本文へジャンプします。

TOP

ニフクラSEハンドブック

クラウド トップ>SEハンドブック>ニフクラ設計・構築ガイド(ネットワーク)
本ページは2023/10/2をもって、新ページhttps://docs.nifcloud.com/user_guide/Network-Guide.htmへ移行しました。
今後は新ページをご参照ください。

ニフクラ設計・構築ガイド (ネットワーク)

目次

ドキュメント情報

区分

ネットワーク設計・構築

リリース日

2023年12月27日

■ニフクラホームページ

https://pfs.nifcloud.com/

はじめに

  • 本ドキュメントの目的

    • ニフクラのネットワーク構成について、知識習得を目的としています。

  • 本ドキュメントの読者

    • ニフクラを利用するシステムの要件定義をされる方

  • 前提知識

    • ネットワーク関する基本的な知識

    • セキュリティに関する基本的な知識

    • ニフクラの機能に関する基本的な知識

  • ニフクラサービスの変更は最新のドキュメントを参照してください。

アイコンの説明
  • 本ドキュメント構成図に使用されているアイコンは下記の通りとなります。

  • リージョン及びゾーンについて特に記載がなければ、単一リージョン、単一ゾーン構成を示します。

image

image

ニフクラネットワーク構成

最小構成(グローバルネットワーク、共通プライベートLAN)①

image

構成概要
  • 本構成図のリソースを利用して構成すると、インターネット⇔仮想サーバー間で通信が可能です。

  • ファイアウォールグループによる通信制御が可能です。

    • 適用しているリソースにおいて、プロトコル(TCP、UDP、ICMP、GRE、ESP、AH、VRRP、L2TP、RDP、SSH、HTTP、HTTPS、ICMPv6-all)、ポート番号、Incoming/Outgoingでアクセス許可を制御する機能です。仮想サーバー、ルーター、拠点間VPNゲートウェイに適用可能で、複数リソースを同一グループに所属させることが可能です。

留意事項
  • 仮想サーバー配備時には、グローバルネットワークとプライベートネットワークの利用が可能です。

  • グローバルネットワーク利用時には、ニフクラからDHCPでIPアドレスが割り当てられます。サーバーに払い出されるグローバルIPアドレス帯はニフクラホームページで公開されています。

  • プライベートネットワークでは共通プライベートネットワークか、別途作成したプライベートLANを選択可能です。

  • DHCPによりグローバルIPアドレスを付与する際、デフォルトゲートウェイも付与されるため、利用者でルーティング設定などを行うことなくインターネットとの通信が可能です。

  • ファイアウォールグループでアクセス制御を実施しない場合、不正なアクセスを受ける可能性があります。ファイアウォールグループでシステム要件に合わせて、適切なアクセス制御を実施してください。

  • ファイアウォールグループは各リソースに1つのみ適用が可能です。グローバルネットワーク側、プライベート側ともに、1つのファイアウォールグループでアクセスを制御します。

  • ニフクラ上で往路と復路で異なる経路を通過する通信をした場合、ファイアウォールは正しく状態を更新できません。

  • 以下の構成の場合、動作の保証はできません。

    • 送信元とは別のサーバーへ折り返すような非対称な通信。(例:ニフクラ上のサーバーでのDSR:Direct Server Return)

    • パケット受信したインターフェースとは別のインターフェースで折り返すような通信。 (例:ニフクラ上のサーバーでのRPF:Reverse Path Forwarding)

ファイアウォール作成時点のデフォルトルール

ルール

設定

Incoming

すべて拒否

Outgoing

すべて許可(ルールを1つでも設定すると、それ以外の通信は拒否)

最小構成(グローバルネットワーク、共通プライベートLAN)②

image

構成概要

以下のリソースを使用して構成すると、インターネットからのアクセスはWeb/APサーバーのみ、DBサーバーへのアクセスはWeb/APサーバーのみに限定が可能です。

留意事項
  • 本構成では直接DBサーバーからインターネット通信は不可能となります。インターネットへのアクセスが必要な場合はグローバルIPアドレスを付与して、ファイアウォールグループでアクセス制御を実施するか、別途プロキシサーバーを構築する等を検討してください。

  • DBサーバーへインターネットから接続できないため、メンテナンスなどでの経路をどうするか検討してください。(コンソールを利用する、拠点間VPNゲートウェイやプライベート接続サービス※1を利用する等)

  • Web/APサーバー、DBサーバーは同一のネットワーク帯となるため、サーバー間通信は別途利用者にてルーティング設定することなく通信可能です。
    ※ 本ドキュメントでは、「ダイレクトポート」、「物理ポート」、「プライベートアクセス」の総称を「プライベート接続サービス」と表記します。「プライベート接続サービス」は、ニフクラ上での正式な呼称ではないため注意してください。

