FUJITSU Cloud Service K5
IaaS 設計・構築ガイド(デザインパターン・実装サンプル集)
要求事項
以下のように、K5上で階層をもたせたネットワーク構成でネットワークを構築したいといった要求事項に対応するパターンです。
- インターネットに公開するWeb/DBシステムにおいて、DBサーバ のセキュリティを高めるために、
DBサーバ を内部セグメントに配置したい - オンプレミスの構成と同じようなネットワーク構成を K5上で実現したい
対応するK5デザインパターン概要
K5では、ネットワークを自由に構成することができます。
オンプレミス環境のような階層構造のネットワーク構成も可能です。
このパターンでは、ルータ 1つとルータ 2つの場合で、また、ルータ2つの場合にはルーティングをどの仮想リソースに設定するかで、
それぞれ2階層のネットワークを作成する例を記載します。
ルータ 1つの場合
(ルーティング設定不要)
(ルーティング設定不要)
※東日本リージョン3、西日本リージョン3では、
ルータ1つの場合のみ設定可能です。
(複数の仮想ルータを1つのサブネットに
アタッチする構成が取れないため)
ルータ1つの場合のみ設定可能です。
(複数の仮想ルータを1つのサブネットに
アタッチする構成が取れないため)
ルータ 2つの場合①
サブネットのみにルーティング設定
サブネットのみにルーティング設定
ルータ 2つの場合②
仮想ルータとサブネットにルーティング設定
仮想ルータとサブネットにルーティング設定
■K5のネットワーク
K5のネットワークでは、K5であらかじめ用意された「外部ネットワーク」(インターネットに接続されたネットワーク) と、自分で作成する「内部ネットワーク」があります。
| ネットワーク | 内容 |
|---|---|
| 外部ネットワーク | K5であらかじめ用意された、インターネットに接続されたネットワーク。 |
| 内部ネットワーク |
自分で作成するネットワーク。 ネットワーク構成やセキュリティの設定で、インターネットに接続可能にも接続不可能にもできる。
|
ルータ 2つの構成の 「内部ネットワーク(private)」 のように外部ネットワークに接続しないことで、セキュリティの設定によらず、
ネットワーク構成上でインターネットからアクセス不可能な構成にすることが可能です。
※ルータ 1つの構成では、セキュリティの設定上で、それぞれのネットワークに対してインターネットの接続の可/不可を設定します。
なお、本資料はネットワーク構成について記載しており、セキュリティ設定については記載しておりません。セキュリティ設定については、実装サンプルでリンクしている セキュリティグループ/ファイアーウォール併用 パターン等をご覧ください。
構造 (イメージ図)
■ルータ 1つの場合 |
■ルータ 2つの場合① |
■ルータ 2つの場合② |
|
|
|
|
※どのサブネットにもグローバルIPアドレス割り当て可能
※どのサブネットからもインターネットと双方向で通信可能
※東日本リージョン3、西日本リージョン3ではルータ1つの場合のみ設定可能 |
※public層のみグローバルIPアドレス割り当て可能
※public層のみインターネットと双方向で通信可能
※外部とpublic層、public層とprivate層間それぞれの通信制御を各ネットワーク固有のFWにて設定可能 |
※public層のみグローバルIPアドレス割り当て可能
※public層のみ、インターネットからの通信を受信可能
※外部とpublic層、public層とprivate層間それぞれの通信制御を各ネットワーク固有のFWにて設定可能 |
■ネットワーク構成とセキュリティ設定
ルータ 1つの構成では、内部ネットワーク1 も 内部ネットワーク2 も、インターネットに通信可能な構成です。用途に応じてセキュリティの設計を行い、適切にファイアーウォールやセキュリティグループを設定してください。
セキュリティの設定により、ルータ 1つの構成は、以下のような利用形態が想定されます。
WebサーバとDBサーバの構成で、DBサーバを内部セグメントに配置したい場合は、
ルータ 1つの構成の場合はセキュリティの設定で形態②となるよう設定します。
| ネットワーク | 形態① | 形態② | 形態③ |
|---|---|---|---|
| 内部ネットワーク1 | DMZ | DMZ | 内部セグメント |
| 内部ネットワーク2 | DMZ | 内部セグメント | 内部セグメント |
※DMZ
インターネットに公開するセグメント
※内部セグメント
インターネットに非公開とするセグメント
