目次

追加のリレーを配信する

ほとんどの場合、初期設定の Workload Securityが提供するリレーで十分です。しかし、あるいくつかの状況追加のインストールが必要になることがあります。独自のリレーをインストールするタイミングの詳細については、リレーの仕組みを参照してください。

リレーを配置する場合は、次の作業を行う必要があります。

  1. リレーの最適な数と位置を計画する
  2. リレーグループを作成する
  3. リレーを有効にする
  4. リレーグループにエージェントを割り当てる
  5. エージェントをリレーのプライベートIPアドレスに接続する

リレーの最適な数と位置を計画する

リレーの最適な数と配置は次の条件に依存します。

  • 地理的リージョンと距離:独自のRelayを配置する場合は、各地理的リージョンに独自の グループ を少なくとも2つ配置し、エージェントは同じ地理的リージョンのリレーを使用する必要があります。長距離およびネットワークの遅延のため、アップデートの再配布が遅くなる可能性があります。他のリージョンからダウンロードすると、ネットワーク帯域幅やクラウドコストも増加する可能性があります。
  • ネットワークアーキテクチャと帯域幅の制限:帯域幅が制限されたネットワークセグメントがある場合は、それぞれに少なくとも2つのRelayを持つ独自のRelayグループが必要です。低帯域幅のインターネット/ WAN接続、ルータ、ファイアウォール、VPN、VPC、またはプロキシデバイス(ネットワークセグメントをすべて定義できます)は、大量のトラフィックがネットワーク間を移動する場合、ボトルネックになる可能性があります。ボトルネックは、アップデートの再配布を遅くします。したがって、エージェントは通常、ボトルネックのある外部ネットワークのRelayではなく、同じネットワークセグメント内のローカルリレーを使用する必要があります。
  • プロキシ接続によるアプリケーションコントロール共有ルールセットの使用:共有アプリケーションコントロールルールセットを使用し、 エージェントがプロキシを介して接続する場合は、リレーを追加して大きなルールセットを処理し、パフォーマンスを向上させることができます。アプリケーションコントロール ルールセット および Deep Security Agentと Relay サイジングを参照してください。

リレーグループを作成する

リレーはリレーグループにまとめる必要があります。 Workload Security サービスによって提供される初期設定のリレーは、「プライマリテナントリレーグループ」という名前のリレーグループにあります。独自のリレーを追加する場合は、新しいリレーグループを追加します。

  1. [管理]→[アップデート]→[リレーの管理] に進みます。
  2. [ 新規リレーグループ ]を選択します。
  3. 右側のペインの[ リレーグループのプロパティ ]で、リレーグループの 名前 を入力します。
  4. アップデート元およびアップデート元のプロキシの設定はそのままにします。
  5. アップデートコンテンツで、[ セキュリティアップデートとソフトウェアアップデート ]または[ セキュリティアップデートのみ ]のいずれかを選択します。[ セキュリティアップデートのみ ]を選択した場合は、別のソフトウェアアップデート元を設定する必要があります。詳細については、アップデート元を設定するを参照してください。

レイテンシと外部/インターネット帯域幅の使用を最小限に抑えるには、地理的な地域やネットワークセグメントごとにグループを作成します。

リレーを有効にする

  1. リレーコンピュータが要件を満たしていることを確認してください。 AgentおよびRelayサイジング および Relay 要件を参照してください。
  2. 該当するポート番号のリレーとの間の送受信通信が許可されていることを確認してください。 Workload Security ポート番号を参照してください。
  3. 選択したコンピュータにエージェントを配信します。Deep Security Agentソフトウェアの取得 および エージェントをインストールするを参照してください。
  4. エージェントをリレーとして有効にします。

    1. [管理]→[アップデート]→[リレーの管理] に進みます。
    2. リレーを配置するリレーグループを選択します。
    3. [ Relayの追加 ]を選択します。
    4. 使用可能なコンピュータで、配信したばかりのエージェントを選択します。

      検索フィールドを使用して、コンピュータのリストをフィルタします。

    5. [Relayを有効にしてグループに追加]を選択します。エージェントがリレーとして有効になり、リレーアイコン(リレーアイコン)で表示されます。

AgentをRelayグループに割り当てる

各エージェントが使用するリレーグループを指定する必要があります。各エージェントを手動で中継グループに割り当てるか、 イベントベースのタスク を設定して新しいエージェントを自動的に割り当てます。

コンピュータをリレーグループに手動で割り当てるには

  1. [コンピュータ] に移動します。
  2. コンピュータを右クリックし、[ Actions]→[Assign Relay Group]の順に選択します。

    複数のコンピュータを割り当てるには、リスト内のコンピュータをShiftキーまたはCtrlキーを押しながらクリックし、[処理]→[Relayグループの割り当て] の順に選択します。

  3. コンピュータで使用するリレーグループを選択します。

    レイテンシと外部/インターネットの帯域幅の使用を最小にするには、エージェントを同じ地域および/またはネットワークセグメントに属するリレーに割り当てます。

エージェントをリレーのプライベートIPアドレスに接続する

リレーでエラスティックIPアドレスが使用されている場合、AWS VPC内のエージェントがそのIPアドレス経由でリレーに接続できないことがあります。その代わりに、RelayグループのプライベートIPアドレスを使用する必要があります。

  1. [管理]→[システム設定]→[アップデート] の順に選択します。
  2. [ ソフトウェアアップデート ]の[ Deep Security Relayの代わりとなるソフトウェアアップデート配信サーバ ]に次のように入力します。

    https://<IP>:<port>/

    <IP> はリレーのプライベートネットワークIPアドレス、 <port>リレーポート番号です。

  3. [追加] を選択します。

  4. [保存] を選択します。

RelayグループのプライベートIPが変わった場合は、この設定を手動で更新する必要があります。この設定は自動的には更新されません。