FUJITSU Cloud Service K5
IaaS 設計・構築ガイド(デザインパターン・実装サンプル集)
要求事項
K5 IaaS と K5 DB(Oracle) を用いてサービスを構築したいといった要求事項に対応するパターンです。
- K5 IaaS と K5 DB(Oracle) を接続する際の基本的な方法を把握したい
- 安全に仮想サーバを操作し、サービスを構築・保守したい
- 安全に仮想サーバを利用したい
対応するK5デザインパターン概要
このパターンでは、K5 DB(Oracle) の基本的な利用方法として、指定したIPアドレスからのみアクセス可能とし、他のIPアドレスからの侵入を防ぐ例を記載します。
具体的には、以下のように、K5 IaaS 上でのセキュリティを高める構成やアクセス制御機能と、K5 DB(Oracle) のアクセスルール機能について記載します。
- K5 IaaS 内の仮想サーバからのアウトバウンド通信のみを許可します。インターネット側からのインバウンド通信は不可とします。
そのため、仮想サーバにはグローバルIPアドレスは割り当ては不要です。 - 外部接続ルータに割り当てられたSNATのグローバルIPアドレスを、K5 DB(Oracle) のアクセス許可元に設定します。
これにより、K5 IaaS 内の仮想サーバからのみアクセス可能になります。
なお、SNATのグローバルIPアドレスは、仮想ルータの作り直しもしくは仮想ルータのゲートウェイ設定(external_gatewayの設定)の再設定を行わない限り、変わることはありません。
構造 (イメージ図)
実装サンプル
1.作業概要
(1) 作業順序
下図に、作業順序①~⑫を提示します。作業順序①~⑫ごとの作業手順は、「(2) 作業手順」をご覧ください。
なお、ここで記載しているIPアドレスや構成はサンプルです。利用者の環境に合わせて変更してください。
| IPアドレス | 本資料での設定値 | 備考 |
|---|---|---|
| 内部ネットワークのサブネット | 192.168.1.0/24 | サブネット作成時に入力します。 |
| デフォルトゲートウェイ(仮想ルータ) | 192.168.1.1 | サブネット作成時、仮想ルータのインタフェース設定時に入力します。 |
| 仮想ルータに割り当てらるグローバルIPアドレス | 133.162.191.1 | 仮想ルータのゲートウェイ設定時に割り当てられます。 |
| 仮想サーバ作成時に割り当てられるプライベートIPアドレス | 192.168.1.10 | 仮想サーバ作成時にDHCPで割り当てられます。 |
| KB DB(Oracle)に割り当てられるグローバルIPアドレス | 129.191.1.1 | K5 DB(Oracle)のサービス・インスタンスの作成時に割り当てられます。 |
(2) 作業手順
| No | 作業対象 | 手順 | 主な設定内容、および留意事項 |
|---|---|---|---|
| ① | K5 DB(Oracle) | サービス・インスタンスの作成 | K5 DB(Oracle)ポータルから、サービス・インスタンスを作成します。 作業については、関連資料 「FUJITSU Cloud Service K5 DB powered by Oracle® Cloud ユーザーズ・ガイド 第2部 サービス・インスタンス編 」の「サービス・インスタンスの作成」を参照してください。 |
| ② | K5 IaaS | 新規プロジェクトの作成 | K5ポータルから、プロジェクトの作成を行います。 作業については、「開発・本番プロジェクトパターン」 の 「プロジェクトの作成」を参照してください。 また、プロジェクトの作成を実施するにあたり、新しく追加するユーザがいる場合や、権限を一括で管理したい場合は、「開発・本番プロジェクトパターン」 の 「ユーザの作成」、または 「グループの作成」を参照してください。 |
| ③ | K5 IaaS | 外部接続用仮想ルータの配備 | K5ポータルから、外部ネットワークと内部ネットワークを接続するためのルータを配備します。 作業については、「インターネット接続パターン」 の 「ネットワークの作成-仮想ルータの作成」 を参照してください。 |
| ④ | K5 IaaS | ゲートウェイの設定 | K5ポータルから、仮想ルータと外部ネットワークを接続します。 作業については、「インターネット接続パターン」 の 「ネットワークの作成-仮想ルータにゲートウェイ設定」 を参照してください。 |
