ネットワーク接続

このセクションでは、DBaaS 環境においてアプリケーションがデータベースに接続する方法について、エンドポイント、アクセスモデル、ネットワークセキュリティ制御を含めて説明します。

Database Endpoint

Database Endpoint は、アプリケーションがデータベースに接続するために提供されるアクセスポイントです。デプロイモデルに応じて、エンドポイントは以下を指す場合があります:

• データベースインスタンス (Single Node)。
• データベースクラスター (HA) を表す DB Proxy。

エンドポイントを使用することで、アプリケーションロジックをデータベースアーキテクチャから分離し、トポロジーの変更やフェイルオーバーイベントの影響を最小限に抑えることができます。

Private アクセスと Public アクセス

FPT Database Engine は 2 つのアクセスモデルをサポートしています:

• Private Access: データベースはプライベートネットワーク (VPC/VNet) 内でのみアクセス可能で、高セキュリティ環境に適しています。
• Public Access: データベースはパブリックエンドポイントを公開し、追加のセキュリティ制御とともにインターネットアクセスを可能にします。

アクセスモデルの選択には、セキュリティ、パフォーマンス、アプリケーションアーキテクチャの要件を考慮する必要があります。

Security Groups と Floating IP

DBaaS 環境では、Security Groups と Floating IP を使用して、柔軟かつ安全にデータベースへのネットワークアクセスを制御および管理します。

Security Groups

Security Group は、以下に基づいてデータベースインスタンスへのインバウンドおよびアウトバウンドトラフィックを許可または拒否するステートフルファイアウォールルールのセットです:

• IP アドレス / CIDR
• ポート
• プロトコル

Security Groups は最小権限の原則を適用し、以下のような認可されたソースからのみデータベースアクセスを許可します:

• 同じ VPC/VNet 内のアプリケーション。
• 認可された bastion host または管理システム。

Security Group ルールへの変更は即座に有効になり、データベースの再起動は必要ありません。

Floating IP

Floating IP は、データベースインスタンスに動的に関連付けまたは関連付け解除できるパブリック IP アドレスで、必要に応じてインターネットアクセスを可能にします。Floating IP は一般的に以下の用途で使用されます:

• 外部システムからの接続 (オンプレミスまたはサードパーティサービス)。
• 一時的な管理または運用アクセス。
• テストおよび統合環境。

Floating IP を有効にする場合、ユーザーは以下のために Security Groups と組み合わせる必要があります:

• 許可されるソース IP 範囲を制限する。
• 必要なデータベースポート (例: 3306、5432、1433) のみを公開する。

セキュリティに関する注意事項

• Floating IP は必要な場合にのみ有効にしてください。
• 本番環境には Private Access を推奨します。
• Security Group ルールを構成する際は、常に最小限の公開を適用してください。