インターネットサービスを提供しているサーバーに脆弱性があると、侵入や改ざん、情報漏えいといったセキュリティインシデントを引き起こす原因となってしまうのは皆さんもよくご存じかと思います。
次々に発見されるOSの脆弱性はもちろん、ミドルウェアのバージョン変更によっても脆弱性が生じることもあるため、このような被害を防ぐためには、定期的にサーバーの脆弱性診断を行うことが重要です。
ニフティクラウド脆弱性スキャンを使えば、ご利用中のサーバーの脆弱性を簡単に検知することができます。
今回は、Jenkinsを使って脆弱性診断を自動で実行し、結果をSlackに通知する仕組みを構築してみました。
続きを読むはじめまして、富士通クラウドテクノロジーズの成田颯(なりた はやて)です。 関東生まれ関東育ち、好きな食べ物は粉物とエビチリです。 昨年の12月に初めてニフティクラウド(現ニフクラ)に触れてから、はや3ヶ月。 [ifconfig] しかわからなかったLinuxも、基本的なコマンドは打てるくらいに進化を遂げました。
そんな進化を遂げた成田がSSHログインについて、 自分自身が初心者ということを最大限に活かし、初心者目線でわかりやすく用語の解説も含めてご紹介いたします!
続きを読むインターネット向けのサービスを提供する際に必要となるのが独自ドメイン名の取得と、DNSの設定です。今回は、ドメイン名の取得からの一連の流れを解説します。
ニフティクラウドでは、簡単にドメイン名の取得が行えます。取得できるドメインの種類は以下のページで確認してください。
.jpドメインや.comドメイン、.netドメインなどが取得できます。
ドメイン名の取得は、以下の手順で行います。
コントロールパネルからDNSサービスを選択します。
「ドメイン新規取得」をクリックします。
まずドメイン名を検索して、取得可能かどうか確認します。同時に複数のTLD(トップレベルドメイン)を検索できます。
取得したいドメイン名のラジオボタンを選択し、「利用規約確認へ」をクリックします。 利用規約の内容を確認したら、「利用規約に同意し、Whois情報登録へ」をクリックします。 Whois情報登録では、担当者の名前や住所などを入力し、「確認へ」をクリックします。
確認画面でドメイン名、Whois情報などに誤りがないかを確認し、「ニフティクラウド DNSサーバーにゾーン情報を登録する」にチェックを入れておきます。 「登録する」をクリックすると、ドメイン名の取得は完了です。
コントロールパネルで、DNSサービスに取得したドメインが登録されていることを確認します。
取得したドメイン名を利用するには、レコードの登録が必要です。ホスト名からIPアドレスに変換するにはAレコードを登録します。 あらかじめ、ホスト名に対応させたいIPアドレスを確認しておきます。IPアドレスに変更が無いよう、付け替えIPアドレスにしておくことを推奨します。
コントロールパネルで、「DNSゾーン管理」を選択します。
レコードを追加したいドメイン名(DNSゾーン名)をチェックし、「選択したゾーンの操作」ドロップリストから「レコード設定」を選択します。
「レコード新規作成」をクリックすると、対話式でレコードを追加できます。 「タイプ」で「A」レコードを選択し、「レコード名」に付けたい名前、「値」にIPアドレスを入力して、「確認へ」をクリックします。
新規作成の内容に誤りがないかを確認し、「登録する」をクリックします。 コントロールパネルで、レコードが登録されたことを確認します。
必要に応じて、その他のAレコードも登録しておきます。
DNSに登録したAレコードがきちんと名前解決され、ホスト名でサーバーに接続できることを確認します。
以下の例では、Aレコードで登録した付け替えIPアドレスを割り当てたWebサーバーでWordPressが動作しています。
難しいと思われがちのドメイン名の取得やDNSの設定も、ニフティクラウドのサービスを利用すると対話形式で簡単に行うことができますので、是非試してみてください。
こんにちは、ニフティクラウドテクニカルアカウントチームです。 今回はニフティクラウド上でリモートアクセスVPN環境を構築してみます。
ニフティクラウド上でリモートアクセスVPN環境を構築してみて、性能測定を行った結果をブログに記載いたします。
ニフティクラウドのサービスでVPN環境を構築する場合、現在は拠点間アクセスVPNで実装する必要があります。サービスとしては拠点間VPNゲートウェイや、インターネットVPN(H/W)があります。
しかし、商談の支援を行う中で、「外出先の端末からセキュアにアクセスする方法が欲しい」などの要望をいただくことが多くあります。本要望を実現する選択肢として、拠点間VPNではなくリモートアクセスのVPN環境を構築する方法があります。そのため、今回はリモートからVPNでクラウド環境にアクセスする方法のご紹介となります。
