AnsibleおよびTincVPNを使用してサーバーインフラストラクチャを保護する方法

提供:Dev Guides
移動先:案内検索

序章

このチュートリアルでは、構成管理ツールである Ansible を使用して、 Tinc でメッシュVPNをセットアップし、UbuntuサーバーとCentOSサーバー間のネットワーク通信を保護する方法を示します。

メッシュVPNは、サーバーが共有ネットワークを使用している場合に特に役立ちます。これにより、サーバーは、真にプライベートなネットワーク上で分離されているかのように通信できるようになります。 VPNの認証および暗号化機能によって提供される追加のセキュリティ層は、プライベートサービス(データベース、Elasticsearchクラスターなど)のネットワーク通信を不正アクセスや攻撃から保護します。 DigitalOceanのプライベートネットワーキング機能を使用している場合、このセキュリティ機能は、同じ地域内の同じチームまたはアカウントのサーバーですでに有効になっています。

複数の構成およびキーファイルをすべてのVPNメンバーに分散させる必要があるため、複数のサーバー間でVPNを手動で構成および保守することは困難であり、エラーが発生しやすくなります。 このため、ある時点でメンバーが変更される可能性のある実用的なメッシュVPNセットアップには、構成管理ツールを使用する必要があります。 任意の構成管理ツールを使用できますが、このチュートリアルでは、人気があり使いやすいため、Ansibleを使用しています。 このチュートリアルで使用するAnsiblePlaybookansible-tinc は、Ubuntu14.04およびCentOS7サーバーでテストされています。

背景の読書

付属のPlaybookがほとんどの作業を行うので、AnsibleやTincについてあまり知らなくても、このチュートリアルに従ってメッシュVPNをセットアップできるはずです。 ただし、設定内容の詳細を理解できるように、ある時点でそれらがどのように機能するかを確認することをお勧めします。

このTincVPNチュートリアルでは、TincVPNを手動でインストールおよび構成する方法について説明します。 Ansibleを使用してプロセスを自動化すると、管理がはるかに簡単になります。

Ansibleのインストールと構成の方法は、Ansibleがどのように機能するかについての非常に高レベルの紹介を提供します。 システム管理者のタスクを自動化するためにAnsiblePlaybookの作成を開始する場合は、このチュートリアルを確認してください。

前提条件

ローカルマシン

ローカルマシンは、AnsiblePlaybookを実行する場所です。 これはローカルマシンである可能性があります(例: ラップトップ)またはサーバーの管理に使用するその他のサーバー。 前述のように、rootとして各リモートサーバーに接続できる必要があります。

ローカルマシンにはAnsible2.0以降がインストールされている必要があります。 インストールプロセスはオペレーティングシステムまたはディストリビューションによって異なるため、インストールする必要がある場合は、公式のAnsibleインストールドキュメントを参照してください。

ローカルマシンにもGitがインストールされている必要があるため、ansible-tincプレイブックのコピーを簡単にダウンロードできます。 繰り返しになりますが、インストール手順はローカルマシンによって異なるため、公式Gitインストールガイドを参照してください。

リモートサーバー

リモートサーバーは、TincVPNを使用するように構成するホストです。 少なくとも2つから始める必要があります。 Ansible Playbookを使用するには、次の条件を満たしている必要があります。

  • Ubuntu14.04またはCentOS7を実行している
  • rootユーザー、、公開鍵認証を介して、ローカルマシン(Ansibleがインストールされている場合)にアクセスできます。

注: Playbookが使用するAnsibleSynchronizeモジュールバグのため、現時点では別のリモートユーザーを使用することはできません。


rootのパスワード認証をまだ無効にしていない場合は、PermitRootLogin without-password/etc/ssh/sshd_configファイルに追加してから、SSHを再起動することで無効にできます。

同じデータセンター内にあるDigitalOceanドロップレットを使用している場合は、それらすべてでプライベートネットワーキングを有効にする必要があります。 これにより、暗号化されたVPN通信にプライベートネットワークインターフェイスeth1を使用できるようになります。 提供されているPlaybookは、すべてのVPNノードが同じネットワークデバイス名を使用することを前提としています。

Ansible-TincPlaybookをダウンロードする

開始する準備ができたら、git cloneを使用してPlaybookのコピーをダウンロードします。 ホームディレクトリにクローンを作成します。 

cd ~
git clone https://github.com/thisismitch/ansible-tinc

次に、新しくダウンロードしたansible-tincディレクトリに移動します。 

cd ansible-tinc

注:このチュートリアルの残りの部分では、ローカルマシンのansible-tincディレクトリにいることを前提としています。 すべてのAnsibleコマンドは、このディレクトリから実行する必要があります。 また、/etc/hostsを除いて、参照されるすべてのファイルは、このパスに関連しています。 hosts~/ansible-tinc/hostsを指します。


