FUJITSU Cloud Service K5
IaaS 設計・構築ガイド（デザインパターン・実装サンプル集）

PRIMECLUSTER_SG_stack_sample



description: SecurityGroup for PRIMECLUSTER sample template.
heat_template_version: '2013-05-23'
parameters: 
  virtual_gateway_ip_address:
    type: string
    description: 'ゲートウェイIPアドレス(GLSの監視先)'
    default: '192.168.201.254/32'

  fumidai_server_ip_address:
    type: string
    description: '踏み台サーバのIPアドレス'
    default: '192.168.xxx.xxx/32'

resources:
# SecurityGroup
  PCL_COM_security_group:
    type: OS::Neutron::SecurityGroup
    properties:
      name: PCL_COM
      description: '2.1.2.2 共通セキュリティグループ'
      rules:
        # metadata
        - direction: egress
          port_range_max: 80
          port_range_min: 80
          protocol: tcp
          remote_ip_prefix: 169.254.169.254/32
        # DNS
        - direction: egress
          ethertype: IPv4
          port_range_min: 53
          port_range_max: 53
          protocol: tcp
          remote_ip_prefix: 0.0.0.0/0
        - direction: egress
          ethertype: IPv4
          port_range_min: 53
          port_range_max: 53
          protocol: udp
          remote_ip_prefix: 0.0.0.0/0
        # NTP
        - direction: egress
          ethertype: IPv4
          port_range_min: 123
          port_range_max: 123
          protocol: tcp
          remote_ip_prefix: 0.0.0.0/0
        - direction: egress
          ethertype: IPv4
          port_range_min: 123
          port_range_max: 123
          protocol: udp
          remote_ip_prefix: 0.0.0.0/0


  PCL_NODE_security_group:
    type: OS::Neutron::SecurityGroup
    properties:
      name: PCL_NODE
      description: '2.1.2.3 業務LAN(兼管理LAN)用セキュリティグループ'
      rules:
        # 443/tcp
        - direction: egress
          ethertype: IPv4
          port_range_min: 443
          port_range_max: 443
          protocol: tcp
          remote_ip_prefix: 0.0.0.0/0
        # 9382/udp
        - direction: ingress
          ethertype: IPv4
          port_range_min: 9382
          port_range_max: 9382
          protocol: udp
          remote_mode: remote_group_id
        - direction: egress
          ethertype: IPv4
          port_range_min: 9382
          port_range_max: 9382
          protocol: udp
          remote_mode: remote_group_id
        # 9796/udp
        - direction: ingress
          ethertype: IPv4
          port_range_min: 9796
          port_range_max: 9796
          protocol: udp
          remote_mode: remote_group_id
        - direction: egress
          ethertype: IPv4
          port_range_min: 9796
          port_range_max: 9796
          protocol: udp
          remote_mode: remote_group_id
        # 9797/tcp
        - direction: ingress
          ethertype: IPv4
          port_range_min: 9797
          port_range_max: 9797
          protocol: tcp
          remote_mode: remote_group_id
        - direction: egress
          ethertype: IPv4
          port_range_min: 9797
          port_range_max: 9797
          protocol: tcp
          remote_mode: remote_group_id
        # icmp
        - direction: egress
          ethertype: IPv4
          port_range_min: 0
          port_range_max: 0
          protocol: icmp
          remote_mode: remote_ip_prefix
          remote_ip_prefix: {get_param: virtual_gateway_ip_address}
        # 3260/tcp
        - direction: ingress
          ethertype: IPv4
          port_range_min: 3260
          port_range_max: 3260
          protocol: tcp
          remote_mode: remote_group_id
        - direction: egress
          ethertype: IPv4
          port_range_min: 3260
          port_range_max: 3260
          protocol: tcp
          remote_mode: remote_group_id



  PCL_IC_security_group:
    type: OS::Neutron::SecurityGroup
    properties:
      name: PCL_IC
      description: '2.1.2.4 クラスタインタコネクト用セキュリティグループ'
      rules:
        # */123
        - direction: ingress
          ethertype: IPv4
          port_range_min: 0
          port_range_max: 0
          protocol: '123'
          remote_mode: remote_group_id
        - direction: egress
          ethertype: IPv4
          port_range_min: 0
          port_range_max: 0
          protocol: '123'
          remote_mode: remote_group_id


  PCL_WBAV_for_NODE_security_group:
    type: OS::Neutron::SecurityGroup
    properties:
      name: PCL_WBAV_for_NODE
      description: '2.1.2.5 Web-Based Admin View用セキュリティグループ(クラスタノード用)'
      rules:
        # 8081/tcp
        - direction: ingress
          ethertype: IPv4
          port_range_min: 8081
          port_range_max: 8081
          protocol: tcp
          remote_mode: remote_group_id
          remote_group_id: {get_resource: PCL_WBAV_for_PC_security_group}
        # 9798/tcp
        - direction: ingress
          ethertype: IPv4
          port_range_min: 9798
          port_range_max: 9798
          protocol: tcp
          remote_mode: remote_group_id
          remote_group_id: {get_resource: PCL_WBAV_for_PC_security_group}
        # 9799/tcp
        - direction: ingress
          ethertype: IPv4
          port_range_min: 9799
          port_range_max: 9799
          protocol: tcp
          remote_mode: remote_group_id
          remote_group_id: {get_resource: PCL_WBAV_for_PC_security_group}
        # (for dummy)
        - direction: egress
          ethertype: IPv4
          port_range_min: 199
          port_range_max: 199
          protocol: '199'
          remote_mode: remote_group_id
          remote_group_id: {get_resource: PCL_Dummy_security_group}


