このページのトピック
追加のリレーを配信する
ほとんどの場合、 Workload Securityが提供するリレーで十分です。しかし、あるいくつかの状況追加のインストールが必要になることがあります。
リレーを配置する場合は、次の作業を行う必要があります。
ネットワーク上のリレーが多すぎると、 は のパフォーマンスを低下させます。これを改善することはできません。 リレーには通常のエージェントより多くのシステムリソースが必要です。余分なリレーは、外部接続を最小限に抑える代わりに、帯域幅を競合する可能性もあります。必要に応じて、リレーを通常のDeep Security Agentに変換できます。 エージェントからリレー機能を削除するを参照してください。
リレーの最適な数と位置を計画する
リレーの最適な数と配置は次の条件に依存します。
地理的地域と距離
理想的には、各地域には、少なくとも2つのリレーを持つ独自の リレーグループ が必要です。
エージェントは、 の同じ地理的地域にローカルリレーを使用する必要があります。長距離およびネットワークの遅延のため、アップデートの再配布が遅くなる可能性があります。他の地域からダウンロードすると、ネットワーク帯域幅やクラウドコストも増加する可能性があります。
ネットワークアーキテクチャと帯域幅の制限
理想的には、帯域幅の制限されたエージェントの各ネットワークセグメントには、少なくとも2つのリレーを持つ独自のリレーグループが必要です。
大量のトラフィック量がネットワーク間を移動する場合、低帯域幅のインターネット/ WAN接続、ルータ、ファイアウォール、VPN、VPC、またはプロキシデバイス(ネットワークセグメントをすべて定義できます)がボトルネックになる可能性があります。ボトルネックは、アップデートの再配布を遅くします。したがって、クライアントは、通常、 と同じネットワークセグメント内のローカルリレーを使用する必要があります. - リレーはボトルネックの外部ネットワークにはありません。
たとえば、リレーグループ階層では、インターネットおよび内部ネットワークの帯域幅の使用を最小限に抑えることができます。1つの「上位」リレーグループのみがインターネット接続を使用できます。サブグループは、ローカルネットワーク接続を介して上位サーバからダウンロードされます。エージェントはローカルリレーグループからダウンロードされます。
大規模な展開では、各リレーに多くのエージェントが接続されることがあります。これにはより強力な専用サーバ上のリレーが必要です(共有サーバ上のリレーの数が増えます)。 Deep Security Agentおよび Relayのサイジングを参照してください。
プロキシ接続によるApplication Control共有ルールセットの使用
共有を使用する場合アプリケーションコントロールルールセットとエージェントがプロキシを介して接続する場合は、リレーを追加して大規模なルールセットを処理し、パフォーマンスを向上させることもできます。 を参照してください。 アプリケーションコントロール ルールセット および Deep Security Agentと Relay サイジング。
アップデート元を設定する
リレーを設定する前に、アップデート元を定義し、通常の リレー階層 をバイパスしてアップデートを適用するタイミングを定義する必要があります。
- [管理]→[システム設定]→[アップデート] の順に選択します。
-
必要に応じて、 プライマリセキュリティアップデート元 および セカンダリソースを設定します。
初期設定では、プライマリソースは Trend Micro Update Server で、インターネット経由でアクセスします。設定を変更しないでください。サポートプロバイダが、 その他のアップデート元を設定するよう指示している場合を除きます。代替アップデート元のURLには、「http://」または「https://」が含まれている必要があります。
-
通常、ビジネスセキュリティクライアントは、 Workload Security から通知があったときにセキュリティアップデートを取得するためにリレーに接続します。しかし、コンピュータが Workload Security またはリレー(定期メンテナンス時など)に常に接続できるとは限りません. および 十分なインターネット/ WAN帯域幅がある場合は、次のオプションを選択できます。
- Relayに接続できない場合、セキュリティアップデート元からの直接ダウンロードをAgent/Applianceに許可
- Workload Security にアクセスできない場合にビジネスセキュリティクライアントにビジネスセキュリティのダウンロードを許可する
ラップトップとポータブルコンピュータを保護する場合、サポートサービスから離れていることがあります。アップデート中に問題の可能性があるセキュリティアップデートのリスクを回避するには、これらのオプションの選択を解除してください。
-
通常、 Workload Security にはリレーが用意されています。しかし、使用しない場合は、 の選択を解除してください。プライマリテナント Relay グループを初期設定の Relay グループとして使用します。
このオプションが選択されていない場合は、[ 管理]→[アップデート]→[ Relay グループ]の順にクリックした場合、リレーグループ名は「プライマリテナント Relay グループ」ではなく、「初期設定の Relay グループ」になります。
-
設定するDeep Security Relaysに代わる代替ソフトウェアアップデート用の配信サーバソフトウェアアップデートの代替ソースを指定しても、セキュリティアップデートが引き続きリレーから取得される必要があることに注意してください。リレーが弾性IPアドレスを持っている場合、 を計画している場合にリレーをセキュリティアップデートのみを受信するように設定する場合 (ソフトウェアのアップデートではない), )または ホストソフトウェアをWebサーバ でホストする場合は、効率と可用性の理由から。
https://<IP_or_hostname>:<port>/
と入力し、<IP_or_hostname>:<port>
の代わりに次のいずれかを入力します。- 固有IPアドレスを持つリレーのプライベートネットワークIPアドレスとポート
- Deep SecurityソフトウェアをホストするWebサーバおよびポート
- Workload Securityによってホストされるリレーのアドレスとポート、つまり https://relay.deepsecurity.trendmicro.com:443。これらのリレーはソフトウェアのアップデート元として機能し、独自のリレーはセキュリティアップデート元として機能する必要があります。
リレーを設定する
必要なリレーの場所と数、および使用する必要があるアップデート元を決定したら、次の操作を実行できます。
