ONTAP Tools 10：安全なTLS暗号スイートとファイアウォールルールの設定方法

最後の更新
PDFとして保存

Views:: 2

Visibility:: Public

Votes:: 0

Category:: virtual-storage-console-for-vmware-vsphere

Specialty:: virt

Last Updated:

環境

ONTAP Tools for VMware vSphere（OTV）10.x

概要

注記：スクリプトがあり、手順書に記載されている手順を実行できます。

このナレッジベース記事では、次の方法で OTV 10.x のセキュリティを強化する方法について説明します：

永続的なホストファイアウォールルールを使用して、機密性の高い Kubernetes/etcd ポートへのアクセスを制限する
Kubernetes API サーバー、kubelet、etcd 向けに推奨される TLS 暗号スイートを設定する

対象となるポートは以下のとおりです：

6443/TCP - Kubernetes APIサーバー
9345/TCP - RKE2スーパーバイザー／ノード登録
10250/TCP - kubelet API
2379/TCP - etcdクライアント
2380/TCP - etcdピア

適用可能な OTV ネットワークアドレス

展開およびルーティングによっては、これらのポートにアクセスできる場合があります：

OTV / ONTAP ツールIPアドレス（ゲートウェイUI IP）
ノード相互接続IPアドレス（HA / 内部）
汎用VM/ノードIPアドレス

注記：ルールとTLSを検証する際は、ご自身の環境に適したIPアドレスを使用してください。

推奨暗号スイート（ベースライン）

サポートされている場合は、以下の強力なTLS 1.2 AEAD暗号スイートを使用してください：

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

注記エンドポイントが提示する証明書の種類によって、ネゴシエート／監視可能な証明書スイートが変わります。

注記： OTV10 リモート診断シェルに diag ユーザーでログインすると、この記事で説明されているタスクを実行できるようになります