富士通が運用するOpenStackのクラウド基盤 FUJITSU Hybrid IT Service FJcloud-O 上にRockyLinux 8.x や RedHat 8.xに対応のオールインワンのMail / Web / DNS機能のアプライアンス「Powered BLUE 880 インターネットサーバー」を構築する手順です。
Webサイトには、SSLクライアント認証やワンタイムパスワード認証、SAML認証、OIDC認証、FIDO2生体認証、AD認証などの各種の認証を設定することが出来ます。また認証対応のリバースプロキシとしても運用が可能です。
一般的なOpenStackで同様の構成での運用も可能です。
【FUJITSU Hybrid IT Service FJcloud-Oの特徴】
- OpenStack準拠
- 単一ゾーンでのSLA 99.99%
- アンチ・アフィニティをサポート
- 回線費用は無償(ベストエフォート)
- オブジェクトストレージからのダウンロード費用は無償
- Firewallは無償
- Ansible対応
- OpenStackの標準GUI Horizon対応
などです。
【OpenStack準拠】
FUJITSU Hybrid IT Service FJcloud-Oはアベイラビリティゾーンとして、OpenStackに準拠のjp-east3 / jp-west3 が選択出来ます。
jp-east3 / jp-west3ではansibleからの操作やOpenStack標準のGUIコンソールHorizonなどからも使用可能です。ansibleでのネットワーク構築からサーバー構築や設定までを一気通関で行なうことが出来ます。
また単一ゾーン構成でのSLA 99.99%をサポートしています。HA構成時に特定の仮想マシンが常に違うホストで実行されるアンチ・アフィニティ機能もサポート。特に支障が無ければ、アベイラビリティゾーンとして jp-east3 / jp-west3 での運用を推奨します。
【オブジェクトストレージからのダウンロードに課金されない】
FUJITSU Hybrid IT Service FJcloud-Oのネットワークの通信費用は、ベストエフォートの固定料金です。Firewallも標準で付属しており使用に際して、別途の費用は不要です。
またオブジェクトストレージのデータアップロード&ダウンロードにも費用はかかりません ( AWSや他社のクラウドサービスでは、オブジェクトストレージからのダウンロードに課金されます)。
インターネット側の回線もベストエフォートを選択することで、固定の通信費用での運用が出来ます(従量課金ではありません)。
ドル建てベースのサービスでは為替で費用が変動しますが、円での支払いで「固定料金」での運用が可能です。
【インターネットサーバー】
Powered BLUE 880 サーバーは、Mail / Web / DNS などのインターネットサーバー機能を「FUJITSU Hybrid IT Service FJcloud-O」上に構築の1台のPowered BLUE で運用することが出来ます
【Powered BLUE 880 の主な機能】
| Web | DNS | サービス監視 | パッチ適用 | |
| ✔ | ✔ | ✔ | ✔ | ✔ |
| SmartHost / Backuprelay DKIM / DMARC 送信ドメイン認証 SMTPへのSSL証明書登録 |
TLSレベル指定 SNI HSTS ACMEプロトコル / MDモジュール対応 WebへのSSL証明書登録 |
SPF TXT SRV |
サービスの 自動再起動 |
パッチの 自動適用 |
【拡張機能】
| フリープラグイン | Let’s Encrypt
WordPress |
| オプション | プライベート CA
SSLクライアント認証 ワンタイムパスワード認証 SAML認証 / OpenID Connect認証 AD認証 生体認証( FIDO2 / WebAuthn ) 各種認証対応リバースプロキシ フォワードプロキシ シスログサーバー Keycloak |
| サードパーティソフト | 監視ソフト / Mattermost / 他 |
【スペック】
「FUJITSU Hybrid IT Service FJcloud-O」環境上に RockyLinux 8.x OSで運用する「Powered BLUE 880」アプライアンスサーバーを構築&提供します。( RedHat 8.xも選択可能 )
| Powered BLUE 880 Server Spec | 内容 |
| OS | RockyLinux 8.x / RedHat OS 8.x |
| CPU / memory / HDD / Ethernet | 1-vCPU (Min) / 1024MB(Min) / 30GB(Min) / Ether x 1 (Min) |
【アプライアンス】
【dhcp環境】
尚Powered BLUEのインストールに際して「FUJITSU Hybrid IT Service FJcloud-O」の基盤側では、以下のrouter,network,firewall,dhcp関連の事前設定が必要です。(通常はdhcp関連の項目は設定済です)
| router / network / firewall | インストール時にはポート 22 / 81 / 444 にアクセス出来ること |
| dhcp | dhcp 有効 |
| IPアドレス割り当てプール | dhcpで自動払い出し対象とするIPv4アドレスのレンジを設定 |
| ゲートウェイIP | dhcp機能で自動で払い出す、デフォルトゲートウェイのIPv4アドレスを設定 |
| DNSサーバー | dhcp機能で自動で払い出す、DNSサーバーのIPv4アドレスを設定 |
またインストール時には
- WAN側にアクセス出来ること
- DNSはインターネット側の名前を解決出来ること
- Firewall などはポート 22 / 81 / 444 にアクセス出来ること
などが必要です。
