ビュー:
最初の Deep Security Relay をデプロイした後、冗長性と負荷分散のために少なくとももう1つデプロイする必要があります。デプロイの規模と範囲によっては、さらに多くデプロイする必要があるかもしれません。
リレーを展開する際には、次のことを行う必要があります:
  1. 最適なリレーの数と場所を計画する
  2. 更新ソースを構成する
  3. リレーを構成する
警告
警告
ネットワーク上にRelayが多すぎると、パフォーマンスが向上するのではなく低下します。Relayは通常のエージェントよりも多くのシステムリソースを必要とします。余分なRelayは、外部接続を最小限にする代わりに、帯域幅を競合している可能性もあります。必要に応じて、Relayを通常のDeep Security Agentに戻すことができます。詳細については、エージェントからRelay機能を削除するを参照してください。

最適なリレーの数と場所を計画する

リレーの最適な数と配置は、次の要因によって異なります。
Deep Securityアップデート図

地理的地域と距離

理想的には、各地域は少なくとも2つのRelayを持つ独自のRelayグループを持つべきです。
エージェントは同じ地理的地域のローカルリレーを使用する必要があります。長距離とネットワーク遅延は、更新の再配布を遅くする可能性があります。他の地理的地域からのダウンロードは、ネットワーク帯域幅および/またはクラウドコストを増加させる可能性もあります。

ネットワークアーキテクチャと帯域幅制限

理想的には、帯域幅が制限されたエージェントの各ネットワークセグメントには、少なくとも2つのリレーを持つ独自のRelayグループが必要です。
低帯域幅のインターネット/WAN接続、ルーター、ファイアウォール、VPN、VPC、またはプロキシデバイス (これらはすべてネットワークセグメントを定義できます) は、大量のトラフィックがネットワーク間を旅行する際にボトルネックになる可能性があります。ボトルネックは更新の再配布を遅くします。したがって、エージェントは通常、ボトルネックのある外部ネットワーク上のリレーではなく、同じネットワークセグメント内のローカルリレーを使用する必要があります。
例えば、Relayグループの階層構造を使用することで、インターネットおよび内部ネットワークの使用量を最小限に抑えることができます。親Relayグループのみがインターネット接続を使用し、サブグループはローカルネットワーク接続を介して親グループからダウンロードします。エージェントはローカルRelayグループからダウンロードします。
大規模な展開では、多くのエージェントが各Relayに接続する可能性があります。これには、共有サーバー上のRelayを増やすのではなく、より強力で専用のサーバー上のRelayが必要です。詳細については、Deep Security AgentおよびRelayのサイズ設定を参照してください。

エアギャップ環境

ほとんどのデプロイメントはインターネットに接続できます。しかし、リレーが隔離されたネットワーク (「エアギャップ」デプロイメント) にあるためにインターネット上のトレンドマイクロアップデートサーバに接続できない場合は、次の手順を実行する必要があります。
  1. セキュリティアップデートを取得するために、インターネットに接続できる非武装地帯 (DMZ) に別のRelayを追加します。
  2. DMZ Relayから他のエアギャップされたRelayに更新をコピーします。
詳細については、インターネットにアクセスできないエージェントの設定を参照してください。

アップデート元を設定する

リレーを設定する前に、更新元を定義し、通常のリレーヒエラルキーをバイパスして更新を取得するタイミングを決定するために、以下を実行してください。
  1. [管理]→ [システム設定]→ [アップデート]に移動します。
  2. 必要に応じて[セキュリティアップデート元][セカンダリのアップデート元]を設定してください。
    デフォルトでは、主なソースは[トレンドマイクロのアップデートサーバ]であり、インターネット経由でアクセスされます。サポートプロバイダから[その他のアップデート元]を設定するように指示されていない限り、設定を変更しないでください。代替の更新ソースURLには「http://」または「https://」を含める必要があります。
  3. 通常、エージェントは、Deep Security Managerが指示したときにRelayに接続してセキュリティアップデートを取得します。しかし、コンピュータが常にマネージャやRelayに接続できない場合 (例えば、定期メンテナンス時など) で、十分なインターネット/WAN帯域幅が利用可能な場合は、次のオプションを選択できます:
    • [Relayに接続できない場合、セキュリティアップデート元からの直接ダウンロードをAgent/Applianceに許可]
    • [Deep Security Managerにアクセスできない場合、セキュリティアップデートの自動ダウンロードをAgent/Applianceに許可]
    ヒント
    ヒント
    ノートパソコンや携帯用コンピュータを保護する場合、それらがサポートサービスから遠く離れていることがあります。旅行中に問題のあるセキュリティアップデートのリスクを回避するために、これらのオプションの選択を解除してください。
  4. 古いエージェントのセキュリティアップデートが必要な場合は、[8.0および9.0のAgentのアップデートを許可]を選択してください。デフォルトでは、Deep Security ManagerはDeep Security Agent9.0以前のアップデートをダウンロードしません。これらのエージェントのほとんどはサポートされていないためです。サポートされている古いエージェントの詳細については、Deep Security LTSライフサイクル日付を参照してください。
  5. Deep Security Managerがエージェントのアップデートビルドを自動的にローカルインベントリにインポートするようにするには、[ローカルにダウンロードしたソフトウェアの最新版を自動的にダウンロードセンターから取得]を選択してください。
    この設定はソフトウェアをDeep Security Managerにインポートしますが、エージェントやアプライアンスソフトウェアを自動的に更新することはありません。詳細については、Deep Security Agentのアップグレードを参照してください。
  6. 通常、リレーはソフトウェアアップデートを再配布するためにDeep Security Managerに接続します。しかし、リレーが常にマネージャに接続できない場合 (例えば、定期メンテナンス時やマネージャとリレーの間に企業のファイアウォールがある場合)、[Deep Security Managerにアクセスできない場合、トレンドマイクロのダウンロードセンターからのソフトウェアアップデートのダウンロードをRelayに許可]を選択できます。リレーは代わりに直接ダウンロードセンターからソフトウェアアップデートを取得します。
    ヒント
    ヒント
    ハイブリッドクラウド環境では、パブリッククラウドにいくつかのエージェントとリレーがあり、他のエージェントとマネージャはプライベートネットワーク内にあります。プライベートネットワークのファイアウォールでポート番号を開くリスクを避けるか、クラウド内のリレーにソフトウェアパッケージを手動でコピーするリスクを避けるために、このオプションを選択してください。
  7. [Deep Security Relayの代わりとなるソフトウェアアップデート配信サーバ]を構成して、ソフトウェアアップデートの代替ソースを指定しますが、セキュリティアップデートは引き続きRelayから取得する必要があることに注意してください。RelayにElastic IPアドレスがある場合、Relayをセキュリティアップデートのみ受信するように構成する(ソフトウェアアップデートは受信しない)、または効率と可用性のためにソフトウェアをWebサーバにホストすることを計画している場合は、代替サーバを検討してください。次のいずれかに置き換えてhttps://<IP_or_hostname>:<port>/を入力します: <IP_or_hostname>:<port>
    • 弾力的IPアドレスを持つRelayのプライベートネットワークIPアドレスとポート。
    • Deep Securityソフトウェアをホストする予定のウェブサーバーとポート。

