複数のノードにDeep Security Managerをインストールする

1台のサーバでDeep Security Managerを実行する代わりに、複数のサーバ (「ノード」) にDeep Security Managerをインストールし、1つの共有データベースに接続することができます。これにより、次の利点があります:

信頼性
可用性
スケーラビリティ
製品パフォーマンス

任意のノードにログインできます。各ノードはすべての種類のタスクを実行できます。どのノードも他のノードより重要ではありません。ノードの障害はサービスのダウンタイムを引き起こさず、データの損失も発生しません。Deep Security Managerは、すべてのオンラインノードが実行する分散プールで多くの同時活動を処理します。ユーザ入力によって発生しないすべての活動はジョブとしてパッケージ化され、利用可能な任意のマネージャで実行されます (キャッシュクリアリングのように各ノードで実行される「ローカル」ジョブの例外を除く)。

[各ノードは、同じバージョンのDeep Security Managerソフトウェアを実行している必要があります。] アップグレードすると、最初にアップグレードするマネージャが一時的にすべての業務を引き継ぎ、他のノードをシャットダウンします。[管理]→ [Managerのノード]では、他のノードのステータスは「オフライン」と表示され、アップグレードが必要であることが示されます。アップグレードが完了すると、ノードは自動的にオンラインに戻り、再び処理を開始します。

ロードバランサーを設定する

Deep Security Managerのサーバノードを複数展開して大規模なデプロイメントを行う場合、ロードバランサーを使用してエージェントやアプライアンスとの接続を分散させることができます。仮想IPを持つロードバランサーは、通常Deep Securityが必要とする複数のポート番号の代わりに、TCP 443などの単一のインバウンドポート番号を提供することもできます。

TCP接続に基づいて負荷を分散し、SSL終端を使用しないでください。これにより、同じマネージャノードで全体の接続が行われることが保証されます。次の接続は別のノードに分散される場合があります。

さらにDeep Security Managerの展開推奨設定については、Deep Securityベストプラクティスガイドを参照してください。

Deep Securityでロードバランサーを設定します

デフォルトでは、マルチノードマネージャはすべてのノードのアドレスをすべてのエージェントと仮想アプライアンスに提供します。エージェントと仮想アプライアンスは接続を試みる際にリストからランダムにノードを選択します。接続できない場合は、リストの別のノードを試し、このプロセスを接続が成功するか、到達可能なノードがなくなるまで続けます。どのノードにも到達できない場合は、次のハートビートまで待って再試行します。

ノードが追加または削除されるたびに、更新されたリストがすべてのエージェントと仮想アプライアンスに送信されます。それまでの間、古いノードへの接続が失敗し、新しいノードが使用されないことがあります。これにより、通信が遅くなり、ネットワークトラフィックが増加します。これを避けるために、代わりにエージェントと仮想アプライアンスをロードバランサーのアドレス経由で接続するように構成してください。

ノードを追加

ロードバランサーを設定する。
Deep Security Managerを1つのサーバノードにインストールした後、AWSで別のDeep Security AMIをデプロイします。以下のガイドラインに従ってください。
- 前のノードで選択した課金モデルに一致するAMIを選択してください。従量課金または持ち込みライセンス (BYOL) のいずれかです。
- すべてのノードに同じバージョンのマネージャをインストールしてください。これが不可能な場合、または新しいノードをインストールしようとしたときにエラーが表示される場合は、代わりにマネージャのバージョンが一致しない場合のノードの追加を参照してください。
- 同時にAMIのWebインストーラーのインスタンスを複数起動しないでください。これを行うと、データベースの破損を含む予測不可能な結果を招く可能性があります。
- すべてのノードを同じデータベースに接続します。
- すべてのノードが同じマスターキーを使用していることを確認してください (設定されている場合)。
- マスターキーを常に利用可能にしておくことで、すべてのノードが暗号化された構成プロパティおよび個人データを必要に応じて復号および読み取りできるようにします。詳細については、マスターキーを参照してください。
- インストーラーが次のテキストを含む[マスターキー]ページを表示する場合: [マスターキーにアクセスするためのローカルシークレットを入力します。同じDeep Security Managerに属しているノードはすべて、同じローカルシークレットを使用して設定する必要があります。] このページで、最初のノードを設定したときに指定したシークレットを入力します。
- 各マネージャノードのシステムクロックを同じタイムゾーンに設定してください。データベースも同じタイムゾーンを使用する必要があります。タイムゾーンが異なると、マネージャの同期エラーが発生します。

マネージャのバージョンが一致しない場合はノードを追加してください

インストールが失敗してマネージャノードを追加できない場合、起動しようとしているAMIおよびその中のマネージャソフトウェアのバージョンが、既にインストールされているマネージャノードよりも古い可能性があります。この状況は、既存のマネージャノードをAWS Marketplaceにまだ公開されていない (または公開されない可能性がある) バージョンにアップグレードした場合に一般的に発生します。この問題を回避するために、以下のタスクを完了してマネージャノードを正常に追加してください。

まず、新しいノードの作成を許可します:

既存のマネージャノードにSSHで接続します。
次の行をdsm.propertiesファイルに追加します。

manager.allowNewNodeCreation=true

この設定により、新しいマネージャノードをこのノードに基づいて作成できます。

次に、新しいAMIを作成します:

AWSコンソールで、既存のマネージャノードのEC2インスタンスを選択し、[Action]→ Image]→[Create Image]をクリックします。
[Image name]にDeep Security Manager AMIなどを入力します。残りのフィールドはデフォルトのままにします。
[Create Image]をクリックしてください。
AWSコンソールのナビゲーションペインで[Images]→[AMI]に移動し、イメージの作成が完了するのを待ちます。

新しいAMIがマネージャをプリインストールして作成されました。

最後に、AMIに基づいて新しいマネージャノードを起動します:

まだ[Images]→[AMI]にいる場合は、新しい画像を右クリックして[Launch]を選択します。
適切なインスタンスサイズを選択し、[Next: Configure Instance Details]をクリックします。
[Advanced Details]セクションを展開し、[User data]フォームに次の行を追加してください:

sed -i '/managerNodeGUID/d' /opt/dsm/webclient/webapps/ROOT/WEB-INF/dsm.properties

この設定は、このノードの新しいGUIDを作成することを示します。
[次へ]をクリックしてウィザードを進めます。セキュリティグループの設定を求められたら、他のノードで使用したものを選択してください。
新しいノードを起動するために、残りのウィザードの手順を進めてください。

新しいノードがマネージャに表示されました。

ノードを削除

サーバを削除または交換する前に、Deep Security Managerノードのプールから削除する必要があります。

削除するノードでサービスを停止するか、Deep Security Managerをアンインストールしてください。

そのステータスを「オフライン」に変更する必要があります。
別のノードでDeep Security Managerにログインしてください。
[管理]→[Managerノード]に移動します。
削除するノードをダブルクリックします。

ノードのプロパティウィンドウが表示されます。
[オプション]領域で、[廃止]をクリックします。