能劣化
必要に応じて業務的なリカバリ処理を実施
以下省略
- memo
-
ニフクラに限らず、オンプレミスでも、上記のような復旧方式や縮退方式の設計は必要です。復旧方式や縮退方式は、仮想サーバーで処理する業務により、処理内容を検討してください。
方式詳細と参考ドキュメント
詳細な方式例としてCDP (クラウドデザインパターン)や、システム構成の参考事例、参考ドキュメントを記載します。
設計項目 |
ドキュメント掲載先 |
ドキュメント名または本ドキュメント内のタイトル |
内容 |
---|---|---|---|
信頼性関連 |
本ドキュメント内 |
適用事例:複数ゾーン構成 |
信頼性の観点を考慮した複数ゾーン構成の事例を記載しています。 |
CDP |
Webサービスで、性能、信頼性を考慮した構成を実現したい場合のパターンです。 |
||
本ドキュメント内 |
ロードバランサー(L4)を利用したシステムの障害時の動作 |
ニフクラのロードバランサー(L4)を利用したシステムの想定障害として、ロードバランサー(L4)自体が異常の場合と、ロードバランサー(L4)配下の仮想サーバーが異常の場合を記載しています。 |
|
CDP |
データセンターの火災や大規模な電源障害など、1つのリージョン全体に影響があるような事態でも、業務を継続したいパターンです。 |
||
CDP |
負荷分散機能に加え、アクセス状況により仮想サーバーの増減を可能にするパターンです。 |
||
CDP |
共有ストレージを構築するパターンです。 |
||
CDP |
仮想サーバーを確実に別々の物理サーバー上に配備することで、ニフクラ内部で物理サーバー故障時の影響範囲を局所化するようにしたい場合のパターンです。 |
||
CDP |
セットアップや運用(スケーリング、バックアップなど)を容易に実行できる、ニフクラのニフクラRDBを利用するパターンです。 |
||
データ保全関連 |
CDP |
仮想サーバーにOSのパッチ適用作業などをする前や、増設ディスクのデータを変更する前に、データを高速に保存し、万一の場合に復旧できるようにしたいといった場合のパターンです。 |
|
CDP |
ニフクラに配備した仮想サーバーを、サーバー構築の効率化のために複製したいといった場合のパターンです。 |
||
災害対策関連 |
本ドキュメント内 |
DRサイト構築事例概要 :構成概要 |
東日本リージョンに本番環境、西日本リージョンに災害対策環境(DRサイト)を構築する事例です。本番環境から DRサイトへのバックアップ例も記載しています。 |
本ドキュメント内 |
DNSのフェイルオーバー機能での切替動作概要 |
東日本リージョンがダウンした際に、西日本リージョンに切り替える事例です。 |
ロードバランサー(L4)を利用したシステムの障害時の動作
- 障害事例~ロードバランサー(L4)障害時
-
ニフクラのロードバランサー(L4)異常時は、従系へ自動的に切り替わりが発生し、正常復旧します。そのため利用者側でロードバランサー(L4)についての対処は不要です。
- 検討事項
-
-
セッション引継ぎ
-
ロードバランサー(L4)の切り替わり時にはセッションの引継ぎは行われないことに留意してください。
-
-
切り戻し
-
復旧したロードバランサー(L4)は従系として組込みを実施し、基本的に切り戻しは実施しない方針となります。やむを得ず、切り戻しをする場合は、事前にメンテナンス告知を実施し作業します。障害お知らせ通知などを利用して情報を収集してください。
-
-
振り分け先サーバー障害時のロードバランサー(L4)の動作
-
障害事例~ロードバランサー(L4)配下の仮想サーバー障害時
-
ロードバランサー(L4)配下に、Webサーバーが2台設定されているものとします。
Webサーバー2台のうち、1台に正常にアクセスできなくなり、ロードバランサー(L4)からのヘルスチェックが異常となった場合、そのWebサーバーがロードバランサー(L4)から切り離されます。
切り離されたWebサーバーは、ロードバランサー(L4)のヘルスチェックで正常なアクセスが確認できた場合、再度ロードバランサー(L4)に組み込まれます。
-
-
正常時
-
Webサーバー2台に正常にアクセスできている状態
-
-
Webサーバーに異常発生
-
Webサーバー1台が正常にアクセスできなくなった状態。ヘルスチェック結果が異常
-
-
異常になったWebサーバーを切り離し
-
正常にアクセスできなくなったWebサーバーを切り離した状態
-
DRサイト構築事例概要:構成概要
- 概要
-
-
東日本リージョンに本番環境、西日本リージョンに災害対策環境(DRサイト)を構築
-
DRサイトは、非常時用として各サーバー1台構成でシステムとネットワークを構築
-
西日本リージョンのシステムは、東日本リージョンにて作成した手順と同様の手順で作成するかカスタマイズイメージ、Acronis等を利用して構築
-
東日本リージョンと西日本リージョンのネットワークは以下2つのパターンで構築
-
①プライベートブリッジを利用してリージョン間のプライベートLANでL2接続(重要データはプライベートLANの経路で転送)
-
②拠点間VPNゲートウェイ、インターネットVPN(H/W)等を利用してIPsecVPNでインターネット越しに接続
-
-
※拠点間VPNゲートウェイに接続されたプライベートLAN同士は、プライベートブリッジなどの接続サービスによって接続できません。(プライベートブリッジとの併用時の注意点についてを参照)
DRサイト構築事例概要:バックアップ構成
構成図補足
- 【リージョン間のバックアップ、レプリケーション】
-
DR環境へのバックアップ、データのレプリケーションには、リージョン間をプライベートブリッジ接続の経路や、IPsecVPNで接続したインターネット越しの経路を通じて実施
※バックアップは自作ツールまたはバックアップ用ミドルウェアを利用
※拠点間VPNゲートウェイに接続されたプライベートLAN同士は、プライベートブリッジなどの接続サービスによって接続できません。(プライベートブリッジとの併用時の注意点についてを参照)
DNSのフェイルオーバー機能での切替動作概要
構成図補足
- 【東日本リージョン罹災時】
-
DNSフェイルオーバーにより自動で、応答するレコードを切り替える。
- フェイルオーバーによるサイト切替の概要
-
-
ニフクラDNSのフェイルオーバーにて、プライマリに東日本のロードバランサー(L4)のIPアドレスを設定する。セカンダリに西日本のWeb/APサーバーのグローバルIPアドレスを設定する。
-
上記の設定により東日本罹災時、DNSフェイルオーバーが発生し、セカンダリのIPアドレスのレコード情報を応答することになります。
-
3.ネットワーク
設計のポイント
以下では、ネットワーク関連のニフクラのサービス/機能を記載しています。ニフクラにてネットワーク観点で設計をする際には、以下のニフクラのサービス/機能を検討してください。
区分 |
対応するサービス/機能 |
ニフクラのサービス/機能の概要 |
選択値・条件 |
---|---|---|---|
LAN |
プライベートLAN |
ニフクラではサーバー作成時、サーバーにグローバルネットワークとプライベートネットワークの2つにNICが接続されます。
プライベートLANを利用することにより、プライベートLANに接続された仮想サーバーのNICに、OSから静的にIPアドレスを設定できます。 [26]
26. サーバー作成後追加NICを付与することにより複数のプライベートLANに所属させることが可能です。
|
|
ルーター |
共通グローバルネットワークと共通プライベートネットワーク、またはプライベートLANを接続する機能を提供します。 |
||
プライベートブリッジ |
リージョン内の異なるゾーン間(ゾーン内も可)のプライベートLAN同士をL2延伸にて接続可能なサービスです。プライベートブリッジを利用することにより、複数のゾーンを利用したシステムを簡単に構築できます。 |
利用可能なリージョンは クラウド技術仕様/制限値(プライベートブリッジ)「提供リージョン」項目をご確認ください。 |
|
WAN |
ダイレクトポート/物理ポート、プライベートアクセス(閉域網集線型接続サービス) |
ダイレクトポート/物理ポート、プライベートアクセス(閉域網集線型接続サービス)は、ニフクラ環境と利用者環境を接続するサービスです。
27. 本ドキュメントの「拠点環境とのダイレクトポート接続事例」を参照
|
|
拠点間VPNゲートウェイ |
接続方式は クラウド技術仕様/制限値(拠点間VPNゲートウェイ)をご確認ください。 |
||
インターネットVPN(H/W) |
接続方式は 「インターネットVPN(H/W)」サービス仕様書(PDF)をご確認ください。 |
||
リモートアクセスVPNゲートウェイ |
詳細な仕様は クラウド技術仕様/制限値(ネットワーク:リモートアクセスVPNゲートウェイ)をご確認ください。 |
||
サーバー負荷分散 |
ロードバランサー(L4) |
ロードバランサー(L4)サービスは、L4層の負荷分散をするサービスです。L7層は非対応です。 |
|
マルチロードバランサー |
マルチロードバランサーは、L4層の負荷分散をするサービスです。L7層は非対応です。 |
||
L7ロードバランサー(Ivanti Virtual Traffic Manager) |
L7ロードバランサーは、サードパーティ製のソリューションサービスとなります。 L4層の負荷分散のみならず、L7層の負荷分散が可能です。 |
||
ファイアウォール(セキュリティの章も参照) |
ファイアウォール |
ファイアウォールサービスは、プロトコル、ポート番号、Incoming/Outgoingでアクセス許可を制御する機能です。仮想サーバー、ルーター、拠点間VPNゲートウェイに適用可能で、複数サーバーを同一ルールに所属させることが可能です。 |
対応プロトコル等の仕様は クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)をご確認ください。 |
ウイルスゲート IDS/IPS (詳細はセキュリティの章を参照) |
Trend Micro Cloud One - Workload Security |
サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーへオプションで導入可能です。 本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。 |
|
ウイルス・スパイウエア対策(ESET Server Security) |
サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーへオプションで導入可能です。 本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。 |
