OCI証明書を使用してOracle Cloud VMware SolutionでホストされるセキュアなWebアプリケーション
Oracle Cloud VMware SolutionをOracle Cloud Infrastructure CertificatesおよびOracle Cloud Infrastructure Load Balancing (LBaaS)と統合することで、重要なアプリケーションを安全に公開します。
クラウド・コンピューティングの進化を続ける中で、2つの重要なコンポーネントが、ロード・バランサとSSL/TLS証明書というWebアプリケーションのパフォーマンス、セキュリティおよびスケーラビリティを最適化するための重要な柱として浮上してきました。これらの要素は、クラウド環境内でのシームレスな運用、データの整合性、およびユーザーの信頼性を確保する上で極めて重要な役割を果たします。
ロード・バランサは、受信ネットワーク・トラフィックを複数のサーバーまたはインスタンスに分散して、単一のサーバーが圧倒されるのを防ぐため、最適な使用率と応答性を確保します。
ネットワークを横断するデータにより、機密性と整合性を確保することが重要です。そこでSSL/TLS証明書が登場します。これらのデジタル証明書は、暗号化された通信チャネルをネゴシエートし、盗聴、改ざんまたは不正なアクセスから保護するために使用されます。
クラウド・インフラストラクチャ内のロード・バランサとSSL/TLS証明書の結婚は強力な組み合わせです。ロード・バランサは、トラフィックを効率的に分散し、パフォーマンスを最適化し、過負荷を防止します。一方、SSL/TLS証明書は、データ転送、機密保持および整合性を保護します。この相乗効果は、エンド・ユーザー・エクスペリエンスを向上させるだけでなく、Oracle Cloud VMware SolutionでホストされるWebサーバーの全体的なセキュリティ状態にも大きく貢献します。
Oracle Cloud VMware Solutionは、顧客管理のネイティブなVMwareベースのクラウド環境を提供し、顧客のテナンシ内にインストールされ、使い慣れたVMwareツールを使用して完全な制御を提供します。
Oracle Cloud Infrastructure(OCI)は、セキュリティファーストの設計原則に基づいて設計された次世代のInfrastructure-as-a-Service(IaaS)製品です。これらの原則には、分離されたネットワーク仮想化や、以前のパブリック・クラウド設計ではこれまで実現が難しかった物理的なホストの導入が含まれます。これらの設計原則により、OCIは、高度な永続的な脅威によるリスクの低減を支援します。
このリファレンス・アーキテクチャでは、OCI証明書およびOracle Cloud Infrastructure Load Balancing (LBaaS)を使用したOracle Cloud VMware Solutionの統合オプションについて説明します。これにより、お客様は重要なアプリケーションを安全に公開できます。ただし、LBaaSは証明書サービスなしでも使用できます。
アーキテクチャ
この論理リファレンス・アーキテクチャでは、Oracle Cloud VMware Solutionワークロード内で動作するWebサーバーの前でのOCI証明書の使用に重点を置いています。
証明書は、ネイティブのOCI証明書を使用して生成され、SSLオフロード用にOCIレイヤー7ロード・バランサによって利用されます。Webサーバーは、仮想マシン(VM)の形式でOracle Cloud VMware Solution SDDC内で実行されています。
この論理図は、OCIレイヤー7ロード・バランサでのSSLオフロードを示し、OCI証明書によって発行された証明書によって信頼される全体的なトラフィック・フローを表します。
ocvs-traffic-flow-diagram: oracle.zip
次の図は、OCIロード・バランサからOracle Cloud VMware Solution SDDCでホストされるWebサーバーへの2つのタイプのネットワーク接続オプションを示しています。また、OCIロード・バランサと統合することでWebサーバーにセキュアにアクセスできるように、OCIで実行されている認証局(CA)からのSSL証明書の発行も示しています。
ノート:
OCI証明書によって発行された証明書はOCIロード・バランサ内でのみ使用でき、エンドツーエンドSSL用の機能をWebサーバーにまで拡張することはできません。Oracle Cloud VMware SolutionでホストされているWebサーバーを仮想クラウド・ネットワークに接続する場合、次の2つの接続オプションがあります。
