IBM Cloud Docs
セキュアなプライベート・ネットワークを使用してワークロードを分離する

セキュアなプライベート・ネットワークを使用してワークロードを分離する

このチュートリアルでは、クラシック・インフラストラクチャー の使用方法について説明しています。 ほとんどのワークロードは、IBM Cloud® Virtual Private Cloud リソースを使用して実装できます。 IBM Cloud VPC を使用すると、共有のパブリック・クラウド・インフラストラクチャー上に、プライベート・クラウドのような独自のコンピューティング環境を作成できます。 VPC は、企業が、他のすべてのパブリック・クラウドのテナントから論理的に切り離された仮想ネットワークを定義および制御して、パブリック・クラウド上に安全でプライベートな場所を作れるようにするものです。 具体的には、Direct Link仮想サーバー・インスタンスセキュリティー・グループVPN および フロー・ログを定義できます。

このチュートリアルでは、費用が発生する場合があります。 コスト見積もりツールを使用して、予測使用量に基づいてコスト見積もりを生成します。

分離されたセキュアなプライベート・ネットワーク環境に対するニーズは、パブリック・クラウド上の IaaS アプリケーション・デプロイメント・モデルの中心となります。 ファイアウォール、VLAN、ルーティング、および VPN はすべて、分離されたプライベート環境の構築に必要なコンポーネントです。 この分離により、仮想マシンとベアメタル・サーバーを複雑な複数層のアプリケーション・トポロジーに安全にデプロイできると同時に、公衆インターネット上のリスクから保護することができます。

このチュートリアルでは、仮想ルーター・アプライアンス (VRA) を IBM Cloud 上に構成して、セキュア・プライベート・ネットワーク (エンクロージャー) を作成する方法について重点的に説明します。 VRA は、ファイアウォール、VPN ゲートウェイ、ネットワーク・アドレス変換 (NAT)、およびエンタープライズ・レベルのルーティングを単一の自己管理パッケージで提供します。 このチュートリアルでは、VRA を使用して、エンクローズされた分離ネットワーク環境を IBM Cloud 上に作成する方法について説明します。 このエンクロージャー内で、IP ルーティング、VLAN、IP サブネット、ファイアウォール・ルール、仮想サーバー、ベアメタル・サーバーといった広く使用される、よく知られたテクノロジーを使用して、アプリケーション・トポロジーを作成できます。

このチュートリアルは、IBM Cloud での従来型ネットワーキングの開始点であり、このまま実動環境で使用できると考えることはできません。 追加で使用することを検討できる機能を以下に示します。

目標

  • 仮想ルーター・アプライアンス (VRA) をデプロイする
  • 仮想マシンとベアメタル・サーバーをデプロイするために VLAN と IP サブネットを定義する
  • ファイアウォール・ルールを使用して VRA とエンクロージャーを保護する

" caption-side="bottom"}*の{: caption="図

  1. VPN の構成
  2. VRA のデプロイ
  3. 仮想サーバーの作成
  4. VRA を介したアクセスのルーティング
  5. エンクロージャー・ファイアウォールの構成
  6. APP ゾーンの定義
  7. INSIDE ゾーンの定義

開始前に

VPN アクセスを構成する

このチュートリアルでは、作成したネットワーク・エンクロージャーは公衆インターネット上では表示されません。 VRA およびすべてのサーバーは、プライベート・ネットワークを介してのみ利用でき、接続時には VPN を使用します。

  1. VPN アクセスが有効になっていることを確認します

    VPN アクセスを有効にするには マスター・ユーザー である必要があります。または、アクセスを有効にするようにマスター・ユーザーに連絡してください。

  2. ユーザー・リストでユーザーを選択して、VPN アクセスの資格情報を取得します。

  3. Web インターフェース を介して VPN にログインするか、 Windows、 Linux 、または macOS用の VPN クライアント を使用します。

    VPNクライアントには、ゲートウェイアドレスとしてvpn.ams03.softlayer.comなど、「利用可能なVPNエンドポイント」ページにある単一のデータセンターVPNアクセスポイントのFQDNを使用します。

アカウントの許可を確認する

インフラストラクチャー・マスター・ユーザーに連絡して、以下の許可を取得してください。

  • クイック許可 (Quick Permissions) - 基本ユーザー
  • ネットワーク - エンクロージャーを作成して構成するために必要です (すべてのネットワーク許可が必要)
  • サービス - SSH 鍵を管理します。

