接続の保護

資料の英語版に戻る

接続の保護

インターネットに外部化されていない (例えば、ファイアウォールの内側にある) データベースに接続するには、 Satellite リンクまたは Secure Gatewayを選択する必要があります。

Satellite リンクをセットアップする
Secure Gateway を構成する

Satellite リンクをセットアップする

IBM Cloud アカウント用に構成した Satellite ロケーションに安全に接続するには、 IBM Cloud Satellite の Satellite Link 機能を使用します。接続は Satellite ロケーションを使用して、データ・ソースへの Satellite Link を形成します。

要件と制約事項

必要な権限: IBM Cloudでタスクを実行するには、 IBM Cloud アカウントの管理者でなければなりません。
必要なホスト・システム: Satellite ホストとして機能するには、独自のインフラストラクチャー内に少なくとも 3 つのコンピューターまたは仮想マシンが必要です。ホスト・システム要件を確認します。 ( Red Hat OpenShift クラスターや Kubernetes などの追加機能に関する IBM Cloud 資料の説明は必要ありません。)

注: すべての接続が Satellite Linkをサポートしているわけではありません。接続が Satellite Linkをサポートしている場合、 「接続の作成」 フォームの 「プライベート接続」 セクションに Satellite Link タイルが表示されます。あるいは、 「新規接続」 ページで、 Satellite をサポートするすべての接続をフィルターに掛けることができます。

Satellite Link のセットアップ

Satellite Linkをセットアップするには、まず IBM Cloudで Satellite ロケーションを構成します。その後、ユーザーは、 Satellite Linkによって保護されている Cloud Pak for Data as a Service で接続を作成できます。

タスク 1: Satellite ・ロケーションの作成
タスク 2: Satellite ロケーションへのホストの接続
タスク 3: コントロール・プレーンへのホストの割り当て
タスク 4: Satellite Linkで保護された接続の作成
Satellite Link

タスク 1: Satellite ・ロケーションの作成

Satellite ロケーションは、ファイアウォールの背後にある独自のインフラストラクチャーです。 Satellite Link を使用して Cloud Pak for Data as a Serviceのデータ・ソースに接続するには、3 つのコンピューターまたは仮想マシンが必要です。 Satellite ロケーションを作成するには、以下のようにします。

以下のいずれかの場所から、 IBM Cloud の 「 Satellite ロケーションの作成」 セットアップ・ページにアクセスします。

IBM Cloudにログインし、 「 Satellite ・ロケーションの作成」を選択します。
Cloud Pak for Data as a Serviceの場合:
1. プロジェクト・ページに移動します。 「資産」>「新規資産」>「データ・アクセス・ツール」>「接続」をクリックします。
2. コネクターを選択します。
3. 「接続の作成」 ページで、 「プライベート接続」 セクションまでスクロールダウンし、 Satellite Link >「新規 Satellite ・ロケーション」をクリックしてから、 IBM Cloudにログインします。
以下の手順は、 オンプレミス & ・エッジ ・テンプレートに従います。ご使用のインフラストラクチャーに応じて、別のテンプレートを選択できます。テンプレートのリンクされた手順と、 IBM Cloud 資料の Understanding Satellite location and hosts にある情報を参照してください。

「編集」 をクリックして、 Satellite ロケーション情報を変更します。
- 名前: このフィールドを使用して、 my US East network や my Japan networkなどの異なるネットワークを区別できます。
- 「タグ」 フィールドと 「説明」 フィールドはオプションです。
- 管理元: ホスト・マシンが物理的に存在する場所に最も近い IBM Cloud リージョンを選択します。
- リソース・グループ: デフォルトでは default に設定されています。
- ゾーン: IBM は、同じ IBM Cloud マルチゾーン・メトロ内の 3 つのゾーンにコントロール・プレーン・インスタンスを自動的に分散させます。例えば、米国東部地域の wdc メトロからロケーションを管理する場合、 Satellite ロケーション・コントロール・プレーン・インスタンスは、 us-east-1、 us-east-2、および us-east-3 ゾーンに分散されます。このゾーン・スプレッドにより、1 つのゾーンが使用不可になった場合でも、コントロール・プレーンを使用できるようになります。
- Red Hat CoreOS: このオプションは選択しないでください。クリアしたままにするか、 「いいえ」のままにします。
- オブジェクト・ストレージ: 「編集」 をクリックして、 Satellite ロケーション・コントロール・プレーン・データのバックアップに使用する既存の IBM Cloud Object Storage バケットの正確な名前を入力します。そうしないと、アカウントの Object Storage インスタンスに新しいバケットが自動的に作成されます。
注文の詳細を確認し、 「ロケーションの作成 (Create location)」をクリックします。

選択した IBM Cloud リージョンにあるゾーンの 1 つに、ロケーション・コントロール・プレーンがデプロイされます。コントロール・プレーンにホストを接続する準備ができました。

タスク 2: ホストを Satellite ロケーションに接続する

ホスト要件に準拠する 3 つのホストを Satellite ロケーションに接続します。

Satellite Link ホストの重要な考慮事項

Satellite ホストは専用サーバーであり、他のアプリケーションと共有することはできません。 SSH 経由でホストにログインすることはできません。ルート・パスワードが変更されます。
必要なホストは 3 つだけです。
ワーカー・ノードは必要ありません。必要なのはコントロール・プレーン・ホストのみです。
Red Hat OpenShift Container Platform (OCP) は必要ありません。
コンテナー Linux CoreOS Linux は必要ありません。
ホストは TLS プロトコルを使用して IBM Cloud に接続します。

