5.9. 統合ネットワークアプライアンス

 統合ネットワークアプライアンスサービスは、ファイアウォール機能、NAT/NAPT機能、ルーティング機能、ロードバランシング機能、IPsec終端機能をもつ仮想ネットワーク機器を提供するサービスです。統合ネットワークアプライアンスサービスでは、お客様専用の仮想ネットワーク機器(以下、統合ネットワークアプライアンス)を1つ提供します。カスタマーポータルより、各種パラメータを変更することが可能です。
../../_images/image190.png

注釈

  • 1つの Enterprise Cloud サービス契約内の1つのデータセンターに対し、統合ネットワークアプライアンス、またはvファイアウォールのうち、必ず1つを契約する必要があります。併用、複数利用はできません。また、「5.8 vロードバランサー 」を利用することはできません。
  • 統合ネットワークアプライアンスからvファイアウォール、あるいはvファイアウォールから統合ネットワークアプライアンスへの変更はできません。

5.9.1. 利用できる機能

統合ネットワークアプライアンスの機能
 統合ネットワークアプライアンスの機能と設定可能なルールの一覧は以下の通りです。
機能 設定可能なルール名 概要
ルーティング機能 スタティックルーティング インターネットトランジット・VPNトランジット・サーバーセグメントの間の通信に対しルーティングを行う機能。
ファイアウォール機能(パケットフィルタリング機能) ファイアウォールルール 統合ネットワークアプライアンスを通過する通信に対して、通信の許可/拒否を設定する機能。
NAT/NAPT機能
SNATルール
DNATルール
インターネットトランジット・VPNトランジット・サーバーセグメント間を通過する通信に対して、IPアドレス及びポートを変換する機能。
ロードバランシング機能 ロードバランシングルール インターネットトランジット・VPNトランジットからの通信負荷を分散する機能。
IPsec終端機能 IPsec終端ルール IPsec通信を終端する機能。

統合ネットワークアプライアンスのIPアドレス
 統合ネットワークアプライアンスで提供するインターフェースと割り当てられるIPアドレスは以下の通りです。
機器 割り当てられるIPアドレス
インターネットトランジット 別途申し込みいただくグローバルIPアドレスブロックから選択
VPNトランジット お客様のVPNのIPアドレスブロック(以下、VPNトランジット用IPアドレスブロック)から選択
サーバーセグメントと接続するための仮想ネットワークインターフェース(以下、サーバーセグメント側ネットワークインターフェース) サーバーセグメントのAvailable IPアドレスから、1つ選択(※)
※ プランにかかわらず1つのIPアドレスを使用します。

重要

  • 統合ネットワークアプライアンスの各インターフェースに割り当てられたIPアドレスは、割り当て後、変更することはできません。
統合ネットワークアプライアンスのプラン
 統合ネットワークアプライアンスには、以下の4プランがあります。お申込みのプランによって、提供される性能・構成が異なります。
プラン 性能 構成
Compact ロードバランシング機能、IPsec終端機能を利用しないお客様向き。 シングル構成
Compact (冗長) ロードバランシング機能、IPsec終端機能を利用しないお客様向き。 冗長構成
Large ロードバランシング機能、IPsec終端機能を利用するお客様向き。 シングル構成
Large (冗長) ロードバランシング機能、IPsec終端機能を利用するお客様向き。 冗長構成

重要

  • 統合ネットワークアプライアンスのプランは、お申込み時に指定いただきます。開通後、CompactからLarge、あるいはLargeからCompactに変更することはできません。(シングル構成から冗長構成、冗長構成からシングル構成への変更は可能です。)

注釈

  • 冗長構成のプランを選択した場合、ホットスタンバイ構成が提供され30秒程度で切り替わります。シングル構成のプランを選択した場合でも、基盤設備は冗長構成がとられており、障害時はバックアップ用の基盤上で再起動され5分から10分程度で切り替わります。
  • Compactプランでもすべての機能をご利用可能です。ただし、ロードバランシング機能、IPsec接続終端機能のご利用にあたってはパフォーマンスが大きく下がる傾向があるため、同機能をご利用のお客様にはLargeプランを推奨します。