| ⑤ | K5 IaaS | 内部ネットワークの作成 | K5ポータルから、内部ネットワークを作成します。 作業については、「インターネット接続パターン」 の 「ネットワークの作成-内部ネットワークの作成」を参照してください。 |
| ⑥ | K5 IaaS | インタフェースの追加 | K5ポータルから、外部接続用仮想ルータと内部ネットワークを接続します。 作業については、「インターネット接続パターン」 の 「ネットワークの作成-仮想ルータにサブネットをアタッチ」を参照してください。 |
| ⑦ | K5 IaaS | セキュリティグループの設定 | K5ポータルから、セキュリティグループを作成します。 作業については、「インターネット接続パターン」 の 「セキュリティグループの設定-セキュリティグループの作成~セキュリティグループ利用時の注意事項」を参照してください。 設定例については、本資料「(1)セキュリティグループの設定」を参照してください。 |
| ⑧ | K5 IaaS | ファイアーウォールの設定 | APIを利用して、ファイアーウォールの設定を行います。 ※グローバルIPアドレスの割り当てを行っていないため、インバウンド通信は発生しませんが、より安全性を高めるため、設定することをお勧めします。 作業については、「セキュリティグループ/ファイアーウォール併用パターン」 の 「ファイアーウォールのルール設定手順-ファイアーウォールルールの作成~ファイアーウォールポリシーを仮想ルータに適用」を参照してください。設定例については、本資料「(2)ファイアーウォールの設定」を参照してください。 |
| ⑨ | K5 IaaS | 仮想サーバの作成 | K5ポータルから、仮想サーバを作成します。 作業については、「インターネット接続パターン」 の 「キーペアの作成、及び仮想サーバの作成」を参照してください。 ※このパターンでは、グローバルIPアドレスの割り当ては不要です。 |
| ⑩ | K5 IaaS | 仮想サーバにログイン | 作成した仮想サーバに対して、下記の方法で接続します。 1) お客様の端末からリモートデスクトップで接続する。 2) K5ポータルから「コンピュート」⇒「仮想サーバ」画面で、 「Action」⇒「リモートコンソールを選択して、接続する。 ※2)の方法で接続する場合は、リモートコンソール機能の対応ブラウザをご利用ください。 |
| ⑪ | K5 IaaS | 仮想ルータに割り当てられるグローバルIPアドレス確認 | 接続した仮想サーバからグローバルIPアドレス確認サイト等へアクセスして、仮想ルータに割り当てられるSNAT用のグローバルIPアドレスを確認します。 ※外部接続ルータ/ファイアーウォールに割り当てられたSNATのグローバルIPアドレスは、K5 IaaSのダッシュボードやAPIでは確認できません。 作業については、本資料「(3)仮想ルータに割り当てられるグローバルIPアドレス確認」を参照してください。 |
| ⑫ | K5 DB(Oracle) | アクセスルールの変更 | K5 DB(Oracle)ポータルから、作成したサービス・インスタンスのアクセスルールを変更します。 作業については、関連資料 「FUJITSU Cloud Service K5 DB powered by Oracle® Cloud ユーザーズ・ガイド 第2部 サービス・インスタンス編 」のアクセスルールの変更を参照してください。 設定例については、本資料「2.設定例」の「(4)作業手順⑫アクセスルールの変更」を参照してください。 |
2.設定例
(1) 作業手順⑦セキュリティグループの設定
(a) 仮想サーバの設定やインストールに必要な設定例
No | 方向 | IPバージョン | プロトコル | ポート | 宛先 | 備考 |
|---|---|---|---|---|---|---|
| 1 | 送信 | IPv4 | tcp | 80 | 0.0.0.0/0 | 仮想ルータに割り当てられるグローバルIPアドレスの確認や、SQL*PLUS等のインストール、OSのセキュリティパッチを配布するサーバへのアクセス等のために設定します。 ※設定やインストール後に、0.0.0.0/0 に対する 80/tcp の送信のルールを削除してもかまいません。 ただし、削除する場合には、代わりに以下の設定を必ず追加してください。 仮想サーバ起動時に、仮想サーバは以下のIPアドレスから仮想サーバの起動に必要な情報を取得するため、以下の設定は必須の設定です。 方向:送信、IPv4、tcp、ポート:80、宛先:169.254.254/32 |
