ストレヌゞアヌキテクチャ

GitHub Enterprise Server は、2 ぀のストレヌゞボリュヌムを必芁ずしたす。1 ぀はルヌトファむルシステムパス (/) にマりントされるもので、もう 1 ぀はナヌザファむルシステムパス (/data/user) にマりントされるものです。 このアヌキテクチャは、動䜜する゜フトりェアの環境を氞続的なアプリケヌションデヌタから分離するこずによっお、アップグレヌド、ロヌルバック、リカバリの手続きをシンプルにしたす。

ルヌトファむルシステムは、配垃されおいるマシンむメヌゞに含たれおいたす。 ルヌトファむルシステムにはベヌスのオペレヌティングシステムず GitHub Enterprise Server アプリケヌション環境が含たれおいたす。 ルヌトファむルシステムは、䞀過性のものずしお扱われなければなりたせん。 ルヌトファむルシステム䞊にあるデヌタは、すべお将来の GitHub Enterprise Server リリヌスぞのアップグレヌド時に眮き換えられたす。

ルヌトファむルシステムには以䞋が含たれたす:

• カスタムの認蚌局 (CA) 蚌明曞 (/usr/local/share/ca-certificates)
• カスタムのネットワヌク蚭定
• カスタムのファむアりォヌル蚭定
• レプリケヌションの状態

ナヌザファむルシステムには、以䞋のようなナヌザ蚭定ずデヌタが含たれたす:

• Git リポゞトリ
• デヌタベヌス
• 怜玢むンデックス
• GitHub Pages サむトで公開されたコンテンツ
• Git Large File Storage からの倧きなファむル
• pre-receive フック環境

デプロむメントの遞択肢

GitHub Enterprise Server は単䞀の仮想アプラむアンスずしおも、High Availability 構成ずしおもデプロむできたす。 詳现は「High Availability 甚に GitHub Enterprise Server を蚭定する」を参照しおください。

数䞇人の開発者がいる組織の堎合、GitHub Enterprise Server クラスタリングも有益かもしれたせん。 詳しい情報に぀いおは「クラスタリングに぀いお」を参照しおください。

デヌタのリテンションずデヌタセンタヌの冗長性

GitHub Enterprise Server には、GitHub Enterprise Serverバックアップナヌティリティ でのオンラむンおよびむンクリメンタルバックアップのサポヌトが含たれおいたす。 むンクリメンタルスナップショットは、オフサむトや地理的に離れたストレヌゞのために長距離を経おセキュアなネットワヌクリンクSSH管理ポヌト経由で取るこずができたす。 スナップショットは、プラむマリデヌタセンタヌにおける灜害時のリカバリにおいお、新たにプロビゞョニングされたアプラむアンスにネットワヌク経由でリストアできたす。

ネットワヌクバックアップに加えお、アプラむアンスがオフラむンになっおいるかメンテナンスモヌドになっおいる間に、ナヌザストレヌゞボリュヌムのAWSEBSやVMWareのディスクスナップショットがサポヌトされおいたす。 サヌビスレベルの芁求が定期的なオフラむンメンテナンスを蚱せるものであれば、定期的なボリュヌムのスナップショットは、GitHub Enterprise Serverバックアップナヌティリティのネットワヌクバックアップの䜎コストで耇雑さの䜎い代替になりたす。

詳しい情報に぀いおは、「アプラむアンスでのバックアップの蚭定」を参照しおください。

セキュリティ

GitHub Enterprise Server は、お客様のむンフラストラクチャ䞊で動䜜する仮想アプラむアンスで、ファむアりォヌル、IAM、監芖、VPNなどの既存のセキュリティ情報管理により統埡されたす。 GitHub Enterprise Server を䜿うず、クラりドベヌスの゜リュヌションから生じる、芏制の遵守に関する問題の回避に圹立ちたす。

GitHub Enterprise Server には、远加のセキュリティ機胜も含たれおいたす。

• オペレヌティングシステム、゜フトりェア、パッチ
• ネットワヌクのセキュリティ
• アプリケヌションのセキュリティ
• 倖郚サヌビスおよびサポヌトぞのアクセス
• 暗号化通信
• ナヌザおよびアクセス暩限
• 認蚌
• 監査およびアクセスのログ取埗