それに対して、ルータ 2つの構成では、インターネットからは 内部ネットワーク(private) に到達することができません。
ルータ 1つの構成では、形態②で DMZ と 内部セグメント を分けても、何らかの設定ミスが発生してしまった場合等、
インターネットから内部セグメントに通信できてしまう可能性が 0 にはなりませんが、ルータ 2つの構成では、
Webサーバを内部ネットワーク (public) に配備し、DBサーバを内部ネットワーク(private) に配備すれば、
DBサーバ はネットワーク構成上でインターネットから接続できない状態になります。
そのかわり、ルータ 2つの構成では、DBサーバからインターネットへの接続については考慮が必要です。
DBサーバにパッチ (※1) をあてる必要がある場合など、インターネットに接続したい場合は、
仮想ルータとサブネットの両方にルーティング設定をする方式(※2)を採用するか、
内部ネットワーク (public) にNATサーバを配備する方式(※3)等を検討するかとなります。
※1K5 のデータベースサービス を利用される場合であれば、データベースにはK5基盤側でパッチをあてるため、
内部ネットワーク(private) のように、外部ネットワークに接続されていない内部ネットワーク上に DB を配備しても、
パッチあての観点では問題ありません。
内部ネットワーク(private) のように、外部ネットワークに接続されていない内部ネットワーク上に DB を配備しても、
パッチあての観点では問題ありません。
※2東日本リージョン2相当のリージョンのみ可能です。
APIリファレンスが東日本リージョン2と同じリージョンは、東日本リージョン2相当となります。
APIリファレンスが東日本リージョン2と同じリージョンは、東日本リージョン2相当となります。
※3東日本リージョン1相当のリージョンを含む全てのリージョンで可能です
2階層インターネットアクセス(NAT)パターンをご覧ください。
2階層インターネットアクセス(NAT)パターンをご覧ください。
ネットワーク構成は、このようなネットワーク構成の特徴を考慮して、用途に応じて使い分けてください。
なお、その他 の項目に、ネットワーク構成の形態を組み合わせたサンプル を記載しましたので、合わせてご覧ください。
実装サンプル
シングルAZ構成で、ネットワークを構築する手順を示します。
■ルータ 1つの場合
(1) 仮想ルータの作成/外部ネットワークのアタッチ
- K5ポータルにログインしIaaSポータルを選択します。
- 「ネットワーク」⇒「仮想ルータ」画面で、「+」ボタンをクリックします。
- 「仮想ルータ作成」画面で、以下の項目を入力し、「作成」ボタンをクリックします。
| 項目 | 必須 | 設定値 | 内容 |
|---|---|---|---|
| AZ | 必須 | "jp-east-2b" | システムを設置するアベイラビリティゾーン AZ1:"jp-east-2a" AZ2:"jp-east-2b" |
| 東日本リージョン3、西日本リージョン3ではAZの設定なし | |||
| 仮想ルーター名 | 必須 | "demo_router" | 適宜設定してください。 |
- 「仮想ルータ一覧」画面で、作成した仮想ルータの「アクション」⇒「ゲートウェイ設定」を選択します。
「ゲートウェイ設定画面」で仮想ルータを接続する「外部仮想ネットワーク」(インターネット側のネットワーク)を選択し、
「設定」ボタンをクリックします。
(2) 内部ネットワーク/サブネットの作成
- 以下の手順で、内部ネットワークを必要な階層分作成します。
- 「ネットワーク」⇒「仮想ネットワーク」画面で、「+」ボタンをクリックします。
- 「仮想ネットワーク作成」画面で、以下の項目を入力し、「作成」ボタンをクリックします。
| タブ | 項目 | 必須 | 設定値 | 内容 | |
|---|---|---|---|---|---|
| 内部ネットワーク1 | 内部ネットワーク2 | ||||
| 仮想 ネット ワーク | AZ | 必須 | "jp-east-2b" | "jp-east-2b" | システムを設置するアベイラビリティゾーン AZ1:"jp-east-2a" AZ2:"jp-east-2b" |
| 東日本リージョン3、西日本リージョン3ではAZの設定なし | |||||
| 仮想 ネットワーク名 | 必須 | "demo_intnet1" | "demo_intnet2" | 適宜設定してください。 | |
| 管理状態 | 必須 | "UP" | "UP" | 適宜設定してください。 | |
