ニフクラユーザーガイド（ニフクラ設計ガイド(ネットワーク編)）

本構成図のリソースを利用して構成すると、インターネット⇔仮想サーバー間で通信が可能です。

ファイアウォールグループによる通信制御が可能です。詳細はファイアウォール・ルールを確認してください。

仮想サーバー配備時には、グローバルネットワークとプライベートネットワークの利用が可能です。

グローバルネットワーク利用時には、ニフクラからDHCPでIPアドレスが割り当てられます。サーバーに払い出されるグローバルIPアドレス帯はニフクラホームページで公開されています。

プライベートネットワークでは共通プライベートネットワークか、別途作成したプライベートLANを選択可能です。

DHCPによりグローバルIPアドレスを付与する際、デフォルトゲートウェイも付与されるため、利用者でルーティング設定などを行うことなくインターネットとの通信が可能です。

ファイアウォールグループでアクセス制御を実施しない場合、不正なアクセスを受ける可能性があります。ファイアウォールグループでシステム要件に合わせて、適切なアクセス制御を実施してください。

ファイアウォールグループは各リソースに１つのみ適用が可能です。グローバルネットワーク側、プライベート側ともに、１つのファイアウォールグループでアクセスを制御します。

ニフクラ上で往路と復路で異なる経路を通過する通信をした場合、ファイアウォールは正しく状態を更新できません。

以下の構成の場合、動作の保証はできません。

本構成では直接DBサーバーからインターネット通信は不可能となります。
インターネットへのアクセスが必要な場合はグローバルIPアドレスを付与して、ファイアウォールグループでアクセス制御を実施するか、別途プロキシサーバーを構築する等を検討してください。

DBサーバーへインターネットから接続できないため、メンテナンスなどでの経路をどうするか検討してください。(コンソールを利用する、拠点間VPNゲートウェイやプライベート接続サービス※1を利用する等)

Web/APサーバー、DBサーバーは同一のネットワーク帯となるため、サーバー間通信は別途利用者にてルーティング設定することなく通信可能です。
※ 本ドキュメントでは、「ダイレクトポート」、「物理ポート」、「プライベートアクセス」の総称を「プライベート接続サービス」と表記します。「プライベート接続サービス」は、ニフクラ上での正式な呼称ではないため注意してください。

本構成では直接DBサーバーからインターネット通信は不可能となります。
インターネットへのアクセスが必要な場合はグローバルIPアドレスを付与して、ファイアウォールグループでアクセス制御を実施するか、別途プロキシサーバーを構築する等を検討してください。

DBサーバーへインターネットから接続できないため、メンテナンスなどでの経路をどうするか検討してください。(コンソールを利用する、拠点間VPNゲートウェイやプライベート接続サービスを利用する等)

プライベートLAN①、②では指定するネットワーク帯が重複しないようにしてください。

Web/APサーバーからDBサーバーへの通信、DBサーバーからWeb/APサーバーへの戻りの通信をするために、それぞれの仮想サーバーにルーティングの設定が必要です。

本構成ではWeb/AP、DBで利用するサービス用のLAN以外に、バックアップ、監視、ログ収集など、管理用のLANを別途、利用する構成となっています。

各仮想サーバーで追加NICを利用して新たなプライベートLANへの接続を追加し、オンプレミスでのシステム構成をそのまま維持したい場合などに有用です。

管理用のプライベートLANを別途構築しても、サービス用のプライベートLANと別に帯域を確保できるわけではないため留意してください。物理的な帯域は他ユーザーと共有になります。

プライベートブリッジ・注意事項に留意してください。

プライベートブリッジ・注意事項に留意してください。

ファイアウォール機能を利用してアクセス制御が可能です。

異なるリージョン間でセキュアに通信をしたい場合は、以下の方法等があります。

プライベート接続サービス、その他ネットワークを接続するサービスでは組み合わせに留意が必要な構成があります。詳細はプライベートブリッジ・制限事項を確認してください。

オブジェクトストレージサービス・通信について留意してください。

オブジェクトストレージサービス・通信について留意してください。

インターネットからの通信を負荷分散するには、ロードバランサー（L4）、マルチロードバランサー、L7ロードバランサー（Ivanti Virtual Traffic Manager）、統合ネットワークサービス（IPCOM VE2Vシリーズ）を利用して実現が可能です。本例ではロードバランサー（L4）について記載します。

インターネットからのアクセスをロードバランサーから、グローバルネットワークを経由して対象のサーバーへ負荷分散します。

ロードバランサー（L4）・注意事項に留意してください。

インターネットからロードバランサー（L4）への通信は、ロードバランサー（L4）のアクセス制御機能を用いて制御してください。

負荷分散対象の仮想サーバーにてファイアウォール機能を用いて、ロードバランサー（L4）のIPアドレスを許可する設定は不要です。ニフクラのファイアウォールはロードバランサー（L4）からの通信をすべて許可しています。