| 2 | 送信 | IPv4 | tcp | 443 | 0.0.0.0/0 | 仮想ルータに割り当てられるグローバルIPアドレスの確認や、SQL*PLUS等のインストール、OSのセキュリティパッチを配布するサーバへのアクセス等のために設定します。 ※設定やインストール後に、0.0.0.0/0 に対する 443/tcp の送信のルールを削除してもかまいません。 |
| 3 | 送信 | IPv4 | udp | 53 | 0.0.0.0/0 | DNS を参照するために必須の設定です。 ※この設定は削除できません。 |
(b) K5 DB(Oracle) に接続するための設定例
No | 方向 | IPバージョン | プロトコル | ポート | 宛先 | 備考 |
|---|---|---|---|---|---|---|
| 1 | 送信 | IPv4 | tcp | 1521 | 129.191.1.1/32 | 作業手順①で作成した、サービス・インスタンスのパブリックIPアドレスを確認し、セキュリティグループの宛先にCIDR形式で設定します。 ポート1521:OracleNet ポート21:ftps ※本資料では、例として、パブリックIPアドレスを 「129.191.1.1」 と定義します。 |
| 2 | 送信 | IPv4 | tcp | 21 | 129.191.1.1/32 |
※K5 DB(Oracle) のサービス・インスタンスのパブリックIPアドレスは、以下のように確認できます。
(c) その他の設定例
必要に応じて、以下の設定も行ってください。
宛先については、 0.0.0.0/0を指定していますが、必要に応じて変更してください。
また、セキュリティグループを追加する場合は、ファイアーウォールの設定も合わせて見直してください。
No | 方向 | IPバージョン | プロトコル | ポート | 宛先 | 備考 |
|---|---|---|---|---|---|---|
| 1 | 送信 | IPv4 | udp | 123 | 0.0.0.0/0 | NTPサーバ:時刻を同期するための設定 |
| 2 | 送信 | IPv4 | tcp | 1688 | 0.0.0.0/0 | Windowsライセンス認証 (KMS):ライセンス認証するための設定 |
| 3 | 送信 | IPv4 | tcp | 8530 | 0.0.0.0/0 | WSUS (Windows Server Update Services) サーバ:WSUSを利用するための設定 ※詳細については、関連資料「FUJITSU Cloud Service K5 マニュアル」の IaaS 機能説明書の「付録A.18」を参照してください。 |
| 4 | 送信 | IPv4 | tcp | 3389 | 0.0.0.0/0 | リモートデスクトップを利用するための設定 |
| 5 | 受信 | IPv4 | tcp | 3389 | 0.0.0.0/0 | リモートデスクトップを利用するための設定 |
| 6 | 受信 | IPv4 | tcp | 80 | 0.0.0.0/0 | Web/APサーバとして利用するための設定 |
| 7 | 受信 | IPv4 | tcp | 443 | 0.0.0.0/0 | Web/APサーバとして利用するための設定 |
(2) 作業手順⑧ファイアーウォールの設定
以下の内容で設定します。
| No | ルール名称 | プロトコル | IP種別 | アクション | 送信先アドレス (DESTINATION) | 送信先 ポート | 送信元アドレス (SOURCE) | 送信元 ポート | 備考 |
|---|---|---|---|---|---|---|---|---|---|
| 1 | http_ok | tcp | 4 | allow | - | 80 | 192.168.1.0/24 | - | 構築時は、K5仮想サーバのIPアドレスは配備するまでの間は不明であるため、サブネットのIPアドレスを設定します。 ※この例では 「192.168.1.0/24」 を設定しています。 仮想サーバ配備後、K5仮想サーバのIPアドレスを設定します。 |
| 2 | https_ok | tcp | 4 | allow | - | 443 | 192.168.1.0/24 | - | |