  PCL_WBAV_for_PC_security_group:
    type: OS::Neutron::SecurityGroup
    properties:
      name: PCL_WBAV_for_PC
      description: '2.1.2.5 Web-Based Admin View用セキュリティグループ(管理クライアント用)'
      rules:
        # 8081/tcp
        - direction: egress
          ethertype: IPv4
          port_range_min: 8081
          port_range_max: 8081
          protocol: tcp
          remote_mode: remote_group_id
          remote_group_id: {get_resource: PCL_NODE_security_group}
        # 9798/tcp
        - direction: egress
          ethertype: IPv4
          port_range_min: 9798
          port_range_max: 9798
          protocol: tcp
          remote_mode: remote_group_id
          remote_group_id: {get_resource: PCL_NODE_security_group}
        # 9799/tcp
        - direction: egress
          ethertype: IPv4
          port_range_min: 9799
          port_range_max: 9799
          protocol: tcp
          remote_mode: remote_group_id
          remote_group_id: {get_resource: PCL_NODE_security_group}


  PCL_SSH_security_group:
    type: OS::Neutron::SecurityGroup
    properties:
      name: PCL_SSH_for_NODE
      description: '2.1.2.6 仮想サーバアクセス(ssh)用セキュリティグループ'
      rules:
        # ssh
        - direction: ingress
          ethertype: IPv4
          port_range_min: 22
          port_range_max: 22
          protocol: tcp
          remote_ip_prefix: {get_param: fumidai_server_ip_address}
        # yum
        - direction: egress
          ethertype: IPv4
          port_range_min: 80
          port_range_max: 80
          protocol: tcp
          remote_ip_prefix: 0.0.0.0/0


  PCL_RDP_security_group:
    type: OS::Neutron::SecurityGroup
    properties:
      name: PCL_RDP_for_PC
      description: '2.1.2.6 仮想サーバアクセス(RDP)用セキュリティグループ'
      rules:
        # RDP
        - direction: ingress
          ethertype: IPv4
          port_range_min: 3389
          port_range_max: 3389
          protocol: tcp
          remote_ip_prefix: {get_param: fumidai_server_ip_address}
        # (for dummy)
        - direction: egress
          ethertype: IPv4
          port_range_min: 199
          port_range_max: 199
          protocol: '199'
          remote_mode: remote_group_id
          remote_group_id: {get_resource: PCL_Dummy_security_group}


  PCL_Dummy_security_group:
    type: OS::Neutron::SecurityGroup
    properties:
      name: PCL_Dummy
      description: '2.1.2.x egressダミー用セキュリティグループ'
      rules:
        # (for dummy)
        - direction: egress
          ethertype: IPv4
          port_range_min: 199
          port_range_max: 199
          protocol: '199'
          remote_mode: remote_group_id


outputs:
  primecluster_cdp_security_group:
    description: SecurityGroup for PRIMECLUSTER

本資料は、特に記載がない場合は、2015年11月時点のK5(IaaS)の情報を元に記載しています。また、同じく特に記載がない場合は、東日本リージョン1で検証しています。
本資料は、単に情報として提供され、内容は予告なしに変更・廃止されることがあります。
K5の利用契約を条件に、本資料のシステム設計/構築に関する記載内容を、ご自由に利用いただけるものとします。ただし、お客様の利用については、お客様ご自身の判断と責任でなされるものとし、
すべての資料、プログラム等は現状のまま提供され、当社は一切保証いたしません。また、その場合も、著作権・商標権・その他知的財産権は保護されています。
K5をご契約いただくと、K5で提供する個々の機能の操作について、K5のヘルプデスクにお問い合わせが可能になります。その他K5のヘルプデスクでは、K5の個々の機能についてはお問い合わせ可能ですが、
本資料の記載内容をそのまま又は変更するに関係なく、本資料の記載内容と同等または記載内容に類するシステム設計/構築に関する具体的なお問い合わせにはご回答できません。
その他、本資料のご利用にあたっては、"K5デザインパターン・実装サンプル集について" の "注意事項" をご覧ください。

FUJITSU Cloud Service K5IaaS 設計・構築ガイド（デザインパターン・実装サンプル集）

PRIMECLUSTER_SG_stack_sample

FUJITSU Cloud Service K5
IaaS 設計・構築ガイド（デザインパターン・実装サンプル集）