よくある質問 IBM Cloud Internet Services

無料体験プランには何が含まれますか？

無料トライアルプランでは、1 アカウント 1ゾーンをご利用いただけます。 インスタンスは1つだけ作成し、追加する前にゾーン名を確認すべきである。 ゾーン名は、受理される前に検証されなければならない。 無料トライアル期間中にゾーンを削除した場合、無料トライアルプランでは同じゾーンまたは別のゾーンを再度追加することはできません。

1 アカウントいくつの無料トライアル・インスタンスを利用できますか？

アカウント有効期間中、1 アカウント 1つの無料トライアルインスタンスのみが許可されます。 無料トライアル・インスタンスを作成した場合、それを削除しようが期限切れにしようが、別の無料トライアル・インスタンスを作成することはできません。 ただし、有料プランのインスタンスはいつでも作成できます。

スタンダード・ネクストは無料お試しプランにダウングレードできますか？

いいえ スタンダードネクストプランから無料トライアルプランへのダウングレードはサポートされていません。 どのプランも無料お試しプランにダウングレードすることはできません。

無料トライアルプランの期限が切れるとどうなりますか？

データの損失を避けるには、有効期限が切れる前にインスタンスを有料プランにアップグレードしてください。 有効期限が切れた後は、プランをアップグレードするか、インスタンスを削除することができます。 インスタンスの作成から45日以内にアップグレードまたは削除が行われない場合、 CIS、自動的に削除されます：

• コンフィギュレーション・ドメイン
• グローバル・ロード・バランサー
• 起点プール
• ヘルス・チェック

エンタープライズ・パッケージ・プランはどうなったのですか？

2023年8月11日をもって、エンタープライズ・パッケージ・プランは廃止された。 このプランの機能はさまざまな階層に分割され、現在ではEnterprise Essential、Enterprise Advanced、Enterprise Premierの各プランで利用できる。 詳しくは、 トランジション・プランを ご覧ください。

DDoS 攻撃トラフィックは課金されますか？

いいえ。 CIS は、無制限かつ無制限の DDoS プロテクションを提供します。 DDoS 攻撃の一部として特定されたトラフィックは課金対象から除外される。 攻撃の規模、期間、回数に制限はない。

CIS、予期せぬ請求からどのように保護されますか？

CIS は、 DDoS ミティゲーション、ファイアウォール、またはレート制限によってブロックされたトラフィックの測定や請求は行いません。 CIS を通過し、オリジンに到達したトラフィックのみが、使用量または課金対象としてカウントされる。

CIS は、発信元が応答する必要がある良好な要求のみを渡すことで、発信元からの出口帯域幅の料金を制御下に維持するのにも役立ちます。 すべての CIS プランで、DDoS 攻撃の緩和策が無制限かつ定額で提供されます。 攻撃トラフィックに対して課金されることはなく、攻撃によってトラフィックが急増してもペナルティやチャージバックはありません。

アクセス許可後に認証エラーが発生するのはなぜですか？

認証エラーは通常、ユーザーに必要なサービス・アクセス・ロールが割り当てられていないために発生する。 CIS、2種類のロールを使用する：

• プラットフォームへのアクセス：ユーザーにサービスインスタンスの作成と管理を許可する。
• サービスへのアクセス：ユーザーがインスタンス内でサービス固有の操作を実行できるようにする。

どちらの役割タイプも、ユーザーの責任に応じて適切に割り当てられなければならない。 コンソールでロールを更新するには、「 管理」>「セキュリティ」>「Identity and Access 」の順に選択する。

サービスインスタンスIDはどのように見つけるのですか？

サービス・インスタンス ID を調べるには、概要ページの CRN をコピーします。 以下に例を示します。

crn:v1:test:public:internet-svcs:global:a/2c38d9a9913332006a27665dab3d26e8:836f33a5-d3e1-4bc6-876a-982a8668b1bb::

CRN の末尾部分がサービス・インスタンスです: 836f33a5-d3e1-4bc6-876a-982a8668b1bb。

別の方法として、リソース・リストのメインページで CIS インスタンスを含む行をクリックして、サービス・インスタンス ID の GUID をコピーすることもできます。

