ベアメタルサーバのコンソール接続手順

対象リージョン：東日本第3／西日本第3

SSL-VPN接続を利用してベアメタルサーバのコンソール（iRMC）に接続します。

注:

リモートデスクトップ接続の場合、SSL-VPN接続を利用できません。
iRMCを利用する場合は、お客様の作業端末にWebブラウザおよびJAVAが必要（タイプ5M6 の場合は不要）です。
ベアメタルサーバを解約する前に、使用していたコンソール（iRMC）接続を必ず閉塞してください。

始める前に

SSL-VPN接続にはクライアント証明書とパスワードの2要素認証が必要です。SSL-VPN接続のために必要な情報は以下のとおりです。

SSL-VPN接続用のユーザー名
注:
2022年5月19日以降に新規でコンソール接続を生成する場合

ユーザー名の末尾には、接続するベアメタルサーバの物理ポート（任意）の、MACアドレス下位6桁（英数字）を付与してください。

異なるベアメタルサーバにアクセスする場合は、MACアドレスを変更した別ユーザーを作成してください。
例：
- ユーザー名：username-b11220
- MACアドレス：3c:fd:fe:b1:12:20
既にコンソール接続を利用している場合は、現行のユーザーを継続して利用できます。ただし、再作成する際は上記の命名規則に従ってユーザーを作成してください。
SSL-VPN接続用のパスワード

SSL-VPN接続用のパスワードはIaaS環境に保存されないため、利用者での管理が必要です。
SSL-VPN接続用のクライアント証明書

pkcs12形式のクライアント証明書およびCA証明書をベアメタルサービス契約時に弊社から送付します。
注: 旧証明書（baremetal-console）を利用する場合
旧証明書（baremetal-console）も当面の間は利用できます。

ただし新証明書リリースに伴い、旧証明書は、新旧証明書の併用可能期間の終了後に無効化されることから、なるべく早く新証明書へ切り替えてください。

旧証明書が無効化されるまでの間、まだ新証明書が配布されていないなどの理由で、旧証明書（baremetal-console）でコンソールの開設やSSL-VPNに接続する場合は、以下のとおり対応してください。
- コンソール（iRMC）の開設
  コンソール開設にAPIを利用するときには、common_nameパラメータを指定せずに実行してください。
- コンソール（iRMC）に接続するための情報確認
  common_nameパラメータは表示されません。また、別途「SSL-VPN接続用のログイングループ」を確認し、SSL-VPN接続時に指定してください。

このタスクについて

ベアメタルサーバのコンソール（iRMC）に接続するための手順を以下に示します。各手順で実行するAPIの詳細については、IaaS APIリファレンスを参照してください。

手順

コンソール（iRMC）の開設

以下のコマンドを実行し、ベアメタルサーバのコンソール（iRMC）を開設します。

# export OS_AUTH_TOKEN="取得済みトークン文字列"
# export SERVER_ID="ベアメタルサーバのID"
# export VPN_USERNAME="クライアントのVPNユーザー名"
# export VPN_PASSWORD="クライアントのVPNパスワード"
# export VPN_CLIENT_IP="クライアントのIPアドレス"
# export COMMON_NAME="契約番号"
# curl -k -s -H "X-Auth-Token: ${OS_AUTH_TOKEN}" -H 'Content-Type: application/json' -H 'Accept: application/json' -X POST "https://baremetal.jp-east-3.cloud.global.fujitsu.com/v1/server-consoles/${SERVER_ID}" -d '{"console_access_point": {"vpn_username":"'${VPN_USERNAME}'", "vpn_user_password":"'${VPN_PASSWORD}'", "user_access_source_ip":"'${VPN_CLIENT_IP}'", "common_name": "'$COMMON_NAME'"}}' | jq .

注: SSL-VPN接続時にHTTPプロキシサーバを経由する場合、"クライアントのIPアドレス"にはHTTPプロキシサーバのグローバルIPアドレスを指定してください。

コンソール（iRMC）に接続するための情報確認

以下のコマンドを実行します。

# export OS_AUTH_TOKEN="取得済みトークン文字列"
# export SERVER_ID="ベアメタルサーバのID"
# curl -k -s -H "X-Auth-Token: ${OS_AUTH_TOKEN}" -H 'Content-Type: application/json' -H 'Accept: application/json‘ -X GET "https://baremetal.jp-east-3.cloud.global.fujitsu.com/v1/server-consoles/${SERVER_ID}" | jq .

コンソール（iRMC）に接続するための情報が表示されます。

{
  "console_access_point": {
    "vpn_access_ip": "SSL-VPN接続先のIPアドレス",
    "tenant_id": "ベアメタルサーバのプロジェクトID",
    "console_ip_address": "コンソール（iRMC）のIPアドレス",
    "user_access_source_ip": "SSL-VPN接続用クライアントのIPアドレス",
    "id": "コンソールアクセスポイントのID",
    "vpn_groupname": "SSL-VPN接続用のログイングループ",
    "vpn_username": "SSL-VPN接続用のユーザー名",
    "server_id": "ベアメタルサーバのID",
    "status": "コンソールの状態",
    "common_name": "契約番号"
  }
}