||
IDS |
ネットワーク上を流れるパケットを常時監視し、不正アクセスを検知し通報するサービスをオプションで導入可能です。ニフクラ上で構築されたサーバーへの様々な不正アクセスや、サーバーに仕掛けられた悪意のあるプログラム(トロイの木馬、バックドア等)の発する情報を常時監視し、ファイアウォールで防ぐことのできない攻撃も検知可能です。 |
||
統合ネットワークサービス |
統合ネットワークサービス(IPCOM VE2Vシリーズ) |
4つの機能シリーズ(SC、SC PLUS、LS、LS PLUS)と、2つのスペック(220/100)の、合計8種類から選択 |
|
その他 |
DNS/GSLB(広域負荷分散)/ドメイン取得・管理 |
ニフクラが提供するDNSサービスです。 |
|
ESS(メール配信) |
ニフクラが提供するメール配信サービスです。メール送信機能のみとなります。 |
||
CDN(Fastly) |
サードパーティ製のソリューションサービスのCDNです。 |
||
CDN(J-Stream CDNext) |
サードパーティ製のソリューションサービスのCDNです。 |
||
WAF(Scutum) |
サードパーティ製のソリューションサービスのWAFです。 |
||
WAF(攻撃遮断くん) |
サードパーティ製のソリューションサービスのWAFです。 |
サーバーセキュリティタイプ、WEBセキュリティタイプ、DDoSセキュリティタイプから選択 |
|
検疫ネットワーク/URLフィルター/スパム対策 |
ニフクラでは、左記の区分に該当するサービスや機能はありません。 |
左記のように、ネットワーク機器で対応するような機能やサービスは、ニフクラ上ではありません。左記の機能が必須要件であれば、オンプレミス環境に左記の機能を実現する環境を導入し、ニフクラ環境とオンプレミス環境を、プライベートアクセスなどで接続して利用するシステム構成により要件に対応してください。 |
メニュー構成とメニュー選択時の条件
プライベート接続サービスでは、以下のサービスを提供しています。 本機能により拠点環境とのセキュアなハイブリッドクラウドを実現します。併用も可能です。
設計ポイントの適用事例
典型的なシステム構成例や、外部環境との接続など、ニフクラで提供しているネットワーク関連のサービス/機能の適用事例を記載します。
適用事例 |
利用するサービス/機能 |
概要 |
---|---|---|
(1) ニフクラで構成可能な複数ゾーンのシステム構成例 |
|
ニフクラで構成可能な複数ゾーンを利用したシステム構成例を記載します。ニフクラで提供する左記のサービス/機能を利用して、システムの信頼性を向上します。
|
(2) ニフクラのシステムとデータセンター環境、拠点環境とのダイレクトポート接続事例 |
32. 本機能の詳細は、以下のドキュメントを参照してください。『 クラウド技術仕様/制限値(ネットワーク:ダイレクトポート(専用線・閉域網 接続サービス))』
|
ダイレクトポートを利用してニフクラ上に構築したシステムに、拠点環境と専用線・閉域網からダイレクトに接続する事例を記載します。 |
(3) ニフクラのシステムとデータセンター環境との物理ポート(構内接続プラン)接続事例 |
33. 本機能の詳細は、以下のドキュメントを参照してください。『 クラウド技術仕様/制限値(プライベートブリッジ:物理ポート)』
|
物理ポート(構内接続プラン)を利用してニフクラ上に構築したシステムとデータセンターのホスティング環境を、物理ポートでダイレクトに接続する事例を記載します。 |
(4) VPN接続事例 |
|
ニフクラ環境とのインターネットVPN接続例です。 |
(5) DRサイト構築事例 |
|
同一国内のリージョン間を接続する事例です。ダイレクトポートでの接続とインターネットVPN接続を利用します。 |
ニフクラでの複数ゾーンのシステム構成例
構成図補足
- 【ルーター】
-
ニフクラのルーターは、異なるネットワーク同士を接続し、ネットワーク間で通信できるようにする機能を持ちます。インターネットに接続された共通グローバルネットワークと共通プライベートネットワーク、あるいは、プライベートLAN同士を接続します。
ネットワーク接続の際に、ネットワーク同士のルーティングや、ファイアウォール機能の利用も可能です。また、NAT機能、Webプロキシ機能、DHCPオプション機能等も利用できます。 - 【ロードバランサー(L4)】
-
ニフクラでは、信頼性向上と性能向上のための負荷分散機能として、L4層のロードバランサーを提供しています。ロードバランサー(L4)を 1つ設定することで、複数のゾーンに配備された仮想サーバーへ負荷分散ができます。ロードバランサー(L4)では複数の帯域が用意されています。必要に応じた帯域を契約して利用してください。
- 【追加NIC】
-
仮想サーバーに対して複数のNICを付与可能なサービスです。 追加NICを利用することで、複数のプライベートLANに所属でき、複雑なネットワーク構成が実現可能です。
- 【プライベートブリッジ】
-
対応リージョン内の異なるゾーン間(ゾーン内も可)のプライベートLAN同士を接続できるサービスです。プライベートブリッジ利用することにより、複数のゾーンを利用したシステムを簡単に構築できます。
プライベートブリッジは帯域確保が可能なサービスです。利用可能なリージョンや選択可能な帯域は クラウド技術仕様/制限値(プライベートブリッジ)でご確認ください。
ニフクラが提供するネットワークに関するサービス/機能を利用して、システムの信頼性を向上する構成例です。
-
システム構成の特徴
-
プライベートブリッジにより異なるゾーン間のプライベートLANをL2接続する構成で、システムの信頼性を向上
-
ネットワークをルーターで、2階層に分割
-
Web/APサーバーを配備するネットワーク
-
データベースなどを配備するプライベート用ネットワーク
-
-
冗長化が必要なデータベースなどのために同期用のネットワークを配備
-
インターネットからアクセス可能なネットワークに、ロードバランサー(L4)やWeb/APサーバーを配備
-
拠点環境とのダイレクトポート接続事例
ダイレクトポートの接続事例
上図ではニフクラ環境を複数のプライベートLANで構成した複数セグメントでの構成としています。
-
ダイレクトポート接続
-
利用者の拠点、データセンター環境等と接続する機能です。回線事業者の閉域網・専用線を引き込みニフクラと直接接続できる物理ポートを提供します。導入にあたっては、以下を検討して設計してください。
-
利用可能な接続機能の確認
-
ネットワーク全体の論理構成設計
-
ルーティング(経路)設計
-
帯域設計
-
信頼性設計
-
IP アドレス設計
-
-
-
ルーティング設定について
-
ダイレクトポートで接続するプライベートLAN以外のプライベートLANへ通信が発生する場合、利用者環境側に複数セグメントがある場合など、ルーティング設計は入念に行ってください。開通後、通信できない場合があります。
-
回線事業者が設置するネットワーク機器は、回線事業者の保守サポートが必要です。
個別にルーティング設定を必要とする場合は回線事業者へ依頼する必要があります。実現可否など、事前に回線事業者へ確認してください。
-
データセンター環境との物理ポート(構内接続プラン)接続事例
物理ポート(構内接続プラン)の接続事例
上図ではニフクラ環境で複数のプライベートLANで構成した複数セグメントでの構成としています。
-
物理ポート(構内接続プラン)
-
利用者のハウジングエリアと接続する機能です。富士通クラウドテクノロジーズ指定のデータセンター内に、ニフクラとの接続ポイントとなる物理ポートを提供します。導入にあたっては、以下を検討して設計してください。
-
利用可能な接続機能の確認
-
ネットワーク全体の論理構成設計
-
ルーティング( 経路 ) 設計
-
帯域設計
-
信頼性設計
-
IP アドレス設計
-
-
-
ルーティング設定について
-
物理ポート(構内接続プラン)で接続するプライベートLAN以外のプライベートLANと通信が発生する場合、利用者環境側で複数セグメントがある場合など、ルーティング設定は入念に行ってください。開通後、通信できない場合があります。
-
ニフクラ環境のルーティング設定と合わせて、ハウジングエリアに設置するネットワーク機器でのルーティング設定も考慮してください。
-
拠点間VPNゲートウェイ接続事例
拠点間VPNゲートウェイを利用して利用者環境とインターネット経由で接続するIPsecVPN構成例です。
-
同時接続可能な拠点数や接続方式など仕様の詳細は クラウド技術仕様/制限値(拠点間VPNゲートウェイ:拠点間VPNゲートウェイ)をご確認ください。
インターネットVPN(H/W)接続事例
インターネットVPN(H/W)を利用して利用者環境とインターネット経由で接続するIPsecVPN接続例です。
-
VPN通信帯域や構成の詳細は クラウド 機能・サービス(インターネットVPN(H/W))をご確認ください。
リモートアクセスVPNゲートウェイ接続事例
リモートアクセスVPNゲートウェイを利用して利用者端末とインターネット経由で接続するSSL-VPN構成例です。
-
同時接続可能数や利用者端末との接続方法などの詳細は クラウド技術仕様/制限値(ネットワーク:リモートアクセスVPNゲートウェイ)をご確認ください。
カテゴリ項目ごとの作業と留意事項
カテゴリ項目ごとの作業概要
カテゴリ項目 |
作業 |
ニフクラでの作業概要 |
---|---|---|
ネットワーク |
ネットワーク論理設計 |
ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や各種制御方式等を設計してください。 |
ネットワーク物理設計 |
||
ネットワーク構成規約の設計 |
ネットワーク、サブネット、ポート、ID/パスワードなどの構成の設計や管理に必要な規約については、オンプレミスと同様に設計してください。 |
|
ネットワーク運用設計(定常時) |
システム全体の運用・保守設計に基づいて、信頼性の定常時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスと同様です。「ニフクラ設計ガイド(運用・保守設計編) 運用・保守」を参照してください。 |
|
ネットワーク運用設計(障害時) |
システム全体の運用・保守設計に基づいて、信頼性の障害時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスと同様です。「ニフクラ設計ガイド(運用・保守設計編) 運用・保守」を参照してください。 |
LAN/WANに関する留意事項
- 作業概要
-
ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。
ニフクラのサービス/機能 |
留意事項 |
内容 |
選択値・条件 |
