手順1:すでに作成されているサーバーインスタンスにセキュリティグループを適用したい場合(セキュリティグループメニューでの設定)

ここでは、これまですでに使っていた環境にセキュリティグループを適用したい場合の設定手順を説明します。

ロジカルネットワーク及びサーバーインスタンスが作成済みで新たにセキュリティグループを作成・適用する場合には本手順をご覧ください。

なお本手順は、セキュリティグループの適用操作をセキュリティグループメニュー画面から行うパターンの手順となります。


1. ロジカルネットワーク の作成

ロジカルネットワークを作成します。(既に作成されている場合は、次の手順に進んでください。)

次のパラメータを入力し、ロジカルネットワークを2つ作成します。

ロジカルネットワークの詳細な作成手順は こちら をご確認ください。


ロジカルネットワーク1 設定

create_logicalnetwork_01-1

ロジカルネットワーク2 設定

create_logicalnetwork_01-2
タブ名 項目名 ロジカルネットワーク1 ロジカルネットワーク2
ロジカルネットワークタブ ロジカルネットワーク名 WEB_NW SV_NW
  プレーン データ用 データ用
  ロジカルネットワークの説明    
  ロジカルネットワークのタグ    
  管理状態 UP UP
サブネットタブ サブネット名 web_seg sv_seg
  ネットワークアドレス 192.168.100.0/24 172.16.10.0/24
  ゲートウェイIP 192.168.100.251 172.16.10.251
  ゲートウェイなし チェックしない チェックしない
サブネットの詳細タブ DHCP 有効 チェックを入れる チェックを入れる
  IP アドレス割り当てプール    
  DNS サーバーなし チェックを入れる チェックを入れる
  追加のルート設定    
  サブネットの説明    
  サブネットのタグ    

2. サーバーインスタンス の作成

次に、サーバーインスタンスを作成します。(既に作成されている場合は、次の手順に進んでください。)

「仮想サーバー」「サーバーインスタンス」「インスタンス」より、「インスタンスの作成」をクリックします。

次のパラメータを入力し、サーバーインスタンスを作成します。

サーバーインスタンスの詳細な作成手順は こちら をご確認ください。

WEBサーバー(WEB_SV)設定

create_sv_01-1

タブ名 項目名 WEBサーバー
詳細タブ ゾーン/グループ zone1_groupb
  インスタンス名 WEB_SV
  フレーバー 1CPU-4GB
  インスタンスのブートソース イメージから起動
  イメージ名 WindowsServer-2019_Datacenter_64_include-license_virtual-server_12
ネットワークタブ 選択済みロジカルネットワーク WEB_NW (IP:192.168.100.251)、SV_NW (IP:172.16.10.251)

続けて同手順で次のパラメータに従いAPPサーバー1(SV_1)~DBサーバー(SV_4)まで作成します。

タブ名 項目名 APPサーバー1 APPサーバー2 DBサーバー1 DBサーバー2
詳細タブ ゾーン/グループ zone1_groupb zone1_groupb zone1_groupb zone1_groupb
  インスタンス名 SV_1 SV_2 SV_3 SV_4
  フレーバー 1CPU-4GB 1CPU-4GB 1CPU-4GB 1CPU-4GB
  インスタンスのブートソース イメージから起動 イメージから起動 イメージから起動 イメージから起動
  イメージ名 WindowsServer-2019_Datacenter_64_include-license_virtual-server_12 WindowsServer-2019_Datacenter_64_include-license_virtual-server_12 WindowsServer-2019_Datacenter_64_include-license_virtual-server_12 WindowsServer-2019_Datacenter_64_include-license_virtual-server_12
ネットワークタブ 選択済みロジカルネットワーク SV_NW (IP:172.16.10.11) SV_NW (IP:172.16.10.12) SV_NW (IP:172.16.10.13) SV_NW (IP:172.16.10.14)

注釈

 作成したセキュリティグループのルールが正常に割り当てられているかシステムテストにて確認するため各サーバーインスタンスのファイアウォールはOFFにするようにしてください。
 ファイアウォールがONになっているとシステムテストの際にPING(ICMP)がファイアウォールにて遮断されシステムテストが正常に行えません。

3. セキュリティグループ の設定

セキュリティグループの作成からルールの設定について説明します。

セキュリティグループの作成は次の手順により構成されます。

3-1. セキュリティグループの作成 3-2. ポートに適用 3-3. ルールの作成

注釈

 作業開始前のサーバーインスタンス、すなわち、ポートにお客様独自のセキュリティグループを設定していない段階では、「あらかじめ用意されているセキュリティグループ」が適用されています。
 「あらかじめ用意されているセキュリティグループ」の挙動を理解しておいてください。
 「あらかじめ用意されているセキュリティグループ」については こちら をご確認ください。

3-1. セキュリティグループの作成

ロジカルネットワークのポートに割り当てるセキュリティグループを作成します。


  1. 左ペインの「クラウド/サーバー ネットワークセキュリティ」から「セキュリティグループ」をクリックします。
sg_create_sg_01

  1. 「セキュリティグループの作成」をクリックします。
sg_create_sg_02

  1. 次のパラメータを入力し「セキュリティグループの作成」をクリックします。
セキュリティグループ名 SG_1
説明  
タグ  
sg_create_sg_03

