ユーザーガイド/リファレンスガイド
セキュリティ
S-port cloud EVA のコントロールパネルに2段階認証でログインする手順をご案内します。
コントロールパネルの操作手順
[ 1 ] コントロールパネルのログインページにアクセスし、「メールアドレス」、「パスワード」を入力の上、 [ログイン] をクリックします。
[ 2 ] 認証コード生成用モバイルアプリをご確認いただき、表示されている6桁のコードを入力の上、[ログイン] をクリックします。
2段階認証とは、コントロールパネルにログインする際に、通常のID/パスワードに加え、毎回異なる確認コード(ワンタイムパスワード)の入力を要求する認証を設けることで、よりセキュアに運用する事が可能になるログイン認証の仕組みです。
以下では、S-port cloud EVA のコントロールパネルから2段階認証の設定方法をご案内します。
なお、Google Authenticatorなどの認証コード生成用モバイルアプリが必要になりますので、ご準備の上、実施ください。
コントロールパネルの操作手順
[ 1 ] 画面右上の「人型」のアイコンを選択の上、 [アカウント設定] をクリックします。
[ 2 ] 「二段階認証」項目の [ON] をクリックします。
[ 3 ] 「QRコード」と「シークレットキー」が表示されますので、Google Authenticatorなどの認証コード生成用モバイルアプリがインストールされている端末にてQRコードを読み取ります。
[ 4 ] 正しく読み取られると認証コード生成用モバイルアプリに「EVA」の項目が追加されます。
コントロールパネルの「確認コード」欄に認証コード生成用モバイルアプリに表示されている6桁のコードを入力の上、[認証] をクリックします。
[ 5 ] バックアップコードが表示されますのでお控えいただき、 問題なければ、[OK] をクリックします。
バックアップコードは端末の紛失などによりモバイルアプリが使用できなくなった際に利用するコードになりますので、大切に保管してください。
セキュリティグループにて監視サーバーなどの特定のサーバーからのPINGのみを許可する方法をご案内します。
なお、以下ではAPIによるcurlコマンドを用いた設定手順となりますので、任意のサーバーにて実行ください。
設定手順
[ 1 ] API認証を行い、トークンの取得ならびに発行されたトークンIDを確認します。| 認証のエンドポイント | コントロールパネル内のAPIメニューから「Identity Service」をご確認ください。 |
| APIユーザー名 | コントロールパネル内のAPIメニューからAPIユーザーを作成ください。 |
| パスワード | コントロールパネルのAPIメニューからAPIユーザーを作成する際に設定するパスワード。 |
| テナント名 | コントロールパネル内のAPIメニューから「テナント名」をご確認ください。 |
| curl -i -X POST \ -H “Accept: application/json” \ -H “Content-Type: application/json” \ -d ‘{“auth”:{“passwordCredentials”:{“username”: “APIユーザー名“, “password”: “パスワード“},”tenantName”:”テナント名“}}’ \ 認証のエンドポイント/tokens |
コンソール画面上には以下のようにリクエストの結果が返ってきます。
「access」の「id」の値がAPI操作を行う際に必要となるトークンIDです。
以降の手順では、トークンIDと表示されているものは全てこのIDを指すものとします。
トークンIDは発行後、24時間で失効となりますので作業が日をまたぐ場合は都度発行する必要があります。
| {“access”:{“token”:{“issued_at”:”2016-11-27T08:01:26.504595″,”expires”:”2016-11-28T08:01:26Z”, “id”:”9e54605ee98043b2a89d28f80bc1ce3f“ |
[ 2 ] セキュリティグループを作成します。
| ネットワークのエンドポイント | コントロールパネル内のAPIメニューから「Network Service」をご確認ください。 |
| curl -i -X POST \ -H “Accept: application/json” \ -H “Content-Type: application/json” \ -H “X-Auth-Token: トークンID” \ -d ‘{“security_group”: {“name”: “任意のセキュリティグループ名“}}’ \ ネットワークのエンドポイント/v2.0/security-groups |
上記リクエストが正常に処理されると以下のような結果が返ってきます。
「security_group」の「id」の値がAPI操作を行う際に必要となるセキュリティグループIDです。
以降の手順でAPIの操作に必要となりますので、メモをとってください。
| {“security_group”: {“description”: “”,”id”: “セキュリティグループID“ |
[ 3 ] 指定するIPからのPINGのみを許可する設定を作成したセキュリティグループに追加します。
「port_range_min」や「port_range_max」には、許可するICMPタイプの番号を範囲指定してください。
また、許可IPアドレスについては、プレフィックスを含めて指定してください。
