FUJITSU Cloud Service K5
IaaS 設計・構築ガイド(デザインパターン・実装サンプル集)
要求事項
以下の例のように、複数のネットワークをインターネットに接続する際に、ネットワークの用途に応じて、複数の仮想ルータを使い分けしたい
といった要求事項に対応するパターンです。
- メンテナンスで利用する経路(パッチを取得する等)と、
業務で利用する経路(Webサーバを提供する等)を 分離 して、
セキュリティを高めたい - 同一AZ同一プロジェクトの構成で、
Webサービス用等インターネットに公開するセグメントの仮想ルータと、
IPSecVPN を用いて別拠点を接続する仮想ルータを、
設定上のミスを防ぐために分離したい
対応するK5デザインパターン概要
K5では、ネットワークを自由に構成することができます。 オンプレミス環境のような複雑な構造のネットワーク構成も可能です。
このパターンでは、複数のルータをインターネットとの接続に利用するネットワーク構成の例を記載します。
構造 (イメージ図)
以下では、インターネットに接続する際に、外部ネットワークが 1つの場合と 2つの場合を例示しています。
いずれの場合も、同じ実装手順で構築可能です。
この構成の利用例を、その他 に記載していますので、あわせてご参照ください。
なお、複数の仮想ルータを外部ネットワークに接続する際に、K5 でサポートできない構成 があります。
こちらもあわせてご参照ください。
■外部ネットワークが 1つの場合の構成例
■外部ネットワークが 2つの場合の構成例
実装サンプル
(1) 内部ネットワーク/サブネットの作成
- ポータルで、以下の手順で、内部ネットワークを必要な階層分作成します。
- 「ネットワーク」⇒「仮想ネットワーク」画面で、画面右上の「+」ボタンをクリックします。
- 「仮想ネットワーク作成」画面で、以下の項目を入力し、「作成」ボタンをクリックします。
| タブ | 項目 | 必須 | 設定値 | 内容 | |
|---|---|---|---|---|---|
| 内部ネットワーク1 | 内部ネットワーク2 | ||||
| 仮想 ネット ワーク | AZ | 必須 | "jp-east-1b AZ" | "jp-east-1b AZ" | システムを設置するアベイラビリティゾーン AZ1:"jp-east-1a AZ" AZ2:"jp-east-1b AZ" |
| 仮想 ネットワーク名 | 必須 | "demo_intnet1" | "demo_intnet2" | 適宜設定してください。 | |
| 管理状態 | 必須 | "UP" | "UP" | 適宜設定してください。 | |
| サブ ネット | サブネット作成 | 必須 | "あり" | "あり" | 適宜設定してください。 |
| サブネット名 | 必須 | "demo_subnet1" | "demo_subnet2" | 適宜設定してください。 | |
仮想ネットワーク アドレス | 必須 | "192.168.11.0/24" | "192.168.12.0/24" | CIDR形式で入力してください。 | |
| ゲートウェイ | 推奨 | "あり" | "あり" | ||
| ゲートウェイIP | 推奨 | "192.168.11.1" | "192.168.12.1" | 必須ではありませんが、設定してください。 ※この後に設定する仮想ルータの IPアドレスとなります。 | |
| サブ ネット 詳細 | DHCP有効 | 推奨 | "有効" | "有効" | 必須ではありませんが、設定してください。 ※この項目は、 インターネット接続パターンの DHCPに関する説明 をご覧ください。 |
| IPアドレス 割当プール | 任意 | 必要に応じて設定してください。 | |||
| DNSサーバ | 推奨 | "133.162.201.10", "133.162.201.9" | "133.162.201.10", "133.162.201.9" | 必須ではありませんが、設定してください。 ポータル上では、後から追加できません。 DNSサーバは1行につき1項目設定できます。 ※DNSサーバは以下のとおりです。IaaS機能説明書をご確認ください。 AZ1:133.162.193.10、133.162.193.9 AZ2:133.162.201.10、133.162.201.9 | |
