「さくらのクラウド」を勉強するためのアウトプットを目的に、ドキュメントなどを参照し作成しておりますが、記載の誤りなどが含まれる場合がございます。
最新の情報については、公式ドキュメントをご参照ください。
試験範囲
- デジタル技術の基礎
- さくらインターネットのサービス
- 📍さくらのクラウドでのアーキテクチャ設計
さくらのクラウドでのアーキテクチャ設計─ネットワーク
目標:
さくらのクラウドで提供されるネットワークの特徴を把握し、要件に応じたシステム設計の考え方を理解する。
また、クラウドで実現可能なネットワーク構成のパターンを把握し、それぞれの構成がどのようなシナリオや要件に適しているのか理解する。
リージョンとゾーン
- リージョン
- データセンターがある地理的な単位
- 石狩、東京
- リージョン間は、数百~数千kmの地理的距離に応じた遅延あり
- ゾーン
- 石狩1~3、東京1~2、Sandbox
- リージョン内にある管理単位
- ゾーンごとに異なるデータセンターの場合もあるが同一のデータセンター内の場合もある
- ⚠️同一建物内にほかのゾーンがある場合、単一障害点(SPOF)となる
- 石狩リージョンの石狩第1~3は同じデータセンター建物内の別室や別階層
- 東京リージョンの東京第1、2ゾーンは異なる建物のデータセンター
- ゾーン間はリージョン間より低遅延
- DR観点では同一リージョン内は非推奨
- 同一ゾーンのみ可能な操作
- サーバとディスク接続、ISOイメージ接続、スイッチ接続
- アーカイブからディスク作成、アーカイブ作成
- 専有ホストでのサーバ起動
- ゾーン間でリソースを接続する場合
-
Sandboxゾーン
- コントロールパネルやAPIの操作を操作できるテスト用ゾーンでほかのゾーンとは独立している
- 作成されたリソースは本来の機能で動作しない
- 課金されない
- 操作方法の習熟や、リソース作成スクリプトのテストなどの目的で利用する想定
- 以下の機能は使用できない
- アーカイブ・ISOイメージへのアップロード
- さくらのVPS・サービス用ゾーンからアーカイブへのコピー
- サーバコンソールへのVNC接続・モニタ画面表示
- インターネットへのネットワーク接続
- ブリッジ接続
- ディスク暗号化
グローバルリソース
- ローカルルータ
- GSLB
- エンハンスドロードバランサ
- シンプル通知
バックボーン
- 対外接続は1.8Tbps
- データセンター間は10~100Gbps
- 国内の代表的なインターネットエクスチェンジ(IX)やインターネットサービスプロバイダ(ISP)と接続されている
- ネットワークが輻輳しないようさくらのクラウドによって監視
スイッチとルータ+スイッチ
- スイッチ
- プライベートネットワーク
- L2接続で、サーバ間をローカル通信
- 提供プランのオプションはない
- ルータ+スイッチ
- グローバルネットワーク
- インターンネット接続用
- グローバルIPアドレスが付与されている
- 16個(/28)~256個(/24)
- 25と24はコントロールパネルでは指定できない。問い合わせ必要
- 以下の5つは予約されている
- ネットワークアドレス
- ブロードキャストアドレス
- クラウド基盤でのゲートウェイアドレス×3個
- 16個(/28)~256個(/24)
- ルーティング用
- 広帯域
- ルータの帯域:100Mbps~10Gbps
- 10Gbpsはは東京2のみ
- ベストエフォート
- スタティックルート機能
- 20ブロックまで追加可能
パケットフィルタ機能
- 無料
- ルールをNICに設定する
- プロトコルは、TCP,UDP,ICMP,fragment,IP
- 条件に合致しなかった場合は、対象のNICに着信する
- すべて拒否する場合は、ルールの最後にすべて拒否ルールを入れること
- ステートレス
ロードバランサ / エンハンスドロードバランサ / GSLB
| ロードバランサ | GSLB | エンハンスドロードバランサ | |
|---|---|---|---|
| 構成 | DSR | DNSラウンドロビン | プロキシ |
| 設置場所 | スイッチ配下 | グローバルネットワーク | ← |
| 分散要素 | L4 | DNS名前解決Aレコード | HTTP(S)、TCP、L7 |
| 冗長化 | プランによる | ✅ | ✅ |
| セッション維持 | ❌ | ❌ | ✅ |
