目次

データセンターゲートウェイを設定する

Workload SecurityがVMware vCenterまたはActive Directoryサーバからコンピュータのインベントリを取得するようにするには、次の図に示すように、それらの間にデータセンターゲートウェイを配置する必要があります。データセンターゲートウェイは、ゲートウェイ間の接続をプロキシします。

データセンターゲートウェイ通信の図

ネットワークの中断やコンポーネントの障害時に高可用性 (HA) を確保するために、次の図に示すように、複数のデータセンターゲートウェイを配置することもできます。

高可用性の配置の図

基本的な手順は次のとおりです。

  1. システム要件の確認
  2. 権限の付与
  3. データセンターゲートウェイソフトウェアのダウンロード
  4. 認証情報ファイルのダウンロード
  5. vCenter/ Active Directoryサーバとプロキシ (存在する場合) の設定
  6. データセンターゲートウェイのインストール

システム要件の確認

データセンターゲートウェイは、次のデバイスでサポートされています。

  • Red Hat Enterprise Linux 7
  • Red Hat Enterprise Linux 8
  • Ubuntu Linux 18.04
  • Ubuntu Linux 20.04

最小ハードウェア要件:

  • 1CPUまたは仮想CPU (vCPU)
  • 2GBのメモリ (RAM)
  • 1GBの空きディスク容量

ファイアウォールとプロキシは、 必須のポート番号、ホスト名、およびIPアドレスを使用したネットワーク接続も許可する必要があります

権限の付与

インストール時に、認証資格情報を使用してデータセンターゲートウェイを設定する必要があります。これらの資格情報は自分のユーザアカウントに属していないため、管理者はこれらの資格情報にアクセスするための特別な権限を付与する必要があります。

  1. Workload Securityで、 [管理]→[ユーザ管理]→[役割]の順に選択します。
  2. データセンターゲートウェイの認証情報をダウンロードするユーザの役割を編集します。
  3. [プロパティ]→[その他の権限]の順に選択します。データセンターゲートウェイの場合は、 完全を選択します。

その他の権限タブ

データセンターゲートウェイソフトウェアをダウンロードすします

Red Hat Enterprise Linuxの場合はRPMファイルを、Ubuntuの場合はDEBファイルをダウンロードします。

日付 Version RPMダウンロード DEBダウンロード リリースノート
2022年2月7日 1.0.20 サードパーティのライブラリがアップデートされました。
2021年12月15日 1.0.18 サードパーティのライブラリがアップデートされました。
2021年8月30日 1.0.17 トンネルログの強化とdcgw-controlヘルパーによるプロキシ設定のサポート
2021年7月26日 1.0.15 データセンターゲートウェイは、トレンドマイクロの必要なインターネット接続サービスおよび内部のvCenter / Active Directoryサーバの接続先に接続するためのプロキシをサポートします。
2021年5月28日 1.0.14 起動時にサービスが自動的に起動しない問題を修正しました。
2021年3月28日 1.0.12 Pythonライブラリの依存関係が更新されました。
2021年1月25日 1.0.7

destination_allow_list.yamlのロードに失敗した場合の対処方法が改善されました。

RedHatにおけるサービスの起動に関する問題が修正されました。

2020年12月8日 1.0.2

資格情報ファイルをダウンロードする

各資格情報ファイルには、データセンターゲートウェイが認証およびWorkload Securityとの通信に使用するキーと識別子が含まれています。

  1. Workload Securityで、 [管理]→[システム設定]→[データセンターゲートウェイ]の順に選択します。
  2. 新規 をクリックします。
  3. 表示名を入力します。[次へ] をクリックします。
  4. [ 認証情報ファイルのダウンロード] をクリックします。ファイル名は変更しないでください。インストーラで必要になります。
  5. 上記の手順を繰り返して、インストールするデータセンターゲートウェイごとに1つの資格情報ファイルをダウンロードします。

認証情報ファイルは、独自のデータセンターゲートウェイでのみ使用してください。高可用性 (HA) ペアとして導入されたデータセンターゲートウェイにも、一意の資格情報ファイルがあります。同じファイルを複数のインストールにコピーすると、予期しない動作が発生する可能性があります。また、資格情報ファイルは安全な場所に保管し、権限を使用してアクセスを制限します。キーは、パスワードと同様に秘密です。不正アクセスは、セキュリティ上の問題を引き起こす可能性があります。

vCenterおよびActive Directoryサーバとプロキシの設定

インストール時に、データセンターゲートウェイの接続先となるVMware vCenterまたはMicrosoft Active Directoryサーバのリストを指定する必要があります (設定に該当する場合)。プレーンテキストエディタを使用してリストを記述します。リストはYAML形式で、名前は destination_allow_list.yamlである必要があります。