  1. 続けて同手順で次のセキュリティグループを作成します。
セキュリティグループ名 SG_2 SG_3 SG_4
説明      
タグ      

5.SG_1~SG_4まで4つ次のように作成できたことを確認します。

sg_create_sg_04

3-2. ポートに適用

作成したセキュリティグループを機能させるため、セキュリティグループをロジカルネットワークのポートに割り当てます。


  1. 作成されたセキュリティグループ「SG_1」をクリックします。
sg_add_port_01

  1. 詳細画面の概要タブで「ポートに適用」をクリックします。
sg_add_port_02

  1. セキュリティグループにて「適用可能なポート」から次のポートについて、「permit-anyを外す」をクリックし、「+」をクリックします。その後「選択済みのポート」に適用したら「ポートに適用」をクリックします。

※ あらかじめ設定されているセキュリティグループ「Permit-any」がポートに適用されている状態だと全ての通信が許可されてしまうため本手順ではこの作業が必要になります。

セキュリティグループ名 SG_1
適用するポート 「インスタンス名:WEB_SV、IPアドレス:192.168.100.251」のポート
sg_add_port_03

  1. 続けて同手順で次のセキュリティグループのポートに適用をします。
セキュリティグループ名 SG_2 SG_3 SG_4
適用するポート 「インスタンス名:WEB_SV、IPアドレス:172.16.10.251」のポート
「インスタンス名:SV_1、IPアドレス:172.16.10.11」のポート、
「インスタンス名:SV_2、IPアドレス:172.16.10.12」のポート
「インスタンス名:SV_3、IPアドレス:172.16.10.13」のポート、
「インスタンス名:SV_4、IPアドレス:172.16.10.14」のポート
sg_add_port_04

3-3. ルールの作成

ロジカルネットワークのポートに適用したセキュリティグループに対して許可する通信のルールを作成します。


外部通信の許可として次の許可ルールを追加します。

・ WEBサーバー(WEB_SV)に適用されている「SG_1」にTCPポート80の通信を許可するルール


内部通信の許可として次の許可ルールを追加します。

・ WEBサーバー(WEB_SV)のセキュリティグループ「SG_2」と、APPサーバー(SV_1/SV_2)のセキュリティグループ「SG_3」とのICMP通信を許可するルール

・ WEBサーバー(WEB_SV)のセキュリティグループ「SG_2」と、DBサーバー(SV_3/SV_4)のセキュリティグループ「SG_4」とのICMP通信を許可するルール

・ APPサーバー(SV_1/SV_2)のセキュリティグループ「SG_3」間のICMP通信を許可するルール

・ APPサーバー(SV_1/SV_2)のセキュリティグループ「SG_3」からWEBサーバー(WEB_SV)のセキュリティグループ「SG_2」とのICMP通信を許可するルール

・ DBサーバー(SV_3/SV_4)のセキュリティグループ「SG_4」間のICMP通信を許可するルール

・ DBサーバー(SV_3/SV_4)のセキュリティグループ「SG_4」からWEBサーバー(WEB_SV)のセキュリティグループ「SG_2」とのICMP通信を許可するルール


  1. 詳細画面の「インバウンドルール」タブをクリックします。
sg_create_rules_01

  1. 詳細画面のルールで「インバウンドルールの作成」をクリックします。
sg_create_rules_02

  1. 次のパラメータを入力し「インバウンドルールの作成」をクリックします。

SG_1 (インバウンドルール)

送信元 IPアドレス(サブネット)
IPアドレス(サブネット) any (0.0.0.0/0)
タイプ カスタム
プロトコル TCP
ポート範囲 80
説明  
sg_create_rules_03

※「アウトバウンドルール」を作成する場合は、詳細画面の「アウトバウンドルール」タブをクリックし、その後に詳細画面のルールで「アウトバウンドルールの作成」をクリックします。インバウンドルールの作成と同様に必要なパラメータを入力し「アウトバウンドルールの作成」をクリックします。(SG_1にはアウトバウンドルールの作成は不要です。)

sg_create_rules_01

sg_create_rules_03-02

  1. 続けて同手順で、次のセキュリティグループにインバウンドルール、アウトバウンドルールを作成します。

SG_2

  インバウンド ルール1 アウトバウンド ルール1 インバウンド ルール2 アウトバウンド ルール2
送信元/送信先 セキュリティグループ セキュリティグループ セキュリティグループ セキュリティグループ
セキュリティグループ名 SG_3 SG_3 SG_4 SG_4
タイプ カスタム カスタム カスタム カスタム
プロトコル ICMP ICMP ICMP ICMP
ポート範囲 0-65535 0-65535 0-65535 0-65535
説明        

SG_3

  インバウンド ルール1 アウトバウンド ルール1 インバウンド ルール2 アウトバウンド ルール2
送信元/送信先 セキュリティグループ セキュリティグループ セキュリティグループ セキュリティグループ
セキュリティグループ名 SG_2 SG_2 SG_3 SG_3
タイプ カスタム カスタム カスタム カスタム
プロトコル ICMP ICMP ICMP ICMP
ポート範囲 0-65535 0-65535 0-65535 0-65535
説明        

SG_4

  インバウンド ルール1 アウトバウンド ルール1 インバウンド ルール2 アウトバウンド ルール2
送信元/送信先 セキュリティグループ セキュリティグループ セキュリティグループ セキュリティグループ
セキュリティグループ名 SG_2 SG_2 SG_4 SG_4
タイプ カスタム カスタム カスタム カスタム
プロトコル ICMP ICMP ICMP ICMP
ポート範囲 0-65535 0-65535 0-65535 0-65535
説明        
sg_create_rules_04

4. システムテスト

全ての作業が完了しましたら通信が設定した通りに疎通するか確認をします。

システムテストは下記ページをご参照ください。