Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

内部ファイアウォールを構成する

PDF

StorageGRIDファイアウォールを設定して、 StorageGRIDノード上の特定のポートへのネットワーク アクセスを制御できます。

開始する前に
タスク概要

StorageGRID には各ノードに内部ファイアウォールが含まれており、グリッドのノード上の一部のポートを開いたり閉じたりすることができます。ファイアウォール コントロール タブを使用して、グリッド ネットワーク、管理ネットワーク、およびクライアント ネットワークでデフォルトで開いているポートを開いたり閉じたりすることができます。閉じられているグリッド ポートにアクセスできる特権 IP アドレスのリストを作成することもできます。クライアント ネットワークを使用している場合は、ノードがクライアント ネットワークからの受信トラフィックを信頼するかどうかを指定し、クライアント ネットワーク上の特定のポートのアクセスを構成できます。

グリッド外部の IP アドレスに開くポートの数を絶対に必要なものだけに制限すると、グリッドのセキュリティが強化されます。 3 つのファイアウォール制御タブのそれぞれの設定を使用して、必要なポートのみが開かれていることを確認します。

ファイアウォール制御の使用に関する詳細(例を含む)については、以下を参照してください。"ファイアウォール制御を管理する"

外部ファイアウォールとネットワークセキュリティの詳細については、以下を参照してください。"外部ファイアウォールでアクセスを制御する"

ファイアウォール制御へのアクセス

手順

  1. 構成 > セキュリティ > *ファイアウォール制御*を選択します。

    このページの3つのタブについては、"ファイアウォール制御を管理する"

  2. ファイアウォール コントロールを構成するには、任意のタブを選択します。

    これらのタブは任意の順序で使用できます。 1 つのタブで設定した内容によって他のタブで実行できる内容が制限されることはありませんが、1 つのタブで行った設定変更によって、他のタブで設定されたポートの動作が変わる場合があります。

特権アドレスリスト

[特権アドレス リスト] タブを使用して、デフォルトで閉じられているポート、または [外部アクセスの管理] タブの設定によって閉じられているポートへのホスト アクセスを許可します。

特権 IP アドレスとサブネットには、デフォルトでは内部グリッド アクセスがありません。また、[特権アドレス一覧] タブで開かれたロード バランサーのエンドポイントと追加のポートには、[外部アクセスの管理] タブでブロックされていてもアクセスできます。

メモ [特権アドレス リスト] タブの設定は、[信頼されていないクライアント ネットワーク] タブの設定を上書きできません。
手順

  1. [特権アドレス リスト] タブで、閉じたポートへのアクセスを許可するアドレスまたは IP サブネットを入力します。

  2. 必要に応じて、別の IP アドレスまたはサブネットを CIDR 表記で追加 を選択して、特権クライアントを追加します。

    ヒント 特権リストに追加するアドレスはできる限り少なくします。

  3. 必要に応じて、「特権 IP アドレスにStorageGRID内部ポートへのアクセスを許可する」を選択します。見る"StorageGRID内部ポート"

    ヒント このオプションは、内部サービスに対する一部の保護を削除します。可能であれば無効のままにしておきます。

  4. *保存*を選択します。

外部アクセスを管理する

[外部アクセスの管理] タブでポートが閉じられている場合、IP アドレスを特権アドレス リストに追加しない限り、グリッド以外の IP アドレスからポートにアクセスすることはできません。閉じることができるのはデフォルトで開いているポートのみであり、開くことができるのは閉じたポートのみです。

メモ [外部アクセスの管理] タブの設定は、[信頼されていないクライアント ネットワーク] タブの設定を上書きできません。たとえば、ノードが信頼されていない場合、ポート SSH/22 は [外部アクセスの管理] タブで開いている場合でも、クライアント ネットワーク上でブロックされます。 [信頼されていないクライアント ネットワーク] タブの設定は、クライアント ネットワーク上の閉じたポート (443、8443、9443 など) を上書きします。
手順