5.9.2. ルーティング機能

 統合ネットワークアプライアンスは、インターネットトランジット、VPNトランジット、及びサーバーセグメントと接続し、これらの間でルーティングを行う機能を持ちます。また、スタティックルーティングを設定することもできます。
スタティックルーティング
 統合ネットワークアプライアンスに、スタティックルーティングを設定することができます。
 1つのルーティング設定ごとに、お客様任意の名称をつけることができます。ルーティング条件は以下のとおりです。
  • ネットワークアドレス
  • ネクストホップ
  • 対象ネットワーク

注釈

  • インターネット接続とVPN接続をあわせて利用している場合、統合ネットワークアプライアンスを経由してインターネットとVPNを直接折り返す通信は禁止しております。弊社にて当該通信を行う設定を発見した場合、予告なく設定の削除や、利用の制限等の措置を行う可能性があります。
  • 入力インターフェースと出力インターフェースが、同じインターフェースとなるルーティングは設定できません。
デフォルトルート
 統合ネットワークアプライアンスのデフォルトルートを設定することができます。デフォルトルートとして設定可能な内容は以下となります。
項目 条件
インターネットトランジット インターネット接続サービスをご利用の場合、インターネットトランジットをデフォルトルートとして選択することができます。
VPNトランジット VPN接続サービスをご利用の場合、VPNトランジットをデフォルトルートとして選択することができます。

5.9.3. ファイアウォール機能(パケットフィルタリング機能)

 統合ネットワークアプライアンスを通過する通信に対して、ファイアウォールルールとして、特定のIPパケットの通過を許可したり拒否したりする設定を行うことができます。
 ファイアウォールルールを適用するIPパケットの条件として、1つのファイアウォールルールごとに、以下の条件を指定できます。
項目 概要
ファイアウォールルール名 お客様にて任意のルール名称を設定します。
送信元IPアドレス IPパケットの送信元IPアドレスを指定します。
送信元サービス プロトコルにTCP・UDPを指定する場合、IPパケットの送信元サービスを、ポート番号で指定します。プロトコルとしてICMPを指定した場合は、ICMP Typeの指定はできません。
あて先IPアドレス IPパケットの送信先IPアドレスを指定します。
あて先サービス プロトコルにTCP・UDPを指定する場合、IPパケットの送信元サービスを、ポート番号で指定します。プロトコルとしてICMPを指定した場合は、ICMP Typeの指定はできません。
プロトコル IPパケットに用いられているプロトコル(TCP, UDP, ICMP)を指定します。
アクション 上記の項目で設定した条件に合致したIPパケットの通過について、許可または拒否を指定します。
有効 本ルールの有効/無効を選択します。

重要

  • ファイアウォール機能は、開通時すべての通信を拒否する設定となっています。通信を行うためには、特定の通信を許可する設定を行う必要があります。

注釈

  • ファイアウォールルールの優先順位は、カスタマーポータル上で表示順を変更することで設定可能です。カスタマーポータルで表示順が高いものが高優先順位となります。

5.9.4. NAT/NAPT機能

 統合ネットワークアプライアンスを通過する通信に対して、IPアドレス変換およびIPアドレス・ポート変換(以下、NAT/NAPT)ルールを設定することができます。
 統合ネットワークアプライアンスのNAT/NAPTルールには、以下の2種類があります。
  ◇  送信元IPを変換するNAT/NAPT(以下、SNATルール)
  ◇  送信先IPを変換するNAT/NAPT(以下、DNATルール)
SNAT機能
 1つのSNATルールに対して、以下の項目を設定することができます。
項目 概要
対象ネットワーク SNATルールを適用する通信の送信先のネットワークを、統合ネットワークアプライアンスに接続するインターネットトランジット、VPNトランジット、及びサーバーセグメントより選択します。
変換前送信元IPアドレス 本ルールにより変換される前のIPアドレスを指定します。
変換後送信元IPアドレス 本ルールにより変換された後のIPアドレスを指定します。
有効 本ルールの有効/無効を選択します。

