このページのトピック
データセンターゲートウェイを設定する
データセンターゲートウェイを使用すると、 Workload Security とvCenter間の通信が可能になり、 Workload Security が仮想マシンインベントリをvCenter Serverから取得できるようになります。データセンターにインストールされているゲートウェイは、 Workload Securityの代わりにvCenter Serverに接続します(下の図を参照)。
データセンターゲートウェイと Workload Security は互いに認証し、暗号化されたチャネルを介して通信します(TLS / 443)。
各データセンターゲートウェイは、アクセス可能なvCenter Serverのアドレスのリストを保持しています。Workload Security は仮想マシンのデータをvCenterと同期する予定ですが、接続されたデータセンターゲートウェイは、 Workload Security からの要求を指定されたvCenter Serverにブリッジします。
階層化された保護を実現するには、データセンターゲートウェイの周囲にファイアウォールを配置して宛先を制限します。
データセンターゲートウェイを設定する
1.システム要件が正しいことを確認してください。
データセンターゲートウェイは、次のプラットフォームでサポートされています。
- Red Hat Enterprise Linux 7
- Red Hat Enterprise Linux 8
- Ubuntu 18.04
- Ubuntu 20.04
少なくとも2 GBのメモリを搭載した1つの仮想CPUが必要です。
2.データセンターゲートウェイで[すべてのアクセス権]を有効にします。
[ Administration]→[User Management]→[Roles]→[Properties]→[Other Rights]の順に選択し、[ Data Center Gateways]で[Full]を選択します。
3.データセンターゲートウェイソフトウェアをダウンロードします。
| 日付 | Version | RPMダウンロード | DEBダウンロード | リリースノート |
|---|---|---|---|---|
| 2021年3月28日 | 1.0.12 |  |
|
Pythonライブラリの依存関係が更新されました。 |
| 2021年1月25日 | 1.0.7 | |
|
destination_allow_list.yamlのロードに失敗した場合の対処方法が改善されました。 RedHatにおけるサービスの起動に関する問題が修正されました。 |
| 2020年12月8日 | 1.0.2 | |
|
4.データセンターゲートウェイ資格情報ファイルをダウンロードします。
資格情報ファイルには、 Workload Securityとの認証および通信用のキーと識別子が含まれています。
- Workload Security コンソールで、 の[管理]→[システム設定]→[データセンターゲートウェイ] に移動し、 [新規]をクリックします。
- の表示名を入力し、 [次へ] をクリックします。
- [ 資格情報ファイルのダウンロード] をクリックします。
注意:
- インストールに必要なファイル名は変更できません。
- この資格情報ファイルには秘密が含まれており、適切に保護する必要があります。
- データセンターゲートウェイのインストールごとに資格情報ファイルをダウンロードする必要があります。複数のインストールで設定を共有すると、予期しない動作が発生する可能性があります。
5.vCenter Serverのリストを作成します。
インストールプロセスでは、データセンターゲートウェイが接続するvCenter Serverのリストが必要です。リスト内のアドレスがデータセンターゲートウェイサーバからアクセス可能であることを確認します。リストはYAML形式で指定し、 destination_allow_list.yamlという名前にします。たとえば、次のとおりです。
destinations:
- HostName: "vcenter1.datacenter.internal"
Port: 443
- HostName: "192.168.123.45"
Port: 443
注意:
- 許可リストに記載されている
HostNameは、 Workload Security コンソールまたはAPIを介してvCenterアカウントを追加するために使用される識別子です。 - 異なる
destinationsが同じIPアドレスまたはホスト名を使用して同じvCenterサーバを指すことはできません。そうしないと、管理下のDeep Security Agentでの予期しない動作が発生することがあります。 - 重複を避けるために、
destinationsの複数のレコードが同じIPアドレスに解決された場合、ホスト名を持つ最初のレコードのみが有効になります(IPアドレスはそれほど好ましくありません)。 以下の例では、 Workload Security はホスト名vc1.dc.internalを使用してvCenter Serverと通信できます。
# Both "vc1.dc.internal" and "vc1.dc.example.com" are resolved to 192.168.100.1
destinations:
- HostName: "192.168.100.1" # not effective because IP address is less preferable than a hostname resolved to the same address
Port: 443
- HostName: "vc1.dc.internal" # effective record
Port: 443
- HostName: "vc1.dc.example.com" # not effective because it resolved to the same address with previous record
Port: 443
6.データセンターゲートウェイをインストールします。
- ゲートウェイをインストールするには、次のコマンドを入力します(OSによって異なります)。
- Red Hat Enterprise Linux:
$ sudo DCGW_CRED_PATH="<Absolute path to credentials.json>" DCGW_ALLOW_LIST_PATH="<Absolute path to destination_allow_list.yaml>" rpm -ivh /path/to/rpm/file - Ubuntu:
