このページのトピック
データセンターゲートウェイを設定する
Workload Security でVMware vCenterやActive Directoryサーバからコンピュータのインベントリを取得する場合は、次の図に示すように、サーバ間にデータセンターゲートウェイを配置する必要があります。データセンターゲートウェイは、ゲートウェイ間の接続をプロキシします。
ネットワークの中断やコンポーネントの障害時に高可用性 (HA) を確保するために、次の図に示すように、複数のデータセンターゲートウェイを配置することもできます。
基本的な手順は次のとおりです。
- システム要件の確認
- 権限の付与
- データセンターゲートウェイソフトウェアのダウンロード
- 認証情報ファイルのダウンロード
- vCenter/ Active Directoryサーバとプロキシ (存在する場合) の設定
- データセンターゲートウェイのインストール
システム要件の確認
データセンターゲートウェイは、次のデバイスでサポートされています。
- Red Hat Enterprise Linux 7
- Red Hat Enterprise Linux 8
- Ubuntu Linux 18.04
- Ubuntu Linux 20.04
最小ハードウェア要件:
- 1CPUまたは仮想CPU (vCPU)
- 2GBのメモリ (RAM)
- 1GBの空きディスク容量
ファイアウォールとプロキシは、 必須のポート番号、ホスト名、およびIPアドレスを使用したネットワーク接続も許可する必要があります
権限の付与
インストール時に、認証資格情報を使用してデータセンターゲートウェイを設定する必要があります。これらの資格情報は自分のユーザアカウントに属していないため、管理者はこれらの資格情報にアクセスするための特別な権限を付与する必要があります。
- Workload Securityで、 [管理]→[ユーザ管理]→[役割]の順に選択します。
- データセンターゲートウェイの認証情報をダウンロードするユーザの役割を編集します。
- [プロパティ]→[その他の権限]の順に選択します。データセンターゲートウェイの場合は、 完全を選択します。
データセンターゲートウェイソフトウェアをダウンロードすします
Red Hat Enterprise Linuxの場合はRPMファイルを、Ubuntuの場合はDEBファイルをダウンロードします。
資格情報ファイルをダウンロードする
各資格情報ファイルには、データセンターゲートウェイが Workload Securityとの認証と通信に使用するキーと識別子が含まれています。
- Workload Securityで、 [管理]→[システム設定]→[データセンターゲートウェイ]の順に選択します。
- 新規 をクリックします。
- 表示名を入力します。[次へ] をクリックします。
- [資格情報ファイルのダウンロード]をクリックします。ファイル名は変更しないでください。インストーラで必要です。
- インストールするデータセンターゲートウェイごとに1つの資格情報ファイルをダウンロードするには、前の手順を繰り返します。
認証情報ファイルは、独自のデータセンターゲートウェイでのみ使用してください。高可用性 (HA) ペアとして導入されたデータセンターゲートウェイにも、一意の資格情報ファイルがあります。同じファイルを複数のインストールにコピーすると、予期しない動作が発生する可能性があります。
資格情報ファイルは安全な場所に保管し、権限を使用してアクセスを制限します。キーは、パスワードと同様に秘密です。不正アクセスは、セキュリティ上の問題を引き起こす可能性があります。
vCenter/ Active Directoryサーバとプロキシ (存在する場合) の設定
インストール時に、データセンターゲートウェイの接続先となるVMware vCenterサーバやMicrosoft Active Directoryサーバのリストを指定する必要があります。プレーンテキストエディタを使用してリストを記述します。リストはYAML形式で、名前は destination_allow_list.yaml
である必要があります。
リンターを使用して、リストが有効なYAML形式であることを確認します。インストーラは無効なファイルを使用できません。
データセンターゲートウェイがリスト内のすべてのネットワークアドレスに到達できることを確認します。データセンターゲートウェイをプロキシ経由でインターネット、または内部ネットワークのvCenterやActive Directoryサーバに接続する必要がある場合は、プロキシを使用するようにデータセンターゲートウェイも設定します。
たとえば、 destination_allow_list.yaml
には次のものを含めることができます。
gateway_proxy:
- HostName: "internet.proxy.example.com"
Port: 3128
Username: "intenet_proxy_user"
Password: "internet_proxy_password"
destinations:
- HostName: "vcenter1.datacenter.internal"
Port: 443
