Amazon Web Services (アマゾン)上で、Powered BLUE 880 インターネットサーバーを構築する手順は以下の通りです。AWS/EC2にはRockyLinux 8.x 対応の「 Powered BLUE 880 」を AMIとして登録しています。ウイザードに従って、簡単にサーバーのセットアップが出来ます。HDDサイズは15GB以上 (最小)で指定します。
- 東京リージョン / HVM / EBS-Backed
Powered BLUE では、以下のようなインターネットサーバー機能をAWS上の1台での運用にも対応しています
基本機能 | マルドメイン Web / Mail / DNS / ftp |
フリープラグイン | Let’s Encrypt / WordPress |
オプション | プライベート CA SSLクライアント認証 OTP認証 SAL認証 / OIDC認証 FIDO2 / 生体認証 AD認証 リバースプロキシ syslog |
サーバータイプを選択します
(例 t2.micro / t2.small / t2.medium などから選択)
運用環境 最小スペック 1CPU / 1GB Memory / Ether x 1
VPNでアクセスの場合には、グローバルIPはアサインの必要はありません
インターネット側からアクセスの場合には、グローバルIPのアサインが必要です
すでに保有している固定IP(Elastic IP) をアサインしても構いません (推奨)
サーバーの起動後に、GUIでウイザードを実行します。GUIへのアクセスポートは http 81 / 444 番です firewallには TCP 81/444番 を通過させる設定が必要です
サーバーへのアクセス 例 http://54.65.86.66:444
Start ボタンを押します
Accept ボタンを押します
管理サーバー名などを入力します
DNS などはAWSのデフォルトで設定されたものでも構いません。自社で独自に構築するのであれば、適宜指定します。
サーバーのIP/Gatewayなどは、変更せずにこのまま利用します。
adminのパスワードを入力します。
Languageに日本語を選択すると、GUI表示は日本語となります。
ウイザードの終了後に、サーバーへ再ログインします
【使用するサービスの有効化】
個別サービスの on / off を選択します
- DNS / FTP / Web / 仮想サイト機能 (デフォルトはoff)
Powered BLUEは、管理サイトと仮想サイトを1個の同一IPでの運用および異なるIPでの運用に対応しています
1個の同一IPで管理サイトと仮想サイトを運用の場合 (グローバルIP=1個)
httpのアクセスの場合には、アクセスポートなどで振り分けを行います
管理サイトは444番 仮想サイト側は80番や443番でのアクセスとなります
SNI対応なので、仮想サイト側は複数のWebサイトの常時SSL化を固定IPアドレス1個での運用が出来ます
- 管理サイト-port 444 IP 10.0.0.10 b860-demo.mubit.com
- http://b860-demo.mubit.com:444/
- 仮想サイト1-port 80 IP 10.0.0.10 kasou.xxx-yyy-zzz.com
- http://kasou.xxx-yyy-zzz.com/
- 仮想サイト2-port 443 IP 10.0.0.10 kasou2.xxx-yyy-zzz.com
- https://kasou2.xxx-yyy-zzz.com/
- 仮想サイト3-port 443 IP 10.0.0.10 kasou3.xxx-yyy-zzz.com
- https://kasou3.xxx-yyy-zzz.com/
尚、利用しているDNSに、管理サイト、仮想サイト1、仮想サイト2 IP 10.0.0.10
- b860-demo.mubit.com
- kasou.xxx-yyy-zzz.com
- kasou2.xxx-yyy-zzz.com
の登録を行ないます
443番(SSL)で仮想サイトへアクセスの場合には、仮想サイトへ証明書 (自己証明やパブリックなサーバー証明書) を登録します (Let’s Encryptにも対応)
管理サイトと仮想サイトに異なるIPをアサインの場合 (複数のグローバルIPをアサインする)
AWSのNetwork Interfaces から アサインしたいサーバを選択してactionsタブのManagement Private IP Addressから自動もしくは手動でプライベートIPをアサインします。
- 既存 プライベートIP 10.0.0.10 はグローバルIP 54.65.17.7 へアサイン済
- 新規 プライベートIP 10.0.0.11 を入手
Elastic IPsからAllocate New addressのVPC タイプで新規のグローバルIPを入手します
サーバーを選択して、入手した新規のグローバルIPを新規のプライベートIPへアサインします
- グローバルIP 54.65.47.1 をプライベートIP 10.0.0.11へアサイン
一台のサーバーに2個のIPがアサインされています
- 既存 プライベートIP 10.0.0.10 — グローバルIP 54.65.17.7 へアサイン
- 新規 プライベートIP 10.0.0.11 — グローバルIP 54.65.47.7へアサイン
仮想サイトを作成
- 仮想サイトをプライベートIP 10.0.0.11 サイト名 kasou.xxx-yyy-zzz.com で作成します
【SELinux 設定】
【Firewall 設定】
【Webサーバーの設定】
- SNI対応
- TLSレベル選択
- ACMEプロトコル / MDモジュール対応
【DNSサービスの設定】
- プライマリDNS / セカンダリDNS
- SPF / SRV / TXTレコード
【仮想サイトの作成】
- WebサイトへのSSLサーバー証明書登録(Public / Private / Let`s Encrypt )
【Webサイトの認証】
作成したWebサイトへのアクセスに、各種のWeb認証を設定できます
一般的なWebコンテンツのWebサイト | WordPressのWebサイト |
- Basic認証
- ワンタイムパスワード認証
- SSLクライアント認証
- SAML認証
- OIDC認証
- FID02生体認証
- AD認証
複数のWeb認証を組み合わせて、多要素認証での運用にも対応
【2nd Ethernet】
サービスポートの Ethernet / eth0 と管理ポートの Ethernet / eth1 を分離する運用も可能です。
- 2nd EthernetにIPをアサイン
- 2nd Ethernetに管理画面アクセス用のFirewallを設定
【パッチのアップデート】
- 製品やOSの最新パッチを適用
【ひとり情シス対応】
- サーバーの自己監視やサービスの自動再起動機能
- パッチのスケジュールアップデート機能
- 管理者への通知機能
【セキュリティ監査対応】
セキュリティのレベルを保持するために、管理GUIから以下のパラメーターなどを設定・調整します
- 最新パッチの適用
- 必要最小限のサービスのみ有効
- 暗号化のサービスの選択(例 imap ⇒ imaps / telnet ⇒ ssh & 証明書 )
- TLSレベルの選択
- Firewall調整
- SELinux調整
- 管理画面へのアクセス制限(アクセス元IP制限や2nd Ethernetの利用)
- プログラムバージョンの表示抑制
- 一般ユーザー権限の制限
- Web認証(多要素認証化 / SSLクライアント認証 / ワンタイムパスワード認証)
- ログの取得・保存・監査
【ログの長期保存やトラップ(オプション)】
syslog サーバーとしても運用が出来ます
- シスログ送信・中継・受信の3モードでの同時運用に対応
- 拠点間のログの安全な送受信
- port指定に対応 ( UDP / TCP / RELP / TLS )
- TLS認証に対応
- 送信キューに対応
- 複数サーバーのログ受信および保存
ログの保存期間 (設定例)
- 受信ログは毎日ローテーション(365日x5年=1825回)を行い、保存期間は5年
【Powered BLUE サーバー設定】
- AWSへの Powered BLUE サーバー設定後の引き渡しにも対応
- 社内監査対応など
Powered BLUEの デモサーバー
基本操作 / Web / リバースプロキシ / SSLクライアント認証 / 仮想サイト などのデモが出来ます
【お問合せ】