- はじめに
-
ニフクラネットワーク構成
- 最小構成(グローバルネットワーク、共通プライベートLAN)①
- 最小構成(グローバルネットワーク、共通プライベートLAN)②
- 多階層構成①:グローバルネットワーク、1仮想ルーター、2プライベートLAN
- 多階層構成②:グローバルネットワーク、1仮想ルーター、3プライベートLAN
- 複数ニフクラID 構成
- 複数ゾーン 構成①
- 複数ゾーン 構成②
- 複数リージョン構成
- オブジェクトストレージサービス構成:グローバルネットワーク経由
- オブジェクトストレージサービス構成:仮想ルーター経由
- 負荷分散構成(外部)
- 負荷分散構成(内部①):実現可能構成
- 負荷分散構成(内部①):実現不可能構成
- 負荷分散構成(内部②)
- 負荷分散構成(複数ゾーン)
- マルチIPアドレス構成(マルチサイト)
- ニフクラネットワーク経路設定
- 外部通信構成
はじめに
-
本ドキュメントの目的
-
ニフクラのネットワーク構成について、知識習得を目的としています。
-
-
本ドキュメントの読者
-
ニフクラを利用するシステムの要件定義をされる方
-
-
前提知識
-
ネットワーク関する基本的な知識
-
セキュリティに関する基本的な知識
-
ニフクラの機能に関する基本的な知識
-
-
ニフクラサービスの変更は最新のドキュメントを参照してください。
ニフクラネットワーク構成
最小構成(グローバルネットワーク、共通プライベートLAN)①
構成概要
-
本構成図のリソースを利用して構成すると、インターネット⇔仮想サーバー間で通信が可能です。
-
ファイアウォールグループによる通信制御が可能です。詳細はファイアウォール・ルールを確認してください。
留意事項
-
仮想サーバー配備時には、グローバルネットワークとプライベートネットワークの利用が可能です。
-
グローバルネットワーク利用時には、ニフクラからDHCPでIPアドレスが割り当てられます。サーバーに払い出されるグローバルIPアドレス帯はニフクラホームページで公開されています。
-
プライベートネットワークでは共通プライベートネットワークか、別途作成したプライベートLANを選択可能です。
-
DHCPによりグローバルIPアドレスを付与する際、デフォルトゲートウェイも付与されるため、利用者でルーティング設定などを行うことなくインターネットとの通信が可能です。
-
ファイアウォールグループでアクセス制御を実施しない場合、不正なアクセスを受ける可能性があります。ファイアウォールグループでシステム要件に合わせて、適切なアクセス制御を実施してください。
-
ファイアウォールグループは各リソースに1つのみ適用が可能です。グローバルネットワーク側、プライベート側ともに、1つのファイアウォールグループでアクセスを制御します。
-
ニフクラ上で往路と復路で異なる経路を通過する通信をした場合、ファイアウォールは正しく状態を更新できません。
-
以下の構成の場合、動作の保証はできません。
-
送信元とは別のサーバーへ折り返すような非対称な通信。(例:ニフクラ上のサーバーでのDSR:Direct Server Return)
-
パケット受信したインターフェースとは別のインターフェースで折り返すような通信。 (例:ニフクラ上のサーバーでのRPF:Reverse Path Forwarding)
-
ファイアウォール作成時点のデフォルトルール
ニフクラでは利便性を向上させるためにデフォルトルールを設定する仕様にしています。詳細はファイアウォール・デフォルトルールを確認してください。
最小構成(グローバルネットワーク、共通プライベートLAN)②
構成概要
以下のリソースを使用して構成すると、インターネットからのアクセスはWeb/APサーバーのみ、DBサーバーへのアクセスはWeb/APサーバーのみに限定が可能です。
留意事項
-
本構成では直接DBサーバーからインターネット通信は不可能となります。
インターネットへのアクセスが必要な場合はグローバルIPアドレスを付与して、ファイアウォールグループでアクセス制御を実施するか、別途プロキシサーバーを構築する等を検討してください。 -
DBサーバーへインターネットから接続できないため、メンテナンスなどでの経路をどうするか検討してください。(コンソールを利用する、拠点間VPNゲートウェイやプライベート接続サービス※1を利用する等)
