Shotgun のプロキシ サーバをセットアップする

はじめに

プロキシ サーバは、クライアントとエンドサーバ間の仲介者として機能するサーバです。 プロキシ サーバは Shotgun ユーザと Shotgun サービス間の分離レイヤとして使用されるため、インターネットの他の部分へのアクセスを制限しながら Shotgun にアクセスできるようにします。

推奨事項

Shotgun サイトでプロキシ サーバを使用することは可能ですが、ゲートウェイ サーバを使用することを強くお勧めします。

免責事項

このドキュメントは、プロキシ サーバのセットアップをサポートするためのクライアント向けガイドとして提供しています。 いくつかのヘルプを紹介していますが、プロキシ サーバはクライアントが管理するものであり、Shotgun によって実装されるものではありません。

また、このドキュメントには外部ソースがリンクされているため、参照する場合は自己責任でご使用ください。

用語集

プロキシ: クライアントとエンドサーバ間の仲介者として動作するサーバです。 プロキシの詳細については、Wikipedia (https://en.wikipedia.org/wiki/Proxy_server)を参照してください。 ニーズに応じてさまざまな種類のプロキシがあります。

フォワード プロキシ:クライアントの共通グループにプロキシ サービスを提供するプロキシです。 プロキシ設定により、要求が拒否できるため、対象のクライアント グループのセキュリティを強化できます。

コンテンツ フィルタリング プロキシ:最も一般的な URL や IP など、異なるメソッドに基づいて使用するコンテンツを制御するプロキシです。

IT: 情報技術のことです。

Shotgun Web アプリケーション: インターネット ブラウザを介して利用可能な Shotgun Web アプリケーションのことです。

スタートアップ

プロキシを使用する理由

主な理由はセキュリティです。 スタジオでは、ユーザにインターネットに直接アクセスさせないなど、厳しいセキュリティ要件を規定している場合があります。 多くの場合、プロキシを使用して Shotgun のアクセスを分離すれば、セキュリティ エキスパートの要求を満たせます。

SGCS_-_Shotgun_Ecosystem___Proxy.png

考えられる影響

プロキシの背後で、Shotgun Web アプリケーション、SG Toolkit、RV、SG Desktop は正常に動作します。 ただし、Shotgun は広範な動的 IP を持つクラウド プラットフォームであるため、ホワイトリスト登録が大きな負担を生む可能性があります。

使用すべきプロキシの種類

これはスタジオのインフラストラクチャによって異なります。 プロキシにはたくさんの種類があり、実際の実装は大きく異なります。 スタジオの規模によっては、他の目的でこのような技術を既に使用している場合があります。 このソリューションの一部を既に使用している場合があるため、IT 部門に相談してみてください。 専門的な製品や技術がたくさん利用可能で、スタジオで既に使用している可能性があります。

独自のソリューションの実装を検討している場合は、Web プロキシ サーバ(https://en.wikipedia.org/wiki/Proxy_server#Web_proxy_servers を参照)をセットアップできます。 Shotgun へのインターネット アクセスを制限するために、コンテンツ フィルタリング プロキシ(https://en.wikipedia.org/wiki/Proxy_server#Content-control_software を参照)を使用すると、Shotgun トラフィックは通過しますが、それ以外はブロックされます。 また、フォワード プロキシ(http://www.jscape.com/blog/bid/87783/Forward-Proxy-vs-Reverse-Proxy を参照)を使用することもできます。

以下に役立つリンクをいくつか示します。

Web プロキシ 説明 プロキシの例
Apache Httpd (https://httpd.apache.org/) 有名な Web サーバです。 フォワード プロキシの例(https://docs.trafficserver.apache.org/en/4.2.x/admin/forward-proxy.en.html)
Nginx (http://nginx.org/en/) 最もよく使われている Web サーバです。 現在けん引力を失っていますが、現在は有料版の Nginx Plus に力を注いでいます。 フォワード プロキシの例(https://ef.gy/using-nginx-as-a-proxy-server)(http://plonexp.leocorn.com/leocornus/leocornus.buildout.cfgrepo/xps33)
Squid (http://www.squid-cache.org/) ほとんどのオペレーティング システムに対して Web アクセス制限を実装する場合に使用されることの多い一般的なキャッシュ プロキシです。
Mac 上で利用可能なユーザ インタフェースがあります。
HTTP プロキシの例(https://www.linode.com/docs/networking/squid/squid-http-proxy-centos-6-4)
Web フィルタリングの例(https://www.howtoforge.com/web-filtering-on-squid-proxy)

プロキシに代わるもの

前述のとおり、推奨する方法はゲートウェイ サーバです。

また、ルータまたはファイアウォール レベルでアクセス制限を実装することもできます。 ユーザの専門知識によっては、このようなオプションを魅力的に感じる場合があるでしょう。 次の記事では、代替案について説明します。

http://www.dslreports.com/faq/14018

環境設定

自社のセットアップを理解する

先に進む前に、自社のサイトで Web アクセラレーションを有効にしているかを確認する必要があります。 これまでの経験から、米国以外では、Web アクセラレーションが有効になっているはずです。

