テクニカルサポート

東京都でEnterprise 向けIaaS のテクニカルサポートをやっていくオタクのブログです。

Web サービスのためのネットワークインフラ構築~第1回~

Web サービスを提供するための一般的なネットワークインフラを構築する。

第1回ではふわふわ~~~な軽いネットワーク設計を行う。ネットワーク構成図が成果物となる。

 

次回(第4話)のTV アニメ「アイカツスターズ!」はふわふわ~~~なアイドル、花園きららちゃん回のようなので要チェックです!!!!!

 

 

ネットワーク構成図

  • 全体ネットワーク構成をスライド1に示す。
  • データ用ネットワークのみ切り出したネットワーク構成をスライド2に示す。
  • マネジメント用ネットワークのみ切り出したネットワーク構成をスライド3に示す。
  • 使用したアイコンはスライド4に記載しています。(アイコン探しが一番時間かかりました。)

 

 

全体ネットワーク構成

  • クラウドサービス(IaaS)上で構築する。(NTT コミュニケーションズ Enterprise Cloud 2.0)

ecl.ntt.com

 

データ用ネットワーク構成

  • インターネットゲートウェイファイアウォールロードバランサーVRRP による冗長化を行い、単一のネットワーク経路機器における障害によってサービス提供が停止となる事態を防止する。
  • ロードバランサーはツーアーム(L3)構成とする。これは、本構成をクラウドサービス(IaaS)上で構築するため、L2 構成まで意識した設計ができない(必要無い)ので、ワンアーム(L2)構成とする理由が無いためである。(オンプレミスであれば、L2 スイッチとしての役割も持たせる構成が多いのではと思います。)
  • インターネットゲートウェイは仕様上冗長化した状態で提供を受ける。ISP から割り当てを受けたグローバルIP アドレスをプールしており、どこにも割り当てていないものとする。また、インタネットゲートウェイは仕様上NAT ができないため、プールしているグローバルIP アドレス宛ての通信を対向のファイアウォールネクストホップするようスタティックルートの設定をする。
  • ファイアウォールVRRP による冗長化設定を行う。また、グローバルIP アドレスをロードバランサーのVIP に変換するよう宛先NAT 変換(DNAT)の設定をする。また、グローバルIP アドレスに対するTCP / 80(HTTP)以外のアクセスは遮断するようフィルタルールの設定をする。
  • ロードバランサーはVIP(Virtual Server IP)に着信したHTTP リクエストを、設定した負荷分散アルゴリズムに従い、負荷分散対象(Service)のHTTP サーバとして動作する仮想サーバーインスタンス(Server)に振り分ける。また、負荷分散対象のHTTP サーバに定期的にHTTP リクエストを発出することで、HTTP サーバのステータスを監視する。リクエストに対するレスポンスが確認できない場合には負荷分散対象から除外する。この機構によって単一の仮想サーバーインスタンスにおける障害によってサービス提供が停止となる自体を防止する。(括弧内はロードバランサー用語。)
  • 今回は仮想サーバーインスタンスにHTTP サービスをインストール・起動しておき、仮想サーバーインスタンスへのHTTP リクエストに対しては、仮想サーバーインスタンスが保持する静的なコンテンツをレスポンスとして返すのみで、AP サーバやDB サーバを必要としない構成であるものとする。(必要とする構成でも大きくは変わりません。多段になるだけです。)

 

マネジメント用ネットワーク構成

 

次回予告

まずはマネジメント用ネットワークができないと何もできないので、マネジメント用ネットワークのファイアウォールでのIPSec VPN の設定をやっていきます。