ニフクラ ブログ

ニフクラ/FJ Cloud-Vやクラウドの技術について、エンジニアが語るブログです。

ドメイン名の取得とDNSの設定方法

ドメイン名 ドメイン取得 未分類 DNS

インターネット向けのサービスを提供する際に必要となるのが独自ドメイン名の取得と、DNSの設定です。今回は、ドメイン名の取得からの一連の流れを解説します。

取得できるドメイン名

ニフティクラウドでは、簡単にドメイン名の取得が行えます。取得できるドメインの種類は以下のページで確認してください。

DNS:ドメイン取得

.jpドメインや.comドメイン、.netドメインなどが取得できます。

ドメインを取得する

ドメイン名の取得は、以下の手順で行います。

コントロールパネルをDNSサービスに切り替える

コントロールパネルからDNSサービスを選択します。

dnsservice

ドメイン新規取得を開始する

「ドメイン新規取得」をクリックします。

dnsdashboard1

ドメイン名を検索する

まずドメイン名を検索して、取得可能かどうか確認します。同時に複数のTLD(トップレベルドメイン)を検索できます。

domainsearch

利用規約の確認とWhois情報の登録

取得したいドメイン名のラジオボタンを選択し、「利用規約確認へ」をクリックします。 利用規約の内容を確認したら、「利用規約に同意し、Whois情報登録へ」をクリックします。 Whois情報登録では、担当者の名前や住所などを入力し、「確認へ」をクリックします。

dnswhois

登録情報の確認とドメイン名の登録

確認画面でドメイン名、Whois情報などに誤りがないかを確認し、「ニフティクラウド DNSサーバーにゾーン情報を登録する」にチェックを入れておきます。 「登録する」をクリックすると、ドメイン名の取得は完了です。

コントロールパネルで、DNSサービスに取得したドメインが登録されていることを確認します。

domainmanage

DNSにレコードを登録する

取得したドメイン名を利用するには、レコードの登録が必要です。ホスト名からIPアドレスに変換するにはAレコードを登録します。 あらかじめ、ホスト名に対応させたいIPアドレスを確認しておきます。IPアドレスに変更が無いよう、付け替えIPアドレスにしておくことを推奨します。

DNSゾーン管理を開始

コントロールパネルで、「DNSゾーン管理」を選択します。

dnszonemanage

ゾーンの選択とレコード新規作成

レコードを追加したいドメイン名(DNSゾーン名)をチェックし、「選択したゾーンの操作」ドロップリストから「レコード設定」を選択します。

dnsrecordadd1

「レコード新規作成」をクリックすると、対話式でレコードを追加できます。 「タイプ」で「A」レコードを選択し、「レコード名」に付けたい名前、「値」にIPアドレスを入力して、「確認へ」をクリックします。

dnsrecordadd2

登録情報の確認とレコードの登録

新規作成の内容に誤りがないかを確認し、「登録する」をクリックします。 コントロールパネルで、レコードが登録されたことを確認します。

dnsrecordadd3

必要に応じて、その他のAレコードも登録しておきます。

名前解決を確認する

DNSに登録したAレコードがきちんと名前解決され、ホスト名でサーバーに接続できることを確認します。

以下の例では、Aレコードで登録した付け替えIPアドレスを割り当てたWebサーバーでWordPressが動作しています。

niftycloudinfo

まとめ

難しいと思われがちのドメイン名の取得やDNSの設定も、ニフティクラウドのサービスを利用すると対話形式で簡単に行うことができますので、是非試してみてください。

Windows Serverで「L2TP/IPsec」環境を実装してみる

リモートアクセス 未分類 VPN Windows Server

こんにちは、ニフティクラウドテクニカルアカウントチームです。 今回はニフティクラウド上でリモートアクセスVPN環境を構築してみます。

はじめに

ニフティクラウド上でリモートアクセスVPN環境を構築してみて、性能測定を行った結果をブログに記載いたします。

ニフティクラウドのサービスでVPN環境を構築する場合、現在は拠点間アクセスVPNで実装する必要があります。サービスとしては拠点間VPNゲートウェイや、インターネットVPN(H/W)があります。 しかし、商談の支援を行う中で、「外出先の端末からセキュアにアクセスする方法が欲しい」などの要望をいただくことが多くあります。本要望を実現する選択肢として、拠点間VPNではなくリモートアクセスのVPN環境を構築する方法があります。そのため、今回はリモートからVPNでクラウド環境にアクセスする方法のご紹介となります。
※ニフティの責任範囲外になるため、実施する場合にはお客様の判断にて実施をお願いします。

