インターネット接続型クラスタ
- 更新日2026-05-15
- 5分で読める
Enter a short description of your concept here (optional).
インターネット接続型クラスタのデプロイメントでは、Kubernetesクラスタインフラストラクチャをプライベートサブネットに維持しながら、パブリックインターネットからSystemLink Enterpriseアプリケーションにアクセスできるようになります。このアーキテクチャは、以下を必要とする組織に適しています。
- 分散チームへのリモートアクセス
- 地理的に分散したテストシステムの管理
インターネット接続型デプロイメントとは
インターネット接続型デプロイメントでは、ユーザはHTTPSを介してパブリックインターネットからSystemLink Web UIおよびAPIにアクセスします。「インターネット接続型」という用語は、クラスタインフラストラクチャそのものではなく、アプリケーションのアクセシビリティを指します。Kubernetesクラスタノード、データベース、および内部サービスは、インターネットに直接公開されることなくプライベートサブネットに残ります。
アーキテクチャの概要
インターネット接続型SystemLinkの一般的なデプロイメントでは、以下のネットワークアーキテクチャが使用されます。
- パブリックサブネット: インターネットからのHTTPSトラフィックを受け入れるホストロードバランサ (AzureのApplication Gateway、AWSのApplication Load Balancer)。
- プライベートサブネット: Kubernetesクラスタノード、データベース、およびインターネットに直接アクセスできないすべてのSystemLinkサービスをホストします。
- NATゲートウェイ: 更新のダウンロード、コンテナイメージのプル、外部サービスとの通信を行うためのクラスタノードのアウトバウンドインターネット接続を提供します。
- イングレスコントローラ: Kubernetesクラスタで実行し、ロードバランサからSystemLinkサービスにトラフィックを経路設定します。
一般的なトラフィックフローのステージ:
- ユーザはHTTPS経由でパブリックDNS名 (systemlink.example.comなど) に接続します。
- DNSはパブリックサブネットのロードバランサのパブリックIPアドレスに解決します。
- ロードバランサはTLS終端を実行し、プライベートサブネット内のKubernetesイングレスコントローラにトラフィックを転送します。
- イングレスコントローラは、要求をプライベートサブネット内の適切なSystemLinkサービスポッドに経路設定します。
- サービスは同じパスで応答します。
サブネットアーキテクチャと構成の詳細については、「AWS VPC」または「Azure VNet」を参照してください。
セキュリティの仕様
NIでは、インターネット接続型デプロイメントには、プライベートデプロイメントで使用される以外の追加のセキュリティ対策を推奨しています。
NIでは、SystemLinkへのすべてのインターネットトラフィックで、有効なTLS証明書を持つHTTPSを使用することを強く推奨します。NIでは、HTTPエンドポイントをパブリックインターネットに公開しないことを推奨します。
- 証明書の取得: クラウドプロバイダから管理証明書 (AWS Certificate Manager、Azure Key Vault Certificates) を使用するか、信頼できる認証機関から証明書を取得します。
- TLS終端: 証明書管理を簡素化するために、NIではロードバランサでTLS終端を構成することを推奨します。
NIでは、一般的なWeb攻撃から保護するために、Webアプリケーションファイアウォールをデプロイすることを推奨します。クラウドプロバイダのWAFサービス (AWS WAF、Azure Web Application Firewall) または他社製のWAFソリューションを使用できます。
DNS構成
SystemLinkエンドポイントのパブリックDNSゾーンにDNSレコードを作成します。Web UIとAPIの構成については「レイヤ7 (アプリケーション) イングレス」を、Salt Masterの構成については「レイヤ4 (TCP) イングレス」を参照してください。OIDCリダイレクトURI構成については、「IDおよびアクセス管理」を参照してください。
関連コンテンツ
- SystemLink Enterpriseのホストおよび操作を準備する
SystemLink Enterpriseをインストールする前に、以下のネットワーク、コンピューティング、ストレージ、セキュリティインフラストラクチャが整っていることを確認してください。
- パブリックサブネットおよびプライベートサブネット