-
Web/APサーバー、DBサーバーは同一のネットワーク帯となるため、サーバー間通信は別途利用者にてルーティング設定することなく通信可能です。
※ 本ドキュメントでは、「ダイレクトポート」、「物理ポート」、「プライベートアクセス」の総称を「プライベート接続サービス」と表記します。「プライベート接続サービス」は、ニフクラ上での正式な呼称ではないため注意してください。
多階層構成①:グローバルネットワーク、1仮想ルーター、2プライベートLAN
構成概要
以下のリソースを使用して構成すると、インターネットからのアクセスはWeb/APサーバーのみ、DBサーバーへのアクセスはWeb/APサーバーのみに限定が可能です。
留意事項
-
本構成では直接DBサーバーからインターネット通信は不可能となります。
インターネットへのアクセスが必要な場合はグローバルIPアドレスを付与して、ファイアウォールグループでアクセス制御を実施するか、別途プロキシサーバーを構築する等を検討してください。 -
DBサーバーへインターネットから接続できないため、メンテナンスなどでの経路をどうするか検討してください。(コンソールを利用する、拠点間VPNゲートウェイやプライベート接続サービスを利用する等)
-
プライベートLAN①、②では指定するネットワーク帯が重複しないようにしてください。
-
Web/APサーバーからDBサーバーへの通信、DBサーバーからWeb/APサーバーへの戻りの通信をするために、それぞれの仮想サーバーにルーティングの設定が必要です。
多階層構成②:グローバルネットワーク、1仮想ルーター、3プライベートLAN
構成概要
以下のリソースを使用して構成すると、監視やバックアップなどサービス以外の管理用途LANを利用するなど、オンプレミスのような構成の実現が可能です。
留意事項
-
本構成ではWeb/AP、DBで利用するサービス用のLAN以外に、バックアップ、監視、ログ収集など、管理用のLANを別途、利用する構成となっています。
-
各仮想サーバーで追加NICを利用して新たなプライベートLANへの接続を追加し、オンプレミスでのシステム構成をそのまま維持したい場合などに有用です。
-
管理用のプライベートLANを別途構築しても、サービス用のプライベートLANと別に帯域を確保できるわけではないため留意してください。物理的な帯域は他ユーザーと共有になります。
複数ニフクラID 構成
構成概要
異なるニフクラIDのプライベートLAN間をインターネット経由ではなくプライベートブリッジを利用してプライベートでの通信が可能です。
留意事項
-
プライベートブリッジ・注意事項に留意してください。
複数ゾーン 構成①
構成概要
複数ゾーンを提供しているリージョン内の異なるゾーン間(同一ゾーン内でも可)をインターネット経由ではなく、プライベートブリッジを利用してプライベートLAN間をL2で接続して、プライベートでの通信が可能です。
留意事項
-
プライベートブリッジ・注意事項に留意してください。
複数ゾーン 構成②
ゾーン間の通信制御
-
ファイアウォール機能を利用してアクセス制御が可能です。
-
同一ゾーン内であれば同一のファイアウォールグループに所属させることが可能です。(同一のファイアウォールグループに所属するリソースであればルールにかかわらず通信を許可します。)
-
異なるゾーン間では同一のファイアウォールグループを利用できません。そのためそれぞれのゾーンで適切にファイアウォールグループの設定をしてください。
-
複数リージョン構成
構成概要
-
異なるリージョン間でセキュアに通信をしたい場合は、以下の方法等があります。
-
プライベートブリッジを利用する。
-
拠点間VPNゲートウェイ/インターネットVPN(H/W)を利用してインターネット越しにIPsecVPNで接続する。
-
プライベート接続サービスを利用する。
-
留意事項
-
プライベート接続サービス、その他ネットワークを接続するサービスでは組み合わせに留意が必要な構成があります。詳細はプライベートブリッジ・制限事項を確認してください。
オブジェクトストレージサービス構成:グローバルネットワーク経由
同一リージョンのオブジェクトストレージサービスへの通信
