プロキシサーバーは、それらのリソースを提供するサーバーからリソースを探しているクライアントからの要求の仲介役として機能します。プロキシサーバーは、サーバーとインターネット間のゲートウェイを提供します。お客様がVantageサイトのプロキシサーバー設定を構成したい場合は、ソリューション テンプレートを使用してVantageサイトを展開しているときに構成できます。 Vantageエコシステムでプロキシサーバーを構成すると、システムで実行されているすべてのノードがプロキシサーバーを介してインターネットにアクセスします。
アーキテクチャ図は、プロキシサーバーをサポートするVantageサイトの1つの可能な展開を示しています。ここで、プロキシサーバーは1つのサブネットで実行され、 Vantageサイトは別のサブネットで実行され、プロキシ設定はVantageサイトで構成されます。
プロキシ サポートを有効にする方法
- 独自のプロキシサーバーがすでに展開されている必要があります。 Vantage DIY Solutionテンプレートには、プロキシサーバーの展開は含まれていません。
- プロキシサーバーとテラデータエコシステムは、sameVnetに展開する必要があります。
- existingVnet オプション(プロキシサーバーが実行されている場合)を使用してVantageサイトを展開する必要があります。また、 Vantageサイトを展開するときにプロキシサーバーの詳細を指定する必要があります。
- 選択したexistingVnet/サブネットには、 Vantageサイトの展開を成功させるために、インターネット接続が必要です( Azureでは、デフォルトですべてのサブネットにインターネット接続があります)。
ソリューション テンプレート(Teradata Vantage™エコシステム)を使用してサイトを展開する場合は、existingVnetオプションを選択して、プロキシサーバーのパラメーターフィールドにプロキシサーバーの詳細を入力する必要があります。プロキシサーバーパラメータに値を指定しない場合、 Teradataエコシステムでプロキシ構成は実行されません。プロキシサーバーのプライベートIPアドレスを指定する必要があります。
AzureポータルでTeradata Vantage™オファーを実行したら、一般設定タブで次の手順を実行する必要があります。
- 一般設定タブで、プロキシサーバーがすでに実行されているexistingVnetを選択します。また、 Vantageサイトを展開する必要があるサブネットを選択します。
- プロキシ関連のフィールドを指定します:proxy-server-private-ipとポート、ユーザー名、およびパスワード(存在する場合)。
- 次の形式でプロキシサーバーのURLを指定します。
http://<proxy_server_private_ip>:<port>
- プロキシサポートはServer Managementコンポーネントに自動構成されません。SMポータルを使用して構成できます(Server Management構成でのプロキシサーバーの構成を参照)。
- 現在、 Azure Blobストレージでのバックアップ/復元( BAR )操作はプロキシサーバーを介して機能しないため、 BAR操作を実行している場合は、SQLEクラスタとDSCノードが直接インターネットに接続できるようにします。
- ノード障害回復シナリオでは、新しく展開されたノードでプロキシサーバーの詳細を手動で更新する必要があります。
- スケール イン/スケール アウト操作では、プロキシ構成を新しいノードで手動で構成する必要があります。
- 非プロキシからプロキシへの移行の場合、新しいノードのプロキシ構成を手動で構成する必要があります。
- プロキシの背後でVantageを将来移行する場合は、すべてのプロキシ構成を新しく展開されたコンポーネントに手動で適用する必要があります。
## Sets HTTP, HTTPS & FTP proxies to Proxy Server's Private IP. username, password are optional
PROXYSERVER=http://<user>:<passwd>@<proxy_server_ip>:<port>
## Sets Proxy and Noproxy for for Azure Metadata endpoint
echo "OK" | yast2 proxy set {http,https,ftp}=$PROXYSERVER noproxy=localhost,127.0.0.1,169.254.169.254,169.254.169.123,169.254.170.2,168.63.129.16
## Enables System-wide Proxy
echo "OK" | yast2 proxy enable
## Check Proxy Status
yast2 proxy summary
すべてのノードのプロキシを無効にする場合は、すべてのノードで次のコマンドを実行します(cimicを除き、CIMIC / SMノードの場合はSMポータルから無効にできます)。
## Disables System-wide Proxy echo "OK" | yast2 proxy disable
サポートされているネットワークシナリオ
プロキシサーバーをサポートするVantageサイトの展開では、次のネットワークシナリオがサポートされています。
- プロキシサーバーとVantageサイトがVnetの同じサブネット上に展開されている単一のサブネット内。
- 単一のVnet内ですが、プロキシサーバーとバンテージサイトは2つの異なるサブネットに展開されます。
- プロキシサーバーとVantageサイトが2つの異なるVnetに展開され、Vnetピアリングを介して接続されている2つの異なるVnetでは、両方のVnetを作成し、Vnetピアリングを介して接続する必要があり、既存のVnet/サブネットオプションを使用してVantageサイトを展開する必要があります。
プロキシ サーバーの想定される構成
- DNSから許可されたドメインのIPへのリダイレクトを許可する
- HTTP & HTTPS通信の両方を許可する
- HTTPS通信に自己署名証明書を使用できます[Squid-SSLBump、Peek& Splice]
- * .azure.com、*.azure.net などのすべてのAzureエンドポイントへのアクセスを許可します。
- Service Connect、ArtifactoryなどのTeradataサイトへの通信を許可します。
- メタデータのリダイレクトはインスタンス自体に制限されているため、 Azure -Dataの明示的なIPをブロックします。許可またはリダイレクトされた場合、それは無効なインスタンスメタデータデータになります。
- コンポーネントの相互作用をブロックすることなく、 VantageコンポーネントのすべてのポートをSafeまたはSSL対応のいずれかと見なします。同じページのネットワーク セキュリティ グループで、ポートに関する詳細情報を入手できます。
許可された出力ドメイン
プロキシサーバーは、次の最小限のドメインで出力トラフィックを許可する必要があります。
| Webサービス | URLの正規表現 | エンドポイント |
|---|---|---|
| Azureエンドポイント |
|
|
| Teradataのエンドポイント | ||
| Azureエンドポイント |
|
|
| NTP | ntp.org | 0.pool.ntp.org |
| Python | ||
| ソフォスアンチウイルス | sophos.com | |
| Tenable Vulnerability Scan | cloud.tenable.com | |
| Data Dog | datadoghq.com |