アドバンストサーバーアクセスのゲートウェイの可用性向上
ゲートウェイはさまざまな方法で高可用性を確保し、従来のSSH要塞よりも高い信頼性を保証します。
ゲートウェイの負荷分散
複数のゲートウェイを利用するプロジェクトでは、クライアントがサーバーに接続すると、アドバンストサーバーアクセスはランダムに選択した1つのゲートウェイにトラフィックをルーティングします。これにより、アドバンストサーバーアクセスは利用可能なゲートウェイ間でリクエストを分散できます。
アドバンストサーバーアクセスは、特定のゲートウェイが利用不可能になっても、そのゲートウェイへのリクエストのルーティングを最大5分間継続する場合があります。この間はすべてのリクエストが失敗します。5分経過すると、アドバンストサーバーアクセスがそのゲートウェイをプールから削除し、利用可能な別のゲートウェイに接続をルーティングし始めます。
リクエストが適切に処理されるようにするには、ロードバランサーの背後にあるWebアプリケーションサーバーの構成手順のような手順でゲートウェイの負荷分散を構成する必要があります。この場合、通常は次のタスクが実行されます:
- クライアントがロードバランサーに接続できることを確認します(デフォルトではポート7234)。
- ロードバランサーがゲートウェイに接続できることを確認します(デフォルトではポート7234)。
- ゲートウェイがターゲットサーバーに接続できることを確認します(デフォルトではポート22)。
- すべてのゲートウェイが同じAccessAddressを使用するように構成します。これは、ロードバランサーへのアクセスに使用されるドメイン名または静的IPアドレスと一致させる必要があります。
クライアントがゲートウェイに接続してIDを検証する際に、異なるポートは異なるアドレスとして扱われます。複数のゲートウェイのホスト証明書は、同じデフォルトアドレスを共有していれば有効とみなされます。その検出には、Amazon Web Services(AWS)またはGoogle Cloud Platform(GCP)でホスティングされているサーバーのクラウドインスタンスメタデータが使用されます。
ロードバランサーの背後にあるゲートウェイを構成した後で、追加の正常性チェックを行うことをお勧めします。正常でなくなった、またはアクセスできなくなったゲートウェイがあれば、プールから削除してください。
- ゲートウェイが正しいポートでリッスンしていることを確認します(デフォルトではポート7234)。
- ログを保管するための十分な容量がゲートウェイにあることを確認します。
- ゲートウェイのCPUとメモリの使用量が正常であることを確認します。
利用しているプラットフォームで正常性チェックを実行するためのベストプラクティスとツールについては、特定のクラウドプロバイダーまたはロードバランサーのドキュメントを参照してください。
ゲートウェイのステータスチェック
ゲートウェイは自動的に、正常性ステータスを2分おきにアドバンストサーバーアクセスに報告します。このステータスは、ユーザーがサーバーへの接続を試みる際のトラフィックルーティングの制御に役立つ貴重な情報を得るために使用されます。
アドバンストサーバーアクセスが、特定のゲートウェイからステータスを5分以上受信しない場合、そのゲートウェイはプールから削除され、接続は利用可能な別のゲートウェイに送信されます。アドバンストサーバーアクセスが、任意のゲートウェイからステータスレポートを5分以上受信しない場合、接続は最後にレポートされたゲートウェイに送信されます。アドバンストサーバーアクセスが、任意のゲートウェイからステータスレポートを24時間以上受信しない場合、すべての接続試行は失敗し、追加の構成またはトラブルシューティングが必要になる場合があります。
ゲートウェイの最新の正常性データは、アドバンストサーバーアクセスのダッシュボードのゲートウェイ詳細情報で確認できます。
ゲートウェイの一時バイパスを構成する
どのゲートウェイにもアクセスできなくなる予想外の事態が生じたときは、ゲートウェイはバイパスするが、制限された接続や監査された接続は許可するように、サーバーへのアクセスを構成できます。
- 一時的なアクセスを必要とするユーザーのみで構成される、アドバンストサーバーアクセスの一時グループを作成します。
- サーバーが登録されているプロジェクトを特定し、すべてのグループを削除します。
- プロジェクトに一時グループを追加します。
新しいグループがサーバーと同期されます。このプロセスには数分間かかる場合があります。処理が完了すると、一時グループのメンバーはサーバーにアクセスできるようになります。インシデントが解決したら、元のグループを手動で復元する必要があります。
ゲートウェイをバイパスする接続では、セッションキャプチャは実行できません。ただし、ユーザーと接続時刻の情報は、アドバンストサーバーアクセスの監査ログに記録されます。
ゲートウェイのトラブルシューティング
ゲートウェイのトラブルシューティングは、アドバンストサーバーアクセスのサーバーエージェントをインストールし、ゲートウェイを必要としないプロジェクトにゲートウェイを登録することで実行できます。サーバーがアクティブかつアクセス可能であれば、関連プロジェクトに属するユーザーは、SSHを使ってゲートウェイに接続できます。