AnsibleおよびTincVPNを使用してサーバーインフラストラクチャを保護する方法
序章
このチュートリアルでは、構成管理ツールである Ansible を使用して、 Tinc でメッシュVPNをセットアップし、UbuntuサーバーとCentOSサーバー間のネットワーク通信を保護する方法を示します。
メッシュVPNは、サーバーが共有ネットワークを使用している場合に特に役立ちます。これにより、サーバーは、真にプライベートなネットワーク上で分離されているかのように通信できるようになります。 VPNの認証および暗号化機能によって提供される追加のセキュリティ層は、プライベートサービス(データベース、Elasticsearchクラスターなど)のネットワーク通信を不正アクセスや攻撃から保護します。 DigitalOceanのプライベートネットワーキング機能を使用している場合、このセキュリティ機能は、同じ地域内の同じチームまたはアカウントのサーバーですでに有効になっています。
複数の構成およびキーファイルをすべてのVPNメンバーに分散させる必要があるため、複数のサーバー間でVPNを手動で構成および保守することは困難であり、エラーが発生しやすくなります。 このため、ある時点でメンバーが変更される可能性のある実用的なメッシュVPNセットアップには、構成管理ツールを使用する必要があります。 任意の構成管理ツールを使用できますが、このチュートリアルでは、人気があり使いやすいため、Ansibleを使用しています。 このチュートリアルで使用するAnsiblePlaybook 、 ansible-tinc は、Ubuntu14.04およびCentOS7サーバーでテストされています。
背景の読書
付属のPlaybookがほとんどの作業を行うので、AnsibleやTincについてあまり知らなくても、このチュートリアルに従ってメッシュVPNをセットアップできるはずです。 ただし、設定内容の詳細を理解できるように、ある時点でそれらがどのように機能するかを確認することをお勧めします。
このTincVPNチュートリアルでは、TincVPNを手動でインストールおよび構成する方法について説明します。 Ansibleを使用してプロセスを自動化すると、管理がはるかに簡単になります。
Ansibleのインストールと構成の方法は、Ansibleがどのように機能するかについての非常に高レベルの紹介を提供します。 システム管理者のタスクを自動化するためにAnsiblePlaybookの作成を開始する場合は、このチュートリアルを確認してください。
前提条件
ローカルマシン
ローカルマシンは、AnsiblePlaybookを実行する場所です。 これはローカルマシンである可能性があります(例: ラップトップ)またはサーバーの管理に使用するその他のサーバー。 前述のように、root
として各リモートサーバーに接続できる必要があります。
ローカルマシンにはAnsible2.0以降がインストールされている必要があります。 インストールプロセスはオペレーティングシステムまたはディストリビューションによって異なるため、インストールする必要がある場合は、公式のAnsibleインストールドキュメントを参照してください。
ローカルマシンにもGitがインストールされている必要があるため、ansible-tincプレイブックのコピーを簡単にダウンロードできます。 繰り返しになりますが、インストール手順はローカルマシンによって異なるため、公式Gitインストールガイドを参照してください。
リモートサーバー
リモートサーバーは、TincVPNを使用するように構成するホストです。 少なくとも2つから始める必要があります。 Ansible Playbookを使用するには、次の条件を満たしている必要があります。
- Ubuntu14.04またはCentOS7を実行している
root
ユーザー、、公開鍵認証を介して、ローカルマシン(Ansibleがインストールされている場合)にアクセスできます。
注: Playbookが使用するAnsibleSynchronizeモジュールのバグのため、現時点では別のリモートユーザーを使用することはできません。
root
のパスワード認証をまだ無効にしていない場合は、PermitRootLogin without-password
を/etc/ssh/sshd_config
ファイルに追加してから、SSHを再起動することで無効にできます。
同じデータセンター内にあるDigitalOceanドロップレットを使用している場合は、それらすべてでプライベートネットワーキングを有効にする必要があります。 これにより、暗号化されたVPN通信にプライベートネットワークインターフェイスeth1
を使用できるようになります。 提供されているPlaybookは、すべてのVPNノードが同じネットワークデバイス名を使用することを前提としています。
Ansible-TincPlaybookをダウンロードする
開始する準備ができたら、git clone
を使用してPlaybookのコピーをダウンロードします。 ホームディレクトリにクローンを作成します。
cd ~ git clone https://github.com/thisismitch/ansible-tinc
次に、新しくダウンロードしたansible-tinc
ディレクトリに移動します。
cd ansible-tinc
注:このチュートリアルの残りの部分では、ローカルマシンのansible-tinc
ディレクトリにいることを前提としています。 すべてのAnsibleコマンドは、このディレクトリから実行する必要があります。 また、/etc/hosts
を除いて、参照されるすべてのファイルは、このパスに関連しています。 hosts
は~/ansible-tinc/hosts
を指します。
次に、Playbookを使用してメッシュVPNを作成する方法を示します。 Ansibleに精通している場合は、Playbookの内容を参照するのに少し時間がかかる場合があります。 基本的に、Tincを使用してメッシュVPNをインストールおよび構成し、各サーバーの/etc/hosts
に便利なエントリを追加します。
ホストインベントリファイルの作成
Playbookを実行する前に、TincVPNに含めるサーバーに関する情報を含むhosts
ファイルを作成する必要があります。 ここで、hostsファイルの内容を確認します。
〜/ ansible-tinc/hostsの例
