運用保守 (O&M) の高いセキュリティ要件を満たすために、Bastionhost では、O&M ポータルまたはホストコンソールからプライベートネットワーク経由で Web ベースの O&M を実行できます。このトピックでは、内部ネットワーク内から Bastionhost にアクセスするためにプライベート O&M を有効にする方法について説明します。
背景情報
Bastionhost は PrivateLink と統合して、仮想プライベートクラウド (VPC) と要塞ホスト間に安全で安定したプライベート接続を確立します。これにより、O&M ポータルにアクセスし、プライベートネットワーク経由で Web ベースの O&M を実行でき、接続のセキュリティが向上します。
エディションの制限
Bastionhost Enterprise Edition および SM Edition のみがプライベート O&M をサポートしています。インスタンスの購入またはスペックアップ方法の詳細については、「インスタンスの購入」および「インスタンスタイプのスペックアップ」をご参照ください。
影響
プライベート O&M を有効にすると、要塞ホストインスタンスに次の影響があります。
プライベート O&M を有効にすると、プライベート O&M アドレスは新しい IP アドレスに解決されます。O&M 操作には、コンソールで提供される O&M ドメイン名を使用する必要があります。
プライベート O&M アドレスの解決済み IP アドレスに基づくファイアウォールルールなどのアクセスの制御ポリシーがある場合、プライベート O&M を有効にした後、新しい IP アドレスでポリシーを更新する必要があります。
手順
Bastionhost コンソールにログインします。上部のナビゲーションバーで、Bastionhost インスタンスが配置されているリージョンを選択します。
[インスタンス] ページで、ターゲットインスタンスを見つけ、 を選択します。
[プライベート O&M の有効化] パネルで、PrivateLink エンドポイントセキュリティグループを選択し、[OK] をクリックします。
重要vSwitch を変更すると、プライベートエグレス IP アドレスも変更されます。プライベートエグレス IP アドレスに基づくファイアウォールルールなどのアクセスの制御ポリシーがある場合は、新しい IP アドレスを使用するようにポリシーを更新する必要があります。
このプロセス中、要塞ホストインスタンスは [スペックアップ/スペックダウン中] 状態になり、アクセスできません。このプロセスには約 20 分かかります。オフピーク時にこの操作を実行することをお勧めします。
PrivateLink 接続のエンドポイントセキュリティグループを選択した後は、変更できません。
次のステップ
クライアントアクセスの許可ルール
プライベートネットワーク経由で Web ベースの O&M を実行するには、クライアントが要塞ホストが存在する VPC に接続できることを確認する必要があります。また、クライアントからのアクセスを許可するために、PrivateLink エンドポイントセキュリティグループにルールを追加する必要もあります。そうしないと、クライアントは要塞ホストのプライベート O&M アドレスにアクセスできません。次の一覧は、一般的な Bastionhost サービスとそれに必要なポートを示しています。必要に応じて、セキュリティグループルールを設定できます。
SSH ベースの O&M: 60022
RDP ベースの O&M: 63389
セッション再生ポート: 9443
ホスト O&M ポートおよび O&M ポータル: 443
Bastionhost アシスタントポート: 20045
たとえば、クライアント IP アドレスが 192.168.0.1 の場合、次の図に示すように、SSH ベースの O&M のセキュリティグループルールを追加できます。セキュリティグループルールの追加方法の詳細については、「セキュリティグループルールの追加」をご参照ください。
関連ドキュメント
Web ベースの O&M 操作の実行方法の詳細については、「Web ベースの O&M」をご参照ください。