本文へジャンプします。

TOP

ニフクラSEハンドブック

クラウド トップ>SEハンドブック>ニフクラ導入・移行設計指針(共通編)

ニフクラ導入・移行設計指針(共通編)

目次

ドキュメント情報

区分

設計

リリース日

2022年7月1日

留意事項

2022 年 3 月時点の機能をもとに作成しております。
機能は順次エンハンスされますので、検討時にはニフクラホームページにて最新情報を確認ください。

■ニフクラホームページ

https://pfs.nifcloud.com/

はじめに

  • 本ドキュメントの目的

    • 本ドキュメントは、ニフクラでの商談対応やシステム設計を担当される方々が、ニフクラ上でのシステム設計に必要な知識を習得し、商談対応やシステム設計を円滑に行えるようになることを目的とします。

  • 本ドキュメントの対象読者

    • ニフクラを利用して商談対応、要件定義、システム設計を行われる方々

    • オンプレミスまたはクラウド(IaaS)の商談対応、要件定義、システム設計の経験者

  • 前提知識

    • システム設計/システム運用に関する基本的な知識

      • OSに関する基本的な知識

      • インターネット、イントラネットに関する基本的な知識

      • セキュリティに関する基本的な知識

      • バックアップ、監視、冗長化などシステム設計/システム運用に関する基本的な知識
        ※システム設計経験があることが望ましい

  • 仮想化技術に関する以下の基本的な知識

    • ハイパーバイザー、仮想サーバー、仮想ストレージ、仮想ネットワークに関する基本的な知識

    • VMwareに関する基本的な知識

  • 本ドキュメントの注意事項

    • 本ドキュメントは、2022年3月時点の機能をもとに作成しています。ニフクラは継続的にエンハンスが行われるクラウドサービスです。

  • ニフクラサービスの変更は最新のドキュメントを参照してください。

本ドキュメントで提供する内容
  • 本ドキュメントで提供する内容

    • 本ドキュメントではニフクラを通じて、商談対応や要件定義、システム設計をされる皆様に提供してきた利用者がニフクラで設計をする際のナレッジ(実商談で培われたナレッジ)を、システムを設計する上でのポイントをカテゴリに分類して提供します。
      ※利用者がニフクラ上でシステム設計/構築する際のナレッジを記載しています。サービスを提供するニフクラ側が作業する内容は含みません。

    • 本ドキュメントで、記載しているサービスに関して利用できるゾーン、リージョンが限定されている場合があります。各サービスでの提供ゾーン/リージョンは最新のニフクラ仕様ページを確認してください。

  • 記載内容の粒度

    • ナレッジとして記載した情報の粒度は、実際の商談対応や要件定義、システム設計の問い合わせに対する回答の粒度です。具体的には、以下のような問い合わせに対する回答を集約して、ナレッジとして記載しています。

      • [Q]ニフクラでOracleは利用できるか。

      • [A]ニフクラOVMを利用して、Oracle Databaseライセンスを持ち込むことができる仮想サーバーを所定の方法で作成し、そのサーバーにOracle Databaseをインストールして利用できます。

本ドキュメントの構成
  • 本ドキュメントは、以下の章立てで記載します。

    設計のポイント

    各章で検討や留意すべき特徴的な内容をポイントとして記載します。

    設計ポイントの適用事例

    設計のポイントで記載した内容を適用した事例を記載します。各章の記載内容をかいつまんで把握したい場合は、適用事例まで参照してください。

    カテゴリと留意事項

    各カテゴリの作業レベルで、検討事項、留意事項を記載します。なお、オンプレミスと同様に検討できる項目については記載を省略しています。

    方式設計と参考ドキュメント

    各カテゴリの作業レベルで参考となる詳細ドキュメントの概要や参照先を記載します。

  • オンプレミスと同様に検討できる項目について

    • オンプレミスと同様となる設計については、本ドキュメントでは割愛します。既存のオンプレミスの設計を参考にしてください。

      例:仮想マシンの中でのデータのバックアップ設計

      → アプリケーション設計の範囲で、既存の設計と変わりません

      例:サーバーのバックアップ設計

      → 物理サーバーのフルバックアップが仮想マシンのフルバックアップに変わるだけで、使うツールなどの方式設計は変わりますがそのバックアップの取得サイクルなどの設計は変わりません

      例:仮想マシンの冗長構成

      → OS及びアプリケーションレイヤより上の冗長化は物理サーバーやオンプレミスの仮想マシンと変わりませんが、仮想マシン自体の冗長構成例えばHigh Availability(HA)は構成する際の考慮点があります。

本ドキュメント活用のメリット
  • 知識の習得

    • 利用者がニフクラでシステムを構成する際に必要な知識を習得できます。

  • ニフクラが提供するサービス/機能を早い段階で適用判断が可能

    • 本ドキュメントで提供するナレッジを活用すると、システムに対する要求事項のうちシステム構成の課題を解決するために構成サンプルを提示し、ニフクラが提供するサービスや機能を利用するか、あるいは利用者側でミドルウエアなどを手配してニフクラの仮想サーバーに導入するかの判断を、商談や要件定義などの早い段階で行えます。

  • システム構成の手戻りを抑制可能

    • ニフクラのシステム構成に関するナレッジを習得することで、システム設計の後工程になって問題が発生するような事態を抑制できます。

アイコンの説明
  • 本ドキュメント構成図に使用されているアイコンは下記の通りとなります。

  • リージョン及びゾーンについて特に記載がなければ、単一リージョン、単一ゾーン構成を示します。

  • 構成図内の名称は略称で記載されている場合があります。(下記()内が略称の例)

image

image

ガイダンス

カテゴリー「設計」は必要な観点によって5つのドキュメントに分類しています。確認して必要なドキュメント/章を参照してください。

設計時に必要な観点
  • 本ドキュメントの下記章を参照

    • 1. 性能・拡張性

    • 2. 信頼性

    • 3. ネットワーク

    • 4. セキュリティ

    • 5. システム構成・環境

個別に設計する際に必要な観点
移行について
運用・保守について
構成サンプル

1.性能・拡張性

設計のポイント

ニフクラで性能・拡張性観点で設計を行うポイントについて、以下のリソース区分ごとに記載していきます。

リソース区分

リソースの概要

仮想リソース全般

ニフクラが提供するプライベートLANやルーター、ロードバランサー(L4)サービスやニフクラRDB、仮想サーバー全般について記載します。

仮想リソース設計
  • ニフクラで性能・拡張性観点で設計を行う際は、以下の項目を検討してください。

    • 仮想リソース全般

      検討項目

      検討内容

      選択値・条件

      サーバータイプ選定

      ニフクラでは、vCPUとメモリをセットにした仮想サーバータイプを提供しています。リージョン/ゾーンにより選定可能なサーバータイプが異なります。

      Type-h2、Type-e、Type-cより選択

      スケールアップ/スケールダウン

      vCPUまたはメモリが不足している場合に、サーバータイプを上位のタイプに変更することが可能です。vCPUまたはメモリが十分に余裕がある場合には、サーバータイプを下位のタイプに変更することが可能です。 [1]


      1. 仮想サーバータイプを選択することはできますが、CPUクロック数を選択することはできません。

      スケールアウト/スケールイン

      同時に処理できる処理数を増やしたい場合には、仮想サーバーの台数を増やすスケールアウトを検討してください。仮想サーバー単体の性能向上策のスケールアップと組み合わせて、システム全体の性能を考慮してください。スケールアウトを検討する際には、スケールインによる台数削減の条件も合わせて検討してください。適切なスケールアウト/スケールインで、効率的にニフクラのシステムリソースを活用してください。

      負荷分散

      Webサーバー、APサーバーの同時処理性能を向上させるには、ロードバランサーを利用した負荷分散を検討してください。性能に関しては各ロードバランサーで必要帯域/スペックを契約してください。

      ロードバランサー(L4)、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2シリーズ)を提供

      オートスケール

      CPU、メモリ、ネットワークの使用率などの閾値に応じて自動的にスケールアウト/スケールインすることで要件を満たせる場合は、オートスケールを検討してください。

      DB リードレプリカ

      データベースへのアクセスが多い場合には、参照専用のデータベース(リードレプリカ)の利用を検討してください。

      増設ディスク 増設

      仮想サーバーに対してディスクを増設することが可能です。

      • 1サーバー最大14本まで増設可能

      • 1増設ディスク100GB~1,000GB [2]


      2. east-11,east-12,east-13,east-14,east-31,west-13,jp-west-21の標準フラッシュドライブ、高速フラッシュドライブとeast-11,east-12,east-13,east-14,east-31,jp-east-41,west-11,west-13の標準ディスク、高速ディスクのみ100GB~2,000GB (計28TB)

      増設ディスクの容量拡張

      一度作成した増設ディスクは、一部対象のOSで容量拡張可能です。対象イメージ以外で容量を拡張したい場合は、以下の方法等で利用者自身で対応する必要があります。

      • 新たに要件を満たす容量の増設ディスクを作成し、手動でデータを移行する

      • OS上で論理ボリュームを構成する

      • 縮小は不可

      • 100GB/回ごとに拡張

      ネットワーク

      ネットワーク構成をプライベートLANやルーター、追加NICを用いての階層化、IPsecVPN等を利用した外部接続などのプライベート接続サービス [3]を利用したセキュアな接続、接続時の回線速度や帯域、マルチIPアドレスを用いた複数のグローバルIPの使用を検討してください。


      3. 本ドキュメントでは、「ダイレクトポート」、「プライベートアクセス」の総称を「プライベート接続サービス」と表記します。「プライベート接続サービス」は、ニフクラ上での正式な呼称ではないため注意してください。

      複数ゾーン構成

      ネットワーク構成に合わせて、信頼性の観点も含めてプライベートブリッジ、ロードバランサー(L4)等を利用して複数のゾーンの利用を検討してください。

      プライベートブリッジは「east-1」、「east-3」、「west-1」、「jp-west-2」リージョンのみ提供

      アプリ多重度

      アプリを多重に起動できるよう設計してください。IaaSでは、CPUクロック数をオンプレミスのように自由に選択することができません。そのため、シングルスレッドで動くアプリ(バッチ処理アプリなど)はIaaSでは性能が出ないケースがあります。そこでアプリを複数のサーバーや複数のプロセス/スレッドで稼動できるよう設計してください。

      各種制限値

      ニフクラではプライベートLAN数、仮想サーバー数、増設ディスク容量・本数等、配備できるリソースに対してそれぞれ制限値があります。システム要件と制限値を勘案し、設計を行ってください。 [4]


      4. 本ドキュメント内「主な制限事項」参照
適用指針

設計のポイントで例示した検討項目について、検討対象への適用の指針を記載します。

主な検討内容\検討項目

サーバー単体に対して適用を検討する項目

システム全体に対して適用を検討する項目(同時接続処理数の向上に関連)

スケールアップ/ダウン

ディスク 増設/拡張

帯域

負荷分散

スケールアウト/イン

オートスケール

複数ゾーン

DBリードレプリカ

アプリ多重度

ロードバランサー(L4)

Webサーバー + APサーバー

○ ※1

ニフクラRDB

○ ※2

データベースサーバー (独自)

○ ※1

バッチサーバー

○ ※1

ニフクラNAS

○ ※2

※1 ローカルディスクの容量拡張はできません。
※2 容量拡張が可能となります。別ディスク増設はできません。

典型的なニフクラの構成例

image

  • ロードバランサー(L4)でWeb/APサーバーを負荷分散

  • ロードバランサー(L4)からの分散対象サーバーのみインターネットからアクセス可能とする

  • データベースはニフクラRDBを利用して、冗長化、参照用のリードレプリカを配備

  • バッチサーバー2台、NASを配備 (NASはニフクラで提供しているニフクラNASを配備)

  • 冗長化を実装するサーバーは構成例のように追加NICを利用して同期用のネットワークを別途構築することも可能

単一ゾーン構成例

image

構成図補足
【ロードバランサー(L4)】

ニフクラでは、可用性向上と性能向上のための負荷分散機能として、ロードバランサー(L4)を提供しています。ロードバランサー(L4)を1つ設定することで、この事例のように仮想サーバーに負荷分散してアクセスすることが可能です。ロードバランサー(L4)は物理的に冗長構成となっています。またプランは利用する帯域で選定します。ニフクラではこの事例のロードバランサー(L4)以外に、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2シリーズ)を提供しています。

【Web/APサーバー】

ロードバランサー(L4)からアクセスされる形態です。仮想サーバー単体の観点では、以下の対応でスケールアップが可能です。
①サーバータイプの変更でスケールアップして性能向上
②増設ディスクの容量拡張または追加によりデータ容量拡張

【ニフクラNAS】

ニフクラNASは、ニフクラが提供する NASサービスです。ニフクラNASは冗長化されています。ただし障害時は5分を目安として切り替わりのための停止が発生します。

【DBサーバー】

ニフクラRDBではオンプレミスで実施するような複雑なデータベースの構成設計をすることなく、APIのパラメーターだけでデータベースを冗長化するようなことも可能なサービスとなっています。この事例では、ニフクラRDBの特徴的な構成として以下の内容で構成しています。
①主系/待機系で冗長化する構成
②参照スピードを向上させるため、データベースのリードレプリカを配備する構成

複数のゾーンを利用したニフクラのシステム構成例

image

  • 複数ゾーン構成、ロードバランサー(L4)でWeb/APサーバーを負荷分散

  • ロードバランサー(L4)からの分散対象サーバーのみインターネットからアクセス可能とする

  • データベースはDB用のサーバーを作成する

  • バッチサーバー、NASを配備(NASはニフクラで提供しているニフクラNASを配備)

※ゾーン間のデータ同期の仕組み、冗長構成などは別途検討してください。本構成例のように追加NICを利用して、同期用のプライベートLANを用意することも可能です。
※ルーターは各ゾーンで独立しています。ルーティングなどのネットワーク設計を検討する必要があります。

複数ゾーン構成例

image

構成図補足
【ロードバランサー(L4)】

ロードバランサー(L4)では、この事例のように複数のゾーン に配備された仮想サーバーに負荷分散してアクセスすることが可能です。ニフクラではこの事例のロードバランサー(L4)以外に、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2シリーズ)を提供しています。
※マルチロードバランサーは複数のゾーンに配備された仮想 サーバーに負荷分散してアクセスすることはできません。

【ニフクラNAS】

ニフクラNASは、ニフクラが提供するNASサービスです。ニフクラNASの機能では複数ゾーンでの冗長構成はサービスとしては実現できません。

【DBサーバー】

ニフクラRDBを複数ゾーンにまたがって構成することはできません。この事例では複数ゾーン構成となっているためニフクラRDBではなく仮想サーバー上にDBを搭載する構成となっています。冗長構成、データ同期の仕組み等は別途利用者側で検討する必要があります。

作業と留意事項

カテゴリ項目

作業

ニフクラでの作業概要

性能・拡張性

システム構成要素の選択

オンプレミスでは、サイジング実施の対象となるシステム構成要素を、性能のボトルネックとなりうるシステム資源の性能特性を考慮して選択します。ニフクラでは、サーバータイプ(vCPUとメモリの組み合わせ)、増設ディスク、ネットワークを必ずシステム構成要素としてください。

性能見積対象の決定

オンプレミスと同様に、システム資源の負荷を見積もるために必要な業務をアプリ担当チームと連携して抽出して、適切でかつ代表的なオンライン処理やバッチ処理を性能見積対象として選択してください。この際、オンライン処理とバッチ処理のシステム資源の競合についても考慮してください。

性能見積

性能見積対象から必要となるサーバー性能 (vCPU/メモリ) やストレージ性能、ネットワーク性能を算出し、仮想サーバーその他のリソースの選定を行ってください。

容量見積

ストレージの容量見積を行ってください。ニフクラでは、使用できる増設ディスク容量に制限があります。そのため、ストレージ容量を見積もり、容量制限にかかる場合は実現方法を別途ご検討ください。 (メモリ容量については、性能見積作業でのサーバータイプの選定により確定します)

通信容量見積

通信容量見積を行い、通信の方式を決定してください。ニフクラでは、帯域保証はありません。そのため、プロトタイプ検証を行い、スループットとレスポンスを確認の上、通信方式を決定してください。

性能検証のプロトタイピング

性能検証は要件定義工程でのプロトタイプ検証実施を推奨しています。実施していない場合は必ず実施してください。 特にオンプレミスからのシステム移行において、移行前のH/W構成に基づいたサーバータイプ選定に留めず、ニフクラ上で検証を行うことによって性能見積の妥当性を確認してください。

性能・容量の方式設計

性能・容量見積に基づいて、性能・容量の方式設計を実施してください。オンプレミスシステムと異なり、稼動後のリソース拡張/縮小を意識した設計を行ってください。

拡張性の方式設計

性能・拡張性要件に基づいてシステム拡張性を確保するための方式を設計してください。vCPU/メモリ/ストレージを拡張する方式として、スケールアップやスケールアウト等を検討してください。

運用設計 (性能・拡張性)

システム全体の運用・保守設計に基づいて、システムが安定した性能を維持するための、管理・運用方法を設計してください。

システム構成要素の選択
作業概要

オンプレミスでは、サイジング実施の対象となるシステム構成要素を、性能のボトルネックとなりうるシステム資源の性能特性を考慮して選択します。ニフクラでは、サーバータイプ(vCPUとメモリの組み合わせ)、ストレージ、ネットワークを必ずシステム構成要素としてください。

  • 留意事項

    留意事項

    内容

    リソース選択

    ニフクラのリソース選択方法、単位を把握してください。

    ベストエフォート提供

    ニフクラでは、ネットワークやストレージのリソースについては、ベストエフォート方式での提供です。

  • ニフクラで提供される主なシステムリソース

    システムリソース

    ニフクラにおける選定項目

    各リソースの見積を行うタスク

    vCPU数

    個別の選択不可
    サーバータイプより選択

    性能見積

    メモリ容量

    増設ディスク容量、増設ディスク本数

    容量指定可能 (100GB~1,000GB) [5] [6]


    5. east-11,east-12,east-13,east-14,east-31,west-13,jp-west-21の標準フラッシュドライブ、高速フラッシュドライブとeast-11,east-12,east-13,east-14,east-31,jp-east-41,west-11,west-13の標準ディスク、高速ディスクのみ作成最大容量が2,000GB (100GBごと) まで作成可能。仮想サーバーに増設する本数指定可能 (~14本) 増設ディスクでは5種類 (標準フラッシュドライブ、高速フラッシュドライブ、標準ディスク、高速ディスク、フラッシュドライブ) から選択可能。
    6. ゾーンによって選択できる増設ディスクは異なります。

    容量見積

    ネットワーク帯域

    グローバルネットワーク(ベストエフォート)
    プライベートネットワーク(ベストエフォート)

    通信容量見積

性能見積
作業概要

性能見積対象から必要となるサーバー性能 (vCPU/メモリ) やストレージ性能、ネットワーク性能を算出し、仮想サーバーその他のリソースの選定を行ってください。

  • 留意事項

    留意事項

    内容

    選択値・条件

    仮想サーバータイプの選定

    ニフクラでは、vCPUとメモリをセットにしたサーバータイプから選定してください。

    Type-h2、Type-e、Type-cから選定

    CPUクロック数

    CPUクロック数は公開しておりません。別途性能を測定したニフクラブログなどを確認してください。
    また、要件に沿って利用者自身で検証を実施し性能を確認してください。

    係数での見積はNG

    オンプレミスと異なり、システム係数などによる厳密な性能見積もりはできません。
    要件定義工程で性能検証を行っていない場合は、CPU性能、ストレージ性能、ネットワーク性能等、プロトタイプで検証を行ってください。

    • CPU性能[7]

    • ストレージ性能[8]

    • ネットワーク性能[9]


    7. サーバータイプを選定して性能検証してください。
    8. IOPSは保証できません。
    9. 帯域保証はできません。

    システム全体性能の考慮

    仮想サーバー単体の性能に依存せず、システム全体として性能を充足するようなスケールアウトも考慮して設計してください。

    平常時/ピーク時 それぞれの見積

    稼働後のスケールアップ/ダウンやスケールアウト/インを含め、平常時/ピーク時をそれぞれ意識してサーバータイプを選定してください。
    これにより、クラウドサービスによるコスト最適化が見込まれます。

    スケール処理時の業務影響

    稼働後のスケールアップ/ダウンやスケールアウト/インを見越して選定を行う際、スケールアップ/ダウン、スケールアウト/イン実行時の業務影響について検討してください。また、スケールアップ/ダウン、スケールアウト/インの方法について設計を行ってください。

    プロトタイプ

    要件定義工程にてプロトタイプによる性能測定を実施した場合はその内容を反映します。

容量見積
作業概要

ストレージの容量見積を行ってください。ニフクラでは、使用できるストレージ容量に制限が有ります。そのため、ストレージ容量を見積もり、容量制限にかかる場合はスケールアウトなども検討してください。

  • 留意事項

    留意事項

    内容

    ストレージ種別

    ニフクラで利用可能なストレージは後述します。

    物理装置の選定

    物理的なディスクアレイ装置については、ユーザーによる選定は行えません。

    IOPS

    IOPS、スループットはベストエフォートでの提供となるため保証できません。要件定義工程で性能検証を行っていない場合は、ストレージ性能について、プロトタイプで検証を行ってください。

  • ニフクラで利用可能なストレージ

    ストレージ種別

    用途・特徴

    選択値・条件

    ローカルディスク

    仮想サーバー配備時にローカルディスクとしてアタッチされるディスク。

    Linux系OS 30GB、Windows系OS 80GB

    増設ディスク

    仮想サーバーに新しいボリュームとしてアタッチ可能なディスク。

    • 指定範囲100GB~1,000GB (100GB単位)
      east-11,east-12,east-13,east-14,east-31,west-13,jp-west-21の標準フラッシュドライブ、高速フラッシュドライブとeast-11,east-12,east-13,east-14,east-31,jp-east-41,west-11,west-13の標準ディスク、高速ディスクのみ100GB~2,000GB (計28TB)

    • 1サーバーに14本まで増設可能

    標準フラッシュドライブ

    WEBサービス・開発環境・基幹系など、読み込みが多いシステムに向いています。

    高速フラッシュドライブ

    大規模なデータベースなど、瞬間的に高いI/O性能が必要な用途に向いています。

    標準ディスク

    Webサービス・情報システム系の基盤・開発環境など広く汎用的な用途やバックアップ用途で利用できます。

    高速ディスク

    オンラインゲームのデータベース、基幹系データベースなど、高いI/O性能が必要な用途に向いています。

    フラッシュドライブ

    大規模なNoSQL データベースなど、瞬間的に高速ディスクよりも高いI/O性能が必要な用途に向いています。

    オブジェクトストレージ

    オブジェクト単位でデータを分割保存するオンラインストレージ。

    ニフクラNAS

    NFS/CIFS プロトコルに対応したNAS。ニフクラNASでは2つのタイプを選択できます。

    高速タイプ:1TB~10TB /領域  1TB単位で増設
    標準タイプ:100GB~1TB /領域 100GB単位で増設

通信容量見積
作業概要

通信容量見積を行い、通信の方式を決定してください。ニフクラでは、帯域保証はありません。そのため、プロトタイプ検証を行い、スループットとレスポンスを確認の上、通信方式を決定してください。

  • 留意事項

    留意事項

    内容

    スループットとレスポンス

    利用する接続形態 (インターネット接続/ニフクラ内部) ごとに通信容量を確認し、それぞれの接続形態が必要なスループットを満たすか、レスポンスを満たすか検証してください。 要件定義工程で性能検証を行っていない場合は、ネットワーク性能について、プロトタイプで検証を行ってください。

  • ニフクラで利用可能な接続形態
    ※詳細は『3.ネットワーク』及び『ニフクラ個別設計・移行設計指針2.外部接続』の章を参照してください。

    接続形態

    帯域保証

    用途・特徴

    選択値・条件

    インターネット接続

    なし (ベストエフォート)

    標準提供されるインターネット接続です。共通のため帯域保証はできません。

    プライベートネットワーク

    なし (ベストエフォート)

    ニフクラのプライベート側ネットワークです。共通のため帯域保証はできません。

    拠点間VPNゲートウェイ(IPsecVPN)

    なし (ベストエフォート)

    ニフクラのIaaS上にデプロイして、利用者拠点とインターネットVPN接続可能なサービスです。

    L2、L3接続対応

    インターネットVPN(H/W) (IPsecVPN)

    なし (ベストエフォート)

    機器設置型 (ハードウエアタイプ) で利用者拠点とインターネットVPNで接続可能なサービスです。

    • L3接続対応

    • 利用可能帯域は30Mbpsベストエフォート

    リモートアクセスVPNゲートウェイ(SSL-VPN)

    なし (ベストエフォート)

    ニフクラのIaaS上にデプロイして、利用者端末とインターネットVPN接続可能なサービスです。

    ダイレクトポート接続

    なし (ベストエフォート)

    回線事業者の閉域網・専用線を引き込みニフクラと直接接続できる物理ポートを提供します。

    利用可能帯域は1Gbpsベストエフォート

性能検証プロトタイプの①設計②開発(構築)③評価
作業概要

要件定義工程で性能検証を行っていない場合は、CPU性能、ストレージ性能、ネットワーク性能等、プロトタイプで検証を行ってください。

  • 留意事項

    留意事項

    内容

    プロトタイプの設計/開発

    性能見積対象をもとに、性能検証用のプロトタイプを設計/開発(環境構築)してください。 CPU性能、ストレージ性能、ネットワーク性能等のIaaSの観点、アプリの多重度の観点などを盛り込んでください。特にアプリ多重度の観点では、シングルスレッドで動くアプリ(バッチ処理アプリなど)は、IaaSでは性能が出ないケースが多々ありますので、必ず検証対象として盛り込んでください。

    プロトタイプでの検証と評価

    検証を実施し、検証結果を評価してください。 評価結果から、CPU性能見積、ストレージ性能見積、ネットワーク性能見積の見直しや、アプリ多重度等のアプリ設計の見直しを行ってください。

仮想サーバー単体の観点
作業概要

性能・容量見積に基づいて、性能・容量の方式設計を実施します。オンプレミスシステムと異なり、稼動後のリソース拡張/縮小を意識した設計を行います。

  • 仮想サーバー単体の観点の留意事項

    区分

    留意事項

    内容

    選択値・条件

    性能

    サーバータイプの選定

    Webサーバー、APサーバー、データベース等の性能見積に合わせて、サーバータイプを選択してください。サーバータイプは、後からスケールアップ/スケールダウンで変更可能です。[10]


    10. スケールアップでvCPU数があがる場合は、OS/MWのライセンス数に注意してください。

    サーバータイプの変更

    スケールアップ/スケールダウン実施時は、仮想サーバーの停止/起動が伴います。[11]