ドメインが保留状態になっているのはなぜですか？

ドメインは、必要なネームサーバー（NS）レコードが正しく設定されるまで、 Pending ステータスのままです。

ドメイン（またはサブドメイン）を CIS に追加すると、2つの CIS ネームサーバーが提供されます。 以下のいずれかの場所に両方のネームサーバーを設定する必要があります：

• ドメインレジストラで（ドメインを追加する場合）
• 既存のDNSプロバイダーで（サブドメインを追加する場合）

CIS は、パブリックDNSに必要なNSレコードがないか定期的にチェックする。 ネームサーバーの変更が検出されると（最大24時間かかる）、ドメインのステータスは Active に変更されます。 概要]ページで [ネームサーバーの再チェック] を選択すると、手動でチェックを開始できる。

ドメイン登録業者を特定するにはどうすればよいですか？

ICANN WHOISツールを使ってドメインレジストラを調べることができます： https://whois.icann.org/

CIS にドメインを追加するには、レジストラでドメインの設定を編集し、ドメインのネームサーバーを更新または追加できる管理者権限が必要です。 CIS に追加しようとしているドメインのレジストラがわからない場合、管理者権限を持っている可能性は低いでしょう。 組織のドメインの管理者と一緒に、必要な変更を行ってください。

現在のDNSプロバイダーを維持したまま、サブドメインを CIS

はい。 親ドメインの権威DNSプロバイダーを変更せずに、サブドメインを CIS。

サブドメインを CIS に追加すると、2つの CIS ネームサーバーを受け取ります。 既存のDNSプロバイダーで、これらの CIS ネームサーバーを指すサブドメインのNSレコードを作成する。 NSレコードが一般に公開され、検証された後、 CIS、サブドメインが有効化される。 親ドメインを管理していない場合は、ドメインの所有者と協力して必要なNSレコードを追加してください。

権威DNSプロバイダーを変更せずに、ドメインを CIS

はい。 CIS は CNAME（部分的） 設定をサポートしています。 この設定により、既存の権威DNSプロバイダーを維持したまま、 CIS ネットワーク経由で特定のホスト名をプロキシすることができます。 部分的なセットアップである：

• 権威DNSプロバイダーでCNAMEレコードを作成します。
• これらのCNAMEレコードは、 CIS。
• 指定されたホスト名のみがプロキシされる。

DNS解決の動作は、フルネームサーバーの設定とは異なる。

デフォルトのDNS TTL値は？

AレコードとCNAMEレコードの場合、デフォルトの自動TTLは300秒です。

ドメインのルートにCNAMEを設定できますか？

はい。 CIS、ドメインのルート（頂点）にCNAMEを設定できる「CNAMEフラット化」をサポートしています。 CNAMEレコードそのものを返す代わりに、 CIS、CNAMEターゲットを解決し、対応するAまたはAAAAレコードを返す。 これにより、ルートドメインはDNS標準に違反することなくCNAMEのように振る舞うことができる。

プロキシされたレコードとは何ですか？

プロキシDNSレコードは、オリジン・サーバーに到達する前に、 CIS。 プロキシされたレコードのみが、IPマスキング（ CIS IPがあなたのオリジンIPを保護するために代用される）を含む、 CIS の特典を受けることができます：

$ whois 104.28.22.57 | grep OrgName
OrgName:        IBM

ドメインで CIS （私たちはまだDNSを解決する）をバイパスしたい場合は、レコードをプロキシしないことが可能な解決策です。

DNS検証エラー1004を解決するには？

ページ・ルールが機能するには、お客様のゾーンを DNS で解決する必要があります。 つまり、お客様のゾーンのプロキシー DNS レコードを作成する必要があります。

