目次

シナリオ3 PublicとIPsec VPN接続Subnet

VPC環境で利用可能です。</ p>

アーキテクチャ

このシナリオの構成には、Public SubnetおよびVPN-Only SubnetがあるVirtual Private Cloud(VPC)と、 IPsec VPNトンネルを介して顧客のネットワークと通信するための仮想IPsec VPN Gatewayが含まれます。

1 . VPC

  • IPv4 CIDRブロックのサイズが/ 16(例えば、10.0.0.0/16)で提供され、65,536個のアドレス空間を提供しています。

2 . Public Subnet

  • Subnetサイズが最大/ 24(例えば、10.0.0.0/24)で提供され、256個のアドレス空間を提供しています。

    • Public Subnet内サーバーは、インターネットとの接続が必要なサーバです。(グローバルIPを一つずつ持って)

3 . Private Subnet

  • Subnetサイズが最大/ 24(例えば、10.0.0.0/24)で提供され、256個のアドレス空間を提供しています。
    • Private Subnet内サーバーは、インターネット接続が必要ありませんお客様の事業所との接続が必要なサーバのセットです。

4 . Internet Gateway

  • VPCをインターネットや様々なネイバークラウドプラットフォームのサービスに接続します。

5 . IPsec VPN

  • 顧客のネットワークとの間のVPN接続をサポートします。

6 . ルーティングテーブル

  • Public Subnet:サーバーがVPC内の他のインスタンスと通信できるようにする項目(local)とインターネットと直接通信できるようにする項目(IQW-ID)が格納されます。

  • VPN-Only Subnet:サーバーがVPC内の他のインスタンスと通信できるようにする項目(local)と、IPsec VPN Gatewayを介して顧客のネットワークと通信できるようにするアイテムが保存されます。

ルーティング

ルーティング情報は、以下の通りです。

  • Public Subnet

  • Private Subnet

セキュリティ

セキュリティのためにACGとNetwork ACLを提供しています。 ACGは、サーバーのInbound / Outboundトラフィックを制御し、Network ACLはSubnetのInbound / Outboundのトゥレピクを制御します。本シナリオでは、ACGとNetwork ACLは以下のように構成することをお勧めします。

  • Public Subnet : Inbound
優先順位 プロトコル アクセスソース ポート 許可するかどうか メモ
1 TCP 0.0.0.0/0 80 許可 Inbound HTTPトラフィックを許可
2 TCP 0.0.0.0/0 443 許可 Inbound HTTPSトラフィックを許可
3 TCP 接続者IP 22 許可 接続者IPからSSHトラフィックを許可(インターネットゲートウェイを介して)
4 TCP 接続者IP 3389 許可 接続者IPからRDPトラフィックを許可(インターネットゲートウェイを介して)
5 TCP 0.0.0.0/0 32768-65535 許可 Subnetから発信された要求のInboundリターントラフィックを許可(表示されたIPアドレスとポートは、例示であるため、構成に合わせて設定を進めてください)
197 TCP 0.0.0.0/0 1-65535 拒否 上記の規則以外の残りのルールは、すべてのトラフィックが拒否されます。
198 UDP 0.0.0.0/0 1-65535 拒否 上記の規則以外の残りのルールは、すべてのトラフィックが拒否されます。
199 ICMP 0.0.0.0/0 - 拒否 上記の規則以外の残りのルールは、すべてのトラフィックが拒否されます。
  • Public Subnet : Outbound
優先順位 プロトコル アクセスソース ポート 許可するかどうか メモ
1 TCP 0.0.0.0/0 80 許可 インターネットOutbound HTTPトラフィックを許可
2 TCP 0.0.0.0/0 443 許可 インターネットOutbound HTTPSトラフィックを許可
3 TCP 0.0.0.0/0 32768-65535 許可 インターネット上のクライアントのOutbound応答を許可(表示されたIPアドレスとポートは、例示であるため、構成に合わせて設定を進めてください)
4 TCP PrivateサーバーPrivate IP Privateサーバーポート(例えば、DB) 許可 Privateサーバーとの通信を行うためのトラフィックを許可
197 TCP 0.0.0.0/0 1-65535 拒否 上記の規則以外の残りのルールは、すべてのトラフィックが拒否されます。
198 UDP 0.0.0.0/0 1-65535 拒否 上記の規則以外の残りのルールは、すべてのトラフィックが拒否されます。
199 ICMP 0.0.0.0/0 - 拒否 上記の規則以外の残りのルールは、すべてのトラフィックが拒否されます。
  • Private Subnet : Inbound
優先順位 プロトコル アクセスソース ポート 許可するかどうか メモ
1 TCP Public Subnetサーバーの非公認IP Privateサーバーポート(例えば、DBポート) 許可 Publicサーバーとの通信を行うためのトラフィックを許可
2 TCP On-premiseシステムの非公認IP On-premiseシステム通信ポート 許可 On-premiseシステムと通信するためのトラフィックを許可
197 TCP 0.0.0.0/0 1-65535 拒否 上記の規則以外の残りのルールは、すべてのトラフィックが拒否されます。
198 UDP 0.0.0.0/0 1-65535 拒否 上記の規則以外の残りのルールは、すべてのトラフィックが拒否されます。
199 ICMP 0.0.0.0/0 - 拒否 上記の規則以外の残りのルールは、すべてのトラフィックが拒否されます。
  • Private Subnet : Outbound
優先順位 プロトコル アクセスソース ポート 許可するかどうか メモ
1 TCP Public Subnetサーバーの非公認IP 32768-65535 許可 PublicサーバーからPrivateサーバーのOutbound応答を許可(表示されたIPアドレスとポートは、例示であるため、構成に合わせて設定を進めてください)
2 TCP On-premiseシステムの非公認IP On-premiseシステム通信ポート 許可 On-premiseシステムと通信するためのトラフィックを許可
197 TCP 0.0.0.0/0 1-65535 拒否 上記の規則以外の残りのルールは、すべてのトラフィックが拒否されます。
198 UDP 0.0.0.0/0 1-65535 拒否 上記の規則以外の残りのルールは、すべてのトラフィックが拒否されます。
199 ICMP 0.0.0.0/0 - 拒否 上記の規則以外の残りのルールは、すべてのトラフィックが拒否されます。

