VPC ファイアウォールルール

CloudHub のデフォルト設定では、すべてのアプリケーションは、公開されているロードバランサによって分散されたマルチテナントクラウドでホストされます。
Anypoint Virtual Private Cloud (Anypoint VPC) を作成するときに、独自のファイアウォールルールを追加して、特定の IP 範囲やポートがワーカーにアクセスすることを許可できます。「ファイアウォールルールの設定」を参照してください。

Anypoint VPC で設定するファイアウォールルールでチェックされるのはワーカーへのインバウンド接続のみで、Anypoint VPC、専用ロードバランサ、公開されているロードバランサはチェックされません。

デフォルトでは、ファイアウォールルールで明示的に許可されていない限り、VPC へのすべてのトラフィックがブロックされます。 Anypoint VPC を作成すると、4 つのファイアウォールルールがデフォルトで作成されます。

  • ポート 8091 および 8092 経由でローカルの Anypoint VPC 内からのインバウンド接続を許可する 2 つのルールを次に示します。

    {
      "CIDR Block": "10.111.0.0/24", // (Local VPC)
      "Protocol": "TCP",
      "From port": 8092,
    },
    
    {
      "CIDR Block": "10.111.0.0/24", // (Local VPC)
      "Protocol": "TCP",
      "From port": 8091,
    },

    これらのファイアウォールルールは、ポート 8091 および 8092 経由で Anypoint VPC 内からのトラフィックがワーカーに到達するのを許可します。CloudHub 専用ロードバランサがワーカーへのすべての外部通信をプロキシするために使用できるポートはこれらのみです。

  • ポート 8081 および 8082 経由であらゆる場所からのインバウンド接続を許可する 2 つのルールを次に示します。

    {
      "CIDR Block": "0.0.0.0/0", // (Anywhere)
      "Protocol": "TCP",
      "From port": 8082,
    },
    
    {
      "CIDR Block": "0.0.0.0/0", // (Anywhere)
      "Protocol": "TCP",
      "From port": 8081,
    }

    これらのルールは、ポート 8081 および 8082 経由でどのホストからでもトラフィックがワーカーに到達するのを許可します。 これらのポートは、ワーカーへの外部要求をプロキシするために CloudHub の共有ロードバランサによって使用されます。 公開されているロードバランサが内部ワーカーに到達できないようにする場合はこれらのルールを削除できます。

ファイアウォールルールの設定

Anypoint VPC を作成するときに Anypoint Runtime Manager UI でファイアウォールルールを設定するか、既存の Anypoint VPC に追加できます。また、Anypoint VPC のファイアウォールルールはいつでも変更できます。

ファイアウォールルールを実装または既存のルールに変更を加える前に、すべてのセキュリティ上の影響を完全に理解しておく必要があります。ファイアウォールルールに変更を加える前に、組織の確立されたベストプラクティスに従ってください。一般に、Anypoint VPC へのアクセスを定義するために使用するルールは、できる限り具体的にする必要があります。

ファイアウォールルールはインバウンドで、次のパラメータを使用します。

  • Type (種別): プロトコル種別 (TCP など)

  • Source (ソース): ソース IP アドレス

  • Port Range (ポート範囲): 外部に公開されるポートは 8081 (http.port) と 8082 (https.port) の 2 つのみです。このパラメータを使用して、VPC 内部で追加ポートを開くことができます。

ファイアウォールルールの追加または編集

  1. Organization Administrators (組織のシステム管理者) ロールを持つユーザとして Anypoint Platform にサインインします。

  2. [Management Center] で、[Runtime Manager] をクリックします。

  3. すでに Anypoint VPC がある場合は、次を実行します。

    1. 左側のメニューで [VPCs] をクリックし、ファイアウォールルールを設定する Anypoint VPC の行をクリックします。
      右パネルに Anypoint VPC インスタンスに関する情報をが表示されます。

    2. [Manage VPC (VPC を管理)] をクリックし、*[Firewall Rules (ファイアウォールルール)] タブ*をクリックします。

  4. Anypoint VPC を作成するときにファイアウォールルールを作成する場合は、次を実行します。

    1. [Firewall Rules > (ファイアウォールルール >)] をクリックして項目を展開します。

      firewall rules page
  5. ルールを編集するには、[Type (種別)] および [Source (ソース)] ドロップダウンリストから新しい値を選択し、[Port Range (ポート範囲)] に値を入力します。

  6. ルールを追加する場合は、次を実行します。

    1. [Add New Rule (新規ルールを追加)] をクリックします。

    2. 対応する列で次の種別とソースの値を選択します。

      • Type (種別): ルールのトランスポートプロトコル種別を選択します。

      • Source (ソース): ソース IP アドレスを選択するか、[Custom (カスタム)] を選択して独自のソースを定義します。

    3. [Port Range (ポート範囲)] に値を入力し、[Add to list (リストに追加)] をクリックします。

  7. ファイアウォールルールを削除するには、削除するファイアウォールルールにカーソルを置き、右端の列にあるゴミ箱アイコンをクリックします。

ファイアウォールルールを削除するときに確認ダイアログは表示されないので、削除する必要があることを確認してください。

Was this article helpful?

💙 Thanks for your feedback!

Edit on GitHub