リンターを使用して、リストが有効なYAML形式であることを確認します。インストーラは無効なファイルを使用できません。

データセンターゲートウェイがリスト内のすべてのネットワークアドレスに到達できることを確認します。データセンターゲートウェイをプロキシ経由でインターネット、または内部ネットワークのvCenterサーバまたはActive Directoryサーバに接続する必要がある場合は、プロキシを使用するようにデータセンターゲートウェイも設定します。

たとえば、destination_allow_list.yaml には次の文字列を含めることができます。

gateway_proxy:
  - HostName: "internet.proxy.example.com"
    Port: 3128
    Username: "intenet_proxy_user"
    Password: "internet_proxy_password"
destinations:
  - HostName: "vcenter1.datacenter.internal"
    Port: 443
  - HostName: "192.168.123.45"
    Port: 443
  - HostName: "adserver1.datacenter.internal"
    Port: 389
  - HostName: "192.168.123.46"
    Port: 389
    Proxy:
      HostName: "proxy.vCenter.internal"
      Port: 3128
      Username: "vcenter_proxy_user"
      Password: "vcenter_proxy_password"

説明:

  • gateway_proxy セクションでは、データセンターゲートウェイがWorkload Securityへの接続に使用するプロキシを定義します。

  • destinations セクションでは、vCenterサーバまたはActive Directoryサーバ、およびそれらへの接続に使用するプロキシ (存在する場合) を定義します。

  • HostName は、Workload SecurityコンソールまたはAPIでvCenterまたはActive Directoryサーバを追加するために使用される識別子です。

HostName は一意である必要があります。ドメイン名またはIPアドレスが別の HostNameと同じvCenter/ Active Directoryサーバを指している場合、管理下のエージェントで予期しない動作が発生する可能性があります。

  • Username および Password は、データセンターゲートウェイがプロキシへの接続に使用するログインです。認証が必要ない場合は省略します。

destination_allow_list.yaml は安全な場所に保管し、権限を使用してアクセスを制限します。パスワードが含まれています。不正アクセスは、セキュリティ上の問題を引き起こす可能性があります。また、各 HostName は一意である必要があることに注意してください。ドメイン名またはIPアドレスが別の HostNameと同じvCenter/ Active Directoryサーバを指している場合、管理下のエージェントで予期しない動作が発生する可能性があります。

複数の HostName エントリが同じIPアドレスに解決された場合に重複を避けるため、最初のドメイン名のみが有効になります。ドメイン名はIPアドレスよりも優先されます。たとえば、次の設定では、データセンターゲートウェイはホスト名 vc1.dc.internalのvCenterサーバと通信します。

 # Both "vc1.dc.internal" and "vc1.dc.example.com" resolve to 192.168.100.1

destinations:
  - HostName: "192.168.100.1"       # Does not take effect because hostnames take precedence over IP addresses
    Port: 443
  - HostName: "vc1.dc.internal"     # Takes effect
    Port: 443
  - HostName: "vc1.dc.example.com"  # Does not take effect because it resolves to the same IP address as previous hostname
    Port: 443

データセンターゲートウェイのインストール

データセンターゲートウェイをインストールするサーバで、インストーラ、認証情報、および設定ファイルをアップロードし、次のインストーラコマンドを入力します。

  • Red Hat Enterprise Linux: sudo DCGW_CRED_PATH="</absolute/path/to/credentials.json>" DCGW_ALLOW_LIST_PATH="</absolute/path/to/destination_allow_list.yaml>" rpm -ivh /path/to/rpm/file
  • Ubuntu: sudo DCGW_CRED_PATH="</absolute/path/to/credentials.json>" DCGW_ALLOW_LIST_PATH="</absolute/path/to/destination_allow_list.yaml>" apt install /path/to/deb/file