SSH 鍵をアップロードする

ポータルを使用して SSH 公開鍵をアップロードします。SSH 公開鍵は、VRA およびプライベート・ネットワークのアクセスおよび管理に使用されます。

対象のデータ・センターを選択する

セキュアなプライベート・ネットワークをデプロイする IBM Cloud データ・センターを選択します。

VLAN を注文する

ターゲット・データ・センターのプライベート・エンクロージャーを作成するには、サーバーに必要なプライベート VLAN を最初に割り当てる必要があります。 VLAN を作成する場合は、「ロケーション」 の下の 「ポッド」 を選択し、VRA を作成するのと同じデータ・センター、同じポッドに VLAN を要求してください。 仮想サーバー・インスタンスを注文する前に VRA を注文する場合は、仮想サーバー・インスタンスの VLAN を購入して、仮想サーバー・インスタンスが正しいポッドに常駐するようにする必要があります。 複数層アプリケーション・トポロジーをサポートするための追加の VLAN には費用が発生します。

同じデータ・センター・ルーターで十分な VLAN を使用でき、それらを VRA に関連付けられるようにするために、VLAN を注文することができます。 詳しくは、VLAN の注文を参照してください。

仮想ルーター・アプライアンスをプロビジョンする

最初のステップは、プライベート・ネットワーク・エンクロージャー用の IP ルーティングとファイアウォールを提供する仮想ルーター・アプライアンス (VRA) をデプロイすることです。 IBM Cloud 提供の公衆網向けトランジット VLAN、ゲートウェイ、さらにオプションでハードウェア・ファイアウォールによってエンクロージャーからのインターネット・アクセスが可能であり、パブリック VLAN からセキュアなプライベート・エンクロージャー VLAN への接続が作成されます。 このソリューションのチュートリアルでは、VRA によって境界における当該ゲートウェイとファイアウォールが提供されます。

  1. カタログから、「ゲートウェイ・アプライアンス」を選択します。
  2. 「ゲートウェイ・ベンダー」 セクションで「AT&T」を選択します。 「最大 20 Gbps」または「最大 2 Gbps」のアップリンク速度を選択できます。
  3. 「ホスト名」 セクションで、新しい VRA のホスト名とドメインを入力します。
  4. 「高可用性」 チェック・ボックスにチェック・マークを付けた場合は、VRRP を使用したアクティブ/バックアップ・セットアップで機能する 2 つの VRA デバイスを取得します。
  5. 「場所」 セクションで、VRA が必要になる場所と ポッド を選択します。
  6. 「シングル・プロセッサー」または「デュアル・プロセッサー」を選択します。 サーバーのリストが表示されます。 ラジオ・ボタンをクリックして、サーバーを選択します。
  7. RAM の容量を指定します。 実稼働環境では、最小で 64GB の RAM を使用することをお勧めします。テスト環境の場合は、RAM の最小容量は 8GB です。
  8. 「SSH 鍵」 (オプション) を選択します。 この SSH 鍵は VRA にインストールされ、ユーザー「vyatta」を使用してこの鍵で VRA にアクセスできるようになります。
  9. ハード・ディスク。 デフォルトを保持してください。
  10. 「アップリンク・ポート速度」 セクションで、速度、冗長性、およびプライベート・インターフェースまたはパブリック・インターフェース (あるいはその両方) の組み合わせのうち、ニーズを満たすものを選択します。
  11. 「アドオン」 セクションで、デフォルトを保持します。 パブリック・インターフェースで IPv6 を使用する場合は、IPv6 アドレスを選択します。

右のペインに、「発注要約」 が表示されます。 _「以下に表示されるサード・パーティー・サービス契約を読み、同意します」_チェック・ボックスを選択し、「作成」 ボタンをクリックします。 ゲートウェイがデプロイされます。

「装置リスト (Device list)」に、時計 の記号が付いた VRA がほぼすぐに表示されます。この記号は、トランザクションがこの装置で進行中であることを示しています。 VRA の作成が完了するまで、時計 記号は表示されたままになり、詳細の表示以上の構成アクションを装置に対して実行することはできません。

