マルチリージョンの運用・保守(O&M)アクセスは、パブリックネットワークの品質に左右されやすく、高遅延、パケット損失、接続不安定といった課題が発生しやすくなります。また、監査および権限管理にも困難を伴います。本トピックでは、Global Accelerator (GA) を活用して O&M トラフィックを最寄りの Alibaba Cloud バックボーンネットワークへルーティングする方法について説明します。Bastionhost と組み合わせることで、安定的かつ完全に監査可能な O&M チャンネルを実現できます。
背景情報
複数のリージョンに業務システムを展開している企業では、リソースやエクスペリエンスの再利用を目的として、従業員が地理的に異なる場所から開発および O&M 作業を行うことが一般的です。これにより、ネットワークアーキテクチャが複雑化します。マルチリージョンアクセスには、以下のような課題が典型的に存在します。
高いセキュリティリスク:データが複数のネットワークノードを経由して転送されるため、データ漏洩のリスクが高まります。
権限管理の困難さ:統一された権限制御プラットフォームがない場合、複数リージョンにわたる権限管理は困難になります。
厳しいコンプライアンス要件:各国・各地域におけるデータセキュリティおよびプライバシー保護に関する規制への準拠が求められます。
低いネットワーク品質:パブリックネットワークを介したクロスリージョンアクセスでは、高遅延、パケット損失、接続不安定といった問題が発生しやすくなります。
Alibaba Cloud Bastionhost は、O&M セキュリティのための統合管理プラットフォームです。O&M 権限を集中管理し、操作行動を制御するとともに、O&M シナリオをリアルタイムで復元します。これにより、O&M 活動の識別性、権限の制御可能性、操作の監査可能性が確保されます。さらに、Alibaba Cloud Global Accelerator (GA) と Alibaba Cloud の高品質グローバルネットワークインフラストラクチャを併用することで、マルチリージョンにおける O&M および開発体験を大幅に向上させるとともに、O&M セキュリティ制御要件も満たします。
シナリオ
多国籍企業の O&M:企業が複数の国またはリージョンに業務システムを展開しており、IT O&M エンジニアがクロスリージョンアクセスでそれらを管理する必要があるケース。
グローバルに分散したチーム間の連携:開発および O&M チームが異なるリージョンに分散しており、同一のインフラストラクチャにアクセスする必要があるケース。
国際事業向けの O&M 管理:企業が複数のリージョンで事業を展開しており、単一のリージョンから他リージョンのリソースを集中管理する必要があるケース。
高いコンプライアンスおよび監査要件を有するシナリオ:金融および医療などの業界では、クロスリージョン O&M に対して厳格な監査およびコンプライアンス要件が課せられます。
メリット
シンプルなデプロイメント:数分で構成およびデプロイ可能。コンソールからグローバルリソースを集中管理することで、迅速な本番投入およびアジャイルな O&M を実現します。
安定性および信頼性:Alibaba Cloud のグローバルなポイント・オブ・プレゼンス(POP)および高品質なボーダーゲートウェイプロトコル(BGP)帯域幅を活用することで、マルチリージョンアクセスにおけるネットワーク遅延およびパケット損失率を大幅に低減します。また、複数ノード間でのインテリジェントなトラフィックスケジューリングをサポートし、単一障害点を自動回避することで、高可用性(HA)を確保します。
セキュアかつコンプライアンス対応:Bastionhost はすべての O&M 操作を記録し、画面録画の再生および監査トレイルを提供します。また、細かい粒度での権限管理を実現し、等級保護(classified protection)のコンプライアンス要件を満たします。
