K5 IaaS と K5 DB(Oracle) を用いてサービスを構築したいといった要求事項に対応するパターンです。
このパターンでは、K5 DB(Oracle) の基本的な利用方法として、指定したIPアドレスからのみアクセス可能とし、他のIPアドレスからの侵入を防ぐ例を記載します。
具体的には、以下のように、K5 IaaS 上でのセキュリティを高める構成やアクセス制御機能と、K5 DB(Oracle) のアクセスルール機能について記載します。
(1) 作業順序
下図に、作業順序①~⑫を提示します。作業順序①~⑫ごとの作業手順は、「(2) 作業手順」をご覧ください。
なお、ここで記載しているIPアドレスや構成はサンプルです。利用者の環境に合わせて変更してください。
IPアドレス | 本資料での設定値 | 備考 |
---|---|---|
内部ネットワークのサブネット | 192.168.1.0/24 | サブネット作成時に入力します。 |
デフォルトゲートウェイ(仮想ルータ) | 192.168.1.1 | サブネット作成時、仮想ルータのインタフェース設定時に入力します。 |
仮想ルータに割り当てらるグローバルIPアドレス | 133.162.191.1 | 仮想ルータのゲートウェイ設定時に割り当てられます。 |
仮想サーバ作成時に割り当てられるプライベートIPアドレス | 192.168.1.10 | 仮想サーバ作成時にDHCPで割り当てられます。 |
KB DB(Oracle)に割り当てられるグローバルIPアドレス | 129.191.1.1 | K5 DB(Oracle)のサービス・インスタンスの作成時に割り当てられます。 |
(2) 作業手順
No | 作業対象 | 手順 | 主な設定内容、および留意事項 |
---|---|---|---|
① | K5 DB(Oracle) | サービス・インスタンスの作成 | K5 DB(Oracle)ポータルから、サービス・インスタンスを作成します。 作業については、関連資料 「FUJITSU Cloud Service K5 DB powered by Oracle® Cloud ユーザーズ・ガイド 第2部 サービス・インスタンス編 」の「サービス・インスタンスの作成」を参照してください。 |
② | K5 IaaS | 新規プロジェクトの作成 | K5ポータルから、プロジェクトの作成を行います。 作業については、「開発・本番プロジェクトパターン」 の 「プロジェクトの作成」を参照してください。 また、プロジェクトの作成を実施するにあたり、新しく追加するユーザがいる場合や、権限を一括で管理したい場合は、「開発・本番プロジェクトパターン」 の 「ユーザの作成」、または 「グループの作成」を参照してください。 |
③ | K5 IaaS | 外部接続用仮想ルータの配備 | K5ポータルから、外部ネットワークと内部ネットワークを接続するためのルータを配備します。 作業については、「インターネット接続パターン」 の 「ネットワークの作成-仮想ルータの作成」 を参照してください。 |
④ | K5 IaaS | ゲートウェイの設定 | K5ポータルから、仮想ルータと外部ネットワークを接続します。 作業については、「インターネット接続パターン」 の 「ネットワークの作成-仮想ルータにゲートウェイ設定」 を参照してください。 |
⑤ | K5 IaaS | 内部ネットワークの作成 | K5ポータルから、内部ネットワークを作成します。 作業については、「インターネット接続パターン」 の 「ネットワークの作成-内部ネットワークの作成」を参照してください。 |
⑥ | K5 IaaS | インタフェースの追加 | K5ポータルから、外部接続用仮想ルータと内部ネットワークを接続します。 作業については、「インターネット接続パターン」 の 「ネットワークの作成-仮想ルータにサブネットをアタッチ」を参照してください。 |
⑦ | K5 IaaS | セキュリティグループの設定 | K5ポータルから、セキュリティグループを作成します。 作業については、「インターネット接続パターン」 の 「セキュリティグループの設定-セキュリティグループの作成~セキュリティグループ利用時の注意事項」を参照してください。 設定例については、本資料「(1)セキュリティグループの設定」を参照してください。 |
⑧ | K5 IaaS | ファイアーウォールの設定 | APIを利用して、ファイアーウォールの設定を行います。 ※グローバルIPアドレスの割り当てを行っていないため、インバウンド通信は発生しませんが、より安全性を高めるため、設定することをお勧めします。 作業については、「セキュリティグループ/ファイアーウォール併用パターン」 の 「ファイアーウォールのルール設定手順-ファイアーウォールルールの作成~ファイアーウォールポリシーを仮想ルータに適用」を参照してください。設定例については、本資料「(2)ファイアーウォールの設定」を参照してください。 |
⑨ | K5 IaaS | 仮想サーバの作成 | K5ポータルから、仮想サーバを作成します。 作業については、「インターネット接続パターン」 の 「キーペアの作成、及び仮想サーバの作成」を参照してください。 ※このパターンでは、グローバルIPアドレスの割り当ては不要です。 |
⑩ | K5 IaaS | 仮想サーバにログイン | 作成した仮想サーバに対して、下記の方法で接続します。 1) お客様の端末からリモートデスクトップで接続する。 2) K5ポータルから「コンピュート」⇒「仮想サーバ」画面で、 「Action」⇒「リモートコンソールを選択して、接続する。 ※2)の方法で接続する場合は、リモートコンソール機能の対応ブラウザをご利用ください。 |
