まえがき#

最終更新日: 2024年10月4日

本ガイドの目的#

本ガイドでは、FUJITSU Hybrid IT Service FJcloud-O(以降、本サービス)をはじめてご利用される方に対して、以下の手順を説明します。

  • 仮想ネットワーク
    • 仮想サーバーを配備するための仮想ネットワークを構築します。
    • 仮想ネットワークに仮想ルーター・SSL-VPNを接続します。
  • 仮想サーバー(Red Hat Enterprise Linux)
    • IaaSポータルで、仮想サーバーを構築します。
    • SSL-VPN経由で、OSにログインします。
    • Webサービスを立ち上げます。
  • 仮想サーバー(Windows)
    • IaaSポータルで、仮想サーバーを構築します。
    • リモートコンソールから、OSにログインします。
    • SSL-VPN経由で、OSにログインします。

なお、本ガイドではこれ以降、Red Hat Enterprise LinuxをRHELと表記します。

対象リージョン#

本ガイドの対象リージョンは、東日本リージョン3・西日本リージョン3です。その他のリージョンでは、前提条件や接続手順が異なります。「IaaS 初めてのシステム構築ガイド」を参照してください。

前提/参照ドキュメントおよびURL/注意事項/商標#

上記に関しては、こちらを参照してください。

利用するユーザーインターフェイス#

本サービスを利用する際のユーザーインターフェイスには、GUIおよびAPIの2種類があります。以下にGUIとAPIの特徴を記載します。

  • GUI(グラフィカルユーザーインターフェイス)

    • FUJITSU Hybrid IT Service FJcloudポータル(以降、ポータル)

      • プロジェクト管理・ユーザー管理・ご利用料金の確認などができます。
    • FUJITSU Hybrid IT Service FJcloud-O/ベアメタル IaaSポータル(以降、IaaSポータル)

      • コンピュート・ネットワーク・ストレージなど、各リソースに対する基本的な操作ができます。
    • 対応ブラウザー:Microsoft Edge・Google Chrome

Note

IaaSポータルから実行できる操作は、APIで操作できる操作の一部です。
IaaSポータルから実行できない操作については、APIをご利用ください。

  • API(アプリケーションプログラミングインターフェイス)
    • REST APIにより、アプリケーションから操作できます。
    • APIを利用するには以下の方法があります。

      • 例1:Linux端末を準備する。
      • 例2:IaaSポータルの「API実行機能」を利用する。
      • 例3:Windows端末上にAPI実行環境を構築する。

事前準備#

本ガイドを実施するために必要な事前準備は、こちらを参照してください。

  • ユーザー作成およびロールを割り当て
  • 作成ユーザーのプロジェクト登録

システム構成#

ユーザーのクライアントPCから、構築した仮想サーバー(RHEL)上のWebサービスに接続することを目標とします。
なお、DNSサーバーは、外部のサービス(本ガイドではGoogleのDNS)を利用します。

本構成のメリット#

VPNサービス(SSL-VPN)により、仮想サーバーのメンテナンス用ポートはパブリック(インターネット)公開不要で、セキュアーにアクセスできます。

システム設計#

設計に必要なIPアドレス#

本ガイドで扱うIPアドレスを以下に示します。任意箇所はお客様で設定してください。

項目 ネットワークまたはIPアドレス 指定方法 備考
ユーザー側クライアントPC 192.168.246.20 自動割当 SSL-VPNサービスがユーザー側クライアントPCに割り当てるIPアドレス

※お客様のクライアントPCに設定されているIPアドレスとは異なるIPアドレスを、SSL-VPNサービスより割り当てます。
ユーザー側ネットワーク 192.168.246.0/24 任意 SSL-VPNサービスがユーザー側クライアントPCに割り当てるネットワークアドレス
仮想サーバー側ネットワーク 192.168.0.0/24 任意 仮想サーバー側ネットワークのネットワークアドレス
仮想ルーター 192.168.0.1 任意 ゲートウェイのIPアドレス
SSL-VPNコネクション用グローバルIPアドレス 133.xxx.xxx.xxx 自動割当 SSL-VPN接続をする際にアクセスするIPアドレス
※IaaSポータル設定時に自動割当されます。