※ニフティの責任範囲外になるため、実施する場合にはお客様の判断にて実施をお願いします。
本ブログ執筆後、リモートアクセスVPNゲートウェイがリリースされています。
こちらをご利用いただくことでリモートからVPNでクラウド環境にアクセスすることが可能になっています。
ご利用方法に関しては、ニフクラの新サービス、リモートアクセスVPNゲートウェイ機能を使ってみたもご参照ください。
| 対象 | OS | サーバータイプ | グローバルIP | プライベートIP | 備考 |
|---|---|---|---|---|---|
| Windows Server(L2TP/IPsec) | Windows Server 2012 R2 | large8 | ○○○.○○○.○○○.○○○ | 192.168.1.11 | VPNサーバーとしてWindowsの機能で構築 |
| Netperf クライアント(Windows Server) | Windows Server 2012 R2 | large8 | ×××.×××.×××.××× | 記載不要 | VPNクライアントとしてWindows Serverで構築 |
| Netperf クライアント(Windows7) | Windows7 | ― | △△△.△△△.△△△.△△△ | 記載不要 | VPNクライアントとしてWindows7の端末で構築 |
| Netperf サーバー(Windows) | Windows Server 2012 R2 | large8 | ― | 192.168.1.33 | クライアントからVPN接続後疎通確認と性能測定用に構築 |
本ブログの構成実現は、以下の前提知識がある方を想定しています。
実際にL2TP/IPsec環境を構築します。 上記図の構成でネットワークの構成、サーバーの作成などは完了している前提で記載します。 また、ニフティクラウドのファイアウォールは適切に設定しています。
まず、VPNのサーバー側の構築を行います。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
リモートアクセスのインストールまで完了したので、実際にVPNサーバーとしての設定を実施します。
サーバーマネージャーを起動すると右上に表示される「!マーク」をクリックし、ポップアップにある「作業の開始ウィザードを表示する」をクリックします。
「リモートアクセスの構築」画面で「VPNのみを展開します(V)」をクリックします。
|
|
|
|
|
|
|
|
その後、ルーティングとリモートアクセスのサービスを開始するポップアップが表示されるため「サービスの開始」をクリックします。
次にVPN接続で使用するユーザーの設定を行います。
|
|
|
再度、「ルーティングとリモートアクセス」の画面を開いて設定の続きを行います。
|
|
|
|
|
|
次にVPNトンネルの設定を行います。 ルーティングとリモートアクセスの画面を開き、対象のサーバーを右クリックし、「プロパティ」を選択します。
「IPv4」タブの「IPv4 アドレスの割り当て」で「静的ホスト構成プロトコル」を選択し、「追加」をクリックします。出力される画面上でIPアドレスの範囲を設定し、「OK」をクリックします。 ※ここでニフティクラウド側で作成したプライベートLANで設定したCIDR内のIPアドレスで範囲を指定します。VPN接続したクライアントはここで指定した範囲のIPアドレスを利用することになります。
設定を反映させるため、対象のサーバーを右クリックし、「すべてのタスク(K)」内の「再起動(E)」をクリックします。
|
|
|
ここまででVPNサーバーの基本的な構築が完了しました。 それなりに長いですが、比較的容易に設定が可能かと思います。
次にVPNクライアントの構築を行います。 まずはクライアントにWindows Serverを利用した場合の構築です。
※ここからはクライアント用のWindows Serverで実施する作業になります。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
これでクライアントにWindows Serverを利用した場合の構築が完了です。
次にWindows7端末をクライアントとして利用した場合の構築についても記載します。 基本的な設定は前述したサーバーOSの設定方法と変わりなく構築が可能となります。 リモートアクセスという観点からサーバーOSをクライアントにするより、こちらのほうが利用する機会は多いかもしれません。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ここまででクライアントにWindows7端末を利用した場合の構築が完了です。