プロトコル互換性:Secure Shell(SSH)、RDP、MySQL、PostgreSQL などの主要プロトコルをサポートします。ハイブリッドクラウドおよびマルチリージョンアーキテクチャに適しています。
ソリューションアーキテクチャ
世界中のさまざまなリージョンから Bastionhost インスタンスにアクセスするユーザーを例に挙げます。エンドユーザーは最寄りの GA POP にアクセスし、そのトラフィックが POP 経由で Bastionhost インスタンスへ転送されます。これにより、ネットワーク遅延およびパケット損失率が大幅に低減されます。
加速エリア(エンドユーザーが Bastionhost にアクセスする際の所在地):
エリア
対応リージョン
アジア太平洋 - 中国
中国 (杭州), 中国 (上海), 中国 (青島), 中国 (北京), 中国 (ウランチャブ), 中国 (深セン), 中国 (広州), 中国 (成都), 中国 (香港)
アジア太平洋 - その他
日本 (東京), 韓国 (ソウル), シンガポール, マレーシア (クアラルンプール), インドネシア (ジャカルタ), フィリピン (マニラ), タイ (バンコク), ベトナム (ホーチミン) Edge POP
ヨーロッパおよびアメリカ
ドイツ (フランクフルト), イギリス (ロンドン), 米国 (シリコンバレー), 米国 (バージニア), カナダ (トロント) Edge POP, カナダ (バンクーバー) Edge POP, メキシコ
エンドポイント(Bastionhost インスタンスが配置されているリージョン):
説明Bastionhost インスタンスのリージョンが以下のリストに含まれていない場合は、地理的に最も近いリージョンを選択してください。GA は自動的にトラフィックを最適なノードへルーティングします。
エリア
対応リージョン
アジア太平洋 - 中国
中国 (杭州), 中国 (上海), 中国 (青島), 中国 (北京), 中国 (ウランチャブ), 中国 (深セン), 中国 (広州), 中国 (成都), 中国 (香港)
アジア太平洋 - その他
日本 (東京), 韓国 (ソウル), シンガポール, マレーシア (クアラルンプール), インドネシア (ジャカルタ), フィリピン (マニラ), タイ (バンコク), ベトナム (ホーチミン) Edge POP
ヨーロッパおよびアメリカ
ドイツ (フランクフルト), イギリス (ロンドン), 米国 (シリコンバレー), 米国 (バージニア), メキシコ
前提条件
開始する前に、以下の条件を満たしていることを確認してください。
Bastionhost インスタンス:インスタンスが作成済みであり、パブリックネットワークアクセスが有効化されています。
カスタムドメイン名:Bastionhost へのアクセスに使用するカスタムドメイン名(例:
bh.yourcompany.com)を所有しており、当該ドメイン名に対する DNS 解決権限を有しています。SSL 証明書:HTTPS 暗号化を有効化するために、当該ドメイン名向けの有効な SSL 証明書を所有しています。
操作手順
ステップ 1:Global Accelerator インスタンスの作成
インスタンスの基本設定
Global Accelerator コンソールの インスタンス ページに移動し、標準タイプの従量課金型インスタンスの作成 をクリックします。
インスタンスの基本設定 ステップで、以下のパラメーターを設定します。
GA インスタンス名:インスタンスの名前を入力します。
高速化 IP アドレスのタイプ:EIP を選択します。Global Accelerator は各アクセラレーションエリアごとに独立した EIP を割り当てます。
次へ をクリックし、アクセラレーションエリアの設定 ステップへ進みます。
アクセラレーションエリアの設定
アクセラレーションエリア:Bastionhost サービスのエンドユーザーが所在するリージョンを選択します。例:中国 (成都)。
