FUJITSU Cloud Service K5
IaaS 設計・構築ガイド(デザインパターン・実装サンプル集)
要求事項
インターネット接続パターン とは逆に、内部の仮想サーバから、安全に外部に通信したいといった要求事項に対応するパターンです。
以下のような要求事項に対応します。
- インターネット上のyumリポジトリやGitHubなどからダウンロードしたい
- 仮想サーバからK5のAPIを実行したい
対応するK5デザインパターン概要
インターネット接続パターン で作成した仮想サーバのように、
外部ネットワークに接続された内部ネットワーク上の仮想サーバ であれば、
その仮想サーバからインターネット上のサーバ等への外向けの通信はセキュリティグループ機能を用いて許可をするだけで通信できるようになります。
K5の内部では、外部ネットワークに接続された内部ネットワーク上の仮想サーバからインターネット上の外部サーバに向かって送信される通信は、
仮想ルータの SNAT機能 によって プライベートなIPアドレスから グローバルなIPアドレスに変換されて、セキュリティグループの設定によって外部の
サーバへの送信が許可されていれば接続される動きとなります。
仮想サーバでグローバルなIPアドレスを設定しない状態でも、外向けの通信は可能です。
仮想ルータの SNAT機能 によって プライベートなIPアドレスから グローバルなIPアドレスに変換されて、セキュリティグループの設定によって外部の
サーバへの送信が許可されていれば接続される動きとなります。
仮想サーバでグローバルなIPアドレスを設定しない状態でも、外向けの通信は可能です。
このパターンでは、インターネット接続パターン で設定したセキュリティグループ に対して、
外部のサーバを追加する設定を記載します。
構造 (イメージ図)
実装サンプル
1.セキュリティの設定
(1) ルールの追加
- 「ネットワーク」⇒「セキュリティグループ」と選択した画面で、インターネット接続パターン で
作成したセキュリティグループ「SG_external」の「アクション」から「ルール管理」をクリックします。 - 「セキュリティグループルール管理」画面を読み込んだ状態です。
| No | 方向 | IPバージョン | プロトコル | ポート範囲 | 宛先 |
|---|---|---|---|---|---|
| 1 | egress | IPv4 | tcp | 80 - 80 | 169.254.169.254/32 |
| 2 | ingress | IPv4 | tcp | 22 - 22 | xxx.xxx.xxx.xxx/32 |
- 「セキュリティグループルール管理」画面で、「ルールの追加」ボタンをクリックします。
- 「ルールの追加」ポップアップが表示されるので、以下の No.3,4 のルールを追加します。
| No | ルール | 方向 | オープン ポート | ポート | 接続先 | セキュリティグループ |
|---|---|---|---|---|---|---|
| または CIDR | ||||||
| 3 | カスタムTCPルール | 送信 | ポート | 80 | CIDR | xx.xx.xx.xx/32 |
| 4 | カスタムTCPルール | 送信 | ポート | 443 | CIDR | xx.xx.xx.xx/32 |
※No.3,4 のルールによって、外部の特定のサーバに対するhttp(80)とhttps(443)がオープンになっています。
※(参考)上記のセキュリティグループの設定に加え、仮想ルータのファイアーウォール機能を併用すれば、
さらにセキュリティを強化できます。
- 「ルール追加」画面でルールを追加した後、「セキュリティグループルール管理」画面を読み込んだ状態です。
| No | 方向 | IPバージョン | プロトコル | ポート範囲 | 宛先 |
|---|---|---|---|---|---|
| 1 | egress | IPv4 | tcp | 80 - 80 | 169.254.169.254/32 |
| 2 | ingress | IPv4 | tcp | 22 - 22 | xxx.xxx.xxx.xxx/32 |
| 3 | egress | IPv4 | tcp | 80 - 80 | xx.xx.xx.xx/32 |
| 4 | egress | IPv4 | tcp | 443 - 443 | xx.xx.xx.xx/32 |
メリット・効果
インターネットアクセスパターンを利用した場合のメリット・効果は以下の通りです。
- 専用回線を敷設することなくすぐにインターネットにアクセス可能
注意事項
- 本パターンは2017年5月時点のK5(IaaS)で動作検証しています。
また、2018年9月時点のK5(IaaS)西日本リージョン3で動作検証をしています。 - 外部ネットワークに接続されていない内部ネットワークからインターネットへの通信については、
2階層ネットワーク構成 を参照してください。
その他
特にありません。
関連資料
- FUJITSU Cloud Service K5 マニュアル
http://jp.fujitsu.com/solutions/cloud/k5/document/
- サービスご紹介資料
- IaaS 機能説明書
- IaaS サービスポータルユーザーズガイド
- IaaS APIユーザーズガイド
- IaaS APIリファレンスマニュアル
- IaaS HEATテンプレート解説書
インターネットアクセスパターン (2018年9月検証)
- 本資料は、特に記載がない場合は、2015年11月時点のK5(IaaS)の情報を元に記載しています。また、同じく特に記載がない場合は、東日本リージョン1で検証しています。
- 本資料は、単に情報として提供され、内容は予告なしに変更・廃止されることがあります。
-
K5の利用契約を条件に、本資料のシステム設計/構築に関する記載内容を、ご自由に利用いただけるものとします。ただし、お客様の利用については、お客様ご自身の 判断 と 責任で なされるものとし、
すべての資料、プログラム等は 現状のまま 提供され、当社は一切保証いたしません。また、その場合も、著作権・商標権・その他 知的財産権は保護されています。 -
K5をご契約いただくと、K5で提供する個々の機能の操作について、K5のヘルプデスクにお問い合わせが可能になります。その他K5のヘルプデスクでは、K5の個々の機能についてはお問い合わせ可能ですが、
本資料の記載内容をそのまま又は変更するに関係なく、本資料の記載内容と同等または記載内容に類するシステム設計/構築に関する具体的なお問い合わせにはご回答できません。 - その他、本資料のご利用にあたっては、"K5デザインパターン・実装サンプル集について" の "注意事項" をご覧ください。