| 3 | oraclenet_ok | tcp | 4 | allow | 129.191.1.1/32 | 1521 | 192.168.1.0/24 | - | 「129.191.1.1/32」 は、作業手順①で作成したK5 DB(Oracle) のインスタンスのパブリックIPアドレスです。 Oracleクライアント並びにFTP(パッシブモード)の通信を許可します。 |
| 4 | ftps_ok | tcp | 4 | allow | 129.191.1.1/32 | 21 | 192.168.1.0/24 | - | |
| 5 | ftps_dat_ok | tcp | 4 | allow | 129.191.1.1/32 | 30020-30030 | 192.168.1.0/24 | - | |
| 6 | dns_ok1 | udp | 4 | allow | - | 53 | - | - | - |
(3) 作業手順⑪仮想ルータに割り当てられるグローバルIPアドレス確認
K5 IaaS上の仮想サーバから、curlコマンド等を使用してグローバルIPアドレス確認サイトへアクセスし、仮想サーバのSNAT用で仮想ルータに割り当てられるグローバルIPアドレスを確認してください。
- グローバルIPアドレスの確認サイト例
- curl コマンドでのグローバルIPアドレスの確認例
下記のコマンドを入力すると、下記のサイトのアクセス元のグローバルIPアドレスが表示されます。
curl http://inet-ip.info/
(4) 作業手順⑫アクセスルールの変更
以下の内容で設定します。
デフォルトでは、全てのアクセスルールが無効 (アクセス不可) の状態となっております。
また、アクセスルールの設定対象はバージョン、エディション、ノード構成によって異なります。
以下を参考に、必要なポートに対してのみアクセス許可を設定し、アクセスルールを有効化してください。
バージョン | エディション | ノード 構成 | FTPS 制御 | FTPS PASV データ転送 | DBaaS Monitor | EM Database Control | DB Listener | DB Listener | EM Express | ONS |
|---|---|---|---|---|---|---|---|---|---|---|
| 21 | 30020~30030 | 443 | 1158 | 1521 | 1522 | 5500 | 6200 | |||
| ftps | ftps | https | https | Oracle Net | Oracle Net | https | Oracle独自 | |||
| 11gR2 | SE | シングル | ○ | ○ | ○ | ○ | ○ | - | - | - |
| EE | シングル | ○ | ○ | ○ | ○ | ○ | - | - | - | |
| EE_HP | シングル | ○ | ○ | ○ | ○ | ○ | - | - | - | |
| EE_EP | シングル | ○ | ○ | ○ | ○ | ○ | - | - | - | |
| EE_EP | RAC | ○ | ○ | - | ○ | ○ | ○ | - | ○ | |
| 12cR1 | SE | シングル | ○ | ○ | ○ | - | ○ | - | ○ | - |
| EE | シングル | ○ | ○ | ○ | - | ○ | - | ○ | - | |
| EE_HP | シングル | ○ | ○ | ○ | - | ○ | - | ○ | - | |
| EE_EP | シングル | ○ | ○ | ○ | - | ○ | - | ○ | - | |
| EE_EP | RAC | ○ | ○ | - | - | ○ | ○ | ○ | ○ | |
| 12cR2 | SE | シングル | ○ | ○ | ○ | - | ○ | - | ○ | - |
| EE | シングル | ○ | ○ | ○ | - | ○ | - | ○ | - | |
| EE_HP | シングル | ○ | ○ | ○ | - | ○ | - | ○ | - | |
| EE_EP | シングル | ○ | ○ | ○ | - | ○ | - | ○ | - | |
| EE_EP | RAC | ○ | ○ | - | - | ○ | ○ | ○ | ○ |
メリット・効果
K5 DB(Oracle) パターンを利用した場合のメリット・効果は以下の通りです。
- 特別な知識・スキルがなくても、迅速かつ簡単に Oracle Database を利用可能