本ブログ執筆後、リモートアクセスVPNゲートウェイがリリースされています。
こちらをご利用いただくことでリモートからVPNでクラウド環境にアクセスすることが可能になっています。
ご利用方法に関しては、ニフクラの新サービス、リモートアクセスVPNゲートウェイ機能を使ってみたもご参照ください。

対象 OS サーバータイプ グローバルIP プライベートIP 備考
Windows Server(L2TP/IPsec) Windows Server 2012 R2 large8 ○○○.○○○.○○○.○○○ 192.168.1.11 VPNサーバーとしてWindowsの機能で構築
Netperf クライアント(Windows Server) Windows Server 2012 R2 large8 ×××.×××.×××.××× 記載不要 VPNクライアントとしてWindows Serverで構築
Netperf クライアント(Windows7) Windows7 △△△.△△△.△△△.△△△ 記載不要 VPNクライアントとしてWindows7の端末で構築
Netperf サーバー(Windows) Windows Server 2012 R2 large8 192.168.1.33 クライアントからVPN接続後疎通確認と性能測定用に構築

前提条件

本ブログの構成実現は、以下の前提知識がある方を想定しています。

  • ニフティクラウドの基本的なコントロールパネルの操作ができる方 (サーバー作成、ネットワーク構築など)
  • 基本的なWindows Server OSの設定が出来る方 (IPアドレスの設定、ファイアウォール設定など)

L2TP/IPsec環境の構築

実際にL2TP/IPsec環境を構築します。 上記図の構成でネットワークの構成、サーバーの作成などは完了している前提で記載します。 また、ニフティクラウドのファイアウォールは適切に設定しています。

Windows Server L2TP/IPsec サーバーの構築

まず、VPNのサーバー側の構築を行います。

  • サーバーマネージャーの「役割と機能の追加」から「リモートアクセス」の役割を追加します。基本的には画面に従って進んでいけばOKです。

リモートアクセスのインストールまで完了したので、実際にVPNサーバーとしての設定を実施します。

  • サーバーマネージャーを起動すると右上に表示される「!マーク」をクリックし、ポップアップにある「作業の開始ウィザードを表示する」をクリックします。

  • 「リモートアクセスの構築」画面で「VPNのみを展開します(V)」をクリックします。

  • 「ルーティングとリモートアクセス」の画面で対象のサーバーを右クリックし、「ルーティングとリモートアクセスの構築と有効化(C)」を選択します。
  • 「ルーティングとリモートアクセスサーバーのセットアップウィザード」の画面が表示されるので、「次へ(N)」をクリックします。

  • 「構成」の画面で、今回は「カスタム構成(C)」を選択し、「次へ(N)」をクリックします。
  • 「カスタム構成」画面が出力されるので、「VPNアクセス(V)」にチェックを入れて「次へ(N)」をクリックします。
  • 「ルーティングとリモートアクセスサーバーのセットアップウィザードの完了」と表示されるので、「完了」をクリックします。

その後、ルーティングとリモートアクセスのサービスを開始するポップアップが表示されるため「サービスの開始」をクリックします。

次にVPN接続で使用するユーザーの設定を行います。

  • ローカルユーザーとグループから対象のユーザーのプロパティを開きます。
  • 「ダイヤルイン」タブの「リモートアクセス許可」の設定で「アクセスを許可(W)」を選択し、「OK」をクリックします。

再度、「ルーティングとリモートアクセス」の画面を開いて設定の続きを行います。

  • 対象のサーバーを右クリックし「プロパティ(R)」を選択します。
  • 「セキュリティ」タブの「カスタム IPsecポリシーをL2TP/IKEv2接続で許可する(L)」にチェックを入れ、事前共有キー(K)を設定し「OK」をクリックします。

  • 「...ルーティングとリモートアクセスを再起動する必要があります」とポップアップが出力されるので、「OK」をクリックします。
  • 設定を反映させるため、対象のサーバーを右クリックし、「すべてのタスク(K)」内の「再起動(E)」をクリックしてサービスを再起動します。

