要塞ホストが実行されたら、このトピックではその基本的なネットワーク設定を調整する方法について説明します。セキュリティグループの変更、アクセス可能な IP アドレスの制限、デフォルトの管理ポートの更新、ゾーン間での vSwitch の移動、出口 IP アドレスの検索などのタスクを実行する方法を学びます。
Bastionhost コンソールにログインします。
左側のナビゲーションウィンドウで、[インスタンス] をクリックします。
[インスタンス] ページで、ターゲットの要塞ホストを見つけ、要件に基づいて要塞ホストを設定するには、次の表をご参照ください。
機能
シナリオ
セキュリティグループの設定
要塞ホストがセキュリティグループ内のアセットにアクセスできるようにします。
説明複数のセキュリティグループを選択できます。
ホワイトリストの設定
要塞ホストのパブリックドメイン名にアクセスできる IP アドレスを制限します。
ポート番号の設定
要塞ホストの SSH プロトコル O&M のデフォルトポートは 60022 で、RDP プロトコル O&M のデフォルトポートは 63389 です。要塞ホストの O&M ポートをカスタマイズする場合は、この機能を使用します。
説明1 から 1,024 までのポート番号は Bastionhost 用に予約されています。この範囲のポート番号を指定しないことを推奨します。
出口 IP アドレスと関連設定の取得
要塞ホストの出口 IP アドレスは、要塞ホストがアセットにアクセスする際のソース IP アドレスです。出口 IP アドレスは、出口パブリック IP アドレスと出口プライベート IP アドレスに分かれています。接続の失敗を防ぐために、Elastic Compute Service (ECS) のセキュリティグループ、ファイアウォール、およびデータベースのホワイトリストで要塞ホストの出口 IP アドレスを許可することを推奨します。データベースのホワイトリストの詳細については、「IP アドレスホワイトリストの設定」をご参照ください。
説明要塞ホストを ECS の基本セキュリティグループに追加した場合、要塞ホストの出口 IP アドレスを許可するルールがセキュリティグループに自動的に追加されます。ECS インスタンスを高度セキュリティグループに追加した場合は、要塞ホストの出口 IP アドレスを許可するルールをセキュリティグループに手動で追加します。詳細については、「セキュリティグループルールの追加」をご参照ください。
プライベートで使用されるパブリック IP アドレスの設定
アセットにプライベートネットワーク内で使用されるパブリック IP アドレスが割り当てられている場合は、この機能を使用して正しいネットワークマッピングを設定します。これにより、要塞ホストはアセットに正常にアクセスできるようになります。プライベートで使用されるパブリック IP アドレスの値を
IP アドレス/サブネットマスク形式で指定します。複数の IP アドレスまたはサブネットマスクはコンマ (,) で区切ります。最大 50 個の IP アドレスまたはサブネットマスクを指定できます。例:192.168.XX.XX/32,172.16.XX.XX/32。警告プライベートで使用されるパブリック IP アドレスを設定すると、現在の O&M セッションは切断されます。オフピーク時にプライベートで使用されるパブリック IP アドレスを設定することを推奨します。
マルチゾーンの設定
Bastionhost Enterprise または SM2 Edition を使用している場合は、この機能を使用して仮想プライベートクラウド (VPC) 内の vSwitch に異なるゾーンを設定し、高いネットワーク可用性を確保します。
警告プライマリゾーンとセカンダリゾーンを設定すると、現在の O&M 接続は切断されます。オフピーク時にプライマリゾーンとセカンダリゾーンを設定することを推奨します。
ゾーンを設定すると、要塞ホストのプライベート O&M アドレスが解決される IP アドレスが変更されます。要塞ホストのコンソールに表示されるプライベート O&M アドレスを使用して O&M 操作を実行します。
要塞ホストのプライベート出口 IP アドレスも変更されます。セキュリティグループルールが IP アドレスに基づいて設定されている場合、O&M が失敗する可能性があります。セキュリティグループルールを再設定してください。
他のアクセス制御ポリシーがプライベート O&M アドレスに基づいて設定されている場合は、ファイアウォールのポリシーなど、ポリシーを再設定してください。
vSwitch に異なるゾーンを設定すると、プライベート O&M アドレスは 2 つの IP アドレスに解決されます。
別のゾーンへの切り替え
Bastionhost Basic Edition を使用している場合は、この機能を使用して VPC 内の vSwitch を別のゾーンに切り替えます。これにより、現在のゾーンが利用できなくなった場合に要塞ホストにアクセスできなくなるのを防ぎます。
警告vSwitch を別のゾーンに切り替えると、現在の O&M 接続が終了する場合があります。オフピーク時に vSwitch を別のゾーンに切り替えることを推奨します。
ゾーンを設定すると、要塞ホストのプライベート O&M アドレスが解決される IP アドレスが変更されます。要塞ホストのコンソールに表示されるプライベート O&M アドレスを使用して O&M 操作を実行します。
要塞ホストのプライベート出口 IP アドレスも変更されます。セキュリティグループルールが IP アドレスに基づいて設定されている場合、O&M が失敗する可能性があります。セキュリティグループルールを再設定してください。
他のアクセス制御ポリシーがプライベート O&M アドレスに基づいて設定されている場合は、ファイアウォールのポリシーなど、ポリシーを再設定してください。
プライベートネットワーク O&M の有効化
プライベートネットワーク O&M を有効にすると、純粋な内部ネットワーク環境で要塞ホストにアクセスできます。詳細については、「プライベートネットワーク O&M の有効化」をご参照ください。