デプロイされた VRA を確認する

  1. 新しい VRA を検査します。 「インフラストラクチャー・ダッシュボード (Infrastructure Dashboard)」の左側のペインで 「ネットワーク」 を選択してから 「ゲートウェイ・アプライアンス」 を選択し、「ゲートウェイ・アプライアンス」ページに進みます。 「ゲートウェイ」 列で新しく作成された VRA の名前をクリックし、「ゲートウェイ詳細 (Gateway Details)」ページに進みます。

  2. VRA の Private IP アドレスと Public IP アドレスを今後の使用のためにメモします。

初期 VRA セットアップ

  1. ワークステーションから SSL VPN を利用することにより、デフォルトの vyatta アカウントを使用して VRA にログインし、SSH セキュリティー・プロンプトを受け入れます。

    ssh vyatta@<VRA Private IP Address>

    SSH からパスワードを求めるプロンプトが出される場合、SSH 鍵はビルドに含まれていません。 Web ブラウザーVRA Private IP Address を使用して VRA にアクセスしてください。 パスワードは、ソフトウェア・パスワードのページから取得します。 「構成」 タブで、システム/ログイン/vyatta ブランチを選択して、必要な SSH 鍵を追加します。

    VRA をセットアップするには、configure コマンドを使用して VRA を「編集」モードにする必要があります。 edit モードでは、プロンプトは $ から # に変わります。 VRA 構成の変更が正常に行われた後、compare コマンドを使用して変更を表示し、validate コマンドで変更内容を確認できます。 commit コマンドを使用して変更を確定すると、その変更は実行中の構成に適用され、開始構成に自動的に保存されます。

  2. SSH ログインのみ許可することによって、セキュリティーを強化します。 プライベート・ネットワークを使用した SSH ログインが成功したため、ユーザー ID とパスワードによる認証を使用したアクセスを無効にします。

    configure
set service ssh disable-password-authentication
commit
exit

    本チュートリアルのこの時点では、すべの VRA コマンドは、edit コマンドの使用後に configure プロンプトで入力されるものと想定しています。

  3. 初期構成を確認します。

    show

    VRA は IBM Cloud IaaS 環境用に事前構成されています。 これには、以下が含まれます。

    • NTP サーバー
    • ネーム・サーバー
    • SSH
    • HTTPS Web サーバー
    • デフォルト時間帯の米国/シカゴ

  4. 必要に応じて、ローカル・タイム・ゾーンを設定します。 Tab キーを使用してオートコンプリートを行うと、可能なタイム・ゾーン値がリストされます。

    set system time-zone <timezone>

  5. ping 動作を設定します。 ルーティングやファイアウォールのトラブルシューティングに役立つように ping は無効化されていません。

    set security firewall all-ping enable
set security firewall broadcast-ping disable

  6. ステートフルなファイアウォール操作を有効にします。 デフォルトでは、VRA ファイアウォールはステートレスです。

    set security firewall global-state-policy icmp
set security firewall global-state-policy udp
set security firewall global-state-policy tcp

  7. 開始構成に対する変更を確定して、自動的に保存します。

    commit

最初の仮想サーバーを注文する

この時点で、VRA 構成エラーの診断に役立つように仮想サーバーが作成されます。 IBM Cloud プライベート・ネットワーク上で VSI への正常なアクセスが検証されてから、その後のステップで VSI へのアクセスが VRA 経由でルーティングされます。

  1. 仮想サーバーを注文します。
  2. 注文ページで、以下のようにします。
    • 「パブリック」 を選択します。
    • 「請求処理」「毎時」 に設定します。
    • 「VSI ホスト名」 と _「ドメイン名」_を設定します。 このドメイン・ネームは、ルーティングおよび DNS では使用されませんが、ネットワーク・ネーミング標準に準拠している必要があります。
    • 「場所」 を VRA と同一に設定します。
    • 「プロファイル」「C1.1x1」 に設定します。
    • 上記で指定した 「SSH 鍵」 を追加します。
    • オペレーティングシステム CentOS Stream 9.x- Minimal に設定する
    • 「アップリンク・ポート速度」 では、 プライベート・ネットワーク・アップリンク のみを指定するように、ネットワーク・インターフェースをデフォルトの 「パブリックとプライベート」 から変更する必要があります。 こうすることで、新しいサーバーは確実にインターネットへの直接アクセスが不可能になります。
    • 「プライベート VLAN」 を前の手順で注文したプライベート VLAN の VLAN 番号に設定します。
  3. チェック・ボックスを選択して、「サード・パーティー」サービス契約書を受け入れて、「作成」 をクリックします。
  4. 「デバイス」ページで処理が完了するのを確認するか、E メールで確認します。
  5. 後のステップのために、VSIの_プライベートIPアドレス_と、デバイス詳細ページのネットワークセクションで、VSIが正しいVLANに割り当てられていることをメモしておくこと。 正しい VLAN に割り当てられていない場合は、この VSI を削除して、正しい VLAN 上に新規 VSI を作成します。
  6. VPN 上のローカル・ワークステーションからの ping および SSH を使用して IBM Cloud プライベート・ネットワーク経由で VSI に正常にアクセスできることを確認します。
    ping <VSI Private IP Address>
SSH root@<VSI Private IP Address>

