ニフクラでは、vCPUとメモリをセットにした仮想サーバータイプを提供しています。リージョン/ゾーンにより選定可能なサーバータイプが異なります。CPU性能値を計測した ベンチマークを公開 しているので参照して検討してください。
ニフクラ導入・移行設計指針(共通編)
-
ニフクラ導入・移行設計指針(共通編)
- ドキュメント情報
- はじめに
- 1.性能・拡張性
- 2.信頼性
-
3.ネットワーク
- ネットワーク関連のサービス/機能
- メニュー構成とメニュー選択時の条件
- 設計ポイントの適用事例
- ニフクラでの複数ゾーンのシステム構成例
- 拠点環境とのダイレクトポート接続事例
- データセンター環境との物理ポート(構内接続プラン)接続事例
- 拠点間VPNゲートウェイ接続事例
- インターネットVPN(H/W)接続事例
- リモートアクセスVPNゲートウェイ接続事例
- カテゴリ項目ごとの作業と留意事項
- LAN/WANに関する留意事項
- ロードバランサー(L4)に関する留意事項
- マルチロードバランサーに関する留意事項
- L7ロードバランサー(Ivanti Virtual Traffic Manager)に関する留意事項
- 統合ネットワークサービスに関する留意事項
- 方式詳細と参考ドキュメント
-
4.セキュリティ
- 設計のポイント
- ニフクラサービス適用事例
- ①仮想リソース操作(配備、起動・停止等)
- ②仮想サーバーなどの構築
- ファイアウォールとロードバランサー
- ③Webサービス提供
- 適用の指針
- カテゴリ項目ごとの作業と留意事項
- 認証・ID管理に関する留意事項
- コントロールパネル/APIの認証に関する留意事項
- 仮想サーバーの利用者管理に関する留意事項
- SSHに関する留意事項
- パケットへ対するアクセス制御に関する留意事項
- ファイアウォールグループの概要
- ファイアウォールグループの設定方法
- ファイアウォールグループの挙動
- ファイアウォールグループその他の留意事項
- 認証管理に関する留意事項
- 集中管理に関する留意事項
- 暗号化に関する留意事項
- 不正プログラム対策に関する留意事項
- 方式詳細と参考ドキュメント
-
5.システム構成・環境
- システム構成・環境に関する作業概要
- ソフトウェア構成設計(OS)
- ソフトウェア構成設計(ミドルウェア)
- 参考ドキュメント
- 主な制限事項(基本サービス/サーバー・ディスク機能)
- 主な制限事項(ネットワーク機能)
- 主な制限事項(セキュリティ機能/監視/サポートサービス)
- 主な制限事項(ストレージ/NASサービス)
- 主な制限事項(エンジニアリングパーツ(PaaS))
- 命名時に使用可能な文字一覧
- ニフクラの基本的なシステム構成例
- 仮想サーバーの構成管理項目例
- SSHキーの構成管理項目例
- 増設ディスクの構成管理項目例
- カスタマイズイメージの構成管理項目例
- プライベートLANの構成管理項目例
- ルーターの構成管理項目例
- ネットワーク/ルートテーブルの構成管理項目例
- SNAT/DNATの構成管理項目例
- Webプロキシの構成管理項目例
- DHCP の構成管理項目例
- 拠点間 VPN ゲートウェイの構成管理項目例
- 拠点間 VPN ゲートウェイの詳細構成管理項目例
- VPNコネクションの構成管理項目例
- ファイアウォールの構成管理項目例
- ファイアウォールの IN/OUT ルールの構成管理項目例
- ロードバランサー(L4)の構成管理項目例
- ニフクラRDBの構成管理項目例
- DBファイアウォールの構成管理項目例
- ニフクラNASの構成管理項目例
- オブジェクトストレージサービスの構成管理項目例
- 追加 NIC の構成管理項目例
ドキュメント情報
- 区分
-
設計
- リリース日
-
2023年02月27日
- 留意事項
-
2023年01月 時点の機能をもとに作成しております。
機能は順次エンハンスされますので、検討時にはニフクラホームページにて最新情報を確認ください。 - ■ニフクラホームページ
はじめに
-
本ドキュメントの目的
-
本ドキュメントは、ニフクラでの商談対応やシステム設計を担当される方々が、ニフクラ上でのシステム設計に必要な知識を習得し、商談対応やシステム設計を円滑に行えるようになることを目的とします。
-
-
本ドキュメントの対象読者
-
ニフクラを利用して商談対応、要件定義、システム設計をされる方
-
オンプレミスまたはクラウド(IaaS)の商談対応、要件定義、システム設計の経験者
-
-
前提知識
-
システム設計/システム運用に関する基本的な知識
-
OSに関する基本的な知識
-
インターネット、イントラネットに関する基本的な知識
-
セキュリティに関する基本的な知識
-
バックアップ、監視、冗長化などシステム設計/システム運用に関する基本的な知識
※システム設計経験を有することが望ましい
-
-
-
仮想化技術に関する以下の基本的な知識
-
ハイパーバイザー、仮想サーバー、仮想ストレージ、仮想ネットワークに関する基本的な知識
-
VMwareに関する基本的な知識
-
-
ニフクラサービスの変更は最新のドキュメントを参照してください。
本ドキュメントで提供する内容
-
本ドキュメントで提供する内容
-
本ドキュメントではニフクラを通じて、商談対応や要件定義、システム設計をされる皆様に提供してきた利用者がニフクラで設計をする際のナレッジ(実商談で培われたナレッジ)を、システムを設計するためのポイントをカテゴリに分類して提供します。
※利用者がニフクラ上でシステム設計/構築する際のナレッジを記載しています。サービスを提供するニフクラ側が作業する内容は含みません。 -
本ドキュメントで記載しているサービスに関して、利用できるゾーン/リージョンが限定されている場合があります。各サービスでの提供ゾーン/リージョンは 最新のニフクラ仕様ページを確認してください。
-
-
記載内容の粒度
-
ナレッジとして記載した情報の粒度は、実際の商談対応や要件定義、システム設計の問い合わせに対する回答の粒度です。具体的には、以下のような問い合わせに対する回答を集約して、ナレッジとして記載しています。
-
[Q]ニフクラにてOracleは利用できるか。
-
[A]ニフクラOVMを利用して、Oracle Databaseライセンスを持ち込むことができる仮想サーバーを所定の方法で作成し、そのサーバーにOracle Databaseをインストールして利用できます。
-
-
本ドキュメントの構成
-
本ドキュメントは、以下の章立てで記載します。
- 設計のポイント
-
各章で検討や留意すべき特徴的な内容をポイントとして記載します。
- 設計ポイントの適用事例
-
設計のポイントで記載した内容を適用した事例を記載します。各章の記載内容をかいつまんで把握したい場合は、適用事例まで参照してください。
- カテゴリと留意事項
-
各カテゴリの作業レベルで、検討事項、留意事項を記載します。なお、オンプレミスと同様に検討できる項目については記載を省略しています。
- 方式設計と参考ドキュメント
-
各カテゴリの作業レベルで参考となる詳細ドキュメントの概要や参照先を記載します。
-
オンプレミスと同様に検討できる項目について
-
オンプレミスと同様となる設計については、本ドキュメントでは割愛します。既存のオンプレミスの設計を参考にしてください。
- 例:仮想マシンの中でのデータのバックアップ設計
-
-
アプリケーション設計の範囲で、既存の設計と変わりません
-
- 例:サーバーのバックアップ設計
-
-
物理サーバーのフルバックアップが仮想マシンのフルバックアップに変わるため、使うツールなどの方式設計は変わります。
-
バックアップの取得サイクルなどの設計は変わりません。
-
- 例:仮想マシンの冗長構成
-
-
OS及びアプリケーションレイヤより上の冗長化は物理サーバーやオンプレミスの仮想マシンと変わりません。
-
仮想マシン自体の冗長構成、例えばHigh Availability(HA)は構成する際に考慮点が必要です。
-
-
-
本ドキュメント活用のメリット
-
知識の習得
-
利用者がニフクラでシステムを構成する際に必要な知識を習得できます。
-
-
ニフクラの提供するサービス/機能を早い段階で適用判断が可能
-
本ドキュメントで提供するナレッジを活用すると以下の効果が期待できます
-
システムに対する要求事項のうち、システム構成の課題を解決するための構成サンプルを提示可能
-
ニフクラが提供するサービスや機能を利用するか、あるいは利用者側でミドルウェアなどを手配して導入するかの判断を、商談や要件定義などの早い段階で実施可能
-
-
-
システム構成の手戻りを抑制可能
-
ニフクラのシステム構成に関するナレッジを習得することで、システム設計の後工程になって問題が発生するような事態を抑制できます。
-
アイコンの説明
-
本ドキュメント構成図に使用されているアイコンは下記の通りとなります。
-
リージョン及びゾーンについて特に記載がなければ、単一リージョン、単一ゾーン構成を示します。
-
構成図内の名称は略称で記載されている場合があります。(下記()内が略称の例)
ガイダンス
カテゴリー「設計」は必要な観点によって5つのドキュメントに分類しています。確認して必要なドキュメント/章を参照してください。
- 設計時に必要な観点
-
-
本ドキュメントの下記章を参照
-
1. 性能・拡張性
-
2. 信頼性
-
3. ネットワーク
-
4. セキュリティ
-
5. システム構成・環境
-
-
- 個別に設計する際に必要な観点
-
-
『 ニフクラ個別設計・移行設計指針』を参照
-
- 移行について
-
-
『 ニフクラ移行ガイド』を参照
-
- 運用・保守について
-
-
『 ニフクラ運用・保守設計指針』を参照
-
- 構成サンプル
-
-
『 構成サンプル』を参照
-
1.性能・拡張性
設計のポイント
ニフクラにて性能・拡張性観点で設計をするポイントについて、以下のリソース区分ごとに記載していきます。
リソース区分 |
リソースの概要 |
---|---|
仮想リソース全般 |
ニフクラが提供するプライベートLANやルーター、ロードバランサー(L4)サービスやニフクラRDB、仮想サーバー全般について記載します。 |
仮想リソース設計
-
ニフクラにて性能・拡張性観点で設計をする際は、以下の項目を検討してください。
-
仮想リソース全般
検討項目
検討内容
選択値・条件
サーバータイプ選定
Type-h2、Type-e、Type-cより選択
スケールアップ/スケールダウン
スケールアウト/スケールイン
同時に処理できる処理数を増やしたい場合には、仮想サーバーの台数を増やすスケールアウトを検討してください。仮想サーバー単体の性能向上策のスケールアップと組み合わせて、システム全体の性能を考慮してください。スケールアウトを検討する際には、スケールインによる台数削減の条件も合わせて検討してください。適切なスケールアウト/スケールインで、効率的にニフクラのシステムリソースを活用してください。
負荷分散
Webサーバー、APサーバーの同時処理性能を向上させるには、ロードバランサーを利用した負荷分散を検討してください。性能に関しては各ロードバランサーで必要帯域/スペックを契約してください。
ロードバランサー(L4)、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2Vシリーズ)を提供
オートスケール
CPU、メモリ、ネットワークの使用率など閾値を設定して自動的にスケールアウト/スケールインすることで要件を満たせる場合は、オートスケールを検討してください。
DB リードレプリカ
データベースへのアクセスが多い場合には、参照専用のデータベース(リードレプリカ)の利用を検討してください。
増設ディスク増設
仮想サーバーに対してディスクを増設可能です。
2. 標準フラッシュドライブ/高速フラッシュドライブと標準ディスク/高速ディスクのみ一部ゾーンで100GB~2,000GB(計28TB)各フラッシュドライブ、ディスクの対応ゾーンは ニフクラ ゾーン別機能対応表・サーバー・ディスク機能「増設ディスク」項目の最新情報を確認してください。増設ディスクの容量拡張
一度作成した増設ディスクは、一部対象のOSで容量拡張可能です。対象イメージ以外で容量を拡張したい場合は、以下の方法等にて利用者自身で対応する必要があります。
-
新たに要件を満たす容量の増設ディスクを作成し、手動でデータを移行する
-
OS上で論理ボリュームを構成する
-
縮小は不可
-
100GB/回ごとに拡張
ネットワーク
複数ゾーン構成
ネットワーク構成に合わせて、信頼性の観点も含めてプライベートブリッジ、ロードバランサー(L4)等を利用して複数のゾーンの利用を検討してください。
プライベートブリッジは「east-1」、「east-3」、「west-1」、「jp-west-2」リージョンのみ提供
アプリ多重度
アプリを多重に起動できるよう設計してください。IaaSでは、CPUクロック数をオンプレミスのように自由に選択できません。そのため、シングルスレッドで動くアプリ(バッチ処理アプリなど)はIaaSでは性能を出せないケースがあります。そこでアプリを複数のサーバーや複数のプロセス/スレッドで稼働できるよう設計してください。
各種制限値
-
-
適用指針
設計のポイントで例示した検討項目について、検討対象への適用の指針を記載します。
主な検討内容\検討項目 |
サーバー単体に対して適用を検討する項目 |
システム全体に対して適用を検討する項目(同時接続処理数の向上に関連) |
|||||||
---|---|---|---|---|---|---|---|---|---|
スケールアップ/ダウン |
ディスク増設/拡張 |
帯域 |
負荷分散 |
スケールアウト/イン |
オートスケール |
複数ゾーン |
DBリードレプリカ |
アプリ多重度 |
|
ロードバランサー(L4) |
- |
- |
○ |
○ |
- |
○ |
○ |
- |
- |
Webサーバー + APサーバー |
○ |
○ ※1 |
- |
○ |
○ |
○ |
○ |
- |
○ |
ニフクラRDB |
○ |
○ ※2 |
- |
- |
- |
- |
- |
○ |
○ |
データベースサーバー (独自) |
○ |
○ ※1 |
- |
- |
- |
- |
○ |
○ |
○ |
バッチサーバー |
○ |
○ ※1 |
- |
- |
○ |
- |
○ |
- |
○ |
ニフクラNAS |
- |
○ ※2 |
- |
- |
- |
- |
- |
- |
○ |
※1 ローカルディスクの容量拡張はできません。
※2 容量拡張が可能となります。別ディスク増設はできません。
典型的なニフクラの構成例
-
ロードバランサー(L4)でWeb/APサーバーを負荷分散
-
ロードバランサー(L4)からの分散対象サーバーのみインターネットからアクセス可能とする
-
データベースはニフクラRDBを利用して、冗長化、参照用のリードレプリカを配備
-
バッチサーバー2台、NASを配備(NASはニフクラで提供しているニフクラNASを配備)
-
冗長化を実装するサーバーは、構成例のとおり追加NICを利用して同期用のネットワークも別途構築可能
単一ゾーン構成例
構成図補足
- 【ロードバランサー(L4)】
-
ニフクラでは、可用性向上と性能向上のための負荷分散機能として、ロードバランサー(L4)を提供しています。ロードバランサー(L4)を1つ設定することで、この事例のように仮想サーバーに負荷分散してアクセス可能です。プランは利用する帯域で選定します。ニフクラではこの事例のロードバランサー(L4)以外に、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2Vシリーズ)を提供しています。
- 【Web/APサーバー】
-
ロードバランサー(L4)からアクセスされる形態です。仮想サーバー単体の観点では、以下の対応でスケールアップが可能です。
①サーバータイプの変更でスケールアップして性能向上
②増設ディスクの容量拡張または追加によりデータ容量拡張 - 【ニフクラNAS】
-
ニフクラNASは、ニフクラが提供する NASサービスです。
- 【DBサーバー】
-
ニフクラRDBではオンプレミスで実施するような複雑なデータベースの構成設計をすることなく、APIのパラメーターだけでデータベースを冗長化するようなことも可能なサービスとなっています。この事例では、参照スピードを向上させるため、データベースのリードレプリカを配備する構成としています。
複数のゾーンを利用したニフクラのシステム構成例
-
複数ゾーン構成、ロードバランサー(L4)でWeb/APサーバーを負荷分散
-
ロードバランサー(L4)からの分散対象サーバーのみインターネットからアクセス可能とする
-
データベースはDB用のサーバーを作成する
-
バッチサーバー、NASを配備(NASはニフクラで提供しているニフクラNASを配備)
※ゾーン間のデータ同期の仕組み、冗長構成などは別途検討してください。本構成例のとおり追加NICを利用して同期用のネットワークも作成できます。
※ルーターは各ゾーンで独立しています。ルーティングなどのネットワーク設計を検討する必要があります。
複数ゾーン構成例
構成図補足
- 【ロードバランサー(L4)】
-
ロードバランサー(L4)では、この事例のとおり複数のゾーンに配備された仮想サーバーへ負荷分散が可能です。ニフクラではこの事例のロードバランサー(L4)以外に、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2Vシリーズ)を提供しています。
※マルチロードバランサーは複数のゾーンに配備された仮想サーバーへは負荷分散できません。 - 【ニフクラNAS】
-
ニフクラNASは、ニフクラが提供するNASサービスです。ニフクラNASの機能では複数ゾーンでの冗長構成はサービスとしては実現できません。
- 【DBサーバー】
-
ニフクラRDBは複数ゾーンへまたがった構成はできません。この事例では複数ゾーン構成となっているためニフクラRDBではなく仮想サーバー上にDBを搭載する構成となっています。
作業と留意事項
カテゴリ項目 |
作業 |
ニフクラでの作業概要 |
---|---|---|
性能・拡張性 |
システム構成要素の選択 |
オンプレミスでは、サイジング実施の対象となるシステム構成要素を、性能のボトルネックとなりうるシステム資源の性能特性を考慮して選択します。ニフクラでは、サーバータイプ(vCPUとメモリの組み合わせ)、増設ディスク、ネットワークを必ずシステム構成要素としてください。 |
性能見積対象の決定 |
オンプレミスと同様に、システム資源の負荷を見積もるために必要な業務をアプリ担当チームと連携して抽出して、適切でかつ代表的なオンライン処理やバッチ処理を性能見積対象として選択してください。この際、オンライン処理とバッチ処理のシステム資源の競合についても考慮してください。 |
|
性能見積 |
性能見積対象から必要となるサーバー性能(vCPU/メモリ)やストレージ性能、ネットワーク性能を算出し、仮想サーバーその他のリソースを選定してください。 |
|
容量見積 |
ストレージの容量見積をしてください。ニフクラでは、使用できる増設ディスク容量に制限があります。そのため、ストレージ容量を見積もり、容量制限にかかる場合は実現方法を別途ご検討ください。(メモリ容量については、性能見積作業でのサーバータイプの選定により確定します) |
|
通信容量見積 |
通信容量見積をし、通信の方式を決定してください。ニフクラでは帯域保証はありません。そのため、プロトタイプ検証によりスループットとレスポンスを確認のうえ、通信方式を決定してください。 |
|
性能検証のプロトタイピング |
性能検証は要件定義工程でのプロトタイプ検証実施を推奨しています。実施していない場合は必ず実施してください。特にオンプレミスからのシステム移行において、移行前のH/W構成に基づいたサーバータイプ選定に留めず、ニフクラ上で検証をすることによって性能見積の妥当性を確認してください。 |
|
性能・容量の方式設計 |
性能・容量見積に基づいて、性能・容量の方式設計を実施してください。オンプレミスシステムと異なり、稼働後のリソース拡張/縮小を意識した設計をしてください。 |
|
拡張性の方式設計 |
性能・拡張性要件に基づいてシステム拡張性を確保するための方式を設計してください。vCPU/メモリ/ストレージを拡張する方式として、スケールアップやスケールアウト等を検討してください。 |
|
運用設計(性能・拡張性) |
システム全体の運用・保守設計に基づいて、システムが安定した性能を維持するための、管理・運用方法を設計してください。 |
システム構成要素の選択
- 作業概要
-
オンプレミスでは、サイジング実施の対象となるシステム構成要素を、性能のボトルネックとなりうるシステム資源の性能特性を考慮して選択します。ニフクラでは、サーバータイプ(vCPUとメモリの組み合わせ)、ストレージ、ネットワークを必ずシステム構成要素としてください。
-
留意事項
留意事項
内容
リソース選択
ニフクラのリソース選択方法、単位を把握してください。
ベストエフォート提供
ニフクラでは、ネットワークやストレージのリソースについては、ベストエフォート方式での提供です。
-
ニフクラで提供される主なシステムリソース
システムリソース
ニフクラにおける選定項目
各リソースの見積をするタスク
vCPU数
個別の選択不可
サーバータイプより選択性能見積
メモリ容量
増設ディスク容量、増設ディスク本数
5. 標準/高速フラッシュドライブと標準/高速ディスクのみ一部ゾーンで作成最大容量が2,000GB (100GBごと) まで作成可能。6. ゾーンによって選択できる増設ディスクは異なります。 ニフクラ ゾーン別機能対応表・サーバー・ディスク機能「増設ディスク」項目の最新情報を確認してください。容量見積
ネットワーク帯域
グローバルネットワーク(ベストエフォート)
プライベートネットワーク(ベストエフォート)通信容量見積
-
性能見積
- 作業概要
-
性能見積対象から必要となるサーバー性能(vCPU/メモリ)やストレージ性能、ネットワーク性能を算出し、仮想サーバーその他のリソースについて選定してください。
-
留意事項
留意事項
内容
選択値・条件
仮想サーバータイプの選定
ニフクラでは、vCPUとメモリをセットにしたサーバータイプから選定してください。
Type-h2、Type-e、Type-cから選定
CPUクロック数
CPUクロック数は公開しておりません。別途性能を測定した ベンチマーク値 などを確認してください。
また、要件に沿って利用者自身で検証を実施し性能を確認してください。係数での見積はNG
オンプレミスと異なり、システム係数などによる厳密な性能見積もりはできません。
要件定義工程で性能検証をしていない場合は、CPU性能、ストレージ性能、ネットワーク性能等、プロトタイプで検証をしてください。- CPU性能
-
サーバータイプを選定して性能検証してください。
- ストレージ性能
-
IOPSは保証できません。
- ネットワーク性能
-
帯域保証はできません。
システム全体性能の考慮
仮想サーバー単体の性能に依存せず、システム全体として性能を充足するようなスケールアウトも考慮して設計してください。
平常時/ピーク時 それぞれの見積
稼働後のスケールアップ/ダウンやスケールアウト/インを含め、平常時/ピーク時をそれぞれ意識してサーバータイプを選定してください。
これにより、クラウドサービスによるコスト最適化が見込まれます。スケール処理時の業務影響
稼働後のスケールアップ/ダウンやスケールアウト/インを見越して選定をする際、スケールアップ/ダウン、スケールアウト/イン実行時の業務影響について検討してください。また、スケールアップ/ダウン、スケールアウト/インの方法について設計をしてください。
プロトタイプ
要件定義工程にてプロトタイプによる性能測定を実施した場合はその内容を反映します。
-
容量見積
- 作業概要
-
ストレージの容量見積をしてください。ニフクラでは、使用できるストレージ容量に制限が有ります。そのため、ストレージ容量を見積もり、容量制限にかかる場合はスケールアウトなども検討してください。
-
留意事項
留意事項
内容
ストレージ種別
ニフクラで利用可能なストレージは後述します。
物理装置の選定
物理的なディスクアレイ装置については、ユーザーによる選定は行えません。
IOPS
IOPS、スループットはベストエフォートでの提供となるため保証できません。要件定義工程で性能検証をしていない場合は、ストレージ性能について、プロトタイプで検証をしてください。
-
ニフクラで利用可能なストレージ
ストレージ種別
用途・特徴
選択値・条件
ローカルディスク
仮想サーバー配備時にローカルディスクとしてアタッチされるディスク。
Linux系OS 30GB、Windows系OS 80GB
増設ディスク
仮想サーバーに新しいボリュームとしてアタッチ可能なディスク。
-
指定範囲100GB~1,000GB (100GB単位)
標準フラッシュドライブ、高速フラッシュドライブと標準ディスク、高速ディスクのみ一部ゾーンで100GB~2,000GB (計28TB)
各フラッシュドライブ、ディスクの対応ゾーンは ニフクラ ゾーン別機能対応表・サーバー・ディスク機能「増設ディスク」項目の最新情報を確認してください。 -
1サーバーに14本まで増設可能
オブジェクトストレージサービス
オブジェクト単位でデータを分割保存するオンラインストレージ。