    11. 停止中のサーバーは、OSに関わらず即時反映されます。
    • スケールアップ:一部のサーバータイプ、OSを除いてサーバー再起動必須

    • スケールダウン:再起動必須

    • 現在、ホットスケールアップ機能利用不可

    ディスク性能

    増設ディスクは用途に合わせて数種類から選択可能です。

    標準フラッシュドライブ、高速フラッシュドライブ、標準ディスク、高速ディスク、フラッシュドライブより選択

    容量

    ディスク容量

    制限値を考慮して、仮想サーバーにアタッチする増設ディスクの容量を検討してください。

    ディスク増設

    仮想サーバーに対して、増設ディスクを増設することが可能です。

    1サーバー最大14本まで増設可能

    ディスク容量の拡張

    仮想サーバー配備時に割り当てられるローカルディスクは拡張不可能です。 仮想サーバーにアタッチ済みの増設ディスクは、一部対象のOSで容量を拡張可能です。 対象イメージ以外で容量を拡張したい場合は、以下の方法等、利用者自身で対応する必要があります。

    • 新たに要件を満たす容量の増設ディスクを作成し、手動でデータを移行する

    • OS上で論理ボリュームを構成する

    • 縮小は不可

    • 容量拡張は100GB/回ごと

    ディスク容量の制限値

    ディスクの制限値を超えることが想定される場合は、別途増設ディスクをアタッチして対応を検討してください。

    ニフクラRDBディスク容量の制限値

    ニフクラRDBのディスクは、後から拡張することが可能です。

システム全体の観点
作業概要

性能・容量見積に基づいて、性能・容量の方式設計を実施します。オンプレミスシステムと異なり、稼動後のリソース拡張/縮小を意識した設計を行います。

  • システム全体の観点の留意事項

    区分

    留意事項

    内容

    選択値・条件

    性能

    負荷分散

    Webサーバー、APサーバーの同時処理性能を向上させるには、ロードバランサーを利用した負荷分散を検討してください。用途ごとにロードバランサーが提供されています。性能に関しては各ロードバランサーで必要帯域/スペックを選択できます。 [12]


    12. ロードバランサー(L4)とマルチロードバランサーはL4負荷分散となります。

    ロードバランサー(L4)、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2シリーズ)を提供

    コンテンツ配信

    静的なhtmlなどのファイルをキャッシュサーバーに配置するコンテンツ配信サービス (CDN) の利用を検討してください。ニフクラはサードパーティ製のソリューションサービスを提供しています。

    Fastly、J-stream CDNextを提供

    アプリ多重度

    シングルスレッドで動くアプリ (バッチ処理など) はIaaSでは性能が出ないケースが多いため、アプリを多重に起動できるよう設計してください。

    複数ゾーン

    負荷分散を利用する際は、信頼性の観点も考慮して、リージョン内の複数のゾーンの利用も検討してください。

    マルチロードバランサーは複数ゾーンの仮想サーバーの分散は不可

    レスポンスの妥当性確認

    オンプレミスシステムと同様に、システム全体のレスポンス概算見積もりを行い、妥当性の確認を行ってください。ニフクラではベストエフォート方式にて提供されるリソースがあるため、あくまでも概算での検討となることに留意してください。

    データベースのリードレプリカ

    データベースへのアクセスが多い場合に利用する参照専用のデータベース(リードレプリカ) の利用を検討してください。

    容量

    ディスク容量

    制限値を考慮して、システム全体のディスク容量を検討してください。 仮想サーバー単体のディスク容量 (ローカルディスク/増設ディスク) に加えて、ディスクやデータベースをバックアップする際の増設ディスクなどの容量を検討してください。

    ディスク容量の制限値

    ディスクの制限値を超えることが想定される場合は、スケールアウトなどでの対応を検討してください。

    通信容量

    インターネットとニフクラ上のシステムとの間の通信容量、ニフクラ上のシステムとオンプレミスのシステムとの間の通信容量等の要件を確認してください。

    グローバルネットワークの通信量10TB超過で課金対象

スケールアップ/ダウンの観点
作業概要

性能・拡張性要件に基づいて、システム拡張性を確保するための方式を設計します。vCPU/メモリ/ストレージを拡張する方式としてスケールアップやスケールアウト等を検討します。

  • スケールアップ/スケールダウンの観点の留意事項

    区分

    留意事項

    内容

    選択値・条件

    性能

    スケールアップ/ スケールダウン

    仮想サーバー単体の性能を向上させたい場合は、スケールアップを選択します。
    OS/MWのライセンス数に注意してください。仮想サーバー内で、複数の処理が同時に実行されてCPU負荷が大きい場合や、メモリ不足で処理スピードが出ない場合は、現状から仮想サーバーの単体性能を向上させられるサーバータイプを選択し、スケールアップします。ただし、1スレッドの処理で単純にCPUスピードが不足しているような場合は、IaaSレベルでは対応策がありません。アプリをマルチプロセス/マルチスレッドに対応させる等、アプリ設計も見直してください。

    • スケールアップ:一部のサーバータイプ、OSを除いてサーバー再起動必須

    • スケールダウン:再起動必須

    • 現在、ホットスケールアップ機能利用不可

    データベースのスケールアップと制限事項

    WebサーバーやAPサーバー、バッチサーバー等の仮想サーバー (クライアント) から データベースに接続するシステム形態の場合で、クライアントの仮想サーバーをスケールアウトで増やした場合、データベースの同時接続数/同時処理数があがり、負荷があがります。 そのような場合も、データベース用の仮想サーバーに割り当てているサーバータイプを変更し、スケールアップしてください。

スケールアウト/インの観点
作業概要

性能・拡張性要件に基づいて、システム拡張性を確保するための方式を設計します。vCPU/メモリ/ストレージを拡張する方式としてスケールアップやスケールアウト等を検討します。

  • スケールアウト/スケールインの観点の留意事項

    区分

    留意事項

    内容

    選択値・条件

    性能

    スケールアウト/ スケールイン

    システムの同時処理性能を向上させたい場合は、スケールアウトを選択してください。 スケールアウトでピーク時の同時処理性能の向上と、スケールインで平常時の仮想サーバー台数抑制によるコスト削減が見込まれます。

    スケールアウト/ スケールインの 対応状況の確認

    スケールアウト/インの際は、業務アプリやミドルウエアが機能的に対応できるか、OS/MWのライセンス上問題ないかを確認してください。

    スケールアウトできないパターン

    以下の場合は、スケールアウトできません。

    • データベースサーバーのようにデータを一元管理するような場合

    • 他のシステムから接続される前提のシステムで、他システムがスケールアウトに対応できない場合

    オートスケールができないパターン

    以下の場合は、オートスケールできません。

    • 利用時にアクティベーションが必要なライセンスの場合

    • ライセンスがホスト名と紐づく場合

    • OS/MWが機能的に対応していないような場合

    • ニフクラでプライベートLANを利用している場合

    • 増設ディスク付きカスタマイズイメージの場合

    業務アプリの方式により検討が必要なパターン

    業務アプリがサーバー内にセッション情報やサーバーに固有の設定情報を保持しているような方式の場合、サーバー内から固有の情報を外部のデータベースやNAS等の共有ディスクに保持するような方式に変更ができれば、スケールアウト/スケールインは可能です。[13][14]


    13. 業務アプリやミドルウエアがログを出力する際は、スケールアウト/スケールインする仮想サーバー内にログ出力ではなく、別途syslogサーバーなどの外部サーバーにログ出力するよう設計してください。
    14. ログなどが仮想サーバー内に保持される方式を変更できない場合は、ログなどを手動で退避し、手動でスケールインする運用を検討してください。

    性能

    オートスケールの条件

    オートスケールでシステムを拡張したい場合は、オートスケールの条件を検討してください。

    リソース監視によりオートスケール処理

    負荷がかかる時間が不定で、リソース負荷により仮想サーバー起動台数を増減したい場合の利用が有効です。
    リソース負荷では以下のトリガーが設定可能です。[15]

    • サーバー:CPU使用率/メモリ使用率/ネットワーク流量

    • ロードバランサー(L4):ネットワーク流量


    15. 設定した負荷を下回った場合、スケールアウトしたサーバーが自動的に削除されます。
    • リソース負荷では以下のトリガーが設定可能です。

      • サーバー:CPU使用率/メモリ使用率/ネットワーク流量

      • ロードバランサー(L4):ネットワーク流量

      • 設定した負荷を下回った場合、スケールアウトしたサーバーが自動的に削除されます。

    • オートスケール後OS起動まで数分かかる

    • プライベートLAN利用の仮想サーバーはオートスケール未対応

    オートスケールの留意事項

    オートスケールは、テンプレート (カスタマイズイメージ) を用いてシステムを構築します。
    オートスケールでは、ロードバランサー(L4)の併用を推奨します。ロードバランサー(L4)を併用すると、ヘルスチェック機能が利用可能です。
    その他、オートスケールの実装例なども含めて、 クラウドデザインパターン:オートスケールパターンを確認してください。

ストレージ容量の観点
作業概要

性能・拡張性要件に基づいて、システム拡張性を確保するための方式を設計します。vCPU/メモリ/ストレージを拡張する方式としてスケールアップやスケールアウト等を検討します。

  • ストレージ容量留意事項

    区分

    留意事項

    内容

    容量

    ストレージ容量の制限値

    ストレージの制限値を超えることが想定される場合は、スケールアウトなどでの対応を検討してください。

その他の観点
作業概要

性能・拡張性要件に基づいて、システム拡張性を確保するための方式を設計します。vCPU/メモリ/ストレージを拡張する方式としてスケールアップやスケールアウト等を検討します。

  • その他の観点の留意事項

    区分

    留意事項

    内容

    選択値・条件

    その他

    ネットワーク帯とIPアドレス設計

    ニフクラでは、仮想サーバー/ロードバランサー等の各種サービスを利用する際にIPアドレスを使用します。インターネット環境と通信可能なグローバルIPアドレス、共通プライベートでのプライベートIPアドレスは、ニフクラからDHCPで払いだされます。ニフクラのサーバーに払い出されるグローバルIPアドレス帯はニフクラホームページにて公開されています。
    プライベートIPアドレスは、プライベートLANを利用することで自由に設定可能です。マルチIPアドレスを利用することで、仮想サーバーに対し複数のグローバルIPアドレスを設定可能です。

    プライベートLANで設定可能なプレフィックス長16~28

    リージョン内の複数ゾーンにまたがった同一サブネット

    プライベートLANを利用していればプライベートブリッジを利用してプライベートLAN同士をL2接続することが可能です。

    インターネットVPN接続する経路の拡張

    インターネットVPNを利用する場合は拠点間VPNゲートウェイ/インターネットVPN(H/W)/リモートアクセスVPNゲートウェイを利用してください。多くの拠点とIPsecVPN接続したい場合は、プライベートLANと拠点間VPNゲートウェイの組で増やしてください。 IPsecVPN接続する拠点を例えば60拠点にしたい場合は、プライベートLAN2つとvpngw.medium1つ、vpngw.large1つを作成します。 リモートアクセスVPNゲートウェイ1つあたりの最大コネクション数以上の接続が見込まれる場合には、プライベートLANとリモートアクセスVPNゲートウェイの組で増やしてください。

    • 拠点間VPNゲートウェイ/リモートアクセスVPNゲートウェイ:1プライベートLANあたり1つ

    • IPsecVPN:1拠点間VPNゲートウェイあたり、タイプにより50拠点まで接続可能

    • インターネットVPN(H/W):1契約(1接続点)で1拠点と接続可能

    • リモートアクセスVPNゲートウェイ:1つあたり、タイプにより1000コネクションまで可能

    各種リソースの制限値の緩和

    各種リソースの制限値は、上限を緩和できる場合があります。利用リソースの中で制限値を超えることが想定される場合は、ニフクラの仕様ページの「各種変更申請フォーム」より申請してください。[16]


    16. サービスによっては上限を緩和できないリソースもあるため留意してください。

    各種リソースの制限値

    仮想リソースでは各種リソースの制限値が存在します。各種リソースの制限値はニフクラの仕様ページを確認してください。
    システムを設計する際に、各種リソースの制限値がシステム拡張の阻害要因にならないよう、今後のシステム拡張も見据えて、各種リソースの制限値を確認してください。

    • 1サーバーに14本まで増設可能

    • 増設ディスク指定範囲100GB~1,000GB[17]


    17. east-11,east-12,east-13,east-14,east-31,west-13,jp-west-21の標準フラッシュドライブ、高速フラッシュドライブとeast-11,east-12,east-13,east-14,east-31,jp-east-41,west-11,west-13の標準ディスク、高速ディスクのみ100GB~2,000GB (計28TB)
性能・拡張性運用設計
作業概要

システム全体の運用・保守設計に基づいて、システムが安定した性能を維持するための、管理・運用方法を設計します。

  • 留意事項

    区分

    留意事項

    内容

    監視

    性能監視 リソース監視

    性能監視、リソース監視等の監視方式と、異常を検知した際の通知方式を検討してください。

    • 性能監視:CPUの利用状況や、業務アプリの同時処理状況 等を監視します。

    • リソース監視:メモリの利用状況や、ストレージの利用状況を監視します。

    CPUやメモリの使用量等、仮想サーバーのリソース監視については、ニフクラの基本監視サービスで監視可能です。監視可能な項目は、ニフクラの仕様ページを確認してください。ただし、業務アプリのレスポンスや、業務アプリが使用しているメモリ量などを監視したい場合は、ニフクラの機能ではできません。別途、Zabbix等の監視ツールを導入してください。

    対処

    スケールアップ、スケールアウト等の検討と実施

    性能監視、リソース監視の状況に応じて、スケールアップ/スケールダウン、スケールアウト/スケールイン等をシステムに合わせて検討してください。

    オートスケールの処理条件の見直し

    オートスケールを活用することで臨機応変にシステムを拡張している場合、オートスケールの条件見直しを検討してください。

    運用

    オートスケールのカスタマイズイメージ運用

    オートスケールでは、カスタマイズイメージを元にスケールアウトを行います。 そのため、オートスケールで利用するカスタマイズイメージのセキュリティの最新化について検討してください。[18]


    18. カスタマイズイメージにパッチが当たっていない古い状態のままだと、オートスケールで作成される仮想サーバーもパッチが適用されていない状態になります。
方式詳細と参考ドキュメント(CDP)
掲載ドキュメント

詳細な方式例としてCDP (クラウドデザインパターン) や、システム構成の参考事例を記載します。

設計項目

ドキュメント掲載先

ドキュメント名または 本ドキュメント内のタイトル

内容

(1) 主に 性能関連

本ドキュメント

複数ゾーン構成例

性能・拡張性の観点を考慮した複数ゾーン構成の事例を記載しています。

CDP

仮想サーバーを作成した後に判明した性能不足や性能過剰に対して、臨機応変に仮想サーバーの性能を変更したい場合のパターンです。

(2) 主に 拡張性関連

CDP

Webサービスで、性能、信頼性を考慮した場合のパターンです。

CDP

データセンターの火災や大規模な電源障害など、1つのリージョン全体に影響があるような事態でも、業務を継続したいパターンです。

CDP

負荷分散機能に加え、アクセス状況により仮想サーバーの増設を可能にするパターンです。

CDP

一時的にストレージが必要になった など、必要に応じてディスクを増設したい場合のパターンです。

方式詳細と参考ドキュメント(外部ドキュメント)
外部ドキュメント

その他、以下の外部ドキュメントを参照してください。

設計項目

ドキュメント掲載先

ドキュメント名または 本ドキュメント内のタイトル

内容

(1) 主に 性能関連

ニフクラ一般公開ページ

ニフクラ サーバータイプ・仕様

ニフクラで提供しているサーバータイプ (vCPU/メモリの組み合わせ) の一覧が記載されています。

ニフクラ一般公開ページ

ニフクラRDB

ニフクラで提供しているニフクラRDBのタイプ一覧や仕様詳細が記載されています。

2.信頼性

設計のポイント

ニフクラで信頼性観点で設計を行う際のポイントについて、以下のリソース区分について記載していきます。

リソース区分

リソースの概要

仮想リソース全般

ニフクラが提供するプライベートLANやルーター、ロードバランサー(L4)サービスやニフクラRDB、仮想サーバー全般について記載します。

仮想リソース
  • ニフクラで信頼性観点で設計を行う際には、以下の項目を検討してください。

    • 仮想リソース全般

      検討項目

      検討内容

      選択値・条件

      信頼性対策方式

      システム構成要素ごとの業務への影響、対象範囲、信頼性確保の前提条件を確認し、信頼性対策方式を設計してください。

      • ニフクラ基盤はすべて冗長化しています。詳細情報は非公開です。

      • 仮想リソース単体の信頼性を検討してください。

      • ルーターなどのネットワーク系の仮想リソースは、物理サーバーの故障時に、HA機能で復旧します。

      • ディスクは、書き込まれたデータに関して物理機器側で冗長化(RAID6相当)をしています。

      • 仮想サーバー単体は、HA機能で、仮想サーバーが搭載された物理サーバーの故障時に復旧します。

      • 仮想リソースを組み合わせたシステム全体についての信頼性を検討してください。
        Webサーバーやデータベース等、それぞれの仕組みに合わせて、運用待機構成 (ホットスタンバイやコールドスタンバイ) や両系運用を検討してください。

      データ保全方式

      信頼性要件に基づいてデータ保全のための実現方式を設計してください。 対象のデータにより、ニフクラの機能やサードパーティ製のミドルウエアを利用してディスク単位でフルバックアップするか、 ファイル単位で増分バックアップや差分バックアップする等、データ保全の方式を検討してください。

      • バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)を利用することにより、増分/差分バックアップ等も行えます。

      • 別途ファイルのバックアップツールを自作する、あるいは、バックアップ用のミドルウエアを導入することを検討してください。導入に必要なライセンス数などには留意してください。

      • 利用リージョンの混雑状況により、希望の時間帯でバックアップ設定ができない場合があります。

      • 増設ディスク300GBまでカスタマイズイメージ機能によるイメージ保守可能

      • カスタマイズイメージは増分/差分バックアップ不可

      • 増設ディスクのみのイメージ保守未対応

      • バックアップサービスは1~10世代まで保持可能 (2世代目以降増分バックアップ)

      災害対策方式

      信頼性要件に基づいて、自然災害などの備えとなる機器やシステムを設計してください。 データのバックアップや、システム全体を遠隔地の災害対策環境 (DRサイト) に保全するための実現方式を検討してください。[19]

      • DRサイトを構築する場合、同じ国内の別リージョンを選択してください。

      • ニフクラでは、リージョン間でデータ同期を支援する機能の提供はありません。

      • DRサイト間でデータを同期したい場合は、サイト間のネットワークをIPsecVPNかダイレクトポートサービスを用いて回線を別途ニフクラに引き込み、リージョン間を接続した上で、scpなどのコマンドでコピーするスクリプトを作成する、あるいはバックアップ用ミドルウエアを導入することを検討してください。

      • ニフクラでは、DRサイトを切り替える機能は提供しません。DNSのフェイルオーバー機能などを利用したサイト切り替え方式などを検討してください。


      19. 本ドキュメント内「DNSのフェイルオーバー機能での切替動作概要」参照

      東日本リージョン/西日本リージョンより選択

適用の指針
  • 設計のポイントで例示した検討項目について、検討対象への適用の指針を記載します。

主な検討内容\検討項目

サーバー単体に対して適用を検討する項目

システム全体に対して適用を検討する項目

共通

運用待機 (active/standby)

両系運用 (active/active)

HA

サーバーセパレート

複数ゾーン

冗長化設定

その他のクラスタ製品

コールドスタンバイ

負荷分散

オートスケール

その他のクラスタ構成

ルーター 拠点間VPNゲートウェイ マルチロードバランサー リモートアクセスVPNゲートウェイ

ロードバランサー

○※1

○※1

Webサーバー APサーバー

○※2

△※3

○※4

△※3

データベースサービス (ニフクラRDB)

○※5

データベースサーバー (独自)

○※2

△※3

△※3

バッチサーバー

○※2

△※3

△※3

ニフクラ NAS ※6

※1 ロードバランサーは物理的に冗長構成となっており、信頼性は担保されています。
※2 複数ゾーンに配備することは可能でゾーン間はプライベートブリッジを利用することによりL2接続可能です。冗長化の方式は別途検討の必要があります。
※3 その他のクラスタ製品に関してはクラウド環境での利用に関して、技術上、ライセンス上問題ないか事前に確認してください。
※4 オートスケール機能は、プライベートLAN環境には対応していません。
※5 ニフクラRDBを冗長化した場合、異なる物理サーバーに配備されます。
※6 ニフクラNASは冗長化されています。ただし障害時は5分を目安として切り替わりのための停止が発生します。

適用事例:単一ゾーン構成

image

構成図補足
【ロードバランサー(L4)】

ニフクラでは、可用性向上と性能向上のための負荷分散機能として、ロードバランサー(L4)サービスを提供しています。ロードバランサー(L4)サービスを 1つ設定することで、この事例のように仮想サーバーに負荷分散してアクセスすることが可能です。ロードバランサー(L4)サービスの構成では、信頼性の観点では以下の特徴があります。
① ロードバランサー(L4)に障害が発生した場合、Standby機に切り替わりが発生し正常復旧します。
→本ドキュメント内「ロードバランサー (L4) を利用したシステムの障害時の動作」参照
② ロードバランサー(L4)で設定している仮想サーバーに障害が発生して、ヘルスチェックがエラーとなった場合、仮想サーバーは負荷分散の対象から切り離されます。
他ロードバランサー
マルチロードバランサーではHAで信頼性を担保します。L7ロードバランサー(Ivanti Virtual Traffic Manager)はHAの対象となります。冗長構成を組むことも可能です。

【Web/APサーバー】

ロードバランサー(L4)からアクセスされる形態です。

【DBサーバー】

ニフクラRDBは、オンプレミスで実施するような複雑なデータベースの構成設計をすることなく、APIのパラメータだけでデータベースを冗長化するようなことも可能なサービスです。ニフクラRDBの特徴的な構成として、以下の内容で構成しています。

  • データベースを同一のゾーン内で主系/待機系で冗長化する構成。さらに、データ保全の観点で、以下の機能も利用可能です。

    • ①データベースの自動バックアップ

    • ②ポイントインタイムリカバリー

適用事例:複数ゾーン構成

image

構成図補足
【DBサーバー】

ニフクラRDBを複数ゾーンにまたがって構成することはできません。そのため本事例でのデータベースサーバーは、独自にIaaSで構築した構成になります。冗長化、同期の仕組み、バックアップ方式等は、別途利用者側で検討する必要があります。本事例のように追加NICを利用することによりサービス用のプライベートLANとは別に、同期用のプライベートLANを構築することも可能です。

カテゴリ項目ごとの作業と留意事項
  • カテゴリ項目ごとの作業概要
    ※ここではニフクラのリソースについてのみ記載します。

    カテゴリ項目

    作業

    ニフクラでの作業概要

    信頼性

    信頼性対策の方式設計

    システム構成要素ごとの業務への影響、対象範囲、信頼性確保の前提条件を確認し、信頼性対策方式を設計してください。ニフクラ基盤の信頼性対策方式を前提に、利用者が配備したニフクラの仮想リソースの信頼性対策方式を検討してください。

    • 検討のポイント
      運用待機構成 (ホットスタンバイやコールドスタンバイ) 、両系運用

    データ保全対策の 方式設計

    信頼性要件に基づいて、データ保全のための実現方式を設計してください。 対象のデータにより、ニフクラのカスタマイズイメージ機能やバックアップサービスを利用してサーバー単位でフルバックアップするか、ファイル単位でフルバックアップや増分/差分バックアップする等、データ保全の方式を検討してください。

    • 検討のポイント
      サーバーのバックアップ→カスタマイズ機能、バックアップサービス、バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)を検討
      ファイルのバックアップ→バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)、ツール自作等を検討

    災害対策の方式設計

    信頼性要件に基づいて、自然災害などの備えとなる機器やシステムを設計してください。データのバックアップや、システム全体を遠隔地の災害対策環境(DRサイト)に保全するための実現方式を検討してください。

    • 検討のポイント
      DRサイトの規模/内容
      DRサイトとのデータ同期 (バックアップ)
      DRサイトへのサイト切替 (DNSのフェイルオーバー機能などによる切替)

    障害時対応の方式設計

    障害対策方式 (復旧方式の設定、縮退操作の設定) を設計してください。 基本的な設計方法はオンプレミスと同様です。ニフクラRDBなどニフクラが提供するサービスについても、障害発生、復旧時の挙動を把握して設計してください。

    信頼性運用設計 (定常時)

    システム全体の運用・保守設計に基づいて、信頼性の定常時の管理、運用方法を設計してください。 基本的な設計方法はオンプレミスシステムと同様です。 (記載を省略します。)

    信頼性運用設計 (障害時)

    システム全体の運用・保守設計に基づいて、信頼性の障害時の管理、運用方法を設計してください。 基本的な設計方法はオンプレミスシステムと同様です。 (記載を省略します。)

信頼性対策の方式設計(ニフクラ基盤)
作業概要

システム構成要素ごとの業務への影響、対象範囲、信頼性確保の前提条件を確認し、信頼性対策方式を設計してください。ニフクラ基盤の信頼性対策方式を前提として、利用者が配備したニフクラの仮想リソースの信頼性対策方式を検討してください。

  • ニフクラ基盤の信頼性対策

    区分1

    区分2

    対象

    信頼性方式

    信頼性方式が実現する内容

    ニフクラ基盤

    物理機器

    ネットワークストレージ 物理サーバー

    冗長化

    ニフクラを構成するすべての物理機器は冗長化しています。 ストレージは、RAID6相当で冗長化しています。[20]


    20. 物理機器の故障時には、コントローラやパス切り替えに伴う一時的なI/O遅延または断が発生する場合があります。

    仮想リソース搭載 物理サーバー

    自動フェイルオーバー(HA機能)

    物理サーバーに関して、筐体内の部品単位で必要に応じて冗長化されています。 (内容は非公開) 仮想サーバーが配備された物理サーバーが故障した場合でも、筐体内の仮想サーバーを別の物理サーバーにフェイルオーバーします。[21]


    21. 自動フェイルオーバー(HA機能)した仮想サーバーは、障害があった時点の状態となります。 起動状態であれば、HA後に起動されます。 停止状態であれば、HA後も停止状態となります。

    リソース再配置

    利用者がリソースを大量に消費した場合、ニフクラ内部で自動的にリソースの再配置が行われ、負荷障害を抑止します。

信頼性対策の方式設計(仮想リソース/システム全体)
作業概要

システム構成要素ごとの業務への影響、対象範囲、信頼性確保の前提条件を確認し、信頼性対策方式を設計してください。ニフクラ基盤の信頼性対策方式を前提として、利用者が配備したニフクラの仮想リソースの信頼性対策方式を検討してください。

