Managed Load Balancer / Managed Firewall 構成ガイド(ツーアーム構成)¶
Managed Firewall / Managed Load Balancer の構成パターンを紹介します。
この構成は、次のような前提の構成です。
ご利用用途 |
Internet公開/組織内利用 |
DoS攻撃対策 |
なし |
クライアントのIPアドレス変換(Source NAT) |
あり |
論理構成 |
ツーアーム |
システム構成例 (ツーアーム)¶
WEBサーバを外部に公開するシステムを想定しています。システムの全体構成図は次の図の通りです。
外部セグメントはインターネットからのアクセスを想定しています。
外部セグメントにあるClientからのアクセスは取得したグローバルIP(153.153.149.232)で受け、Destination NATでManaged Load BalancerのリスナーIPへフォワーディングします。
Managed Load Balancerは、2つのリスナーIP(HTTP通信用:172.16.100.100、SSL通信用:172.16.100.200)でリクエストを受けます。
信頼されたセグメントは、組織内のネットワークからのアクセスを想定しています。
組織内のClientからのアクセスは、HTTP通信のみを想定しており、HTTP通信用のリスナーIP(172.16.100.100)で受けます。(グローバルIPは使用しないためNATは不要)
注釈
その他のコンポーネントの利用OSやVersionは以下のとおりです。
WebServer01,02 CentOS7.3.1611
Webサーバ Apache 2.4.6
Client端末 Windows Server 2012R2
---
設計内容の説明¶
WEBサーバを外部に公開するため、Managed Firewall(mFW)とManaged Load Balancer(mLB)を使用して、次のような設計にしました。
Managed Firewall
冗長化:VRRPを使用して2台冗長構成をとります。全てのネットワークセグメントでVRRPを設定します。
アクセスポリシー:mFWルールは外部セグメントからは基本全て拒否し、特定のHTTP/HTTPSアクセスのみ許可します。信頼されたセグメントからはHTTPのみ許可とします。
NAT:外部セグメントからはmLBのリスナーのIPアドレスではなく、取得したグローバルIPアドレスにアクセスさせ、NAT変換で宛先をリスナーのIPアドレスに変換します。
注意:VRRPのpreemptはデフォルトのまま有効(True)として頂くようお願い致します。preemptが無効になっている場合、全インターフェイスでステータスが一致せず、通信断が継続する場合があります。
Managed Load Balancer
冗長化:HA構成(冗長構成)プランを選択します。(冗長化のための設定をする必要はありません)
リスナー:2つのリスナーIP(HTTP通信用:172.16.100.100、SSL通信用:172.16.100.200)を設定します。
負荷分散方式:2台のWEBサーバーにラウンドロビンで通信を分散します。
SSL通信:SSLオフロードを行います。
組織内からの通信のイメージ