| 実サーバ | スイッチ配下 | 制限なし | さくらインターネット内 |
| 用途 | 単拠点でのスケールアウト | DR・BCPのリージョン間負荷分散 | HTTP(S)の負荷分散 |
ロードバランサ
- L4ロードバランサ、仮想アプライアンス
- TCPのみ
- 電源操作で、停止や再起動ができる
- ⚠️セッション維持機能なし
- ルータ+スイッチまたはスイッチに接続する
- ルータ+スイッチまたはスイッチ
- ロードバランサ1
- ロードバランサ2(冗長化)
- 実サーバ1
- 実サーバ2
- 実サーバ3
- 実サーバN(...最大40個)
- ルータ+スイッチまたはスイッチ
- DSR(Direct Server Return)方式
- スイッチに実サーバを並列接続する
- 提供プラン
- 標準
- 送信トラフィック:100Mbps
- 受信トラフィック:100Mbps
- コネクション数(セッション数):4,000コネクション
- 毎秒接続数:100cps程度
- ハイスペック
- 送信トラフィック:1Gbps
- 受信トラフィック:500Mbps
- コネクション数(セッション数):10,000コネクション
- 毎秒接続数:3,000cps程度
- 標準
- 冗長化
- シングル構成
- 冗長化構成:2台
- ヘルスチェック
- 実サーバの状態を定期的に監視
- ソーリーサーバ
- リソースサーバがダウンしているときに使う
- ロードバランサの作成
- ゲートウェイアドレスを指定(オプション)
- VIPアドレス、ポート番号、チェック間隔、ソーリーサーバのIPを指定
- 実サーバをIPアドレスを指定する
- 監視方法は、HTTP、HTTPS、TCP、PING
GSLB
Global Server Load Balancingで、DNSベースの広域負荷分散です。
- DNSラウンドロビン
- TTL:10秒(固定)
- TTLが短いので頻繁に問い合わせするため、応答が遅いときがある
- GSLBに接続可能な実サーバは最大12台
- FQDNと権威DNSサーバが必要
- グローバルIPアドレス
- IPv4またはIPv6
- 複数のリージョンやロケーションに分散
- FQDN:
site-XX.gslbXX.sakura.ne.jp - ⚠️セッション維持機能なし
- ヘルスチェック
- 実サーバの状態を定期的に監視
- 10~60秒間隔を指定
- HTTP、HTTPS、TCP、PING
- ダウンしているサーバのIPは返さなくなる
- ⚠️ただし、ダウン検知から最短でも30秒程度のラグがあるので、停止サーバに振り分けられる可能性がある
- ソーリーサーバ
- リソースサーバがダウンしているときに使う
- 重み付け応答
- 実サーバごと1~10000の整数値で重み値を設定可
- DNSクエリログの取得
エンハンスドロードバランサ
- 大規模なHTTP/HTTPSサービスに最適なロードバランサアプライアンス
- ほぼNginxのロードバランサ
- プロキシ方式
- L7
- HTTP, HTTPS, WebSocket, TCP
- SSLオフロード
- Let's Encrypt自動更新
- 振り分けアルゴリズム:least connection
- IPv4のみ
- ✅セッション維持機能あり(Cookie:sac-elb-session)
- デフォルトは無効
-
ルール機能
- URL振り分け
- 実サーバへ転送
- リダイレクト
- 固定レスポンス
- 最大20件まで
- 評価は登録順
- URL振り分け
-
オリジンガード機能
- 実サーバ側で、エンハンスドロードバランサからのみの接続許可するための情報を発行する機能
-
X-Origin-Guardヘッダーが発行される- トークンの値は文字列で指定する
- 実サーバでチェック
- 接続可能な実サーバは最大40台
- 無効、有効を設定可能
- 指定可能
- さくらのクラウド
- さくらのVPS
- さくらの専用PHY
- 指定不可
- さくらのレンタルサーバなど共有型サービス
- 他社のサービス
- サーバグループ
- サーバを用途に応じてグループ化できる
- 提供プラン
- CPS(Connection per Secount)
- 100 CPS~400,000CPS
- HTTPSの場合、CPS性能が1/10になる
- 1,000CPSプランでも100CPSになる。秒間100接続
