企業ネットワーク接続型クラスタ
- 更新日2026-05-15
- 7分で読める
企業ネットワーク接続型クラスタのデプロイメントでは、SystemLinkが組織のプライベートネットワークインフラストラクチャと統合され、安全なアクセスとオンプレミスシステムとの安全な統合が実現します。
企業ネットワーク接続型クラスタのデプロイメントでは、プライベート接続を介してSystemLink Enterpriseを組織の既存のネットワークインフラストラクチャに統合します。このアーキテクチャは、以下のことを必要とする組織に適しています。
- 内部ユーザへのアクセスを提供する
- オンプレミスシステムと統合する
- SystemLinkを企業のセキュリティ境界内で維持する
企業ネットワーク接続型デプロイメントとは
企業ネットワーク接続型のデプロイメントでは、ユーザはパブリックインターネットではなく、組織のプライベートネットワークを介してSystemLinkにアクセスします。企業ネットワークとクラウドホストKubernetesクラスタ間の接続には、VPN、AWS Direct Connect、またはAzure ExpressRouteなどのプライベート接続ソリューションを使用します。クラスタノード、データベース、およびサービスを含むすべてのSystemLinkインフラストラクチャは、インターネットに直接アクセスすることなくプライベートサブネットに残ります。
アーキテクチャの概要
一般的な企業ネットワーク接続型SystemLinkのデプロイメントでは、以下のネットワークアーキテクチャが使用されます。
- プライベートサブネット: Kubernetesクラスタノード、データベース、ロードバランサ、およびインターネットに直接アクセスできないすべてのSystemLinkサービスをホストします。
- プライベート接続: VPN、AWS Direct Connect、またはAzure ExpressRouteは、企業ネットワークとクラウドVPC/VNet間の暗号化接続を提供します。
- NATゲートウェイ: クラスタノードが更新をダウンロードしてコンテナイメージをプルするためのアウトバウンドインターネット接続を提供、またはVPC/VNetエンドポイントを使用してクラウドサービスにプライベート接続します。
- 内部ロードバランサ: プライベートIPアドレスを使用して、企業ネットワークからSystemLinkサービスにトラフィックを経路設定します。
一般的なトラフィックフローのステージ:
- 企業ネットワーク上のユーザが内部DNS名に接続します。例: systemlink.example.com
- 企業DNSは、クラウドVPC/VNetの内部ロードバランサのプライベートIPアドレスに解決します。
- VPNまたはクラウドへの専用接続を介したトラフィックフロー。
- 内部ロードバランサがプライベートサブネットのKubernetesイングレスコントローラにトラフィックを転送します。
- イングレスコントローラは要求を適切なSystemLinkサービスポッドに経路設定します。
- サービスは同じパスで応答します。
サブネットアーキテクチャと構成の詳細については、「AWS VPC」または「Azure VNet」を参照してください。
ハイブリッドアーキテクチャ
組織は、パブリックおよびプライベートアクセスパターンを組み合わせたハイブリッドアーキテクチャを実装して、特定のセキュリティおよび特定のアクセシビリティ要件を満たすことができます。
たとえば、プライベートSalt MasterでパブリックWeb UIを使用する場合です。ここでは、Web UIとAPIエンドポイントをインターネットアクセス用に公開し、Salt Masterロードバランサをプライベートエンドポイントに保持し、企業ネットワーク内のシステムへのSalt minion接続を制限します。
ハイブリッドアーキテクチャを実装する場合は、各アクセスパターンに適したセキュリティ対策を適用します。
セキュリティの仕様
NIでは、インターネット接続型のデプロイメントとは異なり、企業ネットワーク接続型のデプロイメントに対して以下のセキュリティ対策を推奨しています。
NIでは、企業ユーザとSystemLink間のトラフィックにTLSを使用することを推奨します。
- 証明書の取得: 企業の認証機関からの証明書、クラウドプロバイダからのマネージド証明書 (AWS Certificate Manager、Azure Key Vault Certificates) を使用するか、信頼できる公的認証機関から証明書を取得します。
- TLS終端: 証明書管理を簡素化するために、NIではロードバランサでTLS終端を構成することを推奨します。
NIでは、プライベート接続用に以下のセキュリティ制御を構成することを推奨します。
- セキュリティグループ: セキュリティグループ (AWS) またはネットワークセキュリティグループ (Azure) を構成して、企業ネットワークIP範囲からのトラフィックのみを許可します。
- 経路テーブル: VPNまたは専用接続を介して企業ネットワークトラフィックを送信するように経路テーブルを構成します。
- プライベートエンドポイント: AWS PrivateLinkまたはAzure Private Linkを使用して、インターネットを経由せずにクラウドサービス (S3、ECR、Key Vault) にアクセスします。
プライベート接続オプション
企業ネットワークをクラウドホストSystemLinkクラスタに接続するには、複数のプライベート接続オプションを使用できます。組織のネットワークアーキテクチャに基づいて選択します。
一般的な接続オプションには以下が含まれます。
- VPN接続: AWS Site-to-Site VPNまたはAzure VPN Gateway (インターネット上での暗号化接続用)
- 専用接続: AWS Direct ConnectまたはAzure ExpressRoute (高帯域幅および低レイテンシの専用プライベートネットワーク接続)
- 一元化された接続ハブ: 複雑なマルチVPC/VNet環境を管理するためのAWS Transit GatewayまたはAzure Virtual WAN
