はじめに
さくらインターネットのさくらのクラウド検定取得で学習した際のメモです。
試験はリモートで、60分100問でした。
さくらインターネットのサービス 概要
- クラウドサービス
- クラウドインフラストラクチャー
- さくらのクラウド
- さくらのVPS
- クラウドアプリケーション
- さくらのレンタルサーバー
- クラウドインフラストラクチャー
- 物理基盤サービス
- PHY
- データセンター など
- 周辺サービス
- IoT
- SSL
- CDN など
クラウドインフラストラクチャー
さくらのクラウド
- さくらのクラウド=Iaas
- 2011年11月リリース
- データ転送量による従量課金なし
- サーバ、ストレージの利用料は利用時間に応じて変わる
- 1日10時間までは従量課金
- それ以降は日額で定額
- 20日未満は日額で課金
- それ以上は月額固定
- 東京リージョン、石狩リージョンがある
- それぞれ第一ゾーン、第二ゾーンがある(AZ相当?OCIのFD相当?)
- さくらのクラウドの操作
- コントロールパネル
- usacloud(うさクラウド)
- CLIツール
- Terraform for さくらのクラウド
さくらのVPS(Virtual Private Server)
ホスティングサービスから派生したサービス
- 仮想サーバを利用するサービス
- OS再インストールができる
- MW、アプリケーションは自分で用意、管理する
- 一般的なクラウドのようなスケールアウトはできない
- HWのスケールアップはできる
- LAN間の接続ができる
- さくらのVPSだけでシステムを組める
- 仮想サーバが動く物理サーバが停止すると、その上の仮想サーバも停止する
- NISTのクラウドの要件を満たしていない
クラウドアプリケーション
さくらのレンタルサーバー
- メールサーバ、Webサーバー、DNSサーバなどをサブスクリプションで利用できるサービス
- コントロールパネルから利用契約できる
- 月額単位の課金
- 共用環境
- 管理者権限不要(ない)
- セキュリティ、HWトラブルはさくらが対応する
- Saas的
比較
| さくらのクラウド | さくらのVPS | さくらのレンタルサーバー | |
|---|---|---|---|
| 管理者権限 | ◯ | ◯ | × |
| コントロールパネル | ◯ | ◯ | ◯ |
| 提供形態 | 専有 | 専有 | 共用 |
| 料金体型 | 時間割、日割り、月額 | 月額 | 月額 |
| API | ◯ | × | × |
物理基盤サービス
DC内で提供している機器の実行環境
ハウジング
- ラックを借りれる
- 機器は持ち込み
- 利用者がDCに入れる
- 閉域網を通じて、さくらのクラウドなど他のサービスとつながる
- 東京、大阪、石狩にDCがある
- 東京は三ヶ所
さくらの専用サーバPHY
- 物理サーバーの専用ホスティングサービス
- コントロールパネルから設定、契約
- OSインストール
- RAID設定
- NICの冗長化 など
- 16コア/64GBメモリ/480GBストレージ/1Gbpsから
- LB/FWのアプライアンスもある
高火力PHY
- H100 x8搭載のベアメタルサーバ
- 最短10分で利用可能
- 200Gbps x4のバックボーンがある
周辺サービス
ドメイン、SSL、ImageFlux、IoT、マーケットプレイスなど
さくらのドメイン
- ドメインの取得、更新
- ネームサーバ運用
さくらのSSL
- SSL証明書の取得
- 即日発行可能
ImageFlux
- 画像変換、配信エンジン
- ImageFluxのコンポーネント
- イメージサーバ
- 画像変換、コンテンツキャッシュ
- コンソールサーバ
- イメージサーバ
- 外部にオリジンサーバがある
さくらのIoT
- さくらのセキュアモバイルコネクトとさくらのモノプラットフォームの2つ
- さくらのセキュアモバイルコネクト
- モバイルネットワークサービス
- 閉域網でIoTデバイスからのデータがさくらのクラウドと繋がる
- 専用SIMを利用
- さくらのモノプラットフォーム
- システム開発に必要な機器、開発環境を月額で提供
マーケットプレイス
- セキュリティサービス
- レンドマイクロ、SOPHOSなど
- バックアップ
- Acronisなど
- その他
- SecureCMS、など
高火力DOK
- コンテナ
- GPUを使用してDockerイメージを実行
アーキテクチャ設計
システム構成設計
コンピューティング
サーバープラン
- 提供プラン
- 仮想コア数 x メモリの組み合わせ
- 通常プラン
- 最小:1コア/1GBメモリ
- 最大:20コア/224GBメモリ
- コア専有プラン
- 最小:2コア/4GBメモリ
- 最大:128コア/480GBメモリ
- 通常プラン
- 仮想コア数 x メモリの組み合わせ
- 仮想コア数に応じて、メモリサイズは可変
- 1コア -> 1-5GBメモリ
- 20コア -> 16-224GBメモリ