| curl -i -X POST \ -H “Content-Type: application/json” \ -H “X-Auth-Token: トークンID” \ -d ‘{“security_group_rule”: {“direction”: “ingress”, “ethertype”: “IPv4”, “security_group_id”: “セキュリティグループID“, “port_range_min”: “ICMPのタイプ“, “port_range_max”: “ICMPのタイプ“, “protocol”: “icmp”, “remote_ip_prefix”: “許可IPアドレス/32“}}’ \ ネットワークのエンドポイント/v2.0/security-group-rules |
[ 4 ] セキュリティグループを適用するサーバーの「ポート情報」を確認します。
| curl -i -X GET \ -H “Accept: application/json” \ -H “Content-Type: application/json” \ -H “X-Auth-Token: トークンID” \ ネットワークのエンドポイント/v2.0/ports |
上記リクエストが正常に処理されると以下のような結果が返ってきます。
「id」の値がAPI操作を行う際に必要となるポートIDです。
以降の手順でAPIの操作に必要となりますので、該当サーバーにアタッチされているグローバルIPアドレス等の情報から対象サーバーの「ポートID」をご確認の上、メモをとってください。
| { “ports”: [ { “admin_state_up”: true, “allowed_address_pairs”: [], “binding:vnic_type”: “normal”, “device_id”: “デバイスID”, “device_owner”: “compute:None”, “extra_dhcp_opts”: [], “fixed_ips”: [ { “ip_address”: “IPアドレス“, “subnet_id”: “サブネットID” } ], “id”: “ポートID“, “mac_address”: “MACアドレス”, “name”: “ポートの名前”, “network_id”: “ネットワークID”, “security_groups”: [ “セキュリティグループID” ], “status”: “ACTIVE”, “tenant_id”: “テナントID” }, |
[ 5 ] 作成したセキュリティグループを対象サーバーのポートに適用します。
| curl -X PUT \ -H “Accept: application/json” \ -H “X-Auth-Token: トークンID” \ -d ‘{“port”: {“security_groups”: [“セキュリティグループID“]}}’ \ ネットワークのエンドポイント/v2.0/ports/ポートID |
本リファレンスはS-port cloud EVAにてサーバーをご利用いただく場合の一例であり、お客様の運用やポリシーによってその限りではございません。
お客様のご利用用途に応じて必要な設定や操作をおこなってください。
セキュリティグループにて接続元のIPで制限を行う方法をご案内します。
なお、以下ではAPIによるcurlコマンドを用いた設定手順となりますので、任意のサーバーにて実行ください。
設定手順
[ 1 ] API認証を行い、トークンの取得ならびに発行されたトークンIDを確認します。| 認証のエンドポイント | コントロールパネル内のAPIメニューから「Identity Service」をご確認ください。 |
| APIユーザー名 | コントロールパネル内のAPIメニューからAPIユーザーを作成ください。 |
| パスワード | コントロールパネルのAPIメニューからAPIユーザーを作成する際に設定するパスワード。 |
| テナント名 | コントロールパネル内のAPIメニューから「テナント名」をご確認ください。 |
| curl -i -X POST \ -H “Accept: application/json” \ -H “Content-Type: application/json” \ -d ‘{“auth”:{“passwordCredentials”:{“username”: “APIユーザー名“, “password”: “パスワード“},”tenantName”:”テナント名“}}’ \ 認証のエンドポイント/tokens |
コンソール画面上には以下のようにリクエストの結果が返ってきます。
「access」の「id」の値がAPI操作を行う際に必要となるトークンIDです。
以降の手順では、トークンIDと表示されているものは全てこのIDを指すものとします。
トークンIDは発行後、24時間で失効となりますので作業が日をまたぐ場合は都度発行する必要があります。
| {“access”:{“token”:{“issued_at”:”2016-11-27T08:01:26.504595″,”expires”:”2016-11-28T08:01:26Z”, “id”:”9e54605ee98043b2a89d28f80bc1ce3f“ |
[ 2 ] セキュリティグループを作成します。
| ネットワークのエンドポイント | コントロールパネル内のAPIメニューから「Network Service」をご確認ください。 |
| curl -i -X POST \ -H “Accept: application/json” \ -H “Content-Type: application/json” \ -H “X-Auth-Token: トークンID” \ -d ‘{“security_group”: {“name”: “任意のセキュリティグループ名“}}’ \ ネットワークのエンドポイント/v2.0/security-groups |
上記リクエストが正常に処理されると以下のような結果が返ってきます。
「security_group」の「id」の値がAPI操作を行う際に必要となるセキュリティグループIDです。
以降の手順でAPIの操作に必要となりますので、メモをとってください。