プライベート（ RFC1918 ）IPアドレスで CIS

そうだが、制限がある。 プライベート( RFC1918 )IPアドレスを指す非プロキシDNSレコードを設定する場合：

• CIS はDNS解決のみを行う。
• CDN、WAF、 DDoS プロテクションなどの高度な機能は適用されません。

CIS はプライベートネットワークへの接続を提供しない。 プライベートIPへのネットワーク・アクセスは、インフラストラクチャによって処理されなければならない。

ブラウザのプライバシーに関する警告が表示されるのはなぜですか？

IBM Cloud CIS によって発行された TLS 証明書は、ルート・ドメイン (example.com) と1レベルのサブドメイン (*.example.com) をカバーしている。第2レベルのサブドメイン（*.*.example.com ）にアクセスしようとすると、プライバシーに関する警告がブラウザに表示されます。これは、これらのホスト名がSANに追加されていないためです。

パートナーの認証局（CA）が新しい証明書を発行するまで、最大15分かかります。 新規証明書がまだ発行されていない場合は、プライバシーに関する警告がブラウザーに表示されます。

エラー526「Invalid SSL certificate」を解決するには？

エラー526は、オリジンサーバーが無効な、または信頼されていない SSL / TLS 証明書を提示していることを示します。

CIS プロキシが有効で、 SSL モードが End-to-end CA Signed （新規ドメインのデフォルト）の場合、オリジンは信頼できる認証局によって署名された有効な証明書を提示しなければならない。

エラーを解決するには、次のようにします。

• オリジン証明書が有効であること（期限切れや自己署名でないこと）を確認する。
• 証明書がホスト名と一致していることを確認する。
• 証明書チェーンが完了していることを確認する。
• オリジン・サーバーに有効なCA署名証明書をインストールする。

必要であれば、 SSL モードをより厳密でない設定に変更することができる。 しかし、これはセキュリティを低下させるので、本番環境では推奨されない。

CIS は、 SSL / TLS ネゴシエーションとハンドシェーク攻撃をどのように軽減するのか？

CIS トラフィックがオリジンサーバーに到達する前に、エッジネットワークで TLS セッションを終了させることで、 SSL / TLS ネゴシエーションとハンドシェイクベースの攻撃を軽減します。 BEAST、POODLE、CRIMEなどの既知の脆弱性から保護するために、安全な TLS 設定と暗号スイートを強制します。 CIS トラフィックをオリジンに転送するのは、 TLS ハンドシェイクが成功した後だけであり、 TLS 消耗攻撃を防ぎます。 自動化された DDoS システムは、トラフィックパターン、暗号の動作、リクエストメタデータを分析し、 SSL / TLS ベースの追加攻撃を検出してブロックする。

分散型サービス拒否（ DDoS ）攻撃とは何か？

分散型サービス拒否（ DDoS ）攻撃は、複数のソースからのトラフィックで圧倒することによって、オンラインサービスを利用不能にしようとするものである。

攻撃者は侵害されたシステムを利用して、大量のトラフィックや不正なリクエストを生成する：

• サーバーリソースの枯渇
• ネットワーク接続の中断
• 正当なユーザーによるサービスへのアクセスを妨げる

DDoS 攻撃は、アプリケーション（レイヤー7）、プロトコル（レイヤー3/4）、またはネットワーク・インフラストラクチャを標的とすることができる。

LOICとHOICの攻撃ツールとは？

Low Orbit Ion Cannon（LOIC）と High Orbit Ion Cannon（HOIC）は、 DoS 攻撃に関連するツールであり、レイヤ 7 DDoS （ ）のミティゲーションを議論する際によく参照される。

LOICは大量の TCP、 UDP、 HTTP 要求を発生させ、ターゲットを圧倒する。 で知られている：

• シンプルなインターフェースで利用障壁が低い
• 大量の反復トラフィック
• 小規模または保護が不十分なシステムを圧倒する

HOICはLOICを進化させたもので、より大量で柔軟な HTTP トラフィックを生成し、複数のサイトを同時に標的とし、攻撃範囲を拡大する「ブースター」をサポートする。 このため、HOIC攻撃はシグネチャベースの防御では検出が難しくなる。

どちらのツールも、ネットワーク動作を悪用してサービス拒否を引き起こす。 管理されたテスト環境以外での使用は違法であり、非倫理的である。 組織は、レート制限やマネージド・プロテクション（ DDoS ）などの防御に頼るべきである。

