0. テナント管理者のコンソールアクセス

VDCを申込むとVDC 制御のためのテナント管理者コンソールが提供されます。 vmware.ncloud.com/tenant/VDC名 形態のURLにアクセスできます。

1. 割り当てられたリソースを確認する

割り当てられたリソースはアクセス画面のメインページから確認できます。 大きくCPUとメモリー、ストレージリソースの現況を確認できます。 (1 vCPUは2GhzのCPUリソースです。)

2. テナント管理者パスワードの変更

最初に割り当てられたテナント管理者のパスワードを必ず変更してください。 管理-ユーザー-編集メニューで設定できます。

3. ネットワークデザイン

VMware on Ncloudは論理的に隔離されたお客様の専用ネットワークを提供します。割り当てられたネットワークスペースの下では業務条件に合わせてネットワークを構成できます。使用できるネットワーク構成のシナリオは大きく3つです。

1. インターネットと接続できるWeb サーバのみある場合

  • インターネットと接続されるExternal Subnetを作成します。
  • この場合、1:1 NATを通じて外部接続できますので、必ずパブリックIPをVMの数量分申込んでください。

[ネットワーク構成図]

[ネットワークの構成要素]

  1. NSX Edge G/W: 基本で提供されるGatewayです。
  2. External Subnet: インターネットと接続されるSubnet
  3. ネットワーク機能(Edgeで基本提供)
    • ファイアウォール: ネットワークACL用途(North – Southトラヒック制御)
    • 分散ファイアウォール(オプション): 同じネットワーク内のサーバ間の制御及びネットワーク間のアクセス制御
    • LB: Webサーバ二重化に活用
    • NAT: ノンパブリックIPをパブリックIPに1:1変換
  4. パブリックIP: ウェブサーバ数分が必要

2. 分散ファイアウォールを利用してアクセス制御を強化する場合

  • Webサーバ: インターネットと接続可能なExternal Subnetを生成して、外部通信のためにパブリックIPをVMの数量分申込んでください。
  • DBサーバ: 分散ラウターを利用して別途Internal Subnetを生成し、分散ファイアウォールを通じてアクセス制御ができます。

[ネットワーク構成図]

[ネットワークの構成要素]

  1. NSX Edge G/W: 基本的に提供されるGatewayです。
  2. External Subnet: インターネットと接続されるSubnet
  3. Internal Subnet: 外部との通信が遮断されたSubnet
  4. ネットワーク機能(Edgeで基本提供)
    • ファイアウォール: ネットワークACL用途(North – Southトラヒック制御)
    • 分散ファイアウォール(オプション):同じネットワーク内のサーバ間のアクセス制御及びネットワーク間のアクセス制御
    • LB: Webサーバ二重化に活用
    • NAT: ノンパブリックIPをパブリックIPに1:1変換
  5. パブリックIP:ウェブサーバ数分が必要

3. VPNを利用して顧客On-Premiseと接続させる場合

  • Webサーバ: インターネットと接続可能なExternal Subnetを生成して、外部通信のためにパブリックIPをVMの数量分申込んでください。
  • DB サーバ:外部と閉鎖されたネットワークを別途生成して、WebからDBサーバへの通信のためのファイアウォールを設定します。

[ネットワーク構成図]

[ネットワークの構成要素]

  1. NSX Edge G/W: 基本的に提供されるGatewayです。

  2. External Subnet: インターネットと接続されるSubnet

  3. Internal Subnet: 外部との通信が遮断されたSubnet

  4. ネットワーク機能(Edgeで基本提供)

    • ファイアウォール: ネットワークACL用途(North – Southトラヒック制御)

    • 分散ファイアウォール(オプション):同じネットワーク内のサーバ間のアクセス制御及びネットワーク間のアクセス制御

    • LB: Webサーバ二重化に活用

    • NAT: ノンパブリックIPをパブリックIPに1:1変換

    • VPN: 顧客On-Premise環境とプライベート通信で接続

4. vAppテンプレートの生成

迅速に新規サーバを生成するためにはVMテンプレートを予め準備されることをお勧めします。テンプレートは独自テンプレートを確保する方法とNcloudから提供する共用テンプレートを利用する方法があります。