次にVPNトンネルの設定を行います。 ルーティングとリモートアクセスの画面を開き、対象のサーバーを右クリックし、「プロパティ」を選択します。

  • 「IPv4」タブの「IPv4 アドレスの割り当て」で「静的ホスト構成プロトコル」を選択し、「追加」をクリックします。出力される画面上でIPアドレスの範囲を設定し、「OK」をクリックします。 ※ここでニフティクラウド側で作成したプライベートLANで設定したCIDR内のIPアドレスで範囲を指定します。VPN接続したクライアントはここで指定した範囲のIPアドレスを利用することになります。

  • 設定を反映させるため、対象のサーバーを右クリックし、「すべてのタスク(K)」内の「再起動(E)」をクリックします。

ここまででVPNサーバーの基本的な構築が完了しました。 それなりに長いですが、比較的容易に設定が可能かと思います。

Windows Server L2TP/IPsec クライアントの構築

次にVPNクライアントの構築を行います。 まずはクライアントにWindows Serverを利用した場合の構築です。

※ここからはクライアント用のWindows Serverで実施する作業になります。

  • コントロールパネルから「ネットワークと共有センター」を選択します。
  • 「新しい接続またはネットワークのセットアップ」を選択します。
  • 「職場に接続します」を選択し、「次へ(N)」をクリックします。

  • 「インターネット接続(VPN)を使用します(I)」をクリックします。
  • 「インターネットアドレス(I)」と「接続先の名前(E)」を入力し、「作成(C)」をクリックします。インターネットアドレスは接続先VPNサーバーのグローバルIPアドレスを指定し、接続先の名前は任意で設定します。
  • 作成されたネットワークを右クリックし、「プロパティ(R)」を選択します。

  • 「セキュリティ」タブの「VPNの種類(T)」を「自動」から「IPsecを利用したレイヤー 2トンネリング プロトコル(L2TP/IPSec)」へ変更し、「詳細設定(S)」をクリックします。
  • 「詳細プロパティ」の画面でVPNサーバー構築で設定した「事前共有キー」を入力し、「OK」をクリックします(今回は「L2TPWindows」)。
  • 「ネットワーク」タブの「インターネット プロトコル バージョン4 (TCP/IPx4)」を選択し、「プロパティ(R)」をクリックします。

  • 「詳細設定(V)」をクリックします。
  • 「IP設定」タブの「リモートネットワークでデフォルトゲートウェイを使う(U)」のチェックを外します。

これでクライアントにWindows Serverを利用した場合の構築が完了です。

Windows7 L2TP/IPsec クライアントの構築

次にWindows7端末をクライアントとして利用した場合の構築についても記載します。 基本的な設定は前述したサーバーOSの設定方法と変わりなく構築が可能となります。 リモートアクセスという観点からサーバーOSをクライアントにするより、こちらのほうが利用する機会は多いかもしれません。

  • コントロールパネルの「ネットワークと共有センター」から「新しい接続またはネットワークのセットアップ」をクリックします。
  • 「接続またはインターネットのセットアップ」ウィザードが起動するので、「職場に接続します」を選択し、「次へ(N)」をクリックします。

  • 「既存の接続を使用しますか?」の画面が表示されるので、「いいえ、新しい環境を作成します(C)」を選択し、「次へ(N)」をクリックします。
  • 「インターネット接続(VPN)を使用します(I)」をクリックします。
  • 「インターネット アドレス(I)」と「接続先の名前(E)」を入力し、「今は接続しない。自分が後で接続できるようにセットアップのみを行う(D)」にチェックを入れ、「次へ(N)」をクリックします。接続先の名前は任意でOKです。

  • 「ユーザー名(U)」と「パスワード(P)」を入力し、「作成(C)」をクリックします。
  • 作成したネットワークを右クリックし、「プロパティ(R)」をクリックします。
  • 「セキュリティ」タブを開き、「VPNの種類(T)」を「自動」から「IPsecを利用したレイヤー2トンネリング プロトコル(L2TP/IPsec)」に変更し、「詳細設定(S)」をクリックします。

  • 事前認証キー(K)を入力し、「OK」をクリックします。VPNサーバー構築時に設定した事前共有キーを記入します(今回は「L2TPWindows」)。
  • 「インターネット プロトコル バージョン4(TCP/IPv4)」を選択し、「プロパティ(R)」をクリックします。
  • 「詳細設定(V)」をクリックします。
  • 「リモートネットワークでデフォルト ゲートウェイを使う(U)」のチェックを外し、「OK」をクリックします。

