本文へジャンプします。

TOP

ニフクラSEハンドブック

クラウド トップ>SEハンドブック>ニフクラ設計・構築ガイド(ネットワーク)

ニフクラ設計・構築ガイド (ネットワーク)

目次

ドキュメント情報

区分

ネットワーク設計・構築

リリース日

2022年7月1日

留意事項

2022 年 3 月時点の機能をもとに作成しております。
機能は順次エンハンスされますので、検討時にはニフクラホームページにて最新情報を確認ください。

■ニフクラホームページ

https://pfs.nifcloud.com/

はじめに

  • 本ドキュメントの目的

    • ニフクラのネットワーク構成の知識を習得することを目的としています。

  • 本ドキュメントの読者

    • ニフクラを利用するシステムの要件定義を行う方

  • 前提知識

    • ネットワーク関する基本的な知識

    • セキュリティに関する基本的な知識

    • ニフクラの機能に関する基本的な知識

  • 本ドキュメントの注意事項

    • 本ドキュメントは、2022年3月時点の機能をもとに作成しています。ニフクラは継続的にエンハンスが行われるクラウドサービスです。

  • ニフクラサービスの変更は最新のドキュメントを参照してください。

アイコンの説明
  • 本ドキュメント構成図に使用されているアイコンは下記の通りとなります。

  • リージョン及びゾーンについて特に記載がなければ、単一リージョン、単一ゾーン構成を示します。

  • 構成図内の名称は略称で記載されている場合があります。(下記()内が略称の例)

image

image

用語説明

本ドキュメントに記載されている構成図に利用する用語とその略称は以下の通りです。以降、略称を利用する項目に関して、略称で記載しています。

image

ニフクラネットワーク構成

最小構成(gloNW、priNW)①(FWルール適用なし)

image

構成概要

以下のリソースを利用して構成すると、インターネット⇔仮想サーバー間で通信が可能です。

留意事項
  • 仮想サーバー配備時には、グローバルネットワークとプライベートネットワークの利用が可能です。

  • グローバルネットワーク利用時には、ニフクラからDHCPでIPアドレスが割り当てられます。サーバーに払い出されるグローバルIPアドレス帯はニフクラホームページで公開されています。

  • プライベートネットワークでは共通プライベートネットワークか、別途作成したプライベートLANを選択可能です。

  • DHCPによりグローバルIPアドレスを付与する際、デフォルトゲートウェイも付与されるため、利用者でルーティング設定などを行うことなくインターネットとの通信が可能です。

  • ファイアウォールグループについては以降を参照してください。

最小構成(gloNW、priNW)①(FWルール適用あり)

image

ファイアウォール作成時点のデフォルトルール

ルール

設定

Incoming

すべて拒否

Outgoing

すべて許可(ルールを1つでも設定すると、それ以外の通信は拒否)

構成概要
  • ファイアウォールグループによる通信制御

    • 適用しているリソースにおいて、プロトコル(TCP、UDP、ICMP、GRE、ESP、AH、VRRP、L2TP、RDP、SSH、HTTP、HTTPS、ICMPv6-all)、ポート番号、Incoming/Outgoingでアクセス許可を制御する機能です。仮想サーバー、ルーター、拠点間VPNゲートウェイに適用可能で、複数リソースを同一グループに所属させることが可能です。

留意事項
  • ファイアウォールグループでアクセス制御を実施しない場合、不正なアクセスを受ける可能性があります。ファイアウォールグループでシステム要件に合わせて、適切なアクセス制御を実施してください。

  • ファイアウォールグループは各リソースに1つのみ適用が可能です。グローバルネットワーク側、プライベート側ともに、1つのファイアウォールグループでアクセスを制御します。

  • ニフクラ上で往路と復路で異なる経路を通過する通信を行った場合、ファイアウォールは正しく状態を更新できません。

  • 以下の構成の場合、動作を保証することはできません。

    • 送信元とは別のサーバーへ折り返すような非対称な通信。(例:ニフクラ上のサーバーでのDSR:Direct Server Return)

    • パケット受信したインターフェースとは別のインターフェースで折り返すような通信。 (例:ニフクラ上のサーバーでのRPF:Reverse Path Forwarding)

最小構成(gloNW、priNW)②

image

構成図補足
Web/AP用FWG

Web/AP用ファイアウォールグループにてインターネットからの通信を許可

DB用FWG

DB用ファイアウォールグループにて、Web/AP用ファイアウォールグループからのみ許可

構成概要

以下のリソースを使用して構成すると、インターネットからのアクセスはWeb/APサーバーのみ、DBサーバーへのアクセスはWeb/APサーバーからのみとすることが可能です。

留意事項
  • 本構成では直接DBサーバーからインターネット通信は不可能となります。インターネットへのアクセスが必要な場合はグローバルIPアドレスを付与して、ファイアウォールグループでアクセス制御を実施するか、別途プロキシサーバーを構築する等を検討してください。

