Service Function Chain(SFC)のシナリオ
- 印刷する
- PDF
Service Function Chain(SFC)のシナリオ
- 印刷する
- PDF
Article Summary
Share feedback
Thanks for sharing your feedback!
VPC環境で利用できます。
NAVERクラウドプラットフォームの Virtual Private Cloud(VPC)を利用した Service Function Chain(以下、SFC)は、顧客によって様々な方法で構築できます。
SFC構成のために、Transit VPC, Endpoint Route Table, Service Function Chain, Transit VPC Connect, Inline Load Balancer, Public IPが使用されます。
使用シナリオは次の通りです。
SFCとセキュリティアプライアンスを利用したセキュリティ層構成
SFCとセキュリティアプライアンスを利用したセキュリティ層構成シナリオは、一般的なシステムに多くの機能を持つセキュリティアプライアンスを適用する場合にお勧めします。
このシナリオを実装するための手順は次の通りですの通りです。
1. VPC作成
2. Subnet作成
3. サーバ作成
4. Target Groupの作成
5. Load Balancer作成
6. Transit VPC Connect作成
7. Service Function Chain作成
8. Endpoint Route Tableの作成と設定
9. Route Tableの作成と設定
10. Public IP接続設定
1. VPC作成
まず、NAVERクラウドプラットフォームコンソールで VPCを作成します。コンソールの Services > Networking > VPC メニューから作成できます。
一般 VPC 1つと Transit VPC 1つを作成します。
2. Subnet作成
VPCの作成が完了したら、実際にネットワークを使用できるように VPC内に Subnetを構築します。必要な Subnetは次の通りです。
- 一般 VPC
- Public一般 Subnet: セキュリティアプライアンスデバイスおよび一般サーバ接続用の Bastionサーバ
- Private一般 Subnet: サービス用サーバ
- Public LB Subnet: サービス用 Load Balancer
- Transit VPC
- Private一般 Subnet: セキュリティアプライアンス MGMT
- Public SFC Subnet: セキュリティアプライアンスサービス NIC
- Private LB Subnet: Inline Load Balancer
3. サーバ作成
作成された VPC内に配置するサーバを作成します。サーバの作成時に予め作成した Transit VPCと一般 VPCを選択した後、ACGを入力します。
詳細は、サーバ作成方法ガイドをご参照ください。
一般サーバ
- コンソールの Compute > Server > サーバ作成から希望するイメージを選択し、作成
セキュリティアプライアンス
- コンソールの Compute > Server > サーバ作成 > サーバイメージ選択から [3rd partyイメージ] タブで希望するベンダーのイメージを選択
- Network Interface設定時、サービスのために Externalと Internalの2つの追加 Network Interfaceを作成し、追加された Network Interfaceは SFC Subnetに割り当て
- 推奨ストレージ容量はベンダーによって異なり、ベンダーに別途お問い合わせ
- Inline Load Balancerを利用する場合、Health Checkのためのポートオープンが必要
- 作成後、2つの追加 Network Interfaceにセキュリティアプライアンス独自のルーティング設定が必要
4. Target Group作成
Inline Load Balancerで使用する Target Groupを作成します。
Targetタイプを Transit VPC Serverに選択し、セキュリティアプライアンスでサービス用に追加された2つの Network Interfaceを Targetに追加します。
SFCは単方向に動作するため、双方向通信のために Inline Load Balancer用 Target Groupは Ingress、Egress用にそれぞれ作成してください。
詳しい作成方法は、Target Group作成方法ガイドをご参照ください。
Application Load Balancer用 Target Group
- コンソールの Networking > Load Balancer > Target Group > Target Group作成 から希望するイメージを選択し、作成
Inline Load Balancer用 Target Group (Ingress用)
- コンソールの Networking > Load Balancer > Target Group > Target Group作成 から Targetタイプは Transit VPC Server、プロトコルは IPアドレスを選択
- Targetの追加設定時、セキュリティアプライアンスに追加した External Network Interfaceを設定
Inline Load Balancer用 Target Group (Egress用)
- コンソールの Networking > Load Balancer > Target Group > Target Group作成 から Targetタイプは Transit VPC Server、プロトコルは IPアドレスを選択
- Targetの追加設定時、セキュリティアプライアンスに追加した Internal Network Interfaceを設定
5. Load Balancer作成
一般 VPCで動作する Application Load Balancerと Transit VPCで動作する Inline Load Balancerを作成します。
SFCは単方向に動作するため、双方向通信のために Inline Load Balancerは Ingress, Egress用にそれぞれ作成してください。詳しい作成方法は、Inline Load Balancerガイドをご参照ください。