1. 独自テンプレートを確保する方法

1) テンプレートを確保するためにはまずカタログというイメージ保存所を作成する必要があります。 カタログにはVMのテンプレートとOSを直接設置するためのメディア(ISOファイル)などを保存できます。 カタログはデータセンター-ライブラリー-カタログ-新規生成を利用して生成できます。

2) テンプレートはOVFファイルを利用して生成できます。 データセンター-ライブラリー-vAppテンプレート-追加を利用して生成できます。 予め準備したOVFをソースとしてテンプレートを準備し、簡単で迅速にVMを作成してみてください。

3) vAppを予め持っている場合は、持っているvAppを利用してテンプレートを生成できます。

2. 共用テンプレートを使用する方法

  • vApp テンプレートメニューにカタログ名がNBP-Catalogのテンプレートがあります。
  • 別途のテンプレートがないお客様はこれを利用して簡単にVMを生成できるのでご参照ください。
  • テンプレートを通じて生成したGuest OSのパスワードはVMware1!です。

5. ネットワーク設定

前で提示したネットワークシナリオに沿って細部ネットワークを実装する必要があります。データセンター-ネットワーキング-ネットワークメニューで新たに生成する機能を利用して新規ネットワークを生成できます。インターネットとの接続が必要な場合はExternal Subnetを追加し、外部ネットワークと隔離されたネットワークが必要な場合はInternal Subnetを生成してください。

1. External Subnetの追加

タイプから“既存Edgeゲートウェイに接続中のラウティングされたネットワーク”を選択すると、外部インターネットと接続できるネットワークが生成されます。IPアドレス帯域は自由に入力できますが、172.16. /16アドレス帯域を使用されることをお勧めします。

入力の際の注意事項は以下の通りです。

  • Edge ゲートウェイ: リストにあるゲートウェイを選択(基本的に提供されるEdge名です。)
  • ネットワークゲートウェイCIDRの入力:ゲートウェイアドレスに/24のように使用するアドレスの範囲を入力してください。
        例) 172.16.0.1/24 
    
  • 静的IPプール入力の範囲: 172.16.0.2 – 172.16.0.254 (ゲートウェイと管理用範囲を除外して入力)

External Subnet 設定の詳細な内容は以下の通りです。

2. Internal Subnetの追加

タイプからExternal Subnetのように“既存のEdgeゲートウェイに接続中のラウティングされたネットワーク”を選択してインターフェースを’分散’に選択するとEdgeと接続された分散ラウターが生成され、新たなアドレス帯域が生成されます。分散ラウターは後段ファイアウォールと同じ役割を実行できます。

3. ネットワーク現況の確認

データセンター-ネットワーキング-ネットワークメニューで現況を確認できます。 外部ネットワークと接続できるSubnetはNCLOUD-EDGEにラウティングに設定されており、内部用ネットワークは隔離に設定されています。

6. VMの生成

生成されたネットワークにVMを生成して割り当てる段階です。データセンター-計算(Computing) -バーチャルシステム-新たなVMを押してVMを生成できます。VMを生成する方法は大きく’新たに生成’と’テンプレートで’の二つ(タイプから選択可能)です。

1. 新たに生成する

ISOイメージを利用して直接サーバを生成する機能です。パソコンの名前とOSプロダクト群/オペレーティングシステム/ブーティングイメージを順番に入力してリソースのサイズと 使用するネットワーク(external/internal)を入力します。OSを設置するので時間が多少かかりますが、オーダーメイド型設定が可能であるということがメリットです。

新たなVMを申込むと以下のようにバーチャルシステムに生成したVMが表示されます。

Actionをクリックしてウェブコンソールをスタートすると、OSのブーティングプロセスを経て以下のように設置のための準備画面が表示されます。

2. テンプレートで

カタログ内の vAppテンプレート内のリストを利用して生成する方法で即時にVMが生成されるというメリットがありますが、テンプレートは事前に定義された固定値を持ってVMが生成されるので生成後にサービス用途及びネットワーク環境に合わせて追加設定が必要です。