---|---|---|---|
仮想ネットワーク/サブネット |
共通グローバルネットワーク |
サーバー配備時に接続されるグローバルネットワークで、インターネットに公開されたネットワークとなります。(サーバーに接続しないことも可能です。) |
|
共通プライベートネットワーク |
サーバー配備時に接続されるプライベートネットワークで、他ユーザーと共通のプライベートネットワークとなります。(プライベートLANを作成している場合、サーバー配備時にプライベートLANへ接続した状態にもできます。) |
||
プライベートLAN |
プライベートLANは共通プライベートネットワークとL2レベルで隔離されたネットワークです。利用者が任意に作成します。ルーターを用いてプライベートLAN同士を接続できます。 |
設定可能なプレフィックス長やその他注意事項等は クラウド技術仕様/制限値(ネットワーク:プライベートLAN)をご確認ください。 |
|
付替IPアドレス |
ゾーン/リージョンをまたいだIPアドレスの設定はできない |
||
グローバルIPアドレス |
インターネットに公開されているネットワーク上のIPアドレスです。 |
||
グローバルIPアドレスの指定 |
グローバルIPアドレスは個別に指定はできません。サーバー配備時、グローバルIPアドレスを付与する場合、 DHCPにより自動でIPアドレスが割り振られます。 |
利用者が何らかの手段で取得しているグローバルIPアドレスの持ち込み不可 |
|
IPアドレス設計接続先と重複しない設計 |
ニフクラでは、IPsecVPN/SSL-VPNやダイレクトポート接続等による外部環境との接続(4章「外部接続」で記載)が可能です。 |
||
DHCP |
「バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)」での復元時に限り、DHCP設定をオフにし、DNSサーバーのIPアドレスを設定することは禁止事項の対象外 |
||
DNSサーバー |
公開DNSサーバーなどを指定するか、IaaS環境に構築を検討してください。 |
ニフクラでは名前解決用のキャッシュDNSのサービスなし |
|
追加のルート設定 |
ルーターでDHCP機能を利用する場合にはゲートウェイの指定が可能です。複数のルーティング情報が必要な場合や、ルーターでDHCP機能を利用しない場合にはOS上から設定する必要があります。 |
||
追加NIC |
仮想サーバーに付与することで複数のプライベートLANへの所属が可能です。 |
仮想サーバーへの追加NIC付与時の制限事項があります。詳細は クラウド技術仕様/制限値(コンピューティング::追加NIC)をご確認ください。 |
|
マルチIPアドレス |
マルチIPアドレスグループが割り当てられたサーバーに対してできない操作は クラウド技術仕様/制限値(マルチIPアドレス)でご確認ください。 |
||
ルーター |
プライベートLAN同士の接続 |
同一ゾーン内のプライベートLAN同士はルーターを利用して接続できます。 |
|
ルーティング |
|||
NAT機能 |
ルーターは、NAT機能を提供します。 |
詳細な仕様は クラウド技術仕様/制限値(ネットワーク:ルーター:NAT)をご確認ください。 |
|
Webプロキシ機能 |
ルーターはWebプロキシ機能を提供しています。グローバルIPアドレスを割り当てしていないサーバーからパッチを適用するなどの用途として利用可能です。 |
||
ルーター数上限 |
プライベートLANに接続できるルーター数、ルーターが接続可能なネットワーク数に制限があります。 |
詳細な仕様は クラウド技術仕様/制限値(ネットワーク:ルーター)をご確認ください。 |
|
ルーターのアクセス制御 |
ルーターのアクセス制御は仮想サーバーと同様にファイアウォールでアクセス制御が可能です。 |
||
プライベートブリッジ |
複数ゾーン/リージョン構成の概要 |
物理的に異なる環境であるゾーンを複数用いて、信頼性を高める構成です。ゾーン間のプライベートLANをプライベートブリッジにより、L2で接続します。 |
|
複数ゾーン/リージョン接続の概要 |
複数のゾーン/リージョンにそれぞれプライベートLANを作成した後、コントロールパネルからオンデマンドで設定します。プライベートブリッジの開通には下記作業が必要です。
詳細は、クラウドデザインパターン内の「リージョン間接続パターン:プライベートブリッジ」を参照してください。
40. リージョン間接続をする場合のみ
|
||
ダイレクトポート |
接続形態 |
ニフクラ上に構築したシステムを回線事業者の専用線や閉域網に接続するために接続ポイントであるポートを提供するサービスです。ブロードキャストドメインを区切る必要があるためルーターやL3スイッチ等と接続が必要となります。 |
L2接続不可 |
制限/留意事項 |
以下について様々な制限/留意事項があります。 ・スイッチポート |
詳細な仕様は クラウド 機能・サービス(ダイレクトポート(専用線・閉域網 接続サービス))、 クラウド技術仕様/制限値(ネットワーク:ダイレクトポート(専用線・閉域網 接続サービス))のサービス仕様書をご確認ください。 |
|
拠点間VPNゲートウェイ |
接続できる拠点数 |
作成タイプにより拠点間VPNゲートウェイ1つあたりで同時接続可能な拠点が異なります。 |
接続できる拠点数については クラウド技術仕様/制限値(拠点間VPNゲートウェイ:拠点間VPNゲートウェイ)をご確認ください。 |
通信が可能な範囲 |
接続形態により、通信の可能な範囲が異なります。
|
||
モバイルアクセス |
モバイル機器との通信(L2TP/IPsec)はできません。 |
||
アクセス制御 |
ニフクラの仮想サーバーと同様、ニフクラファイアウォールの設定が可能です。 |
||
インターネットVPN(H/W) |
接続できる拠点数 |
1契約(1接続点)あたり1拠点との接続が可能です。 |
|
通信が可能な範囲 |
インターネットVPN(H/W)を接続したプライベートLANと、対向のゲートウェイに接続されるサブネット、申し込み時に指定した拠点側の他サブネットとの通信が可能です。インターネットVPN(H/W)が接続されたプライベートLAN以外のセグメントとは通信できません。 |
||
モバイルアクセス |
モバイル機器との通信(L2TP/IPsec)はできません。 |
||
アクセス制御 |
インターネットVPN(H/W)には、ニフクラのファイアウォールの設定はできません。 |
||
リモートアクセスVPNゲートウェイ |
接続可能なコネクション数 |
作成タイプごとにリモートアクセスVPNゲートウェイ1つあたりの同時接続可能数が異なります。 |
同時接続可能数については クラウド技術仕様/制限値(ネットワーク:リモートアクセスVPNゲートウェイ)をご確認ください。 |
通信が可能な範囲 |
クライアントソフト [41]を導入した端末から、リモートアクセスVPNゲートウェイが接続されたプライベートLAN上のリソースのみ通信が可能です。
41. 接続確認済みOS及びクライアント環境の詳細については、 クラウド技術仕様/制限値(ネットワーク:リモートアクセスVPNゲートウェイ) の「接続確認済みOS」を確認してください。
|
||
アクセス制御 |
リモートアクセスVPNゲートウェイにはニフクラのファイアウォールの設定はできません。 |
||
証明書 |
|
詳細は技術仕様を確認してください。 |
|
クライアントソフト |
オンプレミス環境にクライアントアプリケーションのダウンロードが必要です。 |
ロードバランサー(L4)に関する留意事項
- 作業概要
-
ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。
ニフクラのサービス/機能 |
留意事項 |
内容 |
選択値・条件 |
---|---|---|---|
ロードバランサー(L4) |
サービスの概要 |
ニフクラでは、信頼性向上と性能向上のための負荷分散機能として、L4層のロードバランサーを提供しています。ロードバランサー(L4)サービスを1つ設定することで、同一リージョンの複数のゾーンに配備された仮想サーバーへ負荷分散が可能です。 |
|
各種数量 |
作成可能なロードバランサー(L4)数は、リージョンごとに制限されます。 |
作成可能数やポート設定数は クラウド技術仕様/制限値(ロードバランサー(L4))の仕様一覧をご確認ください。 |
|
ネットワーク構成 |
ロードバランサー(L4)ではグローバルIPアドレスを持つ仮想サーバーを負荷分散対象として設定が可能です。プライベート側からの負荷分散、プライベート側への負荷分散には対応していません。 |
||
帯域 |
帯域は、複数コネクションでの最大帯域となっており、単一のコネクションでは契約の帯域を使い切れない場合もあります。 |
利用可能な帯域については クラウド技術仕様/制限値(ロードバランサー(L4))の仕様一覧をご確認ください。 |
|
アクセス元IPの取得 |
http(80)、https(443)且つSSLアクセラレーターを利用してのアクセス(80)の場合、ヘッダー情報「X-Forwarded-For」に送信元のIPアドレスの情報が付与されます。 |
||
暗号化SUITE |
暗号化タイプごとにSSLセキュリティポリシーをテンプレート化しており、ロードバランサー(L4)ごとにテンプレートの選択が可能です。(テンプレートを選択していない場合は、暗号化タイプごとの初期テンプレートが適応) |
|
|
負荷分散可能なレイヤー |
ニフクラのロードバランサー(L4)サービスでは、L4層の負荷分散が可能です。アクセス先のURLに含まれるドメイン名やパス等に応じて負荷分散条件を設定するL7層の負荷分散はできません。 |
||
負荷分散のポリシー設定 |
ニフクラのロードバランサー(L4)サービスでは、以下の設定が可能です。
|
セッション保持時間等の仕様の詳細は クラウド技術仕様/制限値(ロードバランサー(L4))をご確認ください。 |
|
Sorryページ設定 |
ヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、且つ、他の負荷分散可能な仮想サーバーが存在しなかった場合、ニフクラ側で用意した定型メッセージを表示できる |
Sorryページは、待ち受けポートがHTTP(80/tcp)の場合のみ利用可能 |
|
ヘルスチェックの設定 |
サーバーからの応答時間がタイムアウトを越えた場合にサーバーをロードバランサーから切り離します。 |
ヘルスチェックで設定可能な値については クラウド技術仕様/制限値(ロードバランサー(L4))をご確認ください。 |
|
Sorryページ設定 |
ヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、且つ、他の負荷分散可能な仮想サーバーが存在しなかった場合、ニフクラ側で用意した定型メッセージを表示できる |