多階層構成①:グローバルネットワーク、1仮想ルーター、2プライベートLAN

image

構成概要

以下のリソースを使用して構成すると、インターネットからのアクセスはWeb/APサーバーのみ、DBサーバーへのアクセスはWeb/APサーバーのみに限定が可能です。

留意事項
  • 本構成では直接DBサーバーからインターネット通信は不可能となります。インターネットへのアクセスが必要な場合はグローバルIPアドレスを付与して、ファイアウォールグループでアクセス制御を実施するか、別途プロキシサーバーを構築する等を検討してください。

  • DBサーバーへインターネットから接続できないため、メンテナンスなどでの経路をどうするか検討してください。(コンソールを利用する、拠点間VPNゲートウェイやプライベート接続サービスを利用する等)

  • プライベートLAN①、②では指定するネットワーク帯が重複しないようにしてください。

  • Web/APサーバーからDBサーバーへの通信、DBサーバーからWeb/APサーバーへの戻りの通信をするために、それぞれの仮想サーバーにルーティングの設定が必要です。

多階層構成②:グローバルネットワーク、1仮想ルーター、3プライベートLAN

image

構成概要

以下のリソースを使用して構成すると、監視やバックアップなどサービス以外の管理用途LANを利用するなど、オンプレミスのような構成の実現が可能です。

留意事項
  • 本構成ではWeb/AP、DBで利用するサービス用のLAN以外に、バックアップ、監視、ログ収集など、管理用のLANを別途、利用する構成となっています。

  • 各仮想サーバーで追加NICを利用して新たなプライベートLANへの接続を追加し、オンプレミスでのシステム構成をそのまま維持したい場合などに有用です。

  • 管理用のプライベートLANを別途構築しても、サービス用のプライベートLANと別に帯域を確保できるわけではないため留意してください。物理的な帯域は他ユーザーと共有になります。

複数ニフクラID 構成

image

構成概要

east-1、east-3、west-1、jp-west-2リージョン内の異なるゾーン、同一ゾーンであれば、ニフクラID間をインターネット経由ではなくプライベートブリッジを利用してプライベートLAN間をL2で接続して、プライベートでの通信が可能です。

留意事項
  • プライベートブリッジは、east-1、east-3、west-1、jp-west-2リージョン以外のリージョンでは利用できません。

  • プライベートブリッジで接続するプライベートLAN同士は、同一のIPアドレス帯となるようにしてください。

  • プライベートブリッジで接続されるプライベートLANに所属する仮想リソースでは、IPアドレスの重複に留意してください。

複数ゾーン 構成①

image

構成概要

east-1、west-1リージョン内の異なるゾーン間(同一ゾーン内でも可)をインターネット経由ではなく、プライベートブリッジを利用してプライベートLAN間をL2で接続して、プライベートでの通信が可能です。

留意事項
  • プライベートブリッジは、east-1、east-3、west-1、jp-west-2リージョン以外のリージョンでは利用できません。

  • プライベートブリッジで接続するプライベートLAN同士は、同一のIPアドレス帯となるようにしてください。

  • プライベートブリッジで接続されるプライベートLANに所属する仮想リソースでは、IPアドレスの重複に留意してください。

複数ゾーン 構成②

image

ゾーン間の通信制御
  • ファイアウォール機能を利用してアクセス制御が可能です。

    • 同一ゾーン内であれば同一のファイアウォールグループに所属させることが可能です。(同一のファイアウォールグループに所属するリソースであればルールにかかわらず通信を許可します。)

    • 異なるゾーン間では同一のファイアウォールグループを利用できません。そのためそれぞれのゾーンで適切にファイアウォールグループの設定をしてください。

複数リージョン構成

image

構成概要
  • 異なるリージョン間でセキュアに通信をしたい場合は、以下の方法等があります。

    • プライベートブリッジを利用する。

    • 拠点間VPNゲートウェイ/インターネットVPN(H/W)を利用してインターネット越しにIPsecVPNで接続する。

    • プライベート接続サービスを利用する。プライベート接続サービスについての詳細は、以下のドキュメントを参照してください。「ニフクラ設計・構築ガイド(ニフクラプライベート接続サービス)」
      ※プライベートアクセスfor Digital enhancedEXchange(DEX)・プライベートアクセスfor SINET・拠点間VPNゲートウェイに接続されたプライベートLAN同士は、プライベートブリッジなどの接続サービスによる接続はできません。