| サブ ネット | サブネット作成 | 必須 | "あり" | "あり" | 適宜設定してください。 |
| サブネット名 | 必須 | "demo_subnet1" | "demo_subnet2" | 適宜設定してください。 | |
仮想ネットワーク アドレス | 必須 | "192.168.11.0/24" | "192.168.12.0/24" | CIDR形式で入力してください。 | |
| ゲートウェイ | 推奨 | "あり" | "あり" | ||
| ゲートウェイIP | 推奨 | "192.168.11.1" | "192.168.12.1" | 必須ではありませんが、設定してください。 ※この後に設定する仮想ルータの IPアドレスとなります。 | |
| サブ ネット 詳細 | DHCP | 推奨 | "有効" | "有効" | 必須ではありませんが、設定してください。 ※この項目は、 インターネット接続パターンの DHCPに関する説明 をご覧ください。 |
| IPアドレス 割当プール | 任意 | 必要に応じて設定してください。 | |||
| DNSサーバ | 推奨 | "133.162.106.10", "133.162.106.9" | "133.162.106.10", "133.162.106.9" | 必須ではありませんが、設定してください。 ポータル上では、後から追加できません。 DNSサーバは1行につき1項目設定できます。 ※DNSサーバのIPアドレスはリージョン/AZごとに異なります。 詳細は、機能説明書を参照してください。 | |
| 追加の ルート設定 | 任意 | ゲートウェイIPに設定されるデフォルトのルート以外で接続する宛先を設定します。 csvで以下を設定します。 - CIDR形式の宛先 - その宛先へ接続するルータ | |||
(3) 仮想ルータにサブネットをアタッチ
- 以下の手順で、作成した内部ネットワークをすべて仮想ルータにアタッチします。
- 「ネットワーク」⇒「仮想ルータ」画面で、作成した仮想ルータをクリックします。
- 「インターフェース」項目の「+」ボタンをクリックします。
- 「インターフェース追加」画面で、以下の項目を入力し、「追加」ボタンをクリックします。
| 項目 | 必須 | 設定値 | 内容 | |
|---|---|---|---|---|
| 内部ネットワーク1 | 内部ネットワーク2 | |||
| サブネット | 必須 | "demo_subnet1" | "demo_subnet2" | 内部ネットワーク作成の際に設定したサブネットを選択してください。 |
| IPアドレス | 必須 | "192.168.11.1" | "192.168.12.1" | 内部ネットワーク作成の際に設定したゲートウェイIPを設定してください。 |
(4) セキュリティ設定 (ファイアーウォール/セキュリティグループ)
- 仮想サーバを配備する前に、ファイアーウォールやセキュリティグループの設定を行ってください。
- ファイアーウォールの設定は、仮想ルータに、それぞれのネットワークの通信を許可する設定を行ってください。
- 設定に際しては、以下のデザインパターンをご覧ください。
デザインパターン名称 | 説明 |
|---|---|
| セキュリティグループ活用 | セキュリティグループ のみでアクセス制御するパターンです。 |
| セキュリティグループ/ ファイアーウォール併用 | セキュリティグループ と ファイアーウォール を組み合わせたパターンです。 |
| 機能別セキュリティグループ | 機能別にアクセス制限をかけるパターンです。 |
■ルータ 2つの場合①サブネットのみにルーティング設定
(1) 仮想ルータの作成/外部ネットワークのアタッチ
- 「仮想ルータ一覧」画面にて仮想ルータを2つ(外部-public、public-private)を作成します(ポータル/手順は上記参照)。
- 外部-public用の仮想ルータと外部ネットワークをアタッチします(ポータル/手順は上記参照)。
(2) 内部ネットワーク/サブネットの作成
- ネットワーク画面にてpublic層/private層それぞれのネットワークを作成します。
- 「ネットワーク」⇒「仮想ネットワーク」画面で、「+」ボタンをクリックします。
- 「仮想ネットワーク作成」画面で、以下の項目を入力し、「作成」ボタンをクリックします。
| タブ | 項目 | 必須 | 設定値 | 内容 | |
|---|---|---|---|---|---|
| 内部ネットワーク (public層) | 内部ネットワーク (private層) | ||||
