ブログ | NGINX

NGINX インスタンス マネージャーを使用した大規模な構成の更新と証明書の管理

NGINX-F5 水平黒タイプ RGB の一部
トム・ガマル サムネイル
トム・ガマル
2021年6月30日公開

当社は今年初めに、企業が NGINX Open Source および NGINX Plus インスタンスを検出、追跡、保護、構成できるようにするために NGINX インスタンス マネージャーをリリースしました。 以下の機能を導入した NGINX インスタンス マネージャー バージョン 1.0 を発表できることを嬉しく思います。

  • NGINX インスタンスとユーザー ロールのタグ付け– アセットをグループ化して、大規模な管理を簡素化します。 数回クリックするだけで、グループ内のすべての NGINX インスタンスに構成とロールベースのアクセス制御 (RBAC) 設定を一度に適用できます。
  • 証明書管理– 期限切れの証明書を検出し、置き換えて、安全で中断のないサービスを確保します。

大規模な管理を簡素化するタグ付け

NGINX インスタンスの数が増えるほど、管理が難しくなる可能性があります。 NGINX インスタンスと RBAC ロールにタグを適用できるようになり、グループのすべてのメンバーに対して一度に操作できるようになりました。 NGINX インスタンスまたはロールは、任意の特性に基づいてグループ化できます。たとえば、管理チーム (DevOps、NetOps)、目的 (テスト、サンドボックス、本番)、オペレーティング システム (CentOS、Ubuntu)、NGINX モデル (NGINX Open Source、NGINX Plus)、環境 (AWS、オンプレミス、プライベート クラウド) 別にインスタンスを分類できます。

タグ付けを使用すると、次のようなタスクをより速く簡単に実行できます。

  • 大規模な構成管理- グループ内のすべてのタグ付けされた NGINX インスタンスに構成を一度に適用して、一貫性を確保できます。 次のスクリーンショットでは、インスタンスはオペレーティング システムと NGINX モデルによってタグ付けされています。

  • コンテキストでの監視- Grafana ダッシュボードには、コンマ区切りの値を持つタグフィールドが含まれています。 PromQL クエリを構築して、タグごとにグループ化されたメトリックを表示できます。

  • アクセス制御– OpenID Connect と JWT を使用した認証の NGINX Plus 実装により、タグ付けされたロールに基づいてユーザー アクセスを制限できます。 たとえば、QA チームのメンバーに、 testタグが付けられた NGINX インスタンスのみを管理することを許可できます。

    注記: この機能はテクノロジープレビューとして提供されます。 実稼働環境での使用は推奨されておらず、ベストエフォートベースでのみサポートを提供できます。

    スクリーンショットでは、 Financeロールを持つユーザーには、 Financeタグが付けられた NGINX インスタンスへの読み取り / 書き込みアクセス権が付与されていますが、他のインスタンスには付与されていません。 同様に、 Finance_ROロールを持つユーザーには、 Financeタグが付けられたインスタンスへの読み取り専用アクセス権のみがあります。

    このスクリーンショットでは、 user1Financeロールが割り当てられています (表示名Finance Read Writeで識別されます)。

中断のないサービスのための証明書管理

NGINX は現在、インターネット上で第 1 位の Web サーバーです。 非常に多くのサイトがこれに依存しているため、NGINX インスタンス上の SSL/TLS 証明書の有効期限が切れることで、障害が発生する可能性があります。 NGINX インスタンス マネージャーの証明書管理インターフェイスを使用すると、期限切れの証明書を検出して置き換え、安全で中断のないサービスを確保できます。

証明書スキャンからのレポートには、有効期限までの残り日数が指定されます。 API を利用して、更新された証明書が必要な Web サーバーを照会して追跡することができます。別のエージェントは必要ありません。 証明書の有効期限が切れていることがわかったら、証明書を置き換えることができます。 実際、インスタンス マネージャーを利用して、キー ファイルや JavaScript ファイル、証明書など、NGINX 構成で参照される任意のファイルを更新および置き換えることができます。

スクリーンショットは、ポート 443 でリッスンしている 10.1.1.0/24 の範囲の IP アドレスを持つ NGINX インスタンスの証明書スキャンの結果を示しています。

このスクリーンショットでは、構成エディターを使用して、管理対象の NGINX インスタンスに証明書をアップロードしています。

NGINX インスタンス マネージャーを試してみませんか?

30 日間の無料トライアルをダウンロードするか、使用事例についてご相談ください


「このブログ投稿には、入手できなくなった製品やサポートされなくなった製品が参照されている場合があります。 利用可能な F5 NGINX 製品およびソリューションに関する最新情報については、 NGINX 製品ファミリーをご覧ください。 NGINX は現在 F5 の一部です。 以前の NGINX.com リンクはすべて、F5.com の同様の NGINX コンテンツにリダイレクトされます。"