- 東京リージョン、石狩リージョンで料金が異なる
- 石狩第一ゾーンが一番安い
作成と削除
- シンプルモードと通常モード、2つの作成方法がある
- シンプルモード
- 少ないメニュー
- 最低限の設定
- 通常モード
- 詳細なメニュー
- シンプルモード
- サーバの削除前に停止が必要
- ディスクを一緒に削除する・しないを選択できる
サーバのステータス
- ステータス
- Up
- Down
- Cleaning
- 起動準備、処理中
- 電源操作
- 起動
- cloud-init起動
- シャットダウン
- 強制リブート
- 強制停止
- シャットダウンして起動、強制リブートだと別の物理サーバでVMが起動する
- OS上のrebootだと物理サーバーは移動しない
プラン変更
- 仮想コア数とメモリを変更できる
- コントロールパネルのプラン変更から操作する
- サーバの停止が必要
- リソースIDも変更される
- プラン変更以外でもサーバ停止が必要になるケース
- NICドライバを異なるタイプに変更する
- ディスク、NICを追加する
- インスタンスのクローン可能
- 通常モードのみ
- 追加NICや2つ目以降のディスクはクローンされない
タグ機能
- タグは複数付与できる
- サーバー一覧でタグで選択できる
- 特殊タグ
- 付与すると特殊な機能が使用できる
-
@keyboard-us
- キーボードをUS配列にする
-
@cpu-topology
- CPUソケット数が1ソケットと認識されるようにする
- ソケットライセンスのMW(SQLサーバーなど)を使用するときに設定する
- CPUソケット数が1ソケットと認識されるようにする
- 物理サーバーにメンテナンス予定が発生した場合、「@mainte-YYYYMMDD-*」というタグが自動で付与される
-
@group
- 仮想マシンが起動する物理サーバーを定義する
- A-Dの4つのグループ
- 「@group=A」みたいに指定する
- A-Dの4つのグループ
- 仮想マシンが起動する物理サーバーを定義する
-
@keyboard-us
- 付与すると特殊な機能が使用できる
NIC, SW接続
- サーバ作成時、NICの接続先を指定する
- デフォルト(インターネットに接続)
- 無料の共有セグメントに接続
- グローバルIPアドレスが割り当てられる
- 過去に割り当てられたIPアドレスが優先的に割り当てられる(保証はされてない)
- デフォルト(インターネットに接続)
- NICの追加
- 最大10個まで
- 追加NICはグローバルNWに接続できない
- SWに接続しないといけない
- サーバと同じゾーンに事前にSWを作成する
- 別ゾーンのSWに接続できない
- サーバと同じゾーンに事前にSWを作成する
- SWに接続しないといけない
- サーバの停止が必要
- コントロールパネルのNICタブでIPアドレス設定後、OS上でも設定が必要
- NICドライバ
- VirtIO(デフォルト)
- Intel e1000ドライバエミュレーション
- 逆引きレコード
- 一つ目のNICでのみ設定可能
ディスク
- 1つのサーバに最大3つまで
- 追加・削除する際はサーバの停止が必要
- ISOイメージを一つ追加できる
- ディスク暗号化機能
- オプション
- 新規作成時に設定。作成済みディスクをあとから有効化できない
- 暗号化を有効にすると、アーカイブを取れない。
- アーカイブの暗号化は対応してない
- 自動バックアップの有効可もできない
シンプル監視
コンソール接続
- サーバの詳細外面の「コンソール」タブがある
- 日本語配列キーボード
コア専有プラン
- コア「だけ」を専有
- Intel
- CPU2コア/4GBメモリ - 10コア/96GB
- AMD
- 32コア/120GB - 128コア/480GB
- 石狩第2ゾーンでのみ利用可能
- シンプルモードでは選択できないので、通常モードで作成する
- サポートしてるOSにIntelとAMDで違いがある
- 32コア/120GB - 128コア/480GB
GPUプラン
- プランは一つ
- NVIDIA V100
- CPU4コア/1GPU/56GBメモリ
- 石狩第一ゾーンでのみ利用可能
- 料金
- 時間額は24時間まで適用される
- (通常プランは10時間まで)
- それ以外は通常プランと同じ
- 時間額は24時間まで適用される
- 1つのGPUを専有
- シンプルモード不可、通常モードで作成する
- Windows Server使えない
- サーバー作成後にGPUドライバのインストールが必要
専有ホストプラン
- 標準専有ホスト
- Windows以外の仮想サーバを起動
- Windows専有ホスト
- Widowsのみ
- サーバスペックは共通
- 20物理コア
- 最大200仮想コア
- オーバーコミット率はユーザーが変えられる
- 224GBメモリ
- 同じゾーンで「停止」しているサーバの中から専有ホスト上で起動するサーバを割り当てる
- (新規作成はできないのかな?)
