#SoftLayer カスタマー・ポータルについて
SoftLayerのカスタマー・ポータルは、俗にいうダッシュボードや管理画面に相当します。
インターネットを介して、ID/Password認証でログインできるWebサイトで、SoftLayerの全ての環境をコントロールすることができます。ログインにGoogle Authenticationなどを二要素認証として追加することも出来ます。
#転ばぬ先の杖 
杖1:アカウント発行後に最初にやろう!管理者権限を持つユーザーの追加
SoftLayerの契約完了後に通知されるIDは、アカウントIDと呼ばれています。このアカウントIDの下に、子ユーザー、孫ユーザーなど任意の管理ユーザーを追加できます。
アカウントIDはすべての操作ができるので強力です。さらにカスタマー・ポータルの中には、アカウントIDでなければ操作できないものもいくつかあります。そのため、必要な権限を、必要な管理者に付与する、という観点で管理者権限を持つユーザーを追加するところからはじめましょう。
杖2:管理者権限を持つユーザーは、ひとりにひとつ、IDを発行しよう
SoftLayer上のシステムにアクセスする一般ユーザーのことではありません。管理者権限を持つユーザーとは、あくまでも、カスタマー・ポータルを使ってSoftLayerを操作する権限が必要なユーザーのことです。
SoftLayerのカスタマー・ポータルではすべての操作ログが記録されているので、管理者権限を持つユーザーの共有はせず、ひとりにひとつ をモットーに、適切な権限を持つIDを発行してください。
そうすると、ID毎に操作の追証性を確保できると同時に、最終ログイン日時などからIDの継続利用の必要性の有無を確認できたりするなど、運用面においてのメリットを多く確保できます。
といっても、Ticket確認にのみ利用するIDは共用でも便利かもしれませんね。
杖3:そのIDとパスワードでいいの?
「いや、よくない」というよりも、このご時勢、IDとパスワードだけで何でも出来てしまう管理者権限は結構心配ですよ、という諸兄に朗報です。SoftLayerでは以下の安心ロック機能があります。
- 二要素認証
- アクセス可能なIPアドレスのレンジ指定
二要素認証は、カスタマー・ポータルで選択できるGoogle Authenticatorをはじめ、いくつかのSoftLayerパートナー会社が個別に提供するシングルサインオンをなどのサービス提供を選択することが出来ます。
アクセス可能なIPアドレスレンジの指定については、例えば、会社のインターネットIPアドレスレンジを指定しておけば、会社からでしかアクセスできないという制限を、対象のIDに設定出来ます。
杖4:IPMIとかKVMコンソールアクセスは事前に確認しておく
物理サーバーや仮想サーバーのKVMアクセスは、いざというときのための効果的なアクセス手段です。必要になってから慌てて接続の確認をすることの無いよう、事前に確認しておきましょう。
特にKVMコンソールはブラウザやJavaのバージョンの組み合わせに敏感です。クラウドを利用されようとしているユーザーであれば特に問題はないと思いますが、うちのブラウザちょっと古いんだよね・・・という場合はご注意ください。
杖5:SoftLayerの標準時間はCST(中央標準時)です。
中部時間 (CST Central Standad Time UTC-6)と、日本の標準時(JST)には時差があります。CSTにはサマータイムが導入されているため、時期によって時差が異なります。
時差についての確認は、Time-j.netでどうぞ。
SoftLayerのポータルを使って、次のABD(Anniversary Billing Date: 課金開始基準日)で自動キャンセルにしている場合は特に心配する必要はありません。しかし、サマータイムを考慮していない個別作成のアプリケーションや、手動でのキャンセル処理するなどの場合は、キャンセルするタイミングにご注意ください。キャンセル処理ができるのは、ABDの24時間前まで、です。
SSLでログインできない!
新規に発行したIDに、SoftLayerが共用サービスとして提供しているSSL VPNの設定をそれぞれちゃんとやったはずなのに、実際に接続しようとするとつながらない。そんな場合は、ユーザー一覧で設定するVPNのオプションを、一度、None にしてから、もう一度設定してみましょう。おまじない的ではありますが、これで結構巧くいくケースがあります。
それでも直らない場合は、接続先のVPNサーバーを変更してみて、さらにそれでもダメな場合は、Ticketで助けを求めてみましょう。
昨日までSSLでつなげてたのに、急に繋がらなくなったよ?
