データセンターゲートウェイを設定する

Workload Security が VMware vCenter または Active Directory サーバーからコンピュータのインベントリを取得できるようにするには、次の図に示すように、それらの間にデータセンターゲートウェイを配置する必要があります。

データセンターゲートウェイは接続をプロキシします。

ネットワークの中断やコンポーネントの障害が発生した場合の高可用性 (HA) のために、以下の図に示すように複数のデータセンターゲートウェイを展開することもできます。

基本的な手順は次のとおりです。

1. システム要件の確認
2. 権限の付与
3. データセンターゲートウェイソフトウェアのダウンロード
4. 認証情報ファイルのダウンロード
5. vCenter/Active Directory サーバーとプロキシの構成
6. データセンターゲートウェイのインストール

システム要件の確認

データセンターゲートウェイは、以下のプラットフォームでサポートされています:

* このプラットフォームにデータセンターゲートウェイの以前のバージョンをインストールしようとすると、既知のライブラリ互換性の問題が発生する可能性があります。これらの問題を解決する方法については、トラブルシューティング を参照してください。

最小ハードウェア要件:

• 1CPUまたは仮想CPU (vCPU)
• 2GBのメモリ (RAM)
• 1GBの空きディスク容量

ファイアウォールとプロキシも、必要なポート番号、ホスト名、およびIPアドレス とのネットワーク接続を許可する必要があります。

権限の付与

インストール中に、データセンターゲートウェイを認証情報で構成する必要があります。これらの認証情報はあなたのユーザアカウントに属していないため、管理者がそれらにアクセスするための特別な権限を付与する必要があります。

1. Workload Security コンソールで、管理 > ユーザ管理 > ロール に移動します。
2. データセンターゲートウェイの認証情報をダウンロードするユーザの役割を編集します。
3. [プロパティ]→[その他の権限]の順に選択します。データセンターゲートウェイの場合は、 完全を選択します。

データセンターゲートウェイソフトウェアをダウンロードすします

Red Hat Enterprise Linuxの場合、RPMファイルをダウンロードしてください。

Ubuntuの場合、DEBファイルをダウンロードしてください。

FIPSパッケージは、データセンターゲートウェイの政府導入向けに設計されています。このパッケージは、AWS上のUbuntu Pro FIPS 20.04と互換性があります。このパッケージを使用するには、環境にFIPSパッケージを含むUbuntu FIPS for AWS | Ubuntu イメージがあることを確認してください。

日付	Version	RPM ダウンロード	DEB ダウンロード	FIPS ダウンロード	リリースノート
2024年10月15日	1.0.51				このバージョンおよびそれ以降のバージョンは、Red Hat Enterprise Linux 9およびUbuntu 22.04をサポートしています。 以前のバージョンは、Red Hat Enterprise Linux 8およびUbuntu 20.04のみをサポートしており、Red Hat Enterprise Linux 9およびUbuntu 22.04をサポートしていません。
2024年6月12日	1.0.45				サードパーティライブラリを更新しました。 このバージョンおよびそれ以前のバージョンは、Red Hat Enterprise Linux 8およびUbuntu 20.04をサポートしています。バージョン1.0.51から、Data Center GatewayはRed Hat Enterprise Linux 9およびUbuntu 22.04をサポートします。 バージョン1.0.45およびそれ以前のバージョンは、Red Hat Enterprise Linux 9およびUbuntu 22.04をサポートしていません。
2022年2月07日	1.0.20			該当なし	サードパーティのライブラリがアップデートされました。
2021年12月15日	1.0.18			該当なし	サードパーティのライブラリがアップデートされました。
2021年8月30日	1.0.17			該当なし	トンネルログの強化とdcgw-controlヘルパーによるプロキシ設定のサポート
2021年7月26日	1.0.15			該当なし	データセンターゲートウェイは、トレンドマイクロが必要とするインターネット向けサービスおよび内部のvCenterまたはActive Directoryサーバの宛先に接続するためのプロキシをサポートします。
2021年5月28日	1.0.14			該当なし	起動時にサービスが自動的に起動しない問題を修正しました。
2021年3月28日	1.0.12			該当なし	Pythonライブラリの依存関係を更新しました。
2021年1月25日	1.0.7			該当なし	destination_allow_list.yamlのロードに失敗した場合の対処方法が改善されました。 RedHatにおけるサービスの起動に関する問題が修正されました。
2020年12月08日	1.0.2			該当なし