| 仮想 ネット ワーク | AZ | 必須 | "jp-east-2b" | "jp-east-2b" | システムを設置するアベイラビリティゾーン AZ1:"jp-east-2a" AZ2:"jp-east-2b" |
| 仮想 ネットワーク名 | 必須 | "demo_intnet3" | "demo_intnet4" | 適宜設定してください。 | |
| 管理状態 | 必須 | "UP" | "UP" | 適宜設定してください。 | |
| サブ ネット | サブネット作成 | 必須 | "あり" | "あり" | |
| サブネット名 | 必須 | "demo_subnet3" | "demo_subnet4" | 適宜設定してください。 | |
仮想ネットワーク アドレス | 必須 | "192.168.13.0/24" | "192.168.14.0/24" | CIDR形式で入力してください。 | |
| ゲートウェイ | 推奨 | "あり" | "あり" | ||
| ゲートウェイIP | 推奨 | "192.168.13.1" | "192.168.14.1" | 必須ではありませんが、設定してください。 ※この後に設定する仮想ルータの IPアドレスとなります。 | |
| サブ ネット 詳細 | DHCP | 推奨 | "有効" | "有効" | 必須ではありませんが、設定してください。 ※この項目は、 インターネット接続パターンの DHCPに関する説明 をご覧ください。 |
| IPアドレス 割当プール | 任意 | 必要に応じて設定してください。 | |||
| DNSサーバ | 推奨 | "133.162.106.10", "133.162.106.9" | "133.162.106.10", "133.162.106.9" | 必須ではありませんが、設定してください。 ポータル上では、後から追加できません。 DNSサーバは1行につき1項目設定できます。 ※DNSサーバのIPアドレスはリージョン/AZごとに異なります。 詳細は、機能説明書を参照してください。 | |
| 追加の ルート設定 | 任意 | Destination:"192.168.14.0/24" Nexthop:"192.168.13.254" | ゲートウェイIPに設定されるデフォルトのルート以外で接続する宛先を設定します。 以下を設定します。 - CIDR形式の宛先(Destination) - その宛先へ接続するルータ(Nexthop) | ||
(3) 外部-public間の仮想ルータにインタフェース追加
- 「仮想ルーター」画面にて外部-public間の仮想ルータの詳細を開き、インタフェース追加を行います。
| 項目 | 必須 | 設定値 | 内容 |
|---|---|---|---|
| サブネット | 必須 | "demo_subnet3" | 内部ネットワークpublic層を選択してください。 |
| IPアドレス | 必須 | "192.168.13.1" | 内部ネットワーク作成の際に設定したゲートウェイIPアドレスを設定してください。 |
(4) public-private間の仮想ルータにインタフェース追加
- public-private間の仮想ルータの詳細を開き、インタフェース追加を行います。
| 項目 | 必須 | 設定値 | 内容 | |
|---|---|---|---|---|
| 内部ネットワーク (public層) | 内部ネットワーク (private層) | |||
| サブネット | 必須 | "demo_subnet3" | "demo_subnet4" | 内部ネットワーク作成の際に設定したサブネットを選択してください。 |
| IPアドレス | 必須 | "192.168.13.254" | "192.168.14.1" |
|
(5) セキュリティ設定 (ファイアーウォール/セキュリティグループ)
- 仮想サーバを配備する前に、ファイアーウォールやセキュリティグループの設定を行ってください。
- ファイアーウォールの設定は、2つの仮想ルータ(外部ネットワーク-public、public-private)に、
それぞれの通信を許可する設定を行ってください。 - 設定に際しては、以下のデザインパターンをご覧ください。
デザインパターン名称 | 説明 |
|---|---|
| セキュリティグループ活用 | セキュリティグループ のみでアクセス制御するパターンです。 |
| セキュリティグループ/ ファイアーウォール併用 | セキュリティグループ と ファイアーウォール を組み合わせたパターンです。 |
| 機能別セキュリティグループ | 機能別にアクセス制限をかけるパターンです。 |