ニフクラNAS
NFS/CIFS プロトコルに対応したNAS。ニフクラNASでは2つのタイプを選択可能。
-
高速タイプ:1TB~10TB /領域 1TB単位で増設
-
標準タイプ:100GB~1TB /領域 100GB単位で増設
-
-
通信容量見積
- 作業概要
-
通信容量見積をし、通信の方式を決定してください。ニフクラでは帯域保証はありません。そのため、プロトタイプ検証によりスループットとレスポンスを確認のうえ、通信方式を決定してください。
-
留意事項
留意事項
内容
スループットとレスポンス
利用する接続形態(インターネット接続/ニフクラ内部)ごとに通信容量を確認し、それぞれの接続形態が必要なスループットを満たすか、レスポンスを満たすか検証してください。要件定義工程で性能検証をしていない場合は、ネットワーク性能について、プロトタイプにて検証をしてください。
-
ニフクラで利用可能な接続形態
※詳細は『3.ネットワーク』及び『ニフクラ個別設計・移行設計指針2.外部接続』の章を参照してください。接続形態
帯域保証
用途・特徴
選択値・条件
インターネット接続
なし(ベストエフォート)
標準提供されるインターネット接続です。共通のため帯域保証はできません。
プライベートネットワーク
なし(ベストエフォート)
ニフクラのプライベート側ネットワークです。共通のため帯域保証はできません。
拠点間VPNゲートウェイ(IPsecVPN)
なし(ベストエフォート)
ニフクラのIaaS上にデプロイして、利用者拠点とインターネットVPN接続可能なサービスです。
インターネットVPN(H/W)(IPsecVPN)
なし(ベストエフォート)
機器設置型(ハードウェアタイプ)の利用者拠点とインターネットVPNで接続可能なサービスです。
-
利用可能帯域は30Mbpsベストエフォート
リモートアクセスVPNゲートウェイ(SSL-VPN)
なし(ベストエフォート)
ニフクラのIaaS上にデプロイして、利用者端末とインターネットVPN接続可能なサービスです。
ダイレクトポート接続
なし(ベストエフォート)
回線事業者の閉域網・専用線を引き込みニフクラと直接接続できる物理ポートを提供します。
利用可能帯域は1Gbpsベストエフォート
物理ポート
なし (ベストエフォート)
プライベートブリッジを通信キャリアの回線または構内配線と接続するネットワークサービスです。
-
利用可能帯域はベストエフォート
-
利用可能メディアタイプ
- コロケーションプラン
-
1000BASE-T、1000BASE-LX、10GBASE-LR
- 構内接続プラン
-
1000BASE-T, 1000BASE-SX, 1000BASE-LX, 10GBASE-SR, 10GBASE-LR
-
-
性能検証プロトタイプの①設計②開発(構築)③評価
- 作業概要
-
要件定義工程で性能検証をしていない場合は、CPU性能、ストレージ性能、ネットワーク性能等、プロトタイプで検証をしてください。
-
留意事項
留意事項
内容
プロトタイプの設計/開発
性能見積対象をもとに、性能検証用のプロトタイプを設計/開発(環境構築)してください。 CPU性能、ストレージ性能、ネットワーク性能等のIaaSの観点、アプリの多重度の観点などを盛り込んでください。特にアプリ多重度の観点では、シングルスレッドで動くアプリ(バッチ処理アプリなど)は、IaaSでは性能を出せないケースが多々ありますので、必ず検証対象として盛り込んでください。
プロトタイプでの検証と評価
検証を実施し、検証結果を評価してください。評価結果から、CPU性能見積、ストレージ性能見積、ネットワーク性能見積の見直しや、アプリ多重度等のアプリ設計の見直しをしてください。
-
仮想サーバー単体の観点
- 作業概要
-
性能・容量見積に基づいて、性能・容量の方式設計を実施します。オンプレミスシステムと異なり、稼働後のリソース拡張/縮小を意識した設計をします。
-
仮想サーバー単体の観点の留意事項
区分
留意事項
内容
選択値・条件
性能
サーバータイプの選定
サーバータイプの変更
-
スケールアップ:一部のサーバータイプ、OSを除いてサーバー再起動必須
-
スケールダウン:再起動必須
-
現在、ホットスケールアップ機能利用不可
ディスク性能
増設ディスクは用途に合わせて数種類から選択可能です。
標準フラッシュドライブ、高速フラッシュドライブ、標準ディスク、高速ディスク、フラッシュドライブより選択
容量
ディスク容量
制限値を考慮して、仮想サーバーにアタッチする増設ディスクの容量を検討してください。
ディスク増設
仮想サーバーに対して、増設ディスクの増設が可能です。
1サーバー最大14本まで増設可能
ディスク容量の拡張
仮想サーバー配備時に割り当てられるローカルディスクは拡張不可能です。仮想サーバーにアタッチ済みの増設ディスクは、一部対象のOSで容量を拡張可能です。対象イメージ以外で容量を拡張したい場合は、以下の方法等、利用者自身で対応する必要があります。
-
新たに要件を満たす容量の増設ディスクを作成し、手動でデータを移行する
-
OS上で論理ボリュームを構成する
-
縮小は不可
-
容量拡張は100GB/回ごと
ディスク容量の制限値
ディスクの制限値を超えることが想定される場合は、別途増設ディスクをアタッチして対応を検討してください。
ニフクラRDBディスク容量の制限値
ニフクラRDBのディスクは、後から拡張が可能です。
-
-
システム全体の観点
- 作業概要
-
性能・容量見積に基づいて、性能・容量の方式設計を実施します。オンプレミスシステムと異なり、稼働後のリソース拡張/縮小を意識した設計をします。
-
システム全体の観点の留意事項
区分
留意事項
内容
選択値・条件
性能
負荷分散
ロードバランサー(L4)、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2Vシリーズ)を提供
コンテンツ配信
静的なhtmlなどのファイルをキャッシュサーバーに配置するコンテンツ配信サービス(CDN)の利用を検討してください。ニフクラはサードパーティ製のソリューションサービスを提供しています。
Fastly、J-stream CDNextを提供
アプリ多重度
シングルスレッドで動くアプリ(バッチ処理など)はIaaSでは性能を出せないケースが多いため、アプリを多重に起動できるよう設計してください。
レスポンスの妥当性確認
オンプレミスシステムと同様に、システム全体のレスポンス概算見積もりをし、妥当性の確認をしてください。ニフクラではベストエフォート方式にて提供されるリソースがあるため、あくまでも概算での検討となることに留意してください。
データベースのリードレプリカ
データベースへのアクセスが多い場合に利用する参照専用のデータベース(リードレプリカ)の利用を検討してください。
容量
ディスク容量
制限値を考慮して、システム全体のディスク容量を検討してください。仮想サーバー単体のディスク容量(ローカルディスク/増設ディスク)に加えて、ディスクやデータベースをバックアップする際の増設ディスクなどの容量を検討してください。
ディスク容量の制限値
ディスクの制限値を超えることが想定される場合は、スケールアウトなどでの対応を検討してください。
通信容量
インターネットとニフクラ上のシステムとの間の通信容量、ニフクラ上のシステムとオンプレミスのシステムとの間の通信容量等の要件を確認してください。
グローバルネットワークの通信量10TB超過で課金対象
- 各ロードバランサーの性能指標
-
ロードバランサー(L4)とマルチロードバランサー
-
両サービスともに用意されている帯域メニューから選択可能です。必要とする帯域を選択してください。それぞれのサービスが提供できるTLS性能イメージについては下記グラフを確認してください。詳細はロードバランサーの TLS性能比較 を参照してください。
-
-
L7ロードバランサー(Ivanti Virtual Traffic Manager)
-
ニフクラの仮想サーバーにソフトウェアをインストールし利用します。機能によりシリーズを選択し、必要帯域のライセンスを購入し利用します。帯域とSSLのトランザクション数に応じて推奨サーバーを公開しています。選択時の参考にしてください。詳細は L7ロードバランサー(Ivanti Virtual Traffic Manager) の推奨サーバーを参照してください。
-
-
統合ネットワークサービス(IPCOM VE2Vシリーズ)
-
ニフクラのパブリックイメージとして公開しているIPCOM VE2Vシリーズを作成し利用します。機能によりシリーズを選択し、スペックによりタイプを選択します。負荷分散機能利用時のスループット/処理性能について参考測定値を公開しています。選択時の参考にしてください。詳細は統合ネットワークサービス(IPCOM VE2Vシリーズ)の 性能 を参照してください。
-
-
スケールアップ/ダウンの観点
- 作業概要
-
性能・拡張性要件に基づいて、システム拡張性を確保するための方式を設計します。vCPU/メモリ/ストレージを拡張する方式としてスケールアップやスケールアウト等を検討します。
-
スケールアップ/スケールダウンの観点の留意事項
区分
留意事項
内容
選択値・条件
性能
スケールアップ/スケールダウン
仮想サーバー単体の性能を向上させたい場合は、スケールアップを選択します。
OS/MWのライセンス数に注意してください。仮想サーバー内で複数の処理が同時に実行されてCPU負荷が大きい場合や、メモリ不足で処理スピードが出ない場合は、現状から仮想サーバーの単体性能を向上させられるサーバータイプを選択し、スケールアップします。ただし、1スレッドの処理で単純にCPUスピードが不足しているような場合は、IaaSレベルでは対応策がありません。アプリをマルチプロセス/マルチスレッドに対応させる等、アプリ設計も見直してください。-
スケールアップ:一部のサーバータイプ、OSを除いてサーバー再起動必須
-
スケールダウン:再起動必須
-
現在、ホットスケールアップ機能利用不可
データベースのスケールアップと制限事項
WebサーバーやAPサーバー、バッチサーバー等の仮想サーバー(クライアント)からデータベースに接続するシステム形態の場合で、クライアントの仮想サーバーをスケールアウトで増やした場合、データベースの同時接続数/同時処理数の増加により負荷があがります。その場合も、データベース用仮想サーバーのサーバータイプを変更し、スケールアップしてください。
-
-
スケールアウト/インの観点
- 作業概要
-
性能・拡張性要件に基づいて、システム拡張性を確保するための方式を設計します。vCPU/メモリ/ストレージを拡張する方式としてスケールアップやスケールアウト等を検討します。
-
スケールアウト/スケールインの観点の留意事項
区分
留意事項
内容
選択値・条件
性能
スケールアウト/スケールイン
システムの同時処理性能を向上させたい場合は、スケールアウトを選択してください。スケールアウトでピーク時の同時処理性能の向上と、スケールインで平常時の仮想サーバー台数抑制によるコスト削減が見込まれます。
スケールアウト/スケールインの対応状況の確認
スケールアウト/インの際は、業務アプリやミドルウェアが機能的に対応できるか、OS/MWのライセンス上問題ないかを確認してください。
- スケールアウトできないパターン
-
以下の場合は、スケールアウトできません。
-
データベースサーバーのようにデータを一元管理するような場合
-
他のシステムから接続される前提のシステムで、他システムがスケールアウトに対応できない場合
-
- オートスケールができないパターン
-
以下の場合は、オートスケールできません。
-
利用時にアクティベーションが必要なライセンスの場合
-
ライセンスがホスト名と紐づく場合
-
OS/MWが機能的に対応していないような場合
-
ニフクラでプライベートLANを利用している場合
-
増設ディスク付きカスタマイズイメージの場合
-
- 業務アプリの方式により検討が必要なパターン
-
業務アプリがサーバー内にセッション情報やサーバー固有の設定情報を保持しているような方式の場合、サーバー内から固有の情報を外部のデータベースやNAS等の共有ディスクに保持するような方式へ変更ができれば、スケールアウト/スケールインは可能です。[11][12]
性能
オートスケールの条件
-
リソース負荷では以下のトリガーが設定可能です。
-
サーバー:CPU使用率/メモリ使用率/ネットワーク流量
-
ロードバランサー(L4):ネットワーク流量
-
設定した負荷を下回った場合、スケールアウトしたサーバーが自動的に削除されます。
-
-
オートスケール後OS起動まで数分かかる
-
プライベートLAN利用の仮想サーバーはオートスケール未対応
オートスケールの留意事項
オートスケールは、テンプレート(カスタマイズイメージ)を用いてシステムを構築します。
オートスケールでは、ロードバランサー(L4)の併用を推奨します。ロードバランサー(L4)を併用すると、ヘルスチェック機能が利用可能です。
その他、オートスケールの実装例なども含めて、 クラウドデザインパターン:オートスケールパターンを確認してください。
-
ストレージ容量の観点
- 作業概要
-
性能・拡張性要件に基づいて、システム拡張性を確保するための方式を設計します。ストレージ容量を拡張する方式としてスケールアップやスケールアウト等を検討します。
-
ストレージ容量留意事項
区分
留意事項
内容
容量
ストレージ容量の制限値
ストレージの制限値を超えることが想定される場合は、スケールアウトなどでの対応を検討してください。
-
その他の観点
- 作業概要
-
性能・拡張性要件に基づいて、システム拡張性を確保するための方式を設計します。
-
その他の観点の留意事項
区分
留意事項
内容
選択値・条件
その他
ネットワーク帯とIPアドレス設計
ニフクラでは、仮想サーバー/ロードバランサー等の各種サービスを利用する際にIPアドレスを使用します。インターネット環境と通信可能なグローバルIPアドレス、共通プライベートでのプライベートIPアドレスは、ニフクラからDHCPで払いだされます。ニフクラのサーバーに払い出されるグローバルIPアドレス帯はニフクラホームページにて公開されています。
プライベートIPアドレスは、プライベートLANを利用することで自由に設定可能です。[14]マルチIPアドレスを利用することで、仮想サーバーに対し複数のグローバルIPアドレスを設定可能です。
14. ネットワークインターフェースあたり100個以上のIPアドレスを割り当てることは禁止事項となります。プライベートLANで設定可能なプレフィックス長16~28
リージョン内の複数ゾーンにまたがった同一サブネット
プライベートLANを利用していれば、プライベートブリッジを利用してプライベートLAN同士をL2延伸できます。
インターネットVPN接続する経路の拡張
インターネットVPNを利用する場合は拠点間VPNゲートウェイ/インターネットVPN(H/W)/リモートアクセスVPNゲートウェイを利用してください。多くの拠点とIPsecVPN接続したい場合は、プライベートLANと拠点間VPNゲートウェイの組で増やしてください。 IPsecVPN接続する拠点を例えば60拠点にしたい場合は、プライベートLAN2つとvpngw.medium1つ、vpngw.large1つを作成します。リモートアクセスVPNゲートウェイ1つあたりの最大コネクション数以上の接続が見込まれる場合には、プライベートLANとリモートアクセスVPNゲートウェイの組で増やしてください。
-
拠点間VPNゲートウェイ/リモートアクセスVPNゲートウェイ:1プライベートLANあたり1つ
-
IPsecVPN:1拠点間VPNゲートウェイあたり、タイプにより50拠点まで接続可能
-
インターネットVPN(H/W):1契約(1接続点)で1拠点と接続可能
-
リモートアクセスVPNゲートウェイ:1つあたり、タイプにより1000コネクションまで可能
各種リソースの制限値/制限値の緩和
仮想リソースでは各種リソースの制限値が存在します。各種リソースの制限値は利用サービスの ニフクラ仕様ページ を確認してください。
システムを設計する際に、各種リソースの制限値がシステム拡張の阻害要因にならないよう、今後のシステム拡張も見据えて、各種リソースの制限値を確認してください。
各種リソースの制限値は、上限を緩和できる場合があります。利用リソースの中で制限値を超えることが想定される場合は、ニフクラの仕様ページの「 各種変更申請フォーム 」より申請してください。[15]
15. サービスによっては上限を緩和できないリソースもあるため留意してください。 -
-
性能・拡張性運用設計
- 作業概要
-
システム全体の運用・保守設計に基づいて、システムが安定した性能を維持するための、管理・運用方法を設計します。
-
留意事項
区分
留意事項
内容
監視
性能監視、リソース監視
性能監視、リソース監視等の監視方式と、異常を検知した際の通知方式を検討してください。
-
性能監視:CPUの利用状況や、業務アプリの同時処理状況等を監視します。
-
リソース監視:メモリの利用状況や、ストレージの利用状況を監視します。
CPUやメモリの使用量等、仮想サーバーのリソース監視については、ニフクラの基本監視サービスで監視可能です。監視可能な項目は、ニフクラの仕様ページを確認してください。ただし、業務アプリのレスポンスや、業務アプリが使用しているメモリ量などを監視したい場合は、ニフクラの機能ではできません。別途、Zabbix等の監視ツールを導入してください。
対処
スケールアップ、スケールアウト等の検討と実施
性能監視、リソース監視の状況に応じて、スケールアップ/スケールダウン、スケールアウト/スケールイン等をシステムに合わせて検討してください。
オートスケールの処理条件の見直し
オートスケールを活用することで臨機応変にシステムを拡張している場合、オートスケールの条件見直しを検討してください。
運用
オートスケールのカスタマイズイメージ運用
-
-
方式詳細と参考ドキュメント
詳細な方式例としてCDP (クラウドデザインパターン)や、システム構成の参考事例、参考ドキュメントを記載します。
設計項目 |
ドキュメント掲載先 |
ドキュメント名または本ドキュメント内のタイトル |
内容 |
---|---|---|---|
性能関連 |
本ドキュメント |
複数ゾーン構成例 |
性能・拡張性の観点を考慮した複数ゾーン構成の事例を記載しています。 |
CDP |
仮想サーバーを作成した後に判明した性能不足や性能過剰に対して、臨機応変に仮想サーバーの性能を変更したい場合のパターンです。 |
||
ニフクラ一般公開ページ |
ニフクラ サーバータイプ・仕様 |
ニフクラで提供しているサーバータイプ(vCPU/メモリの組み合わせ)の一覧が記載されています。
|
|
ニフクラ一般公開ページ |
ニフクラRDB |
ニフクラで提供しているニフクラRDBのタイプ一覧や仕様詳細が記載されています。 |
|
拡張性関連 |
CDP |
Webサービスで、性能、信頼性を考慮した場合のパターンです。 |
|
CDP |
データセンターの火災や大規模な電源障害など、1つのリージョン全体に影響があるような事態でも、業務を継続したいパターンです。 |
||
CDP |
負荷分散機能に加え、アクセス状況により仮想サーバーの増設を可能にするパターンです。 |
||
CDP |
一時的にストレージが必要になったなど、必要に応じてディスクを増設したい場合のパターンです。 |
2.信頼性
設計のポイント
ニフクラにて信頼性観点で設計をする際のポイントについて、以下のリソース区分について記載していきます。
リソース区分 |
リソースの概要 |
---|---|
仮想リソース全般 |
ニフクラが提供するプライベートLANやルーター、ロードバランサー(L4)サービスやニフクラRDB、仮想サーバー全般について記載します。 |
仮想リソース
-
ニフクラにて信頼性観点で設計をする際には、以下の項目を検討してください。
-
仮想リソース全般
検討項目
検討内容
選択値・条件
信頼性対策方式
システム構成要素ごとの業務への影響、対象範囲、信頼性確保の前提条件を確認し、信頼性対策方式を設計してください。
-
ニフクラ基盤はすべて冗長化しています。詳細情報は非公開です。
-
仮想リソース単体の信頼性を検討してください。
-
ルーターなどのネットワーク系の仮想リソースは、物理サーバーの故障時に、HA機能で復旧します。
-
ディスクは、書き込まれたデータに関して物理機器側で冗長化(RAID6相当)をしています。
-
仮想サーバー単体は、HA機能で、仮想サーバーが搭載された物理サーバーの故障時に復旧します。
-
仮想リソースを組み合わせたシステム全体についての信頼性を検討してください。
Webサーバーやデータベース等、それぞれの仕組みに合わせて、運用待機構成(ホットスタンバイやコールドスタンバイ)または両系運用構成を検討してください。
データ保全方式
信頼性要件に基づいてデータ保全のための実現方式を設計してください。対象のデータにより、ニフクラの機能やサードパーティ製のミドルウェアを利用してディスク単位でフルバックアップするか、ファイル単位で増分バックアップや差分バックアップする等、データ保全の方式を検討してください。
-
バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)を利用することにより、増分/差分バックアップ等も行えます。
-
別途ファイルのバックアップツールを自作する、あるいは、バックアップ用のミドルウェアを導入することを検討してください。導入に必要なライセンス数などには留意してください。
-
ニフクラのバックアップサービスは利用リージョンの混雑状況により、希望の時間帯でバックアップの設定をできない場合があります。
-
増設ディスク300GBまでカスタマイズイメージ機能によるイメージ保守可能
-
カスタマイズイメージは増分/差分バックアップ不可
-
増設ディスクのみのイメージ保守未対応
-
バックアップサービスは1~10世代まで保持可能(2世代目以降増分バックアップ)
災害対策方式
信頼性要件に基づいて、自然災害などの備えとなる機器やシステムを設計してください。データのバックアップや、システム全体を遠隔地の災害対策環境(DRサイト)に保全するための実現方式を検討してください。[17]
-
DRサイトを構築する場合、同じ国内の別リージョンを選択してください。
-
ニフクラでは、リージョン間でデータ同期を支援する機能の提供はありません。
-
DRサイト間でデータを同期したい場合は、サイト間のネットワークをIPsecVPNかダイレクトポートサービスを用いて回線を別途ニフクラに引き込み、リージョン間を接続したうえでscpなどのコマンドでコピーするスクリプトを作成する、あるいはバックアップ用ミドルウェアを導入することを検討してください。
-
ニフクラでは、DRサイトを切り替える機能は提供しません。DNSのフェイルオーバー機能などを利用したサイト切り替え方式を検討してください。
17. 本ドキュメント内「DNSのフェイルオーバー機能での切替動作概要」参照東日本リージョン/西日本リージョンより選択
-
-
適用の指針
-
設計のポイントで例示した検討項目について、検討対象への適用の指針を記載します。
主な検討内容\検討項目 |
サーバー単体に対して適用を検討する項目 |
システム全体に対して適用を検討する項目 |
|||||||
---|---|---|---|---|---|---|---|---|---|
共通 |
運用待機(active/standby) |
両系運用(active/active) |
|||||||
HA |
サーバーセパレート |
複数ゾーン |
冗長化設定 |
その他のクラスター製品 |
コールドスタンバイ |
負荷分散 |
オートスケール |
その他のクラスター構成 |
|
ルーター/拠点間VPNゲートウェイ/マルチロードバランサー/リモートアクセスVPNゲートウェイ |
○ |
- |
- |
- |
- |
- |
- |
- |
- |
ロードバランサー |
- |
- |
○※1 |
○※1 |
- |
- |
- |
- |
- |
Webサーバー APサーバー |
○ |
○ |
○※2 |
- |
△※3 |
○ |
○ |
○※4 |
△※3 |
データベースサービス(ニフクラRDB) |
○ |
○※5 |
- |
○ |
- |
- |
- |
- |
- |
データベースサーバー(独自) |
○ |
○ |
○※2 |
- |
△※3 |
○ |
- |
- |
△※3 |
バッチサーバー |
○ |
○ |
○※2 |
- |
△※3 |
○ |
- |
- |
△※3 |
ニフクラ NAS ※6 |
- |
- |
- |
- |
- |
- |
- |
- |
- |
-
※1 ロードバランサーは物理的に冗長構成となっており、信頼性は担保されています。
-
※2 複数ゾーンへの配備は可能です。ゾーン間をプライベートブリッジを利用することによりL2接続できます。冗長化の方式は別途検討してください。
-
※3 その他のクラスター製品に関してはクラウド環境での利用に関して、技術上、ライセンス上問題ないか事前に確認してください。
-
※4 オートスケール機能は、プライベートLAN環境には対応していません。
-
※5 ニフクラRDBを冗長化した場合、異なる物理サーバーに配備されます。
-
※6 ニフクラNASは冗長化されています。ただし障害時は5分を目安として切り替わりのための停止が発生します。
適用事例:単一ゾーン構成
構成図補足
- 【ロードバランサー(L4)】
-