次に、Playbookを使用してメッシュVPNを作成する方法を示します。 Ansibleに精通している場合は、Playbookの内容を参照するのに少し時間がかかる場合があります。 基本的に、Tincを使用してメッシュVPNをインストールおよび構成し、各サーバーの/etc/hostsに便利なエントリを追加します。

ホストインベントリファイルの作成

Playbookを実行する前に、TincVPNに含めるサーバーに関する情報を含むhostsファイルを作成する必要があります。 ここで、hostsファイルの内容を確認します。

〜/ ansible-tinc/hostsの例 

[vpn]
node01 vpn_ip=10.0.0.1 ansible_host=192.0.2.55
node02 vpn_ip=10.0.0.2 ansible_host=192.0.2.240
node03 vpn_ip=10.0.0.3 ansible_host=198.51.100.4
node04 vpn_ip=10.0.0.4 ansible_host=198.51.100.36

[removevpn]

最初の行[vpn]は、そのすぐ下のホストエントリが「vpn」グループの一部であることを示しています。 このグループのメンバーには、TincメッシュVPNが構成されています。

  • 最初の列は、ホストのインベントリ名「node01」を設定する場所です。例の最初の行では、Ansibleがホストを参照する方法を示しています。 この値は、Tinc接続を構成し、/etc/hostsエントリを生成するために使用されます。 Tincはホスト名でハイフンをサポートしていないため、ここではハイフンを使用しないでください
  • vpn_ipは、ノードがVPNに使用するIPアドレスです。 これを、サーバーがVPN接続に使用するIPアドレスに割り当てます
  • ansible_hostは、ローカルマシンがノードに到達できる値に設定する必要があります(つまり、 実際のIPアドレスまたはホスト名)

したがって、この例では、次のようなメッシュVPNで構成する4つのホストがあります。

hostsファイルにVPNに含めるすべてのサーバーが含まれたら、変更を保存します。 重複するエントリ(ホスト名、vpn_ipアドレス、またはansible_host値)が含まれていないことを確認してください。

この時点で、Ansibleがインベントリファイル内のすべてのホストに接続できることをテストする必要があります。 

ansible all -m ping

それらはすべて、緑色の「SUCCESS」メッセージで応答する必要があります。 いずれかの接続が失敗した場合は、hostsファイルでエラーをチェックし、問題のサーバーがすべて前提条件セクションにリストされている要件を満たしていることを確認してから次に進んでください。

グループ変数を確認する

Playbookを実行する前に、/group_vars/allファイルの内容を確認することをお勧めします。

/ group_vars / all 

---

netname: nyc3
physical_ip: "{{ ansible_eth1.ipv4.address }}"

vpn_interface: tun0

vpn_netmask: 255.255.255.0
vpn_subnet_cidr_netmask: 32

最も重要な2つの変数は、physical_ipvpn_netmaskです。

  • physical_ipは、tincがバインドするIPアドレスを指定します。 ここでは、 Ansible Fact を利用して、eth1ネットワークデバイスのIPアドレスに設定しています。 DigitalOceanでは、eth1はプライベートネットワークインターフェイスであるため、パブリックネットワークインターフェイスeth0を使用する場合を除き、プライベートネットワークを有効にして値を[ X202X]
  • vpn_netmaskは、VPNインターフェースに適用されるネットマスクを指定します。 デフォルトでは、255.255.255.0に設定されています。これは、各vpn_ipがクラスCアドレスであり、同じサブネット内の他のホストとのみ通信できることを意味します。 たとえば、10.0.0.x10.0.1.xホストと通信できません。

注: VPNのセキュリティ上の利点は、パブリックインターネットを介してサーバーに拡張できますが、通信には、非VPN接続と同じ遅延と帯域幅の制限があることに注意してください。


その他の設定の説明は次のとおりです。

  • netnameはtincネット名を指定します。 デフォルトではnyc3に設定されています。
  • vpn_interfaceは、tincが使用する仮想ネットワークインターフェイスの名前です。 デフォルトではtun0です。
  • vpn_subnet_cidr_netmaskは32に設定されています。これは、メッシュVPNを構成しているため、シングルホストサブネット(ポイントツーポイント)を示します。 この値は変更しないでください。

グループ変数の確認が完了したら、次のステップに進む準備ができているはずです。

TincVPNを導入する

インベントリホストファイルを作成し、グループ変数を確認したので、Playbookを実行して、Tincを展開し、サーバー全体にVPNをセットアップする準備が整いました。

ansible-tincディレクトリから、次のコマンドを実行してPlaybookを実行します。 

ansible-playbook site.yml

Playbookの実行中、実行される各タスクの出力を提供する必要があります。 すべてが正しく構成されている場合は、いくつかのokおよびchangedステータスが表示され、failedステータスはゼロになります。 