Sorryページは、待ち受けポートがHTTP(80/tcp)の場合のみ利用可能 |
マルチロードバランサーに関する留意事項
- 作業概要
-
ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。
ニフクラのサービス/機能 |
留意事項 |
内容 |
選択値・条件 |
---|---|---|---|
マルチロードバランサー |
サービスの概要 |
ニフクラでは信頼性向上と性能向上のための負荷分散機能として、L4層のマルチロードバランサーを提供しています。マルチロードバランサーでは、複数のゾーンに配備された仮想サーバーへ負荷分散できません。 |
|
各種数量 |
作成可能なマルチロードバランサー数は、1IDごとに制限されます。 |
作成可能な数、設定可能なポート数は クラウド技術仕様/制限値(ネットワーク:マルチロードバランサー)をご確認ください。[43]
43. ポート設定のプロトコルをTCP、ポート番号を21にした際、振り分けプロトコルをFTPと解釈せず、FTPの振り分けはできません。
|
|
ネットワーク構成 |
|||
帯域 |
|||
アクセス元IPの取得 |
|
||
暗号化SUITE |
ats に対応しています。 |
||
負荷分散可能なレイヤー |
ニフクラのマルチロードバランサーでは、L4層の負荷分散が可能です。アクセス先のURLに含まれるドメイン名やパス等に応じて負荷分散条件を設定するL7層の負荷分散はできません。 |
||
ルートテーブルの設定 |
マルチロードバランサーに適応可能なルートテーブルは、設定されているルートのターゲットがIPアドレスの場合のみ適応可能です。 |
マルチロードバランサーがグローバル接続時、デフォルトルートが設定されているルートテーブルは適応不可 |
|
負荷分散のポリシー設定 |
ニフクラのマルチロードバランサーでは、以下の設定が可能です。
|
セッションの保持時間 クラウド技術仕様/制限値(ネットワーク:マルチロードバランサー)をご確認ください。 |
|
ヘルスチェックの設定 |
サーバーからの応答時間がタイムアウトを越えた場合にサーバーをロードバランサーから切り離します。 |
45. ネットワークでプライベートLANを指定した場合にマルチロードバランサーのIPアドレスとは別に、システム的に必要となる2つのIPアドレス
|
|
Sorryページ設定 |
|
L7ロードバランサー(Ivanti Virtual Traffic Manager)に関する留意事項
- 作業概要
-
ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。
ニフクラのサービス/機能 |
留意事項 |
内容 |
選択値・条件 |
---|---|---|---|
L7ロードバランサー(Ivanti Virtual Traffic Manager) |
サービスの概要 |
||
ネットワーク構成 |
L7ロードバランサーはグローバルネットワーク側の負荷分散、プライベートLAN側への負荷分散も可能になります。 |
||
帯域 |
シリーズにより利用できる帯域が異なります。 |
詳細は クラウド技術仕様/制限値(L7ロードバランサー(Ivanti Virtual Traffic Manager)全般)をご確認ください。 |
|
アクセス元IPの取得 |
http、https且つSSLアクセラレーターを利用してのアクセスの場合、ヘッダー情報に送信元IPアドレスが付与されます。「X-Forwarded-For」への変更も可能です。 |
||
暗号化SUITE |
atsに対応しています。 |
||
負荷分散可能なレイヤー |
ニフクラのL7ロードバランサーでは、L4層/L7層の負荷分散が可能です。 |
||
IP Transparency |
IP Transparencyを利用する場合に、バックエンドノードへのアクセスとして共通グローバル、または共通プライベートは利用できません。IP Transparencyを利用する場合にはL7ロードバランサー、バックエンドノードともにプライベートLANを利用する必要があります。 |
||
負荷分散のポリシー設定 |
ニフクラのL7ロードバランサーでは、以下の設定が可能です。
|
バランスポリシー、セッション固定の設定値については クラウド技術仕様/制限値(L7ロードバランサー(Ivanti Virtual Traffic Manager)全般)の仕様をご確認ください。 |
|
ヘルスチェックの設定 |
サーバーからの応答時間がタイムアウトを越えた場合にサーバーをロードバランサーから切り離します。 |
ヘルスチェックの設定値については Ivanti Virtual Traffic Managerセットアップ手順書 [PDFファイル(ver22.2)]をご確認ください。 |
|
Sorryページ設定 |
ヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、かつ、他の負荷分散可能な仮想サーバーが存在しなかった場合のリダイレクト情報を設定することによりsorryページを表示させることが可能です。ページのカスタマイズも可能で、Virtual Server設定ごとにHTTP/HTTPS/他プロトコルで利用可能です。 |
Sorryページの詳細な仕様は Ivanti Virtual Traffic Managerセットアップ手順書 [PDFファイル(ver22.2)]をご確認ください。 |
|
サポート範囲 |
OS上の設定は利用者責任範囲となります。またL7の負荷分散へ対応していることにより柔軟な設定が可能な分、複雑となります。サポート問い合わせ時、利用者側で切り分けが必要なことが多々あります。留意してください。 |
統合ネットワークサービスに関する留意事項
- 作業概要
-
ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。
ニフクラのサービス/機能 |
留意事項 |
内容 |
選択値・条件 |
---|---|---|---|
統合ネットワークサービス(IPCOM VE2Vシリーズ) |
サービスの概要 |
||
ネットワーク構成 |
IPCOM VE2Vシリーズはグローバルネットワーク側の負荷分散、プライベートLAN側への負荷分散も可能になります。(LSシリーズのみ) |
||
負荷分散可能なレイヤー |
|||
構成 |
本製品は仮想アプライアンスであり、各スペックに対応したサーバータイプを選択する必要があります。 |
別途100GBの増設ディスクが必要 |
|
その他制限事項 |
プライベートLANのみ利用している環境下でのみ冗長化可能 |
方式詳細と参考ドキュメント
詳細な方式例としてCDP (クラウドデザインパターン)や、システム構成の参考事例、参考ドキュメントを記載します。
設計項目 |
ドキュメント掲載先 |
ドキュメント名または本ドキュメント内のタイトル |
内容 |
---|---|---|---|
仮想ネットワーク関連 |
本ドキュメント |
ニフクラでの複数ゾーンのシステム構成例 |
ニフクラで構成可能な複数ゾーンのシステム構成です。ニフクラが提供するネットワークに関するサービス/機能を利用して、システムの信頼性などを向上します。 |
本ドキュメント |
プライベートLANの実装 |
構成事例の実装作業の段取りの中で、ネットワーク/サブネット作成等を記載します。 |
|
CDP |
インターネットから参照できるように仮想サーバーを配備するパターンです。サーバー配備時、サーバーにグローバルIPアドレスを付与する構成で、ニフクラの基本を記載しています。 |
||
CDP |
2階層ネットワークのパターンです。用途に応じてプライベートLANを分割した構成を記載します。 |
||
WAN関連 |
本ドキュメント |
拠点環境とのダイレクトポート接続事例 |
ダイレクトポート接続機能を使って、利用者のデータセンター環境、拠点環境と専用線/閉域網で接続する事例を記載します。記載例ではニフクラ環境を2セグメント構成で記載しています。 |
本ドキュメント |
物理ポート(構内接続プラン)接続事例 |
ニフクラのシステムと、データセンター環境との物理ポート(構内接続プラン)接続事例を記載します。記載例ではニフクラ環境を2セグメント構成で記載しています。 |
|
本ドキュメント |
拠点間VPNゲートウェイ接続事例 |
拠点間VPNゲートウェイ、インターネットVPN(H/W)、リモートアクセスVPNゲートウェイでのIPsecVPN/SSL-VPNで接続する事例を記載します。 |
|
CDP |
IPsecVPN接続を記載したパターンです。 |
||
プライベートブリッジ関連 |
CDP |
複数のゾーンを用いてシステムを構成するパターンです。それぞれのゾーンにプライベートLANを作成しプライベートLAN同士はプライベートブリッジを用いて接続し、複数のゾーン構成を作成します。 |
|
負荷分散関連 |
CDP |
Webサービスで、性能、信頼性を考慮した構成を実現したい場合のパターンです。 |
|
CDP |
ゾーンを束ねている物理機器の全系統ダウンなど、ゾーン全体がダウンするような事態でも、業務を継続したい場合のパターンです。 |
4.セキュリティ
設計のポイント
以下では、セキュリティ関連のニフクラのサービス/機能を記載しています。ニフクラにてセキュリティ観点で設計をする際には、以下のニフクラのサービス・機能を検討してください。
区分 |
区分の概要 |
対応するサービス/機能 |
ニフクラのサービス/機能の概要 |
選択値・条件 |
---|---|---|---|---|
認証・ID管理 |
【認証】 |
マルチアカウント |
|
|
SSHキー |
Linux系の仮想サーバーにログインするためのSSHキーの発行/登録/インポート/削除操作が可能です。 |
|||
アクセスコントロール |
情報システムに対するアクセス時の許可を操作者の権利に応じて行う技術 |
IP許可制限 |
コントロールパネルやAPIのアクセスについて、特定のIPアドレスからのアクセスのみを許可する機能です。許可したIPアドレス以外からのアクセスを制限します。 |
|
OTP認証 |
||||
ファイアウォール |
ファイアウォールサービスは、プロトコル、ポート番号、Incoming/Outgoingでアクセス許可を制御する機能です。仮想サーバー、ルーター、拠点間VPNゲートウェイに設定可能です。 |
選択可能なプロトコルは クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)をご確認ください。 |
||
サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security) |
