--security-gateway
属性は、SGD アレイで SGD Gateway を使用できるようにするために使用します。この属性は、次のものを定義します。
SGD Gateway にアクセスできる SGD Client を、クライアントの IP アドレスまたは DNS 名に基づいて定義します。
クライアントデバイスが SGD Gateway に接続するために使用するアドレス。
--security-gateway
属性は、AIP 接続でのみ使用されます。HTTP 接続のルーティングは、Gateway の Apache 逆プロキシコンポーネント上の HTTP 負荷分散サービスによって処理されます。
--security-gateway
属性に加えた変更は、アレイ内のすべての SGD サーバーに適用されます。
--security-gateway
属性の構文は次のとおりです。
--security-gateway filter-spec
...
この filter-spec
は、次のタイプのフィルタ仕様で置き換えます。
client-ip-address
|*
:gateway protocol
:gateway-address
:gateway-port
client-ip-address
は、SGD Client の IP アドレスです。SGD Gateway 経由の接続の場合、これは SGD Gateway がアレイ内の SGD サーバーに接続するために使用するインタフェースです。
単一アスタリスク *
は、すべての IP アドレスを表します。
クライアント IP アドレス文字列は *
および ?
のワイルドカードを含むことができ、*
は複数の文字に一致し、?
は単一の文字に一致します。次に例を示します。
192.169.10.*
は、192.169.10
ネットワーク上のすべてのアドレスに一致します。
192.169.10.12?
は、192.169.10.120
から 192.169.10.129
までのアドレス範囲に一致します。
SGD Gateway とともに外部ロードバランサを使用している場合、client-ip-address
にはロードバランサのアドレスを入力します。
gateway protocol
は、SGD Gateway 経由の接続の場合は sgdg
で、SGD Gateway を経由せずに SGD アレイに直接接続する SGD Client の場合は direct
です。
gateway-address
は SGD Gateway または外部ロードバランサ (使用している場合) の外部アドレスです。クライアントデバイスはこのアドレスを使用して SGD Gateway に接続します。
SGD への direct
接続の場合、アレイのプライマリサーバーのアドレスを指定します。
gateway-port
は、クライアントデバイスが SGD Gateway または外部ロードバランサ (使用している場合) に接続するために使用する TCP ポートです。
SGD への direct
接続の場合、アレイのプライマリサーバーのポートを指定します。
複数の filter-spec
エントリはコンマで区切り、文字列全体を二重引用符 ("
"
) で囲みます。B.31項「
複数のフィルタの使用
」を参照してください。
次の例では、すべての SGD Client が SGD Gateway gateway1.example.com
の TCP ポート 443 を使用して接続できるようにします。
$ tarantella config edit --security-gateway "*:sgdg:gateway1.example.com:443"
次の例では、すべての SGD Client が外部ロードバランサ lb.example.com
を使用して接続できるようにします。
$ tarantella config edit --security-gateway "*:sgdg:lb.example.com:443"
次の例では、すべての SGD Client が SGD Gateway を経由せずに SGD アレイに直接接続できるようにします。アレイのプライマリサーバーは sgd1.example.com
です。
$ tarantella config edit --security-gateway "*:direct:sgd1.example.com:443"
次に例に示すように、複数のフィルタ仕様を使用できます。
図B.1「複数のフィルタ仕様の使用」 に示す基本的な配備について考えましょう。この配備では、単一の SGD Gateway gateway1.example.com
と、2 つの SGD サーバー sgd1.example.com
および sgd2.example.com
を含む SGD アレイが使用されます。アレイのプライマリサーバーは sgd1.example.com
です。
内部ネットワーク上の SGD Gateway のアドレスは 192.168.0.250
です。
この例には、次のようなフィルタ仕様を使用できます。
"192.168.0.250:sgdg:gateway1.example.com:443,*:direct:sgd1.example.com:80"
この構成により、次の内容が適用されます。
アレイ内の SGD サーバーへの接続は、SGD Gateway の IP アドレス 192.168.0.250
から許可されます。組織外部の SGD Client は、SGD Gateway gateway1.example.com
の TCP ポート 443 を使用して接続します。
ローカルエリアネットワーク (LAN) 上にあるものなど、その他すべての SGD Client は、プライマリ SGD サーバー sgd1.example.com
の TCP ポート 80 に直接接続します。これらの接続では SGD Gateway は使用されません。
フィルタの順番は重要です。フィルタの順番を逆にすると、すべての SGD Client が SGD サーバー sgd1.example.com
に直接接続するようになります。