Bastionhost のネットワークドメイン機能を使用すると、異なるネットワークにあるアセット、または Bastion ホストの仮想プライベートクラウド (VPC) と直接通信できないアセットに対して、集中型の O&M 操作を実行できます。 これらのアセットに対してプロキシサーバーを構成し、Bastion ホストのネットワークドメインを作成し、ネットワークドメインをプロキシサーバーに接続できます。 その後、Bastion ホストを使用してアセットに対して O&M 操作を実行できます。 このトピックでは、ネットワークドメイン機能の使用方法について説明します。
背景情報
ネットワークドメイン機能は、ハイブリッドクラウドシナリオに最適な O&M ソリューションを提供します。 たとえば、この機能を使用して、データセンター、異種クラウド、VPC にわたるアセットに対して O&M 操作を実行できます。 ほとんどの場合、企業のアセットは異なるリージョンにデプロイされており、Bastion ホストと通信できない場合があります。 パブリック IP アドレスまたは専用回線を使用してアセットに接続できます。 ただし、パブリック IP アドレスはセキュリティリスクをもたらす可能性があり、専用回線はネットワークコストが高くなります。 このような場合は、ネットワークドメイン機能のプロキシモードを使用して、データセンター、異種クラウド、VPC など、異なるネットワークにあるアセットに対して O&M 操作を実行できます。 プロキシモードは Bastionhost Enterprise Edition でサポートされています。 ネットワークドメイン機能のプロキシモードでの O&M のベストプラクティスについては、「ハイブリッド O&M のベストプラクティス」をご参照ください。
サポートされているバージョン
Enterprise Edition および SM Edition。
Bastionhost インスタンスが Basic Edition の場合は、対応するバージョンにアップグレードしてください。 詳細については、「インスタンスタイプのアップグレード」をご参照ください。
プロキシ方式
ネットワークプロキシ方式は、SSH プロキシ、HTTP プロキシ、HTTPS プロキシ、および SOCKS5 プロキシをサポートしています。
送信されるコンテンツの暗号化をサポートしているため、SSH プロキシモードを選択することをお勧めします。 これにより、プレーンテキストデータ送信に関連するセキュリティリスクが軽減されます。
前提条件
ネットワークドメインにプロキシ接続が選択されている場合は、次のことを確認してください。
プロキシサーバーが構成されている。
プロキシサーバーと Bastion ホストが同じネットワーク環境を共有している。
プロキシサーバーの推奨構成
SSH、HTTP、HTTPS、または SOCKS5 プロキシサーバーをプライマリおよびセカンダリプロキシサーバーとして構成できます。 その後、プロキシサーバーを使用してアセットに対して O&M 操作を実行します。 次の表に、プロキシサーバーの推奨構成を示します。
(推奨) SSH プロキシサーバー
構成 | 説明 |
OS | SSH が有効になっている Linux ホスト。 |
構成方法 | Linux ホストにコンポーネントをインストールしたり構成を完了したりすることなく、Linux ホストを SSH プロキシサーバーとして使用できます。 |
CPU とメモリ | 2 コアおよび 4 GB のメモリ。 |
帯域幅 | 10 Mbit/s。 説明 実際の帯域幅の使用量は、同時 O&M セッションの数によって異なります。 リモートデスクトップから複雑な GUI ベースの操作を実行するために複数のセッションを開始すると、帯域幅の使用量が急増し、リモートセッションがフリーズする可能性があります。 このような場合は、Bastion ホストに追加の帯域幅を購入することをお勧めします。 同時 O&M セッション数の制限については、「制限」をご参照ください。 Bastion ホストに追加の帯域幅を購入する方法については、「Bastion ホストのアップグレード」をご参照ください。 |
HTTP、HTTPS、および SOCKS5 プロキシサーバー
構成 | 説明 |
OS | CentOS 6.9 以降を実行するホスト。 |
構成方法 | 詳細については、「サーバーを HTTP または SOCKS5 プロキシサーバーとして構成するにはどうすればよいですか?」または「サーバーを HTTPS プロキシサーバーとして構成するにはどうすればよいですか?」をご参照ください。 |
CPU とメモリ | 2 コアおよび 4 GB のメモリ。 |
帯域幅 | 10 Mbit/s。 説明 実際の帯域幅の使用量は、同時 O&M セッションの数によって異なります。 リモートデスクトップから複雑な GUI ベースの操作を実行するために複数のセッションを開始すると、帯域幅の使用量が急増し、リモートセッションがフリーズする可能性があります。 このような場合は、Bastion ホストに追加の帯域幅を購入することをお勧めします。 同時 O&M セッション数の制限については、「制限」をご参照ください。 Bastion ホストに追加の帯域幅を購入する方法については、「Bastion ホストのアップグレード」をご参照ください。 |
ネットワークドメインの作成
Bastion ホストを使用してネットワークドメイン内の複数のアセットに対して O&M 操作を実行するには、Bastion ホストのネットワークドメインを作成し、ネットワークドメインをプロキシサーバーに接続します。 これを行うには、次の手順を実行します。
Bastionhost コンソール にログインし、上部のナビゲーションバーでターゲットリージョンを選択します。
Bastion ホストリストで、ターゲットインスタンスを見つけて 管理 をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
[ネットワークドメイン] ページで、[ネットワークドメインの作成] をクリックします。 [ネットワークドメインの作成] パネルで、[ネットワークドメイン]、[備考]、および [接続モード] パラメータを構成します。