- NSXセグメント
- 仮想ローカル・エリア・ネットワーク(VLAN)にバックアップされたポート・グループ
NSXセグメントは、ソフトウェア定義ネットワーク(SDN)を活用して、分離された論理的にセグメント化されたネットワークを作成します。このアプローチには、次のような利点があります。
- マイクロ・セグメンテーション: NSXセグメントを使用すると、マイクロ・セグメンテーションが可能になり、個々のワークロードの分離とセキュリティが可能になります。
- 動的スケーリング: NSXセグメントは高度にスケーラブルで、オンデマンドでプロビジョニングでき、ネットワーク・トラフィックおよびワークロード要件の変化に対応します。
- 論理的なグループ化: 仮想マシンは、アプリケーション層またはセキュリティ要件に基づいてグループ化でき、ポリシーをセグメント・レベルで適用できるため、ネットワーク全体で一貫した適用が可能になります。
- 拡張管理: NSXは、ネットワーク構成、セキュリティ・ポリシーおよびトラフィック・フローを一元管理します。
NSXセグメントの動的な性質とは対照的に、VLANバックアップ・ポート・グループは従来のVLANテクノロジを使用して仮想化環境内の仮想マシンを分離します。このアプローチの主な特徴は次のとおりです。
- シンプルさと使いやすさ: すでにVLANに精通している組織の場合、VLANでバックアップされたポートグループを使用すると、最小限の追加トレーニングで簡単かつ使い慣れることができます。
- リソース共有: VLANはネットワーク・トラフィックを分離できますが、ポリシーの適用およびマイクロ・セグメンテーションに関してNSXセグメントと同じレベルの粒度を提供できない場合があります。
適切なアプローチの選択
NSXセグメントまたはVLANバックアップ・ポート・グループを使用する決定は、組織の特定のニーズ、既存のインフラストラクチャ、セキュリティ要件など、様々な要因によって異なります。
NSXセグメントとVLANバックアップ・ポート・グループはそれぞれ、仮想化環境内の仮想マシンを管理する際の個別の利点を提供します。NSXセグメントは、マイクロ・セグメンテーション、動的スケーリングおよび集中管理を提供する能力に優れ、VLANに支えられたポート・グループは、従来のVMwareネットワークにすでに慣れている人々にシンプルで慣れ親しんでいます。
次の項では、NSXセグメントおよびVLANでバックアップされたポート・グループにデプロイされたWebサーバーへのLBaaS接続性の側面を示します。
NSXオーバーレイ・セグメントに接続されたWebサーバー
OCIロード・バランサの側面をOCVSのNSXオーバーレイ・セグメントに接続されたWebサーバーに接続し、OCI証明書を使用して証明書を発行し、OCVSで実行されているWebサーバーを安全に公開します。
このリファレンス・アーキテクチャの主な目的は、次の目標を示すことです。
- Oracle Cloud VMware Solution SDDCのNSXオーバーレイ・セグメントに接続されたWebサーバーを使用した、OCIロード・バランサの接続の側面。
- 証明書マネージャを使用して、Oracle Cloud VMware Solution SDDCで実行されているWebサーバーのセキュアな公開のために証明書を発行します。
NSXオーバーレイ・ネットワーク・セグメントに接続されたWebサーバーのアーキテクチャを次に示します。
web-server-nsx-diagram: oracle.zip
アーキテクチャのコンポーネント
このアーキテクチャには次のコンポーネントがあります。
- Oracle Cloud VMware Solution: Webサーバーがホストされている顧客テナンシの環境。
- NSXオーバーレイ・セグメント: NSXオーバーレイ・セグメントは、Webサーバーへのネットワーク接続を提供します。
- 層0ルーター: 論理ネットワークと物理ネットワーク(南北)間のゲートウェイサービスを提供する論理ルーター。
- 層1ルータ: NSXオーバーレイ セグメントは層1ルータに接続され、東西トラフィックを制御します。
- NSX Edgeアップリンク1 VLAN: このVLANは、オーバーレイ(NSX)ネットワークとアンダーレイ(VCN)ネットワーク間の通信をブリッジするための、OCIアンダーレイ・ネットワーキングとNSXオーバーレイ・ネットワーキング間のインタフェースです。
- Webサーバー: Webサーバーは、Oracle Cloud VMware Solution SDDC内にデプロイされたVMです。
- OCIロード・バランサ(LBaaS): WebサーバーへのトラフィックのバランスをとるOCIレイヤー7ロード・バランサ。OCI提供のパブリックIPまたはIPをロード・バランサで使用できます。
