Advanced Server Accessのゲートウェイの可用性向上

ゲートウェイはさまざまな方法で高可用性を確保し、従来のSSH Bastion(要塞)よりも高い信頼性を保証します。

ゲートウェイの負荷分散

複数のゲートウェイを利用するプロジェクトでは、クライアントがサーバーに接続すると、Advanced Server Accessはランダムに選択した1つのゲートウェイにトラフィックをルーティングします。これにより、Advanced Server Accessは利用可能なゲートウェイ間でリクエストを分散できます。

Advanced Server Accessは、特定のゲートウェイが利用不可能になっても、そのゲートウェイへのリクエストのルーティングを最大5分間継続する場合があります。この間はすべてのリクエストが失敗します。5分経過すると、Advanced Server Accessがそのゲートウェイをプールから削除し、利用可能な別のゲートウェイに接続をルーティングし始めます。

リクエストが適切に処理されるようにするには、ロードバランサーの背後にあるWebアプリケーションサーバーの構成手順のような手順でゲートウェイの負荷分散を構成する必要があります。この場合、通常は次のタスクが実行されます:

  • クライアントがロードバランサーに接続できることを確認します(デフォルトではポート7234)。
  • ロードバランサーがゲートウェイに接続できることを確認します(デフォルトではポート7234)。
  • ゲートウェイがターゲットサーバーに接続できることを確認します(デフォルトではポート22)。
  • すべてのゲートウェイが同じAccessAddressを使用するように構成します。これは、ロードバランサーへのアクセスに使用されるドメイン名または静的IPアドレスと一致させる必要があります。

クライアントがゲートウェイに接続してIDを検証する際に、異なるポートは異なるアドレスとして扱われます。複数のゲートウェイのホスト証明書は、同じデフォルトアドレスを共有していれば有効とみなされます。その検出には、Amazon Web Services(AWS)またはGoogle Cloud Platform(GCP)でホスティングされているサーバーのクラウドインスタンスメタデータが使用されます。

ロードバランサーの背後にゲートウェイを構成した後、正常でなくなった、またはアクセスできなくなったゲートウェイをプールから削除するためのその他の正常性チェックを追加することをお勧めします。

  • ゲートウェイが正しいポートでリッスンしていることを確認します(デフォルトではポート7234)。
  • ログを保管するための十分な容量がゲートウェイにあることを確認します。
  • ゲートウェイのCPUとメモリの使用量が正常であることを確認します。

利用しているプラットフォームで正常性チェックを実行するためのベストプラクティスとツールについては、特定のクラウドプロバイダーまたはロードバランサーのドキュメントを参照してください。

ゲートウェイのステータスチェック

ゲートウェイは自動的に、正常性ステータスを2分おきにAdvanced Server Accessに報告します。このステータスは、ユーザーがサーバーへの接続を試みる際のトラフィックルーティングの制御に役立つ貴重なInsightsを得るために使用されます。

Advanced Server Accessが、特定のゲートウェイからステータスを5分以上受信しない場合、そのゲートウェイはプールから削除され、接続は利用可能な別のゲートウェイに送信されます。Advanced Server Accessが、任意のゲートウェイからステータスレポートを5分以上受信しない場合、接続は最後にレポートされたゲートウェイに送信されます。Advanced Server Accessが、24時間以上どのゲートウェイからもステータスレポートを受信しない場合、すべての接続試行は失敗し、追加の構成またはトラブルシューティングが必要になる場合があります。

ゲートウェイの最新の正常性データは、Advanced Server Accessダッシュボードのゲートウェイ詳細情報で確認できます。

ゲートウェイの一時バイパスを構成する

どのゲートウェイにもアクセスできなくなる予想外の事態が生じたときは、ゲートウェイはバイパスするが、制限された接続や監査された接続は許可するように、サーバーへのアクセスを構成できます。

  1. 一時的なアクセスを必要とするユーザーのみで構成される、Advanced Server Accessの一時グループを作成します。
  2. サーバーが登録されているプロジェクトを特定し、すべてのグループを削除します。
  3. プロジェクトに一時グループを追加します。

新しいグループがサーバーと同期されます。このプロセスには数分間かかる場合があります。処理が完了すると、一時グループのメンバーはサーバーにアクセスできるようになります。インシデントが解決したら、元のグループを手動で復元する必要があります。

ゲートウェイをバイパスする接続では、セッションキャプチャは実行できません。ただし、ユーザーと接続時刻の情報は、Advanced Server Accessの監査ログに記録されます。

ゲートウェイのトラブルシューティング

ゲートウェイのトラブルシューティングは、Advanced Server Accessのサーバーエージェントをインストールし、ゲートウェイを必要としないプロジェクトにゲートウェイを登録することで実行できます。サーバーがアクティブかつアクセス可能であれば、関連プロジェクトに属するユーザーは、SSHを使ってゲートウェイに接続できます。

関連項目