データセンターゲートウェイを設定する

データセンターゲートウェイを使用すると、 Workload Security とvCenter間の通信が可能になり、 Workload Security が仮想マシンインベントリをvCenter Serverから取得できるようになります。データセンターにインストールされているゲートウェイは、 Workload Securityの代わりにvCenter Serverに接続します（下の図を参照）。

データセンターゲートウェイと Workload Security は互いに認証し、暗号化されたチャネルを介して通信します（TLS / 443）。

各データセンターゲートウェイは、アクセス可能なvCenter Serverのアドレスのリストを保持しています。Workload Security は仮想マシンのデータをvCenterと同期する予定ですが、接続されたデータセンターゲートウェイは、 Workload Security からの要求を指定されたvCenter Serverにブリッジします。

階層化された保護を実現するには、データセンターゲートウェイの周囲にファイアウォールを配置して宛先を制限します。

データセンターゲートウェイの設定

1.システム要件が正しいことを確認してください

データセンターゲートウェイは、次のプラットフォームでサポートされています。

• Red Hat Enterprise Linux 7
• Red Hat Enterprise Linux 8
• Ubuntu 18.04
• Ubuntu 20.04

少なくとも、2GBのメモリと1GBのディスク容量を備えた1つの仮想CPUが必要です。

2.データセンターゲートウェイで[すべてのアクセス権]を有効にします

[ Administration]→[User Management]→[Roles]→[Properties]→[Other Rights]の順に選択し、[ Data Center Gateways]で[Full]を選択します。

3.データセンターゲートウェイソフトウェアをダウンロードします

日付	Version	RPMダウンロード	DEBダウンロード	リリースノート
2021年8月30日	1.0.17			トンネルログの強化とdcgw-controlヘルパーによるプロキシ設定のサポート
2021年7月26日	1.0.15			データセンターゲートウェイは、トレンドマイクロの必要なインターネット接続サービスおよび内部のvCenter接続先に接続するためのプロキシをサポートします。
2021年5月28日	1.0.14			起動時にサービスが自動的に起動しない問題を修正しました。
2021年3月28日	1.0.12			Pythonライブラリの依存関係が更新されました。
2021年1月25日	1.0.7			destination_allow_list.yamlのロードに失敗した場合の対処方法が改善されました。 RedHatにおけるサービスの起動に関する問題が修正されました。
2020年12月8日	1.0.2

4.データセンターゲートウェイ資格情報ファイルをダウンロードします

資格情報ファイルには、 Workload Securityとの認証および通信用のキーと識別子が含まれています。

1. Workload Security コンソールで、 の[管理]→[システム設定]→[データセンターゲートウェイ] に移動し、 [新規]をクリックします。
2. の表示名を入力し、 [次へ] をクリックします。
3. [ 資格情報ファイルのダウンロード] をクリックします。

注意：

• インストールに必要なファイル名は変更できません。
• この資格情報ファイルには秘密が含まれており、適切に保護する必要があります。
• データセンターゲートウェイのインストールごとに資格情報ファイルをダウンロードする必要があります。複数のインストールで設定を共有すると、予期しない動作が発生する可能性があります。

5.vCenterサーバのリストを作成し、プロキシを設定します

インストールプロセスでは、データセンターゲートウェイが接続するvCenter Serverのリストが必要です。リスト内のアドレスがデータセンターゲートウェイサーバからアクセス可能であることを確認します。リストはYAML形式で指定し、 destination_allow_list.yamlという名前にします。

必要に応じて、データセンターゲートウェイが存在するインターネット接続または内部vCenter接続が制限されている場合に、データセンターゲートウェイプロキシを設定できます。データセンターゲートウェイは gateway_proxy を利用して、ポート443で gateway.workload.{region}.trendmicro.com および gateway-control.workload.{region}.trendmicro.com へのインターネット接続を確立します。 vCenterの各送信先には、内部vCenterサーバに接続するためのデータセンターゲートウェイ用の独自のプロキシ設定があります。認証が不要な場合は、プロキシのユーザ名とパスワードを省略できます。

たとえば、次のとおりです。

gateway_proxy:
  - HostName: "proxy.to.internet"
    Port: 3128
    Username: "intenet_proxy_user"
    Password: "internet_proxy_password"
destinations:
  - HostName: "vcenter1.datacenter.internal"
    Port: 443
  - HostName: "192.168.123.45"
    Port: 443
    Proxy:
      HostName: "proxy.vCenter.internal"
      Port: 3128
      Username: "vcenter_proxy_user"
      Password: "vcenter_proxy_password"