説明宛先 Bastionhost インスタンスが配置されているリージョンは選択しないでください。アクセラレーションエリアと Bastionhost インスタンスのリージョンが一致すると、当該リージョンでのアクセラレーションが無効になります。
帯域幅の割り当て:各 アクセラレーションエリア に対して以下の設定を行います。
帯域幅ピーク値:デフォルト値は 200 Mbps です。必要に応じて調整可能です。
IP プロトコル:IPv4 を選択します。
次へ をクリックし、リスナーの設定 ステップへ進みます。
リスナーの設定
リスナー名:リスナーの名前を入力します。
プロトコル:TCP。
ポート:本ソリューションでは、Bastionhost の RDP および SSH サービスのデフォルトポートを使用します。ポートをカスタマイズしている場合は、変更後のポートを指定してください。
63389:RDP O&M プロトコルポート。60022:SSH O&M トラフィックポート。
説明これらのポートをカスタマイズしている場合は、設定を必要に応じて調整してください。
次へ をクリックし、エンドポイントグループの設定 ステップへ進みます。
エンドポイントグループの設定
リージョン:Bastionhost インスタンスが配置されているリージョンを選択します。
バックエンドサービスタイプ:カスタムドメイン名。
バックエンドサービス: 宛先 Bastionhost インスタンスの Public アドレス(例:
nl******ur-public.bastionhost.aliyuncs.com)。説明Bastionhost インスタンスの Public アドレスは、以下の方法で確認できます。
Bastionhost インスタンス一覧ページへ移動し、宛先インスタンスを検索して、Public フィールドでアドレスを確認します。
Bastionhost インスタンスの詳細ページへ移動し、左側メニューの Overview をクリックし、右側の 要塞ホスト情報 セクションで Public アドレスを確認します。
クライアント IP の保持:維持する。
説明ソース IP パススルーおよび監査要件:操作監査およびアクセス制御などの目的で Bastionhost が実際のクライアントソース IP を記録できるようにするため、クライアント IP の保持 を "維持する" に設定する必要があります。
特定リージョンの制限事項:鄭州および 中国 (ウランチャブ) リージョンの Bastionhost インスタンスでは、Bastionhost O&M ポータル(ポート 443 の Web コンソール)が実際のクライアントソース IP を記録できません。この制限は Web O&M ポータルのみに適用されます。RDP、SSH、データベースプロトコル(ポート 60022 や 63389 など)を用いた接続には影響しません。
クライアントの IP アドレスを取得:ProxyProtocol。
次へ をクリックし、設定監査 ステップへ進みます。
設定監査
入力内容に誤りがないことを確認し、[送信] をクリックします。
構成完了ページで約 1 分待機し、操作が成功したら、インスタンスの詳細に移動する をクリックします。この時点で、当該構成に該当するユーザーによる宛先 Bastionhost インスタンスへのアクセスが即座にアクセラレーションされます。
ステップ 2:Bastionhost O&M ポータルのアクセラレーション設定
「インスタンス」ページへ移動します。このページは Global Accelerator コンソールにあります。前のステップで作成したインスタンスを検索し、インスタンス名をクリックして、インスタンスの詳細ページに移動します。
インスタンスの詳細ページで、 をクリックし、リスナーを追加 ページへ移動して以下のパラメーターを設定します。
リスナーおよびプロトコルの設定
リスナー名:リスナーの名前を入力します。
プロトコル:HTTPS。
HTTP プロトコルの最大バージョン:HTTP/1.1。
ポート: 443.