オブジェクトストレージサービス構成:グローバルネットワーク経由

image

同一リージョンのオブジェクトストレージサービスへの通信

同一リージョンのリソースからオブジェクトストレージサービスを利用する際は、グローバルネットワーク経由となりますが、データセンター構内で折り返し通信となります。

留意事項

異なるリージョンのオブジェクトストレージサービスへ通信する場合は、インターネット経由となります。

オブジェクトストレージサービス構成:仮想ルーター経由

image

セキュアにオブジェクトストレージサービスを利用

仮想ルーターのNAT機能を利用することで、サーバーにグローバルIPアドレスを付与せず、プライベートLANからSSL(https)によりオブジェクトストレージサービスを利用できます。

負荷分散構成(外部)

image

構成概要
  • インターネットからの通信を負荷分散するには、ロードバランサー(L4)、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2Vシリーズ)を利用して実現が可能です。本例ではロードバランサー(L4)について記載します。

  • インターネットからのアクセスをロードバランサーから、グローバルネットワークを経由して対象のサーバーへ負荷分散します。

留意事項
  • ロードバランサー(L4)ではプライベートネットワーク経由の負荷分散はできないため留意してください。

  • 負荷分散対象の仮想サーバーはグローバルIPアドレスが必要となります。

  • インターネットからロードバランサー(L4)への通信は、ロードバランサー(L4)のアクセス制御機能を用いて制御してください。

  • 負荷分散対象の仮想サーバーにてファイアウォール機能を用いて、ロードバランサー(L4)のIPアドレスを許可する設定は不要です。ニフクラのファイアウォールはロードバランサー(L4)からの通信をすべて許可しています。

負荷分散構成(内部①):実現可能構成

image

構成概要

ニフクラ内の仮想サーバーから別の仮想サーバー群へグローバルネットワークを経由せずに、負荷分散するには、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2Vシリーズ)を利用して実現が可能です。本例ではマルチロードバランサーについて記載します。

留意事項
  • マルチロードバランサー自体ではアクセス制御を実装できません。分散対象サーバーにて実装してください。

  • マルチロードバランサーを経由した場合のアクセス元IPアドレスは以下となります。

    マルチロードバランサーを「2つのネットワーク」に接続した場合(2arm構成)(サーバー①からサーバー④ABへの負荷分散)

    IPアドレスは透過されます。そのためアクセス元IPアドレスは、マルチロードバランサーにアクセスしてきたIPアドレスとなります。

    マルチロードバランサーを「1つのネットワーク」に接続した場合(1arm構成)(サーバー②からサーバー④ABへの負荷分散)

    IPアドレスは透過されません。そのためアクセス元IPアドレスは、マルチロードバランサーのIPアドレスとなります。

負荷分散構成(内部①):実現不可能構成

image

構成概要

ニフクラ内の仮想サーバーから別の仮想サーバー群へグローバルネットワークを経由せずに、負荷分散するには、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2Vシリーズ)を利用して実現が可能です。本例ではマルチロードバランサーについて記載します。

留意事項
  • マルチロードバランサーの仕様により実現できない構成があります。留意してください。

    • マルチロードバランサーと異なるネットワークに所属するサーバーの負荷分散はできません。

      • サーバー②からサーバー⑤ABへの負荷分散構成は実現できません。サーバー⑤ABがマルチロードバランサーに付与しているネットワークに所属していないためです。

負荷分散構成(内部②)

image

構成概要

ニフクラ内の仮想サーバーから別の仮想サーバー群へグローバルネットワークを経由せずに、負荷分散するには、マルチロードバランサー、L7ロードバランサー(Ivanti Virtual Traffic Manager)、統合ネットワークサービス(IPCOM VE2Vシリーズ)を利用して実現が可能です。本例ではL7ロードバランサーについて記載します。L7ロードバランサーはサードパーティ製のソリューションサービスとなります。

留意事項
  • L7ロードバランサーは仮想サーバー上で動作しています。そのためOS上でルーティング設定が可能です。OS上の設定は利用者責任範囲となります。

  • L7層の負荷分散はユーザー範囲のため、サポート問い合わせ時に利用者側での切り分けを必要とするケースがございます。留意してください。

  • マルチロードバランサーで実装不可能となっていた構成も実現可能となります。

負荷分散構成(複数ゾーン)

image

構成概要

ロードバランサー(L4)により、複数のゾーンを利用した負荷分散が可能です。また、プライベートブリッジの利用によりプライベートLAN経由でゾーン間のデータ同期などが可能です。

留意事項
  • マルチロードバランサーでは複数のゾーンを対象にした負荷分散構成はできません。

  • L7ロードバランサー(Ivanti Virtual Traffic Manager)では複数のゾーンを対象とした負荷分散構成が可能です。ただし、構成によってはL7ロードバランサー自体が単一ポイントの構成となる場合があるため、構成に関しては十分に検討してください。

ロードバランサー(L4)留意事項
  • 同一リージョンの複数のゾーンに配備された仮想サーバーへ負荷分散が可能です。

  • 作成可能なロードバランサー(L4)数は、リージョンごとに6個×ゾーン数となります。ロードバランサー(L4)1つにつき1個のグローバルIPと、3個のポート設定が可能です。

