ネットワーク・ポリシー
Azure
デフォルトでは、NPSaaS データベースに接続することも、データベースから任意の IP アドレスまたはホスト名を持つ任意のデバイスに接続することもできます。 Web コンソールのネットワーク・ポリシー機能を使用して、NPSaaS データベースが接続できる IP アドレスとホスト名のセット、または接続できる IP アドレスとホスト名のセットを制御できます。 ネットワーク・ポリシー機能は、 Azure でのみサポートされます。
-
NPSaaSインスタンスが到達できる、または到達できる宛先を制限したい場合は、指定されたIPアドレスとホスト名を持つ定義されたソースセットからの接続のみを許可する を参照してください。
-
NPSaaS インスタンスに到達できるソース、またはインスタンスに到達できるソースを制限する場合は、「 オンプレミスからのみ接続を許可し、Cloud Object Store を使用してデータをバックアップ、ロード、またはアンロードする」を参照してください。
制限
- ネットワークポリシーは「
IPv4アドレスのみをサポートする。 - ネットワーク・ポリシーは、最大 1000 個のネットワーク・ポリシーをサポートできます。
- ネットワーク・ポリシーは、NPSaaS データベースへのトラフィックのみを制限します。 これらは、Web コンソールなどの他のコンポーネントには適用されません。
フォーム・ファクター
ネットワーク・ポリシーは、以下によって定義されます。
これらのフォーム・ファクターを使用して、allow ポリシーまたは block ポリシーのいずれかとしてネットワーク・ポリシーを作成できます。
ブロックしてポリシーを許可
ブロック・ポリシー
以下のことができないようにするポリシーのタイプを指定します。
-
任意のデバイスまたはサービスを使用して NPSaaS データベースに接続する。
-
NPSaaS データベースから、指定されたホスト名または CIDR によって指定された範囲内の IP アドレスを持つ任意のデバイスまたはサービスに接続する。
ポリシーの許可
以下を実行できるようにするポリシーを指定します。
-
任意のデバイスまたはサービスを使用して NPSaaS データベースに接続する。
-
NPSaaS データベースから、指定されたホスト名または CIDR によって指定された範囲内の IP アドレスを持つ任意のデバイスまたはサービスに接続する。
許可ポリシーとブロック (拒否) ポリシーの組み合わせを使用して、NPSaaS データベースとの間の接続を、指定された IP アドレスとホスト名のセットに制限することができます。
ネットワーク・ポリシーの定義
クラスレス・ドメイン間ルーティング (CIDR) を使用したネットワーク・ポリシーの定義
NPSaaSでは、ネットワーク・ポリシーでクラスレス・ドメイン間ルーティング (CIDR) を使用して、IP アドレスの範囲を指定できます。
CIDR 表記は、IP アドレスとそれに関連するネットワーク・マスクをコンパクトに表現したものです。
<ip_address>/<prefix_length>
例えば、76.168.0.0/24 は、76.168.0.0 と 76.168.0.62 の範囲の IP アドレスを表します。
0.0.0.0/0 は、CIDR 表記の特殊なケースです。これは許可されます。 以下の理由により、注意して使用してください。
-
0.0.0.0/0をブロック・ポリシーとして使用すると、NPSaaS データベースとの間のすべてのトラフィックが制限されます。 -
0.0.0.0/0を許可ポリシーとして使用すると、NPSaaS データベースとの間のすべてのトラフィックが許可されます。
パブリックIPアドレスとプライベートIPアドレスを表すために、CIDR範囲を使用することができます。 プライベート IP アドレスを使用するプライベート・ネットワークまたはエンタープライズ・ネットワーク内のデバイスまたはサービスには、ゲートウェイがあります。 これらのゲートウェイには通常、ネットワーク・アドレス変換 (NAT) を行うパブリック IP アドレスとのネットワーク・インターフェースがあります。 これにより、プライベート・ネットワーク内のエンティティーが外部サービスに接続できるようになります。
allow ポリシーおよび block ポリシーを設定する場合は、ゲートウェイのパブリック IP アドレスのみを表す CIDR 範囲を使用する必要があります。
