Workload SecurityがVMware vCenterまたはActive Directoryサーバーからコンピュータのインベントリを取得できるようにするには、次の図に示すように、それらの間にデータセンターゲートウェイを配置する必要があります。
gateway=6b22ada1-c337-42dd-a1d3-0e0058c8bdd7.png
データセンターゲートウェイは接続をプロキシします。
ネットワークの中断やコンポーネントの故障の場合における高可用性 (HA) のために、以下の図に示すように複数のデータセンターゲートウェイを展開することもできます。
gateway_deployment=882e5346-e02f-49d2-8b3d-cf84e6447d74.png
基本手順:
  1. システム要件を確認する
  2. 権限を付与
  3. データセンターゲートウェイソフトウェアをダウンロード
  4. 認証ファイルをダウンロード
  5. vCenter/Active Directoryサーバーとプロキシの構成
  6. データセンターゲートウェイをインストールする

システム要件の確認

データセンターゲートウェイは、以下のプラットフォームでサポートされています:
プラットフォーム
データセンターゲートウェイバージョン
Red Hat Enterprise Linux 7
1.0.45 およびそれ以前
Red Hat Enterprise Linux 8
1.0.45 およびそれ以前
Red Hat Enterprise Linux 9
1.0.51以降 *
Ubuntu Linux 18.04
1.0.45 およびそれ以前
Ubuntu Linux 20.04
1.0.45 およびそれ以前
Ubuntu Linux 22.04
1.0.51以降 *
* このプラットフォームにデータセンターゲートウェイの以前のバージョンをインストールしようとすると、既知のライブラリ互換性の問題が発生する可能性があります。これらの問題を解決する方法については、トラブルシューティングを参照してください。
最小ハードウェア要件:
  • 1CPUまたは仮想CPU (vCPU)
  • 2GBのメモリ (RAM)
  • 1GBの空きディスク容量
ファイアウォールとプロキシも必要なポート番号、ホスト名、およびIPアドレスとのネットワーク接続を許可する必要があります。

権限の付与

インストール中に、データセンターゲートウェイを認証情報で構成する必要があります。これらの認証情報はあなたのユーザアカウントに属していないため、管理者がそれらにアクセスするための特別な権限を付与する必要があります。
  1. Workload Security コンソールで、[管理][ユーザ管理][ロール] に進みます。
  2. データセンターゲートウェイの認証情報をダウンロードするユーザの役割を編集します。
  3. [プロパティ][その他の権限]を選択します。[データセンターゲートウェイ]の場合は、[製品版]を選択します。
right-data-center-gateway=a1b66e59-3345-40a6-b8d7-7482bd49bd6d.png