- VPC/VNetピアリング: クラウド間接続のためのクラウド仮想ネットワーク間の直接接続
- 他社製ソリューション: Aviatrixなどのマルチクラウドネットワーキングプラットフォームにより、クラウドプロバイダ間の統合管理を実現
DNS構成
AWSのRoute 53プライベートホストゾーン、AzureのAzureプライベートDNSなど、企業DNSまたはクラウドホストプライベートDNSゾーンでSystemLinkエンドポイントのDNSレコードを作成します。Web UIとAPIの構成については「レイヤ7 (アプリケーション) イングレス」を、Salt Masterの構成については「レイヤ4 (TCP) イングレス」を参照してください。OIDCリダイレクトURI構成については、「IDおよびアクセス管理」を参照してください。
関連コンテンツ
- SystemLink Enterpriseのホストおよび操作を準備する
SystemLink Enterpriseをインストールする前に、以下のネットワーク、コンピューティング、ストレージ、セキュリティインフラストラクチャが整っていることを確認してください。
- パブリックサブネットおよびプライベートサブネット
パブリックサブネットとプライベートサブネットは、ネットワークセグメント化とセキュリティ分離を可能にするクラウド環境の基本的なネットワーク構成要素です。これらのサブネットを適切に構成する方法を理解することは、AWSまたはAzureでSystemLink Enterpriseを安全にデプロイするために不可欠です。
- AWS VPC
仮想プライベートクラウド (VPC) は、AWS内の独立したネットワーク環境です。
- Azure VNet
VNet (Azure Virtual Network) は、Azure内の独立したネットワーク環境です。
- インターネット接続型クラスタ
Enter a short description of your concept here (optional).
- ネットワークとTLS
SystemLink EnterpriseのネットワークおよびTLS (Transport Layer Security) を構成する方法について学びます。
- DNSおよびネットワークセキュリティに関する注意事項
SystemLink Enterpriseは、Kubernetesクラスタでホストされています。SystemLink Enterpriseはテストシステムに接続し、監視および解析用のデータを集約します。
- プライベート認証局
プライベート認証機関 (CA) を使用している場合は、SystemLink Enterpriseを構成してプライベートCAを使用して信頼を確立する必要があります。
- レイヤ7 (アプリケーション) イングレス
レイヤ7イングレスは、WebサービスのアプリケーションレベルのHTTPSロードバランシングとルーティングを提供します。SystemLink Enterpriseは、レイヤ7イングレスを使用して、Web UIのエンドポイントとAPIアクセスのエンドポイントの2つの別々のイングレスエンドポイントを介してHTTPベースのサービスを公開します。
- AWSのレイヤ7イングレス
このセクションでは、Amazon EKSにデプロイされたSystemLink Enterprise用にAWS Application Load Balancer (ALB) を使用したレイヤ7イングレスの構成について説明します。ALBは、SystemLink UIおよびAPIホストのHTTPSロードバランシングおよびルーティングを提供します。
- AWSグローバルイングレス構成
SystemLink Enterpriseは、UIエンドポイントとAPIエンドポイントに対して別々のイングレスリソースを構成します。Helm構成ファイルで以下の注釈を構成します。
- Azureのレイヤ7イングレス
このセクションでは、Azure Kubernetes Service (AKS) にデプロイされたSystemLink Enterprise用のAzure Application Gatewayを使用したレイヤ7イングレス構成について説明します。Application Gatewayは、SystemLink UIおよびAPIホストのHTTPSロードバランシングおよびルーティングを提供します。
- Azureグローバルイングレス構成
SystemLink Enterpriseは、UIエンドポイントとAPIエンドポイントに対して別々のイングレスリソースを構成します。Helm構成ファイルで以下の注釈を構成します。
- Traefikのレイヤ7イングレス
SystemLink Enterpriseは、Traefik Hub API Gatewayをレイヤ7イングレスコントローラとしてサポートします。Traefik Hubは、SystemLink UIおよびAPIホストのHTTPSロードバランシングおよび経路設定を提供します。
- レイヤ4 (TCP) イングレス
レイヤ4イングレスは、直接TCP接続を必要とするサービスにTCPレベルのロードバランシングを提供します。SystemLink Enterpriseは、Salt Masterサービスにレイヤ4イングレスを使用します。
- AWSでSalt通信を有効にする
SystemLink EnterpriseはSaltを使用してテストシステムを管理します。Saltは、ポート4505および4506でTCPベースのプロトコルを使用してテストシステムと通信します。このセクションでは、Salt Masterサービスでレイヤ4 (TCP) イングレスにAWS Network Load Balancer (NLB) を使用する方法について説明します。
- AzureでSalt通信を有効にする
SystemLink EnterpriseはSaltを使用してテストシステムを管理します。Saltは、ポート4505および4506でTCPベースのプロトコルを使用してテストシステムと通信します。このセクションでは、Salt Masterサービスでレイヤ4 (TCP) イングレスにAzure Load Balancerを使用する方法について説明します。