データセンターゲートウェイを設定する

データセンターゲートウェイを使用すると、 Workload Security とvCenter間の通信が可能になり、 Workload Security が仮想マシンインベントリをvCenter Serverから取得できるようになります。データセンターにインストールされているゲートウェイは、 Workload Securityの代わりにvCenter Serverに接続します(下の図を参照)。

データセンターゲートウェイと Workload Security は互いに認証し、暗号化されたチャネルを介して通信します(TLS / 443)。

各データセンターゲートウェイは、アクセス可能なvCenter Serverのアドレスのリストを保持しています。Workload Security は仮想マシンのデータをvCenterと同期する予定ですが、接続されたデータセンターゲートウェイは、 Workload Security からの要求を指定されたvCenter Serverにブリッジします。

階層化された保護を実現するには、データセンターゲートウェイの周囲にファイアウォールを配置して宛先を制限します。

データセンターゲートウェイを設定する

1.システム要件が正しいことを確認してください。

データセンターゲートウェイは、次のプラットフォームでサポートされています。

  • Red Hat Enterprise Linux 7
  • Red Hat Enterprise Linux 8
  • Ubuntu 18.04
  • Ubuntu 20.04

少なくとも2 GBのメモリを搭載した1つの仮想CPUが必要です。

2.データセンターゲートウェイで[すべてのアクセス権]を有効にします。

[ Administration]→[User Management]→[Roles]→[Properties]→[Other Rights]の順に選択し、[ Data Center Gateways]で[Full]を選択します。

3.データセンターゲートウェイソフトウェアをダウンロードします。

日付 Version RPMダウンロード DEBダウンロード
2021年1月25日 1.0.7
2020年12月8日 1.0.2

4.データセンターゲートウェイ資格情報ファイルをダウンロードします。

資格情報ファイルには、 Workload Securityとの認証および通信用のキーと識別子が含まれています。

  1. Workload Security コンソールで、 の[管理]→[システム設定]→[データセンターゲートウェイ] に移動し、 [新規]をクリックします。
  2. の表示名を入力し、 [次へ] をクリックします。
  3. [ 資格情報ファイルのダウンロード] をクリックします。

注意:

  • インストールに必要なファイル名は変更できません。
  • この資格情報ファイルには秘密が含まれており、適切に保護する必要があります。
  • データセンターゲートウェイのインストールごとに資格情報ファイルをダウンロードする必要があります。複数のインストールで設定を共有すると、予期しない動作が発生する可能性があります。

5.vCenter Serverのリストを作成します。

インストールプロセスでは、データセンターゲートウェイが接続するvCenter Serverのリストが必要です。リスト内のアドレスがデータセンターゲートウェイサーバからアクセス可能であることを確認します。リストはYAML形式で指定し、 destination_allow_list.yamlという名前にします。たとえば、次のとおりです。

destinations:
- HostName: "vcenter1.datacenter.internal"
  Port: 443
- HostName: "192.168.123.45"
  Port: 443

注意:

  • 許可リストに記載されている HostName は、 Workload Security コンソールまたはAPIを介してvCenterアカウントを追加するために使用される識別子です。
  • 異なる destinations が同じIPアドレスまたはホスト名を使用して同じvCenterサーバを指すことはできません。そうしないと、管理下のDeep Security Agentでの予期しない動作が発生することがあります。
  • 重複を避けるために、 destinations の複数のレコードが同じIPアドレスに解決された場合、ホスト名を持つ最初のレコードのみが有効になります(IPアドレスはそれほど好ましくありません)。 以下の例では、 Workload Security はホスト名 vc1.dc.internalを使用してvCenter Serverと通信できます。
 # Both "vc1.dc.internal" and "vc1.dc.example.com" are resolved to 192.168.100.1
destinations:
- HostName: "192.168.100.1"       # not effective because IP address is less preferable than a hostname resolved to the same address
  Port: 443
- HostName: "vc1.dc.internal"     # effective record
  Port: 443
- HostName: "vc1.dc.example.com"  # not effective because it resolved to the same address with previous record
  Port: 443