ブロック・ポリシーとしてプライベート IP アドレス・スペースを表す CIDR 範囲を指定しないでください。 データベースの機能に影響を与える可能性があります。
DNS ホスト名を使用したネットワーク・ポリシーの定義
NPSaaSでは、ネットワーク・ポリシーに DNS ホスト名を指定できます。
DNS ホスト名は、ネットワーク ID として機能するデバイスまたはサービスに割り当てられ、それらとの接続に使用される名前です。 DNS ホスト名の例は、cloud.ibm.comです。
ポリシーで DNS ホスト名を使用する場合、ポリシーが効果的に機能するように、ローカル DNS 名はホスト名を NPSaaS インスタンス内の単一の静的 IP アドレスに解決します。
ホスト名が複数の IP アドレスに解決される場合、または割り当てられた IP アドレス (例えば、ロード・バランサー) が変更される可能性がある場合は、DNS ホスト名ではなく、それらの IP アドレスの CIDR 範囲をポリシーに指定するようにしてください。
ドメイン・ネーム・サーバー (DNS) の解決
ポリシーで DNS ホスト名を使用すると、データベースはノード上のローカル・ネーム・サーバーを使用してドメインを解決しようとします。 通常はローカル・ネーム・サーバーによってキャッシュされないドメイン・ネーム (例えば、クラウド・インフラストラクチャー・プロバイダーにネイティブではないサービスやクラウド・インフラストラクチャー・プロバイダーによって提供されるサービス) を使用する場合、ローカル・ネーム・サーバーはそのドメイン・ネームに解決できません。
このようなシナリオでは、以下のいずれかを行うことができます。
-
DNS サーバーの IP アドレスを許可ルールに追加して、データベースがホスト名をその IP アドレスに解決できるようにします。
-
デバイスまたはサービスによって使用される完全な CIDR 範囲を指定します。
ネットワーク・ポリシーの評価の順序
allow ポリシーが最初に評価されます。 次に、 deny ポリシーを指定します。
評価時に、各ポリシーは、定義された順序で最初から最後まで評価されます。
着信接続または発信接続に一致する最初のルールが適用され、後続のルールはその接続に対して無視されます。
ポリシーの作成例については、ネットワーク・ポリシーの例を参照してください。
ネットワーク・ポリシーの作成とリスト表示
ADMINISTRATORS グループに属している場合は、ネットワーク・ポリシーを作成できます。
NPSaaSウェブ・コンソールで既存のネットワーク・ポリシーを作成および表示するには、**[管理]>[設定]>[ネットワーク・ポリシー]**を選択します。 Web コンソールを使用したネットワーク・ポリシーの作成について詳しくは、 Web コンソールを使用したネットワーク・ポリシー を参照してください。
例
ネットワーク・ポリシーを適用する方法の例を以下に示します。
指定された IP アドレスとホスト名を持つ定義済みソース・セットからの接続のみを許可する
CIDR-1、 CIDR-2、およびホスト名 H1 と H2で表される範囲の IP アドレスを持つデバイスからのみ NPSaaS データベースへの接続を許可し、他のすべてのソースからの接続を拒否する場合は、以下の手順を実行します。
-
Rule 1からRule 5までの順序でポリシーを作成します。Rule 1: CIDR-1 (allow) Rule 2: CIDR-2 (allow) Rule 3: H1 (allow) Rule 4: H2 (allow) Rule 5: 0.0.0.0/0 (deny)これらの規則により、接続が許可されるかどうかを判別するために、接続が
Rule 1-4と突き合わされます。 許可されていない場合、Rule 5はそれらを拒否します。誰かがホスト名
H1およびH2を使用して NPSaaS データベースに接続しようとすると、データベースはまずホスト名をその IP アドレスに解決して接続を完了しようとします。 データベースにはローカルにキャッシュされた DNS エントリーがない可能性があるため、データベースはパブリック DNS サーバーを使用してホスト名を解決しようとします。 ルール 5 が適用されているため、DNS ルックアップは失敗します。 その結果、接続の試行は失敗します。 -
DNS ルックアップを成功させるための許可ルールに、パブリック権限 DNS サーバーのホスト名または CIDR (DNS-1) を追加します。