VRA を介して VLAN アクセスをルーティングする

仮想サーバーのプライベート VLAN が IBM Cloud 管理システムによってこの VRA に関連付けられます。 この段階では、VSI は IBM Cloud プライベート・ネットワーク上の IP ルーティング経由でまだアクセス可能です。 ここで、VRA を使用してサブネットをルーティングし、セキュアなプライベート・ネットワークを作成し、VSI にアクセスできなくなったことを確認して、ネットワークが保護されていることを検証します。

  1. 「ゲートウェイ・アプライアンス」ページから VRA のゲートウェイ詳細に進み、ページの下半分にある 「関連する VLAN (Associated VLANs)」 セクションを見つけてください。 関連する VLAN がここにリストされます。 この段階では、VLAN および関連するサブネットは保護も VRA によるルーティングも行われておらず、VSI は IBM Cloud プライベート・ネットワーク経由でアクセスされます。 VLAN の状態は_Route Around_ と表示されます。 「VLAN の管理 (Manage VLANs)」 ボタンをクリックします。

    _Associate VLAN_リンクが有効になり、他のプロビジョニングされたVLANを追加できるようになります。 VRA と同じルーター上に使用可能な VLAN がない場合、リンクはグレー表示されます。 この場合、VLAN を注文し、VRA と同じルーター上にプライベート VLAN を要求する必要があります。 最初の VLAN の関連付けが完了するまでに、数分かかることがあります。 関連付けが完了すると、「関連する VLAN (Associated VLANs)」 見出しの下に VLAN が表示されます。

  2. 関連する VLAN の左側にあるチェックボックスをクリックし、Route Through_をクリックして VRA 経由で VLAN/Subnet をルーティングします。 これには、数分かかることがあります。 画面が更新され、ステータスが_Route Through であることが示されます。

  3. VLAN 番号をクリックすると、VLAN の詳細が表示されます。 「デバイス」の下に、プロビジョンされた VSI が表示されます。 「サブネット」の下に、VRA に使用されるプライマリー・サブネットが表示されます。 プライベートVLAN番号 は後のステップで使用するのでメモしておくこと。

    VLAN の適切な ID については、VLAN 識別番号 をご確認ください。

  4. サブネットをクリックして、IP サブネットの詳細を確認します。 サブネット・ネットワーク、ゲートウェイ・アドレス、および CIDR (/26) をメモします。これらは、さらに詳細な VRA の構成で必要になります。

  5. サブネット/VLAN が VRA にルーティングされ、ワークステーションから管理ネットワーク経由で ping を使用して VSI にアクセス できない ことを確認します。

    ping <VSI Private IP Address>

これで、IBM Cloud コンソールを使用した VRA のセットアップは完了です。 続いて、エンクロージャーと IP ルーティングを構成するための追加の作業を SSH を使用して VRA 上で直接実行します。

IP ルーティングとセキュア・エンクロージャーを構成する

VRA の構成が確定されると、実行中の構成が変更され、その変更内容が自動的に開始構成に保存されます。

以前の作業構成に戻る必要がある場合、デフォルトでは、直近 20 個のコミット・ポイントを表示、比較、または復元できます。 See the supplemental documentation 基本システム構成ガイド for details on show system commit, compare, rollback.