ニフクラでは、可用性向上と性能向上のための負荷分散機能として、ロードバランサー(L4)サービスを提供しています。ロードバランサー(L4)サービスを 1つ設定することで、この事例のように仮想サーバーへ負荷分散が可能です。ロードバランサー(L4)サービスの構成では、信頼性の観点では以下の特徴があります。
①ロードバランサー(L4)に障害が発生した場合、Standby機に切り替わりが発生し正常復旧します。
→本ドキュメント内「ロードバランサー(L4)を利用したシステムの障害時の動作」参照
②ロードバランサー(L4)で設定している仮想サーバーでの障害発生により、ヘルスチェックがエラーとなった場合、仮想サーバーは負荷分散の対象から切り離されます。
他ロードバランサー
マルチロードバランサーではHAで信頼性を担保します。L7ロードバランサー(Ivanti Virtual Traffic Manager)はHAの対象となります。冗長構成を組むことも可能です。 - 【Web/APサーバー】
-
ロードバランサー(L4)からアクセスされる形態です。
- 【DBサーバー】
-
ニフクラRDBは、オンプレミスで実施する複雑なデータベースの構成設計をすることなく、APIのパラメーターだけでデータベースの冗長化が可能なサービスです。ニフクラRDBの特徴的な構成として、以下の内容で構成しています。
-
データベースを同一のゾーン内にて主系/待機系で冗長化する構成。さらに、データ保全の観点で、以下の機能も利用可能です。
-
①データベースの自動バックアップ
-
②ポイントインタイムリカバリー
-
-
適用事例:複数ゾーン構成
構成図補足
- 【DBサーバー】
-
ニフクラRDBは複数ゾーンにまたがった構成はできません。そのため本事例でのデータベースサーバーは、独自にIaaSで構築した構成となります。冗長化、同期の仕組み、バックアップ方式等は、別途利用者側で検討する必要があります。本事例のとおり追加NICを利用することでサービス用のプライベートLANとは別に、同期用のプライベートLANも構築可能です。
カテゴリ項目ごとの作業と留意事項
-
カテゴリ項目ごとの作業概要
※ここではニフクラのリソースについてのみ記載します。カテゴリ項目
作業
ニフクラでの作業概要
信頼性
信頼性対策の方式設計
システム構成要素ごとの業務への影響、対象範囲/信頼性確保の前提条件を確認し、信頼性対策方式を設計してください。ニフクラ基盤の信頼性対策方式を前提に、利用者が配備したニフクラの仮想リソースの信頼性対策方式を検討してください。
-
検討のポイント
運用待機構成(ホットスタンバイやコールドスタンバイ)、両系運用
データ保全対策の方式設計
信頼性要件に基づいて、データ保全のための実現方式を設計してください。対象のデータにより、ニフクラのカスタマイズイメージ機能やバックアップサービスを利用してサーバー単位でフルバックアップするか、ファイル単位でフルバックアップや増分/差分バックアップする等、データ保全の方式を検討してください。
-
検討のポイント
サーバーのバックアップ→カスタマイズ機能、バックアップサービス、バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)を検討
ファイルのバックアップ→バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)、ツール自作等を検討
災害対策の方式設計
信頼性要件に基づいて、自然災害などの備えとなる機器やシステムを設計してください。データのバックアップや、システム全体を遠隔地の災害対策環境(DRサイト)に保全するための実現方式を検討してください。
-
検討のポイント
DRサイトの規模/内容
DRサイトとのデータ同期(バックアップ)
DRサイトへのサイト切替(DNSのフェイルオーバー機能などによる切替)
障害時対応の方式設計
障害対策方式(復旧方式の設定、縮退操作の設定)を設計してください。基本的な設計方法はオンプレミスと同様です。ニフクラRDBなどニフクラが提供するサービスについても、障害発生、復旧時の挙動を把握して設計してください。
信頼性運用設計(定常時)
システム全体の運用・保守設計に基づいて、信頼性の定常時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスシステムと同様です。(記載を省略します。)
信頼性運用設計(障害時)
システム全体の運用・保守設計に基づいて、信頼性の障害時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスシステムと同様です。(記載を省略します。)
-
信頼性対策の方式設計(ニフクラ基盤)
- 作業概要
-
システム構成要素ごとの業務への影響、対象範囲/信頼性確保の前提条件を確認し、信頼性対策方式を設計してください。ニフクラ基盤の信頼性対策方式を前提として、利用者が配備したニフクラの仮想リソースの信頼性対策方式を検討してください。
区分1
区分2
対象
信頼性方式
信頼性方式が実現する内容
ニフクラ基盤
物理機器
ネットワークストレージ物理サーバー
冗長化
仮想リソース搭載物理サーバー
自動フェイルオーバー(HA機能)
リソース再配置
利用者がリソースを大量に消費した場合、ニフクラ内部で自動的にリソースの再配置が行われ、負荷障害を抑止します。
仮想リソース単体
サーバー
仮想サーバー
仮想サーバーが配備された物理サーバーにて故障した場合、筐体内の仮想サーバーを別の物理サーバーにフェイルオーバーします。
サーバーセパレート
増設ディスク
標準フラッシュドライブA/B
高速フラッシュドライブA/B
高速ディスクA/B別筐体利用
標準フラッシュドライブ、高速フラッシュドライブ、高速ディスクに関して、A/Bの別筐体となるディスクを用意しています。
AとBではそれぞれ筐体の分離が保証されます。
A同士またはB同士における筐体分離の保証はないため留意してください。システム全体
共通
環境
複数ゾーン
物理的に区分された環境(ゾーン)を複数組み合わせてシステムを構成することにより、環境の信頼性向上が可能です。
運用待機
サービス
ニフクラRDB
ホットスタンバイ
ニフクラRDBでは、冗長化設定によりホットスタンバイが可能です。
ロードバランサー(L4)自体
ロードバランサー(L4)については、ニフクラにて冗長化を実施しています。
万が一の故障時には、自動的に待機系への切り替わりが実施されます。サーバー
仮想サーバー
その他
コールドスタンバイ仮想サーバーは、オンプレミスと同様にコールドスタンバイの構成も可能です。
両系運用
サービス
仮想サーバー
負荷分散
ロードバランサーを利用して負荷分散構成の実現が可能です。
仮想サーバー異常時は、ロードバランサーによって切り離されます。-
本ドキュメント内
「ロードバランサー(L4)を利用したシステムの障害時の動作」を参照
サーバー
仮想サーバー
オートスケール
CPU、メモリ使用率、ネットワーク流量に応じて、設定した上限まで仮想サーバーの稼働が可能です。
-
データ保全対策の方式設計
- 作業概要
-
信頼性要件に基づいてデータ保全のための実現方式を設計してください。対象のデータによりニフクラのカスタマイズイメージ機能を利用してサーバーをフルバックアップするか、ファイル単位でフルバックアップや増分/差分バックアップする等、データ保全の方式を検討してください。
-
ニフクラでのバックアップ手法
バックアップ手法
データ保全の対象
データ保全の環境
留意事項、その他備考
サーバー全体
増設ディスク
ファイル
他ゾーン
他リージョン
他サイト
バックアップ用ミドルウェア導入/scpコマンド等でデータコピー
○
○
○
○
○
○
バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)
○
○
○
○
○
○
バックアップ先として他ゾーン/他リージョン/他サイト等を利用する場合は、別途通信経路を検討してください。(IPsec VPN接続など)
ワンデイスナップショット
○
○
-
-
-
-
カスタマイズイメージ(バックアップ)
○
○
-
○
○
-
バックアップ
○
○
-
-
-
-
-
仮想サーバーのエクスポート機能、テープバックアップなどの機能提供はありません。留意してください。
-
災害対策の方式設計
- 作業概要
-
信頼性要件に基づいて、自然災害などの備えとなる機器やシステムを設計してください。データのバックアップやシステム全体を遠隔地の災害対策環境(DRサイト)に保全するための実現方式を検討してください。
-
検討事項
検討事項
内容
DRサイト規模、内容
目標復旧時間/復旧時点、求められる性能などにより、DRサイトを本番環境と同一構成とするか、最小限のシステム構成とするか等、DRサイトの規模、内容を検討してください。DRサイトの規模、内容を検討する際は、ゾーン間での冗長化も合わせて検討してください。次表に、業務継続性別のDRサイト/ゾーン冗長の選択指針例を記載します。
-
本ドキュメント内「DRサイト構築事例概要:構成概要」を参照
DRサイト構築
DRサイトを構築する際は、各リージョンでそれぞれシステムを構築してください。
カスタマイズイメージ(バックアップ)/イメージ配布やクラウド型バックアップサービス(バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud))を利用することにより、別リージョンへ同一の仮想サーバーを作成できます。DRサイト間ネットワーク
プライベートブリッジにより、リージョン間のプライベートLANを接続できます。
ダイレクトポートサービスを利用し、閉域網や専用線によりリージョン間を接続できます。
拠点間VPNゲートウェイ、インターネットVPN(H/W)を利用し、IPsecVPNを用いて、暗号化された経路で安価にインターネット越しに接続できます。DRサイト間データ同期
DRサイト間でデータを同期したい場合は、サイト間のネットワークをIPsecVPNかリージョン間を閉域網などにより接続し、scpなどのコマンドでコピーするスクリプトを作成する、あるいはレプリケーション可能なミドルウェアを導入することを検討してください。
DRサイト切替
ニフクラでは、DRサイトを切り替える機能は提供していません。外部に公開しているWebサイトなどでは、DNSのフェイルオーバー機能を利用することでDRサイトへの切り替えが可能です。複数リージョンにて、同一のシステムを構築し、DNSサービスの「フェイルオーバー」機能を利用することで、リージョン障害が起こった場合でも別リージョンで業務継続可能となります。
-
-
業務継続性別のDRサイト/ゾーン冗長の選択指針例
災害対策(DRサイト)
ゾーン規模障害対策
許容可能停止時間
仮想サーバー SLA対象
システム概要
推奨適用パターン
リージョン
ゾーン
必要
必要
無停止
対象
大規模基幹システム
複数リージョン
複数ゾーン
不要
数時間
基幹システム
複数リージョン
単一ゾーン
不要
必要
数時間
基幹システム
単一リージョン
複数ゾーン
不要
1日程度
非基幹システム
情報参照系システム単一リージョン
単一ゾーン
-
障害時対応の方式設計
- 作業概要
-
障害対策方式(復旧方式の設定、縮退操作の設定)を設計してください。基本的な設計方法はオンプレミスと同様です。ニフクラRDBなどニフクラが提供するサービスについても、障害発生時、復旧時の挙動を把握して設計してください。
-
検討事項
検討事項
内容
復旧方式
Webサーバーなどの仮想リソースごとに、想定される障害一覧、業務影響、復旧方式などを検討してください。ニフクラで想定される障害としては、以下のようなものがあります。
-
仮想リソース(ルーター、マルチロードバランサー、仮想サーバー等)を配備した物理機器のハード障害
-
仮想サーバー障害(OS以上の領域の障害に伴う)
-
仮想サーバー内のOS/ミドルウェア障害
-
仮想サーバー内のアプリ障害
-
仮想サーバー内のアプリのスローダウン
-
-
ゾーン障害
-
ニフクラ⇔オンプレミス間ネットワーク障害
等
縮退方式
冗長化構成にしている仮想リソースに対して、片系で障害が発生した場合のSE作業及びシステム動作を検討してください。ニフクラで想定される障害としては、以下のようなものがあります。
-
ロードバランサーで障害
-
ロードバランサーにて負荷分散されているWebサーバーで障害
-
冗長化設定したニフクラRDBの片系障害
等
-
-
復旧方式の設計例
-
復旧方式の設計例
検討対象
想定される障害
影響範囲
業務影響
復旧方式
ルーター 拠点間VPNゲートウェイ マルチロードバランサー 仮想サーバー リモートアクセスVPNゲートウェイ
仮想リソースを搭載した物理機器のハード障害
単体
あり
仮想リソースのHA後、必要に応じて業務的なリカバリ処理を実施
ゾーン障害
ゾーン
あり
ニフクラ基盤の復旧後、必要に応じて業務的なリカバリ処理を実施
ロードバランサー(L4)
物理機器障害
単体
あり
自動で従系に切り替わるため、基本対処の必要なし
ゾーン障害
ゾーン
なし
ゾーンに依存しないためロードバランサー(L4)自体に影響はなし
ロードバランサー配下のWebサーバー
仮想リソースを搭載した物理機器のハード障害
片系
なし(縮退)
仮想リソースのHA後、ロードバランサーに自動組込み必要に応じて業務的なリカバリ処理を実施
両系
業務停止
OS/ミドルウェア障害
片系
なし(縮退)
必要に応じて業務的なリカバリ処理を実施
両系
業務停止
業務を停止して、OS/ミドルウェア保守を実施
アプリ障害
片系
なし(縮退)
必要に応じて業務的なリカバリ処理を実施
両系
業務停止
業務を停止して、アプリ保守を実施
アプリのスローダウン
-
性能劣化
必要に応じて業務的なリカバリ処理を実施
以下省略
- memo
-
ニフクラに限らず、オンプレミスでも、上記のような復旧方式や縮退方式の設計は必要です。復旧方式や縮退方式は、仮想サーバーで処理する業務により、処理内容を検討してください。
方式詳細と参考ドキュメント
詳細な方式例としてCDP (クラウドデザインパターン)や、システム構成の参考事例、参考ドキュメントを記載します。
設計項目 |
ドキュメント掲載先 |
ドキュメント名または本ドキュメント内のタイトル |
内容 |
---|---|---|---|
信頼性関連 |
本ドキュメント内 |
適用事例:複数ゾーン構成 |
信頼性の観点を考慮した複数ゾーン構成の事例を記載しています。 |
CDP |
Webサービスで、性能、信頼性を考慮した構成を実現したい場合のパターンです。 |
||
本ドキュメント内 |
ロードバランサー(L4)を利用したシステムの障害時の動作 |
ニフクラのロードバランサー(L4)を利用したシステムの想定障害として、ロードバランサー(L4)自体が異常の場合と、ロードバランサー(L4)配下の仮想サーバーが異常の場合を記載しています。 |
|
CDP |
データセンターの火災や大規模な電源障害など、1つのリージョン全体に影響があるような事態でも、業務を継続したいパターンです。 |
||
CDP |
負荷分散機能に加え、アクセス状況により仮想サーバーの増減を可能にするパターンです。 |
||
CDP |
共有ストレージを構築するパターンです。 |
||
CDP |
仮想サーバーを確実に別々の物理サーバー上に配備することで、ニフクラ内部で物理サーバー故障時の影響範囲を局所化するようにしたい場合のパターンです。 |
||
CDP |
セットアップや運用(スケーリング、バックアップなど)を容易に実行できる、ニフクラのニフクラRDBを利用するパターンです。 |
||
データ保全関連 |
CDP |
仮想サーバーにOSのパッチ適用作業などをする前や、増設ディスクのデータを変更する前に、データを高速に保存し、万一の場合に復旧できるようにしたいといった場合のパターンです。 |
|
CDP |
ニフクラに配備した仮想サーバーを、サーバー構築の効率化のために複製したいといった場合のパターンです。 |
||
災害対策関連 |
本ドキュメント内 |
DRサイト構築事例概要 :構成概要 |
東日本リージョンに本番環境、西日本リージョンに災害対策環境(DRサイト)を構築する事例です。本番環境から DRサイトへのバックアップ例も記載しています。 |
本ドキュメント内 |
DNSのフェイルオーバー機能での切替動作概要 |
東日本リージョンがダウンした際に、西日本リージョンに切り替える事例です。 |
ロードバランサー(L4)を利用したシステムの障害時の動作
- 障害事例~ロードバランサー(L4)障害時
-
ニフクラのロードバランサー(L4)異常時は、従系へ自動的に切り替わりが発生し、正常復旧します。そのため利用者側でロードバランサー(L4)についての対処は不要です。
- 検討事項
-
-
セッション引継ぎ
-
ロードバランサー(L4)の切り替わり時にはセッションの引継ぎは行われないことに留意してください。
-
-
切り戻し
-
復旧したロードバランサー(L4)は従系として組込みを実施し、基本的に切り戻しは実施しない方針となります。やむを得ず、切り戻しをする場合は、事前にメンテナンス告知を実施し作業します。障害お知らせ通知などを利用して情報を収集してください。
-
-
振り分け先サーバー障害時のロードバランサー(L4)の動作
-
障害事例~ロードバランサー(L4)配下の仮想サーバー障害時
-
ロードバランサー(L4)配下に、Webサーバーが2台設定されているものとします。Webサーバー2台のうち、1台に正常にアクセスできなくなり、ロードバランサー(L4)からのヘルスチェックが異常となった場合、そのWebサーバーがロードバランサー(L4)から切り離されます。切り離されたWebサーバーは、ロードバランサー(L4)のヘルスチェックで正常なアクセスが確認できた場合、再度ロードバランサー(L4)に組み込まれます。
-
-
正常時
-
Webサーバー2台に正常にアクセスできている状態
-
-
Webサーバーに異常発生
-
Webサーバー1台が正常にアクセスできなくなった状態。ヘルスチェック結果が異常
-
-
異常になったWebサーバーを切り離し
-
正常にアクセスできなくなったWebサーバーを切り離した状態
-
DRサイト構築事例概要:構成概要
- 概要
-
-
東日本リージョンに本番環境、西日本リージョンに災害対策環境(DRサイト)を構築
-
DRサイトは、非常時用として各サーバー1台構成でシステムとネットワークを構築
-
西日本リージョンのシステムは、東日本リージョンにて作成した手順と同様の手順で作成するかカスタマイズイメージ、Acronis等を利用して構築
-
東日本リージョンと西日本リージョンのネットワークは以下2つのパターンで構築
-
①プライベートブリッジを利用してリージョン間のプライベートLANでL2接続(重要データはプライベートLANの経路で転送)
-
②拠点間VPNゲートウェイ、インターネットVPN(H/W)等を利用してIPsecVPNでインターネット越しに接続
-
-
※拠点間VPNゲートウェイに接続されたプライベートLAN同士は、プライベートブリッジなどの接続サービスによって接続できません。(プライベートブリッジとの併用時の注意点についてを参照)
DRサイト構築事例概要:バックアップ構成
構成図補足
- 【リージョン間のバックアップ、レプリケーション】
-
DR環境へのバックアップ、データのレプリケーションには、リージョン間をプライベートブリッジ接続の経路や、IPsecVPNで接続したインターネット越しの経路を通じて実施
※バックアップは自作ツールまたはバックアップ用ミドルウェアを利用
※拠点間VPNゲートウェイに接続されたプライベートLAN同士は、プライベートブリッジなどの接続サービスによって接続できません。(プライベートブリッジとの併用時の注意点についてを参照)
DNSのフェイルオーバー機能での切替動作概要
構成図補足
- 【東日本リージョン罹災時】
-
DNSフェイルオーバーにより自動で、応答するレコードを切り替える。
- フェイルオーバーによるサイト切替の概要
-
-
ニフクラDNSのフェイルオーバーにて、プライマリに東日本のロードバランサー(L4)のIPアドレスを設定する。セカンダリに西日本のWeb/APサーバーのグローバルIPアドレスを設定する。
-
上記の設定により東日本罹災時、DNSフェイルオーバーが発生し、セカンダリのIPアドレスのレコード情報を応答することになります。
-
3.ネットワーク
ネットワーク関連のサービス/機能
以下では、ネットワーク関連のニフクラのサービス/機能を記載しています。ニフクラにてネットワーク観点で設計をする際には、以下のニフクラのサービス/機能を検討してください。
区分 |
対応するサービス/機能 |
ニフクラのサービス/機能の概要 |
選択値・条件 |
---|---|---|---|
LAN |
プライベートLAN |
ニフクラではサーバー作成時、サーバーにグローバルネットワークとプライベートネットワークの2つにNICが接続されます。
プライベートLANを利用することにより、プライベートLANに接続された仮想サーバーのNICに、OSから静的にIPアドレスを設定できます。 [31]
31. サーバー作成後追加NICを付与することにより複数のプライベートLANに所属させることが可能です。
|
|
ルーター |
共通グローバルネットワークと共通プライベートネットワーク、またはプライベートLANを接続する機能を提供します。ルーティング機能、NAT機能、Webプロキシ機能、DHCPオプション機能等を利用できます。通常の仮想サーバーと同様に、ファイアウォールグループに所属できます。 |
||
プライベートブリッジ |
リージョン内の異なるゾーン間(ゾーン内も可)のプライベートLAN同士をL2延伸にて接続可能なサービスです。プライベートブリッジを利用することにより、複数のゾーンを利用したシステムを簡単に構築できます。 |
east-1/east-3/west-1/jp-west-2リージョンで可能 |
|
WAN |
ダイレクトポート/物理ポート、プライベートアクセス(閉域網集線型接続サービス) |
ダイレクトポート/物理ポート、プライベートアクセス(閉域網集線型接続サービス)は、ニフクラ環境と利用者環境を接続するサービスです。
32. 本ドキュメントの「拠点環境とのダイレクトポート接続事例」を参照
|
|
拠点間VPNゲートウェイ |
L2、L3接続対応 |
||
インターネットVPN(H/W) |
L3接続対応 |
||
リモートアクセスVPNゲートウェイ |
L3接続対応 |
||
サーバー負荷分散 |
ロードバランサー(L4) |
ロードバランサー(L4)サービスは、L4層の負荷分散をするサービスです。L7層は非対応です。 |
|
マルチロードバランサー |
マルチロードバランサーは、L4層の負荷分散をするサービスです。L7層は非対応です。 |
||
L7ロードバランサー(Ivanti Virtual Traffic Manager) |
L7ロードバランサーは、サードパーティ製のソリューションサービスとなります。 L4層の負荷分散のみならず、L7層の負荷分散が可能です。 |
||
ファイアウォール(セキュリティの章も参照) |
ファイアウォール |
ファイアウォールサービスは、プロトコル、ポート番号、Incoming/Outgoingでアクセス許可を制御する機能です。仮想サーバー、ルーター、拠点間VPNゲートウェイに適用可能で、複数サーバーを同一ルールに所属させることが可能です。 |
プロトコル:TCP、UDP、ICMP、GRE、ESP、AH、VRRP、L2TP、RDP、SSH、HTTP、HTTPS、ICMPv6-all |
ウイルスゲート IDS/IPS (詳細はセキュリティの章を参照) |
Trend Micro Cloud One - Workload Security |
サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーへオプションで導入可能です。 本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。 |
|
ウイルス・スパイウェア対策(ESET Server Security) |
サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーへオプションで導入可能です。 本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。 |
||
IDS |
ネットワーク上を流れるパケットを常時監視し、不正アクセスを検知し通報するサービスをオプションで導入可能です。ニフクラ上で構築されたサーバーへの様々な不正アクセスや、サーバーに仕掛けられた悪意のあるプログラム(トロイの木馬、バックドア等)の発する情報を常時監視し、ファイアウォールで防ぐことのできない攻撃も検知可能です。 |
||
統合ネットワークサービス |
統合ネットワークサービス(IPCOM VE2Vシリーズ) |
4つの機能シリーズ(SC、SC PLUS、LS、LS PLUS)と、2つのスペック(220/100)の、合計8種類から選択 |
|
その他 |
DNS/GSLB(広域負荷分散)/ドメイン取得・管理 |
ニフクラが提供するDNSサービスです。 |
|
ESS(メール配信) |
ニフクラが提供するメール配信サービスです。メール送信機能のみとなります。 |
||
CDN(Fastly) |
サードパーティ製のソリューションサービスのCDNです。 |
||
CDN(J-Stream CDNext) |
サードパーティ製のソリューションサービスのCDNです。 |
||
WAF(Scutum) |