Rule 1: CIDR-1 (allow) Rule 2: CIDR-2 (allow) Rule 3: H1 (allow) Rule 4: H2 (allow) Rule 5: DNS-1 (allow) Rule 6: 0.0.0.0/0 (deny)新規ルールが 許可 ルール (ルール 5) として追加されます。
オンプレミスからの接続のみを許可し、クラウド・オブジェクト・ストアを使用してデータをバックアップ、ロード、またはアンロードする
オンプレミス・ネットワークのアプリケーションまたはユーザーのみが NPSaaS データベースに接続できるようにするには、以下の手順を実行します。
-
パブリック NAT ゲートウェイを使用します。
オンプレミス・ネットワークは、プライベート IP アドレス・スペースを使用するプライベート・エンタープライズ・ネットワークです。 アプリケーションおよびユーザーがオンプレミス・ネットワーク外のサービスに接続する場合は、パブリック NAT ゲートウェイを使用する必要があります。
パブリック NAT ゲートウェイには、CIDR-1 で表される範囲のパブリック IP アドレスとのインターフェースがあり、エンタープライズ・ネットワーク内のインスタンスのソース IP アドレスを NAT ゲートウェイのパブリック IP アドレスの 1 つに置き換えます。
その結果、外部アプリケーションは、CIDR-1によって表される NAT ゲートウェイのパブリック・インターフェースの 1 つからのすべてのトラフィックを認識します。
-
CIDR-1 を
allowルールとして追加します (ルール 1)。Rule 1: CIDR-1 (allow) -
オンプレミス・ネットワークから発信される接続のみを制限するには、 「すべて拒否」 ルール (ルール 2) を追加します。
Rule 1: CIDR-1 (allow) Rule 2: 0.0.0.0/0 (deny) -
データベースからそれぞれの Cloud Object Store エンドポイント (AWS S3 や Azure Blob Storage など) に接続します。
データベース管理者がデータをクラウド・オブジェクト・ストアにバックアップし、開発者がアプリケーションで外部表を使用してデータをロードおよびアンロードするようにする場合は、許可リストにエンドポイントを追加する必要があります。
ネットワーク許可ポリシーへの AWS S3 エンドポイントの追加
例えば、us-east-1 領域にバケットがあり、外部表のバックアップおよびロードとアンロードにそのバケットを使用する場合は、以下のステップを実行します。
-
S3 エンドポイントに関連付けられた完全な IP アドレス範囲を表す CIDR 範囲を指定します。
特定の AWS リージョンの S3 エンドポイントによって使用される CIDR 範囲を取得するには、以下のようにします。
-
Amazon S3によって使用される IP アドレス範囲を見つけるにはどうすればよいですか?の指示に従ってください。
curl https://ip-ranges.amazonaws.com/ip-ranges.json |\ jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="S3") | .ip_prefix' 18.34.0.0/19 54.231.0.0/16 52.216.0.0/15 18.34.232.0/21 3.5.0.0/19 44.192.134.240/28 44.192.140.64/28 -
CIDR 範囲を許可リストに追加します。
Rule 1: CIDR-1 (allow) Rule 2: 18.34.0.0/19 (allow) Rule 3: 54.231.0.0/16 (allow) Rule 4: 52.216.0.0/15 (allow) Rule 5: 18.34.232.0/21 (allow) Rule 6: 3.5.0.0/19 (allow) Rule 7: 44.192.134.240/28 (allow) Rule 8: 44.192.140.64/28 (allow) Rule 2: 0.0.0.0/0 (deny)
AWS S3エンドポイントは、それらに関連付けられた単一のIPアドレスを持っていない。 S3 エンドポイント・ホスト名を許可リストに追加すると、不整合な結果になる可能性があります。
-
-