  • ニフクラの仮想リソースの信頼性対策

    区分1

    区分2

    対象

    信頼性方式

    信頼性方式が実現する内容

    仮想リソース単体

    サーバー

    仮想サーバー

    自動フェイルオーバー(HA機能)[22]


    22. 利用者側で設定は不可

    仮想サーバーが配備された物理サーバーが故障した場合でも、筐体内の仮想サーバーを別の物理サーバーにフェイルオーバーします。

    サーバーセパレート

    指定した仮想サーバーを異なる物理サーバー上に分離的に配備する機能です。冗長化用途のサーバーが物理ホスト障害の影響を同時に受ける確率を軽減します。 [23]


    23. 物理機器故障などで当該サーバー搭載物理ホスト交換が発生した場合は、一時的に同一の物理ホストに配置されることがあります。仮想化基盤側のリソース状況にも起因しますが、5分程度で異なる物理ホスト上に分散される仕様になっております。

    増設ディスク

    標準フラッシュドライブA/B
    高速フラッシュドライブA/B
    高速ディスクA/B

    別筐体利用

    標準フラッシュドライブ、高速フラッシュドライブ、高速ディスクに関して、A/Bの別筐体となるディスクを用意しています。
    AとBではそれぞれ筐体が分離されることが保証されます。
    A同士またはB同士における筐体分離の保証はないため留意してください。

    システム全体

    共通

    環境

    複数ゾーン

    物理的に区分された環境 (ゾーン) を複数組み合わせてシステムを構成することにより、環境の信頼性向上が可能です。

    運用待機

    サービス

    ニフクラRDB

    ホットスタンバイ

    ニフクラRDBでは、冗長化設定によりホットスタンバイが可能です。

    ロードバランサー(L4)自体

    ホットスタンバイ[24]


    24. 利用者側で設定は不可

    ロードバランサー(L4)については、ニフクラにて冗長化を実施しています。
    万が一の故障時には、自動的に待機系への切り替わりが実施されます。

    サーバー

    仮想サーバー

    その他
    コールドスタンバイ

    仮想サーバーは、オンプレミスと同様にコールドスタンバイの構成も可能です。

    両系運用

    サービス

    仮想サーバー

    負荷分散

    ロードバランサーを利用して負荷分散構成の実現が可能です。
    仮想サーバー異常時は、ロードバランサーによって切り離されます。

    • 本ドキュメント内
      「ロードバランサー(L4)を利用したシステムの障害時の動作」を参照

    サーバー

    仮想サーバー

    オートスケール

    CPU、メモリ使用率、ネットワーク流量に応じて、設定した上限まで仮想サーバーの稼働が可能です。

データ保全対策の方式設計
作業概要

信頼性要件に基づいてデータ保全のための実現方式を設計してください。対象のデータによりニフクラのカスタマイズイメージ機能を利用してサーバーをフルバックアップするか、ファイル単位でフルバックアップや増分/差分バックアップする等、データ保全の方式を検討してください。

  • ニフクラでのバックアップ手法

    バックアップ手法

    データ保全の対象

    データ保全の環境

    留意事項、その他備考

    サーバー全体

    増設ディスク

    ファイル

    他ゾーン

    他リージョン

    他サイト

    バックアップ用ミドルウエア導入/scpコマンド等でデータコピー

    バックアップ先として他ゾーン/他リージョン/他サイト等を利用する場合は、別途通信経路を検討してください。 (IPsec VPN接続など) [25]


    25. ニフクラ上での実現可否などは事前に確認/検証してください。

    バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)

    バックアップ先として他ゾーン/他リージョン/他サイト等を利用する場合は、別途通信経路を検討してください。 (IPsec VPN接続など)

    ワンデイスナップショット

    システム/増設ディスクとも、ある時点の状態をスナップショットとして保持する方式です。スナップショットからシステムのリカバリも可能です。[26][27]


    26. 作成~24時間、または作成後の更新差分が20GBを超えた場合スナップショットは自動削除されます。
    27. 増設ディスクのみのスナップショットには対応していません。

    カスタマイズイメージ (バックアップ)

    サーバーを作成する際のテンプレートをイメージ化して保存しておく機能です。保存先は他のゾーン/リージョンにも保存可能です。[28]


    28. 増設ディスクとVMインポートの超過分が300GBを超える場合はイメージ化できません。

    バックアップ

    ニフクラのサーバーを対象に定期的な自動バックアップや任意のタイミングでバックアップを取得する機能です。保持可能なバックアップ世代は1~10世代です。[29][30][31]


    29. ローカルディスク及び、接続している増設ディスクの合計が1.1TBまでが対象
    30. 更新差分量は、50GB以内が目安
    31. 利用中のリージョンの混雑状況により、希望の時間帯でバックアップ設定ができない場合がある

    仮想サーバーエクスポート

    ニフクラでは仮想サーバーのエクスポート機能は提供していません。

    テープバックアップ

    ニフクラ環境には、テープ装置を持ち込むことができません。テープへのバックアップが必要な場合は、テープ装置が配備されたオンプレミス環境とプライベート接続サービスで接続してください。

災害対策の方式設計
作業概要

信頼性要件に基づいて、自然災害などの備えとなる機器やシステムを設計してください。データのバックアップやシステム全体を遠隔地の災害対策環境(DRサイト)に保全するための実現方式を検討してください。

  • 検討事項

    検討事項

    内容

    DRサイト規模、内容

    目標復旧時間/復旧時点、求められる性能などにより、DRサイトを本番環境と同一構成とするか、最小限のシステム構成とするか等、DRサイトの規模、内容を検討してください。DRサイトの規模、内容を検討する際は、ゾーン間での冗長化も合わせて検討してください。次表に、業務継続性別のDRサイト/ゾーン冗長の選択指針例を記載します。

    • 本ドキュメント内「DRサイト構築事例概要:構成概要」を参照

    DRサイト構築

    DRサイトを構築する際は、各リージョンでそれぞれシステムを構築してください。
    カスタマイズイメージ (バックアップ) /イメージ配布やクラウド型バックアップサービス (バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)) を利用することにより、別リージョンへ同一の仮想サーバーを作成することも可能です。

    DRサイト間 ネットワーク

    プライベートブリッジにより、リージョン間のプライベートLANを接続することが可能です。 ダイレクトポートサービスを利用し、閉域網や専用線によりリージョン間を接続することが可能です。 拠点間VPNゲートウェイ、インターネットVPN(H/W)を利用し、IPsecVPNを用いて、暗号化された経路で安価にインターネット越しに接続することも可能です。

    DRサイト間 データ同期

    DRサイト間でデータを同期したい場合は、サイト間のネットワークをIPsecVPNかリージョン間を閉域網などで接続した上で、scpなどのコマンドでコピーするスクリプトを作成する、あるいはレプリケーション可能なミドルウエアを導入することを検討してください。

    DRサイト切替

    ニフクラでは、DRサイトを切り替える機能は提供していません。 外部に公開しているWebサイトなどでは、DNSのフェイルオーバー機能を利用することでDRサイトへの切り替えが可能です。 複数リージョンにて、同一のシステムを構築し、DNSサービスの「フェイルオーバー」機能を利用することで、リージョン障害が起こった場合でも別リージョンで業務継続可能となります。

  • 業務継続性別のDRサイト/ゾーン冗長の選択指針例

    災害対策 (DRサイト)

    ゾーン規模 障害対策

    許容可能 停止時間

    仮想サーバー SLA対象

    システム概要

    推奨適用パターン

    リージョン

    ゾーン

    必要

    必要

    無停止

    対象

    大規模基幹システム

    複数リージョン

    複数ゾーン

    不要

    数時間

    基幹システム

    複数リージョン

    単一ゾーン

    不要

    必要

    数時間

    基幹システム

    単一リージョン

    複数ゾーン

    不要

    1日程度

    非基幹システム
    情報参照系システム

    単一リージョン

    単一ゾーン

障害時対応の方式設計
作業概要

障害対策方式 (復旧方式の設定、縮退操作の設定) を設計してください。基本的な設計方法はオンプレミスと同様です。ニフクラRDBなどニフクラが提供するサービスについても、障害発生時、復旧時の挙動を把握して設計してください。

  • 検討事項

    検討事項

    内容

    復旧方式

    Webサーバーなどの仮想リソースごとに、想定される障害一覧、業務影響、復旧方式などを検討してください。 ニフクラで想定される障害としては、以下のようなものがあります。

    • 仮想リソース (ルーター、マルチロードバランサー、仮想サーバー等) を配備した物理機器のハード障害

    • 仮想サーバー障害 (OS以上の領域の障害に伴う)

      • 仮想サーバー内のOS/ミドルウエア障害

      • 仮想サーバー内のアプリ障害

      • 仮想サーバー内のアプリのスローダウン

    • ゾーン障害

    • ニフクラ⇔オンプレミス間ネットワーク障害

    縮退方式

    冗長化構成にしている仮想リソースに対して、片系で障害が発生した場合のSE作業及びシステム動作を検討してください。 ニフクラで想定される障害としては、以下のようなものがあります。

    • ロードバランサーで障害

    • ロードバランサーで負荷分散されているWebサーバーで障害

    • 冗長化設定したニフクラRDBの片系障害

復旧方式の設計例
  • 復旧方式の設計例

    検討対象

    想定される障害

    影響範囲

    業務影響

    復旧方式

    ルーター 拠点間VPNゲートウェイ マルチロードバランサー 仮想サーバー リモートアクセスVPNゲートウェイ

    仮想リソースを搭載した物理機器のハード障害

    単体

    あり

    仮想リソースのHA後、必要に応じて業務的なリカバリ処理を実施

    ゾーン障害

    ゾーン

    あり

    ニフクラ基盤の復旧後、必要に応じて業務的なリカバリ処理を実施

    ロードバランサー(L4)

    物理機器障害

    単体

    あり

    自動で従系に切り替わるため、基本対処の必要なし

    ゾーン障害

    ゾーン

    なし

    ゾーンに依存しないためロードバランサー(L4)自体に影響はなし

    ロードバランサー配下のWebサーバー

    仮想リソースを搭載した物理機器のハード障害

    片系

    なし (縮退)

    仮想リソースのHA後、ロードバランサーに自動組み込み 必要に応じて業務的なリカバリ処理を実施

    両系

    業務停止

    ニフクラ基盤の復旧後、必要に応じて業務的なリカバリ処理を実施 [32]


    32. 仮想サーバーはサーバーセパレート設定をすることで、同一の物理筐体にならないよう設定可能だが、その設定をした上ですべてのWebサーバーが障害の場合は、ゾーン障害相当の障害が発生している可能性がある

    OS/ミドルウエア障害

    片系

    なし (縮退)

    必要に応じて業務的なリカバリ処理を実施

    両系

    業務停止

    業務を停止して、OS/ミドルウエア保守を実施

    アプリ障害

    片系

    なし (縮退)

    必要に応じて業務的なリカバリ処理を実施

    両系

    業務停止

    業務を停止して、アプリ保守を実施

    アプリのスローダウン

    性能劣化

    必要に応じて業務的なリカバリ処理を実施

    以下省略

    memo

    ニフクラに限らず、オンプレミスでも、上記のような復旧方式や縮退方式の設計は必要です。復旧方式や縮退方式は、仮想サーバーで処理する業務により、処理内容を検討してください。

方式詳細と参考ドキュメント
掲載ドキュメント

詳細な方式例としてCDP (クラウドデザインパターン) や、システム構成の参考事例を記載します。

設計項目

ドキュメント掲載先

ドキュメント名または 本ドキュメント内のタイトル

内容

(1) 信頼性関連

本ドキュメント内

適用事例:複数ゾーン構成

信頼性の観点を考慮した複数ゾーン構成の事例を記載しています。

CDP

Webサービスで、性能、信頼性を考慮した構成を実現したい場合のパターンです。

本ドキュメント内

ロードバランサー(L4) を利用したシステムの障害時の動作

ニフクラのロードバランサー(L4)を利用したシステムの想定障害として、ロードバランサー(L4)自体が異常の場合と、ロードバランサー(L4)配下の仮想サーバーが異常の場合を記載しています。

CDP

データセンターの火災や大規模な電源障害など、1つのリージョン全体に影響があるような事態でも、業務を継続したいパターンです。

CDP

負荷分散機能に加え、アクセス状況により仮想サーバーの増減を可能にするパターンです。

CDP

共有ストレージを構築するパターンです。

CDP

仮想サーバーを確実に別々の物理サーバー上に配備することで、ニフクラ内部で物理サーバー故障時の影響範囲を局所化するようにしたい場合のパターンです。

CDP

セットアップや運用 (スケーリング、バックアップなど) を容易に実行できる、ニフクラのニフクラRDBを利用するパターンです。

(2) データ保全関連

CDP

仮想サーバーにOSのパッチ適用作業などを行う前や、増設ディスクのデータを変更する前に、データを高速に保存し、万一の場合に復旧できるようにしたいといった場合のパターンです。

CDP

ニフクラに配備した仮想サーバーを、サーバー構築の効率化のために複製したいといった場合のパターンです。

(3) 災害対策関連

本ドキュメント内

DRサイト構築事例概要 :構成概要

東日本リージョンに本番環境、西日本リージョンに災害対策環境(DRサイト)を構築する事例です。本番環境から DRサイトへのバックアップ例も記載しています。

本ドキュメント内

 DNSのフェイルオーバー 機能での切替動作概要

東日本リージョンがダウンした際に、西日本リージョンに切り替える事例です。

ロードバランサー(L4)を利用したシステムの障害時の動作
障害事例~ロードバランサー(L4)障害時

ニフクラのロードバランサー(L4)異常時は、従系に自動的に切り替わりが発生し、正常復旧します。そのため利用者側でロードバランサー(L4)についての対処は不要です。

検討事項
  • セッション引継ぎ

    • ロードバランサー(L4)の切り替わり時にはセッションの引継ぎは行われないことに留意してください。

  • 切り戻し

    • 復旧したロードバランサー(L4)は従系として組み込みを実施し、基本的に切り戻しは実施しない方針となります。やむを得ず、切り戻しを行う場合は、事前にメンテナンス告知を実施し作業を行います。障害お知らせ通知などを利用して情報を収集してください。

振り分け先サーバー障害時のロードバランサー(L4)の動作
  • 障害事例~ロードバランサー(L4)配下の仮想サーバー障害時

    • ロードバランサー(L4)配下に、Webサーバーが2台設定されているものとします。Webサーバー2台のうち、1台に正常にアクセスできなくなり、ロードバランサー(L4)からのヘルスチェックが異常となった場合、そのWebサーバーがロードバランサー(L4)から切り離されます。切り離されたWebサーバーは、ロードバランサー(L4)のヘルスチェックで正常なアクセスが確認できた場合、再度ロードバランサー(L4)に組み込まれます。

  • 正常時

    • Webサーバー2台に正常にアクセスできている状態
      image

  • Webサーバーに異常発生

    • Webサーバー1台が正常にアクセスできなくなった状態。ヘルスチェック結果が異常
      image

  • 異常になったWebサーバーを切り離し

    • 正常にアクセスできなくなったWebサーバーを切り離した状態
      image

DRサイト構築事例概要:構成概要

image

概要
  • 東日本リージョンに本番環境、西日本リージョンに災害対策環境 (DRサイト) を構築

  • DRサイトは、非常時用として各サーバー1台構成でシステムとネットワークを構築

  • 西日本リージョンのシステムは、東日本リージョンで作成した手順と同様の手順で作成するかカスタマイズイメージ、Acronis等を利用して構築

  • 東日本リージョンと西日本リージョンのネットワークは以下2つのパターンで構築

    • ①プライベートブリッジを利用してリージョン間のプライベートLANでL2接続 (重要データはプライベートLANの経路で転送)

    • ②拠点間VPNゲートウェイ、インターネットVPN(H/W)等を利用してIPsecVPNでインターネット越しに接続

※拠点間VPNゲートウェイに接続されたプライベートLAN同士を、プライベートブリッジなどの接続サービスによって接続することはできません。

DRサイト構築事例概要:バックアップ構成

image

構成図補足
【リージョン間のバックアップ、レプリケーション】

DR環境へのバックアップ、データのレプリケーションには、リージョン間をプライベートブリッジ接続の経路や、IPsecVPNで接続したインターネット越しの経路を通じて実施
※バックアップは自作ツールまたはバックアップ用ミドルウエアを利用
※拠点間VPNゲートウェイに接続されたプライベートLAN同士を、ゾーンコネクト、プライベートブリッジなどの接続サービスによって接続することはできない

DNSのフェイルオーバー機能での切替動作概要

image

構成図補足
【東日本リージョン罹災時】

DNSフェイルオーバーにより自動で、応答するレコードを切り替える。

フェイルオーバーによるサイト切替の概要
  • ニフクラDNSのフェイルオーバーにて、プライマリに東日本のロードバランサー(L4)のIPアドレスを設定する。セカンダリに西日本のWeb/APサーバーのグローバルIPアドレスを設定する。

  • 上記の設定により東日本罹災時、DNSフェイルオーバーが発生し、セカンダリのIPアドレスのレコード情報を応答することになります。

3.ネットワーク

ネットワーク関連のサービス/機能 (LAN/WAN)

以下では、ネットワーク関連のニフクラのサービス/機能を記載しています。ニフクラでネットワーク観点で設計を行う際には、以下のニフクラのサービス/機能を検討してください。

区分

対応するサービス/機能

ニフクラのサービス/機能の概要

選択値・条件

LAN

プライベートLAN

ニフクラではサーバー作成時、サーバーにグローバルネットワークとプライベートネットワークの2つにNICが接続されます。

  • グローバルネットワーク インターネット側と通信可能な共通グローバルネットワークです。

  • プライベートネットワーク インターネット環境とは隔離されたネットワークです。サーバー作成時にはデフォルトで共通プライベートに接続されます。共通プライベートネットワークから、L2レベルで隔離されたプライベートLANに変更することも可能です。

プライベートLANを利用することにより、プライベートLANに接続された仮想サーバーのNICに、OSから静的にIPアドレスを設定することが可能です。

[33]


33. サーバー作成後追加NICを付与することにより複数のプライベートLANに所属させることが可能です。
  • プライベートLANにて利用可能なプレフィックス長16~28

  • プライベートLANに接続されたNIC以外のネットワーク設定変更は禁止事項 (一部を除く)

ルーター

共通グローバルネットワークと共通プライベートネットワーク、またはプライベートLANを接続する機能を提供します。ルーティング機能、NAT機能、Webプロキシ機能、DHCPオプション機能等を利用できます。通常の仮想サーバーと同様に、ファイアウォールグループに所属することが可能です。

プライベートブリッジ

リージョン内の異なるゾーン間(ゾーン内も可)のプライベートLAN同士をL2接続することが可能なサービスです。プライベートブリッジを利用することにより、複数のゾーンを利用したシステムを簡単に構築することが可能です。

east-1,east-3,west-1,jp-west-2リージョンで可能

WAN

ダイレクトポート プライベートアクセス(閉域網 集線型接続サービス)

ダイレクトポート、プライベートアクセス(閉域網 集線型接続サービス)は、ニフクラ環境と利用者環境を接続するサービスです。

  • ダイレクトポート[34]
    ニフクラ上に構築したシステムに、利用者の拠点、データセンター等から専用線・閉域網でダイレクトに接続するため のポートを提供します

  • プライベートアクセス(閉域網 集線型接続サービス)
    ニフクラから回線事業者の閉域網へのプライベートな接続を提供するサービスです。ニフクラと回線事業者の閉域網の物理接続を事前に行っているため論理接続を構築するだけで接続が可能です。


34. 本ドキュメントの「拠点環境とのダイレクトポート接続事例」を参照

拠点間VPNゲートウェイ

ニフクラのIaaS上に配備して、利用者拠点とインターネットVPN接続可能なサービスです。[35]


35. 本ドキュメント内「拠点間VPNゲートウェイ 接続事例」を参照

L2、L3接続対応

インターネットVPN(H/W)

機器設置型 (ハードウエアタイプ) で、利用者拠点とインターネットVPNで接続可能なサービスです。[36]


36. 本ドキュメント内「インターネットVPN(H/W)接続事例」を参照

L3接続対応

リモートアクセスVPNゲートウェイ

ニフクラのIaaS上に配備して、利用者端末とインターネットVPNで接続可能なサービスです。[37]


37. 本ドキュメント内「リモートアクセスVPNゲートウェイ 接続事例」を参照

L3接続対応

ネットワーク関連のサービス/機能(LB/セキュリティ)

以下では、ネットワーク関連のニフクラのサービス/機能を記載しています。ニフクラでネットワーク観点で設計を行う際には、以下のニフクラのサービス/機能を検討してください。

区分

対応するサービス/機能

ニフクラのサービス/機能の概要

選択値・条件

サーバー負荷分散

ロードバランサー(L4)

ロードバランサー(L4)サービスは、L4層の負荷分散を行うサービスです。L7層は非対応です。

マルチロードバランサー

マルチロードバランサーは、L4層の負荷分散を行うサービスです。L7層は非対応です。

L7ロードバランサー(Ivanti Virtual Traffic Manager)

L7ロードバランサーは、サードパーティ製のソリューションサービスとなります。 L4層の負荷分散のみならず、L7層の負荷分散が可能です。

ファイアウォール (セキュリティの章も参照)

ファイアウォール

ファイアウォールサービスは、プロトコル、ポート番号、Incoming/Outgoingでアクセス許可を制御する機能です。仮想サーバー、ルーター、拠点間VPNゲートウェイに適用可能で、複数サーバーを同一ルールに所属させることが可能です。

プロトコル:TCP、UDP、ICMP、GRE、ESP、AH、VRRP、L2TP、RDP、SSH、HTTP、HTTPS、ICMPv6-all

ウイルスゲート IDS/IPS (セキュリティの章も参照)

Trend Micro Cloud One - Workload Security

サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーにオプションで導入可能です。セキュリティ機能として、以下の機能があります。

  • IDS/IPS

  • Web Reputation

  • Firewall

  • 変更監視

  • ウイルス対策

  • ログ監視

など

本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。

ウイルス・スパイウエア対策(ESET Server Security)

サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーにオプションで導入可能です。セキュリティ機能として、以下の機能があります。

  • ウイルス・スパイウエア対策

  • サーバー保護機能

  • HIPS(ホスト型IPS)

  • Webアクセス保護

など

本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。

IDS

ネットワーク上を流れるパケットを常時監視し、不正アクセスを検知し通報を行うサービスをオプションで導入可能です。ニフクラ上で構築されたサーバーへの様々な不正アクセスや、サーバーに仕掛けられた悪意のあるプログラム (トロイの木馬、バックドア等) の発する情報を常時監視し、ファイアウォールで防ぐことのできない攻撃も検知可能です。

ネットワーク関連のサービス/機能(その他)

以下では、ネットワーク関連のニフクラのサービス/機能を記載しています。ニフクラでネットワーク観点で設計を行う際には、以下のニフクラのサービス/機能を検討してください。

区分

対応するサービス/機能

ニフクラのサービス/機能の概要

選択値・条件

統合ネットワークサービス

統合ネットワークサービス(IPCOM VE2シリーズ)

ニフクラパートナーのソフトウェアを利用したソリューションサービスです。ニフクラの仮想マシンに対して高度なネットワーク機能を提供します。セキュリティ対策機能 (ファイアウォール、IPS、VPNなど) を提供するSCシリーズと、ネットワーク最適化機能 (帯域制御、サーバー負荷分散、SSLアクセラレータ―、WAFなど) を提供するLSシリーズで構成されます。各機能の詳細は「データシート」を参照してください。 https://pfs.nifcloud.com/pdf/ipcom/datasheet.pdf

4つの機能シリーズ(SC、SC PLUS、LS、LS PLUS)と、2つのスペック(220/100)の、合計8種類から選択

その他

DNS/GSLB(広域負荷分散)/ドメイン取得・管理

ニフクラが提供するDNSサービスです。
インターネットと通信ができる環境から利用可能です。キャッシュDNSの機能はないため留意してください。

ESS(メール配信)

ニフクラが提供するメール配信サービスです。メール送信機能のみとなります。

CDN(Fastly)

サードパーティ製のソリューションサービスのCDNです。
独自システムと高スペックインフラによる瞬時キャッシュ消去/更新で、従来のCDNでは実現が難しかった動的コンテンツをキャッシュできることが特徴です。

CDN(J-Stream CDNext)

サードパーティ製のソリューションサービスのCDNです。
配信規模・内容に応じて柔軟な配信制御が可能な管理コンソールと日本企業ならではのサポートを提供します。

WAF(Scutum)

サードパーティ製のソリューションサービスのWAFです。
サイト上のアプリケーションに特化したファイアウォール機能をSaaS型で提供します。

WAF(攻撃遮断くん)

サードパーティ製のソリューションサービスのWAFです。
用途に応じたセキュリティタイプを選定可能です。

サーバセキュリティタイプ、WEBセキュリティタイプ、DDoSセキュリティタイプから選択

検疫ネットワーク URLフィルター スパム対策

ニフクラでは、左記の区分に該当するサービスや機能はありません。

左記のように、ネットワーク機器で対応するような機能やサービスは、ニフクラ上ではありません。左記の機能が必須要件であれば、オンプレミス環境に左記の機能を実現する環境を導入し、ニフクラ環境とオンプレミス環境を、プライベートアクセスなどで接続して利用するシステム構成で要件に対応してください。

メニュー構成とメニュー選択時の条件

プライベート接続サービスでは、以下のサービスを提供しています。 本機能により拠点環境とのセキュアなハイブリッドクラウドを実現します。併用も可能です。

ダイレクトポート

ニフクラ環境と拠点環境をダイレクトに接続するための機能です。【別途 回線の契約必須】
拠点環境から専用線・閉域網で接続を可能にする、ポートを提供します。

プライベートアクセス(閉域網 集線型接続サービス)

ニフクラから回線事業者の閉域網へのプライベートな接続を提供するサービスです。ニフクラと回線事業者の閉域網の物理接続を事前に行っているため論理接続を構築するだけで接続が可能です。以下のサービスを提供しています。

  • プライベートアクセス for ARTERIA
    east-1、east-2、east-3、east-4、west-1で利用可能

  • プライベートアクセス for クラウドゲートウェイ クロスコネクト
    east-1、east-2、east-3、east-4、west-1で利用可能

  • プライベートアクセス for SINET
    east-1、east-2、east-3、east-4、west-1で利用可能

  • プライベートアクセス for Equinix Cloud Exchange™
    east-2で利用可能

  • プライベートアクセス for Digital enhanced EXchange(DEX)
    east-1、east-4、jp-west-2で利用可能

  • プライベートアクセス for OPTAGE
    west-1で利用可能

設計ポイントの適用事例

典型的なシステム構成例や、外部環境との接続など、ニフクラで提供しているネットワーク関連のサービス/機能の適用事例を記載します。

適用事例

利用するサービス/機能

概要

(1) ニフクラで構成可能な複数ゾーンのシステム構成例

  • プライベートLAN

  • ルーター

  • プライベートブリッジ

  • ロードバランサー (L4)