(6) 参考:サブネットに設定したルーティング情報の更新
- サブネットに設定したルーティング情報は、APIで更新可能です。
ルーティング情報の更新は、ポータルではできません。 - サブネットへのルーティング情報の更新後には、当該サブネット上の仮想サーバの再起動が必要です。
- 設定項目(REST API)
項目 | 設定値 | 内容 |
|---|---|---|
| $SUBNET_ID | (生成されたID) | サブネットID |
- 設定項目(json)
項目 | 設定値 | 内容 |
|---|---|---|
| $HOST_ROUTES | {\"nexthop\":\"192.168.13.254\",\"destination\":\"192.168.14.0/24\"}, {\"nexthop\":\"192.168.13.1\",\"destination\":\"0.0.0.0/0\"} | ルーティング情報 - ルータ - 宛先のサブネット |
- 実行API
curl -i $NETWORK/v2.0/subnets/$SUBNET_ID -X PUT -H "X-Auth-Token: $OS_AUTH_TOKEN" -H "Content-Type: application/json" -d '{"subnet": { "host_routes": ['$HOST_ROUTES'] }}'
■ルータ 2つの場合②仮想ルータとサブネットにルーティング設定
本手順は、東日本リージョン2相当のリージョンのみ可能です。
(APIリファレンスが東日本リージョン2と同じリージョンは、東日本リージョン2相当となります。)
また、以下の (1)から (5)までの手順は、サブネットのみにルーティング設定する方式と手順は同じです。各手順を参照してください。
(1) 仮想ルータの作成/外部ネットワークのアタッチ
(2) 内部ネットワーク/サブネットの作成
(3) 外部-public間の仮想ルータにインタフェース追加
(4) public-private間の仮想ルータにインタフェース追加
(5) セキュリティ設定 (ファイアーウォール/セキュリティグループ)
(6) 仮想ルータへのルーティング設定
- 仮想ルータへのルーティング設定は、APIで行います。ポータルではできません。
- 仮想ルータへのルーティング情報の更新後は、サブネットでのルーティング更新と異なり、仮想サーバの再起動は不要です。
- 設定項目(REST API)
項目 | 設定値 | 内容 |
|---|---|---|
| $ROUTER_ID | (生成されたID) | 仮想ルータID |
- 設定項目(json)
設定先 | 設定値 | 設定項目(json) (変数 $HOST_ROUTES に設定する値) | |
|---|---|---|---|
| CIDR形式の宛先(Destination) | その宛先へ接続するルータ(Nexthop) | ||
| 外部-public間の仮想ルータ | "192.168.14.0/24" | "192.168.13.254" | {\"nexthop\":\"192.168.13.254\", \"destination\":\"192.168.14.0/24\"} |
| public-private間の仮想ルータ | "0.0.0.0/0" | "192.168.13.1" | {\"nexthop\":\"192.168.13.1\", \"destination\":\"0.0.0.0/0\"} |
- 実行API
curl -i $NETWORK/v2.0/routers/$ROUTER_ID -X PUT -H "X-Auth-Token: $OS_AUTH_TOKEN" -H "Content-Type: application/json" -d '{"router": { "routes": ['$HOST_ROUTES'] }}'
メリット・効果
ルータが1つの構成と2つの構成に共通のメリット・効果は以下の通りです。
- セグメント間の通信で、ファイアーウォールによるアクセス制御をかけることができます。
ルータが1つの構成のメリット・効果は以下の通りです。
- 全てのサブネット上の仮想サーバにグローバルIPを割り当てて直接インターネットと接続することが可能です。
- セキュリティの設定により、以下のような利用形態を設定可能です。
| ネットワーク | 形態① | 形態② | 形態③ |
|---|---|---|---|
| 内部ネットワーク1 | DMZ | DMZ | 内部セグメント |
