(2016年時点での内容をアーカイブとして掲載しているため、一部の掲載内容が最新情報とは異なる場合がありますので、ご了承ください。最新のIBM Cloudのアップデート情報はIBM Cloud アップデート情報 や 柔らか層本をご参照ください。)
概要
サブアカウントごとに、接続できるサブネットを制御する方法をご紹介します。 これは、複数の管理者が、複数のサーバーを管理するにあたり、アクセスを制御することで高いセキュリティを維持できます。
SoftLayerのサブアカウントとサブネットの使い分け
サブアカウントごとに、接続先のサブネット設定を細かく指定できます。 例えば、次の図のような複数のサブネット1・サブネット2のプライベート・ネットワークがある場合、それぞれのアカウントに対して、接続先のサブネットを限定します。
このように、SoftLayerで複数のネットワークを管理する手助けとして、「SL<番号>」というプライマリ・アカウントのほか、自分でサブアカウントを利用することができます。 サブアカウントとは、ポータルにログインする権限の有無や、VPN接続ができるかどうか、さらに、接続先のサブネットの指定を、アカウントごとに細かく指定できます。
サブアカウントにサブネットを割り当てるには
具体的にサブアカウントでの設定方法をご紹介します。 あらかじめ、サブアカウントは作成済みとします。 「Account」->「VPN Access」をクリックします。 設定を変更したいアカウントの行を見ます。 アカウント作成直後は「VPN Access」の項目が「None」のままです。
VPN接続を許可するために「VPN Type」の「None」をクリックし、「SSL」などに設定します。 PPTPを選ぶこともできますが、動作確認を行うだけであればSSLが手軽です。 SSLは、より汎用的にVPNに接続できますが、PPTPはOS側での接続設定が必要になります。 PPTPについては、Microsoft社の説明ページを参照してください。
PPTPを理解する
http://technet.microsoft.com/ja-jp/library/gg983536.aspx
それから、サブネット接続先を指定できるようにするため、「Subnet Access」を「Manual」にします。 「Manual」は接続先ごとに制限できますが、「Auto」は自動的にすべて接続できるようになりますので、気をつける必要があります。
「Manual」を選んだときは、次の図のように許可したいサブネットの横にある「Grant Access」にチェックを入れて、アクセス先を指定します。 ここでチェックを入れないサブネット環境には、VPNでログインしてもアクセスできません。 PINGは通じませんし、もちろん、SSHのログインもできません。 最後に「Save」ボタンをクリックして、設定を確定します。
注意事項として、この設定は対象アカウントが既にVPNに接続している場合、即座に反映されません。 一旦VPNを切断したあと、再度ログインした時点から有効になります。 そのため、サブアカウントの作成直後は、SSLの可否とサブネットの接続先を一緒に設定することをおすすめします。
サブアカウントの権限追加時に気をつけたいこと
ポータル上で参照・操作可能なデバイス(サーバー等)設定と、サブネット設定とは、異なる権限設定です。 デバイスの設定は、ポータル上でIPアドレスなどの情報を参照可能かどうかと、再起動や停止などのアクションを行えるかどうかの設定です。
次の画面は、デバイスごとの権限設定を行うものです。 設定は、ポータルの「Account」->「Users」->「Device Access」から行い、対象のサーバーにチェックを入れます。
サブアカウントは、こちらの「Device Access」でサーバーに許可がなくても、VPNを許可した標準の状態(Autoのまま)では、すべてのサーバーに対するログインが可能になってしまいます。 意図しないアクセスを許可しないように、サブアカウント作成時は適切な設定を行っているかどうか、気をつけたいところです。