  • DBサーバーへインターネットから接続できないため、メンテナンスなどでの経路をどうするか検討してください。(コンソールを利用する、拠点間VPNゲートウェイやプライベート接続サービス※1を利用する等)

  • Web/APサーバー、DBサーバーは同一のネットワーク帯となるため、サーバー間通信は別途利用者にてルーティング設定を行うことなく通信可能です。
    ※ 本ドキュメントでは、「ダイレクトポート」、「プライベートアクセス」の総称を「プライベート接続サービス」と表記します。「プライベート接続サービス」は、ニフクラ上での正式な呼称ではないため注意してください。

多階層構成①:gloNW、1仮想ルーター、2PVLAN

image

構成図補足
ルーター用FWG

Web/AP用、DB用ファイアウォールグループからのみ許可という設定が可能です。

構成概要

以下のリソースを使用して構成すると、インターネットからのアクセスはWeb/APサーバーのみ、DBサーバーへのアクセスはWeb/APサーバーからのみとすることが可能です。

留意事項
  • 本構成では直接DBサーバーからインターネット通信は不可能となります。インターネットへのアクセスが必要な場合はグローバルIPアドレスを付与して、ファイアウォールグループでアクセス制御を実施するか、別途プロキシサーバーを構築する等を検討してください。

  • DBサーバーへインターネットから接続できないため、メンテナンスなどでの経路をどうするか検討してください。(コンソールを利用する、拠点間VPNゲートウェイやプライベート接続サービスを利用する等)

  • プライベートLAN①、②では指定するネットワーク帯が重複しないようにしてください。

  • Web/APサーバーからDBサーバーへの通信、DBサーバーからWeb/APサーバーへの戻りの通信を行うために、それぞれの仮想サーバーにルーティングの設定を行う必要があります。

多階層構成②:gloNW、1仮想ルーター、3PVLAN

image

構成図補足
追加NIC

追加NICにより、複数のプライベートLANに所属することが可能です。

構成概要

以下のリソースを使用して構成すると、監視やバックアップなどサービス以外の管理用のLANを別途、利用する構成で、オンプレミスのような構成を実現することが可能です。

留意事項
  • 本構成ではWeb/AP、DBで利用するサービス用のLAN以外に、バックアップ、監視、ログ収集など、管理用のLANを別途、利用する構成となっています。各仮想サーバーで追加NICを利用して新たなプライベートLANへの接続を追加することにより実装可能となります。オンプレミスでのシステム構成をそのまま維持したい場合などに有用です。

  • 管理用のプライベートLANを別途構築しても、サービス用のプライベートLANとは別に帯域を確保できるわけではないため留意してください。物理的な帯域は他ユーザーと共有となります。

複数ニフクラID 構成

image

構成図補足
プライベートブリッジ

プライベートブリッジを利用して異なるニフクラIDで作成したプライベートLAN同士をL2で接続することが可能です。

構成概要

east-1、east-3、west-1、jp-west-2リージョン内の異なるゾーン、同一ゾーンであれば、ニフクラID間をインターネット経由ではなくプライベートブリッジを利用してプライベートLAN間をL2で接続して、プライベートでの通信が可能です。

留意事項
  • プライベートブリッジは、east-1、east-3、west-1、jp-west-2リージョン以外のリージョンでは利用できません。

  • プライベートブリッジで接続するプライベートLAN同士は、同一のIPアドレス帯となるようにしてください。

  • プライベートブリッジで接続されるプライベートLANに所属する仮想リソースでは、IPアドレスの重複に留意してください。

複数ゾーン 構成①

image

構成概要

east-1、west-1リージョン内の異なるゾーン間(同一ゾーン内でも可)をインターネット経由ではなく、プライベートブリッジを利用してプライベートLAN間をL2で接続して、プライベートでの通信が可能です。

留意事項
  • プライベートブリッジは、east-1、east-3、west-1、jp-west-2リージョン以外のリージョンでは利用できません。

  • プライベートブリッジで接続するプライベートLAN同士は、同一のIPアドレス帯となるようにしてください。

  • プライベートブリッジで接続されるプライベートLANに所属する仮想リソースでは、IPアドレスの重複に留意してください。

複数ゾーン 構成②

image

構成図補足

異なるゾーン間で同一のファイアウォールグループは利用不可能

同一ゾーン内であれば同一のファイアウォールグループを利用可能

ゾーン間の通信制御
  • ファイアウォール機能を利用してアクセス制御が可能です。

    • 同一ゾーン内であれば同一のファイアウォールグループに所属させることが可能です。(同一のファイアウォールグループに所属するリソースであればルールにかかわらず通信を許可します。)

