データセンターゲートウェイを設定する

データセンターゲートウェイを使用すると、 Workload Security とvCenter間の通信が可能になり、 Workload Security が仮想マシンインベントリをvCenter Serverから取得できるようになります。データセンターにインストールされているゲートウェイは、 Workload Securityの代わりにvCenter Serverに接続します(下の図を参照)。

データセンターゲートウェイと Workload Security は互いに認証し、暗号化されたチャネルを介して通信します(TLS / 443)。

各データセンターゲートウェイは、アクセス可能なvCenter Serverのアドレスのリストを保持しています。Workload Security は仮想マシンのデータをvCenterと同期する予定ですが、接続されたデータセンターゲートウェイは、 Workload Security からの要求を指定されたvCenter Serverにブリッジします。

階層化された保護を実現するには、データセンターゲートウェイの周囲にファイアウォールを配置して宛先を制限します。

データセンターゲートウェイを設定する

1.システム要件が正しいことを確認してください。

データセンターゲートウェイは、次のプラットフォームでサポートされています。

  • Red Hat Enterprise Linux 7
  • Red Hat Enterprise Linux 8
  • Ubuntu 18.04
  • Ubuntu 20.04

少なくとも、2GBのメモリと1GBのディスク容量を備えた1つの仮想CPUが必要です。

2.データセンターゲートウェイで[すべてのアクセス権]を有効にします。

[ Administration]→[User Management]→[Roles]→[Properties]→[Other Rights]の順に選択し、[ Data Center Gateways]で[Full]を選択します。

3.データセンターゲートウェイソフトウェアをダウンロードします。

日付 Version RPMダウンロード DEBダウンロード リリースノート
2021年8月30日 1.0.17 トンネルログの強化とdcgw-controlヘルパーによるプロキシ設定のサポート
2021年7月26日 1.0.15 データセンターゲートウェイは、トレンドマイクロの必要なインターネット接続サービスおよび内部のvCenter接続先に接続するためのプロキシをサポートします。
2021年5月28日 1.0.14 起動時にサービスが自動的に起動しない問題を修正しました。
2021年3月28日 1.0.12 Pythonライブラリの依存関係が更新されました。
2021年1月25日 1.0.7

destination_allow_list.yamlのロードに失敗した場合の対処方法が改善されました。

RedHatにおけるサービスの起動に関する問題が修正されました。

2020年12月8日 1.0.2

4.データセンターゲートウェイ資格情報ファイルをダウンロードします。

資格情報ファイルには、 Workload Securityとの認証および通信用のキーと識別子が含まれています。

  1. Workload Security コンソールで、 の[管理]→[システム設定]→[データセンターゲートウェイ] に移動し、 [新規]をクリックします。
  2. の表示名を入力し、 [次へ] をクリックします。
  3. [ 資格情報ファイルのダウンロード] をクリックします。

注意:

  • インストールに必要なファイル名は変更できません。
  • この資格情報ファイルには秘密が含まれており、適切に保護する必要があります。
  • データセンターゲートウェイのインストールごとに資格情報ファイルをダウンロードする必要があります。複数のインストールで設定を共有すると、予期しない動作が発生する可能性があります。

5.vCenterサーバのリストを作成し、プロキシを設定します。

インストールプロセスでは、データセンターゲートウェイが接続するvCenter Serverのリストが必要です。リスト内のアドレスがデータセンターゲートウェイサーバからアクセス可能であることを確認します。リストはYAML形式で指定し、 destination_allow_list.yamlという名前にします。

必要に応じて、データセンターゲートウェイが存在するインターネット接続または内部vCenter接続が制限されている場合に、データセンターゲートウェイプロキシを設定できます。データセンターゲートウェイは gateway_proxy を利用して、ポート443で gateway.workload.{region}.trendmicro.com および gateway-control.workload.{region}.trendmicro.com へのインターネット接続を確立します。 vCenterの各送信先には、内部vCenterサーバに接続するためのデータセンターゲートウェイ用の独自のプロキシ設定があります。認証が不要な場合は、プロキシのユーザ名とパスワードを省略できます。

たとえば、次のとおりです。

gateway_proxy:
  - HostName: "proxy.to.internet"
    Port: 3128
    Username: "intenet_proxy_user"
    Password: "internet_proxy_password"
destinations:
  - HostName: "vcenter1.datacenter.internal"
    Port: 443
  - HostName: "192.168.123.45"
    Port: 443
    Proxy:
      HostName: "proxy.vCenter.internal"
      Port: 3128
      Username: "vcenter_proxy_user"
      Password: "vcenter_proxy_password"

注意:

  • 許可リストに記載されている HostName は、 Workload Security コンソールまたはAPIを介してvCenterアカウントを追加するために使用される識別子です。
  • 異なる destinations が同じIPアドレスまたはホスト名を使用して同じvCenterサーバを指すことはできません。そうしないと、管理下のDeep Security Agentでの予期しない動作が発生することがあります。
  • 重複を避けるために、 destinations の複数のレコードが同じIPアドレスに解決された場合、ホスト名を持つ最初のレコードのみが有効になります(IPアドレスはそれほど好ましくありません)。 以下の例では、 Workload Security はホスト名 vc1.dc.internalを使用してvCenter Serverと通信できます。
 # Both "vc1.dc.internal" and "vc1.dc.example.com" are resolved to 192.168.100.1
destinations:
  - HostName: "192.168.100.1"       # not effective because IP address is less preferable than a hostname resolved to the same address
    Port: 443
  - HostName: "vc1.dc.internal"     # effective record
    Port: 443
  - HostName: "vc1.dc.example.com"  # not effective because it resolved to the same address with previous record
    Port: 443