資格情報ファイルをダウンロードする

各資格情報ファイルには、データセンターゲートウェイが認証およびWorkload Securityとの通信に使用するキーと識別子が含まれています。

1. Workload Security コンソールで、管理 > システム設定 > データセンターゲートウェイ に移動します。
2. 新規 をクリックします。
3. 表示名を入力してください。
4. [Next] をクリックします。
5. [ 認証情報ファイルのダウンロード] をクリックします。ファイル名は変更しないでください。インストーラで必要になります。
6. 上記の手順を繰り返して、インストールするデータセンターゲートウェイごとに1つの資格情報ファイルをダウンロードします。

資格情報ファイルは、それぞれのデータセンターゲートウェイでのみ使用してください。HAペアとして展開されているデータセンターゲートウェイであっても、資格情報ファイルは一意です。同じファイルを複数のインストールにコピーすると、予期しない動作が発生する可能性があります。さらに、資格情報ファイルは安全な場所に保管し、アクセスを制限するために権限を使用してください。キーはパスワードと同様に秘密です。不正アクセスはセキュリティの侵害につながる可能性があります。{: .warning }

vCenterおよびActive Directoryサーバとプロキシの設定

インストール中に、データセンターゲートウェイが接続するVMware vCenterまたはMicrosoft Active Directoryサーバーのリストを提供する必要があります (セットアップに該当する場合)。プレーンテキストエディタを使用してリストを作成してください。リストはYAML形式で、destination_allow_list.yamlという名前にする必要があります。

リンターを使用して、リストが有効なYAML形式であることを確認します。インストーラは無効なファイルを使用できません。

データセンターゲートウェイがリスト内のすべてのネットワークアドレスに到達できることを確認します。データセンターゲートウェイをプロキシ経由でインターネット、または内部ネットワークのvCenterサーバまたはActive Directoryサーバに接続する必要がある場合は、プロキシを使用するようにデータセンターゲートウェイも設定します。

たとえば、destination_allow_list.yaml には次の文字列を含めることができます。

gateway_proxy:
  - HostName: "internet.proxy.example.com"
    Port: 3128
    Username: "intenet_proxy_user"
    Password: "internet_proxy_password"
destinations:
  - HostName: "vcenter1.datacenter.internal"
    Port: 443
  - HostName: "192.168.123.45"
    Port: 443
  - HostName: "adserver1.datacenter.internal"
    Port: 389
  - HostName: "192.168.123.46"
    Port: 389
    Proxy:
      HostName: "proxy.vCenter.internal"
      Port: 3128
      Username: "vcenter_proxy_user"
      Password: "vcenter_proxy_password"

説明:

• gateway_proxy セクションでは、データセンターゲートウェイがWorkload Securityへの接続に使用するプロキシを定義します。

• destinations セクションでは、vCenterサーバまたはActive Directoryサーバ、およびそれらへの接続に使用するプロキシ (存在する場合) を定義します。

• HostName は、Workload SecurityコンソールまたはAPIでvCenterまたはActive Directoryサーバを追加するために使用される識別子です。

各HostNameは一意でなければなりません。ドメイン名またはIPアドレスが他のHostNameと同じvCenterまたはActive Directoryサーバを指している場合、管理対象エージェントに予期しない動作を引き起こす可能性があります。

• Username および Password は、データセンターゲートウェイがプロキシへの接続に使用するログインです。認証が必要ない場合は省略します。

destination_allow_list.yaml は安全な場所に保管し、権限を使用してアクセスを制限します。パスワードが含まれています。不正アクセスは、セキュリティ上の問題を引き起こす可能性があります。また、各 HostName は一意である必要があることに注意してください。ドメイン名またはIPアドレスが別の HostNameと同じvCenter/ Active Directoryサーバを指している場合、管理下のエージェントで予期しない動作が発生する可能性があります。 {: .warning }

複数のHostNameエントリが同じIPアドレスに解決される場合、重複を防ぐために最初のドメイン名のみが有効になります。ドメイン名はIPアドレスよりも優先されます。例えば、次の構成が与えられた場合、データセンターゲートウェイはホスト名vc1.dc.internalのvCenterサーバと通信できます

