機械翻訳について
  1. セキュリティ・ガイド
  2. ロード・バランサのセキュリティの考慮事項
  3. LBaaSバックエンド・サーバーのセキュリティ

LBaaSバックエンド・サーバーのセキュリティ

パブリックLBの場合、パブリックLBのトラフィックのみを受け入れるようにバックエンド・サーバーのVCN NSGまたはセキュリティ・リストを構成する必要があります。 バックエンド・サーバー・サブネットで使用されるセキュリティ・リストを更新して、LBサブネットからのイングレス・トラフィックを許可できます。

たとえば、LBがサブネット10.0.4.0/24にあり、webサーバーのトラフィックのバランシングを行っている場合、TCPプロトコル、すべてのソース・ポート、および宛先ポート80への送信元IPアドレス10.0.4.0/24からのトラフィックを許可するステートフル・イングレス・ルールを追加する必要があります。 この新しいルールでは、LBサブネットからのイングレス・トラフィックが許可されます。

VCNサブネット・セキュリティ・リスト(使用する場合はNSG)はNSGに関連付けることができ、LB、リスナーおよびバックエンドの作成後に更新する必要があります。 通常、ロード・バランサはバックエンド・サーバーとは異なるサブネットに作成されます。 たとえば、パブリック・サブネットで作成されたパブリックLBは、プライベート・サブネット内のバックエンド・サーバーにトラフィックを転送します。

ただし(推奨されませんが)、LBはバックエンド・サーバーと同じサブネットに作成できます。 どちらの場合も、LBおよびバックエンド・サーバーを含むすべてのサブネットのセキュリティ・リストを更新する必要があります。

LBサブネットの場合、セキュリティ・リスト(またはNSG)を更新して、ロード・バランサから各バックエンド・サーバーのサブネットへのエグレス・トラフィックを許可する必要があります。 たとえば、バックエンド・サーバーがSubnet1 (10.0.1.0/24)およびSubnet2 (10.0.0.0/24)にある場合、LBサブネットのセキュリティ・リストに対する更新は次のようになります:
  • Subnet1上のバックエンド・サーバーへのエグレス・トラフィックを許可

  • Subnet2上のバックエンド・サーバーへのエグレス・トラフィックを許可

バックエンド・サブネットへのエグレス・トラフィックを許可する更新に加えて、リスナーがトラフィックを受け入れることができるように更新する必要があります。 たとえば、パブリックLBがポート80のLBに到達するためにどこからでもトラフィックを許可する場合、LBをホストするサブネットに次のイングレス・ルールを追加する必要があります:
  • ソース・タイプ: CIDR
  • ソースCIDR: 0.0.0.0/0
  • IPプロトコル: TCP
  • 宛先ポート範囲: 80 (リスナー・ポート)

LBがサブネット10.0.4.0/24にある場合、ロード・バランサ・サブネットからのイングレス・トラフィックを許可するには、バックエンド・サーバー・サブネットで使用されるセキュリティ・リストに対するステートフル・ルール更新が必要です:

  • ソース・タイプ: CIDR
  • ソースCIDR: 10.0.4.0/24
  • IPプロトコル: TCP
  • 宛先ポート範囲: 80 (リスナー・ポート)

この新しいステートフル・イングレス・ルールでは、TCPトラフィックがバックエンド・サーバーにアクセスできるようになります。 国家的性質はレスポンスを許可します。

最後に、すべてのエグレス・ルールを削除します。 バックエンド・サーバーにエグレス・ルールが存在することはできません。