- HostName: "192.168.123.45"
Port: 443
- HostName: "adserver1.datacenter.internal"
Port: 389
- HostName: "192.168.123.46"
Port: 389
Proxy:
HostName: "proxy.vCenter.internal"
Port: 3128
Username: "vcenter_proxy_user"
Password: "vcenter_proxy_password"
指定する項目は次のとおりです。
gateway_proxy
セクションでは、データセンターゲートウェイが Workload Securityへの接続に使用するプロキシを定義します。destinations
セクションでは、vCenterサーバまたはActive Directoryサーバ、またはそれらへの接続に使用するプロキシ (存在する場合) を定義します。HostName
Workload Security コンソールまたはAPIでvCenter/ Active Directoryサーバを追加するために使用される識別子です。Username
およびPassword
は、データセンターゲートウェイがプロキシへの接続に使用するログインです。認証が必要ない場合は省略します。
destination_allow_list.yaml
は安全な場所に保管し、権限を使用してアクセスを制限します。パスワードが含まれています。不正アクセスは、セキュリティ上の問題を引き起こす可能性があります。
各 HostName
は一意である必要があります。ドメイン名またはIPアドレスが別の HostName
と同じvCenter/ Active Directoryサーバを指している場合、管理下のエージェントで予期しない動作が発生する可能性があります。
複数の HostName
エントリが同じIPアドレスに解決された場合に重複を避けるため、最初のドメイン名のみが有効になります。ドメイン名はIPアドレスよりも優先されます。たとえば、次の設定では、データセンターゲートウェイはホスト名 vc1.dc.internal
のvCenterサーバと通信します。
# Both "vc1.dc.internal" and "vc1.dc.example.com" resolve to 192.168.100.1
destinations:
- HostName: "192.168.100.1" # Does not take effect because hostnames take precedence over IP addresses
Port: 443
- HostName: "vc1.dc.internal" # Takes effect
Port: 443
- HostName: "vc1.dc.example.com" # Does not take effect because it resolves to the same IP address as previous hostname
Port: 443
データセンターゲートウェイのインストール
データセンターゲートウェイをインストールするサーバで、インストーラ、認証情報、および設定ファイルをアップロードし、次のインストーラコマンドを入力します。
- Red Hat Enterprise Linux:
sudo DCGW_CRED_PATH="</absolute/path/to/credentials.json>" DCGW_ALLOW_LIST_PATH="</absolute/path/to/destination_allow_list.yaml>" rpm -ivh /path/to/rpm/file
- Ubuntu:
sudo DCGW_CRED_PATH="</absolute/path/to/credentials.json>" DCGW_ALLOW_LIST_PATH="</absolute/path/to/destination_allow_list.yaml>" apt install /path/to/deb/file
次のいずれかのエラーメッセージが表示された場合は、問題を修正して再度実行してください。
エラーメッセージ | 考えられる原因 | ソリューション |
---|---|---|
credentials.json のファイルパスが必要です。続行するには変数 DCGW_CRED_PATH を設定してください |
インストール時にパラメータ DCGW_CRED_PATH が割り当てられませんでした。 |
変数 DCGW_CRED_PATH に、 credentials.json ファイルの完全パスを設定します。 |
ファイル名には資格情報またはdestination_allow_listファイル拡張子を含める必要があります | DCGW_CRED_PATH または DCGW_ALLOW_LIST_PATH に必要なファイル名が含まれていません。 |
DCGW_CRED_PATH の値がファイル名 credentials.json
で終わり、 DCGW_ALLOW_LIST_PATH の値がファイル名 destination_allow_list.yaml で終わっていることを確認します。これらのファイル名は変更しないでください。 |
