クラスタリングされた TURN Server を境界 DMZ にデプロイする

インターネットと、Media Manager コンポーネントをホストする DMZ の両方から分離する追加の「境界」DMZ に TURN Server クラスタをデプロイし、TURN Server 用にパブリック IP アドレスを使用します。この構成により、クライアントはパブリック IP アドレスを使用してファイアウォール経由で TURN Server にアクセスし、応答のソースを検証することができます。ただし、クラスタは他の IBM® Sametime® サーバーから分離されます。

この構成には最も多くの作業が必要ですが、その代わりに最も高度なセキュリティを確保することができます。

以下の図に、追加の「境界」DMZ 内の TURN Server クラスタを示します。境界 DMZ は、そのクラスタを、インターネットからも、Media Manager コンポーネントをホストする DMZ からも分離します。

境界 DMZ に配置されている TURN Server クラスタ

この図では、異なるセキュリティゾーンが色分けされており、ファイアウォールで分離されています。DMZ ゾーンが 2 つあることに注意してください。1 つは TURN Server クラスタをインターネットから分離するために使用され、もう一つはクラスタを他の Sametime サーバーから分離するために使用されます。TURN Server クラスタは追加の非武装地帯にデプロイされているため、ファイアウォールによってクラスタとインターネットが分離されています。外部クライアントが TURN Server に接続して IP アドレスを検証できるようにするため、ファイアウォールを透過モードで構成する必要があります。これにより、TURN Server クラスタは潜在的なセキュリティ上の危険にさらされることになります。

Sametime Media Manager コンポーネントは、個別の DMZ にデプロイされます。これにより、TURN Server クラスタとの間にファイアウォールが配置されるため、TURN Server クラスタで発生する可能性がある問題からサーバーを保護するのに役立ちます。Media Manager コンポーネントを TURN Server クラスタから分離するファイアウォールをルーティングモードで構成すると、さらにセキュリティを高めることができます。

内部クライアントは社内 LAN 上でホストされているため、Media Manager や TURN Server よりも危険度は低くなっています。

この構成を実装する場合は、以下の要件が満たされていることを確認してください。

  • TURN Server クラスタと NAT (Network Address Translator) を一緒に使用することはできません (外部クライアントがサーバーの IP アドレスを認識できないため)。
  • TURN Server クラスタのすべてのメンバーが、同じ listen ポート上に存在している必要があります (デフォルトはポート 3478)。
  • 透過 (ブリッジング) モードを使用するようにインターネット用のファイアウォールを構成し、外部クライアントがファイアウォール内部の TURN Server に直接接続できるようにする必要があります。
  • Sametime ビデオ MCU のすべてのインスタンスが、TURN Server クラスタのすべてのメンバーと、クラスタの前面に配置されているロードバランサにアクセスできる必要があります。
  • 社内 LAN 上でホストされているすべての内部クライアントが、Sametime ビデオ MCU と、TURN Server クラスタの前面に配置されているロードバランサの両方にアクセスできる必要があります。
  • インターネット上でホストされているすべての外部クライアントが、TURN Server クラスタのすべてのメンバーと、クラスタの前面に配置されているロードバランサにアクセスできる必要があります。

内部クライアント、外部クライアント、ビデオ MCU が TURN Server クラスタへの接続を要求するたびに、最初の割り当て要求がロードバランサに送信され、そこから TURN Server クラスタのいずれかのメンバーにディスパッチされます。 この TURN Server は、要求の発信元 (クライアントまたは ビデオ MCU) に「300 リダイレクト」メッセージを送信します。これにより、後続の要求がロードバランサではなくこの TURN Server に直接送信されることになります。外部クライアントがクラスタ内の TURN Server に直接接続できない場合は、リダイレクトホストアドレスを構成して、クライアント接続を全体セッションのロードバランサ経由で経路指定します。詳細は、外部クライアントが TURN Server と通信できるようにするを参照してください。