ファイアウォールによるアクセス制御

ファイアウォールでアクセスを制御するには、外部ファイアウォールで特定のポートを開くか、または閉じます。ベアメタル ホストにコンテナとして導入されているStorageGRIDシステムへのアクセスをファイアウォールで制御する場合は、特別な考慮事項があります。

外部ファイアウォールでのアクセス制御

StorageGRID管理ノード上のユーザ インターフェイスとAPIへのアクセスは、外部ファイアウォールで特定のポートを開くか、または閉じることで制御できます。たとえば、システム アクセスを制御するその他の方法に加えて、ファイアウォールでテナントがGrid Managerに接続できないようにすることができます。

ポート 説明 ポートが開いている場合
443 管理ノードのデフォルトのHTTPSポート Webブラウザと管理APIクライアントはGrid Managerグリッド管理APITenant Manager、およびテナント管理APIにアクセスできます。
注: ポート443は一部の内部トラフィックにも使用されます。
8443 管理ノードの制限されたGrid Managerポート
  • Webブラウザと管理APIクライアントはHTTPSを使用してGrid Managerグリッド管理APIにアクセスできます。
  • Webブラウザと管理APIクライアントはTenant Managerテナント管理APIにはアクセスできません。
  • 内部コンテンツに対する要求は拒否されます。
9443 管理ノードの制限されたTenant Managerポート
  • Webブラウザと管理APIクライアントはHTTPSを使用してTenant Managerテナント管理APIにアクセスできます。
  • Webブラウザと管理APIクライアントはGrid Managerグリッド管理APIにはアクセスできません。
  • 内部コンテンツに対する要求は拒否されます。
注意: シングル サインオン(SSO)は、Grid ManagerまたはTenant Managerの制限されたポートでは使用できません。ユーザをシングル サインオンで認証する場合は、デフォルトのHTTPSポート(443)を使用する必要があります。

ベアメタル ホスト上のファイアウォールの設定

ベアメタル ホストにコンテナとして導入されている場合、StorageGRIDはコンテナIPへの接続にファイアウォールを提供しません。コンテナのネットワーク特性により、ホストOS上に設定されたファイアウォールはStorageGRIDコンテナへの接続に効果的なファイアウォール保護を提供することができません。StorageGRIDコンテナへの接続にファイアウォールが必要な場合は、コンテナが実行されているホストの外部にファイアウォールを実装する必要があります。信頼されている内部ネットワーク上にないすべての接続に対してファイアウォールを設定する必要があります。