Access Gatewayの構成要素について

Access Gatewayは多くのアーキテクチャの構成要素と層で構成されています。
下の図に、架空のAccess Gatewayアーキテクチャの詳細と使用されるポートとプロトコルの概要を示します。

最上位層

最上位層には従来のインターネットアクセスが含まれ、通常はロードバランサーを使用して公開されています。ユーザーはアプリケーション固有のURLを使用してロードバランサーにアクセスします。これらのURLは、ユーザーを高可用性クラスターのAccess Gatewayワーカーノードにリダイレクトします。

中間層

中間層にはAccess Gatewayクラスターが含まれ、Amazon EC2、Microsoft Azure、VMWare などの仮想環境内で実行されています。

Access Gatewayクラスターは以下で構成されています:

メモ

メモ

以下は高可用性のAccess Gatewayクラスターで最小限推奨される構成です。

  • 外部インターネットとAccess Gatewayクラスターから参照可能なロードバランサー。
  • すべてのアプリケーション定義を管理し、データストアやその他の構成などのインフラストラクチャをサポートする管理者ノード。
  • すべてのアプリケーションリクエストを管理し、認証時にOktaテナントと通信し、詳細なアクセス制御やその他の動作を提供する3つ以上のワーカーノード。Access Gatewayは2つ以下のワーカーノードでも機能しますが、高可用性のためには3つ以上のクラスターサイズ(および1つの管理者ノード)を推奨します。

Access Gatewayクラスターは通常はファイアウォール内にあり、Oktaテナント、ロードバランサー、サポート対象サービス、基になる保護対象Webアプリケーションリソースのみアクセス可能です。

さらに、Access Gatewayは以下のような明確に定義された特定のサイトにアクセス可能でなければなりません:

  • www.okta.com - 最初の構成およびネットワークテストに使用。
  • yum.oag.okta.com - Access Gatewayのアップグレードに使用。
  • vpn.oag.okta.com - サポートおよびトラブルシューティングに使用。
  • DNS、Kerberos、Syslogアクセスなどに必要な他のポート。

管理者はポート22経由でセキュアShell(SSH)を使用してAccess Gateway Managementコンソールについてにアクセス可能であり、ポート443経由でHTTPSを使用してAdmin コンソールにアクセス可能でなければなりません。通常、これらのツールはファイアウォール内で管理者専用として使用されます。ファイアウォールの外にポート22を開かないよう注意してください。

(missing or bad snippet)

アプリケーション層

アーキテクチャの最下層は通常はクライアントデータセンター内で実行している保護対象アプリケーションを表します。これらのアプリケーションはAccess Gatewayにアクセス可能である必要がありますが、外部からは アクセス可能にしてはなりません。アプリケーションの隔離は、通常は分割DNSメカニズムを使用して行われます。そこでは保護対象アプリケーション、データベース、その他必要なサポートなどの内部リソースはAccess Gatewayと必要なデータセンターリソースのみに表示されます。さらに、ファイアウォールは通常はAccess Gatewayをアプリケーション層のロードバランサーから隔離します。

Access Gatewayは追加のネットワークインターフェイスの使用をサポートします。これは様々な面を持つデータセンターからAccess Gatewayへのトラフィックを分離するために使用されます。

関連項目