他の AWS サービスを使用するか、他の AWS サービスから接続する場合は、該当するサービス・エンドポイントに関連付けられている CIDR 範囲を
allowルールに追加します。各種 AWS サービスの CIDR 範囲を取得するには、以下のようにします。
-
ここの指示に従ってください。
-
必要に応じて、それらを許可ルールとして追加します。
-
ネットワーク許可ポリシーに Azure blob ストレージ・エンドポイントを追加しています。
例えば、外部表のバックアップおよびロードとアンロードのための Azure Blob Storage を使用する East US 2 地域にストレージ・アカウントがある場合は、以下の手順を実行します。
-
Azure Blob Storage エンドポイントに関連付けられている完全な IP アドレス範囲を表す CIDR 範囲を指定します。
特定の Azure リージョンのストレージ・エンドポイントによって使用される CIDR 範囲を取得するには、以下のようにします。
-
AzureのIPアドレス範囲の通知「{: external}」の指示に従ってください。
> $serviceTags = Get-AzNetworkServiceTag -Location eastus2 > $serviceTags.Values | Where-Object { $_.Name -like "Storage*" -and $_.Properties.Region -eq "eastus2" } Name : Storage.EastUS2 System Service : AzureStorage Region : eastus2 Address Prefixes : {13.68.120.64/28, 13.77.112.16/28, 13.77.112.32/28, 13.77.112.112/28…} Change Number : 6 Name : Storage.EastUS2Stage System Service : AzureStorage Region : eastus2 Address Prefixes : 137.116.2.64/27 Change Number : 1 -
CIDR 範囲を許可リストに追加します。
Rule 1: CIDR-1 (allow) Rule 2: 13.68.120.64/28 (allow) Rule 3: 13.77.112.16/28 (allow) Rule 4: 13.77.112.32/28 (allow) Rule 5: 13.77.112.112/28 (allow) Rule 6: 137.116.2.64/27 (allow) Rule 2: 0.0.0.0/0 (deny)
-
-
他の Azure サービスから使用または接続する場合は、それぞれのサービス・エンドポイントに関連付けられている CIDR 範囲を許可ルールに追加します。 さまざまな Azure サービスの CIDR 範囲を取得するには、以下のようにします。
-
ここ から「{: external}指示に従ってください。
-
必要に応じて、CIDR 範囲を許可ルールとして追加します。
Azure Blob Storageエンドポイントには、それらに関連付けられた単一のIPアドレスはありません。 エンドポイント・ホスト名を許可リストに追加すると、不整合な結果になる可能性があります。
-
AWS
デフォルトでは、NPSaaSデータベースはどのデバイスからでも、どのIPアドレスからでもアクセスできます。 しかし、AWS の新しい Ingress 接続用のネットワーク ポリシー機能では、NPSaaS ネットワーク ポリシーで提供される機能と同様に、Azure データベースへの接続を許可する IP アドレスを指定して制御することができます。
有効にする方法
この機能を使用するには、IBM でサポートチケットを作成し、ホワイトリストに登録する IPv4 アドレスまたは範囲のリストを CIDR 形式で提供する必要があります。
この機能が実装されると、ホワイトリストに含まれていないIPアドレスはNPSaaSデータベースへのアクセスがブロックされます。
制限
- IPv4 アドレスまたは CIDR 形式の範囲のみをサポートします。
- Egressコネクションの許可やブロックはサポートしていない。
- トラフィックをNPSaaSデータベースだけに制限し、Webコンソールなどの他のコンポーネントには適用しないでください。