[vpn] node01 vpn_ip=10.0.0.1 ansible_host=192.0.2.55 node02 vpn_ip=10.0.0.2 ansible_host=192.0.2.240 node03 vpn_ip=10.0.0.3 ansible_host=198.51.100.4 node04 vpn_ip=10.0.0.4 ansible_host=198.51.100.36 [removevpn]
最初の行[vpn]
は、そのすぐ下のホストエントリが「vpn」グループの一部であることを示しています。 このグループのメンバーには、TincメッシュVPNが構成されています。
- 最初の列は、ホストのインベントリ名「node01」を設定する場所です。例の最初の行では、Ansibleがホストを参照する方法を示しています。 この値は、Tinc接続を構成し、
/etc/hosts
エントリを生成するために使用されます。 Tincはホスト名でハイフンをサポートしていないため、ここではハイフンを使用しないでください vpn_ip
は、ノードがVPNに使用するIPアドレスです。 これを、サーバーがVPN接続に使用するIPアドレスに割り当てますansible_host
は、ローカルマシンがノードに到達できる値に設定する必要があります(つまり、 実際のIPアドレスまたはホスト名)
したがって、この例では、次のようなメッシュVPNで構成する4つのホストがあります。
hosts
ファイルにVPNに含めるすべてのサーバーが含まれたら、変更を保存します。 重複するエントリ(ホスト名、vpn_ip
アドレス、またはansible_host
値)が含まれていないことを確認してください。
この時点で、Ansibleがインベントリファイル内のすべてのホストに接続できることをテストする必要があります。
ansible all -m ping
それらはすべて、緑色の「SUCCESS」メッセージで応答する必要があります。 いずれかの接続が失敗した場合は、hostsファイルでエラーをチェックし、問題のサーバーがすべて前提条件セクションにリストされている要件を満たしていることを確認してから次に進んでください。
グループ変数を確認する
Playbookを実行する前に、/group_vars/all
ファイルの内容を確認することをお勧めします。
/ group_vars / all
--- netname: nyc3 physical_ip: "{{ ansible_eth1.ipv4.address }}" vpn_interface: tun0 vpn_netmask: 255.255.255.0 vpn_subnet_cidr_netmask: 32
最も重要な2つの変数は、physical_ip
とvpn_netmask
です。
physical_ip
は、tincがバインドするIPアドレスを指定します。 ここでは、 Ansible Fact を利用して、eth1
ネットワークデバイスのIPアドレスに設定しています。 DigitalOceanでは、eth1
はプライベートネットワークインターフェイスであるため、パブリックネットワークインターフェイスeth0
を使用する場合を除き、プライベートネットワークを有効にして値を[ X202X]vpn_netmask
は、VPNインターフェースに適用されるネットマスクを指定します。 デフォルトでは、255.255.255.0
に設定されています。これは、各vpn_ip
がクラスCアドレスであり、同じサブネット内の他のホストとのみ通信できることを意味します。 たとえば、10.0.0.x
は10.0.1.x
ホストと通信できません。
注: VPNのセキュリティ上の利点は、パブリックインターネットを介してサーバーに拡張できますが、通信には、非VPN接続と同じ遅延と帯域幅の制限があることに注意してください。
その他の設定の説明は次のとおりです。
netname
はtincネット名を指定します。 デフォルトではnyc3
に設定されています。vpn_interface
は、tincが使用する仮想ネットワークインターフェイスの名前です。 デフォルトではtun0
です。vpn_subnet_cidr_netmask
は32に設定されています。これは、メッシュVPNを構成しているため、シングルホストサブネット(ポイントツーポイント)を示します。 この値は変更しないでください。
グループ変数の確認が完了したら、次のステップに進む準備ができているはずです。
TincVPNを導入する
インベントリホストファイルを作成し、グループ変数を確認したので、Playbookを実行して、Tincを展開し、サーバー全体にVPNをセットアップする準備が整いました。
ansible-tinc
ディレクトリから、次のコマンドを実行してPlaybookを実行します。
ansible-playbook site.yml
Playbookの実行中、実行される各タスクの出力を提供する必要があります。 すべてが正しく構成されている場合は、いくつかのok
およびchanged
ステータスが表示され、failed
ステータスはゼロになります。
PLAY RECAP *********************************************************************node01 : ok=18 changed=15 unreachable=0 failed=0 node02 : ok=18 changed=15 unreachable=0 failed=0 node03 : ok=21 changed=19 unreachable=0 failed=0 node04 : ok=21 changed=19 unreachable=0 failed=0
失敗したタスクがない場合、インベントリファイル内のすべてのホストがVPNネットワークを介して相互に通信できる必要があります。
VPNをテストする
最初のホストにログインし、2番目のホストにpingを実行します。
ping 10.0.0.2
Playbookはインベントリホスト名を各メンバーのVPNIPアドレスにポイントする/etc/hosts
エントリを自動的に作成するため、次のようにすることもできます(ホストの1つがAnsibleでnode02
という名前であると仮定します) hosts
ファイル):
ping node02
いずれにせよ、有効なping応答が表示されるはずです。
[secondary_label Output: PING node02 (10.0.0.2) 56(84) bytes of data. 64 bytes from node02 (10.0.0.2): icmp_seq=1 ttl=64 time=1.42 ms 64 bytes from node02 (10.0.0.2): icmp_seq=2 ttl=64 time=1.03 ms ...
