デプロイおよびネットワーク要件
- 最終更新日2024/07/11
デプロイおよびネットワーク要件
HTTPS 接続用の証明書に基づくデプロイ アーキテクチャと、関連するポート、ストレージ、VM、および DNS の要件について説明します。
デプロイ
このデプロイ モデルでは、PEG へのすべての接続はお客様が管理するネットワーク内に維持されます。
アーキテクチャ
ポート要件
次の表は、受信 IP アドレスと送信 IP アドレスのポート要件を示しています。
ポート | プロトコル | 目的 | 受信非公開 IP | 受信公開 IP | 公開インターネットへの送信 |
---|---|---|---|---|---|
22 | TCP | 管理者用 ssh 接続 | ✓ | ||
443 | TCP |
受信 HTTPS (TLS 1.2) 経由のデスクトップ センサーとビジネス アナリストの接続 送信 PEG は、マスキング済みのデータを プロセス ディスカバリー に送信します。 リポジトリから PEG インストーラーや更新などをプル ダウンするためにも使用されます センサーは プロセス ディスカバリー クラウドに直接接続し、構成情報のみを取得します。収集したデータがセンサーから プロセス ディスカバリー クラウドに直接送信されることはありません。 |
✓ | ✓ | |
80 | TCP | Http から HTTPS (443) へのリダイレクトにも使用されます。 | ✓ |
データの暗号化
- Secure Transmission Protocol (STP): PEG システムは、クラウド プラットフォームへのすべてのデータ送信に HTTPS を採用して、転送時の暗号化の使用を確実にし、データ漏洩から保護します。
- トランスポート レイヤー セキュリティ (TLS) 暗号化: PEG からクラウドに転送されるデータは、TLS プロトコルを使用して暗号化されます。このプロトコルは、安全な Web 通信の業界標準です。
- 機密性と整合性: HTTPS によって提供される暗号化により、PEG から送信されるデータの機密性と整合性が保持されて、不正な開示や変更を防止します。
- 証明書を介した認証: クラウド プラットフォームの ID は、HTTPS プロトコルの一部としてデジタル証明書を使用して認証されます。これは、ハッキングや攻撃、および不正なデータ アクセスを防止するのに役立ちます。
- 堅牢な暗号化アルゴリズム: HTTPS は、Advanced Encryption Standard (AES) や Rivest-Shamir-Adleman (RSA) など、強力な暗号化アルゴリズムを組み込んで、データ交換用の安全なチャネルを作成します。
VM のサイズ要件
PEG のインストールでは、以下の VM サイズがサポートされています。- Microsoft Azure: NC8as T4 v3
- AWS: g4dn.4xlarge
- Google Cloud Platform: N1-highmem-8、1 nvidia-tesla-t4 GPU 付き
ストレージ要件
OS またはルート ディスクに 2TB 以上のニアライン SSD ストレージがあることを確認します。プラットフォームのストレージ暗号化メカニズムを使用してディスクを暗号化します。
- データ保護: MinIO は、ハードウェアの障害およびデータの破損からデータを保護するために、イレイジャー コーディングおよびビット腐敗保護をサポートしています。
- セキュリティ: MinIO は、転送時の暗号化 (TLS) および保存時の暗号化、ID およびアクセス管理 (IAM)、バケット ポリシーのサポート、アクセス制御リスト (ACL) など、堅牢なセキュリティ機能を提供します。
非構造化データの保存に加えて、過去のリストやブロック リストなど、テキスト ファイルも MiNIO に保存されます。ただし、画像は K-Lite の URL からアクセスされるため、MiNIO から直接アクセスされることはありません。このストレージは、デバッグ手順の場合や、転送された元画像の追加チェックが必要な場合に使用できる、ブラウザベースのアクセスを備えています。
- 画像を読み取り、UI に表示するために K-Lite によって使用される読み取り専用ユーザー
- 追加の権限を必要としているタスクに使用できるストレージ管理者ユーザー
DNS 要件
使用する apex ドメイン名 (例: example.com) を PEG に提供します。それに基づいて、PEG は、作成する必要がある DNS サブ ドメイン レコードについて通知します。