$ sudo DCGW_CRED_PATH="<Absolute path to credentials.json>" DCGW_ALLOW_LIST_PATH="<Absolute path to destination_allow_list.yaml>" apt install /path/to/deb/file credentials.jsonとdestination_allow_list.yamlを削除するか、安全な場所にバックアップしてください。インストーラが/var/opt/c1ws-dcgateway/conf/credentials.jsonと/var/opt/c1ws-dcgateway/conf/destiantion_allow_list.yamlにコピーします。また、ファイルに対する適切な権限も設定されます。- 次のコマンドを入力して、データセンターゲートウェイのステータスを確認します。
$ journalctl -u c1ws-dcgw.service -f
送信先リストに追加されたvCenterホストが表示され、ゲートウェイが実行されています。
エラーメッセージが表示された場合は、次の表を確認してください。
| エラー | 考えられる原因 | ソリューション |
|---|---|---|
| 'credentials.json'と 'destination_allow_list.yaml'のファイルパスが必要です。続行するには変数 'DCGW_CRED_PATH'と 'DCGW_ALLOW_LIST_PATH'を設定してください | パラメータ「DCGW_CRED_PATH」および「DCGW_ALLOW_LIST_PATH」はインストール時に割り当てられていません。 | 上記の説明に従ってインストールコマンドを入力していることを確認してください。 |
| ファイル名にcredentials / destination_allow_listというファイル拡張子が含まれている必要があります。 | 「DCGW_CRED_PATH」または「DCGW_ALLOW_LIST_PATH」のファイル名が正しくありません。 | 上記の説明に従ってインストールコマンドを入力していることを確認してください。 |
| そのようなファイルはありません。「readlink -f」を使用してcredentials.jsonとdestination_allow_list.yamlの絶対パスを取得してください。 | 「DCGW_CRED_PATH」および「DCGW_ALLOW_LIST_PATH」の指定されたパスに適切なファイルがありません。 | インストール時に正しい絶対パスを入力していることを確認してください。 |
データセンターゲートウェイが設定されたら、 VMware vCenterを Workload Securityに追加できます。
データセンターゲートウェイのステータスと接続を確認する
データセンターゲートウェイとvCenter、SSHの間の接続を確認するか、リモートデスクトップを使用してデータセンターゲートウェイホストに接続するには、次の手順に従ってください。
| Action | コマンド | 希望する結果 |
|---|---|---|
| データセンターゲートウェイがアクティブであることを確認します。 | systemctl status c1ws-dcgw |
プロセスはアクティブで実行中です。 |
| データセンターゲートウェイのエラーログを確認する | less +G c1ws-dcgw-error.log |
データセンターゲートウェイが機能しており、dc-gateway-error.logが空です。 |
| データセンターのゲートウェイログを確認する | less +G c1ws-dcgw.log |
dc-gateway.logは、データセンターゲートウェイがvCenterおよび Workload Securityに接続しようとしていることを示しています。 |
| vCenterポートが開いていることを確認します。初期設定では443です | nc -v vCenter_HOST_IP 443 |
データセンターゲートウェイは問題なくvCenterに接続します。 |
データセンターゲートウェイをアップグレードする
- RPM / DEBファイルをデータセンターゲートウェイコンピュータにコピーします。
- コンピュータでrpmパッケージマネージャが使用されている場合は、次のコマンドを入力します。
sudo rpm -U <new data center gateway installer rpm>「-U」引数は、インストーラにアップグレードの実行を指示します。 - コンピュータでapt package managerを使用している場合は、次のコマンドを入力します。
sudo apt --only-upgrade install ./<new data center gateway installer deb>
アップグレードが完了したかどうかを確認するには
- データセンターゲートウェイのステータスと接続を確認します。
- 現在のパッケージのバージョンを確認するには、環境に応じて次のコマンドを実行します。
- RPMパッケージマネージャ:
rpm -q --info <data center gateway package name> - APTパッケージマネージャ:
apt show <data center gateway package name>
セキュリティのベストプラクティス
ファイアウォールをデータセンターゲートウェイに追加する
データセンターゲートウェイは、TLSプロトコルを使用して Workload Security およびvCenter Serverと通信します。Workload Securityへのホストアドレスとポートの要件については、詳細について、データセンターのゲートウェイ ポートとURL を参照してください。vCenter Serverの要件については、データセンターゲートウェイの許可リスト destination_allow_list.yamlを参照してください。
高可用性展開計画
単一のゲートウェイのソフトウェアの問題、ハードウェアの障害、または不正な変更管理などの潜在的な問題から保護するために、オプションの高可用性(HA)配信を提供しています。データセンターゲートウェイの資格情報はHAシナリオでも共有されないように注意してください。
次の図は、データセンターゲートウェイの配置を示しています。
