ネットワーク接続とアクセス性
このセクションでは、DBaaS環境でアプリケーションがデータベースに接続する方法(エンドポイント、アクセスモデル、ネットワークセキュリティ制御メカニズムを含む)を説明します。
データベース接続エンドポイント
データベースエンドポイントは、アプリケーションがデータベースに接続するために提供されるアクセスポイントです。デプロイメントモデルに応じて、エンドポイントは以下を指します。
- データベースインスタンス(シングルノード)。
- データベースクラスターを代表するDB Proxy(HA)。
エンドポイントを使用することで、アプリケーションロジックをデータベースアーキテクチャから切り離し、変更やフェイルオーバー時の影響を軽減します。
プライベートアクセスとパブリックアクセス
FPT Database Engineは2つのアクセスモデルをサポートしています。
- プライベートアクセス: データベースは内部ネットワーク(VPC/VNet)からの接続のみを許可します。高いセキュリティ要件を持つシステムに適しています。
- パブリックアクセス: データベースはパブリックエンドポイントを提供し、追加のセキュリティ対策を施した上でインターネットからの接続を許可します。
アクセスモデルの選択は、セキュリティ要件、パフォーマンス、アプリケーションアーキテクチャを考慮して行う必要があります。
セキュリティグループとFloating IP
DBaaS環境では、セキュリティグループとFloating IPを使用して、データベースへのネットワークアクセスを柔軟かつ安全に制御・管理します。
セキュリティグループ
セキュリティグループは、以下に基づいてデータベースインスタンスへのネットワークトラフィックを許可または拒否するステートフルなファイアウォールルールのセットです。
- IPアドレス / CIDR
- ポート
- プロトコル
セキュリティグループは、最小権限の原則に基づいてデータベースへのアクセスを制限し、以下のような有効な接続元のみを許可します。
- 同じVPC/VNet内のアプリケーション。
- 認可されたバスションホストや管理システム。
セキュリティグループへの変更は即座に有効となり、データベースの再起動は不要です。
Floating IP
Floating IPは、必要に応じてインターネットからのデータベースアクセスを可能にするため、データベースインスタンスに動的に割り当てまたは解除できるパブリックIPアドレスです。
Floating IPは主に以下のような場合に使用されます。
- クラウド外部のシステム(オンプレミス、サードパーティサービス)からの接続。
- 一時的な管理または運用アクセス。
- テストまたは統合環境。
Floating IPを使用する場合、ユーザーはセキュリティグループと組み合わせて以下を行う必要があります。
- アクセスを許可するIPの範囲を制限する。
- 必要なデータベースポートのみを開放する(例:3306、5432、1433)。
セキュリティに関する注意事項
- Floating IPは本当に必要な場合にのみ有効にしてください。
- 本番環境にはプライベートアクセスを推奨します。
- セキュリティグループルールは常に最小公開の原則に従って管理してください。