| 追加の ルート設定 | 任意 | "192.168.12.0/24, 192.168.11.254" | "192.168.11.0/24, 192.168.12.254" | ゲートウェイIPに設定されるデフォルトのルート以外で接続する宛先を設定します。 以下を設定します。 - CIDR形式の宛先(Destination) - その宛先へ接続するルータのIPアドレス(Nexthop) | |
(2) 外部接続用の仮想ルータの作成/外部ネットワークのアタッチ
- ポータルの「ネットワーク」⇒「仮想ルータ」と選択した画面で、画面右上の「+」ボタンをクリックします。
- 「新規ルータ作成」画面で、以下の項目を入力し、「作成」ボタンをクリックします。
| 項目 | 必須 | 設定値 | 内容 | |
|---|---|---|---|---|
| 内部ネットワーク1 | 内部ネットワーク2 | |||
| AZ | 必須 | "jp-east-1b AZ" | "jp-east-1b AZ" | システムを設置するアベイラビリティゾーン AZ1:"jp-east-1a AZ" AZ2:"jp-east-1b AZ" |
| 仮想ルータ名 | 必須 | "demo_router1" | "demo_router2" | 適宜設定してください。 |
- ポータルの「ネットワーク」⇒「仮想ルータ」と選択した画面で、
作成した仮想ルータの「アクション」⇒「ゲートウェイ設定」メニューをクリックし、
仮想ルータを接続させる「外部仮想ネットワーク」(インターネット側のネットワーク)を選択して、
「設定」ボタンをクリックします。
(3) 外部接続用仮想ルータにインタフェース追加
- ポータルの「ネットワーク」⇒「仮想ルータ」と選択した画面で、内部ネットワーク1用の外部接続用仮想ルータを選択します。
- インタフェースの項目の右上にある「+」ボタンをクリックし、インタフェースの追加を行います。
| 項目 | 必須 | 設定値 | 内容 |
|---|---|---|---|
| サブネット | 必須 | "demo_subnet1" | 内部ネットワーク1用のサブネットを選択してください。 |
| IPアドレス | 必須 | "192.168.11.1" | 内部ネットワーク1作成の際に設定したゲートウェイIPアドレスを設定してください。 |
- ポータルの「ネットワーク」⇒「仮想ルータ」と選択した画面で、内部ネットワーク2用の外部接続用仮想ルータを選択します。
- インタフェースの項目の右上にある「+」ボタンをクリックし、インタフェースの追加を行います。
| 項目 | 必須 | 設定値 | 内容 |
|---|---|---|---|
| サブネット | 必須 | "demo_subnet2" | 内部ネットワーク2用のサブネットを選択してください。 |
| IPアドレス | 必須 | "192.168.12.1" | 内部ネットワーク2作成の際に設定したゲートウェイIPアドレスを設定してください。 |
(4) 内部接続用の仮想ルータの作成
- ポータルで、「ネットワーク」⇒「仮想ルータ」と選択した画面で、画面右上の「+」ボタンをクリックします。
- 「新規ルータ作成」画面で、以下の項目を入力し、「作成」ボタンをクリックします。
| 項目 | 必須 | 設定値 | 内容 |
|---|---|---|---|
| AZ | 必須 | "jp-east-1b AZ" | システムを設置するアベイラビリティゾーン AZ1:"jp-east-1a AZ" AZ2:"jp-east-1b AZ" |
| 仮想ルーター名 | 必須 | "demo_router3" | 適宜設定してください。 |
(5) 内部接続用の仮想ルータにインタフェース追加
- ポータルの「ネットワーク」⇒「仮想ルータ」と選択した画面で、(4)で作成した内部接続用の仮想ルータを選択します。
- インタフェースの項目の右上にある「+」ボタンをクリックし、インタフェースの追加を行います。
| 項目 | 必須 | 設定値 | 内容 | |
|---|---|---|---|---|
| 内部ネットワーク1 | 内部ネットワーク2 | |||
| サブネット | 必須 | "demo_subnet1" | "demo_subnet2" | 内部ネットワーク作成の際に設定したサブネットを選択してください。 |
| IPアドレス | 必須 | "192.168.11.254" | "192.168.12.254" | 内部ネットワーク作成の際に「追加のルート設定」で設定した ルータ用のIPアドレスをそれぞれ設定してください。 |
