埼玉県情報システム統合基盤 説明資料...1 基本サービス ベースセット...
TRANSCRIPT
埼玉県 統合基盤概要
埼玉県情報システム統合基盤とは
埼玉県情報システム統合基盤(以下、「統合基盤」という)とは、パブリッククラウドサービスの一部を埼玉県用に専用化(ホステッドプライベートクラウド)し、県庁LANやインターネット経由で利用できるようにした埼玉県独自のIaaSです。
導入の目的
(1)サーバーの調達・保守コスト、消費電力、設置スペースを削減
庁内に分散する物理サーバーを集約・統合することにより、物理サーバーの台数を削減し、サーバーの調達・保守コスト、消費電力、設置スペースを大幅に削減します。
(2)セキュリティレベルを高次元で均一化し、情報資産を保護
防犯設備を備えたデータセンターを利用することにより、サーバー設置場所への部外者の侵入を防止し、盗難、破壊、改ざん、漏えい等の脅威から情報資産を保護します。
(3)耐災害性と耐障害性を高め、業務継続性を向上
電源・防災設備を備えたデータセンターを利用することにより、停電、落雷、火災、地震等の脅威から情報資産を保護します。また、万全のバックアップ体制と高可用性機能を備えたサーバーを利用することで、サーバー障害発生時のシステム停止時間を最小限に抑えます。
(4)業務主管課職員の負担を軽減し、通常業務に専念する時間を確保
サーバーを調達する場合、予算要求から入札、契約、納品、検査、支払に至るまで、多くの時間と労力を費やしていましたが、今後は、当課への利用申請後数日で仮想サーバーの準備が完了します。これにより、業務主管課職員の負担を軽減し、通常業務に専念する時間を確保します。
1
埼玉県 統合基盤全体構成
データストア (NFS )
管理ゲートウェイ
管理VLAN
統合管理サーバ vCenter
ESXiサーバ VW128-12-FC
データストア (FC )
庁内システム (業務システム等)
メンテナンス用VLAN
埼玉県庁
統合基盤 (メインサイト[関東])
広域Ethernet 広域Ethernet
1Gbps×2 専用線
VPNリモート接続
インターネット
インターネット公開系システム
100Mbps×2 (帯域保証)
公開セグメント(DMZ/内部DMZ)
内部セグメント(インターネット系/LGWAN系/ マイナンバー系/共用系)
※庁内システムのネットワークについては、複数セグメントに分離
外部クラウド接続 PBB
パブリッククラウド (AWS)
構築済み
構築中
CDN
SEIL/BPV4
SEIL x86
SEIL x86
外部データセンター (AGS)
外部接続セグメント (External Cloud )
外部接続セグメント (MFW-AGS)
外部接続PBB
WAF
2
埼玉県 機能・サービス概要 1/4
No サービスカテゴリ サービス名 機能概要
1 基本サービス ベースセット
• 仮想化プラットフォームVMware vSphere及び統合管理ソフトウェアVMware vCenter Serverが利用可能な基本環境をパッケージ化したセット。
• VMware vCenter Serverがインストールされた統合管理サーバー、VMware vSphere ESXiサーバー、及びデータストアを接続するためのサービスネットワークで構成されている。
2 基本サービス VMware vSphere ESXiサーバ • ハイパーバイザーVMware vSphere ESXiがインストールされたサーバー。
3 基本サービス データストア • VMware vSphere ESXiサーバー上に、利用している仮想マシンのイメージ等を格納するストレージ。
• VMware vSphere ESXiサーバーからマウントして使用。
4 基本サービス VM通信ネットワーク
• VMware vSphere ESXiサーバー上に構築された仮想マシンが各種通信を行うために使用するVLAN。
• VMware vSphere ESXiサーバの標準仮想スイッチ、または分散仮想スイッチに設定して使用する。
5 基本サービス SEIL/BPV4 • 埼玉県庁庁舎内に設置される物理ルーター。 • 用途ごとに機器を分け、ルーティング用ルーターとL2延伸用のルーターを利用する。
6 基本サービス SEIL x86 • 情報システム統合基盤上に配置される仮想ルーター。 • 用途ごとに機器を分け、ルーティング用ルーターとL2延伸用のルーターを利用する。
7 基本サービス SEIL B1 • 埼玉県庁庁舎内に設置される物理ルーター。 • SEIL/BPV4管理用に利用するアクセス回線網を終端する。
8 基本サービス VMware NSX