DNAT機能
 1つのDNATルールに対して、以下の項目を設定することができます。
項目 概要
対象ネットワーク DNATルールを適用する通信の送信元のネットワークを、統合ネットワークアプライアンスに接続するインターネットトランジット、VPNトランジット、及びサーバーセグメントより選択します。
変換前送信先IPアドレス 本ルールにより変換される前のIPアドレスを指定します。
変換前送信先ポート番号/ICMP Type プロトコルにTCP・UDPを指定した場合、本ルールにより変換される前のポート番号を指定します。プロトコルにICMPを指定した場合、ICMP Typeを指定します。
変換後送信先IPアドレス 本ルールにより変換された後のIPアドレスを指定します。
変換後送信先ポート番号/ICMP Type プロトコルにTCP・UDPを指定した場合、本ルールにより変換される前のポート番号を指定します。プロトコルにICMPを指定した場合、ICMP Typeを指定します。
プロトコル 本ルールが適用される通信のプロトコル(TCP/UDP/ICMP)を指定します。
有効 本ルールの有効/無効を選択します。

注釈

  • 1対1、または1対NのIPアドレス変換を行うことができます。

  • NAT/NAPTルールに指定できるIPアドレスは、ネットワークごとに異なります。

    インターネットトランジット

    • インターネット接続サービスで利用しているグローバルIPアドレスのうち、インターネットGWに割り当てられていないIPアドレス

    VPNトランジット

    • VPN接続サービスでVPNトランジットに割り当てるIPアドレスブロックのうち、未使用のIPアドレス

    サーバーセグメント

    • サーバーセグメントに割り当てられたIPアドレスブロックの内、任意のIPアドレス
  • カスタマーポータル対応VPN接続をご利用の場合、VPNトランジットにアサインしたIPアドレスを使用して設定できるNATルール数は1つまでです。


5.9.5. ロードバランシング機能

 統合ネットワークアプライアンスに割り当てられている特定のIPアドレスにて終端した通信を、複数の送信先に分散することで、通信負荷の分散を実現するロードバランシングルールを設定することができます。
 1つのロードバランシングルールには、以下の項目を設定することができます。
項目 概要
ロードバランシングルール名 お客様にて任意のルール名称を設定します。
説明 お客様にて本ルールの説明を任意で記入することができます。
IPアドレス
クライアントに公開するIPアドレス。
本IPアドレスを送信先IPとした通信に対し、本ルールを適用します。
プール 本ルールにおける送信先となるサーバープールを指定します。(サーバープールについては後述)
プロトコル 本ルールの対象となる通信のプロトコルを指定します。
セッション維持方式 本ルールにおけるセッション維持の方式を指定します。
有効 本ルールの有効/無効を選択します。

ロードバランシングのサーバープール
 ロードバランシングルールの負荷分散先となる複数のサーバーを、サーバープールとして登録することができます。1つのサーバープールごとに、以下の項目を設定できます。
項目 概要
サーバープール名 お客様にて任意のプール名称を設定します。
説明 お客様にて本サーバープールの説明を任意で記入します。
メンバー 本サーバープールに1または複数のサーバーを登録します。
プロトコル 各サーバーに分散され送信される通信のプロトコルを指定します。
ポート 各サーバーに分散され送信される通信のポート番号を指定します。
監視方式 サーバープールに登録されたメンバーに対しヘルスチェックを行うための方式設定を選択します。
負荷分散方式

本サーバープールに対して負荷分散される場合の負荷分散方式を選択します。

  • Round Robin(各メンバーに順番に振り分け)
  • Hash(送信元IPアドレスのハッシュ値に基づいて振り分け先のメンバーを固定)
  • Least Connections(最もコネクション数が少ないメンバーに振り分け)
  • URI(URIに応じて振り分け先のメンバーを固定)