注意：

• 許可リストに記載されている HostName は、 Workload Security コンソールまたはAPIを介してvCenterアカウントを追加するために使用される識別子です。
• 異なる destinations が同じIPアドレスまたはホスト名を使用して同じvCenterサーバを指すことはできません。そうしないと、管理下のDeep Security Agentでの予期しない動作が発生することがあります。
• 重複を避けるために、 destinations の複数のレコードが同じIPアドレスに解決された場合、ホスト名を持つ最初のレコードのみが有効になります（IPアドレスはそれほど好ましくありません）。 以下の例では、 Workload Security はホスト名 vc1.dc.internalを使用してvCenter Serverと通信できます。

 # Both "vc1.dc.internal" and "vc1.dc.example.com" are resolved to 192.168.100.1
destinations:
  - HostName: "192.168.100.1"       # not effective because IP address is less preferable than a hostname resolved to the same address
    Port: 443
  - HostName: "vc1.dc.internal"     # effective record
    Port: 443
  - HostName: "vc1.dc.example.com"  # not effective because it resolved to the same address with previous record
    Port: 443

6.データセンターゲートウェイをインストールします

1. ゲートウェイをインストールするには、次のコマンドを入力します（OSによって異なります）。
2. Red Hat Enterprise Linux： $ sudo DCGW_CRED_PATH="<Absolute path to credentials.json>" DCGW_ALLOW_LIST_PATH="<Absolute path to destination_allow_list.yaml>" rpm -ivh /path/to/rpm/file
3. Ubuntu： $ sudo DCGW_CRED_PATH="<Absolute path to credentials.json>" DCGW_ALLOW_LIST_PATH="<Absolute path to destination_allow_list.yaml>" apt install /path/to/deb/file
4. credentials.json と destination_allow_list.yaml を削除するか、安全な場所にバックアップしてください。インストーラが /var/opt/c1ws-dcgateway/conf/credentials.json と /var/opt/c1ws-dcgateway/conf/destiantion_allow_list.yamlにコピーします。また、ファイルに対する適切な権限も設定されます。
5. 次のコマンドを入力して、データセンターゲートウェイのステータスを確認します。 $ journalctl -u c1ws-dcgw.service -f

送信先リストに追加されたvCenterホストが表示され、ゲートウェイが実行されています。

エラーメッセージが表示された場合は、次の表を確認してください。

データセンターゲートウェイが設定されたら、 VMware vCenterを Workload Securityに追加できます。

データセンターゲートウェイのステータスと接続を確認する

データセンターゲートウェイとvCenter、SSHの間の接続を確認するか、リモートデスクトップを使用してデータセンターゲートウェイホストに接続するには、次の手順に従ってください。

Action	コマンド	希望する結果
データセンターゲートウェイがアクティブであることを確認します。	systemctl status c1ws-dcgw	プロセスはアクティブで実行中です。
データセンターゲートウェイのエラーログを確認する	less +G c1ws-dcgw-error.log	データセンターゲートウェイが機能しており、dc-gateway-error.logが空です。
データセンターのゲートウェイログを確認する	less +G c1ws-dcgw.log	dc-gateway.logは、データセンターゲートウェイがvCenterおよび Workload Securityに接続しようとしていることを示しています。
vCenterポートが開いていることを確認します。初期設定では443です	nc -v vCenter_HOST_IP 443	データセンターゲートウェイは問題なくvCenterに接続します。

データセンターゲートウェイをアップグレードする

1. RPM / DEBファイルをデータセンターゲートウェイコンピュータにコピーします。
2. コンピュータでrpmパッケージマネージャが使用されている場合は、次のコマンドを入力します。 sudo rpm -U <new data center gateway installer rpm> 「-U」引数は、インストーラにアップグレードの実行を指示します。
3. コンピュータでapt package managerを使用している場合は、次のコマンドを入力します。 sudo apt --only-upgrade install ./<new data center gateway installer deb>

アップグレードが完了したかどうかを確認するには

1. データセンターゲートウェイのステータスと接続を確認します。
2. 現在のパッケージのバージョンを確認するには、環境に応じて次のコマンドを実行します。
3. RPMパッケージマネージャ： rpm -q --info <data center gateway package name>
4. APTパッケージマネージャ： apt show <data center gateway package name>

セキュリティのベストプラクティス

ファイアウォールをデータセンターゲートウェイに追加する

データセンターゲートウェイは、TLSプロトコルを使用して Workload Security およびvCenter Serverと通信します。Workload Securityへのホストアドレスとポートの要件については、詳細について、データセンターのゲートウェイ ポートとURL を参照してください。vCenter Serverの要件については、データセンターゲートウェイの許可リスト destination_allow_list.yamlを参照してください。

高可用性展開計画

単一のゲートウェイのソフトウェアの問題、ハードウェアの障害、または不正な変更管理などの潜在的な問題から保護するために、オプションの高可用性（HA）配信を提供しています。データセンターゲートウェイの資格情報はHAシナリオでも共有されないように注意してください。

次の図は、データセンターゲートウェイの配置を示しています。