-
(初期構築時)踏み台サーバーを構築し、カスタマイズイメージを取得しておく
-
(メンテナンス時)カスタマイズイメージから、踏み台サーバーを復元する
-
(メンテナンス終了時)踏み台サーバーを停止 or 削除する
【ニフクラ活用応用編】セキュアメンテナンスパターン:踏み台サーバー利用
メンテナンス用に、セキュリティグループや踏み台サーバーを設定するパターンです。
解決したい課題/要求事項
-
システムをセキュアに保つためには、各サーバーへのアクセス経路を制限する必要がある
-
サーバーコストも抑えつつ実現したい
ニフクラでの解決パターン
-
システムへアクセスするユーザーを踏み台サーバー経由に限定することで、セキュアなシステムを構築する
-
ニフクラでは仮想サーバーの起動と停止を容易に行うことが可能となる
-
従量課金の仮想サーバーの場合は、踏み台サーバーを使用するときのみ稼働させることで、サーバーコストを抑える
実装
-
メンテナンス終了後などシステムにアクセスする必要がない場合、踏み台サーバーは停止、もしくは削除しておくことにより、システムへの入り口となる踏み台サーバーが存在しないため、よりセキュリティを高めることができる
-
踏み台サーバーを削除する場合は、予めカスタマイズイメージを取得しておき、いつでも復元可能なようにする
補足
-
踏み台サーバーを構築する際は、『ファイアウォールグループ活用パターン』や『カスタマイズイメージ/複製パターン』を参照し、踏み台サーバーのセキュリティ面も考慮が必要
-
グローバルIPアドレスを利用しないサーバーでプライベートLANのNICにIPアドレスを付与する際は以下の方法で設定可能
-
コンソール を利用してログインしOS上でIPアドレスを設定する
-
Linux系のサーバーでrootのパスワードを設定していない場合は、シングルユーザーモードでログインし、パスワードを設定可能
FAQ シングルユーザーモードでのログイン
-
-
注意点
-
カスタマイズイメージから復元の度に、グローバルIPアドレスが変更される
※グローバルIPアドレスの変更を避けたい場合は、付替IPの利用も検討する
本パターンの構成要素
本パターンを実現するためのニフクラサービス構成要素例です。以下表では踏み台サーバーを作成し、通常時は停止運用するパターンの構成例としています。
サービス名 |
タイプ |
用途 |
数量 |
備考 |
|---|---|---|---|---|
c2-medium |
踏み台サーバー、外部公開サーバー |
2 |
- |
|
c2-medium |
サーバー |
2 |
- |
|
グローバルIPアドレスを利用しない |
2 |
- |
||
- |
- |
1 |
- |
|
- |
踏み台サーバー、外部公開サーバー、サーバー用 |
3 |
- |
|
- |
- |
1 |
任意で利用 |
