アドバンストサーバーアクセスのゲートウェイの可用性向上

ゲートウェイはさまざまな方法で高可用性を確保し、従来のSSH要塞よりも高い信頼性を保証します。

ゲートウェイの負荷分散

複数のゲートウェイを利用するプロジェクトでは、クライアントがサーバーに接続すると、アドバンストサーバーアクセスはランダムに選択した1つのゲートウェイにトラフィックをルーティングします。これにより、アドバンストサーバーアクセスは利用可能なゲートウェイ間でリクエストを分散できます。

アドバンストサーバーアクセスは、特定のゲートウェイが利用不可能になっても、そのゲートウェイへのリクエストのルーティングを最大5分間継続する場合があります。この間はすべてのリクエストが失敗します。5分経過すると、アドバンストサーバーアクセスがそのゲートウェイをプールから削除し、利用可能な別のゲートウェイに接続をルーティングし始めます。

リクエストが適切に処理されるようにするには、ロードバランサーの背後にあるWebアプリケーションサーバーの構成手順のような手順でゲートウェイの負荷分散を構成する必要があります。この場合、通常は次のタスクが実行されます:

  • クライアントがロードバランサーに接続できることを確認します(デフォルトではポート7234)。
  • ロードバランサーがゲートウェイに接続できることを確認します(デフォルトではポート7234)。
  • ゲートウェイがターゲットサーバーに接続できることを確認します(デフォルトではポート22)。
  • すべてのゲートウェイが同じAccessAddressを使用するように構成します。これは、ロードバランサーへのアクセスに使用されるドメイン名または静的IPアドレスと一致させる必要があります。

クライアントがゲートウェイに接続してIDを検証する際に、異なるポートは異なるアドレスとして扱われます。複数のゲートウェイのホスト証明書は、同じデフォルトアドレスを共有していれば有効とみなされます。その検出には、Amazon Web Services(AWS)またはGoogle Cloud Platform(GCP)でホスティングされているサーバーのクラウドインスタンスメタデータが使用されます。

ロードバランサーの背後にあるゲートウェイを構成した後で、追加の正常性チェックを行うことをお勧めします。正常でなくなった、またはアクセスできなくなったゲートウェイがあれば、プールから削除してください。

  • ゲートウェイが正しいポートでリッスンしていることを確認します(デフォルトではポート7234)。
  • ログを保管するための十分な容量がゲートウェイにあることを確認します。
  • ゲートウェイのCPUとメモリの使用量が正常であることを確認します。

利用しているプラットフォームで正常性チェックを実行するためのベストプラクティスとツールについては、特定のクラウドプロバイダーまたはロードバランサーのドキュメントを参照してください。

ゲートウェイのステータスチェック

ゲートウェイは自動的に、正常性ステータスを2分おきにアドバンストサーバーアクセスに報告します。このステータスは、ユーザーがサーバーへの接続を試みる際のトラフィックルーティングの制御に役立つ貴重な情報を得るために使用されます。

アドバンストサーバーアクセスが、特定のゲートウェイからステータスを5分以上受信しない場合、そのゲートウェイはプールから削除され、接続は利用可能な別のゲートウェイに送信されます。アドバンストサーバーアクセスが、任意のゲートウェイからステータスレポートを5分以上受信しない場合、接続は最後にレポートされたゲートウェイに送信されます。アドバンストサーバーアクセスが、任意のゲートウェイからステータスレポートを24時間以上受信しない場合、すべての接続試行は失敗し、追加の構成またはトラブルシューティングが必要になる場合があります。

ゲートウェイの最新の正常性データは、アドバンストサーバーアクセスのダッシュボードのゲートウェイ詳細情報で確認できます。

ゲートウェイの一時バイパスを構成する

どのゲートウェイにもアクセスできなくなる予想外の事態が生じたときは、ゲートウェイはバイパスするが、制限された接続や監査された接続は許可するように、サーバーへのアクセスを構成できます。

  1. 一時的なアクセスを必要とするユーザーのみで構成される、アドバンストサーバーアクセスの一時グループを作成します。
  2. サーバーが登録されているプロジェクトを特定し、すべてのグループを削除します。
  3. プロジェクトに一時グループを追加します。

新しいグループがサーバーと同期されます。このプロセスには数分間かかる場合があります。処理が完了すると、一時グループのメンバーはサーバーにアクセスできるようになります。インシデントが解決したら、元のグループを手動で復元する必要があります。

ゲートウェイをバイパスする接続では、セッションキャプチャは実行できません。ただし、ユーザーと接続時刻の情報は、アドバンストサーバーアクセスの監査ログに記録されます。

ゲートウェイのトラブルシューティング

ゲートウェイのトラブルシューティングは、アドバンストサーバーアクセスのサーバーエージェントをインストールし、ゲートウェイを必要としないプロジェクトにゲートウェイを登録することで実行できます。サーバーがアクティブかつアクセス可能であれば、関連プロジェクトに属するユーザーは、SSHを使ってゲートウェイに接続できます。

関連項目