暗号スイート
ロード・バランサSSL暗号スイートの作成
ロード・バランサ(LB)は、暗号スイートを使用して、Transport Layer Security (TLS)またはSecure Socket Layer (SSL)ネットワーク接続を保護します。 暗号スイートは、ロード・バランサが、ロード・バランサと情報を交換するピアとのネゴシエーションに使用するセキュリティ・アルゴリズムのリストを定義します。 使用される暗号スイートは、データ・トラフィックのセキュリティ・レベル、パフォーマンスおよび互換性に影響します。
Oracleは、SSL構成を作成するときに使用できる一連の事前定義済の暗号スイートを作成しました。 事前定義済の暗号スイートが要件を満たさない場合は、カスタム暗号スイートを作成できます。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開きます。 「ネットワーキング」で、「ロード・バランサ」をクリックします。
-
ロード・バランサのSSL暗号スイートを作成するロード・バランサの名前をクリックします。
- 「ロード・バランサ」リソース・リストで、「暗号スイート」をクリックします。 使用可能な暗号スイートのリストが表示されます。 リストされていない場合は、作成する必要があります。
- ロード・バランサ暗号スイートを作成するには、「暗号スイートの作成」をクリックします。
-
ロード・バランサのSSL暗号スイート・フォームで、LB SSL暗号スイートに名前を付けます。 たとえば、my_ssl_cipher_suiteです。
ノート:
ユーザー定義暗号スイートの名前は、Oracleの事前定義済または予約済のSSL暗号スイート名と同じにできません。 -
SSL暗号スイートの一部となる暗号スイート・コンポーネントのボックスにチェック・マークを付けます。 たとえば、AES256-SHA256です。
-
SSL暗号スイートのすべてのコンポーネントを選択したら、ダイアログの「暗号スイートの作成」ボタンをクリックします。
OCI CLIの使用
-
コマンドを実行するために必要な情報を収集します:
-
コンパートメントOCID (
oci iam compartment list --compartment-id-in-subtree true
) -
LB OCID (
oci lb load-balancer list --compartment-id compartment_OCID
)
-
-
バックエンド・サーバー作成コマンドを実行します。
LB OCID、暗号スイート名および暗号を使用して、指定されたコンパートメントにLBの暗号スイートを作成します。
ノート:
オプションのパラメータについては、--help
オプションを指定してコマンドを実行します。構文(1行に入力):
oci lb ssl-cipher-suite create --ciphers ssl_ciphers_complex_type \ --load-balancer-id load-balancer_OCID --name ssl_cipher_suite_name
説明:
• ssl_ciphers_complex_typeは、ロード・バランサがHTTPSまたはSSL接続を有効にする必要があるすべてのSSL暗号の複合タイプ・リストです。 これは、値が有効なJSONである必要がある複合タイプです。 この値は、コマンドラインで文字列として指定することも、file://path/to/file構文を使用してファイルとして渡すこともできます。 例: ["ECDHE-RSA-AES256-GCM-SHA384","ECDHE-ECDSA-AES256-GCM-SHA384","ECDHE-RSA-AES128-GCM-SHA256"].
• load-balancer_OCIDは、バックエンド・セットおよびサーバーに関連付けられたロード・バランサのOCIDです。
• ssl_cipher_suite_nameは、SSL暗号スイートのわかりやすい名前です。 例: my_ssl_cipher_suite.
例:
$ oci lb ssl-cipher-suite create --ciphers [âECDHE-RSA-AES256-GCM-SHA384â, \ âECDHE-ECDSA-AES256-GCM-SHA384â,âECDHE-RSA-AES128-GCM-SHA256â] \ --load-balancer-id ocid1.loadbalancer....â¦.â¦.â¦.uniqueID --name my_ssl_cipher_suite { "opc-work-request-id": "ocid1.workrequest.oc1.pca...â¦.â¦.â¦.uniqueID" }
ノート:
暗号スイートの結果を確認するには、指定されたLBに関連付けられているすべての暗号スイートをリストし、作成された暗号スイートがリストされていることを確認します。 「oci lb ssl-cipher-suiteリスト」コマンドを使用して、構成されているSSL暗号スイートを表示します。 oci lb ssl-cipher-suite getコマンドを使用して、SSL暗号スイートの詳細を表示します。$ oci lb ssl-cipher-suite list -load-balancer-id ocid1.loadbalancer....â¦.â¦.â¦.uniqueID { "ssl-cipher-suites": "My_ssl_cipher_suite", {} { "system-tags": null, "time-created": "2022-08-11T07:20:20+00:00" } }
$ oci lb ssl-cipher-suite get --load-balancer-id ocid1.loadbalancer....â¦.â¦.â¦.uniqueID --name "my_ssl_cipher_suite" { "data": { "ciphers": [ "ECDHE-RSA-AES256-GCM-SHA384", "ECDHE-ECDSA-AES256-GCM-SHA384", "ECDHE-RSA-AES128-GCM-SHA256" ], "name": "My_ssl_cipher_suite" }
ロード・バランサの暗号スイートの詳細の表示
既存のロード・バランサに関連付けられたSSL暗号スイートのリストを表示し、その詳細を表示できます。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開きます。 「ネットワーキング」で、「ロード・バランサ」をクリックします。
-
既存のロード・バランサ暗号スイートをリストするロード・バランサの名前をクリックします。
- ロード・バランサ・リソース・リストから「暗号スイート」をクリックします。 暗号スイートのリストが表示されます。
-
ロード・バランサ暗号スイートが存在する場合は、次の2つの方法のいずれかで詳細を表示できます:
- 詳細を表示するには、暗号スイートの名前をクリックします。
- 「アクション・メニュー」の3つのドット・ボックスの「詳細の表示」をクリックします。
OCI CLIの使用
-
コマンドを実行するために必要な情報を収集します:
-
コンパートメントOCID (
