ファイアウォールの内側にあるデータへの接続
インターネット経由で (例えば、ファイアウォールの内側で) アクセスできないデータベースに接続するには、オンプレミス・データ・ソースと IBM Cloudの間にセキュアな通信パスをセットアップする必要があります。 セキュア通信パスには、 Satellite コネクター、 Satellite ロケーション、または Secure Gateway インスタンスを使用します。
Satellite コネクターのセットアップ: Satellite コネクターは、 Secure Gatewayに代わるものです。 Satellite コネクターは、オンプレミス、クラウド、またはエッジの環境から IBM Cloudに戻るセキュアで監査可能な通信を作成する、軽量の Dockerベースの通信を使用します。 インフラストラクチャーに必要なのは、 Dockerなどのコンテナー・ホストのみです。 詳しくは、 Satellite コネクターの概要を参照してください。
Satellite ・ロケーションのセットアップ: Satellite ・ロケーションは、 Satellite ・コネクターと同じセキュア通信を IBM Cloud に提供しますが、デフォルトでは高可用性アクセスに加えて、 IBM Cloud からオンプレミス・ロケーションに通信する機能を追加します。 IBM Cloud PaaS SRE リソースによってリモートでサポートされる、マネージド OpenShift やマネージド・データベースなどのマネージド・クラウド・サービスをオンプレミスでサポートします。 Satellite ロケーションには、HA コントロール・プレーン用のインフラストラクチャー内に少なくとも 3 つの x86 ホストが必要です。 Satellite ・ロケーションは、 Satellite ・コネクターの機能のスーパーセットです。 クライアント・データ通信のみが必要な場合は、 Satellite コネクターをセットアップします。
Secure Gateway: Secure Gateway は、オンプレミスまたはサード・パーティーのクラウド環境間の通信のための IBM Cloudの以前のソリューションです。 Secure Gateway は、 IBM Cloudによって非推奨になりました。 新規接続の場合は、代わりに Satellite コネクターをセットアップします。
Satellite コネクターのセットアップ
Satellite コネクターをセットアップするには、 IBM Cloud アカウントでコネクターを作成します。 次に、オンプレミスのローカル Docker ホスト・プラットフォームで実行するようにエージェントを構成します。 最後に、 Cloud Pak for Data as a Service が IBM Cloudからデータ・ソースにアクセスするために使用するデータ・ソースのエンドポイントを作成します。
Satellite コネクターの要件
- 必要な権限
- IBM Cloudのステップを実行するには、IAM アクセス・ポリシーの Satellite サービスに対する管理者権限が必要です。
- 必要なホスト・システム
- コネクター・コンテナーを実行するために、独自のインフラストラクチャー内に少なくとも 1 つの x86 Docker ホスト。 最小要件を参照してください。
Satellite コネクターのセットアップ
これらのステップにより、 Cloud Pak for Data as a Serviceで作成した接続に対応する Satellite コネクター・ユーザー・エンドポイントが自動的に追加されます。
以下のいずれかの場所から、 IBM Cloud の 「コネクターの作成」 ページにアクセスします。
- IBM Cloudの 「コネクター」 ページにログインします。
- Cloud Pak for Data as a Serviceの場合:
- プロジェクト・ページに移動します。 「資産」タブをクリックします。
- 「新規資産」> 「接続」をクリックしてください。
- Cloud Pak for Data as a Service コネクターを選択します。
- 「接続の作成」 ページで、 「プライベート接続」 セクションまでスクロールダウンし、 IBM Cloud Satellite タイルをクリックします。
- 「構成」 Satellite をクリックし、 IBM Cloudにログインします。
- 「コネクターの作成」をクリックします。
コネクターの作成の手順に従います。
ローカル Docker ホスト環境でコネクター・エージェント・コンテナーをセットアップします。 高可用性のために、別個の Docker ホストにデプロイされるコネクターごとに 3 つのエージェントを使用します。 エージェントごとに別個のインフラストラクチャーとネットワーク接続を使用することをお勧めします。 コネクター・エージェントの実行の手順に従います。
エージェントは、コネクターの 「アクティブ・エージェント」 リストに表示されます。Cloud Pak for Data as a Serviceで、 「接続の作成」 ページに戻ります。 「プライベート接続」 セクションで、 「再ロード」をクリックし、作成した Satellite コネクターを選択します。
「接続のテスト」 をクリックして、 Satellite コネクターを使用して Cloud Pak for Data as a Service からデータ・ソースに接続できることを確認します。
接続を保存します。 接続に対応する Satellite ・コネクター・エンドポイントが自動的に作成されます。
IBM Cloudの Satellite コネクター・ダッシュボード で、作成する接続ごとに、ユーザー・エンドポイントが Satellite ・コネクターに追加されます。 自動的に追加されるユーザー・エンドポイントの名前は、 ep-<XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX>のようになります。 Cloud Pak for Data as a Serviceで作成した接続に対応するエンドポイントを確認するには、エンドポイントの詳細で宛先 FQDN または IP および宛先ポートの値を確認します。