グローバルネットワーク経由でオブジェクトストレージサービスを利用します。
留意事項
-
オブジェクトストレージサービス・通信について留意してください。
オブジェクトストレージサービス構成:仮想ルーター経由
セキュアにオブジェクトストレージサービスを利用
プライベートLANからオブジェクトストレージサービスを利用します。
留意事項
-
オブジェクトストレージサービス・通信について留意してください。
負荷分散構成(外部)
構成概要
-
インターネットからの通信を負荷分散するには、ロードバランサー(L4)、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2Vシリーズ)を利用して実現が可能です。本例ではロードバランサー(L4)について記載します。
-
インターネットからのアクセスをロードバランサーから、グローバルネットワークを経由して対象のサーバーへ負荷分散します。
留意事項
-
ロードバランサー(L4)・注意事項に留意してください。
-
インターネットからロードバランサー(L4)への通信は、ロードバランサー(L4)のアクセス制御機能を用いて制御してください。
-
負荷分散対象の仮想サーバーにてファイアウォール機能を用いて、ロードバランサー(L4)のIPアドレスを許可する設定は不要です。ニフクラのファイアウォールはロードバランサー(L4)からの通信をすべて許可しています。
負荷分散構成(内部①):実現可能構成
構成概要
ニフクラ内の仮想サーバーから別の仮想サーバー群へグローバルネットワークを経由せずに、負荷分散するには、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2Vシリーズ)を利用して実現が可能です。本例ではマルチロードバランサーについて記載します。
留意事項
-
マルチロードバランサー自体ではアクセス制御を実装できません。分散対象サーバーにて実装してください。
-
マルチロードバランサー:構成を参照して構成について留意してください。
負荷分散構成(内部①):実現不可能構成
構成概要
ニフクラ内の仮想サーバーから別の仮想サーバー群へグローバルネットワークを経由せずに、負荷分散するには、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2Vシリーズ)を利用して実現が可能です。本例ではマルチロードバランサーについて記載します。
留意事項
-
マルチロードバランサーの仕様により実現できない構成があります。マルチロードバランサー:構成を参照して構成について確認してください。
-
マルチロードバランサーと異なるネットワークに所属するサーバーの負荷分散はできません。
-
サーバー②からサーバー⑤ABへの負荷分散構成は実現できません。サーバー⑤ABがマルチロードバランサーに付与しているネットワークに所属していないためです。
-
-
負荷分散構成(内部②)
構成概要
ニフクラ内の仮想サーバーから別の仮想サーバー群へグローバルネットワークを経由せずに、負荷分散するには、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2Vシリーズ)を利用して実現が可能です。本例ではL7ロードバランサーについて記載します。L7ロードバランサーはサードパーティ製のソリューションサービスとなります。
留意事項
-
L7ロードバランサーは仮想サーバー上で動作しています。そのためOS上でルーティング設定が可能です。OS上の設定は利用者責任範囲となります。
-
L7層の負荷分散はユーザー範囲のため、サポート問い合わせ時に利用者側での切り分けを必要とするケースがございます。留意してください。
-
マルチロードバランサーで実装不可能となっていた構成も実現可能となります。
負荷分散構成(複数ゾーン)
構成概要
ロードバランサー(L4)により、複数のゾーンを利用した負荷分散が可能です。また、プライベートブリッジの利用によりプライベートLAN経由でゾーン間のデータ同期などが可能です。
留意事項
-
マルチロードバランサーでは複数のゾーンを対象にした負荷分散構成はできません。
-