マルチロードバランサー自体ではアクセス制御を実装できません。分散対象サーバーにて実装してください。

マルチロードバランサー:構成を参照して構成について留意してください。

マルチロードバランサーの仕様により実現できない構成があります。マルチロードバランサー:構成を参照して構成について確認してください。

L7ロードバランサーは仮想サーバー上で動作しています。そのためOS上でルーティング設定が可能です。OS上の設定は利用者責任範囲となります。

L7層の負荷分散はユーザー範囲のため、サポート問い合わせ時に利用者側での切り分けを必要とするケースがございます。留意してください。

マルチロードバランサーで実装不可能となっていた構成も実現可能となります。

マルチロードバランサーでは複数のゾーンを対象にした負荷分散構成はできません。

L7ロードバランサー（Ivanti Virtual Traffic Manager）では複数のゾーンを対象とした負荷分散構成が可能です。ただし、構成によってはL7ロードバランサー自体が単一ポイントの構成となる場合があるため、構成に関しては十分に検討してください。

指定したIPアドレスの取得はできません。

マルチIPアドレスグループが割り当てられたサーバーに対して、できない操作があります。詳細は以下を参照してください。

経路情報は、ルートテーブルをルーターに適用する形で設定できます。

ルーターに直接接続されるプライベートLANへの経路情報は、自動的にルーターに経路情報が設定されます。

ルーターに直接接続されないネットワークと通信をする必要がある場合に、経路情報を設定してください。
※仮想サーバー側でも適切に経路情報の設定をする必要があります。

本構成では利用者で経路設定の必要はありません。

仮想サーバーで共通グローバルネットワークを利用する場合、自動でDHCPからIPアドレス、デフォルトゲートウェイが付与されます。

共通プライベートネットワークを利用する場合、自動でDHCPからIPアドレスが付与されます。
※仮想サーバーでDHCPを無効にはしないよう留意してください。
※サーバーに払い出されるグローバルIPアドレス帯はニフクラホームページで公開されています。

仮想サーバーのプライベートネットワークにプライベートLANを適用した場合、IPアドレスを設定する方法は以下の2つがあります。

本構成では仮想ルーター①にプライベートLAN①、②を接続している構成となるため、ルーターに別途ルートテーブルを適用して経路を設定する必要はありません。

本構成では各仮想サーバーで経路情報の設定が必要です。

上記「多階層構成(グローバルネットワーク、1仮想ルーター、2プライベートLAN)」とほぼ変わらない形で構成可能です。

サーバー③では、サーバー①、②のプライベートIPアドレス②と同一セグメントに所属するため、基本的には別途経路情報の設定は不要となります。

以下の構成では仮想ルーター①にプライベートLAN②A、②Bを接続している構成となるため、ルーターに別途ルートテーブルを適用して経路を設定する必要はありません。

プライベートブリッジでは同一ネットワーク帯のプライベートLANを接続可能なため他のニフクラIDのプライベートLAN①、プライベートLAN③上の仮想リソースとも問題なく通信可能です。

各仮想サーバーでは経路情報の設定が必要です。各仮想サーバーへ経路情報を設定し、「仮想サーバー①⇔③、②⇔③間」の通信が可能になります。

以下の構成では仮想ルーター①②にそれぞれルートテーブルを適用して経路情報を設定する必要があります。

各仮想サーバーでも経路情報の設定が必要です。

各仮想ルーター、仮想サーバーで適切な経路情報を設定後、各仮想サーバー間の通信が可能になります。

以下の構成では仮想ルーター①にプライベートLAN②、③を接続している構成となるため、ルーターに別途ルートテーブルを適用して経路を設定する必要はありません。

プライベートブリッジでは同一ネットワーク帯のプライベートLANを接続可能なため他リージョンのプライベートLAN②、プライベートLAN③上の仮想リソースとも問題なく通信可能です。

各仮想サーバーでは経路情報の設定が必要です。各仮想サーバーへ経路情報を設定し、「仮想サーバー①⇔②、①⇔③間」の通信が可能になります。

プライベートブリッジと併用する際、留意が必要な構成があります。
詳細はプライベートブリッジ・制限事項を確認してください。

以下の構成では仮想ルーター①、拠点間VPNゲートウェイ①、②にそれぞれルートテーブルを適用して経路情報を設定する必要があります。
経路情報の設定が必要な場合、VPN接続はIPsec VTIで行う必要があります。(拠点間VPNゲートウェイではVPN接続先のネットワーク帯の経路設定は自動で設定されます。)

