ONTAPでWebプロトコルエンジンを管理する
変更を提案
PDF
クラスタ上でWebプロトコル エンジンを設定し、Webアクセスを許可するかどうか、およびどのSSLのバージョンが使用可能かを制御できます。また、Webプロトコル エンジンの構成設定を表示することもできます。
Webプロトコル エンジンは、次の方法でクラスタ レベルで管理できます。
-
`system services web modify`コマンドに `-external`パラメータを指定することで、リモートクライアントがWebサービスコンテンツにアクセスする際にHTTPまたはHTTPSのどちらを使用できるかを指定できます。
-
`security config modify`コマンドを `-supported-protocol`パラメータとともに使用することで、安全なWebアクセスにSSLv3を使用するかどうかを指定できます。デフォルトでは、SSLv3は無効になっています。トランスポート層セキュリティ1.0(TLSv1.0)は有効になっており、必要に応じて無効にすることができます。
`security config modify`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-config-modify.html["ONTAPコマンド リファレンス"^]を参照してください。
-
クラスタ全体のコントロール プレーンWebサービス インターフェイス用に、Federal Information Processing Standard(FIPS)140-2準拠モードを有効にすることができます。
FIPS 140-2準拠モードは、デフォルトでは無効になっています。
-
FIPS 140-2 準拠モードが無効の場合 `security config modify`コマンドの `is-fips-enabled`パラメータを `true`に設定し、 `security config show`コマンドを使用してオンライン状態を確認することで、FIPS 140-2 準拠モードを有効にできます。
-
FIPS 140-2準拠モードが有効になっている場合
-
ONTAP 9.11.1以降、TLSv1、TLSv1.1、SSLv3は無効になり、TSLv1.2とTSLv1.3のみが有効のままになります。これはONTAP 9の内部および外部の他のシステムと通信に影響します。FIPS 140-2準拠モードを有効にしてから無効にした場合、TLSv1、TLSv1.1、SSLv3は無効のままになります。以前の設定に応じて、TLSv1.2またはTLSv1.3のいずれかが有効のままになります。
-
ONTAP 9.11.1より前のバージョンでは、TLSv1とSSLv3の両方が無効になっており、TLSv1.1とTLSv1.2のみが有効のままです。ONTAPでは、FIPS 140-2準拠モードが有効になっている場合、TLSv1とSSLv3の両方を有効にすることはできません。FIPS 140-2準拠モードを有効にしてから無効にした場合、TLSv1とSSLv3は無効のままですが、以前の設定に応じて、TLSv1.2またはTLSv1.1とTLSv1.2の両方が有効になります。
-
-
-
`system security config show`コマンドを使用して、クラスタ全体のセキュリティの設定を表示できます。
`security config show`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-config-show.html["ONTAPコマンド リファレンス"^]を参照してください。
ファイアウォールが有効になっている場合は、Webサービスに使用する論理インターフェイス(LIF)のファイアウォール ポリシーを設定して、HTTPまたはHTTPSアクセスを許可する必要があります。
Webサービス アクセスにHTTPSを使用する場合は、Webサービスを提供するクラスタまたはStorage Virtual Machine(SVM)のSSLを有効にし、そのクラスタまたはSVMのデジタル証明書を提供する必要もあります。
MetroCluster構成では、クラスタ上のWebプロトコル エンジンの設定に対する変更内容は、パートナー クラスタにはレプリケートされません。