1台のサーバでDeep Security Managerを実行する代わりに、複数のサーバ (「ノード」) にDeep Security Managerをインストールし、1つの共有データベースに接続することができます。これにより、次の利点があります:
  • 信頼性
  • 可用性
  • スケーラビリティ
  • 製品パフォーマンス
任意のノードにログインできます。各ノードはすべての種類のタスクを実行できます。どのノードも他のノードより重要ではありません。ノードの障害はサービスのダウンタイムを引き起こさず、データの損失も発生しません。Deep Security Managerは、すべてのオンラインノードが実行する分散プールで多くの同時活動を処理します。ユーザ入力によって発生しないすべての活動はジョブとしてパッケージ化され、利用可能な任意のマネージャで実行されます (キャッシュクリアリングのように各ノードで実行される「ローカル」ジョブの例外を除く)。
[各ノードは、同じバージョンのDeep Security Managerソフトウェアを実行している必要があります。] アップグレードすると、最初にアップグレードするマネージャが一時的にすべての業務を引き継ぎ、他のノードをシャットダウンします。[管理]→ [Managerのノード]では、他のノードのステータスは「オフライン」と表示され、アップグレードが必要であることが示されます。アップグレードが完了すると、ノードは自動的にオンラインに戻り、再び処理を開始します。

ロードバランサーを設定する

Deep Security Managerのサーバノードを複数展開して大規模なデプロイメントを行う場合、ロードバランサーを使用してエージェントやアプライアンスとの接続を分散させることができます。仮想IPを持つロードバランサーは、通常Deep Securityが必要とする複数のポート番号の代わりに、TCP 443などの単一のインバウンドポート番号を提供することもできます。
TCP接続に基づいて負荷を分散し、SSL終端を使用しないでください。これにより、同じマネージャノードで全体の接続が行われることが保証されます。次の接続は別のノードに分散される場合があります。
さらにDeep Security Managerの展開推奨設定については、Deep Securityベストプラクティスガイドを参照してください。

Deep Securityでロードバランサーを設定します

デフォルトでは、マルチノードマネージャはすべてのノードのアドレスをすべてのエージェントと仮想アプライアンスに提供します。エージェントと仮想アプライアンスは接続を試みる際にリストからランダムにノードを選択します。接続できない場合は、リストの別のノードを試し、このプロセスを接続が成功するか、到達可能なノードがなくなるまで続けます。どのノードにも到達できない場合は、次のハートビートまで待って再試行します。
ノードが追加または削除されるたびに、更新されたリストがすべてのエージェントと仮想アプライアンスに送信されます。それまでの間、古いノードへの接続が失敗し、新しいノードが使用されないことがあります。これにより、通信が遅くなり、ネットワークトラフィックが増加します。これを避けるために、代わりにエージェントと仮想アプライアンスをロードバランサーのアドレス経由で接続するように構成してください
Deep Securityロードバランサーポート443

ノードを追加

  1. ロードバランサーを設定する
  2. Deep Security Managerを1つのサーバノードにインストールした後、Azureで別のDeep Security Manager VMをデプロイします。以下のガイドラインに従ってください。
    • すべてのノードに同じバージョンのマネージャをインストールしてください。
    • 同時にDeep Security Manager VMを複数起動しないでください。これを行うと、データベースの破損を含む予測不可能な結果を招く可能性があります。
    • すべてのノードを同じデータベースに接続します。
    • すべてのノードが同じマスターキーを使用していることを確認してください (設定されている場合)。
    • マスターキーを常に利用可能にしておくことで、すべてのノードが暗号化された構成プロパティおよび個人データを必要に応じて復号および読み取りできるようにします。詳細については、マスターキーを参照してください。
    • インストーラーが次のテキストを含む[マスターキー]ページを表示する場合: [マスターキーにアクセスするためのローカルシークレットを入力します。同じDeep Security Managerに属しているノードはすべて、同じローカルシークレットを使用して設定する必要があります。] このページで、最初のノードを設定したときに指定したシークレットを入力します。
    • 各マネージャノードのシステムクロックを同じタイムゾーンに設定してください。データベースも同じタイムゾーンを使用する必要があります。タイムゾーンが異なると、マネージャの同期エラーが発生します。

ノードを削除

サーバを削除または交換する前に、Deep Security Managerノードのプールから削除する必要があります。
  1. 削除するノードでサービスを停止するか、Deep Security Managerをアンインストールしてください。
    そのステータスを「オフライン」に変更する必要があります。
  2. 別のノードでDeep Security Managerにログインしてください。
  3. [管理]→[Managerノード]に移動します。
  4. 削除するノードをダブルクリックします。
    ノードのプロパティウィンドウが表示されます。
  5. [オプション]領域で、[廃止]をクリックします。

ノードをアップグレードする

マネージャノードのアップグレードの詳細については、Azure Marketplace用Deep Security Manager VMのアップグレードの指示に従ってください。

ノードステータスの表示

すべてのDeep Security Managerノードとそのステータス、結合されたアクティビティ、および処理中のジョブを表示するには、[管理]→ System Information]に移動します。ドロップダウンメニューから表示したいグラフを選択します。

アクティビティグラフ付きネットワークマップ

[System Activity]エリアの[アクティビティグラフ付きネットワークマップ]には、インストール済みのすべてのManagerノードとその現在のステータスのマップ、および過去1時間以内の関連アクティビティが表示されます。ノードは次の状態になる可能性があります:
  • オンライン
  • [オフライン]
  • [オフライン (アップグレードが必要)]
2016-07-12_000139_DS10=f743c6aa-2ff5-41b5-880a-70b09b11a2f7.png
注意
注意
すべてのDeep Security Managerノードは定期的に他のすべてのノードの健康状態をチェックします。いずれかのマネージャノードが3分以上ネットワーク接続を失うと、オフラインと見なされます。残りのノードがそのタスクを引き継ぎます。

ノード別ジョブ

このグラフは、過去1時間以内に実行されたジョブの数をノード別に表示します。
2016-07-12_000140_DS10=5a4cd81e-b511-4b08-b9dc-008902f6376b.png

種類別ジョブ

このグラフは、過去1時間以内に実行されたジョブを種類別に表示します。
2016-07-12_000141_DS10=bf41a65b-6b8f-4c66-8956-ba55c30a0cde.png

ノードおよび種類別ジョブの総数

このグラフは、過去1時間以内に実行されたジョブをノードごとの種類別に表示します。
2016-07-12_000142_DS10=cc285b13-1053-46cf-b891-4538d84ff9a5.png