メインコンテンツまでスキップ
NetApp Response to Russia-Ukraine Cyber Threat
In response to the recent rise in cyber threat due to the Russian-Ukraine crisis, NetApp is actively monitoring the global security intelligence and updating our cybersecurity measures. We follow U.S. Federal Government guidance and remain on high alert. Customers are encouraged to monitor the Cybersecurity and Infrastructure Security (CISA) website for new information as it develops and remain on high alert.

サードパーティのレイヤ 7 ロードバランサと連携するように StorageGRID を設定する方法

Views:
62
Visibility:
Public
Votes:
0
Category:
storagegrid
Specialty:
sgrid
Last Updated:

環境

  • StorageGRIDアプライアンス
  • StorageGrid 11.4

概要

  • この記事は、 NGINX や HAProxy などの外部レイヤ 7 ロードバランサと、 IP ベースの S3 バケットまたはグループポリシーを使用する場合の StorageGRID 11.4.0 以降に該当します。

: IP アドレスの制限事項のみを使用することは、 StorageGRID の本番環境では推奨されません。IP ベースのバケットまたはグループポリシーを使用する場合は、匿名アクセスの代わりに S3 アクセスキー制御も使用する必要があります。

  • S3 のバケットまたはグループポリシー aws:SourceIp${aws:SourceIp}では、ポリシー条件キーとポリシー変数が S3 要求の送信元の IP アドレスと比較されます。
  • 外部(サードパーティ)のレイヤ 7 ロードバランサを使用して要求をストレージノードにルーティングする場合、 StorageGRID は送信者の実際の IP アドレスを確認する必要があります。これは、ロードバランサによって要求に挿入される X-Forwarded-For ( XFF )ヘッダーを確認することで行われます。
  • X-Forwarded-For ヘッダーは、ストレージノードに直接送信される要求のスプーフィングを簡単に行うことができるため、 StorageGRID では、各要求が信頼できるレイヤ 7 ロードバランサによってルーティングされるようにする必要があります。StorageGRID が要求のソースを信頼できない場合、 X-Forwarded-For ヘッダーは無視されます。
  • StorageGRID 11.4 では、信頼できる外部レイヤ 7 ロードバランサのリストを設定できるように、新しいグリッド管理 API が追加されました。この新しい API はプライベートであり、 StorageGRID の今後のリリースで変更される可能性があります。

 

 

Scan to view the article on your device