Skip to Content
製品インストールシステムアーキテクチャとネットワークアクセス制御

システムアーキテクチャとネットワークアクセス制御

システムアーキテクチャ

QueryPie Server、QueryPie User Agent、User PCのWeb Browser、そして利用者のアクセス対象であるDatabase、Linux Serverなどのシステムがどのように構成され、接続されるかを確認します。

システムアーキテクチャ構成図

このシステムアーキテクチャは単一LinuxサーバにQueryPie Serviceをインストールする場合のアーキテクチャです。 TLS証明書を適用したウェブサービス、高可用性のための多重化構成などは含まれません。

Overview of QueryPie System Architecture

Overview of QueryPie System Architecture

各コンポーネントに関する説明は以下のとおりです。

User PCのWeb Browser

利用者のPCからウェブブラウザを通じてQueryPieウェブサービスに接続します。 QueryPieを利用するにはウェブブラウザが必須です。 QueryPie管理者、セキュリティポリシー運営者はQueryPie Web Consoleを通じてQueryPieサービスを管理します。

また、QueryPie利用者はQueryPie Web SQL Editor、Web Terminalを通じて対象システムにアクセスできます。

User PCのQueryPie User Agent

User PCで動作するDatabase Client Application、SSH Client Applicationを利用する場合、QueryPie User Agentが必要です。 QueryPie User AgentはUser PCで動作するLocal Proxy Agentの役割を実行します。 QueryPie Web Consoleにログインすると、QueryPie User Agentをダウンロードできます。

QueryPie User AgentはUser PCで動作する大部分のDatabase Client Application、SSH Client Applicationをサポートします。 (以降3rd Party Toolと表記します。)具体的な事例はこの文書を参照してください:Supported 3rd Party Tools (KO) 

QueryPie Server

Linux VMで動作するQueryPie ServerはWeb Console、Web SQL Editor、Web Terminalをウェブサービスとして提供します。 またSQL protocol、ssh protocolを理解してアクセス制御を実行するProxy serverを提供する核心的な役割を実行します。

QueryPie Serverは2つのコンポーネントを必要とします。

  • QueryPie Database
  • QueryPie Redis

QueryPie Database

QueryPie DatabaseはQueryPie Serverの動作のためのデータを保存します。 QueryPieのUser Account、Admin Account、接続対象システムの情報、アクセス制御ポリシーなどを保存します。 さらに、UserのQuery Log、System Access LogなどAudit情報を保存します。

MySQL、MariaDBまたは互換性のあるDatabaseをQueryPie Databaseとして使用できます。

  • AWS Aurora MySQL
  • GCP Cloud SQL for MySQL

QueryPie Redis

QueryPie RedisはQueryPie Serverの動作のためのCache役割を実行します。 QueryPie Serverが動作するために、必須として要求されるコンポーネントです。

Target Database

利用者がアクセスを希望するDatabaseサーバです。 QueryPie Serverは利用者とTarget Database間の中継役割を実行します。

Target Server System

利用者がアクセスを希望するLinux Server、Windows Serverなどのシステムです。 QueryPie Serverは利用者とTarget Server System間の中継役割を実行します。

ネットワークアクセス制御設定

ネットワークアクセスタイプ

QueryPieがインストールされたLinux VMを中心に、ネットワーク接続をOutbound、Inbound、2つのタイプに区分します。

  • Outbound:QueryPieがインストールされたLinux VMから、外部インターネットに接続するネットワークアクセスです。
  • Inbound:利用者のPCまたは顧客社内部ネットワークから、QueryPieがインストールされたLinux VMに接続するネットワークアクセスです。

ソフトウェアインストールのためのネットワークアクセス

Access TypeSourceDestinationProtocolPortDescription
OutboundQueryPie ServerFQDN: dl.querypie.com
IPv4 Address:
18.67.51.51,
18.67.51.67,
18.67.51.73,
18.67.51.76		TCP443製品インストールのための設定ファイルをダウンロードするwebsiteです。
OutboundQueryPie ServerFQDN: harbor.querypie.io
IPv4 Address:
15.164.47.8, 52.79.197.102		TCP443製品インストールのために、Docker Imageをダウンロードするwebsiteです。docker用語ではDocker Registryです。