6.データセンターゲートウェイをインストールします。

  1. ゲートウェイをインストールするには、次のコマンドを入力します(OSによって異なります)。
  2. Red Hat Enterprise Linux: $ sudo DCGW_CRED_PATH="<Absolute path to credentials.json>" DCGW_ALLOW_LIST_PATH="<Absolute path to destination_allow_list.yaml>" rpm -ivh /path/to/rpm/file
  3. Ubuntu: $ sudo DCGW_CRED_PATH="<Absolute path to credentials.json>" DCGW_ALLOW_LIST_PATH="<Absolute path to destination_allow_list.yaml>" apt install /path/to/deb/file
  4. credentials.jsondestination_allow_list.yaml を削除するか、安全な場所にバックアップしてください。インストーラが /var/opt/c1ws-dcgateway/conf/credentials.json/var/opt/c1ws-dcgateway/conf/destiantion_allow_list.yamlにコピーします。また、ファイルに対する適切な権限も設定されます。
  5. 次のコマンドを入力して、データセンターゲートウェイのステータスを確認します。 $ journalctl -u c1ws-dcgateway.service -f

送信先リストに追加されたvCenterホストが表示され、ゲートウェイが実行されています。

エラーメッセージが表示された場合は、次の表を確認してください。

エラー 考えられる原因 ソリューション
'credentials.json'と 'destination_allow_list.yaml'のファイルパスが必要です。続行するには変数 'DCGW_CRED_PATH'と 'DCGW_ALLOW_LIST_PATH'を設定してください パラメータ「DCGW_CRED_PATH」および「DCGW_ALLOW_LIST_PATH」はインストール時に割り当てられていません。 上記の説明に従ってインストールコマンドを入力していることを確認してください。
ファイル名にcredentials / destination_allow_listというファイル拡張子が含まれている必要があります。 「DCGW_CRED_PATH」または「DCGW_ALLOW_LIST_PATH」のファイル名が正しくありません。 上記の説明に従ってインストールコマンドを入力していることを確認してください。
そのようなファイルはありません。「readlink -f」を使用してcredentials.jsonとdestination_allow_list.yamlの絶対パスを取得してください。 「DCGW_CRED_PATH」および「DCGW_ALLOW_LIST_PATH」の指定されたパスに適切なファイルがありません。 インストール時に正しい絶対パスを入力していることを確認してください。

データセンターゲートウェイが設定されたら、 VMware vCenterを Workload Securityに追加できます。

データセンターゲートウェイのステータスと接続を確認する

データセンターゲートウェイとvCenter、SSHの間の接続を確認するか、リモートデスクトップを使用してデータセンターゲートウェイホストに接続するには、次の手順に従ってください。

Action コマンド 希望する結果
データセンターゲートウェイがアクティブであることを確認します。 systemctl status c1ws-dcgw プロセスはアクティブで実行中です。
データセンターゲートウェイのエラーログを確認する less +G c1ws-dcgw-error.log データセンターゲートウェイが機能しており、dc-gateway-error.logが空です。
データセンターのゲートウェイログを確認する less +G c1ws-dcgw.log dc-gateway.logは、データセンターゲートウェイがvCenterおよび Workload Securityに接続しようとしていることを示しています。
vCenterポートが開いていることを確認します。初期設定では443です nc -v vCenter_HOST_IP 443 データセンターゲートウェイは問題なくvCenterに接続します。

データセンターゲートウェイをアップグレードする

  1. RPM / DEBファイルをデータセンターゲートウェイコンピュータにコピーします。
  2. コンピュータでrpmパッケージマネージャが使用されている場合は、次のコマンドを入力します。 sudo rpm -U <new data center gateway installer rpm> 「-U」引数は、インストーラにアップグレードの実行を指示します。
  3. コンピュータでapt package managerを使用している場合は、次のコマンドを入力します。 sudo apt --only-upgrade install ./<new data center gateway installer deb>

アップグレードが完了したかどうかを確認するには

  1. データセンターゲートウェイのステータスと接続を確認します。
  2. 現在のパッケージのバージョンを確認するには、環境に応じて次のコマンドを実行します。
  3. RPMパッケージマネージャ: rpm -q --info <data center gateway package name>
  4. APTパッケージマネージャ: apt show <data center gateway package name>

セキュリティのベストプラクティス

ファイアウォールをデータセンターゲートウェイに追加する

データセンターゲートウェイは、TLSプロトコルを使用して Workload Security およびvCenter Serverと通信します。Workload Securityへのホストアドレスとポートの要件については、詳細について、データセンターのゲートウェイ ポートとURL を参照してください。vCenter Serverの要件については、データセンターゲートウェイの許可リスト destination_allow_list.yamlを参照してください。

高可用性展開計画

単一のゲートウェイのソフトウェアの問題、ハードウェアの障害、または不正な変更管理などの潜在的な問題から保護するために、オプションの高可用性(HA)配信を提供しています。データセンターゲートウェイの資格情報はHAシナリオでも共有されないように注意してください。

次の図は、データセンターゲートウェイの配置を示しています。