| 内部ネットワーク2 | DMZ | 内部セグメント | 内部セグメント |
| ※DMZ | インターネットに公開するセグメント |
| ※内部セグメント | インターネットに非公開とするセグメント |
ルータが2つの構成のメリット・効果は以下の通りです。
- ルータ 2つの場合のイメージ図のprivate層とpublic層のように、
仮想ルータを分けられる (=ファイアーウォールを分けられる) ため、
構築時の操作ミスを防ぎます。 - private層の仮想サーバにはグローバルIPアドレスを割り当てられないため、同じく構築時の操作ミスを防ぎます。
- private層はインターネットから直接通信できないため、セキュリティを確保できます。
- イメージ図のように、従来のオンプレミスのシステムに近い階層構造のネットワーク構成が可能です。
注意事項
- 本パターンは2017年9月時点のK5(IaaS) 東日本リージョン2 で動作検証しています。
また、2018 年7月時点のK5(IaaS) 西日本リージョン3で互換性検証をしています。 - ネットワーク構成は自由度が高いため、様々な構成を実現できますが、
ファイアーウォール、セキュリティグループにて通信の制御は必ず行ってください。
その他
ルーティング情報の設定先について
- 本パターンでは、ルーティング情報はサブネットに設定しています。
サブネットに設定したルーティング情報は、仮想サーバ等が配備された時や起動された時等に、
DHCP で取得されます。 - ルーティング情報は、サブネットではなく、ルータに設定することも可能 (操作は API のみ) です。
ただし、複数のルータで構成するネットワークについては、以下のような事例もあるため、
仮想ルータで接続されていないセグメントへのルーティングを設定したいという必要性がない場合は、
サブネットに設定することを推奨します。
ネットワーク構成の形態を組み合わせたサンプルについて
ネットワーク構成の形態を組み合わせたサンプルとして、踏み台サーバにログインするメンテナンス用のネットワークと、
Webサーバを配備して一般不特定多数の利用者に Webサービス を提供するネットワークを分けたサンプルを記載します。
以下のサンプルでは、
- 仮想ルータへのルーティング設定は行わず、サブネットのみにルーティング設定としています。
- 特定のアクセス元から、ルータA 経由で踏み台サーバに ssh でログインを OKとしています。
- 踏み台サーバから、ルータC 経由で Webサーバに ssh のログインを OKとしています。
- Webサーバは、ルータB 経由で http 接続をOKとしています。
- DBサーバは、ルータB 経由で Webサーバから DBサーバの 5432ポートへの接続を OK としています。
DBサーバは、K5 が提供する データベースサービス を利用する前提として、sshログインをしないようにしています。
関連資料
- FUJITSU Cloud Service K5 マニュアル
http://jp.fujitsu.com/solutions/cloud/k5/document/
- サービスご紹介資料
- IaaS 機能説明書
- IaaS サービスポータルユーザーズガイド
- IaaS APIユーザーズガイド
- IaaS APIリファレンスマニュアル
- IaaS HEATテンプレート解説書
(2018年7月検証)
- 本資料は、特に記載がない場合は、2015年11月時点のK5(IaaS)の情報を元に記載しています。また、同じく特に記載がない場合は、東日本リージョン1で検証しています。
- 本資料は、単に情報として提供され、内容は予告なしに変更・廃止されることがあります。
-
K5の利用契約を条件に、本資料のシステム設計/構築に関する記載内容を、ご自由に利用いただけるものとします。ただし、お客様の利用については、お客様ご自身の 判断 と 責任で なされるものとし、
すべての資料、プログラム等は 現状のまま 提供され、当社は一切保証いたしません。また、その場合も、著作権・商標権・その他 知的財産権は保護されています。 -
K5をご契約いただくと、K5で提供する個々の機能の操作について、K5のヘルプデスクにお問い合わせが可能になります。その他K5のヘルプデスクでは、K5の個々の機能についてはお問い合わせ可能ですが、
本資料の記載内容をそのまま又は変更するに関係なく、本資料の記載内容と同等または記載内容に類するシステム設計/構築に関する具体的なお問い合わせにはご回答できません。 - その他、本資料のご利用にあたっては、"K5デザインパターン・実装サンプル集について" の "注意事項" をご覧ください。