製品使用のためのネットワークアクセス

以下の項目は製品使用のためのネットワークアクセスを説明します。 QueryPie製品の機能に従って、共通、DAC、SAC、KAC、WACに区分します。

共通

Access TypeSourceDestinationServiceProtocolPortDescription
InboundPC of Admin UserQueryPie ServerSSHTCP22Installation and management
InboundPC of Admin UserQueryPie ServerHTTPTCP80QueryPie Web Console
InboundPC of Admin UserQueryPie ServerHTTPSTCP443QueryPie Web Console
InboundPC of Admin UserQueryPie ServerCustom TCPTCP9000QueryPie Proxy for User Agent
InboundPC of Admin UserQueryPie ServerMySQLTCP3306(Optional) QueryPie Meta DB
InboundPC of Admin UserQueryPie ServerRedisTCP6379(Optional) QueryPie CacheDB
InboundAll the users
QueryPie Server
or
Application Load Balancer		HTTPTCP80QueryPie Web Console
InboundAll the users
QueryPie Server
or
Application Load Balancer		HTTPSTCP443( Recommended ) QueryPie Web Console
InboundAll the users
QueryPie Server
or
Network Load Balancer		Custom TCPTCP9000( Recommended ) QueryPie Proxy for User Agent

DAC

Access TypeSourceDestinationTypeProtocolPort RangeDescription
InboundUsers or Systems connecting to Agentless ProxyQueryPie ServerCustom TCPTCP40000 - 41000( Recommended ) QueryPie Agentless Proxy
InboundUsers or Systems connecting to Agentless ProxyQueryPie ServerCustom TCPTCP41001 - 45000(Optional) More ports for QueryPie Agentless Proxy

SAC

Access TypeSourceDestinationTypeProtocolPortDescription
OutboundQueryPie ServerTarget Linux ServersSSHTCP22When Users access target linux machines via QueryPie
OutboundQueryPie ServerTarget Windows ServersRDPTCP3389When Admin installs QueryPie RDP Agent on target Windows Servers.
OutboundQueryPie ServerTarget Windows ServersCustom RDPTCP13389When Users access target Windows Servers via QueryPie
OutboundQueryPie ServerTarget Windows ServersCustom TCPTCP13390Obsoleted - Port 13390 is not used anymore since version 10.2.2

KAC

Access TypeSourceDestinationTypeProtocolPortDescription
InboundAll the usersQueryPie Server
or
Network Load Balancer		Custom TCPTCP6443From Users to QueryPie KAC Proxy
OutboundQueryPie ServerTarget Kubernetes ClusterCustom TCPTCP6443From QueryPie Server to target Kubernetes Clusters

WAC

Access Ty peSourceDestinationTypeProtocolPortDescription
InboundAll the users
QueryPie Server
or
Network Load Balancer		Custom TCPTCP7447From Users to QueryPie WAC Proxy

Load Balancers設定

負荷分散、障害耐性を備えるために、QueryPie ServiceにLoad Balancerを適用する設定を表で説明します。

LBListenerTargetHealth CheckLB OptionDescription
Application Load Balancer
(L7)		HTTP / 80-NonedefaultRedirection to HTTPS
Application Load Balancer
(L7)		HTTPS / 443http://querypie:80 http://querypie:80/readyz Sticky SessionQueryPie Web Console
Network Load Balancer
(L4)		TCP / 9000querypie:9000http://querypie:80/readyz defaultQueryPie Agent (DAC, SAC)
Network Load Balancer
(L4)		TCP / 6443querypie:6443http://querypie:80/readyz defaultQueryPie Agent (KAC)
Network Load Balancer
(L4)		TCP / 7447querypie:7447http://querypie:80/readyz defaultQueryPie Agent (WAC)
Last updated on
AWS EKS環境でインストールコンテナ環境変数