  • ロードバランシングルールに指定できるIPアドレスは、どのネットワーク経由の通信を負荷分散するかにより異なります。
ネットワークの種類 指定できるIPアドレス
インターネットトランジット インターネット接続で利用しているグローバルIPアドレス帯のうち、インターネットGWに割り当てられていないIPアドレス
VPNトランジット VPN接続でVPNトランジットに割り当てるIPアドレスブロックのうち、未使用のIPアドレス

重要

  • ロードバランシングルールに指定できるIPアドレスについて、サーバーセグメントの任意のIPアドレスを指定可能でしたが、2020年2月19日以降順次、仕様変更に伴い指定不可となります。仕様変更前にサーバーセグメントの任意のIPアドレスを指定してご利用いただいている場合、継続利用可能ですが、該当のIPアドレスを一度削除すると再度同様の設定をすることはできませんので、ご留意ください。また、該当の設定を別のサーバーセグメントの任意のIPアドレスに変更するとエラーが発生しますので、変更しないでください。

  • サーバープールにメンバーとして登録された各サーバーに対するヘルスチェックは、以下の設定にて行われます。
項目 概要 デフォルト値
監視ポート 監視用通信のポート番号を指定できます。 -
プロトコル 監視用通信のプロトコルを指定できます。 -
間隔 ヘルスチェックを行う間隔 5秒
タイムアウト タイムアウトと判定する閾値 15秒
健全性閾値 回復と判定するための成功回数 2回
不健全性閾値 故障と判定するための失敗回数 3回
URI確認 httpサービスが正常に動作していることを確認するURI。 -

 ロードバランシングルールが適用され、サーバープール内の各サーバーに届く通信の送信元IPは、統合ネットワークアプライアンスの、サーバーセグメント側インターフェースに割り当てられたIPアドレスとなります。ただし、x-forwarded-for設定がデフォルトで有効になっているため、httpプロトコルによる通信の場合、httpヘッダを確認することで、SNAT適用前の送信元IPアドレスを確認することが可能です。

5.9.6. IPsec終端機能

 統合ネットワークアプライアンスにて、IPsec通信を終端するための設定を行うことができます。本機能の対象となるIPsec通信は、サーバーセグメントと、お客様拠点内のLANあるいは別のEnterprise Cloudサービス契約内のサーバーセグメント(以下、これらを合わせて、外部VLAN)を暗号化して接続し、サーバーセグメント及び外部VLAN間のL3通信を可能とするIPsec通信です。
 IPsec終端ルールとして、以下の項目の設定が可能です。
項目 概要
IPsec終端ルール名 お客様にて任意のルール名称を設定します。
説明 お客様にて本IPsec終端ルールの説明を任意で記入します。
Local Network IPsec通信で外部VLANと接続するサーバーセグメントを選択します。
Peer Network IPsec通信で接続する外部VLANのIPサブネットを指定します。
Local Endpoint IPsec通信を終端する、統合ネットワークアプライアンスのインターフェースを指定します。
Local ID 通信相手のVPN機器の認証を行うため、ご利用中の統合ネットワークアプライアンス側に設定する一意のIDを任意に指定します。
Peer ID 通信相手のVPN機器の認証を行うため、外部VLAN側のIPsec終端機器にて指定されたIDを入力します。
Peer IP 外部VLAN側のIPsec終端機器に割り当てられた、IPsec通信に用いる固定IPを入力します。
Encryption Protocol IPsec通信で用いる暗号化プロトコルAES(128bit),AES256(256bit),3DESを指定します。(暗号化プロトコルは、Phase 1及びPhase 2で共通となります。)
Shared key 認証に用いる共通鍵を指定します。
MTU IPsec通信にて送受信される1フレームの最大値を設定します。
有効 本ルールの有効/無効を選択します。