サードパーティ製のソリューションサービスのWAFです。 |
||
WAF(攻撃遮断くん) |
サードパーティ製のソリューションサービスのWAFです。 |
サーバーセキュリティタイプ、WEBセキュリティタイプ、DDoSセキュリティタイプから選択 |
|
検疫ネットワーク/URLフィルター/スパム対策 |
ニフクラでは、左記の区分に該当するサービスや機能はありません。 |
左記のように、ネットワーク機器で対応するような機能やサービスは、ニフクラ上ではありません。左記の機能が必須要件であれば、オンプレミス環境に左記の機能を実現する環境を導入し、ニフクラ環境とオンプレミス環境を、プライベートアクセスなどで接続して利用するシステム構成により要件に対応してください。 |
メニュー構成とメニュー選択時の条件
プライベート接続サービスでは、以下のサービスを提供しています。 本機能により拠点環境とのセキュアなハイブリッドクラウドを実現します。併用も可能です。
- ダイレクトポート
-
ニフクラ環境と拠点環境をダイレクトに接続するための機能です。【別途回線の契約必須】
拠点環境から専用線・閉域網で接続を可能にする、ポートを提供します。 - 物理ポート(コロケーションプラン)
-
当社の指定するデータセンターにおいて、コロケーションスペース(当社手配)に通信キャリアの回線(お客様手配)と 通信キャリアのネットワーク機器(お客様手配)を設置し、当社のネットワーク機器に通信キャリアのネットワーク機器を接続するプランです。
- 物理ポート(構内接続プラン)
-
当社の指定するデータセンターにおいて、当社のネットワーク機器に構内配線(お客様手配)を接続するプランです。
- プライベートアクセス(閉域網集線型接続サービス)
-
ニフクラから回線事業者の閉域網へのプライベートな接続を提供するサービスです。ニフクラと回線事業者の閉域網の物理接続を事前に行っているため論理接続を構築するだけで接続が可能です。以下のサービスを提供しています。
-
プライベートアクセス for ARTERIA
east-1/east-2/east-3/jp-east-4/west-1で利用可能 -
プライベートアクセス for クラウドゲートウェイ クロスコネクト
east-1/east-2/east-3/jp-east-4/west-1で利用可能 -
プライベートアクセス for SINET
east-1/east-2/east-3/jp-east-4/west-1で利用可能 -
プライベートアクセス for Equinix Cloud Exchange™
east-2で利用可能 -
プライベートアクセス for Digital enhanced EXchange(DEX)
east-1/jp-east-4/jp-west-2で利用可能 -
プライベートアクセス for OPTAGE
west-1で利用可能
-
設計ポイントの適用事例
典型的なシステム構成例や、外部環境との接続など、ニフクラで提供しているネットワーク関連のサービス/機能の適用事例を記載します。
適用事例 |
利用するサービス/機能 |
概要 |
---|---|---|
(1) ニフクラで構成可能な複数ゾーンのシステム構成例 |
|
ニフクラで構成可能な複数ゾーンを利用したシステム構成例を記載します。ニフクラで提供する左記のサービス/機能を利用して、システムの信頼性を向上します。
|
(2) ニフクラのシステムとデータセンター環境、拠点環境とのダイレクトポート接続事例 |
37. 本機能の詳細は、以下のドキュメントを参照してください。『 ニフクラ設計・構築ガイド(プライベート接続サービス)』
|
ダイレクトポートを利用してニフクラ上に構築したシステムに、拠点環境と専用線・閉域網からダイレクトに接続する事例を記載します。 |
(3) ニフクラのシステムとデータセンター環境との物理ポート(構内接続プラン)接続事例 |
38. 本機能の詳細は、以下のドキュメントを参照してください。『 ニフクラ設計・構築ガイド(プライベート接続サービス)』
|
物理ポート(構内接続プラン)を利用してニフクラ上に構築したシステムとデータセンターのホスティング環境を、物理ポートでダイレクトに接続する事例を記載します。 |
(4) VPN接続事例 |
|
ニフクラ環境とのインターネットVPN接続例です。 |
(5) DRサイト構築事例 |
|
同一国内のリージョン間を接続する事例です。ダイレクトポートでの接続とインターネットVPN接続を利用します。 |
ニフクラでの複数ゾーンのシステム構成例
構成図補足
- 【ルーター】
-
ニフクラのルーターは、異なるネットワーク同士を接続し、ネットワーク間で通信できるようにする機能を持ちます。インターネットに接続された共通グローバルネットワークと共通プライベートネットワーク、あるいは、プライベートLAN同士を接続します。ネットワーク接続の際に、ネットワーク同士のルーティングや、ファイアウォール機能の利用も可能です。また、NAT機能、Webプロキシ機能、DHCPオプション機能等も利用できます。
- 【ロードバランサー(L4)】
-
ニフクラでは、信頼性向上と性能向上のための負荷分散機能として、L4層のロードバランサーを提供しています。ロードバランサー(L4)を 1つ設定することで、複数のゾーンに配備された仮想サーバーへ負荷分散ができます。ロードバランサー(L4)では複数の帯域が用意されています。必要に応じた帯域を契約して利用してください。
- 【追加NIC】
-
仮想サーバーに対して複数のNICを付与可能なサービスです。追加NICを利用することで、複数のプライベートLANに所属でき、複雑なネットワーク構成が実現可能です。
- 【プライベートブリッジ】
-
east-1/east-3/west-1/jp-west-2リージョン内の異なるゾーン間(ゾーン内も可)のプライベートLAN同士を接続できるサービスです。プライベートブリッジ利用することにより、複数のゾーンを利用したシステムを簡単に構築できます。プライベートブリッジは帯域確保が可能なサービスで、ベストエフォート/100Mbps/200Mbpsから選択できます。
ニフクラが提供するネットワークに関するサービス/機能を利用して、システムの信頼性を向上する構成例です。
-
システム構成の特徴
-
プライベートブリッジにより異なるゾーン間のプライベートLANをL2接続する構成で、システムの信頼性を向上
-
ネットワークをルーターで、2階層に分割
-
Web/APサーバーを配備するネットワーク
-
データベースなどを配備するプライベート用ネットワーク
-
-
冗長化が必要なデータベースなどのために同期用のネットワークを配備
-
インターネットからアクセス可能なネットワークに、ロードバランサー(L4)やWeb/APサーバーを配備
-
拠点環境とのダイレクトポート接続事例
ダイレクトポートの接続事例
上図ではニフクラ環境を複数のプライベートLANで構成した複数セグメントでの構成としています。
-
ダイレクトポート接続
-
利用者の拠点、データセンター環境等と接続する機能です。回線事業者の閉域網・専用線を引き込みニフクラと直接接続できる物理ポートを提供します。導入にあたっては、以下を検討して設計してください。
-
利用可能な接続機能の確認
-
ネットワーク全体の論理構成設計
-
ルーティング(経路)設計
-
帯域設計
-
信頼性設計
-
IP アドレス設計
-
-
-
ルーティング設定について
-
ダイレクトポートで接続するプライベートLAN以外のプライベートLANへ通信が発生する場合、利用者環境側に複数セグメントがある場合など、ルーティング設計は入念に行ってください。開通後、通信できない場合があります。
-
回線事業者が設置するネットワーク機器は、回線事業者の保守サポートが必要です。個別にルーティング設定を必要とする場合は回線事業者へ依頼する必要があります。実現可否など、事前に回線事業者へ確認してください。
-
データセンター環境との物理ポート(構内接続プラン)接続事例
物理ポート(構内接続プラン)の接続事例
上図ではニフクラ環境で複数のプライベートLANで構成した複数セグメントでの構成としています。
-
物理ポート(構内接続プラン)
-
利用者のハウジングエリアと接続する機能です。富士通クラウドテクノロジーズ指定のデータセンター内に、ニフクラとの接続ポイントとなる物理ポートを提供します。導入にあたっては、以下を検討して設計してください。
-
利用可能な接続機能の確認
-
ネットワーク全体の論理構成設計
-
ルーティング( 経路 ) 設計
-
帯域設計
-
信頼性設計
-
IP アドレス設計
-
-
-
ルーティング設定について
-
物理ポート(構内接続プラン)で接続するプライベートLAN以外のプライベートLANと通信が発生する場合、利用者環境側で複数セグメントがある場合など、ルーティング設定は入念に行ってください。開通後、通信できない場合があります。
-
ニフクラ環境のルーティング設定と合わせて、ハウジングエリアに設置するネットワーク機器でのルーティング設定も考慮してください。
-
拠点間VPNゲートウェイ接続事例
拠点間VPNゲートウェイを利用して利用者環境とインターネット経由で接続するIPsecVPN構成例です。
-
拠点間VPNゲートウェイ1つで最大50拠点が同時接続可能です。
-
拠点間VPNゲートウェイが直接接続されるプライベートLANと、対向の拠点側ルーターに接続される1つのサブネット間で、IPsecVPN通信が可能です。他ネットワークと通信が必要な場合は「IPsec VTI」で接続してください。
-
モバイル機器との通信(L2TP/IPsecVPN)はできません。
-
拠点とL2で接続するL2TPv3/IPsecVPNが可能です。
-
拠点間VPNゲートウェイではファイアウォール機器の利用を推奨します。
インターネットVPN(H/W)接続事例
インターネットVPN(H/W)を利用して利用者環境とインターネット経由で接続するIPsecVPN接続例です。
-
VPN通信帯域は30Mbpsベストエフォートとなります。それ以上の帯域が必要な場合は、別途問い合わせしてください。
-
ニフクラ側VPN装置は冗長構成となっています。主系VPN装置故障の際は従系VPN装置に自動で切り替わります。
-
ニフクラ側でVPN装置が接続されるプライベートLAN以外のプライベートLANとは通信できません。
リモートアクセスVPNゲートウェイ接続事例
リモートアクセスVPNゲートウェイを利用して利用者端末とインターネット経由で接続するSSL-VPN構成例です。
-
タイプの選択により、リモートアクセスVPNゲートウェイ1つで最大1000同時接続可能です。
-
利用者端末にクライアントアプリケーションのインストールが必要です。
-
利用者端末とL3で接続が可能です。
-
リモートアクセスVPNゲートウェイではファイアウォール機器が利用不可能です。
-
リモートアクセスVPNゲートウェイが接続されたプライベートLAN以外とは通信不可能です。
カテゴリ項目ごとの作業と留意事項
カテゴリ項目ごとの作業概要
カテゴリ項目 |
作業 |
ニフクラでの作業概要 |
---|---|---|
ネットワーク |
ネットワーク論理設計 |
ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や各種制御方式等を設計してください。 |
ネットワーク物理設計 |
||
ネットワーク構成規約の設計 |
ネットワーク、サブネット、ポート、ID/パスワードなどの構成の設計や管理に必要な規約については、オンプレミスと同様に設計してください。 |
|
ネットワーク運用設計(定常時) |
システム全体の運用・保守設計に基づいて、信頼性の定常時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスと同様です。「ニフクラ運用・保守設計指針 1. 運用・保守」を参照してください。 |
|
ネットワーク運用設計(障害時) |
システム全体の運用・保守設計に基づいて、信頼性の障害時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスと同様です。「ニフクラ運用・保守設計指針 1. 運用・保守」を参照してください。 |
LAN/WANに関する留意事項
- 作業概要
-
ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。
ニフクラのサービス/機能 |
留意事項 |
内容 |
選択値・条件 |
---|---|---|---|
仮想ネットワーク/サブネット |
共通グローバルネットワーク |
サーバー配備時に接続されるグローバルネットワークで、インターネットに公開されたネットワークとなります。(サーバーに接続しないことも可能です。) |
|
共通プライベートネットワーク |
サーバー配備時に接続されるプライベートネットワークで、他ユーザーと共通のプライベートネットワークとなります。(プライベートLANを作成している場合、サーバー配備時にプライベートLANへ接続した状態にもできます。) |
||
プライベートLAN |
プライベートLANは共通プライベートネットワークとL2レベルで隔離されたネットワークです。利用者が任意に作成します。ルーターを用いてプライベートLAN同士を接続できます。 |
|
|
付替IPアドレス |
ゾーン/リージョンをまたいだIPアドレスの設定はできない |
||
グローバルIPアドレス |
インターネットに公開されているネットワーク上のIPアドレスです。仮想サーバーをインターネットに公開する場合は、グローバルIPアドレスが必要になります。仮想サーバー配備時に、グローバルIPアドレスを付与するかしないかを選択できます。ニフクラのサーバーに払い出されるグローバルIPアドレス帯はニフクラホームページにて公開されています。 |
||
グローバルIPアドレスの指定 |
グローバルIPアドレスは個別に指定はできません。サーバー配備時、グローバルIPアドレスを付与する場合、 DHCPにより自動でIPアドレスが割り振られます。 |
利用者が何らかの手段で取得しているグローバルIPアドレスの持ち込み不可 |
|
IPアドレス設計接続先と重複しない設計 |
ニフクラでは、IPsecVPN/SSL-VPNやダイレクトポート接続等による外部環境との接続(4章「外部接続」で記載)が可能です。この外部接続により、あるニフクラの環境を別の環境と接続して通信する設計が可能です。この場合、接続先の環境も含めて、IPアドレスが重複しないように設計してください。 |
||
DHCP |
「バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)」での復元時に限り、DHCP設定をオフにし、DNSサーバーのIPアドレスを設定することは禁止事項の対象外 |
||
DNSサーバー |
公開DNSサーバーなどを指定するか、IaaS環境に構築を検討してください。ルーターでDHCP機能を利用する場合にはDNSの指定が可能です。ルーターでDHCP機能を利用しない場合はOS上から設定する必要があります。 |
ニフクラでは名前解決用のキャッシュDNSのサービスなし |
|
追加のルート設定 |
ルーターでDHCP機能を利用する場合にはゲートウェイの指定が可能です。複数のルーティング情報が必要な場合や、ルーターでDHCP機能を利用しない場合にはOS上から設定する必要があります。 |
||
追加NIC |
仮想サーバーに付与することで複数のプライベートLANへの所属が可能です。 |
|
|
マルチIPアドレス |
|
||
ルーター |
プライベートLAN同士の接続 |
同一ゾーン内のプライベートLAN同士はルーターを利用して接続できます。 |
|
ルーティング |
|||
NAT機能 |
ルーターは、以下のNAT機能を提供します。
|
|
|
Webプロキシ機能 |
ルーターはWebプロキシ機能を提供しています。グローバルIPアドレスを割り当てしていないサーバーからパッチを適用するなどの用途として利用可能です。 |
||
ルーター数上限 |
1プライベートLANに接続できるルーター数は1個です。またルーターが接続可能なネットワーク数は7本までとなります。 |
||
ルーターのアクセス制御 |
ルーターのアクセス制御は仮想サーバーと同様にファイアウォールでアクセス制御が可能です。 |
||
プライベートブリッジ |
複数ゾーン構成の概要 |
物理的に異なる環境であるゾーンを複数用いて、信頼性を高める構成です。ゾーン間のプライベートLANをプライベートブリッジにより、L2で接続します。 |
|
複数ゾーン接続の概要 |
複数のゾーンにそれぞれプライベートLANを作成した後、コントロールパネルからオンデマンドで設定します。プライベートブリッジの開通には下記作業が必要です。
詳細は、ニフクラ SEハンドブック構成サンプル内の「プライベートLANの実装」及び「プライベートブリッジの実装」を参照してください。
45. リージョン間接続をする場合のみ
|
||
ダイレクトポート [46]
46. 詳細は、 ニフクラ設計・構築ガイド(ネットワーク)を参照
|
接続形態 |
ニフクラ上に構築したシステムを回線事業者の専用線や閉域網に接続するために接続ポイントであるポートを提供するサービスです。ブロードキャストドメインを区切る必要があるためルーターやL3スイッチ等と接続が必要となります。 |
L2接続不可 |
スイッチポート |
提供するポートのネゴシエーションはauto設定です。ポート1口に対して、プライベートLANの割り当ては1個となります(ポートVLAN)。 1個のプライベートLANが割り当てられるポートの数は最大5口です。ポートの帯域は1Gbpsベストエフォートとなります。 |
||
回線事業者のネットワーク機器を設置するためのラック |
ラックの管理は、ニフクラ側が行います。規定のスペースを超えてラックを使用する場合、1ラックスペースを追加するごとに料金が発生します。ネットワーク機器用の電源(100V)も併せて提供します。 |
|
|
LANケーブル |
ニフクラ側のL2スイッチと回線事業者のネットワーク機器を接続するLANケーブルを提供します。ニフクラ側指定のラックスペース(棚板)まで敷設されているので回線事業者のネットワーク機器に結線してください。 |
||
冗長構成 |
ダイレクトポート1口の契約の場合、ニフクラ側ポートはシングル構成となります。ダイレクトポート2口の契約の場合、ニフクラ側ポートは冗長化が可能です。また、VRRP/HSRPなどの冗長化用プロトコルをニフクラのポート経由で通信させてアクティブ/スタンバイの構成が可能です。 |
ルーター同士のケーブル接続不可 |
|
データセンターへの入館 |
回線の敷設やネットワーク機器の設置などでニフクラのデータセンターに入館できるのは回線事業者のみとなります。ネットワーク機器は回線事業者の保守サポートが必要です。 |
||
その他制限事項 |
遮断対象の閾値 |
||
拠点間VPNゲートウェイ |
接続できる拠点数 |
作成タイプにより拠点間VPNゲートウェイ1つあたりで同時接続可能な拠点が異なります。 |
vpngw.small:1拠点 vpngw.medium:10拠点 vpngw.large:50拠点 |
通信が可能な範囲 |
接続形態により、通信の可能な範囲が異なります。
|
||
モバイルアクセス |
モバイル機器との通信(L2TP/IPsec)はできません。 |
||
アクセス制御 |
ニフクラの仮想サーバーと同様、ニフクラファイアウォールの設定が可能です。 |
||
インターネットVPN(H/W) |
接続できる拠点数 |
1契約(1接続点)あたり1拠点との接続が可能です。 |
|
通信が可能な範囲 |
インターネットVPN(H/W)を接続したプライベートLANと、対向のゲートウェイに接続されるサブネット、申し込み時に指定した拠点側の他サブネットとの通信が可能です。インターネットVPN(H/W)が接続されたプライベートLAN以外のセグメントとは通信できません。 |
||
モバイルアクセス |
モバイル機器との通信(L2TP/IPsec)はできません。 |
||
アクセス制御 |
インターネットVPN(H/W)には、ニフクラのファイアウォールの設定はできません。 |
||
リモートアクセスVPNゲートウェイ |
接続可能なコネクション数 |
作成タイプごとにリモートアクセスVPNゲートウェイ1つあたりの同時接続可能数が異なります。 |
ravgw.small:50接続 ravgw.medium:100接続 ravgw.large:1000接続 |
通信が可能な範囲 |
クライアントソフトを導入した端末から、リモートアクセスVPNゲートウェイが接続されたプライベートLAN上のリソースのみ通信が可能です。トンネルモードの選択により、クライアントNW内で疎通可能か設定可能です。 |
|
|
アクセス制御 |
リモートアクセスVPNゲートウェイにはニフクラのファイアウォールの設定はできません。 |
||
証明書 |
ニフクラ側にてCA証明書の設定が必要です。 |
||
クライアントソフト |
オンプレミス環境にクライアントアプリケーションのダウンロードが必要です。 |
ロードバランサー(L4)に関する留意事項
- 作業概要
-
ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。
ニフクラのサービス/機能 |
留意事項 |
内容 |
選択値・条件 |
---|---|---|---|
ロードバランサー(L4) |
サービスの概要 |
ニフクラでは、信頼性向上と性能向上のための負荷分散機能として、L4層のロードバランサーを提供しています。ロードバランサー(L4)サービスを1つ設定することで、同一リージョンの複数のゾーンに配備された仮想サーバーへ負荷分散が可能です。 |
|
各種数量 |
作成可能なロードバランサー(L4)数は、リージョンごとに制限されます。 |
|
|
ネットワーク構成 |
ロードバランサー(L4)ではグローバルIPアドレスを持つ仮想サーバーを負荷分散対象として設定が可能です。プライベート側からの負荷分散、プライベート側への負荷分散には対応していません。 |
||
帯域 |
帯域は、複数コネクションでの最大帯域となっており、単一のコネクションでは契約の帯域を使い切れない場合もあります。 |
利用可能帯域10Mbps~2,000Mbps |
|
アクセス元IPの取得 |
http(80)、https(443)且つSSLアクセラレーターを利用してのアクセス(80)の場合、ヘッダー情報「X-Forwarded-For」に送信元のIPアドレスの情報が付与されます。 |
||
暗号化SUITE |
暗号化タイプごとにSSLセキュリティポリシーをテンプレート化しており、ロードバランサー(L4)ごとにテンプレートの選択が可能です。(テンプレートを選択していない場合は、暗号化タイプごとの初期テンプレートが適応) |
|
|
負荷分散可能なレイヤー |
ニフクラのロードバランサー(L4)サービスでは、L4層の負荷分散が可能です。アクセス先のURLに含まれるドメイン名やパス等に応じて負荷分散条件を設定するL7層の負荷分散はできません。 |
||
負荷分散のポリシー設定 |
ニフクラのロードバランサー(L4)サービスでは、以下の設定が可能です。
|
セッションの保持時間は3~60分で設定可能 |
|
Sorryページ設定 |
ヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、且つ、他の負荷分散可能な仮想サーバーが存在しなかった場合、ニフクラ側で用意した定型メッセージを表示できる |
Sorryページは、待ち受けポートがHTTP(80/tcp)の場合のみ利用可能 |
|
ヘルスチェックの設定 |
サーバーからの応答時間がタイムアウトを越えた場合にサーバーをロードバランサーから切り離します。 |
|
|
Sorryページ設定 |
ヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、且つ、他の負荷分散可能な仮想サーバーが存在しなかった場合、ニフクラ側で用意した定型メッセージを表示できる |
Sorryページは、待ち受けポートがHTTP(80/tcp)の場合のみ利用可能 |
マルチロードバランサーに関する留意事項
- 作業概要
-
ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。
ニフクラのサービス/機能 |
留意事項 |
内容 |
選択値・条件 |
---|---|---|---|
マルチロードバランサー |
サービスの概要 |
ニフクラでは信頼性向上と性能向上のための負荷分散機能として、L4層のマルチロードバランサーを提供しています。マルチロードバランサーでは、複数のゾーンに配備された仮想サーバーへ負荷分散できません。 |
|
各種数量 |
作成可能なマルチロードバランサー数は、1IDごとに制限されます。 |
|
|
ネットワーク構成 |
|||
帯域 |
10Mbps~500Mbpsの帯域を利用可能です。 |
||
アクセス元IPの取得 |
1arm構成でhttp、https且つSSLアクセラレーターを利用してのアクセスの場合、ヘッダー情報「X-Forwarded-For」に送信元のIPアドレスの情報が付与されます。2arm構成の場合はアクセス元のIPアドレスが透過されます。 |
||
暗号化SUITE |
ats に対応しています。 |
||
負荷分散可能なレイヤー |
ニフクラのマルチロードバランサーでは、L4層の負荷分散が可能です。アクセス先のURLに含まれるドメイン名やパス等に応じて負荷分散条件を設定するL7層の負荷分散はできません。 |