仮想サーバーへのアクセス方法#

構築した仮想サーバーにアクセスする方法は以下のとおりです。
本ガイドでは、「SSL-VPNによるOS接続」を使用します。

No. アクセス方法 説明
1 リモートコンソールによるOS接続 IaaSポータルからブラウザー経由でOSに接続できます。
接続時間や接続数に制限があるため、緊急時のメンテナンスなどにご利用いただけます。
ただし、事前にOSのログインパスワードを設定する必要があります。仮想サーバー作成時に設定することを推奨します。
2 インターネット経由によるOS接続 インターネット経由でOSに接続できます。
例)SSH接続またはRDP接続
ただし、仮想サーバーにグローバルIPアドレスが必要です。
ファイアウォールルールやセキュリティグループなどにより、セキュリティを十分確保してください。
3 SSL-VPNによるOS接続 SSL-VPNサービスを使用し、セキュアーにOS接続できます。
常時OSに接続して開発する場合は、SSL-VPNを推奨します。

作業の流れ#

全体の流れを以下に示します。後で説明する操作をまとめたものになりますので、流れの理解に活用ください。

1. ネットワーク構築#

No 分類 項目 説明
1-1 仮想ネットワーク 仮想ネットワークを作成 最初に仮想ネットワーク・サブネット・ゲートウェイを設定します。
さらにDHCPを有効にし、IPアドレスを自動で割り当てます。

・ネットワーク名:ssl-vpn-network
・仮想ネットワークアドレス: 192.168.0.0/24
・サブネット名:ssl-vpn-subnet
・ゲートウェイIP:192.168.0.1
1-2 仮想ルーター 仮想ルーターを作成 外部ネットワーク・仮想ネットワークを接続するための仮想ルーターを作成します。

・仮想ルーター名:ssl-vpn-router
1-3 外部ネットワークとの接続 ゲートウェイ設定 仮想ルーターを外部ネットワークに接続します。

・外部ネットワーク:fip-net ※選択のみ
1-4 仮想ルーターとサブネットの接続 インターフェイスの設定 サブネット・仮想ルーターのゲートウェイIPを設定します。

・サブネット:ssl-vpn-subnet
・IPアドレス:192.168.0.1
※仮想ルーターのゲートウェイIP
1-5 セキュリティグループ(SG) SG作成 SGルールを作成するためのグループを作成します。
・セキュリティグループ名:ssl-vpn-SG
SGルール作成 登録するSGルールを作成します。
Ingress(受信)に対して以下を設定します。

・クライアントPCから仮想サーバー(RHEL)へのSSH通信を許可
・クライアントPCから仮想サーバー(Windows)へのRDP通信を許可
・クライアントPCから仮想サーバー(RHEL)へのHTTP通信を許可

※ファイアウォールを使用した通信制御もできますが、ここでは、セキュリティグループにより通信を制御します。

2. 仮想サーバー構築#

2.1 仮想サーバーRHELの場合#

No 分類 項目 説明
2-1 キーペア キーペア作成 OS接続時に利用するキーペアを設定します。

・キーペア名: test-keypair
2-2 仮想サーバー 仮想サーバー作成 RHEL仮想サーバーを作成します。
作成時に接続する仮想ネットワークを設定します。
キーペアおよびSGを設定します。

・仮想サーバー名: RHEL
・仮想サーバータイプ: P3-1を選択
・仮想サーバーのブートソース:イメージを選択
・イメージ:パブリックのRHEL 8.8

2.2 仮想サーバーWindowsの場合#

No 分類 項目 説明
2-1 仮想サーバー 仮想サーバー作成 Windows仮想サーバーを作成します。
作成時に接続する仮想ネットワークとSGを設定します。

・仮想サーバー名: windows
・仮想サーバータイプ: M3-1を選択
・仮想サーバーのブートソース:イメージを選択
・イメージ:パブリックのWindows Server 2019
・デバイスサイズ:80
・OSのパスワードを指定
2-2 OS接続 リモートコンソール接続 仮想サーバー作成時に指定したパスワードを使用して、リモートコンソールからOSにログインできることを確認します。

3. SSL-VPN構築#

No 分類 項目 説明
3-1 VPNサービス VPNサービス作成 作成済みの仮想ルーターおよびサブネットを選択します。
・VPNサービス名: ssl-vpn-vpnservice
3-2 SSL-VPNコネクション SSL-VPNコネクション作成 割り当てるクライアントIPプール(ネットワークアドレス)を指定し、SSL-VPN接続を作成します。

