Managed Load Balancer / Managed Firewall 構成ガイド(ツーアーム構成)

Managed Firewall / Managed Load Balancer の構成パターンを紹介します。

  • この構成は、次のような前提の構成です。

ご利用用途

Internet公開/組織内利用

DoS攻撃対策

なし

クライアントのIPアドレス変換(Source NAT)

あり

論理構成

ツーアーム



システム構成例 (ツーアーム)

WEBサーバを外部に公開するシステムを想定しています。システムの全体構成図は次の図の通りです。

外部セグメントはインターネットからのアクセスを想定しています。

  • 外部セグメントにあるClientからのアクセスは取得したグローバルIP(153.153.149.232)で受け、Destination NATでManaged Load BalancerのリスナーIPへフォワーディングします。

  • Managed Load Balancerは、2つのリスナーIP(HTTP通信用:172.16.100.100、SSL通信用:172.16.100.200)でリクエストを受けます。

信頼されたセグメントは、組織内のネットワークからのアクセスを想定しています。

  • 組織内のClientからのアクセスは、HTTP通信のみを想定しており、HTTP通信用のリスナーIP(172.16.100.100)で受けます。(グローバルIPは使用しないためNATは不要)

mlb_usecase_fig2

注釈

その他のコンポーネントの利用OSやVersionは以下のとおりです。

  • WebServer01,02  CentOS7.3.1611

  • Webサーバ Apache 2.4.6

  • Client端末 Windows Server 2012R2

---


設計内容の説明

WEBサーバを外部に公開するため、Managed Firewall(mFW)とManaged Load Balancer(mLB)を使用して、次のような設計にしました。

Managed Firewall

  • 冗長化:VRRPを使用して2台冗長構成をとります。全てのネットワークセグメントでVRRPを設定します。

  • アクセスポリシー:mFWルールは外部セグメントからは基本全て拒否し、特定のHTTP/HTTPSアクセスのみ許可します。信頼されたセグメントからはHTTPのみ許可とします。

  • NAT:外部セグメントからはmLBのリスナーのIPアドレスではなく、取得したグローバルIPアドレスにアクセスさせ、NAT変換で宛先をリスナーのIPアドレスに変換します。

注意:VRRPのpreemptはデフォルトのまま有効(True)として頂くようお願い致します。preemptが無効になっている場合、全インターフェイスでステータスが一致せず、通信断が継続する場合があります。

Managed Load Balancer

  • 冗長化:HA構成(冗長構成)プランを選択します。(冗長化のための設定をする必要はありません)

  • リスナー:2つのリスナーIP(HTTP通信用:172.16.100.100、SSL通信用:172.16.100.200)を設定します。

  • 負荷分散方式:2台のWEBサーバーにラウンドロビンで通信を分散します。

  • SSL通信:SSLオフロードを行います。


組織内からの通信のイメージ

mlb_usecase_fig1

設定の手順

作業内容は次の通りです。

次の手順に従って、設定を行ってください。

1. Managed Firewallの設定

2. Managed Load Balancerの設定

3. 通信の流れの確認