||
ルートテーブルの設定 |
マルチロードバランサーに適応可能なルートテーブルは、設定されているルートのターゲットがIPアドレスの場合のみ適応可能です。 |
マルチロードバランサーがグローバル接続時、デフォルトルートが設定されているルートテーブルは適応不可 |
|
負荷分散のポリシー設定 |
ニフクラのマルチロードバランサーでは、以下の設定が可能です。
|
セッションの保持時間は3~60分で設定可能 |
|
ヘルスチェックの設定 |
サーバーからの応答時間がタイムアウトを越えた場合にサーバーをロードバランサーから切り離します。 |
||
Sorryページ設定 |
|
L7ロードバランサー(Ivanti Virtual Traffic Manager)に関する留意事項
- 作業概要
-
ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。
ニフクラのサービス/機能 |
留意事項 |
内容 |
選択値・条件 |
---|---|---|---|
L7ロードバランサー(Ivanti Virtual Traffic Manager) |
サービスの概要 |
||
ネットワーク構成 |
L7ロードバランサーはグローバルネットワーク側の負荷分散、プライベートLAN側への負荷分散も可能になります。ネットワーク構成によりL7ロードバランサーを構成するOS上で適切にルーティング設定などが必要になります。 |
||
帯域 |
10Mbps~2Gbpsの帯域を利用可能です。利用するシリーズにより異なります。 |
||
アクセス元IPの取得 |
http、https且つSSLアクセラレーターを利用してのアクセスの場合、ヘッダー情報「X-Cluster-Client-Ip」に送信元IPアドレスが付与されます。「X-Forwarded-For」への変更も可能です。httpsアクセスでSSLアクセラレーターをロードバランサーで行わない場合も、設定により独自ヘッダーを付与し、アクセス元IPの取得も可能です。 |
||
暗号化SUITE |
atsに対応しています。 |
||
負荷分散可能なレイヤー |
ニフクラのL7ロードバランサーでは、L4層/L7層の負荷分散が可能です。 |
||
IP Transparency |
IP Transparencyを利用する場合に、バックエンドノードへのアクセスとして共通グローバル、または共通プライベートは利用できません。IP Transparencyを利用する場合にはL7ロードバランサー、バックエンドノードともにプライベートLANを利用する必要があります。 |
||
負荷分散のポリシー設定 |
ニフクラのL7ロードバランサーでは、以下の設定が可能です。
|
|
|
ヘルスチェックの設定 |
サーバーからの応答時間がタイムアウトを越えた場合にサーバーをロードバランサーから切り離します。 |
|
|
Sorryページ設定 |
ヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、かつ、他の負荷分散可能な仮想サーバーが存在しなかった場合のリダイレクト情報を設定することによりsorryページを表示させることが可能です。ページのカスタマイズも可能で、Virtual Server設定ごとにHTTP/HTTPS/他プロトコルで利用可能です。HTTP/HTTPS以外はFIN送信となります |
Sorryページレスポンスコードは500 (FIN送信も可能) |
|
サポート範囲 |
OS上の設定は利用者責任範囲となります。またL7の負荷分散へ対応していることにより柔軟な設定が可能な分、複雑となります。サポート問い合わせ時、利用者側で切り分けが必要なことが多々あります。留意してください。 |
統合ネットワークサービスに関する留意事項
- 作業概要
-
ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。
ニフクラのサービス/機能 |
留意事項 |
内容 |
選択値・条件 |
---|---|---|---|
統合ネットワークサービス(IPCOM VE2Vシリーズ) |
サービスの概要 |
4つの機能シリーズと2つのスペック(220/100)の合計8種類で構成
|
|
ネットワーク構成 |
IPCOM VE2Vシリーズはグローバルネットワーク側の負荷分散、プライベートLAN側への負荷分散も可能になります。(LSシリーズのみ) |
||
負荷分散可能なレイヤー |
|||
構成 |
本製品は仮想アプライアンスであり、各スペックに対応したサーバータイプを選択する必要があります。スケールアップ(メモリ数・コア数の追加)、スケールダウン(メモリ数・コア数の削減)はサポートされていません。メモリ数・コア数の変更を伴わない、Type-c↔Type-e↔Type-h2のサーバータイプ変更は可能です。シリーズまたはスペックを変更する場合はライセンスの再購入、サーバーの再作成が必要となります。 |
別途100GBの増設ディスクが必要 |
|
その他制限事項 |
プライベートLANのみ利用している環境下でのみ冗長化可能 |
方式詳細と参考ドキュメント
詳細な方式例としてCDP (クラウドデザインパターン)や、システム構成の参考事例、参考ドキュメントを記載します。
設計項目 |
ドキュメント掲載先 |
ドキュメント名または本ドキュメント内のタイトル |
内容 |
---|---|---|---|
仮想ネットワーク関連 |
本ドキュメント |
ニフクラでの複数ゾーンのシステム構成例 |
ニフクラで構成可能な複数ゾーンのシステム構成です。 |
本ドキュメント |
プライベートLANの実装 |
構成事例の実装作業の段取りの中で、ネットワーク/サブネット作成等を記載します。 |
|
ニフクラSEハンドブック構成サンプル |
プライベートLANの実装 |
構成事例の実装作業の段取りの中で、ネットワーク/サブネット作成等を記載します。 |
|
CDP |
インターネットから参照できるように仮想サーバーを配備するパターンです。サーバー配備時、サーバーにグローバルIPアドレスを付与する構成で、ニフクラの基本を記載しています。 |
||
CDP |
2階層ネットワークのパターンです。用途に応じてプライベートLANを分割した構成を記載します。 |
||
WAN関連 |
本ドキュメント |
拠点環境とのダイレクトポート接続事例 |
ダイレクトポート接続機能を使って、利用者のデータセンター環境、拠点環境と専用線/閉域網で接続する事例を記載します。記載例ではニフクラ環境を2セグメント構成で記載しています。 |
本ドキュメント |
物理ポート(構内接続プラン)接続事例 |
ニフクラのシステムと、データセンター環境との物理ポート(構内接続プラン)接続事例を記載します。記載例ではニフクラ環境を2セグメント構成で記載しています。 |
|
本ドキュメント |
拠点間VPNゲートウェイ接続事例 |
拠点間VPNゲートウェイ、インターネットVPN(H/W)、リモートアクセスVPNゲートウェイでのIPsecVPN/SSL-VPNで接続する事例を記載します。 |
|
CDP |
IPsecVPN接続を記載したパターンです。 |
||
プライベートブリッジ関連 |
ニフクラSEハンドブック構成サンプル |
プライベートLANの実装 |
構成事例の実装作業の段取りの中で、プライベートLAN作成などを記載します。 |
CDP |
複数のゾーンを用いてシステムを構成するパターンです。それぞれのゾーンにプライベートLANを作成しプライベートLAN同士はプライベートブリッジを用いて接続し、複数のゾーン構成を作成します。 |
||
負荷分散関連 |
ニフクラSEハンドブック構成サンプル |
ロードバランサー(L4)の実装 |
構成事例の実装作業の段取りの中で、ロードバランサー(L4)作成などを記載します。 |
CDP |
Webサービスで、性能、信頼性を考慮した構成を実現したい場合のパターンです。 |
||
CDP |
ゾーンを束ねている物理機器の全系統ダウンなど、ゾーン全体がダウンするような事態でも、業務を継続したい場合のパターンです。 |
4.セキュリティ
設計のポイント
以下では、セキュリティ関連のニフクラのサービス/機能を記載しています。ニフクラにてセキュリティ観点で設計をする際には、以下のニフクラのサービス・機能を検討してください。
区分 |
区分の概要 |
対応するサービス/機能 |
ニフクラのサービス/機能の概要 |
選択値・条件 |
---|---|---|---|---|
認証・ID管理 |
【認証】 |
マルチアカウント |
|
|
SSHキー |
Linux系の仮想サーバーにログインするためのSSHキーの発行/登録/インポート/削除操作が可能です。 |
|||
アクセスコントロール |
情報システムに対するアクセス時の許可を操作者の権利に応じて行う技術 |
IP許可制限 |
コントロールパネルやAPIのアクセスについて、特定のIPアドレスからのアクセスのみを許可する機能です。許可したIPアドレス以外からのアクセスを制限します。 |
|
OTP認証 |
||||
ファイアウォール |
ファイアウォールサービスは、プロトコル、ポート番号、Incoming/Outgoingでアクセス許可を制御する機能です。仮想サーバー、ルーター、拠点間VPNゲートウェイに設定可能です。 |
プロトコル:TCP、UDP、ICMP、GRE、ESP、AH、VRRP、L2TP、RDP、SSH、HTTP、HTTPS、ICMPv6-all |
||
サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security) |
サードパーティ製のソリューションサービスです。ニフクラへ配備した仮想サーバーにオプションで導入可能です。区分の範囲では以下の機能があります。
本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。 |
|||
証跡管理 |
情報システムの信頼性/安全性/効率性/有効性の確保が事後に実証可能なよう、情報システムに対するアクセスを記録し、記録されたデータを管理する技術 |
ニフクラ API (ログ取得) |
ファイアウォールグループのアクセス拒否のログ取得、基本監視のログ取得などのAPIを提供しています。ログを取得できないサービス/機能や仮想リソースがあるため留意してください。 |
|
集中管理
|
情報システム全体のセキュリティ対策レベルを恒常的に把握/維持/向上を図ることを目的とした技術 |
ニフクラコントロールパネル/API |
コントロールパネルやAPIで、ニフクラ上の仮想リソースの一覧取得が可能です。 |
|
サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security) |
サードパーティ製のソリューションサービスです。ニフクラへ配備した仮想サーバーにオプションで導入可能です。区分の範囲では以下の機能があります。
|
|||
暗号化
|
秘匿すべき情報の表現を組み替えて第三者が参照したり利用したりできないようにする技術 |
ロードバランサー |
それぞれのロードバランサー(ロードバランサー(L4)、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2Vシリーズ))でhttpsの暗号化通信に対応しています。 |
|
拠点間VPNゲートウェイ |
オンプレミスなどの拠点とインターネットを経由してIPsecVPNで接続する機能です。 |
|||
インターネットVPN(H/W) |
オンプレミスなどの拠点とインターネットを経由してIPsecVPNで接続する機能です。 |
|||
リモートアクセスVPNゲートウェイ |
利用者端末とインターネット経由でSSL-VPNにて接続する機能です。 |
|||
不正プログラム対策 |
セキュリティの3要素(機密性・完全性・可用性)を脅かす悪意を持って作られたプログラムへの対策を目的とした技術 |
サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security) |
サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーへオプションで導入可能です。区分の範囲では以下の機能があります。
|
|
ウイルス・スパイウェア対策(ESET Server Security) |
サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーへオプションで導入可能です。セキュリティ機能として、以下の機能があります。
|
|||
IDS |
ネットワーク上を流れるパケットを常時監視し、不正アクセスを検知し通報するサービスをオプションで導入可能です。 |
セキュリティ対策では、利用者により実施するセキュリティ対策と、ニフクラ基盤側で実施する対策があります。本ドキュメントは利用者が実施する対策を記載します。
ニフクラサービス適用事例
ロードバランサー(L4)とWeb/APサーバー、ニフクラRDBを配備した事例から、ニフクラのサービス/機能の適用を検討する以下3つの適用シーンについて記載します。
適用シーン |
利用するサービス/機能 |
概要 |
---|---|---|
① 仮想リソース操作(配備、起動・停止等) |
コントロールパネル、API、マルチアカウント |
管理者以上の権限が付与されたアカウントで、仮想リソースを配備する事例を記載します。 |
② 仮想サーバーなど構築 |
拠点間VPNゲートウェイ、SSHキー、ファイアウォール、 Workload Security、ロードバランサー(L4)(https) |
仮想サーバーなどを構築する観点で事例を記載します。仮想サーバーには、IPsecVPNにより暗号化した経路で、SSHキーを使ってログインします。ファイアウォールでアクセス制御をします。 |
③ Webサービス提供 |
Webサービスの観点で事例を記載します。アクセス制御を変更して、不特定のアクセス元からロードバランサー(L4)でhttps通信する事例を記載します。また、サービス提供中に仮想サーバーで考慮するセキュリティなどについて記載します。 |
構成図補足
- ①仮想リソース操作(マルチアカウントを利用)
-
プライベートLAN作成・設定、ルーター作成・設定、ファイアウォール作成・設定、ロードバランサー(L4)作成・設定、ニフクラRDB作成・設定、 SSHキー作成、仮想サーバー作成・設定・起動停止、各種ログ取得等
- ②仮想サーバーなど構築
-
httpdサーバーなどのソフトウェア導入・設定、ニフクラRDBの設定、Workload Security導入・設定など
- ③Webサービス提供
-
Web利用者向け
①仮想リソース操作(配備、起動・停止等)
-
以下のようにマルチアカウントを利用することにより、仮想リソース操作のための権限を適切に管理する利用者管理運用が可能です。
-
一部マルチアカウントには対応していないサービスもあるため留意してください。
-
運用者権限・閲覧権限のユーザーには、許可する操作を定義したポリシーを追加できます。
項目
ニフクラID 管理者
設定可能な権限
マルチアカウント管理者権限
マルチアカウント運用者権限
マルチアカウント閲覧権限
アカウント作成
○
×
×
×
コントロールパネル・API操作
○
○
-
詳細は「 マルチアカウント権限比較表、 マルチアカウント権限比較表(エンジニアリングパーツ)」を参照
-
運用者権限・閲覧権限のユーザーには、許可する操作を定義したポリシーを追加できます
-
運用者権限・閲覧権限のユーザーには、許可する操作を定義したポリシーを追加できます
コントロールパネル閲覧
○
○
○
○
-
-
②仮想サーバーなどの構築
構成図補足
- ロードバランサー(L4)アクセス制御
-
アクセス元IPアドレスの制限が可能です。
構築中は特定のアクセス元からのみ許可します。
仮想サーバーなどの構築観点のセキュリティ
配備する仮想サーバーなどのリソースは、ファイアウォールで制御をします。システム構築中は、不用意にアクセスされないよう、アクセス元を限定してください。
仮想サーバーには、IPsecVPNにより暗号化した経路で、SSHキーを使ってログインするようにしてください。
-
Trend Micro Cloud One - Workload Security
-
サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーへオプションで導入可能です。セキュリティ機能として以下の機能があります。
-
IDS/IPS
-
Web Reputation
-
変更監視
-
Firewall
-
ウイルス対策
-
ログ監視
-
-
本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。本サービスを利用する際は、仮想サーバーにWorkload Securityのエージェントを導入して、仮想サーバーからTrend Micro社のCloud Oneの管理サーバーにhttps(443/tcp)でアクセスできるようにファイアウォールグループを設定します。
-
-
ファイアウォール
-
ファイアウォールサービスはプロトコル(TCP、UDP、ICMP、GRE、ESP、AH、VRRP、L2TP、RDP、SSH、HTTP、HTTPS、ICMPv6-all)、ポート番号、Incoming/Outgoingで アクセス許可を制御する機能です。サーバー、ルーター、拠点間VPNゲートウェイに適用可能で、複数サーバーを同一ルールに所属させることが可能です。Outgoingでは設定無しの場合全て許可となります。
-
拠点間VPNゲートウェイ
構築中は、特定のアクセス元拠点からとのみ通信可能にする。 -
Web/APサーバー
DBサーバーへのDB用の通信ポートの送信を許可特定のアクセス元からssh (22/tcp)からの受信を許可 ※ロードバランサー(L4)からの通信は許可ルールの追加をせずとも許可されます。
-
-
-
DBファイアウォール
-
ニフクラRDB用のファイアウォールとしてDBファイアウォールの利用が可能です。Incomingの設定が可能です。
-
接続元種別としてCIDRか、IaaSで作成したファイアウォールグループの指定が可能です。
-
DBサーバー
Web/APサーバー用に作成したファイアウォールグループからの受信を許可
-
-
ファイアウォールとロードバランサー
-
ファイアウォールグループ設定例
※本設定例ではOUTルールは設定なしで記載しています。(デフォルトすべて許可)-
Web/APサーバー用ファイアウォールグループ設定例
- INルール設定
-
プロトコル
宛先ポート
接続元種別
IP/CIDR・グループ
備考
SSH
22
IP/CIDR
x.x.x.x
IPsec-VPN経由でログインする特定のアクセス元
-
拠点間VPNゲートウェイ用ファイアウォールグループ設定例
- INルール設定
-
プロトコル
宛先ポート
接続元種別
IP/CIDR・グループ
備考
ANY
-
グループ
Web/AP用
Web/AP用ファイアウォールグループを指定し、Web/APサーバーからの通信を許可
ESP
-
IP/CIDR
y.y.y.y
拠点側VPN装置からの通信を許可
UDP
500
IP/CIDR
UDP
4500
IP/CIDR
-
-
DBファイアウォール設定例
-
DBファイアウォール設定例
接続元種別
IPアドレス・グループ
備考
グループ
Web/AP用
Web/AP用ファイアウォールグループを指定し、Web/APサーバーからの通信を許可
-
-
ロードバランサー(L4)アクセス制御設定例
-
ロードバランサー(L4)アクセス制御設定例
※本設定例では「許可するIPを指定する」で記載しています。(拒否するIPを指定も可能)アクセス元IP/CIDR
備考
(構築時) x.x.x.x
(完了時)設定なし構築時では特定のIPアドレスからのみ通信を許可
構築完了後、設定を削除し、不特定のアクセス元からの通信を許可
-
③Webサービス提供
構成図補足
- ロードバランサー(L4)アクセス制御
-
構築完了後は、設定を削除し不特定のアクセス元からの通信を許可
- 仮想サーバーのセキュリティ
-
-
仮想サーバーにログインするにはSSHキーを利用します。SSHキーは紛失しないよう、厳重に管理してください。
-
仮想サーバーに割り当てるディスクは、ニフクラでは暗号化していません。必要であれば、利用者側で独自に実装してください。
-
OSのパッチを適用できるようなサービスは提供していません。必要に応じて利用者側で独自に実装してください。OSパッチを含め、システム全体のインシデント管理や脆弱性管理、構成管理は、利用者側で実施してください。
-
仮想サーバーへの不正アクセスログを取得する場合は、iptablesなどのOS標準のツールの導入や、Workload Securityの導入を検討してください。
-
ログの集約や集約したログの集中管理などをしたい場合は、監視ツールの導入を検討してください。
-
- ニフクラRDBで提供するDBサーバーのセキュリティ
-
ニフクラRDBに割り当てるディスクは、ニフクラでは暗号化していません。データベースの行レベルでの暗号化が必要な場合は、利用者側にて独自に実装(利用者側で暗号化したデータを格納など)するか、独自にデータベース自体を導入してください。
Webサービスの提供観点のセキュリティ
-
ロードバランサー(L4)はhttps通信が可能です。
-
ロードバランサー(L4)は、アクセスログを取得できません。
-
仮想サーバーのセキュリティを強化する場合は、Workload Securityなどの導入を検討してください。
適用の指針
セキュリティは、ニフクラの機能だけでは完結しません。利用者システム上のセキュリティ対策と組み合わせて、ニフクラのセキュリティ関連のサービス/機能を適用し、適切にシステムを管理してください。
区分検討対象 |
認証・ID管理 |
アクセスコントロール |
証跡管理 |
集中管理 |
暗号化 |
不正プログラム対策 |
適用シーン |
|
---|---|---|---|---|---|---|---|---|
アカウント |
機能/サービス |
|
|
|
|
|
① |
|
利用者 |
|
|
|
|
|
|||
ネットワーク |
機能/サービス |
|
|
|
|
② |
||
利用者 |
|
|
|
|
|
|||
仮想サーバー |
機能/サービス |
|
|
|||||
利用者 |
|
|
|
|
|
|
||
ニフクラRDB |
機能/サービス |
- |
|
|
||||
利用者 |
|
|
|
|
||||
Webサービス |
機能/サービス |
|
|
|
③ |
|||
利用者 |
|
|
|
|
カテゴリ項目ごとの作業と留意事項
カテゴリ項目ごとの作業概要
カテゴリ項目 |
作業 |
ニフクラでの作業概要 |
---|---|---|
セキュリティ |
セキュリティの方式設計 |
システム要件で必要なセキュリティ対策について方式を具体化し、セキュリティ機能の方式を設計してください |
セキュリティシステム構成設計 |
ファイアウォール、ID/パスワードなどの構成の設計や管理に必要な規約については、オンプレミスと同様に設計してください。 |
|
セキュリティ運用設計(定常時) |
システム全体の運用・保守設計に基づいて、セキュリティの定常時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスと同様です。「ニフクラ運用・保守設計指針1. 運用・保守」を参照してください。 |
|
セキュリティ運用設計(障害時) |
システム全体の運用・保守設計に基づいて、セキュリティの障害時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスと同様です。「ニフクラ運用・保守設計指針1. 運用・保守」を参照してください。 |
認証・ID管理に関する留意事項
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
項目
留意事項
内容
選択値・条件
利用者管理
ユーザーID区分
ニフクラ上でシステムを構築する場合、ニフクラでは以下の①~③等のユーザーID区分があります。また、利用者側で④~⑦等のユーザーID区分が想定されます。
④~⑦については、それぞれ、ユーザーIDの作成/変更/削除時のルールを検討してください。ほかはシステム上必須となりますので削除できません。-
ニフクラの仕組みで発行するユーザーID
①ニフクラ利用者がニフクラを利用するために発行されるニフクラのユーザーID (ニフクラID)
②ニフクラ利用者がニフクラで仮想サーバーを配備した際に作成されるOSのユーザーID
③ニフクラ利用者がニフクラでニフクラRDBやニフクラNASを配備した際に作成されるマスターユーザーID -
利用者が任意に作成するユーザーID
④ニフクラ利用者がマルチアカウント機能で任意に作成するニフクラのユーザーID
⑤ニフクラ利用者が仮想サーバー上で任意に作成するOSのユーザーID
⑥ニフクラ利用者がニフクラRDB上で任意に作成するDBのユーザーID
⑦ニフクラ利用者がシステム上でWebサービスを提供する際に作成するWebサービス用のユーザーID
ニフクラIDのパスワード
ニフクラIDは自動付与となります。
パスワード文字列条件
①アルファベット:A~Z a~z
②数字:0~9
③記号: " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ ¥ \ ] ^ _ ` { | } ~ !
①~③のうち2種類以上の複合で指定
半角の12~24文字の文字列で設定
英大文字と英小文字は区別されるマルチアカウント
アカウント名の使用可能な文字半角英数字
一部の記号:アットマーク(@)、ハイフン(-)、アンダーバー(_)マルチアカウント
アカウント名の入力制限半角2~32文字
先頭の1文字は必ず英字(英大文字と英小文字が区別されます。)マルチアカウント
アカウント名に使用できない組み合わせ英字3文字+数字5桁(例:abc12345)
英字4文字+数字4桁(例:abcd1234)
ba+数字6桁(例:ba123456)マルチアカウント
パスワードの使用可能な文字半角英数字
一部の記号:アットマーク(@)、ハイフン(-)、アンダーバー(_)マルチアカウント
パスワードの入力制限半角6~24文字(英大文字と英小文字が区別されます。)
アカウント名と同じものは使用できません。 -
コントロールパネル/APIの認証に関する留意事項
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
-
コントロールパネル/APIの認証に関する留意事項
ニフクラのサービス/機能
留意事項
内容
選択値・条件
コントロールパネル/APIの認証
仮想サーバー作成などをするニフクラコントロールパネルは、OTP認証、ユーザーID/パスワードでログインします。
APIの認証
APIの認証にはAccesskey (公開キー)とSecretAccessKey (秘密キー)のペアからなる認証キーが必要となります。再発行も可能です。
-
SecretAccessKeyが外部に漏れると、第三者からAPIを実行される可能性があります。取り扱いには十分留意してください。
-
認証キーの「新規作成」を行うと、すでに登録されている認証キーは使用できなくなりますので、留意してください。
認証キーは1アカウントにつき1件のみ登録可能
-
-
仮想サーバーの利用者管理に関する留意事項
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
ニフクラのサービス/機能
留意事項
内容
選択値・条件
仮想サーバーの利用者管理
仮想サーバー作成時のユーザーID
ニフクラが提供する各種イメージからの仮想サーバー作成時には、各OSによってログイン方法が異なります。[63]
-
CentOS :サーバー作成時に作成(指定)したSSHキーによりログイン
-
Red Hat Enterprise Linux :サーバー作成時に作成(指定)したSSHキーによりログイン
-
Ubuntu :サーバー作成時に作成(指定)したSSHキーによりログイン
-
Windows :サーバー作成時に指定した管理者アカウント、パスワードによりログイン
Linux系サーバーには以下注意事項があります。
- 注意事項
-
ニフクラのコンソール機能を利用する場合にはrootパスワードが必要となります。コンソール接続が必要な場合は事前にSSHでログインしrootパスワードを設定しておくか、コンソール接続時にシングルユーザーモードにてログインし、rootパスワードを設定してください。
63. 作成後のログイン方法は利用者自身で変更可能です。要件によって変更してください。rootパスワードはデフォルトで設定なし
Windows仮想サーバーのパスワード
Windows仮想サーバーを新規に作成する際には管理者アカウント/管理者パスワードを指定します。
-
管理者アカウント:半角英数字6~20文字
-
管理者パスワード:半角英数字6~32文字
-
以下のアカウント名で管理者アカウント作成不可(大文字・小文字区別なし)
-
administrator
-
system
-
localservice
-
networkservice
-
guest
-
defaultaccount
-
-
「administrator」有効化可能
Windows仮想サーバーへのログイン
Windows仮想サーバーへのログインは、リモートデスクトップ接続、コンソール接続でサーバー作成時に指定した管理者アカウント/管理者パスワードでログイン可能です。
-
SSHに関する留意事項
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
ニフクラのサービス/機能
留意事項
内容
選択値・条件
仮想サーバーの利用者管理
SSHキーの作成
仮想サーバーにログインするためのSSHキーは、コントロールパネルまたはAPIで作成します。
キーペアには以下の注意事項があります。SSHキー名、パスフレーズは半角英数字6~32文字で設定可能
SSHキーの有効範囲
SSHキーは、リージョン単位で作成します。
同一の内容のSSHキーを使いたい場合は、SSH公開鍵をインポートすることでサーバーの作成とログインに利用できます。SSHキーの管理
仮想サーバーへログインするために作成したSSHキーは、厳重に保管/管理してください。
SSHキーを紛失すると、再発行できません。そのため、新たにSSHキーを作成して、仮想サーバーを再度作成するか、コンソール機能でログインし、新たに公開鍵/秘密鍵の設定を実施してください。SSHキーが漏えいすると、そのキーペアで仮想サーバーへ不正にアクセスされる可能性があります。
パケットへ対するアクセス制御に関する留意事項
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
ニフクラのサービス/機能
留意事項
内容
パケットに対するアクセス制御
ファイアウォール
ニフクラでは、パケットに対するアクセス制御の機能として、ファイアウォールを提供しています。
アクセス制御の徹底依頼
仮想サーバーなどを配備する前に、必ず、ファイアウォールでアクセス制御を設定してください。
適切なアクセス制御を設定しないで仮想サーバーを配備した場合、不正なアクセスを受ける可能性があります。
ファイアウォールグループの概要
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
ニフクラのサービス/機能
留意事項
内容
選択値・条件
ファイアウォールグループ
ファイアウォールグループの特徴
ファイアウォールグループは、その名の通りセキュリティのルールをグルーピングできる機能です。
従来の iptables のようなパケットフィルタリングと比べて、ファイアウォールグループを設定して複数の仮想サーバーなどをまとめてアクセス制御できるため、-
設定/変更が容易
-
管理が容易
-
複雑な構成にも簡易に対応可能
といった特徴があります。
ファイアウォールグループの名称は任意に設定可能です。ファイアウォールグループ名は半角英数字1~15文字で設定可能
ファイアウォールグループのルール
-
送受信の方向、接続元/先種別、プロトコルやポート番号を設定し、通信を許可するルールを設定できます。
-
送受信する接続元/先には、IPアドレス(CIDR形式でサブネットも指定可能)と、ファイアウォールグループ自体を設定できます。
-
接続元/接続先種別名でグループを指定した場合、グループに所属するサーバーのVMware® Toolsが正しく動作している必要があります。VMware® Toolsが動作していない場合、サーバーのIPを認識できず、通信を正常に許可できない場合があります。
-
-
ファイアウォールグループは、仮想サーバー、ルーター、拠点間VPNゲートウェイ等に設定できます。ファイアウォールグループを設定した仮想リソースに対して、どれか1つのルールでもマッチしたら、仮想サーバーなどとの通信が許可されます。ルールの順序は関係ありません。
-
ファイアウォールグループは、ゾーン内で共通となります。
1仮想リソースにファイアウォールグループ1つ設定可能
ファイアウォールグループを作成した際のデフォルトルール
ファイアウォールグループを作成した際に、デフォルトでは以下の状態となります。
-
Incoming:すべて拒否
-
Outgoing:すべて許可(ルールを1つでも設定するとルール以外の通信はすべて拒否します。)
ルールの適用順序
パケットは、以下の順番で適用されます。
-
利用者にて定義したルール
-
ファイアウォールグループのデフォルトルール
https://pfs.nifcloud.com/spec/fw/group.htm
64. デフォルトルールは、ファイアウォールグループに所属していないサーバーにも適用されます。ファイアウォールグループの有効範囲
ファイアウォールグループは、仮想リソース単位に設定します。
同一のファイアウォールグループを複数の仮想リソースに適用できます。 -
ファイアウォールグループの設定方法
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
ニフクラのサービス/機能
留意事項
内容
選択値・条件
ファイアウォールグループ
ファイアウォールグループのルールでロードバランサーの設定方法
-
マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2Vシリーズ)(以降IPCOM VE2Vシリーズと記載)はプライベートLANに接続可能です。
-
その際のIPアドレスはプライベートLAN環境下では、任意のものを設定可能です。
-
-
仮想サーバーに対するマルチロードバランサー、L7ロードバランサー、IPCOM VE2Vシリーズからの通信に関しては、設定したIPアドレスでのアクセス制御をファイアウォールのルールで実施してください。
-
ロードバランサー(L4)に付与されたIPアドレスに関してはファイアウォールルールの設定は不要です。ニフクラのファイアウォールではロードバランサー(L4)からの通信をすべて許可しています。
-
-
ロードバランサーの各サービス自体へのアクセス制御は以下で設定してください。
-
ロードバランサー(L4):ロードバランサー(L4)用のアクセス制御機能を利用してください。
-
マルチロードバランサー:マルチロードバランサーへのアクセス制御はできないため、仮想サーバー側で実施してください。
-
L7ロードバランサー(Ivanti Virtual Traffic Manager):通常の仮想サーバーと同様、ファイアウォール機能を利用可能です。
-
IPCOM VE2Vシリーズ:アクセス制御機能または通常の仮想サーバーと同様、ファイアウォール機能を利用可能です。
-
ファイアウォールグループのルールでニフクラRDB/ニフクラNASの設定方法
-
ニフクラRDB/ニフクラNASはプライベートLANに接続可能です。
-
その際のIPアドレスは任意のものを設定可能です。
-
-
ニフクラRDB/ニフクラNASからの通信に関しては設定したIPアドレスでのアクセス制御をファイアウォールのルールで実施してください。
-
ニフクラRDB/ニフクラNASへのアクセス制御は以下で設定してください。
ファイアウォールグループの制限
ファイアウォールグループには制限があります。
-
ファイアウォールグループの挙動
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
ニフクラのサービス/機能
留意事項
内容
ファイアウォールグループ
TCPに対する動作について
ファイアウォールルールで定義されている送信元/送信先、またはプロトコルでもファイアウォールの持つTCPの状態とパケットのTCPフラグの整合性が無い場合は、通信を拒否いたします。TCPの状態は、サーバーのネットワークインターフェースごとに管理しています。
ハーフオープン発生時の挙動について
サーバーの異常による再起動などでコネクションを確立している片側のサーバーのコネクションがリセットされてしまった場合、以下の動作をします。
-
ESTABLISHED状態の時にSYNを受信するとTCP状態の不一致を検知しファイアウォールが送信元へACKを返却します。このACKを受信すると送信元はRSTを送出しコネクションをリセットできます。[68]
-
SYNSENT状態時にACKを受信するとTCP状態の不一致を検知しファイアウォールが送信元へRSTを返却します。このRSTを受信することにより送信元のコネクションをリセットできます。
-
ESTABLISHED状態時にSYNを送信するとTCP状態の不一致を検知し、ファイアウォールが送信元へACKを返却します。このACKを受信すると、送信元はRSTを送出し、コネクションをリセットできます。
68. 一部の環境ではTCP状態の不一致で拒否します。 ESTABLISHED状態はタイムアウトにより、ハーフオープン状態の復旧ができます。ハーフクローズ発生時の挙動について
TCPコネクションの片側がクローズしている状態の場合には、以下の動作をします。NAT配下でポートの再利用が想定よりも早い場合などが該当します。
-
CLOSE_WAIT状態時にSYNを受信すると、TCP状態の不一致で拒否します。CLOSE_WAIT状態はタイムアウトすることにより、ハーフクローズを復旧できます。
非対称な通信に対する挙動について
ニフクラ上にて往路と復路で異なる経路を通過する通信をした場合、ファイアウォールは正しく状態を更新できません。
以下の構成の場合、動作の保証はできません。-
送信元とは別のサーバーへ折り返すような非対称な通信
(例:ニフクラ上のサーバーでのDSR:Direct Server Return) -
パケットを受信したインターフェースとは、別のインターフェースで折り返すような通信
(例:ニフクラ上のサーバーでのRPF:Reverse Path Forwarding)
-
ファイアウォールグループその他の留意事項
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
ニフクラのサービス/機能
留意事項
内容
選択値・条件
ファイアウォールグループ
ファイアウォールグループのルールでIPアドレスの設定方法
IPアドレスを設定する際は、一般的なCIDR形式で設定します。
x.x.x.x/32 という形式だと、IPアドレス x.x.x.x をもつ特定のサーバーとなります。
x.x.x.x/24 という形式だと、IPアドレス x.x.x.0~x.x.x.255 をもつサブネットとなります。IPアドレス重複防止ルールについて
共通ネットワークに接続されるサーバーへは、IPアドレスの重複を防止するファイアウォールルールが自動的に適用されます。(デフォルトルール同様、設定の無効化はできません。)
コネクションのタイムアウトについて
コネクションは無通信状態が続くとタイムアウトいたします。タイムアウト値はファイアウォール上のTCP状態によって、異なります。
TCP状態に応じたタイムアウト値
-
first_packet:2分
-
opening:30秒
-
established:12時間
-
closing:2分(一部環境では15分)
-
fin_wait:45秒
-
closed:20秒
ALGとして動作するプロトコルについて
特定のプロトコルであると判断された場合、ネットワークプロトコルを解釈し制御をします。
特定のポート/プロトコル
-
FTP:21/tcp
-
SUN RPC:111/tcp
-
SUN RPC:111/udp
-
MS RPC:135/tcp
-
MS RPC:135/udp
-
認証管理に関する留意事項
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
-
ログ取得に関する留意事項
ニフクラのサービス/機能
留意事項
内容
選択値・条件
ログ取得
ニフクラの機能で取得可能なログ
ニフクラの機能で主に利用する機能での取得可能なログは以下です。
①コントロールパネル/APIの操作ログ(アクティビティログ)
②ファイアウォールのアクセス拒否ログ
③ニフクラRDBのイベントログ
④拠点間VPNゲートウェイのログ
⑤ESS 配信ログ
そのほかに関しては各機能の詳細を確認してください。ニフクラの機能にて取得できないログ
主に利用されるニフクラの機能のうち、ログが取得できないものがあります。内容に関しては各機能の詳細を確認してください。
以下は取得不可
-
ロードバランサー(L4)のアクセス制御ログ
-
コントロールパネル操作以外の仮想サーバー内のログ
-
オブジェクトストレージのログ
ログ収集、ログ集約
利用者側で必要に応じてログ集約可能なツールを導入してください。
ログ収集、ログ集約機能は未提供
-
-
集中管理に関する留意事項
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
ニフクラのサービス/機能
留意事項
内容
選択値・条件
インシデント管理
セキュリティのインシデント管理
サードパーティ製のソリューションサービスの Workload Security を検討してください。
ニフクラの基本機能ではセキュリティのインシデント管理の機能なし
サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security)
サードパーティ製のソリューションサービスです。ニフクラへ配備した仮想サーバーにオプションで導入可能です。セキュリティ機能として、以下の機能があります。
-
IDS/IPS
-
Web Reputation
-
Firewall
-
変更監視
-
ウイルス対策
-
ログ監視
本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。
ニフクラの監視サービス
ニフクラの基本監視サービスで監視できる内容は、主に仮想リソースの使用状況です。
基本監視サービスではセキュリティインシデントの監視はできない
構成管理
構成情報の提供
ニフクラでは、コントロールパネルやAPIにより、仮想リソースの情報を一覧取得できます。
構成管理
コントロールパネルやAPIにより仮想リソースの最新の情報を取得して、必要に応じて利用者側でドキュメント化するなど、管理方式を設計してください。
脆弱性管理
脆弱性の情報収集と対応判断
ニフクラからは、OSやミドルウェアの脆弱性情報は提供しません。ただし、ニフクラを利用するにあたり影響が大きいと考えられる脆弱性へ関しては、別途案内する場合があります。原則、利用者側で必要に応じて情報を取得して、脆弱性に対する対応を検討してください。
脆弱性に対する対応(OS)
OSの脆弱性対策で使えるOSパッチ用のサービスは提供なし
脆弱性に対する対応(その他)
ミドルウェアなどのパッチは、利用者側で必要に応じて情報を取得して適用してください。
ニフクラRDBのパッチ適用
-
暗号化に関する留意事項
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
-
暗号化に関する留意事項
ニフクラのサービス/機能
留意事項
内容
選択値・条件
暗号化
コントロールパネル/APIの暗号化
ニフクラコントロールパネル、APIエンドポイントのいずれも、httpsで提供しています。
ロードバランサー
各ロードバランサー(ロードバランサー(L4)、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2Vシリーズ))は、httpsを利用できます。
オブジェクトストレージサービス
SSL(https)のみ対応しています。
通信経路の暗号化
ニフクラでは、通信経路の暗号化で、IPsecVPN/SSL-VPN が可能な拠点間VPNゲートウェイ、インターネットVPN(H/W)、リモートアクセスVPNゲートウェイを提供しています。詳細はネットワークの章を参照してください。
-
不正プログラム対策に関する留意事項
- 作業概要
-
システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。
-
不正プログラム対策に関する留意事項
ニフクラのサービス/機能
留意事項
内容
選択値・条件
不正プログラム対策
-サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security)概要
サードパーティ製のソリューションサービスです。ニフクラへ配備した仮想サーバーにオプションで導入可能です。セキュリティ機能として、以下の機能があります。
-
IDS/IPS
-
Web Reputation
-
Firewall
-
変更監視
-
ウイルス対策
-
ログ監視
本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。
IPS/IDS (侵入防御)
ネットワーク経由の脆弱性に対する攻撃、SQLインジェクション攻撃、XSS攻撃、及びその他のWebアプリケーションの脆弱性からコンピューターを保護します。
Firewall
ネットワークレイヤー2~4 までをカバーし通信を制御する、ホスト型ファイアウォールを提供します。
ウイルス対策
不正プログラム、ウイルス、トロイの木馬、スパイウェアなどのファイルベースの脅威からリアルタイムに保護する機能と、手動またはスケジュールで保護する機能を提供します。
Web Reputation
不正なURLへのアクセスをブロックすることによって、Webの脅威から保護します。
変更監視
コンピューター上の特定の領域に関する変更を監視します。
ログ監視
OS 及びアプリケーションで生成されたログやイベントの中身を監視します。ログの中身からシステム上のポリシー違反・アプリの不具合、不正侵入などに関するイベントを検知します。
他アンチウイルス製品との併用
「Workload Security」と他アンチウイルス製品は同一サーバー上で同時に利用できません。
DDoS対応
DDoSなどネットワーク型の攻撃には対応できません。個別にDDoS対策製品の導入を検討してください。
Workload Security の通信
Cloud Oneの管理サーバーと、ニフクラ上の保護対象サーバーとの通信は、以下のいずれかを選択できます。
①Workload Securityの保護対象サーバーとCloud Oneの管理サーバー間での双方向の通信
②Workload Securityの保護対象サーバーからCloud Oneの管理サーバーに対する一方向の通信
①②のどちらを選択しても機能差はありません。
①を選択した場合、Cloud Oneの管理サーバーから保護対象のサーバーへの通信が発生します。また、管理サーバーから保護対象のサーバーへアクセスが発生します。
②を選択した場合、保護対象サーバーから管理サーバーに対して通信します。
以下ドキュメントも参照してください。-
Trend Micro Cloud One Documentation Workload Security - Workload Securityとエージェント間の通信
https://cloudone.trendmicro.com/docs/jp/workload-security/communication-manager-agent/
-
管理サーバーから保護対象サーバーへのアクセス:4118/tcp
-
保護対象サーバーから管理サーバーへのアクセス:443/tcp
Proxy環境での利用
Workload SecurityをProxy環境で使う場合は、以下を確認ください。
-
Trend Micro Cloud One Documentation Workload Security - プロキシの設定
https://cloudone.trendmicro.com/docs/jp/workload-security/proxy-set-up/
不正プログラム対策 - ウイルス・スパイウェア対策(ESET Server Security)
概要
サードパーティ製のソリューションサービスです。ニフクラへ配備した仮想サーバーにオプションで導入可能です。セキュリティ機能として、以下の機能があります。
-
ウイルス・スパイウェア対策
-
サーバー保護機能
-
HIPS(ホスト型IPS)
-
Webアクセス保護など
本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。
ウイルス・スパイウェア対策
軽快なスキャン動作と高い検出率を実現したESET社開発のThreatSenseテクノロジーにより、メールやインターネットをはじめとした、あらゆる経路から侵入するウイルス・スパイウェアなどのマルウェアからサーバーを守ります。
サーバー保護機能
Webアクセス保護
悪意のあるコンテンツが含まれていることがわかっているWebページへのアクセスをブロックします。その他のすべてのWebページは読み込み時、ThreatSenseスキャンによって検査され、悪意のあるコンテンツの検出時にブロックされます。
HIPS(ホスト型IPS)
OSの内部で発生している事象、各アプリのアクション等を監視する機能で、脆弱性をついたゼロデイ攻撃や、ターゲット型の攻撃に対しても保護する機能を提供します。
不正プログラム対策 -IDS
概要
ネットワーク上を流れるパケットを常時監視し、不正アクセスを検知し通報をするサービスをオプションで導入可能です。
ニフクラ上で構築されたサーバーへの様々な不正アクセスや、サーバーに仕掛けられた悪意のあるプログラム(トロイの木馬、バックドア等)の発する情報を常時監視し、ファイアウォールで防ぐことのできない攻撃も検知可能です。連絡方法
「メールのみ」と「メールと電話」から選択可能です。
検知基準
デフォルトポリシー(Windows用ポリシー、Linux用ポリシー)、カスタムポリシーから選択可能です。
-
-
方式詳細と参考ドキュメント
詳細な方式例としてCDP (クラウドデザインパターン)や、システム構成の参考事例、参考ドキュメントを記載します。
設計項目 |
ドキュメント掲載先 |
ドキュメント名または本ドキュメント内のタイトル名 |
内容 |
---|---|---|---|
アクセスコントロール関連 |
構成サンプル |
仮想リソース操作(配備、起動・停止等) |
ロードバランサー(L4)とWeb/APサーバー、ニフクラRDBを配備した事例です。以下の適用シーンを切り口にして、事例の中で利用するニフクラのサービス/機能を記載します。 |