サードパーティ製のソリューションサービスです。ニフクラへ配備した仮想サーバーにオプションで導入可能です。区分の範囲では以下の機能があります。
本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。 |
|||
証跡管理 |
情報システムの信頼性/安全性/効率性/有効性の確保が事後に実証可能なよう、情報システムに対するアクセスを記録し、記録されたデータを管理する技術 |
ニフクラ API (ログ取得) |
ファイアウォールグループのアクセス拒否のログ取得、基本監視のログ取得などのAPIを提供しています。ログを取得できないサービス/機能や仮想リソースがあるため留意してください。 |
|
集中管理
|
情報システム全体のセキュリティ対策レベルを恒常的に把握/維持/向上を図ることを目的とした技術 |
ニフクラコントロールパネル/API |
コントロールパネルやAPIで、ニフクラ上の仮想リソースの一覧取得が可能です。 |
|
サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security) |
サードパーティ製のソリューションサービスです。ニフクラへ配備した仮想サーバーにオプションで導入可能です。区分の範囲では以下の機能があります。
|
|||
暗号化
|
秘匿すべき情報の表現を組み替えて第三者が参照したり利用したりできないようにする技術 |
ロードバランサー |
それぞれのロードバランサー(ロードバランサー(L4)、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2Vシリーズ))でhttpsの暗号化通信に対応しています。 |
|
拠点間VPNゲートウェイ |
オンプレミスなどの拠点とインターネットを経由してIPsecVPNで接続する機能です。 |
|||
インターネットVPN(H/W) |
オンプレミスなどの拠点とインターネットを経由してIPsecVPNで接続する機能です。 |
|||
リモートアクセスVPNゲートウェイ |
利用者端末とインターネット経由でSSL-VPNにて接続する機能です。 |
|||
不正プログラム対策 |
セキュリティの3要素(機密性・完全性・可用性)を脅かす悪意を持って作られたプログラムへの対策を目的とした技術 |
サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security) |
サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーへオプションで導入可能です。区分の範囲では以下の機能があります。
|
|
ウイルス・スパイウエア対策(ESET Server Security) |
サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーへオプションで導入可能です。セキュリティ機能として、以下の機能があります。
|
|||
IDS |
ネットワーク上を流れるパケットを常時監視し、不正アクセスを検知し通報するサービスをオプションで導入可能です。 |
セキュリティ対策では、利用者により実施するセキュリティ対策と、ニフクラ基盤側で実施する対策があります。本ドキュメントは利用者が実施する対策を記載します。
ニフクラサービス適用事例
ロードバランサー(L4)とWeb/APサーバー、ニフクラRDBを配備した事例から、ニフクラのサービス/機能の適用を検討する以下3つの適用シーンについて記載します。
適用シーン |
利用するサービス/機能 |
概要 |
---|---|---|
① 仮想リソース操作(配備、起動・停止等) |
コントロールパネル、API、マルチアカウント |
管理者以上の権限が付与されたアカウントで、仮想リソースを配備する事例を記載します。 |
② 仮想サーバーなど構築 |
拠点間VPNゲートウェイ、SSHキー、ファイアウォール、 Workload Security、ロードバランサー(L4)(https) |
仮想サーバーなどを構築する観点で事例を記載します。 |
③ Webサービス提供 |
Webサービスの観点で事例を記載します。 |
構成図補足
- ①仮想リソース操作(マルチアカウントを利用)
-
プライベートLAN作成・設定、ルーター作成・設定、ファイアウォール作成・設定、ロードバランサー(L4)作成・設定、ニフクラRDB作成・設定、 SSHキー作成、仮想サーバー作成・設定・起動停止、各種ログ取得等
- ②仮想サーバーなど構築
-
httpdサーバーなどのソフトウェア導入・設定、ニフクラRDBの設定、Workload Security導入・設定など
- ③Webサービス提供
-
Web利用者向け
①仮想リソース操作(配備、起動・停止等)
-
以下のようにマルチアカウントを利用することにより、仮想リソース操作のための権限を適切に管理する利用者管理運用が可能です。
-
一部マルチアカウントには対応していないサービスもあるため留意してください。
-
運用者権限・閲覧権限のユーザーには、許可する操作を定義したポリシーを追加できます。
項目
ニフクラID 管理者
設定可能な権限
マルチアカウント管理者権限
マルチアカウント運用者権限
マルチアカウント閲覧権限
アカウント作成
○
×
×
×
コントロールパネル・API操作
○
○
-
詳細は「 マルチアカウント権限比較表(エンジニアリングパーツ)」を参照
-
運用者権限・閲覧権限のユーザーには、許可する操作を定義したポリシーを追加できます
-
運用者権限・閲覧権限のユーザーには、許可する操作を定義したポリシーを追加できます
コントロールパネル閲覧
○
○
○
○
-
-
②仮想サーバーなどの構築
構成図補足
- ロードバランサー(L4)アクセス制御
-
アクセス元IPアドレス/ネットワーク帯(CIDR表記)の制限が可能です。
構築中は特定のアクセス元からのみ許可します。
仮想サーバーなどの構築観点のセキュリティ
配備する仮想サーバーなどのリソースは、ファイアウォールで制御をします。システム構築中は、不用意にアクセスされないよう、アクセス元を限定してください。
仮想サーバーには、IPsecVPNにより暗号化した経路で、SSHキーを使ってログインするようにしてください。
-
Trend Micro Cloud One - Workload Security
-
サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーへオプションで導入可能です。セキュリティ機能として以下の機能があります。
-
IDS/IPS
-
Web Reputation
-
変更監視
-
Firewall
-
ウイルス対策
-
ログ監視
-
-
本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。
本サービスを利用する際は、仮想サーバーにWorkload Securityのエージェントを導入して、仮想サーバーからTrend Micro社のCloud Oneの管理サーバーにhttps(443/tcp)でアクセスできるようにファイアウォールグループを設定します。
-
-
ファイアウォール
-
ファイアウォールサービスはプロトコル、ポート番号、Incoming/Outgoingで アクセス許可を制御する機能です。サーバー、ルーター、拠点間VPNゲートウェイに適用可能で、複数サーバーを同一ルールに所属させることが可能です。Outgoingでは設定無しの場合全て許可となります。
-
拠点間VPNゲートウェイ
構築中は、特定のアクセス元拠点からとのみ通信可能にする。 -
Web/APサーバー
DBサーバーへのDB用の通信ポートの送信を許可特定のアクセス元からssh (22/tcp)からの受信を許可 ※ロードバランサー(L4)からの通信は許可ルールの追加をせずとも許可されます。
-
-
-
DBファイアウォール
-
ニフクラRDB用のファイアウォールとしてDBファイアウォールの利用が可能です。Incomingの設定が可能です。
-
接続元種別としてCIDRか、IaaSで作成したファイアウォールグループの指定が可能です。
-
DBサーバー
Web/APサーバー用に作成したファイアウォールグループからの受信を許可
-
-
ファイアウォールとロードバランサー
-
ファイアウォールグループ設定例
※本設定例ではOUTルールは設定なしで記載しています。(デフォルトすべて許可)-
Web/APサーバー用ファイアウォールグループ設定例
- INルール設定
-
プロトコル
宛先ポート
接続元種別
IP/CIDR・グループ
備考
SSH
22
IP/CIDR
x.x.x.x
IPsec-VPN経由でログインする特定のアクセス元
-
拠点間VPNゲートウェイ用ファイアウォールグループ設定例
- INルール設定
-
プロトコル
宛先ポート
接続元種別
IP/CIDR・グループ
備考
ANY
-
グループ
Web/AP用
Web/AP用ファイアウォールグループを指定し、Web/APサーバーからの通信を許可
ESP
-
IP/CIDR
y.y.y.y
拠点側VPN装置からの通信を許可
UDP
500
IP/CIDR
UDP
4500
IP/CIDR
-
-
DBファイアウォール設定例
-
DBファイアウォール設定例
接続元種別
IPアドレス・グループ
備考
グループ
Web/AP用
Web/AP用ファイアウォールグループを指定し、Web/APサーバーからの通信を許可
-
-
ロードバランサー(L4)アクセス制御設定例
-
ロードバランサー(L4)アクセス制御設定例
※本設定例では「許可するIPを指定する」で記載しています。(拒否するIPを指定も可能)アクセス元IPアドレス/CIDR
備考
(構築時) x.x.x.x
(完了時)設定なし構築時では特定のIPアドレスからのみ通信を許可
構築完了後、設定を削除し、不特定のアクセス元からの通信を許可
-
③Webサービス提供
構成図補足
- ロードバランサー(L4)アクセス制御
-
構築完了後は、設定を削除し不特定のアクセス元からの通信を許可
- 仮想サーバーのセキュリティ
-
-
仮想サーバーにログインするにはSSHキーを利用します。SSHキーは紛失しないよう、厳重に管理してください。
-
仮想サーバーに割り当てるディスクは、ニフクラでは暗号化していません。必要であれば、利用者側で独自に実装してください。
-
OSのパッチを適用できるようなサービスは提供していません。必要に応じて利用者側で独自に実装してください。OSパッチを含め、システム全体のインシデント管理や脆弱性管理、構成管理は、利用者側で実施してください。
-
仮想サーバーへの不正アクセスログを取得する場合は、iptablesなどのOS標準のツールの導入や、Workload Securityの導入を検討してください。
-
ログの集約や集約したログの集中管理などをしたい場合は、監視ツールの導入を検討してください。
-
- ニフクラRDBで提供するDBサーバーのセキュリティ
-