テンプレートで生成したOSのパスワードは VMware1!です。

VMを生成後 [計算] – [バーチャルシステム] – [細部情報]メニューから細部設定をすることができます。

[ハードウェア] メニューからCPU/Memory, 割り当てられたディスク, NICに関する設定をすることができます。

7. ネットワーク構成要素の設定: Edge細部機能の設定

Edgeを活用して生成したネットワークに詳細設定をしてみます。EdgeはNFV(Network Function Virtualization)をサポートするVMであり、ゲートウェイ以外にも多様なネットワーク機能を提供します。

提供できる機能はファイアウォール(Firewall), ロードバランサ(Load balancer), VPN, NAT, DHCPなどがあります。VMware on Ncloudは基本的に顧客専用バーチャルデータセンターを生成する際に一つの小型Edgeを基本として提供します(有料)。データセンター-ネットワーキング-Edgeメニューを通じて現在保有しているEdgeの現況をご確認できます。

リストにあるEdgeをクリックすると細部事項を確認でき、サービス構成を通じて各種ネットワーク機能を活用できます。

基本ゲートウェイ情報とEdgeのゲートウェイアドレスを順番に確認でき、HA情報も確認できます。 下位に割り当てられたIPアドレスには使用可能なパブリックIP範囲も記載されています。

1. ファイアウォール

1. ファイアウォールの設定

一番最初にご説明するネットワーク機能はファイアウォールです。最初の設定の際はdefault rule for ingress trafficによって全てのネットワークが遮断されています。許可が必要なルールを追加して通信できるように設定する必要があります。 前で構成したネットワーク設計に沿ってExternal Subnetは外部アクセスを自由に許可し、Internal Subnetは外部アクセスを遮断するルールを入れます。その他にもサービス構成によって多様なファイアウォールポリシーを適用できます。

‘+’をクリックするとファイアウォールポリシーを入力できる行が追加されます。サーバの外部インターネット通信のため以下のようにoutbound通信について全て許可するポリシーを設定してみます。

まず、ファイアウォールのポリシー名をoutboundで入力して、ソースにはExternal Subnet/Internal Subnetを選択、対象は当該VDCのGatwayであるNBP-EXT-Netを選択します。

サービスは許可するPortを入力する項目です。サーバから外部に出るパケットを許可する予定ですので、サービスは任意にします。

管理目的のアクセスのため、ソースは任意、対象はサーバのIPを入力してサービスは ssh(22)またはmstsc(3389)を追加で許可されることをお勧めし、ウェブ通信もこれと似た形で進めます。ポート情報はHTTP - TCP 80とHTTPS - TCP 443です。 サーバには基本的にネットワークはノンパブリックIPが割り当てられます。NATを通じてパブリックIPを割り当てると外部通信ができます。

前で設定したファイアウォールルールを全て入力すると以下のようになります。

これからNAT設定をしてみます。

2. NAT

NATは内部のノンパブリックIPをパブリックIPに転換して外部と通信することによってセキュリティを強化し、多様なネットワーク構成を可能にします。 とりわけ、外部Repositoryで多様なパッケージをダウンロードすることがありますが、このためにも必ず外部接続ができるようにNATを設定する必要があります。External SubnetにあるVMは1:1 NAT (Source NAT)を通じて外部と接続されることをお勧めし、一方 Internal SubnetのVMは1:N NAT (Destination NAT)を使用して外部と接続してください。

1. Source NAT (1:1 NAT)

VDCに割り当てられたEdgeをクリックすると以下のように [下位に割り当てられたIPアドレス]項目があり、割り当てられたパブリックIPリストを確認できます。

これを利用してNAT設定をします。 [+ SNAT] メニューを通じてSource基盤のNATルールを入力してみてください。 元々のソース IP(Original Source IP)は変換の必要なノンパブリックIPを入力し、変換されたソースIPには前で割り当てられたIPプールのパブリックIPを入力してください。