構成サンプル |
WebFW ファイアウォールの実装 |
構成事例の実装作業の段取りの中で、ファイアウォールについて記載します。 WebFW ファイアウォールグループ設定 |
|
構成サンプル |
ファイアウォールグループの作成 |
構成事例の実装作業の段取りの中で、ファイアウォールについて記載します。 |
|
CDP |
インターネットから参照できるように仮想サーバーを配備するパターンです。仮想サーバーをインターネットからアクセスできるようにするための、もっとも基本的なファイアウォールグループの設定を記載します。 |
||
CDP |
フラットな構成のネットワークで、ファイアウォールグループでセキュリティを高める例を記載します。 |
||
暗号化関連 |
構成サンプル |
ロードバランサー(L4)の実装 |
構成事例の実装作業の段取りの中で、プライベートLANの作成などを記載します。 |
CDP |
Webサービスで、性能、信頼性を考慮した構成を実現したい場合のパターンです。 |
||
本ドキュメント |
拠点間VPNゲートウェイ接続事例 |
IPsecVPN/SSL-VPN接続の接続事例を記載します。拠点間VPNゲートウェイ、インターネットVPN(H/W)、リモートアクセスVPNゲートウェイの接続事例を記載しています。 |
|
CDP |
IPsecVPN接続を記載したパターンです。 |
||
Cloud One - Workload Security ビジネスサポート |
製品仕様やFAQがまとめて掲載されています。 |
||
Trend Micro Cloud One Documentation |
|
5.システム構成・環境
システム構成・環境に関する作業概要
カテゴリ項目ごとの作業概要
カテゴリ項目 |
作業 |
ニフクラでの作業概要 |
備考 |
---|---|---|---|
システム構成・環境 |
システム構成設計 |
システム構成を設計する際に、各種設定の制限値を確認してください。仮想リソースが不足する場合、上限が開放可能なサービスもあります。 |
オンプレミスと同様に設計してください。 |
システム処理関連図設計 |
|||
システム構成・環境規約の検討 |
仮想環境のシステム構成を設計する際に、仮想リソースに付ける名称の規約を設計してください。仮想リソースの命名の際、使用できる文字については、以下を参照してください。 |
||
ハードウェア構成設計 |
オンプレミスで行うハードウェア構成設計と同じように、ニフクラの仮想環境構成を設計してください。仮想環境の構成設計をする際に必要な構成項目は、以下を参照してください。 |
||
ハードウェア構成一覧の作成 |
|||
ソフトウェア構成設計 |
仮想サーバー上に導入するソフトウェアは、利用者の責任範囲になります。利用者側で、ニフクラ上で動作可能か、ライセンス数はいくつ必要か等、確認してください。 |
||
ソフトウェア構成一覧の作成 |
オンプレミスと同様に一覧を作成してください。 |
||
ハードウェア・ソフトウェア導入計画の具体化 |
オンプレミスと同様に、仮想リソースやソフトウェアの導入計画を検討し、スケジュールや役割分担、体制について具体化してください。 |
||
ハードウェア・ソフトウェアの手配・管理 |
オンプレミスと同様に、仮想リソースやソフトウェアを手配し、管理してください。 |
ソフトウェア構成設計(OS)
- 作業概要
-
仮想サーバー上に導入するソフトウェアは、利用者の責任範囲になります。利用者側で、ニフクラ上で動作可能か、ライセンス数はいくつ必要か等確認してください。
留意事項区分
留意事項
内容
選択値・条件
Microsoft
VMインポート時OS以外のミドルウェア等のSPLA提供は非対応
Red Hat Enterprise Linux
サブスクリプション提供
Red Hat Cloud Access
VMインポートにて持ち込んだサーバーはニフクラのサブスクリプション利用不可
その他OSライセンス
利用者にて確認
その他MWライセンス
利用者にて確認
その他のMWの持込などもニフクラでは制限していません。
持込可否、動作要件の購入元への確認、事前検証等をし必要に応じて利用してください。
ソフトウェア構成設計(ミドルウェア)
- 作業概要
-
仮想サーバー上に導入するソフトウェアは、利用者の責任範囲になります。利用者側で、ニフクラ上で動作可能か、ライセンス数はいくつ必要か等確認してください。
留意事項区分
留意事項
内容
Oracle利用パターン
ニフクラOVMを利用
Oracle Databaseに関しては、ニフクラOVMを利用してOracle Databaseライセンスを持ち込むことができる仮想サーバーを所定の方法で作成し、そのサーバーにOracle Databaseをインストールして利用できます。
IBM (MQ、ノーツ等)
基本的に利用不可
IBM社の定めるパブリッククラウド(EPC)に関してIBM製品の導入が可能になる場合があります。 詳細はIBM社に確認してください。
参考: パブリック・クラウド環境向けのソフトウェア・アクセス・カタログ・ライセンスMicrosoft
License Mobility
ソフトウェアアシュアランスによるLicense Mobilityへ対応しているソフトウェアは、適切な持ち込み対応をすることで、ニフクラに持ち込み可能です。
Office製品の持ち込み
ニフクラのパブリックIaaS環境にはボリュームライセンスなどでのOffice製品は持ち込み不可能です。SPLAライセンスで提供しているOfficeを利用してください。
Hyper-Vの利用不可
ニフクラ環境では再仮想化を禁止事項としているため利用不可となります。
参考ドキュメント
ニフクラ上の仮想リソースの制限値、命名時に使用可能な文字一覧、仮想リソースごとの構成管理項目、参考ドキュメントを記載します。
区分 |
ドキュメント掲載先 |
本ドキュメント内のページタイトル |
内容 |
---|---|---|---|
システム構成関連 |
本ドキュメント内 |
|
ニフクラで提供する仮想リソースの制限値を記載します。 |
本ドキュメント内 |
|
ニフクラで提供する仮想リソースを命名する際に使用可能な文字一覧を記載します。 |
|
ハードウェア構成関連 |
本ドキュメント内 |
|
以下の仮想リソースの構成管理項目を記載します。 |
ソフトウェア構成関連 |
Microsoft社のミドルウェアのLicense Mobility |
Microsoft社 |
Microsoft社のミドルウェアについては、ソフトウェアアシュアランスによるLicense Mobilityへ対応するミドルウェアは、ニフクラ上にライセンス持込みが可能です。
|
主な制限事項(基本サービス/サーバー・ディスク機能)
リソース |
制限値 |
制限値緩和 |
|
---|---|---|---|
仮想サーバー |
1ニフクラIDあたり(台) |
~20 |
可能(要相談) |
|
|||
仮想CPU (vCPU)数 |
~28 |
||
メモリ容量 |
~256 |
||
ディスク |
ローカルディスク(Windows)(GB) |
80 |
|
ローカルディスク(Linux)(GB) |
30 |
||
ローカルディスク(VMインポート)(GB) |
~500(インポート時実容量) |
||
1仮想サーバーあたりで増設可能な増設ディスク台数(本) |
~14 |
||
標準フラッシュドライブ[A/B](GB) |
100~1,000 (100GB単位) |
[88]
88. 標準フラッシュドライブ/高速フラッシュドライブと標準ディスク/高速ディスクのみ一部ゾーンで作成最大容量が2,000GB(100GBごと)まで作成可能。各フラッシュドライブ、ディスクの対応ゾーンは ニフクラ ゾーン別機能対応表・サーバー・ディスク機能「増設ディスク」項目の最新情報を確認してください。
|
|
高速フラッシュドライブ[A/B](GB) |
|||
標準ディスク(GB) |
|||
高速ディスク[A/B](GB) |
|||
フラッシュドライブ(GB) |
|||
ワンデイスナップショット |
1仮想サーバーあたり(世代) |
1 |
|
カスタマイズイメージ |
保存可能数(イメージ/ゾーン/ニフクラID) |
~20 |
可能(要相談) |
配布先の数(ニフクラID数) |
~10 |
||
ISOイメージ |
最大アップロードサイズ/1イメージ(GiB) |
4.7 |
|
利用可能期間(時) |
24 |
||
ゾーンごとのアップロード可能数(イメージ) |
5 |
||
保持可能なバックアップ世代数(世代) |
1~10 |
||
バックアップ時間単位(時間) |
2 |
||
選択可能なサーバータイプ |
|
||
バックアップ可能最大容量(TB) |
1.1 |
||
更新差分量(GB) |
50 |
||
サーバーセパレート |
分離サーバー数/ルール(サーバー) |
~2 |
|
重複ルール数/サーバー(ルール) |
~2 |
||
ルール数/ID/ゾーン(ルール) |
~6 |
主な制限事項(ネットワーク機能)
リソース |
制限値 |
制限値緩和 |
|
---|---|---|---|
ルーター |
1ゾーンあたり(個) |
~5 |
可能(要相談) |
ネットワーク数/1ルーター(個) |
~7 |
||
ルートテーブル数/1ルーター(個) |
1 |
||
ルーター/プライベートLAN(個) |
1 |
||
NATテーブル数/1ルーター(個) |
1 |
||
Webプロキシ数/1ルーター(個) |
1 |
||
ルート数、NAT数/テーブル(ルール) |
~80 |
||
DHCPコンフィグ、オプション/1プライベートLAN(個) |
1 |
||
プライベートLAN |
1ゾーンあたり(個) |
~7 |
|
追加NIC |
作成最大数/ゾーン(個) |
~40 |
|
設定数/1サーバー(個) |
~6 |
||
IPアドレス数 |
グローバルIPアドレス/仮想サーバー(個) |
1 |
|
7 |
|||
グローバル側付替IPアドレス/1ゾーン(個) |
~20 |
||
プライベート側付替IPアドレス/1ゾーン(個) |
~20 |
||
マルチIPアドレス |
作成可能マルチIPアドレスグループ数/1ゾーン(個) |
~2 |
|
保持可能なIPアドレス数/1マルチIPアドレスグループ(個) |
~10 |
||
ファイアウォール |
グループ数/1ゾーン(件) |
~60 |
|
ルール数/1グループ(個) |
~100 |
||
ログ取得/1グループ(件) |
1,000 |
可能(100,000) |
|
ロードバランサー(L4) |
リージョンごとのロードバランサー(L4)数(個) |
~6×ゾーン |
|
グローバルIP数/1ロードバランサー(L4)(個) |
1 |
||
ポート設定数/1ロードバランサー(L4)(個) |
~3 |
||
共有可能なニフクラID数(個) |
~10 |
||
帯域(Mbps) |
10~2,000 |
||
マルチロードバランサー |
マルチロードバランサー数/1ゾーン(個) |
~5 |
|
グローバルIP数/1ロードバランサー(個) |
1 |
||
ルートテーブル数/1ロードバランサー(個) |
1 |
||
ポート設定数/1ロードバランサー(個) |
~3 |
||
共有可能なニフクラID数(個) |
0 |
||
帯域(Mbps) |
10~500 |
||
拠点間VPNゲートウェイ |
1ゾーンあたり(個) |
~5 |
可能(要相談) |
拠点間VPNゲートウェイ/プライベートLAN |
1 |
||
ルートテーブル数/1拠点間VPNゲートウェイ(個) |
1 |
||
VPNコネクション数/1拠点間VPNゲートウェイ(拠点) |
~50 |
||
ルート数/1拠点間VPNゲートウェイ(個) |
~80 |
||
対向側MACアドレス数(MAC) L2TPv3/IPsec接続時 |
~20 |
可能(~300) |
|
リモートアクセスVPNゲートウェイ |
1ゾーンあたり(個) |
~7 |
|
コネクション数/1リモートアクセスVPNゲートウェイ |
~1000 |
||
作成可能なユーザー数(ユーザー) |
1024 |
||
ログ情報表示(件) |
~100 |
||
ダイレクトポート |
プライベートLAN/スイッチポート(個) |
1 |
|
スイッチポート/プライベートLAN(口) |
~5 |
||
プライベートブリッジ |
作成可能プライベートブリッジ数 |
~50 |
|
作成可能コネクター数 |
プライベートLANと同数 |
||
プライベートブリッジあたりのMACアドレス上限 |
~500 |
主な制限事項(セキュリティ機能/監視/サポートサービス)
リソース |
制限値 |
制限値緩和 |
|
---|---|---|---|
CA証明書 |
アップロード数 |
~20 |
|
基本監視 |
監視ルール アラート通知先(件) |
~5 |
|
監視ルールの監視内容設定(件) |
~5 |
||
作成可能監視ルール(件) |
~10 |
||
基本監視 |
監視ルール アラート通知先(件) |
~5 |
|
監視ルールの監視内容設定(件) |
1 |
||
作成可能監視ルール(件) |
~10 |
||
基本監視 |
監視ルール アラート通知先(件) |
~5 |
|
監視ルールの監視内容設定(件) |
1 |
||
作成可能監視ルール(件) |
~10 |
||
基本監視 |
監視ルール アラート通知先(件) |
~5 |
|
監視ルールの監視内容設定(件) |
~5 |
主な制限事項(ストレージ/NASサービス)
リソース |
制限値 |
制限値緩和 |
|
---|---|---|---|
オブジェクトストレージサービス |
ボリューム上限/1オブジェクト(ファイル)(TB) |
||
バケット数 |
~20 |
||
~50 |
|||
ニフクラNAS |
高速タイプ1領域容量(TB) |
1~10 |
|
標準タイプ1領域容量(GB) |
100~1,000 |
||
合計容量上限/ゾーン(TB) |
~10 |
可能(要相談) |
|
NASファイアウォールグループ(個) |
~25 |
||
NASファイアウォールルール数/NASファイアウォールグループ(ルール) |
~25 |
主な制限事項(エンジニアリングパーツ(PaaS))
リソース |
制限値 |
制限値緩和 |
|
---|---|---|---|
ニフクラRDB |
作成可能数(台) |
~10 |
可能(要相談) |
ディスク(GB) |
50~250 |
可能(~650) |
|
DBパラメーターグループ(個) |
~50 |
||
DBファイアウォールグループ(個) |
~25 |
||
DBファイアウォールルール数/DBファイアウォールグループ(ルール) |
~100 |
||
ESS(メール配信) |
送信元メールアドレス、送信元ドメイン登録数(ID) |
~1,000 |
|
メール最大容量(MB/通) |
~10 |
||
SMTPインターフェースの送信数(宛先/1リクエスト) |
~500 |
||
SMTPインターフェースの性能制限(宛先/分) |
~10,000 |
||
APIインターフェースの送信数(宛先/1リクエスト) |
~50 |
||
APIインターフェースの性能制限(1リクエスト/秒) |
~0.1 |
||
DNS |
ゾーン登録数(ゾーン) |
~500 |
|
レコード数/ゾーン(個) |
~10,000 |
||
タイマー |
実行回数/タイマー/日(回) |
~1,440 |
|
作成可能タイマー数(件) |
~30 |
||
取得可能な実行履歴件数/タイマー(件) |
~1,000 (かつ1年以内) |
||
設定可能なメール通知回数/1時間(回) |
~1 |
命名時に使用可能な文字一覧
リソース |
設定項目 |
長さ |
主な制約事項 |
その他備考 |
---|---|---|---|---|
仮想サーバー |
サーバー名 |
1~15 |
半角英数字 |
|
メモ |
~40 |
全半角 |
||
管理者アカウント |
6~20 |
半角英数字 |
WindowsOS利用時 |
|
管理者パスワード |
6~32 |
半角英数字 |
WindowsOS利用時 |
|
SSHキー |
SSHキー名 |
6~32 |
半角英数字 |
|
パスフレーズ |
6~32 |
半角英数字 |
||
メモ |
~40 |
全半角 |
||
増設ディスク |
ディスク名 |
1~32 |
半角英数字 |
|
メモ |
~40 |
全半角 |
||
ワンデイスナップショット |
スナップショット名 |
1~40 |
半角英数字 |
|
メモ |
~40 |
全半角 |
||
カスタマイズイメージ |
イメージ名 |
1~40 |
半角英数字、ピリオド、アンダースコア、半角スペース |
|
メモ |
~40 |
全半角 |
||
プライベートLAN |
プライベートLAN名 |
1~15 |
半角英数字 |
|
メモ |
~500 |
全半角 |
||
ISOイメージ |
ISOイメージ名 |
1~15 |
半角英数字 |
|
メモ |
~500 |
全半角 |
||
バックアップ |
バックアップルール名 |
1~15 |
半角英数字 |
|
メモ |
~500 |
全半角 |
||
ルーター |
ルーター名 |
1~15 |
半角英数字 |
|
メモ |
~500 |
全半角 |
||
拠点間VPNゲートウェイ |
拠点間VPNゲートウェイ名 |
1~15 |
半角英数字 |
|
メモ |
~500 |
全半角 |
||
リモートアクセスVPNゲートウェイ |
リモートアクセスVPNゲートウェイ名 |
1~15 |
半角英数字 |
|
メモ |
~500 |
全半角 |
||
カスタマーゲートウェイ |
カスタマーゲートウェイ名 |
1~15 |
半角英数字 |
|
メモ |
~500 |
全半角 |
||
VPNコネクション |
事前共有鍵 |
1~64 |
半角英数字、記号「-+&!@#$%^*(),.:_」 |
|
メモ |
~500 |
全半角 |
||
追加NIC |
メモ |
~500 |
全半角 |
|
ファイアウォール |
ファイアウォールグループ名 |
1~15 |
半角英数字 |
|
メモ |
~40 |
全半角 |
||
ロードバランサー(L4) |
ロードバランサー名 |
1~15 |
英数字 |
|
メモ |
~40 |
全半角 |
||
マルチロードバランサー |
マルチロードバランサー名 |
1~15 |
英数字 |
|
メモ |
~500 |
全半角 |
||
プライベートブリッジ |
メモ |
~500 |
全半角 |
|
コネクター |
メモ |
~500 |
全半角 |
|
オブジェクトストレージサービス |
バケット名 |
3~63 |
|
|
1024byte |
半角英数字、 記号「!-_.()&$@=;:+ ,?」 |
以下の記号は()内のURLエンコードが必要になる可能性があります。 |
||
1024byte |
半角英数字、 記号「!-_.()&$@=;:+ ,?」 |
以下の記号は()内のURLエンコードが必要になる可能性があります。 |
||
基本監視 |
監視ルール名 |
1~15 |
半角英数字 |
|
メモ |
~40 |
全半角 |
||
ニフクラRDB |
DBサーバー名 |
1~63 |
半角英数字 |
|
DB名 |
1~64 |
半角英数字、アンダースコア |
||
マスターユーザー名 |
1~16 |
半角英数字、アンダースコア |
||
マスターユーザーのパスワード |
1~41 |
半角英数字 |
||
DBファイアウォール |
DBファイアウォールグループ名 |
1~255 |
半角英数字、ハイフン |
|
メモ |
~255 |
全半角 |
||
DBスナップショット |
DBスナップショット名 |
1~255 |
半角英数字、ハイフン |
|
DBパラメーターグループ |
DBパラメーターグループ名 |
1~255 |
半角英数字、ハイフン |
|
メモ |
~255 |
全半角 |
||
RDB:イベント通知 |
イベント通知名 |
1~255 |
半角英数字、ハイフン |
|
通知先メールアドレス |
1~255 |
半角英数記号 |
||
メモ |
~255 |
全半角 |
||
ニフクラNAS |
NAS名 |
1~63 |
半角英数字、ハイフン |
|
メモ |
~255 |
全半角 |
||
マスターユーザー名 |
1~32 |
半角英数字、アンダースコア |
CIFS利用時 |
|
マスターユーザーパスワード |
1~128 |
半角英数字、「/@"'スペース」を除く記号 |
CIFS利用時 |
|
NASファイアウォール |
NASファイアウォールグループ名 |
1~255 |
半角英数字、ハイフン、アンダースコア、スペース |
|
メモ |
~255 |
全半角 |
||
ESS(メール配信) |
送信元メールアドレス |
1~255 |
半角英数記号 |
|
送信元ドメイン |
1~255 |
半角英数記号 |
||
サーバーセパレート |
サーバーセパレートルール名 |
1~15 |
半角英数字 |
|
メモ |
~40 |
全半角 |
||
DNS |
ゾーン名 |
1~255 |
全半角 |
|
ドメイン名 |
1~63 |
半角の場合 |
||
タイマー |
タイマー名 |
1~15 |
半角英数字 |
|
メモ |
~40 |
全半角 |
||
通知先メールアドレス |
~512 |
(任意,カンマ区切り) |
||
CA証明書 |
メモ |
~40 |
全半角 |
|
マルチIPアドレス |
マルチIPアドレスグループ名 |
1~15 |
半角英数字 |
|
メモ |
~500 |
全半角 |
ニフクラの基本的なシステム構成例
ニフクラの基本的なシステム構成例を示します。この構成例において必要な構成管理項目を、項目ごとに記載します。
仮想サーバーの構成管理項目例
項目 |
設定値例 |
内容 |
その他備考 |
---|---|---|---|
サーバーユニークID |
(生成されたユニークID) |
生成された仮想サーバーユニークIDを記録します。 |
|
仮想サーバー名 |
webap01 |
仮想サーバー名を記録します。 |
|
タイプ |
h2-small |
サーバータイプを記録します。 |
|
ゾーン |
east-14 |
仮想サーバーを設置するゾーンを記録します。 |
|
OS |
CentOS 8.0 64bit Plain |
仮想サーバー作成時に選択したOS情報を記録します。 |
(CentOS 64bit) |
作成日時 |
YYYY/MM/DD 00:00:00 |
仮想サーバーの作成日時を記録します。 |
|
料金プラン |
従量 |
仮想サーバーの料金プランを記録します。 |
|
ファイアウォール |
webapFW |
仮想サーバーに適用しているファイアウォールグループを記録します。 |
|
SSHキー |
sshkey |
仮想サーバー作成時に選択したSSHキー名を記録します。 |
Linux系OS利用時 |
作成元イメージ |
image01 |
カスタマイズイメージからサーバーを作成した場合作成元イメージ名を記録します。 |
|
コピー元サーバー |
copysv01 |
サーバーコピーでサーバーを作成した場合コピー元サーバー名を記録します。 |
|
超過ディスクサイズ |
0GB |
インポートしたVMイメージにおいてローカルディスクサイズの基本ディスク容量を超過している場合、100GB単位で超過ディスクサイズを記録します。 |
|
メモ |
Web/APサーバー |
メモを記載します。 |
|
ディスク |
webapdisk01 |
仮想サーバーにアタッチしている増設ディスクを記録します。 |
複数記録可能 |
管理者アカウント |
testadmin |
サーバー作成時に設定した管理者アカウント名を記録します。 |
WindowsOS利用時 |
管理者パスワード |
****** |
サーバー作成時に設定した管理者パスワードを記録します。 |
WindowsOS利用時 |
VMware® Tools 稼働状況 |
起動中 |
VMware® Toolsの稼働状況を表示します。 |
|
VMware® Tools バージョン |
xx.x.xx |
VMware® Toolsのバージョンを表示します。 |
10.1.15以上の場合 |
共通グローバル |
(付与されたIPアドレス) |
グローバルIP利用時、付与されたグローバルIPアドレスを記録します。 |
|
プライベート |
プライベートLAN:privatelan |
|
プライベートLAN選択項目
|
ロードバランサー(L4) |
lb01 |
ロードバランサー(L4)に設定しているサーバーの場合、ロードバランサー名を記録します。 |
|
マルチロードバランサー |
mlb01 |
マルチロードバランサーに設定しているサーバーの場合、マルチロードバランサー名を記録します。 |
SSHキーの構成管理項目例
項目 |
設定値例 |
内容 |
その他備考 |
---|---|---|---|
SSHキー名 |
sshkey |
SSHキー名を記録します。 |
|
フィンガープリント |
(生成されたフィンガープリント) |
生成されたフィンガープリントを記録します。 |
|
サーバー |
webap01 |
SSHキーを設定しているサーバーを記録します。 |
複数記録可能 |
メモ |
Web/APサーバー用 |
メモを記載します。 |
増設ディスクの構成管理項目例
項目 |
設定値例 |
内容 |
その他備考 |
---|---|---|---|
ディスク名 |
webapdisk01 |
増設ディスク名を記録します。 |
|
タイプ |
標準ディスク |
ディスクタイプを記録します。 |
|
容量 |
100GB |
増設ディスクの容量を記録します。 |
|
接続先 |
webap01 |
