要求事項
部門別プロジェクトパターン のように、K5を利用する組織や部門の用途に応じて部門別に環境を構築する際に、
インターネットやイントラネットなどの外部接続はセキュリティの統制上1つのプロジェクトにまとめたい、
といった要求事項に対応するパターンです。
対応するK5デザインパターン概要
K5では、契約内で利用する仮想リソース、グループ、およびユーザーを、プロジェクトという単位で分割して管理します。
プロジェクトは、利用者の目的に応じて使い分けることができます。
このパターンでは、複数のプロジェクトを
プロジェクト間ネットワーク接続機能 (以下、プロジェクト間接続) を用いて接続し、複数のプロジェクトに
配備されたシステムからのインターネットやイントラネットなどへの外部接続を、1つのプロジェクトで一括管理する活用例を記載します。
構造 (イメージ図)
以下では、イメージ図の中央の プロジェクトA に、インターネットやイントラネットの接続を集約している例を記載しています。
実装サンプル
本パターンの実装については、以下のパターンをご参照ください。
メリット・効果
本パターンを利用して、ネットワークを共有した場合のメリット・効果は以下の通りです。
- 外部接続するプロジェクトを集約することで、
システム全体のセキュリティを一元管理することが可能
- 外部接続するプロジェクトを利用する各プロジェクトでは、
セキュリティやルーティングの設定の簡略化が可能
注意事項
- 本パターンは2016年5月時点のK5(IaaS)で動作検証しています。
- プロジェクト間接続を行う場合は、接続するプロジェクトで IPアドレスが重複しないようネットワークを設計してください。
開発・本番プロジェクトパターン のように、同じ IPアドレスを使っているネットワーク同士は接続できません。
- K5 でのネットワーク構成は非常に自由度が高いため、
ファイアーウォールやセキュリティグループにて、通信の制御は必ず行ってください。
- 1つのプロジェクトから複数のプロジェクトに接続する際のルータの配備先については、ルータを接続元に1箇所配備する方式と、
ルータを接続先のプロジェクトごとに配備する方式があります。それぞれの特徴については、プロジェクト間接続による共通サービス
パターン の 1つのプロジェクトから複数のプロジェクトに接続する際のルータの配備先について を参照してください。
その他
特にありません。
関連資料
(2016年5月検証)