リモナビ・オンプレ提供
- お客さまシステムに内包してリモナビを利用したい
- オンプレ環境でリーチャビリティのないターゲット接続に活用したい
このようなケースを想定して、リモナビはオンプレ環境への導入をサポートしています。 提供は docker-compose 形式です。 内部構成は、本体 docker 1つとデータベース情報を格納する volume 1つのシンプルな構成です。
組込み構成例
上記は、お客様サービスシステムにて、管理ターゲットへのリーチャビリティがない場合の具体的な接続構成図です。 お客様システムへの配備は以下です。
- RemoNavi オンプレ docker-compose
- RemoNavi Sender (docker)
RemoNavi Sender の操作は、Sender を リモナビ接続の対象として登録することで、二段階認証の RemoNavi 管理画面からのみ操作することができます。
具体的には、以下のようなイメージです。
リモナビと利用者様サービスシステムの連携
🔹利用シーン
- 利用者様サービスシステムから、管理ターゲットまでの接続を通信レベルで確立できない。
- FW設定や、IPマスカレード|SNAT設定のみでは「サービスシステム → 管理ターゲット」方向への接続確立ができない。
その他、ネットワークセグメント超えなど。
🔹リモナビによる通信経路
利用者様サービスシステム
↓①↓
RemoNavi Sender
↓②↓ TLS通信 + リモナビ独自認証,コネクション確立シーケンス
RemoNavi オンプレ版
↓③↓ TLS通信 + リモナビ独自認証,コネクション確立シーケンス
RemoNavi Receiver
↓④↓
利用者様管理ターゲット
🔹リモナビを組み込んだ接続の特徴
③ の RemoNavi ー RemoNavi Receiver 間接続で、RemoNavi Receiver側 が TCPクライアントとして接続する点です。 Receiver が RemoNavi へ接続できれば、TCPコネクションは双方向通信のため「FW超え」が実現されると同時に、RemoNavi は プライベートネットワーク内の管理ターゲットのIPアドレスや NAT構成などを意識せずに通信できる点です。 これによって③区間のネットワーク設定が単順な IPマスカレード | SNAT 相当で実現できることになります。
① の 利用者様サービスシステム ー RemoNavi Sedner の通信は、接続先が「利用者様管理ターゲット」から 「RemoNavi Sender」 に変わるだけです。
セキュリティ
- RemoNavi Receiver が Active かつ RemoNavi 利用状態[可能] でないと RemoNavi オンプレ版にて通信が遮断されます。
- RemoNavi 通信は TLS通信 で暗号化されます。
- RemoNavi ー Sender | Receiver 通信は接続時に、独自の認証シーケンス、コネクション確立シーケンスが導入されています。
- RemoNavi ー Sender | Receiver 通信は、全て通信ログに記録されます。
🔹設定順序
リモナビにて、管理ターゲットまでの経路を作成してから、利用者様サービスシステムにて管理ターゲットの登録をします。
-
RemoNavi オンプレ版 にて、利用者様管理ターゲットへの経路#1を登録します。
- 種別 : L4 TCP-Stream
- 接続種別: Receiver 経由
- 接続先ホスト|ポート:RemoNavi Receiver からみた接続先のホストアドレスとポート番号
- RemoNavi Receiver 側にて、経路#1の 利用登録。
-
RemoNavi Sender 側にて、経路#1の 利用登録。
- SenderのAccept Port 番号
-
利用者様サービスシステム にて、管理ターゲットの登録
- 管理ターゲットは、 RemoNavi Sender の ホストと前項の Acceptポート番号を指定