• 情報システム統合基盤上の仮想ネットワークを制御するアプライアンス。統合基盤上のネットワークを分散FW機能により「インターネット系/LGWAN系/マイナンバー系/共用系」に分離し、セグメント間の通信を制限している。
• 分散FW機能、LB機能等を提供する。
3
埼玉県 機能・サービス概要 2/4
No サービスカテゴリ サービス名 機能概要
9 基本サービス IIJ GIOプライベートバックボーン
• データセンターとIIJサービス間のプライベートネットワーク接続を提供する。
• インターネットGW構築では、データセンター(都筑DC)と情報システム統合基盤間のプライベート接続を提供する。
• ネットワーク分離作業では、埼玉県庁と情報システム統合基盤間のプライベート接続を提供する。
10 基本サービス IIJプライベートアクセスサービス
• 顧客拠点やデータセンター内ラックからIIJ GIOプライベートバックボーンサービスの接続性を提供するゲートウェイサービス。
• インタネットGW構築では、データセンター(都筑DC)と情報システム統合基盤間の接続を提供する。
• ネットワーク分離作業では、埼玉県庁と情報システム統合基盤間の接続を提供する。
11 基本サービス バックアップサービス
• 情報システム統合基盤上で動作する仮想サーバーを対象としたバックアップサービス。
• マルチテナント型/仮想マシンイメージバックアップを標準バックアップとして提供する。
※詳細はP10 技術仕様4/4に記載
12 インターネットサービス インターネット接続サービス • 情報システム統合基盤をインターネットに接続する機能を提供する。
• 専用線100Mbps/冗長化構成で実装する。
13 インターネットサービス マネージドルータサービス • インターネット接続環境整備にあわせ、ルータ機器の提供から保守・運用管理までを一括して提供する。
4
埼玉県 機能・サービス概要 3/4
No サービスカテゴリ サービス名 機能概要
14 インターネットサービス IIJマネージドファイアウォール サービス
• 情報システム統合基盤のインターネット接続環境整備にあわせ実装しているファイアウォールサービス。Juniper SRXシリーズを冗長化構成(ホットスタンバイ構成)で提供する。
• 情報システム統合基盤上で稼働するインターネット公開システムのアクセス制御ルール、Source NATルールを設定する。
15 インターネットサービス IIJマネージドIPSサービス • インターネットからの不正アクセス対策機能を提供する。
16 インターネットサービス IIJサーバ証明書管理サービス • IIJ GIOコンテンツアクセラレーションサービス用のSSL証明書を、本サービスで申請・管理する。
17 インターネットサービス WAFサービス • クラウド型WAFサービス『Scutum』を使用し、アプリケーションレベルでのファイアウォールを提供する。
• 冗長構成でサービスを提供する。
18 インターネットサービス IIJ GIOコンテンツアクセラレーションサービス
• 外部公開するWebサーバ(オリジンサーバ)上のコンテンツをIIJ管理の配信設備にキャッシュし、高速なWebアクセスを実現するために使用する。
19 インターネットサービス IIJ DNSサービス • ドメイン名の登録・維持管理用途で使用するサービス。
• 情報システム統合基盤上で稼働するインターネット公開システムを主な対象とし、グローバルIPの名前解決機能を提供している。
5
埼玉県 機能・サービス概要 4/4
No サービスカテゴリ サービス名 機能概要
20 リモートアクセス サービス
IIJ GIOリモートアクセスサービス
• インターネット経由で情報システム統合基盤にアクセスするための、クラウド型リモートアクセスサービス。統合基盤上システムの業務利用、アプリケーション事業者によるシステム構築・メンテナンス作業を主な用途とする。
• 本サービスには、個別にアクセス制御ルールが設定されている。本サービス経由で情報システム統合基盤にアクセスする利用者は、アクセス制御ルールに基づき、必要最小限のシステムにのみアクセスが許可される。
21 リモートアクセス サービス
IIJ接続アカウント管理サービス • IIJ GIOリモートアクセスサービスに接続するアカウント作成・管理するサービス。
22 リモートアクセス サービス
IIJ GIOリモートアクセスサービス用DNSサーバ
• IIJ GIOリモートアクセスサービス経由で、情報システム統合基盤に接続した際、DNS参照先として割り当てされるDNSサーバ。プライマリ/セカンダリの2台で構成される。
• 情報システム統合基盤上で稼働するシステムを対象とし、プライベートIPの名前解決機能を提供している。
23 外部クラウド接続 サービス
