StorageGRIDネットワークの強化ガイドライン
変更を提案
PDF
StorageGRIDシステムは、グリッド ノードごとに最大 3 つのネットワーク インターフェイスをサポートしているため、セキュリティとアクセスの要件に合わせて各グリッド ノードのネットワークを構成できます。
StorageGRIDネットワークの詳細については、"StorageGRIDネットワークの種類" 。
グリッドネットワークのガイドライン
すべての内部StorageGRIDトラフィックに対してグリッド ネットワークを構成する必要があります。すべてのグリッド ノードはグリッド ネットワーク上に存在し、他のすべてのノードと通信できる必要があります。
グリッド ネットワークを構成するときは、次のガイドラインに従ってください。
-
オープンインターネット上のクライアントなど、信頼できないクライアントからネットワークが保護されていることを確認します。
-
可能な場合は、グリッド ネットワークを内部トラフィック専用に使用してください。管理ネットワークとクライアント ネットワークの両方に、内部サービスへの外部トラフィックをブロックする追加のファイアウォール制限があります。外部クライアント トラフィックにグリッド ネットワークを使用することはサポートされていますが、この使用方法では保護層が少なくなります。
-
StorageGRID の展開が複数のデータ センターにまたがる場合は、グリッド ネットワーク上で仮想プライベート ネットワーク (VPN) または同等のものを使用して、内部トラフィックをさらに保護します。
-
一部のメンテナンス手順では、プライマリ管理ノードと他のすべてのグリッド ノード間のポート 22 でのセキュア シェル (SSH) アクセスが必要です。外部ファイアウォールを使用して、信頼できるクライアントへの SSH アクセスを制限します。
管理者ネットワークのガイドライン
管理ネットワークは通常、管理タスク (グリッド マネージャーまたは SSH を使用する信頼できる従業員) や、LDAP、DNS、NTP、KMS (または KMIP サーバー) などの他の信頼できるサービスとの通信に使用されます。ただし、 StorageGRID は内部的にこの使用法を強制しません。
管理ネットワークを使用している場合は、次のガイドラインに従ってください。
-
管理ネットワーク上のすべての内部トラフィック ポートをブロックします。参照"内部ポートのリスト"。
-
信頼できないクライアントが管理ネットワークにアクセスできる場合は、外部ファイアウォールを使用して管理ネットワーク上のStorageGRIDへのアクセスをブロックします。
クライアントネットワークのガイドライン
クライアント ネットワークは通常、テナント用、および CloudMirror レプリケーション サービスや他のプラットフォーム サービスなどの外部サービスとの通信に使用されます。ただし、 StorageGRID は内部的にこの使用法を強制しません。
クライアント ネットワークを使用している場合は、次のガイドラインに従ってください。
-
クライアント ネットワーク上のすべての内部トラフィック ポートをブロックします。参照"内部ポートのリスト"。
-
明示的に構成されたエンドポイントでのみ、受信クライアント トラフィックを受け入れます。に関する情報を見る"ファイアウォール制御の管理"。