SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

翔泳社の本

【前編】:クラウド環境の全体像とネットワークリソース


2.2.3 グローバル IP アドレス

 仮想ネットワーク内部のプライベート IP アドレスは、仮想ルーターの NAT 機能でグローバル IP アドレスに変換されます。この際、2 種類の変換方法が利用できます。

 1 つは、一般に「IP マスカレード」と呼ばれる方法で、仮想マシンインスタンスから外部ネットワークに接続する際に、仮想ルーターが持つグローバル IP アドレスを共有して利用します。家庭内 LAN の PC が、ブロードバンドルーターに割り当てられたグローバル IP アドレスを共有してインターネット接続する場合と同じ仕組みです(図 2.10)。

 この機能は、仮想マシンインスタンスを接続した仮想スイッチが仮想ルーターに接続されていれば、デフォルトで利用可能です。ただし、仮想マシンインスタンスから外部ネットワークへの接続はできますが、外部ネットワークから仮想マシンインスタンスに接続することはできません。

図2.10 IP マスカレードによる外部ネットワーク接続
図2.10 IP マスカレードによる外部ネットワーク接続

 もう 1 つは、「Elastic IP(AWS の場合)」、もしくは「フローティング IP(OpenStackの場合)」と呼ばれる仕組みで、こちらは、個別のグローバル IP アドレスを仮想マシンインスタンスに割り当てます。

 具体的には、それぞれのテナントで、Elastic IP/ フローティング IP として利用できるグローバル IP アドレスを事前に確保しておき、その中の 1 つを特定の仮想マシンインスタンスに割り当てる操作を行ないます。これにより、割り当てたグローバル IP アドレスを用いて、外部ネットワークから仮想マシンインスタンスにアクセスできるようになります(図 2.11)。Elastic IP /フローティング IP は、リージョンごとに確保する必要があります。

 なお、操作上は仮想マシンインスタンスにグローバル IP アドレスを割り当てていますが、仮想マシンインスタンス内部のゲスト OS に該当の IP アドレスが設定されるわけではありません。仮想ルーターによって、割り当てたグローバル IP アドレスと、仮想マシンインスタンスのゲスト OS に設定されたプライベート IP アドレスを 1 対1 で相互変換しています。

図2.11 Elastic IP/フローティング IP による外部ネットワークからの接続
図2.11 Elastic IP/フローティング IP による外部ネットワークからの接続

2.2.4 セキュリティグループ

 セキュリティグループは、仮想マシンインスタンスに出入りするネットワークパケットに対するフィルタリング機能を提供します。通信を許可するパケットの条件を指定したセキュリティグループを事前に定義しておき、仮想マシンインスタンスに対して適用します。

 同時に複数のセキュリティグループを適用することができるので、「すべての仮想マシンインスタンスに共通適用するグループ」「Web サーバーに追加適用するグループ」などの使い分けが可能です。つまり、「共通適用グループ」では、SSH 接続など、最低限必要な接続を許可しておき、「Web サーバー用グループ」では、HTTP/HTTPS など追加で必要となる接続を許可するという使い方です(図 2.12)。

 また、図 2.12 にあるように、フィルタリング処理は、仮想マシンインスタンスと仮想スイッチの接続ポートの間で実施されます。適用するセキュリティグループ、あるいは、それぞれのセキュリティグループの定義内容は、仮想マシンインスタンスを起動したまま、動的に変更することが可能です。

図2.12 セキュリティグループによるパケットフィルタリング
図2.12 セキュリティグループによるパケットフィルタリング
絵で見てわかるクラウドインフラとAPIの仕組み

Amazon  SEshop  その他


絵で見てわかるクラウドインフラとAPIの仕組み

著者:平山 毅、中島 倫明、中井 悦司、矢口 悟志、森山 京平、元木 顕弘、平山 毅 監修
発売日:2016年02月18日
価格:2,838円(税込)

本書について

本書では、主にIaaS(インフラサービス)を中心としたクラウドを使ったシステム構築を想定し、クラウドインフラ構築に携わるエンジニアが知っておきたい知識――クラウド共通の機能や内部構成、アーキテクチャなど――について解説します。

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
翔泳社の本連載記事一覧

もっと読む

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/13479 2020/11/27 19:26

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング