階層をもたせたネットワーク構成で、外部ネットワークに接続されていない
内部ネットワーク(※1) からインターネットにアクセスするパターンです。
K5の構成では、外部ネットワークに接続されていない
内部ネットワークからインターネットに到達することができませんが、
外部ネットワークに接続された内部ネットワーク(※2)にNATサーバを構築することにより、インターネットへのアクセスが可能になります。
なお、東日本リージョン2相当のリージョンの場合は、NATサーバを構築せずに仮想ルータでNATする構成も構成可能です。
仮想ルータでNATする構成については、2階層ネットワーク構成 の「ルータ 2つの場合②」をご覧ください。
※1 イメージ図では「内部ネットワーク(private)」 ※2 イメージ図では「内部ネットワーク(public)」 |
このパターンでは、NATサーバを構築することで、外部ネットワークに接続されていない内部ネットワークからインターネットへのアクセスを可能にする例を記載します。
ネットワーク構成は、2階層ネットワーク構成 の「ルータ 2つの場合①」の構成と同一です。
ネットワーク | 内容 |
---|---|
外部ネットワーク | K5であらかじめ用意された、インターネットに接続されたネットワーク。 |
内部ネットワーク |
自分で作成するネットワーク。 ネットワーク構成やセキュリティの設定で、インターネットに接続可能にも接続不可能にもできる。 セグメントが複数階層に分かれている場合、「内部ネットワーク(private)」は、ネットワーク構成上でインターネットから接続できません。 |
|
※public層のみグローバルIPアドレス割り当て可能 ※public層のみ、インターネットからの通信を受信可能
※public層/private層とも、インターネットに通信可能
※外部とpublic層、public層とprivate層間それぞれの通信制御を各ネットワーク固有のFWにて設定可能 |
シングルAZ構成で、ネットワークを構築する手順を示します。
項目 | 必須 | 設定値 | 内容 |
---|---|---|---|
AZ | 必須 | "jp-east-1b" | システムを設置するアベイラビリティゾーン AZ1:"jp-east-1a" AZ2:"jp-east-1b" |
仮想ルーター名(外部-public) | 必須 | "demo_router_public" | 適宜設定してください。 |
仮想ルーター名(public-private) | 必須 | "demo_router_private" | 適宜設定してください。 |
(2) 内部ネットワーク/サブネットの作成
タブ | 項目 | 必須 | 設定値 | 内容 | |
---|---|---|---|---|---|
内部ネットワーク (public層) | 内部ネットワーク (private層) | ||||
仮想 ネット ワーク | AZ | 必須 | "jp-east-1b" | "jp-east-1b" | システムを設置するアベイラビリティゾーン AZ1:"jp-east-1a" AZ2:"jp-east-1b" |
仮想 ネットワーク名 | 必須 | "demo_intnet3" | "demo_intnet4" | 適宜設定してください。 | |
管理状態 | 必須 | "UP" | "UP" | 適宜設定してください。 | |
サブ ネット | サブネット作成 | 必須 | "あり" | "あり" | |
サブネット名 | 必須 | "demo_subnet3" | "demo_subnet4" | 適宜設定してください。 | |
仮想ネットワーク アドレス | 必須 | "192.168.13.0/24" | "192.168.14.0/24" | CIDR形式で入力してください。 | |
ゲートウェイ | 推奨 | "あり" | "あり" | ||
ゲートウェイIP | 推奨 | "192.168.13.1" | "192.168.14.1" | 必須ではありませんが、設定してください。 ※この後に設定する仮想ルータの IPアドレスとなります。 | |
サブ ネット 詳細 | DHCP | 推奨 | "有効" | "有効" | 必須ではありませんが、設定してください。 ※この項目は、 インターネット接続パターンのDHCPに関する説明 をご覧ください。 |
IPアドレス 割当プール | 任意 | 必要に応じて設定してください。 | |||
DNSサーバ | 推奨 | "133.162.201.10", "133.162.201.9" | "133.162.201.10", "133.162.201.9" | 必須ではありませんが、設定してください。 ポータル上では、後から追加できません。 DNSサーバは1行につき1項目設定できます。 ※DNSサーバのIPアドレスはリージョン/AZごとに異なります。 詳細は、機能説明書を参照してください。 | |
追加の ルート設定 | 任意 | Destination:"192.168.14.0/24" Nexthop:"192.168.13.100" | ゲートウェイIPに設定されるデフォルトのルート以外で接続する宛先を設定します。 以下を設定します。 - CIDR形式の宛先(Destination) - その宛先へ接続するルータ(Nexthop) |
(3) 外部-public間の仮想ルータにインタフェース追加
項目 | 必須 | 設定値 | 内容 |
---|---|---|---|
サブネット | 必須 | "demo_subnet3" | 内部ネットワーク(public層)を選択してください。 |
IPアドレス | 必須 | "192.168.13.1" | 内部ネットワーク(public層)作成の際に設定したゲートウェイIPアドレスを設定してください。 |
(4) public-private間の仮想ルータにインタフェース追加
項目 | 必須 | 設定値 | 内容 | |
---|---|---|---|---|
内部ネットワーク (public層) | 内部ネットワーク (private層) | |||
サブネット | 必須 | "demo_subnet3" | "demo_subnet4" | 内部ネットワーク作成の際に設定したサブネットを選択してください。 |
IPアドレス | 必須 | "192.168.13.100" | "192.168.14.1" |
|
(5)NATサーバの作成
(6)NATサーバへのIPフォワーディングとIPマスカレード設定
(7) NATサーバへのポート設定
項目 | 設定値 | 内容 |
---|---|---|
$PORT_ID | (生成されたID) | NATサーバが使用しているポートID |
項目 | 設定値 | 内容 |
---|---|---|
$PAIR_IP | {\"ip_address\":\"0.0.0.0/1\"}, {\"ip_address\":\"128.0.0.0/1\"}, {\"ip_address\":\"133.162.201.0/24\"} | NATを許可するIPアドレス範囲(※1) DNSサーバのIPアドレス範囲(※2) |
(8) 外部-public間の仮想ルータへのルーティング設定
項目 | 設定値 | 内容 |
---|---|---|
$ROUTER_ID | (生成されたID) | 外部-public間仮想ルータのID |
項目 | 設定値 | 内容 |
---|---|---|
$ROUTES | {\"nexthop\":\"192.168.13.100\",\"destination\":\"192.168.14.0/24\"} | 内部ネットワーク(private層)宛ての経路を設定する。 |
(9) public-private間の仮想ルータへのルーティング設定
項目 | 設定値 | 内容 |
---|---|---|
$ROUTER_ID | (生成されたID) | public-private間仮想ルータのID |
項目 | 設定値 | 内容 |
---|---|---|
$ROUTES | {\"nexthop\":\"192.168.13.3\",\"destination\":\"0.0.0.0/0\"}, {\"nexthop\":\"192.168.13.3\",\"destination\":\"133.162.201.0/24\"} | NATを許可するIPアドレス範囲およびDNSサーバのIPアドレス範囲のNexthopをNATサーバに向ける(※) |
(10) セキュリティ設定 (ファイアーウォール/セキュリティグループ)
デザインパターン名称 | 説明 |
---|---|
セキュリティグループ活用 | セキュリティグループ のみでアクセス制御するパターンです。 |
セキュリティグループ/ ファイアーウォール併用 | セキュリティグループ と ファイアーウォール を組み合わせたパターンです。 |
機能別セキュリティグループ | 機能別にアクセス制限をかけるパターンです。 |
特にありません