OCI LoadBalancerを使ってNATとSSL/TLS終端を行う

概要

外部ネットワークから内部セグメントのサーバーにアクセスする場合はNATと通信暗号化が必須条件となります。
一番メジャーな方法としてはクライアントのブラウザ等からhttpsでWebサーバやAPIサーバにアクセスしますが、今回はhttp以外のアプリケーションについて外部から安全にアクセスできるようサーバー側にLoadbalancerを設置してNATとSSL/TLS終端(SSL/TLSオフロード)を行いました。

構成

今回は検証サーバーとしてRedisを使用しました。
RedisクライアントとLoad Balancer間はSSL/TLSで通信を行います。
宛先IPアドレス/宛先Portは変換され、Load BalancerとRedis server間は別セッションで通信を行います。

クライアント側準備

• インターネット環境
• Redis client
  　今回はPython3を使ってRedis serverにアクセスできるよう準備しました。
  インタプリタにて手順を確認しながらすすめます。

サーバー側準備

OCI公式ガイド等を参照しながら各リソースを準備します。

• VCN
• Load balancerを設置するPublic subnet
• Redis serverを設置するPrivate subnet
• Public subnetにInternet Gatewayを追加
• Public subnetのRoute tableにデフォルトルートをInternet Gatewayに向くよう設定
• Public subnetのSecurity listに送信元IP 0.0.0.0/0, 宛先IP 0.0.0.0/0のOutbound通信を許可
• Public subnetのSecurity listまたはNetwork Security Group(NSG)に送信元IP Redis clientのIP, 宛先Port 6378のInbound通信を許可
• Private subnetにNAT Gatewayを追加
• Private subnetのRoute tableにデフォルトルートをNAT Gatewayに向くよう設定
• Private subnetのSecurity listに送信元IP 0.0.0.0/0, 宛先IP 0.0.0.0/0のOutbound通信を許可
• Private subnetのSecurity listに送信元IP Public subnet, 宛先Port 6379のInbound通信を許可
• Private subnet内にRedis serverを構築して、Public subnetからport 6379で通信を受け付けるようredis.confやfirewallを設定
• SSL証明書の準備

Loadbalancer設定手順

• Loadbalancer作成
  -OCIコンソールのナビゲーションメニューよりネットワーキング>>ロード・バランサを選択して、「ロード・バランサの作成」を押下
  -ロード・バランサ名：任意の名前
  -可視性タイプの選択：パブリック
  -パブリックIPアドレスの割当て：エフェメラル
  　パブリックIPを予約しておくとIPアドレス再利用ができます。
  -シェイプ：検証利用であれば10Mbps
  -ネットワーキングの選択：作成したVCNとPublic subnetを指定
  -ネットワーク・セキュリティ・グループを使用してトラフィックを制御：NSGで通信許可する場合はチェックを入れて作成したNSGを選択
  -「次」を押下

-ロード・バランシング・ポリシーの指定：IPハッシュ
-バックエンドの追加：作成したRedis serverを選択してポートを6379に変更
-ヘルス・チェック・ポリシーの指定：TCP 6379を指定
-「次」を押下

-リスナー名：任意の名前
-リスナーで処理するトラフィックのタイプ：TCP
-モニターするポート：6378
-SSLの使用：後で設定
-「次」を押下

-ロギングの管理は任意。後で設定も可能です
-「送信」を押下
-アクティブになったらリソースから証明書を選択して、証明書リソースをロードバランサ管理対象証明書を選択して「証明書の追加」を押下
-証明書名：任意の名前
-SSL証明書：認証局から発行された情報を指定
-「証明書の追加」を押下

-リソースからリスナーを選択して、作成済みリスナーの右端の【︙】メニューから編集を選択
-SSLの使用：選択
-証明書リソース：ロードバランサ管理対象証明書
-証明書名：作成した証明書を選択
-「変更の保存」を押下

• DNSサーバーにホスト登録
  -ロード・バランサ情報にIPアドレスが表示されるのでメモ
  -DNSサーバにAレコードとして追加

実行結果

Redis clientからキーバリューの登録と取得を行ってみます。

[user@linux ~]$ python3
>>> import redis
>>> r=redis.Redis(host="【ホスト名】",port=6378,ssl=True)

## 登録 HSET name1 key1 value1 ##
>>> r.hset('name1','key1', 'value1')
1

## 取得 HGETALL name1 ##
>>> name1 = r.hgetall('name1')
>>> print(name1['key1'.encode()].decode())
value1
>>>

-通信内容をRedis client側とRedis server側のパケットキャプチャを取得しました。
Redis clientについてはLoad balanccerとSSL/TLSセッションを確立したうえで暗号化通信を行っていますので通信内容は確認できません。
Redis serverについてはLoad balancerにてSSL/TLS終端されているため、Load balancerとRedis server間の通信内容は暗号化していないことが判ります。
【Redis client】

【Redis server】

注意点

NLBのセッションタイムアウトについて、TCPのアイドルタイムアウトは6分、UDPのアイドルタイムアウトは2分です。
セッションを維持する場合はOSやアプリケーションのKeep Alive機能を使用する必要があります。
What is the Idle Timeout for a Session on a NLB