ここまででクライアントにWindows7端末を利用した場合の構築が完了です。

Windows Server L2TP/IPsec クライアント 接続確認~疎通テスト

ここから、Windows Server L2TP/IPsec クライアントから実際にVPN接続を行いNetparfサーバー(Windows)への疎通確認まで実施します。

  • Netperfクライアント(Windows Server)にログインし、コントロールパネル-ネットワークとインターネット-ネットワーク接続を開き、「VPN-L2TP」を右クリックし、「接続/切断(O)」をクリックします。
  • 「VPN-L2TP」を選択し、「接続(C)」をクリックします。
  • 「VPN-L2TP」が「接続済み」になったことを確認します。

  • コマンドプロンプトを起動し、「ipconfig /all」を入力します。VPN-L2TPのIPv4のアドレスが、サーバー構築時に設定した「192.168.1.101~105」の間である192.168.1.102となっていることがわかります。
  • コマンドプロンプトを起動し、NetperfServer(Windows Server)(192.168.1.33)に疎通できることをpingを使って確認します。

Windows Server(L2TP/IPsec)の画面からも192.168.1.102がNetperfクライアント(Windows Server)に付与していることを確認します。

  • ルーティングとリモートアクセスを開き「リモートアクセスクライアント」をクリックします。中央ペインの対象のクライアント名を右クリックし、「状態(S)」をクリックします。
  • ネットワーク登録のIPアドレスがNetperfクライアント(Windows Server)で確認したIPv4の内容と一致していることがわかります。

以上でWindows Server L2TP/IPsec クライアント 接続確認~疎通テストは完了です。

Windows7 L2TP/IPsec クライアント 接続確認~疎通テスト

Windows7 L2TP/IPsec クライアントからも実際にVPN接続を行いNetparfサーバー(Windows)への疎通確認まで実施します。

  • 端末のネットワークの接続を開き、「VPN-接続検証」を右クリックし、「接続(O)」をクリックします。
  • 「VPN-接続検証へ接続」の画面が出力されるので、「ユーザー名(U)」と「パスワード(P)」を入力し、「接続(C)」をクリックします。
  • 「VPN-接続検証」が「接続済み」になったことを確認します。

  • コマンドプロンプトを開き、「ipconfig /all」を入力しすると、端末で作成した「VPN-接続検証」のIPv4アドレスがサーバー構築時に設定した「192.168.1.101~105」の間の192.168.1.103で振られていることがわかります。
  • 端末でコマンドプロンプトを開き、Netperfサーバー(Windows Server)(192.168.1.33)に疎通できることをpingを使って確認します。

Windows Server(L2TP/IPsec)の画面からも192.168.1.103がNetperfクライアント(Windows7)に付与していることを確認します。

  • ルーティングとリモートアクセスを開き「リモートアクセスクライアント」をクリックします。中央ペインの対象のクライアント名を右クリックし、「状態(S)」をクリックします。
  • ネットワーク登録のIPアドレスがNetperfクライアント(Windows Server)で確認したIPv4の内容と一致していることがわかります。

以上でWindows7 L2TP/IPsec クライアント 接続確認~疎通テストまで完了です。

これでリモートアクセスでのVPN環境の構築が完了しました。 次に実際に性能の測定を行います。

性能測定

ここから、実際にVPNクライアントからVPN接続を行った際にどの程度性能が出るか測定を行います。 ※Windows7端末からは端末側の通信環境の影響が大きいと考え、今回は掲載していません。

実際のベンチマーク試験は「Netperfクライアント(Windows Server)」と「Netperfサーバー(Windows Server)」間で測定しています。 「Netperf」を利用し、TCPでの転送性能と、UDPでの 64, 128, 256, 512, 1024, 1280, 1518 バイトでの転送性能を測定しています。

VPNゲートウェイに比べると若干性能は落ちますが、TCP性能で平均400Mbps程度なので十分実用可能な性能が出ているのではないでしょうか。 拠点間VPN接続のVPNゲートウェイの性能については、以下が参考になるかと思います。 > VPNゲートウェイの性能評価

