1. Homepage
  2. CloudHub
  3. Virtual Private Cloud

  4. VPC ファイアウォールルール

VPC ファイアウォールルール

CloudHub のデフォルト設定では、すべてのアプリケーションは、公開されているロードバランサーによって分散されたマルチテナントクラウドでホストされます。
Anypoint Virtual Private Cloud (Anypoint VPC) を作成するときに、独自のファイアウォールルールを追加して、特定の IP 範囲やポートがワーカーにアクセスすることを許可できます。「​ファイアウォールルールの設定​」を参照してください。

Anypoint VPC で設定するファイアウォールルールでチェックされるのはワーカーへのインバウンド接続のみで、Anypoint VPC、専用ロードバランサー、公開されているロードバランサーはチェックされません。

デフォルトのファイアウォールルール

デフォルトでは、ファイアウォールルールで明示的に許可されていない限り、VPC へのすべてのトラフィックがブロックされます。 Anypoint VPC を作成すると、4 つのファイアウォールルールがデフォルトで作成されます。

  • ポート 8091 および 8092 経由でローカルの Anypoint VPC 内からのインバウンド接続を許可する 2 つのルールを次に示します。

    {
  "CIDR Block": "10.111.0.0/24", // (Local VPC)
  "Protocol": "TCP",
  "From port": 8092,
},

{
  "CIDR Block": "10.111.0.0/24", // (Local VPC)
  "Protocol": "TCP",
  "From port": 8091,
},

    これらのファイアウォールルールは、ポート 8091 および 8092 経由で Anypoint VPC 内からのトラフィックがワーカーに到達するのを許可します。CloudHub 専用ロードバランサーがワーカーへのすべての外部通信をプロキシするために使用できるポートはこれらのみです。

  • ポート 8081 および 8082 経由であらゆる場所からのインバウンド接続を許可する 2 つのルールを次に示します。

    {
  "CIDR Block": "0.0.0.0/0", // (Anywhere)
  "Protocol": "TCP",
  "From port": 8082,
},

{
  "CIDR Block": "0.0.0.0/0", // (Anywhere)
  "Protocol": "TCP",
  "From port": 8081,
}

    これらのルールは、ポート 8081 および 8082 経由でどのホストからでもトラフィックがワーカーに到達するのを許可します。 これらのポートは、ワーカーへの外部要求をプロキシするために CloudHub の共有ロードバランサーによって使用されます。 公開されているロードバランサーが内部ワーカーに到達できないようにする場合はこれらのルールを削除できます。

ファイアウォールルールの制限

CloudHub で必要なルールの数 (可変) に応じて、VPC ごとに約 35 個のファイアウォールルールを設定できます。

使用可能な数を超えるファイアウォールルールを作成すると、ルールの最大数に達したことを示すエラーが VPC から返されます。

ファイアウォールルールの設定

Anypoint VPC を作成するときに Anypoint Runtime Manager UI でファイアウォールルールを設定するか、既存の Anypoint VPC に追加できます。また、Anypoint VPC のファイアウォールルールはいつでも変更できます。

ファイアウォールルールを実装または既存のルールに変更を加える前に、すべてのセキュリティ上の影響を完全に理解しておく必要があります。ファイアウォールルールに変更を加える前に、組織の確立されたベストプラクティスに従ってください。一般に、Anypoint VPC へのアクセスを定義するために使用するルールは、できる限り具体的にする必要があります。

ファイアウォールルールはインバウンドで、次のパラメーターを使用します。

  • Type (種別)​: プロトコル種別 (TCP など)

  • Source (接続元)​: 接続元 IP アドレス

  • Port Range (ポート範囲)​: 外部に公開されるポートは 8081 (http.port) と 8082 (https.port) の 2 つのみです。このパラメーターを使用して、VPC 内部で追加ポートを開くことができます。

1024 より下のポートに対しては、ファイアウォールルールを設定できません。

ファイアウォールルールの追加または編集

  1. Organization Administrators (組織のシステム管理者)​ ロールを持つユーザーとして Anypoint Platform にサインインします。

  2. [Management Center]​ で、​[Runtime Manager]​ をクリックします。

  3. すでに Anypoint VPC がある場合は、次を実行します。

    1. 左側のメニューで ​[VPCs]​ をクリックし、ファイアウォールルールを設定する Anypoint VPC の行をクリックします。
      右パネルに Anypoint VPC インスタンスに関する情報が表示されます。

    2. [Manage VPC (VPC を管理)]​ をクリックし、​[Firewall Rules (ファイアウォールルール)] タブ​をクリックします。

  4. Anypoint VPC を作成するときにファイアウォールルールを作成する場合は、次を実行します。

    1. [Firewall Rules > (ファイアウォールルール >)]​ をクリックして項目を展開します。

      firewall rules page

  5. ルールを編集するには、​[Type (種別)]​ および ​[Source (接続元)]​ ドロップダウンリストから新しい値を選択し、​[Port Range (ポート範囲)]​ に値を入力します。

  6. ルールを追加する場合は、次を実行します。

    1. [Add New Rule (新規ルールを追加)]​ をクリックします。

    2. 対応する列で次の種別と接続元の値を選択します。

      • Type (種別)​: ルールのトランスポートプロトコル種別を選択します。

      • Source (接続元)​: 接続元 IP アドレスを選択するか、​[Custom (カスタム)]​ を選択して独自の接続元を定義します。

    3. [Port Range (ポート範囲)]​ に値を入力し、​[Add to list (リストに追加)]​ をクリックします。

  7. ファイアウォールルールを削除するには、削除するファイアウォールルールにカーソルを置き、右端の列にあるゴミ箱アイコンをクリックします。

ファイアウォールルールを削除するときに確認ダイアログは表示されないので、削除する必要があることを確認してください。

関連情報