パブリックサブネットとプライベートサブネットは、ネットワークセグメント化とセキュリティ分離を可能にするクラウド環境の基本的なネットワーク構成要素です。これらのサブネットを適切に構成する方法を理解することは、AWSまたはAzureでSystemLink Enterpriseを安全にデプロイするために不可欠です。
- AWS VPC
仮想プライベートクラウド (VPC) は、AWS内の独立したネットワーク環境です。
- Azure VNet
VNet (Azure Virtual Network) は、Azure内の独立したネットワーク環境です。
- 企業ネットワーク接続型クラスタ
企業ネットワーク接続型クラスタのデプロイメントでは、SystemLinkが組織のプライベートネットワークインフラストラクチャと統合され、安全なアクセスとオンプレミスシステムとの安全な統合が実現します。
- ネットワークとTLS
SystemLink EnterpriseのネットワークおよびTLS (Transport Layer Security) を構成する方法について学びます。
- DNSおよびネットワークセキュリティに関する注意事項
SystemLink Enterpriseは、Kubernetesクラスタでホストされています。SystemLink Enterpriseはテストシステムに接続し、監視および解析用のデータを集約します。
- プライベート認証局
プライベート認証機関 (CA) を使用している場合は、SystemLink Enterpriseを構成してプライベートCAを使用して信頼を確立する必要があります。
- レイヤ7 (アプリケーション) イングレス
レイヤ7イングレスは、WebサービスのアプリケーションレベルのHTTPSロードバランシングとルーティングを提供します。SystemLink Enterpriseは、レイヤ7イングレスを使用して、Web UIのエンドポイントとAPIアクセスのエンドポイントの2つの別々のイングレスエンドポイントを介してHTTPベースのサービスを公開します。
- AWSのレイヤ7イングレス
このセクションでは、Amazon EKSにデプロイされたSystemLink Enterprise用にAWS Application Load Balancer (ALB) を使用したレイヤ7イングレスの構成について説明します。ALBは、SystemLink UIおよびAPIホストのHTTPSロードバランシングおよびルーティングを提供します。
- AWSグローバルイングレス構成
SystemLink Enterpriseは、UIエンドポイントとAPIエンドポイントに対して別々のイングレスリソースを構成します。Helm構成ファイルで以下の注釈を構成します。
- Azureのレイヤ7イングレス
このセクションでは、Azure Kubernetes Service (AKS) にデプロイされたSystemLink Enterprise用のAzure Application Gatewayを使用したレイヤ7イングレス構成について説明します。Application Gatewayは、SystemLink UIおよびAPIホストのHTTPSロードバランシングおよびルーティングを提供します。
- Azureグローバルイングレス構成
SystemLink Enterpriseは、UIエンドポイントとAPIエンドポイントに対して別々のイングレスリソースを構成します。Helm構成ファイルで以下の注釈を構成します。
- Traefikのレイヤ7イングレス
SystemLink Enterpriseは、Traefik Hub API Gatewayをレイヤ7イングレスコントローラとしてサポートします。Traefik Hubは、SystemLink UIおよびAPIホストのHTTPSロードバランシングおよび経路設定を提供します。
- レイヤ4 (TCP) イングレス
レイヤ4イングレスは、直接TCP接続を必要とするサービスにTCPレベルのロードバランシングを提供します。SystemLink Enterpriseは、Salt Masterサービスにレイヤ4イングレスを使用します。
- AWSでSalt通信を有効にする
SystemLink EnterpriseはSaltを使用してテストシステムを管理します。Saltは、ポート4505および4506でTCPベースのプロトコルを使用してテストシステムと通信します。このセクションでは、Salt Masterサービスでレイヤ4 (TCP) イングレスにAWS Network Load Balancer (NLB) を使用する方法について説明します。
- AzureでSalt通信を有効にする
SystemLink EnterpriseはSaltを使用してテストシステムを管理します。Saltは、ポート4505および4506でTCPベースのプロトコルを使用してテストシステムと通信します。このセクションでは、Salt Masterサービスでレイヤ4 (TCP) イングレスにAzure Load Balancerを使用する方法について説明します。