  1. *外部アクセスの管理*を選択します。タブには、グリッド内のノードのすべての外部ポート (デフォルトでは非グリッド ノードからアクセス可能なポート) を含むテーブルが表示されます。

  2. 次のオプションを使用して、開くポートと閉じるポートを構成します。

    • 各ポートの横にあるトグルを使用して、選択したポートを開いたり閉じたりします。

    • 表にリストされているすべてのポートを開くには、「表示されているすべてのポートを開く」を選択します。

    • 表にリストされているすべてのポートを閉じるには、「表示されているすべてのポートを閉じる」を選択します。

      注意 Grid Manager ポート 443 または 8443 を閉じると、ブロックされたポートに現在接続しているすべてのユーザー (自分を含む) は、その IP アドレスが特権アドレス リストに追加されていない限り、Grid Manager にアクセスできなくなります。
    メモ 利用可能なすべてのポートが表示されていることを確認するには、表の右側にあるスクロール バーを使用します。検索フィールドにポート番号を入力して、任意の外部ポートの設定を検索します。ポート番号の一部を入力できます。たとえば、「2」と入力すると、名前の一部に文字列「2」が含まれるすべてのポートが表示されます。

  3. *保存*を選択

信頼できないクライアントネットワーク

ノードのクライアント ネットワークが信頼されていない場合、ノードは、ロード バランサのエンドポイントとして構成されたポートと、オプションでこのタブで選択した追加のポート上の受信トラフィックのみを受け入れます。このタブを使用して、拡張で追加された新しいノードのデフォルト設定を指定することもできます。

注意 ロード バランサのエンドポイントが構成されていない場合、既存のクライアント接続が失敗する可能性があります。

信頼されていないクライアント ネットワーク タブで行った構成の変更は、外部アクセスの管理 タブの設定を上書きします。

手順

  1. *信頼されていないクライアントネットワーク*を選択します。

  2. [新しいノードのデフォルトの設定] セクションでは、拡張手順でグリッドに新しいノードが追加されたときのデフォルト設定を指定します。

    • 信頼済み (デフォルト): 拡張でノードが追加されると、そのクライアント ネットワークは信頼されます。

    • 信頼されていない: 拡張でノードが追加されると、そのクライアント ネットワークは信頼されなくなります。

      必要に応じて、このタブに戻って特定の新しいノードの設定を変更できます。

    メモ この設定は、 StorageGRIDシステム内の既存のノードには影響しません。

  3. 明示的に構成されたロード バランサ エンドポイントまたは追加の選択されたポートでのみクライアント接続を許可するノードを選択するには、次のオプションを使用します。

    • *表示されているノードを信頼しない*を選択すると、テーブルに表示されているすべてのノードが信頼できないクライアント ネットワーク リストに追加されます。

    • *表示されているノードを信頼する*を選択すると、テーブルに表示されているすべてのノードが信頼されていないクライアント ネットワーク リストから削除されます。

    • 各ノードの横にあるトグルを使用して、選択したノードのクライアント ネットワークを信頼済みまたは信頼なしに設定します。

      たとえば、「表示されているノードを信頼しない」を選択して、すべてのノードを信頼できないクライアント ネットワーク リストに追加し、個々のノードの横にあるトグルを使用して、その単一のノードを信頼できるクライアント ネットワーク リストに追加することができます。

    メモ 利用可能なすべてのノードが表示されていることを確認するには、テーブルの右側にあるスクロール バーを使用します。検索フィールドにノード名を入力して、任意のノードの設定を検索します。名前の一部を入力できます。たとえば、GW と入力すると、名前の一部に文字列「GW」が含まれるすべてのノードが表示されます。

  4. *保存*を選択します。

    新しいファイアウォール設定はすぐに適用され、強制されます。ロード バランサのエンドポイントが構成されていない場合、既存のクライアント接続が失敗する可能性があります。