Satellite ロケーションのセットアップ
IBM Cloud Satellite の Satellite ロケーション機能を使用して、 IBM Cloud アカウント用に構成した Satellite ロケーションに安全に接続します。
Satellite ロケーションの要件
- 必要な権限
- IBM Cloudでタスクを実行するには、 IBM Cloud アカウントの管理者である必要があります。
- 必要なホスト・システム
- Satellite ・ホストとして機能するには、独自のインフラストラクチャー内に少なくとも 3 台のコンピューターまたは仮想マシンが必要です。 ホスト・システムの要件を確認します。 ( Red Hat OpenShift クラスターや Kubernetes などの追加機能に関する IBM Cloud の資料は、 Cloud Pak for Data as a Serviceでの接続には必要ありません。)
Satellite ロケーションのセットアップ
IBM Cloudで Satellite ロケーションを構成します。
タスク 1: Satellite ・ロケーションの作成
Satellite ・ロケーションは、オンプレミス・データ・センターやクラウドなど、インフラストラクチャー・プロバイダー内の環境を表現したものです。 Cloud Pak for Data as a Serviceでデータ・ソースに接続するには、3 つのコンピューターまたは仮想マシンが必要です。 Satellite ロケーションを作成するには、以下のようにします。
以下のいずれかの場所から、 IBM Cloud の 「 Satellite ロケーションの作成」 セットアップ・ページにアクセスします。
- IBM Cloudにログインし、 「ロケーションの作成」を選択します。
- Cloud Pak for Data as a Serviceの場合:
- プロジェクト・ページに移動します。 「資産」タブをクリックします。
- 「新規資産」> 「接続」をクリックしてください。
- コネクターを選択します。
- 「接続の作成」 ページで、 「プライベート接続」 セクションまでスクロールダウンし、 IBM Cloud Satellite タイルをクリックします。
- 「構成」 Satellite をクリックし、 IBM Cloudにログインします。
- 「ロケーションの作成」をクリックします。
これらの手順は、 オンプレミス & ・エッジ ・テンプレートに従います。 ご使用のインフラストラクチャーに応じて、別のテンプレートを選択できます。 テンプレートの説明、および IBM Cloud 資料の Understanding Satellite location and hosts にある情報を参照してください。
「編集」 をクリックして、 Satellite ロケーション情報を変更します。
名前: このフィールドを使用して、
my US East networkや myJapan networkなどの異なるネットワークを区別できます。「タグ」 フィールドと 「説明」 フィールドはオプションです。
管理元: ホスト・マシンが物理的に存在する場所に最も近い IBM Cloud リージョンを選択します。
リソース・グループ: デフォルトでは
defaultに設定されています。ゾーン: IBM は、同じ IBM Cloud マルチゾーン・メトロ内の 3 つのゾーンにコントロール・プレーン・インスタンスを自動的に分散させます。 例えば、米国東部地域の wdc メトロからロケーションを管理する場合、 Satellite ロケーション・コントロール・プレーン・インスタンスは、 us-east-1、 us-east-2、および us-east-3 ゾーンに分散されます。 このゾーン・スプレッドにより、1 つのゾーンが使用不可になった場合でも、コントロール・プレーンを使用できるようになります。
Red Hat CoreOS: このオプションは選択しないでください。 クリアしたままにするか、 「いいえ」のままにします。
オブジェクト・ストレージ: 「編集」 をクリックして、 Satellite ロケーション・コントロール・プレーン・データのバックアップに使用する既存の IBM Cloud Object Storage バケットの正確な名前を入力します。 そうしないと、アカウントの Object Storage インスタンスに新しいバケットが自動的に作成されます。
注文の詳細を確認し、 「ロケーションの作成 (Create location)」をクリックします。
選択した IBM Cloud リージョンにあるゾーンの 1 つに、ロケーション・コントロール・プレーンがデプロイされます。 コントロール・プレーンにホストを接続する準備ができました。
タスク 2: ホストを Satellite ロケーションに接続する
ホスト要件 に準拠する 3 つのホストを Satellite ・ロケーションに接続します。
Satellite ロケーション・ホストに関する重要な考慮事項
- Satellite ホストは専用サーバーであり、他のアプリケーションと共有することはできません。 SSH を使用してホストにログインすることはできません。 ルート・パスワードが変更されます。
- Cloud Pak for Data as a Service 接続に必要なホストは 3 つのみです。
- ワーカー・ノードは必要ありません。 Cloud Pak for Data as a Service 接続には、コントロール・プレーン・ホストのみが必要です。
- Red Hat OpenShift Container Platform (OCP) は、 Cloud Pak for Data as a Service 接続には必要ありません。