上記の設定後に、「FUJITSU Hybrid IT Service FJcloud-O」 で インスタンスを作成します。
- サーバー名設定 例 Powered BLUE 880
- サーバータイプ選択 例 C3-1 (1vCPU / 2048MB Memory)
- パブリックイメージ選択 例 RockyLinux 8.x
- HDD サイズ指定 例 30GB
Fujitsu Cloud Service for OSS(4OSS)上にRockyLinux 8.xのインスタンス構築設定 例
【セットアップウイザード開始】
ご利用者側では、セットアップウィザードからPowered BLUE サーバーの設定を行ないます。
http://xxx.yyy.zzz.xyz:444/
クラウド基盤のインスタンスのデフォルトの言語で表示(FJcloud-O は英語がデフォルト)
【基本設定】
- サーバー名(Host名 Domain名を指定)
- DNS (デフォルトでは、クラウド基盤からアサインされたIPが入っています)
- 管理者のパスワード
- 言語の表示切り替え設定 ( 例 Language で Japaneseを選択 )
- タイムゾーン(日本時間を選択)
などを設定
プライマリインターフェースのIPアドレスやgatewayは、クラウド基盤側からアサインされたものを変更せずにそのまま利用します
DNSなどは適宜変更可能です。
GUI表示を英語版から日本語へ切り替えます
ウイザードの終了後に、サーバーへ再ログインします
【Powere BLUE へログイン】
admin のパスワードは、セットアップウイザードで指定したパスワードを入力します
【使用するサービスの有効化】
個別サービスの on / off を選択します
- DNS / FTP / Web / 仮想サイト機能 (デフォルトはoff)
【DNS / FTP / Web / 仮想サイト機能 (サービスの有効化 / on )】
【SMTPサービスの設定】
- POPS / IMAPS
- 送信メールのSmarthost 2重化( スマートリレイ / バックアップリレイ )
- 受信メールの配送経路指定
- DKIM / DMARC / SPF ( 送信ドメイン認証 )
【SMTPサーバーのSSL証明書】
SMTPサーバーが利用するSSLサーバー証明書を登録できます。SSL証明書としては、Public / Private などSSL証明書を登録できます。
- 電子メールサーバー専用のSSL証明書の登録機能
【サーバーの時刻の設定】
- NTPサーバーを指定 (2重)
【SELinux 設定】
【Firewall 設定】
【Webサーバーの設定】
- SNI対応
- TLSレベル選択
- ACMEプロトコル / MDモジュール対応
【DNSサービスの設定】
- プライマリDNS / セカンダリDNS
- SPF / SRV / TXTレコード
【仮想サイトの作成】
- WebサイトへのSSLサーバー証明書登録(Public / Private / Let`s Encrypt )
【Webサイトの認証】
作成したWebサイトへのアクセスに、各種のWeb認証を設定できます
 |
 |
|
| 一般的なWebコンテンツのWebサイト | WordPressのWebサイト |
- Basic認証
- ワンタイムパスワード認証
- SSLクライアント認証
- SAML認証
- OIDC認証
- FID02生体認証
- AD認証
複数のWeb認証を組み合わせて、多要素認証での運用にも対応
【認証対応のリバースプロキシ】
各種の認証に対応のリバースプロキシとしての運用に対応しています
- Basic認証
- ワンタイムパスワード認証
- SSLクライアント認証
- SAML認証
- OIDC認証
- FID02生体認証
- AD認証
【2nd Ethernet】
サービスポートの Ethernet / eth0 と管理ポートの Ethernet / eth1 を分離する運用も可能です。
- 2nd EthernetにIPをアサイン
- 2nd Ethernetに管理画面アクセス用のFirewallを設定
【パッチのアップデート】
- 製品やOSの最新パッチを適用
【ひとり情シス対応】
- サーバーの自己監視やサービスの自動再起動機能
- パッチのスケジュールアップデート機能
- 管理者への通知機能
【セキュリティ監査対応】
セキュリティのレベルを保持するために、管理GUIから以下のパラメーターなどを設定・調整します
- 最新パッチの適用
- 必要最小限のサービスのみ有効
- 暗号化のサービスの選択(例 imap ⇒ imaps / telnet ⇒ ssh & 証明書 )
- TLSレベルの選択
- Firewall調整
- SELinux調整
- 管理画面へのアクセス制限(アクセス元IP制限や2nd Ethernetの利用)
- プログラムバージョンの表示抑制
- 一般ユーザー権限の制限
- Web認証(多要素認証化 / SSLクライアント認証 / ワンタイムパスワード認証)
- ログの取得・保存・監査
【ログの長期保存やトラップ(オプション)】
syslog サーバーとしても運用が出来ます
- シスログ送信・中継・受信の3モードでの同時運用に対応
- 拠点間のログの安全な送受信
- port指定に対応 ( UDP / TCP / RELP / TLS )
- TLS認証に対応
- 送信キューに対応
- 複数サーバーのログ受信および保存
ログの保存期間 (設定例)
- 受信ログは毎日ローテーション(365日x5年=1825回)を行い、保存期間は5年
指定キーワードでのトラップ&管理者へ通知
- アラートには任意のキーワードでトラップを設定
- トラップが連続した場合でも、送信メールの間隔を設定
(例 xxx のキーワードを検知の場合、900秒間隔でのメール送信通知)
【Powered BLUE サーバー設定】
- FJCloud-O への Powered BLUE サーバー設定後の引き渡しにも対応
- セキュリティ監査対応など
【デモサイト】
【お問合せ】