注意事項
- 本パターンは2017年6月時点のK5(IaaS)で動作検証しています。
- K5 DB(Oracle)の契約について
- K5 DB(Oracle)は、「利用者」が契約することが前提となっています。
- 「契約者」=「利用者」でない場合、オラクル社との調整が必要となるため、弊社営業にお問合せください。
| No | お問合せが必要となる利用例 | 本来の契約者 |
|---|---|---|
| ① | K5 DB(Oracle)を利用して SaaS を提供 | サービス利用者 |
| ② | 親会社がシステムを提供、関連会社がシステムを利用 | 関連会社 |
その他
クライアントからデータベースへの接続方法
(1) 接続記述子の確認
- K5 DB(Oracle)ポータルにログインします。
- 「インスタンス」画面で、作業手順①で作成した「インスタンス名」をクリックします。
- 「インスタンス詳細」画面のデータベース情報に記載されている「接続記述子」を確認します。
(2) 簡易接続
- 以下の内容を確認し、クライアントからコマンドを実行し、データベースに接続します。
クライアントが WindowsOS の場合は、コマンドプロンプトから、UnixOS の場合はターミナルなどから実行して下さい。
| 項目 | 説明 |
|---|---|
| ユーザ名 | systemユーザでログインする際のユーザ名は、「system」になります。 |
| パスワード | サービス・インスタンスを作成した際に設定したパスワードになります。 |
sqlplus <ユーザー名>/<パスワード>@<パブリックIPアドレス>:<ポート番号>/<SID、又はPDB名>.<アイデンティティ・ドメイン>.oraclecloud.internal
- 以下は例になります。
sqlplus system/password@129.191.1.1:1521/PDB1.a111111.oraclecloud.internal
- コマンド入力を省略化したい場合は、関連資料「FUJITSU Cloud Service K5 DB powered by Oracle® Cloud ユーザーズ・ガイド
第2部 サービス・インスタンス編」の「 tnsnames.ora を使用する接続」を参照してください。
関連資料
- FUJITSU Cloud Service K5 マニュアル
http://jp.fujitsu.com/solutions/cloud/k5/document/
- サービスご紹介資料
- IaaS 機能説明書
- IaaS サービスポータルユーザーズガイド
- IaaS APIユーザーズガイド
- IaaS APIリファレンスマニュアル
- IaaS HEATテンプレート解説書
- FUJITSU Cloud Service K5 DB powered by Oracle® Cloud マニュアル
/lib/jp/dbora/document/list/doclist_dbora.html
- スタートアップ・ガイド
- ユーザーズ・ガイド 第1部 ポータル/課金管理編
- ユーザーズ・ガイド 第2部 サービス・インスタンス編
- APIリファレンス 他
(2017年6月検証)
- 本資料は、特に記載がない場合は、2015年11月時点のK5(IaaS)の情報を元に記載しています。また、同じく特に記載がない場合は、東日本リージョン1で検証しています。
- 本資料は、単に情報として提供され、内容は予告なしに変更・廃止されることがあります。
-
K5の利用契約を条件に、本資料のシステム設計/構築に関する記載内容を、ご自由に利用いただけるものとします。ただし、お客様の利用については、お客様ご自身の 判断 と 責任で なされるものとし、
すべての資料、プログラム等は 現状のまま 提供され、当社は一切保証いたしません。また、その場合も、著作権・商標権・その他 知的財産権は保護されています。 -
K5をご契約いただくと、K5で提供する個々の機能の操作について、K5のヘルプデスクにお問い合わせが可能になります。その他K5のヘルプデスクでは、K5の個々の機能についてはお問い合わせ可能ですが、
本資料の記載内容をそのまま又は変更するに関係なく、本資料の記載内容と同等または記載内容に類するシステム設計/構築に関する具体的なお問い合わせにはご回答できません。 - その他、本資料のご利用にあたっては、"K5デザインパターン・実装サンプル集について" の "注意事項" をご覧ください。