データセンターゲートウェイソフトウェアをダウンロードすします

Red Hat Enterprise Linuxの場合、RPMファイルをダウンロードしてください。
Ubuntuの場合、DEBファイルをダウンロードしてください。
FIPSパッケージは、データセンターゲートウェイの政府展開用に設計されています。このパッケージは、AWS上のUbuntu Pro FIPS 20.04と互換性があります。このパッケージを使用するには、FIPSパッケージを含むUbuntu FIPS for AWS | Ubuntuイメージが環境にあることを確認してください。
日付
バージョン
RPM ダウンロード
DEB ダウンロード
FIPS ダウンロード
リリースノート
2025年6月2日
1.0.56
ダウンロード
OpenSSLは複数の脆弱性 (CVE-2024-0727およびCVE-2024-25261を含む) に対処するためにバージョン3.0.16に更新されました。
Ubuntu Pro FIPS 20.04のセキュリティ更新が適用され、FIPS要件への準拠が確保され、既知のパッケージ脆弱性が解決されました (2025-01-30)。
2024年10月15日
1.0.51
このバージョンおよびそれ以降のバージョンは、Red Hat Enterprise Linux 9とUbuntu 22.04をサポートしています。
以前のバージョンはRed Hat Enterprise Linux 8とUbuntu 20.04のみをサポートし、Red Hat Enterprise Linux 9とUbuntu 22.04はサポートしていません。
2024年6月12日
1.0.45
なし
サードパーティのライブラリがアップデートされました。
このバージョンおよびそれ以前のバージョンは、Red Hat Enterprise Linux 8とUbuntu 20.04をサポートしています。バージョン1.0.51から、Data Center GatewayはRed Hat Enterprise Linux 9とUbuntu 22.04をサポートします。
バージョン1.0.45およびそれ以前はRed Hat Enterprise Linux 9およびUbuntu 22.04をサポートしていません。
2022年2月07日
1.0.20
なし
サードパーティのライブラリがアップデートされました。
2021年12月15日
1.0.18
なし
サードパーティのライブラリがアップデートされました。
2021年8月30日
1.0.17
なし
トンネルログの強化とdcgw-controlヘルパーによるプロキシ設定のサポート
2021年7月26日
1.0.15
なし
データセンターゲートウェイは、トレンドマイクロが必要とするインターネット向けサービスおよび内部のvCenterまたはActive Directoryサーバの宛先に接続するためのプロキシをサポートします。
2021年5月28日
1.0.14
なし
起動時にサービスが自動的に起動しない問題を修正しました。
2021年3月28日
1.0.12
なし
Pythonライブラリの依存関係を更新しました。
2021年1月25日
1.0.7
なし
destination_allow_list.yamlのロードに失敗した場合の対処方法が改善されました。
RedHatにおけるサービスの起動に関する問題が修正されました。
2020年12月08日
1.0.2
なし

資格情報ファイルをダウンロードする

各資格情報ファイルには、データセンターゲートウェイが認証およびWorkload Securityとの通信に使用するキーと識別子が含まれています。
  1. Workload Securityコンソールで、[管理][システム設定][データセンターゲートウェイ] の順に選択します。
  2. [新規] をクリックします。
  3. [表示名]を入力してください。
  4. [次へ] をクリックします。
  5. [資格情報ファイルのダウンロード]をクリックしてください。インストーラーが必要とするため、ファイル名を変更しないでください。
  6. 上記の手順を繰り返して、インストールするデータセンターゲートウェイごとに1つの資格情報ファイルをダウンロードします。
警告
警告
独自のデータセンターゲートウェイでのみ資格情報ファイルを使用してください。HAペアとして展開されているデータセンターゲートウェイであっても、資格情報ファイルは一意です。同じファイルを複数のインストールにコピーすると、予期しない動作が発生する可能性があります。さらに、資格情報ファイルは安全な場所に保管し、アクセスを制限するために権限を使用してください。キーはパスワードと同様に秘密です。不正アクセスはセキュリティの侵害につながる可能性があります。