ニフクラRDBに割り当てるディスクは、ニフクラでは暗号化していません。
データベースの行レベルでの暗号化が必要な場合は、利用者側にて独自に実装(利用者側で暗号化したデータを格納など)するか、独自にデータベース自体を導入してください。
Webサービスの提供観点のセキュリティ
-
ロードバランサー(L4)はhttps通信が可能です。
-
ロードバランサー(L4)は、アクセスログを取得できません。
-
仮想サーバーのセキュリティを強化する場合は、Workload Securityなどの導入を検討してください。
適用の指針
セキュリティは、ニフクラの機能だけでは完結しません。利用者システム上のセキュリティ対策と組み合わせて、ニフクラのセキュリティ関連のサービス/機能を適用し、適切にシステムを管理してください。
区分検討対象 |
認証・ID管理 |
アクセスコントロール |
証跡管理 |
集中管理 |
暗号化 |
不正プログラム対策 |
適用シーン |
|
---|---|---|---|---|---|---|---|---|
アカウント |
機能/サービス |
|
|
|
|
|
① |
|
利用者 |
|
|
|
|
|
|||
ネットワーク |
機能/サービス |
|
|
|
|
② |
||
利用者 |
|
|
|
|
|
|||
仮想サーバー |
機能/サービス |
|
|
|||||
利用者 |
|
|
|
|
|
|
||
ニフクラRDB |
機能/サービス |
- |
|
|
||||
利用者 |
|
|
|
|
||||
Webサービス |
機能/サービス |
|
|
|
③ |
|||
利用者 |
|
|
|
|
カテゴリ項目ごとの作業と留意事項
カテゴリ項目ごとの作業概要
カテゴリ項目 |
作業 |
ニフクラでの作業概要 |
---|---|---|
セキュリティ |
セキュリティの方式設計 |
システム要件で必要なセキュリティ対策について方式を具体化し、セキュリティ機能の方式を設計してください |
セキュリティシステム構成設計 |
ファイアウォール、ID/パスワードなどの構成の設計や管理に必要な規約については、オンプレミスと同様に設計してください。 |
|
セキュリティ運用設計(定常時) |
システム全体の運用・保守設計に基づいて、セキュリティの定常時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスと同様です。「ニフクラ設計ガイド(運用・保守設計編) 運用・保守」を参照してください。 |
|
セキュリティ運用設計(障害時) |
システム全体の運用・保守設計に基づいて、セキュリティの障害時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスと同様です。「ニフクラ設計ガイド(運用・保守設計編) 運用・保守」を参照してください。 |
認証・ID管理に関する留意事項
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
項目
留意事項
内容
選択値・条件
利用者管理
ユーザーID区分
ニフクラ上でシステムを構築する場合、ニフクラでは以下の①~③等のユーザーID区分があります。また、利用者側で④~⑦等のユーザーID区分が想定されます。
④~⑦については、それぞれ、ユーザーIDの作成/変更/削除時のルールを検討してください。ほかはシステム上必須となりますので削除できません。-
ニフクラの仕組みで発行するユーザーID
①ニフクラ利用者がニフクラを利用するために発行されるニフクラのユーザーID (ニフクラID)
②ニフクラ利用者がニフクラで仮想サーバーを配備した際に作成されるOSのユーザーID
③ニフクラ利用者がニフクラでニフクラRDBやニフクラNASを配備した際に作成されるマスターユーザーID -
利用者が任意に作成するユーザーID
④ニフクラ利用者がマルチアカウント機能で任意に作成するニフクラのユーザーID
⑤ニフクラ利用者が仮想サーバー上で任意に作成するOSのユーザーID
⑥ニフクラ利用者がニフクラRDB上で任意に作成するDBのユーザーID
⑦ニフクラ利用者がシステム上でWebサービスを提供する際に作成するWebサービス用のユーザーID
ニフクラIDのパスワード
ニフクラIDは自動付与となります。
パスワード文字列条件等は ニフクラ カスタマーサポート パスワードについてをご確認ください。
マルチアカウント
アカウント名の使用可能な文字クラウド操作方法ガイド(アカウントメニュー:マルチアカウント 作成)のアカウント名とパスワードについてのご注意事項をご確認ください。
マルチアカウント
アカウント名の入力制限クラウド操作方法ガイド(アカウントメニュー:マルチアカウント 作成)のアカウント名とパスワードについてのご注意事項をご確認ください。
マルチアカウント
アカウント名に使用できない組み合わせクラウド操作方法ガイド(アカウントメニュー:マルチアカウント 作成)のアカウント名とパスワードについてのご注意事項をご確認ください。
マルチアカウント
パスワードの使用可能な文字クラウド操作方法ガイド(アカウントメニュー:マルチアカウント 作成)のアカウント名とパスワードについてのご注意事項をご確認ください。
マルチアカウント
パスワードの入力制限クラウド操作方法ガイド(アカウントメニュー:マルチアカウント 作成)のアカウント名とパスワードについてのご注意事項をご確認ください。
-
コントロールパネル/APIの認証に関する留意事項
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
-
コントロールパネル/APIの認証に関する留意事項
ニフクラのサービス/機能
留意事項
内容
選択値・条件
コントロールパネル/APIの認証
仮想サーバー作成などをするニフクラコントロールパネルは、OTP認証、ユーザーID/パスワードでログインします。
APIの認証
APIの認証にはAccesskey (公開キー)とSecretAccessKey (秘密キー)のペアからなる認証キーが必要となります。再発行も可能です。
-
SecretAccessKeyが外部に漏れると、第三者からAPIを実行される可能性があります。取り扱いには十分留意してください。
-
認証キーの「新規作成」を行うと、すでに登録されている認証キーは使用できなくなりますので、留意してください。
認証キーは1アカウントにつき1件のみ登録可能
-
-
仮想サーバーの利用者管理に関する留意事項
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
ニフクラのサービス/機能
留意事項
内容
選択値・条件
仮想サーバーの利用者管理
仮想サーバー作成時のユーザーID
ニフクラが提供する各種イメージからの仮想サーバー作成時には、各OSによってログイン方法が異なります。[59]
-
CentOS :サーバー作成時に作成(指定)したSSHキーによりログイン
-
Red Hat Enterprise Linux :サーバー作成時に作成(指定)したSSHキーによりログイン
-
Ubuntu :サーバー作成時に作成(指定)したSSHキーによりログイン
-
Windows :サーバー作成時に指定した管理者アカウント、パスワードによりログイン
Linux系サーバーには以下注意事項があります。
- 注意事項
-
ニフクラのコンソール機能を利用する場合にはrootパスワードが必要となります。コンソール接続が必要な場合は事前にSSHでログインしrootパスワードを設定しておくか、コンソール接続時にシングルユーザーモードにてログインし、rootパスワードを設定してください。
59. 作成後のログイン方法は利用者自身で変更可能です。要件によって変更してください。rootパスワードはデフォルトで設定なし
Windows仮想サーバーのパスワード
Windows仮想サーバーを新規に作成する際には管理者アカウント/管理者パスワードを指定します。
設定可能な文字列については クラウド技術仕様/制限値(コンピューティング:サーバー)をご確認ください。
Windows仮想サーバーへのログイン
Windows仮想サーバーへのログインは、リモートデスクトップ接続、コンソール接続でサーバー作成時に指定した管理者アカウント/管理者パスワードでログイン可能です。
-
SSHに関する留意事項
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
ニフクラのサービス/機能
留意事項
内容
選択値・条件
仮想サーバーの利用者管理
SSHキーの作成
仮想サーバーにログインするためのSSHキーは、コントロールパネルまたはAPIで作成します。
キーペアには以下の注意事項があります。設定可能な文字列は クラウド技術仕様/制限値(コンピューティング:SSHキー)でご確認ください。
SSHキーの有効範囲
SSHキーは、リージョン単位で作成します。
同一の内容のSSHキーを使いたい場合は、SSH公開鍵をインポートすることでサーバーの作成とログインに利用できます。SSHキーの管理
仮想サーバーへログインするために作成したSSHキーは、厳重に保管/管理してください。
SSHキーを紛失すると、再発行できません。そのため、新たにSSHキーを作成して、仮想サーバーを再度作成するか、コンソール機能でログインし、新たに公開鍵/秘密鍵の設定を実施してください。SSHキーが漏えいすると、そのキーペアで仮想サーバーへ不正にアクセスされる可能性があります。
パケットへ対するアクセス制御に関する留意事項
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
ニフクラのサービス/機能
留意事項
内容
パケットに対するアクセス制御
ファイアウォール
ニフクラでは、パケットに対するアクセス制御の機能として、ファイアウォールを提供しています。
アクセス制御の徹底依頼
仮想サーバーなどを配備する前に、必ず、ファイアウォールでアクセス制御を設定してください。
適切なアクセス制御を設定しないで仮想サーバーを配備した場合、不正なアクセスを受ける可能性があります。
ファイアウォールグループの概要
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
ニフクラのサービス/機能
留意事項
内容
選択値・条件
ファイアウォールグループ
ファイアウォールグループの特徴
ファイアウォールグループは、その名の通りセキュリティのルールをグルーピングできる機能です。従来の iptables のようなパケットフィルタリングと比べて、ファイアウォールグループを設定して複数の仮想サーバーなどをまとめてアクセス制御できるため、
-
設定/変更が容易
-
管理が容易
-
複雑な構成にも簡易に対応可能
といった特徴があります。
ファイアウォールグループの名称は任意に設定可能です。設定可能なファイアウォールグループ名は クラウド技術仕様/制限値(コンピューティング:ファイアウォール:グループ)をご確認ください。