- HTTPSの場合は、10倍のCPSを選ばないといけないので、コスト注意
- 設置先
- リージョン指定か、エニーキャスト
- エニーキャストは、東京・石狩の各リージョンに配置され、アクティブ/アクティブ
- 接続元から近いリージョンで処理される
- ⚠️作成後は変更できない
-
VIPフェイルオーバー機能
- DDoS攻撃などによりIPアドレスへの到達が失われ、疎通が取れなくなった場合に自動的に別のVIPアドレスに変更する機能
- デフォルトは無効で、作成時のみ有効化可能
- ⚠️作成後は変更できない
- FQDNを使ったアクセスになる
- モニタリングスイートとの連携
VPNルータ
VPNルータは、VPN(Virtual Private Network)環境を簡単に構築できる仮想ルータアプライアンス
- 提供プラン
- スタンダードプラン
- プレミアムプラン
- ハイスペックプラン
- 1600Mbpsと4000Mbpsがある
- NAT機能
- IPマスカレード(Forward NAT)
- ポートフォワーディング(Reverse NAT)
- スタティックNAT
- VPN機能
- サイト間VPN機能
- ログ
- VPNログ
- コントロールパネルで確認可能
- ファイルダウンロードが可能
- ファイアウォールログ
- 受信方向と送信方向のログ
- VPNログ
- Syslog転送機能
- ⚠️利用者でSyslogサーバを用意
| スタンダード | プレミアム | ハイスペック(1600) | ハイスペック(4000) | 備考 | |
|---|---|---|---|---|---|
| 上流側ネットワーク接続先 | 共有セグメント | ルータ+スイッチ | ルータ+スイッチ | ルータ+スイッチ | |
| スループット | 80Mbps | 800Mbps | 1600Mbps | 4000Mbps | |
| 回線帯域の追加機能 | × | ○ 250Mbps~5Gbpsに変更可 東京第2ゾーンのみ:250Mbps~10Gbpsに変更可 | ○ 250Mbps~5Gbpsに変更可 東京第2ゾーンのみ:250Mbps~10Gbpsに変更可 | ← | 全プランとも基本回線帯域は100Mbps(ベストエフォート) |
| 標準付属IPv4アドレス | 1個 | /28ブロック | ← | ← | プレミアム・ハイスペックプランは/27~/24ブロックへの変更が可能 |
| IPエイリアス機能 | × | ○ | ○ | ○ | |
| スタティックNAT機能 | × | ○ | ○ | ○ | |
| VRRP冗長化機能 | × | ○ | ○ | ○ | |
| IPv6対応 | × | × | × | × | |
| ポートフォワーディング | 100 | 200 | ← | ← | |
| IPアドレスエイリアス | 19 | ← | ← | ← | |
| スタティックNAT | 19 | ← | ← | ← | |
| DHCP スタティックマッピング | 100 | ← | ← | ← | |
| ファイアウォールルール数(受信方向と送信方向) | 60 | 200 | ← | ← | |
| リモートアクセスクライアント | 100 | 200 | ← | ← | |
| サイト間VPN 対向サイト | 4地点 | 20地点 | 50地点 | ← | |
| サブネットマスク範囲 | /16~/29 | ← | ← | ← | |
| スタティックルート | 30エントリ | ← | ← | ← |
リモートアクセスVPN機能
端末がインターネット経由でVPNルータと直接VPN接続します
- プロトコル
- PPTP:ユーザ名とパスワード認証
- 通信速度は速い
- L2TP/IPsec:事前共有鍵、鍵交換モードはアグレッシブモード(動的IP可能)
- セキュリティレベル高い
- L2TP v2のみ利用可能
- PPTP:ユーザ名とパスワード認証
サイト間VPN機能
拠点ルータがインターネット経由でVPNルータと直接VPN接続します
- プロトコル
- IPsec
- 認証方法
- 事前共有鍵、鍵交換モードはメインモード
- 固定のグローバルIPアドレス
- 動的IPアドレスが必要な場合は、マーケットプレイスのセキュリティアプライアンスの利用を検討する
- 接続するローカルネットワークのプリフィックス(192.168.0.0/24など)は重複しないこと
