内部ファイアウォールを設定します
StorageGRID ノードの特定のポートへのネットワークアクセスを制御するようにStorageGRID ファイアウォールを設定できます。
-
を使用して Grid Manager にサインインします "サポートされている Web ブラウザ"。
-
これで完了です "特定のアクセス権限"。
-
の情報を確認しておきます "ファイアウォールコントロールを管理します" および "ネットワークのガイドライン"。
-
管理ノードまたはゲートウェイノードが明示的に設定されたエンドポイントでのみインバウンドトラフィックを受け入れるように設定する場合は、ロードバランサエンドポイントを定義しておきます。
クライアントネットワークの設定を変更する際、ロードバランサエンドポイントが設定されていないと、既存のクライアント接続が失敗することがあります。
StorageGRID には、各ノードに内部ファイアウォールがあります。このファイアウォールを使用して、グリッドのノードの一部のポートを開いたり閉じたりできます。[Firewall]制御タブを使用して、グリッドネットワーク、管理ネットワーク、およびクライアントネットワークでデフォルトで開いているポートを開いたり閉じたりできます。閉じているグリッドポートにアクセスできる特権IPアドレスのリストを作成することもできます。クライアントネットワークを使用している場合は、ノードがクライアントネットワークからのインバウンドトラフィックを信頼するかどうかを指定できます。また、クライアントネットワークの特定のポートへのアクセスを設定できます。
グリッドの外部のIPアドレスに対して開くポートの数を絶対に必要なポートだけに制限すると、グリッドのセキュリティが強化されます。3つのファイアウォールコントロールタブのそれぞれの設定を使用して、必要なポートだけが開いていることを確認します。
ファイアウォールコントロールの使用方法(例を含む)の詳細については、を参照してください "ファイアウォールコントロールを管理します"。
外部ファイアウォールとネットワークセキュリティの詳細については、を参照してください "外部ファイアウォールでアクセスを制御します"。
ファイアウォールコントロールにアクセスします
-
* configuration > Security > Firewall control *を選択します。
このページの3つのタブについては、を参照してください "ファイアウォールコントロールを管理します"。
-
任意のタブを選択して、ファイアウォールコントロールを設定します。
これらのタブは任意の順序で使用できます。1つのタブで設定した設定では、他のタブで実行できる操作は制限されません。ただし、1つのタブで設定を変更すると、他のタブで設定されたポートの動作が変更される可能性があります。
特権アドレスリスト
特権アドレスリストタブを使用して、デフォルトで閉じられているポート、または外部アクセスの管理タブの設定によって閉じられているポートへのアクセスをホストに許可します。
権限付きIPアドレスとサブネットには、デフォルトで内部のグリッドアクセスはありません。また、[Manage external access]タブでブロックされていても、ロードバランサエンドポイントと、[Privileged address list]タブで開いている追加のポートにアクセスできます。
[特権アドレスリスト]タブの設定は、[信頼されていないクライアントネットワーク]タブの設定を上書きすることはできません。 |
-
特権アドレスリストタブで、閉じたポートへのアクセスを許可するアドレスまたはIPサブネットを入力します。
-
必要に応じて、*[Add another IP address or subnet in CIDR notation]*を選択して、権限付きクライアントを追加します。
特権リストにできるだけ少ないアドレスを追加します。 -
必要に応じて、*[特権IPアドレスによるStorageGRID 内部ポートへのアクセスを許可する]*を選択します。を参照してください "StorageGRID の内部ポート"。
このオプションを使用すると、内部サービスの保護が一部解除されます。可能であれば無効のままにしておきます。 -
[ 保存( Save ) ] を選択します。
外部アクセスの管理
[Manage external access]タブでポートを閉じると、特権アドレスリストにIPアドレスを追加しないかぎり、グリッド以外のIPアドレスからポートにアクセスすることはできません。閉じることができるのは、デフォルトで開いているポートだけです。また、閉じたポートのみを開くことができます。