ファイアウォールグループのルール
ファイアウォール ルールの設定項目、仕様の詳細は クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)をご確認ください。
設定対象のリソースは クラウド技術仕様/制限値(コンピューティング:ファイアウォール:グループ)をご確認ください。
ファイアウォールグループを作成した際のデフォルトルール
ファイアウォールグループを作成した際に、デフォルト適用されるルールがあります。詳細は クラウド技術仕様/制限値(コンピューティング:ファイアウォール:グループ)をご確認ください。
ルールの適用順序
パケットは、に適用される順番は クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)のルールの適用順序についてをご確認ください。
ファイアウォールグループの有効範囲
クラウド技術仕様/制限値(コンピューティング:ファイアウォール:グループ)のファイアウォール適用の範囲をご確認ください。
-
ファイアウォールグループの設定方法
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
ニフクラのサービス/機能
留意事項
内容
選択値・条件
ファイアウォールグループ
ファイアウォールグループのルールでロードバランサーの設定方法
-
マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2Vシリーズ)(以降IPCOM VE2Vシリーズと記載)はプライベートLANに接続可能です。
-
その際のIPアドレスはプライベートLAN環境下では、任意のものを設定可能です。
-
-
仮想サーバーに対するマルチロードバランサー、L7ロードバランサー、IPCOM VE2Vシリーズからの通信に関しては、設定したIPアドレスでのアクセス制御をファイアウォールのルールで実施してください。
-
ロードバランサー(L4)に付与されたIPアドレスに関してはファイアウォールルールの設定は不要です。ニフクラのファイアウォールではロードバランサー(L4)からの通信をすべて許可しています。
-
-
ロードバランサーの各サービス自体へのアクセス制御は以下で設定してください。
-
ロードバランサー(L4):ロードバランサー(L4)用のアクセス制御機能を利用してください。
-
マルチロードバランサー:マルチロードバランサーへのアクセス制御はできないため、仮想サーバー側で実施してください。
-
L7ロードバランサー(Ivanti Virtual Traffic Manager):通常の仮想サーバーと同様、ファイアウォール機能を利用可能です。
-
IPCOM VE2Vシリーズ:アクセス制御機能または通常の仮想サーバーと同様、ファイアウォール機能を利用可能です。
-
ファイアウォールグループのルールでニフクラRDB/ニフクラNASの設定方法
-
ニフクラRDB/ニフクラNASはプライベートLANに接続可能です。
-
その際のIPアドレスは任意のものを設定可能です。
-
-
ニフクラRDB/ニフクラNASからの通信に関しては設定したIPアドレスでのアクセス制御をファイアウォールのルールで実施してください。
-
ニフクラRDB/ニフクラNASへのアクセス制御は以下で設定してください。
ファイアウォールグループの制限
ファイアウォールグループには制限があります。
設定可能数、ログの保存件数等、仕様の詳細は以下の各技術仕様/制限値のページをご確認ください。
クラウド技術仕様/制限値(コンピューティング:ファイアウォール:グループ)
クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)
クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ログ) -
ファイアウォールグループの挙動
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
ニフクラのサービス/機能
留意事項
内容
ファイアウォールグループ
TCPに対する動作について
クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)のフィルタの動作仕様をご確認ください。
ハーフオープン発生時の挙動について
クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)のフィルタの動作仕様をご確認ください。
ハーフクローズ発生時の挙動について
クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)のフィルタの動作仕様をご確認ください。
非対称な通信に対する挙動について
クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)のフィルタの動作仕様をご確認ください。
ファイアウォールグループその他の留意事項
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
ニフクラのサービス/機能
留意事項
内容
選択値・条件
ファイアウォールグループ
ファイアウォールグループのルールでIPアドレスの設定方法
IPアドレスを設定する際は、一般的なCIDR形式で設定します。
x.x.x.x/32 という形式だと、IPアドレス x.x.x.x をもつ特定のサーバーとなります。
x.x.x.x/24 という形式だと、IPアドレス x.x.x.0~x.x.x.255 をもつサブネットとなります。IPアドレス重複防止ルールについて
共通ネットワークに接続されるサーバーへは、IPアドレスの重複を防止するファイアウォールルールが自動的に適用されます。(デフォルトルール同様、設定の無効化はできません。)
コネクションのタイムアウトについて
コネクションは無通信状態が続くとタイムアウトいたします。タイムアウト値はファイアウォール上のTCP状態によって、異なります。
TCP状態に応じたタイムアウト値は クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)をご確認ください。
ALGとして動作するプロトコルについて
特定のプロトコルであると判断された場合、ネットワークプロトコルを解釈し制御をします。
特定のポート/プロトコルは クラウド技術仕様/制限値(コンピューティング:ファイアウォール:ルール)をご確認ください。
認証管理に関する留意事項
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
-
ログ取得に関する留意事項
ニフクラのサービス/機能
留意事項
内容
選択値・条件
ログ取得
ニフクラの機能で取得可能なログ
ニフクラの機能で主に利用する機能での取得可能なログは以下です。
①コントロールパネル/APIの操作ログ(アクティビティログ)
②ファイアウォールのアクセス拒否ログ
③ニフクラRDBのイベントログ
④拠点間VPNゲートウェイのログ
⑤ESS 配信ログ
そのほかに関しては各機能の詳細を確認してください。ニフクラの機能にて取得できないログ
主に利用されるニフクラの機能のうち、ログが取得できないものがあります。内容に関しては各機能の詳細を確認してください。
以下は取得不可
-
ロードバランサー(L4)のアクセス制御ログ
-
コントロールパネル操作以外の仮想サーバー内のログ
-
オブジェクトストレージのログ
ログ収集、ログ集約
利用者側で必要に応じてログ集約可能なツールを導入してください。
ログ収集、ログ集約機能は未提供
-
-
集中管理に関する留意事項
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
ニフクラのサービス/機能
留意事項
内容
選択値・条件
インシデント管理
セキュリティのインシデント管理
サードパーティ製のソリューションサービスの Workload Security を検討してください。
ニフクラの基本機能ではセキュリティのインシデント管理の機能なし
サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security)
サードパーティ製のソリューションサービスです。ニフクラへ配備した仮想サーバーにオプションで導入可能です。セキュリティ機能として、以下の機能があります。
-
IDS/IPS
-
Web Reputation
-
Firewall
-
変更監視
-
ウイルス対策
-
ログ監視
本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。
ニフクラの監視サービス
ニフクラの基本監視サービスで監視できる内容は、主に仮想リソースの使用状況です。
基本監視サービスではセキュリティインシデントの監視はできない
構成管理
構成情報の提供
ニフクラでは、コントロールパネルやAPIにより、仮想リソースの情報を一覧取得できます。
構成管理
コントロールパネルやAPIにより仮想リソースの最新の情報を取得して、必要に応じて利用者側でドキュメント化するなど、管理方式を設計してください。
脆弱性管理
脆弱性の情報収集と対応判断
ニフクラからは、OSやミドルウェアの脆弱性情報は提供しません。ただし、ニフクラを利用するにあたり影響が大きいと考えられる脆弱性へ関しては、別途案内する場合があります。原則、利用者側で必要に応じて情報を取得して、脆弱性に対する対応を検討してください。
脆弱性に対する対応(OS)
OSの脆弱性対策で使えるOSパッチ用のサービスは提供なし
脆弱性に対する対応(その他)
ミドルウェアなどのパッチは、利用者側で必要に応じて情報を取得して適用してください。
ニフクラRDBのパッチ適用
-
暗号化に関する留意事項
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
-
暗号化に関する留意事項
ニフクラのサービス/機能
留意事項
内容
選択値・条件
暗号化
コントロールパネル/APIの暗号化
ニフクラコントロールパネル、APIエンドポイントのいずれも、httpsで提供しています。
ロードバランサー
各ロードバランサー(ロードバランサー(L4)、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2Vシリーズ))は、httpsを利用できます。
オブジェクトストレージサービス
SSL(https)のみ対応しています。
通信経路の暗号化
ニフクラでは、通信経路の暗号化で、IPsecVPN/SSL-VPN が可能な拠点間VPNゲートウェイ、インターネットVPN(H/W)、リモートアクセスVPNゲートウェイを提供しています。詳細はネットワークの章を参照してください。
-
不正プログラム対策に関する留意事項