VRA の IP ルーティングを構成する

IBM Cloud プライベート・ネットワークから新規サブネットにルーティングするための VRA 仮想ネットワーク・インターフェースを構成します。

  1. SSH を使用して VRA にログインします。

    SSH vyatta@<VRA Private IP Address>

  2. 上記のステップで記録しておいたプライベート VLAN 番号、サブネット・ゲートウェイ IP アドレス、および CIDR を使用して新しい仮想インターフェースを作成します。 通常、CIDR は /26 です。

    configure
set interfaces bonding dp0bond0 vif <VLAN ID> address <Subnet Gateway IP>/<CIDR>
commit

    <Subnet Gateway IP> アドレスが使用されていることが重要です。 これは通常、サブネットの範囲内の最初のアドレスの 1 つです。 無効なゲートウェイ・アドレスを入力すると、「Configuration path: interfaces bonding dp0bond0 vif xxxx address [x.x.x.x] is not valid」というエラーが出されます。 コマンドを訂正して再入力してください。 このゲートウェイ・アドレスは、「ネットワーク」>「IP 管理」>「サブネット」 で確認することができます。 ゲートウェイ・アドレスを確認するために必要なサブネットをクリックします。 リスト内の 2 番目の項目 ( 「ゲートウェイ」 という記述があるもの) が、<Subnet Gateway IP>/<CIDR> (/ の前) に入力する IP アドレスです。

    デフォルトでは、VRRP は無効に設定されています。 これにより、新たなプロビジョンおよび再ロードによりマスター・デバイスで障害が発生することがなくなります。 VLAN トラフィックが機能するためには、プロビジョニングまたは再ロードの完了後に VRRP を再度有効にする必要があります。

    delete interfaces bonding dp0bond0 vrrp vrrp-group 1 disable
commit

    HA ペアを使用する場合、コマンドは多少異なり、VRRP 仮想 IP (VIP) アドレスになります。

  3. 新規仮想インターフェース (vif) をリストします。

    show interfaces

    これは、vif 1199 とサブネット・ゲートウェイ・アドレスが示されたインターフェース構成の例です。

    インターフェース
    インターフェース

  4. ワークステーションから管理ネットワーク経由で VSI に再度アクセスできることを確認します。

    ping <VSI Private IP Address>

    VSI にアクセスできない場合は、VRA IP ルーティング・テーブルが予想どおり構成されていることを確認してください。 表示インターフェースによって提供される情報を利用し、削除コマンド delete interfaces bonding dp0bond0 vif <VLAN ID> address <Subnet Gateway IP>/<CIDR> を実行して削除してから、適切な値を指定して再作成します。 構成モードで show コマンドを実行するには、run コマンドを使用します。

     run show ip route <Subnet Gateway IP>

これで、IP ルーティングの構成は完了です。

セキュア・エンクロージャーを構成する

セキュアなプライベート・ネットワーク・エンクロージャーは、ゾーンとファイアウォール・ルールを構成することによって作成されます。 手順を進める前に、ファイアウォール構成に関する VRA の資料を確認してください。

以下の 2 つのゾーンが定義されています。

  • INSIDE: IBM のプライベート・ネットワークと IBM の管理ネットワーク
  • APP: プライベート・ネットワーク・エンクロージャー内のユーザーの VLAN およびサブネット

  1. ファイアウォールとデフォルトを定義します。

    configure
set security firewall name APP-TO-INSIDE default-action drop
set security firewall name APP-TO-INSIDE default-log

set security firewall name INSIDE-TO-APP default-action drop
set security firewall name INSIDE-TO-APP default-log
commit

    set コマンドが誤って 2 回実行されると、次のメッセージが表示されます。 「Configuration path xxxxxxxx is not valid. Node exists」 これは無視してかまいません。 間違ったパラメーターを変更するには、「delete security xxxxx xxxx xxxxx」と表示されているノードを最初に削除する必要があります。

  2. IBM Cloud プライベート・ネットワーク・リソース・グループを作成します。 このアドレス・グループは、エンクロージャー、およびエンクロージャーから到達可能なネットワークにアクセスできる IBM Cloud プライベート・ネットワークを定義します。 2 つのセットの IP アドレスがセキュアなエンクロージャーとの間のアクセスを必要とします。 これらの IP アドレスは、SSL VPN データ・センターと IBM Cloud サービス・ネットワーク (バックエンド/プライベート・ネットワーク) です。IBM Cloud の IP 範囲には、許可されるすべての IP 範囲のリストがあります。

