企業内部に集中管理されたゲートウェイインターフェイスを提供します。このインターフェイスを通じて、企業管理者は外部サーバーのプロキシアドレスを簡単に追加・管理でき、内外ネットワーク間の安全な接続構造を確立できます。CentralOneを利用することで、企業はコンプライアンスを確保し、データの安全性を保護できます。

使用シナリオ

CentralOneは企業内部に設置され、AWS上にCentralOne GatewayをインストールしたUbuntuマシンをゲートウェイサーバーとして設定します。ユーザーはCentralOneを通じて安全にゲートウェイサーバーに接続し、同一VPC内の内部リソースに直接アクセスできます。

詳細は以下を参照してください:Gateway Management および Tunnel機能

一、環境準備:

1.Gatewayサーバーのハードウェア要件

サーバーCPU要件メモリ要件ストレージ要件OS要件
Gatewayサーバー2 Core4 GB20 GB以上 (/)Ubuntu 16.04, 18.04, 20.04, 22.04, 23.10, 24.04 (sudo権限が必要)

2. ドメインを含むSSL証明書を準備し、対応するDNSサブドメインを設定

CentralOneサーバーとゲートウェイサーバー間の接続はHTTPSで行われるため、完全なドメインと対応する設定が必要です。

例: aws-tunnel01.mavisdemo.com

サブドメインレコードタイプ解決先説明
taws-tunnel01AGatewayサーバーのIPアドレスCentralOneサーバーとGatewayサーバー間の接続用

3 ネットワーク環境の構成

Gatewayサーバーは、必要なコンポーネントのダウンロードとインストールを行うため、インターネットアクセスが必要です。また、CentralOneサーバーとの接続もサポートする必要があります。

項目送信元宛先プロトコル/ポート番号ルール説明
1GatewayサーバーのIPアドレス0.0.0.0/0 (インターネット)ALL許可プロキシサーバープラットフォームがインターネットにアクセスし、必要なコンポーネントをダウンロードおよびインストールします。
2CentralOneサーバーのIPアドレスGatewayサーバーのIPアドレスhttps/443許可CentralOneサーバーがGatewayサーバーに接続できるようにします。

二、Gateway Managementの作成

管理者アカウントのロールが必要です。「管理インターフェイス」から設定を行います。

1. 管理インターフェイスを選択
2. Gateway Managementを選択
3. Create Gatewayを選択
4    Gatewayセグメント名: 任意の名前を入力
5.   サーバー名: 任意の名前を入力
6.   IP: GatewayサーバーのIPアドレスを入力
7.   ドメイン: GatewayサーバーのDNSを入力
8.   保存
9. 作成したGatewayセグメントを選択し、設定ファイルをダウンロード後、サーバー(Gatewayサーバー)にアップロードします。

二、Gateway サービスのインストール

Gateway サーバーにログインし、sudo 権限を持つモードに切り替えて、サービスのインストールコマンドを実行します。

まず、Gateway の設定ファイルと証明書(.crt と .key ファイル)をアップロードしたか確認してください(これらをそれぞれ tls.crt と tls.key にリネーム)。

1. Gateway サーバーにログインし、sudo 権限のあるモードに切り替えます。
2. Gateway 設定ファイルが存在するか確認します。
3.が存在するか確認します。ファイル名はそれぞれ tls.crt と tls.key である必要があります。
  • Gateway サービスのインストールコマンドを実行しますPROXY_CONFIG はあなたの Proxy 設定ファイル名に置き換えてください)。
1. インストールコマンドを入力します:
curl -sSL https://pentium-repo.s3.ap-northeast-1.amazonaws.com/mavis/latest/install.sh |INSTALL_PROXY_CLUSTER=true PROXY_CONFIG=gateway-aws-aws-tunnel01-config.yaml bash

2. DB プロキシ接続ポートは入力しなくても、デフォルトで問題ありません。
Enter Proxy node postgres proxy connect port (ex. 7993): 輸入ennter
Enter Proxy node mysql proxy connect port (ex. 7994): 輸入ennter
  • インストールが成功すると、システムに Public Key が生成されます。 
  • Public Key をコピーして、Gateway 管理に貼り付けます。
1. Gateway 管理にアクセスします。
2. Gateway セグメントを選択します。
3. 編集を選択します。
4. Public Key:先ほど作成した Public Key をコピーして貼り付けます。
5. 保存をクリックします。

三、Gateway サーバーを通じて同じ VPC 内の機器に接続します。

  • Gateway セグメント情報をコピーします。
1. Gateway 管理にアクセスします。
2. Gateway セグメントを選択し、コピーアイコンをクリックして、Gateway セグメント名をコピーします。
  • デバイスに Gateway セグメントラベルを追加します。
4. デバイスにアクセスします。
5. Gateway サーバー経由で接続するデバイスを選択します。
6. 動作を選択し、「ラベルを追加」を選びます。
7. ラベルを追加:Gateway セグメント名を入力します。
8. 新規作成をクリックします。
  • 接続(このデバイスは Gateway サーバーを通じて接続されます)

四、Gateway サーバーのサービスと設定を削除する

  • 最初に Gateway サーバーにログインし、削除コマンドを実行します。
sh /usr/local/bin/k3s-uninstall.sh
  • Gateway 管理設定を削除します(管理インターフェースから設定を削除するだけでは、物理的な Gateway サーバーやその内部の代理設定は削除されません。前のステップで Gateway サーバーにログインし、削除を実行する必要があります。)
1. Gateway 管理にアクセスします。
2. Gateway セグメントを選択します。
3. 削除を選択します。
  • デバイスから Gateway セグメントラベルを削除します。
1. デバイスにアクセスします。
2. デバイスを選択します。
3. ラベルを削除を選択します。
4. ラベル削除:Gateway セグメントを選択します。
5. 削除をクリックします。