※多重セッション時の性能測定などは今回行っておりません。 ※性能については、ベストエフォートでのサービス提供となるため、保証するわけではありません。

まとめ

今回は「Windows ServerでリモートアクセスVPN環境を実装してみる」をお送りしました。 通常のWindows Serverの機能だけでリモートアクセスVPNの環境を実装することができました。 リモートからアクセスする際にセキュアに接続できる環境を作りたい場合の選択肢の一つになるのではないでしょうか。

注意事項 ・OS以上の動作となるためお客様にて、責任をもって実装をお願いします。 ・ニフクラの禁止事項に抵触しないよう気をつけて実装をお願いします。

[2021年2月19日追記:リモートアクセスVPNゲートウェイでも目的を達成できる旨を追記]

これから始める人のためのニフティクラウド入門(リージョン選択編)

ゾーン サーバー リージョン ネットワーク 未分類

今回の記事では、初めてニフティクラウドでサーバーを動かしたいと思っている人のために手順、および設定項目の意味、選択肢がある場合には選択の指針となる情報を解説いたします。サーバー作成のための参考としてください。

サーバー作成までの流れ

ニフティクラウド上にサーバーを作成するには、概ね以下のような手順となります。

  1. ダッシュボードにログイン
  2. リージョンの選択
  3. サーバーの追加

今回はリージョン選択時のポイントについて、解説していきます。

リージョンとゾーンの選択

ダッシュボードにログインしたら、まずはリージョンを選択する必要があります。

dashboard_regionselect

リージョンとは

リージョンは、例えて言うならデータセンターです。ニフティクラウドでは、関東のリージョン、関西のリージョン、アメリカのリージョンに分かれています。今回は関東のリージョンを中心にお話します。

zone

ゾーンとは

リージョンの中はさらにゾーンに分割されています。これも例えるならば、データセンター内のフロアだと考えてみてください。クラウドサービス用のリソースは少しずつ増えていきますので、フロア増設の際に導入される設備やシステムには違いがあります。そのため、ゾーンによって使用できる機能に違いがあります。後から追加で機能を使いたくなった時、サーバーをリージョン、ゾーン間で移動させるのは大変なので、あらかじめどのリージョン、ゾーンを使用するかを考えておきましょう。

リージョンとゾーンに関連する主な制約

リージョンとゾーンに関連する主な制約を確認しておきましょう。

多くのリソースはリージョンごとに独立している

これが一番わかりやすい制約でしょう。前述の通り、リージョンはそれぞれ独立した存在なので、そこに配置したリソースはそのリージョンの中でのみ有効です。

たとえば、登録したSSHキーはそのリージョンでのみ有効です。

サーバーをリージョン間を移動させるにはサーバーコピー機能を利用する必要があります。

クラウドFAQ すでに利用中のサーバーについて、リージョンやゾーンの変更は可能ですか?

また、リージョン間をネットワーク経由で接続するのも、VPNなどが必要となります。

クラウドFAQ 「リージョン・ゾーン」一覧

このような制約を回避するために、主に使用するリージョンを決めておき、バックアップなどをするためのリージョンを別にするような利用設計が必要となるでしょう。

new_server_zone

ネットワークはゾーンごとに独立している

サーバーが接続されているネットワークは、ゾーンごとに独立しています。

サーバー間を簡単に接続するためのプライベートLANは、作成したゾーン内でのみ接続可能です。同じリージョン内でも、ゾーンが異なると相互接続にはVPNが必要になります。WebサーバーとDBなど、密に結合する必要があるサーバーは、同じネットワークに作成します。

ゾーンごとの機能比較

ゾーンごとに使用できる機能の違いは、以下のページにまとめられています。

ニフティクラウド ゾーン別機能対応表

クラウドFAQ 選択するゾーンによって機能制限はありますか。

主に着目すべきゾーン間での機能の違いは、以下の通りです。

Type-eファミリーが選択できる

Type-eファミリーはType-hファミリーに比べて性能を押さえた分、料金プランが安いサーバーファミリーです。あまり性能を必要としないサーバーを作成するなら、Type-eファミリーが選択できるゾーンを選びます。

Type-hファミリーのwlargeタイプが選択できる

Type-hファミリーのwlargeタイプは高スペックなサーバータイプです。最も高スペックなwlarge96で8vCPU・96GBが割り当てられます。

専有サーバーが選択できる

専有サーバーのプランが利用できるのは、east-13ゾーンのみです。

増設ディスクが利用できる

east-11では増設ディスクとして追加できるのは高速ディスクのみで、標準ディスク、高速なフラッシュドライブが利用できません。その他のゾーンでもフラッシュドライブが利用できないゾーンがあります。

