Okta Privileged Accessゲートウェイの高可用性

ゲートウェイはさまざまな方法で高可用性を確保し、従来のSSH Bastion(要塞)よりも高い信頼性を保証します。

ゲートウェイの負荷分散

複数のゲートウェイを利用するプロジェクトでは、クライアントがサーバーに接続すると、Okta Privileged Accessはランダムに選択した1つのゲートウェイにトラフィックをルーティングします。これにより、Okta Privileged Accessは利用可能なゲートウェイ間でリクエストを分散できます。

Okta Privileged Accessは、特定のゲートウェイが利用不可能になっても、そのゲートウェイへのリクエストのルーティングを最大5分間継続する場合があります。この間はすべてのリクエストが失敗します。5分経過すると、Okta Privileged Accessはそのゲートウェイをプールから削除し、利用可能な別のゲートウェイに接続をルーティングし始めます。

リクエストが適切に処理されるようにするには、ロードバランサーの背後にあるWebアプリケーションサーバーの構成手順のような手順でゲートウェイの負荷分散を構成する必要があります。この場合、通常は次のタスクが実行されます:

  • クライアントがロードバランサーに接続できることを確認します(デフォルトではポート7234)。
  • ロードバランサーがゲートウェイに接続できることを確認します(デフォルトではポート7234)。
  • ゲートウェイがターゲットサーバーに接続できることを確認します(デフォルトではポート22)。
  • すべてのゲートウェイが同じAccessAddressを使用するように構成します。これは、ロードバランサーへのアクセスに使用されるドメイン名または静的IPアドレスと一致させる必要があります。

クライアントがゲートウェイに接続してIDを検証する際に、異なるポートは異なるアドレスとして扱われます。複数のゲートウェイのホスト証明書は、デフォルトアドレスを共有していれば有効とみなされます。これは、Amazon Web ServicesまたはGoogle Cloud Provider上でホスティングされているサーバーのクラウドインスタンスメタデータを使用して検出されます。

ロードバランサーの背後にゲートウェイを構成した後、正常でなくなった、またはアクセスできなくなったゲートウェイをプールから削除するためのその他の正常性チェックを追加することをお勧めします。

  • ゲートウェイが正しいポートでリッスンしていることを確認します(デフォルトではポート7234)。
  • ログを保管するための十分な容量がゲートウェイにあることを確認します。
  • ゲートウェイのCPUとメモリの使用量が正常であることを確認します。

お使いのプラットフォームとツールに対する正常性チェックの実装については、ご利用のクラウドプロバイダーまたはロードバランサーのドキュメントを参照してください。

ゲートウェイのステータスチェック

ゲートウェイは、2分おきにOkta Privileged Accessに正常性ステータスを自動的に報告します。このステータスは、ユーザーがサーバーへの接続を試みる際のトラフィックルーティングの制御に役立つ貴重なインサイトを得るために使用されます。

Okta Privileged Accessが、特定のゲートウェイからステータスを5分以上受信しない場合、そのゲートウェイはプールから削除され、接続は利用可能な別のゲートウェイに送信されます。Okta Privileged Accessが、任意のゲートウェイからステータスレポートを5分以上受信しない場合、接続は最後にレポートされたゲートウェイに送信されます。Okta Privileged Accessが、24時間以上どのゲートウェイからもステータスレポートを受信しない場合、すべての接続試行は失敗し、追加の構成またはトラブルシューティングが必要になる場合があります。

ゲートウェイの最新の正常性データは、Okta Privileged Accessダッシュボードのゲートウェイ詳細情報で確認できます。

ゲートウェイの一時バイパスを構成する

どのゲートウェイにもアクセスできなくなる予想外の事態が生じたときは、ゲートウェイはバイパスするが、制限された接続や監査された接続は許可するように、サーバーへのアクセスを構成できます。

  1. 一時的なアクセスを必要とするユーザーのみで構成される、一時的なOkta Privileged Accessグループを作成します。
  2. サーバーが登録されているプロジェクトを特定し、すべてのグループを削除します。
  3. プロジェクトに一時グループを追加します。

新しいグループがサーバーと同期されます。このプロセスには数分間かかる場合があります。処理が完了すると、一時グループのメンバーはサーバーにアクセスできるようになります。インシデントが解決したら、元のグループを手動で復元する必要があります。

ゲートウェイをバイパスする接続では、セッションキャプチャは実行できません。ただし、ユーザーと接続時刻の情報は、Okta Privileged Accessの監査ログに記録されます。

ゲートウェイのトラブルシューティング

ゲートウェイのトラブルシューティングは、Okta Privileged Accessサーバーエージェントをインストールし、ゲートウェイを必要としないプロジェクトにゲートウェイを登録することで実行できます。サーバーがアクティブかつアクセス可能であれば、関連プロジェクトに属するユーザーは、SSHを使ってゲートウェイに接続できます。

関連項目

Okta Privileged Accessゲートウェイをインストールする

プロジェクト