- ベアメタルではない。物理サーバをそのまま使えない
- あくまで仮想化基盤基盤として使う
- NW、ストレージなどは別リソース
- VMをネストできる
- 専有ホストを解約するには、すべてのサーバの割り当てを解除するか、すべてのサーバが停止している必要がある
-
@groupタグは専有ホストで起動するサーバには効かない
- @groupタグを外す必要あり
パブリックアーカイブ
- 各OSが初期インストールされた状態のアーカイブ
- SQL Serverがインストールされてるものもある
- WindowsはDatacenter Edition
- 最小100GB、最大2TB
- SPLA
- 使用権のみ
- テクニカルサポートは別途MSと結ぶ
- さくら経由でも結べるけど、あまりおすすめしてない感じ
- アーカイブそのものは無料だけど、ライセンスは別途必要
- さくらがサポートしてるが、範囲はOSによって異なる
- 提供終了したアーカイブはアーカイブ共有機能で使えるがサポート対象外
- さくらのサポートはOSが起動するまで
- 識別のためのタグがついてる
- RHEL
- 東京第2ゾーンでCloud-init対応アーカイブが提供されている
- Intelのコア専有プラン(2-8コア)に対応してる
- Cloud-init対応アーカイブ
- アーカイブ名の最後に「cloudimg」がついてる
- パブリックアーカイブで提供されていないOSはISOイメージから自分でインストールできる
- Oracle DB利用不可
- BYOLもできない
- 専用サーバPHY、ハウジングに設置した物理サーバを使う必要がある
スタートアップスクリプト
- ディスクに設定したスクリプトが起動時に自動的に実行される
- SHELL
- 起動時に毎回実行される
- スクリプト内に@sacloud-onceタグをつけると初回起動時のみになる
- 起動時に毎回実行される
- YAML_CLOUD_CONFIG
- 初回起動時のみ実行される
- SHELL
- パブリックスクリプト
- さくらが作成、提供
- プライベートスクリプト
- 利用者が作成
ストレージ
ディスクプラン
- 標準プラン
- HDD
- 40GB - 12TB
- 東京第2ゾーンのみ最小が2TB
- SSDプラン
- 20GB - 12TB
- 時間額、日額、月額が設定されている
- SSDの方が効果
- SSD 20GBは東京と石狩リージョンで料金が異なる
作成、削除
- ディスクソース
- ブランク
- ディスク
- 同一ゾーン内の既存ディスクから作成
- アーカイブ
- パブリックアーカイブから作成
- マイアーカイブ
- 利用者が作成したアーカイブから作成
- ディスクインターフェイス
- IDE
- 互換性が高い(古いOSでも対応)
- VirtIO
- 高性能
- 混在している場合、IDEのディスクが先に認識される
- IDE
- ディスクの削除
- サーバに未接続のディスクを削除できる
- サーバーと同時に削除できるが、ディスクを個別に削除する場合は事前にサーバーから外す
- ディスクの修正
- パブリックアーカイブからディスクを作成する際に、OSの設定を変更する
- サーバ作成時、ディスク作成後に修正できる
- IPアドレス、ネットマスク
- ホスト名
- パスワードなど
OSによってできる項目は異なる
- 未接続のディスクのみ修正できる
- パブリックアーカイブ以外から作成したディスクは修正機能は対応してない
ディスクの拡張
- ディスクサイズの変更はできない
- 拡張したい場合は、既存のディスクをソースとして大きなディスクを新規作成し、ディスクを付け替える
- さくらにパーティションの拡張機能がある
- 未接続のディスクまたはサーバ停止時にできる
- ファイルシステムの制約は受ける
ISOイメージ
- パブリック
- ベンダーが配布するインストールイメージ
- パブリックアーカイブとして提供されていないOSも利用できる
- Fedora, FreeBSDなど
- パブリックアーカイブとして提供されていないOSも利用できる
- 無料
- ベンダーが配布するインストールイメージ
- プライベート
- 利用者が作成したもの。同一ゾーンで利用可能
- イメージを保存するディスク領域に課金
- 5,10,20GB
- 一つの領域に1つのイメージ
- 同じ領域に別のISOイメージをアップロードすると、上書きされる
- サイズ変更不可
- FTPSでアップロード、ダウンロードする
NFSアプライアンス
- 標準プラン
- 100GB - 12TB
- 東京第2ゾーンのみ最小2TB
- 100GB - 12TB
- SSDプラン
- 20GB - 4TB
- SSDプランの方が高価
- 仕様
- NFS v3/v4
- マウントポイント /export
- グローバルIPへは接続できない
- ユーザー認証機構なし
- クローン可能
- IPv6非対応
- SWへの接続が必要
- NICは一つのみ
- IPv4アドレスを付与
- 事前にSWを作成しておく
- デフォルトGWの設定可能
- SWの変更、切断、IPアドレス変更不可
オブジェクトストレージ
- S3互換APIあり
- 作成済みバケットとオブジェクトの操作
- 定額従量制
- 石狩第1サイトのみ選択可能