    • 異なるゾーン間では同一のファイアウォールグループを利用できません。そのためそれぞれのゾーンで適切にファイアウォールグループの設定を行ってください。

複数リージョン構成

image

構成概要
  • 異なるリージョン間でセキュアに通信を行いたい場合は、以下の方法等があります。

    • プライベートブリッジを利用する。

    • 拠点間VPNゲートウェイ/インターネットVPN(H/W)を利用してインターネット越しにIPsecVPNで接続する。

    • プライベート接続サービスを利用する。プライベート接続サービスについての詳細は、以下のドキュメントを参照してください。「ニフクラ設計・構築ガイド(ニフクラプライベート接続サービス)」
      ※プライベートアクセスfor Digital enhancedEXchange(DEX)・プライベートアクセスfor SINET・拠点間VPNゲートウェイに接続されたプライベートLAN同士を、プライベートブリッジなどの接続サービスによって接続することはできません。

オブジェクトストレージ構成:グローバルネットワーク経由

image

同一リージョンのオブジェクトストレージへの通信

同一リージョンのリソースからオブジェクトストレージを利用する際は、グローバルネットワーク経由となりますが、データセンター構内で折り返し通信となります。

留意事項

異なるリージョンのオブジェクトストレージへ通信する場合は、インターネット経由となります。

オブジェクトストレージ構成:専有エンドポイント経由

image

セキュアにオブジェクトストレージを利用

専有エンドポイントを経由することで、インターネットを経由せず、プライベートLANからセキュアにオブジェクトストレージを利用することができます。別リージョンの場合でも独自閉域網でセキュアな接続を実現可能です。

留意事項

専有エンドポイントは冗長化されています。ただし、障害発生時は5分を目安として、切り替えのための停止が発生します。

負荷分散構成(外部)

image

構成概要
  • インターネットからの通信を負荷分散するには、ロードバランサー(L4)、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2シリーズ)を利用して実現が可能です。本例ではロードバランサー(L4)について記載します。

  • インターネットからのアクセスをロードバランサーから、グローバルネットワークを経由して対象のサーバーへ負荷分散します。

留意事項
  • ロードバランサー(L4)ではプライベートネットワーク経由では負荷分散できないため留意してください。

  • 負荷分散対象の仮想サーバーはグローバルIPアドレスが必要となります。

  • インターネットからロードバランサー(L4)への通信は、ロードバランサー(L4)のアクセス制御機能を用いて制御してください。

  • 負荷分散対象の仮想サーバーにてファイアウォール機能を用いて、ロードバランサー(L4)のIPアドレスを許可する設定は不要です。ニフクラのファイアウォールはロードバランサー(L4)からの通信をすべて許可しています。

負荷分散構成(内部①):実現可能構成

image

構成図補足
A

2つのプライベートLANにマルチロードバランサーを接続して負荷分散可能

B

1つのプライベートLANにマルチロードバランサーを接続して負荷分散可能

構成概要

ニフクラ内の仮想サーバーから別の仮想サーバー群へグローバルネットワークを経由せずに、負荷分散するには、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2シリーズ)を利用して実現が可能です。本例ではマルチロードバランサーについて記載します。

留意事項
  • マルチロードバランサー自体ではアクセス制御を実装できません。分散対象サーバーにて実装してください。

  • マルチロードバランサーを経由した場合のアクセス元IPアドレスは以下となります。

    マルチロードバランサーを「2つのネットワーク」に接続した場合(2arm構成)(サーバー①からサーバー④ABへの負荷分散)

    IPアドレスは透過されます。そのためアクセス元IPアドレスは、マルチロードバランサーにアクセスしてきたIPアドレスとなります。

    マルチロードバランサーを「1つのネットワーク」に接続した場合(1arm構成)(サーバー②からサーバー④ABへの負荷分散)

    IPアドレスは透過されません。そのためアクセス元IPアドレスは、マルチロードバランサーのIPアドレスとなります。

負荷分散構成(内部①):実現不可能構成

image

構成図補足
A

マルチロードバランサーが所属するプライベートLAN上の仮想サーバーでないため負荷分散不可能

構成概要

ニフクラ内の仮想サーバーから別の仮想サーバー群へグローバルネットワークを経由せずに、負荷分散するには、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2シリーズ)を利用して実現が可能です。本例ではマルチロードバランサーについて記載します。

留意事項
  • マルチロードバランサーの仕様により実現できない構成があります。留意してください。

    • マルチロードバランサーと異なるネットワークに所属するサーバーの負荷分散はできません。

      • サーバー②からサーバー⑤ABへの負荷分散構成は実現できません。サーバー⑤ABがマルチロードバランサーに付与しているネットワークに所属していないためです。

負荷分散構成(内部②)

image

構成図補足
A

ルーターを経由して別セグメント且つ、ニフクラ以外のサーバーに対しても負荷分散可能

B

ニフクラ以外のサーバーからニフクラ内のサーバーに対しても負荷分散可能

構成概要

ニフクラ内の仮想サーバーから別の仮想サーバー群へグローバルネットワークを経由せずに、負荷分散するには、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2シリーズ)を利用して実現が可能です。本例ではL7ロードバランサーについて記載します。L7ロードバランサーはサードパーティ製のソリューションサービスとなります。