    • VPN アクセスに使用しているデータ・センターの SSL VPN アドレスを定義します。 「IBM Cloud の IP 範囲」の「SSL VPN データ・センター」セクションから、データ・センターまたは DC クラスターの VPN アクセス・ポイントを選択します。 以下の例では、IBM Cloud ロンドンのデータ・センターの VPN アドレス範囲が示されています。
      set resources group address-group ibmprivate address 10.2.220.0/24
set resources group address-group ibmprivate address 10.200.196.0/24
set resources group address-group ibmprivate address 10.3.200.0/24
    • IBM Cloud の「サービス・ネットワーク (バックエンド/プライベート・ネットワーク上)」の DAL10、WDC04、およびターゲット・データ・センターのアドレス範囲を定義します。 以下の例は、DAL10、WDC04 (アドレス 2 つ)、および LON06 です。
      set resources group address-group ibmprivate address 10.200.80.0/20
set resources group address-group ibmprivate address 10.3.160.0/20
set resources group address-group ibmprivate address 10.201.0.0/20

set resources group address-group ibmprivate address 10.201.64.0/20
commit

  3. ユーザーの VLAN およびサブネットの APP ゾーン、および IBM Cloud プライベート・ネットワークの INSIDE ゾーンを作成します。 以前に作成したファイアウォールを割り当てます。 ゾーン定義では、VRA ネットワーク・インターフェース名を使用して、各 VLAN に関連付けられているゾーンを識別します。 APP ゾーンを作成するコマンドでは、先ほど作成した VRA に関連する VLAN の VLAN ID を指定する必要があります。 これは、<VLAN ID> と強調表示されています。

    set security zone-policy zone INSIDE description "IBM Internal network"
set security zone-policy zone INSIDE default-action drop
set security zone-policy zone INSIDE interface dp0bond0
set security zone-policy zone INSIDE to APP firewall INSIDE-TO-APP

set security zone-policy zone APP description "Application network"
set security zone-policy zone APP default-action drop

set security zone-policy zone APP interface dp0bond0.<VLAN ID>
set security zone-policy zone APP to INSIDE firewall APP-TO-INSIDE

  4. 構成を確定します。 そして、ワークステーションから ping を使用して、ファイアウォールで VRA を経由した VSI へのトラフィックが拒否されていることを確認します。

    commit

    ping <VSI Private IP Address>

  5. UDP、TCP、および ICMP のファイアウォール・アクセス・ルールを定義します。

    set security firewall name INSIDE-TO-APP rule 200 protocol icmp
set security firewall name INSIDE-TO-APP rule 200 icmp type 8
set security firewall name INSIDE-TO-APP rule 200 action accept
set security firewall name INSIDE-TO-APP rule 200 source address ibmprivate

set security firewall name INSIDE-TO-APP rule 100 action accept
set security firewall name INSIDE-TO-APP rule 100 protocol tcp
set security firewall name INSIDE-TO-APP rule 100 source address ibmprivate

set security firewall name INSIDE-TO-APP rule 110 action accept
set security firewall name INSIDE-TO-APP rule 110 protocol udp
set security firewall name INSIDE-TO-APP rule 110 source address ibmprivate
commit

set security firewall name APP-TO-INSIDE rule 200 protocol icmp
set security firewall name APP-TO-INSIDE rule 200 icmp type 8
set security firewall name APP-TO-INSIDE rule 200 action accept
set security firewall name APP-TO-INSIDE rule 200 destination address ibmprivate

set security firewall name APP-TO-INSIDE rule 100 action accept
set security firewall name APP-TO-INSIDE rule 100 protocol tcp
set security firewall name APP-TO-INSIDE rule 100 destination address ibmprivate

set security firewall name APP-TO-INSIDE rule 110 action accept
set security firewall name APP-TO-INSIDE rule 110 protocol udp
set security firewall name APP-TO-INSIDE rule 110 destination address ibmprivate
commit

  6. ファイアウォール・アクセスを確認します。

    • ローカル・マシンから INSIDE-TO-APP ファイアウォールで ICMP および UPD/TCP トラフィックが許可されていることを確認します。
      ping <VSI Private IP Address>
SSH root@<VSI Private IP Address>
    • APP-TO-INSIDE ファイアウォールで ICMP および UPD/TCP トラフィックが許可されていることを確認します。 SSH を使用して VSI にログインし、10.0.80.11 および 10.0.80.12 の IBM Cloud ネーム・サーバーのいずれかを ping します。
      SSH root@<VSI Private IP Address>
[root@vsi  ~]# ping 10.0.80.11

