機密性の高い顧客データを扱うあるお客様は、ウェブアプリとデータベース用にセキュアなクラウドインフラ を必要としていました。私たちはVPCにNATゲートウェイを実装し、プライベート・サブネットのインスタンスが更新やAPIコールのためにインターネットにアクセスできるようにする一方で、インバウンド・トラフィックをブロックしました。このソリューションは、プライベート・インスタンスをパブリック・インターネットに直接公開することなくインターネット・アクセスを提供し、セキュリティを強化します。私たちが行ったことは以下の通りです:
この図は、典型的なVPCの設定を3つの主要セクションに分けて示しています:VPC、パブリック・サブネット、プライベート・サブネットです。まず、外側の緑色のボックスがVPCで、VPC内のリソースは他のネットワークから隔離されています。ユーザーは、1:1のNATで割り当てられた静的IPアドレスを使って、パブリック・インターネットからウェブ・サーバーにアクセスします。ウェブサーバーはリクエストを処理し、必要に応じてデータベースサーバーと通信します。ウェブサーバーはルーターサーバーを通じてデータベースサーバーと通信します。ルーターサーバーはカスタムNATを使用して、パブリックサブネットとプライベートサブネット間のトラフィックを安全にルーティングします。プライベート・サブネットにあるデータベース・サーバーは、VLAN を介してウェブ・サーバーからのリクエストを受け取ります。プライベート・サブネットが分離されているため、データベース・サーバーはインターネットに直接さらされず、セキュリティが強化されています。このチュートリアルでは、プライベート・サブネットとパブリック・サブネット間の安全で効率的な通信を確保するために、このアーキテクチャをセットアップする手順を説明します。パブリックとプライベートのサブネットを持つVPCを作成し、NATゲートウェイを設定し、VLAN 。
チュートリアル
このチュートリアルでは、先ほど説明した図のようにVPC内にNATゲートウェイを作成します。すでにLinodeアカウントをお持ちの方は、ステップ1に進んでください。Linodeのアカウントを持っていない場合は、このリンクからサインアップして100ドルの無料クレジットを手に入れてください。Linodeダッシュボードから、パブリックサブネットとプライベートサブネットの2つのサブネットを持つVPCを作成します。プライベートサブネットにはデータベースを追加し、プライベートサブネットには2つのインスタンスを追加します:1つはウェブサーバーとして動作し、もう1つはルーターサーバー(カスタムNAT)として動作します。
ステップ1:VPCの作成
VPC内にNATゲートウェイを構築する最初のステップは、リソースを論理的に分離するVPCを作成することです。これが、前回説明した図の緑色のボックスであることを思い出してほしい。プライベート・サブネットとパブリック・サブネットはこのVPCの中に住むことになる。
これを行うには、Linodeクラウドマネージャーから左パネルのVPCをクリックし、VPCの作成をクリックします。
ステップ2:パブリック・サブネットの設定
次に、ルーター・サーバー(カスタムNAT)とウェブ・サーバーを置くパブリック・サブネットをVPCに追加する必要がある。このサブネットは先ほど説明した図の青い四角の部分です。
画面下部のサブネットと書かれているところに、パブリック・サブネットのラベルを追加します。このサブネットはルーターサーバー(カスタムNAT)とウェブサーバーをホストします。
次に「Create VPC」をクリックしてVPCのプロビジョニングを行います。
作成されたパブリック・サブネットが、対応するサブネットIDとIPレンジとともに表示されます。
ステップ3:ルーターサーバーとウェブサーバーの配置
次に、パブリックサブネットに2つのLinodeインスタンスをデプロイする必要があります。1つのLinodeインスタンスはルーターサーバー(カスタムNAT)として動作し、パブリックサブネットとプライベートサブネット間のトラフィックを管理するNAT処理を行います。もう1つのサーバーは、インターネットからの受信トラフィックを処理し、必要なリクエストをプライベートサブネットに転送するウェブサーバーとして動作します。まず、ルーターサーバーを作成します。Cloud Managerから左パネルのLinodesをクリックし、Create Linodeをクリックします。VPCを作成したときに選択したのと同じリージョンを選択し、Dedicated 8 GB CPUオプションを選択します。
次に、下にスクロールして、ステップ1で作成したVPCを割り当て、ドロップダウンからパブリック・サブネットを選択します。
Create Linodeをクリックしてインスタンスのプロビジョニングを終了します。
では、上記と同じ手順でWebサーバーを作成しましょう。Create Linodeをクリックし、VPCに選択したリージョンを選択し、VPCをこのインスタンスに割り当てます。これでWebサーバーとルーターサーバーの両方がパブリックサブネットの下のVPCに表示されます。
ステップ4:プライベートサブネットの作成
次に、パブリック・インターネットに直接アクセスできないデータベース・サーバーをホストするプライベート・サブネットをVPC内に作成する必要がある。私たちは今、紫のボックスを構築しているところです。
VPCからサブネットの作成をクリックし、ラベルを入力してプライベートIPレンジを割り当てます。このサブネットにより、データベースは外部の脅威から安全に保護されます。
