■目次
さくらのクラウドに登録サーバ追加例構築例メモテスト
■さくらのクラウドに登録
さくらのクラウド http://cloud.sakura.ad.jp/ コントロールパネル https://secure.sakura.ad.jp/cloud/ 基本的な設定|さくらのクラウド http://support.sakura.ad.jp/manual/cloud/basic/ クラウドってなに? - 「楽しいさくらのクラウド」 http://knowledge.sakura.ad.jp/beginner/1090/ さくらのクラウドの料金シミュレーション|さくらのクラウド https://cloud.sakura.ad.jp/payment/simulation/ ■障害情報 さくらのサポート情報 https://help.sakura.ad.jp/hc/ja 現在発生中の情報(12時間前後) - さくらのサポート情報 https://help.sakura.ad.jp/hc/ja/articles/206091882
■サーバ追加例
コントロールパネルにログイン アカウントを選択(複数ある場合) 「さくらのクラウド(IaaS)」を選択 メニュー左上で「東京第1ゾーン」を選択 メニュー右上で「+追加」を選択 サーバ追加 ディスクイメージ: CentOS 6.9 64bit サーバプラン: 4GB / 2仮想コア ディスクプラン: 20GB / SSD 接続先のネットワーク: インターネット 管理ユーザのパスワード: 任意のものを設定 公開鍵: なし ホスト名: refirio.net 「作成」ボタンを押すと確認画面が表示される。作成すると2〜3分程度で完了した 以降は通常通りサーバ設定する タイムゾーンなど、もとから設定済みのものもある
■構築例
サーバを作ってみよう http://knowledge.sakura.ad.jp/sacloud/1126/ ■Web1 アーカイブ:[public] 20GB CentOS 5.11 64bit(基本セット) 管理ユーザのパスワード:rootパスワード ホスト名:web1.example.com 公開鍵:共通鍵 名前:Web1 説明:Webサーバ1。 タグ:Web アイコン:CentOS MySQLはインストールせず ■DB1 アーカイブ:[public] 20GB CentOS 5.11 64bit(基本セット) 管理ユーザのパスワード:rootパスワード ホスト名:db1.example.com 公開鍵:なし 名前:DB1 説明:DBサーバ1。 タグ:DB アイコン:CentOS ApacheやPHPはインストールせず MySQLをインストールし、Webサーバからアクセスするためのユーザを作成、ファイヤーウォールも開放する GRANT ALL PRIVILEGES ON test.* TO webmaster@localhost IDENTIFIED BY '1234'; GRANT ALL PRIVILEGES ON test.* TO webmaster@203.0.113.1 IDENTIFIED BY '1234'; mysql -h 203.0.113.2 -u webmaster -p #MySQLを許可 -A MY-FIREWALL -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT WebサーバからDBサーバへSSHアクセス(WWW経由) # ssh root@203.0.113.2 WebサーバとDBサーバにNICを追加する http://knowledge.sakura.ad.jp/beginner/1220/ # ifconfig -a スイッチを作成する http://knowledge.sakura.ad.jp/beginner/1272/ Web1 # ifconfig eth1 192.168.0.1/24 DB1 # ifconfig eth1 192.168.0.2/24 Web1 # ping 192.168.0.2 DB1 # ping 192.168.0.1 Web1 # vi /etc/sysconfig/network-scripts/ifcfg-eth1
DEVICE=eth1 BOOTPROTO=static ONBOOT=yes TYPE="Ethernet" NETMASK=255.255.255.0 IPADDR=192.168.0.1
DB1 # vi /etc/sysconfig/network-scripts/ifcfg-eth1
DEVICE=eth1 BOOTPROTO=static ONBOOT=yes TYPE="Ethernet" NETMASK=255.255.255.0 IPADDR=192.168.0.2
WebサーバからDBサーバへSSHアクセス(LAN経由) Web1 # ssh root@192.168.0.2 WebサーバからDBサーバへMySQLアクセス(LAN経由) DB1 GRANT ALL PRIVILEGES ON test.* TO webmaster@192.168.0.1 IDENTIFIED BY '1234'; Web1 mysql -h 192.168.0.2 -u webmaster -p DB1 #Web1からのアクセスを許可 sshd: 192.168.0.1 ■構成 グローバルネットワーク │ NIC1(203.0.113.1) NIC1(203.0.113.2) Web1 DB1 NIC2(192.168.0.1) NIC2(192.168.0.2) │ └─────Switch1 ──────┘
■メモ
Webサーバは普通に作成できた。 ホスト名が web1.example.com の場合、rootからメールは root@web1.example.com から来る サーバを作成するときのホスト名をドメイン名にすれば、任意のドメインから来たことにできる DBサーバなど、直接インターネットに繋がっていないサーバでのyumはどうする? ハードレベルでインターネットから切断するとyum updateとかが面倒だけど、DBサーバに常にインターネット経由でアクセスするのも怖い。 NICなしでDBサーバを作成。 インターネットに接続させた状態でセットアップして、セットアップが終わったらファイヤーウォールでインターネットから遮断。 NICとかの設定はそのまま。 DBサーバのSSHやMySQLにログインする場合、Webサーバ経由のLAN経由で接続する。 サービス仕様・料金 http://cloud.sakura.ad.jp/specification.php 料金シミュレーション http://cloud.sakura.ad.jp/payment/simulation.php
■テスト
>サーバ運用代行として、専用サーバをお借りしております。 >クライアントからの依頼で、第三者のセキュリティサービスから、 >該当の専用サーバに対して >セキュリティーテストをすると通知されております。 >(ポートチェックや自動化されたブラックボックステストなど) > >必要はないと思ったのですが念のための確認です。 >AWSやAZUREなどは、そういったテストを行う場合は >基本的には申請して許可を取る必要がありますが >「専用サーバ」では特にそのような必要はなくて大丈夫でしょうか。 > >参考までに、「さくらのクラウド」での対応もお教え下さい。 セキュリティ診断の実施についてご連絡いただき、ありがとうございます。 ご利用中の専用サーバに対して、セキュリティ診断を実施いただくことは 問題ございません。また、事前のご連絡も特に不要でございます。 しかしながら、疑似攻撃等を行われた際に弊社管理の通信機器などに 影響が発生し、他ユーザのサービス運用に支障をきたした場合は、 アクセス元からの通信を制限させていただくことがございます。 なお、さくらのクラウドにつきましても同様の対応となります。 円滑なサービス運営のため、何卒、ご理解を賜りますようお願い申し上げます。