Powered BLUE」カテゴリーアーカイブ

AWSにRockyLinux 8.x対応Powered BLUE 880をセットアップする(AMI対応)

Amazon Web Services (アマゾン)上で、Powered BLUE 880 インターネットサーバーを構築する手順は以下の通りです。AWS/EC2にはRockyLinux 8.x 対応の「 Powered BLUE  880 」を AMIとして登録しています。ウイザードに従って、簡単にサーバーのセットアップが出来ます。HDDサイズは15GB以上 (最小)で指定します。

  • 東京リージョン /  HVM / EBS-Backed

 

Powered BLUE では、以下のようなインターネットサーバー機能をAWS上の1台での運用にも対応しています

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/09/pb-log-600x600.png

基本機能 マルドメイン Web / Mail / DNS / ftp
フリープラグイン  Let’s Encrypt / WordPress
オプション プライベート CA
SSLクライアント認証
OTP認証
SAL認証 / OIDC認証
FIDO2 / 生体認証
AD認証
リバースプロキシ
syslog

 

AMIの選択

サーバータイプを選択します

(例 t2.micro / t2.small / t2.medium などから選択)

運用環境 最小スペック  1CPU / 1GB Memory / Ether x 1

 

VPNでアクセスの場合には、グローバルIPはアサインの必要はありません
インターネット側からアクセスの場合には、グローバルIPのアサインが必要です
すでに保有している固定IP(Elastic IP) をアサインしても構いません (推奨)

 

サーバーの起動後に、GUIでウイザードを実行します。GUIへのアクセスポートは http 81 / 444 番です firewallには TCP 81/444番 を通過させる設定が必要です

サーバーへのアクセス    例 http://54.65.86.66:444aws-ami-wizard1

Start ボタンを押します

Accept ボタンを押します

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2022/07/B880-2.png

管理サーバー名などを入力します

DNS などはAWSのデフォルトで設定されたものでも構いません。自社で独自に構築するのであれば、適宜指定します。

サーバーのIP/Gatewayなどは、変更せずにこのまま利用します。

adminのパスワードを入力します。

Languageに日本語を選択すると、GUI表示は日本語となります。

Time-Zoneなどを適宜選択しますaws-ami-wizard3

 

ウイザードの終了後に、サーバーへ再ログインします

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2022/07/B880-5.png

 

【使用するサービスの有効化】

個別サービスの on / off を選択します

  • DNS / FTP / Web / 仮想サイト機能 (デフォルトはoff)

 

管理サイトaws-pb-login2

 

NTPサーバーを指定しますaws-pb-login22

Powered BLUEは、管理サイトと仮想サイトを1個の同一IPでの運用および異なるIPでの運用に対応しています

1個の同一IPで管理サイトと仮想サイトを運用の場合 (グローバルIP=1個)

httpのアクセスの場合には、アクセスポートなどで振り分けを行います

管理サイトは444番 仮想サイト側は80番や443番でのアクセスとなります

SNI対応なので、仮想サイト側は複数のWebサイトの常時SSL化を固定IPアドレス1個での運用が出来ます

  •   管理サイト-port 444  IP 10.0.0.10    b860-demo.mubit.com
  •             http://b860-demo.mubit.com:444/
  •   仮想サイト1-port 80 IP 10.0.0.10    kasou.xxx-yyy-zzz.com
  •             http://kasou.xxx-yyy-zzz.com/
  •      仮想サイト2-port 443 IP 10.0.0.10    kasou2.xxx-yyy-zzz.com
  •             https://kasou2.xxx-yyy-zzz.com/
  •      仮想サイト3-port 443 IP 10.0.0.10    kasou3.xxx-yyy-zzz.com
  •             https://kasou3.xxx-yyy-zzz.com/

 

尚、利用しているDNSに、管理サイト、仮想サイト1、仮想サイト2 IP 10.0.0.10

  •   b860-demo.mubit.com
  •   kasou.xxx-yyy-zzz.com
  •   kasou2.xxx-yyy-zzz.com

の登録を行ないます

443番(SSL)で仮想サイトへアクセスの場合には、仮想サイトへ証明書 (自己証明やパブリックなサーバー証明書) を登録します (Let’s Encryptにも対応)aws-pb-kasou1

管理サイトと仮想サイトに異なるIPをアサインの場合 (複数のグローバルIPをアサインする)

