2階層ネットワーク構成#

本構成はFJcloud-O 東日本/西日本リージョン3向けとなります。

要求事項#

『FJcloud-O上で階層をもたせたネットワーク構成でネットワークを構築したい』という要求事項に対応するパターンです。

さらに、以下のような具体的な要求事項に対応します。

  • インターネットに公開するWeb/DBシステムにおいて、DBサーバ のセキュリティを高めるために、DBサーバ を内部セグメントに配置したい

対応するデザインパターン概要#

FJcloud-Oのネットワーク#

FJcloud-Oのネットワークでは、FJcloud-Oであらかじめ用意された「外部ネットワーク」(インターネットに接続されたネットワーク) と、自分で作成する「内部ネットワーク」があります。

ネットワーク 内容
外部
ネットワーク
FJcloud-Oであらかじめ用意された、インターネットに接続されたネットワーク。
内部
ネットワーク
自分で作成するネットワーク。
ネットワーク構成やセキュリティの設定で、インターネットに接続可能にも接続不可能にもできる。

本構成では、セキュリティ設定により、インターネットへの接続の可/不可を設定する。
  仮想ルータで接続されたサブネット間だけの通信であれば、ルーティング設定は不要。 *1
  • 本構成では、ネットワーク構成上はすべてのネットワークでインターネットと通信可能な構成 *1 となります。

*1 本資料はネットワーク構成について記載しており、セキュリティ設定については記載しておりません。
セキュリティ設定については、実装サンプルでリンクしている セキュリティグループ活用 等をご覧ください。

構造 (イメージ図)#

image

  • どのサブネットからもインターネットと双方向で通信可能 (通信制御はFWおよびSGで実施)

Note

ネットワーク構成とセキュリティ設定

本構成では、内部ネットワーク1 も 内部ネットワーク2 も、インターネットに通信可能な構成です。用途に応じてセキュリティの設計を行い、適切にファイアーウォールやセキュリティグループを設定してください。

セキュリティの設定により、以下のような利用形態が想定されます。
WebサーバとDBサーバの構成で、DBサーバを内部セグメントに配置したい場合は、セキュリティの設定で形態②となるよう設定します。

ネットワーク 形態① 形態② 形態③
内部ネットワーク1 DMZ *2 DMZ *2 内部セグメント *3
内部ネットワーク2 DMZ *2 内部セグメント *3 内部セグメント *3

*2 DMZ    : インターネットに公開するセグメント
*3 内部セグメント : インターネットに非公開とするセグメント

実装サンプル#

(1) 仮想ルータの作成/外部ネットワークのアタッチ#

  • IaaSポータルにログインします。
  • 「ネットワーク」⇒「仮想ルータ」画面で、「+」ボタンをクリックします。
  • 「仮想ルータ作成」画面で、以下の項目を入力し、「作成」ボタンをクリックします。
項目 必須 設定値例 内容
仮想ルーター名 必須 "demo_router" 適宜設定してください。
  • 「仮想ルータ一覧」画面で、作成した仮想ルータの「アクション」⇒「ゲートウェイ設定」を選択します。
    「ゲートウェイ設定画面」で仮想ルータを接続する「外部仮想ネットワーク」(インターネット側のネットワーク)を選択し、「設定」ボタンをクリックします。

(2) 内部ネットワーク/サブネットの作成#

  • 以下の手順で、内部ネットワークを必要な階層分作成します。
    • 「ネットワーク」⇒「仮想ネットワーク」画面で、「+」ボタンをクリックします。
    • 「仮想ネットワーク作成」画面で、以下の項目を入力し、「作成」ボタンをクリックします。
タブ 項目 必須 内部ネットワーク1
設定値例
内部ネットワーク2
設定値例
内容
仮想
ネットワーク
仮想ネットワーク名 必須 "demo_intnet1" "demo_intnet2" 適宜設定してください。
管理状態 必須 "UP" "UP" 適宜設定してください。
サブネット サブネット作成 必須 "あり" "あり" 適宜設定してください。
サブネット名 必須 "demo_subnet1" "demo_subnet2" 適宜設定してください。
仮想ネットワークアドレス 必須 "192.168.11.0/24" "192.168.12.0/24" CIDR形式で入力してください。
ゲートウェイ 推奨 "あり" "あり"  
ゲートウェイIP 推奨 "192.168.11.1" "192.168.12.1" 必須ではありませんが、設定してください。
この後に設定する仮想ルータのIPアドレスとなります。
サブネット
詳細
DHCP 推奨 "有効" "有効" 必須ではありませんが、設定してください。
この項目は、インターネット接続パターンのDHCPに関する説明をご覧ください。
IPアドレス割当プール 任意     必要に応じて設定してください。
DNSサーバ 推奨 "8.8.8.8" "8.8.8.8" 必須ではありませんが、設定してください。
IaaSポータル上では、後から追加できません。
DNSサーバは1行につき1項目設定できます。
追加のルート設定 任意 ゲートウェイIPに設定されるデフォルトのルート以外で接続する宛先を設定します。
csvで以下を設定します。
  • CIDR形式の宛先
  • その宛先へ接続するルータ
  • (3)仮想ルータにサブネットをアタッチ#

    • 以下の手順で、作成した内部ネットワークをすべて仮想ルータにアタッチします。
      • 「ネットワーク」⇒「仮想ルータ」画面で、作成した仮想ルータをクリックします。
      • 「インターフェース」項目の「+」ボタンをクリックします。
      • 「インターフェース追加」画面で、以下の項目を入力し、「追加」ボタンをクリックします。
    項目 必須 内部ネットワーク1
    設定値例
    内部ネットワーク2
    設定値例
    内容
    サブネット 必須 "demo_subnet1" "demo_subnet2" 内部ネットワーク作成の際に設定したサブネットを選択してください。
    IPアドレス 必須 "192.168.11.1" "192.168.12.1" 内部ネットワーク作成の際に設定したゲートウェイIPを設定してください。

    (4) セキュリティ設定 (ファイアーウォール/セキュリティグループ)#

    • 仮想サーバを配備する前に、ファイアーウォールやセキュリティグループの設定を行ってください。
    • ファイアーウォールの設定は、仮想ルータに、それぞれのネットワークの通信を許可する設定を行ってください。
    • 設定に際しては、以下のデザインパターンをご覧ください。
    デザインパターン名称 説明
    セキュリティグループ活用 セキュリティグループ のみでアクセス制御するパターンです。
    機能別セキュリティグループ 機能別にアクセス制限をかけるパターンです。

    メリット・効果#

    • セグメント間の通信で、ファイアーウォールによるアクセス制御をかけることができます。
    • セキュリティの設定により、以下のような利用形態を設定可能です。
    ネットワーク 形態① 形態② 形態③
    内部ネットワーク1 DMZ *4 DMZ *4 内部セグメント *5
    内部ネットワーク2 DMZ *4 内部セグメント *5 内部セグメント *5

    *4 DMZ    : インターネットに公開するセグメント
    *5 内部セグメント : インターネットに非公開とするセグメント

    注意事項#

    • 本パターンは2018 年7月時点のFJcloud-O 東日本/西日本リージョン3 で動作検証しています。