oci iam compartment list --compartment-id-in-subtree true
) -
LB OCID (
oci lb load-balancer list --compartment-id compartment_OCID
)
-
-
getコマンドを実行して、目的の暗号スイートの詳細を検索します。
暗号スイートの詳細を取得するには、LB OCIDと暗号スイートの名前を使用します。
ノート:
オプションのパラメータについては、
--help
オプションを指定してコマンドを実行します。構文(1行に入力):
oci lb ssl-cipher-suite get --load-balancer-id load-balancer_OCID --name cipher-suite-name
例:
$ oci lb ssl-cipher-suite get --load-balancer-id ocid1.loadbalancer....â¦.â¦.â¦.uniqueID --name "my_ssl_cipher_suite" { "data": { "ciphers": [ "ECDHE-RSA-AES256-GCM-SHA384", "ECDHE-ECDSA-AES256-GCM-SHA384", "ECDHE-RSA-AES128-GCM-SHA256" ], "name": "My_ssl_cipher_suite" } }
ロード・バランサ暗号スイートの詳細の編集
既存のロード・バランサに関連付けられたSSL暗号スイートを編集して、値を追加または削除することでその詳細を変更できます。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開きます。 「ネットワーキング」で、「ロード・バランサ」をクリックします。
-
既存のロード・バランサ暗号スイートを編集するロード・バランサの名前をクリックします。
- ロード・バランサ・リソース・リストから「暗号スイート」をクリックします。 暗号スイートのリストが表示されます。
-
ロード・バランサ暗号スイートが存在する場合は、次の2つの方法のいずれかで詳細を編集できます:
- 暗号スイートの名前をクリックして詳細を表示し、「編集」をクリックします。
- 「アクション・メニュー」の3つのドット・ボックスの「編集」をクリックします。
OCI CLIの使用
-
コマンドを実行するために必要な情報を収集します:
-
コンパートメントOCID (
oci iam compartment list --compartment-id-in-subtree true
) -
LB OCID (
oci lb load-balancer list --compartment-id compartment_OCID
)
-
-
updateコマンドを実行して、目的の暗号スイートの詳細を編集します。
暗号スイートの詳細を編集するには、LB OCIDと暗号スイートの名前を使用します。
ノート:
オプションのパラメータについては、
--help
オプションを指定してコマンドを実行します。構文(1行に入力):
oci lb ssl-cipher-suite update --load-balancer-id load-balancer_OCID --name cipher-suite-name
例:
$ oci lb ssl-cipher-suite update --ciphers [âECDHE-RSA-AES256-GCM-SHA384â, \ âECDHE-ECDSA-AES256-GCM-SHA384â] --load-balancer-id \ ocid1.loadbalancer....â¦.â¦.â¦.uniqueID --name "my_ssl_cipher_suite" { "opc-work-request-id": "ocid1.workrequest.oc1.pca...â¦.â¦.â¦.uniqueID" }
ノート:
暗号スイートの更新結果を表示するには、oci lb ssl-cipher-suite getコマンドを使用してSSL暗号スイートの詳細を表示します。$ oci lb ssl-cipher-suite get --load-balancer-id ocid1.loadbalancer....â¦.â¦.â¦.uniqueID --name "my_ssl_cipher_suite" { "data": { "ciphers": [ "ECDHE-RSA-AES256-GCM-SHA384", "ECDHE-ECDSA-AES256-GCM-SHA384" " ], "name": "My_ssl_cipher_suite" }
ロード・バランサ暗号スイートの削除
既存のロード・バランサに関連付けられたSSL暗号スイートを削除できます。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開きます。 「ネットワーキング」で、「ロード・バランサ」をクリックします。
-
既存のロード・バランサ暗号スイートを削除するロード・バランサの名前をクリックします。
- ロード・バランサ・リソース・リストから「暗号スイート」をクリックします。 暗号スイートのリストが表示されます。
-
ロード・バランサ暗号スイートが存在する場合は、次の2つの方法のいずれかで削除できます:
- 暗号スイートの名前をクリックして詳細を表示し、「削除」をクリックします。
- アクション・メニューの3つのドット・ボックスの下にある「Delete」をクリックします。
OCI CLIの使用
-
コマンドを実行するために必要な情報を収集します:
-
コンパートメントOCID (
oci iam compartment list --compartment-id-in-subtree true
) -
LB OCID (
oci lb load-balancer list --compartment-id compartment_OCID
)
-
-
削除する暗号スイートに対して削除コマンドを実行します。
暗号スイートを削除するには、LB OCIDと暗号スイートの名前を使用します。
ノート:
オプションのパラメータについては、
--help
オプションを指定してコマンドを実行します。構文(1行に入力):
oci lb ssl-cipher-suite delete --load-balancer-id load-balancer_OCID --name cipher-suite-name
例:
$ oci lb ssl-cipher-suite delete --load-balancer-id ocid1.loadbalancer....â¦.â¦.â¦.uniqueID \ --name "my_ssl_cipher_suite" Are you sure you want to delete this resource? [y/N]: y { "opc-work-request-id": "ocid1.workrequest.oc1.pca.....â¦.â¦.â¦.uniqueID" }
ノート:
暗号スイートの削除結果を確認するには、指定されたLBに関連付けられているすべての暗号スイートをリストし、削除された暗号スイートがリストされていないことを確認します。