WebRelease 運用環境構築例【1-A】
WebRelease サーバを社内に設置し、公開 Web サーバにはクラウドサービス、ホスティングサービス、専用サーバなどを利用する例です。
- WebRelease サーバは社内に設置します。
- WebRelease の操作は「WebRelease 利用者 PC」から行ないます。
- 公開 Web サーバはクラウドサービスを利用するなどして社外に設置します。
- WebRelease によって生成されたスタティックコンテンツは、WebRelease サーバから FireWall を経由して、データセンター側設備に設置されている公開 Web サーバに SFTP または FTP にて転送されます。
- 2 台の FireWall には、社内設備からデータセンター側設備の SFTP / FTP サーバへの 通信を通過させる設定が必要です。
- 公開 Web サーバ側には WebRelease サーバから転送されて来るスタティックコンテンツを受け入れるための SFTP または FTP サーバがインストール設定されている必要があります。
- 転送されたコンテンツは、データセンター側設備の公開 Web サーバからインターネットに公開されます。インターネット上のユーザは公開 Web サーバにアクセスしてコンテンツを利用します。
メリット
- 公開 Web サーバにはごく普通の Web サーバ設備がそのまま使えます。多くの場合、現在お使いの Web サーバをそのまま利用できるのではないでしょうか。
- 公開 Web サーバの運用管理は安価にクラウドサービス等にアウトソース可能です。そのため、簡単に無停止の公開 Web サーバを保有することができます。
- WebRelease サーバと公開 Web サーバが分離されているので、WebRelease サーバのメンテナンス時に公開 Web サーバを止める必要がありません。同様に、公開 Web サーバのメンテナンス時に WebRelease サーバを止める必要がありません。
- 公開 Web サーバの設定は WebRelease のことを考慮することなく自由に行えます。SSL や CGI の利用、アクセス制限、ログ解析など、必要な設定を WebRelease とは独立して行うことが可能です。
デメリット
- WebRelease サーバの運用管理を社内で行う必要があります。 WebRelease サーバはコンテンツの更新作業を行わない時には止めておくことも可能です。停止がが可能な状態でのサーバ運用ですので、運用管理は比較的やりやすいと言えるでしょう。
- WebRelease を社外から使用することができません。使用できるようにするためには、WebRelease を SSL 下で運用するなどのセキュリティ面での考慮を加えた上で、さらに、FireWall にも適切な設定を行う必要があるでしょう。
- データセンター利用分のランニングコストが発生しますが、最終的には自社設備を持つ場合に発生するコストとのトレードオフとなるでしょう。
セキュリティ
- WebRelease には社内 PC からのみアクセス可能です。外部から不正に接続されてしまう危険がありません。
- WebRelease のユーザ ID やパスワード等もインターネット上を通過しないので、傍受・悪用される危険がありません。もし社内 LAN 上での傍受にも対策を講じる必要があるようでしたら WebRelease を SSL 下で運用してください。WebRelease を SSL 下で運用するためには WebRelease サーバ上の Apache に、ごく普通の SSL の設定を加えれば OK です。
- WebRelease から公開サーバへのコンテンツ転送に SFTP ではなく FTP を使用する場合、FTP アカウント情報が傍受され漏洩する多少の危険が伴います。FTP サーバへの接続情報(ログインアカウント、パスワード)が暗号化されることなくインターネット上を通過するためです。公開 Web サーバへの FTP 接続情報が漏洩し、それが悪用されると、公開 Web サーバ上のコンテンツを破壊・改竄される危険があります。コンテンツの転送に SFTP を使う場合には通信はすべて暗号化されるため、このようなリスクはありません。
- 公開 Web サーバ側の FTP サーバに対して、接続可能な IP アドレスの制限が加えられるならば、実用的なレベルでの安全性は確保できると考えられます。
- それ以上に SFTP / FTP 経路の安全性を求めるならば、社内設備とホスティングサービス側設備の間に VPN を設置する等の対策が必要になります。
- データセンター側設備に FireWall が設置されていない場合があります。その場合は公開 Web サーバに使用されている OS のパケットフィルタ(iptables等)を使って、しっかりと Fire Wall 機能を実現してください。