Application Load Balancer用 Target Group
- コンソールの Networking > Load Balancer > ロードバランサ作成 からアプリケーションロードバランサを作成
Inline Load Balancer用 Target Group (Ingress用)
- コンソールの Networking > Load Balancer > ロードバランサ作成 からインラインロードバランサを作成
- Inline Load Balancer用 Target Group (Ingress用)を追加
Inline Load Balancer用 Target Group (Egress用)
- コンソールの Networking > Load Balancer > ロードバランサ作成 からインラインロードバランサを作成
- Inline Load Balancer用 Target Group(Egress用)を追加
6. Transit VPC Connect作成
一般 VPCと Transit VPCを接続する Transit VPC Connectを作成します。
詳しい作成方法は、Transit VPC Connectガイドをご参照ください。
7. Service Function Chain作成
Transit VPC内でネットワークフローを定義する Service Function Chainを作成します。SFCは単方向に動作するため、双方向通信のために Ingress、Egress用にそれぞれ作成してください。詳しい作成方法は、Service Function Chain(SFC)作成方法ガイドをご参照ください。
Ingress用 Service Function Chain
Transit VPCと Zoneを選択
目的地 Subnetに一般 VPC CIDR帯域を追加
Chainに次のように設定
順番 タイプ インスタンス サブネット Ingress NIC 1 LoadBalancer Ingress用 Inline LB 自動入力 - 2 TransitVpcConnect 作成した TransitVpcConnect - -
Egress用 Service Function Chain
Transit VPCと Zoneを選択
目的地 Subnetに0.0.0.0/0帯域を追加
Chainに次のように設定
順番 タイプ インスタンス サブネット Ingress NIC 1 LoadBalancer Egress用 Inline LB 自動入力 - 2 InternetGateway - - -
8. Endpoint Route Tableの作成と設定
Internet Gatewayと Transit VPC Connectに Ingress Routeを設定できる Endpoint Route Tableを作成および設定します。詳しい作成および設定方法は、Endpoint Route Tableガイドをご参照ください。
Internet Gateway用 Endpoint Route Table
関連 Endpointタイプは IGWを選択して作成
作成された Endpoint Route Tableに Route Tableを設定
目的地 Target 一般 VPC CIDR帯域 Ingress用 SFC 関連 Endpoint設定は IGWを選択
Transit VPC Connect用 Endpoint Route Table
関連 Endpointタイプは Transit VPC Connectを選択して作成
作成された Endpoint Route Tableに Route Tableを設定
目的地 Target 0.0.0.0/0 Egress用 SFC 関連 Endpoint設定は Transit VPC Connectを選択
参考
次のステップからはネットワークフローが Transit VPCに変更されます。一般 VPCでサービスが正常に動作することを確認し、SFC設定を続行します。
9. Route Tableの作成と設定
サーバ接続用 Bastionサーバを除く一般 VPCのネットワークフローを Transit VPCに変更するために Route Tableを作成し、設定します。詳しい作成方法は、Route Table作成方法ガイドをご参照ください。
一般 VPC
Public一般 Subnet Route Table: すべての帯域(0.0.0.0/0)を IGWに設定、Transit VPC帯域のみ Transit VPC Connectに設定
目的地 Targetタイプ Target名 Transit VPC CIDR帯域 TRANSITVPCCONNECT 作成した TransitVpcConnect 0.0.0.0/0 IGW INTERNET GATEWAY 一般 VPC CIDR帯域 LOCAL LOCAL Private一般 Subnet Route Table: すべての帯域(0.0.0.0/0)を Transit VPC Connectに設定
目的地 Targetタイプ Target名 0.0.0.0/0 TRANSITVPCCONNECT 作成した TransitVpcConnect 一般 VPC CIDR帯域 LOCAL LOCAL Public LB Subnet Route Table: 今後すべての帯域(0.0.0.0/0)を Transit VPC Connectに設定
| 目的地 | Targetタイプ | Target名 |
|---|---|---|
| 0.0.0.0/0 | TRANSITVPCCONNECT | 作成した TransitVpcConnect |
| 一般 VPC CIDR帯域 | LOCAL | LOCAL |
Transit VPC
Private一般 Subnet Route Table: 一般 VPCのサーバ接続用 Subnet帯域のみ Transit VPC Connectに設定
目的地 Targetタイプ Target名 一般 VPCのサーバ接続用 Subnet帯域 TRANSITVPCCONNECT 作成した TransitVpcConnect Transit VPC CIDR帯域 LOCAL LOCAL
10. Public IP接続設定
Application Load Balancerが持っているパブリック IPアドレスを、Public IP接続設定を通じて Transit VPCに接続します。詳しい接続方法は、Transit VPC接続設定ガイドをご参照ください。
この記事は役に立ちましたか?