インストールおよびアップグレードガイド > Microsoft Azure Marketplace用のTDV > TDV Serverの構成 > TDVセキュリティグループ
 
TDVセキュリティグループ
このセクションでは、TDVセキュリティグループを確認して追加の変更を加える方法について説明します。
セキュリティグループの確認(インバウンド/アウトバウンドトラフィック用のTDVポート)
1.Azureポータルにログインします。
2.[Network(ネットワーク)]の設定に移動します。
3.[NIC network security group(NICネットワークセキュリティグループ)]を[Advanced(高度)]に変更します。
4.[Configure network security group(ネットワークセキュリティグループの構成)]のセクションで[Create New(新規作成)]をクリックします。[Seller Settings(販売者設定)]に基づいて新しいセキュリティグループを作成することをお勧めします。
5.[OK]をクリックします。
:
a. インバウンドポートを変更するにはOSレベルのファイアウォールを変更する必要があります。詳細については、「追加のファイアウォールの変更」を参照してください。
b. デフォルトでは、すべてのアウトバウンドトラフィックが許可されます。制限はありません。
c. LinuxのTDVセキュリティグループでは、Windowsよりも多くのインバウンドポートが開いています。これは、MPPエンジン機能がLinux TDV Serverのインストールでのみ使用できるためです。
追加のポート構成
TDVインスタンスに追加のインバウンドポートまたはアウトバウンドポート(データソースなど)が必要な場合は、TDVセキュリティグループを変更する必要があります。
これを行うための手順については、「セキュリティグループの確認(インバウンド/アウトバウンドトラフィック用のTDVポート)」のセクションを参照してください。
TDV AzureインスタンスでアクセスするAzureインスタンスに存在しないデータソースの場合、次のようにネットワーク接続を確認することをお勧めします。
1.データソースのIPとポートがAzureネットワークからの接続に対して開いていることを確認します。
2.次のコマンドを使用して、TDV Azureインスタンスからの接続をテストします。
openssl s_client -connect <DATA_SOURCE_IP>:<DATA_SOURCE_PORT>
追加のTDVセキュリティ構成
このセクションでは、TDV Serverに安全なクライアント接続のみを提供する必要がある場合に実行できる追加のセキュリティ構成について説明します。
TDVポートの定義を確認するには、「ポート要件」を参照してください。
保護されていないポートの無効化
HTTPポート(つまり、Webサービスポート)を無効にするには、次の手順に従います。
1.TDV Studioを使用してTDV Serverに接続します。「admin」ユーザーとしてログインします。
2.[Administration(管理)]> [Configuration(構成)]を選択します。
3.検索ウィンドウで、[Disable HTTP(HTTPを無効にする)]オプションを検索します。
4.[Disable HTTP (On Server Restart)(HTTPを無効にする(Serverの再起動時))]をクリックします。
5.[True]を選択します。
6. [OK]をクリックします。
7.TDV Serverを再起動します。
8.Azure環境の外部から、ネットワークポートのチェックを実行して、セキュアポートのみが開いていることを確認します。
例:
- openssl s_client -connect <PUBLIC_IP>:9400 #は閉じている必要があります
- openssl s_client -connect <PUBLIC_IP>:9402 #は開いている必要があります
- TDV Studio test -> TDV Serverにポート9400を使用して接続し、[Encrypt(暗号化)]チェックボックスをオンにします。これにより、ポート9402を介したTDV Serverへの安全な接続が可能になります。[Encrypt(暗号化)]チェックボックスを有効にせずに接続すること(つまり、ポート9400)は許可されなくなりました。
9.TDVセキュリティグループを変更して、ポート9400を削除します。
クラスターポートを無効にするには、次の手順に従います。
1.TDVクラスターに含まれていないスタンドアロンのTDVを使用している場合は、セキュリティグループからポート9407を削除できます。
2.TDVセキュリティグループを変更して、ポート9407を削除します。
: Windowsプラットフォームを使用している場合、セキュリティグループポートを変更するには、ファイアウォール設定の追加のOS構成が必要です。詳細については、「追加のファイアウォールの変更」を参照してください。
追加のインバウンドポートセキュリティ
TDVセキュリティグループをさらに保護するには、既知のIPのみに一致するようにソースIPを変更します。
これにより、特定のIPのみがTDVインスタンスにアクセスできるようになります。
そのタイプの変更を行うためにセキュリティグループにアクセスする方法については、「セキュリティグループの確認(インバウンド/アウトバウンドトラフィック用のTDVポート)」を参照してください。
追加のファイアウォールの変更
このセクションは、TDVインスタンスをすでに起動した後でポートを変更する必要がある場合に使用します。セキュリティグループで適切なポートの変更を行った後、以下に示す手順に従ってそれらの変更をアクティブにします。
: 以下の手順を実行する前に、クラウドコンソールでそれぞれのセキュリティグループを確認します。セキュリティグループのインバウンドポートは、基盤となるOSファイアウォールのインバウンドポートルールと常に一致する(つまり、1対1のマッピング)必要があります。
Windows Server 2019
インスタンスへのリモートデスクトップ接続を開き、以下の手順に従います。
1.[Control Panel(コントロールパネル)]を起動します。
2.[System and Security(システムとセキュリティ)]を選択します。
3.[Windows Defender Firewall(Windows Defenderファイアウォール)]を選択します。
4.左側の垂直メニュー領域にある[Advanced settings(詳細設定)]リンクをクリックします。
5.左側の垂直メニュー領域で[Inbound Rules(インバウンドルール)]を選択します。
6.[Name(名前)]列で[TDV Ports(TDVポート)]を選択し、ダブルクリックします。
7.[Protocols and Ports(プロトコルとポート)]タブをクリックします。
8.それに応じて[Local Port(ローカルポート)]領域を変更します。
9.[OK]ボタンをクリックして変更を保存します。
RHEL 7
インスタンスに接続し、以下のコマンドを実行します。
sudo firewall-cmd --zone=public --add-port=<PORT>/tcp --permanent
##repeat the above command for each port you want to add
sudo firewall-cmd --reload
sudo firewall-cmd --zone=public --list-ports