  • ロードバランサー(L4)では、ニフクラ内のグローバルIPアドレスを持つ仮想サーバーを負荷分散対象として設定が可能です。プライベート側から/プライベート側への負荷分散には対応していません。

  • 10Mbps~2,000Mbpsの帯域を利用可能です。帯域は、複数コネクションでの最大帯域となっており、単一のコネクションでは契約の帯域を使い切れない場合もあります。

  • HTTP(80)、HTTPS(443)且つSSLアクセラレーターを利用してのアクセス(80)の場合、ヘッダー情報「X-Forwarded-For」に送信元のIPアドレス情報が付与されます。

  • 暗号化SUITEとして、standard、atsから選択が可能です。Apple社のAppStoreでアプリケーションを公開する必要がある場合はatsを選択してください。

  • ロードバランサー(L4)ではL4層の負荷分散が可能です。アクセス先のURLに含まれるドメイン名やパス等に応じて負荷分散条件を設定するL7層の負荷分散はできません。

  • 負荷分散のポリシーとして以下が設定可能です。

    バランスポリシー

    ラウンドロビンとリーストコネクションの設定が可能です。

    セッション固定

    ソースIPアドレスを元にサーバーへのセッション固定が可能です。セッションの保持時間は3~60分で設定が可能です。

  • Sorryページヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、且つ、他の負荷分散可能な仮想サーバーが存在しなかった場合、ニフクラ側で用意した定型メッセージを表示できます。
    ※Sorryページは、待ち受けポートが(80/tcp)の場合のみ利用が可能です。

マルチロードバランサー留意事項
  • 同一ゾーン内の仮想サーバーにのみ負荷分散が可能です。複数のゾーンに配備された仮想サーバーへは負荷分散できません。

  • 作成可能なマルチロードバランサー数は、1IDにつき5個/ゾーンとなります。マルチロードバランサー1つにつき1個のグローバルIPと、3個のポート設定が可能です。

    • ポート設定のプロトコルをTCP、ポート番号を21にした際、振り分けプロトコルをFTPと解釈せず、FTPの振り分けはできません。

  • グローバル側の負荷分散、プライベート側への負荷分散も可能になります。マルチロードバランサーと異なるネットワークに所属するサーバーへの負荷分散はできません。

  • 10Mbps~500Mbpsの帯域を利用可能です。

  • 1arm構成の場合

    • アクセス元のIPアドレスは透過されません。http、https且つSSLアクセラレーターを利用してのアクセスの場合、ヘッダー情報「X-Forwarded-For」に送信元のIPアドレスの情報が付与されます。

  • 2arm構成の場合

    • アクセス元のIPアドレスが透過されます。事前にX-Forwarded-Forヘッダーが付与されている場合、X-Forwarded-Forヘッダーは上書きされます。

  • 暗号化SUITEとして、atsに対応しています。

  • マルチロードバランサーではL4層の負荷分散が可能です。アクセス先のURLに含まれるドメイン名やパス等に応じて負荷分散条件を設定するL7層の負荷分散はできません。

  • ルートテーブルの設定として、マルチロードバランサーに適応可能なルートテーブルは、設定されているルートのターゲットがIPアドレスの場合のみ適応可能です。

  • マルチロードバランサーがグローバル接続をしている際は、デフォルトルートが設定されているルートテーブルは適応できません。

  • 負荷分散のポリシーとして以下が設定可能です。

    バランスポリシー

    ラウンドロビンとリーストコネクションの設定が可能です。

    セッション固定

    ソースIPアドレス、cookieを元にサーバーへのセッション固定が可能です。セッションの保持時間は3~60分で設定が可能です。

  • Sorryページヘルスチェック機能で負荷分散対象の仮想サーバーに異常が検出され、且つ、他の負荷分散可能な仮想サーバーが存在しなかった場合のリダイレクト情報の設定によりSorryページを表示させることが可能です。
    ※Sorryページは、待ち受けポートがHTTP/HTTPSの場合に利用でき、ポートは任意に設定可能です。レスポンスコードは302になります。
    ※リダイレクト先は別途用意する必要があります。

  • ヘルスチェックではマルチロードバランサーIPアドレスとシステムIPアドレス(マルチロードバランサーのIPアドレスとは別に、システム的に必要となる2つのIPアドレス)を送信元IPとして利用するので、以下の考慮が必要です。