- フォルダーがある
- フォルダーをネストできる
- フォルダーがある
- オブジェクトはバケット直下、またはフォルダー配下に置く
- 月額固定料金+超過分は従量課金
- さくら外部への通信は課金対象
- さくら内の通信は課金対象外
- サイトを利用開始するとアクセスキーが表示される
- 一度だけ表示される
- 新規のキーの再発行は可能
- 一度だけ表示される
- バケット名は他の利用者含めて一意
- 変更不可
- 管理画面(コンソール?)からできることは限られている
- バージョニングなどすべての操作をする場合はAPIで操作する
- バケット単位にパーミッションを設定できる
- バケットのみに設定
- ACL
- private
- public-read
- バケット単位またはオブジェクト単位で設定
- ローカルネットワークへの接続不可。グローバルNWを経由する
- さくらのバックボーン内での通信のため、インターネットは経由しない
- 上限
- 10TiB/バケット
- 20バケット/アカウント
NW
リージョン、ゾーン
- リージョンには直接リソースを配置できない
- リージョン -> ゾーン -> リソース
- 異なるゾーンは必ずDCが別というわけではない
- 石狩リージョン
- 第1ゾーン
- 第2ゾーン
- 東京リージョン
- 第1ゾーン
- 第2ゾーン
- SW-Server-Storageはすべて同一ゾーンである必要がある
- グローバルリソース
- リージョン、ゾーンに依存しないリソース
バックボーン
- 各DC間は10G - 100Gbpsで接続
- 対外接続の総計は1.8Tbps
- IXやISPと東京、大阪で接続されている
スイッチ、ルーター
-
スイッチ
- 仮想ネットワークスイッチ
- L2接続、ローカル通信
- プランは一つだけ
- 時間額、日額、月額
-
ルーター+スイッチ
- インターネット(グローバルネットワーク)接続用
- グローバルIPアドレス(追加IPアドレス)を持つ
- 課金
- ルーター
- 帯域幅に応じたプラン
- 100M - 10Gbps
- 10Gbpsは東京第2ゾーンのみ
- 100M - 10Gbps
- 時間額、月額(日額なし)
- 帯域幅に応じたプラン
- スイッチ
- 上のスイッチと同じ
- 追加IPアドレス
- グローバルIPアドレスの個数を選択
- 16(/28) - 256(/24)
- ユーザーが使えるのは上記から-5個
- 月額のみ
- /25, /24の場合は、さくらへの申し込みが必要
- 法人契約のみ可
- 16(/28) - 256(/24)
- 一度削除したIPアドレスブロックを再度割り当てできない
- グローバルIPアドレスの個数を選択
- ルーター
- 帯域はベストエフォート
- 帯域幅は無停止で変更可能
- 追加IPが/25, /24の場合は、さくらに問い合わせて変更する
- 作成するときは同じ画面
- ルーターを「はい」にするとルーター+スイッチになる
- 「いいえ」にするとスイッチだけ作成される
- ルーターを「はい」にするとルーター+スイッチになる
-
パケットフィルター機能
- 仮想NICへの着信、発信するパケットをフィルタリングする
- 無料
- プロトコルによって指定できる項目は異なる
- TCP/UDPの場合
- 送信元ネットワーク
- 送信元ポート
- 宛先ポート
- TCP/UDPの場合
- フィルターを作成し、ルールを設定する
- その後NICに割り当てる
- 複数のルールを設定できる
- 上から評価される
- 複数のルールを設定できる
- その後NICに割り当てる
- ステートレス
- 既存フィルターからコピーできる
- さくらが用意しているプリセットからもコピーできる
-
ローカルルーター
- 複数のローカルNWを閉域網で接続する
- ピアリング
- L3で接続
- 時間額、日額、月額
- ハイブリッド接続
- 別の会員と接続
- グローバルリソース
- 1Gpbsベストエフォート
- さくらのVPSと専用サーバーPHYを接続することができる
- クラウドを使わない場合でも、ピアリング設定はクラウドのコントロールパネルでやる
- 複数のローカルNWを閉域網で接続する
-
LB
- L4
- 標準プラン、ハイスペックプラン
- シングル、冗長を選択
- 時間額、日額、月額
- シングル、冗長を選択
- TCPのみ対応
- リクエストの振り先がなくなった場合、ソーリーサーバーに振り分けできる
- 冗長の場合、IPv4アドレスが2つ必要
- ヘルスチェック方法
- http
- https
- tcp
- ping
- 停止、再起動ができる
- 削除するときは、停止してから
-
GSLB(Global Server Load Balancing)
- DNSベースの耐障害性向上
- 時間額、日額、月額
- 標準で冗長
- 利用者で別途用意するもの
- バランシング対象のFQDN
- そのFQDNを名前解決する権威DNS
- さくらのDNSアプライアンスを利用できる
- 利用者の権威DNSにGSLBが生成するFQDNをCNAMEレコードとして設定する
- 実サーバーごとに重みを設定できる
- デフォルト有効
- 起動操作はない
- セッションは維持されない
- DNSベースの耐障害性向上
-
エンハンスドLB
- L7