L7ロードバランサー(Ivanti Virtual Traffic Manager)では複数のゾーンを対象とした負荷分散構成が可能です。ただし、構成によってはL7ロードバランサー自体が単一ポイントの構成となる場合があるため、構成に関しては十分に検討してください。
マルチIPアドレス構成(マルチサイト)
構成概要
マルチIPアドレスを利用することにより、1つのサーバーに複数のグローバルIPアドレスを付与できます。
留意事項
-
指定したIPアドレスの取得はできません。
-
マルチIPアドレスグループが割り当てられたサーバーに対して、できない操作があります。詳細は以下を参照してください。
ニフクラネットワーク経路設定
ニフクラの通信経路設定について
ニフクラの経路情報設定
-
経路情報は、ルートテーブルをルーターに適用する形で設定できます。
-
ルーターに直接接続されるプライベートLANへの経路情報は、自動的にルーターに経路情報が設定されます。
-
ルーターに直接接続されないネットワークと通信をする必要がある場合に、経路情報を設定してください。
※仮想サーバー側でも適切に経路情報の設定をする必要があります。
最小構成(グローバルネットワーク、共通プライベートネットワーク)
経路設定内容
-
本構成では利用者で経路設定の必要はありません。
-
仮想サーバーで共通グローバルネットワークを利用する場合、自動でDHCPからIPアドレス、デフォルトゲートウェイが付与されます。
-
共通プライベートネットワークを利用する場合、自動でDHCPからIPアドレスが付与されます。
※仮想サーバーでDHCPを無効にはしないよう留意してください。
※サーバーに払い出されるグローバルIPアドレス帯はニフクラホームページで公開されています。
多階層構成①:グローバルネットワーク、1仮想ルーター、2プライベートLAN
経路設定内容
-
仮想サーバーのプライベートネットワークにプライベートLANを適用した場合、IPアドレスを設定する方法は以下の2つがあります。
-
ルーターのDHCP機能を利用する。
-
OS上で静的にIPアドレスを付与する。
-
-
本構成では仮想ルーター①にプライベートLAN①、②を接続している構成となるため、ルーターに別途ルートテーブルを適用して経路を設定する必要はありません。
-
本構成では各仮想サーバーで経路情報の設定が必要です。
多階層構成②:グローバルネットワーク、1仮想ルーター、3プライベートLAN
経路設定内容
-
上記「多階層構成(グローバルネットワーク、1仮想ルーター、2プライベートLAN)」とほぼ変わらない形で構成可能です。
-
サーバー③では、サーバー①、②のプライベートIPアドレス②と同一セグメントに所属するため、基本的には別途経路情報の設定は不要となります。
複数ニフクラID 構成
経路設定内容
-
以下の構成では仮想ルーター①にプライベートLAN②A、②Bを接続している構成となるため、ルーターに別途ルートテーブルを適用して経路を設定する必要はありません。
-
プライベートブリッジでは同一ネットワーク帯のプライベートLANを接続可能なため他のニフクラIDのプライベートLAN①、プライベートLAN③上の仮想リソースとも問題なく通信可能です。
-
各仮想サーバーでは経路情報の設定が必要です。各仮想サーバーへ経路情報を設定し、「仮想サーバー①⇔③、②⇔③間」の通信が可能になります。
複数ゾーン 構成
経路設定内容
-
以下の構成では仮想ルーター①②にそれぞれルートテーブルを適用して経路情報を設定する必要があります。
-
各仮想サーバーでも経路情報の設定が必要です。
-
各仮想ルーター、仮想サーバーで適切な経路情報を設定後、各仮想サーバー間の通信が可能になります。
複数リージョン 構成①
経路設定内容
-
以下の構成では仮想ルーター①にプライベートLAN②、③を接続している構成となるため、ルーターに別途ルートテーブルを適用して経路を設定する必要はありません。
-
プライベートブリッジでは同一ネットワーク帯のプライベートLANを接続可能なため他リージョンのプライベートLAN②、プライベートLAN③上の仮想リソースとも問題なく通信可能です。
-
各仮想サーバーでは経路情報の設定が必要です。各仮想サーバーへ経路情報を設定し、「仮想サーバー①⇔②、①⇔③間」の通信が可能になります。
留意事項
-
プライベートブリッジと併用する際、留意が必要な構成があります。