リレーグループを作成する
リレーは、リレーグループに編成する必要があります。リレーグループ自体は、さらに 階層に編成できます。
Workload Security のリレーは、「プライマリテナント Relay グループ」という名前のリレーグループに属しています。これを使用するには、コンピュータが Workload Securityの 待機ポート番号 に接続できることを確認します。より多くのリレーグループが必要な場合( を参照してください。リレーの最適な数と位置を計画する ), では、より多くのリレーグループを作成できます。
レイテンシと外部/インターネット帯域幅の使用を最小限に抑えるには、各地域および/またはネットワークセグメントのリレーグループを作成します。
- [管理]→[アップデート]→[Relayの管理] に進みます。 Relay グループのプロパティ ペインが右側に表示されます。
- 新規Relayグループをクリックします。
- リレーグループの Name を入力します。
-
アップデート元で、 **[プライマリセキュリティアップデート元]の** を選択します。サブグループの場合は、[下位), ]に親リレーグループの名前を入力します。
初期設定の Relay グループはアップデート元のリストに含まれていないため、親として設定することはできません。
最高のコストと速度でアップデート元を選択してください。リレーグループが階層の一部であっても、親リレーグループではなくプライマリセキュリティアップデートアップデート元からアップデートをダウンロードするほうが安価で高速になる場合があります。
-
この中継グループでプライマリセキュリティアップデート元への接続時にプロキシを使用する必要がある場合は、 アップデート元プロキシを選択します。詳細については、 を参照してください。[プライマリセキュリティアップデート元]にプロキシ経由で接続してください。。
他のリレーグループとは異なり、「Default Relay Group」は Workload Securityと同じプロキシを使用し、設定できません。Workload Security では、初期設定のリレーグループとして機能する「プライマリテナント Relay グループ」にリレーを提供しています。アップデート元プロキシは、 Workload Securityが提供するリレーには設定できません。
このリレーグループが通常、親リレーグループに接続する場合、サブグループ は ではプロキシ を使用しません。ただし、 という親リレーグループが使用不可で、 に「Primary Security Update Source」を使用するように設定されている場合を除きます。 "。
-
[ コンテンツのアップデート]で、[ のセキュリティ]と[ソフトウェアのアップデート ]または[ のセキュリティのアップデートのみ] []のいずれかを選択します。[ Security Updates only]を選択した場合は、別のソフトウェアアップデート元を設定する必要があります。詳細は、 を参照してください。アップデート元を選択します。
リレーを有効にする
- リレーコンピュータが要件を満たしていることを確認してください。See Deep Security AgentおよびRelayサイジングとDeep SecurityRelay要件。
- 該当するポート番号のリレーとの間の送受信通信が許可されていることを確認してください。 Workload Security ポート番号を参照してください。
- リレーがプロキシを介して接続する必要がある場合は、 プロキシ経由のセキュリティアップデートへのクライアント、アプライアンス、およびリレーの接続を参照してください。
- 選択したコンピュータにエージェントを配信します。 取得のDeep Security Agentソフトウェア と はエージェントのインストールを参照してください。
-
エージェントをリレーとして有効にします。
- Workload Security コンソールにログインします。
- 上部の [管理] をクリックします。
- 左側のナビゲーションペインで、[ Relay Management ]をクリックします。
- リレーを配置するリレーグループを選択します。リレーグループが存在しない場合、 は1つのを作成します。
- [Relayの追加...] をクリックします。
- Available Computersで、配信したばかりのエージェントを選択します。
- [ Relay を有効にする]および[グループに追加]をクリックします。エージェントはリレーとして有効化され、リレーアイコン(
)が表示されます。
レイテンシおよび外部/インターネット帯域幅の使用率を最小にするには、同じ地理的地域および/またはネットワークセグメントに属するリレーをグループ化します。
検索フィールドを使用してコンピュータのリストをフィルタできます。
AgentをRelayグループに割り当てる
各エージェントが使用するリレーグループを指定する必要があります。各エージェントを手動で中継グループに割り当てるか、 イベントベースのタスク を設定して新しいエージェントを自動的に割り当てます。
- [コンピュータ] に移動します。
-
コンピュータを右クリックし、[ Actions]→[Assign Relay Group]の順に選択します。
複数のコンピュータを割り当てるには、リスト内のコンピュータをShiftキーまたはCtrlキーを押しながらクリックし、[処理]→[Relayグループの割り当て] の順に選択します。
-
コンピュータで使用するリレーグループを選択します。
レイテンシと外部/インターネットの帯域幅の使用を最小にするには、エージェントを同じ地域および/またはネットワークセグメントに属するリレーに割り当てます。
リレーをエージェントのプライベートIPアドレスに接続する
リレーでエラスティックIPアドレスが使用されている場合、AWS VPC内のエージェントがそのIPアドレス経由でリレーに接続できないことがあります。その代わりに、RelayグループのプライベートIPアドレスを使用する必要があります。
- [ 管理]→[システム設定]の順に選択します。
- [システム設定] エリアで [アップデート] タブをクリックします。
-
[ ソフトウェアアップデート] []の下にある[ 代替ソフトウェアアップデート配信サーバ]でDeep Security Relaysを置換するには、次のように入力します。
https://<IP>:<port>/
<IP>
はリレーのプライベートネットワークIPアドレス、<port>
は リレーポート番号です。 -
[Add] をクリックします。
- [保存] をクリックします。
RelayグループのプライベートIPが変わった場合は、この設定を手動で更新する必要があります。この設定は自動的には更新されません。