Bastionhost:要塞ホストインスタンスの有効化

操作手順

1. Bastionhost コンソールにログインします。

   初めて Bastionhost コンソールにログインする際には、サービスリンクロールを作成する必要があります。このロールにより、Bastionhost は他のクラウドリソースにアクセスし、運用とメンテナンス (O&M) 活動に包括的なセキュリティを提供できるようになります。画面の指示に従ってロールを作成してください。

2. 上部のメニューバーでターゲットリージョンを選択します。インスタンスリストで対象のインスタンスを見つけ、Run をクリックします。

3. Enable Bastion Host パネルで、起動パラメーターを設定します。

   1. Basic Edition

      パラメーター	説明
      ネットワークの選択	インスタンスの Virtual Private Cloud (VPC) と vSwitch を選択します。 VPC の選択： VPC は、インスタンスの有効化後に変更することはできません。 プライベートネットワーク接続を確保するため、Bastionhost インスタンスと管理対象の ECS インスタンスには同じ VPC を使用してください。 vSwitch を選択します。3 つの使用可能な IP が必要であり、vSwitch の容量が不足しているとインスタンスの有効化に失敗します。有効化に失敗した場合は、別の vSwitch を試すか、新規作成してください。 説明 vSwitch を選択した後、そのゾーンを手動で切り替えることができます。詳細については、「bastion ホストインスタンスを構成する」をご参照ください。
      ECS セキュリティグループ	ECS インスタンスのセキュリティグループを選択します。 要塞ホストインスタンスを有効化するには、少なくとも 1 つの基本セキュリティグループに追加する必要があります。インスタンスが基本セキュリティグループに追加されると、そのセキュリティグループ内の ECS アセットへのアクセスを許可するアクセスルールが自動的に生成されます。 インスタンスを高度セキュリティグループに追加することはできません。ネットワーク接続を確保するには、高度セキュリティグループのアクセスルールを手動で設定する必要があります。 クラウドサービスによって管理されるセキュリティグループにインスタンスを追加することはできません。クラウドサービスによって管理されるセキュリティグループしかない場合は、基本セキュリティグループを作成してください。 説明 踏み台ホストインスタンスを有効にした後、所属するセキュリティグループを変更できます。手順については、「踏み台ホストインスタンスを構成する」をご参照ください。 要塞ホストインスタンスを有効化した後、セキュリティグループによってアセットへのアクセスがブロックされた場合は、セキュリティグループのアクセスルールを手動で設定できます。セキュリティグループルールを設定するには、「セキュリティグループルールの追加」をご参照ください。

   2. Enterprise Edition

      パラメーター	説明
      ネットワークの選択	要塞ホストインスタンスの VPC を選択します。 VPC は、インスタンスの有効化後に変更することはできません。 プライベートネットワーク接続を確保するため、Bastionhost インスタンスと管理対象の ECS インスタンスには同じ VPC を使用してください。
      プライマリゾーン vSwitch の選択	プライマリゾーンとセカンダリゾーンにまたがるアクティブ/アクティブデプロイメントをサポートします。要塞ホストインスタンスのプライマリゾーンにある vSwitch を選択します。 Enterprise Edition インスタンスには、4 つの利用可能な IP アドレスが必要です。vSwitch に十分な容量があることを確認してください。さもないと、インスタンスの有効化に失敗します。有効化に失敗した場合は、別の vSwitch を試すか、デプロイメント用に新しい vSwitch を作成してください。
      セカンダリゾーン vSwitch の選択	ディザスタリカバリのために、セカンダリゾーンの vSwitch を選択します。セカンダリゾーンを選択しない場合、プライマリゾーンでデュアルエンジンデプロイメントが使用されます。
      [ECS セキュリティグループ]	ECS インスタンスのセキュリティグループを選択します。 要塞ホストインスタンスを有効化するには、少なくとも 1 つの基本セキュリティグループに追加する必要があります。インスタンスが基本セキュリティグループに追加されると、そのセキュリティグループ内の ECS アセットへのアクセスを許可するアクセスルールが自動的に生成されます。 インスタンスを高度セキュリティグループに追加することはできません。ネットワーク接続を確保するには、高度セキュリティグループのアクセスルールを手動で設定する必要があります。 クラウドサービスによって管理されるセキュリティグループにインスタンスを追加することはできません。クラウドサービスによって管理されるセキュリティグループしかない場合は、新しい基本セキュリティグループを作成してください。 説明 bastion host インスタンスを有効にした後、所属するセキュリティグループを変更できます。 手順については、「bastion host インスタンスを設定する」をご参照ください。 要塞ホストインスタンスを有効化した後、セキュリティグループによってアセットへのアクセスがブロックされた場合は、セキュリティグループのアクセスルールを手動で設定できます。セキュリティグループルールを設定するには、「セキュリティグループルールの追加」をご参照ください。
      プライベート運用保守設定	Bastionhost は Alibaba Cloud PrivateLink と連携して、VPC と Bastionhost の間に安全で安定したプライベート接続を確立します。これにより、O&M ポータルにアクセスし、プライベートネットワーク経由で Web ベースの O&M を実行でき、接続のセキュリティが向上します。 この機能を有効にした後、PrivateLink 接続用のエンドポイントセキュリティグループを選択します。 説明 Bastionhost インスタンスを有効にする際にプライベート O&M を有効にしなかった場合でも、後からプライベート O&M を有効化し、プライベートネットワーク経由で Web ベースの O&M を行うことができます。詳細については、「Bastionhost インスタンスを設定する」をご参照ください。

4. [次へ] をクリックします。起動チェックが完了したら、[有効化] をクリックします。

   インスタンスが有効化されると、初期化が開始されます。これには通常 10〜15 分かかります。初期化が完了すると、インスタンスのステータスが [実行中] に変わり、インスタンスが正常に有効化されたことを示します。