  • 追加NIC

ニフクラで構成可能な複数ゾーンを利用したシステム構成例を記載します。 ニフクラで提供する左記のサービス/機能を利用して、システムの信頼性を向上します。

  • プライベートLAN、プライベートブリッジを利用した複数ゾーン構成で、システムの信頼性を向上

  • プライベートLANをルーターで、2階層に分割

    • Web/APを配備するネットワーク

    • データベースなどを配備するプライベートネットワーク

  • 冗長化が必要なデータベースなどのために同期用のネットワークを配備。

  • インターネットからアクセス可能なネットワークに、Web/APサーバーを配備。 それぞれ別ゾーンに配備するように考慮し、ロードバランサー(L4)で負荷分散を実施。

(2) ニフクラのシステムとデータセンター環境、拠点環境とのダイレクトポート接続事例

  • ダイレクトポート[38]


38. 本機能の詳細は、以下のドキュメントを参照してください。『ニフクラ設計構築ガイド(プライベート接続サービス)』

ダイレクトポートを利用してニフクラ上に構築したシステムに、拠点環境と専用線・閉域網からダイレクトに接続する事例を記載します。

(3) VPN接続事例

  • 拠点間VPNゲートウェイ

  • インターネットVPN(H/W)

  • リモートアクセスVPNゲートウェイ

ニフクラ環境とのインターネットVPN接続例です。
拠点、端末からニフクラ環境にIPsecVPN/SSL-VPNを用いて接続する3つのパターンを記載します。

(4) DRサイト構築事例

-ダイレクトポート -拠点間VPNゲートウェイ

同一国内のリージョン間を接続する事例です。 ダイレクトポートでの接続とインターネットVPN接続を利用します。
本ドキュメント内「DRサイト構築事例概要:構成概要」を参照してください。

ニフクラでの複数ゾーンのシステム構成例

image

構成図補足
【ルーター】

ニフクラのルーターは、異なるネットワーク同士を接続し、ネットワーク間で通信できるようにする機能を持ちます。インターネットに接続された共通グローバルネットワークと共通プライベートネットワーク、あるいは、プライベートLAN同士を接続します。ネットワーク接続の際に、ネットワーク同士のルーティングや、ファイアウォール機能の利用も可能です。また、NAT機能、Webプロキシ機能、DHCPオプション機能等も利用することが可能です。

【ロードバランサー(L4)】

ニフクラでは、信頼性向上と性能向上のための負荷分散機能として、L4層のロードバランサーを提供しています。ロードバランサー(L4)を 1つ設定することで、複数の ゾーン に配備された仮想サーバーに負荷分散してアクセスすることが可能です。ロードバランサー(L4)では複数の帯域が用意されています。必要に応じた帯域を契約して利用してください。

【追加NIC】

仮想サーバーに対して複数のNICを付与することが可能なサービスです。追加NICを利用することで、複数のプライベートLANに所属することが可能となり、複雑なネットワーク構成が実現可能です。

【プライベートブリッジ】

east-1,east-3,west-1,jp-west-2リージョン内の異なるゾーン間(ゾーン内も可)のプライベートLAN同士を接続することができるサービスです。プライベートブリッジ利用することにより、複数のゾーンを利用したシステムを簡単に構築することが可能です。プライベートブリッジは帯域確保が可能なサービスで、ベストエフォート/100Mbps/200Mbpsから選択できます。


ニフクラが提供するネットワークに関するサービス/機能を利用して、システムの信頼性を向上する構成例です。

  • システム構成の特徴

    • プライベートブリッジにより異なるゾーン間のプライベートLANをL2接続する構成で、システムの信頼性を向上

    • ネットワークをルーターで、2階層に分割

      1. Web/APサーバーを配備するネットワーク

      2. データベースなどを配備するプライベート用ネットワーク

    • 冗長化が必要なデータベースなどのために同期用のネットワークを配備

    • インターネットからアクセス可能なネットワークに、ロードバランサー(L4)やWeb/APサーバーを配備

拠点環境とのダイレクトポート接続事例

image

ダイレクトポートの接続事例

上図ではニフクラ環境を複数のプライベートLANで構成した複数セグメントでの構成としています。

  • ダイレクトポート接続

    • 利用者の拠点、データセンター環境等と接続する機能です。回線事業者の閉域網・専用線を引き込みニフクラと直接接続できる物理ポートを提供します。導入にあたっては、以下を検討して設計してください。

      1. 利用可能な接続機能の確認

      2. ネットワーク全体の論理構成設計

      3. ルーティング( 経路 ) 設計

      4. 帯域設計

      5. 信頼性設計

      6. IP アドレス設計

  • ルーティング設定について

    • ダイレクトポートで接続するプライベート LAN以外のプライベート LANと通信が発生する場合、利用者環境側で複数セグメントがある場合など、ルーティング設計は入念に行ってください。開通後、通信ができない場合があります。

    • 回線事業者が設置するネットワーク機器は、回線事業者の保守サポート付のものを利用する必要が有ります。個別にルーティング設定が必要な場合でも回線事業者に依頼する必要があります。実現可否など、事前に回線事業者に確認してください。

拠点間VPNゲートウェイ 接続事例

image

拠点間VPNゲートウェイを利用して利用者環境とインターネット経由で接続するIPsecVPN構成例です。

  • 拠点間VPNゲートウェイ1つで最大50拠点が同時接続可能です。

  • 拠点間VPNゲートウェイが直接接続されるプライベートLANと、対向の拠点側ルーターに接続される1つのサブネット間で、IPsecVPN通信が可能です。他ネットワークと通信が必要な場合は「IPsec VTI」で接続してください。

  • モバイル機器との通信(L2TP/IPsecVPN)はできません。

  • 拠点とL2で接続するL2TPv3/IPsecVPNが可能です。

  • 拠点間VPNゲートウェイではファイアウォール機器の利用を推奨します。

インターネットVPN(H/W)接続事例

image

インターネットVPN(H/W)を利用して利用者環境とインターネット経由で接続するIPsecVPN接続例です。

  • VPN通信帯域は30Mbpsベストエフォートとなります。それ以上の帯域が必要な場合は、別途問い合わせしてください。

  • ニフクラ側VPN装置は冗長構成となっています。主系VPN装置故障の際は従系VPN装置に自動で切り替わります。

  • ニフクラ側でVPN装置が接続されるプライベートLAN以外のプライベートLANとは通信できません。

リモートアクセスVPNゲートウェイ 接続事例

image

リモートアクセスVPNゲートウェイを利用して利用者端末とインターネット経由で接続するSSL-VPN構成例です。

  • タイプの選択により、リモートアクセスVPNゲートウェイ1つで最大1000同時接続可能です。

  • 利用者端末にクライアントアプリケーションのインストールが必要です。

  • 利用者端末とL3で接続が可能です。

  • リモートアクセスVPNゲートウェイではファイアウォール機器が利用不可能です。

  • リモートアクセスVPNゲートウェイが接続されたプライベートLAN以外とは通信不可能です。

カテゴリ項目ごとの作業と留意事項

カテゴリ項目ごとの作業概要

カテゴリ項目

作業

ニフクラでの作業概要

ネットワーク

ネットワーク論理設計

ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や各種制御方式等を設計してください。

ネットワーク物理設計

ニフクラのサービス内は仮想ネットワークのため、記載を省略します。[39]


39. ニフクラの環境から、ダイレクトポート接続、IPsecVPNで接続されるオンプレミス環境側の物理設計については、従来のオンプレミスでの方式で設計してください。

ネットワーク構成規約の設計

ネットワーク、サブネット、ポート、ID/パスワードなどの構成の設計や管理に必要な規約については、オンプレミスと同様に設計してください。

ネットワーク運用設計 (定常時)

システム全体の運用・保守設計に基づいて、信頼性の 定常時 の管理、運用方法を設計してください。 基本的な設計方法はオンプレミスと同様です。「ニフクラ運用・保守設計指針 1. 運用・保守」を参照してください。

ネットワーク運用設計 (障害時)

システム全体の運用・保守設計に基づいて、信頼性の 障害時 の管理、運用方法を設計してください。 基本的な設計方法はオンプレミスと同様です。「ニフクラ運用・保守設計指針 1. 運用・保守」を参照してください。

LANに関する留意事項(ネットワーク/IPアドレス)
作業概要

ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。

  • 仮想ネットワーク/サブネットに関する留意事項

    ニフクラの サービス/機能

    留意事項

    内容

    選択値・条件

    仮想ネットワーク/サブネット

    共通グローバルネットワーク

    サーバー配備時に接続されるグローバルネットワークで、インターネットに公開されたネットワークとなります。(サーバーに接続しないことも可能です。)

    共通プライベートネットワーク

    サーバー配備時に接続されるプライベートネットワークで、他ユーザーと共通のプライベートネットワークとなります。(プライベートLANを作成している場合、サーバー配備時にプライベートLANに接続することも可能です。)

    プライベートLAN

    プライベートLANは共通プライベートネットワークとL2レベルで隔離されたネットワークです。 利用者が任意に作成します。ルーターを用いてプライベートLAN同士を接続することが可能です。

    • プライベートLANに設定可能なプレフィックス長は「16~28」

    • 対象プライベートLANにリソース接続時、IPアドレス帯の拡張のみ可能

    • IPアドレス帯の縮小は不可

    付替IPアドレス

    共通グローバルネットワーク、共通プライベートネットワークのIPアドレスを付替IPアドレスとすることで、同一のIPアドレスを他サーバーに付け替えて利用可能です。 [40]


    40. 起動中のサーバーでIPの付替/解除をする際は、必ずサーバーの再起動が発生します。停止中のサーバーでIPの付替/解除をする際にサーバーを再起動させたくない場合は、再起動しないを選択して設定を行ってください。ただし、サーバー停止中であっても再起動が必要になる場合があります。

    ゾーン/リージョンをまたいだIPアドレスの設定はできない

    グローバルIPアドレス

    インターネットに公開されているネットワーク上のIPアドレスです。 仮想サーバーをインターネットに公開する場合は、グローバルIPアドレスが必要になります。 仮想サーバー配備時に、グローバルIPアドレスを付与するかしないかを選択できます。 ニフクラのサーバーに払い出されるグローバルIPアドレス帯はニフクラホームページにて公開されています。

    グローバルIPアドレスの指定

    グローバルIPアドレスは個別に指定はできません。サーバー配備時、グローバルIPアドレスを付与する場合、 DHCPにより自動でIPアドレスが割り振られます。

    利用者が何らかの手段で取得しているグローバルIPアドレスの持ち込み不可

    IPアドレス設計 接続先と重複しない設計

    ニフクラでは、IPsecVPN/SSL-VPNやダイレクトポート接続等による外部環境との接続 (4章 「外部接続」で記載) が可能です。この外部接続により、あるニフクラの環境を別の環境と接続して通信できるように設計することが可能です。この場合、接続先の環境も含めて、IPアドレスが重複しないように設計してください。

LANに関する留意事項(DHCP/DNS/追加NIC/マルチIPアドレス)
作業概要

ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。

  • 仮想ネットワーク/サブネットに関する留意事項(2/2)

    ニフクラのサービス/機能

    留意事項

    内容

    選択値・条件

    仮想ネットワーク/サブネット

    DHCP

    サーバー作成時に指定するネットワークにおいて、共通グローバルネットワークと共通プライベートネットワークは、デフォルトでDHCPでIPアドレスが割り当てられます。[41]
    プライベートLANに所属させたサーバーにDHCPを用いてIPアドレスを付与したい場合は、ルーターのDHCP機能を利用することにより可能です。ルーターのDHCPオプションにより、IPアドレスと合わせて、ゲートウェイのIPアドレス、DNSサーバー、NTPサーバー、WINSサーバーのIPアドレス等の指定も可能です。また、利用者のサーバーのネットワークインターフェースがプライベートLANに接続されている場合に限り、そのネットワークインターフェースにて DHCP サーバーの構築が可能です。


    41. 手動で静的に設定することは禁止事項に抵触します。

    「バックアップ/セキュリティサービス (Acronis Cyber Protect Cloud) 」での復元時に限り、DHCP設定をオフにし、DNSサーバーのIPアドレスを設定することは禁止事項の対象外

    DNSサーバー

    公開DNSサーバーなどを指定するか、IaaS環境に構築を検討してください。 ルーターでDHCP機能を利用する場合にはDNSの指定が可能です。 ルーターでDHCP機能を利用しない場合はOS上から設定する必要があります。

    ニフクラでは名前解決用のキャッシュDNSのサービスなし

    追加のルート設定

    ルーターでDHCP機能を利用する場合にはゲートウェイの指定が可能です。複数のルーティング情報が必要な場合や、ルーターでDHCP機能を利用しない場合にはOS上から設定する必要があります。

    追加NIC

    仮想サーバーに付与することで複数のプライベートLANへの所属が可能です。

    • 追加NICを付与した仮想サーバーはサーバーコピー、イメージ化不可

    • 追加NICで接続されているプライベートLANへのネットワーク設定変更不可

    • 共通グローバルネットワーク、共通プライベートネットワークへの所属不可

    マルチIPアドレス

    ゾーン内の異なるサーバーで同一のグローバルIPアドレスを使用可能になります。また、複数のグローバルIPアドレスが同じサーバーで使用可能になります。[42]


    42. マルチIPアドレスグループが割り当てられたサーバーに対してできない操作があります。
    • 指定したIPアドレスの取得不可 (自動採番)

    • 以下の操作不可 サーバー削除/ロードバランサー(L4)への接続/マルチロードバランサーへの接続 (共通プライベート、プライベートLANを介しては可) /基本監視サービスのping監視設定

LANに関する留意事項(ルーター)
作業概要

ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。

  • ルーターに関する留意事項

    ニフクラのサービス/機能

    留意事項

    内容

    選択値・条件

    ルーター

    プライベートLAN同士の接続

    同一ゾーン内のプライベートLAN同士はルーターを利用して接続することが可能です。

    ルーティング

    IPsecVPN やダイレクトポート接続等による外部環境との接続を行う場合には、正常に通信できるように、利用者が仮想サーバーとルーターにそれぞれルーティングを設定してください。
    ルーティング設定を間違えると、通信させたいリソース通しが通信できなかったり、パケットの行きと帰りの経路が異なる経路になる場合があります。[43]


    43. ルーターのルートテーブル設定でターゲットに共通グローバル、または共通プライベートのIPアドレスをネクストホップとして設定した場合にはNAT設定が必要です。

    NAT機能

    ルーターは、以下のNAT機能を提供します。

    • SNAT:送信元IPアドレスを変換する

    • DNAT:送信先IPアドレスを変換する

    SNAT機能により、仮想サーバーを作成した際に仮想サーバーにグローバルIPアドレスを割り当てなくても、仮想サーバーからインターネット側に通信することが可能です。 DNAT機能により、仮想サーバーを作成した際に仮想サーバーにグローバルIPアドレスを割り当てなくても、インターネット側から仮想サーバーに通信することが可能です。

    • NATルールとして一つずつしか設定できない (アドレスでのレンジ設定などはできない)

    Webプロキシ機能

    ルーターはWebプロキシ機能を利用することが可能です。 グローバルIPアドレスを割り当てていないサーバーからパッチを適用するなどの用途として利用可能です。

    ルーター数上限

    1プライベートLANに接続できるルーター数は1個です。またルーターが接続可能なネットワーク数は7本までです。

    ルーターのアクセス制御

    ルーターのアクセス制御は仮想サーバーと同様にファイアウォールでアクセス制御が可能です。

LANに関する留意事項(プライベートブリッジ)
作業概要

ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。

  • 複数ゾーン構成に関する留意事項

    ニフクラの サービス/機能

    留意事項

    内容

    プライベートブリッジ

    複数ゾーン構成の概要

    物理的に異なる環境であるゾーンを複数用いて、信頼性を高める構成です。 ゾーン間のプライベートLANをプライベートブリッジにより、L2で接続します。

    複数ゾーン接続の概要

    複数のゾーンでそれぞれプライベートLANを作成した後、コントロールパネルからオンデマンドで設定を行います。プライベートブリッジの開通には、以下の作業を行います。

    1. ゾーンごとにプライベートLANを作成

    2. プライベートLANごとにコネクターを作成

    3. プライベートブリッジを作成

    4. プライベートブリッジに東西接続オプションを付与[44]

    5. コネクターとプライベートブリッジの紐づけ

    詳細は、ニフクラ SEハンドブック 構成サンプル内の「プライベートLANの実装」及び「プライベートブリッジの実装」を参照してください。
    拠点間VPNゲートウェイに接続されたプライベートLAN同士を、プライベートブリッジなどの接続サービスによって接続することはできません。
    他ネットワークサービスと本サービスの併用には、一部制限があります。下記のサービスは、プライベートブリッジと併用する際、構成に注意が必要となります。ネットワークループを防ぐため、下記のサービスと接続されている複数のプライベートLANを、同じブリッジに接続することはできません。

    • 一部併用制限サービス

      • プライベートアクセス for SINET

      • 拠点間VPNゲートウェイ


    44. リージョン間接続を行う場合のみ
WANに関する留意事項(ダイレクトポート)
作業概要

ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

ダイレクトポート

接続形態

ニフクラ上に構築したシステムを回線事業者の専用線や閉域網に接続するために接続ポイントであるポートを提供するサービスです。ブロードキャストドメインを区切る必要があるためルーターやL3スイッチ等と接続が必要となります。

L2接続不可

スイッチポート

提供するポートのネゴシエーションはauto設定です。 ポート1口に対して、プライベートLANの割り当ては1個となります(ポートVLAN)。 1個のプライベートLANが割り当てられるポートの数は最大5口です。 ポートの帯域は1Gbpsベストエフォートとなります。

回線事業者のネットワーク機器を設置するためのラック

ラックの管理は、ニフクラ側が行います。 規定のスペースを超えてラックを使用する場合、1ラックスペースを追加するごとに料金が発生します。 ネットワーク機器用の電源(100V)も併せて提供します。

  • ラックスペースは1口につき最大1ラックスペース(目安:幅 43cm×奥行き 60cm×高さ 4cm)まで

  • ネットワーク機器はニフクラ側が指定した棚板の上に据え置き (指定後の変更もあり)

  • 1口につき最大3個まで電源提供

  • ラックマウントによる機器設置不可

LANケーブル

ニフクラ側のL2スイッチと回線事業者のネットワーク機器を接続するLANケーブルを提供します。ニフクラ側指定のラックスペース(棚板)まで敷設されているので回線事業者のネットワーク機器に結線してください。

冗長構成

ダイレクトポート1口の契約の場合、ニフクラ側ポートはシングル構成となります。ダイレクトポート2口の契約の場合、ニフクラ側ポートは冗長化することが可能です。また、VRRP/HSRPなどの冗長化用プロトコルをニフクラのポート経由でルーター同士通信することでアクティブ/スタンバイ構成が可能です。

ルーター同士のケーブル接続不可

データセンターへの入館

回線の敷設やネットワーク機器の設置などでニフクラのデータセンターに入館できるのは回線事業者のみとなります。ネットワーク機器は回線事業者の保守サポート付のものを利用する必要が有ります。

その他 制限事項

ニフクラ環境側スイッチのメンテナンスに伴い、サービス停止 (通信断) する場合があります。なお、メンテナンスに伴うサービス停止が発生する場合には、事前に通知します。メンテナンスに伴うサービス影響時間を短縮する必要がある場合には冗長構成での利用を推奨します。[45]
ニフクラ環境に影響を与えていることが確認された場合、接続インターフェースを予告なく遮断します。


45. 冗長構成時のサービス影響時間は利用者側機器の冗長機能 (HSRP、VRRP等) に依存します。

遮断対象の閾値
ブロードキャスト:5Kpps / マルチキャスト:5Kpps / ユニキャスト (unknown ユニキャスト) :200Kpps

本機能の詳細は、以下のドキュメントを参照してください。『ニフクラ設計・構築ガイド(ネットワーク)』

WANに関する留意事項(VPN)
作業概要

ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。

ニフクラの サービス/機能

留意事項

内容

選択値・条件

拠点間VPNゲートウェイ

接続できる拠点数

作成タイプにより拠点間VPNゲートウェイ1つあたりで同時接続可能な拠点が異なります。

vpngw.small:1拠点 vpngw.medium:10拠点 vpngw.large:50拠点

通信が可能な範囲

接続形態により、通信が可能な範囲が異なります。

  • IPsec:拠点間VPNゲートウェイが接続されたプライベートLANと、対向のゲートウェイに接続される1つのサブネット間のみ通信が可能です。

  • IPsec VTI:ルーティングテーブルを適切に設定することにより、拠点間VPNゲートウェイが接続されたプライベートLAN以外のプライベートLAN、対向のゲートウェイに接続されるサブネット以外のサブネット間とも通信が可能です。

  • L2TPv3/IPsec:プライベートLANと対向のゲートウェイに接続される1つのサブネットとL2で接続可能です。他プライベートLAN、サブネットとも通信を行いたい場合、ルーティング設定を適切に行うことで、通信が可能です。

モバイルアクセス

モバイル機器との通信(L2TP/IPsec)はできません。

アクセス制御

ニフクラの仮想サーバーと同様、ニフクラファイアウォールの設定が可能です。

インターネットVPN(H/W)

接続できる拠点数

1契約(1接続点)で1拠点との接続が可能です。

通信が可能な範囲

インターネットVPN(H/W)を接続したプライベートLANと、対向のゲートウェイに接続されるサブネット、申込時に指定した拠点側の他サブネットとの通信が可能です。インターネットVPN(H/W)が接続されたプライベートLAN以外のセグメントとは通信できません。

モバイルアクセス

モバイル機器との通信(L2TP/IPsec)はできません。

アクセス制御

インターネットVPN(H/W)には、ニフクラのファイアウォールの設定はできません。

リモートアクセスVPNゲートウェイ

接続可能なコネクション数

作成タイプごとにリモートアクセスVPNゲートウェイ1つあたりの同時接続可能数が異なります。

ravgw.small:50接続 ravgw.medium:100接続 ravgw.large:1000接続

通信が可能な範囲

クライアントソフトを導入した端末から、リモートアクセスVPNゲートウェイが接続されたプライベートLAN上のリソースのみ通信が可能です。トンネルモードの選択により、クライアントNW内で疎通可能か設定可能です。

  • 分割トンネル : VPNトラフィックのみがリモートアクセスVPNゲートウェイを通過

  • フルトンネル : 全トラフィックがリモートアクセスVPNゲートウェイ通過(ローカルサブネットを含む)

アクセス制御

リモートアクセスVPNゲートウェイにはニフクラのファイアウォールの設定はできません。

証明書

ニフクラ側でCA証明書の設定が必要です。

クライアントソフト

オンプレミス環境にクライアントアプリケーションのダウンロードが必要です。

ロードバランサー(L4)に関する留意事項
作業概要

ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

ロードバランサー(L4)

サービスの概要

ニフクラでは、信頼性向上と性能向上のための負荷分散機能として、L4層のロードバランサーを提供しています。ロードバランサー(L4)サービスを1つ設定することで、同一リージョンの複数のゾーンに配備された仮想サーバーに負荷分散してアクセスすることが可能です。

各種数量

作成可能なロードバランサー(L4)数は、リージョンごとに制限されます。

  • リージョンごとに6個×ゾーン数

  • ロードバランサー(L4)1つにつき1個のグローバルIPと3個のポート設定が可能

ネットワーク構成

ロードバランサー(L4)ではグローバルIPアドレスを持つ仮想サーバーを負荷分散対象として設定が可能です。プライベート側からの負荷分散、プライベート側への負荷分散には対応していません。

帯域

帯域は、複数コネクションでの最大帯域となっており、単一のコネクションでは契約の帯域を使いきれない場合もあります。

利用可能帯域10Mbps~2,000Mbps

アクセス元IPの取得

http(80)、https(443)且つSSLアクセラレーターを利用してのアクセス(80)の場合、ヘッダー情報「X-Forwarded-For」に送信元のIPアドレスの情報が付与されます。

暗号化SUITE

暗号化タイプごとにSSLセキュリティポリシーをテンプレート化しており、ロードバランサー(L4)ごとにテンプレートの選択が可能です。(テンプレートを選択していない場合は、暗号化タイプごとの初期テンプレートが適応)

  • standard、atsから選択可能

  • Apple社のApp Storeでアプリを公開する必要がある場合はatsを選択

負荷分散可能なレイヤー

ニフクラのロードバランサー(L4)サービスでは、L4層の負荷分散が可能です。アクセス先のURLに含まれるドメイン名やパス等に応じて負荷分散条件を設定するL7層の負荷分散はできません。

負荷分散のポリシー設定

ニフクラのロードバランサー(L4)サービスでは、以下の設定が可能です。

  1. バランスポリシー
    ラウンドロビンと、リーストコネクションの設定可能

  2. セッション固定
    ソースIPアドレスを元にセッションをサーバーに固定することが可能

セッションの保持時間は3~60分で設定可能

Sorryページ設定

ヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、且つ、他の負荷分散可能な仮想サーバーが存在しなかった場合、ニフクラ側で用意した定型メッセージを表示できる

Sorryページは、待ち受けポートがHTTP(80/tcp)の場合のみ利用可能

ヘルスチェックの設定

サーバーからの応答時間がタイムアウトを越えた場合にサーバーをロードバランサーから切り離します。

  • ヘルスチェック方法:ICMP (IPレベルのチェック) 、TCP (ポートレベルのチェック)

  • ヘルスチェック間隔:5~300秒

  • タイムアウトまでのヘルスチェック回数の設定範囲:1~10回

Sorryページ設定

ヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、且つ、他の負荷分散可能な仮想サーバーが存在しなかった場合、ニフクラ側で用意した定型メッセージを表示できる

Sorryページは、待ち受けポートがHTTP(80/tcp)の場合のみ利用可能

マルチロードバランサーに関する留意事項
作業概要

ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

マルチロードバランサー

サービスの概要

ニフクラでは、信頼性向上と性能向上のための負荷分散機能として、L4層のマルチロードバランサーを提供しています。マルチロードバランサーでは、複数のゾーンに配備された仮想サーバーに負荷分散してアクセスすることはできません。

各種数量

作成可能なマルチロードバランサー数は、1IDごとに制限されます。

  • 1IDにつき5個/ゾーン

  • マルチロードバランサー1つにつき1個のグローバルIPと3個のポート設定が可能

  • プライベートネットワークもしくはプライベートLANへの所属も可能

ネットワーク構成

マルチロードバランサーはグローバル側の負荷分散、プライベートLAN側への負荷分散も可能です。[46]