コンソールの状態が“ACTIVE”の場合、コンソール（iRMC）は開設されています。
SSL-VPN接続には以下の情報を使用します。
- SSL-VPN接続用のユーザー名
- SSL-VPN接続用のパスワード
注: コンソール（iRMC）の IPアドレス（console_ip_address）は、コンソール（iRMC）を閉塞してから再開設すると変更されるおそれがあります。

コンソール（iRMC）のアカウント情報設定

以下のコマンドを実行し、ベアメタルサーバのコンソール（iRMC）にログインするためのアカウント情報を設定します。

# export OS_AUTH_TOKEN="取得済みトークン文字列"
# export SERVER_ID="ベアメタルサーバのID"
# export IRMC_USERNAME="新しいコンソール（iRMC）のユーザー名"
# export IRMC_PASSWORD="新しいコンソール（iRMC）のパスワード"
# curl -k -s -H "X-Auth-Token: ${OS_AUTH_TOKEN}" -H 'Content-Type: application/json' -H 'Accept: application/json' -X PUT "https://baremetal.jp-east-3.cloud.global.fujitsu.com/v1/server-accounts/${SERVER_ID}" -d '{"account":{"username" :"'${IRMC_USERNAME}'","user_password":"'${IRMC_PASSWORD}'"}}' | jq .

コンソール（iRMC）にログインするためのアカウント情報が表示されます。

{
  "account": {
    "server_id": "ベアメタルサーバのID",
    "tenant_id": "ベアメタルサーバのプロジェクトID",
    "updated_at": "更新日",
    "username": "設定されたコンソール（iRMC）のユーザー名",
    "user_password": "設定されたコンソール（iRMC）のパスワード"
  }
}

ヒント: SSL-VPN接続後、Webブラウザでコンソール（iRMC）のIPアドレスにアクセスします。その際に、本手順で設定したコンソール（iRMC）のユーザー名とパスワードを使用します。

SSL-VPN接続用クライアントのセットアップ

ベアメタルサービス契約時に弊社から送付されたクライアント証明書を、SSL-VPN接続用クライアントに登録します。
SSL-VPN接続用クライアントからSSL-VPN接続
コンソール接続用エンドポントへSSL-VPN接続します。SSL-VPN接続に必要な情報は以下のとおりです。
- SSL-VPN接続先
  jp-east-3：
  - Webブラウザによる接続の場合（初回の Cisco AnyConnectインストール時など）
```
https://baremetal-mgmt.jp-east-3.cloud.global.fujitsu.com
```
  - Cisco AnyConnect Clientからの接続の場合
```
baremetal-mgmt.jp-east-3.cloud.global.fujitsu.com
```
  jp-west-3：
  - Webブラウザによる接続の場合（初回の Cisco AnyConnectインストール時など）
```
https://baremetal-mgmt.jp-west-3.cloud.global.fujitsu.com
```
  - Cisco AnyConnect Clientからの接続の場合
```
baremetal-mgmt.jp-west-3.cloud.global.fujitsu.com
```
- SSL-VPN接続用のユーザー名
- SSL-VPN接続用のパスワード
ベアメタルサーバのコンソール（iRMC）に接続
SSL-VPN接続用クライアントからWebブラウザでコンソール（iRMC）のIPアドレスにアクセス・ログインします。コンソール（iRMC）のアクセス・ログインに必要な情報は以下のとおりです。
- コンソール（iRMC）のIPアドレス
- 設定されたコンソール（iRMC）のユーザー名
- 設定されたコンソール（iRMC）のパスワード
注: 設定したコンソール（iRMC）接続用アカウントでログインできなかった場合、再度アカウント情報を設定してからログインしてください。
ヒント:
Advanced Video Redirection（AVR）とバーチャルメディアの利用方法についてはiRMC Webインターフェースマニュアルを参照してください。

マニュアルは、以下の手順でダウンロードできます。
1. 「富士通製品サポート」ページを開きます。
2. 画面右上の「サーチ」をクリックします。
3. テキストボックスに「iRMC Webインターフェース」と入力します。
4. 「サーチ」ボタンをクリックします。
5. 「言語(Language)」の指定で、「他の言語(other languages)」をチェックし、選択画面の「Japanese」をチェックします。
6. 「サーチ」ボタンをクリックします。

本サービスでサポートする暗号化スイート一覧は以下です。

cipher suite	TLS v1	TLS v1.1	TLS v1.2	SSL v3
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384			◯
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384			◯
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384			◯
TLS_RSA_WITH_AES_256_GCM_SHA384			◯
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384			◯
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384			◯
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256			◯
TLS_RSA_WITH_AES_256_CBC_SHA256			◯
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256			◯
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256			◯
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256			◯
TLS_RSA_WITH_AES_128_GCM_SHA256			◯
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256			◯
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256			◯
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256			◯
TLS_RSA_WITH_AES_128_CBC_SHA256			◯
TLS_DHE_RSA_WITH_AES_256_CBC_SHA			◯
TLS_RSA_WITH_AES_256_CBC_SHA			◯
TLS_DHE_RSA_WITH_AES_128_CBC_SHA			◯
TLS_RSA_WITH_AES_128_CBC_SHA			◯

サーバ証明関連
- 公開キー：鍵長2048ビットのRSA
- 署名アルゴリズム：RSA付きSHA256
- ハッシュ関数：SHA256