vCenterおよびActive Directoryサーバとプロキシの設定

インストール中に、データセンターゲートウェイが接続するVMware vCenterまたはMicrosoft Active Directoryサーバーのリストを提供する必要があります (該当する場合)。プレーンテキストエディタを使用してリストを作成してください。リストはYAML形式で、destination_allow_list.yamlという名前にする必要があります。
リンターを使用して、リストが有効なYAML形式であることを確認します。インストーラは無効なファイルを使用できません。
データセンターゲートウェイがリスト内のすべてのネットワークアドレスに到達できることを確認します。データセンターゲートウェイをプロキシ経由でインターネット、または内部ネットワークのvCenterサーバまたはActive Directoryサーバに接続する必要がある場合は、プロキシを使用するようにデータセンターゲートウェイも設定します。
例えば、destination_allow_list.yamlには次の内容が含まれる可能性があります:
gateway_proxy:
  - HostName: "internet.proxy.example.com"
    Port: 3128
    Username: "intenet_proxy_user"
    Password: "internet_proxy_password"
destinations:
  - HostName: "vcenter1.datacenter.internal"
    Port: 443
  - HostName: "192.168.123.45"
    Port: 443
  - HostName: "adserver1.datacenter.internal"
    Port: 389
  - HostName: "192.168.123.46"
    Port: 389
    Proxy:
      HostName: "proxy.vCenter.internal"
      Port: 3128
      Username: "vcenter_proxy_user"
      Password: "vcenter_proxy_password"
ここで:
  • gateway_proxyセクションでは、データセンターゲートウェイがWorkload Securityに接続するために使用するプロキシを定義します。
  • destinationsセクションでは、vCenterまたはActive Directoryサーバーおよびそれらに接続するために使用されるプロキシ (存在する場合) を定義します。
  • HostNameは、Workload SecurityコンソールまたはAPIでvCenterやActive Directoryサーバーを追加するために使用される識別子です。
    HostNameは一意でなければなりません。ドメイン名またはIPアドレスが他のHostNameと同じvCenterまたはActive Directoryサーバーを指している場合、管理対象エージェントに予期しない動作を引き起こす可能性があります。
  • UsernamePasswordは、データセンターゲートウェイがプロキシに接続するために使用するログイン情報です。認証が不要な場合は省略してください。
警告
警告
destination_allow_list.yamlを安全な場所に保管し、アクセスを制限するために権限を使用してください。パスワードが含まれています。不正アクセスはセキュリティの侵害を引き起こす可能性があります。さらに、各HostNameが一意であることを忘れないでください。ドメイン名またはIPアドレスが他のHostNameと同じvCenter/Active Directoryサーバーを指している場合、管理対象エージェントに予期しない動作を引き起こす可能性があります。
複数のHostNameエントリが同じIPアドレスに解決される場合の重複を防ぐため、最初のドメイン名のみが有効になります。ドメイン名はIPアドレスよりも優先されます。例えば、次の構成が与えられた場合、データセンターゲートウェイはホスト名vc1.dc.internalのvCenterサーバと通信できます。
# Both "vc1.dc.internal" and "vc1.dc.example.com" resolve to 192.168.100.1

destinations:
  - HostName: "192.168.100.1"       # Does not take effect because hostnames take precedence over IP addresses
    Port: 443
  - HostName: "vc1.dc.internal"     # Takes effect
    Port: 443
  - HostName: "vc1.dc.example.com"  # Does not take effect because it resolves to the same IP address as previous hostname
    Port: 443

データセンターゲートウェイのインストール

データセンターゲートウェイをインストールするサーバで、インストーラ、認証情報、および設定ファイルをアップロードし、次のインストーラコマンドを入力します。
  • Red Hat Enterprise Linux で: sudo DCGW_CRED_PATH="</absolute/path/to/credentials.json>" DCGW_ALLOW_LIST_PATH="</absolute/path/to/destination_allow_list.yaml>" rpm -ivh /path/to/rpm/file
  • Ubuntuの場合: sudo DCGW_CRED_PATH="</absolute/path/to/credentials.json>" DCGW_ALLOW_LIST_PATH="</absolute/path/to/destination_allow_list.yaml>" apt install /path/to/deb/file
次のエラーメッセージのいずれかが表示された場合は、問題を修正して再試行してください。
エラーメッセージ
考えられる原因
解決方法
credentials.jsonのファイルパスが必要です。続行するには変数DCGW_CRED_PATHを設定してください
インストール中にパラメータDCGW_CRED_PATHが割り当てられませんでした。
変数DCGW_CRED_PATHcredentials.jsonファイルの完全なパスで設定してください。
ファイル名には認証情報またはdestination_allow_listファイル拡張子を含める必要があります
DCGW_CRED_PATHまたはDCGW_ALLOW_LIST_PATHに必要なファイル名が含まれていません。
DCGW_CRED_PATHの値がファイル名credentials.jsonで終わること、およびDCGW_ALLOW_LIST_PATHの値がファイル名destination_allow_list.yamlで終わることを確認してください。
これらのファイル名を変更しないでください。
そのようなファイルはありません。credentials.jsonまたはdestination_allow_list.yamlの絶対パスを取得するにはreadlink -fを使用してください
指定されたDCGW_CRED_PATHまたはDCGW_ALLOW_LIST_PATHのパスに適切なファイルが含まれていませんでした。
readlink -fコマンドを使用して、credentials.jsonまたはdestination_allow_list.yamlの正しい完全なパスを確認してください。
インストールが成功したら、credentials.jsondestination_allow_list.yamlを削除するか、安全な場所に保存してください。インストーラーはそれらを/var/opt/c1ws-dcgateway/conf/credentials.jsonおよび/var/opt/c1ws-dcgateway/conf/destination_allow_list.yamlに正しい権限でコピーします。元のファイルを保持する必要はありません。