- コンテナー Linux CoreOS Linux は、 Cloud Pak for Data as a Service 接続には必要ありません。
- ホストは、TLS 1.3 プロトコルを使用して IBM Cloud に接続します。
ホストを Satellite ロケーションに接続するには、以下のようにします。
Satellite 「ロケーション」ダッシュボードで、ロケーションの名前をクリックします。
「ホストの添付 (Attach Hosts)」 をクリックして、スクリプトを生成してダウンロードします。
Satellite ロケーションに接続するすべてのホストでスクリプトを実行します。
今後さらに多くのホストをロケーションに接続する場合に備えて、接続スクリプトを保存します。 添付スクリプト内のトークンは API キーであり、これを機密情報として扱い、保護する必要があります。 Satellite ロケーションの保守を参照してください。
タスク 3: コントロール・プレーンへのホストの割り当て
ホストを割り当てるには:
Satellite 「ロケーション」ダッシュボードで、ロケーションの名前をクリックします。
ホストごとに、オーバーフロー・メニュー (
) をクリックし、 「割り当て」を選択します。 各ゾーンに 1 つのホストを割り当てます。
タスク 4: Satellite ロケーションで保護された接続を作成する
セキュア接続を作成するには:
Cloud Pak for Data as a Serviceで、プロジェクト・ページに移動します。 「資産」タブをクリックします。
「新規資産」> 「接続」をクリックしてください。
コネクターを選択します。
「接続の作成」 フォームで、接続の詳細を入力します。 データ・ソースのホスト名または IP アドレス、およびポートは、 Satellite ロケーションに接続されている各ホストから使用可能でなければなりません。
再ロードをクリックしてから、作成した Satellite の場所を選択してください。
IBM Cloudの Satellite 「ロケーション」ダッシュボード では、作成する接続ごとに、リンク・エンドポイントが 「宛先タイプ」 Locationで作成され、 「作成者」 Connectivity が Satellite ・ロケーションに作成されます。 自動的に追加されるユーザー・エンドポイントの名前は、 ep-<XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX>のようになります。 Cloud Pak for Data as a Serviceで作成した接続に対応するエンドポイントを確認するには、エンドポイントの詳細で宛先 FQDN または IP および宛先ポートの値を確認します。
Satellite ロケーションの保守
- ホスト接続スクリプトは、作成日から 1 年後に有効期限が切れます。 ホストで認証の問題が発生しないようにするには、ホスト接続スクリプトの新規コピーを少なくとも 1 年に 1 回ダウンロードします。
- 今後さらに多くのホストをロケーションに接続する場合に備えて、接続スクリプトを保存します。 新しいホスト接続スクリプトを生成すると、既存のすべてのホストが切り離されます。
- ホストを Satellite ロケーションから切り離し、インフラストラクチャー・プロバイダー内のオペレーティング・システムを再ロードすることで、ホストを再利用できます。
Secure Gateway を構成する
IBM Cloud Secure Gateway サービスは、インターネットに外部化されていないデータベースへのセキュア接続を作成するためのリモート・クライアントを提供します。 Secure Gateway サービスを 1 つのサービス・リージョンにプロビジョンし、それを他のリージョンにプロビジョンしたサービス・インスタンスで使用することができます。 Secure Gateway サービスのインスタンスを作成した後、 Secure Gatewayを追加します。
セキュア・ゲートウェイを構成するには、以下のようにします。
- 接続の作成 画面からセキュア・ゲートウェイを構成してください:
- IBM Cloud Secure Gateway タイルをクリックします。
- 「 Secure Gatewayの新規インスタンスの作成」をクリックします。
あるいは、 Cloud Pak for Data as a Serviceのメインメニューから、 「サービス」>「サービス・カタログ」 を選択し、 Secure Gatewayを選択します。
- 地域と価格プランを選択します。
- 「リソースの構成」で、サービス名とオプションのタグを入力します。
- 「作成」 をクリックします。
- サービス・インスタンス ページで、 Secure Gateway サービスを見つけ、その名前をクリックしてください。
- 指示に従って、ゲートウェイを追加します。 ゲートウェイの追加 接続のセキュリティーを維持するには、セキュリティー・トークンを必要とするように Secure Gateway を構成する必要があります。 ゲートウェイ ID とセキュリティー・トークンを必ずコピーしてください。
- 新規ゲートウェイ内の 「クライアント」 タブで、 「クライアントの接続」 をクリックして 「クライアントの接続」 ペインを開きます。
- ご使用のオペレーティング・システム用のクライアント・ダウンロードを選択してください。
- クライアントのインストールの指示に従ってください。
- 指定するリソース認証プロトコルによっては、証明書のアップロードが必要になる場合があります。 宛先は、接続が最初に確立されたときに作成されます。
- Cloud Pak for Data as a Serviceで、プロジェクト・ページに移動します。 「資産」タブをクリックします。 プライベート接続 セクションで、 再ロードをクリックし、作成したセキュア・ゲートウェイを選択してください。
もっと見る
親トピック: プロジェクトへのデータの追加