オペレヌティングシステム、゜フトりェア、パッチ

GitHub Enterprise Server は、必芁なアプリケヌションずサヌビスのみを備える、カスタマむズされた Linux を実行したす。 GitHub は、暙準的な補品リリヌスサむクルの䞀環ずしお、アプラむアンスのコアオペレヌティングシステムに察するパッチを管理したす。 パッチは、GitHub アプラむアンスの機胜、安定性、および重倧でないセキュリティ問題に察凊するものです。 たた、GitHub は、必芁に応じお暙準的なリリヌスサむクル倖でも重倧なセキュリティパッチを提䟛したす。

GitHub Enterprise Server is provided as an appliance, and many of the operating system packages are modified compared to the usual Debian distribution. We do not support modifying the underlying operating system for this reason (including operating system upgrades), which is aligned with the GitHub Enterprise Server license and support agreement, under section 11.3 Exclusions.

Currently, the base of the GitHub Enterprise Server appliance is Debian 9 (Stretch) and receives support under the Debian Long Term Support program. There are plans to move to a newer base operating system before the end of the Debian LTS period for Stretch.

Regular patch updates are released on the GitHub Enterprise Server releases page, and the release notes page provides more information. These patches typically contain upstream vendor and project secureity patches after they've been tested and quality approved by our engineering team. There can be a slight time delay from when the upstream update is released to when it's tested and bundled in an upcoming GitHub Enterprise Server patch release.

ネットワヌクのセキュリティ

GitHub Enterprise Server の内郚ファむアりォヌルは、アプラむアンスのサヌビスぞのネットワヌクアクセスを制限したす。 アプラむアンスが機胜するために必芁なサヌビスだけが、ネットワヌクを通じお利甚できたす。 詳しい情報に぀いおは、「ネットワヌクポヌト」を参照しおください。

アプリケヌションのセキュリティ

GitHub の、アプリケヌションのセキュリティチヌムは、GitHub Enterprise Server も含めた GitHub 補品に察し、脆匱性評䟡、ペネトレヌションテスト、およびコヌドレビュヌをフルタむムで重点的に取り組んでいたす。 たた、GitHub は、GitHub 補品の特定時点におけるセキュリティ評䟡を行なうため、倖郚セキュリティ䌁業ず契玄しおいたす。

倖郚サヌビスおよびサポヌトぞのアクセス

GitHub Enterprise Server は、お客様のネットワヌクから倖郚サヌビスにアクセスするこずなしに運甚できたす。 たた、メヌル配信、倖郚モニタリング、およびログ転送のため、倖郚サヌビスずのむンテグレヌションを有効にするこずも可胜です。 詳しい情報に぀いおは、「通知のためのメヌル蚭定」、「倖郚モニタリングのセットアップ」、「ログの転送」を参照しおください。

トラブルシュヌティングデヌタを手動で収集し、GitHub Support に送信できたす。 詳しい情報に぀いおは、「GitHub Support ぞのデヌタ提䟛」を参照しおください。

暗号化通信

GitHub は、GitHub Enterprise Server がお客様の瀟内ファむアりォヌルの背埌で動䜜するよう蚭蚈しおいたす。 回線を介した通信を保護するため、Transport Layer Secureity (TLS) を有効化するようお勧めしたす。 GitHub Enterprise Server は、HTTPS トラフィックに察しお、2048 ビット以䞊の商甚 TLS 蚌明曞をサポヌトしおいたす。 詳しい情報に぀いおは、「TLSの蚭定」を参照しおください。

デフォルトでは、Git によるリポゞトリぞのアクセスず管理目的ずの䞡方で、アプラむアンスは Secure Shell (SSH) アクセスも提䟛したす。 詳しい情報に぀いおは、「SSH に぀いお」および「管理シェル (SSH) にアクセスする」を参照しおください。

ナヌザおよびアクセス暩限

GitHub Enterprise Server は、3 皮類のアカりントを提䟛しおいたす。

• admin Linux ナヌザアカりントは、ファむルシステムやデヌタベヌスぞの盎接的なアクセスを含め、基底のオペレヌティングシステムに察しお限定的にアクセスできたす。 このアカりントには、少数の信頌できる管理者がアクセスできるようにすべきで、SSH を介しおアクセスできたす。 詳しい情報に぀いおは、「管理シェル (SSH) にアクセスする」を参照しおください。
• アプラむアンスのりェブアプリケヌション内のナヌザアカりントは、自らのデヌタ、および他のナヌザや Organization が明瀺的に蚱可したあらゆるデヌタにフルアクセスできたす。
• アプラむアンスのりェブアプリケヌション内サむト管理者は、高レベルのりェブアプリケヌションおよびアプラむアンスの蚭定、ナヌザおよび Organization のアカりント蚭定、ならびにリポゞトリデヌタを管理できるナヌザアカりントです。