6.データセンターゲートウェイをインストールします。

  1. ゲートウェイをインストールするには、次のコマンドを入力します(OSによって異なります)。
  2. Red Hat Enterprise Linux: $ sudo DCGW_CRED_PATH="<Absolute path to credentials.json>" DCGW_ALLOW_LIST_PATH="<Absolute path to destination_allow_list.yaml>" rpm -ivh /path/to/rpm/file
  3. Ubuntu: $ sudo DCGW_CRED_PATH="<Absolute path to credentials.json>" DCGW_ALLOW_LIST_PATH="<Absolute path to destination_allow_list.yaml>" apt install /path/to/deb/file
  4. credentials.jsondestination_allow_list.yaml を削除するか、安全な場所にバックアップしてください。インストーラが /var/opt/c1ws-dcgateway/conf/credentials.json/var/opt/c1ws-dcgateway/conf/destiantion_allow_list.yamlにコピーします。また、ファイルに対する適切な権限も設定されます。
  5. 次のコマンドを入力して、データセンターゲートウェイのステータスを確認します。 $ journalctl -u c1ws-dcgw.service -f

送信先リストに追加されたvCenterホストが表示され、ゲートウェイが実行されています。

エラーメッセージが表示された場合は、次の表を確認してください。

エラー 考えられる原因 ソリューション
credentials.json のファイルパスが必要です。続行するには変数 DCGW_CRED_PATH を設定してください インストール時にパラメータ DCGW_CRED_PATH が割り当てられませんでした。 前の手順でダウンロードした credentials.json ファイルのフルパスを使用して変数 DCGW_CRED_PATH を設定します。
ファイル名には資格情報またはdestination_allow_listファイル拡張子を含める必要があります DCGW_CRED_PATH または DCGW_ALLOW_LIST_PATH に必要なファイル名が含まれていません。 DCGW_CRED_PATH の値の末尾がファイル名 credentials.json, であるか、 DCGW_ALLOW_LIST_PATH の値の末尾がファイル名 destination_allow_list.yamlであることを確認してください。

これらのファイル名は変更しないでください。
そのようなファイルはありません。 readlink -f を使用して credentials.json の絶対パスを取得するか、 destination_allow_list.yaml DCGW_CRED_PATH または DCGW_ALLOW_LIST_PATH の指定されたパスに適切なファイルが含まれていませんでした。 readlink -f コマンドを使用して、 credentials.json または destination_allow_list.yamlの正しいフルパスを取得します。

データセンターゲートウェイが設定されたら、 VMware vCenterを Workload Securityに追加できます。

データセンターゲートウェイのステータスと接続を確認する

データセンターゲートウェイとvCenter、SSHの間の接続を確認するか、リモートデスクトップを使用してデータセンターゲートウェイホストに接続するには、次の手順に従ってください。

Action コマンド 希望する結果
データセンターゲートウェイがアクティブであることを確認します。 systemctl status c1ws-dcgw プロセスはアクティブで実行中です。
データセンターゲートウェイのエラーログを確認する less +G c1ws-dcgw-error.log データセンターゲートウェイが機能しており、dc-gateway-error.logが空です。
データセンターのゲートウェイログを確認する less +G c1ws-dcgw.log dc-gateway.logは、データセンターゲートウェイがvCenterおよび Workload Securityに接続しようとしていることを示しています。
vCenterポートが開いていることを確認します。初期設定では443です nc -v vCenter_HOST_IP 443 データセンターゲートウェイは問題なくvCenterに接続します。

データセンターゲートウェイをアップグレードする

  1. RPM / DEBファイルをデータセンターゲートウェイコンピュータにコピーします。
  2. コンピュータでrpmパッケージマネージャが使用されている場合は、次のコマンドを入力します。 sudo rpm -U <new data center gateway installer rpm> 「-U」引数は、インストーラにアップグレードの実行を指示します。
  3. コンピュータでapt package managerを使用している場合は、次のコマンドを入力します。 sudo apt --only-upgrade install ./<new data center gateway installer deb>

アップグレードが完了したかどうかを確認するには

  1. データセンターゲートウェイのステータスと接続を確認します。
  2. 現在のパッケージのバージョンを確認するには、環境に応じて次のコマンドを実行します。
  3. RPMパッケージマネージャ: rpm -q --info <data center gateway package name>
  4. APTパッケージマネージャ: apt show <data center gateway package name>

セキュリティのベストプラクティス

ファイアウォールをデータセンターゲートウェイに追加する

データセンターゲートウェイは、TLSプロトコルを使用して Workload Security およびvCenter Serverと通信します。Workload Securityへのホストアドレスとポートの要件については、詳細について、データセンターのゲートウェイ ポートとURL を参照してください。vCenter Serverの要件については、データセンターゲートウェイの許可リスト destination_allow_list.yamlを参照してください。

高可用性展開計画

単一のゲートウェイのソフトウェアの問題、ハードウェアの障害、または不正な変更管理などの潜在的な問題から保護するために、オプションの高可用性(HA)配信を提供しています。データセンターゲートウェイの資格情報はHAシナリオでも共有されないように注意してください。

次の図は、データセンターゲートウェイの配置を示しています。