概要
IBM CloudにてCode EngineサービスとVPC間でPrivate Endpointで通信して見ました。以下のような通信ルートになります。
背景
Cloudにて動くアプリを外部向けに公開する場合にセキュリティを担保するために、CloudflareやAkamaiなどを前方に立てることが多いと思います。その場合にはmTLS仕組みを利用すると思いますが、Originサーバーはセキュリティ担保用コンポーネントからのアクセスのみ許可することが必要になります。
Code EngineはPublic、Private、Protected Onlyという3つのEndpointを提供していまして、理想はセキュリティ担保用コンポーネントから直接Code Engineに通信させ、Code Engine側ではセキュリティ担保用コンポーネントからのリクエストのみに絞ることですが、Code Engineには現時点でソースIPを絞る機能が提供されていないです。
検証の目的
セキュリティグループやACLの機能が存在するVPCの経由で通信させることで、mTLS前提になるPrivate Network内の通信が可能であることや、制限となる部分があるかを確認する。
検証の流れ
1.VPC、Subnet、VSIを作成する。
詳細の手順はここで紹介しません。以下のリンクに詳しい手順がありますので、参考してください。
https://cloud.ibm.com/docs/vpc?topic=vpc-creating-a-vpc-using-the-ibm-cloud-console
※注意点:
・VSI用セキュリティグループの設定で、VPC内の通信はできるように設定してください。
2.Code Engineのアプリを作成する。
1) IBM CloudのカタログからCode Engineを選択します。
2) 「Projects」タブを選択し、画面が遷移したらCreateをクリックします。
3) 「Location」、「Name」、「Resource Group」の選択と記入の上、Createをクリックします。
4) 作成されたProjectにて、「Create Application」を選択します。
5) 以下のようにアプリ名、ビルド方法、Listening Portを記入します。本検証ではSource Codeからビルドする方法を選択しました。設定が完了したらCreateをクリックします。
Runtime SettingsではMinを1に設定してください。
※注意点:オープンではないGitのリポジトリとコンテナレジストリへアクセスさせる場合には別途設定が必要ですので、以下のリンクからその手順を確認してください。
プライベートコードリポジトリへのアクセス:https://cloud.ibm.com/docs/codeengine?topic=codeengine-code-repositories
プライベートコンテナリポジトリへのアクセス:https://cloud.ibm.com/docs/codeengine?topic=codeengine-add-registry
6) Private Endpointを控える。
3.VPC上にVPEを作成する。
1) VPC Infrastructure画面にて、「Virtual private endpoint gateways」を選択し、Createをクリックします。
2) 名前を記入し、VPCを選択します。Security Groupも別途作成し、設定することをおすすめします。
CloudサービスでCode Engineを選択し、呼び出し対象のProjectを選択します。
※プロジェクト内の特定のアプリを選択することができません。
VPEの作成から、Private DNSへの反映まで数分がかかります。
4.VSIからCurlで呼び出せるかを確認する。
VSIにログインし、Curlコマンドで、アプリのPrivate Endpoint向けにリクエストを送信すると、以下のように結果が表示されます。
感想と注意点
・ご存知かもしれませんが、ALBから直接VPEへリクエストを転送させることが可能です。ただCode EngineのVPEの場合特定のURLの指定ができず、Projectのすべてのアプリ向けに投げれるようになっていますので、必ずProxy的なものがVPCに必要です。以下のような感じです。
・Code Engineは利用されないときにインスタンスをゼロにすることが大きなメリットですが、なぜかゼロの状態でリクエストを投げると反応しません。バグか私の設定のどこか問題あるかもしれません。
・今回はVPCを利用しましたが、実際ClassicのLoad balancerを利用したほうが楽ではないかと思います。