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
-
不正プログラム対策に関する留意事項
ニフクラのサービス/機能
留意事項
内容
選択値・条件
不正プログラム対策
-サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security)概要
サードパーティ製のソリューションサービスです。ニフクラへ配備した仮想サーバーにオプションで導入可能です。セキュリティ機能として、以下の機能があります。
-
IDS/IPS
-
Web Reputation
-
Firewall
-
変更監視
-
ウイルス対策
-
ログ監視
本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。
IPS/IDS (侵入防御)
ネットワーク経由の脆弱性に対する攻撃、SQLインジェクション攻撃、XSS攻撃、及びその他のWebアプリケーションの脆弱性からコンピューターを保護します。
Firewall
ネットワークレイヤー2~4 までをカバーし通信を制御する、ホスト型ファイアウォールを提供します。
ウイルス対策
不正プログラム、ウイルス、トロイの木馬、スパイウェアなどのファイルベースの脅威からリアルタイムに保護する機能と、手動またはスケジュールで保護する機能を提供します。
Web Reputation
不正なURLへのアクセスをブロックすることによって、Webの脅威から保護します。
変更監視
コンピューター上の特定の領域に関する変更を監視します。
ログ監視
OS 及びアプリケーションで生成されたログやイベントの中身を監視します。ログの中身からシステム上のポリシー違反・アプリの不具合、不正侵入などに関するイベントを検知します。
他アンチウイルス製品との併用
「Workload Security」と他アンチウイルス製品は同一サーバー上で同時に利用できません。
DDoS対応
DDoSなどネットワーク型の攻撃には対応できません。個別にDDoS対策製品の導入を検討してください。
Workload Security の通信
Cloud Oneの管理サーバーと、ニフクラ上の保護対象サーバーとの通信は、以下のいずれかを選択できます。
①Workload Securityの保護対象サーバーとCloud Oneの管理サーバー間での双方向の通信
②Workload Securityの保護対象サーバーからCloud Oneの管理サーバーに対する一方向の通信
①②のどちらを選択しても機能差はありません。
①を選択した場合、Cloud Oneの管理サーバーから保護対象のサーバーへの通信が発生します。また、管理サーバーから保護対象のサーバーへアクセスが発生します。
②を選択した場合、保護対象サーバーから管理サーバーに対して通信します。
以下ドキュメントも参照してください。必要な通信、ポート番号については クラウド技術仕様/制限値(サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security)全般)をご確認ください。
Proxy環境での利用
Workload SecurityをProxy環境で使う場合は、以下を確認ください。
不正プログラム対策 - ウイルス・スパイウエア対策(ESET Server Security)
概要
サードパーティ製のソリューションサービスです。ニフクラへ配備した仮想サーバーにオプションで導入可能です。セキュリティ機能として、以下の機能があります。
-
ウイルス・スパイウェア対策
-
サーバー保護機能
-
HIPS(ホスト型IPS)
-
Webアクセス保護など
本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。
ウイルス・スパイウェア対策
軽快なスキャン動作と高い検出率を実現したESET社開発のThreatSenseテクノロジーにより、メールやインターネットをはじめとした、あらゆる経路から侵入するウイルス・スパイウェアなどのマルウェアからサーバーを守ります。
サーバー保護機能
Webアクセス保護
悪意のあるコンテンツが含まれていることがわかっているWebページへのアクセスをブロックします。
その他のすべてのWebページは読み込み時、ThreatSenseスキャンによって検査され、悪意のあるコンテンツの検出時にブロックされます。HIPS(ホスト型IPS)
OSの内部で発生している事象、各アプリのアクション等を監視する機能で、脆弱性をついたゼロデイ攻撃や、ターゲット型の攻撃に対しても保護する機能を提供します。
不正プログラム対策 -IDS
概要
ネットワーク上を流れるパケットを常時監視し、不正アクセスを検知し通報をするサービスをオプションで導入可能です。ニフクラ上で構築されたサーバーへの様々な不正アクセスや、サーバーに仕掛けられた悪意のあるプログラム(トロイの木馬、バックドア等)の発する情報を常時監視し、ファイアウォールで防ぐことのできない攻撃も検知可能です。
連絡方法
「メールのみ」と「メールと電話」から選択可能です。
検知基準
デフォルトポリシー(Windows用ポリシー、Linux用ポリシー)、カスタムポリシーから選択可能です。
-
-
方式詳細と参考ドキュメント
詳細な方式例としてCDP (クラウドデザインパターン)や、システム構成の参考事例、参考ドキュメントを記載します。
設計項目 |
ドキュメント掲載先 |
ドキュメント名または本ドキュメント内のタイトル名 |
内容 |
---|---|---|---|
アクセスコントロール関連 |
CDP |
インターネットから参照できるように仮想サーバーを配備するパターンです。仮想サーバーをインターネットからアクセスできるようにするための、もっとも基本的なファイアウォールグループの設定を記載します。 |
|
CDP |
フラットな構成のネットワークで、ファイアウォールグループでセキュリティを高める例を記載します。 |
||
暗号化関連 |
CDP |
Webサービスで、性能、信頼性を考慮した構成を実現したい場合のパターンです。 |
|
本ドキュメント |
拠点間VPNゲートウェイ接続事例 |
IPsecVPN/SSL-VPN接続の接続事例を記載します。拠点間VPNゲートウェイ、インターネットVPN(H/W)、リモートアクセスVPNゲートウェイの接続事例を記載しています。 |
|
CDP |
IPsecVPN接続を記載したパターンです。 |
||
製品仕様やFAQがまとめて掲載されています。 |
|||
Trend Micro Cloud One Documentation |
5.システム構成・環境
システム構成・環境に関する作業概要
カテゴリ項目ごとの作業概要
カテゴリ項目 |
作業 |
ニフクラでの作業概要 |
備考 |
---|---|---|---|
システム構成・環境 |
システム構成設計 |
システム構成を設計する際に、各種設定の制限値を確認してください。 |
オンプレミスと同様に設計してください。 |
システム処理関連図設計 |
|||
システム構成・環境規約の検討 |
仮想環境のシステム構成を設計する際に、仮想リソースに付ける名称の規約を設計してください。 |
||
ハードウェア構成設計 |
オンプレミスで行うハードウェア構成設計と同じように、ニフクラの仮想環境構成を設計してください。 |
||
ハードウェア構成一覧の作成 |
|||
ソフトウェア構成設計 |
仮想サーバー上に導入するソフトウェアは、利用者の責任範囲になります。利用者側で、ニフクラ上で動作可能か、ライセンス数はいくつ必要か等、確認してください。 |
||
ソフトウェア構成一覧の作成 |
オンプレミスと同様に一覧を作成してください。 |
||
ハードウェア・ソフトウェア導入計画の具体化 |
オンプレミスと同様に、仮想リソースやソフトウェアの導入計画を検討し、スケジュールや役割分担、体制について具体化してください。 |
||
ハードウェア・ソフトウェアの手配・管理 |
オンプレミスと同様に、仮想リソースやソフトウェアを手配し、管理してください。 |
ソフトウェア構成設計(OS)
- 作業概要
-
仮想サーバー上に導入するソフトウェアは、利用者の責任範囲になります。利用者側で、ニフクラ上で動作可能か、ライセンス数はいくつ必要か等確認してください。
留意事項区分
留意事項
内容
選択値・条件
Microsoft
VMインポート時OS以外のミドルウェア等のSPLA提供は非対応
Red Hat Enterprise Linux
サブスクリプション提供
Red Hat Cloud Access
VMインポートにて持ち込んだサーバーはニフクラのサブスクリプション利用不可
その他OSライセンス
利用者にて確認
その他MWライセンス
利用者にて確認
その他のMWの持込などもニフクラでは制限していません。持込可否、動作要件の購入元への確認、事前検証等をし必要に応じて利用してください。
ソフトウェア構成設計(ミドルウェア)
- 作業概要
-
仮想サーバー上に導入するソフトウェアは、利用者の責任範囲になります。利用者側で、ニフクラ上で動作可能か、ライセンス数はいくつ必要か等確認してください。
留意事項区分
留意事項
内容
Oracle
ニフクラOVMを利用
Oracle Databaseに関しては、ニフクラOVMを利用してOracle Databaseライセンスを持ち込むことができる仮想サーバーを所定の方法で作成し、そのサーバーにOracle Databaseをインストールして利用できます。
IBM (MQ、ノーツ等)
基本的に利用不可
IBM社の定めるパブリッククラウド(EPC)に関してIBM製品の導入が可能になる場合があります。 詳細はIBM社に確認してください。
参考: パブリック・クラウド環境向けのソフトウェア・アクセス・カタログ・ライセンスMicrosoft
License Mobility
ソフトウェアアシュアランスによるLicense Mobilityへ対応しているソフトウェアは、適切な持ち込み対応をすることで、ニフクラに持ち込み可能です。
Office製品の持ち込み
ニフクラのパブリックIaaS環境にはボリュームライセンスなどでのOffice製品は持ち込み不可能です。SPLAライセンスで提供しているOfficeを利用してください。
Hyper-Vの利用不可
ニフクラ環境では再仮想化を禁止事項としているため利用不可となります。
参考ドキュメント
参考ドキュメントを記載します。
区分 |
ドキュメント掲載先 |
本ドキュメント内のページタイトル |
内容 |
---|---|---|---|
ソフトウェア構成関連 |
Microsoft社のミドルウェアのLicense Mobility |
Microsoft社 |
Microsoft社のミドルウェアについては、ソフトウェアアシュアランスによるLicense Mobilityへ対応するミドルウェアは、ニフクラ上にライセンス持込みが可能です。 |