    • 振り分け先サーバーに適用しているファイアウォール等に送信元IPを許可

      • ニフクラファイアウォール

      • OS上のファイアウォール

      • OS上で利用中のセキュリティ製品

    • 振り分け先サーバーまでの通信経路上の転送設定

L7ロードバランサー(Ivanti Virtual Traffic Manager)留意事項
  • 同一リージョンの複数のゾーンに配備された仮想サーバーへ負荷分散が可能です。L7ロードバランサーはサードパーティ製のソリューションサービスとなります。
    ※利用者にて、セットアップ手順書及びインストーラーを図研ネットウエイブ株式会社のサイトよりダウンロードし、インストールが必要です。

  • グローバル側の負荷分散、プライベート側への負荷分散も可能になります。ネットワーク構成によりL7ロードバランサーを構成するOS上で適切なルーティング設定などが必要です。

  • 10Mbps~2Gbpsの帯域を利用可能です。利用するシリーズにより異なります。

  • HTTP、HTTPS且つSSLアクセラレーターを利用してのアクセスの場合、ヘッダー情報「X-Cluster-Client-Ip」に送信元IPアドレスが付与されます。「X-Forwarded-For」に変更も可能です。HTTPSアクセスでSSLアクセラレーターをロードバランサーで行わない場合も、設定により独自ヘッダーを付与し、アクセス元IPの取得も可能です。

  • 暗号化SUITEとして、atsに対応しています。

  • L4層に限らず、L7層での負荷分散にも対応しています。

  • IP Transparencyを利用する場合に、バックエンドノードへのアクセス経路として共通グローバル、及び共通プライベートは利用できません。IP Transparencyを利用する場合にはL7ロードバランサー、バックエンドノードともにプライベートLANを利用する必要があります。

  • マルチIPアドレスを利用し、グローバルIPアドレスを持ったL7ロードバランサーの冗長化が可能です。

  • 負荷分散のポリシーとして以下が設定可能です。

    バランスポリシー

    Round Robin、Weighted Round Robin、Perceptive、Least Connections、Weighted Least Connections、Fastest Response Time、Random Nodeが設定可能です。

    セッション固定

    HTTP、HTTPS対応:Transparent session affinity、Monitor application cookies、J2EE、ASP及びASP.net、X-Zeus-Backencookies
    SSLプロトコル:SSL Session ID persistence

  • Sorryページ

    • ヘルスチェック機能を活用することで、負荷分散対象の仮想サーバーに異常が検出され、且つ、他の負荷分散可能な仮想サーバーが存在しなかった場合のリダイレクト情報の設定によりSorryページを表示させることが可能です。

    • ページのカスタマイズも可能で、Virtual Server設定ごとにHTTP/HTTPS/他プロトコルで利用可能です。レスポンスコードは500(FIN送信も可能)となります。HTTP/HTTPS以外はFIN送信となります。

統合ネットワークサービス(IPCOM VE2Vシリーズ)留意事項
  • LS、LSPLUSシリーズでサーバー負荷分散機能が利用できます。

  • グローバル側の負荷分散、プライベート側への負荷分散も可能になります。

  • 柔軟な負荷分散方法が可能です。機能の詳細は「 データシート 」を参照してください。(ドキュメント内のVE2はVE2Vに読み替えてください。)

  • プライベートLAN環境下でのみ冗長化が可能となります。その他、プライベートLANの利用が必須となる機能の詳細は「 スタートガイド 」を参照してください。

  • サーバー負荷分散やアドレス変換の機能で複数のグローバルIPアドレスを設定する場合は、マルチIPの利用が必須となります。詳細は「 データシート 」を参照してください。(ドキュメント内のVE2はVE2Vに読み替えてください。)

  • IPCOMの構成例は、「 スタートガイド 」の「6 構成例」を参照してください。

  • east-11ゾーンのメンテナンス中は新規に作成できません。

マルチIPアドレス構成(マルチサイト)

image

構成概要

マルチIPアドレスを利用することにより、1つのサーバーに複数のグローバルIPアドレスを付与できます。

留意事項
  • 指定したIPアドレスの取得はできません。

  • マルチIPアドレスグループが割り当てられたサーバーに対して、次の操作ができません。

    • サーバーの削除

    • ロードバランサー(L4)への接続

    • マルチロードバランサーへの接続(共通プライベート、プライベートLANを介しての接続は可能です。)

    • 基本監視サービスのping監視設定

ニフクラネットワーク経路設定

ニフクラの通信経路設定について

image

ニフクラの経路情報設定
  • 経路情報は、ルートテーブルをルーターに適用する形で設定できます。

  • ルーターに直接接続されるプライベートLANへの経路情報は、自動的にルーターに経路情報が設定されます。

  • ルーターに直接接続されないネットワークと通信をする必要がある場合に、経路情報を設定してください。
    ※仮想サーバー側でも適切に経路情報の設定をする必要があります。