重要

  • 本機能は、IPsec通信を終端する設定を行うことができる機能です。実際のIPsecの接続性については、本サービスの提供外です。接続のための設定内容や、接続に問題があった場合の解析等については、サポート対象外となりますので、ご了承ください。
  • IPsec通信を行うためには、本機能とは別に、外部VLAN側にもIPsec通信用の機器が必要です。外部VLAN側の機器については、お客様にてご用意いただく必要があります。外部VLAN側の機器については、弊社のサポート対象外となります。(ただし、外部VLANが Enterprise Cloud サービス契約内のサーバーセグメントだった場合、双方統合ネットワークアプライアンスでIPsec通信を行う設定が可能です。)

注釈

  • 1つのIPsec終端ルールで、1つのサーバーセグメントと1つの外部VLANを接続する設定を行うことができます。1対N、N対1の接続を行いたい場合は、複数のIPsec終端ルールを組み合わせる必要があります。
  • インターネットトランジット、あるいはVPNトランジットを経由するIPsec通信を終端することができます。サーバーセグメントを経由するIPsec通信を終端することはできません。
  • IPsec通信を通じたマルチキャスト通信、ブロードキャスト通信は実施いただかないようお願いします。弊社にてこれらを発見した場合、予告なく利用の制限等の措置を行う可能性があります。
  • 本機能では、アクティブモードをサポートしていないため、Peer IPは統合ネットワークアプライアンスから疎通可能な固定IPである必要があります。
  • 統合ネットワークアプライアンスのIPsec終端機能には、以下の値がデフォルトで設定されています。
  • 本機能ではRFC 3706に準拠したDPD(Dead Peer Detection)が有効化されており、IPsecトンネルの通信断はリアルタイムに検出されます。(DPDは無効化できません。)
  • DPDによってIPsecトンネルの通信断が検知された場合、110秒間再接続を試行し10秒間再試行を休止する動作を1セット(120秒間)として再接続の処理が無制限に繰り返し行われます。

パラメータ
Key management protocol IKEv1(ISAKMP + Oakley)
Phase1 Authentication Method pre-shared key
DH group 2あるいは14※
Hash Algorithm SHA1
ISAKMP SA life time 28800 seconds
key exchange mode Main mode
Phase2 IPsec SA life time 3600 seconds
Security protocol ESP
Authentication Algorithm HMAC-SHA1
Perfect Forward Secrecy Enable
DH group 2あるいは14※
Capsuling mode Tunnel
key exchange mode Quick mode

※重要事項

セキュリティ強化のため、仕様変更がございます。

仕様変更内容

・お客さまがカスタマーポータルにて、以下の対象操作を実施した場合、IPsecの設定パラメータであるDH groupのデフォルト値が2から14へ更新されます。

【対象操作(*1)】

統合ネットワークアプライアンスの設定編集あるいは保存(編集しないで保存する場合も含む)

vApp及び仮想サーバーにて監視を設定あるいは削除(Install Monitoring / Uninstall Monitoring)

ご注意事項

・一度DH groupが2から14へ更新されるとお客さまにて切り戻すことはできません。

・対象操作(*1)を実施しない場合、DH groupの値は2のままで変更されません。現状のままご利用いただけます。

お願い事項

・IPsec通信において統合ネットワークアプライアンスの対向となる外部VLAN側の機器について、DH group 14に対応しているかご確認をお願いいたします。

・対向となる外部VLAN側の機器についてDH Group 14非対応の場合、対応するまでの期間、以下にてご対応ください。

・対象操作(*1)をお控えいただきますようお願いいたします。

・対向となる外部VLAN側の機器についてDH Group 14対応の場合、以下いずれかにてご対応ください。なお、セキュリティ強化の観点から、DH Group14へ切り替えてご利用いただく必要がございます。​