SSL VPNのエンドポイントがメンテナンスの可能性があります。が、これまでよくあったのは、スタンドアロン型のVPNソフトを利用している場合です。VPNクライアント・ソフトがバージョンアップされた時は、バージョンの不一致で繋がらなくなるようです。
ブラウザからSSL VPNでログインし、そこで表示される画面から、VPNクライアント・ソフトをダウンロードしなおして再導入してみましょう。
どうやら攻撃されている模様、どうしよう?
DDoS攻撃については、SoftLayerのCisco Guardによってインターネット側のネットワークは随時監視されているので、攻撃の脅威にさらされ続けるリスクは低いと考えられます。皆様の環境はもちろん、DDoS攻撃だけではなく、あらゆる脅威に耐えられるようにセキュリティを確保していると思いますが、最も手間がかかるのが、以下の問い合わせを受けた状況ではないでしょうか。
おたくのサーバーから攻撃を受けているようだ
がーん。
人様に迷惑は掛けるな、とあれだけ言われて育ったのに・・・なパターンです。
いわゆる「IP Spoofing」というIPアドレスを成りすました攻撃手法です。攻撃側のIPアドレスに、自分が利用しているGlobal IPが利用される、というものです。
この状況で潔白を訴えるには、指定された時間、自分のサーバーから対象のサーバーへの通信がない、ということを証明しなければなりません。つまり、専有型のFirewallがあり、かつ、内部(Trusted)からインターネットなど外部(UnTrusted)への通信をログしておく、という設定がないと潔白の証明は非常に困難です。一般的なクラウドサービスで利用できる共用型のFirewallでは、内部から外部へのログは保存していないため証明できませんが、SoftLayerではその環境を利用することが出来るんですね。
あれ?専有型のFirewallはないけど、Spoofingで自分のGlobal IPを使われちゃったみたい、、、という場合はどうすればよいでしょうか?
完全な潔白の証明とはなりませんが、対象のサーバーのログから、指摘された時間にアクセスを試みていない、ということを示すしかありません。ただ、この証明では、Spoofingではなく、ホストを乗っ取られたり攻撃の踏み台にされている場合には潔白を示せません・・・こういう場合、IPS/IDSを検討するのも良いですが、侵入を許さないためのセキュリティを正しく維持する、ということも効果的ですね。
また、攻撃されているようだ、もしくは、自分のIPアドレスが攻撃している、といった場合には SoftLayerユーザーであれば、Ticketで、SoftLayerユーザーでなければ、メール(abuse@softlayer.com)にて調査を依頼することができます。
使っていないはずなのに請求されているものがある?
誤請求?と疑ってしまうようなケースがあります。いえいえ、きっとそれは「以前使っていた」ものの料金です。明細で、利用月の確認をしましょう!
この誤解が生まれやすいのは、以下の通り、利用料金が確定して請求されるまでの時間差があるためです。
- ABD(Anniversary Billing Date:課金の起算日)でSoftLayer上の利用料金が確定する。
- 請求者の〆日で、SoftLayerから請求者への請求料金が確定する。
- 請求者から、利用者に、請求料金が請求される。
請求書支払いの場合、請求者は日本IBMですね。クレジットカード払いの場合はカード会社になります。
請求書支払いの場合、ABDは毎月1日(上記1.)、〆日は15日前後(上記2.)、請求書の送付は翌月の10日前後(上記3.)となっているため、請求書の明細には最大で2ヶ月前のリソースの利用料金が記載される可能性があります。裏を返すと、すべて削除したとしても(SoftLayer上の表示金額がゼロであっても)削除のタイミングによっては最大2回、請求書が届く、ということになります。
料金発生のタイミングが異なることがありますが、合計金額はSoftLayer上と、請求書上では同じになります。ご安心ください。
#補足
カスタマー・ポータルの操作がよく分からない、、、という場合は以下をご参考ください。
SoftLayerオンライン・トレーニング(執筆時点で英語のみの提供です)
IBM Cloud Academy(旧版ポータルですが使い方はほとんど現行と同じなので、ご参考までに)
その他、ユーザーの追加・管理の方法については、以下が日本語だし便利です。