各仮想サーバーでも経路情報の設定が必要です。

各仮想ルーター、拠点間VPNゲートウェイ、仮想サーバーに対して適切な経路情報の設定が必要です。

以下の構成では拠点間VPNゲートウェイでL2TPv3/IPsecを利用してプライベートLAN間をL2でVPN接続しているため、仮想ルーター①、拠点間VPNゲートウェイ①、②にそれぞれルートテーブルを適用して経路情報を設定する必要はありません。

各仮想サーバーでは経路情報の設定が必要です。

以下の構成では仮想ルーター①にルートテーブルを適用して経路情報を設定する必要があります。

各仮想サーバーでも経路情報の設定が必要です。

回線事業者の設置機器であるルーターにも経路情報の設定が必要となる構成です。設定可否など含めて、回線事業者へ事前確認してください。(本構成では経路設定を一例として記載しています。)

以下の構成では仮想ルーター①、マルチロードバランサー①にルートテーブルを適用して経路情報を設定する必要があります。

各仮想サーバーでも経路情報の設定が必要です。(矢印方向への負荷分散を対象としています。)

以下構成のように、要求と応答の通信経路が異なるルートにならないよう留意してください。

非対称な経路を通過するような通信をする場合、ファイアウォールにより通信が拒否されます。

万が一通信ができた場合でも、非対称な通信をする構成については動作の保証はできないため留意してください。

プライベート接続サービスや、拠点間VPNゲートウェイを利用して外部と接続をする際は、よりネットワーク構成が複雑になることが想定されます。入念に設計をしてください。

グローバルネットワークに直接接続していない仮想サーバーは、以下の構成によりインターネットアクセスが可能です。

仮想サーバーで共通グローバルネットワークを利用する場合、自動でDHCPからIPアドレス、デフォルトゲートウェイが付与されます。そのためグローバルネットワークを利用する場合、付与するだけでインターネットからのアクセスが可能です。

グローバルIPアドレスを付与しない仮想サーバーへの通信は、以下の構成によりインターネットからアクセスが可能です。

ルーターに割り当てが可能なグローバルIPアドレスは1つとなります。そのため、仮想ルーターを経由してアクセスされる仮想サーバーが複数存在する場合は、用途(ポート)を分ける必要があります。

仮想サーバーに割り当て可能なグローバルIPアドレスも基本1つまでとなります。そのためプロキシサーバーを別途構築する場合も、上記のルーターと同一の事を留意する必要があります。

サーバーに払い出されるグローバルIPアドレス帯はニフクラホームページで公開されています。

拠点側ルーターは、ニフクラが接続を確認できた接続確認済み機器またはOS を利用してください。

ニフクラ側、拠点側で複数のネットワーク帯がある場合は、「IPsec VTI、L2TPv3/IPsec」で接続し、適切なルーティングを設定することで通信が可能となります。

その他クラウド技術仕様/制限値(拠点間VPNゲートウェイ)を参照して各機能について留意してください。

VPN通信帯域は30Mbpsベストエフォートとなります。それ以上の帯域が必要な場合は、別途問い合わせてください。

ニフクラ側でインターネットVPN(H/W)と接続するプライベートLAN以外のプライベートLANとは通信できません。

拠点側の複数ネットワークと接続が必要な場合は、申し込み時のヒアリングシートへの記載で通信が可能になります。

その他インターネットVPN（H/W）・仕様、「インターネットVPN（H/W）」サービス仕様書、インターネットVPN（H/W）・注意事項の内容に留意してください。

拠点間VPNゲートウェイで接続可能な拠点数は、タイプによって異なります。

通常ニフクラをHUBとした、拠点間での通信はできません。(ハブ＆スポーク型)拠点間で通信が必要な場合は、IPsec VTI、L2TPv3/IPsec」で接続をし、適切なルーティングの設定で通信が可能となります。

その他クラウド技術仕様/制限値(拠点間VPNゲートウェイ)を参照して各機能について留意してください。

インターネットVPN(H/W)では接続点が増加するごとに課金が追加されます。

ニフクラをHUBとした、拠点間での通信はできません。(ハブ＆スポーク型)

その他インターネットVPN（H/W）・仕様、「インターネットVPN（H/W）」サービス仕様書、インターネットVPN（H/W）・注意事項の内容に留意してください。

接続元OSは、ニフクラが接続を確認できた 接続確認済みOS を利用してください。

端末ごとにVPNクライアントソフトをインストールしてください。

その他作成時のパラメーター・注意事項、リモートアクセスVPNゲートウェイの操作・注意事項に留意してください。