46. マルチロードバランサーに付与しているネットワークに所属するニフクラの仮想サーバーのみ負荷分散対象にすることが可能です。

帯域

10Mbps~500Mbpsの帯域を利用可能です。

アクセス元IPの取得

1arm構成でhttp、https且つSSLアクセラレーターを利用してのアクセスの場合、ヘッダー情報「X-Forwarded-For」に送信元のIPアドレスの情報が付与されます。2arm構成の場合はアクセス元のIPアドレスが透過されます。

暗号化SUITE

ats に対応しています。

負荷分散可能なレイヤー

ニフクラのマルチロードバランサーでは、L4層の負荷分散が可能です。アクセス先のURLに含まれるドメイン名やパス等に応じて負荷分散条件を設定するL7層の負荷分散はできません。

ルートテーブルの設定

マルチロードバランサーに適応可能なルートテーブルは、設定されているルートのターゲットがIPアドレスの場合のみ適応可能です。

マルチロードバランサーがグローバル接続時、デフォルトルートが設定されているルートテーブルは適応不可

負荷分散のポリシー設定

ニフクラのマルチロードバランサーでは、以下の設定が可能です。

  1. バランスポリシー
    ラウンドロビンと、リーストコネクションの設定が可能です。

  2. セッション固定
    ソースIPアドレス、cookieを元にセッションをサーバーに固定することが可能です。

セッションの保持時間は3~60分で設定可能

ヘルスチェックの設定

サーバーからの応答時間がタイムアウトを越えた場合にサーバーをロードバランサーから切り離します。

  • ヘルスチェック方法:ICMP (IPレベルのチェック) 、TCP (ポートレベルのチェック) 、HTTP (静的コンテンツのチェック) 、HTTPS (静的コンテンツのチェック)

  • ヘルスチェック間隔:5~300秒

  • 閾値の設定範囲:1~10回

  • ヘルスチェックパス:指定可能 (255文字以内) [47]

  • HTTPコードの期待値:1~10個 (200~499) [48]


47. 方式がHTTP/HTTPSの場合のみ
48. 方式がHTTP/HTTPSの場合のみ

Sorryページ設定

ヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、且つ、他の負荷分散可能な仮想サーバーが存在しなかった場合のリダイレクト情報を設定することによりSorryページを表示させることが可能です。[49]


49. リダイレクト先は別途用意する必要があります。
  • Sorryページは待ち受けポート設定がHTTP/HTTPSの場合利用可能 (ポートは任意に設定可能)

  • レスポンスコードは302

L7ロードバランサー(Ivanti Virtual Traffic Manager)に関する留意事項
作業概要

ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

L7ロードバランサー(Ivanti Virtual Traffic Manager)

サービスの概要

ニフクラでは、信頼性向上と性能向上のための負荷分散機能としてL4層だけでなくL7層にも対応したL7ロードバランサーを提供しています。L7ロードバランサーでは、複数のゾーンに配備された仮想サーバーに負荷分散してアクセスすることが可能です。L7ロードバランサーはサードパーティ製のソリューションサービスとなります。[50]


50. 利用者にて、セットアップ手順書及びインストーラーを図研ネットウエイブ株式会社のサイトよりダウンロードし、インストールする必要があります。

ネットワーク構成

L7ロードバランサーはグローバルネットワーク側の負荷分散、プライベートLAN側への負荷分散も可能になります。ネットワーク構成によりL7ロードバランサーを構成するOS上で適切にルーティング設定などが必要になります。

帯域

10Mbps~2Gbpsの帯域を利用可能です。利用するシリーズにより異なります。

アクセス元IPの取得

http、https且つSSLアクセラレーターを利用してのアクセスの場合、ヘッダー情報「X-Cluster-Client-Ip」に送信元IPアドレスが付与されます。「X-Forwarded-For」に変更することも可能です。httpsアクセスでSSLアクセラレーターをロードバランサーで行わない場合も、設定により独自ヘッダーを付与し、アクセス元IPの取得も可能です。

暗号化SUITE

atsに対応しています。

負荷分散可能なレイヤー

ニフクラのL7ロードバランサーでは、L4層/L7層の負荷分散が可能です。

IP Transparency

IP Transparencyを利用する場合に、バックエンドノードへのアクセスとして共通グローバル、または共通プライベートを利用することはできません。IP Transparencyを利用する場合にはL7ロードバランサー、バックエンドノードともにプライベートLANを利用する必要があります。

負荷分散のポリシー設定

ニフクラのL7ロードバランサーでは、以下の設定が可能です。

  1. バランスポリシー

  2. セッション固定
    プロトコルに応じて設定が可能です。

  • バランスポリシー:Round Robin、Weighted Round Robin、Perceptive、Least Connections、Weighted Least Connections、Fastest Response Time、Random Node

  • セッション固定

    • 全プロトコル対応:IP-based Persistence、Named Node persistence

    • HTTP、HTTPS対応:Transparent session affinity、Monitor application cookies、J2EE、ASP及び ASP.net、X-Zeus-Backen cookies

    • SSLプロトコル :SSL Session ID persistence

ヘルスチェックの設定

サーバーからの応答時間がタイムアウトを越えた場合にサーバーをロードバランサーから切り離します。

  • ヘルスチェック方法:ICMP、TCP、HTTP、HTTPS、FTP、SMTP、POP3、DNS、SIP、RTSP

  • ヘルスチェック間隔:1~999,990秒

  • 閾値の設定範囲:1~99,999回

Sorryページ設定

ヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、かつ、他の負荷分散可能な仮想サーバーが存在しなかった場合のリダイレクト情報を設定することによりsorryページを表示させることが可能です。ページのカスタマイズも可能で、Virtual Server設定ごとにHTTP/HTTPS/他プロトコルで利用可能です。HTTP/HTTPS以外はFIN送信となります

Sorryページレスポンスコードは500 (FIN送信も可能)

サポート範囲

OS上の設定は利用者責任範囲となります。またL7の負荷分散に対応していることにより柔軟な設定が可能な分、複雑となります。サポート問い合わせ時、利用者側で切り分けが必要なことが多々あります。留意してください。

統合ネットワークサービスに関する留意事項
作業概要

ネットワーク概要設計の業務通信フローに基づいて、ネットワーク構成や、各種制御方法等を設計してください。

ニフクラの サービス/機能

留意事項

内容

選択値・条件

統合ネットワークサービス(IPCOM VE2シリーズ)

サービスの概要

「統合ネットワークサービス(IPCOM VE2シリーズ)」 (以降IPCOM VE2シリーズと記載) はセキュリティ対策機能と、ネットワーク最適化機能を提供するネットワークソリューションサービスです。[51]


51. 詳細は「スタートガイド」を参照してください。

4つの機能シリーズと2つのスペック(220/100)の合計8種類で構成

  • SC:ファイアウォール、アノマリ型IPS、IPsec-VPN

  • SC PLUS:ファイアウォール、アノマリ型IPS、IPsec-VPN、SSLアクセラレーター、L2TP/IPsec-VPN、帯域制御

  • LS:サーバー負荷分散、帯域制御、ファイアウォール、アノマリ型IPS、SSLアクセラレーター

  • LS PLUS:サーバー負荷分散、帯域制御、ファイアウォール、アノマリ型IPS、SSLアクセラレーター、WAF

ネットワーク構成

IPCOM VE2シリーズはグローバルネットワーク側の負荷分散、プライベートLAN側への負荷分散も可能になります。 (LSシリーズのみ)

負荷分散可能なレイヤー

柔軟な負荷分散方法が可能です。[52][53]


52. 機能シリーズによって対応可否が異なります。SCシリーズ(SC、SC PUS)ではサーバー負荷分散機能は利用できません。
53. 機能の詳細は「データシート」を参照してください。

構成

本製品は仮想アプライアンスであり、各スペックに対応したサーバータイプを選択する必要があります。 スケールアップ (メモリ数・コア数の追加) 、スケールダウン (メモリ数・コア数の削減) はサポートされていません。メモリ数・コア数の変更を伴わない、Type-c↔Type-e↔Type-h2のサーバータイプ変更は可能です。シリーズまたはスペックを変更する場合はライセンスの再購入、サーバーの再作成が必要となります。

別途100GBの増設ディスクが必要

その他制限事項

プライベートLANの利用が必須となる機能の詳細は「スタートガイド」を参照してください。 サーバー負荷分散やアドレス変換の機能で複数のグローバルIPアドレスを設定する時は、マルチIPの利用が必須となります。詳細は「データシート」を参照してください。 ニフクラ基盤上の共通グローバルはDHCPやマルチキャストの通信不可という仕様のため、利用できない機能が存在します。

プライベートLANのみ利用している環境下でのみ冗長化可能

方式詳細と参考ドキュメント(ネットワーク)
掲載ドキュメント

詳細な方式例としてCDP (クラウドデザインパターン) や、システム構成の参考事例を記載します。

設計項目

ドキュメント掲載先

ドキュメント名または 本ドキュメント内のタイトル

内容

(1) 主に仮想ネットワーク関連

本ドキュメント

ニフクラでの複数ゾーンのシステム構成例

ニフクラで構成可能な複数ゾーンのシステム構成です。
ニフクラが提供するネットワークに関するサービス/機能を利用して、システムの信頼性などを向上します。

本ドキュメント

プライベートLANの実装

構成事例の実装作業の段取りの中で、ネットワーク/サブネット作成等を記載します。

ニフクラSEハンドブック 構成サンプル

プライベートLANの実装
プライベートブリッジの実装
ルーターの実装

構成事例の実装作業の段取りの中で、ネットワーク/サブネット作成等を記載します。

CDP

インターネットから参照できるように仮想サーバーを配備するパターンです。 サーバー配備時、サーバーにグローバルIPアドレスを付与する構成で、ニフクラの基本を記載しています。

CDP

2階層ネットワークのパターンです。用途に応じてプライベートLANを分割した構成を記載します。

方式詳細と参考ドキュメント(WAN)
掲載ドキュメント

詳細な方式例としてCDP (クラウドデザインパターン) や、システム構成の参考事例を記載します。

設計項目

ドキュメント掲載先

ドキュメント名または 本ドキュメント内のタイトル

内容

(2) WAN   関連

本ドキュメント

拠点環境とのダイレクトポート接続事例

ダイレクトポート接続機能を使って、利用者のデータセンター環境、拠点環境と専用線/閉域網で接続する事例を記載します。記載例ではニフクラ環境を2セグメント構成で記載しています。

本ドキュメント

拠点間VPNゲートウェイ 接続事例

拠点間VPNゲートウェイ、インターネットVPN(H/W)、リモートアクセスVPNゲートウェイでのIPsecVPN/SSL-VPNで接続する事例を記載します。

CDP

IPsecVPN接続を記載したパターンです。

方式詳細と参考ドキュメント(プライベートブリッジ)
  • 掲載ドキュメント

    • 詳細な方式例としてCDP (クラウドデザインパターン) や、システム構成の参考事例を記載します。

設計項目

ドキュメント掲載先

ドキュメント名または 本ドキュメント内のタイトル

内容

(3) プライベートブリッジ関連

ニフクラSEハンドブック 構成サンプル

プライベートLANの実装
プライベートブリッジの実装

構成事例の実装作業の段取りの中で、プライベートLAN作成などを記載します。

CDP

複数のゾーンを用いてシステムを構成するパターンです。 それぞれのゾーンにプライベートLANを作成しプライベートLAN同士はプライベートブリッジを用いて接続し、複数のゾーン構成を作成します。

方式詳細と参考ドキュメント(LB)
  • 掲載ドキュメント

    • 詳細な方式例としてCDP (クラウドデザインパターン) や、システム構成の参考事例を記載します。

設計項目

ドキュメント掲載先

ドキュメント名または 本ドキュメント内のタイトル

内容

(4) 負荷分散関連

ニフクラSEハンドブック 構成サンプル

ロードバランサー(L4)の実装

構成事例の実装作業の段取りの中で、ロードバランサー(L4)作成などを記載します。

CDP

Webサービスで、性能、信頼性を考慮した構成を実現したい場合のパターンです。

CDP

ゾーンを束ねている物理機器の全系統ダウンなど、ゾーン全体がダウンするような事態でも、業務を継続したい場合のパターンです。

4.セキュリティ

設計のポイント(アカウント/アクセスコントロール)

以下では、セキュリティ関連のニフクラのサービス/機能を記載しています。ニフクラでセキュリティ観点で設計を行う際には、以下のニフクラのサービス・機能を検討してください。

区分

区分の概要

対応するサービス/機能

ニフクラのサービス/機能の概要

選択値・条件

認証・ID管理

【認証】
情報システムに対する利用者の識別を行い確認する技術
【ID管理】
認証・認可に使用するID情報のライフサイクルを管理する技術

マルチアカウント

ニフクラのコントロールパネル/APIを利用する際に、操作範囲に制限を持たせたアカウントを作成できる機能です。[54]


54. 運用者権限・閲覧権限のユーザーには、許可する操作を定義したポリシーを追加することが可能です。
  • 管理者権限、運用者権限、閲覧権限のアカウントの作成可能

  • 一部マルチアカウント未対応サービスあり

SSHキー

Linux系の仮想サーバーにログインするためのSSHキーを発行したり登録/インポート/削除したりすることが可能です。

アクセスコントロール

情報システムに対するアクセス時の許可を操作者の権利に応じて行う技術

IP許可制限

コントロールパネルやAPIのアクセスについて、特定のIPアドレスからのアクセスのみを許可する機能です。許可したIPアドレス以外からのアクセスを制限します。

OTP認証

OTP認証とは、コントロールパネルへログインする際に、専用のアプリケーション[55]に表示されるワンタイムコードをパスワードとして用いる認証方式のことです。OTP認証を利用することで、セキュリティの強化を実現できます。契約管理メニューの二要素認証と同じ機能となります。
OTP認証は無料で利用できます。


55. FreeOTP または Google Authenticator(Google認証システム)

ファイアウォール

ファイアウォールサービスは、プロトコル、ポート番号、Incoming/Outgoingでアクセス許可を制御する機能です。 仮想サーバー、ルーター、拠点間VPNゲートウェイに設定可能です。

プロトコル:TCP、UDP、ICMP、GRE、ESP、AH、VRRP、L2TP、RDP、SSH、HTTP、HTTPS、ICMPv6-all

サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security)

サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーにオプションで導入可能です。区分の範囲では以下の機能があります。

  • IDS/IPS

  • Firewall

  • Web Reputation

本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。

セキュリティ対策では、利用者が実施するセキュリティ対策とニフクラ基盤側が実施する対策がありますが、本ドキュメントは利用者が実施する対策を記載します。

設計のポイント(管理/暗号化)

以下では、セキュリティ関連のニフクラのサービス/機能を記載しています。ニフクラでセキュリティ観点で設計を行う際には、以下のニフクラのサービス・機能を検討してください。

区分

区分の概要

対応するサービス/機能

ニフクラのサービス/機能の概要

証跡管理

情報システムの信頼性/安全性/効率性/有効性の確保が 事後に実証可能なように、情報システムに対するアクセスを記録し、記録されたデータを管理する技術

ニフクラ API  (ログ取得)

ファイアウォールグループのアクセス拒否のログ取得、基本監視のログ取得などのAPIを提供しています。ログを取得できないサービス/機能や仮想リソースがあるため留意してください。

集中管理

  • インシデント管理

  • 脆弱性管理

  • 構成管理

情報システム全体のセキュリティ対策レベルを恒常的に把握/維持/向上を図ることを目的とした技術

ニフクラ コントロールパネル/API

コントロールパネルやAPIで、ニフクラ上の仮想リソースの一覧取得が可能です。

サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security)

サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーにオプションで導入可能です。区分の範囲では以下の機能があります。

  • 変更監視

  • ログ監視

暗号化

  • データの秘匿 ファイル、ストレージ、通信上のデータ等

  • 認証 (電子署名など)

秘匿すべき情報の表現を組み替えて第三者が参照したり利用したりできないようにする技術

ロードバランサー

それぞれのロードバランサー(ロードバランサー(L4)、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2シリーズ))でhttpsの暗号化通信に対応しています。

拠点間VPNゲートウェイ

オンプレミスなどの拠点とインターネットを経由してIPsecVPNで接続する機能です。

インターネットVPN(H/W)

オンプレミスなどの拠点とインターネットを経由してIPsecVPNで接続する機能です。

リモートアクセスVPNゲートウェイ

利用者端末とインターネット経由でSSL-VPNで接続する機能です。

セキュリティ対策では、利用者が実施するセキュリティ対策とニフクラ基盤側が実施する対策がありますが、本ドキュメントは利用者が実施する対策を記載します。

設計のポイント(不正アクセス)

以下では、セキュリティ関連のニフクラのサービス/機能を記載しています。ニフクラでセキュリティ観点で設計を行う際には、以下のニフクラのサービス・機能を検討してください。

区分

区分の概要

対応するサービス/機能

ニフクラのサービス/機能の概要

不正プログラム対策

セキュリティの3要素 (機密性・完全性・可用性) を脅かす悪意を持って作られたプログラムへの対策を目的とした技術

サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security)

サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーにオプションで導入可能です。区分の範囲では以下の機能があります。

  • ウイルス対策

  • IDS/IPS

ウイルス・スパイウエア対策(ESET Server Security)

サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーにオプションで導入可能です。セキュリティ機能として、以下の機能があります。

  • ウイルス・スパイウエア対策

IDS

ネットワーク上を流れるパケットを常時監視し、不正アクセスを検知し通報を行うサービスをオプションで導入可能です。

セキュリティ対策では、利用者が実施するセキュリティ対策とニフクラ基盤側が実施する対策がありますが、本ドキュメントは利用者が実施する対策を記載します。

ニフクラサービス適用事例

ロードバランサー(L4)とWeb/APサーバー、ニフクラRDBを配備した事例から、ニフクラのサービス/機能の適用を検討する以下3つの適用シーンについて記載します。

適用シーン

利用するサービス/機能

概要

①  仮想リソース操作   (配備、起動・停止等)

コントロールパネル、API、マルチアカウント

管理者以上の権限が付与されたアカウントで、仮想リソースを配備する事例を記載します。

②  仮想サーバーなど構築

拠点間VPNゲートウェイ、SSHキー、 ファイアウォール、 Workload Security、 ロードバランサー(L4) (https)

仮想サーバーなどを構築する観点で事例を記載します。 仮想サーバーには、IPsecVPNで暗号化した経路で、SSHキーを使ってログインします。 ファイアウォールでアクセス制御を行います。

③  Webサービス提供

Webサービスの観点で事例を記載します。 アクセス制御を変更して、不特定のアクセス元からロードバランサー(L4)でhttps通信する事例を記載します。 また、サービス提供中に仮想サーバーで考慮するセキュリティなどについて記載します。

image

構成図補足
①仮想リソース操作(マルチアカウントを利用)

プライベートLAN作成・設定、ルーター作成・設定、ファイアウォール作成・設定、ロードバランサー(L4)作成・設定、ニフクラRDB作成・設定、 SSHキー作成、仮想サーバー作成・設定・起動停止、各種ログ取得等

②仮想サーバーなど構築

httpdサーバーなどのソフトウエア導入・設定、ニフクラRDBの設定、Workload Security導入・設定など

③Webサービス提供

Web利用者向け

①仮想リソース操作 (配備、起動・停止等)
  • 以下のようにマルチアカウントを利用することにより、仮想リソース操作のための権限を適切に管理する利用者管理運用が可能です。

    • 一部マルチアカウントには対応していないサービスもあるため留意してください。

    • 運用者権限・閲覧権限のユーザーには、許可する操作を定義したポリシーを追加することが可能です。

      image

      項目

      ニフクラID 管理者

      設定可能な権限

      マルチアカウント管理者権限

      マルチアカウント運用者権限

      マルチアカウント閲覧権限

      アカウント作成

      ×

      ×

      ×

      コントロールパネル・API操作

      • 運用者権限・閲覧権限のユーザーには、許可する操作を定義したポリシーを追加することが可能

      コントロールパネル 閲覧

②仮想サーバーなどの構築

image

構成図補足
ロードバランサー (L4)アクセス制御

アクセス元IPアドレスの制限が可能です。
構築中は特定のアクセス元からのみ許可します。

仮想サーバーなどの構築観点のセキュリティ

配備する仮想サーバーなどのリソースは、ファイアウォールで制御を行います。システム構築中は、不用意にアクセスされないように、アクセス元を限定してください。
仮想サーバーには、IPsecVPNで暗号化した経路で、SSHキーを使ってログインするようにしてください。

  • Trend Micro Cloud One - Workload Security

    • サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーにオプションで導入可能です。セキュリティ機能として以下の機能があります。

      • IDS/IPS

      • Web Reputation

      • 変更監視

      • Firewall

      • ウイルス対策

      • ログ監視

    • 本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。本サービスを利用する際は、仮想サーバーにWorkload Securityのエージェントを導入して、仮想サーバーからTrend Micro社のCloud Oneの 管理サーバーにhttps(443/tcp)でアクセスできるようにファイアウォールグループを設定します。

  • ファイアウォール

    • ファイアウォールサービスはプロトコル(TCP、UDP、ICMP、GRE、ESP、AH、VRRP、L2TP、RDP、SSH、HTTP、HTTPS、ICMPv6-all)、ポート番号、Incoming/Outgoingで アクセス許可を制御する機能です。サーバー、ルーター、拠点間VPNゲートウェイに適用可能で、複数サーバーを同一ルールに所属させることが可能です。Outgoingでは設定無しの場合全て許可となります。

      • 拠点間VPNゲートウェイ
        構築中は、特定のアクセス元拠点からとのみ通信可能にする。

      • Web/APサーバー
        DBサーバーへのDB用の通信ポートの送信を許可特定のアクセス元からssh (22/tcp) からの受信を許可 ※ロードバランサー(L4)からの通信はルールの追加を行わなくても許可されます。

  • DBファイアウォール

    • ニフクラRDB用のファイアウォールとしてDBファイアウォールの利用が可能です。Incomingの設定が可能です。

      • 接続元種別としてCIDRか、IaaSで作成したファイアウォールグループの指定が可能です。

      • DBサーバー
        Web/APサーバー用に作成したファイアウォールグループからの受信を許可

ファイアウォールとロードバランサー
  • ファイアウォールグループ設定例
    ※本設定例ではOUTルールは設定なしで記載しています。 (デフォルトすべて許可)

    • Web/APサーバー用ファイアウォールグループ 設定例

      INルール設定

      プロトコル

      宛先ポート

      接続元種別

      IP/CIDR・グループ

      備考

      SSH

      22

      IP/CIDR

      x.x.x.x

      IPsec-VPN経由でログインする特定のアクセス元

    • 拠点間VPNゲートウェイ用ファイアウォールグループ 設定例

      INルール設定

      プロトコル

      宛先ポート

      接続元種別

      IP/CIDR・グループ

      備考

      ANY

      グループ

      Web/AP用

      Web/AP用ファイアウォールグループを指定し、Web/APサーバーからの通信を許可

      ESP

      IP/CIDR

      y.y.y.y

      拠点側VPN装置からの通信を許可

      UDP

      500

      IP/CIDR

      UDP

      4500

      IP/CIDR

  • DBファイアウォール 設定例

    • DBファイアウォール 設定例

      接続元種別

      IPアドレス・グループ

      備考

      グループ

      Web/AP用

      Web/AP用ファイアウォールグループを指定し、Web/APサーバーからの通信を許可

  • ロードバランサー(L4) アクセス制御 設定例

    • ロードバランサー(L4) アクセス制御 設定例
      ※本設定例では「許可するIPを指定する」で記載しています。(拒否するIPを指定も可能)

      アクセス元IP/CIDR

      備考

      (構築時) x.x.x.x
      (完了時) 設定なし

      構築時では特定のIPアドレスからのみ通信を許可
      構築完了後、設定を削除し、不特定のアクセス元からの通信を許可

③Webサービス提供

image

構成図補足
ロードバランサー(L4) アクセス制御

構築完了後は、設定を削除し不特定のアクセス元からの通信を許可

仮想サーバーのセキュリティ
  • 仮想サーバーにログインするにはSSHキーを利用します。SSHキーは紛失しないよう、厳重に管理してください。

  • 仮想サーバーに割り当てるディスクは、ニフクラでは暗号化していません。必要であれば、利用者側で独自に実装してください。

  • OSのパッチを適用できるようなサービスは提供していません。必要に応じて利用者側で独自に実装してください。OSパッチを含め、システム全体のインシデント管理や脆弱性管理、構成管理は、利用者側で実施してください。

  • 仮想サーバーに不正アクセスがあるかどうかログを取得する場合は、iptablesなどのOS標準のツールの導入や、Workload Securityの導入を検討してください。

  • ログの集約や集約したログの集中管理などを行いたい場合は、監視ツールの導入を検討してください。

ニフクラRDBで提供するDBサーバーのセキュリティ

ニフクラRDBに割り当てるディスクは、ニフクラでは暗号化していません。データベースの行レベルでの暗号化が必要な場合は、利用者側で独自に実装(利用者側で暗号化したデータを格納など)するか、独自にデータベース自体を導入してください。

Webサービスの提供観点のセキュリティ
  • ロードバランサー(L4)はhttps通信が可能です。

  • ロードバランサー(L4)は、アクセスログを取得できません。

  • 仮想サーバーのセキュリティを強化する場合は、Workload Securityなどの導入を検討してください。

適用の指針

セキュリティは、ニフクラの機能だけでは完結しません。利用者システム上のセキュリティ対策と組み合わせて、ニフクラのセキュリティ関連のサービス/機能を適用し、適切にシステムを管理してください。

区分 検討対象

認証・ID管理

アクセスコントロール

証跡管理

集中管理

暗号化

不正プログラム対策

適用 シーン

アカウント

機能/サービス

  • マルチアカウント

  • SSHキー

  • IP許可制限

  • OTP認証

  • アクティビティログ

  • コントロールパネル API

  • https

利用者

  • ニフクラ機能/サービスを利用し、運用で適切に管理

  • アクティビティログを取得

  • API操作ログを保存

  • ニフクラ機能/サービスを利用し、運用で適切に管理

  • APIアクセスできる最新のcurlなどのツールを用意

  • 利用者端末からアカウントなどの情報漏えいに留意

ネットワーク

機能/サービス

  • ファイアウォール

  • 仮想リソース管理

  • コントロールパネル/APIによる一覧取得

  • IPsecVPN

  • IDS

利用者

  • ニフクラ機能/サービスを利用し、運用で適切に管理

  • ファイアウォールのアクセスを拒否したログは取得可能

  • ニフクラ機能/サービスを利用し、運用で適切に管理

  • ニフクラ機能/サービスを利用し、運用で適切に管理

  • ニフクラ機能/サービスを利用し、運用で適切に管理

仮想サーバー

機能/サービス

  • SSHキーペア認証[56]


