よくある質問 IBM Cloud Internet Services
IBM Cloud® Internet Services に関する質問がありますか? 以下に、よくある質問を記載します。プロビジョニングに関する懸念事項、アプリケーション・アクセス、その他の一般的な問い合わせに対する回答を確認できます。
このページで扱ってほしい質問がある場合は、このページの最後にある「 Open doc issue 」または「 Edit topic」 リンクを使用して、問題を開いてください。
無料トライアル・プランでは何ができますか?
無料トライアル・プランでは、設計上、1 アカウントにつき 1 ゾーンだけを使用できます。 アカウントごとに 1 つのインスタンスのみを作成し、ゾーン名を確認することをお勧めします。 ゾーン名を確認してから追加することが重要です。 ゾーンが削除された場合、無料トライアルプラン中に別のゾーンや同じゾーンを追加することはできません。
無料トライアルのインスタンスはいくつまで持つことができますか?
無料トライアルのインスタンスは、1 アカウントにつき、アカウントの存続期間にわたって最大 1 つ作成できます。 無料トライアル・インスタンスを既に作成した場合は、無料トライアル・インスタンスを削除したり無料トライアルの期限が終了したりしても、別の無料トライアル・インスタンスを作成することできません。 ただし、作成した無料トライアルとは別に、他の有料プランタイプのインスタンスを作成することは可能です。
スタンダード・ネクストから無料トライアルにダウングレードできますか?
いいえ スタンダードネクストから無料トライアルプランへのダウングレードはできません。
無料トライアルの有効期限が切れました。 どんなオプションがありますか。
データの損失を避けるために、有効期限内に無料トライアルからスタンダードにアップグレードする必要があります。 その有効期限が切れた後は、プランのアップグレードまたは CIS インスタンスの削除のみを行うことができます。 (インスタンスの開始から) 45 日後にインスタンスのアップグレードや削除が行われていないと、構成ドメイン、グローバル・ロード・バランサー、プール、ヘルス・チェックが自動的に削除されます。
エンタープライズ・パッケージ・プランはどうなりましたか?
2023 年 8 月 11 日以降、エンタープライズ・パッケージ・プランを構成できなくなりました。 このプランの機能はさまざまな層に分割され、Enterprise Essential、Enterprise Advanced、および Enterprise Premier の各プランで使用できるようになりました。 更新されたプランの移行 を参照してください。
アカウントにユーザーを追加し、そのユーザーに Internet Services インスタンスを管理する権限を与えた。 そのユーザーに認証の問題があるのはなぜですか?
このユーザーに「サービスのアクセス役割」を割り当てていない可能性があります。 以下の 2 つの別個のロール・セットに注意してください。
- プラットフォーム・アクセス
- サービス・アクセス
プラットフォーム・アクセスの役割は、サービス・インスタンスの作成および管理に必要です。一方、サービス・アクセスの役割は、サービス・インスタンスに対してサービス固有の操作を実行するために必要です。 コンソール内で、**「管理」>「セキュリティー」>「ID およびアクセス (Identity and Access)」**を選択すると、これらの設定を更新できます。
ドメインが「保留中」状態なのはなぜですか? どうすればドメインをアクティブにすることができますか?
CIS にドメインを追加すると、レジストラ(サブドメインを追加する場合はDNSプロバイダ)で設定するネームサーバーがいくつか与えられます。 それらのネーム・サーバーをお客様が正しく構成するまで、ドメインまたはサブドメインは保留中状態のままです。 必ず、両方のネーム・サーバーをレジストラーまたは DNS プロバイダーに追加してください。 CIS パブリックDNSシステムを定期的にスキャンして、ネームサーバーが指示通りに設定されているかどうかをチェックする。 CIS がネーム・サーバーの変更を確認できるようになると (最大 24 時間かかる可能性があります)、すぐにドメインがアクティブ化されます。 概要ページの[ネームサーバーの再確認]をクリックすると、ネームサーバーの再確認リクエストを送信できます。
私のドメインのレジストラーは誰ですか?
この情報は、https://whois.icann.org/ で調べてください。
ドメインを CISに追加するには、レジストラーでドメインの構成を編集してドメインのネーム・サーバーを更新または追加するための管理者特権が必要です。 CISに追加しようとしているドメインのレジストラーがわからない場合は、管理者特権を持っている可能性はほとんどありません。 組織のドメインの管理者と一緒に、必要な変更を行ってください。
現在使用しているDNSプロバイダーのドメイン(example.com
)を維持したいです。現在のDNSプロバイダからサブドメイン(subdomain.example.com
)を CIS に委任することはできますか?
