メインコンテンツまでスキップ

サードパーティのレイヤ 7 ロードバランサと連携するように StorageGRID を設定する方法

Views:
59
Visibility:
Public
Votes:
0
Category:
storagegrid
Specialty:
sgrid
Last Updated:

環境

  • StorageGRIDアプライアンス
  • StorageGrid 11.4

概要

  • この記事は、 NGINX や HAProxy などの外部レイヤ 7 ロードバランサと、 IP ベースの S3 バケットまたはグループポリシーを使用する場合の StorageGRID 11.4.0 以降に該当します。

: IP アドレスの制限事項のみを使用することは、 StorageGRID の本番環境では推奨されません。IP ベースのバケットまたはグループポリシーを使用する場合は、匿名アクセスの代わりに S3 アクセスキー制御も使用する必要があります。

  • S3 のバケットまたはグループポリシー aws:SourceIp${aws:SourceIp}では、ポリシー条件キーとポリシー変数が S3 要求の送信元の IP アドレスと比較されます。
  • 外部(サードパーティ)のレイヤ 7 ロードバランサを使用して要求をストレージノードにルーティングする場合、 StorageGRID は送信者の実際の IP アドレスを確認する必要があります。これは、ロードバランサによって要求に挿入される X-Forwarded-For ( XFF )ヘッダーを確認することで行われます。
  • X-Forwarded-For ヘッダーは、ストレージノードに直接送信される要求のスプーフィングを簡単に行うことができるため、 StorageGRID では、各要求が信頼できるレイヤ 7 ロードバランサによってルーティングされるようにする必要があります。StorageGRID が要求のソースを信頼できない場合、 X-Forwarded-For ヘッダーは無視されます。
  • StorageGRID 11.4 では、信頼できる外部レイヤ 7 ロードバランサのリストを設定できるように、新しいグリッド管理 API が追加されました。この新しい API はプライベートであり、 StorageGRID の今後のリリースで変更される可能性があります。