(2016年時点での内容をアーカイブとして掲載しているため、一部の掲載内容が最新情報とは異なる場合がありますので、ご了承ください。最新のIBM Cloudのアップデート情報はIBM Cloud アップデート情報 や 柔らか層本をご参照ください。)
概要
インターネットからサーバーへのログインを禁止して安全に保守する方法をご紹介します。 SoftLayerでは、VPNを使ったプライベート・ネットワークにアクセスするサービスを提供しています。 このVPNサービスを使うことにより、サーバーを安全に保守することができます。
利用できるVPNクライアント
このサービスは、インターネットを経由して安全に接続できるサービスです。 SSHやリモートデスクトップの通信ポートをインターネットに公開することなく運用できるため、是非とも利用して頂きたい機能です。 SoftLayerでは、次の2つの方法によりVPN接続ができます。
WEBクライアント … ブラウザから接続できる最も簡単な方法
VPNクライアント … ワンクリックで接続できる便利な方法
次の図は、WEBクライアントとVPNクライアントの接続を絵にしたものです。 これらのクライアントは、VPNトンネルを通過してサーバーのプライベート・ネットワーク側に接続できます。 このサービスは、無料で使えるほか、接続できるアカウントを管理する機能も提供されており、メンテナンスには欠かせないセキュリティの高い便利な機能です。 以下で、それぞれの詳細と使い方をご紹介します。
WEBクライアントを使う方法
SoftLayerのトップ画面の https://www.softlayer.com を開きます。 ブラウザ・プラグインが対応しているFirefoxとInternet Explorerを利用できます。 次のトップ画面の右端の「VPN」をクリックします。
VPN Access画面が表示されます。 この中から、日本の「Tokyo, Japan」を選択します。 これは東京に設置されているVPNゲートウェイで、日本国内の拠点からSoftLayerにSSL VPN接続する際はこれを使うことをお勧めします。他の国の接続ポイントに対してSSL VPN接続する事も可能ですので(但し、物理的に遠くなるため、東京に接続した場合より遅くなることが予想されます)、東京のVPN接続ポイントがうまく動作しない場合は他の接続ポイントを試すと接続できる場合があります。
次に表示されたVPNログイン画面に「Username」と「Password」を入力し、「LOG IN」をクリックします。 あとは自動的にVPN接続が開始されます。 環境によっては、何度かセキュリティ警告が表示されることがありますが、「続行」または「許可する」を選択します。 しばらくするとVPN接続が確立します。 これでパソコンからプライベート・ネットワークへのアクセスができました。
VPNクライアントを使う方法
VPNクライアントのインストールから設定と接続方法をご説明します。
まず、VPNクライアントのダウンロード方法をご説明します。 次の画面はWEBクライアントを使った接続方法の手順でVPN接続が確立したときのWEB画面です。 この画面の「Standalone SSL VPN Clients」に、ダウンロードリンクがありますので、環境に応じたVPNクライアントをダウンロードします。 ここではWindows 64-Bitをダウンロードします。
ダウンロードしたZIPファイルを解凍し、setup.exeをダブルクリックします。 VPNクライアントのインストーラーが起動します。
インストーラーには、すべて「Next」で応えて問題はありませんが、デスクトップにアイコンが作成されるように「Install SSL VPN client additional component」では「Create Desktop Icon」にチェックを入れておきます。 全てのインストール条件の指定が完了したら、「install」をクリックしてインストールを開始します。 完了後にデスクトップに次の画面のアイコンが作成されます。
次にVPNクライアントの設定をします。 デスクトップに作成されたArray L3 VPN Connectをダブルクリックで起動します。 メニューバーの「Profile」の「New」を選択します。 次の画面が起動します。 次に必要項目の説明をしていきます。
「Profile Name」:この設定の名前としてわかりやすい名前をつけます。
「SPX Host or IP」:WEBクライアントでVPNログインする際のURLのホスト名の部分を入力します。 日本から接続する場合は、東京アクセスポイントのDNS名:vpn.tok01.softlayer.comを入力します。
「SPX Host User Name」:VPNにログインするときのユーザ名です。
「SPX Host Passwor」と「Re-enter Password」は、WEBクライアントでVPNにログインする際と同じパスワードです。
「Save Password」にはチェックを入れておきます。 次回から毎回パスワードを入力する必要がなくなります。 「Save」をクリックして設定完了です。
では、設定したVPNクライアントでさっそく接続してみます。 次の画面のように、追加したProfileを選択し、「Connect」をクリックします。 しばらくしてVPN接続が確立すると画面が消えて、タスクバーに表示されます。 再度、タスクバーから起動して画面を確認すると、「Connect」が「Disconnect」に変わっています。 切断する場合は、「Disconnect」をクリックします。 次回の接続からはArray L3 VPN Connectを起動後に、Profileを選択し「Connect」をクリックするだけでVPN接続ができます。
以上で、VPN経由でプライベート・ネットワークに簡単に接続できるようになりました。
その他の接続方法
その他の接続方法としてVPNゲートウェイを使う方法があります。 ルーターを導入し常時接続する、この方法を使えば、オフィスで利用しているLANの延長として、複数のパソコンからプライベート・ネットワークへの常時利用が可能になります。 詳細は、6.5 オフィスLANをSoftLayerへ延長するには?を参照してください。
パブリックIPからのログインを禁止する
パブリックIPに開いている以下のサービスのポートを、ファイアウォールで遮断します。
Linux … SSH(TCP/22)
Windows … リモートデスクトップ(TCP/3389)
設定の仕方は次のいずれかのページを参照してください。
2.2 OSファイアウォールで、個別に保護するには?
2.3 ハードウェア・ファイアウォールをポータルから管理するには?
2.4 ネットワーク・ファイアウォールでネットワークごと保護するには?
そのほか、データベース用途など、インターネット側に接続する必要のないサーバーであれば、プライベート・ネットワークにのみ接続されたサーバーを注文できます。 次の画面の、仮想サーバーの例では、オーダー・フォームの「Network Options」の「UPLINK PORT SPEEDS」から「Private Only」を選択して注文すれば、プライベート・ネットワークにだけ接続された仮想サーバーが作成されます。
以上のように、プライベート・ネットワークからのみのログインを可能することで、安全に保守する環境を作ることができました。