詳細はプライベートブリッジ・制限事項を確認してください。
複数リージョン 構成②
経路設定内容
-
以下の構成では仮想ルーター①、拠点間VPNゲートウェイ①、②にそれぞれルートテーブルを適用して経路情報を設定する必要があります。
経路情報の設定が必要な場合、VPN接続はIPsec VTIで行う必要があります。(拠点間VPNゲートウェイではVPN接続先のネットワーク帯の経路設定は自動で設定されます。) -
各仮想サーバーでも経路情報の設定が必要です。
-
各仮想ルーター、拠点間VPNゲートウェイ、仮想サーバーに対して適切な経路情報の設定が必要です。
複数リージョン 構成③
経路設定内容
-
以下の構成では拠点間VPNゲートウェイでL2TPv3/IPsecを利用してプライベートLAN間をL2でVPN接続しているため、仮想ルーター①、拠点間VPNゲートウェイ①、②にそれぞれルートテーブルを適用して経路情報を設定する必要はありません。
-
各仮想サーバーでは経路情報の設定が必要です。
複数リージョン 構成④
経路設定内容
-
以下の構成では仮想ルーター①にルートテーブルを適用して経路情報を設定する必要があります。
-
各仮想サーバーでも経路情報の設定が必要です。
-
回線事業者の設置機器であるルーターにも経路情報の設定が必要となる構成です。設定可否など含めて、回線事業者へ事前確認してください。(本構成では経路設定を一例として記載しています。)
マルチロードバランサー 構成
経路設定内容
-
以下の構成では仮想ルーター①、マルチロードバランサー①にルートテーブルを適用して経路情報を設定する必要があります。
-
各仮想サーバーでも経路情報の設定が必要です。(矢印方向への負荷分散を対象としています。)
経路情報設定の留意事項
経路設定内容
-
以下構成のように、要求と応答の通信経路が異なるルートにならないよう留意してください。
-
非対称な経路を通過するような通信をする場合、ファイアウォールにより通信が拒否されます。
-
万が一通信ができた場合でも、非対称な通信をする構成については動作の保証はできないため留意してください。
-
プライベート接続サービスや、拠点間VPNゲートウェイを利用して外部と接続をする際は、よりネットワーク構成が複雑になることが想定されます。入念に設計をしてください。
外部通信構成
仮想サーバーからインターネットへのアクセス①
接続概要
仮想サーバーで共通グローバルネットワークを利用する場合、自動でDHCPからIPアドレス、デフォルトゲートウェイが付与されます。そのためグローバルネットワークを利用する場合は、グローバルIPアドレスを付与するだけで、インターネットへアクセスが可能です。
※仮想サーバーでDHCPを無効にはしないよう留意してください。
※サーバーに払い出されるグローバルIPアドレス帯はニフクラホームページで公開されています。
仮想サーバーからインターネットへのアクセス②
接続概要
グローバルネットワークに接続しない仮想サーバーは直接インターネットへアクセスできません。
仮想サーバーからインターネットへのアクセス③
接続概要
-
グローバルネットワークに直接接続していない仮想サーバーは、以下の構成によりインターネットアクセスが可能です。
-
グローバルネットワークに接続した仮想サーバーをプロキシサーバーとして構築して、プロキシサーバーを経由する
-
仮想ルーターをグローバルネットワークに接続してWebプロキシ機能かSNAT機能を利用して、仮想ルーターを経由する
-
インターネットから仮想サーバーへのアクセス
接続概要
-
仮想サーバーで共通グローバルネットワークを利用する場合、自動でDHCPからIPアドレス、デフォルトゲートウェイが付与されます。そのためグローバルネットワークを利用する場合、付与するだけでインターネットからのアクセスが可能です。
-
グローバルIPアドレスを付与しない仮想サーバーへの通信は、以下の構成によりインターネットからアクセスが可能です。
-
グローバルネットワークに接続した仮想サーバーをリバースプロキシサーバーとして構築して、プロキシサーバーを経由する
-
仮想ルーターをグローバルネットワークに接続してDNAT機能を利用して、仮想ルーターを経由する
-
留意事項
-