(6) セキュリティ設定 (ファイアーウォール/セキュリティグループ)
- 仮想サーバ等を配備する前に、ファイアーウォールやセキュリティグループの設定を行ってください。
- 設定に際しては、以下のデザインパターンをご覧ください。
デザインパターン名称 | 説明 |
|---|---|
| セキュリティグループ活用 | セキュリティグループ のみでアクセス制御するパターンです。 |
| セキュリティグループ/ ファイアーウォール併用 | セキュリティグループ と ファイアーウォール を組み合わせたパターンです。 |
| 機能別セキュリティグループ | 機能別にアクセス制限をかけるパターンです。 |
メリット・効果
本パターンを利用して、複数ルータを利用して外部接続した場合のメリット・効果は以下の通りです。
- ネットワークの用途に応じて仮想ルータを分けることで、仮想ルータに対する設定を簡略化可能
- オンプレミス環境のような複雑な構造のネットワークも構成可能
注意事項
- 本パターンは2017年5月時点のK5(IaaS)で動作検証しています。
- K5 でのネットワーク構成は非常に自由度が高いため、
ファイアーウォールやセキュリティグループにて、通信の制御は必ず行ってください。
その他
複数のルータで Web/DBサーバをそれぞれ外部ネットワークに接続する利用例
以下の例は、機能別セキュリティグループ の
■ルータ 2つで 2階層ネットワーク構成に変更した例 で記載した 『内部ネットワーク2』 を、
外部ネットワークに接続した例となります。
以下のような要件を満たす必要がある場合は、このような構成も可能です。
- Web利用者向けにインターネットから内部への通信を許可している経路から、内部ネットワーク2 (DBのセグメント) に対して、
セキュリティ設定にかかわらず、ネットワーク構成上でその経路では直接たどり着けることがないようにしたい - 内部ネットワーク2 のセグメント上の仮想サーバからは、
- インターネットに公開されている NTPサーバを利用したい (独自にNTPサーバは立てたくない)
- セキュリティパッチを取得できるようにして、セキュリティ上の問題に迅速に対処できるようにしたい
K5でサポート出来ないネットワーク構成について
以下のように、同一の内部ネットワークから、複数のルータで外部ネットワークに接続する構成は、K5 の仕様上の問題でサポートできません。
上記の 利用例 のほか、IPSecVPN を設定する仮想ルータと Webサービス用のセグメント用の仮想ルータを分けたい等、複数のルータを
外部ネットワークへの接続に用いたい場合は、構造 (イメージ図) に記載のように、内部ネットワークを分割してください。
■K5 の仕様上サポートできない構成例
関連資料
- FUJITSU Cloud Service K5 マニュアル
http://jp.fujitsu.com/solutions/cloud/k5/document/
- サービスご紹介資料
- IaaS 機能説明書
- IaaS サービスポータルユーザーズガイド
- IaaS APIユーザーズガイド
- IaaS APIリファレンスマニュアル
- IaaS HEATテンプレート解説書
(2017年5月検証)
- 本資料は、特に記載がない場合は、2015年11月時点のK5(IaaS)の情報を元に記載しています。また、同じく特に記載がない場合は、東日本リージョン1で検証しています。
- 本資料は、単に情報として提供され、内容は予告なしに変更・廃止されることがあります。
-
K5の利用契約を条件に、本資料のシステム設計/構築に関する記載内容を、ご自由に利用いただけるものとします。ただし、お客様の利用については、お客様ご自身の 判断 と 責任で なされるものとし、
すべての資料、プログラム等は 現状のまま 提供され、当社は一切保証いたしません。また、その場合も、著作権・商標権・その他 知的財産権は保護されています。 -
K5をご契約いただくと、K5で提供する個々の機能の操作について、K5のヘルプデスクにお問い合わせが可能になります。その他K5のヘルプデスクでは、K5の個々の機能についてはお問い合わせ可能ですが、
本資料の記載内容をそのまま又は変更するに関係なく、本資料の記載内容と同等または記載内容に類するシステム設計/構築に関する具体的なお問い合わせにはご回答できません。 - その他、本資料のご利用にあたっては、"K5デザインパターン・実装サンプル集について" の "注意事項" をご覧ください。