-
プライベートLANを2本作成する
-
ルーターを作成してプライベートLAN間をルーターで接続する
-
Webサーバーを作成し、一つのプライベートLANに所属させる
-
DBサーバーを作成し、Webサーバーを所属させたものとは別のプライベートLANに所属させ、グローバルIPアドレスを付与しない
-
WebサーバーからDBサーバーへの通信、DBサーバーからWebサーバーへ通信するために、それぞれの仮想サーバーにルーティングの設定が必要
【ニフクラ活用基本編】複数階層ネットワーク構成パターン
インターネットへ接続可能なネットワークとインターネットへ接続しないセキュアなネットワークを構築するパターンです。
解決したい課題/要求事項
-
ニフクラ上で階層をもたせたネットワーク構成を構築したい
-
インターネットに公開するWeb、DBシステムにおいて、DBサーバーのセキュリティを高めるために、DBサーバーのグローバルIPアドレスは付与せず、DB専用のネットワークに配置したい
ニフクラでの解決パターン
-
ニフクラでは、オンプレミスのような階層構造のネットワーク構成も構築できる
-
本パターンでは、ニフクラのプライベートLAN・ルーター・ファイアウォールを利用し階層を持たせたネットワーク構成を構築する
実装
-
ニフクラで提供しているプライベートLAN、ルーター、ファイアウォール等を利用することで、オンプレミスのように階層構造をもつネットワーク構成を構築可能
補足
-
ファイアウォールグループ活用パターンを参考にDBサーバーのセキュリティを高めることが可能となる
-
WebサーバーとDBサーバー用のファイアウォールグループを作成し、適用する
-
DBサーバー用のファイアウォールグループではWebサーバー用のファイアウォールグループからのみ通信を許可する
-
ルーターにもファイアウォールグループの適用が可能
-
-
グローバルIPアドレスを利用しないサーバーでプライベートLANのNICにIPアドレスを付与する際は以下のような方法で設定可能
-
ルーターの DHCP を利用する
-
コンソール を利用してログインしOS上でIPアドレスを設定する
-
Linux系サーバーのrootパスワードが未設定であれば、シングルユーザーモードでログインしてパスワードを設定可能
クラウドユーザーガイド(コンピューティング:シングルユーザーモードでのログイン手順)
-
-
-
仮想サーバーで共通グローバルネットワークを利用する場合のIPアドレス、デフォルトゲートウェイなどの情報は クラウド技術仕様/制限値(IPアドレス)を参照する
-
共通グローバルネットワーク、共通プライベートネットワークの仕様は クラウド技術仕様/制限値(ネットワーク:共通ネットワーク)を参照する
注意点
-
DB層のサーバーへインターネットから接続できないため、メンテナンスなどでの経路をどうするか検討が必要(コンソールを利用する、拠点間VPNゲートウェイを利用するなど)
本パターンの構成要素
本パターンを実現するためのニフクラサービス構成要素例は以下表の通りです。
経路設定
本パターンを実現するための経路設定例、補足情報を記載
-
経路設定例は本パターンを実装する際の例となる
-
実装の際は、その他の要件等を考慮して設定が必要
-
-
本パターンではルーターにルートテーブルを適用し、ルーティング実施は不要
-
ルーターに接続されているプライベートLANのアドレス帯へのルーティングは自動で追加されるため
詳細は クラウド技術仕様/制限値(ネットワーク:ルーター:ルーティング)_注意事項を参照
-
-
WebサーバーにはOS上で以下の経路を設定
デスティネーション
ターゲット
目的
DBサーバーが所属するプライベートLANのCIDR
Webサーバーが所属するプライベートLANと接続されるルーターのIPアドレス
DBサーバーへの通信
-
DBサーバーにはOS上で以下の経路を設定
デスティネーション
ターゲット
備考
Webサーバーが所属するプライベートLANのCIDR
DBサーバーが所属するプライベートLANと接続されるルーターのIPアドレス
Webサーバーへの通信
terraform サンプル
本パターンについてterraformで作成可能なサンプルをGitHubで公開しています。
ご参考にしてください。
> 複数階層ネットワーク構成パターン Terraformサンプル