ここから、Windows Server L2TP/IPsec クライアントから実際にVPN接続を行いNetparfサーバー(Windows)への疎通確認まで実施します。
|
|
|
|
|
|
|
Windows Server(L2TP/IPsec)の画面からも192.168.1.102がNetperfクライアント(Windows Server)に付与していることを確認します。
|
|
|
以上でWindows Server L2TP/IPsec クライアント 接続確認~疎通テストは完了です。
Windows7 L2TP/IPsec クライアントからも実際にVPN接続を行いNetparfサーバー(Windows)への疎通確認まで実施します。
|
|
|
|
|
|
|
Windows Server(L2TP/IPsec)の画面からも192.168.1.103がNetperfクライアント(Windows7)に付与していることを確認します。
|
|
|
以上でWindows7 L2TP/IPsec クライアント 接続確認~疎通テストまで完了です。
これでリモートアクセスでのVPN環境の構築が完了しました。 次に実際に性能の測定を行います。
ここから、実際にVPNクライアントからVPN接続を行った際にどの程度性能が出るか測定を行います。 ※Windows7端末からは端末側の通信環境の影響が大きいと考え、今回は掲載していません。
実際のベンチマーク試験は「Netperfクライアント(Windows Server)」と「Netperfサーバー(Windows Server)」間で測定しています。 「Netperf」を利用し、TCPでの転送性能と、UDPでの 64, 128, 256, 512, 1024, 1280, 1518 バイトでの転送性能を測定しています。
VPNゲートウェイに比べると若干性能は落ちますが、TCP性能で平均400Mbps程度なので十分実用可能な性能が出ているのではないでしょうか。 拠点間VPN接続のVPNゲートウェイの性能については、以下が参考になるかと思います。 > VPNゲートウェイの性能評価
※多重セッション時の性能測定などは今回行っておりません。 ※性能については、ベストエフォートでのサービス提供となるため、保証するわけではありません。
今回は「Windows ServerでリモートアクセスVPN環境を実装してみる」をお送りしました。 通常のWindows Serverの機能だけでリモートアクセスVPNの環境を実装することができました。 リモートからアクセスする際にセキュアに接続できる環境を作りたい場合の選択肢の一つになるのではないでしょうか。
※注意事項 ・OS以上の動作となるためお客様にて、責任をもって実装をお願いします。 ・ニフクラの禁止事項に抵触しないよう気をつけて実装をお願いします。
[2021年2月19日追記:リモートアクセスVPNゲートウェイでも目的を達成できる旨を追記]
今回の記事では、初めてニフティクラウドでサーバーを動かしたいと思っている人のために手順、および設定項目の意味、選択肢がある場合には選択の指針となる情報を解説いたします。サーバー作成のための参考としてください。
ニフティクラウド上にサーバーを作成するには、概ね以下のような手順となります。
今回はリージョン選択時のポイントについて、解説していきます。
ダッシュボードにログインしたら、まずはリージョンを選択する必要があります。
リージョンは、例えて言うならデータセンターです。ニフティクラウドでは、関東のリージョン、関西のリージョン、アメリカのリージョンに分かれています。今回は関東のリージョンを中心にお話します。
リージョンの中はさらにゾーンに分割されています。これも例えるならば、データセンター内のフロアだと考えてみてください。クラウドサービス用のリソースは少しずつ増えていきますので、フロア増設の際に導入される設備やシステムには違いがあります。そのため、ゾーンによって使用できる機能に違いがあります。後から追加で機能を使いたくなった時、サーバーをリージョン、ゾーン間で移動させるのは大変なので、あらかじめどのリージョン、ゾーンを使用するかを考えておきましょう。
リージョンとゾーンに関連する主な制約を確認しておきましょう。
これが一番わかりやすい制約でしょう。前述の通り、リージョンはそれぞれ独立した存在なので、そこに配置したリソースはそのリージョンの中でのみ有効です。
たとえば、登録したSSHキーはそのリージョンでのみ有効です。
サーバーをリージョン間を移動させるにはサーバーコピー機能を利用する必要があります。
クラウドFAQ すでに利用中のサーバーについて、リージョンやゾーンの変更は可能ですか?