56. 仮想サーバーログイン用
  • Workload Security

  • ファイアウォール

  • ログ取得API[57]


57. 一部のログのみ
  • コントロールパネル API

  • Workload Security

  • Workload Security

  • ESET[58]


58. ウイルス対策など

利用者

  • ニフクラ機能/サービスを利用し、運用で適切に管理

  • 必要に応じて、利用者独自にアカウント追加

  • ニフクラ機能/サービスを利用し、運用で適切に管理

  • 必要に応じOS標準のiptablesなどで独自にアクセス制御設定

  • 作業ログなどを保存

  • 必要に応じOS標準のiptablesなどで独自にログ取得

  • 必要に応じログ集約や監視ツールを導入

  • OSまではニフクラ機能/サービスを利用し、運用で適切に管理

  • システム全体として 適切な管理方式を利用者が検討/実装

  • 暗号化は必要に応じて独自に実装

    • east-13,east-14,east-31,west-11,west-13,west-21のローカルディスクでは筐体暗号化対応しています。ただし、Oracle製品の利用をされる場合は、対象ゾーンでは筐体暗号化対応していません。

    • east-13の下記増設ディスクでは筐体暗号化対応しています。

      • 標準フラッシュドライブ[A/B]

      • 高速フラッシュドライブ[A/B]

  • ニフクラ機能/サービス利用

  • または独自に実装

ニフクラRDB

機能/サービス

  • DBファイアウォール

  • ログ取得API[59]


59. 一部のログのみ
  • コントロールパネル API

利用者

  • ニフクラ機能/サービスを利用し、運用で適切に管理

  • 必要に応じて、利用者独自にアカウントを追加

  • 作業ログなどを保存

  • ニフクラ機能/サービスを利用し、運用で適切に管理

  • 必要に応じて独自に実装 (暗号化したデータを格納するなど)

Webサービス

機能/サービス

  • Workload Security

  • https(ロードバランサー)

  • Workload Security

  • ESET

  • IDS

利用者

  • 利用者で独自に実装

  • 利用者で独自に実装

  • 利用者で独自に実装

  • ニフクラ機能/サービス利用

  • または独自に実装

カテゴリ項目ごとの作業と留意事項

カテゴリ項目ごとの作業概要

カテゴリ項目

作業

ニフクラでの作業概要

セキュリティ

セキュリティの方式設計

システム要件で必要なセキュリティ対策について方式を具体化し、セキュリティ機能の方式を設計してください

セキュリティシステム構成設計

ファイアウォール、ID/パスワードなどの構成の設計や管理に必要な規約については、オンプレミスと同様に設計してください。

セキュリティ運用設計(定常時)

システム全体の運用・保守設計に基づいて、セキュリティの定常時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスと同様です。「ニフクラ運用・保守設計指針1. 運用・保守」を参照してください。

セキュリティ運用設計(障害時)

システム全体の運用・保守設計に基づいて、セキュリティの障害時の管理、運用方法を設計してください。基本的な設計方法はオンプレミスと同様です。「ニフクラ運用・保守設計指針1. 運用・保守」を参照してください。

認証・ID管理に関する留意事項(アカウント)
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

  • 利用者管理に関する留意事項

    項目

    留意事項

    内容

    選択値・条件

    利用者管理

    ユーザーID区分

    ニフクラ上でシステムを構築する場合、ニフクラでは以下の①~③等のユーザーID区分があります。また、利用者側で④~⑦等のユーザーID区分が想定されます。
    ④~⑦については、それぞれ、ユーザーIDの作成/変更/削除時のルールを検討してください。ほかはシステム上必須となりますので削除できません。

    • ニフクラの仕組みで発行するユーザーID
      ①ニフクラ利用者がニフクラを利用するために発行されるニフクラのユーザーID (ニフクラID)
      ②ニフクラ利用者がニフクラで仮想サーバーを配備した際に作成されるOSのユーザーID
      ③ニフクラ利用者がニフクラでニフクラRDBやニフクラNASを配備した際に作成されるマスターユーザーID

    • 利用者が任意に作成するユーザーID
      ④ニフクラ利用者がマルチアカウント機能で任意に作成するニフクラのユーザーID
      ⑤ニフクラ利用者が仮想サーバー上で任意に作成するOSのユーザーID
      ⑥ニフクラ利用者がニフクラRDB上で任意に作成するDBのユーザーID
      ⑦ニフクラ利用者がシステム上でWebサービスを提供する際に作成するWebサービス用のユーザーID

    ニフクラIDのパスワード

    ニフクラIDは自動付与となります。

    パスワード利用可能文字
    半角英数字、一部の記号 " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ !

認証・ID管理に関する留意事項(マルチアカウント)
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

  • 利用者管理に関する留意事項

    項目

    留意事項

    内容

    利用者管理

    マルチアカウント
    アカウント名の使用可能な文字

    半角英数字
    一部の記号:アットマーク (@) 、ハイフン (-) 、アンダーバー (_)

    マルチアカウント
    アカウント名の入力制限

    半角2~32文字
    先頭の1文字は必ず英字 (英大文字と英小文字が区別されます。)

    マルチアカウント
    アカウント名に使用できない組み合わせ

    英字3文字+数字5桁 (例:abc12345)
    英字4文字+数字4桁 (例:abcd1234)
    ba+数字6桁 (例:ba123456)

    マルチアカウント
    パスワードの使用可能な文字

    半角英数字
    一部の記号:アットマーク (@) 、ハイフン (-) 、アンダーバー (_)

    マルチアカウント
    パスワードの入力制限

    半角6~24文字 (英大文字と英小文字が区別されます。)
    アカウント名と同じものは使用できません。

コントロールパネル/APIの認証に関する留意事項
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

  • コントロールパネル/APIの認証に関する留意事項

    ニフクラのサービス/機能

    留意事項

    内容

    選択値・条件

    コントロールパネル/APIの認証

    ニフクラ コントロールパネルへのログイン[60]


    60. OTP認証利用時

    仮想サーバー作成などを行うニフクラコントロールパネルは、OTP認証、ユーザーID/パスワードでログインします。

    APIの認証

    APIの認証にはAccesskey (公開キー) とSecretAccessKey (秘密キー) のペアからなる認証キーを取得して利用することにより可能です。再発行も可能です。

    • SecretAccessKeyが外部に漏れると、第三者からAPIが実行される可能性があります。取り扱いには十分留意してください。

    • 認証キーの「新規作成」を行うと、すでに登録されている認証キーは使用できなくなりますので、留意してください。

    認証キーは1アカウントにつき1件のみ登録可能

仮想サーバーの利用者管理に関する留意事項
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

仮想サーバーの利用者管理

仮想サーバー作成時のユーザーID

ニフクラが提供する各種イメージからの仮想サーバー作成時には、各OSによってログイン方法が異なります。[61]

  • CentOS  :サーバー作成時に作成(指定)したSSHキーによりログイン

  • Red Hat Enterprise Linux  :サーバー作成時に作成(指定)したSSHキーによりログイン

  • Ubuntu  :サーバー作成時に作成(指定)したSSHキーによりログイン

  • Windows  :サーバー作成時に指定した管理者アカウント、パスワードによりログイン

Linux系サーバーには以下注意事項があります。

注意事項

ニフクラのコンソール機能を利用する場合にはrootパスワードが必要となります。コンソール接続が必要な場合は事前にSSHでログインしrootパスワードを設定しておくか、コンソール接続時にシングルユーザーモードにてログインし、rootパスワードの設定を行ってください。


61. 作成後のログイン方法は利用者自身で変更可能です。要件によって変更してください。

rootパスワードはデフォルトで設定なし

Windows仮想サーバーのパスワード

Windows仮想サーバーを新規に作成する際には管理者アカウント/管理者パスワードを指定します。

  • 管理者アカウント:半角英数字6~20文字

  • 管理者パスワード:半角英数字6~32文字

  • 以下のアカウント名で管理者アカウント作成不可 (大文字・小文字区別なし)

    • administrator

    • system

    • localservice

    • networkservice

    • guest

    • defaultaccount

  • 「administrator」有効化可能

Windows仮想サーバーへのログイン

Windows仮想サーバーへのログインは、リモートデスクトップ接続、コンソール接続でサーバー作成時に指定した管理者アカウント/管理者パスワードでログイン可能です。

SSHに関する留意事項
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

仮想サーバーの利用者管理

SSHキーの作成

仮想サーバーにログインするためのSSHキーは、コントロールパネルまたはAPIで作成します。
キーペアには以下の注意事項があります。

SSHキー名、パスフレーズは半角英数字6~32文字で設定可能

SSHキーの有効範囲

SSHキーは、リージョン単位で作成します。
同一の内容のSSHキーを使いたい場合は、SSH公開鍵をインポートすることによりサーバーの作成とログインに利用することが可能です。

SSHキーの管理

仮想サーバーにログインするために作成したSSHキーは、厳重に保管/管理してください。
SSHキーを紛失すると、再発行できません。そのため、新たにSSHキーを作成して、仮想サーバーを再度作成するか、コンソール機能でログインし、新たに公開鍵/秘密鍵の設定を実施してください。SSHキーが漏えいすると、そのキーペアで仮想サーバーに不正にアクセスされる可能性があります。

パケットに対するアクセス制御に関する留意事項
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

パケットに対するアクセス制御

ファイアウォール

ニフクラでは、パケットに対するアクセス制御の機能として、ファイアウォールを提供しています。

アクセス制御の徹底依頼

仮想サーバーなどを配備する前に、必ず、ファイアウォールでアクセス制御を設定してください。
適切なアクセス制御を設定しないで仮想サーバーを配備した場合、不正なアクセスを受ける可能性があります。

ファイアウォールグループの概要
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

ファイアウォールグループ

ファイアウォールグループの特徴

ファイアウォールグループは、その名の通りセキュリティのルールをグルーピングできる機能です。
従来の iptables のようなパケットフィルタリングと比べて、ファイアウォールグループを設定して複数の仮想サーバーなどをまとめてアクセス制御できるため、①設定/変更が容易、②管理が容易、③複雑な構成にも簡易に対応可能といった特徴があります。
ファイアウォールグループの名称は任意に設定可能です。

ファイアウォールグループ名は半角英数字1~15文字で設定可能

ファイアウォールグループのルール

セキュリティのルールでは、①送受信の方向、②接続元/先種別、③プロトコルやポート番号を設定し、通信を許可するルールを設定できます。 送受信する接続元/先には、IPアドレス (CIDR形式でサブネットも指定可能) と、ファイアウォールグループ自体を設定できます。
接続元/接続先種別名でグループを指定した場合、グループに所属するサーバーのVMware® Toolsが正しく動作している必要があります。VMware® Toolsが動作していない場合、サーバーのIPを認識できず、通信を正常に許可できない場合があります。
ファイアウォールグループは、仮想サーバー、ルーター、拠点間VPNゲートウェイ等に設定できます。ファイアウォールグループを設定した仮想リソースに対して、どれか1つのルールでもマッチしたら、仮想サーバーなどとの通信が許可されます。ルールの順序は関係ありません。 ファイアウォールグループは、ゾーン内で共通で使えます。

1仮想リソースにファイアウォールグループ1つ設定可能

ファイアウォールグループを作成した際のデフォルトルール

ファイアウォールグループを作成した際に、デフォルトでは以下の状態となります。
Incoming:すべて拒否
Outgoing:すべて許可 (ルールを1つでも設定するとルール以外の通信はすべて拒否します。)

ルールの適用順序

パケットは、以下の順番で適用されます。
①デフォルトルール[62]
https://pfs.nifcloud.com/spec/fw/default.htm
②利用者にて定義したルール
③ファイアウォールグループのデフォルトルール
https://pfs.nifcloud.com/spec/fw/group.htm


62. デフォルトルールは、ファイアウォールグループに所属していないサーバーにも適用されます。

ファイアウォールグループの有効範囲

ファイアウォールグループは、仮想リソース単位に設定します。
複数の仮想リソースに同一のファイアウォールグループを適用することも可能です。

ファイアウォールグループの設定方法
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

ファイアウォールグループ

ファイアウォールグループのルールでロードバランサーの設定方法

マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2シリーズ) (以降IPCOM VE2シリーズと記載) はプライベートLANに接続することが可能です。その際のIPアドレスはプライベートLAN環境下では、任意のものを設定可能です。仮想サーバーに対するマルチロードバランサー、L7ロードバランサー、IPCOM VE2シリーズからの通信に関しては、設定したIPアドレスでのアクセス制御をファイアウォールのルールで実施してください。ロードバランサー(L4)に付与されたIPアドレスに関してはファイアウォールルールの設定は不要です。ニフクラのファイアウォールではロードバランサー(L4)からの通信をすべて許可しています。 ロードバランサーの各サービス自体へのアクセス制御は以下で設定してください。

  • ロードバランサー(L4):ロードバランサー(L4)用のアクセス制御機能を利用してください。

  • マルチロードバランサー:マルチロードバランサーへのアクセス制御はできないため、仮想サーバー側で実施してください。

  • L7ロードバランサー(Ivanti Virtual Traffic Manager):通常の仮想サーバーと同様、ファイアウォール機能を利用可能です。

  • IPCOM VE2シリーズ:アクセス制御機能または通常の仮想サーバーと同様、ファイアウォール機能を利用可能です。

ファイアウォールグループのルールでニフクラRDB/ニフクラNASの設定方法

ニフクラRDB/ニフクラNASはプライベートLANに接続することが可能です。その際のIPアドレスは任意のものを設定可能です。ニフクラRDB/ニフクラNASからの通信に関しては設定したIPアドレスでのアクセス制御をファイアウォールのルールで実施してください。 ニフクラRDB/ニフクラNASへのアクセス制御は以下で設定してください。

  • ニフクラRDB:DBファイアウォール

  • ニフクラNAS:NASファイアウォール

IaaS環境のファイアウォールグループとは別で管理する必要があります。
IaaS環境のファイアウォールグループを指定してアクセス許可設定も可能です。

ファイアウォールグループの制限

ファイアウォールグループには制限があります。

  • グループ数:60件/ゾーン

  • 設定ルール数:100件/グループ

  • ルールにドメインの設定不可

  • 直近1,000件または14日間までログ保存可能 (14日間経過で1日分ごとに削除) [63]


63. オプション利用で直近100,000件まで保持
ファイアウォールグループの挙動
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

ファイアウォールグループ

TCPに対する動作について

ファイアウォールルールで定義されている送信元/送信先、またはプロトコルでもファイアウォールの持つTCPの状態とパケットのTCPフラグの整合性が無い場合は、通信を拒否いたします。TCPの状態は、サーバーのネットワークインターフェースごとに管理しています。

ハーフオープン発生時の挙動について

サーバーの異常による再起動などでコネクションを確立している片側のサーバーのコネクションがリセットされてしまった場合、以下の動作をします。

  • ESTABLISHED状態の時にSYNを受信するとTCP状態の不一致を検知しファイアウォールが送信元へACKを返却します。このACKを受信すると送信元はRSTを送出しコネクションをリセットすることができます。[64]

  • SYNSENT状態時にACKを受信するとTCP状態の不一致を検知しファイアウォールが送信元へRSTを返却します。このRSTを受信することにより送信元のコネクションをリセットすることができます。

  • ESTABLISHED状態時にSYNを送信するとTCP状態の不一致を検知し、ファイアウォールが送信元へACKを返却します。このACKを受信すると、送信元はRSTを送出し、コネクションをリセットすることができます。


64. 一部の環境ではTCP状態の不一致で拒否します。 ESTABLISHED状態はタイムアウトすることにより、ハーフオープンを復旧することができます。

ハーフクローズ発生時の挙動について

TCPコネクションの片側がクローズしている状態の場合には、以下の動作をします。NAT配下でポートの再利用が想定よりも早い場合などが該当します。

  • CLOSE_WAIT状態時にSYNを受信すると、TCP状態の不一致で拒否します。CLOSE_WAIT状態はタイムアウトすることにより、ハーフクローズを復旧することができます。

非対称な通信に対する挙動について

ニフクラ上で往路と復路で異なる経路を通過する通信を行った場合、ファイアウォールは正しく状態を更新できません。
以下の構成の場合、動作を保証することはできません。

  • 送信元とは別のサーバーへ折り返すような非対称な通信
    (例:ニフクラ上のサーバーでのDSR:Direct Server Return)

  • パケットを受信したインターフェースとは、別のインターフェースで折り返すような通信
    (例:ニフクラ上のサーバーでのRPF:Reverse Path Forwarding)

ファイアウォールグループその他の留意事項
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

ファイアウォールグループ

ファイアウォールグループのルールでIPアドレスの設定方法

IPアドレスを設定する際は、一般的なCIDR形式で設定します。
x.x.x.x/32 という形式だと、IPアドレス x.x.x.x をもつ特定のサーバーとなります。
x.x.x.x/24 という形式だと、IPアドレス x.x.x.0~x.x.x.255 をもつサブネットとなります。

IPアドレス重複防止ルールについて

共通ネットワークに接続されるサーバーには、IPアドレスの重複を防止するファイアウォールルールが自動的に適用されます。(デフォルトルール同様、設定の無効化はできません。)

コネクションのタイムアウトについて

コネクションは無通信状態が続くとタイムアウトいたします。 タイムアウト値はファイアウォール上のTCP状態によって、異なります。

TCP状態に応じたタイムアウト値

  • first_packet:2分

  • opening:30秒

  • established:12時間

  • closing:2分 (一部環境では15分)

  • fin_wait:45秒

  • closed:20秒

ALGとして動作するプロトコルについて

特定のプロトコルであると判断された場合、ネットワークプロトコルを解釈し制御を行います。

特定のポート/プロトコル

  • FTP:21/tcp

  • SUN RPC:111/tcp

  • SUN RPC:111/udp

  • MS RPC:135/tcp

  • MS RPC:135/udp

認証管理に関する留意事項
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

  • ログ取得に関する留意事項

    ニフクラのサービス/機能

    留意事項

    内容

    選択値・条件

    ログ取得

    ニフクラの機能で取得可能なログ

    ニフクラの機能で主に利用する機能での取得可能なログは以下です。
    ①コントロールパネル/APIの操作ログ(アクティビティログ)
    ②ファイアウォールのアクセス拒否ログ
    ③ニフクラRDBのイベントログ
    ④拠点間VPNゲートウェイのログ
    ⑤ESS 配信ログ
    そのほかに関しては各機能の詳細を確認してください。

    ニフクラの機能で取得できないログ

    主に利用されるニフクラの機能のうち、ログが取得できないものがあります。 内容に関しては各機能の詳細を確認してください。

    以下は取得不可

    • ロードバランサー(L4)のアクセス制御ログ

    • コントロールパネル操作以外の仮想サーバー内のログ

    • オブジェクトストレージのログ

    ログ収集、ログ集約

    利用者側で必要に応じてログ収集やログ集約を行うツールを導入してください。

    ログ収集、ログ集約機能は未提供

集中管理に関する留意事項
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

ニフクラのサービス/機能

留意事項

内容

選択値・条件

インシデント管理

セキュリティのインシデント管理

サードパーティ製のソリューションサービスの Workload Security を検討してください。

ニフクラの基本機能ではセキュリティのインシデント管理の機能なし

サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security)

サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーにオプションで導入可能です。セキュリティ機能として、以下の機能があります。

  • IDS/IPS

  • Web Reputation

  • Firewall

  • 変更監視

  • ウイルス対策

  • ログ監視

本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。

ニフクラの監視サービス

ニフクラの基本監視サービスで監視できる内容は、主に仮想リソースの使用状況です。

基本監視サービスではセキュリティインシデントの監視はできない

構成管理

構成情報の提供

ニフクラでは、コントロールパネルやAPIにより、仮想リソースの情報を一覧取得することができます。

構成管理

コントロールパネルやAPIにより仮想リソースの最新の情報を取得して、必要に応じて利用者側でドキュメント化するなど、管理方式を設計してください。

脆弱性管理

脆弱性の情報収集と対応判断

ニフクラからは、OSやミドルウエアの脆弱性情報は提供しません。ただし、ニフクラを利用するにあたり影響が大きいと考えられる脆弱性に関しては別途、案内する場合があります。原則、利用者側で必要に応じて情報を取得して、脆弱性に対する対応を検討してください。

脆弱性に対する対応 (OS)

脆弱性対策のOSパッチは利用者側で必要に応じて収集して適用してください。[65]


65. ニフクラが提供するスタンダードイメージは、脆弱性の脅威によってニフクラ側でイメージを更新する場合があります。

OSの脆弱性対策で使えるOSパッチ用のサービスは提供なし

脆弱性に対する対応 (その他)

ミドルウエアなどのパッチは、利用者側で必要に応じて情報を取得して適用してください。

ニフクラRDBのパッチ適用

稼働中のニフクラRDBに対しては、基本的にパッチは適用しない方針となります。[66]


66. 脆弱性対応などで、既存運用環境に対して、メンテンスを行うことはあります。
暗号化に関する留意事項
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

  • 暗号化に関する留意事項

    ニフクラのサービス/機能

    留意事項

    内容

    選択値・条件

    暗号化

    コントロールパネル/APIの暗号化

    ニフクラコントロールパネル、APIエンドポイントのいずれも、httpsで提供しています。

    ロードバランサー

    各ロードバランサー (ロードバランサー(L4)、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2シリーズ)) は、httpsを利用できます。

    オブジェクトストレージ

    セキュリティを高めたい場合はhttpsで利用してください。

    http/httpsを選択可能

    通信経路の暗号化

    ニフクラでは、通信経路の暗号化で、IPsecVPN/SSL-VPN が可能な拠点間VPNゲートウェイ、インターネットVPN(H/W)、リモートアクセスVPNゲートウェイを提供しています。詳細はネットワークの章を参照してください。

    ストレージの暗号化

    必要に応じて利用者側でデータの暗号化を実装してください。

    ニフクラ提供のディスクは暗号化なし

不正プログラム対策に関する留意事項
作業概要

システム要件で必要なセキュリティ対策について、方式を具体化し、セキュリティ機能の方式を設計してください。

  • 不正プログラム対策に関する留意事項

    ニフクラのサービス/機能

    留意事項

    内容

    選択値・条件

    不正プログラム対策
    -サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security)

    概要

    サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーにオプションで導入可能です。セキュリティ機能として、以下の機能があります。

    • IDS/IPS

    • Web Reputation

    • Firewall

    • 変更監視

    • ウイルス対策

    • ログ監視

    本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。

    IPS/IDS (侵入防御)

    ネットワーク経由の脆弱性に対する攻撃、SQLインジェクション攻撃、XSS攻撃、及びその他のWebアプリケーションの脆弱性からコンピュータを保護します。

    Firewall

    ネットワークレイヤー2~4 までをカバーし通信を制御する、ホスト型ファイアウォールを提供します。

    ウイルス対策

    不正プログラム、ウイルス、トロイの木馬、スパイウエアなどのファイルベースの脅威からリアルタイムに保護する機能と、手動またはスケジュールで保護する機能を提供します。

    Web Reputation

    不正なURLへのアクセスをブロックすることによって、Webの脅威から保護します。

    変更監視

    コンピュータ上の特定の領域に関する変更を監視します。

    ログ監視

    OS 及びアプリケーションで生成されたログやイベントの中身を監視します。ログの中身からシステム上のポリシー違反・アプリの不具合、不正侵入などに関するイベントを検知します。

    他アンチウイルス製品との併用

    「Workload Security」 と他アンチウイルス製品は同一サーバー上で、利用することはできません。

    DDoS対応

    DDoSなどネットワーク型の攻撃には対応できません。個別にDDoS対策製品の導入を検討してください。

    Workload Security の通信

    Cloud Oneの管理サーバーと、ニフクラ上の保護対象サーバーとの通信は、以下のいずれかを選択できます。
    ①Workload Securityの保護対象サーバーとCloud Oneの管理サーバー間での双方向の通信
    ②Workload Securityの保護対象サーバーからCloud Oneの管理サーバーに対する一方向の通信
    ①②のどちらを選択しても機能差はありません。
    ①を選択した場合、Cloud Oneの管理サーバーから保護対象のサーバーへの通信が発生します。また、管理サーバーから保護対象のサーバーへアクセスが発生します。
    ②を選択した場合、保護対象サーバーから管理サーバーに対して通信します。
    以下ドキュメントも参照してください。

    • 管理サーバーから保護対象サーバーへのアクセス:4118/tcp

    • 保護対象サーバーから管理サーバーへのアクセス:443/tcp

    Proxy環境での利用

    Workload SecurityをProxy環境で使う場合は、以下を確認ください。

    プロキシサーバを経由する場合などの設定ついては、トレンドマイクロ社のオンラインヘルプを確認ください。
    2020/11/23 09:00のタイミングでその時間以降に作成したアカウントでの仕様に変更があります。
    詳細は以下のトレンドマイクロ社の案内を確認ください。[67]


    67. Trend Micro Cloud One - Workload Security の固定IPアドレス廃止予定について https://appweb.trendmicro.com/supportNews/NewsDetail.aspx?id=3962

    不正プログラム対策 - ウイルス・スパイウエア対策(ESET Server Security)

    概要

    サードパーティ製のソリューションサービスです。ニフクラに配備した仮想サーバーにオプションで導入可能です。セキュリティ機能として、以下の機能があります。

    • ウイルス・スパイウエア対策

    • サーバー保護機能

    • HIPS(ホスト型IPS)

    • Webアクセス保護    など

    本サービスは仮想サーバー上のサービスで、ネットワーク上での対策が必要なDDoS対策には適用できません。

    ウイルス・スパイウエア対策

    軽快なスキャン動作と高い検出率を実現したESET社開発のThreatSenseテクノロジーにより、メールやインターネットをはじめとした、あらゆる経路から侵入するウイルス・スパイウエアなどのマルウエアからサーバーを守ります。

    サーバー保護機能

    インストールした環境(OSやインストールされたアプリケーション)を自動的に認識し、その環境に最適な除外設定(ウイルス検査の除外設定)を追加します。[68]


    68. Windowsサーバー用プログラム

    Webアクセス保護

    悪意のあるコンテンツが含まれていることがわかっているWebページへのアクセスをブロックします。その他のすべてのWebページは、読み込み時にThreatSenseスキャンによって検査され、悪意のあるコンテンツの検出時にブロックされます。

    HIPS(ホスト型IPS)

    OSの内部で発生している事象、各アプリのアクション等を監視する機能で、脆弱性をついたゼロデイ攻撃や、ターゲット型の攻撃に対しても保護する機能を提供します。

    不正プログラム対策 -IDS

    概要

    ネットワーク上を流れるパケットを常時監視し、不正アクセスを検知し通報を行うサービスをオプションで導入可能です。
    ニフクラ上で構築されたサーバーへの様々な不正アクセスや、サーバーに仕掛けられた悪意のあるプログラム (トロイの木馬、バックドア等) の発する情報を常時監視し、ファイアウォールで防ぐことのできない攻撃も検知可能です。

