-
Web層、AP層、DB層別に作成する仮想サーバーに対し適用するファイアウォールグループをそれぞれ作成する
-
AP層のファイアウォールグループ②にはWeb層のファイアウォールグループ①からの通信を許可するルールを設定する
-
DB層のファイアウォールグループ③にはAP層のファイアウォールグループ②からの通信を許可するルールを設定
-
メンテナンスのためサーバーにログインする通信は経路により適切に設定する
-
各層の仮想サーバー作成時に、1で作成したファイアウォールグループを選択し、適用する
-
AP層、DB層の仮想サーバーは、直接インターネット接続させないよう、グローバルNICを外す
【ニフクラ活用基本編】ファイアウォールグループ活用パターン
ファイアウォールでアクセス制御するパターンです。
解決したい課題/要求事項
-
標準的なWeb、AP、DBシステムにおいて、Web、AP、DB間のセキュリティを担保したい
ニフクラでの解決パターン
-
ニフクラで提供しているファイアウォールを利用して用途ごとにファイアウォールグループを作成する
実装
-
ニフクラでは、システムのセキュリティを高める機能として、ファイアウォール機能を提供している
補足
-
ニフクラのファイアウォールグループのルールでは、別のファイアウォールグループの指定が可能
-
これにより、仮想サーバーをファイアウォールで分離し、用途別にアクセスを制限可能
-
グローバルIPアドレスを利用しないサーバーでプライベートLANのNICにIPアドレスを付与する際は以下のような方法で設定可能です。
-
ルーターの DHCP を利用する
-
コンソール を利用してログインしOS上でIPアドレスを設定する
-
Linux系のサーバーでrootのパスワードを設定していない場合は、シングルユーザーモードでログインし、パスワードを設定できます。
FAQ シングルユーザーモードでのログイン
-
-
本パターンの構成要素
本パターンを実現するためのニフクラサービス構成要素例は以下表の通りです。
terraform サンプル
本パターンについてterraformで作成可能なサンプルをGitHubで公開しています。
ご参考にしてください。
> ファイアウォールグループ活用パターン Terraformサンプル