サーバー証明書を選択する:カスタムドメイン名(例:
bh.yourcompany.com)へのアクセスに必要なデジタル証明書を選択します。ドロップダウンリストには、Certificate Management Service に登録済みの有効な SSL 証明書が表示されます。SSL 証明書の購入については、「公式証明書の購入」をご参照ください。
第三者から購入した SSL 証明書をアップロードする場合は、「ローカル証明書のアップロード」をご参照ください。
次へ をクリックし、エンドポイントの設定 ステップへ進みます。
エンドポイントの設定
エンドポイントグループ名:エンドポイントグループの名前を入力します。
リージョン:Bastionhost インスタンスが配置されているリージョンを選択します。
バックエンドサービスタイプ:カスタムドメイン名。
バックエンドサービス:宛先 Bastionhost インスタンスの Public アドレス(例:
nl******ur-public.bastionhost.aliyuncs.com)。説明Bastionhost インスタンスの Public アドレスは、以下の方法で確認できます。
Bastionhost インスタンス一覧ページへ移動し、宛先インスタンスを検索して、Public フィールドでアドレスを確認します。
Bastionhost インスタンスの詳細ページへ移動し、左側メニューの Overview をクリックし、右側の 要塞ホスト情報 セクションで Public アドレスを確認します。
バックエンドサービスプロトコル:HTTPS。
プロトコルのバージョン:HTTP/1.1。
次へ をクリックし、設定監査 ステップへ進みます。
設定監査
情報に誤りがないことを確認後、次へ をクリックします。
構成完了ページで約 1 分待機し、操作が成功したら、リスナーのリストを表示する をクリックします。
ステップ 3:DNS の設定
Global Accelerator コンソールの インスタンス ページに移動し、前の手順で作成したインスタンスを探し、インスタンス名をクリックしてインスタンス詳細ページに移動します。
インスタンスの詳細ページで、インスタンス情報 タブに切り替え、 をコピーします。
ご利用のドメイン名プロバイダーの DNS 管理コンソールへ移動し、カスタムドメイン名(例:
bh.yourcompany.com)に対して、コピーした CNAME アドレスを指す CNAME レコードを追加します。
アクセラレーションエリアに中国本土が含まれる場合は、カスタムドメイン名に ICP 登録が必要です。
ステップ 4:アクセラレーション効果の検証
DNS レコードが有効化された後(通常数分~数十分程度かかります)、以下の方法でアクセラレーション効果を検証できます。
接続性テスト:ブラウザからカスタムドメイン名(例:
https://bh.yourcompany.com)にアクセスし、Bastionhost O&M ポータルが正常に開き、ログインできることを確認します。パフォーマンス比較テスト: 以下の手順でテストを実行します。詳細については、「GA のアクセラレーションパフォーマンスをテストする」をご参照ください。
即時検出 ページへ移動します。
Ping検出 タブに切り替え、検出先のプローブリージョン(Bastionhost サービスのユーザーが所在するリージョン)を設定します。
比較検出 をクリックします。Bastionhost インスタンスの Public アドレス(例:
nl******ur-public.bastionhost.aliyuncs.com)およびカスタムドメイン名(例:bh.yourcompany.com)を入力し、今すぐ検出 をクリックします。テスト結果より、有効化済みのアクセラレーションリージョンから Bastionhost の Public アドレスおよびカスタムドメイン名(例:
bh.yourcompany.com)にアクセスした場合、後者のネットワーク遅延が前者よりも大幅に低くなることが確認できます。
コストおよびリスク
コスト内訳:GA は標準の従量課金方式を採用しています。コストは主にインスタンス料金、計算ユニット(CU)料金、およびトラフィック料金で構成されます。各アクセラレーションエリアのピーク帯域幅を必要に応じて調整することで、コストを制御できます。「標準 GA インスタンスの従量課金」をご参照ください。
主なリスク:HTTPS リスナーで使用する SSL 証明書には有効期限があります。有効期限が切れた証明書は O&M ポータルへのアクセスを不可能にします。証明書の有効期限に注意し、期限切れ前に更新してください。
本番環境に適用
セキュリティ強化
O&M アカウントのパスワードを定期的に変更します。
操作承認ワークフローを有効化します。
機密性の高いコマンドに対してブロックルールを設定します。
権限設定を定期的に監査します。
パフォーマンス最適化
実際の使用状況に基づいて GA の帯域幅を調整します。
必要に応じてクライアントアフィニティを設定します。
最寄りのアクセラレーション POP を使用します。
ネットワーク品質メトリックを定期的に監視します。
O&M 標準
標準的な O&M 手順を確立します。
監査ログを定期的にバックアップします。
緊急対応計画を作成します。
定期的にセキュリティ演習を実施します。