AWSのNetwork Interfaces から アサインしたいサーバを選択してactionsタブのManagement Private IP Addressから自動もしくは手動でプライベートIPをアサインします。

  • 既存  プライベートIP 10.0.0.10  はグローバルIP 54.65.17.7 へアサイン済
  • 新規  プライベートIP 10.0.0.11 を入手

aws-ami-2ether1

Elastic IPsからAllocate New addressのVPC タイプで新規のグローバルIPを入手します

新規にグローバルIP  54.65.47.1 を入手aws-ami-2ether2

サーバーを選択して、入手した新規のグローバルIPを新規のプライベートIPへアサインします

  • グローバルIP  54.65.47.1 をプライベートIP 10.0.0.11へアサイン

aws-ami-2ether3

一台のサーバーに2個のIPがアサインされています

  • 既存  プライベートIP 10.0.0.10  — グローバルIP 54.65.17.7 へアサイン
  • 新規  プライベートIP 10.0.0.11  — グローバルIP 54.65.47.7へアサイン

aws-ami-2ether4

仮想サイトを作成

  • 仮想サイトをプライベートIP 10.0.0.11  サイト名 kasou.xxx-yyy-zzz.com で作成します

aws-ami-kasou2

 

 

【SELinux 設定】

 

 

【Firewall 設定】

 

 

【Webサーバーの設定】

  • SNI対応
  • TLSレベル選択
  • ACMEプロトコル / MDモジュール対応

 

 

【DNSサービスの設定】

  • プライマリDNS / セカンダリDNS
  • SPF / SRV / TXTレコード

 

 

【仮想サイトの作成】

  • WebサイトへのSSLサーバー証明書登録(Public / Private / Let`s Encrypt )

 

 

【Webサイトの認証】

作成したWebサイトへのアクセスに、各種のWeb認証を設定できます

一般的なWebコンテンツのWebサイト WordPressのWebサイト
  • Basic認証
  • ワンタイムパスワード認証
  • SSLクライアント認証
  • SAML認証
  • OIDC認証
  • FID02生体認証
  • AD認証

複数のWeb認証を組み合わせて、多要素認証での運用にも対応

 

 

【2nd Ethernet】

サービスポートの Ethernet / eth0 と管理ポートの Ethernet / eth1 を分離する運用も可能です。

 

  • 2nd EthernetにIPをアサイン

 

  • 2nd Ethernetに管理画面アクセス用のFirewallを設定

 

 

【パッチのアップデート】

  • 製品やOSの最新パッチを適用

 

 

【ひとり情シス対応】

  • サーバーの自己監視やサービスの自動再起動機能
  • パッチのスケジュールアップデート機能
  • 管理者への通知機能

 

 

 

【セキュリティ監査対応】

セキュリティのレベルを保持するために、管理GUIから以下のパラメーターなどを設定・調整します

  • 最新パッチの適用
  • 必要最小限のサービスのみ有効
  • 暗号化のサービスの選択(例 imap ⇒ imaps  /  telnet ⇒ ssh & 証明書 )
  • TLSレベルの選択
  • Firewall調整
  • SELinux調整
  • 管理画面へのアクセス制限(アクセス元IP制限や2nd Ethernetの利用)
  • プログラムバージョンの表示抑制
  • 一般ユーザー権限の制限
  • Web認証(多要素認証化 / SSLクライアント認証 / ワンタイムパスワード認証)
  • ログの取得・保存・監査

 

 

 

【ログの長期保存やトラップ(オプション)】

syslog サーバーとしても運用が出来ます

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/05/syslog-5.png

  • シスログ送信・中継・受信の3モードでの同時運用に対応
  • 拠点間のログの安全な送受信
  • port指定に対応 ( UDP / TCP / RELP / TLS )
  • TLS認証に対応
  • 送信キューに対応

 

 

  • 複数サーバーのログ受信および保存

 

ログの保存期間 (設定例)

  • 受信ログは毎日ローテーション(365日x5年=1825回)を行い、保存期間は5年

 

 

【Powered BLUE サーバー設定】

  • AWSへの Powered BLUE サーバー設定後の引き渡しにも対応
  • 社内監査対応など

 

 

Powered BLUEの  デモサーバー

基本操作 / Web /  リバースプロキシ / SSLクライアント認証 / 仮想サイト などのデモが出来ます

 

 

【お問合せ】

 

 

 

ご質問やご相談など