また、リージョン間をネットワーク経由で接続するのも、VPNなどが必要となります。
このような制約を回避するために、主に使用するリージョンを決めておき、バックアップなどをするためのリージョンを別にするような利用設計が必要となるでしょう。
サーバーが接続されているネットワークは、ゾーンごとに独立しています。
サーバー間を簡単に接続するためのプライベートLANは、作成したゾーン内でのみ接続可能です。同じリージョン内でも、ゾーンが異なると相互接続にはVPNが必要になります。WebサーバーとDBなど、密に結合する必要があるサーバーは、同じネットワークに作成します。
ゾーンごとに使用できる機能の違いは、以下のページにまとめられています。
クラウドFAQ 選択するゾーンによって機能制限はありますか。
主に着目すべきゾーン間での機能の違いは、以下の通りです。
Type-eファミリーはType-hファミリーに比べて性能を押さえた分、料金プランが安いサーバーファミリーです。あまり性能を必要としないサーバーを作成するなら、Type-eファミリーが選択できるゾーンを選びます。
Type-hファミリーのwlargeタイプは高スペックなサーバータイプです。最も高スペックなwlarge96で8vCPU・96GBが割り当てられます。
専有サーバーのプランが利用できるのは、east-13ゾーンのみです。
east-11では増設ディスクとして追加できるのは高速ディスクのみで、標準ディスク、高速なフラッシュドライブが利用できません。その他のゾーンでもフラッシュドライブが利用できないゾーンがあります。
ファイアーウォールでIPv6が使用できるのはeast-14のみです。
L7ロードバランサーの冗長構成がeast-11とeast-12ではできません。
プライベートLANやルーター、VPNゲートウェイがeast-11では利用できません。
クラウド上のサーバーを利用する場合、ネットワークの速度も気になるところ。以前のエントリーにネットワーク速度の測定結果をまとめてあります。2016年2月に測定した結果なので、east-3ゾーンは含まれていません。
ネットワーク速度の測定場所(接続元)が東京・渋谷からになりますが、帯域は大きく異なりません。
レスポンスタイムは測定場所とゾーンの間のネットワーク的な距離によりますが、東京・渋谷からはeast-2ゾーンがかなり近いのが分かります。通常の利用では気にならない程度の差ですが、レスポンスタイムが重要になるシステムを作成する場合には、事前にテストサーバーを各ゾーンに作成し、計測してみるとよいでしょう。
リージョン、ゾーンによる機能の違いを見てきましたが、それではどのゾーンを選んでサーバーを作成すればよいのでしょうか? いくつかの観点からおすすめゾーンを選んでみたいと思います。
専有サーバーのプランを利用しないのであれば、east-14が最もフルスペックなゾーンになっています。次点としてeast-13、east-21あたりが大体の機能が利用できます。east-14とeast-13、east-21の間に、通常利用で想定される機能の差はありませんので、ネットワークのレスポンスによってはeast-21ゾーンもよいでしょう。
専有サーバーを使いたい場合にはeast-13一択になります。その場合、その他の仮想サーバーを作成する場合にもeast-13を使用することになります。
リージョンの選択など、ニフティクラウドを初めて使う人には悩ましい課題について解説してみました。次回はWindowsサーバーの作成手順を解説します。