留意事項
  • L7ロードバランサーは仮想サーバー上で動作しています。そのためOS上でルーティングの設定などが可能です。OS上の設定は利用者責任範囲となります。また、L7層の負荷分散に対応していることにより柔軟な設定が可能な分、複雑となります。サポート問い合わせ時、利用者側で切り分けが必要なことが多々あります。留意してください。

  • マルチロードバランサーで実装不可能となっていた構成も実現可能となります。

負荷分散構成(複数ゾーン)

image

構成概要

ロードバランサー(L4)を利用することにより、複数のゾーンを利用した負荷分散が可能です。また、プライベートブリッジを利用することによりプライベートLAN経由でゾーン間のデータ同期などが可能です。

留意事項
  • マルチロードバランサーでは複数のゾーンを対象に負荷分散構成とすることはできません。

  • L7ロードバランサー(Ivanti Virtual Traffic Manager)では複数のゾーンを対象に負荷分散構成とすることは可能ですが、構成によってはL7ロードバランサー自体が単一ポイントの構成となる場合があるため、構成に関しては十分に検討してください。

ロードバランサー(L4)留意事項
  • 同一リージョンの複数のゾーンに配備された仮想サーバーに負荷分散してアクセスすることが可能です。

  • 作成可能なロードバランサー(L4)数は、リージョンごとに6個×ゾーン数となります。ロードバランサー(L4)1つにつき1個のグローバルIPと、3個のポート設定が可能です。

  • ロードバランサー(L4)では、ニフクラ内のグローバルIPアドレスを持つ仮想サーバーを負荷分散対象として設定が可能です。プライベート側から/プライベート側への負荷分散には対応していません。

  • 10Mbps~2,000Mbpsの帯域を利用可能です。帯域は、複数コネクションでの最大帯域となっており、単一のコネクションでは契約の帯域を使い切れない場合もあります。

  • HTTP(80)、HTTPS(443)且つSSLアクセラレーターを利用してのアクセス(80)の場合、ヘッダー情報「X-Forwarded-For」に送信元のIPアドレス情報が付与されます。

  • 暗号化SUITEとして、standard、atsから選択が可能です。Apple社のAppStoreでアプリケーションを公開する必要がある場合はatsを選択してください。

  • ロードバランサー(L4)ではL4層の負荷分散が可能です。アクセス先のURLに含まれるドメイン名やパス等に応じて負荷分散条件を設定するL7層の負荷分散はできません。

  • 負荷分散のポリシーとして以下が設定可能です。

    バランスポリシー

    ラウンドロビンとリーストコネクションの設定が可能です。

    セッション固定

    ソースIPアドレスを元にセッションをサーバーに固定することが可能です。セッションの保持時間は3~60分で設定が可能です。

  • Sorryページヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、且つ、他の負荷分散可能な仮想サーバーが存在しなかった場合、ニフクラ側で用意した定型メッセージを表示できます。
    ※Sorryページは、待ち受けポートが(80/tcp)の場合のみ利用が可能です。

マルチロードバランサー留意事項
  • 同一ゾーン内の仮想サーバーに負荷分散してアクセスすることが可能です。複数のゾーンに配備された仮想サーバーに負荷分散してアクセスすることはできません。

  • 作成可能なマルチロードバランサー数は、1IDにつき5個/ゾーンとなります。マルチロードバランサー1つにつき1個のグローバルIPと、3個のポート設定が可能です。

  • グローバル側の負荷分散、プライベート側への負荷分散も可能になります。マルチロードバランサーと異なるネットワークに所属するサーバーへの負荷分散はできません。

  • 10Mbps~500Mbpsの帯域を利用可能です。

  • 1arm構成でHTTP、HTTPS且つSSLアクセラレーターを利用してのアクセスの場合、ヘッダー情報「X-Forwarded-For」に送信元のIPアドレス情報が付与されます。2arm構成の場合はアクセス元のIPアドレスが透過されます。

  • 暗号化SUITEとして、atsに対応しています。

  • マルチロードバランサーではL4層の負荷分散が可能です。アクセス先のURLに含まれるドメイン名やパス等に応じて負荷分散条件を設定するL7層の負荷分散はできません。

  • ルートテーブルの設定として、マルチロードバランサーに適応可能なルートテーブルは、設定されているルートのターゲットがIPアドレスの場合のみ適応可能です。

  • マルチロードバランサーがグローバル接続をしている際は、デフォルトルートが設定されているルートテーブルは適応できません。

  • 負荷分散のポリシーとして以下が設定可能です。

    バランスポリシー

    ラウンドロビンとリーストコネクションの設定が可能です。

    セッション固定

    ソースIPアドレス、cookieを元にセッションをサーバーに固定することが可能です。セッションの保持時間は3~60分で設定が可能です。

  • Sorryページヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、且つ、他の負荷分散可能な仮想サーバーが存在しなかった場合のリダイレクト情報を設定することによりSorryページを表示させることが可能です。
    ※Sorryページは、待ち受けポートがHTTP/HTTPSの場合に利用でき、ポートは任意に設定可能です。レスポンスコードは302になります。
    ※リダイレクト先は別途用意する必要があります。