Web アクセラレーション サービスについては 2 つのオプションがあります。

  1. Web アクセラレーション サービスで使用されるすべての IP アドレス範囲をホワイトリストに登録する。 IP 範囲を取得するには、Shotgun サポートまでお問い合わせください。
  2. Web アクセラレーション サービスを無効にする。

ホワイトリスト登録は Web アクセラレーション サービスでの課題です。 このサービスは広範な IP を使用しますが、定期的に変化します。 ただし、パフォーマンス上の理由から Web アクセラレーション サービスを有効にしておくことをお勧めします。これにより、米国外のクライアントの信頼性が大幅に向上します。

Shotgun はコンテンツの保存に AWS S3 を使用しています。 Web アクセラレーション サービスについては、AWS S3 に関する 2 つのオプションがあります。

  1. AWS IPS をホワイトリストに登録する。 詳細については、http://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html を参照してください。
  2. Shotgun S3 プロキシを使用する。 このオプションを使用できるのは、オレゴン地域にメディアを保存しているクライアントのみです。

S3 の IP スキーマは可変です。つまり、時間とともに IP が変化します。 このため、ホワイトリスト登録が難しくなります。 これを解決するために S3 プロキシを提供しています。 実装が大変でも、AWS IPS をホワイトリストに登録することをお勧めします。

SGCS_-_Shotgun_Ecosystem___S3_Proxy.png

プロキシ サーバとファイアウォールの設定

プロキシの実装は異なることがあるため、詳細は確認しません。 ただし、Shotgun へのトラフィックを許可するように設定したプロキシは次のようになります。

  • 次の IP の既定のポート(80、443)で Shotgun サイトへの HTTP と HTTPS トラフィックを許可します。
    • mystudio.shotgunstudio.com (mystudio はユーザの Shotgun サイト名)
    • tank.shotgunstudio.com (Tookit の更新用)
    • 74.50.63.109 (1 つ目の Shotgun 公開 IP)
    • 74.50.63.111 (2 つ目の Shotgun 公開 IP)
    • Web アクセラレーション サービスの IP の範囲
    • AWS IP の範囲
  • 認証の有無に関係なくトラフィックが転送されます。両方ともサポートされます。

同様に、インフラストラクチャがファイアウォールで保護されている場合は、同じホストまたは IP のトラフィックを許可する必要があります。

Shotgun Web アプリケーションの設定

Web アクセラレーションを無効にして、S3 プロキシを作動するには、Shotgun を使用する必要があります。 これには、Shotgun サポートでチケットを作成します

プロキシは Shotgun サービスと同じアドレスに配置されています。 そのため、プロキシとファイアウォールのレベルで設定を追加する必要はありません。 プロキシを使用すると、いくつかの影響があります。 「S3 プロキシを使用する場合の影響」を参照してください。

クライアント ワークステーションの設定

各ユーザ ステーションでプロキシの使用を設定する必要があります。 大規模な組織の場合、通常、ユーザ システムのセットアップ時にこのプロセスを行います。 主に 2 つの方法があります。

OS の設定

一部の OS は OS レベルの設定をサポートします。 このため、ほとんどのアプリケーションは既定でこのプロキシを使用します。

オペレーティング システム ドキュメント コメント
Mac OS X https://support.apple.com/kb/PH18553?locale=en_US Web とセキュアな Web の両方のプロキシを設定します
Windows   サポートされていません

ブラウザの設定

ブラウザ ドキュメント コメント
Chrome https://support.google.com/chrome/answer/106010?hl=en Mac OS X の場合は OS レベルで変更する必要があります
Firefox http://www.wikihow.com/Enter-Proxy-Settings-in-Firefox HTTP と SSL の両方のプロキシを設定します
Safari https://support.apple.com/kb/PH19223?locale=en_US Mac OS X の場合は OS レベルで変更する必要があります

Toolkit と SG Desktop を設定する

SG Toolkit と SG Desktop は、プロキシの背後で動作するように設定できます。 セットアップ方法の詳細については、次の Zendesk Forum を参照してください。

https://support.shotgunsoftware.com/entries/95442748-Initial-Setup-and-Configuration#Advanced%20Installation%20Topics

RV を設定する

RV がプロキシで動作するように設定することもできます。 下記の「プロキシの設定」で説明されているとおり、環境変数を使用して RV をセットアップできます。

http://www.tweaksoftware.com/static/documentation/rv/rv-6.2.7/html/rv_manual.html#Installation_Overview_Shotgun_Licensing_on_All_Platforms

これにより、Shotgun、Screening Room for RV、Shotgun 対応 RVLINKS から RV のバージョンを起動するなど、Shotgun 統合が動作するようになります。

FAQ

S3 プロキシを使用する場合に何か影響がありますか?

パフォーマンスに一定の影響があります。 S3 トラフィックは、S3 から直接送られるのではなく Shotgun サーバを介してルーティングされます。 つまり、遅延が増え、帯域幅が低くなります。

S3 プロキシの代わりに使用できるものはありますか?

簡単な方法はありません。 現在の S3 IP アドレスの範囲を許可するようにファイアウォールやプロキシを動的に設定できますが、大変難しくなる場合があります(http://serverfault.com/questions/551275/how-can-i-whitelist-oubound-from-private-subnet-traffic-to-s3-on-the-nat-instanc を参照)。

外部リソース

フォローする

0 コメント

ログインしてコメントを残してください。