ステップ5:データベースサーバーのデプロイ
では、プライベートサブネットにLinodeインスタンスをデプロイして、データベースサーバーとして使用しましょう。このインスタンスにはパブリックサブネットからセキュアなVLAN 。Linodeクラウドマネージャの左パネルから、Databasesをクリックし、Create Database Clusterをクリックします。ラベルを入力し、お好みのデータベースエンジンを選択します。
このデータベースは、他のサーバーのように一般のインターネットから直接アクセスできないことを思い出してください。画面の下の方にある「Add Access Controls(アクセス・コントロールの追加)」で、上記で作成したプライベート・サブネットの許可UPアドレス範囲を追加します。
次にデータベース・クラスタの作成をクリックします。このデータベースのプロビジョニングには最大30分かかることがあります。
ステップ6:設定VLAN
次に、パブリック・サブネットとプライベート・サブネット間のセキュアな通信を可能にするため、VLAN 。
こ れに よ り 、 ウ ェ ブ サーバー と デー タ ベース サーバー間のトラフィックがプライベー トで安全な状態に保たれます。ルータサーバから[設定]タブをクリックし、[編集]をクリックします。
ネットワークセクションまでスクロールダウンします。希望のネットワークインターフェイスの下にあるドロップダウンメニューをクリックし、VLAN を選択します。通常、インスタンスのeth0ネットワークインターフェースはパブリックインターネットにアクセスするように設定されているため、コンピュートインスタンスに1つ目または2つ目のVLAN を追加する場合は、それぞれeth1またはeth2を使用します。
選択したインターフェイスの横に、VLANのラベルと使用する IP アドレスを入力するためのセカンダリメニューが表示されます。
Create or select aVLAN" のプレースホルダー・テキストをクリックし、VLAN の名前を入力します。 次に、"Save Changes "をクリックします。これで、設定タブの下にすべてのネットワーク・インターフェイスが表示されます。
ステップ8:接続性のテスト
では、ルーター・サーバーがNAT操作を正しく処理していることを確認するために、接続性をテストしてみよう。また、ウェブ・サーバーがVLAN 、データベース・サーバーと通信できること、データベース・サーバーがインターネットに直接さらされていないことも確認する必要がある。
最初に作成 し たルータ ・ サーバに移動 し 、 LISH コン ソ ールを起動 し ます。次に、IP アドレスを使ってデータベースのプライベート・ネットワークに ping を打ちます。
出力には、このインスタンスからプライベート・ネットワーク内のデータベースへ正常に送受信されたICMPパケットが表示されるはずである。
このアーキテクチャーの利点
このアーキテクチャーを使うことには、いくつかの重要な利点がある。第一に、セキュリティが強化される。VPCでは、異なるサブネット(パブリックとプライベート)内のリソースを分離することができます。NATゲートウェイは、プライベート・サブネット内のインスタンスがパブリック・インターネットの脅威に直接さらされることなくインターネットにアクセスできるようにします。VPCでNATゲートウェイを使用することで、プライベート・インスタンスからインターネットへのアウトバウンド・トラフィックのみが許可され、セキュリティ・リスクをもたらす可能性のある未承諾のインバウンド接続が防止されます。データベースをプライベートサブネット内に置くことで、機密項目がインターネットに直接さらされるのを防ぎ、データ漏洩のリスクを低減します。
このアーキテクチャは、スケーラビリティも大幅に向上させる。NATゲートウェイは大量のトラフィックを管理できるように設計されており、需要の増加に合わせて自動的に調整できるため、手動による介入が不要になります。トラフィック負荷が増大すると、NATゲートウェイはリソースをスケーリングして最適なパフォーマンスを維持し、継続的な可用性を確保します。この自動化されたスケーラビリティは、季節的なセールやプロモーション、さまざまな顧客行動によってトラフィック・パターンが変動することが多いeコマース・プラットフォームにとって特に有益です。NAT ゲートウェイを活用することで、開発者は高い需要下でもアプリケーションの応答性と信頼性を維持できるようになり、最終的に優れたユーザー体験を提供し、ビジネスの成長をサポートすることができます。
Linodeを使用してVPC内にNATゲートウェイを構築することで、パブリックリソースとプライベートリソース間のネットワークトラフィックを安全かつ効率的に管理することができます。プライベートインスタンスが必要な外部リソースにアクセスできるようにする一方で、インターネットに直接さらされないように保護し、最終的にクラウドインフラ のセキュリティ、スケーラビリティ、効率を向上させます。
上記のステップに従い、提供された図を参考にすることで、顧客の機密データを保護するだけでなく、ネットワークパフォーマンスを最適化することができます。クラウドセキュリティの最適化をお考えの開発者の方で、クラウドにより多くのリソースを構築したい方は、こちらのリンクから最大5,000ドルのLinodeクレジットを申請してください。
コメント