ゲートウェイの高可用性

ゲートウェイはさまざまな方法で高可用性を確保し、従来のSSH要塞よりも高い信頼性を提供します。

ゲートウェイの負荷分散

複数のゲートウェイがあるプロジェクトの場合、クライアントがサーバーに接続したとき、アドバンストサーバーアクセスはランダムに選択した1つのゲートウェイにトラフィックをルーティングします。これにより、アドバンストサーバーアクセスは利用可能なゲートウェイ間のリクエストを分散することができます。

特定のゲートウェイが利用できなくなった場合、アドバンストサーバーアクセスは最大5分間、そのゲートウェイへリクエストのルーティングを継続する場合があります。この間はすべてのリクエストが失敗します。5分経過すると、アドバンストサーバーアクセスはそのゲートウェイをプールから削除し、他の利用可能なゲートウェイに接続をルーティングさせ始めます。

リクエストが適切に処理されるようにするには、ロードバランサーの背後にあるWebアプリケーションサーバーを構成する手順と同様、ゲートウェイの負荷分散を構成する必要があります。この場合、通常、次のタスクを実行します:

  • クライアントがロードバランサーに接続できることを確認します(デフォルトではポート7234)。
  • ロードバランサーがゲートウェイ接続できることを確認します(デフォルトではポート7234)。
  • ゲートウェイがターゲットサーバーに接続できることを確認します(デフォルトではポート22)。
  • すべてのゲートウェイが同じAccessAddressを使用するように構成します。これは、ロードバランサーへのアクセスに使用されるドメイン名または静的 IPのアドレスにする必要があります。

異なるポートは異なるアドレスとして扱われるため、クライアントはゲートウェイに接続してアイデンティティを検証します。複数のゲートウェイのホスト証明書は、同じデフォルトのアドレスを共有している場合に有効とみなされます。これは、Amazon Web Services (AWS)またはGoogle Cloud Platform (GCP)上にホスティングされているサーバーのクラウドインスタンスメタデータを使用して検出されます。

ロードバランサーの背後にあるゲートウェイを構成した後、Oktaは追加の正常性チェックを実施して、正常でないまたはアクセス不可となったゲートウェイをプールから削除することを推奨します。

  • ゲートウェイが正しいポート上(デフォルトでは7234ポート)でリッスンしていることを確認します。
  • ゲートウェイにログを保管する十分なスペースがあることを確認します。
  • ゲートウェイのCPUとメモリーの使用量が正常であることを確認します。

ご自身のプラットフォームとツールで正常性チェックを実施するベストプラクティスに関する詳細は、特定のクラウドプロバイダーまたはロードバランサーのドキュメントを参照してください。

ゲートウェイのステータスチェック

ゲートウェイは2分間ごとにアドバンストサーバーアクセスに正常性ステータスを自動的に報告します。このステータスは、ユーザーがサーバーへの接続を試みる際のトラフィックのルーティングの制御に役立つ貴重な情報を得るために使用されます。

アドバンストサーバーアクセスが5分以上、特定のゲートウェイからステータスを受信しない場合、そのゲートウェイはプールから削除され、接続は他の利用可能なゲートウェイに送信されます。アドバンストサーバーアクセスが5分以上、任意のゲートウェイからステータス報告を受信しない場合、接続は最近報告したゲートウェイに送信されます。アドバンストサーバーアクセスが24時間、任意のゲートウェイからステータス報告を受信しない場合、すべての接続試行は失敗し、追加の構成またはトラブルシューティングが必要になる場合があります。

ゲートウェイの最新の正常性データの詳細は、アドバンストサーバーアクセスのダッシュボードのゲートウェイ詳細情報で確認できます。

一時ゲートウェイバイパスを構成する

どのゲートウェイにもアクセスできないといった予想外の事態が生じた場合、ゲートウェイをバイパスしながら制限された接続や監査された接続を許可するよう、サーバーへのアクセスを構成できます。

  1. 一時的なアクセスを必要とするユーザーのみを含む、一時的なアドバンストサーバーアクセスのグループを作成します。
  2. サーバーが登録されているプロジェクトを特定し、すべてのグループを削除します。
  3. 一時的なグループをプロジェクトに追加します。

新しいグループがサーバーと同期します。このプロセスには数分かかる場合があります。その後で一時的なグループはサーバーにアクセスできるようになります。インシデントが解決すると、手動で元のグループを復元できます。

ゲートウェイをバイパスする接続では、セッションキャプチャはされません。ただしユーザーと接続時間の情報はアドバンストサーバーアクセス監査ログに記録されます。

ゲートウェイのトラブルシューティング

チームは、アドバンストサーバーアクセスのサーバーエージェントをインストールして、ゲートウェイを必要としないプロジェクトにゲートウェイを登録することで、ゲートウェイのトラブルシューティングを行うことができます。サーバーがアクティブかつアクセス可能な場合、関連プロジェクトに属するユーザーは、SSHを使用してゲートウェイに接続することができます。

関連項目

アドバンストサーバーアクセスのゲートウェイをインストールする

プロジェクトを作成する