[直接接続]: Bastion ホストは、プロキシサーバーなしでアセットに接続されます。 デフォルトでは、アセットが初めて Bastion ホストにインポートされると、アセットは直接ネットワークに自動的に追加されます。 直接ネットワークは、[直接接続] モードのネットワークドメインです。
[プロキシ]: アセットが Bastion ホストと通信できない場合は、ネットワークリクエストを転送するようにプロキシサーバーを構成します。 プロキシサーバーを使用して、異なるネットワークにあるアセットに対して Bastion ホストを使用して O&M 操作を実行できます。
説明Bastionhost Basic Edition は、直接接続モードのみをサポートしています。
Bastionhost Enterprise Edition は、直接接続モードとプロキシモードの両方をサポートしています。
[プロキシ] を選択した場合は、少なくとも 1 つのプロキシサーバーを構成します。 次の例は、プライマリプロキシサーバーを構成する方法を示しています。
[プライマリプロキシサーバー] セクションで、[プロキシサーバーの作成] をクリックします。 表示されるダイアログボックスで、次のパラメータを構成します。
パラメータ
説明
[プロキシタイプ]
プロキシのタイプ。 有効な値:
SSH プロキシ
HTTP プロキシ
HTTPS プロキシ
SOCKS5 プロキシ
[サーバーアドレス]
プライマリプロキシサーバーのアドレス。
[サーバーポート]
プライマリプロキシサーバーのポート。
[ホストアカウント]
プライマリプロキシサーバーのアカウント。
[認証タイプ]
パスワード: プライマリプロキシサーバーのアカウントのパスワードを指定します。
秘密鍵: [プロキシタイプ] パラメータが [SSH プロキシ] に設定されている場合にのみ、この値を選択します。 この値を選択した場合は、プライマリプロキシサーバーのアカウントの秘密鍵を指定します。 暗号化パスワードも指定できます。
[サーバー名]
オプション。 サーバー証明書にバインドされているドメイン名または IP アドレス。 [プロキシタイプ] パラメータを [HTTPS プロキシ] に設定する場合は、このパラメータを指定します。
[証明書]
オプション。 サーバー証明書に対応する CA 証明書。 [プロキシタイプ] パラメータを [HTTPS プロキシ] に設定する場合は、このパラメータを指定します。
説明ネットワークドメイン機能を使用すると、プライマリプロキシサーバーとセカンダリプロキシサーバーを構成できます。 両方とも同じ方法で構成されます。 プライマリプロキシサーバーでエラーが発生した場合、セカンダリプロキシサーバーは自動的に Bastion ホストに接続されます。 ネットワークドメインの安定性を確保するために、セカンダリプロキシサーバーを構成することをお勧めします。
[接続テスト] をクリックします。 プライマリプロキシサーバーが接続テストに合格したら、[OK] をクリックします。
説明接続テストに失敗した場合は、パラメータが正しく構成されているかどうかを確認してください。
[ネットワークドメインの作成] をクリックします。
ネットワークドメインが作成されたことを示すメッセージが表示されます。 [ホストの追加] または [データベースの追加] をクリックして、O&M 下のホストまたはデータベースをネットワークドメインに追加できます。
転送するホストまたはデータベースをまだ決定していない場合は、後で転送を実行できます。 手順については、「ホストまたはデータベースの追加」をご参照ください。
次の手順
ホストまたはデータベースの追加
ネットワークドメインを作成した後、ホストまたはデータベースをネットワークドメインに追加できます。
Bastionhost コンソール にログインし、上部のナビゲーションバーでターゲットリージョンを選択します。
Bastion ホストリストで、ターゲットインスタンスを見つけて 管理 をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
[ネットワークドメイン] ページで、管理するネットワークドメインを見つけて、[アクション] 列の [ホストの追加] または [データベースの追加] をクリックします。
表示されるダイアログボックスで、ネットワークドメインに追加するホストまたはデータベースを見つけます。 次に、[アクション] 列の [追加] をクリックします。
ネットワークドメインに追加する複数のアセットを選択し、アセットリストの下にある [追加] をクリックすることもできます。 ネットワークドメインに複数のアセットを一度に追加できます。
ネットワークドメインの編集
名前、接続モード、プライマリおよびセカンダリプロキシサーバーなど、ネットワークドメインに関する基本情報を編集します。 ネットワークドメインからアセットを削除することもできます。 これを行うには、次の手順を実行します。
Bastionhost コンソール にログインし、上部のナビゲーションバーでターゲットリージョンを選択します。
Bastion ホストリストで、ターゲットインスタンスを見つけて 管理 をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
[ネットワークドメイン] ページで、目的のネットワークドメインを見つけて、[アクション] 列の [編集] をクリックします。
ネットワークドメインの名前をクリックして、[ネットワークドメインの詳細] ページに移動することもできます。
[ネットワークドメインの詳細] ページで、タブをクリックして対応する情報を変更します。
[基本情報] タブで、ネットワークドメインの名前、備考、および接続モードを変更します。 セカンダリプロキシサーバーを追加し、プロキシサーバーへの接続をテストすることもできます。
[ホスト] タブで、ホストを追加または削除します。
[データベース] タブで、データベースを追加または削除します。