最小構成(グローバルネットワーク、共通プライベートネットワーク)

image

経路設定内容
  • 本構成では利用者で経路設定の必要はありません。

  • 仮想サーバーで共通グローバルネットワークを利用する場合、自動でDHCPからIPアドレス、デフォルトゲートウェイが付与されます。

  • 共通プライベートネットワークを利用する場合、自動でDHCPからIPアドレスが付与されます。
    ※仮想サーバーでDHCPを無効にはしないよう留意してください。
    ※サーバーに払い出されるグローバルIPアドレス帯はニフクラホームページで公開されています。

多階層構成①:グローバルネットワーク、1仮想ルーター、2プライベートLAN

image

経路設定内容
  • 仮想サーバーのプライベートネットワークにプライベートLANを適用した場合、IPアドレスを設定する方法は以下の2つがあります。

    • ルーターのDHCP機能を利用する。

    • OS上で静的にIPアドレスを付与する。

  • 本構成では仮想ルーター①にプライベートLAN①、②を接続している構成となるため、ルーターに別途ルートテーブルを適用して経路を設定する必要はありません。

  • 本構成では各仮想サーバーで経路情報の設定が必要です。

多階層構成②:グローバルネットワーク、1仮想ルーター、3プライベートLAN

image

経路設定内容
  • 上記「多階層構成(グローバルネットワーク、1仮想ルーター、2プライベートLAN)」とほぼ変わらない形で構成可能です。

  • サーバー③では、サーバー①、②のプライベートIPアドレス②と同一セグメントに所属するため、基本的には別途経路情報の設定は不要となります。

複数ニフクラID 構成

image

経路設定内容
  • 以下の構成では仮想ルーター①にプライベートLAN②A、②Bを接続している構成となるため、ルーターに別途ルートテーブルを適用して経路を設定する必要はありません。

  • プライベートブリッジでは同一ネットワーク帯のプライベートLANを接続可能なため他のニフクラIDのプライベートLAN①、プライベートLAN③上の仮想リソースとも問題なく通信可能です。

  • 各仮想サーバーでは経路情報の設定が必要です。各仮想サーバーへ経路情報を設定し、「仮想サーバー①⇔③、②⇔③間」の通信が可能になります。

複数ゾーン 構成

image

経路設定内容
  • 以下の構成では仮想ルーター①②にそれぞれルートテーブルを適用して経路情報を設定する必要があります。

  • 各仮想サーバーでも経路情報の設定が必要です。

  • 各仮想ルーター、仮想サーバーで適切な経路情報を設定後、各仮想サーバー間の通信が可能になります。

複数リージョン 構成①

image

経路設定内容
  • 以下の構成では仮想ルーター①にプライベートLAN②、③を接続している構成となるため、ルーターに別途ルートテーブルを適用して経路を設定する必要はありません。

  • プライベートブリッジでは同一ネットワーク帯のプライベートLANを接続可能なため他リージョンのプライベートLAN②、プライベートLAN③上の仮想リソースとも問題なく通信可能です。

  • 各仮想サーバーでは経路情報の設定が必要です。各仮想サーバーへ経路情報を設定し、「仮想サーバー①⇔②、①⇔③間」の通信が可能になります。

注意事項
  • プライベートブリッジと併用する際、構成に注意が必要となるサービスがあります。ネットワークループを防ぐため、下記のサービスと接続されている複数のプライベートLANを、同じブリッジに接続することは控えてください。

    • プライベートアクセス for SINET

    • 拠点間VPNゲートウェイ

複数リージョン 構成②

image

経路設定内容
  • 以下の構成では仮想ルーター①、拠点間VPNゲートウェイ①、②にそれぞれルートテーブルを適用して経路情報を設定する必要があります。経路情報の設定が必要な場合、VPN接続はIPsec VTIで行う必要があります。(拠点間VPNゲートウェイではVPN接続先のネットワーク帯の経路設定は自動で設定されます。)

  • 各仮想サーバーでも経路情報の設定が必要です。

  • 各仮想ルーター、拠点間VPNゲートウェイ、仮想サーバーに対して適切な経路情報の設定が必要です。

複数リージョン 構成③

image

経路設定内容
  • 以下の構成では拠点間VPNゲートウェイでL2TPv3/IPsecを利用してプライベートLAN間をL2でVPN接続しているため、仮想ルーター①、拠点間VPNゲートウェイ①、②にそれぞれルートテーブルを適用して経路情報を設定する必要はありません。

  • 各仮想サーバーでは経路情報の設定が必要です。

複数リージョン 構成④

image

経路設定内容
  • 以下の構成では仮想ルーター①にルートテーブルを適用して経路情報を設定する必要があります。

  • 各仮想サーバーでも経路情報の設定が必要です。

  • 回線事業者の設置機器であるルーターにも経路情報の設定が必要となる構成です。設定可否など含めて、回線事業者へ事前確認してください。(本構成では経路設定を一例として記載しています。)