    連絡方法

    「メールのみ」と「メールと電話」から選択可能です。

    検知基準

    デフォルトポリシー(Windows用ポリシー、Linux用ポリシー)、カスタムポリシーから選択可能です。

方式詳細と参考ドキュメント(アクセスコントロール)
掲載ドキュメント

詳細な方式例としてCDP (クラウドデザインパターン) や、システム構成の参考事例を記載します。

設計項目

ドキュメント掲載先

ドキュメント名または 本ドキュメント内のタイトル名

内容

(2) 主にアクセスコントロール 関連

構成サンプル

仮想リソース操作 (配備、起動・停止等)
仮想サーバーなどの構築
Webサービス提供

ロードバランサー(L4)とWeb/APサーバー、ニフクラRDBを配備した事例です。以下の適用シーンを切り口にして、事例の中で利用するニフクラのサービス/機能を記載します。

構成サンプル

WebFW ファイアウォールの実装
WebFW ファイアウォールグループ設定

構成事例の実装作業の段取りの中で、ファイアウォールについて記載します。 WebFW ファイアウォールグループ設定

構成サンプル

ファイアウォールグループの作成

構成事例の実装作業の段取りの中で、ファイアウォールについて記載します。

CDP

インターネットから参照できるように仮想サーバーを配備するパターンです。仮想サーバーをインターネットからアクセスできるようにするための、もっとも基本的なファイアウォールグループの設定を記載します。

CDP

フラットな構成のネットワークで、ファイアウォールグループでセキュリティを高める例を記載します。

方式詳細と参考ドキュメント(暗号化)
掲載ドキュメント

詳細な方式例としてCDP (クラウドデザインパターン) や、システム構成の参考事例を記載します。

設計項目

ドキュメント掲載先

ドキュメント名または 本ドキュメント内のタイトル名

内容

(5) 暗号化関連

構成サンプル

ロードバランサー(L4)の実装

構成事例の実装作業の段取りの中で、プライベートLANの作成などを記載します。

CDP

Webサービスで、性能、信頼性を考慮した構成を実現したい場合のパターンです。

本ドキュメント

拠点間VPNゲートウェイ 接続事例

IPsecVPN/SSL-VPN接続の接続事例を記載します。 拠点間VPNゲートウェイ、インターネットVPN(H/W)、リモートアクセスVPNゲートウェイの接続事例を記載しています。

CDP

IPsecVPN接続を記載したパターンです。

方式詳細と参考ドキュメント(暗号化その他)
外部ドキュメント

その他、以下の外部ドキュメントを参照してください。

設計項目

ドキュメント掲載先

ドキュメント名

内容

(5) 暗号化関連

Trend Micro社[69]


69. 社外サイトのため、リンク先が変更されている可能性があります。

Cloud One - Workload Security ビジネスサポート

製品仕様やFAQがまとめて掲載されています。
https://success.trendmicro.com/jp/product-support/cloud-one-workload-security

Trend Micro Cloud One Documentation

Workload Securityのオンラインドキュメント
https://cloudone.trendmicro.com/docs/jp/workload-security/
ポート番号、URL、及びIPアドレス
https://cloudone.trendmicro.com/docs/jp/workload-security/communication-ports-urls-ip/
ファイアウォールルールの作成
https://cloudone.trendmicro.com/docs/jp/workload-security/firewall-rules-create/
Windows Server 2016にWorkload Securityをインストールした後にWindows Defenderを無効にする (不正プログラム対策)
https://cloudone.trendmicro.com/docs/jp/workload-security/anti-malware-windows-defender/
iptablesでエージェントを使用する
https://cloudone.trendmicro.com/docs/jp/workload-security/iptables/

5.システム構成・環境

システム構成・環境に関する作業概要

カテゴリ項目ごとの作業概要

カテゴリ 項目

作業

ニフクラでの作業概要

備考

システム構成・環境

システム構成設計

システム構成を設計する際に、各種設定の制限値を確認してください。仮想リソースが不足する場合、上限が開放可能なサービスもあります。
詳細は以下を参照してください。
→本ドキュメント内「主な制限事項」を参照

オンプレミスと同様に設計してください。
(記載は省略します。)

システム処理関連図設計

オンプレミスと同様に設計してください。 [70]


70. 物理サーバーが仮想サーバーに置き換わるだけで、設計手法は変わりません。

システム構成・環境規約の検討

仮想環境のシステム構成を設計する際に、仮想リソースに付ける名称の規約を設計してください。仮想リソースの命名の際に使用できる文字については、以下を参照してください。
→本ドキュメント内「命名時に使用可能な文字一覧 」参照

ハードウエア構成設計

オンプレミスで行うハードウエア構成設計と同じように、ニフクラの仮想環境構成を設計してください。仮想環境の構成設計を行う際に必要な構成項目は、以下を参照してください。
→本ドキュメント内の各種「構成管理項目」参照

ハードウエア構成一覧の作成

オンプレミスと同様に一覧を作成してください。 [71]


71. 物理サーバーが仮想サーバーに置き換わるだけで、作成手法は変わりません。

ソフトウエア構成設計

仮想サーバー上に導入するソフトウエアは、利用者の責任範囲になります。利用者側で、ニフクラ上で動作可能か、ライセンス数はいくつ必要か等、確認してください。
→本ドキュメント内の各種「ソフトウエア構成設計」参照

ソフトウエア構成一覧の作成

オンプレミスと同様に一覧を作成してください。

ハードウエア・ソフトウエア導入計画の具体化

オンプレミスと同様に、仮想リソースやソフトウエアの導入計画を検討し、スケジュールや役割分担、体制について具体化してください。

ハードウエア・ソフトウエアの手配・管理

オンプレミスと同様に、仮想リソースやソフトウエアを手配し、管理してください。

ソフトウエア構成設計(OS)
作業概要

仮想サーバー上に導入するソフトウエアは、利用者の責任範囲になります。利用者側で、ニフクラ上で動作可能か、ライセンス数はいくつ必要か等確認してください。

留意事項区分

留意事項

内容

選択値・条件

Microsoft

Windows Server [72]


72. SPLAライセンスで提供

Windows7やWindows10等のクライアントOSはSPLAライセンス上NGとなります。
Windows Server2003のOSなどレガシーOSもVMインポートで持込は可能[73]ですが、セキュリティ上推奨しません。

[74]


73. ライセンスはニフクラからのSPLA提供
74. VMインポート時、OS以外のライセンスについては別途購入元に持込可否の確認、持込申請方法の確認/実施を行って利用してください。

VMインポート時OS以外のミドルウェア等のSPLA提供は非対応

Red Hat Enterprise Linux

サブスクリプション提供

ニフクラが提供する Red Hat Enterprise Linuxはサブスクリプション契約を包括して提供しています。そのため別途サブスクリプションを購入する必要はありません。 [75]


75. サブスクリプションのみ別途購入することはできません。

Red Hat Cloud Access

ニフクラはRed Hat認定クラウドプロバイダーのため、Red Hat Cloud Accessにより”Bring Your Own Subscription”が可能で、利用者保有のOSイメージの持込が可能です。[76] [77]


76. サポートは Red Hat社から提供されます。
77. VMインポートにて持ち込んだサーバーはRed Hat CloudAccessを利用してください。

VMインポートにて持ち込んだサーバーはニフクラのサブスクリプション利用不可

その他OSライセンス

利用者にて確認

ニフクラが提供していないOS、インポート検証済みOS以外のOSの場合でも、VMインポートの条件を満たせば、VMインポートが可能です。 [78] [79] [80]


78. ライセンスの持込可否に関しては提供元に確認してください。
79. 検証済みOS以外のVMインポートについては、サーバー及びコントロールパネルの動作保障がありません。事前に入念な検証を実施してください。
80. インポート検証済みOS以外のOSを利用する場合は利用者責任のもと、実施してください。

その他MWライセンス

利用者にて確認

その他のMWの持込などもニフクラでは制限していません。
持込可否、動作要件の購入元への確認、事前検証等を行い必要に応じて利用してください。

ソフトウエア構成設計(ミドルウエア)
作業概要

仮想サーバー上に導入するソフトウエアは、利用者の責任範囲になります。利用者側で、ニフクラ上で動作可能か、ライセンス数はいくつ必要か等確認してください。

留意事項区分

留意事項

内容

選択値・条件

Oracle利用パターン

ニフクラOVMを利用

Oracle Databaseに関しては、ニフクラOVMを利用してOracle Databaseライセンスを持ち込むことができる仮想サーバーを所定の方法で作成し、そのサーバーにOracle Databaseをインストールして利用できます。

IBM (MQ、ノーツ等)

基本的に利用不可

IBM社に詳細を確認の上、導入可否を検討してください。

IBM社製品はILMTを利用する限り、ニフクラ上への持ち込み不可

Microsoft

License Mobility

ソフトウエア アシュアランスによるLicense Mobilityに対応しているソフトウエアは、適切に持ち込み対応を行うことで、ニフクラに持ち込み可能です。

Office製品の持ち込み

ニフクラのパブリックIaaS環境にはボリュームライセンスなどでのOffice製品は持ち込み不可能です。SPLAライセンスで提供しているOfficeを利用してください。

Hyper-Vの利用不可

ニフクラ環境では再仮想化を禁止事項としているため利用不可となります。

システム構成:参考ドキュメント
掲載ドキュメント

ニフクラ上の仮想リソースの制限値、命名時に使用可能な文字一覧、仮想リソースごとの構成管理項目を記載します。

区分

ドキュメント掲載先

本ドキュメント内のページタイトル

内容

(1) システム 構成関連

本ドキュメント内

  • 主な制限事項(仮想サーバー/ルーター/ゲートウェイ/IP)

  • 主な制限事項(ファイアウォール/負荷分散/拠点間接続)

  • 主な制限事項(ニフクラエンジニアリングパーツ)

ニフクラで提供する仮想リソースの制限値を記載します。

本ドキュメント内

  • 命名時に使用可能な文字一覧

ニフクラで提供する仮想リソースを命名する際に使用可能な文字一覧を記載します。

(2) ハードウェア構成関連

本ドキュメント内

  • ニフクラの基本的なシステム構成例

  • 仮想サーバーの構成管理項目例

  • SSHキーの構成管理項目例

  • 増設ディスクの構成管理項目例

  • カスタマイズイメージの構成管理項目例

  • プライベートLANの構成管理項目例

  • ルーターの構成管理項目例

  • ネットワーク/ルートテーブルの構成管理項目例

  • SNAT/DNATの構成管理項目例

  • Webプロキシの構成管理項目例

  • DHCPの構成管理項目例

  • 拠点間

  • VPN

  • ゲートウェイの構成管理項目例

  • 拠点間

  • VPN

  • ゲートウェイの詳細構成管理項目例

  • VPNコネクションの構成管理項目例

  • ファイアウォールの構成管理項目例

  • ファイアウォールのIN/OUTルールの構成管理項目例

  • ロードバランサー(L4)の構成管理項目例

  • ニフクラRDBの構成管理項目例

  • DBファイアウォールの構成管理項目例

  • ニフクラNASの構成管理項目例

  • 専有エンドポイントの構成管理項目例

  • オブジェクトストレージの構成管理項目例

  • 追加NICの構成管理項目例

以下の仮想リソースの構成管理項目を記載します。

システム構成:参考ドキュメント (外部ドキュメント)

その他以下の外部ドキュメントを参照してください。

区分

ドキュメント名

ドキュメント掲載先

内容

(3) ソフトウエア構成関連

Microsoft社のミドルウエアのLicense Mobility

Microsoft社

Microsoft社のミドルウエアについては、ソフトウエア アシュアランスによるLicense Mobilityに対応するミドルウエアは、ニフクラ上にライセンス持込みが可能です。

主な制限事項(基本サービス/サーバー・ディスク機能)

リソース

制限値

制限値緩和

仮想サーバー

1ニフクラIDあたり(台)

~20

可能(要相談) 

一部サーバータイプの作成台数 [81]


81. ゾーン毎に作成台数の上限があり、サーバータイプの変更ができない場合があります。
  • qlarge256

  • slarge256

  • olarge256

  • olarge384

  • olarge512

仮想CPU (vCPU) 数

1仮想サーバー(vCPU) [82]


82. 仮想CPU(vCPU)数とメモリ容量は、あらかじめ指定された組み合わせの中からしか選択できません。

~28

 

メモリ容量

1仮想サーバー(GB) [83]


83. 仮想CPU(vCPU)数とメモリ容量は、あらかじめ指定された組み合わせの中からしか選択できません。

~256

ディスク

ローカルディスク(Windows)(GB)

80

ローカルディスク(Linux)(GB)

30

ローカルディスク(VMインポート) (GB)

~500(インポート時実容量)

[84]


84. ローカルディスクがフラッシュ対応ゾーンの場合は2000GB、フラッシュ非対応ゾーンの場合は1000GBまでプロビジョニング可能

1仮想サーバーあたりで増設可能な増設ディスク台数(本)

~14

標準フラッシュドライブ[A/B](GB)

100~1,000 (100GB単位)

[85]  


85. east-11,east-12,east-13,east-14,east-31,west-13,jp-west-21の標準フラッシュドライブ、高速フラッシュドライブとeast-11,east-12,east-13,east-14,east-31,east-41,west-11,west-13の標準ディスク、高速ディスクのみ作成最大容量が2,000GB(100GBごと)まで作成可能。

高速フラッシュドライブ[A/B](GB)

標準ディスク(GB)

高速ディスク[A/B](GB)

フラッシュドライブ(GB)

ワンデイスナップショット

1仮想サーバーあたり(世代)

1

 

カスタマイズイメージ

保存可能数(イメージ/ゾーン/ニフクラID)

~20

可能(要相談)

配布先の数(ニフクラID数)

~10

ISOイメージ

最大アップロードサイズ/1イメージ(GiB)

4.7

利用可能期間(時)

24

ゾーンごとのアップロード可能数(イメージ)

5

バックアップ [86]


86. 利用リージョンの混雑状況により、希望の時間帯でバックアップ設定ができない場合があります。

保持可能なバックアップ世代数(世代)

1~10

バックアップ時間単位(時間)

2

選択可能なサーバータイプ

  • qlarge256

  • slarge256

  • olarge256

  • olarge384

  • olarge512

    以外

バックアップ可能最大容量(TB)

1.1

更新差分量(GB)

50

[87]


87. バックアップ対象サーバーの更新差分量は、50GB以内が目安となります。更新差分量によっては、バックアップ処理が失敗する場合があります。

サーバーセパレート

分離サーバー数/ルール(サーバー)

~2

重複ルール数/サーバー(ルール)

~2

ルール数/ID/ゾーン(ルール)

~6

主な制限事項(ネットワーク機能)

リソース

制限値

制限値緩和

ルーター

1ゾーンあたり(個)

~5

可能(要相談)

ネットワーク数/1ルーター(個)

~7

ルートテーブル数/1ルーター(個)

1

ルーター/プライベートLAN(個)

1

NATテーブル数/1ルーター(個)

1

Webプロキシ数/1ルーター(個)

1

ルート数、NAT数/テーブル(ルール)

~80

DHCPコンフィグ、オプション/1プライベートLAN(個)

1

プライベートLAN

1ゾーンあたり(個)

~7

追加NIC

作成最大数/ゾーン(個)

~40

設定数/1サーバー(個)

~6

IPアドレス数

グローバルIPアドレス/仮想サーバー(個)

1

プライベートIPアドレス/仮想サーバー(個) [88]


88. 追加NIC利用時(基本:1個、追加NIC:6個)

7

グローバル側付替IPアドレス/1ゾーン (個)

~20

プライベート側付替IPアドレス/1ゾーン (個)

~20

マルチIPアドレス

作成可能マルチIPアドレスグループ数/1ゾーン (個)

~2

保持可能なIPアドレス数/1マルチIPアドレスグループ (個)

~10

ファイアウォール

グループ数/1ゾーン (件)

~60

ルール数/1グループ (個)

~100

ログ取得/1グループ (件)

1,000

可能(100,000)

ロードバランサー(L4)

リージョンごとのロードバランサー(L4)数 (個)

~6×ゾーン

グローバルIP数/1ロードバランサー(L4) (個)

1

ポート設定数/1ロードバランサー(L4) (個)

~3

共有可能なニフクラID数 (個)

~10

帯域 (Mbps)

10~2,000

マルチロードバランサー

マルチロードバランサー数/1ゾーン(個)

~5

グローバルIP数/1ロードバランサー(個)

1

ルートテーブル数/1ロードバランサー(個)

1

ポート設定数/1ロードバランサー(個)

~3

共有可能なニフクラID数(個)

0

帯域(Mbps)

10~500

拠点間VPNゲートウェイ

1ゾーンあたり(個)

~5

可能(要相談)

拠点間VPNゲートウェイ/プライベートLAN

1

ルートテーブル数/1拠点間VPNゲートウェイ(個)

1

VPNコネクション数/1拠点間VPNゲートウェイ(拠点)

~50

ルート数/1拠点間VPNゲートウェイ(個)

~80

対向側MACアドレス数(MAC) L2TPv3/IPsec接続時

~20

可能(~300)

リモートアクセスVPNゲートウェイ

1ゾーンあたり(個)

~7

コネクション数/1リモートアクセスVPNゲートウェイ

~1000

作成可能なユーザー数(ユーザー)

1024

ログ情報表示(件)

~100

ダイレクトポート

プライベートLAN/スイッチポート(個)

1

スイッチポート/プライベートLAN(口)

~5

専有エンドポイント

作成可能数(エンドポイント)

~10

最大同時リクエスト数
(リクエスト/秒)

~50

シグネチャーバージョン

2

専有エンドポイントFWグループ設定数(個)

~25

専有エンドポイントFWルールの
設定数 (個)

~100

専有エンドポイントFWルールの
IN/OUT設定

INのみ

プライベートブリッジ

作成可能プライベートブリッジ数

~50

作成可能コネクター数

プライベートLANと同数

プライベートブリッジあたりのMACアドレス上限

~500

主な制限事項(セキュリティ機能/監視/サポートサービス)

リソース

制限値

制限値緩和

CA証明書

アップロード数

~20

基本監視
監視対象種別:サーバー

監視ルール アラート通知先(件)

~5

監視ルールの監視内容設定(件)

~5

作成可能監視ルール(件)

~10

基本監視
監視対象種別:ロードバランサー

監視ルール アラート通知先(件)

~5

監視ルールの監視内容設定(件)

1

作成可能監視ルール(件)

~10

基本監視
監視対象種別:マルチロードバランサー

監視ルール アラート通知先(件)

~5

監視ルールの監視内容設定(件)

1

作成可能監視ルール(件)

~10

基本監視
監視対象種別:ディスクパーティション

監視ルール アラート通知先(件)

~5

監視ルールの監視内容設定(件)

~5

主な制限事項(ストレージ/NASサービス)

リソース

制限値

制限値緩和

オブジェクトストレージ

ボリューム上限/1オブジェクト(ファイル)(TB)

~5

オブジェクト数
(オブジェクト/バケット)

~20,000,000

APIリクエスト頻度(リクエスト/秒) [89]


89. 推奨値

~50

ニフクラNAS

高速タイプ1領域容量(TB)

1~10

 

標準タイプ1領域容量(GB)

100~1,000

合計容量上限/ゾーン(TB)

~10

可能(要相談)

NASファイアウォールグループ(個)

~25

NASファイアウォールルール数/NASファイアウォールグループ(ルール)

~25

主な制限事項(エンジニアリングパーツ(PaaS))

リソース

制限値

制限値緩和

ニフクラRDB

作成可能数 (台)

~10

可能 (要相談)

ディスク (GB)

50~250

可能 (~650)

DBパラメーターグループ (個)

~50

DBファイアウォールグループ (個)

~25

DBファイアウォールルール数/DBファイアウォールグループ (ルール)

~100

ESS(メール配信)

送信元メールアドレス、送信元ドメイン登録数 (ID)

~1,000

メール最大容量 (MB/通)

~10

SMTPインターフェースの送信数 (宛先/1リクエスト)

~500

SMTPインターフェースの性能制限 (宛先/分)

~10,000

APIインターフェースの送信数 (宛先/1リクエスト)

~50

APIインターフェースの性能制限 (1リクエスト/秒)

~0.1

DNS

ゾーン登録数(ゾーン)

~500

レコード数/ゾーン(個)

~10,000

タイマー

実行回数/タイマー/日(回)

~1,440

作成可能タイマー数(件)

~30

取得可能な実行履歴件数/タイマー(件)

~1,000 (かつ1年以内)

設定可能なメール通知回数/1時間 (回)

~1

命名時に使用可能な文字一覧

リソース

設定項目

長さ

主な制約事項

その他備考

仮想サーバー

サーバー名

1~15

半角英数字

メモ

~40

全半角

管理者アカウント

6~20

半角英数字

WindowsOS利用時

管理者パスワード

6~32

半角英数字

WindowsOS利用時

SSHキー

SSHキー名

6~32

半角英数字

パスフレーズ

6~32

半角英数字

メモ

~40

全半角

増設ディスク

ディスク名

1~32

半角英数字

メモ

~40

全半角

ワンデイスナップショット

スナップショット名

1~40

半角英数字

メモ

~40

全半角

カスタマイズイメージ

イメージ名

1~40

半角英数字、ピリオド、アンダースコア、半角スペース

メモ

~40

全半角

プライベートLAN

プライベートLAN名

1~15

半角英数字

メモ

~500

全半角

ISOイメージ

ISOイメージ名

1~15

半角英数字

メモ

~500

全半角

バックアップ

バックアップルール名

1~15

半角英数字

メモ

~500

全半角

ルーター

ルーター名

1~15

半角英数字

メモ

~500

全半角

拠点間VPNゲートウェイ

拠点間VPNゲートウェイ名

1~15

半角英数字

メモ

~500

全半角

リモートアクセスVPNゲートウェイ

リモートアクセスVPNゲートウェイ名

1~15

半角英数字

メモ

~500

全半角

カスタマーゲートウェイ

カスタマーゲートウェイ名

1~15

半角英数字

メモ

~500

全半角

VPNコネクション

事前共有鍵

1~64

半角英数字、記号「-+&!@#$%^*(),.:_」

メモ

~500

全半角

追加NIC

メモ

~500

全半角

ファイアウォール

ファイアウォールグループ名

1~15

半角英数字

メモ

~40

全半角

ロードバランサー(L4)

ロードバランサー名

1~15

英数字

メモ

~40

全半角

マルチロードバランサー

マルチロードバランサー名

1~15

英数字

メモ

~500

全半角

専有エンドポイント

専有エンドポイント名

1~63

半角英数字、ハイフン

メモ

~255

全半角

プライベートブリッジ

メモ

~500

全半角

コネクター

メモ

~500

全半角

オブジェクトストレージ

バケット名

3~63

  • 小文字英数字、ピリオド、ハイフン

  • 始まりの文字が英数字

  • 末尾の文字がハイフンでないこと

  • ピリオドが連続しないこと

  • ピリオドとハイフンが連続しないこと

  • IPアドレス形式でないこと

フォルダー名

1023byte

「/」を含まないこと、バケット名を含まないパス全体の長さが1023byte以内

ファイル

1024bype

「/」を含まないこと、バケット名を含まないパス全体の長さが1024byte以内

基本監視

監視ルール名

1~15

半角英数字

メモ

~40

全半角

ニフクラRDB

DBサーバー名

1~63

半角英数字

DB名

1~64

半角英数字、アンダースコア

マスターユーザー名

1~16

半角英数字、アンダースコア

マスターユーザーのパスワード

1~41

半角英数字

DBファイアウォール

DBファイアウォールグループ名

1~255

半角英数字、ハイフン

メモ

~255

全半角

DBスナップショット

DBスナップショット名

1~255

半角英数字、ハイフン

DBパラメータグループ

DBパラメータグループ名

1~255

半角英数字、ハイフン

メモ

~255

全半角

RDB:イベント通知

イベント通知名

1~255

半角英数字、ハイフン

通知先メールアドレス

1~255

半角英数記号

メモ

~255

全半角

ニフクラNAS

NAS名

1~63

半角英数字、ハイフン

メモ

~255

全半角

マスターユーザー名

1~32

半角英数字、アンダースコア

CIFS利用時

マスターユーザーパスワード

1~128

半角英数字、「/@"'スペース」を除く記号

CIFS利用時

NASファイアウォール

NASファイアウォールグループ名

1~255

半角英数字、ハイフン、アンダースコア、スペース

メモ

~255

全半角

ESS(メール配信)

送信元メールアドレス

1~255

半角英数記号

送信元ドメイン

1~255

半角英数記号

サーバーセパレート

サーバーセパレートルール名

1~15

半角英数字

メモ

~40

全半角

DNS

ゾーン名

1~255

全半角

ドメイン名

1~63
1~16

半角の場合
全角の場合

タイマー

タイマー名

1~15

半角英数字

メモ

~40

全半角

通知先メールアドレス

~512

(任意,カンマ区切り)

CA証明書

メモ

~40

全半角

マルチIPアドレス

マルチIPアドレスグループ名

1~15

半角英数字

メモ

~500

全半角

ニフクラの基本的なシステム構成例

image

ニフクラの基本的なシステム構成例を示します。この構成例において必要な構成管理項目を、項目ごとに記載します。

仮想サーバーの構成管理項目例

項目

設定値例

内容

その他備考

サーバーユニークID

(生成されたユニークID)

生成された仮想サーバーユニークIDを記録します。

仮想サーバー名

webap01

仮想サーバー名を記録します。

タイプ

h2-small

サーバータイプを記録します。

ゾーン

east-14

仮想サーバーを設置するゾーンを記録します。

OS

CentOS 8.0 64bit Plain

仮想サーバー作成時に選択したOS情報を記録します。

(CentOS 64bit)

作成日時

YYYY/MM/DD 00:00:00

仮想サーバーの作成日時を記録します。

料金プラン

従量

仮想サーバーの料金プランを記録します。

ファイアウォール

webapFW

仮想サーバーに適用しているファイアウォールグループを記録します。

SSHキー

sshkey

仮想サーバー作成時に選択したSSHキー名を記録します。

Linux系OS利用時

作成元イメージ

image01

カスタマイズイメージからサーバーを作成した場合作成元イメージ名を記録します。

コピー元サーバー

copysv01

サーバーコピーでサーバーを作成した場合コピー元サーバー名を記録します。

超過ディスクサイズ

0GB

インポートしたVMイメージにおいてローカルディスクサイズの基本ディスク容量を超過している場合、100GB単位で超過ディスクサイズを記録します。

メモ

Web/APサーバー

メモを記載します。

ディスク

webapdisk01

仮想サーバーにアタッチしている増設ディスクを記録します。

複数記録可能

管理者アカウント

testadmin

サーバー作成時に設定した管理者アカウント名を記録します。

WindowsOS利用時

管理者パスワード

******

サーバー作成時に設定した管理者パスワードを記録します。
パスワードは別途管理することも検討してください。

WindowsOS利用時

VMware® Tools 稼動状況

起動中

VMware® Toolsの稼動状況を表示します。

VMware® Tools バージョン 

xx.x.xx

VMware® Toolsのバージョンを表示します。

10.1.15以上の場合

共通グローバル

(付与されたIPアドレス)