[外部アクセスの管理]タブの設定は、[信頼されていないクライアントネットワーク]タブの設定を上書きすることはできません。たとえば、ノードが信頼されていない場合、クライアントネットワークでポートSSH/22が[外部アクセスの管理]タブで開いていてもブロックされます。[Untrusted Client Network]タブの設定は、クライアントネットワークの閉じているポート(443、8443、9443など)よりも優先されます。 |
-
[外部アクセスの管理]*を選択します。 タブには、グリッド内のノードのすべての外部ポート(デフォルトではグリッド以外のノードからアクセス可能なポート)が表示されます。
-
次のオプションを使用して、開いたり閉じたりするポートを設定します。
-
各ポートの横にあるトグルを使用して、選択したポートを開いたり閉じたりします。
-
表にリストされているすべてのポートを開くには、*表示されているすべてのポートを開く*を選択します。
-
表に示されているすべてのポートを閉じるには、*[表示されているすべてのポートを閉じる]*を選択します。
Grid Managerポート443または8443を閉じると、ブロックされたポートに現在接続しているユーザ(ユーザを含む)は、ユーザのIPアドレスが特権アドレスのリストに追加されていないかぎり、Grid Managerにアクセスできなくなります。
テーブルの右側にあるスクロールバーを使用して、使用可能なすべてのポートが表示されていることを確認します。検索フィールドを使用して、ポート番号を入力して外部ポートの設定を検索します。ポート番号の一部を入力できます。たとえば、*2*と入力すると、名前に文字列「2」が含まれるすべてのポートが表示されます。 -
-
[ 保存( Save ) ] を選択します
Untrusted Client Networkの略
ノードのクライアントネットワークが信頼されていない場合、ノードはロードバランサエンドポイントとして設定されたポート、およびオプションでこのタブで選択した追加のポートでのみインバウンドトラフィックを受け入れます。このタブを使用して、拡張時に追加する新しいノードのデフォルト設定を指定することもできます。
ロードバランサエンドポイントが設定されていないと、既存のクライアント接続が失敗する可能性があります。 |
タブで設定を変更すると、[外部アクセスの管理]*タブの設定が上書きされます。
-
[信頼されていないクライアントネットワーク]*を選択します。
-
[Set New Node Default]セクションで、拡張手順 で新しいノードをグリッドに追加する際のデフォルト設定を指定します。
-
* Trusted *(デフォルト):拡張でノードを追加すると、そのクライアントネットワークが信頼されます。
-
* Untrusted * :拡張でノードが追加されるときに、そのクライアントネットワークは信頼されません。
必要に応じて、このタブに戻って特定の新しいノードの設定を変更できます。
この設定は、 StorageGRID システム内の既存のノードには影響しません。 -
-
次のオプションを使用して、明示的に設定されたロードバランサエンドポイントまたは選択した追加のポートでのみクライアント接続を許可するノードを選択します。
-
テーブルに表示されたすべてのノードを信頼されていないクライアントネットワークのリストに追加するには、*[表示されたノードで信頼されていないクライアントネットワーク]*を選択します。
-
テーブルに表示されたすべてのノードを信頼されていないクライアントネットワークのリストから削除するには、*[表示されたノードで信頼する]*を選択します。
-
各ノードの横にある切り替えボタンを使用して、選択したノードのクライアントネットワークを[Trusted]または[Untrusted]に設定します。
たとえば、*表示されているノードで[Untrust on displayed nodes]*を選択してすべてのノードを[Untrusted Client Network]リストに追加し、個 々 のノードの横にある切り替えを使用してその1つのノードを[Trusted Client Network]リストに追加できます。
テーブルの右側にあるスクロールバーを使用して、使用可能なすべてのノードが表示されていることを確認します。検索フィールドにノード名を入力して、任意のノードの設定を検索します。名前の一部を入力できます。たとえば、「* gw *」と入力すると、名前に文字列「gw」を含むすべてのノードが表示されます。 -
-
[ 保存( Save ) ] を選択します。
新しいファイアウォール設定がすぐに適用され、適用されます。ロードバランサエンドポイントが設定されていないと、既存のクライアント接続が失敗する可能性があります。