マルチロードバランサー 構成

image

経路設定内容
  • 以下の構成では仮想ルーター①、マルチロードバランサー①にルートテーブルを適用して経路情報を設定する必要があります。

  • 各仮想サーバーでも経路情報の設定が必要です。(矢印方向への負荷分散を対象としています。)

経路情報設定の留意事項

image

経路設定内容
  • 以下構成のように、要求と応答の通信経路が異なるルートにならないよう留意してください。

  • 非対称な経路を通過するような通信をする場合、ファイアウォールにより通信が拒否されます。

  • 万が一通信ができた場合でも、非対称な通信をする構成については動作の保証はできないため留意してください。

  • プライベート接続サービスや、拠点間VPNゲートウェイを利用して外部と接続をする際は、よりネットワーク構成が複雑になることが想定されます。入念に設計をしてください。

外部通信構成

仮想サーバーからインターネットへのアクセス①

image

接続概要

仮想サーバーで共通グローバルネットワークを利用する場合、自動でDHCPからIPアドレス、デフォルトゲートウェイが付与されます。そのためグローバルネットワークを利用する場合は、グローバルIPアドレスを付与するだけで、インターネットへアクセスが可能です。
※仮想サーバーでDHCPを無効にはしないよう留意してください。
※サーバーに払い出されるグローバルIPアドレス帯はニフクラホームページで公開されています。

仮想サーバーからインターネットへのアクセス②

image

接続概要

グローバルネットワークに接続しない仮想サーバーは直接インターネットへアクセスできません。

仮想サーバーからインターネットへのアクセス③

image

接続概要
  • グローバルネットワークに直接接続していない仮想サーバーは、以下の構成によりインターネットアクセスが可能です。

    • グローバルネットワークに接続した仮想サーバーをプロキシサーバーとして構築して、プロキシサーバーを経由する

    • 仮想ルーターをグローバルネットワークに接続してWebプロキシ機能かSNAT機能を利用して、仮想ルーターを経由する

インターネットから仮想サーバーへのアクセス

image

接続概要
  • 仮想サーバーで共通グローバルネットワークを利用する場合、自動でDHCPからIPアドレス、デフォルトゲートウェイが付与されます。そのためグローバルネットワークを利用する場合、付与するだけでインターネットからのアクセスが可能です。

  • グローバルIPアドレスを付与しない仮想サーバーへの通信は、以下の構成によりインターネットからアクセスが可能です。

    • グローバルネットワークに接続した仮想サーバーをリバースプロキシサーバーとして構築して、プロキシサーバーを経由する

    • 仮想ルーターをグローバルネットワークに接続してDNAT機能を利用して、仮想ルーターを経由する

留意事項
  • ルーターに割り当てが可能なグローバルIPアドレスは1つとなります。そのため、仮想ルーターを経由してアクセスされる仮想サーバーが複数存在する場合は、用途(ポート)を分ける必要があります。

  • 仮想サーバーに割り当て可能なグローバルIPアドレスも基本1つまでとなります。そのためプロキシサーバーを別途構築する場合も、上記のルーターと同一の事を留意する必要があります。

  • サーバーに払い出されるグローバルIPアドレス帯はニフクラホームページで公開されています。

    • 複数グローバルIPアドレスを利用したい場合は、 マルチIPアドレスをご利用ください。

IPsec VPN接続(対向1拠点):拠点間VPNゲートウェイ利用

image

接続概要

拠点間VPNゲートウェイと、拠点側ルーター(接続確認済み機器またはOS)でIPsec VPNを構成すると、ニフクラと拠点でセキュアな通信が可能です。

留意事項
  • 拠点側ルーターは、ニフクラが接続を確認できた 接続確認済み機器またはOS を利用してください。

  • ニフクラ側、拠点側で複数のネットワーク帯がある場合は、「IPsec VTI、L2TPv3/IPsec」で接続し、適切なルーティングを設定することで通信が可能となります。

IPsec VPN接続(対向1拠点):インターネットVPN(H/W)利用

image

接続概要

インターネットVPN(H/W)と、拠点側ルーターでIPsec VPNを構成すると、ニフクラと拠点でセキュアな通信が可能です。

留意事項
  • VPN通信帯域は30Mbpsベストエフォートとなります。それ以上の帯域が必要な場合は、別途問い合わせてください。

  • ニフクラ側でインターネットVPN(H/W)と接続するプライベートLAN以外のプライベートLANとは通信できません。

  • 拠点側の複数ネットワークと接続が必要な場合は、申し込み時のヒアリングシートへの記載で通信が可能になります。

IPsec VPN接続(対向複数拠点):拠点間VPNゲートウェイ利用

image

接続概要

接続拠点が複数の場合、複数のIPsec VPNトンネルの活用で通信が構成できます。

留意事項
  • 拠点間VPNゲートウェイで接続可能な拠点数は、タイプによって異なります。

  • 通常ニフクラをHUBとした、拠点間での通信はできません。(ハブ&スポーク型)拠点間で通信が必要な場合は、IPsec VTI、L2TPv3/IPsec」で接続をし、適切なルーティングの設定で通信が可能となります。