他のノード間のVPN接続を自由にテストしてください。
注:Tincはポート655
を使用します。 pingテストが機能しない場合は、各ノードのファイアウォールが、VPNが使用している実際のネットワークデバイスを介した適切なトラフィックを許可していることを確認してください。
テストが完了すると、メッシュVPNを使用できるようになります。
サービスとアプリケーションの構成
メッシュVPNがセットアップされたので、それを使用するようにバックエンドサービスとアプリケーションを構成する必要があります(適切な場合)。 つまり、VPNを介して通信する必要があるサービスは、通常のプライベートIPアドレスではなく、適切なVPN IPアドレス(vpn_ip
)を使用する必要があります。
たとえば、 node01 でNginxを使用し、node02でMySQLデータベースを使用してLEMPスタックを実行しているとします。 MySQLはVPNIPアドレス10.0.0.2
にバインドするように構成する必要があり、PHPアプリケーションは10.0.0.2
でデータベースに接続し、Nginxは192.0.2.55
(node01のパブリックIPアドレス)をリッスンする必要があります)。
別の例として、 node01 、 node02 、および node03 がElasticsearchクラスター内のノードである場合、Elasticsearchは10.0.0.1
、[ X170X] 、および10.0.0.3
をノードIPアドレスとして使用します。 同様に、クラスターに接続するすべてのクライアントもVPNアドレスを使用する必要があります。
ファイアウォールに関する考慮事項
VPNネットワークデバイス「tun0」またはVPNIPアドレスでのトラフィックを許可するには、ファイアウォールルールを更新する必要がある場合があります。
サーバーを追加または削除する方法
新しいサーバーを追加する
hosts
ファイルの[vpn]
グループにリストされているすべてのサーバーがVPNの一部になります。 新しいVPNメンバーを追加するには、新しいサーバーを[vpn]
グループに追加してから、Playbookを再実行します。
ansible-playbook site.yml
サーバーを削除する
VPNメンバーを削除するには、削除するサーバーのhosts
エントリを、[removevpn]
グループの下のファイルの下部に移動します。
たとえば、 node04 を削除する場合、hosts
ファイルは次のようになります。
ホスト—VPNからnode04を削除します
[vpn] node01 vpn_ip=10.0.0.1 ansible_host=192.0.2.55 node02 vpn_ip=10.0.0.2 ansible_host=192.0.2.240 node03 vpn_ip=10.0.0.3 ansible_host=198.51.100.4 [removevpn] node04 vpn_ip=10.0.0.4 ansible_host=198.51.100.36
ホストファイルを保存します。 vpn_ip
はオプションであり、[removevpn]
グループメンバーには使用されないことに注意してください。
次に、Playbookを再実行します。
ansible-playbook site.yml
これにより、Tincが停止し、[removevpn]
グループのメンバーからTinc構成ファイルとホストキーファイルが削除され、VPNから削除されます。
VPNからホストを削除すると、残りのVPNメンバーに孤立したtinchostsファイルと/etc/hostsエントリが生じることに注意してください。 後でVPNに新しいサーバーを追加して、廃止された名前を再利用しない限り、これは何にも影響しません。 これが問題になる場合は、各サーバーの適切な/etc/hosts
エントリを削除してください。
結論
これで、サーバーインフラストラクチャは、TincとAnsibleを使用して、メッシュVPNによって保護されます。 特定のニーズに合わせてプレイブックを変更する必要がある場合は、GitHubでフォークしてください。
幸運を!