L7ロードバランサー(Ivanti Virtual Traffic Manager)留意事項
  • 同一リージョンの複数のゾーンに配備された仮想サーバーに負荷分散してアクセスすることが可能です。L7ロードバランサーはサードパーティ製のソリューションサービスとなります。
    ※利用者にて、セットアップ手順書及びインストーラーを図研ネットウエイブ株式会社のサイトよりダウンロードし、インストールの作業を行う必要があります。

  • グローバル側の負荷分散、プライベート側への負荷分散も可能になります。ネットワーク構成によりL7ロードバランサーを構成するOS上で適切なルーティング設定などが必要です。

  • 10Mbps~2Gbpsの帯域を利用可能です。利用するシリーズにより異なります。

  • HTTP、HTTPS且つSSLアクセラレーターを利用してのアクセスの場合、ヘッダー情報「X-Cluster-Client-Ip」に送信元IPアドレスが付与されます。「X-Forwarded-For」に変更することも可能です。HTTPSアクセスでSSLアクセラレーターをロードバランサーで行わない場合も、設定により独自ヘッダーを付与し、アクセス元IPの取得も可能です。

  • 暗号化SUITEとして、atsに対応しています。

  • L4層に限らず、L7層での負荷分散にも対応しています。

  • IP Transparencyを利用する場合に、バックエンドノードへのアクセスとして共通グローバル、または共通プライベートを利用することはできません。IP Transparencyを利用する場合にはL7ロードバランサー、バックエンドノードともにプライベートLANを利用する必要があります。

  • マルチIPアドレスを利用することで、グローバルIPアドレスを持ったL7ロードバランサーの冗長化が可能です。

  • 負荷分散のポリシーとして以下が設定可能です。

    バランスポリシー

    Round Robin、Weighted Round Robin、Perceptive、Least Connections、Weighted Least Connections、Fastest Response Time、Random Nodeが設定可能です。

    セッション固定

    HTTP、HTTPS対応:Transparent session affinity、Monitor application cookies、J2EE、ASP及びASP.net、X-Zeus-Backencookies
    SSLプロトコル:SSL Session ID persistence

  • Sorryページヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、且つ、他の負荷分散可能な仮想サーバーが存在しなかった場合のリダイレクト情報を設定することによりSorryページを表示させることが可能です。ページのカスタマイズも可能で、Virtual Server設定ごとにHTTP/HTTPS/他プロトコルで利用可能です。レスポンスコードは500(FIN送信も可能)となります。HTTP/HTTPS以外はFIN送信となります。

統合ネットワークサービス(IPCOM VE2シリーズ)留意事項
  • LS、LSPLUSシリーズでサーバー負荷分散機能が利用できます。

  • グローバル側の負荷分散、プライベート側への負荷分散も可能になります。

  • 柔軟な負荷分散方法が可能です。機能の詳細は「 データシート 」を参照してください。

  • プライベートLAN環境下でのみ冗長化が可能となります。その他、プライベートLANの利用が必須となる機能の詳細は「 スタートガイド 」を参照してください。

  • サーバー負荷分散やアドレス変換の機能で複数のグローバルIPアドレスを設定する時は、マルチIPの利用が必須となります。詳細は「 データシート 」を参照してください。

  • IPCOMの構成例は、「 スタートガイド 」の「7 構成例」を参照してください。

マルチIPアドレス構成(マルチサイト)

image

構成概要

マルチIPアドレスを利用することにより、一つのサーバーに複数のグローバルIPアドレスを付与することが可能です。

留意事項
  • 指定したIPアドレスの取得はできません。

  • マルチIPアドレスグループが割り当てられたサーバーに対して、次の操作ができません。

    • サーバーの削除

    • ロードバランサー(L4)への接続

    • マルチロードバランサーへの接続(共通プライベート、プライベートLANを介しての接続は可能です。)

    • 基本監視サービスのping監視設定

ニフクラネットワーク経路設定

ニフクラの通信経路設定について

image

構成図補足
A

以下はルーターにルートテーブルの適用を行わなくても通信可能

  • SV①⇔SV②

  • SV①⇔SV④

  • SV②⇔SV④

  • SV②⇔SV③

  • SV③⇔SV④

B

以下はルートテーブルを作成しルーターに適用することで通信可能となる。

  • SV①⇔SV③

ニフクラの経路情報設定
  • 経路情報は、ルートテーブルをルーターに適用し設定することができます。

  • ルーターに直接接続されるプライベートLANへの経路情報は、自動的にルーターに経路情報が設定されます。

  • ルーターに直接接続されないネットワークと通信を行う必要がある場合に、経路情報を設定してください。
    ※仮想サーバー側でも適切に経路情報の設定を行う必要があります。