そのようなファイルはありません。 readlink -f を使用して credentials.json の絶対パスを取得するか、 destination_allow_list.yaml |
DCGW_CRED_PATH または DCGW_ALLOW_LIST_PATH の指定されたパスに適切なファイルが含まれていませんでした。 |
credentials.json または destination_allow_list.yaml の正しい完全なパスを確認するには、コマンド readlink -f を使用します。 |
インストールが成功したら、 credentials.json
と destination_allow_list.yaml
を削除するか、安全な場所にバックアップします。(インストーラは、これらのファイルを正しい権限で /var/opt/c1ws-dcgateway/conf/credentials.json
および /var/opt/c1ws-dcgateway/conf/destiantion_allow_list.yaml
にコピーします。元のファイルを保持する必要はありません)。
データセンターゲートウェイが正常に実行されたら、Workload SecurityへのVMware vCenterの追加またはActive Directoryコンピュータの追加に進みます。
トラブルシューティング
データセンターゲートウェイのステータスの確認
データセンターゲートウェイがアクティブかどうか (プロセスが実行中かどうか) を確認するには、SSHまたはリモートデスクトップを使用してサーバに接続し、次のコマンドを入力します。
journalctl -u c1ws-dcgw.service -f
または次のコマンドを実行します。
systemctl status c1ws-dcgw
ステータスと、追加されたvCenterまたはActive Directoryサーバ (あるいはその両方) が表示されます。
[ステータス] には、送信先リストに追加されたサーバのみが表示されます。しませんvCenter またはActive Directoryとのネットワーク接続をテストする、個別に行う必要があります。
また、次のコマンドを入力して、エラーログが空であることを確認します。
less +G c1ws-dcgw-error.log
データセンターゲートウェイのネットワーク接続を確認する
vCenterまたはActive Directoryサーバのポートが開いていて、データセンターゲートウェイからアクセス可能であることを確認するには、データセンターゲートウェイサーバにログインし、次のコマンドを入力します。
nc -v SERVER_HOST_IP SERVER_HOST_PORT
指定する項目は次のとおりです。
SERVER_HOST_IP
vCenterまたはActive Directoryサーバのホスト名またはIPアドレスです。SERVER_HOST_PORT
は待機ポート番号です。初期設定では、vCenterの場合は443、 Active Directoryの場合は389 (StarTLS)/636 (LDAPS) です。
接続テストは成功するはずです。
成功しない場合は、ポート番号が開いていることを確認します。また、DNS設定と、それらの間のルータ、ファイアウォール、およびプロキシも確認します。(プロキシがある場合は、vCenterまたはActive Directoryサーバに直接接続するのではなく、プロキシに接続する必要があります)。
接続テストの結果、サーバに接続可能であるにもかかわらず、 Workload Security がデータを受信しない場合は、 データセンターゲートウェイのエラーログと接続試行を示すログを調べます。
less +G c1ws-dcgw.log
vCenterまたはActive Directoryサーバ (destination
) と Workload Security FQDNの両方への接続試行が表示されます。設定されているホスト名とポート番号を確認します。
データセンターゲートウェイをアップグレードする
データセンターゲートウェイをアップグレードするサーバで、RPMまたはDEBファイルをアップロードしてから、次のアップグレードコマンドを入力します。
- Red Hat Enterprise Linux:
sudo rpm -U <new data center gateway installer rpm>
- Ubuntu Linux:
sudo apt --only-upgrade install ./<new data center gateway installer deb>
アップグレードが完了したことを確認するには
- データセンターゲートウェイのステータスを確認します と データセンターゲートウェイのネットワーク接続.
- インストールされているソフトウェアのバージョン番号を確認します。
- Red Hat Enterprise Linux:
rpm -q --info <data center gateway package name>
- Ubuntu Linux:
apt show <data center gateway package name>