-
CA証明書、プライベートLAN、リモートアクセスVPNゲートウェイ、サーバー証明書の作成
-
作業端末にリモートアクセスVPNゲートウェイのクライアントソフトウェアをインストール
-
作業端末からリモートアクセスVPNゲートウェイに接続し、ログイン
【ニフクラ活用応用編】セキュアメンテナンスパターン:リモートアクセスVPNゲートウェイ利用
メンテナンス用に、リモートアクセスVPNゲートウェイを設定するパターンです。
解決したい課題/要求事項
-
システムをセキュアに保つため、メンテナンス用途での各サーバーへのアクセスを限定したい
ニフクラでの解決パターン
-
システムへメンテナンス用途でアクセスするユーザーをリモートアクセスVPN利用者に限定することで、セキュアなシステムを維持する
実装
-
お客様環境の端末に専用のクライアントソフトウェアをインストールすることで、ニフクラ内のリモートアクセスVPNゲートウェイとのSSL-VPN接続を実現できる
補足
-
1つのプライベートLANに1つのリモートアクセスVPNゲートウェイが設定可能
-
リモートアクセスVPNゲートウェイを作成する際に、サーバー証明書を指定する必要がある
-
グローバルIPアドレスを利用しないサーバーでプライベートLANのNICにIPアドレスを付与する際は以下の方法で設定可能
-
コンソール を利用してログインしOS上でIPアドレスを設定する
-
Linux系のサーバーでrootのパスワードを設定していない場合は、シングルユーザーモードでログインし、パスワードを設定可能
FAQ シングルユーザーモードでのログイン
-
-
-
仮想サーバーで共通グローバルネットワークを利用する場合のIPアドレス、デフォルトゲートウェイなどの情報については クラウド技術仕様/制限値(IPアドレス)を参照する
-
共通グローバルネットワーク、共通プライベートネットワークについての仕様は クラウド技術仕様/制限値(ネットワーク:共通ネットワーク)を参照する
注意点
-
リモートアクセスVPNゲートウェイにはファイアウォールを適用出来ない
-
その他リモートアクセスVPNゲートウェイの詳細は クラウド技術仕様/制限値(ネットワーク:リモートアクセスVPNゲートウェイ)を参照
本パターンの構成要素
本パターンを実現するためのニフクラサービス構成要素例は以下表の通りです。
サービス名 |
タイプ |
用途 |
数量 |
備考 |
|---|---|---|---|---|
c2-medium |
サーバー |
1 |
- |
|
c2-medium |
サーバー |
2 |
- |
|
グローバルIPアドレスを利用しない |
2 |
- |
||
- |
サーバー用 |
2 |
- |
|
- |
- |
1 |
- |
|
ravgw.small |
お客様環境接続用 |
1 |
- |
|
- |
- |
1 |
- |
疎通不可構成例
-
リモートアクセスVPNゲートウェイを利用して、リモートアクセスVPNゲートウェイの接続先以外のプライベートLANのリソースとは直接疎通不可となる
-
疎通不可となる構成例を以下に記載する
-
回避策をブログ「 リモートアクセスVPNゲートウェイの接続先以外のプライベートLANにアクセスする 」で案内しているため必要に応じて参照する
-