- グローバルリソース
- 固定(石狩、東京リージョン)
- 自動(エニーキャスト)
- 石狩、東京両方にプロビジョニングされる
- 接続元から近いリージョンで処理される
- 作成後に変更できない
- 処理性能で課金
- CPS(Connection per second)
- 100CPS - 400,000CPU
- HTTPSの場合、CPS性能がプラン名の1/10になる
- 時間額、日額、月額
- http, https, WebSocket, tcp
- 標準で冗長
- IPv6非対応
- 電源操作はない
- ソーリーサーバ設定可能
- Syslog転送可能
- Syslogサーバは利用者が用意する
- SSLオフロード可能
- Lets Encryptの証明書をインストールできる。更新の自動化可能
- セッション維持機能
- デフォルト無効
- クライアントにCookieを設定して、接続するバックエンドを固定化する
- クライアントからのIPアドレスでの接続制限可能
-
待ち受けプロトコル、ポート
- エンハンスドLBで設定する
- http/https/tcp
- httpsの場合、SSL証明書が必要
- httpsの場合でもバックエンドのサーバとLBの間はhttpになる
- 待ち受けポート
- 最大2つまで
- 22と179は設定できない
- 最大2つまで
- バックエンドは単体サーバ、サーバグループどちらかを設定できる
- さくらが提供するサービス(クラウド、VPS、専用サーバPHYなど)のグローバルIPアドレスを設定できる
- さくらのレンタルサーバなどの共用サービスのアドレスは設定できない
- 他社サービスのアドレスも設定できない
- サーバグループ
- 所属できるグループは1つ
- 異なるゾーンのサーバも同じグループにできる
-
VPCルータ
- VPN接続とFW、GWセキュリティの強化
- 4つのプランあり
- プランに応じて時間額、日額、月額
- スタンダード
- プレミアム
- ハイスペック(1,600Mbps)
- ハイスペック(4,000Mpbs)
- 停止、起動する
- cloud-initなし
- 最初は停止してる
- IPv6非対応
- NAT機能
- IPマスカレード(Forward NAT)
- 全プラン共通
- デフォルトで動作する
- 停止もできない
- ポートフォワーディング(Reverse NAT)
- 標準で利用できる
- 全プラン共通
- スタティックNAT(1対1NAT)
- プレミアム、ハイスペックプランで利用可能
- IPマスカレード(Forward NAT)
- VPN機能
- リモートアクセスVPN
- 端末がインターネット経由でVPCルータと直接VPN接続する
- プロトコル
- PPTP
- L2TP/IPSec
- L2TPv2のみ利用できる
- 認証方式
- PPP認証
- ユーザー名/パスワード
- IPSec認証
- 事前共有鍵
- 鍵交換モード:アグレッシブ
- 事前共有鍵
- PPP認証
- サイト間VPN
- 拠点のルータがインターネット経由でVPCルータとVPN接続する
- IPSec
- 認証方法は事前共有鍵
- 鍵交換モード:メインモード
- 認証方法は事前共有鍵
- 閉域接続機能
- インターネット接続はVPN接続先の拠点からだけになる
- VPCルータのWireGuarサーバ機能を使ってもVPN接続できる
- リモートアクセスVPN
- FW機能
- 条件とアクション(Allow/Deny)、ログの有効/無効を設定
- ルールは複数設定可能、上から順に評価される
- いずれのルールにもマッチしないと、許可になる
- ステートフル
-
ブリッジ接続
- 異なるゾーンのスイッチ間をL2接続
- さくらの他のサービスとの接続も可能
- スイッチに接続するのが必須
- 1ブリッジ1ゾーン1スイッチ接続
- 同一クラウドアカウント内のスイッチのみ
- ルータ+スイッチには接続できない
- 時間額、日額、月額
- 異なるゾーンのスイッチ間をL2接続
-
ハイブリッド接続
- ゾーン間接続サービス
- ハウジングとも接続可能
- SINETとも接続可能
- リソースを作成するのではなく、コントロールパネルのフォームから申し込む
- スイッチとの接続はさくらがやる
- 会員IDでログイン(クラウドアカウントではない)
- 初期費用+月額料金
- 月額は固定
- ハウジングに接続するときのみ、物理回線接続費用がかかる
- 1ハイブリッド接続1ゾーン1スイッチ接続
- 解約は書面の提出が必要
- ブリッジ接続をハイブリッド接続に変更可能
- 切り替えのダウンタイムなし
- ハウジングとの接続はハウジング内でルーティングが必要
- さくらにNW構成図やトラフィック量などを提示する
- 帯域はベストエフォート
- ゾーン間接続サービス
-
接続マップ表示
- 他ゾーンのリソースやグローバルリソースは表示されない
- 画像として保存可能
-
サービス間接続
- さくらとさくら以外と閉域網で接続する
- 他社クラウド
- SINET
- LGWAN
- オンプレ環境
- それぞれ別サービス
- AWS接続オプション
- DirectConnectと閉域接続
- Equinix TY2内で接続
- 月額費用+転送料課金
- DirectConnectと閉域接続