ルーターに割り当てが可能なグローバルIPアドレスは1つとなります。そのため、仮想ルーターを経由してアクセスされる仮想サーバーが複数存在する場合は、用途(ポート)を分ける必要があります。
-
仮想サーバーに割り当て可能なグローバルIPアドレスも基本1つまでとなります。そのためプロキシサーバーを別途構築する場合も、上記のルーターと同一の事を留意する必要があります。
-
サーバーに払い出されるグローバルIPアドレス帯はニフクラホームページで公開されています。
-
複数グローバルIPアドレスを利用したい場合は、 マルチIPアドレスをご利用ください。
-
IPsec VPN接続(対向1拠点):拠点間VPNゲートウェイ利用
接続概要
拠点間VPNゲートウェイと、拠点側ルーター(接続確認済み機器またはOS)でIPsec VPNを構成すると、ニフクラと拠点でセキュアな通信が可能です。
留意事項
-
拠点側ルーターは、ニフクラが接続を確認できた接続確認済み機器またはOS を利用してください。
-
ニフクラ側、拠点側で複数のネットワーク帯がある場合は、「IPsec VTI、L2TPv3/IPsec」で接続し、適切なルーティングを設定することで通信が可能となります。
-
その他クラウド技術仕様/制限値(拠点間VPNゲートウェイ)を参照して各機能について留意してください。
IPsec VPN接続(対向1拠点):インターネットVPN(H/W)利用
接続概要
インターネットVPN(H/W)と、拠点側ルーターでIPsec VPNを構成すると、ニフクラと拠点でセキュアな通信が可能です。
留意事項
-
VPN通信帯域は30Mbpsベストエフォートとなります。それ以上の帯域が必要な場合は、別途問い合わせてください。
-
ニフクラ側でインターネットVPN(H/W)と接続するプライベートLAN以外のプライベートLANとは通信できません。
-
拠点側の複数ネットワークと接続が必要な場合は、申し込み時のヒアリングシートへの記載で通信が可能になります。
-
その他インターネットVPN(H/W)・仕様、「インターネットVPN(H/W)」サービス仕様書、インターネットVPN(H/W)・注意事項の内容に留意してください。
IPsec VPN接続(対向複数拠点):拠点間VPNゲートウェイ利用
接続概要
接続拠点が複数の場合、複数のIPsec VPNトンネルの活用で通信が構成できます。
留意事項
-
拠点間VPNゲートウェイで接続可能な拠点数は、タイプによって異なります。
-
通常ニフクラをHUBとした、拠点間での通信はできません。(ハブ&スポーク型)拠点間で通信が必要な場合は、IPsec VTI、L2TPv3/IPsec」で接続をし、適切なルーティングの設定で通信が可能となります。
-
その他クラウド技術仕様/制限値(拠点間VPNゲートウェイ)を参照して各機能について留意してください。
IPsec VPN接続(対向複数拠点):インターネットVPN(H/W)利用
接続概要
接続拠点が複数の場合、複数のIPsec VPNトンネルの活用で通信が構成できます。
留意事項
-
インターネットVPN(H/W)では接続点が増加するごとに課金が追加されます。
-
ニフクラをHUBとした、拠点間での通信はできません。(ハブ&スポーク型)
-
その他インターネットVPN(H/W)・仕様、「インターネットVPN(H/W)」サービス仕様書、インターネットVPN(H/W)・注意事項の内容に留意してください。
SSL-VPN接続:リモートアクセスVPNゲートウェイ利用
接続概要
リモートアクセスVPNゲートウェイを活用し、拠点環境や外出先からSSL-VPNによるセキュアな通信が可能です。
留意事項
-
接続元OSは、ニフクラが接続を確認できた 接続確認済みOS を利用してください。
-
端末ごとにVPNクライアントソフトをインストールしてください。
-
その他作成時のパラメーター・注意事項、リモートアクセスVPNゲートウェイの操作・注意事項に留意してください。
コンソール接続
- 接続概要
-
-
仮想サーバーにSSHまたはRDPでリモートログインできない場合、仮想サーバーのコンソール機能を利用して接続可能です。
-
対象の仮想サーバーに対し、ブラウザ上で仮想サーバーのコンソールが利用可能です。
-
- 留意事項
-
-
サーバーコンソール・注意事項に留意してください。
-