2階層ネットワーク構成#
本構成はFJcloud-O 東日本/西日本リージョン3向けとなります。
要求事項#
『FJcloud-O上で階層をもたせたネットワーク構成でネットワークを構築したい』という要求事項に対応するパターンです。
さらに、以下のような具体的な要求事項に対応します。
- インターネットに公開するWeb/DBシステムにおいて、DBサーバ のセキュリティを高めるために、DBサーバ を内部セグメントに配置したい
対応するデザインパターン概要#
FJcloud-Oのネットワーク#
FJcloud-Oのネットワークでは、FJcloud-Oであらかじめ用意された「外部ネットワーク」(インターネットに接続されたネットワーク) と、自分で作成する「内部ネットワーク」があります。
ネットワーク | 内容 |
---|---|
外部 ネットワーク |
FJcloud-Oであらかじめ用意された、インターネットに接続されたネットワーク。 |
内部 ネットワーク |
自分で作成するネットワーク。 ネットワーク構成やセキュリティの設定で、インターネットに接続可能にも接続不可能にもできる。 本構成では、セキュリティ設定により、インターネットへの接続の可/不可を設定する。 仮想ルータで接続されたサブネット間だけの通信であれば、ルーティング設定は不要。 *1 |
- 本構成では、ネットワーク構成上はすべてのネットワークでインターネットと通信可能な構成 *1 となります。
*1 本資料はネットワーク構成について記載しており、セキュリティ設定については記載しておりません。
セキュリティ設定については、実装サンプルでリンクしている セキュリティグループ活用 等をご覧ください。
構造 (イメージ図)#
- どのサブネットからもインターネットと双方向で通信可能 (通信制御はFWおよびSGで実施)
Note
ネットワーク構成とセキュリティ設定
本構成では、内部ネットワーク1 も 内部ネットワーク2 も、インターネットに通信可能な構成です。用途に応じてセキュリティの設計を行い、適切にファイアーウォールやセキュリティグループを設定してください。
セキュリティの設定により、以下のような利用形態が想定されます。
WebサーバとDBサーバの構成で、DBサーバを内部セグメントに配置したい場合は、セキュリティの設定で形態②となるよう設定します。
ネットワーク | 形態① | 形態② | 形態③ |
---|---|---|---|
内部ネットワーク1 | DMZ *2 | DMZ *2 | 内部セグメント *3 |
内部ネットワーク2 | DMZ *2 | 内部セグメント *3 | 内部セグメント *3 |
*2 DMZ : インターネットに公開するセグメント
*3 内部セグメント : インターネットに非公開とするセグメント
実装サンプル#
(1) 仮想ルータの作成/外部ネットワークのアタッチ#
- IaaSポータルにログインします。
- 「ネットワーク」⇒「仮想ルータ」画面で、「+」ボタンをクリックします。
- 「仮想ルータ作成」画面で、以下の項目を入力し、「作成」ボタンをクリックします。
項目 | 必須 | 設定値例 | 内容 |
---|---|---|---|
仮想ルーター名 | 必須 | "demo_router" | 適宜設定してください。 |
- 「仮想ルータ一覧」画面で、作成した仮想ルータの「アクション」⇒「ゲートウェイ設定」を選択します。
「ゲートウェイ設定画面」で仮想ルータを接続する「外部仮想ネットワーク」(インターネット側のネットワーク)を選択し、「設定」ボタンをクリックします。
(2) 内部ネットワーク/サブネットの作成#
- 以下の手順で、内部ネットワークを必要な階層分作成します。
- 「ネットワーク」⇒「仮想ネットワーク」画面で、「+」ボタンをクリックします。
- 「仮想ネットワーク作成」画面で、以下の項目を入力し、「作成」ボタンをクリックします。
タブ | 項目 | 必須 | 内部ネットワーク1 設定値例 |
内部ネットワーク2 設定値例 |
内容 |
---|---|---|---|---|---|
仮想 ネットワーク |
仮想ネットワーク名 | 必須 | "demo_intnet1" | "demo_intnet2" | 適宜設定してください。 |
管理状態 | 必須 | "UP" | "UP" | 適宜設定してください。 | |
サブネット | サブネット作成 | 必須 | "あり" | "あり" | 適宜設定してください。 |
サブネット名 | 必須 | "demo_subnet1" | "demo_subnet2" | 適宜設定してください。 | |
仮想ネットワークアドレス | 必須 | "192.168.11.0/24" | "192.168.12.0/24" | CIDR形式で入力してください。 | |
ゲートウェイ | 推奨 | "あり" | "あり" | ||
ゲートウェイIP | 推奨 | "192.168.11.1" | "192.168.12.1" | 必須ではありませんが、設定してください。 この後に設定する仮想ルータのIPアドレスとなります。 |
|
サブネット 詳細 |
DHCP | 推奨 | "有効" | "有効" | 必須ではありませんが、設定してください。 この項目は、インターネット接続パターンのDHCPに関する説明をご覧ください。 |
IPアドレス割当プール | 任意 | 必要に応じて設定してください。 | |||
DNSサーバ | 推奨 | "8.8.8.8" | "8.8.8.8" | 必須ではありませんが、設定してください。 IaaSポータル上では、後から追加できません。 DNSサーバは1行につき1項目設定できます。 |
|
追加のルート設定 | 任意 | ゲートウェイIPに設定されるデフォルトのルート以外で接続する宛先を設定します。 csvで以下を設定します。 |
(3)仮想ルータにサブネットをアタッチ#
- 以下の手順で、作成した内部ネットワークをすべて仮想ルータにアタッチします。
- 「ネットワーク」⇒「仮想ルータ」画面で、作成した仮想ルータをクリックします。
- 「インターフェース」項目の「+」ボタンをクリックします。
- 「インターフェース追加」画面で、以下の項目を入力し、「追加」ボタンをクリックします。
項目 | 必須 | 内部ネットワーク1 設定値例 |
内部ネットワーク2 設定値例 |
内容 |
---|---|---|---|---|
サブネット | 必須 | "demo_subnet1" | "demo_subnet2" | 内部ネットワーク作成の際に設定したサブネットを選択してください。 |
IPアドレス | 必須 | "192.168.11.1" | "192.168.12.1" | 内部ネットワーク作成の際に設定したゲートウェイIPを設定してください。 |
(4) セキュリティ設定 (ファイアーウォール/セキュリティグループ)#
- 仮想サーバを配備する前に、ファイアーウォールやセキュリティグループの設定を行ってください。
- ファイアーウォールの設定は、仮想ルータに、それぞれのネットワークの通信を許可する設定を行ってください。
- 設定に際しては、以下のデザインパターンをご覧ください。
デザインパターン名称 | 説明 |
---|---|
セキュリティグループ活用 | セキュリティグループ のみでアクセス制御するパターンです。 |
機能別セキュリティグループ | 機能別にアクセス制限をかけるパターンです。 |
メリット・効果#
- セグメント間の通信で、ファイアーウォールによるアクセス制御をかけることができます。
- セキュリティの設定により、以下のような利用形態を設定可能です。
ネットワーク | 形態① | 形態② | 形態③ |
---|---|---|---|
内部ネットワーク1 | DMZ *4 | DMZ *4 | 内部セグメント *5 |
内部ネットワーク2 | DMZ *4 | 内部セグメント *5 | 内部セグメント *5 |
*4 DMZ : インターネットに公開するセグメント
*5 内部セグメント : インターネットに非公開とするセグメント
注意事項#
- 本パターンは2018 年7月時点のFJcloud-O 東日本/西日本リージョン3 で動作検証しています。