DNSの用途

Access Gatewayは、Domain Name Services(DNS)を使用して、アプリケーションリクエストを該当するアプリケーションサーバーに関連づけます。

Access Gatewayは、クライアントとWebサーバーの間で、リバースプロキシとして機能します。Access Gatewayはクライアントからのリクエストを受け付け、そのリクエストをバックエンドWebサーバーに転送します。

Access Gatewayは、パブリックアドレス(外部)とファイアウォールの内側にあるアドレス(内部)を解決します。Access Gatewayは、リバースプロキシとしてのロールの一環として、アプリケーションサーバーとホスト名を共有する場合があります。Access Gatewayは、アプリケーションに対する外部リクエストを受け取ると、そのリクエストを内部アプリケーションサーバーにリバースプロキシを行います。

次のDNSアーキテクチャ図は、以下のものを使用してこれを表します。

  • app-external.mysite.mycompany.com:エンドユーザーがアプリケーションにアクセスする際に使用する名前。DNSはこの名前をAccess Gatewayインスタンスで解決します。この名前は、アプリの内部で使用される名前と同じ名前にすることができます。
  • app-internal:これは、保護済みのWebアプリケーション(たとえば、前述のPeoplesoft内部アプリケーション)を表します。
  • この例では、Access Gatewayと外部アプリケーションが同じIPアドレスで解決されます。
Access GatewayおよびDNSの使用

以下のセクションでは、Access GatewayがどのようにIPアドレスを使用するかについて説明します。

外部DNSエントリ(パブリックDNSエントリまたは顧客向けDNSエントリとも呼ばれます)は、ユーザーがアプリケーションにアクセスするために使用するURLを表します(たとえば、peoplesoft.mysite.company.com)。

外部DNSエントリ:

  • 公開DNSで定義され、誰でも解決可能。
  • Access Gatewayで解決される必要がある。
  • 前述の図にapp-external[.mysite.company.com]として表示されている。
  • Access GatewayのIPアドレス、または必要に応じてロードバランサーへ解決される。
  • Access Gatewayの Public Domain(パブリックドメイン)アプリケーションフィールドによって、アプリケーションで定義されている。

内部DNSエントリはプライベートエントリであり、Access Gatewayによって保護されるバックエンドアプリケーションを表します。

内部DNSエントリ:

  • プライベートDNSで定義され、通常はOrganizationのファイアウォールの内側のみで解決可能。
  • Access Gatewayで解決される必要がある。
  • 前述の図にapp-internal*として表示されている。
  • Access Gateway の保護対象Webリソースアプリケーションフィールドによって、アプリケーションで定義されている。

3番目のクラスのエントリは予約されたDNS名です。これらは、アーキテクチャ図に次のエントリで表されます。

  • /etc/hosts:admin:これは、ローカルホストファイル内のエントリを表します。このエントリは、Access Gatewayの初期設定に必要であり、初期デプロイメントの完了は無視または削除できます。「ホストファイルに管理者エントリを追加する」を参照してください。
  • /etc/hosts:headerはテストおよびデプロイメントで主に使用されるエントリ一式を表します。たとえば、テスト用にサンプルヘッダーアプリケーションを作成するときなど。他の例としてはプロキシ、ポリシーまたはその他のテストエントリが挙げられます。通常、これらのエントリはデプロイメントからテストまたは実稼働に移行した際に無視するか破棄できます。
  • DNS:gw-admin[.mysite.company.com]Access Gateway管理インスタンスの名前を示し、Access GatewayのIPアドレスをポイントします。
  • DNS:gw.[mysite.mycompany.com]も存在し、gw-admin[.mysite.company.com]と同じIPアドレスをポイントしている必要があります。構成リクエストをルートするために管理者GUIサービスで使用されます。

高可用性クラスターでは、node1、node2など、クラスターのメンバーノードに対して追加のDNSエントリが存在することがあります。

Access Gatewayアプリケーションはそれぞれ独立しています。たとえば、管理者ドメインがgw.example.comであっても、ヘッダーアプリのドメインはheader.mycompany.comであることもあります。

アーキテクチャ図には、company.okta.comまたはcompany.oktapreview.comのエントリは含まれていません。これらは、IDプロバイダー(IdP)の構成時にAccess Gatewayで使用されます。

DNSエントリおよびレコードタイプ

DNSがサポートする2つのレコードタイプ、AおよびCNAME:

  • Aレコードはアドレスが既知で安定している場合に名前を1つ以上のIPアドレスにマップします。
  • CNAMEレコードは1件の名前を別の名前にマップします。

通常、Access GatewayはAレコードをgw-admin.[mysite.company.com]などのゲートウェイのアドレスに使用し、CNAMEレコードをすべての外部(app-external*[.mysite.company.com])アドレスのゲートウェイアドレスのポイントに使用します。