⑪ | K5 IaaS | 仮想ルータに割り当てられるグローバルIPアドレス確認 | 接続した仮想サーバからグローバルIPアドレス確認サイト等へアクセスして、仮想ルータに割り当てられるSNAT用のグローバルIPアドレスを確認します。 ※外部接続ルータ/ファイアーウォールに割り当てられたSNATのグローバルIPアドレスは、K5 IaaSのダッシュボードやAPIでは確認できません。 作業については、本資料「(3)仮想ルータに割り当てられるグローバルIPアドレス確認」を参照してください。 |
⑫ | K5 DB(Oracle) | アクセスルールの変更 | K5 DB(Oracle)ポータルから、作成したサービス・インスタンスのアクセスルールを変更します。 作業については、関連資料 「FUJITSU Cloud Service K5 DB powered by Oracle® Cloud ユーザーズ・ガイド 第2部 サービス・インスタンス編 」のアクセスルールの変更を参照してください。 設定例については、本資料「2.設定例」の「(4)作業手順⑫アクセスルールの変更」を参照してください。 |
(1) 作業手順⑦セキュリティグループの設定
(a) 仮想サーバの設定やインストールに必要な設定例
No | 方向 | IPバージョン | プロトコル | ポート | 宛先 | 備考 |
---|---|---|---|---|---|---|
1 | 送信 | IPv4 | tcp | 80 | 0.0.0.0/0 | 仮想ルータに割り当てられるグローバルIPアドレスの確認や、SQL*PLUS等のインストール、OSのセキュリティパッチを配布するサーバへのアクセス等のために設定します。 ※設定やインストール後に、0.0.0.0/0 に対する 80/tcp の送信のルールを削除してもかまいません。 ただし、削除する場合には、代わりに以下の設定を必ず追加してください。 仮想サーバ起動時に、仮想サーバは以下のIPアドレスから仮想サーバの起動に必要な情報を取得するため、以下の設定は必須の設定です。 方向:送信、IPv4、tcp、ポート:80、宛先:169.254.254/32 |
2 | 送信 | IPv4 | tcp | 443 | 0.0.0.0/0 | 仮想ルータに割り当てられるグローバルIPアドレスの確認や、SQL*PLUS等のインストール、OSのセキュリティパッチを配布するサーバへのアクセス等のために設定します。 ※設定やインストール後に、0.0.0.0/0 に対する 443/tcp の送信のルールを削除してもかまいません。 |
3 | 送信 | IPv4 | udp | 53 | 0.0.0.0/0 | DNS を参照するために必須の設定です。 ※この設定は削除できません。 |
(b) K5 DB(Oracle) に接続するための設定例
No | 方向 | IPバージョン | プロトコル | ポート | 宛先 | 備考 |
---|---|---|---|---|---|---|
1 | 送信 | IPv4 | tcp | 1521 | 129.191.1.1/32 | 作業手順①で作成した、サービス・インスタンスのパブリックIPアドレスを確認し、セキュリティグループの宛先にCIDR形式で設定します。 ポート1521:OracleNet ポート21:ftps ※本資料では、例として、パブリックIPアドレスを 「129.191.1.1」 と定義します。 |
2 | 送信 | IPv4 | tcp | 21 | 129.191.1.1/32 |
※K5 DB(Oracle) のサービス・インスタンスのパブリックIPアドレスは、以下のように確認できます。
(c) その他の設定例
必要に応じて、以下の設定も行ってください。
宛先については、 0.0.0.0/0を指定していますが、必要に応じて変更してください。
また、セキュリティグループを追加する場合は、ファイアーウォールの設定も合わせて見直してください。
No | 方向 | IPバージョン | プロトコル | ポート | 宛先 | 備考 |
---|---|---|---|---|---|---|
1 | 送信 | IPv4 | udp | 123 | 0.0.0.0/0 | NTPサーバ:時刻を同期するための設定 |
2 | 送信 | IPv4 | tcp | 1688 | 0.0.0.0/0 | Windowsライセンス認証 (KMS):ライセンス認証するための設定 |
3 | 送信 | IPv4 | tcp | 8530 | 0.0.0.0/0 | WSUS (Windows Server Update Services) サーバ:WSUSを利用するための設定 ※詳細については、関連資料「FUJITSU Cloud Service K5 マニュアル」の IaaS 機能説明書の「付録A.18」を参照してください。 |
4 | 送信 | IPv4 | tcp | 3389 | 0.0.0.0/0 | リモートデスクトップを利用するための設定 |
5 | 受信 | IPv4 | tcp | 3389 | 0.0.0.0/0 | リモートデスクトップを利用するための設定 |
6 | 受信 | IPv4 | tcp | 80 | 0.0.0.0/0 | Web/APサーバとして利用するための設定 |
7 | 受信 | IPv4 | tcp | 443 | 0.0.0.0/0 | Web/APサーバとして利用するための設定 |
(2) 作業手順⑧ファイアーウォールの設定
以下の内容で設定します。