最小構成(gloNW、priNW)

image

構成図補足
A

DHCPによりIPアドレスとデフォルトゲートウェイが付与されます。

B

DHCPによりIPアドレスが付与されます。

経路設定内容
  • 本構成では利用者で特に経路設定を行う必要はありません。

  • 仮想サーバーで共通グローバルネットワークを利用する場合、自動でDHCPからIPアドレス、デフォルトゲートウェイが付与されます。

  • 共通プライベートネットワークを利用する場合、自動でDHCPからIPアドレスが付与されます。
    ※仮想サーバーでDHCPを無効にはしないよう留意してください。
    ※サーバーに払い出されるグローバルIPアドレス帯はニフクラホームページで公開されています。

多階層構成①:gloNW、1仮想ルーター、2PVLAN

image

経路設定内容
  • 仮想サーバーのプライベートネットワークにプライベートLANを適用した場合、IPアドレスを設定する方法は以下の2つがあります。

    • ルーターのDHCP機能を利用する。

    • OS上で静的にIPアドレスを付与する。

  • 本構成では仮想ルーター①にプライベートLAN①、②を接続している構成となるため、ルーターに別途ルートテーブルを適用して経路を設定する必要はありません。

  • 本構成では各仮想サーバーで経路情報の設定が必要です。

多階層構成②:gloNW、1仮想ルーター、3PVLAN

image

経路設定内容
  • 上記「多階層構成(gloNW、1仮想ルーター、2PVLAN)」とほぼ変わらない形で構成可能です。

  • SV③では、SV①、②のPIP②と同一セグメントに所属するため、基本的には別途経路情報の設定は不要となります。

複数ニフクラID 構成

image

経路設定内容
  • 以下の構成では仮想ルーター①にプライベートLAN②A、②Bを接続している構成となるため、ルーターに別途ルートテーブルを適用して経路を設定する必要はありません。

  • プライベートブリッジでは同一ネットワーク帯のプライベートLANを接続可能なため他のニフクラIDのPVLAN①、PVLAN③上の仮想リソースとも問題なく通信可能です。

  • 各仮想サーバーでは経路情報の設定が必要です。各仮想サーバーに経路情報を設定することにより、「仮想サーバー①⇔③、②⇔③間」の通信が可能になります。

複数ゾーン 構成

image

経路設定内容
  • 以下の構成では仮想ルーター①②にそれぞれルートテーブルを適用して経路情報を設定する必要があります。

  • 各仮想サーバーでも経路情報の設定が必要です。

  • 各仮想ルーター、仮想サーバーで適切に経路情報を設定することにより各仮想サーバー間の通信が可能になります。

複数リージョン 構成①

image

経路設定内容
  • 以下の構成では仮想ルーター①にプライベートLAN②、③を接続している構成となるため、ルーターに別途ルートテーブルを適用して経路を設定する必要はありません。

  • プライベートブリッジでは同一ネットワーク帯のプライベートLANを接続可能なため他リージョンのPVLAN②、PVLAN③上の仮想リソースとも問題なく通信可能です。

  • 各仮想サーバーでは経路情報の設定が必要です。各仮想サーバーに経路情報を設定することにより、「仮想サーバー①⇔②、①⇔③間」の通信が可能になります。

注意事項
  • 下記のサービスは、プライベートブリッジと併用する際、構成に注意が必要となります。ネットワークループを防ぐため、下記のサービスと接続されている複数のプライベートLANを、同じブリッジに接続することはできません。

    • 一部併用制限サービス

      • プライベートアクセス for SINET

      • 拠点間VPNゲートウェイ

複数リージョン 構成②

image

経路設定内容
  • 以下の構成では仮想ルーター①、拠点間VPNゲートウェイ①、②にそれぞれルートテーブルを適用して経路情報を設定する必要があります。経路情報の設定が必要な場合、VPN接続はIPsec VTIで行う必要があります。(拠点間VPNゲートウェイではVPN接続先のネットワーク帯の経路設定は自動で設定されます。)

  • 各仮想サーバーでも経路情報の設定が必要です。

  • 各仮想ルーター、拠点間VPNゲートウェイ、仮想サーバーで適切に経路情報を設定することにより各仮想サーバー間の通信が可能になります。

複数リージョン 構成③

image

経路設定内容
  • 以下の構成では拠点間VPNゲートウェイでL2TPv3/IPsecを利用してプライベートLAN間をL2でVPN接続しているため、仮想ルーター①、拠点間VPNゲートウェイ①、②にそれぞれルートテーブルを適用して経路情報を設定する必要はありません。

  • 各仮想サーバーでは経路情報の設定が必要です。

複数リージョン 構成④

image

経路設定内容
  • 以下の構成では仮想ルーター①にルートテーブルを適用して経路情報を設定する必要があります。

  • 各仮想サーバーでも経路情報の設定が必要です。

  • 回線事業者の設置機器であるルーターにも経路情報の設定が必要となる構成です。設定可否など含めて、回線事業者に事前に確認してください。(本構成では経路設定を一例として記載しています。)

マルチロードバランサー 構成

image

経路設定内容
  • 以下の構成では仮想ルーター①、マルチロードバランサー①にルートテーブルを適用して経路情報を設定する必要があります。

  • 各仮想サーバーでも経路情報の設定が必要です。(矢印方向への負荷分散を対象としています。)

