システム構成を考える
柔軟性のあるネットワーク構成がひとつの特徴でもあると思いますが、スパゲッティネットワークは誰も望んでいないと思います。高いシステムやコンサルを売りたい人達にとっては別でしょうけど・・・
簡単な構成を作るためのセオリーは、簡単にいうと以下のような感じではないかと。
- 物理的にはワンアーム構成
- NAT/SNATは使わず、すべてのトラフィックをVirtualServerで処理する
- この場合、適用範囲をできるだけ狭くする(80しか通さないのにAll Protocols, All Portsのようなことはしない)
これらについては次回以降にするとして、今回はSelf IPアドレスの取扱いについて考えたいと思います。
Self IPアドレスとはBIG-IP自身が持っているアドレスのことで、以下の用途に使われます。
- 管理インターフェイスへのアクセス
- SNAT Automap時のアドレス
- 冗長構成時のActive-Standby間の諸々のやりとり
これらはいずれもインターネット(外部)からアクセスする必要はありません。ですので個人的には外からのSelf IPへのアクセスはすべて遮断されるべきです。この場合、Port Lockdownの設定をAllow NoneにしておけばSelf IPに対するあらゆるTCP/UDPトラフィックを遮断します(ICMPは対象外)。ICMPに関しては上位のルータやBIG-IP自身のパケットフィルタで制御しておけば問題ないでしょう。また、BIG-IPにはいくつかのICMP関連の防御機能があります。
コメントを投稿