構成
VMware環境の前のロード・バランサでX509証明書を使用するために必要な構成ステップについて学習します。
次のアクティビティを実行します。
- 証明書の作成
- SDDCワークロードをLBaaSに接続します。
- OCI LBaaSの証明書を使用します。
動的グループの作成
OCI証明書(証明書管理ソリューション)がOCI Vaultのキーにアクセスできるように、動的グループが作成されます。
- OCIコンソールで、メニュー、「アイデンティティとセキュリティ」の順にクリックします。
- 「アイデンティティ」で、「ドメイン」をクリックします。
- 「デフォルト」リンクをクリックします。
- 左側のメニューで「動的グループ」をクリックします。
- 「動的グループの作成」ボタンをクリックします。
- 「名前」フィールドに
Dynamic-group-cert-authority
と入力します。 - 「ルール1」フィールドに、
resource.type = 'certificateauthority'
と入力します。 - 「作成」ボタンをクリックします。
ポリシーの作成
このポリシーにより、動的グループはボールトからキーにアクセスして認証局を作成できるようになります。オプションで、ユーザーのグループにOCI証明書の管理を許可することもできます。
ボールトの作成
ポリシーを定義したら、OCI Vaultに格納されているキーを使用するプライベート認証局を作成できます。
マスター・キーおよび暗号化キーの作成
認証局の秘密鍵であるマスター鍵が作成されます。OCI証明書は、OCI Vaultのソフトウェア・セクションではなく、HSMに格納されたキーのみをサポートします。
- OCIコンソールで、メニュー、キー管理とシークレット管理の順にクリックします。
ノート:
前のタスクからフォローしている場合は、すでに「Vault」画面が表示されます。 - WebCertリンクをクリックします。
- 「キーの作成」ボタンをクリックします。
- 「保護モード」で、「HSM」が選択されていることを確認します。
- 「名前」フィールドに、
OCVS
と入力します。 - 「キー・シェイプ: アルゴリズム」で、「RSA」を選択します。
- 「キーの作成」ボタンをクリックします。
認証局の作成
ボールトを作成してキーを格納すると、プライベート認証局を作成できます。これが失敗した場合、ポリシーが正しくないか、サービス制限を超える可能性があります。
- OCIコンソールで、メニュー、「アイデンティティとセキュリティ」の順にクリックします。
- 「証明書」で、「認証局」をクリックします。
- 「認証局の作成」ボタンをクリックします。
- 「名前」フィールドに、
OCVS
と入力します。 - 「次へ」ボタンをクリックします。
- 「共通名」フィールドに、
ocvs.local
と入力します。 - 「次へ」、「次へ」、「次へ」の順にクリックします。
- 「失効構成」ページで、「失効のスキップ」を有効にします。
- 「次へ」ボタンをクリックします。
- サマリーを確認し、「認証局の作成」ボタンをクリックします。
- 「閉じる」リンクをクリックします。
ノート:
OCI証明書は、組織に証明書の発行、ストレージおよび管理機能を提供します。証明書の管理方法を学習するには、「詳細を確認する」を参照してください。証明書の発行
ネットワーク通信のアイデンティティの検証および保護に使用されるSSL/TLS証明書を発行します。
- OCIコンソールで、メニューをクリックし、「証明書」の下の「認証局」をクリックします。
ノート:
前のタスクからフォローしている場合は、すでに「認証局」画面が表示されます。 OCVS
リンクをクリックします。- 「Issue Certificate」ボタンをクリックします。
- 「名前」フィールドに、
ocvssecurity
と入力します。 - 「次へ」ボタンをクリックします。
- 「共通名」フィールドに、
ocvs.local
と入力します。 - 「次へ」ボタンをクリックします。
- 「証明書プロファイル・タイプ」で、「TLSサーバー」を選択します。
- 「有効終了日」で、カレンダ・ボタンをクリックして日付を選択します。
- 「次」ボタンをクリックして、もう一度「次」をクリックします。
- 「証明書の作成」ボタンをクリックします。
VCNリソースへの接続の構成
WebサーバーがデプロイされているNSXセグメントと、次のステップでロード・バランサがデプロイされるOCIパブリック・サブネットとの間の通信を有効にします。
- OCIコンソールで、メニュー、「ハイブリッド」の順にクリックします。
- 「VMwareソリューション」で、「ソフトウェア定義データ・センター」をクリックします。
- 「VCNリソースへの接続の構成」ボタンをクリックします。
- 「SDDCワークロードCIDR」フィールドに、WebサーバーのNSXセグメントIPアドレス(192.168.10.0/24など)を入力します。
- 「サブネットの追加」ボタンをクリックします。
- 「パブリック」サブネットの横にあるチェック・ボックスを選択します。
- 「サブネットの追加」ボタンをクリックします。
- 「次へ」ボタンをクリックします。
Load Balancerの作成およびデプロイ
OCVSインフラストラクチャの前に存在するOCIロード・バランサを作成します。
- OCIコンソールで、メニュー、「ネットワーキング」の順にクリックします。
- 「ロード・バランサ」で、「ロード・バランサ」をクリックします。
- 「ロード・バランサの作成」ボタンをクリックします。
- 「Ocvsの仮想クラウド・ネットワーク」で、「OCVS-INTEL-VCN」を選択します。
- 「Ocvsのサブネット」で、「パブリック(リージョナル)」を選択します。
- 「次」ボタンをクリックして、もう一度「次」をクリックします。
ノート:
バックエンドは後で追加されます。 - 「Ocvsの証明書」で、「ocvssecurity」を選択します。
- 「次へ」ボタンをクリックします。
- 「ログ・グループ」で、示されているログ・グループまたはすでに作成されているログ・グループを選択します。
ノート:
ログ・ファイルを格納するには、ログ・グループが必要です。 - 送信ボタンをクリックします。
- 「スマート・チェックに移動」ボタンをクリックします。
ノート:
以前にバックエンドの追加をスキップしたため、スマート・チェック警告が表示されます。 - 左下隅の「リソース」で、「バックエンド・セット」リンクをクリックします。
- 「バックエンド・セット」で、バックエンドのリンク(bs_lb_2023-1003-1521など)をクリックします。
ノート:
ロード・バランサを作成し、その「状態」を「アクティブ」に設定する必要があります。 - 「リソース」で、「バックエンド・セット」リンクをクリックします。
- 「バックエンド・セット」で、バックエンドのリンク(bs_lb_2023-1003-1521など)をクリックします。
- 「リソース」で、「バックエンド」リンクをクリックします。
- 「バックエンドの追加」ボタンをクリックします。
- 「IPアドレス」ラジオ・ボタンをクリックします。
- 「IP address」フィールドで、Ubuntu WebサーバーのIPアドレスを入力します。
- 「追加バックエンド」ボタンをクリックし、追加する各バックエンドのIPアドレスを入力します。
- 「追加」ボタンをクリックします。
- 「閉じる」ボタンをクリックします。
構成を確認してください
サポートするインフラストラクチャを確認します。
- OCIコンソールで、メニュー、「ネットワーキング」の順にクリックします。
- 「ロード・バランサ」で、「ロード・バランサ」をクリックします。
- 「IPアドレス」で、ロード・バランサのパブリックIPアドレスをコピーします。
- 新しいブラウザ・タブを開き、URL
https://
に続いてコピーされたIPアドレスに移動します。
- インターネット・ゲートウェイが機能していることを確認します。
- ルーティング テーブルがインターネットにアクセスできることを確認します。
- セキュリティ・ルールおよびネットワーク・グループに対してプロトコルが許可されていることを確認します。