サードパーティのレイヤ7ロードバランサのIPベースで動作するようにStorageGRID を設定する方法
環境
- StorageGRIDアプライアンス
- StorageGRID 11.4以降
- IP ベース
説明
- This article環境 StorageGRID 11.4.0 or later NGINXやHAProxyなどの1つ以上の外部レイヤ7ロードバランサと、 IPベースのS3バケットまたはグループポリシーを使用している場合、 StorageGRIDは実際の送信者のIPアドレスを特定する必要があります。
S3バケットまたはグループポリシーでは、ポリシー条件キー aws:SourceIp
とポリシー変数 ${aws:SourceIp}
がS3要求の送信者のIPアドレスと比較されます。
- 外部(サードパーティ)のレイヤ7ロードバランサを使用して要求をストレージノードにルーティングする場合、StorageGRIDは実際の送信者のIPアドレスを特定する必要があります。これは 、ロードバランサによって要求に挿入されるX-Forwarded-For(XFF)ヘッダーを調べることによって行われます。
- X-Forwarded-For ヘッダーは、ストレージノードに直接送信される要求で簡単にスプーフィングされるため、StorageGRIDでは、各要求が 信頼できる レイヤ7ロードバランサによってルーティングされるようにする必要があります。StorageGRIDが要求の送信元を信頼できない場合、 X-Forwarded-For ヘッダーは無視されます。
- StorageGRID 11.4以降では、信頼できる外部レイヤ7ロードバランサのリストを設定できるように、新しいグリッド管理APIが追加されました。この新しいAPIはプライベートAPIであり、今後のStorageGRIDリリースで変更される可能性があります。