ファイアーウォールでIPv6が使用できる

ファイアーウォールでIPv6が使用できるのはeast-14のみです。

L7ロードバランサーの冗長構成が選択できる

L7ロードバランサーの冗長構成がeast-11とeast-12ではできません。

プライベートLAN・ルーター・VPNゲートウェイが利用できる

プライベートLANやルーター、VPNゲートウェイがeast-11では利用できません。

ネットワーク速度

クラウド上のサーバーを利用する場合、ネットワークの速度も気になるところ。以前のエントリーにネットワーク速度の測定結果をまとめてあります。2016年2月に測定した結果なので、east-3ゾーンは含まれていません。

ニフティクラウドのネットワーク速度を計測する

ネットワーク速度の測定場所(接続元)が東京・渋谷からになりますが、帯域は大きく異なりません。

レスポンスタイムは測定場所とゾーンの間のネットワーク的な距離によりますが、東京・渋谷からはeast-2ゾーンがかなり近いのが分かります。通常の利用では気にならない程度の差ですが、レスポンスタイムが重要になるシステムを作成する場合には、事前にテストサーバーを各ゾーンに作成し、計測してみるとよいでしょう。

どのゾーンを選べばいいのか?

リージョン、ゾーンによる機能の違いを見てきましたが、それではどのゾーンを選んでサーバーを作成すればよいのでしょうか? いくつかの観点からおすすめゾーンを選んでみたいと思います。

とにかく全部使えるようにしておきたい

専有サーバーのプランを利用しないのであれば、east-14が最もフルスペックなゾーンになっています。次点としてeast-13、east-21あたりが大体の機能が利用できます。east-14とeast-13、east-21の間に、通常利用で想定される機能の差はありませんので、ネットワークのレスポンスによってはeast-21ゾーンもよいでしょう。

専有サーバーを使いたい

専有サーバーを使いたい場合にはeast-13一択になります。その場合、その他の仮想サーバーを作成する場合にもeast-13を使用することになります。

リージョンの選択など、ニフティクラウドを初めて使う人には悩ましい課題について解説してみました。次回はWindowsサーバーの作成手順を解説します。

ルーター機能のルートテーブルを利用してみた

ルーター ルートテーブル 機能紹介・TIPS VyOS

ニフティクラウドのネットワーク機能では、仮想的なルーターを利用することができます。ルーターではDHCP、NAT、Webプロキシなどの設定が可能です。また、複数のルーター同士を接続するためにルートテーブルの機能があります。 今回はそのルートテーブルを利用して、インターネットに接続するためのゲートウェイを作成してみました。

ゴール

ゴールの構成は以下の通りです。完成すれば、同じ構成図がニフティクラウドのコントロールパネル (以下コンパネ)のネットワークから確認することができます。

try_routetable_goal.png

また、今回の構成を実現するにあたっての想定の料金は以下の通りです。 今回の記事ではリージョンはwest-1として進めます。

  • プライベートLAN × 2 = 20円/時 × 2 = 40円/時
  • サーバー × 2 = 42円/時 × 2 = 84円/時
  • ファイアウォール × 1 = 0円/時
  • ルーター × 1 = 20円/時
  • ルートテーブル × 1 = 0円/時

上記の合計で144円/時となります(料金は2016/12/26時点のものとなります)。

プライベートLANの作成

まずはプライベートLANを作成します。 コンパネの左メニューから「ネットワーク」->「プライベートLAN作成」を選択します。

今回は2つのプライベートLAN(vlan1、vlan2)を作成します。 プライベートLAN名は好きなものを指定してください。 ゾーンは今回はwest-11を選択します。 1つ目のプライベートLANのCIDRを172.16.0.0/24、2つ目のプライベートLANのCIDRを192.168.0.0/24として作成します。 料金プランは従量を選択します。

try_routetable_addding_vlan1.png

try_routetable_addding_vlan2.png

ファイアウォールの作成

次にファイアウォールを作成します。 今回、ニフティクラウド上に作成するリソースはすべて同じファイアウォールに所属させるので、サーバー間で必要な設定は特にありません。ニフティクラウド上のサーバーにSSHログインするための許可を設定すればOKです。

