Runtime Manager でのロードバランサーの作成

Runtime Manager を使用して、CloudHub 環境内に専用ロードバランサー (DLB) を作成できます。

前提条件

ロードバランサーを作成する前に、以下を実行します。

  • ロードバランサーを作成する組織のプロファイルに​「CloudHub Network Administrator (CloudHub ネットワーク管理者)」​権限を追加して、プロファイルにこのアクションを実行する権限があるようにする。

    同様に、同じ組織のシステム管理者ロールによっても必要な権限が得られます。

  • ロードバランサーを作成する組織で Anypoint Virtual Private Cloud (Anypoint VPC) を作成する。

  • 少なくとも 1 つの証明書と証明書用の非公開鍵を作成する。

ロードバランサーの作成

  1. Anypoint Platform から ​[Runtime Manager]​ をクリックします。

  2. [Load Balancers (ロードバランサー)]​ > ​[Create Load Balancer (ロードバランサーを作成)]​ をクリックします。

  3. ロードバランサーの名前を入力します。

    CloudHub DLB の名前は、Anypoint Platform で (すべての MuleSoft ユーザーによって) 定義されているすべての DLB で一意である必要があります。 このため、たとえば DLB 名の最後に組織名を付加するなどしてください。

    DLB の作成後は名前を変更することはできません。名前を変更するには、削除してから新しい名前で作成し直してください。

    各専用ロードバランサーは外部ドメイン名の ​lb-name​.lb.anypointdns.net​ を公開します。​lb-name​ はこの手順で入力した名前です。

    CloudHub DLB 名の先頭を ​internal-​ にすることはできません。

  4. ドロップダウンリストから目的の Anypoint VPC を選択します。

  5. DLB が Mule アプリケーションからの応答を待つ時間を ​[Timeout in Seconds (タイムアウト (秒))]​ 項目に入力します。

    デフォルト値は 300 秒です。

  6. 必要に応じて、許可リストに登録する Classless Inter-Domain Routing (CIDR) を追加します。

    ここで指定した IP アドレスのみがロードバランサーにアクセスできる IP アドレスになります。デフォルト値は ​0.0.0.0/0​ です。

  7. ロードバランサーのインバウンド HTTP モードを選択します。

    このプロパティでは、HTTP 要求を受信したときのロードバランサーの動作を指定します。有効な値:

    • Off (オフ)

      ロードバランサーは要求を警告なしで削除します。

    • On (オン)

      デフォルトの SSL エンドポイントで HTTP プロトコルを使用してインバウンド要求を受け入れます。

    • Redirect (リダイレクト)

      HTTPS プロトコルを使用して同じ URL に要求をリダイレクトします。

  8. オプションを指定します。

    • [Enable Static IPs (静的 IP を有効化)]​ は、DLB を再起動しても変更されない静的 IP を使用するように指定します。

      静的 IP アドレスについての詳細は、​「Static IP Addresses (静的 IP アドレス)」​を参照してください。

    • [Keep URL encoding (URL エンコードを保持)]​ は、DLB が ​%20​ および ​%23​ 文字のみをそのまま渡すように指定します。

      このオプションの選択を解除すると、DLB は要求 URI のエンコードされている部分をデコードしてから CloudHub ワーカーに渡します。

    • [Support TLS 1.0 (TLS 1.0 をサポート)]​ は、クライアントと DLB の間で TLS 1.0 をサポートするように指定します。

      TLS 1.0 を使用するには、「​Runtime Manager を使用した DLB での TLS 1.0 の有効化​」を参照してください。

    • [Upstream TLS 1.2 (アップストリーム TLS 1.2)]​ は、DLB とアップストリーム CloudHub ワーカーの間で TLS 1.2 を強制するように指定します。

    • [Forward Client Certificate (クライアント証明書を転送)]​ は、DLB がクライアント証明書を CloudHub ワーカーに転送するように指定します。

  9. 証明書を追加します。

    1. [Add certificate (証明書を追加)]​ をクリックします。

      [Create Load Balancer (ロードバランサーを作成)] ページの [Add certificate (証明書を追加)] オプション
      Figure 1. [Create Load Balancer (ロードバランサーを作成)]​ ページの ​[Add certificate (証明書を追加)]​ オプションを示す矢印。
    2. [Create Load Balancer (ロードバランサーを作成)] | [Add certificate (証明書を追加)]​ ページで、​[Choose File (ファイルを選択)]​ を選択して公開キーファイルと非公開キーファイルの両方をアップロードします。

    3. クライアント証明書を追加する場合は、​[Choose File (ファイルの選択)]​ をクリックしてファイルをアップロードします。

      このクライアント証明書は、クライアント証明書を検証するために使用される信頼された CA 証明書です。

    4. URL マッピングルールを追加する場合は、​>​ アイコンをクリックしてオプションを表示します。

      [Create Load Balancer (ロードバランサーを作成)] | [Add certificate (証明書を追加)] ページの拡張アイコン
      Figure 2. [Create Load Balancer (ロードバランサーを作成)] | [Add certificate (証明書を追加)]​ ページの拡張アイコンを示す矢印。

      複数の URL マッピングルールを追加する場合は、適用する優先度に従ってリスト内のルールの順序を決定します。

      [Add New Rule (新規ルールを追加)]​ をクリックして、入力パス、対象アプリケーション、出力パス、プロトコルを指定します。

    5. [Save Certificate (証明書を保存)]​ をクリックします。

  10. [Create Load Balancer (ロードバランサーを作成)]​ をクリックします。

Runtime Manager を使用した DLB での TLS 1.0 の有効化

セキュリティの脆弱性のため TLS 1.0 は推奨されませんが、従来のクライアントとの通信に必要な場合はサポートを有効にできます。

TLS 1.0 のサポートは、DLB のデフォルトの SSL エンドポイントでのみ有効にできます。 TLS 1.0 のサポートの有効化は単一の SSL エンドポイントではなく DLB 全体に適用されます。

セキュリティ上の理由により、TLS 1.0 は有効にしたままにしないでください。 TLS 1.0 が不要になった場合は、デフォルトの暗号化スイートを、たとえば ​NewDefault​ などに置き換えてください。

TLS のサポートを有効にする手順は、次のとおりです。

  1. [Support TLS 1.0 (TLS 1.0 をサポート)]​ オプションを選択します。

  2. API を使用して、デフォルトの暗号化スイートを ​OldDefault​ に変更します。