経路情報設定の留意事項

image

経路設定内容
  • 以下構成のように、要求と応答の通信経路が異なることにならないよう留意してください。

  • 非対称な経路を通過するような通信を行う場合、基本的には、ファイアウォールにより通信を拒否します。

  • 非対称な通信を行う構成については、動作の保証はできないため留意してください。

  • プライベート接続サービスや、拠点間VPNゲートウェイを利用して外部と接続を行う際は、よりネットワーク構成が複雑になることが想定されます。入念に設計を行ってください。

外部通信構成

仮想サーバーからインターネットへのアクセス①

image

構成図補足
A

DHCPによりIPアドレス、デフォルトゲートウェイが付与されます。

接続概要

仮想サーバーで共通グローバルネットワークを利用する場合、自動でDHCPからIPアドレス、デフォルトゲートウェイが付与されます。そのためグローバルネットワークを利用する場合は、グローバルIPアドレスを付与するだけで、インターネットへアクセスが可能です。
※仮想サーバーでDHCPを無効にはしないよう留意してください。
※サーバーに払い出されるグローバルIPアドレス帯はニフクラホームページで公開されています。

仮想サーバーからインターネットへのアクセス②

image

構成図補足
A

グローバルネットワークに接続しているため直接インターネット環境と通信可能

B

グローバルネットワークに接続していないため直接インターネット環境と通信不可能

接続概要

グローバルネットワークに接続しない仮想サーバーは直接インターネットへアクセスすることは不可能です。

仮想サーバーからインターネットへのアクセス③

image

構成図補足
A

サーバー①にsquidなどを導入しプロキシサーバーを構築します。

B

ルーターのWebプロキシ機能かSNAT機能を利用します。

接続概要
  • グローバルネットワークに直接接続していない仮想サーバーは、以下の構成とすることで、インターネットへアクセスすることが可能です。

    • グローバルネットワークに接続した仮想サーバーをプロキシサーバーとして構築して、プロキシサーバーを経由する

    • 仮想ルーターをグローバルネットワークに接続してWebプロキシ機能かSNAT機能を利用して、仮想ルーターを経由する

インターネットから仮想サーバーへのアクセス

image

構成図補足
A

サーバー①にsquidなどを導入しプロキシサーバーを構築します。

B

ルーターのDNAT機能を利用します。

接続概要
  • 仮想サーバーで共通グローバルネットワークを利用する場合、自動でDHCPからIPアドレス、デフォルトゲートウェイが付与されます。そのためグローバルネットワークを利用する場合、付与するだけでインターネットからのアクセスが可能です。

  • グローバルIPアドレスを付与しない仮想サーバーへの通信は、以下の構成とすることでインターネットからアクセスが可能です。

    • グローバルネットワークに接続した仮想サーバーをリバースプロキシサーバーとして構築して、プロキシサーバーを経由する

    • 仮想ルーターをグローバルネットワークに接続してDNAT機能を利用して、仮想ルーターを経由する

留意事項
  • ルーターに割り当てが可能なグローバルIPアドレスは1つとなります。そのため、仮想ルーターを経由してアクセスされる仮想サーバーが複数存在する場合は、用途(ポート)を分ける必要があります。

  • 仮想サーバーに割り当て可能なグローバルIPアドレスも基本1つまでとなります。そのためプロキシサーバーを別途構築する場合も、上記のルーターと同一の事を留意する必要があります。

  • サーバーに払い出されるグローバルIPアドレス帯はニフクラホームページで公開されています。

    • 複数グローバルIPアドレスを利用したい場合は、 マルチIPアドレスをご利用ください。

IPsec VPN接続(対向1拠点):拠点間VPNゲートウェイ利用

image

構成図補足
A

他ネットワークと接続が必要な場合は IPsec VTI、L2TPv3/IPsecでの接続が必要

接続概要

拠点間VPNゲートウェイと、拠点側ルーター(接続確認済み機器またはOS)でIPsec VPNを構成すると、ニフクラと拠点でセキュアな通信が可能です。

留意事項
  • 拠点側ルーターは、ニフクラが接続を確認できた 接続確認済み機器またはOS を利用してください。他の機器を利用して問題が発生した場合にはサポートができません。

  • ニフクラ側、拠点側で複数のネットワーク帯があり、通信が必要な場合は、「IPsec VTI、L2TPv3/IPsec」で接続を行い適切にルーティング設定を行うことで通信が可能となります。