| {“security_group”: {“description”: “”,”id”: “セキュリティグループID“ |
[ 3 ] 任意のポートに対して指定するIPからのトラフィックのみを許可する設定を作成したセキュリティグループに追加します。
なお、許可IPアドレスについては、プレフィックス(CIDR形式)を含めて指定してください。
| curl -i -X POST \ -H “Content-Type: application/json” \ -H “X-Auth-Token: トークンID” \ -d ‘{“security_group_rule”: {“direction”: “ingress”, “ethertype”: “IPv4”, “security_group_id”: “セキュリティグループID“, “port_range_min”: “ポート番号“, “port_range_max”: “ポート番号“, “protocol”: “tcp”, “remote_ip_prefix”: “許可IPアドレス/32“}}’ \ ネットワークのエンドポイント/v2.0/security-group-rules |
[ 4 ] セキュリティグループを適用するサーバーの「ポート情報」を確認します。
| curl -i -X GET \ -H “Accept: application/json” \ -H “Content-Type: application/json” \ -H “X-Auth-Token: トークンID” \ ネットワークのエンドポイント/v2.0/ports |
上記リクエストが正常に処理されると以下のような結果が返ってきます。
「id」の値がAPI操作を行う際に必要となるポートIDです。
以降の手順でAPIの操作に必要となりますので、該当サーバーにアタッチされているグローバルIPアドレス等の情報から対象サーバーの「ポートID」をご確認の上、メモをとってください。
| { “ports”: [ { “admin_state_up”: true, “allowed_address_pairs”: [], “binding:vnic_type”: “normal”, “device_id”: “デバイスID”, “device_owner”: “compute:None”, “extra_dhcp_opts”: [], “fixed_ips”: [ { “ip_address”: “IPアドレス“, “subnet_id”: “サブネットID” } ], “id”: “ポートID“, “mac_address”: “MACアドレス”, “name”: “ポートの名前”, “network_id”: “ネットワークID”, “security_groups”: [ “セキュリティグループID” ], “status”: “ACTIVE”, “tenant_id”: “テナントID” }, |
[ 5 ] 作成したセキュリティグループを対象サーバーのポートに適用します。
| curl -X PUT \ -H “Accept: application/json” \ -H “X-Auth-Token: トークンID” \ -d ‘{“port”: {“security_groups”: [“セキュリティグループID“]}}’ \ ネットワークのエンドポイント/v2.0/ports/ポートID |
本リファレンスはS-port cloud EVAにてサーバーをご利用いただく場合の一例であり、お客様の運用やポリシーによってその限りではございません。
お客様のご利用用途に応じて必要な設定や操作をおこなってください。
任意のルールで新しいセキュリティグループを作成する方法をご案内します。
以下手順は、80番ポートのみを受け付けるセキュリティグループのルールを作成し、対象のサーバーに適用する設定例になります。
なお、APIによるcurlコマンドを用いた設定手順となりますので、任意のサーバーにて実行ください。
コントロールパネルの操作手順
[ 1 ] 左メニューより [仮想サーバー] を選択の上、「仮想サーバーリスト」の中から対象サーバーの [ネームタグ] をクリックします。
[ 2 ] 「ネットワーク情報」を選択します。「接続許可ポート」項目にて現在のセキュリティグループのポート開閉の設定状況がご確認いただけます。
[ 3 ] [全て許可] のチェックをはずし、全ての接続を拒否する状態にします。後述するAPIの操作を適用するサーバー内で実施する場合は、「SSH(22)」などの必要なポート番号が利用できるよう任意でチェックを入れてください。
以上がコントロールパネルにて必要な操作になります。以降はサーバー内で設定に必要なAPIを実行します。
API操作手順
[ 1 ] API認証を行い、トークンの取得ならびに発行されたトークンIDを確認します。
| 認証のエンドポイント | コントロールパネル内のAPIメニューから「Identity Service」をご確認ください。 |
| APIユーザー名 | コントロールパネル内のAPIメニューからAPIユーザーを作成ください。 |
| パスワード | コントロールパネルのAPIメニューからAPIユーザーを作成する際に設定するパスワード。 |
| テナント名 | コントロールパネル内のAPIメニューから「テナント名」をご確認ください。 |
| curl -i -X POST \ -H “Accept: application/json” \ -H “Content-Type: application/json” \ -d ‘{“auth”:{“passwordCredentials”:{“username”: “APIユーザー名“, “password”: “パスワード“},”tenantName”:”テナント名“}}’ \ 認証のエンドポイント/tokens |
コンソール画面上には以下のようにリクエストの結果が返ってきます。
「access」の「id」の値がAPI操作を行う際に必要となるトークンIDです。