VMの作成

2つVMを作成します。1つは先程作成したvlan1にのみに接続されたグローバルネットワークとは隔離されたVMで、もう1つはvlan2とグローバルネットワークに接続されたVyOSを作成します。

VyOSの作成

まず、VyOSを作成します。 ニフティクラウドにすでに公開されているパブリックイメージがあるのでそれを利用します。 料金は従量を選択します。 プライベート側は先程作成したvlan2を選択します。

try_routetable_addding_server2.png

サーバーが作成できたら、IPアドレスとインターネットに接続するためのNATの設定を行います。 VyOSにログインしコマンドを実行します。ユーザーはVyOSになるので注意してください。

  • ssh -i sshkey_private.pem vyos@xxx.xxx.xxx.xxx
  • configure

ここで編集モードになります。

  • del interfaces ethernet eth1 address dhcp
  • set interfaces ethernet eth1 address '192.168.0.10/24'

上記でプライベートIPの設定を行います。以下でvlan1に属するサーバーがインターネットに出るための設定を行います。

  • set nat source rule 1 source address 172.16.0.0/24
  • set nat source rule 1 translation address 'masquerade'
  • set nat source rule 1 outbound-interface eth0
  • commit
  • save

また、vlan1へのルーティングも追加しておきます。 exitで編集モードを抜けて以下を実行します。 vlan1へのルーティングをOSレベルで設定しています。

  • ip r add 172.16.0.0/24 via 192.168.0.1 dev eth1

CentOS7の作成

次にグローバルネットワークとは隔離されたVMを作成します。 ゲストOSはCentOS7を選択します。 料金は従量を選択します。

try_routetable_addding_server1.png

サーバーが作成できたら、IPアドレスの設定をします。 c7サーバーにログインし、コマンドを実行します。

  • ssh -i sshkey_private.pem root@xxx.xxx.xxx.xxx
  • cat /etc/sysconfig/network-scripts/ifcfg-ens192
DEVICE=ens192
BOOTPROTO=static
IPADDR=172.16.0.10
NETWORK=172.16.0.0
NETMASK=255.255.255.0
GATEWAY=172.16.0.1
ONBOOT=yes
PEERDNS=no
EOF

この後、サーバーを再起動するので再起動した際にもvlan2へのルーティングが通るようにしておきます。

  • cat /etc/sysconfig/network-scripts/route-ens192
192.168.0.0/24 via 172.16.0.1

ルーターが作成されていないので、まだVM同士の通信はできません。 CentOS7の方はプライベートIPを設定できたら、グローバル側のインタフェースを外しておきましょう。外さなくても問題ないですが、外した方が料金も若干安くなるのでおすすめです。

ルーターの作成

VMの作成が完了したらルーターを作成します。 左メニューの「ネットワーク」から「ルーター作成」を選択します。 ルーターには作成した2つのプライベートLANを接続します。 各プライベートLANにIPアドレスを指定しない場合は、.1がルーターのIPとして利用されます。 ファイアウォールはサーバーと同じファイアウォールを設定します。 タイプは一番小さい「router.small (10ルール)」で作成します。

try_routetable_addding_server2.png

ルーター作成後のc7サーバーへのプライベートIPでのログインはvyos経由で行えます。 vyos上にSSHキーを配置してログインしてください。先程、実施したOSレベルでのルーティング追加がうまくできていないと通信できません。

ルートテーブルの作成と設定

ルートテーブルは今回ゲートウェイとしての役割となります。 そのため、作成前にc7サーバーでpingでも実行してみます。まだ、疎通できていないことが確認できると思います。

$ ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
From 172.16.0.1 icmp_seq=1 Destination Net Unreachable

この状態でルートテーブルを作成し、ルーターに設定してみます。 ルートテーブルは左メニューの「ルートテーブル」から作成できます。 「ディスティネーション」に0.0.0.0/0を設定し、ターゲットは「IPアドレス」を設定し、192.168.0.10を入力します。192.168.0.10はvyosに割り振ったプライベート側のIPとなります。

try_routetable_addding_routetable.png

要するにインターネット(0.0.0.0/0)に出る場合には、次のルーター(vyos)の192.168.0.10のインタフェースをホップします。という設定を作成します。

