SPにアクセスできるIPアドレスの管理

デフォルトでは、SPはあらゆるIPアドレスの管理ホストからのSSH接続要求を受け付けます。指定するIPアドレスを持つ管理ホストのみからのSSH接続要求を受け付けるようにSPを設定できます。実施する変更内容は、クラスタ内の任意のノードのSPへのSSHアクセスに適用されます。

手順

  1. 指定するIPアドレスのみにSPアクセスを付与するには、system service-processor ssh add-allowed-addressesコマンドに-allowed-addressesパラメータを指定して使用します。
    • -allowed-addressesパラメータの値は、address/netmaskの形式で指定する必要があり、複数のaddress/netmaskのペアはカンマで区切る必要があります。例として、10.98.150.10/24, fd20:8b1e:b255:c09b::/64のようになります。

      -allowed-addressesパラメータを0.0.0.0/0, ::/0に設定すると、すべてのIPアドレスがSPにアクセスできるようになります(デフォルト)。

    • 指定したIPアドレスのみにSPアクセスを制限することでデフォルトの設定を変更すると、指定したIPアドレスで「allow all」のデフォルト設定(0.0.0.0/0, ::/0)を置き換えることの確認を求めるプロンプトが表示されます。
    • system service-processor ssh showコマンドを使用すると、SPにアクセスできるIPアドレスが表示されます。
  2. 指定したIPアドレスをSPへのアクセスからブロックする場合、system service-processor ssh remove-allowed-addressesコマンドに-allowed-addressesパラメータを指定して使用します。
    すべてのIPアドレスをSPへのアクセスからブロックする場合、SPはすべての管理ホストからアクセス不能になります。

SPにアクセスできるIPアドレスの管理の例

次の例は、SPへのSSHアクセスのためのデフォルト設定を示しています。ここでは、指定したIPアドレスのみにSPアクセスを制限することで、デフォルトの設定を変更し、指定したIPアドレスをアクセス リストから削除し、すべてのIPアドレスに対するSPアクセスをリストアします。

cluster1::> system service-processor ssh show
  Allowed Addresses: 0.0.0.0/0, ::/0

cluster1::> system service-processor ssh add-allowed-addresses -allowed-addresses 192.168.1.202/24, 192.168.10.201/24

Warning: The default "allow all" setting (0.0.0.0/0, ::/0) will be replaced
         with your changes. Do you want to continue? {y|n}: y

cluster1::> system service-processor ssh show
  Allowed Addresses: 192.168.1.202/24, 192.168.10.201/24

cluster1::> system service-processor ssh remove-allowed-addresses -allowed-addresses 192.168.1.202/24, 192.168.10.201/24

Warning: If all IP addresses are removed from the allowed address list, all IP
         addresses will be denied access. To restore the "allow all" default,
         use the "system service-processor ssh add-allowed-addresses
         -allowed-addresses 0.0.0.0/0, ::/0" command. Do you want to continue?
          {y|n}: y

cluster1::> system service-processor ssh show
  Allowed Addresses: -

cluster1::> system service-processor ssh add-allowed-addresses -allowed-addresses 0.0.0.0/0, ::/0

cluster1::> system service-processor ssh show
  Allowed Addresses: 0.0.0.0/0, ::/0