シナリオの実装

1 . VPCを作成します。

(1)コンソール> VPC> VPC Management に移動します。

(2)画面上部 VPCを作成ボタンを押した後、VPCの名前とIPアドレスの範囲を入力します。

  • IPアドレスの範囲は、今後の修正ができませんので、慎重に指定してください。

2 . Subnetを生成します。

(1)コンソール> VPC> Subnet Management に移動します。

(2)画面上部 Subnet作成ボタンを押した後、情報を入力します。

  • Subnet名前:目的に合ったSubnet名を入力します。

  • VPC :Subnetを配置させることがvpcを選択します。

  • IPアドレス範囲:VPCのアドレス範囲内でSubnetアドレスの範囲を、いくつかの割り当てられます。

  • 利用可能Zone :Subnetが配置される物理的な使用可能なZoneを選択します。

    *現在は、Single Zoneで運営中です。追加Zoneも準備中ですのでご了承ください。

  • Network ACL :基本的にDefault ACLルールを提供しています。事前にネットワーク構成要件に合わせてNetwork ACLを構成すると、セキュリティをさらに強化することができます。

  • Internet Gateway専用かどうか:使用するSubnet特性を考慮して、Public Subnetを使用する場合は、 Y を、Private Subnetを使用する場合は、 N を選択します。

    • Public Subnetを選択される場合Subnet内で生成されたすべてのVMは、グローバルIPが、基本的に割り当てられ、インターネット網に直接通信が可能です。

    • このシナリオを実装するためにはPublic、Private Subnetをそれぞれ作成する必要があります。

3 . Network ACLを設定します。

(1) コンソール> VPC> Network ACL に移動します。

(2) Network ACLの作成 ボタンを押した後の情報を入力します。

  • Network ACL名:ACLの目的を考慮して、名前を入力します。
  • VPC:生成するNetwork ACLが適用されるVPCを選択します。

(3) Rule設定を介してNetwork ACLのInboundとOutboundルールを変更することができます。このシナリオでの[セキュリティ](#セキュリティ)が推奨するルールを入力します。

4 . Route Tableを設定します。

(1)コンソール> VPC> Route Table に移動します。

(2) Route Table生成ボタンを押した後の情報を入力します。

  • Route Table名前:使用したいRoute Tableの名前を入力します。

  • VPC :Route TableはSubnet単位で適用されます。適用することがSubnetがあるVPCを入力します。

  • Subnetサポートタイプ:Internet Gatewayが接続されているSubnetに適用されるRoute Tableなら公認を選択し、そうでない場合は、プライベートを選択してください。

(3)関連Subnet設定を介して対応するRoute Tableが適用されるSubnetを選択することができます。

(4) Route設定を介してルーティングテーブルを設定することができます。本シナリオでは、上記の設定が自動的に反映されます。

5 . Virtual Private Gatewayを生成します。

(1)コンソール> Networking> Virtual Private Gateway に移動します

(2) Virtual Private Gateway生成ボタンをクリックして該当する情報を入力します。

  • Virtual Private Gateway名前:目的に合ったVirtual Private Gatewayの名前を入力します。

  • VPC:生成するVirtual Private Gatewayが適用されるVPCを選択します。

    *作成したVirtual Private GatewayはIPsec VPNを接続する接点になります。

6 . Managed IPsec VPNを設定します。

(1)コンソール> Networking> Managed IPsec VPN に移動します

(2) Managed IPsec VPNの作成ボタンをクリックして該当する情報を入力します。

  • Managed IPsec VPNの名前:目的に合ったManaged IPsec VPNの名前を入力します。

  • VPC:生成されたManaged IPsec VPNが接続VPCを選択します。

  • Virtual Private Gateway:前作成したVirtual Private Gatewayを選択します。選択されたVPC内に位置するVirtual Private Gatewayに限って必要な項目を選択することができます。

7 . Route Tableを設定します。

(1)コンソール> VPC> Route Table に移動します

(2)先に作成したプライベートSubnetと関連付けられているRoute Tableを選択して、 Route設定ボタンをクリックして該当する情報を入力します。

  • Destination:通信先のネットワークのアドレス形式をCIDR形式で入力します。

    *インターネット全体の通信が必要な場合は、「0.0.0.0/0」になります。

  • Target Type:トラフィックが転送される先を選択します。

    *このシナリオでは、「NATGW」になります。

  • Target Name:生成されたNAT Gatewayを選択します。

    (3)関連Subnet設定を介して対応するRoute Tableが適用されるSubnetを追加することができます。

に対する検索結果は~件です。 ""

    に対する検索結果がありません。 ""

    処理中...