ルートテーブルが作成できたら、ルーターにルートテーブルを設定します。 ルートテーブルは作成しただけではダメでルーターに設定する必要があります。 作成したルーターを選択し、「ルーターの操作」から「ルートテーブルの設定」を選択します。 そして、事前に作成したルートテーブルを選択します。

try_routetable_setting_routetable.png

動作確認

ここまでできれば、c7がインターネットに接続できるようになっていると思います。 先程のpingがどうなっているかを確認してみてください。

# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=55 time=10.5 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=55 time=10.8 ms

上記のようにc7サーバーから外部に通信できていることが確認できると思います。 tracetouteを見てもルートテーブルで設定した通り、192.168.0.10 -> VyOSの共通グローバルのGatewayを通って通信していると思います。 VyOSの共通グローバル側をモニタしてみても良いと思います。 以下はVyOSで編集モードになりeth0 をモニタリングしている状況です。

  • run monitor interfaces ethernet eth0

try_routetable_ret_monitoring_eth0.png

大きなファイルをダウンロードしてる時にRX Rateが大幅に増加することが確認できると思います。

【おまけ】なぜこの構成にしたのか

2016/12/26時点のニフティクラウドでルーターのみを使用してルートテーブルを使用する場合はこの構成しかできません。理由は以下の通りです。

  • 1つのプライベートLANが複数の「ルーター」に所属することができないため、同一プライベートLAN内でのルーター同士の通信ができない。
  • そのため、パブリックイメージからVyOSを構築したが、ニフティクラウドの「インスタンス」には複数のプライベートネットワークが接続できない。
  • なので、ルーター同士の通信は実現できるが、ルーティング先が共通グローバルしかない。

という理由になります。

基本的にルートテーブルは、VPNゲートウェイと連動して使用するのがメインの使い方となります。 VPNゲートウェイについては、ほかに紹介している記事が多数ありますので、こちらをご確認ください。

また、今回は隔離されたネットワークにあるサーバーをインターネットに接続しただけなので、ルーター機能のSNATを利用しても実現可能です。 ルートテーブルの紹介も兼ねて、今回の構成を紹介いたしました。

Fastly(CDN)のログをニフティクラウド オブジェクトストレージに保存する

オブジェクトストレージ 未分類 CDN Fastly

こんにちは。ニフティの東條(ひがしじょう)です。 前回の「Fastly(CDN)を利用してデータ配信してみよう」では、Fastly(CDN)の基本的な利用方法についてご説明しました。 今回は、Fastly(CDN)のログをニフティクラウドオブジェクトストレージに保存する方法をご紹介いたします。

仕組み

Fastly(CDN)では任意の場所にログを保存する事が可能です。 ニフティクラウドオブジェクトストレージは、Amazon s3に準拠したオブジェクト型ストレージサービスですので、Fastlyのコントロールパネル上より簡単に設定することが可能です。

service%ef%bc%8ffastly_img_02

設定内容

まず、ログの保存先としてニフティクラウドオブジェクトストレージを用意します。すでにオブジェクトストレージをご利用の方は飛ばしてお読みください。

オブジェクトストレージ

  1. ニフティクラウドのコントロールパネルよりオブジェクトストレージを選択してください。
  2. 次にバケットを作成してください。公開レベルはお客様のご利用形態にあわせて、選択してください。

Fastly

1.Fastlyのコントロールパネルよりログを保存したいServiceを選択後、Configure → Edit Configurationを選び、設定画面に入ります。

fastly2-1

2.設定画面にて、Loggingを選択してください。

fastly3

3.Endpointの選択画面にて、Amazon s3を選択してください。

4.Endpoint 設定画面にて、下記項目を入力し、Createボタンをクリックします。

Description : ログ保存の設定名を入力してください。 Bucket Name : オブジェクトストレージで作成したバケット名 Access Key : ニフティクラウド コントロールパネルよりご確認ください。 Secret Key : ニフティクラウド コントロールパネルよりご確認ください。 Domain : jp-east-2.os.cloud.nifty.com と入力してください。

確認方法

Endpoint設定画面のperiodで選択した時間単位でニフティクラウド オブジェクトストレージにログが保存されていきます。Periodは標準で3600秒となっています。

まとめ

CDNではリアルタイムでのログ保存が難しいのですが、Fastlyではコントロールパネル上でリアルタイムデータが閲覧でき、簡単に設定することができます。 ニフティクラウド オブジェクトストレージを保存先にすると簡単な設定で実行できるのでおすすめです。