以降の手順では、トークンIDと表示されているものは全てこのIDを指すものとします。
トークンIDは発行後、24時間で失効となりますので作業が日をまたぐ場合は都度発行する必要があります。
| {“access”:{“token”:{“issued_at”:”2016-11-27T08:01:26.504595″,”expires”:”2016-11-28T08:01:26Z”, “id”:”9e54605ee98043b2a89d28f80bc1ce3f“ |
[ 2 ] セキュリティグループを作成します。
| ネットワークのエンドポイント | コントロールパネル内のAPIメニューから「Network Service」をご確認ください。 |
| curl -i -X POST \ -H “Accept: application/json” \ -H “Content-Type: application/json” \ -H “X-Auth-Token: トークンID” \ -d ‘{“security_group”: {“name”: “任意のセキュリティグループ名“}}’ \ ネットワークのエンドポイント/v2.0/security-groups |
上記リクエストが正常に処理されると以下のような結果が返ってきます。
「security_group」の「id」の値がAPI操作を行う際に必要となるセキュリティグループIDです。
以降の手順でAPIの操作に必要となりますので、メモをとってください。
| {“security_group”: {“description”: “”,”id”: “セキュリティグループID“ |
[ 3 ] 80番ポートのトラフィックのみを許可するルールを作成したセキュリティグループに追加します。
| curl -i -X POST \ -H “Content-Type: application/json” \ -H “X-Auth-Token: トークンID” \ -d ‘{“security_group_rule”: {“direction”: “ingress”, “ethertype”: “IPv4”, “security_group_id”: “セキュリティグループID“, “port_range_min”: “80”, “port_range_max”: “80”, “protocol”: “tcp”}}’ \ ネットワークのエンドポイント/v2.0/security-group-rules
|
[ 4 ] セキュリティグループを適用するサーバーの「ポート情報」を確認します。
| curl -i -X GET \ -H “Accept: application/json” \ -H “Content-Type: application/json” \ -H “X-Auth-Token: トークンID” \ ネットワークのエンドポイント/v2.0/ports |
上記リクエストが正常に処理されると以下のような結果が返ってきます。
「id」の値がAPI操作を行う際に必要となるポートIDです。
以降の手順でAPIの操作に必要となりますので、該当サーバーにアタッチされているグローバルIPアドレス等の情報から対象サーバーの「ポートID」をご確認の上、メモをとってください。
|
{
“ports”: [ { “admin_state_up”: true, “allowed_address_pairs”: [], “binding:vnic_type”: “normal”, “device_id”: “デバイスID”, “device_owner”: “compute:None”, “extra_dhcp_opts”: [], “fixed_ips”: [ { “ip_address”: “IPアドレス“, “subnet_id”: “サブネットID” } ], “id”: “ポートID“, “mac_address”: “MACアドレス”, “name”: “ポートの名前”, “network_id”: “ネットワークID”, “security_groups”: [ “セキュリティグループID” ], “status”: “ACTIVE”, “tenant_id”: “テナントID” }, |
[ 5 ] 作成したセキュリティグループを対象サーバーのポートに適用します。
| curl -X PUT \ -H “Accept: application/json” \ -H “X-Auth-Token: トークンID” \ -d ‘{“port”: {“security_groups”: [“セキュリティグループID“]}}’ \ ネットワークのエンドポイント/v2.0/ports/ポートID |
本リファレンスはS-port cloud EVAにてサーバーをご利用いただく場合の一例であり、お客様の運用やポリシーによってその限りではございません。
お客様のご利用用途に応じて必要な設定や操作をおこなってください。
仮想サーバーに紐付けされているセキュリティグループを変更することで、ポートの開閉の調整ができます。
以下手順では、S-port cloud EVA のコントロールパネルから標準で用意されておりますセキュリティグループの変更方法をご案内します。
コントロールパネルの操作手順
[ 1 ] 左メニューより [仮想サーバー] を選択の上、「仮想サーバーリスト」の中から対象サーバーの [ネームタグ] をクリックします。
[ 2 ] 「ネットワーク情報」を選択します。「接続許可ポート」項目にて現在のセキュリティグループのポート開閉の設定状況がご確認いただけます。
[ 3 ] [全て許可] のチェックをはずします。各ポートが選択可能な状態になります。
[ 4 ] 任意のポートにチェックを入れます。
以上で、セキュリティグループの設定変更の操作は完了です。
コントロールパネルに表示されていないポートや任意のセキュリティグループの作成につきましては、APIにて設定いただくことができます。