  7. ワークステーションから SSH 経由で VRA 管理インターフェースに継続してアクセスできることを確認します。 アクセスが維持されている場合、構成を確認して保存します。 そうでない場合は、VRA をリブートすることによって、作業構成に戻ります。

    SSH vyatta@<VRA Private IP Address>

    show security

ファイアウォール・ルールをデバッグする

VRA 操作コマンド・プロンプトからファイアウォール・ログを表示できます。 この構成では、ファイアウォールの間違った構成の診断に役立つように、各ゾーンのドロップされたトラフィックのみログに記録されます。

  1. 拒否されたトラフィックのファイアウォール・ログを確認します。 ログの定期的な確認により、APP ゾーンのサーバーが IBM ネットワーク上のサービスに適切に接続を行っているのか、誤って接続しようとしているのかを識別できます。
    show log firewall name INSIDE-TO-APP
show log firewall name APP-TO-INSIDE
  2. サービスまたはサーバーに接続できず、ファイアウォール・ログに何も示されていない場合は、IBM Cloud プライベート・ネットワークからの VRA ネットワーク・インターフェース、または前述の <VLAN ID> を使用する VLAN への VRA インターフェース上に、予期される ping /ssh IP トラフィックが存在するかどうかを確認します。
    monitor interface bonding dp0bond0 traffic
monitor interface bonding dp0bond0.<VLAN ID> traffic

VRA を保護する

  1. VRA セキュリティー・ポリシーを適用します。 デフォルトでは、ポリシー・ベースのファイアウォール・ゾーニングでは VRA 自体へのアクセスは保護されません。 これは、Control Plane Policing (CPP) により構成されます。 VRA は基本的な CPP ルール・セットをテンプレートとして提供します。 次のように、このルール・セットを現行の構成にマージします。
    configure
merge /opt/vyatta/etc/cpp.conf
    これにより、 CPP という名前の新規ファイアウォール・ルール・セットが作成されます。 追加のルールを表示して、「編集」モードでコミットします。
    show security firewall name CPP
commit
  2. パブリック SSH アクセスを保護します。 現時点では Vyatta ファームウェアに関する未解決の問題があるため、set service SSH listen-address x.x.x.x を使用して、パブリック・ネットワーク上の SSH管理アクセスを制限することは推奨されません。 代わりに、VRA パブリック・インターフェースで使用されるパブリック IP アドレス範囲に対して、CPP ファイアウォール経由で外部アクセスをブロックできます。 ここで使用される <VRA Public IP Subnet> は、最後のオクテットがゼロ (x.x.x.0) の <VRA Public IP Address> と同一です。
    set security firewall name CPP rule 900 action drop
set security firewall name CPP rule 900 destination address <VRA Public IP Subnet>/24
set security firewall name CPP rule 900 protocol tcp
set security firewall name CPP rule 900 destination port 22
commit
  3. IBM 内部ネットワーク上の VRA SSH 管理アクセスを確認します。 コミットの実行後に SSH 経由の VRA へのアクセスが失われた場合、「アクション」メニューにある VRA の「デバイス詳細」ページから使用可能な KVM コンソールを介して VRA にアクセスできます。

これで、VLAN とサブネットを含む単一のファイアウォール・ゾーンを保護するセキュアなプライベート・ネットワーク・エンクロージャーのセットアップが完了しました。 追加のファイアウォール・ゾーン、ルール、仮想サーバーとベアメタル・サーバー、VLAN、およびサブネットは、同様の手順で追加できます。

リソースを削除する

このステップでは、リソースをクリーンアップして、作成したものを削除します。

  • 仮想サーバーまたはベアメタル・サーバーをすべて取り消します
  • 関連付けを解除し、VLAN をキャンセルします
  • VRA を取り消します

VRA は月額料金プランで提供されます。 取り消しても払い戻しはありません。 取り消しは、この VRA が翌月に再び必要とならない場合にのみ行うことをお勧めします。 デュアル VRA 高可用性クラスターが必要な場合は、この単一の VRA を「ゲートウェイの詳細 (Gateway Details)」ページでアップグレードできます。