DDoS 攻撃を受けたらどうすればいいのか？

アクティブな DDoS 攻撃が疑われる場合：

1. 概要ページから「ディフェンスモード」を有効にする。
2. セキュリティーが最大になるように DNS レコードを設定します。
3. CIS からのリクエストをレート制限またはスロットルしないでください。 IBM は、お客様の状況を支援するために帯域幅を必要とします。
4. 必要に応じて、特定の国や訪問者をブロックする。

これらのアクションにより、 CIS、エッジネットワークで攻撃トラフィックを検査、吸収、軽減することができる。

CIS、ロー＆スロー DDoS 攻撃をどのように防いでいるのか？

CIS オリジンの前で HTTP リバースプロキシとして動作することにより、低速・低速攻撃から保護します。 プロキシはリクエストを転送(forward)する前に、完全な HTTP リクエストを待ち、エッジでリクエストをバッファリングして検証する。 遅い、不完全、あるいは不正なリクエストは、吸収されるかドロップされ、決してオリジンには到達しない。

CIS また、タイムアウトを強制し、トラフィックのしきい値を必要とせずにWAFとファイアウォールのチェックを適用することで、SlowlorisやRUDYのような攻撃によるサーバーリソースの枯渇を防ぎます。

HTTP DDoS ミティゲーションから特定のユーザーエージェントを除外することはできますか？

はい。 カスタムルールオーバーライドを 作成し、式フィールドを使用して、 User-Agent ヘッダーを持つ HTTP リクエストにマッチさせることができます。 使える フィールドは いろいろある。

その後、 感度レベルや 軽減措置を 調整することができる。

この機能は、正当なトラフィックパターンの保護を弱めないよう、慎重に使用すること。

CIS、トラフィックのスクラビングはどのように処理されるのですか？

CIS は、388Tbpsのグローバル・エッジ・ネットワークを使用して、センターをスクラビングすることなく、大量の 攻撃を軽減している。 DDoS 攻撃はエッジで分析され、ブロックされる。 保護されたトラフィック（クリーンなリクエストとレスポンス）のみが課金される。 悪意のあるトラフィックは除外される。

ヘルスチェックのタイムアウトのデフォルト値は？

無料トライアル・プランと標準プランのデフォルトのヘルス・チェック・タイムアウトは 60 秒です。

非 HTTP/HTTPS トラフィック用にヘルス・チェックを構成できますか?

いいえ、ヘルスチェックは HTTP / HTTPS をサポートするだけです。

グローバルロードバランサーは、 HTTP / HTTPS 以外のプロトコルにも設定できますか？

いいえ グローバルロードバランサーは HTTP / HTTPS のみをサポートしている。

プール内のすべてのオリジンが無効になった場合はどうなりますか？

はい。 プール内のすべてのオリジンが無効になっている場合、トラフィックは次の優先順位のプールまたはフォールバック・プールにルーティングされる。

CIS、グローバル・トラフィックとヘルス・チェックに使用するネットワークは？

CIS そのデータプレーンはCloudflareのグローバルなAnycastネットワーク上で動作しており、そのネットワークは世界中の何百もの都市にまたがっている。 このネットワークは、高速で信頼性の高いトラフィックのルーティングと DDoS。

ヘルスチェックのリクエストはこの分散ネットワークから発信されるため、ヘルスチェックで利用可能なリージョンは Cloudflare Global Anycast Networkに基づいています。

CIS はコンテンツ圧縮（gzipまたはBrotli）を適用しますか？

はい。 CIS、一部のコンテンツタイプにgzipとBrotli圧縮を適用し、ブラウザのUser-Agentに基づいてアイテムを圧縮して、ページの読み込み時間を改善することができます。

オリジンがすでにgzipを使用している場合、 CIS、ウェブサーバーがヘッダーにgzipを含めると、その設定は尊重されます。

CIS はオリジンコンテンツに対してのみ gzip をサポートし、コンテンツを gzip、Brotli、または非圧縮で配信します。 そのリバースプロキシは、キャッシュとは無関係に圧縮形式と非圧縮形式を変換できる。