はい。 プロセスはドメインの追加と似ていますが、レジストラの代わりに、上位ドメインのDNSプロバイダと連携します。 CIS にサブドメインを追加すると、通常通り、設定するネームサーバーが2つ与えられる。 もう一方のDNSプロバイダーが管理するドメイン内のDNSレコードとして、2つのネームサーバーのそれぞれにネームサーバー(NS)レコードを設定します。 CIS、必要なNSレコードが追加されていることを確認できたら、 CIS、サブドメインを有効にします。 組織内で上位ドメインを管理していない場合は、上位ドメインの所有者と協力してNSレコードを追加する必要があります。
私のドメインをCISにオンボードしたいのですが、現在のプライマリおよび権威DNSプロバイダを維持したままです。 そんなことが可能なのか?
はい。CISは CNAME(部分) コンフィギュレーションをサポートしています。 このオプションは、権威DNSプロバイダーを変更できない状況において、 CIS のグローバルネットワークを通じて個々のドメインのみをプロキシすることを可能にします。 部分的なセットアップを行うと、CIS へのレコードの実際の解決は、権威DNSプロバイダで追加されたCNAMEレコードに依存します。 CISは、部分的なセットアップではDNSレコードの解決が異なることに留意してください。
DNS TTL のデフォルトは何ですか?
DNS 存続時間 (TTL) のデフォルト (秒単位) は以下のとおりです。
- A レコードや CNAME などのレコードの場合、自動 TTL は 300sです。
なぜプライバシーの警告が表示されるのですか?
IBM Cloud CIS によって発行される TLS 証明書は、ルート・ドメイン (example.com
) と 1 レベルのサブドメイン (*.example.com
) をカバーします。 第 2 レベル・サブドメイン (*.*.example.com
) に到達しようとすると、ブラウザーにプライバシー警告が表示されます。これは、これらのホスト名が SAN に追加されていないためです。
いずれかのパートナー認証局 (CA) が新規証明書を発行するまで、最大 15 分待ってください。 新規証明書がまだ発行されていない場合は、プライバシーに関する警告がブラウザーに表示されます。
なぜ SSL 証明書が無効というエラーが表示されるのですか?
サイトへのアクセス時に「エラー 526、SSL 証明書が無効です (Error 526, Invalid SSL Certificate)」が表示された場合は、起点証明書が無効である可能性があります。 CIS プロキシーを有効にする場合、デフォルトの SSL モードの起点で、「エンドツーエンド - CA 署名」という有効な CA 署名証明書が必要です。 以前の SSL モードのデフォルト設定は「エンドツーエンド - フレキシブル」だったことに注意してください。この場合、起点で提示される証明書の妥当性は無視されます。 この新しいデフォルトは、新たに追加したドメインにのみ適用されます。 デフォルトの SSL モードがエンドツーエンド - フレキシブルだった時点で追加されたドメインの場合、この設定は上書きされません。 このモードをより制限の緩いモードに変更することは可能ですが、実稼働環境にはお勧めしません。
DDoS とは何ですか?
分散型サービス妨害 (DDoS) 攻撃とは、複数のソースからトラフィックを大量に送信することでオンライン・サービスを使用不可にする攻撃です。 DDoS 攻撃では、乗っ取られた複数のコンピューター・システムがサーバー、Web サイト、その他のネットワーク・リソースなどのターゲットを攻撃し、ターゲットのリソースのユーザーに影響を与えます。
ターゲット・システムに着信メッセージ、接続要求、不正な形式のパケットを大量送信することで、システムの処理を遅延させ、あるいは、クラッシュやシャットダウンを誘発して、正当なユーザーやシステムへのサービスを拒否させます。 DDoS 攻撃は、個人の犯罪者ハッカーから組織化された犯罪集団、政府機関まで、さまざまな攻撃者によって実行されています。
DDoS 攻撃のターゲットになった場合の対応方法
ステップ1: 概要ページで「防御モード」をオンにする。
ステップ 2: セキュリティーが最大になるように DNS レコードを設定します。
ステップ 3: IBM CIS からの要求の速度を制限したり抑えたりしないでください。IBM からこの状態に関する支援を受けるには、帯域幅が必要です。
ステップ 4: 必要に応じて、特定の国や訪問者をブロックします。
522 エラーが表示されました。何をすればよいですか?