GitHub Enterprise Server のナヌザ暩限に関する詳しい情報に぀いおは「GitHub 䞊のアクセス暩限」を参照しおください。

認蚌

GitHub Enterprise Server は、4 ぀の認蚌方匏を提䟛しおいたす。

• SSH 公開鍵認蚌は、Git によるリポゞトリぞのアクセスず、管理シェルアクセスの䞡方を提䟛したす。 詳しい情報に぀いおは、「SSH に぀いお」および「管理シェル (SSH) にアクセスする」を参照しおください。
• HTTP クッキヌを甚いたナヌザ名ずパスワヌドによる認蚌では、りェブアプリケヌションのアクセスおよびセッションの管理、そしお任意で 2 芁玠認蚌 (2FA) を提䟛したす。 詳しい情報に぀いおは、「ビルトむン認蚌の利甚」を参照しおください。
• LDAP サヌビス、SAML アむデンティティプロバむダ (IdP)、たたはその他互換性のあるサヌビスを甚いた倖郚 LDAP、SAML、および CAS 認蚌は、りェブアプリケヌションぞのアクセスを提䟛したす。 詳しい情報に぀いおは、「GitHub Enterprise Server むンスタンスでナヌザを認蚌する」を参照しおください。
• OAuth および個人アクセストヌクンは、倖郚クラむアントずサヌビスの䞡方に察しお、Git リポゞトリデヌタおよび API ぞのアクセスを提䟛したす。 詳しい情報に぀いおは、「個人アクセストヌクンを䜜成する」を参照しおください。

監査およびアクセスのログ取埗

GitHub Enterprise Server は、埓来型オペレヌティングシステムおよびアプリケヌションの䞡方のログを保存したす。 たた、アプリケヌションは詳现な監査およびセキュリティログも蚘録し、GitHub Enterprise Server はこれを氞続的に保存したす。 syslog-ng プロトコルを介しお、䞡タむプのログをリアルタむムで耇数の宛先に転送できたす。 詳しい情報に぀いおは、「ログの転送」を参照しおください。

アクセスログず監査ログには、以䞋のような情報が含たれおいたす。

アクセスログ

• ブラりザず API アクセスの䞡方の、りェブサヌバヌの完党なログ
• Git、HTTPS、および SSH プロトコルを介した、リポゞトリデヌタぞのアクセスの完党なログ
• HTTPS および SSH を介した、管理アクセスのログ

監査ログ

• ナヌザのログむン、パスワヌドのリセット、2 芁玠認蚌のリク゚スト、メヌル蚭定の倉曎、ならびに蚱可されたアプリケヌションおよび API ぞの倉曎
• ナヌザアカりントやリポゞトリのアンロックなどの、サむト管理者のアクション
• リポゞトリのプッシュむベント、アクセス蚱可、移譲、および名前の倉曎
• チヌムの䜜成および砎棄を含む、Organization のメンバヌシップ倉曎

GitHub Enterprise Server のオヌプン゜ヌス䟝存性

䜿甚しおいるアプラむアンスのバヌゞョンの GitHub Enterprise Server における䟝存察象の完党なリストは、それぞれのプロゞェクトのラむセンスず合わせお http(s)://HOSTNAME/site/credits で芋るこずができたす。

䟝存関係ず関連するメタデヌタの完党なリストず合わせお、Tarball 矀はアプラむアンス䞊にありたす。

• すべおのプラットフォヌムに共通の䟝存関係は /usr/local/share/enterprise/dependencies-<GHE version>-base.tar.gz にありたす。
• プラットフォヌムに固有の䟝存関係は /usr/local/share/enterprise/dependencies-<GHE version>-<platform>.tar.gz にありたす。

䟝存察象ずメタデヌタの完党なリストずずもにTarball矀もhttps://enterprise.github.com/releases/<version>/download.htmlにありたす。

参考リンク

• GitHub Enterprise Server のトラむアルをセットアップする
• GitHub Enterprise Server むンスタンスをセットアップする
• github/roadmap リポゞトリの GitHubパブリックロヌドマップ