アタッチしている仮想サーバー名を記録します。 |
|
ゾーン |
east-14 |
増設ディスクを設置するゾーンを記録します。 |
|
作成日時 |
YYYY/MM/DD 00:00:00 |
増設ディスクの作成日時を記録します。 |
|
料金プラン |
従量 |
増設ディスクの料金プランを記録します。 |
|
メモ |
Web/APサーバー用ディスク01 |
メモを記載します。 |
カスタマイズイメージの構成管理項目例
項目 |
設定値例 |
内容 |
その他備考 |
---|---|---|---|
イメージ名 |
webapimage |
カスタマイズイメージ名を記録します。 |
|
OS |
CentOS |
カスタマイズイメージのOS種別を記録します。 |
|
アーキテクチャ |
64bit |
カスタマイズイメージのアーキテクチャを記録します。 |
|
イメージ種別 |
プライベート |
カスタマイズイメージのイメージ種別を記録します。 |
|
イメージID |
(生成されたID値) |
生成されたイメージIDを記録します。 |
|
ゾーン |
east-14 |
カスタマイズイメージを設置するゾーンを記録します。 |
|
作成日時 |
YYYY/MM/DD 00:00:00 |
カスタマイズイメージの作成日時を記録します。 |
|
再配布 |
可 |
再配布の可否を記録します。 |
|
メモ |
Web/APサーバーイメージ |
メモを記載します。 |
|
イメージの説明 |
0904image |
イメージの説明を記載します。 |
プライベートLANの構成管理項目例
項目 |
設定値例 |
内容 |
その他備考 |
---|---|---|---|
プライベートLAN名 |
privatelan |
プライベートLAN名を記録します。 |
|
ネットワークID |
(生成されたユニークID) |
生成されたネットワークIDを記録します。 |
|
ゾーン |
east-14 |
プライベートLANを設置するゾーンを記録します。 |
|
CIDR |
192.168.1.0/24 |
CIDR情報を記録します。 |
|
料金プラン |
従量 |
プライベートLANの料金プランを記録します。 |
|
作成日時 |
YYYY/MM/DD 00:00:00 |
プライベートLANの作成日時を記録します。 |
|
サーバー |
webap01 |
プライベートLANに所属するサーバー名を記録します。 |
複数記録可能 |
ルーター |
router01 |
プライベートLANに所属するルーター名を記録します。 |
|
拠点間VPNゲートウェイ |
vpngw01 |
プライベートLANに所属する拠点間VPNゲートウェイ名を記録します。 |
|
マルチロードバランサー |
mlb01 |
プライベートLANに所属するマルチロードバランサー名を記録します。 |
複数記録可能 |
追加NIC |
(生成されたID)、192.168.2.10 |
プライベートLANに適用する追加NICのIDとIPアドレスを記録します。 |
複数記録可能 |
ルーターの構成管理項目例
項目 |
設定値例 |
内容 |
その他備考 |
---|---|---|---|
ルーター名 |
router01 |
ルーター名を記録します。 |
|
ルーターID |
(生成されたID値) |
生成されたルーターIDを記録します。 |
|
タイプ |
router.small |
ルーターのタイプを記録します。 |
|
ゾーン |
east-14 |
ルーターを設置するゾーンを記録します。 |
|
料金プラン |
従量 |
ルーターの料金プランを記録します。 |
|
作成日時 |
YYYY/MM/DD 00:00:00 |
ルーターの作成日時を記録します。 |
|
バージョン |
VX.Y |
ルーターのバージョン情報を記録します。 |
|
ロールバック有効期限 |
YYYY/MM/DD 12:00:00 |
ルーターのロールバック有効期限を記録します。 |
|
ファイアウォール |
routerFW |
ルーターに適用しているファイアウォールグループ名を記録します。 |
|
メモ |
ルーター |
メモを記載します。 |
|
ネットワーク |
共通グローバル、privatelan |
ルーターが所属するネットワーク情報を記録します。後述 |
複数記録可能 |
ルートテーブル |
後述 |
||
SNAT |
後述 |
||
DNAT |
後述 |
||
Webプロキシ |
後述 |
||
DHCPコンフィグ |
後述 |
ネットワーク/ルートテーブルの構成管理項目例
-
ネットワークの構成管理項目例
項目
設定値例
内容
その他備考
ネットワーク名
privatelan
ルーターが所属するネットワーク名を記録します。
IPアドレス
192.168.1.3
ルーターが所属するネットワークに接続されるNICのIPアドレスを記録します。
IP帯
192.168.1.0/24
ルーターが所属するネットワークのIP帯を記録します。
DHCP
無効
DHCPの状態を記録します。
DHCPコンフィグ
(DHCPコンフィグID)
DHCPコンフィグを設定している場合、設定しているDHCPコンフィグIDを記録します。
DHCPオプション
(DHCPオプションID)
DHCPオプションを設定している場合、設定しているDHCPオプションIDを記録します。
-
ルートテーブルの構成管理項目例
項目
設定値例
内容
その他備考
ルートテーブルID
(ルートテーブルID)
ルートテーブル作成時に生成されるルートテーブルIDを記録します。
優先度
1
優先度情報を記録します。
設定しているルート数分記録
デスティネーション
192.168.3.0/24
デスティネーション情報を記録します。
ターゲット
192.168.2.3
ターゲット情報を記録します。
SNAT/DNATの構成管理項目例
-
SNATの構成管理項目例
項目
設定値例
内容
その他備考
NATテーブルID
(NATテーブルID)
NATテーブル作成時に生成されるルートテーブルIDを記録します。
優先度
1
優先度情報を記録します。
設定しているSNAT数分記録
プロトコル
ALL
プロトコルを記録します。
接続元
192.168.1.11
SNATを利用する接続元IPアドレスを記録します。
アウトバウンド
共通グローバル
アウトバウンドネットワークを記録します。
変換後
(変換後IPアドレス)
変換後のIPアドレス情報を記録します。
-
DNATの構成管理項目例
項目
設定値例
内容
その他備考
NATテーブルID
(NATテーブルID)
NATテーブル作成時に生成されるNATテーブルIDを記録します。
優先度
1
優先度情報を記録します。
設定しているDNAT数分記録
プロトコル
ALL
プロトコルを記録します。
インバウンド
共通グローバル
インバウンドネットワークを記録します。
送信先
(送信先のIPアドレス)
送信先のIPアドレス情報を記録します。
変換後
192.168.1.11
変換後のIPアドレス情報を記録します。
Webプロキシの構成管理項目例
項目 |
設定値例 |
内容 |
その他備考 |
---|---|---|---|
受け側ネットワーク |
privatelan |
Webプロキシの受け側となるネットワーク名を記録します。 |
|
受け側ポート |
8080 |
Webプロキシの受け側のポートを記録します。 |
|
迂回側ネットワーク |
共通グローバル |
Webプロキシの迂回側ネットワーク名を記録します。 |
|
DNS |
(DNSのIPアドレス) |
Webプロキシで利用するDNSサーバーのIPアドレスを記録します。 |
|
メモ |
webプロキシ情報 |
メモを記載します。 |
DHCP の構成管理項目例
項目 |
設定値例 |
内容 |
その他備考 |
---|---|---|---|
DHCPコンフィグID |
(DHCPコンフィグID) |
DHCPコンフィグ作成時に生成されるルートテーブルIDを記録します。 |
|
プライベートLAN |
privatelan |
DHCPコンフィグを適用するプライベートLAN名を記録します。 |
複数記録可能 |
開始IPアドレス |
192.168.1.11 |
DHCPコンフィグで付与するIPアドレスの開始IPアドレスを記録します。 |
|
終了IPアドレス |
192.168.1.30 |
DHCPコンフィグで付与するIPアドレスの終了IPアドレスを記録します。 |
|
メモ |
DHCPコンフィグ情報 |
メモを記載します。 |
拠点間 VPN ゲートウェイの構成管理項目例
項目 |
設定値例 |
内容 |
その他備考 |
---|---|---|---|
拠点間VPNゲートウェイ名 |
vpngw01 |
拠点間VPNゲートウェイ名を記録します。 |
|
拠点間VPNゲートウェイID |
(生成されたID) |
生成された拠点間VPNゲートウェイIDを記録します。 |
|
タイプ |
vpngw.small |
拠点間VPNゲートウェイのタイプを記録します。 |
|
ゾーン |
east-14 |
拠点間VPNゲートウェイを設置するゾーンを記録します。 |
|
料金プラン |
従量 |
拠点間VPNゲートウェイの料金プランを記録します。 |
|
作成日時 |
YYYY/MM/DD 00:00:00 |
拠点間VPNゲートウェイの作成日時を記録します。 |
|
バージョン |
VX.Y |
拠点間VPNゲートウェイのバージョン情報を記録します。 |
|
ロールバック有効期限 |
YYYY/MM/DD 12:00:00 |
拠点間VPNゲートウェイのロールバック有効期限を記録します。 |
|
ファイアウォール |
vpngwFW |
拠点間VPNゲートウェイに適用しているファイアウォールグループ名を記録します。 |
|
メモ |
拠点間VPNゲートウェイ |
メモを記載します。 |
|
ネットワーク |
共通グローバル、privatelan |
拠点間VPNゲートウェイが所属するネットワーク情報を記録します。後述 |
2ネットワーク |
ルートテーブル |
後述 |
拠点間 VPN ゲートウェイの詳細構成管理項目例
-
ネットワークの構成管理項目例
項目
設定値例
内容
その他備考
ネットワーク名
privatelan
拠点間VPNゲートウェイが所属するネットワーク名を記録します。
2ネットワーク記録
(共通グローバルとプライベートLAN)IPアドレス
192.168.1.5
拠点間VPNゲートウェイが所属するネットワークに接続されるNICのIPアドレスを記録します。
IP帯
192.168.1.0/24
拠点間VPNゲートウェイが所属するネットワークのIP帯を記録します。
メモ
プライベートLAN
メモを記載します。
-
ルートテーブルの構成管理項目例
項目
設定値例
内容
その他備考
ルートテーブルID
(ルートテーブルID)
ルートテーブル作成時に生成されるルートテーブルIDを記録します。
優先度
1
優先度情報を記録します。
設定しているルート数分記録
デスティネーション
192.168.3.0/24
デスティネーション情報を記録します。
ターゲット
192.168.2.3
ターゲット情報を記録します。
-
カスタマーゲートウェイの構成管理項目例
VPNコネクションの構成管理項目例
項目 |
設定値例 |
内容 |
その他備考 |
---|---|---|---|
拠点間VPNゲートウェイ名 |
vpngw01 |
拠点間VPNゲートウェイ名を記録します。 |
|
カスタマーゲートウェイ名 |
cmgw01 |
カスタマーゲートウェイ名を記録します。 |
|
作成日時 |
YYYY/MM/DD 00:00:00 |
VPNコネクション作成日時を記録します。 |
|
コネクションステータス |
接続済み |
コネクションステータスを記録します。 |
|
最終変更日時 |
YYYY/MM/DD 00:00:00 |
最終変更日時を記録します。 |
|
接続方式 |
VTI / IPsec |
接続方式を記録します。 |
|
IKEバージョン |
IKEv1 |
IKEバージョンを記録します。 |
|
暗号化アルゴリズム |
AES128 |
暗号化アルゴリズムを記録します。 |
|
認証アルゴリズム |
SHA1 |
認証アルゴリズムを記録します。 |
|
MTUサイズ |
1500 |
MTUサイズを記録します。 |
|
事前共有鍵 |
****** |
事前共有鍵を記録します。 |
|
IKE lifetime |
28800 |
IKE SAのLifetimeを記録します。 |
|
ESP lifetime |
3600 |
IPsec SAのLifetimeを記録します。 |
|
DH Group |
2 (1024-bit MODP Group) |
PFSで利用するDH Groupを記録します。 |
|
メモ |
VPNコネクション情報 |
メモを記載します。 |
|
トンネルタイプ |
L2TPv3 |
トンネルタイプを記録します。 |
L2TPv3/IPsecの場合記録 |
モード |
Managed |
モードを記録します。 |
|
カプセル化方式 |
UDP |
カプセル化方式を記録します。 |
|
トンネルID |
(トンネルID) |
トンネルIDを記録します。 |
|
セッションID |
(セッションID) |
セッションIDを記録します。 |
|
ポート |
|
ポートを記録します。 |
ファイアウォールの構成管理項目例
項目 |
設定値例 |
内容 |
その他備考 |
---|---|---|---|
ファイアウォールグループ名 |
webapFW |
ファイアウォールグループ名を記録します。 |
|
ルール数 |
5 |
ファイアウォールグループに設定しているルール数を記録します。 |
|
適用台数 |
1 |
ファイアウォールグループに適用している台数を記録します。 |
|
ゾーン |
east-14 |
ファイアウォールグループを配備するゾーンを記録します。 |
|
ログ取得件数 |
1,000件 |
ログの取得件数を記録します。 |
|
メモ |
ファイアウォールグループ |
メモを記載します。 |
|
INルール |
後述 |
||
OUTルール |
後述 |
||
サーバー |
webap01 |
ファイアウォールグループを適用しているサーバー名を記録します。 |
複数記録可能 |
ルーター |
router01 |
ファイアウォールグループを適用しているルーター名を記録します。 |
複数記録可能 |
拠点間VPNゲートウェイ |
vpngw01 |
ファイアウォールグループを適用している拠点間VPNゲートウェイ名を記録します。 |
複数記録可能 |
ファイアウォールの IN/OUT ルールの構成管理項目例
-
INルールの構成管理項目例
項目
設定値例
内容
その他備考
プロトコル
TCP
許可するプロトコルを記録します。
ルール数分記録
ポート
22-22
許可するポート番号を記録します。
接続元種別
IP/CIDR
許可する接続元の種別を記録します。
IPアドレス・グループ
(接続元IPアドレス)
許可する接続元のIPアドレス・グループ情報を記録します。
追加日時
YYYY/MM/DD 00:00:00
ルールの追加日時を記録します。
メモ
SSH用ルール
メモを記載します。
-
OUTルールの構成管理項目例
項目
設定値例
内容
その他備考
プロトコル
TCP
許可するプロトコルを記録します。
ルール数分記録
ポート
3306-3306
許可するポート番号を記録します。
接続先種別
IP/CIDR
許可する接続先の種別を記録します。
IPアドレス・グループ
192.168.1.30
許可する接続先のIPアドレス・グループ情報を記録します。
追加日時
YYYY/MM/DD 00:00:00
ルールの追加日時を記録します。
メモ
RDP用ルール
メモを記載します。
ロードバランサー(L4)の構成管理項目例
項目 |
設定値例 |
内容 |
その他備考 |
---|---|---|---|
ロードバランサー名 |
lb01 |
ロードバランサー(L4)名を記録します。 |
|
IPアドレス |
(付与されたIPアドレス) |
ロードバランサー(L4)に付与されたIPアドレス情報を |
|
ポート |
80→80 |
ロードバランサー(L4)のポート番号を記載します。 |
|
サーバー数 |
2 |
ロードバランサー(L4)からの振り分け対象サーバーの台数を |
|
料金プラン |
従量 |
ロードバランサー(L4)の料金プランを記録します。 |
|
最大ネットワーク流量 |
10Mbps |
ロードバランサー(L4)のネットワーク流量を記録します。 |
|
ロードバランス方式 |
Round-Robin |
ロードバランサー(L4)のロードバランス方式を記録します。 |
|
pingプロトコル |
TCP:80 |
ロードバランサー(L4)のヘルスチェックに利用するpingプロトコルを記録します。 |
|
タイムアウトまでのヘルスチェック回数 |
1~10回 |
ロードバランサー(L4)のヘルスチェック閾値を記録します |
|
ヘルスチェック間隔 |
30秒 |
ロードバランサー(L4)のヘルスチェック間隔を記録します。 |
|
SSLアクセラレーター |
無効 |
ロードバランサー(L4)でSSLアクセラレーターの利用可否を記録します。 |
|
暗号ポリシー |
Standard |
ロードバランサー(L4)の暗号ポリシーを記録します。 |
|
SSLセキュリティポリシー |
- |
ロードバランサー(L4)のSSLセキュリティポリシーを表示します。 |
SSLアクセラレーター有効時 |
セッション固定(Sticky Session) |
有効/セッション保持時間:3分 |
ロードバランサー(L4)のセッション固定の利用可否、セッション固定方式を記録します。 |
|
Sorryページ |
有効/HTTPレスポンスコード:200 |
ロードバランサー(L4)のSorryページの利用可否、レスポンスコードを記録します。 |
|
作成日時 |
YYYY/MM/DD 00:00:00 |
ロードバランサー(L4)の作成日時を記録します。 |
|
メモ |
Web/APサーバー用 |
メモを記載します。 |
|
サーバー情報 |
webap01、webap02 |
ロードバランサー(L4)の振り分け対象にしているサーバー名を記録します。 |
複数記録可能 |
フィルター情報 |
許可/拒否:許可アクセス元IP:(アクセス元IP) |
ロードバランサー(L4)のフィルターを設定している場合はフィルター情報を記録します。 |
複数記録可能 |
ニフクラRDBの構成管理項目例
項目 |
設定値例 |
内容 |
その他備考 |
---|---|---|---|
DBサーバー名 |
db01 |
ニフクラRDBのDBサーバー名を記録します。 |
|
タイプ |
h2-small4 |
ニフクラRDBのタイプを記録します。 |
|
DBエンジン |
mysql5.7.15 |
ニフクラRDBのDBエンジンを記録します。 |
|
種別 |
マスターDB |
ニフクラRDBの種別を記録します。 |
|
ディスク容量 |
50 GB |
ニフクラRDBのディスク容量を記録します。 |
|
ゾーン |
east-14 |
ニフクラRDBを配備するゾーンを記録します。 |
|
DB名 |
dbtest |
ニフクラRDBのDB名を記録します。 |
|
DBパラメーターグループ |
default.mysql5.7 |
ニフクラRDBに適用するDBパラメーターグループを記録します。 |
|
DBファイアウォール |
dbFW |
ニフクラRDBに適用するDBファイアウォールを記録します。 |
|
CA証明書 |
ca-2018 |
ニフクラRDBに設定されているCA証明書を記録します。 |
|
グローバルIPアドレス |
(付与されたIPアドレス) |
ニフクラRDBに付与されたグローバルIPアドレス情報を記録します。 |
グローバルIPアドレス利用時のみ |
プライベートIPアドレス |
192.168.1.30 |
ニフクラRDBのプライベートIPアドレスを記録します。 |
|
ポート |
3306 |
ニフクラRDBにアクセスする際に利用するポート番号を記録します。 |
|
ディスクタイプ |
HDD |
ニフクラRDBに付与したディスクのタイプを記録します。 |
|
マスターユーザー名 |
nifadm |
ニフクラRDBのマスターユーザー名を記録します。 |
|
冗長化 |
シングル構成 |
ニフクラRDBの冗長化の有無を記録します。 |
|
バックアップ保持期間 |
5日 |
ニフクラRDBの自動バックアップの保持期間を記録します。 |
|
自動バックアップ |
Yes |
ニフクラRDBの自動バックアップの実施有無を記録します。 |
|
メンテナンス時間 |
金曜日 3時0分~ |
ニフクラRDBのメンテナンス時間を記録します。 |
|
バックアップ時間 |
2:00 ~ |
ニフクラRDBの自動バックアップ時間を記録します。 |
|
リードレプリカ |
なし |
ニフクラRDBのリードレプリカの有無を記録します。 |
|
料金プラン |
従量 |
ニフクラRDBの料金プランを記録します。 |
DBファイアウォールの構成管理項目例
項目 |
設定値例 |
内容 |
その他備考 |
---|---|---|---|
DBファイアウォールグループ名 |
default.east-14 |
DBファイアウォールグループ名を記録します。 |
|
ゾーン |
east-14 |
DBファイアウォールグループを配備するゾーンを記録します。 |
|
ルール数 |
1 |
DBファイアウォールグループに設定されているルール数を記録します。 |
|
メモ |
DBサーバー用 |
メモを記載します。 |
|
接続元種別 |
グループ |
DBファイアウォールグループで許可する接続元種別を記録します。 |
ルール数分記録 |
IPアドレス・グループ |
webapFW |
DBファイアウォールグループで許可するIPアドレス・グループを記録します。 |
ニフクラNASの構成管理項目例
-
ニフクラNASの構成管理項目例
項目
設定値例
内容
その他備考
NAS名
NAS01
ニフクラNASのNAS名を記録します。
プロトコル
NFS
ニフクラNASで利用するプロトコル名を記録します。
NAS容量
100GB
ニフクラNASの容量を記録します。
グローバル
(付与されたIPアドレス)
ニフクラNASに付与されたグローバルIPアドレスを記録します。
プライベート
192.168.1.40
ニフクラNASのプライベートIPアドレスを記録します。
ゾーン
east-14
ニフクラNASを配備するゾーンを記録します。
NASタイプ
標準タイプ
ニフクラNASのタイプを記録します。
NASファイアウォールグループ名
default.east-14
ニフクラNASに適用するNASファイアウォールグループ名を記録します。
プライベート側ネットワーク
privatelan
ニフクラNASが所属するプライベート側ネットワーク情報を記録します。
作成日時
YYYY/MM/DD 00:00:00
ニフクラNASの作成日時を記録します。
root squash設定
root_squash
NFSのときにroot権限での使用を有効にするか無効にするかを記録します。
メモ
NAS
メモを記載します。
-
NASファイアウォールの構成管理項目例
項目
設定値例
内容
その他備考
NASファイアウォールグループ名
default.east-14
NASファイアウォールグループ名を記録します。
ルール数
1
NASファイアウォールグループに設定されているルール数を記録します。
適用台数
1
NASファイアウォールグループに適用している台数を記録します。
ゾーン
east-14
DBファイアウォールグループを配備するゾーンを記録します。
メモ
NAS用
メモを記載します。
接続元種別
CIDR
NASファイアウォールグループで許可するIPアドレス・グループを記録します。
ルール数分記録
IPアドレス・グループ
192.168.1.0/24
NASファイアウォールグループで許可するIPアドレス・グループを記録します。
オブジェクトストレージサービスの構成管理項目例
-
オブジェクトストレージサービスの構成管理項目例
項目
設定値例
内容
その他備考
バケット名
nifcloud-bucket-01
バケット名を入力します。
アクセス権設定
バケットポリシー設定
アクセス権設定についてデフォルトでは、すべてのバケットとオブジェクトは作成したユーザーのみがアクセスできるようになっています。ほかのユーザーと共有したり、匿名ユーザーに公開するときは、 バケットポリシーを設定します。
-
バケット名は、オブジェクトストレージサービス内で一意の名称となります。そのため、同じ名称がすでにほかのユーザーで使用されていると利用できません。
追加 NIC の構成管理項目例
項目 |
設定値例 |
内容 |
その他備考 |
---|---|---|---|
NIC ID |
(生成されたID) |
追加NICのIDを記録します。 |
|
ネットワーク名 |
privatelan2 |
追加NICが所属するプライベートLANを記録します。 |
|
IPアドレス |
192.168.2.10 |
追加NICのIPアドレスを記録します。 |
|
ステータス |
使用中 |
追加NICのステータスを記録します。 |
|
ゾーン |
east-14 |
追加NICのゾーンを記録します。 |
|
MACアドレス |
(付与されたMACアドレス) |
追加NICが付与されたMACアドレス情報を記録します。 |
使用中の場合 |
接続先サーバー名 |
webap01 |
追加NICが付与された接続先サーバー名を記録します。 |
使用中の場合 |
接続ステータス |
接続中 |
追加NICの接続ステータスを記録します。 |
使用中の場合 |
メモ |
webap01用追加NIC |
メモを記載します。 |