以下のようにSNAT ルールが生成されました。

ファイアウォールルールにSNATを通じて変換されたIPを入力すると外部アクセス準備が完了します。

次にサーバにアクセスして外部に接続できるかテストをしてみてください。(例: Ping外部アドレス) ※ 場合によっては nameserver設定が必要なこともあります。

2. Destination NAT

外部で直接的なアクセスが必要のないサーバ(例:DBサーバ)の場合、パブリックIPを節約するため1:1 NATよりは 1:N(1個のパブリックIPを多数のノンパブリックIPに変換)させるルールを利用します。もし多数のDBサーバがある場合は、一つのパブリックIPのみ利用して外部通信を許可できます。

方法は以下の通りです。元々の IP/範囲にパブリックIPを、変換されたIP/範囲には使用するノンパブリックネットワークアドレス範囲を入力します。

以下のようにDNATが生成されたのを確認できます。

SNATで1:1 NATを適用した場合は必ず逆方向でDNATを追加しないと通信ができません。

次にサーバにアクセスして外部に接続できるかテストをしてみてください。(例: Ping外部アドレス) ※ 場合によっては nameserver設定が必要なこともあります。

3. LB

LB構成の順番は次の通りです。

  1. グローバル構成でLB の使用をenableにします。 もしL4レベルの負荷の分散が必要の際は加速化をしても構いません、

  1. アプリケーションプロファイルを生成します。 アプリケーションプロファイルとは、どのタイプのプロトコルを対象に分岐させるか、セッション継続性の特性を提供するかなどの分岐の際の主な特性を定義するものです。基本的には HTTPとHTTPSについてプロファイルを作成しておくことをお勧めします。

  1. プール(Pool)を追加します。 プールは実際のワークロードを処理するサーバの集合と考えてください。 以下のようにプール名を入力してアルゴリズムを定義します。 構成員にワークロードを処理するサーバを個別入力します。サーバ名と分岐するアドレスを入力してください。 もし今後生成するバーチャルサーバ(LBインスタンス)にパブリックIPを VIP(Virtual IP)に設定の際、構成員のサーバにノンパブリックIPを入力しても通信できます。

  1. 最後にバーチャルサーバを追加します。 バーチャルサーバはLBのインスタンスとしてリスナーの役割を実行します。 バーチャルサーバの使用はenableさせて、アプリケーションプロファイルには以前生成したものを入力します。 バーチャルサーバ名を入力して、IPアドレスはDNSとbindingされるIPを入力します。 プロトコルとポートは使用目的に沿って入力します。

ここまで設定したらNATルールが自動で設定されます。

  1. ファイアウォールポリシーの修正 以下のように外部から接続できるVIPを追加します。

8. 分散ファイアウォールの設定

分散ファイアウォールは VDC内の全ての個体のアクセス制御をするためのファイアウォールです。 Edgeから提供するファイアウォールがVDC外部と内部を遮断する役割をすれば、分散ファイアウォールは VDC内のネットワークとネットワーク、またはネットワークとホスト、ホストとホスト間の接続を制御する役割をします。

DBのような重要なデータを安全に保管するために外部の接続を制御するファイアウォール以外に分散ファイアウォールを使用してアクセスを制御されることをお勧めします。 

分散ファイアウォールの影響範囲を以下のように図で表しました。

※ 分散ファイアウォールは有料サービスです。VM別に請求されるので利用の際に参考にして頂き、一部のみ分散ファイアウォールを適用することはできません。つまり、分散ファイアウォールを申込みの際は全てのVMと内部ネットワークに即時に影響を及ぼし、適用後は取り消しできませんのの慎重にご利用ください。

分散ファイアウォールの設定は [ネットワーキング] - [セキュリティ] – [サービス構成]メニューを通じて設定できます。

もし外部から lnternal Subnetに対するアクセスを遮断してExternal Subnetでの接続のみ許可するとしたら以下の’4’番ルールのように入力してください。

に対する検索結果は~件です。 ""

    に対する検索結果がありません。 ""

    処理中...