522 エラーは、IBM がお客様のオリジン・サーバー (お客様のホスト) との接続を確立できなかったことを示しています。 接続に失敗した約 15 秒後に、接続が閉じられ、522 エラー・ページが表示されます。
この問題は、通常、ファイアウォールまたはセキュリティー・ソフトウェアで誤って IBM の IP アドレスをブロックしたことが原因で発生します。 CIS はリバース・プロキシーとして機能するため、お客様のサイトへの接続は CIS の IP 範囲からの接続のように見えます。 この振る舞いにより、いくつかのファイアウォールがそれらの接続をブロックした結果、お客様のサイトの訪問者にコンテンツを正しく表示できないことがあります。
この問題を解決するには、 CIS allowlisted IP addresses ページに記載されている、 CIS IPレンジをすべて許可リストに入れるよう、ホストに依頼してください。
522 エラーを回避するには、これらの IP をすべて許可リストに登録する必要があります。 また、これらの範囲の IP がブロックされていないか確認することも大切です。
また、522 エラーはネットワーク接続の問題が原因で発生することもあるので、サーバーとネットワークが全体的に正常であり、過負荷になっていないことを確認してください。
前述の手順を実行してもまだエラーを受け取る場合は、IBM CIS サポートに連絡し、次を確認してください。
- IBM の IP 範囲を許可リストに登録済みであること
- サーバー/ネットワークがオンラインであり、全体的に正常であること
サポートチームにお問い合わせの際は、最近発生した522エラーのレイIDをお知らせください。 IBM はこれを使用して、お客様が利用していた CIS データ・センターを特定し、それ以降のテストを実行できます。
プロキシー・レコードとは何ですか? なぜプロキシー・レコードが必要なのですか?
プロキシー・レコードとは、IBM CIS でトラフィックを中継するレコードのことです。 プロキシー・レコードだけが、お客様のオリジン IP アドレスを CIS の IP に置き換えて保護する IP マスクなどの CIS の利点を活用できます。
$ whois 104.28.22.57 | grep OrgName
OrgName: IBM
(DNS は解決するものの) ドメインで CIS をバイパスしたい場合は、レコードをプロキシーしないという方法を取ることができます。
DNS 検証エラー 1004 を受け取りましたが、どうすればよいですか?
ページ・ルールが機能するには、お客様のゾーンを DNS で解決する必要があります。 つまり、お客様のゾーンのプロキシー DNS レコードを作成する必要があります。
ルート・レコードに CNAME を追加できますか?
はい。 IBM CIS は「CNAME フラット化」と呼ばれる機能をサポートしています。ユーザーはこの機能を使用して、CNAME をルート・レコードとして追加できます。 権限 DNS サーバーは CNAME のターゲットのレコードを列挙し、CNAME 自体の代わりにこれらのレコードで応答するので、ユーザーがドメインのルートで CNAME を構成したことが効果的に隠されます。
デフォルトのヘルス・チェック・タイムアウト値は何ですか?
無料トライアル・プランと標準プランのデフォルトのヘルス・チェック・タイムアウトは 60 秒です。
非 HTTP/HTTPS トラフィック用にヘルス・チェックを構成できますか?
いいえ。ヘルス・チェックは HTTP/HTTPS のみで構成できます。
非 HTTP/HTTPS トラフィック用にグローバル・ロード・バランサーを構成できますか?
いいえ。グローバル・ロード・バランサーを構成できるのは HTTP/HTTPS だけです。
起点プール内の自分の起点をすべて無効にすると、プール自体も全体が無効になりますか?
はい。起点プールがロード・バランサー内で使用されている場合、トラフィックは次に優先度の高いプールかフォールバック・プールにルーティングされます。
Kubernetes 入口でエラーが発生します。どうすればよいですか?
Kubernetes 入口のホスト名は、小文字の英数字、-
または .
で構成されていなければならず、先頭と末尾は英数字でなければなりません。 ロード・バランサー名に _
を使用することは許可されていますが、Kubernetes クラスターで入口エラーが発生する可能性があります。 Kubernetes クラスターで問題が発生しないようにするには、ロード・バランサー名に -
を使用しないことをお勧めします。
エッジ機能アクションを保存しようとして 502 エラーを受け取りました。どうすればよいですか?
IBM サポートに問い合わせて、保存しようとしたスクリプトを提供してください。
サービス・インスタンス ID を調べるにはどうすればよいですか?