- SINET接続サービス
- LGWANコネクト
- 石狩リージョンのみ
- プライベートリンク(オンプレとの接続)
- Equinix TY4, KDDI大手町DC内に利用者の機器があることが前提
- 別途ハイブリッド接続の契約が必要
- Equinix TY4, KDDI大手町DC内に利用者の機器があることが前提
- プライベートリンク for アルテリア
- 利用者がアルテリアと契約が必要
- 別途ハイブリッド接続の契約が必要
- 利用者がアルテリアと契約が必要
- プライベートリンク for BBIX
- ダイレクトアクセス
- 利用者の閉域網に接続するONUをさくらのラックに設置代行する
- 外部回線接続サービス
- さくらの環境とインターネットVPNで接続するサービス
- 石狩リージョンのみ
- さくらの環境とインターネットVPNで接続するサービス
- さくらとさくら以外と閉域網で接続する
-
DNSアプライアンス
- 権威DNSサーバ
- プライマリDNS、セカンダリーはNG
- ゾーン転送は非対応
- DNSのゾーンあたり日額、月額で課金
- クエリやトラフィックは課金対象外
- 基本で冗長化されてる
- ドメイン取得代行サービスあり
- ドメインの権限委譲が必要
- 権威DNSサーバ
-
シンプル監視
- 監視と通知
- ネットワーク疎通(ping, tcp)
- アプリケーション監視(http, smtp)
- サーバのリソース監視や監視結果を元にしたアクションはできない
- さくらのグローバルネットワークから監視される
- 監視対象がローカルネットワークにある場合、VPCネットワークでポートフォワーディングなどする必要がある
- 監視する対象によって料金は異なる
- さくらが提供するグローバルIPアドレスの監視は無料、それ以外は有料
- 監視設定ごとに日額、月額
- 通知先
- メール
- Webhook
- 片方、または両方設定できる
- WebHookへの通知が失敗した場合、通知が無効化される
- 監視設定ごとに有効、無効を設定できる
- SSL証明書アラートのチェック間隔などは変更できない
- 監視と通知
DB
DBアプラインス
- OSまでさくらが管理
- 冗長オプションあり
- プランは仮想コア数xメモリサイズの組み合わせ
- すべてのプランでディスクサイズは共通
- DBサーバを2台で冗長
- データを同期してる
- Master/Slave
- SlaveがMasterに昇格したあとに復旧するとフェイルバックする
- どちらも同一ゾーンに配置される
- 冗長オプションなし
- プランはディスクサイズ
- プランごとに仮想コア数とメモリは決まってる
- 時間額、日額、月額
- ディスクはすべてSSD
- ディスクはDBアプラインスに含まれるので、個別管理はない。
- コントロールパネルのディスクメニューにも表示されない
- ディスクはDBアプラインスに含まれるので、個別管理はない。
- リードレプリカ
- マスターとレプリカは同一ゾーンに配置
- レプリカはマスターに昇格できない
- マスター側のDBアプライアンスでリードレプリカを有効化する
- レプリカユーザーのパスワードを設定する
- 有効化するときはアプライアンスを停止する
- 仮想コア数、メモリサイズは指定できない(マスターと同じリソースになる)
- 冗長化オプションとリードレプリカは排他。併用不可
- クローン可能
- 冗長化なしのみ
- PostgreSQL, MariaDB
- SQL Clientからネットワーク経由で接続
- デフォルトユーザー名と同名のDBが作成される
- DBの管理者権限は利用者に付与されない
- スイッチorルータ+スイッチに接続する必要あり
- 冗長化オプションありの場合は、スイッチにのみ接続可能
- ゲートウェイIPアドレス必須
- 作成後の変更不可
- MariaDBはSyslog転送可能
- バックアップ
- 自動or手動
- 最大8世代
- 追加料金なし(データ保管も)
- 冗長化オプションありの場合は、保管場所としてNFS領域を利用者が用意する
- 自動バックアップ
- 実行間隔と実行時間を指定
- 実行間隔
- 毎日または曜日
- 実行時間
- 15分単位で選択
- 実行間隔
- 実行間隔と実行時間を指定
- DBへのアクセス制御可能
- IPアドレスで
データ処理
アーカイブ
- パブリックアーカイブ
- さくらが提供
- OSが初期インストールされてる
- マイアーカイブ
- 利用者が作成
- プランはないが20GB-1TBの範囲で作成
- 時間額、日額、月額
- ディスク作成時に既存ディスクをソースとして指定
- ディスク修正機能が対応するOSであれば、NW情報やパスワードを変更できる
- ただし、さくらは保証してない
- ソースのディスクプラン(標準、SSD)は関係なくアーカイブを作成できる
- ディスク修正機能が対応するOSであれば、NW情報やパスワードを変更できる
- アーカイブは直接サーバに接続しない
- アーカイブソースをブランクにすると、アーカイブサイズを指定し、端末にあるイメージをFTPを使ってアップロードする
- アーカイブソースでディスクを選択すると、そのディスクと同じサイズのアーカイブが作成される
