Access GatewayのDNSの使用について

Access Gatewayを正しくデプロイするためには、それがDomain Name Services(DNS)をどのように使用しているかを理解する必要があります。

Access Gatewayはリバースプロキシとして機能します。 一般的にリバースプロキシはWebサーバーの前面に存在するサーバーであり、クライアントからのリクエストを受信し、それらのリクエストをバックエンドWebサーバーに転送します。その後、Access Gatewayは一般で利用可能な(外部)アドレスとカスタマーファイアウォールの内側の(内部)アドレスの両方を解決できる必要があります。Access Gatewayがリバースプロキシとして機能する結果、ホスト名をアプリケーション サーバーと共有できます。例えば、peoplesoft.example.comは、PeoplesoftデプロイメントチームがAccess Gateway内部で使用するものであると同時にAccess Gatewayのパブリックドメインとなるべきものでもあります。次に、ゲートウェイはリクエストを実際のPeoplesoftアプリケーションにリバースプロキシします。

この例は、DNSアーキテクチャ図で以下のように示されます:

  • app-external.mysite.mycompany.com - エンドユーザーがそのアプリケーションにアクセスする際に使用する名前。 この名前のDNSはAccess Gatewayインスタンスで解決されます。内部で使用する名前と同じにすることもできますが、必須ではありません。
  • app-internal - 実際の保護対象Webアプリケーション、実際のPeoplesoftアプリケーションを表します。

この例では、Access Gatewayと外部アプリケーションが同じIPアドレスに解決されます。

Access GatewayとDNSの使用。

Access GatewayがIPアドレスを使用する方法を詳しく見てみましょう。

外部またはパブリック/顧客向けDNSエントリは、顧客がアプリケーションにアクセスするために入力するURLを表します。
前述したように、例としてはpeoplesoft.mysite.company.comが挙げられます。
外部DNSエントリは:

  • 公開DNSで定義され、どれもが解決可能です。
  • Access Gatewayで解決が可能になっている必要があります。
  • 図にapp-external[.mysite.company.com]として表示されています。
  • Access GatewayのIP アドレス、または必要に応じてロードバランサーへ解決されます。
  • Access Gatewayのパブリックドメインアプリケーションフィールドによって、アプリケーションで定義されています。

内部DNSはプライベートエントリであり、Access Gatewayで保護されるバックエンドアプリケーションを表します。
例としてpeoplesoft.protected.comが挙げられます。

  • プライベートDNSで定義され、通常は組織のファイアウォールの内側のみで解決可能です。
  • Access Gatewayで解決が可能になっている必要があります。
  • 図でapp-internal*として表示されています。
  • Access Gatewayの[Protected Web Resource(保護対象Webリソース)]アプリケーションフィールドによって、アプリケーションで定義されています。

エントリの第3クラスは予約済みのDNS名であり、/etc/hostsDNS:gw-admin[.mysite.company.com] およびDNS.gw.[mysite.company.com]で表されます。

  • /etc/hosts:adminはローカルホストファイル(*nixバリアントの/etc/hosts)およびWindows下のc:\Windows\System32\drivers\etc\hosts)のエントリを表します。
    このエントリはAccess Gatewayの最初の構成の際に必要であり、初期デプロイメントが完了したら無視するか削除できます。
  • /etc/hosts:headerはテストおよびデプロイメントで主に使用されるエントリのセットを表します。 例えば、テスト用にサンプルヘッダーアプリケーションを作成するときなどがそれにあたります。
    他の例としてはプロキシ、ポリシーまたはその他のテストエントリが挙げられます。通常、これらのエントリはデプロイメントからテストまたは実稼働に移行した際に無視するか破棄できます。
  • gw-admin[.mysite.company.com]はAccess Gateway管理インスタンスの名前を示し、Access Gateway自体のIPアドレスをポイントします。
  • gw.[mysite.mycompany.com]もまた存在し、gw-admin[.mysite.company.com]と同じIPアドレスをポイントしている必要があります。
    構成リクエストをルートするために管理者GUIサービスで使用されます。

    高可用性クラスターでは、node1node2など、必要に応じてクラスターのメンバーノードに対して他のDNSエントリが存在することがあります。

重要事項

重要

Access Gatewayアプリケーションはそれぞれ独立しています。
管理者ドメインがgw.example.comであっても、ヘッダーアプリは確実にheader.mycompany.comである可能性もあります。

予想されるcompany.okta.comまたはcompany.oktapreview.comのエントリは表示されていません。これらのエントリは、IDPを構成する際にAccess Gatewayに使用されますが厳密にはAccess Gateway DNSの一部です。

DNSエントリおよびレコードタイプ

DNSがサポートする2つのレコードタイプ:

  • AレコードはIPが既知で安定している場合に名前を1つ以上のIPアドレスにマップします。
  • CNAMEレコードは名前を別の名前にマップします。

通常、Access GatewayはAレコードをgw-admin.[mysite.company.com]などのゲートウェイのアドレスに使用し、CNAMEレコードをすべての外部アドレス(app-external*[.mysite.company.com])のゲートウェイアドレスのポイントに使用します。