トラブルシューティング

データセンターゲートウェイのステータスの確認

データセンターゲートウェイがアクティブかどうか (プロセスが実行中かどうか) を確認するには、SSHまたはリモートデスクトップを使用してサーバに接続し、次のいずれかのコマンドを入力します。
journalctl -u c1ws-dcgw.service -f
または:
systemctl status c1ws-dcgw
ステータスと、追加されたvCenterサーバまたはActive Directoryサーバが表示されます。
data-center-gateway=9fa8a1a2-3bef-4709-a169-54010084d2ba.png
ステータスは、どのサーバーが宛先リストに追加されたかを示すだけです。vCenterやActive Directoryとのネットワーク接続をテストすることは含まれていません。それは別途行う必要があります。
また、次のコマンドを入力して、エラーログが空であることを確認します。
less +G c1ws-dcgw-error.log

データセンターゲートウェイのネットワーク接続を確認する

vCenterまたはActive Directoryサーバのポートが開いていて、データセンターゲートウェイからアクセス可能であることを確認するには、データセンターゲートウェイサーバにログインし、次のコマンドを入力します。
nc -v SERVER_HOST_IP SERVER_HOST_PORT
ここで:
  • SERVER_HOST_IP はvCenterまたはActive Directoryサーバのホスト名またはIPアドレスです。
  • SERVER_HOST_PORTはリスニングポート番号です。デフォルトでは、vCenterは443、Active Directoryは389 (StarTLS)/636 (LDAPS) です。
接続テストは成功するはずです。
vcenter-connection=b50e343c-9125-4334-a781-556d2cb29e5a.png
成功しない場合は、ポート番号が開いていることを確認してください。また、DNS設定およびそれらの間にあるルータ、ファイアウォール、プロキシを確認してください。プロキシがある場合、接続はvCenterやActive Directoryサーバに直接ではなく、プロキシに成功する必要があります。
接続テストでサーバーに到達可能であることが示されているが、Workload Securityがまだデータを受信していない場合は、データセンターゲートウェイエラーログおよび接続試行を示すログを確認してください。
less +G c1ws-dcgw.log
vCenterまたはActive Directoryサーバー (destination) およびWorkload Security FQDNへの接続試行が表示されるはずです。設定されたホスト名とポート番号を確認してください。
dc-log=a3cee6eb-cad3-43ad-8b21-ca4e99131e83.png

データセンターゲートウェイをアップグレードする

アップグレードするデータセンターゲートウェイがあるサーバにRPMまたはDEBファイルをアップロードし、次にアップグレードコマンドを入力します
  • Red Hat Enterprise Linux では: sudo rpm -U <new data center gateway installer rpm>
  • Ubuntu Linuxの場合: sudo apt --only-upgrade install ./<new data center gateway installer deb>
アップグレードが完了したことを確認するには
  1. データセンターゲートウェイのステータスを確認し、データセンターゲートウェイのネットワーク接続を確認してください。
  2. インストールされているソフトウェアのバージョン番号を確認します。
    • Red Hat Enterprise Linux で: rpm -q --info <data center gateway package name>
    • Ubuntu Linux では: apt show <data center gateway package name>