・DH Group14に切り替えてご利用される場合

・対象操作(*1)実施後、外部VLAN側のIPsec通信用の機器についてDH Group14にご対応いただくようお願いいたします。

・DH Group2を一時的に継続利用される場合

・対向となる外部VLAN側の機器の準備が整うまでの期間、対象操作(*2)をお控えいただきますようお願いいたします。


5.9.7. 注意事項

弊社にて設定するルール(グローバルルール)
 統合ネットワークアプライアンスには、弊社の監視、保守運用や各種サービス提供等のため、弊社によりデフォルトで複数のルール(以下、グローバルルール)が設定されています。
  • グローバルルールは、お客様にて参照することができます。ただし、グローバルルールの具体的な目的・詳細等に関する質問については、回答しかねますので、予めご了承ください。
  • グローバルルールは、お客様にて編集及び削除することができません。
  • グローバルルールは、お客様にて設定される各種ルールよりも高優先順位のルールとして設定されています。
  • グローバルルールは、弊社にて予告なく追加・変更・削除される可能性がある点、予めご了承ください。

重要

  • 仮想サーバーへの監視を開始すると、グローバルルールとして、SNATルール・DNATルールが、監視する仮想サーバーごとに、必ず1つずつ追加されます。
設定可能数
 統合ネットワークアプライアンスでは、プランに関わらず、それそれの機能ごとに以下の数のルールを設定することができます。
機能 設定可能上限数
ファイアウォールルール 最大約100ルール(グローバルルール含む)
SNATルール
DNATルール
最大約100ルール(グローバルルール含む・SNATルール・DNATルール合わせて)
スタティックルーティング 最大64ルール
ロードバランシングルール 約3ルール
IPsec終端ルール 約50ルール

注釈

  • ルールの設定数が増えるほど、パフォーマンスが低下する傾向があります。
制約・免責事項

  • カスタマーポータルで統合ネットワークアプライアンスの設定を変更する際、通信断が発生する場合があります。
  • 統合ネットワークアプライアンスサービスの利用を開始すると、統合ネットワークアプライアンスを通過するパケットのデータを読み取り、内容を判断して動的にポートを開放・閉鎖して、不正なアクセスを遮断するステートフルパケットインスペクション機能が有効になります。この機能は無効にすることはできません。
  • 弊社メンテナンスの際に、通信断が発生する場合があります。
  • 以下のIPアドレスブロックと重複するネットワークアドレスを宛先とするスタティックルーティング設定はできません。
    • お客様にて購入いただいたグローバルIP
    • VPNトランジット用IPアドレスブロック
    • サーバーセグメント用IPアドレスブロック
    • 「サーバーセグメント」の注意事項で規定する重複不可IPアドレスブロック
  • 既にスタティックルーティングの宛先として設定されているネットワークアドレスを、以下のIPアドレスブロックとして設定することはできません。
    • VPN トランジット用IP アドレスブロック
    • サーバーセグメント用IP アドレスブロック

5.9.8. 参考情報

統合ネットワークアプライアンスの各種推奨値
 各種推奨値を以下に示します。
項目 推奨値 概要
パフォーマンス 最大100Mbps程度 パフォーマンスに制限はかけていませんが、弊社における検証の結果、プランに関わらず、最大100Mbps程度を想定しています。また、ルールの設定数が増加するのに反比例して、パフォーマンスが低下します。
ロードバランシングルール数 3 お客様の利用状況等により、3より多い数のルールが設定可能な場合もありますが、弊社にてサポート可能なのは3までとなります。
利用仮想サーバー数 最大20程度 VM監視を行うため、1つのVMに対し計2のNATルールをグローバルルールとして設定します。これに加え、インターネット向けの通信でもNATルールを設定するとすると、1VMごとに最大4つのNATルールを消費するため、利用VM数は20程度を想定しています。
冗長プランの場合の断時間 30秒程度 冗長プランを利用の場合、故障時にも30秒程度の断時間での回復を想定しています。

IPsec終端機能動作確認機種
 弊社によるIPsec接続終端機能の動作確認機種は以下のとおりです。
  • ASA5510
  • Vyatta Core 6.6R1
  • 統合ネットワークアプライアンス(本サービス)
※ 実際の接続性については、弊社のサポート対象外となります。