PLAY RECAP *********************************************************************node01                     : ok=18   changed=15   unreachable=0    failed=0
node02                     : ok=18   changed=15   unreachable=0    failed=0
node03                     : ok=21   changed=19   unreachable=0    failed=0
node04                     : ok=21   changed=19   unreachable=0    failed=0

失敗したタスクがない場合、インベントリファイル内のすべてのホストがVPNネットワークを介して相互に通信できる必要があります。

VPNをテストする

最初のホストにログインし、2番目のホストにpingを実行します。 

ping 10.0.0.2

Playbookはインベントリホスト名を各メンバーのVPNIPアドレスにポイントする/etc/hostsエントリを自動的に作成するため、次のようにすることもできます(ホストの1つがAnsibleでnode02という名前であると仮定します) hostsファイル): 

ping node02

いずれにせよ、有効なping応答が表示されるはずです。 

[secondary_label Output:
PING node02 (10.0.0.2) 56(84) bytes of data.
64 bytes from node02 (10.0.0.2): icmp_seq=1 ttl=64 time=1.42 ms
64 bytes from node02 (10.0.0.2): icmp_seq=2 ttl=64 time=1.03 ms
...

他のノード間のVPN接続を自由にテストしてください。

注:Tincはポート655を使用します。 pingテストが機能しない場合は、各ノードのファイアウォールが、VPNが使用している実際のネットワークデバイスを介した適切なトラフィックを許可していることを確認してください。


テストが完了すると、メッシュVPNを使用できるようになります。

サービスとアプリケーションの構成

メッシュVPNがセットアップされたので、それを使用するようにバックエンドサービスとアプリケーションを構成する必要があります(適切な場合)。 つまり、VPNを介して通信する必要があるサービスは、通常のプライベートIPアドレスではなく、適切なVPN IPアドレス(vpn_ip)を使用する必要があります。

たとえば、 node01 でNginxを使用し、node02でMySQLデータベースを使用してLEMPスタックを実行しているとします。 MySQLはVPNIPアドレス10.0.0.2にバインドするように構成する必要があり、PHPアプリケーションは10.0.0.2でデータベースに接続し、Nginxは192.0.2.55(node01のパブリックIPアドレス)をリッスンする必要があります)。

別の例として、 node01node02 、および node03 がElasticsearchクラスター内のノードである場合、Elasticsearchは10.0.0.1、[ X170X] 、および10.0.0.3をノードIPアドレスとして使用します。 同様に、クラスターに接続するすべてのクライアントもVPNアドレスを使用する必要があります。

ファイアウォールに関する考慮事項

VPNネットワークデバイス「tun0」またはVPNIPアドレスでのトラフィックを許可するには、ファイアウォールルールを更新する必要がある場合があります。

サーバーを追加または削除する方法

新しいサーバーを追加する

hostsファイルの[vpn]グループにリストされているすべてのサーバーがVPNの一部になります。 新しいVPNメンバーを追加するには、新しいサーバーを[vpn]グループに追加してから、Playbookを再実行します。 

ansible-playbook site.yml

サーバーを削除する

VPNメンバーを削除するには、削除するサーバーのhostsエントリを、[removevpn]グループの下のファイルの下部に移動します。

たとえば、 node04 を削除する場合、hostsファイルは次のようになります。

ホスト—VPNからnode04を削除します 

[vpn]
node01 vpn_ip=10.0.0.1 ansible_host=192.0.2.55
node02 vpn_ip=10.0.0.2 ansible_host=192.0.2.240
node03 vpn_ip=10.0.0.3 ansible_host=198.51.100.4

[removevpn]
node04 vpn_ip=10.0.0.4 ansible_host=198.51.100.36

ホストファイルを保存します。 vpn_ipはオプションであり、[removevpn]グループメンバーには使用されないことに注意してください。

次に、Playbookを再実行します。 

ansible-playbook site.yml

これにより、Tincが停止し、[removevpn]グループのメンバーからTinc構成ファイルとホストキーファイルが削除され、VPNから削除されます。

VPNからホストを削除すると、残りのVPNメンバーに孤立したtinchostsファイルと/etc/hostsエントリが生じることに注意してください。 後でVPNに新しいサーバーを追加して、廃止された名前を再利用しない限り、これは何にも影響しません。 これが問題になる場合は、各サーバーの適切な/etc/hostsエントリを削除してください。

結論

これで、サーバーインフラストラクチャは、TincとAnsibleを使用して、メッシュVPNによって保護されます。 特定のニーズに合わせてプレイブックを変更する必要がある場合は、GitHubフォークしてください。

幸運を!

https://www.finddevguides.com/index.php?title=AnsibleおよびTincVPNを使用してサーバーインフラストラクチャを保護する方法&oldid=105698」から取得
Powered by MediaWiki