Flex Gateway新着情報
Governance新着情報
Monitoring API ManagerRuntime Manager を使用して、CloudHub 環境内に専用ロードバランサー (DLB) を作成できます。
ロードバランサーを作成する前に、以下を実行します。
ロードバランサーを作成する組織のプロファイルに「CloudHub Network Administrator (CloudHub ネットワーク管理者)」権限を追加して、プロファイルにこのアクションを実行する権限があるようにする。
同様に、同じ組織のシステム管理者ロールによっても必要な権限が得られます。
ロードバランサーを作成する組織で Anypoint Virtual Private Cloud (Anypoint VPC) を作成する。
少なくとも 1 つの証明書と証明書用の非公開鍵を作成する。
Anypoint Platform から [Runtime Manager] をクリックします。
[Load Balancers (ロードバランサー)] > [Create Load Balancer (ロードバランサーを作成)] をクリックします。
ロードバランサーの名前を入力します。
CloudHub DLB の名前は、Anypoint Platform で (すべての MuleSoft ユーザーによって) 定義されているすべての DLB で一意である必要があります。 このため、たとえば DLB 名の最後に組織名を付加するなどしてください。
DLB の作成後は名前を変更することはできません。名前を変更するには、削除してから新しい名前で作成し直してください。 |
各専用ロードバランサーは外部ドメイン名の lb-name.lb.anypointdns.net
を公開します。lb-name
はこの手順で入力した名前です。
CloudHub DLB 名の先頭を internal-
にすることはできません。
ドロップダウンリストから目的の Anypoint VPC を選択します。
DLB が Mule アプリケーションからの応答を待つ時間を [Timeout in Seconds (タイムアウト (秒))] 項目に入力します。
デフォルト値は 300 秒です。
必要に応じて、許可リストに登録する Classless Inter-Domain Routing (CIDR) を追加します。
ここで指定した IP アドレスのみがロードバランサーにアクセスできる IP アドレスになります。デフォルト値は 0.0.0.0/0
です。
ロードバランサーのインバウンド HTTP モードを選択します。
このプロパティでは、HTTP 要求を受信したときのロードバランサーの動作を指定します。有効な値:
Off (オフ)
ロードバランサーは要求を警告なしで削除します。
On (オン)
デフォルトの SSL エンドポイントで HTTP プロトコルを使用してインバウンド要求を受け入れます。
Redirect (リダイレクト)
HTTPS プロトコルを使用して同じ URL に要求をリダイレクトします。
オプションを指定します。
[Enable Static IPs (静的 IP を有効化)] は、DLB を再起動しても変更されない静的 IP を使用するように指定します。
静的 IP アドレスについての詳細は、「Static IP Addresses (静的 IP アドレス)」を参照してください。
[Keep URL encoding (URL エンコードを保持)] は、DLB が %20
および %23
文字のみをそのまま渡すように指定します。
このオプションの選択を解除すると、DLB は要求 URI のエンコードされている部分をデコードしてから CloudHub ワーカーに渡します。
[Support TLS 1.0 (TLS 1.0 をサポート)] は、クライアントと DLB の間で TLS 1.0 をサポートするように指定します。
TLS 1.0 を使用するには、「Runtime Manager を使用した DLB での TLS 1.0 の有効化」を参照してください。
[Upstream TLS 1.2 (アップストリーム TLS 1.2)] は、DLB とアップストリーム CloudHub ワーカーの間で TLS 1.2 を強制するように指定します。
[Forward Client Certificate (クライアント証明書を転送)] は、DLB がクライアント証明書を CloudHub ワーカーに転送するように指定します。
証明書を追加します。
[Add certificate (証明書を追加)] をクリックします。
[Create Load Balancer (ロードバランサーを作成)] | [Add certificate (証明書を追加)] ページで、[Choose File (ファイルを選択)] を選択して公開キーファイルと非公開キーファイルの両方をアップロードします。
クライアント証明書を追加する場合は、[Choose File (ファイルの選択)] をクリックしてファイルをアップロードします。
このクライアント証明書は、クライアント証明書を検証するために使用される信頼された CA 証明書です。
URL マッピングルールを追加する場合は、> アイコンをクリックしてオプションを表示します。
複数の URL マッピングルールを追加する場合は、適用する優先度に従ってリスト内のルールの順序を決定します。
[Add New Rule (新規ルールを追加)] をクリックして、入力パス、対象アプリケーション、出力パス、プロトコルを指定します。
[Save Certificate (証明書を保存)] をクリックします。
[Create Load Balancer (ロードバランサーを作成)] をクリックします。
セキュリティの脆弱性のため TLS 1.0 は推奨されませんが、従来のクライアントとの通信に必要な場合はサポートを有効にできます。
TLS 1.0 のサポートは、DLB のデフォルトの SSL エンドポイントでのみ有効にできます。 TLS 1.0 のサポートの有効化は単一の SSL エンドポイントではなく DLB 全体に適用されます。
セキュリティ上の理由により、TLS 1.0 は有効にしたままにしないでください。
TLS 1.0 が不要になった場合は、デフォルトの暗号化スイートを、たとえば NewDefault などに置き換えてください。
|
TLS のサポートを有効にする手順は、次のとおりです。
[Support TLS 1.0 (TLS 1.0 をサポート)] オプションを選択します。
API を使用して、デフォルトの暗号化スイートを OldDefault
に変更します。
「TLS 1.0 をサポートするようにデフォルトの暗号化スイートを変更する」を参照してください。