- アーカイブを共有すると、共有キーが発行されてそれを指定して、別利用者のアーカイブをコピーできる
自動バックアップ
- 定期的にアーカイブを作成する機能
- 実行間隔は週単位、曜日を指定
- 日付や時間は指定できない
- 指定した曜日の24時間中にランダムに実行される
- 日付や時間は指定できない
- 最大10世代
- ソースディスクの最大サイズは1TB
- 実行間隔は週単位、曜日を指定
- 自動バックアップ1回ごとに利用料金が必要
- +アーカイブ利用料が必要
- 作成されるアーカイブには
autobackup-{リソースID}のタグがつく- このタグを削除すると世代管理の対象から除外され、自動削除されなくなる
- 同一ゾーン内に保存される
- ゾーン間コピーしたい場合は利用者側でなんとかする
ディスクマイグレーション
- さくら内のディスク移行パターン
- ディスク -> ディスク
- ディスク -> マイアーカイブ -> ディスク
- ストレージの老朽化などでディスクを移行する必要が出てくる
- ディスクの移行は利用者のタイミングで実行する
ウェブアクセラレータ(CDN)
- 国内向け
- 東京、大阪に設置
- 自動で振り分けられ、指定することはできない
- オリジンサーバにキャッシュ保持期間を設定する(Cache-Controlヘッダ)
- Expiresヘッダは使わない
- コントロールパネルでもキャッシュ期間を設定できる
- オリジンとコントールパネル両方で設定されている場合は、オリジンが優先される
- プランはなし
- 転送量に対する従量課金
- CDNからインターネットへのアウトバウンドが課金対象
- 転送量に対する従量課金
- オリジンをさくら以外で稼働するサイトを指定できる
- サイト(ウェブアクセラレータの管理対象)
- ドメイン種別
- 独自ドメイン
- DNSも必要
- 利用者が管理するFQDN
- SSL証明書を登録可能
- サブドメイン
- ウェブアクセラレータが生成するFQDN
- 独自ドメイン
- オリジン種別
- ウェブサーバ
- オブジェクトストレージ
- ドメイン種別
- 専用のコントロールパネルで操作する
- サーバ、ストレージとは違う
- キャッシュの最大ファイルサイズは2GB
他サービスとの連携
- VPSとの連携
- ブリッジを使ってL2接続
- 専用サーバPHYとの連携
- ブリッジを使ってL2接続
- ハウジングとの連携
- ハイブリッド接続
- プライベートネットワーク
- ハイブリッド接続
セキュリティ
認証
- 会員ID
- アルファベット3文字と数字5文字
- 会員ごとにユニーク
- 管理者権限が付与されており、会員ID配下の全てのクラウドアカウントにアクセスできる
- 通常は利用しない
- 通常のリソース操作にはユーザーを使用する
- アルファベット3文字と数字5文字
- クラウドアカウント
- リソースの作業空間
- リソースの管理と請求はアカウントごとに区分される
- クラウドユーザー
- リソースを操作する
- ユーザーごとにアカウントに属するリソース対する権限を付与する
- 4段階
- リソース閲覧
- 電源操作
- 設定編集
- 作成削除
- 4段階
- 上記の権限とは別に、各コントロールパネルへのアクセス権限を個別に設定できる
- 会員IDでログインした際に設定可能
- リソースID
- 各リソースにユニークな12桁の数字
- アカウント分離
- サービスや開発プロジェクトごとにアカウントを分けることで、利用できるリソースを制限できる
- 異なるアカウントのリソース間で通信する場合は、ローカルルータを利用する
- MFA
- Google Authenticator使える
- シングルサーバコントロールパネル
- サーバ1台ごとの個別APIキーを発行し、そのキーでログインすると、1台のサーバーだけを操作できるコントロールパネルになる
- リソース閲覧とサーバ操作のみ
ログ
- 標準でイベントログが取得されている
- コントロールパネル、API操作、ログイン履歴
- 保持期間は1年
- 永続化する場合はCSVでダウンロード
- 最大で1000件
- 永続化する場合はCSVでダウンロード
- VPCルータのログ
- VPN、FW、セッション統計情報
- 最新の100件のみコントロールパネルで確認できる
- 永続化するにはSyslog転送する
第三者機関による認証
- さくらインターネット
- プライバシーマーク
- ISMS
- さくらのクラウド
- ISMSクラウドセキュリティ
- ISMP
- 石狩DC
- SOC2 Type2
- SOC3
- PCIDSS V3.2 要件9/12
SSL
- SSL証明書の配置先
- Webサーバー
- エンハンスドロードバランサー
- Let's Encript証明書の登録、自動更新の設定可能
- コントロールパネル上で一元管理
- ウェブアクセラレータ
- 同上
通信パケットのフィルタリング
- パケットフィルタ機能とVPCルータのFW機能
| パケットフィルタ機能 | VPCルータのFW機能 | |
|---|---|---|
| 機能 | ステートレス 戻りパケットの自動許可なし |
ステートフル 戻りパケットの自動許可あり |
| 設定するところ | サーバのNIC | 仮想アプライアンスとしてNWの境界 |