- 特殊タグ
- 閉域接続機能
- VPNルータからインターネット接続できなくなる
- 拠点ルータからのインターネット接続のみにして、通信制御や監査を一元管理したい場合
- NAT機能、ファイアウォール機能、リモートアクセスVPN機能は使用不可になる
- VPNルータからインターネット接続できなくなる
ファイアウォール機能
VPNルータで、受信方向と送信方向にルールを設定し、通信を制御する機能
- 登録されたルールを順に評価
- すべてのルールに一致しなければ、許可
- 拒否したい場合は、最後に拒否ルールを設定
- ステートフル
- 設定可能な最大ルール数は、VPNルータのプランに依存
ローカルルータ / ブリッジ接続 / ハイブリッド接続
| 会員ID | プロジェクト | ゾーン間接続 | 周辺サービス | 接続方法 | ユースケース例 | |
|---|---|---|---|---|---|---|
| ローカルルータ | 異なる | 異なる | - | ✅ | L3 | 相互接続、環境分離、運用監視環境 |
| ブリッジ接続 | 同じ | 同じ | ✅ | - | L2 | 冗長化 |
| ハイブリッド接続 | 同じ | 同じ | ✅ | ✅ | L2 | ブリッジ用途+ハウジングサービス、サービス間接続 |
ローカルルータ
さくらのクラウドのスイッチや、さくらのVPS・さくらの専用サーバ/さくらの専用サーバPHYに接続されたローカルスイッチを、会員IDやプロジェクトを超えて相互にL3接続するアプライアンス
- ローカルルータ同士をピア設定
- 両方のローカルルータで設定する
- 接続先のリソースIDとシークレットキーを指定する
- 1Gbpsベストエフォート
ブリッジ接続
異なるゾーン間やさくらの周辺サービスをL2接続する。複数ゾーンを接続し、DR構成を小築可能。
- 同一のCIDR
- ブリッジにはスイッチを接続する
- 同一プロジェクト内のスイッチのみ接続可能
- 複数のスイッチを接続できない
- スイッチも1つのブリッジにしか接続できない
- ブリッジを削除する場合は、スイッチ接続を解除する
ハイブリッド接続
異なるゾーン間、ハウジングサービス、さくらの周辺サービスを接続する
- 接続可能
- さくらのクラウド
- 専用サーバPHY
- さくらのVPS
- SINET接続サービス
- ハウジング
- 異なるCIDR
- 接続を冗長化する場合は3つの方式
- マルチシャーシLAG(Static)
- マルチシャーシLAG(LACP)
- Active-Standby
- オンプレ
- 同一プロジェクト内のスイッチのみ接続可能
- 複数のスイッチを接続できない
- 解約は書面の提出が必要
- ブリッジ接続をハイブリッド接続に変更可能
接続マップ表示
ネットワーク接続の状況をグラフィカルに確認できる機能
サービス間接続
さくらのクラウドと以下のサービスを閉域網で接続する機能
- AWS
- AWS Direct Connectを利用する
- Azure
- Google Cloud
- SINET
- ハイブリッド接続が必要
- LGWAN
- 石狩リージョンのみ
- オンプレミス
プライベートリンク:
- さくらのクラウドのデータセンターにラックを借りて危機を設置
- L3ゲートウェイとして機能する
- 利用者が設置
- ハイブリッド接続が必要
ダイレクトアクセス:
- 利用者の閉域網に接続するONUをさくらインターネットが専用ラックへ設置代行する
- ハイブリッド接続が必要
DNSアプライアンス
さくらのクラウドで利用可能な権威DNSサーバです。
- 冗長化されている
- 権威DNSとして利用、キャッシュDNSとしての利用不可
- プライマリDNSとして利用
- ゾーン転送非対応
- TTLのデフォルトは3600秒
- レコード
- SOAやSPFレコードの登録不可
シンプル監視
グローバルネットワークからネットワーク監視と通知
- 監視方法
- ping
- tcp
- http(s)
- ssh
- snmp
- 監視間隔:1~60分
- 再試行回数、再試行間隔
- 通知
- メール
- Webhook
- Slack、Microsoft Teamsなど
- SSL証明書有効期限アラート
- 以下が固定値で変更不可
- チェック間隔:10分
- 再試行間隔:30分
- 再試行回数:5回
- 以下が固定値で変更不可
- ステータス
- 監視中
- 一時停止
- ダウン