- ヘルス・チェック: バックエンドWebサーバーは、HTTPヘルス・チェックで構成されます。
- リスナー: リスナーはSSLオフロード用にHTTPSで構成されます。
- OCI証明書マネージャ・サービス: OCI証明書マネージャ・サービスは、サーバー、WebアプリケーションなどへのSSL/TLSセキュア・アクセスを提供するのに役立ちます。管理者は、OCIロード・バランシングと統合されるプライベート認証局(CA)階層およびTLS証明書を作成および管理できます。
- 認証局(CA): プライベート認証局は、証明書を発行するように構成されます。
- Vault: ボールトは、拡大するデータとアプリケーションの暗号化をスケーラブルなキーストレージで提供します。
- 鍵: 証明書でサポートされる鍵は、HSMモードのRSA (非対称鍵)だけです。
VLANネットワークに接続されたWebサーバー
OCIロード・バランサを、VLANネットワークに支えられたvSphere DvPortGroupに接続されたWebサーバーに接続し、OCI証明書を使用して、OCVS SDDCで実行されているセキュアな公開Webサーバーの証明書を発行します。
このリファレンス・アーキテクチャの主な目的は、次の目標を示すことです。
- VLANネットワークに支えられたvSphere DvPortGroupに接続されたWebサーバーを使用した、OCIロード・バランサの接続側面。
- OCI証明書マネージャを使用して、Oracle Cloud VMware Solution SDDCで実行されているWebサーバーのセキュアな公開のために証明書を発行します。
VLANでバックアップされたネットワークに接続されたWebサーバーのアーキテクチャーを次に示します。
web-server-vlan-diagram: oracle.zip
アーキテクチャのコンポーネント
このアーキテクチャには次のコンポーネントがあります。
- Oracle Cloud VMware Solution: Webサーバーがホストされている顧客テナンシの環境。
- VLANネットワーク: WebサーバーのOracle Cloud VMware Solution VCNで作成された専用VLAN。このネットワークはアンダーレイ・ネットワークとみなされます。
- vSphere分散スイッチ(VDS): Oracle Cloud VMware Solutionワークロードに仮想ネットワーキング機能を提供する、vCenter内の仮想スイッチ。
- vSphere分散ポート・グループ: 各メンバー・ポートのポート構成オプション。Oracle Cloud VMware Solutionワークロードにアンダーレイを表すVLANバックアップ・ネットワーク。
- Webサーバー: Webサーバーは、Oracle Cloud VMware Solution SDDC内にデプロイされたVMです。
- OCIロード・バランサ(LBaaS): WebサーバーへのトラフィックのバランスをとるOCIレイヤー7ロード・バランサ。OCI提供のパブリックIPまたはIPをロード・バランサで使用できます。
- ヘルス・チェック: バックエンドWebサーバーは、HTTPヘルス・チェックで構成されます。
- リスナー: リスナーはSSLオフロード用にHTTPSで構成されます。
- OCI証明書: OCI証明書は、サーバー、WebアプリケーションなどへのSSL/TLSセキュア・アクセスを提供するのに役立ちます。管理者は、OCIロード・バランシングと統合されるプライベート認証局(CA)階層およびTLS証明書を作成および管理できます。
- Certificate Authority (CA): 証明書を発行するように構成されたプライベート認証局。
- Vault: ボールトは、拡大するデータとアプリケーションの暗号化をスケーラブルなキーストレージで提供します。
- 鍵: 証明書でサポートされる鍵は、HSMモードのRSA (非対称鍵)だけです。
必要なサービスについて
このソリューションには次のサービスが必要です。
- Oracle Cloud VMwareソリューション
- OCIロード・バランシング
- OCI証明書
各サービスに必要なロールは次のとおりです。
| サービス名 | 必須... |
|---|---|
| Oracle Cloud VMwareソリューション | VMware vSphereを使用してワークロードを実行します。 |
| OCIロード・バランシング | ロード・バランシング・トラフィック。 |
| OCI証明書 | 証明書を発行および管理します。 |
必要なものを取得するには、Oracle製品、ソリューションおよびサービスを参照してください。