このページのトピック
データセンターゲートウェイを設定する
データセンターゲートウェイを使用すると、 Workload Security とvCenter / Active Directoryサーバ間の通信が可能になり、 Workload Security がvCenter / Active Directoryサーバから仮想マシンのインベントリを取得できるようになります。データセンターにインストールされたゲートウェイは、次の図に示すように、 Workload Securityの代わりにvCenter / Active Directoryサーバに接続します。
データセンターゲートウェイと Workload Security は互いに認証し、暗号化されたチャネルを介して通信します(TLS / 443)。
各データセンターゲートウェイは、アクセス可能なvCenter / Active Directoryサーバのアドレスリストを保持しています。Workload Security は、仮想マシンのデータをvCenter / Active Directoryサーバと同期することを目的としていますが、接続されたデータセンターゲートウェイは、 Workload Security から指定されたvCenter / Active Directoryサーバに要求をブリッジします。
階層化された保護を実現するには、データセンターゲートウェイの周囲にファイアウォールを配置して宛先を制限します。
データセンターゲートウェイの設定
1.システム要件が正しいことを確認します。
データセンターゲートウェイは、次のプラットフォームでサポートされています。
- Red Hat Enterprise Linux 7
- Red Hat Enterprise Linux 8
- Ubuntu 18.04
- Ubuntu 20.04
少なくとも、2GBのメモリと1GBのディスク容量を備えた1つの仮想CPUが必要です。
2.データセンターゲートウェイで[すべてのアクセス権]を有効にします
[Administration]→[User Management]→[Roles]→[Properties]→[Other Rights]の順に選択し、[ Data Center Gateways ]で[Full]を選択します。
3.データセンターゲートウェイソフトウェアをダウンロードします
4.データセンターゲートウェイ資格情報ファイルをダウンロードします
資格情報ファイルには、 Workload Securityとの認証および通信用のキーと識別子が含まれています。
- Workload Security コンソールで、 [管理]→[システム設定]→[データセンターゲートウェイ] に移動し、[新規]をクリックします。
- 表示名を入力し、 [次へ] をクリックします。
- [資格情報ファイルのダウンロード]をクリックします。
注意:
- インストールに必要なため、ファイルの名前は変更できません。
- この資格情報ファイルには秘密が含まれており、適切に保護する必要があります。
- データセンターゲートウェイのインストールごとに資格情報ファイルをダウンロードする必要があります。複数のインストールで設定を共有すると、予期しない動作が発生する可能性があります。
5.vCenter / Active Directoryサーバのリストを作成し、プロキシを設定します
インストールプロセスでは、データセンターゲートウェイが接続するvCenter / Active Directoryサーバのリストが必要です。リスト内のアドレスがデータセンターゲートウェイサーバからアクセス可能であることを確認します。リストはYAML形式で指定し、 destination_allow_list.yaml
という名前にします。
必要に応じて、データセンターゲートウェイが存在するインターネット接続または内部vCenter / Active Directoryサーバの接続が制限されている場合に、データセンターゲートウェイプロキシを設定できます。データセンターゲートウェイは gateway_proxy
を利用して、ポート443で gateway.workload.{region}.trendmicro.com
および gateway-control.workload.{region}.trendmicro.com
へのインターネット接続を確立します。
vCenter / Active Directoryサーバの各送信先には、内部vCenter / Active Directoryサーバに接続するためのデータセンターゲートウェイ用の独自のプロキシ設定があります。認証が不要な場合は、プロキシのユーザ名とパスワードを省略できます。
たとえば、次のとおりです。
gateway_proxy:
- HostName: "proxy.to.internet"
Port: 3128
Username: "intenet_proxy_user"
Password: "internet_proxy_password"
destinations:
- HostName: "vcenter1.datacenter.internal"
Port: 443
- HostName: "192.168.123.45"
Port: 443
Proxy:
HostName: "proxy.vCenter.internal"
Port: 3128
Username: "vcenter_proxy_user"
Password: "vcenter_proxy_password"
注意:
- 許可リストに記載されている
HostName
は、 Workload Security コンソールまたはAPIを介してvCenter / Active Directoryサーバアカウントを追加するために使用される識別子です。 - 異なる
destinations
が同じIPアドレスまたはホスト名を使用して同じvCenter / Active Directoryサーバを指すことはできません。そうしないと、管理対象エージェントで予期しない動作が発生する可能性があります。 - 重複を避けるために、
destinations
の複数のレコードが同じIPアドレスに解決された場合、ホスト名を持つ最初のレコードのみが有効になります(IPアドレスはそれほど好ましくありません)。 以下の例では、 Workload Security は、ホスト名vc1.dc.internal
を使用してvCenter / Active Directoryサーバと通信できます。
# Both "vc1.dc.internal" and "vc1.dc.example.com" are resolved to 192.168.100.1
destinations:
- HostName: "192.168.100.1" # not effective because IP address is less preferable than a hostname resolved to the same address
Port: 443
- HostName: "vc1.dc.internal" # effective record
Port: 443
- HostName: "vc1.dc.example.com" # not effective because it resolved to the same address with previous record
Port: 443
6.データセンターゲートウェイをインストールします
- ゲートウェイをインストールするには、次のコマンドを入力します(OSによって異なります)。