IPsec VPN接続(対向1拠点):インターネットVPN(H/W)利用

image

A

申し込み時に指定することで、通信可能

B

インターネットVPN(H/W)が接続されたプライベートLAN以外とは通信不可能

接続概要

インターネットVPN(H/W)と、拠点側ルーターでIPsec VPNを構成すると、ニフクラと拠点でセキュアな通信が可能です。

留意事項
  • VPN通信帯域は30Mbpsベストエフォートとなります。それ以上の帯域が必要な場合は、別途問い合わせてください。

  • ニフクラ側でインターネットVPN(H/W)と接続するプライベートLAN以外のプライベートLANとは通信できません。

  • 拠点側の複数ネットワークと接続が必要な場合は、申し込み時のヒアリングシートに記載することで通信可能です。

IPsec VPN接続(対向複数拠点):拠点間VPNゲートウェイ利用

image

構成図補足
A

拠点間で通信が必要な場合、IPsec VTI、L2TPv3/IPsecでの接続が必要

接続概要

接続拠点が複数の場合、複数のIPsec VPNトンネルを設定することで通信が可能です。

留意事項
  • 拠点間VPNゲートウェイで接続可能な拠点数は、タイプによって異なります。

  • 通常ニフクラをHUBとした、拠点間での通信はできません。(ハブ&スポーク型)拠点間で通信が必要な場合は、IPsec VTI、L2TPv3/IPsec」で接続を行い、適切にルーティング設定を行うことで通信が可能となります。

IPsec VPN接続(対向複数拠点):インターネットVPN(H/W)利用

image

構成図補足
A

ハブ&スポーク型で拠点間の通信は不可能

接続概要

接続拠点が複数の場合、複数のIPsec VPNトンネルを設定することで通信が可能です。

留意事項
  • インターネットVPN(H/W)では接続点が増加するごとに課金が追加されます。

  • ニフクラをHUBとした、拠点間での通信はできません。(ハブ&スポーク型)

SSL-VPN接続:リモートアクセスVPNゲートウェイ利用

image

接続概要

端末ごとに専用アプリケーションをインストールし、リモートアクセスVPNゲートウェイを構成することで、拠点環境や外出先から、SSL-VPNによるセキュアな通信が可能です。

留意事項
  • リモートアクセスVPNゲートウェイの作成の際は、プライベートLANが必須になります。

  • ニフクラ側でリモートアクセスVPNゲートウェイと接続するプライベートLAN以外のプライベートLANとは通信できません。

  • リモートアクセスVPNゲートウェイにはファイアウォールを適用できません。

    • 接続元の制限を行いたい場合は「パスワード認証」もしくは「パスワード認証 + クライアント証明書認証」を利用してください。

  • リモートアクセスVPNゲートウェイの設定で以下のネットワーク帯が重複している場合、リモートアクセスVPNゲートウェイの作成に失敗します。

    • プライベート側ネットワークのネットワーク帯

    • ネットワークプールのCIDR

    • 自動で払い出されるグローバルIPアドレスのネットワーク帯

  • リモートアクセスVPNゲートウェイを作成後、以下の設定変更はできません。設定変更には再作成が必要となりますので設定時は十分に注意してください。

    • リモートアクセスVPNGW名

    • プライベート側ネットワーク

    • IPアドレス

    • ネットワークプールのCIDR

    • メモ

    • 暗号スイート

  • トンネルモードの選択により、クライアントNW内で疎通可能か設定可能です。

    フルトンネル

    全トラフィックがリモートアクセスVPNゲートウェイを通過(ローカルサブネット含む)

    分割トンネル

    VPNトラフィックのみがリモートアクセスVPNゲートウェイを通過

コンソール接続
接続概要
  • 仮想サーバーにSSHまたはRDPでリモートログインできないなどの場合、仮想サーバーのコンソールに接続する機能を利用して接続することが可能です。

  • 対象の仮想サーバーに対し、ブラウザ上で仮想サーバーにコンソール接続することが可能です。

留意事項
  • コンソール接続に対応しているブラウザ(バージョン)、接続ポート番号、プロキシの利用有無等に制限があるため留意してください。

  • isoファイルのマウントする場合はISOイメージを利用してください。

  • 仮想サーバーにコンソール接続する際、あらかじめパスワードを使用したログインを設定しておく必要があります。特にLinux系サーバーではrootのパスワードがサーバー配備時設定されていないため、配備時はコンソールでrootログインができません。パスワードを使用したログインを設定していない状況で、コンソール接続が必要になった場合は、シングルユーザーモードにてログインすることを検討してください。

  • パスワード認証を必要とするプロキシ経由のコンソール接続はサポートされていません。

  • 1サーバーに対して、複数のコンソールを起動することはできません。

  • サーバーの作成待ち/起動中(ステータスが処理中)/停止中(ステータスが処理中)の間は、コンソールの起動はできません。

  • BIOSで停止した状態でコンソールを利用したい場合は、対象サーバーの起動または再起動時にBIOS画面で停止するように設定ください。 ※Windows系OSの場合は、コンソール接続した後に、サーバーの再起動時にBIOS画面で停止するように設定ください。

  • Windows系OSの場合は、下記の条件を満たさない場合、コンソールにてマウスポインタが表示されない可能性があります。

導入のご相談はお電話でも受け付けております。

0120-22-1200

0120-22-1200

受付時間:9:00~17:45(土日祝・当社指定の休業日を除く)
※携帯電話・PHSからもご利用可能