ホストを Satellite ロケーションに接続するには、以下のようにします。

Satellite 「ロケーション」ダッシュボードで、ロケーションの名前をクリックします。
「ホストの添付 (Attach Hosts)」 をクリックして、スクリプトを生成してダウンロードします。
Satellite ロケーションに配置するすべてのホストでこのスクリプトを実行します。
今後さらに多くのホストをロケーションに接続する場合に備えて、接続スクリプトを保存します。添付スクリプト内のトークンは API キーであり、これを機密情報として扱い、保護する必要があります。 Satellite Link を参照してください。

タスク 3: コントロール・プレーンへのホストの割り当て

ホストを割り当てるには:

Satellite 「ロケーション」ダッシュボードで、ロケーションの名前をクリックします。
ホストごとに、オーバーフロー・メニュー () をクリックし、 「割り当て」を選択します。各ゾーンに 1 つのホストを割り当てます。

タスク 4: Satellite Link で保護された接続の作成

Cloud Pak for Data as a Service のプロジェクトのユーザーは、 Satellite Linkによって保護される接続を作成できるようになりました。セキュア接続を作成するには:

プロジェクト・ページに移動します。 「資産」>「新規資産」>「データ・アクセス・ツール」>「接続」をクリックします。
コネクターを選択します。
「接続の作成」 フォームで、接続の詳細を入力します。データ・ソースのホスト名または IP アドレス、およびポートは、 Satellite ロケーションに接続されている各ホストから使用可能でなければなりません。
再ロードをクリックしてから、作成した Satellite の場所を選択してください。

Satellite Link は、 Cloud Pak for Data as a Service とデータ・ソースの間のブリッジを形成します。

Satellite 「ロケーション」ダッシュボードでは、 Satellite Linkを使用して作成した接続ごとに、 「宛先タイプ」 Locationおよび Satellite ロケーションの「によって作成」 Connectivity を使用してリンク・エンドポイントが作成されます。

Satellite Link の保守

ホスト接続スクリプトは、作成日から 1 年後に有効期限が切れます。ホストで認証の問題が発生しないようにするには、ホスト接続スクリプトの新規コピーを少なくとも年に 1 回ダウンロードします。
今後さらに多くのホストをロケーションに接続する場合に備えて、接続スクリプトを保存します。新しいホスト接続スクリプトを生成すると、既存のすべてのホストが切り離されます。
ホストを Satellite ロケーションから切り離し、インフラストラクチャー・プロバイダー内のオペレーティング・システムを再ロードすることで、ホストを再利用できます。

Secure Gateway を構成する

IBM Cloud Secure Gateway サービスは、インターネットに外部化されていないデータベースへのセキュア接続を作成するためのリモート・クライアントを提供します。 Secure Gateway サービスを 1 つのサービス・リージョンにプロビジョンし、それを他のリージョンにプロビジョンしたサービス・インスタンスで使用することができます。 Secure Gateway サービスのインスタンスを作成した後、 Secure Gatewayを追加します。

注: すべての接続が Secure Gatewayをサポートしているわけではありません。接続が Secure Gatewayをサポートしている場合、 Secure Gateway タイルは、 「接続の作成 (Create connection)」 フォームの 「プライベート接続 (Private Connectivity)」 セクションに表示されます。あるいは、**「新規接続」ページで、 Secure Gateway をサポートするすべての接続をフィルターに掛けることができます。

セキュア・ゲートウェイを構成するには、以下のようにします。

接続の作成 画面からセキュア・ゲートウェイを構成してください：
1. Secure Gatewayを選択してください。
2. 新規 Secure Gateway をクリックしｔから、 Secure Gateway の作成をクリックしてください。それ以外の場合は、メインメニューから 「サービス」>「サービス・カタログ」 を選択し、 Secure Gatewayを選択します。
サービス・プランを選択し、作成をクリックしてください。
サービス・インスタンス ページで、 Secure Gateway サービスを見つけ、その名前をクリックしてください。
指示に従って、ゲートウェイを追加します。ゲートウェイの追加接続のセキュリティーを維持するには、セキュリティー・トークンを必要とするように Secure Gateway を構成する必要があります。ゲートウェイ ID とセキュリティー・トークンを必ずコピーしてください。
新規ゲートウェイ内の クライアント タブで、 クライアントの接続 ボタンをクリックして クライアントの接続 ペインを開きます。
ご使用のオペレーティング・システム用のクライアント・ダウンロードを選択してください。
手順に従って、クライアントをインストールして構成します。
指定するリソース認証プロトコルによっては、証明書のアップロードが必要になる場合があります。宛先は、接続が最初に確立されたときに作成されます。
接続の作成 ページに戻ります。 プライベート接続 セクションで、 再ロードをクリックし、作成したセキュア・ゲートウェイを選択してください。

IBM Cloud Satelliteの概要

Secure Gateway

親トピック: プロジェクトへのデータの追加