次のいずれかのエラーメッセージが表示された場合は、問題を修正して再度実行してください。

エラーメッセージ 考えられる原因 ソリューション
credentials.json のファイルパスが必要です。続行するには変数 DCGW_CRED_PATH を設定してください インストール時にパラメータ DCGW_CRED_PATH が割り当てられませんでした。 変数 DCGW_CRED_PATH に、 credentials.json ファイルの完全パスを設定します。
ファイル名には資格情報またはdestination_allow_listファイル拡張子を含める必要があります DCGW_CRED_PATH または DCGW_ALLOW_LIST_PATH に必要なファイル名が含まれていません。 DCGW_CRED_PATH の値がファイル名 credentials.json で終わり、 DCGW_ALLOW_LIST_PATH の値がファイル名 destination_allow_list.yamlで終わっていることを確認します。

これらのファイル名は変更しないでください。
そのようなファイルはありません。 readlink -f を使用して credentials.json の絶対パスを取得するか、 destination_allow_list.yaml DCGW_CRED_PATH または DCGW_ALLOW_LIST_PATH の指定されたパスに適切なファイルが含まれていませんでした。 credentials.json または destination_allow_list.yamlの正しい完全なパスを確認するには、コマンド readlink -f を使用します。

インストールが成功したら、credentials.jsondestination_allow_list.yaml を削除するか、安全な場所にバックアップします。インストーラにより、適切な権限を持つ /var/opt/c1ws-dcgateway/conf/credentials.json および /var/opt/c1ws-dcgateway/conf/destiantion_allow_list.yaml にコピーされます。元のファイルを保持する必要はありません。

データセンターゲートウェイが正常に実行されたらWorkload SecurityへのVMware vCenterの追加またはActive Directoryコンピュータの追加に進みます。

トラブルシューティング

データセンターゲートウェイのステータスの確認

データセンターゲートウェイがアクティブかどうか (プロセスが実行中かどうか) を確認するには、SSHまたはリモートデスクトップを使用してサーバに接続し、次のいずれかのコマンドを入力します。

journalctl -u c1ws-dcgw.service -f

または:

systemctl status c1ws-dcgw

ステータスと、追加されたvCenterサーバまたはActive Directoryサーバが表示されます。

データセンターゲートウェイが実行中であることを示すコンソール

[ステータス] には、送信先リストに追加されたサーバのみが表示されます。しませんvCenter またはActive Directoryとのネットワーク接続をテストする、個別に行う必要があります。

また、次のコマンドを入力して、エラーログが空であることを確認します。

less +G c1ws-dcgw-error.log

データセンターゲートウェイのネットワーク接続を確認する

vCenterまたはActive Directoryサーバのポートが開いていて、データセンターゲートウェイからアクセス可能であることを確認するには、データセンターゲートウェイサーバにログインし、次のコマンドを入力します。

nc -v SERVER_HOST_IP SERVER_HOST_PORT

指定する項目は次のとおりです。

  • SERVER_HOST_IP vCenterまたはActive Directoryサーバのホスト名またはIPアドレスです。
  • SERVER_HOST_PORT は待機ポート番号です。初期設定では、vCenterの場合は443、Active Directoryの場合は389 (StarTLS)/636 (LDAPS) です。

接続テストは成功するはずです。

成功しない場合は、ポート番号が開いていることを確認します。また、DNS設定と、それらの間のルータ、ファイアウォール、およびプロキシも確認します。プロキシがある場合は、vCenterまたはActive Directoryサーバに直接接続するのではなく、プロキシに接続する必要があります。

接続テストの結果、サーバに接続可能であるにもかかわらず、 Workload Security がデータを受信しない場合は、 データセンターゲートウェイのエラーログと接続試行を示すログを調べます。

less +G c1ws-dcgw.log

vCenterまたはActive Directoryサーバ (destination) と Workload Security FQDNの両方への接続試行が表示されます。設定されているホスト名とポート番号を確認します。

データセンターゲートウェイをアップグレードする

データセンターゲートウェイをアップグレードするサーバで、RPMまたはDEBファイルをアップロードしてから、次のアップグレードコマンドを入力します。

  • Red Hat Enterprise Linux: sudo rpm -U <new data center gateway installer rpm>
  • Ubuntu Linux: sudo apt --only-upgrade install ./<new data center gateway installer deb>

アップグレードが完了したことを確認するには

  1. データセンターゲートウェイのステータスを確認しますデータセンターゲートウェイのネットワーク接続.
  2. インストールされているソフトウェアのバージョン番号を確認します。
  3. Red Hat Enterprise Linux: rpm -q --info <data center gateway package name>
  4. Ubuntu Linux: apt show <data center gateway package name>