IIJクラウドエクスチェンジサービス
• 情報システム統合基盤と他のクラウドサービス間を閉域網で接続する。
• 情報システム統合基盤上で稼働する1システム用に、アマゾン ウェブ サービス(以下、AWS)に対し、プライベート/パブリック方式で100Mbps接続を行っている。
24 外部データセンター間 接続サービス
IIJ広域ネットワークサービス
• 情報システム統合基盤と外部データセンター(AGS)間を広域イーサネット網で接続する用途で使用。両データセンター間は1Gbps(冗長・ベストエフォート)で接続される。
• 両データセンターにはL3スイッチとしてCisco WS-C3850-24T-Eを2台ずつ、計4台設置している。
• 現時点(H30年3月時点)では、外部データセンター(AGS)への監視機能、L2延伸機能、リモートアクセス機能、ネットワーク分離は実装されていない。
6
埼玉県 技術仕様1/4
情報システム統合基盤システム要件(基盤部)1/2 • 現時点※におけるホストサーバーのCPUは、Intel Xeon E5-2670V3
(2.3GHz/30MB/12コア/24スレッド)2基を搭載。 ※平成29年1月5日現在
• 統合基盤は、IaaSです。調達の際には、OS及びその他のソフトウェアを必要数見積に含めてください。
• 統合基盤は、サーバー仮想化ソフトとして『VMware vSphere6.0』を使用しています。ソフトウェア製品を調達する際には、上記サーバー仮想化ソフトに対応するものを選定してください。
• 情報システム課の用意する仮想サーバーは、以下のvCPU/メモリの組み合わせにて提供します。業務システム事業者は、導入する仮想サーバーに最適な性能単位を選定し、必要台数について情報システム課へ提示してください。
• 統合基盤は、サーバー仮想化ソフトの障害に備えた構成として、vSphere HAクラスタ構成で冗長化されています。導入する仮想サーバーについてvSphere HAクラスタ構成以外の冗長化を希望する場合には、申告のうえ、別途協議とします。
• 統合基盤は、vCPU/メモリ及びストレージ容量に従った従量課金制度がとられているため、契約期間中に費用の増額又はリソース不足が発生しないよう適切に試算してください。
• 統合基盤へ導入予定のシステムにおいて、SSL証明書が必要となる場合には、埼玉県/業務システム事業者のどちらが用意するのかを事前確認のうえ、必要に応じて見積に含めてください。
項目 性能単位
仮想マシンのvCPU・メモリ
組み合わせ一覧
vCPU1コア 4GB
vCPU2コア 8GB
vCPU4コア 16GB
vCPU8コア 32GB
7
埼玉県 技術仕様2/4 (※業務システム事業者向け)
情報システム統合基盤システム要件(基盤部) 2/2 • 要求リソース(仮想CPU数、メモリ容量、ストレージ容量)や作業スケジュールについて、情報システ
ム課との調整を十分に行ってください。統合基盤は、利用リソース量に応じた日額の料金体系となっていることから、利用料予算を確保しておく必要があります。
• 利用に当たっては、当課の予算編成日程に間に合うよう早めの御相談をお願いします。急を要する事情等がある場合は、御相談ください。
• サーバー仮想化ソフトは、当分の間変更しない予定ですが、セキュリティ対策や統合基盤の再構築時等に、バージョンアップを実施する可能性があります。その場合、システムの動作等に影響が出る可能性がありますので、御協力をお願いします。
• 情報システム統合基盤に導入予定のシステムにおいて、特殊な構成(例:共有データストアを構成し、複数台のサーバーにマウントする等)を検討されている場合には、事前に埼玉県にご相談ください。
• 統合基盤への接続確認されている外部クラウドは下記のとおりです。
– AWS
– Microsoft Azure
※上記以外の外部クラウドを利用する場合は、埼玉県に相談してください。
情報システム統合基盤システム要件(ソフトウェア) • OSは、サーバー仮想化ソフト「VMware vSphere」に対応したものを採用してください。なお、原則とし
て、サポートの終了したOSの利用は認められません。
• ライセンスの関係で統合基盤上では、原則としてOracle社製品を利用できません。仮想サーバー上でOracle社製品又はMicrosoft SQL Serverが必須の場合は、業務主管課を通じて事前に情報システム課へ相談してください。
• 仮想サーバー上の個別システムのログ情報(OSシステムログやアプリケーションログ等)について、保存や監視が必要な場合は、監視ソフトウェア等を導入し、保存や監視を実施してください。
8
埼玉県 技術仕様3/4 (※業務システム事業者向け)
