Expressway-E クラスタのクラスタアドレスマッピング
MRA などのセキュアな展開では、各 Expressway-E ピアに、パブリック FQDN を含む SAN の証明書が必要です。FQDN は、パブリック ドメインネームシステム(DNS)で Expressway-E のパブリック IP アドレスにマッピングされます。この構成により、MRA エンドポイントなどの外部エンティティが Expressway-E のパブリックインターフェイスを検出し、セキュアな接続を確立できます。
クラスタアドレスマッピングが必要な場合
-
Expressway-E ピアをクラスタ化するだけで、ピア間の TLS 検証が必要ない場合は、ノードのプライベート IP アドレスを使用してクラスタを形成できます。クラスタアドレスマッピングは不要です。
-
クラスタ内の Expressway-E ピアが証明書を使用して互いの ID を確認できるようにする場合は、ドメインネームシステム(DNS)を使用してクラスタピア FQDN をパブリック IP アドレスに解決することを許可できます。これは、Expressway-E ノードに NIC が 1 つだけあり、静的 NAT を使用せず、ルーティング可能な IP アドレスがある場合に、クラスタ形成を完全に許可する方法です。クラスタアドレスマッピングは不要です。
-
セキュリティポリシーでピア間の TLS 検証を強制することが指定されている場合、および Expressway-E が静的 NAT またはデュアル NIC、あるいはその両方を使用している場合は、外部インターフェイスまたは静的 NAT アドレスを使用してクラスタを形成することは推奨されません。
また、外部接続が切断されるため、パブリック ドメインネームシステム(DNS)を使用してピアのパブリック FQDN をプライベート IP アドレスにマッピングしないでください。
このような状況では、クラスタアドレスマッピングを使用する必要があります。
クラスタアドレスマッピングの仕組み
完全修飾ドメイン名を使用してクラスタを形成する場合、ピアはそれらの名前を IP アドレスに変換できる必要があります。この変換がドメインネームシステム(DNS)の主な理由ですが、ピアがドメインネームシステム(DNS)にアクセスできない場合、または FQDN をプライベート IP アドレスに変換する必要がある場合は、クラスタ アドレス マッピング テーブルに入力して、ドメインネームシステム(DNS)のローカル代替を提供できます。
クラスタアドレスマッピングは、クラスタ全体で共有される FQDN:IP ペアです(ピアごとに 1 ペア)。ピアは、ドメインネームシステム(DNS)にクエリする前にマッピングテーブルをクエリし、一致が見つかった場合はドメインネームシステム(DNS)を照会しません。
TLS を適用する場合、ピアは互いの証明書の SAN フィールドから名前を読み取り、マッピングの FQDN 側に対して各名前を確認する必要があります。SAN がマッピングの FQDN 側と一致し、証明書を提示した IP アドレスがマッピングの IP 側と一致する場合、ピアは他のピアを信頼し、TLS 接続を確立できます。
ドメインネームシステム(DNS)を使用しない場合、クラスタアドレスマッピングは、この検証を実現する唯一の方法です。
提案されたマッピングの取得元
IP アドレスを使用してクラスタがすでに形成されており システムホスト名と DNS 名がすでにピアにある場合、次のように想定されるマッピングをクラスタ アドドレス マッピング テーブルに自動入力するオプションがあります。
ページで構成されている<Peer1 Private IP address> にマッピングされる Peer1Hostname.Peer1DNSName
….
<Peer6 Private IP address> にマッピングされる Peer6Hostname.Peer6DNSName
(注) |
この自動マッピングは正しくない可能性があります。ピアの証明書の SAN フィールドに想定される FQDN が含まれていない場合、[TLS 検証モード(TLS verification mode)] が [強制(Enforce)] に変更されたときにクラスタは形成されません。ピア FQDN フィールドに入力したエントリが SAN に含まれていることを確認する必要があります。 |