| ログ | なし | あり(デフォルト無効) |
| 費用 | 無償 | VPCルータの費用が必要 |
- パケットフィルタ機能
- コントロールパネルで設定
- 複数のルールを設定可能
- 特定の通信のみを許可したい場合は、最後にdenyルールを設定する
- VPCルータのFW機能
- 複数のルールを設定可能
- 特定の通信のみを許可したい場合は、最後にdenyルールを設定する
- 複数のルールを設定可能
WAF
- ホスト型WAF(サーバ上でエージェントを稼働させる)を無料で利用可能
- マケプレでより高機能なWAFも提供されている
可用性
SLA
- 月間99.95%
- SLAをみたさなかった場合の減額は申請が必要
- サポートにメールで
- SLAをみたさなかった場合の減額は申請が必要
サーバの冗長性
- ホストサーバに異常が起きたら、仮想サーバは別ホストで再起動する
- サーバとストレージは分離されてる
- ストレージのコントローラーも冗長
障害、メンテナンス
- サーバーとアプライアンスに障害が発生したら、ウェブとメールでアナウンス
- それ以外はウェブのみ
- サーバーとアプライアンスのメンテナンスは
- 1ヶ月前に
- ウェブ、メール、コントロールパネル
でアナウンスされる
- それ以外は2週間前にウェブでアナウンス
- 緊急連絡用メールアドレス
- 会員IDのメアドとは別のアドレスを任意で10個まで登録可能
- 緊急連絡用メアドが登録されている場合、会員IDのメアドには通知されない
- 専有ホストのメンテナンス時、代替となるホストが割り当てられる
- 一時的に2台のホストが割り当てられる
- ただし、使えるCPU/メモリは1台分を上限とする
- 一時的に2台のホストが割り当てられる
リージョン間の冗長
- 東京リージョンと石狩リージョンで
- DBアプライアンスの冗長化オプションは同一ゾーン内なので、DR構成を取る場合は、利用者側で同期する仕組みが必要
- エンハンスドLBでDR構成にする場合、エニーキャストを選択する
拡張性
リソースの上限
- 上限を引き上げるにはさくらにメールする
- メールテンプレートはマニュアルにある
- 上限引き上げ後、申告した消費ペースと実際の消費に乖離があると、上限が引き下げられることがある
制限値
- 共有セグメント
- アウトバウンド:100Mbps
- インバウンド:制限なし
- さくらがトラフィック制限をかけることがある
- 通常は緊急連絡用メアドに事前連絡されるが、緊急時はない場合もある
スケーリング
- サーバ
- オートスケール可能
- スケールアップ、スケールアウト可能
- スケールアップは停止が必要
- トリガー
- CPU Time or ルータ+スイッチのアクティビティのトラフィック
- 10分間隔で監視
- トリガーを変えたい場合は利用者側で作り込む
- スケジュール実行可能
- ルータ+スイッチ
- トラフィックに応じてスケール
- ルータのプラン変更
- 無停止
- ディスク
- サーバの停止が必要
- 元のディスクを増やすのではなく、サイズの大きいディスクを作成してコピーして入れ替え
- OS側でファイルシステムの拡張が必要
- DBアプライアンス
- 停止が必要
- クローン機能で入れ替える
- 冗長化オプションを使用している場合は、クローン機能が使えないので、新規作成して移行
- DBアプライアンスをスケールさせる前に、リードレプリカの活用を検討する
- リードレプリカはDBアプライアンス作成後に有効化可能
- 停止は必要
- 課金はマスターと同等
- リードレプリカはDBアプライアンス作成後に有効化可能
コスト
料金体系
- 従量課金
- 大部分のクラウドリソースがこっち
- ウェブアクセラレータ、オブジェクトストレージ以外はデータ転送量に課金なし
- 基本的に、時間額、日額、月額
- 一部時間額または日額がないリソースもある
- シンプル監視、DNSアプライアンスなど
- 最小1時間単位
- 1時間未満は切り上げ
- 10時間分の時間額=1日分の日額
- 20日分の日額=1ヶ月分の月額
- 利用時間に合わせて、一番安い料金が適用される
- 一部時間額または日額がないリソースもある
- 月額料金
- 時間額と日額の両方がない
- 一部サービスはこれに加えて、初期費用がかかるものがある
- ハイブリッド接続など
- 作成するたびに月額料金が発生するので、作成・削除を繰り返すと、繰り返しただけ課金される
支払い
- 基本的にクレカ、後払い
- サポート窓口、営業に連絡すると、請求書払いや銀行振込に変更できる
- 法人はプリペイド購入による前払いも可
- 購入から12ヶ月利用できる「通常プリペイド」
- その年度の3月末まで利用できる「単年度プリペイド」
割引パスポート
- 利用権を購入することで、割引する制度
- 作成済みのサーバも対象になる
- 12ヶ月, 24ヶ月, 36ヶ月分の請求に対して割引
- 長期利用を前提
- 対象リソース
- サーバ(通常プラン、専有ホスト)
- コア専有プラン、ディスク、Windowsは対象外
- VPCルータ
- LB
- サーバ(通常プラン、専有ホスト)
- 特定のリソースではなく、アカウント内のリソースで請求額上位から自動的に割引対象が決まる
- コントロールパネルから購入
運用
- 自動起動、停止のサービスはない