 # Both "vc1.dc.internal" and "vc1.dc.example.com" resolve to 192.168.100.1

destinations:
  - HostName: "192.168.100.1"       # Does not take effect because hostnames take precedence over IP addresses
    Port: 443
  - HostName: "vc1.dc.internal"     # Takes effect
    Port: 443
  - HostName: "vc1.dc.example.com"  # Does not take effect because it resolves to the same IP address as previous hostname
    Port: 443

データセンターゲートウェイのインストール

データセンターゲートウェイをインストールするサーバで、インストーラ、認証情報、および設定ファイルをアップロードし、次のインストーラコマンドを入力します。

• Red Hat Enterprise Linux で: sudo DCGW_CRED_PATH="</absolute/path/to/credentials.json>" DCGW_ALLOW_LIST_PATH="</absolute/path/to/destination_allow_list.yaml>" rpm -ivh /path/to/rpm/file
• Ubuntu では: sudo DCGW_CRED_PATH="</absolute/path/to/credentials.json>" DCGW_ALLOW_LIST_PATH="</absolute/path/to/destination_allow_list.yaml>" apt install /path/to/deb/file

次のエラーメッセージのいずれかが表示された場合は、問題を修正して再試行してください。

インストールが成功したら、credentials.jsonとdestination_allow_list.yamlを削除するか、安全な場所にバックアップしてください。インストーラーはそれらを正しい権限で/var/opt/c1ws-dcgateway/conf/credentials.jsonと/var/opt/c1ws-dcgateway/conf/destiantion_allow_list.yamlにコピーします。元のファイルを保持する必要はありません。

データセンターゲートウェイが正常に実行されたら、Workload SecurityへのVMware vCenterの追加またはActive Directoryコンピュータの追加に進みます。

トラブルシューティング

データセンターゲートウェイのステータスの確認

データセンターゲートウェイがアクティブかどうか (プロセスが実行中かどうか) を確認するには、SSHまたはリモートデスクトップを使用してサーバに接続し、次のいずれかのコマンドを入力します。

journalctl -u c1ws-dcgw.service -f

または:

systemctl status c1ws-dcgw

ステータスと、追加されたvCenterサーバまたはActive Directoryサーバが表示されます。

[ステータス] には、送信先リストに追加されたサーバのみが表示されます。しませんvCenter またはActive Directoryとのネットワーク接続をテストする、個別に行う必要があります。

また、次のコマンドを入力して、エラーログが空であることを確認します。

less +G c1ws-dcgw-error.log

データセンターゲートウェイのネットワーク接続を確認する

vCenterまたはActive Directoryサーバのポートが開いていて、データセンターゲートウェイからアクセス可能であることを確認するには、データセンターゲートウェイサーバにログインし、次のコマンドを入力します。

nc -v SERVER_HOST_IP SERVER_HOST_PORT

説明:

• SERVER_HOST_IP vCenterまたはActive Directoryサーバのホスト名またはIPアドレスです。
• SERVER_HOST_PORT は待機ポート番号です。初期設定では、vCenterの場合は443、Active Directoryの場合は389 (StarTLS)/636 (LDAPS) です。

接続テストは成功するはずです。

成功しない場合は、ポート番号が開いていることを確認してください。また、DNS設定およびそれらの間にあるルータ、ファイアウォール、プロキシを確認してください。プロキシがある場合、接続はvCenterやActive Directoryサーバに直接ではなく、プロキシに成功する必要があります。

接続テストの結果、サーバに接続可能であるにもかかわらず、 Workload Security がデータを受信しない場合は、 データセンターゲートウェイのエラーログと接続試行を示すログを調べます。

less +G c1ws-dcgw.log

vCenterまたはActive Directoryサーバ (destination) と Workload Security FQDNの両方への接続試行が表示されます。設定されているホスト名とポート番号を確認します。

データセンターゲートウェイをアップグレードする

アップグレードするデータセンターゲートウェイがあるサーバにRPMまたはDEBファイルをアップロードし、次にアップグレードコマンドを入力します

• Red Hat Enterprise Linux で: sudo rpm -U <new data center gateway installer rpm>
• Ubuntu Linux では: sudo apt --only-upgrade install ./<new data center gateway installer deb>

アップグレードが完了したことを確認するには

1. データセンターゲートウェイのステータスを確認します と データセンターゲートウェイのネットワーク接続.
2. インストールされているソフトウェアのバージョン番号を確認します。
3. Red Hat Enterprise Linux で: rpm -q --info <data center gateway package name>
4. Ubuntu Linux では: apt show <data center gateway package name>