サービス・インスタンス ID を調べるには、概要ページの CRN をコピーします。 以下に例を示します。
crn:v1:test:public:internet-svcs:global:a/2c38d9a9913332006a27665dab3d26e8:836f33a5-d3e1-4bc6-876a-982a8668b1bb::
CRN の末尾部分がサービス・インスタンスです: 836f33a5-d3e1-4bc6-876a-982a8668b1bb
。
別の方法として、リソース・リストのメインページで CIS インスタンスを含む行をクリックして、サービス・インスタンス ID の GUID をコピーすることもできます。
CIS はリソースを圧縮しますか?
はい。 CIS は、一部のタイプのコンテンツに「gzip」圧縮と「brotli」圧縮を適用します。 また、 CIS は、ページのロード時間を短縮するために、ブラウザーの UserAgent に基づいて項目を圧縮します。
すでに gzip を使用している場合、Web サーバーからのファイルの詳細情報がヘッダーで渡されれば、CIS はご利用の gzip 設定を受け入れます。
CIS は、起点サーバーに対してコンテンツ・タイプ "gzip" のみをサポートしており、 配信できるコンテンツも、gzip 圧縮、brotli 圧縮、または圧縮なしのいずれかのコンテンツのみとなります。
CIS のリバース・プロキシーも圧縮フォーマットと解凍フォーマットとの間の変換を行うことができます。つまり、コンテンツをお客様の起点サーバーから gzip を経由してプルし、解凍したものをクライアントに提供すること (またはその逆のこと) ができます。 これはキャッシュとは無関係に実行されます。
Accept-Encoding ヘッダーは考慮されず、削除されます。
CIS API に対していくつの要求を行うことができますか?
CIS API のグローバル・レート制限は、ユーザーごとに 5 分当たり 1200 要求であり、要求が UI、CLI、Terraform、または API のいずれを介して行われたかに関係なく累積的に適用されます。
プライベート IP で CIS を使用できますか?
プライベート IP (RFC1918) には、プロキシー化されていない CIS セットアップを介して DNS ルックアップを使用してアクセスできます。 ただし、このセットアップでは、ほとんどの CISの拡張機能 (CDN や WAF など) にアクセスできません。 プライベート IP の場合、 CIS は Name-to-Address 変換のみを処理します。 プライベート・ネットワークへの接続は、お客様の責任で行っていただきます。
Cloudflareのネットワークは、エッジトラフィックにどのポート範囲を使用していますか?
プロキシが有効になっている場合、トラフィックはCloudflareネットワークを経由してオリジンサーバーにルーティングされます。 このトラフィックは、 1024-65535
の範囲内のどのポートからでも発生する可能性があります。 お客様の環境でネットワーク・アクセス制御リスト(ACL)を設定する際には、このポート範囲からの入力トラフィックと出力トラフィックの両方が許可されていることを確認してください。
CIS はクロック同期をどのように処理しているのか?
ISO 27001の要件を満たすには、すべての関連システムが統一された時間ソースと同期していなければならない。 IBM CIS CIS では、以下の内部NTPサーバーを使用しています:
time.adn.networklayer.com
time.service.networklayer.com
CIS、トラフィックのスクラビングはどのように処理されるのですか?
CIS は、388Tbpsのグローバル・エッジ・ネットワークを使用して、センターをスクラビングすることなく、大量の 攻撃を軽減している。 DDoS 攻撃はエッジで分析され、ブロックされる。 保護されたトラフィック(クリーンなリクエストとレスポンス)のみが課金される。 悪意のあるトラフィックは除外される。
CIS、グローバル・トラフィックとヘルス・チェックに使用しているネットワークは?
CIS そのデータプレーンはCloudflareのグローバルなAnycastネットワーク上で動作しており、そのネットワークは世界中の何百もの都市にまたがっている。 このネットワークは、高速で信頼性の高いトラフィックのルーティングと DDoS。
ヘルスチェックのリクエストはこの分散ネットワークから発信されるため、ヘルスチェックで利用可能なリージョンは Cloudflare Global Anycast Networkに基づいています。
CIS はどのようにコスト保護を提供しているのか?
CIS は、DDoS 緩和、ファイアウォール、またはレート制限の一部としてブロックされているトラフィックについては、計測も課金もしません。 料金または使用量が発生するのは、 CIS ネットワークを介して起点宛先に渡される要求のみです。
CIS は、発信元が応答する必要がある良好な要求のみを渡すことで、発信元からの出口帯域幅の料金を制御下に維持するのにも役立ちます。 すべての CIS プランで、DDoS 攻撃の緩和策が無制限かつ定額で提供されます。 攻撃トラフィックに対して課金されることはなく、攻撃によってトラフィックが急増してもペナルティやチャージバックはありません。