新しく購入した要塞ホストインスタンスは初期化されていません。インスタンスを使用する前に、有効化する必要があります。このトピックでは、要塞ホストインスタンスを有効化する方法について説明します。
前提条件
要塞ホストインスタンスを購入済みであること。詳細については、「インスタンスの購入」をご参照ください。
操作手順
Bastionhost コンソールにログインします。
初めて Bastionhost コンソールにログインする際には、サービスリンクロールを作成する必要があります。このロールにより、Bastionhost は他のクラウドリソースにアクセスし、運用とメンテナンス (O&M) 活動に包括的なセキュリティを提供できるようになります。画面の指示に従ってロールを作成してください。
上部のメニューバーでターゲットリージョンを選択します。インスタンスリストで対象のインスタンスを見つけ、Run をクリックします。
Enable Bastion Host パネルで、起動パラメーターを設定します。
Basic Edition
パラメーター
説明
ネットワークの選択
インスタンスの Virtual Private Cloud (VPC) と vSwitch を選択します。
VPC の選択:
VPC は、インスタンスの有効化後に変更することはできません。
プライベートネットワーク接続を確保するため、Bastionhost インスタンスと管理対象の ECS インスタンスには同じ VPC を使用してください。
vSwitch を選択します。3 つの使用可能な IP が必要であり、vSwitch の容量が不足しているとインスタンスの有効化に失敗します。有効化に失敗した場合は、別の vSwitch を試すか、新規作成してください。
説明vSwitch を選択した後、そのゾーンを手動で切り替えることができます。詳細については、「bastion ホストインスタンスを構成する」をご参照ください。
ECS セキュリティグループ
ECS インスタンスのセキュリティグループを選択します。
要塞ホストインスタンスを有効化するには、少なくとも 1 つの基本セキュリティグループに追加する必要があります。インスタンスが基本セキュリティグループに追加されると、そのセキュリティグループ内の ECS アセットへのアクセスを許可するアクセスルールが自動的に生成されます。
インスタンスを高度セキュリティグループに追加することはできません。ネットワーク接続を確保するには、高度セキュリティグループのアクセスルールを手動で設定する必要があります。
クラウドサービスによって管理されるセキュリティグループにインスタンスを追加することはできません。クラウドサービスによって管理されるセキュリティグループしかない場合は、基本セキュリティグループを作成してください。
説明踏み台ホストインスタンスを有効にした後、所属するセキュリティグループを変更できます。手順については、「踏み台ホストインスタンスを構成する」をご参照ください。
要塞ホストインスタンスを有効化した後、セキュリティグループによってアセットへのアクセスがブロックされた場合は、セキュリティグループのアクセスルールを手動で設定できます。セキュリティグループルールを設定するには、「セキュリティグループルールの追加」をご参照ください。
Enterprise Edition
パラメーター
説明
ネットワークの選択
要塞ホストインスタンスの VPC を選択します。
VPC は、インスタンスの有効化後に変更することはできません。
プライベートネットワーク接続を確保するため、Bastionhost インスタンスと管理対象の ECS インスタンスには同じ VPC を使用してください。
プライマリゾーン vSwitch の選択
プライマリゾーンとセカンダリゾーンにまたがるアクティブ/アクティブデプロイメントをサポートします。要塞ホストインスタンスのプライマリゾーンにある vSwitch を選択します。
Enterprise Edition インスタンスには、4 つの利用可能な IP アドレスが必要です。vSwitch に十分な容量があることを確認してください。さもないと、インスタンスの有効化に失敗します。有効化に失敗した場合は、別の vSwitch を試すか、デプロイメント用に新しい vSwitch を作成してください。
セカンダリゾーン vSwitch の選択
ディザスタリカバリのために、セカンダリゾーンの vSwitch を選択します。セカンダリゾーンを選択しない場合、プライマリゾーンでデュアルエンジンデプロイメントが使用されます。
[ECS セキュリティグループ]
ECS インスタンスのセキュリティグループを選択します。
要塞ホストインスタンスを有効化するには、少なくとも 1 つの基本セキュリティグループに追加する必要があります。インスタンスが基本セキュリティグループに追加されると、そのセキュリティグループ内の ECS アセットへのアクセスを許可するアクセスルールが自動的に生成されます。
インスタンスを高度セキュリティグループに追加することはできません。ネットワーク接続を確保するには、高度セキュリティグループのアクセスルールを手動で設定する必要があります。
クラウドサービスによって管理されるセキュリティグループにインスタンスを追加することはできません。クラウドサービスによって管理されるセキュリティグループしかない場合は、新しい基本セキュリティグループを作成してください。
説明bastion host インスタンスを有効にした後、所属するセキュリティグループを変更できます。 手順については、「bastion host インスタンスを設定する」をご参照ください。
要塞ホストインスタンスを有効化した後、セキュリティグループによってアセットへのアクセスがブロックされた場合は、セキュリティグループのアクセスルールを手動で設定できます。セキュリティグループルールを設定するには、「セキュリティグループルールの追加」をご参照ください。
プライベート運用保守設定
Bastionhost は Alibaba Cloud PrivateLink と連携して、VPC と Bastionhost の間に安全で安定したプライベート接続を確立します。これにより、O&M ポータルにアクセスし、プライベートネットワーク経由で Web ベースの O&M を実行でき、接続のセキュリティが向上します。
この機能を有効にした後、PrivateLink 接続用のエンドポイントセキュリティグループを選択します。
説明Bastionhost インスタンスを有効にする際にプライベート O&M を有効にしなかった場合でも、後からプライベート O&M を有効化し、プライベートネットワーク経由で Web ベースの O&M を行うことができます。詳細については、「Bastionhost インスタンスを設定する」をご参照ください。
[次へ] をクリックします。起動チェックが完了したら、[有効化] をクリックします。
インスタンスが有効化されると、初期化が開始されます。これには通常 10〜15 分かかります。初期化が完了すると、インスタンスのステータスが [実行中] に変わり、インスタンスが正常に有効化されたことを示します。
次のステップ
bastion host インスタンスを有効にした後、インスタンスリストで該当インスタンスの [管理] をクリックして Bastionhost 管理コンソールを開きます。詳細については、「Bastionhost コンソールにログオンする」をご参照ください。