情報システム統合基盤システム要件(ネットワーク) • 導入する仮想サーバーについて、事前にネットワーク構成図及び配置予定セグメントのIPアドレス使用数
を、情報システム課へ提示してください。
• 仮想サーバー数が多い場合には、情報システム課は/24単位などのセグメント単位でIPアドレスを提供し、各仮想サーバーへのIPアドレスの割り当て方針は、業務システム事業者にて策定いただきます。
• 既存システムを移行する場合は、原則として新たなIPアドレスが割り当てられ、既存のIPアドレスを継続して使用することはできません。
• 導入する仮想サーバーについて、インターネット接続が必要な場合には、使用用途等を含めその旨を情報システム課へ提示してください。
• 県民または職員が業務システムを利用するにあたり、必要となるネットワークの使用帯域を概算し、情報システム課へ提示してください。
• 情報システム統合基盤の内部セグメントは、ネットワーク強靭化の指針に基づき「インターネット系/LGWAN系/マイナンバー系/共用系」の4セグメントにネットワーク分離されています。また、4セグメント間の通信は「VMware NSX」の分散ファイアウォール機能により制御されています。導入予定のシステムにおいて、セグメント間をまたぐ通信(以下、特定通信)が発生する場合には、事前に埼玉県に相談してください。
• 情報システム統合基盤の公開セグメントは「DMZセグメント/内部DMZセグメント」の2セグメントが用意されています。公開セグメント⇔内部セグメント間の通信は、一般的なネットワーク構成と同様、ファイアウォールにより制御されています。システム導入に伴いファイアウォールルールの追加を希望する場合には、埼玉県へその旨申請をお願いします。
9
埼玉県 技術仕様4/4 (※業務システム事業者向け)
情報システム統合基盤システム要件(バックアップ) • 統合基盤上で動作する仮想サーバーは、県が定義した以下の標準バックアップにより、バックアップが実
施されます。業務システム事業者は、導入するシステムに最適なバックアップ開始時間を業務主管課に提示してください。
• バックアップ頻度が極端に多い場合、バックアップ時間が上記時間と異なる場合、データベース/アプリケーションレベルでの静止点が必要な場合等、特殊なバックアップについては、業務主管課にて独自にバックアップを取得することとなりますので、事前に御相談ください。
取得開始時間 取得範囲 記録媒体 保存期間 保管場所
毎日AM0:00 仮想サーバー全体 共有 ストレージ
1週間 データセンター
※ 情報システム毎にPM10:00~AM06:00の時間帯で、1時間単位での開始時間変更が可能。
情報システム統合基盤システム要件(リモートアクセス) • IIJ GIOリモートアクセスサービスによる、インターネット経由でのシステム構築・メンテナンスを希望さ
れる場合には、以下の情報とあわせ事前に埼玉県に相談してください。
- 業務システム事業者 会社名
- 利用開始日/終了日
- 払い出しを希望するアカウント数
- 接続元となるグローバルIPアドレス
- 接続先機器orネットワーク
※ネットワーク単位での申請において、希望するアクセス許可範囲が広範にわたる場合には
承認ができないことがございます。
- 使用する通信(ポート番号)
- vCenter Server/vSphere Web Clientの利用有無
※セキュリティの観点上、使用機能は制限(例:作業対象仮想サーバーの電源ON/OFFのみ)されます。
10
埼玉県 役割分担
No 項目 導入事業者 (業務システム事業者)
統合基盤事業者 (サービスデスク)
1 クラウドサーバー利用申請書の提出(業務主管課経由) ●
2 OS(WindowsやLinux等)の調達・保守 ●
3 ミドルウェアの調達・保守 ●
4 業務システムの調達・保守 ●
5 ウィルス対策ソフトの調達・保守※1 ●
6 仮想サーバーの作成、仮想ネットワークの設定 ●
7 リソース(仮想CPU、メモリ、ストレージ)の設定 ●
8 IPアドレスの払い出し ●
9 業務システム等のP2V移行/新規(再)インストール ●
10 VMware Toolsのインストール ●
11 IPアドレスの設定 ●
12 標準バックアップの取得 ●
13 独自バックアップの取得 ●
14 システム障害時の一次切り分け ●
15 データ消失時の復元の実施(標準バックアップ) ●
16 データ消失時の復元の実施(独自バックアップ) ●
※1 埼玉県が管理するウィルス対策ソフト「シマンテックエンドポイントプロテクション」を利用することが可能です。調達システムのソフトウェアとの相性等を確認の上、本県情報システム課と事前に調整してください。
11