グローバルIP利用時、付与されたグローバルIPアドレスを記録します。

プライベート

プライベートLAN:privatelan
IPアドレス:192.168.1.10

  • 共通プライベートの場合、付与されたプライベートIPアドレスを記録します。

  • プライベートLANの場合、プライベートLAN名とプライベートIPアドレスを記録します。

プライベートLAN選択項目

  • 自動割り当て :ルーター(DHCP機能)より、DHCPコンフィグに従わずIPアドレスを払い出します。

  • 指定する:IPアドレスを指定し、ルーター(DHCP機能)より、指定したIPアドレスを払い出します。

  • 指定しない:IPアドレスを指定せず、ルーター(DHCP機能)より、DHCPコンフィグに従いIPアドレスを払い出します。または、ルーター(DHCP機能)を利用せず、OS側の設定に従いIPアドレスを設定します。

ロードバランサー (L4)

lb01

ロードバランサー(L4)に設定しているサーバーの場合、ロードバランサー名を記録します。

マルチロードバランサー

mlb01

マルチロードバランサーに設定しているサーバーの場合、マルチロードバランサー名を記録します。

SSHキーの構成管理項目例

項目

設定値例

内容

その他備考

SSHキー名

sshkey

SSHキー名を記録します。

フィンガープリント

(生成されたフィンガー プリント)

生成されたフィンガープリントを記録します。

サーバー

webap01

SSHキーを設定しているサーバーを記録します。

複数記録可能

メモ

Web/APサーバー用

メモを記載します。

増設ディスクの構成管理項目例

項目

設定値例

内容

その他備考

ディスク名

webapdisk01

増設ディスク名を記録します。

タイプ

標準ディスク

ディスクタイプを記録します。

容量

100GB

増設ディスクの容量を記録します。

接続先

webap01

アタッチしている仮想サーバー名を記録します。

ゾーン

east-14

増設ディスクを設置するゾーンを記録します。

作成日時

YYYY/MM/DD 00:00:00

増設ディスクの作成日時を記録します。

料金プラン

従量

増設ディスクの料金プランを記録します。

メモ

Web/APサーバー用ディスク01

メモを記載します。

カスタマイズイメージの構成管理項目例

項目

設定値例

内容

その他備考

イメージ名

webapimage

カスタマイズイメージ名を記録します。

OS

CentOS

カスタマイズイメージのOS種別を記録します。

アーキテクチャ

64bit

カスタマイズイメージのアーキテクチャを記録します。

イメージ種別

プライベート

カスタマイズイメージのイメージ種別を記録します。

イメージID

(生成されたID値)

生成されたイメージIDを記録します。

ゾーン

east-14

カスタマイズイメージを設置するゾーンを記録します。

作成日時

YYYY/MM/DD 00:00:00

カスタマイズイメージの作成日時を記録します。

再配布

再配布の可否を記録します。

メモ

Web/APサーバーイメージ

メモを記載します。

イメージの説明

0904image

イメージの説明を記載します。

プライベートLANの構成管理項目例

項目

設定値例

内容

その他備考

プライベートLAN名

privatelan

プライベートLAN名を記録します。

ネットワークID

(生成されたユニークID)

生成されたネットワークIDを記録します。

ゾーン

east-14

プライベートLANを設置するゾーンを記録します。

CIDR

192.168.1.0/24

CIDR情報を記録します。

料金プラン

従量

プライベートLANの料金プランを記録します。

作成日時

YYYY/MM/DD 00:00:00

プライベートLANの作成日時を記録します。

サーバー

webap01

プライベートLANに所属するサーバー名を記録します。

複数記録可能

ルーター

router01

プライベートLANに所属するルーター名を記録します。

拠点間VPNゲートウェイ

vpngw01

プライベートLANに所属する拠点間VPNゲートウェイ名を記録します。

マルチロードバランサー

mlb01

プライベートLANに所属するマルチロードバランサー名を記録します。

複数記録可能

追加NIC

(生成されたID)、192.168.2.10

プライベートLANに適用する追加NICのIDとIPアドレスを記録します。

複数記録可能

ルーターの構成管理項目例

項目

設定値例

内容

その他備考

ルーター名

router01

ルーター名を記録します。

ルーターID

(生成されたID値)

生成されたルーターIDを記録します。

タイプ

router.small

ルーターのタイプを記録します。

ゾーン

east-14

ルーターを設置するゾーンを記録します。

料金プラン

従量

ルーターの料金プランを記録します。

作成日時

YYYY/MM/DD 00:00:00

ルーターの作成日時を記録します。

バージョン

V3.2

ルーターのバージョン情報を記録します。

ロールバック有効期限

YYYY/MM/DD 12:00:00

ルーターのロールバック有効期限を記録します。

ファイアウォール

routerFW

ルーターに適用しているファイアウォールグループ名を記録します。

メモ

ルーター

メモを記載します。

ネットワーク

共通グローバル、privatelan

ルーターが所属するネットワーク情報を記録します。後述

複数記録可能

ルートテーブル

後述

SNAT

後述

DNAT

後述

Webプロキシ

後述

DHCPコンフィグ

後述

ネットワーク/ルートテーブルの構成管理項目例
  • ネットワークの構成管理項目例

    項目

    設定値例

    内容

    その他備考

    ネットワーク名

    privatelan

    ルーターが所属するネットワーク名を記録します。

    IPアドレス

    192.168.1.3

    ルーターが所属するネットワークに接続されるNICのIPアドレスを記録します。

    IP帯

    192.168.1.0/24

    ルーターが所属するネットワークのIP帯を記録します。

    DHCP

    無効

    DHCPの状態を記録します。

    DHCPコンフィグ

    (DHCPコンフィグID)

    DHCPコンフィグを設定している場合、設定しているDHCPコンフィグIDを記録します。

    DHCPオプション

    (DHCPオプションID)

    DHCPオプションを設定している場合、設定しているDHCPオプションIDを記録します。

  • ルートテーブルの構成管理項目例

    項目

    設定値例

    内容

    その他備考

    ルートテーブルID

    (ルートテーブルID)

    ルートテーブル作成時に生成されるルートテーブルIDを記録します。

    優先度

    1

    優先度情報を記録します。

    設定しているルート数分記録

    デスティネーション

    192.168.3.0/24

    デスティネーション情報を記録します。

    ターゲット

    192.168.2.3

    ターゲット情報を記録します。

SNAT/DNATの構成管理項目例
  • SNATの構成管理項目例

    項目

    設定値例

    内容

    その他備考

    NATテーブルID

    (NATテーブルID)

    NATテーブル作成時に生成されるルートテーブルIDを記録します。

    優先度

    1

    優先度情報を記録します。

    設定しているSNAT数分記録

    プロトコル

    ALL

    プロトコルを記録します。

    接続元

    192.168.1.11

    SNATを利用する接続元IPアドレスを記録します。

    アウトバウンド

    共通グローバル

    アウトバウンドネットワークを記録します。

    変換後

    (変換後IPアドレス)

    変換後のIPアドレス情報を記録します。

  • DNATの構成管理項目例

    項目

    設定値例

    内容

    その他備考

    NATテーブルID

    (NATテーブルID)

    NATテーブル作成時に生成されるNATテーブルIDを記録します。

    優先度

    1

    優先度情報を記録します。

    設定しているDNAT数分記録

    プロトコル

    ALL

    プロトコルを記録します。

    インバウンド

    共通グローバル

    インバウンドネットワークを記録します。

    送信先

    (送信先のIPアドレス)

    送信先のIPアドレス情報を記録します。

    変換後

    192.168.1.11

    変換後のIPアドレス情報を記録します。

Webプロキシの構成管理項目例

項目

設定値例

内容

その他備考

受け側ネットワーク

privatelan

Webプロキシの受け側となるネットワーク名を記録します。

受け側ポート

8080

Webプロキシの受け側のポートを記録します。

迂回側ネットワーク

共通グローバル

Webプロキシの迂回側ネットワーク名を記録します。

DNS

(DNSのIPアドレス)

Webプロキシで利用するDNSサーバーのIPアドレスを記録します。

メモ

webプロキシ情報

メモを記載します。

DHCP の構成管理項目例

項目

設定値例

内容

その他備考

DHCPコンフィグID

(DHCPコンフィグID)

DHCPコンフィグ作成時に生成されるルートテーブルIDを記録します。

プライベートLAN

privatelan

DHCPコンフィグを適用するプライベートLAN名を記録します。

複数記録可能

開始IPアドレス

192.168.1.11

DHCPコンフィグで付与するIPアドレスの開始IPアドレスを記録します。

終了IPアドレス

192.168.1.30

DHCPコンフィグで付与するIPアドレスの終了IPアドレスを記録します。

メモ

DHCPコンフィグ情報

メモを記載します。

拠点間 VPN ゲートウェイの構成管理項目例

項目

設定値例

内容

その他備考

拠点間VPNゲートウェイ名

vpngw01

拠点間VPNゲートウェイ名を記録します。

拠点間VPNゲートウェイID

(生成されたID)

生成された拠点間VPNゲートウェイIDを記録します。

タイプ

vpngw.small

拠点間VPNゲートウェイのタイプを記録します。

ゾーン

east-14

拠点間VPNゲートウェイを設置するゾーンを記録します。

料金プラン

従量

拠点間VPNゲートウェイの料金プランを記録します。

作成日時

YYYY/MM/DD 00:00:00

拠点間VPNゲートウェイの作成日時を記録します。

バージョン

V3.2

拠点間VPNゲートウェイのバージョン情報を記録します。

ロールバック有効期限

YYYY/MM/DD 12:00:00

拠点間VPNゲートウェイのロールバック有効期限を記録します。

ファイアウォール

vpngwFW

拠点間VPNゲートウェイに適用しているファイアウォールグループ名を記録します。

メモ

拠点間VPNゲートウェイ

メモを記載します。

ネットワーク

共通グローバル、privatelan

拠点間VPNゲートウェイが所属するネットワーク情報を記録します。後述

2ネットワーク

ルートテーブル

後述

拠点間 VPN ゲートウェイの詳細構成管理項目例
  • ネットワークの構成管理項目例

    項目

    設定値例

    内容

    その他備考

    ネットワーク名

    privatelan

    拠点間VPNゲートウェイが所属するネットワーク名を記録します。

    2ネットワーク記録
    (共通グローバルとプライベートLAN)

    IPアドレス

    192.168.1.5

    拠点間VPNゲートウェイが所属するネットワークに接続されるNICのIPアドレスを記録します。

    IP帯

    192.168.1.0/24

    拠点間VPNゲートウェイが所属するネットワークのIP帯を記録します。

    メモ

    プライベートLAN

    メモを記載します。

  • ルートテーブルの構成管理項目例

    項目

    設定値例

    内容

    その他備考

    ルートテーブルID

    (ルートテーブルID)

    ルートテーブル作成時に生成されるルートテーブルIDを記録します。

    優先度

    1

    優先度情報を記録します。

    設定しているルート数分記録

    デスティネーション

    192.168.3.0/24

    デスティネーション情報を記録します。

    ターゲット

    192.168.2.3

    ターゲット情報を記録します。

  • カスタマーゲートウェイの構成管理項目例

    項目

    設定値例

    内容

    その他備考

    カスタマーゲートウェイ名

    cmgw01

    カスタマーゲートウェイ名を記録します。

    接続拠点分記録

    作成日時

    YYYY/MM/DD 00:00:00

    カスタマーゲートウェイの作成日時を記録します。

    対向機器LAN側IPアドレス帯

    192.168.4.0/24

    対向機器のLAN側IPアドレス帯を記録します。 [90]


    90. L2TPv3/IPsecの場合該当項目なし

    対向機器LAN側IPアドレス

    (対向機器LAN側IPアドレス)

    対向機器LAN側IPアドレスを設定した場合、該当IPアドレスを記録します。

VPNコネクションの構成管理項目例

項目

設定値例

内容

その他備考

拠点間VPNゲートウェイ名

vpngw01

拠点間VPNゲートウェイ名を記録します。

カスタマーゲートウェイ名

cmgw01

カスタマーゲートウェイ名を記録します。

作成日時

YYYY/MM/DD 00:00:00

VPNコネクション作成日時を記録します。

コネクションステータス

接続済み

コネクションステータスを記録します。

最終変更日時

YYYY/MM/DD 00:00:00

最終変更日時を記録します。

接続方式

VTI / IPsec

接続方式を記録します。

IKEバージョン

IKEv1

IKEバージョンを記録します。

暗号化アルゴリズム

AES128

暗号化アルゴリズムを記録します。

認証アルゴリズム

SHA1

認証アルゴリズムを記録します。

MTUサイズ

1500

MTUサイズを記録します。

事前共有鍵

******

事前共有鍵を記録します。

IKE lifetime

28800

IKE SAのLifetimeを記録します。

ESP lifetime

3600

IPsec SAのLifetimeを記録します。

DH Group

2 (1024-bit MODP Group)

PFSで利用するDH Groupを記録します。

メモ

VPNコネクション情報

メモを記載します。

トンネルタイプ

L2TPv3

トンネルタイプを記録します。

L2TPv3/IPsecの場合記録

モード

Managed

モードを記録します。

カプセル化方式

UDP

カプセル化方式を記録します。

トンネルID

(トンネルID)

トンネルIDを記録します。

セッションID

(セッションID)

セッションIDを記録します。

ポート

  • 拠点間VPNゲートウェイ 1701

  • カスタマーゲートウェイ 1701

ポートを記録します。

ファイアウォールの構成管理項目例

項目

設定値例

内容

その他備考

ファイアウォールグループ名

webapFW

ファイアウォールグループ名を記録します。

ルール数

5

ファイアウォールグループに設定しているルール数を記録します。

適用台数

1

ファイアウォールグループに適用している台数を記録します。

ゾーン

east-14

ファイアウォールグループを配備するゾーンを記録します。

ログ取得件数

1,000件

ログの取得件数を記録します。

メモ

ファイアウォールグループ

メモを記載します。

INルール

後述

OUTルール

後述

サーバー

webap01

ファイアウォールグループを適用しているサーバー名を記録します。

複数記録可能

ルーター

router01

ファイアウォールグループを適用しているルーター名を記録します。

複数記録可能

拠点間VPNゲートウェイ

vpngw01

ファイアウォールグループを適用している拠点間VPNゲートウェイ名を記録します。

複数記録可能

ファイアウォールの IN/OUT ルールの構成管理項目例
  • INルールの構成管理項目例

    項目

    設定値例

    内容

    その他備考

    プロトコル

    TCP

    許可するプロトコルを記録します。

    ルール数分記録

    ポート

    22-22

    許可するポート番号を記録します。

    接続元種別

    IP/CIDR

    許可する接続元の種別を記録します。

    IPアドレス・グループ

    (接続元IPアドレス)

    許可する接続元のIPアドレス・グループ情報を記録します。

    追加日時

    YYYY/MM/DD 00:00:00

    ルールの追加日時を記録します。

    メモ

    SSH用ルール

    メモを記載します。

  • OUTルールの構成管理項目例

    項目

    設定値例

    内容

    その他備考

    プロトコル

    TCP

    許可するプロトコルを記録します。

    ルール数分記録

    ポート

    3306-3306

    許可するポート番号を記録します。

    接続先種別

    IP/CIDR

    許可する接続先の種別を記録します。

    IPアドレス・グループ

    192.168.1.30

    許可する接続先のIPアドレス・グループ情報を記録します。

    追加日時

    YYYY/MM/DD 00:00:00

    ルールの追加日時を記録します。

    メモ

    RDP用ルール

    メモを記載します。

ロードバランサー(L4)の構成管理項目例

項目

設定値例

内容

その他備考

ロードバランサー名

lb01

ロードバランサー(L4)名を記録します。

IPアドレス

(付与されたIPアドレス)

ロードバランサー(L4)に付与されたIPアドレス情報を
記録します。

ポート

80→80

ロードバランサー(L4)のポート番号を記載します。

サーバー数

2

ロードバランサー(L4)からの振り分け対象サーバーの台数を
記録します。

料金プラン

従量

ロードバランサー(L4)の料金プランを記録します。

最大ネットワーク流量

10Mbps

ロードバランサー(L4)のネットワーク流量を記録します。

ロードバランス方式

Round-Robin

ロードバランサー(L4)のロードバランス方式を記録します。

PINGプロトコル

TCP:80

ロードバランサー(L4)のヘルスチェックに利用するPINGプロトコルを記録します。

タイムアウトまでのヘルスチェック回数

1~10回

ロードバランサー(L4)のヘルスチェック閾値を記録します
ロードバランサー(L4)のヘルスチェックについてを参照ください。

ヘルスチェック間隔

30秒

ロードバランサー(L4)のヘルスチェック間隔を記録します。

SSLアクセラレーター

無効

ロードバランサー(L4)でSSLアクセラレーターの利用可否を記録します。

暗号ポリシー

Standard

ロードバランサー(L4)の暗号ポリシーを記録します。

SSLセキュリティポリシー

ロードバランサー(L4)のSSLセキュリティポリシーを表示 します。

SSLアクセラレーター有効時

セッション固定 (Sticky Session)

有効/セッション保持時間:3分

ロードバランサー(L4)のセッション固定の利用可否、セッション固定方式を記録します。

Sorryページ

有効/HTTPレスポンスコード:200

ロードバランサー(L4)のSorryページの利用可否、レスポンスコードを記録します。

作成日時

YYYY/MM/DD 00:00:00

ロードバランサー(L4)の作成日時を記録します。

メモ

Web/APサーバー用

メモを記載します。

サーバー情報

webap01、webap02

ロードバランサー(L4)の振り分け対象にしているサーバー名を記録します。

複数記録可能

フィルター情報

許可/拒否:許可 アクセス元IP:(アクセス元IP)

ロードバランサー(L4)のフィルターを設定している場合はフィルター情報を記録します。

複数記録可能

ニフクラRDBの構成管理項目例

項目

設定値例

内容

その他備考

DBサーバー名

db01

ニフクラRDBのDBサーバー名を記録します。

タイプ

h2-small4

ニフクラRDBのタイプを記録します。

DBエンジン

mysql5.7.15

ニフクラRDBのDBエンジンを記録します。

種別

マスターDB

ニフクラRDBの種別を記録します。

ディスク容量

50 GB

ニフクラRDBのディスク容量を記録します。

ゾーン

east-14

ニフクラRDBを配備するゾーンを記録します。

DB名

dbtest

ニフクラRDBのDB名を記録します。

DBパラメーターグループ

default.mysql5.7

ニフクラRDBに適用するDBパラメーターグループを記録します。

DBファイアウォール

dbFW

ニフクラRDBに適用するDBファイアウォールを記録します。

CA証明書

rdb-ca-2018

ニフクラRDBに設定されているCA証明書を記録します。

グローバルIPアドレス

(付与されたIPアドレス)

ニフクラRDBに付与されたグローバルIPアドレス情報を記録します。

グローバルIPアドレス利用時のみ

プライベートIPアドレス

192.168.1.30

ニフクラRDBのプライベートIPアドレスを記録します。

ポート

3306

ニフクラRDBにアクセスする際に利用するポート番号を記録します。

ディスクタイプ

HDD

ニフクラRDBに付与したディスクのタイプを記録します。

マスターユーザー名

nifadm

ニフクラRDBのマスターユーザー名を記録します。

冗長化

シングル構成

ニフクラRDBの冗長化の有無を記録します。

バックアップ保持期間

5日

ニフクラRDBの自動バックアップの保持期間を記録します。

自動バックアップ

Yes

ニフクラRDBの自動バックアップの実施有無を記録します。

メンテナンス時間

金曜日 3時0分 ~

ニフクラRDBのメンテナンス時間を記録します。

バックアップ時間

2:00 ~

ニフクラRDBの自動バックアップ時間を記録します。

リードレプリカ

なし

ニフクラRDBのリードレプリカの有無を記録します。

料金プラン

従量

ニフクラRDBの料金プランを記録します。

DBファイアウォールの構成管理項目例

項目

設定値例

内容

その他備考

DBファイアウォールグループ名

default.east-14

DBファイアウォールグループ名を記録します。

ゾーン

east-14

DBファイアウォールグループを配備するゾーンを記録します。

ルール数

1

DBファイアウォールグループに設定されているルール数を記録します。

メモ

DBサーバー用

メモを記載します。

接続元種別

グループ

DBファイアウォールグループで許可する接続元種別を記録します。

ルール数分記録

IPアドレス・グループ

webapFW

DBファイアウォールグループで許可するIPアドレス・グループを記録します。

ニフクラNASの構成管理項目例
  • ニフクラNASの構成管理項目例

    項目

    設定値例

    内容

    その他備考

    NAS名

    nas01

    ニフクラNASのNAS名を記録します。

    プロトコル

    NFS

    ニフクラNASで利用するプロトコル名を記録します。

    NAS容量

    100GB

    ニフクラNASの容量を記録します。

    グローバル

    (付与されたIPアドレス)

    ニフクラNASに付与されたグローバルIPアドレスを記録します。

    プライベート

    192.168.1.40

    ニフクラNASのプライベートIPアドレスを記録します。

    ゾーン

    east-14

    ニフクラNASを配備するゾーンを記録します。

    NASタイプ

    標準タイプ

    ニフクラNASのタイプを記録します。

    NASファイアウォールグループ名

    default.east-14

    ニフクラNASに適用するNASファイアウォールグループ名を記録します。

    プライベート側ネットワーク

    privatelan

    ニフクラNASが所属するプライベート側ネットワーク情報を記録します。

    作成日時

    YYYY/MM/DD 00:00:00

    ニフクラNASの作成日時を記録します。

    root squash設定

    root_squash

    NFSのときにroot権限での使用を有効にするか無効にするかを記録します。

    メモ

    NAS

    メモを記載します。

  • NASファイアウォールの構成管理項目例

    項目

    設定値例

    内容

    その他備考

    NASファイアウォールグループ名

    default.east-14

    NASファイアウォールグループ名を記録します。

    ルール数

    1

    NASファイアウォールグループに設定されているルール数を記録します。

    適用台数

    1

    NASファイアウォールグループに適用している台数を記録します。

    ゾーン

    east-14

    DBファイアウォールグループを配備するゾーンを記録します。

    メモ

    NAS用

    メモを記載します。

    接続元種別

    CIDR

    NASファイアウォールグループで許可するIPアドレス・グループを記録します。

    ルール数分記録

    IPアドレス・グループ

    192.168.1.0/24

    NASファイアウォールグループで許可するIPアドレス・グループを記録します。

専有エンドポイントの構成管理項目例
  • 専有エンドポイントの構成管理項目例

    項目

    設定値例

    内容

    その他備考

    専有エンドポイント名

    mydepinstance

    専有エンドポイントの名前を入力します。リージョン内で一意である必要があります。

    ゾーン

    east-14

    専有エンドポイントが作成されるゾーンを選択します。

    専有エンドポイントFW

    depfwgroup1

    専有エンドポイントに適用する専有エンドポイントFWグループを選択します。

    プライベートLAN

    privatelan

    専有エンドポイントをプライベートLANに所属させるプライベートLANを指定します。

    プライベートIPアドレス

    192.168.1.50

    専有エンドポイントのプライベートIPアドレスを入力します。 [91]


    91. DHCPコンフィグON (プラベートIPアドレス自動割当) のルーター内であっても指定したプライベートIPアドレスで専有エンドポイントが作成されます。自動割り当てされたプライベートIPアドレスは1日経過した後に開放されます。

    専有エンドポイントの接続先サービス

    com.nifcloud.jp-east-2.storage.api

    専有エンドポイントの接続先サービスを選択します。

    メモ

    専有エンドポイント

    専有エンドポイントに対するメモを設定します。

  • 専有エンドポイントFWグループの構成管理項目

    項目

    設定値例

    内容

    その他備考

    専有エンドポイントFW名

    mydepinstance

    専有エンドポイントFWグループの名前を入力します。

    ゾーン

    east-14

    専有エンドポイントFWグループが作成されるゾーンを選択します。

    メモ

    専有エンドポイントFWグループ作成

    メモを入力します。
    メモは任意の文字を設定できるので、利用用途等の情報を設定しておくことで便利に利用できます。

    接続元種別

    CIDR

    専有エンドポイントFWグループの接続元の種別を表示します。

    IPアドレス、グループ

    192.168.1.0/24

    接続元として許可しているIPアドレス・グループを表示します。

オブジェクトストレージの構成管理項目例
  • オブジェクトストレージの構成管理項目例

    項目

    設定値例

    内容

    その他備考

    バケット名

    nifcloud-bucket-01

    専有エンドポイントの名前を入力します。リージョン内で一意である必要があります。

    公開レベル

    private

    専有エンドポイントが作成されるゾーンを選択します。

  • 公開レベルはプルダウンで以下三種類から選択可能
    private:ログインしているIDのみ読み書き可能
    public-read:外部のインターネットから読み込みのみ可能
    authenticated-read:API認証の通ったユーザー全体に対して読み込みのみ可能

  • バケット名は、オブジェクトストレージ、ニフクラストレージそれぞれのサービスで一意の名称となります。そのため、同じ名称がすでにほかのユーザーで使用されていると利用できません。

追加 NIC の構成管理項目例

項目

設定値例

内容

その他備考

NIC ID

(生成されたID)

追加NICのIDを記録します。

ネットワーク名

privatelan2

追加NICが所属するプライベートLANを記録します。

IPアドレス

192.168.2.10

追加NICのIPアドレスを記録します。

ステータス

使用中

追加NICのステータスを記録します。

ゾーン

east-14

追加NICのゾーンを記録します。

MACアドレス

(付与されたMACアドレス)

追加NICが付与されたMACアドレス情報を記録します。

使用中の場合

接続先サーバー名

webap01

追加NICが付与された接続先サーバー名を記録します。

使用中の場合

接続ステータス

接続中

追加NICの接続ステータスを記録します。

使用中の場合

メモ

webap01用追加NIC

メモを記載します。

導入のご相談はお電話でも受け付けております。

0120-22-1200

0120-22-1200

受付時間:9:00~17:45(土日祝・当社指定の休業日を除く)
※携帯電話・PHSからもご利用可能