No | ルール名称 | プロトコル | IP種別 | アクション | 送信先アドレス (DESTINATION) | 送信先 ポート | 送信元アドレス (SOURCE) | 送信元 ポート | 備考 |
---|---|---|---|---|---|---|---|---|---|
1 | http_ok | tcp | 4 | allow | - | 80 | 192.168.1.0/24 | - | 構築時は、K5仮想サーバのIPアドレスは配備するまでの間は不明であるため、サブネットのIPアドレスを設定します。 ※この例では 「192.168.1.0/24」 を設定しています。 仮想サーバ配備後、K5仮想サーバのIPアドレスを設定します。 |
2 | https_ok | tcp | 4 | allow | - | 443 | 192.168.1.0/24 | - | |
3 | oraclenet_ok | tcp | 4 | allow | 129.191.1.1/32 | 1521 | 192.168.1.0/24 | - | 「129.191.1.1/32」 は、作業手順①で作成したK5 DB(Oracle) のインスタンスのパブリックIPアドレスです。 Oracleクライアント並びにFTP(パッシブモード)の通信を許可します。 |
4 | ftps_ok | tcp | 4 | allow | 129.191.1.1/32 | 21 | 192.168.1.0/24 | - | |
5 | ftps_dat_ok | tcp | 4 | allow | 129.191.1.1/32 | 30020-30030 | 192.168.1.0/24 | - | |
6 | dns_ok1 | udp | 4 | allow | - | 53 | - | - | - |
(3) 作業手順⑪仮想ルータに割り当てられるグローバルIPアドレス確認
K5 IaaS上の仮想サーバから、curlコマンド等を使用してグローバルIPアドレス確認サイトへアクセスし、仮想サーバのSNAT用で仮想ルータに割り当てられるグローバルIPアドレスを確認してください。
(4) 作業手順⑫アクセスルールの変更
以下の内容で設定します。
デフォルトでは、全てのアクセスルールが無効 (アクセス不可) の状態となっております。
また、アクセスルールの設定対象はバージョン、エディション、ノード構成によって異なります。
以下を参考に、必要なポートに対してのみアクセス許可を設定し、アクセスルールを有効化してください。
バージョン | エディション | ノード 構成 | FTPS 制御 | FTPS PASV データ転送 | DBaaS Monitor | EM Database Control | DB Listener | DB Listener | EM Express | ONS |
---|---|---|---|---|---|---|---|---|---|---|
21 | 30020~30030 | 443 | 1158 | 1521 | 1522 | 5500 | 6200 | |||
ftps | ftps | https | https | Oracle Net | Oracle Net | https | Oracle独自 | |||
11gR2 | SE | シングル | ○ | ○ | ○ | ○ | ○ | - | - | - |
EE | シングル | ○ | ○ | ○ | ○ | ○ | - | - | - | |
EE_HP | シングル | ○ | ○ | ○ | ○ | ○ | - | - | - | |
EE_EP | シングル | ○ | ○ | ○ | ○ | ○ | - | - | - | |
EE_EP | RAC | ○ | ○ | - | ○ | ○ | ○ | - | ○ | |
12cR1 | SE | シングル | ○ | ○ | ○ | - | ○ | - | ○ | - |
EE | シングル | ○ | ○ | ○ | - | ○ | - | ○ | - | |
EE_HP | シングル | ○ | ○ | ○ | - | ○ | - | ○ | - | |
EE_EP | シングル | ○ | ○ | ○ | - | ○ | - | ○ | - | |
EE_EP | RAC | ○ | ○ | - | - | ○ | ○ | ○ | ○ | |
12cR2 | SE | シングル | ○ | ○ | ○ | - | ○ | - | ○ | - |
EE | シングル | ○ | ○ | ○ | - | ○ | - | ○ | - | |
EE_HP | シングル | ○ | ○ | ○ | - | ○ | - | ○ | - | |
EE_EP | シングル | ○ | ○ | ○ | - | ○ | - | ○ | - | |
EE_EP | RAC | ○ | ○ | - | - | ○ | ○ | ○ | ○ |
K5 DB(Oracle) パターンを利用した場合のメリット・効果は以下の通りです。
No | お問合せが必要となる利用例 | 本来の契約者 |
---|---|---|
① | K5 DB(Oracle)を利用して SaaS を提供 | サービス利用者 |
② | 親会社がシステムを提供、関連会社がシステムを利用 | 関連会社 |
(1) 接続記述子の確認
(2) 簡易接続
項目 | 説明 |
---|---|
ユーザ名 | systemユーザでログインする際のユーザ名は、「system」になります。 |
パスワード | サービス・インスタンスを作成した際に設定したパスワードになります。 |