アーキテクチャ例

Access Gatewayソリューションは、顧客のインフラストラクチャ内で実装され、クラウド、オンプレミス、またはハイブリッドソリューション内で展開することができます。オープン仮想アプライアンスとしてOktaから提供されています。

アーキテクチャ例

アーキテクチャ例

高可用性

ロードバランサーを使用することで高可用性を実現できます。Oktaは、ロードバランサーのAccess Gatewayレプリケーション構成では、送信元IPアドレスとポートまたはクッキーのハッシュを使用して、DNATとセッショパーシステンスを使用することを推奨します。Access Gatewayがロードバランサーを使用する方法については、「ロードバランサー」を参照してください。

さらにロードバランサーは、ICMPまたはHTTPキープアライブを有効にしたHTTPSを使用して、ヘルスチェックの間隔を超える期間、ヘルスチェックを実行する必要があります。

Access Gatewayは、同じ構成を持つゲートウェイのインスタンスを意味するものとして、「ノード」という語句を使用します。これらのノードは、通常、互いにフォールバックとして機能します。

所定のインフラストラクチャ内のAccess Gatewayインスタンスのグループは、「クラスター」と呼ばれます。Access Gatewayインスタンスがその構成を適切にレプリケーションするためには、クラスター内のすべてのインスタンスが互いに通信できなければなりません。Access Gatewayクラスターメンバーは、最初はポート443を介してHTTPSを使用し、ポート22を介してSSHを使用して通信します。

Access Gatewayデプロイメントの前提条件」の「ファイアウォールとアクセス要件」を参照してください。

その他の詳細や、負荷分散と高可用性の技術に関する情報が必要な場合は、Oktaサポートまでお問い合わせください。

障害回復

広域負荷分散(GSLB)をレバレッジしたり、パブリックIPアドレスとプライベートIPアドレスの割り当てを変更したりすることで、障害回復(DR)を実現することができます。

保護済みのアプリケーションは、障害回復ソリューションの一部として使用可能でなければならず、Access Gatewayは、保護済みの障害回復アプリケーションにアクセスできなければなりません。

外部アクセス

すべての外部(インターネットベース)エンドユーザーは、プライマリの本番環境および障害回復ソリューションに対するアクセスが必要です。Oktaは、DNATをレバレッジして、Access Gatewayでユーザーの正しいオリジンに関する正確な監査ログを提供する機能を向上させることを推奨します。

Admin Consoleに関する考慮事項

Access Gateway 管理者 UI コンソールのホスト名は、パブリックDNSを使用して解決可能できないようにする必要があります。このホスト名は、分割DNSなどの内部DNSによってのみ解決できるようにしてください。