SSH 액세스

IBM Cloud® Juniper vSRX은 공용 및 사설 네트워크 액세스로 또는 사설 네트워크 액세스만 사용하여 배치될 수 있습니다. 기본적으로 호스트 OS의 공인 IP에 대한 비밀번호 기반의 SSH 액세스는 새 프로비저닝 및 OS 다시 로드에서 사용 안함으로 설정됩니다. 호스트에 대한 액세스는 사설 IP 주소를 통해 완료될 수 있습니다. 또는 키 기반의 인증은 공인 IP에 액세스하는 데 사용될 수 있습니다. 이를 위해서는 새 Gateway를 주문할 때 공인 SSH 키를 지정하십시오.

IBM Cloud® Juniper vSRX의 일부 기존 배치에서는 호스트 OS의 공용 IP에 대해 비밀번호 기반 SSH 액세스를 허용할 수 있습니다. 이러한 배치의 경우 다음 단계를 수행하여 OS의 공인 IP에 대한 비밀번호 기반 SSH 액세스를 수동으로 사용 안함으로 설정할 수 있습니다.

1. /etc/ssh/sshd_config를 수정하십시오.

   • 다음 값으로 설정했는지 확인하십시오.

     ChallengeResponseAuthentication no
     PasswordAuthentication no
     

   • 파일 끝에 다음 필터 규칙을 추가하십시오.

     Match Address 10.0.0.0/8
         Password Authentication yes
     

2. /usr/sbin/service ssh restart 명령을 사용하여 SSH 서비스를 다시 시작하십시오.

위 프로시저에서는 사설 인프라 네트워크 10.0.0.0/8 서브넷의 주소에서 SSH 액세스가 허용되도록 합니다. 이 액세스는 다음과 같은 조치에 필요합니다.

• OS 다시 로드
• 클러스터 다시 빌드
• 버전 업그레이드

방화벽

필요한 규칙 없이 Ubuntu 방화벽(UFW, Iptables 등)을 구현하면 vSRX HA 클러스터가 사용 안함으로 설정될 수 있습니다. vSRX 솔루션은 기본 노드와 보조 노드 사이의 하트비트 통신에 따라 달라집니다. 방화벽 규칙에서 노드 사이의 통신을 허용하지 않으면 클러스터 통신이 유실됩니다.

vSRX 아키텍처는 아래에 설명된 방화벽 규칙에 영향을 줍니다. 두 개의 아키텍처에 대한 세부사항은 vSRX 기본 구성에서 찾을 수 있습니다.

레거시 아키텍처로 실행 중인 vSRX 버전 18.4 HA 배치의 경우 UFW에 클러스터 통신을 허용하려면 다음 규칙이 필요합니다.

• /etc/ufw/before.rules에서 (하트비트 통신에 사용되는) 프로토콜 47을 허용하려면 다음을 수행하십시오.

  -A ufw-before-input -p 47 -j ACCEPT
  

• 사설 네트워크 통신을 허용하려면 다음을 수행하십시오.

  ufw allow in from 10.0.0.0/8 to 10.0.0.0/8
  

• UFW를 사용으로 설정하려면 다음을 수행하십시오.

  ufw enable
  

새 아키텍처로 실행 중인 vSRX 버전의 경우 방화벽 규칙이 멀티캐스트 통신을 허용해야 합니다.

일부 경우에는 공용 저장소에 액세스하기 위해 방화벽을 사용 안함으로 설정해야 하는 문제점 해결 오퍼레이션이 필요할 수 있습니다. 이 경우 IBM 지원 센터에 진행 방법에 대해 문의해야 합니다.

대부분의 Gateway 조치에서는 호스트 OS 및 vSRX의 사설 10.0.0.0/8 서브넷에 대한 SSH 액세스가 필요합니다. 방화벽을 사용하여 이 액세스를 차단하면 다음 조치가 실패할 수 있습니다.

• OS 다시 로드
• 클러스터 다시 빌드
• 버전 업그레이드

그 결과 10.0.0.0/8 서브넷에 대한 SSH 액세스가 사용 안함으로 설정되면, 이러한 조치를 실행하기 전에 이를 다시 사용으로 설정해야 합니다.