- Red Hat Enterprise Linux:
$ sudo DCGW_CRED_PATH="<Absolute path to credentials.json>" DCGW_ALLOW_LIST_PATH="<Absolute path to destination_allow_list.yaml>" rpm -ivh /path/to/rpm/file
- Ubuntu:
$ sudo DCGW_CRED_PATH="<Absolute path to credentials.json>" DCGW_ALLOW_LIST_PATH="<Absolute path to destination_allow_list.yaml>" apt install /path/to/deb/file
credentials.json
とdestination_allow_list.yaml
を削除するか、安全な場所にバックアップしてください。インストーラが/var/opt/c1ws-dcgateway/conf/credentials.json
と/var/opt/c1ws-dcgateway/conf/destiantion_allow_list.yaml
にコピーします。また、ファイルに対する適切な権限も設定されます。- 次のコマンドを入力して、データセンターゲートウェイのステータスを確認します。
$ journalctl -u c1ws-dcgw.service -f
送信先リストに追加されたvCenter / Active Directoryサーバホストが表示され、ゲートウェイが実行されています。
エラーメッセージが表示された場合は、次の表を確認してください。
エラー | 考えられる原因 | ソリューション |
---|---|---|
credentials.json のファイルパスが必要です。続行するには変数 DCGW_CRED_PATH を設定してください |
インストール時にパラメータ DCGW_CRED_PATH が割り当てられませんでした。 |
前の手順でダウンロードした credentials.json ファイルのフルパスを使用して変数 DCGW_CRED_PATH を設定します。 |
ファイル名には資格情報またはdestination_allow_listファイル拡張子を含める必要があります | DCGW_CRED_PATH または DCGW_ALLOW_LIST_PATH に必要なファイル名が含まれていません。 |
DCGW_CRED_PATH の値の末尾がファイル名 credentials.json ,
であるか、 DCGW_ALLOW_LIST_PATH の値の末尾がファイル名 destination_allow_list.yaml であることを確認してください。これらのファイル名は変更しないでください。 |
そのようなファイルはありません。 readlink -f を使用して credentials.json の絶対パスを取得するか、 destination_allow_list.yaml |
DCGW_CRED_PATH または DCGW_ALLOW_LIST_PATH の指定されたパスに適切なファイルが含まれていませんでした。 |
readlink -f コマンドを使用して、 credentials.json または destination_allow_list.yaml の正しいフルパスを取得します。 |
データセンターゲートウェイが設定されたら、 VMware vCenter / Active Directoryサーバを Workload Securityに追加できます。
データセンターゲートウェイのステータスと接続を確認する
データセンターゲートウェイとvCenter / Active Directoryサーバ、SSHの間の接続を確認するか、リモートデスクトップを使用してデータセンターゲートウェイホストに接続するには、次の手順に従ってください。
Action | コマンド | 希望する結果 |
---|---|---|
データセンターゲートウェイがアクティブであることを確認します。 | systemctl status c1ws-dcgw |
プロセスはアクティブで実行中です。![]() |
データセンターゲートウェイのエラーログを確認する | less +G c1ws-dcgw-error.log |
データセンターゲートウェイが機能しており、dc-gateway-error.logが空です。 |
データセンターのゲートウェイログを確認する | less +G c1ws-dcgw.log |
dc-gateway.logは、データセンターゲートウェイがvCenter / Active Directoryサーバおよび Workload Securityに接続しようとしていることを示しています。![]() |
vCenter / Active Directoryサーバのポートが開いていることを確認します。初期設定では443です | nc -v vCenter/Active Directory server_HOST_IP 443 |
データセンターゲートウェイは問題なくvCenter / Active Directoryサーバに接続します。![]() |
データセンターゲートウェイをアップグレードする
- RPM / DEBファイルをデータセンターゲートウェイコンピュータにコピーします。
- コンピュータでrpmパッケージマネージャが使用されている場合は、次のコマンドを入力します。
sudo rpm -U <new data center gateway installer rpm>
「-U」引数は、インストーラにアップグレードの実行を指示します。 - コンピュータでapt package managerを使用している場合は、次のコマンドを入力します。
sudo apt --only-upgrade install ./<new data center gateway installer deb>
アップグレードが完了したかどうかを確認するには
- データセンターゲートウェイのステータスと接続を確認します。
- 現在のパッケージのバージョンを確認するには、環境に応じて次のコマンドを実行します。
- RPMパッケージマネージャ:
rpm -q --info <data center gateway package name>
- APTパッケージマネージャ:
apt show <data center gateway package name>
セキュリティのベストプラクティス
ファイアウォールをデータセンターゲートウェイに追加する
データセンターゲートウェイは、TLSプロトコルを使用して Workload Security およびvCenter / Active Directoryサーバと通信します。Workload Securityへのホストアドレスとポートの要件については、詳細について、データセンターのゲートウェイ ポートとURL を参照してください。vCenter / Active Directoryサーバの要件については、データセンターゲートウェイの許可リスト destination_allow_list.yaml
を参照してください。
高可用性展開計画
単一のゲートウェイのソフトウェアの問題、ハードウェアの障害、または不正な変更管理などの潜在的な問題から保護するために、オプションの高可用性(HA)配信を提供しています。データセンターゲートウェイの資格情報はHAシナリオでも共有されないように注意してください。
次の図は、データセンターゲートウェイの配置を示しています。