ブローカー設定の例
以下の例は、ブローカーおよびゲートウェイの設定を説明したものです。
イントラネット、DMZ ネットワーク、およびインターネット側のネットワークの 3 つのネットワークがあります。イントラネットとインターネットの間にあるファイアウォールはアウトバウンド接続を許可しますが、すべてのインバウンド接続をブロックします。また、DMZ からイントラネット、あるいはインターネット側のネットワークから DMZ に向かって開始される接続を許可しないというセキュリティー・ポリシーが有効になっています。
インターネット側のネットワーク内のホストにはパブリック IP アドレスがありません。インターネット・ゲートウェイは、特定の公開サービス用に必要なポートに限り、DNAT を使用して内部 IP アドレスをパブリック IP アドレスにマップします。この例では、公開サービスはブローカーです。
ブローカーはサーバーへの接続が必要ですが、インターネット側のネットワークからサーバーへの直接接続は許可されません。ブローカーがサーバーに接続できるようにするために、ゲートウェイのチェーンが適用されます。
以下の表に、サンプル環境に存在するコンポーネントおよび設定の詳細情報を示します。
| ネットワーク名 | サーバー | ブローカー | ゲートウェイ | コントローラー | ターゲット |
|---|---|---|---|---|---|
| イントラネット | あり | いいえ | あり | あり | あり |
| DMZ | なし | なし | あり | いいえ | なし |
| インターネット側 | なし | あり | あり | いいえ | なし |
| インターネット | なし | なし | なし | なし | あり |
| ネットワーク名 | サブネット アドレス | サブネット・マスク |
|---|---|---|
| イントラネット | 10.1.0.0 | 255.255.255.0 |
| DMZ | 10.2.0.0 | 255.255.255.0 |
| インターネット側 | 10.3.0.0 | 255.255.255.0 |
| ホスト名 | IP アドレス | 役割 |
|---|---|---|
| SERVER.example.com | 10.1.0.2 | ポート 443 の TRC サーバー |
| BROKER1.example.com | 10.3.0.10 | ポート 8887 の TRC ブローカー |
| BROKER2.example.com | 10.3.0.11 | ポート 8887 の TRC ブローカー |
| GATEWAY1.example.com | 10.1.0.254 | TRC ゲートウェイ |
| GATEWAY2.example.com | 10.2.0.254 | ポート 8881 の TRC ゲートウェイ |
| GATEWAY3.example.com | 10.3.0.254 | ポート 8881 の TRC ゲートウェイ、ポート 8880 のインバウンド・トンネル |
| CONTROLLER1.example.com | 10.1.0.0/24 の動的 IP | TRC コントローラー |
| TARGET1.example.com | 別のネットワークの動的 IP | モバイル・システム上の TRC ターゲット |
| ソース | 宛先 | ポート | 説明 |
|---|---|---|---|
| 10.1.0.254/255.255.255.255 | 10.2.0.254/255.255.255.0 | 8881 | GATEWAY1 から GATEWAY2 への接続を許可 |
| 10.2.0.254/255.255.255.255 | 10.3.0.254/255.255.255.0 | 8881 | GATEWAY2 から GATEWAY3 への接続を許可 |
| パブリック DNS 名 | パブリック IP | プライベート IP | ポート |
|---|---|---|---|
| BROKER1.example.com | 203.0.113.23 | 10.3.0.10 | 8887 |
| BROKER2.example.com | 203.0.113.24 | 10.3.0.11 | 8887 |
ブローカー構成
各ブローカーは次の情報で構成されます
- 接続するエンドポイントについてのインバウンド接続
- ゲートウェイ経由でのサーバーへの接続
ブローカー 1 は、ブローカー 2 からの制御接続用の追加のインバウンド接続で構成されています。ブローカー 2 は、ブローカー 1 への制御接続で構成されています。
以下のセクションでは、関連する各コンポーネントについて、ブローカー・プロパティー・ファイルおよびゲートウェイ・プロパティー・ファイル内で設定される情報の例を提供します。
BROKER1.example.com
PublicBrokerURL = BROKER1.example.com:8887
ServerURL = https://SERVER.example.com/trc/
ProxyURL = trcgw://GATEWAY3.example.com:8880
DefaultTLSCertificateFile = BROKER1.p12
DefaultTLSCertificatePassphrase = ************************
Inbound1.ConnectionType = Inbound
Inbound1.PortToListen = 8887
Broker2.ConnectionType = Broker
Broker2.DestinationAddress = BROKER2.example.com
Broker2.DestinationPort = 8881
BROKER2.example.com
PublicBrokerURL = BROKER2.example.com:8887
ServerURL = https://SERVER.example.com/trc/
ProxyURL = trcgw://GATEWAY3.example.com:8880
DefaultTLSCertificateFile = BROKER2.p12
DefaultTLSCertificatePassphrase = ************************
Inbound1.ConnectionType = Inbound
Inbound1.PortToListen = 8887
Inbound2.ConnectionType = Inbound
Inbound2.PortToListen = 8881
Inbound2.AllowEndpoints = no
Inbound2.AllowBrokers = BROKER1.example.com
ゲートウェイ構成
GATEWAY1
ゲートウェイ 1 は、ゲートウェイ 2 へのコントロール接続と、サーバーへのアウトバウンド・トンネル接続を使用して構成されます。
Gateway2.ConnectionType = Gateway
Gateway2.DestinationAddress = 10.2.0.254
Gateway2.DestinationPort = 8881
Server.ConnectionType = OutboundTunnel
Server.DestinationAddress = 10.1.0.2
Server.DestinationPort = 443
GATEWAY2
ゲートウェイ 2 は、インバウンド接続と、ゲートウェイ 3 へのコントロール接続を使用して構成されます。
Inbound.ConnectionType = Inbound
Inbound.PortToListen = 8881
Gateway3.ConnectionType = Gateway
Gateway3.DestinationAddress = 10.3.0.254
Gateway3.DestinationPort = 8881
GATEWAY3
ゲートウェイ 3 は、インバウンド接続と、インバウンド・トンネル接続を使用して構成されます。
Inbound.ConnectionType = Inbound
Inbound.PortToListen = 8881
Server.ConnectionType = InboundTunnel
Server.PortToListen = 8880