・SSL-VPN接続名: ssl-vpn-conn
・クライアントIPプール(※): 192.168.246.0/24

※SSL-VPNがクライアントPCに割り当てるネットワークとして、任意のCIDRを設定できます。
3-3 SSL-VPNコネクション SSL-VPNコネクションのExternal Address確認 クライアントPCのSSL-VPN接続先となる外部アドレスを確認します。

4. ワンタイムパスワードの設定#

No 分類 項目 説明
4-1 ワンタイムパスワードのシークレットキー発行 ワンタイムパスワードのシークレットキー(シード) SSL-VPN接続に利用するワンタイムパスワードのシークレットキー(シード)を発行します。
4-2 OAuthクライアントの設定 クライアントソフトウェアを導入・設定 ワンタイムパスワードを発行するクライアントソフトウェアを導入・設定します。

5. SSL-VPN接続#

No 分類 項目 説明
5-1 証明書 ダウンロードおよびインストール 証明書をIaaSポータルより発行します。送付されるメールの内容に従い、証明書をダウンロードおよびインストールします。
5-2 証明書の準備 クライアント証明書の形式変換、秘密鍵の抽出 クライアント証明書の形式の変換、秘密鍵の抽出を行います。
5-3 CA証明書 CA証明書をダウンロード CA証明書をダウンロードします。
5-4 クライアント環境 OpenVPNクライアントのインストール・導入 OpenVPNクライアントを入手・インストールします。
5-5 クライアント環境 OpenVPN接続設定ファイルの設定 OpenVPN接続設定ファイルを準備し、証明書等をOpenVPN環境に配備します。
5-6 SSL-VPN接続 クライアントからSSL-VPNへの接続 OpenVPNからSSL-VPNへ接続します。

6. 仮想サーバー接続#

6.1 仮想サーバーRHELの場合#

No 分類 項目 説明
6-1 仮想サーバー 仮想サーバーへの接続 TeraTermに証明書を設定し、RHELへSSH接続します。
6-2 OS操作 RHEL接続後の動作確認 RHEL上から以下の通信を確認します。

・DNS:名前解決を確認
・dnf update:パッケージアップデートおよび必要なパッケージのインストール
・NTP:時刻サーバーとの同期確認
6-3 Webサービス Webサービスの動作確認 Apacheを起動し、SSL-VPN経由で初期画面が表示されることを確認します。

・httpdの起動およびWebページ確認

6.2 仮想サーバーWindowsの場合#

No 分類 項目 説明
6-1 仮想サーバー 仮想サーバーへの接続 SSL-VPNが接続されている環境で、リモートデスクトップからOSに接続します。

概算見積り#

本構成では、1時間あたり約¥54の従量課金と月あたり¥6,653円の固定費用が発生します。
見積りについては、FJcloud-O 料金表 を参照してください。

参考情報として、概算見積りを以下に記載します。※2024年10月1日以降の料金による概算
1営業日(7時間)の使用を想定しています。
なお、記載のないサービスに料金はかかりません。

機能 サービス 詳細 数量 想定使用
時間
価格
コンピュート 仮想サーバー
C3-1
(1vCPU, 2GBメモリー)
仮想サーバー1台を7時間使用 1 7 ¥24.99
コンピュート 仮想サーバー
M3-1
(1vCPU, 8GBメモリー)
仮想サーバー1台を7時間使用 1 7 ¥77.35
ストレージ システムストレージ
M2(40GB)
RHELにアタッチされるシステムストレージを7時間使用 1 7 ¥5.52
ストレージ システムストレージ
M2(80GB)
Windows Serverにアタッチされるシステムストレージを7時間使用 1 7 ¥11.03
OS提供サービス Red Hat Enterprise Linux 8.x 64bit 英語版 24Hサポート(1~4コア)(時間従量) RHELのOSを7時間使用 1 7 ¥202.3
OS提供サービス Windows Server 2019 SE 64bit 日本語版 (時間従量) Windows ServerのOSを7時間使用 1 7 ¥53.62
VPN(SSL-VPN セッション数20)※ SSL-VPN V3(1コネクション・20セッションまで)(月単位課金) 1コネクションを7時間使用(月額1ヶ月分) 1 7時間(月を跨がない) ¥6,653
合計
(7時間)
¥7,027.81

※2025年1月31日まで課金対象外

ご利用時の注意事項#

  • 作成した仮想サーバーを外部(インターネット)に公開する場合、セキュリティの設定に注意してください。
    設計・構築時には、クラウドデザインパターン・実装サンプル集のインターネット接続パターンを参考に設定してください。