クライアントからの Accept-Encoding ヘッダーは削除され、尊重されない。

WAFのペイロード制限は？

CIS ウェブアプリケーションファイアウォール（WAF）は、すべてのプランで1MBまでのリクエストペイロードを検査するようになりました。 これによってWAFは、より大きなリクエストボディに現れるかもしれない、より複雑な脅威を検知することができる。 詳しくは、 車体検査限度額の申請を ご覧ください。

CIS のAPIレートの上限は？

CIS API のグローバルレート制限は、すべてのインターフェース（UI、CLI、Terraform、API）において、1ユーザーあたり5分間に1200リクエストです。

エッジからオリジンへのトラフィックに使用されるポートレンジは？

プロキシが有効になっている場合、トラフィックはCloudflareネットワークを経由してオリジンサーバーにルーティングされます。 このトラフィックは、 1024-65535 の範囲内のどのポートからでも発生する可能性があります。 お使いの環境でネットワーク・アクセス・コントロール・リスト（NACL）を設定する場合は、このポート範囲からのイングレス・トラフィックとイグレス・トラフィックの両方が許可されていることを確認してください。

CIS はクロック同期（NTP）をどのように管理していますか？

ISO 27001の要件を満たすには、すべての関連システムが統一された時間ソースと同期していなければならない。 IBM CIS CIS では、以下の内部NTPサーバーを使用しています：

• time.adn.networklayer.com
• time.service.networklayer.com

CIS はアウトバウンド（egress）トラフィックのフィルタリングをサポートしていますか？

CIS はインバウンドのトラフィックのみを保護する。 仮想サーバー・インスタンス、コンテナ、VPCリソースなどのクラウド・リソースからのアウトバウンド・トラフィックを検査したり、ログに記録したり、フィルタリングしたりはしない。

CIS CIS はフォワードプロキシやイグレスフィルタとしては機能しない。

アウトバウンドのトラフィックコントロールについては

• VPCセキュリティ・グループ ：インスタンスレベルでアウトバウンドポート/IPを制御します。
• VPCネットワークACL（NACL） ：サブネットレベルのインバウンド/アウトバウンドルール。
• ファイアウォール・アプライアンス：VPC内にサードパーティ製ファイアウォールを導入する。
• DNSフィルタリング：DNSベースのサービスを使用してドメインを制限する。

CF-Connecting-IPヘッダーとは何ですか？

CF-Connecting-IP ヘッダーは、オリジンウェブサーバーにオリジナルクライアントIP アドレスを提供します。 CIS はエッジでこのヘッダーを追加し、 CIS エッジからオリジンサーバーに転送(forward)されるリクエストにのみ含まれる。

エラー522（接続がタイムアウトしました）を解決するには？

522エラーは、 CIS、オリジンサーバーに接続できない場合に発生します。 接続に失敗して～15秒後、リクエストはタイムアウトし、522ページが表示される。

これは通常、ファイアウォールやセキュリティ・ソフトウェアが CIS IPをブロックしている場合に起こる。 CIS はリバースプロキシなので、接続は CIS IPレンジから来るように見える。 CIS allowlisted IP addressesの ページを参照。

また、サーバーとネットワークが健全で、過負荷になっていないことも確認してください。

それでも問題が解決しない場合は、 IBM CIS サポートに最近のRay IDを添えて連絡し、確認してください：

• CIS IPレンジはすべて許可リスト入り
• サーバー/ネットワークがオンラインかつ健全である

Edge Functionsのアクションを保存する際に発生する502エラーを解決するにはどうすればよいですか?

IBM サポートに問い合わせて、保存しようとしたスクリプトを提供してください。

Kubernetes Ingressのホスト名検証エラーを解決するには？

Kubernetes 入口のホスト名は、小文字の英数字、- または . で構成されていなければならず、先頭と末尾は英数字でなければなりません。 ロード・バランサー名に _ を使用することは許可されていますが、Kubernetes クラスターで入口エラーが発生する可能性があります。 Kubernetes クラスタでの問題を避けるために、ロードバランサ名に - を使わないようにしましょう。