IPsec VPN接続(対向複数拠点):インターネットVPN(H/W)利用

image

接続概要

接続拠点が複数の場合、複数のIPsec VPNトンネルの活用で通信が構成できます。

留意事項
  • インターネットVPN(H/W)では接続点が増加するごとに課金が追加されます。

  • ニフクラをHUBとした、拠点間での通信はできません。(ハブ&スポーク型)

SSL-VPN接続:リモートアクセスVPNゲートウェイ利用

image

接続概要

リモートアクセスVPNゲートウェイを活用し、拠点環境や外出先からSSL-VPNによるセキュアな通信が可能です。

留意事項
  • 接続元OSは、ニフクラが接続を確認できた 接続確認済みOS を利用してください。

  • 端末ごとに専用アプリケーションのインストールが必要となります。

  • リモートアクセスVPNゲートウェイの作成の際は、プライベートLANが必須になります。

  • ニフクラ側でリモートアクセスVPNゲートウェイと接続するプライベートLAN以外のプライベートLANとは通信できません。

  • リモートアクセスVPNゲートウェイにはファイアウォールを適用できません。

    • 接続元の制限をする場合は「パスワード認証」もしくは「パスワード認証 + クライアント証明書認証」を利用してください。認証で設定する接続プロトコル、暗号化スイートの詳細はニフクラ リモートアクセスVPNゲートウェイ:認証 を確認してください。

  • リモートアクセスVPNゲートウェイの設定で以下のネットワーク帯が重複している場合、リモートアクセスVPNゲートウェイの作成に失敗します。

    • プライベート側ネットワークのネットワーク帯

    • ネットワークプールのCIDR

    • 自動で払い出されるグローバルIPアドレスのネットワーク帯

  • リモートアクセスVPNゲートウェイを作成後、以下の設定変更はできません。設定変更には再作成が必要となりますので設定時は十分に注意してください。

    • リモートアクセスVPNGW名

    • プライベート側ネットワーク

    • IPアドレス

    • ネットワークプールのCIDR

    • メモ

    • 暗号スイート

  • トンネルモードの選択により、クライアントNW内で疎通可能か設定可能です。

    フルトンネル

    全トラフィックがリモートアクセスVPNゲートウェイを通過(ローカルサブネット含む)
    ※v1でのみサポート。v1のサポート終了期限は2023/7/31です。v2ではサポートされません。

    分割トンネル

    VPNトラフィックのみがリモートアクセスVPNゲートウェイを通過

  • リモートアクセスVPNゲートウェイではサーバー証明書の設定は必須です。

コンソール接続
接続概要
  • 仮想サーバーにSSHまたはRDPでリモートログインできない場合、仮想サーバーのコンソール機能を利用して接続可能です。

  • 対象の仮想サーバーに対し、ブラウザ上で仮想サーバーのコンソールが利用可能です。

留意事項
  • コンソール接続に対応しているブラウザ(バージョン)、接続ポート番号、プロキシの利用有無等に制限があるため留意してください。

  • isoファイルのマウントする場合はISOイメージを利用してください。

  • 仮想サーバーにコンソール接続する際、あらかじめパスワードを使用したログインを設定しておく必要があります。特にLinux系サーバーではrootのパスワードがサーバー配備時設定されていないため、配備時はコンソールでrootログインができません。パスワードを使用したログインを設定していない状況で、コンソール接続が必要になった場合は、シングルユーザーモードでのログインを検討してください。

  • パスワード認証を必要とするプロキシ経由のコンソール接続はサポートされていません。

  • 1サーバーに対して、複数のコンソールは起動できません。

  • サーバーの作成待ち/起動中(ステータスが処理中)/停止中(ステータスが処理中)の間は、コンソールの起動はできません。

  • コンソール画面でBIOSを操作したい場合は、対象サーバーの起動または再起動時にBIOS画面で停止するように設定ください。 ※Windows系OSの場合は、コンソール接続した後に、サーバーの再起動時にBIOS画面で停止するように設定ください。

  • Windows系OSの場合は、下記の条件を満たさない場合、コンソールにてマウスポインタの表示をできない可能性があります。

導入のご相談はお電話でも受け付けております。

0120-22-1200

0120-22-1200

受付時間:9:00~17:45(土日祝・当社指定の休業日を除く)
※携帯電話・PHSからもご利用可能