Relayの設定

場所とリレーの数、および使用する更新ソースを決定した後、次のことができます。
  1. Relayグループを作成
  2. リレーを有効にする
  3. エージェントをRelayグループに割り当てる
  4. エージェントをRelayのプライベートIPアドレスに接続する

リレーグループを作成する

RelayはRelayグループに編成する必要があります。Relayグループ自体はさらに階層に編成することができます。
Deep Security Managerのインストール中に共設Relayをインストールした場合、デフォルトのRelayグループが自動的に作成されます。しかし、他の場所にグループが必要な場合 (最適なRelayの数と場所を計画するを参照)、追加で作成することができます。
  1. [管理]→ [アップデート]→[Relayの管理]に移動して[Relayグループのプロパティ]ペインを開きます。
  2. [New Relay Group]をクリックしてください。
  3. Relayグループの[名前]を入力してください。
  4. [アップデート元]で、Primary Security Update Sourceまたは、サブグループの場合は親Relayグループの名前を選択します。
    デフォルトのRelayグループは更新ソースのリストに含まれていないため、親として構成することはできません。
    更新元は、コストと速度が最適なものを選択してください。Relayグループが階層の一部であっても、親Relayグループではなく、Primary Security Update Sourceから更新をダウンロードする方が安価で高速な場合があります。
  5. このRelayグループがプライマリセキュリティ更新ソースに接続する際にプロキシを使用する必要がある場合は、[アップデート元のプロキシ]を選択します。詳細については、プロキシ経由でプライマリセキュリティ更新ソースに接続するを参照してください。
    他のRelayグループとは異なり、[初期設定のRelayグループ][管理]→ [システム設定]→ Proxies]タブで利用可能な[Primary Security Update Proxy used by Agents, Appliances, and Relays]設定を使用します。
    このRelayグループが通常親Relayグループに接続する場合、親Relayグループが利用できず、プライマリセキュリティアップデートソースを使用するように設定されている場合を除き、サブグループはプロキシを使用しません。
  6. [アップデートコンテンツ]の下で、[セキュリティアップデートとソフトウェアアップデート]または[セキュリティアップデートのみ]のいずれかを選択します。[セキュリティアップデートのみ]を選択した場合は、代替のソフトウェア更新ソースを構成する必要があります。詳細については、更新ソースの選択を参照してください。
ヒント
ヒント
レイテンシーと外部/インターネット帯域幅の使用を最小限に抑えるために、各地理的地域および/またはネットワークセグメントごとにRelayグループを作成してください。

リレーを有効にする

  1. リレーコンピュータが要件を満たしていることを確認してください。Deep Security Agentのサイジングおよびリソース消費およびDeep Security Relay要件を満たしている必要があります。
  2. 該当するポート番号のリレーとの間の送受信通信が許可されていることを確認してください。Deep Securityのポート番号を参照してください。
  3. Relayがプロキシを介して接続する必要がある場合は、プロキシを介してプライマリセキュリティ更新ソースに接続するを参照してください。
  4. 選択したコンピュータにエージェントを展開します。Deep Security Agentソフトウェアの取得およびエージェントをインストールするを参照してください。
  5. エージェントをリレーとして有効にします。
    1. Deep Security Managerにログインします。
    2. 上部の[管理]をクリックします。
    3. 左側のナビゲーションペインで[Relayの管理]をクリックします。
    4. Linuxを使用している場合は、リレーを有効にする前に、ユーザー [nobody] とリレーグループ [nogroup] を作成してください。
    5. Relayが配置されるRelayグループを選択します。Relayグループが存在しない場合は、作成してください。Linuxを使用している場合は、ユーザ[nobody]とRelayグループ[nogroup]を作成してください。
    6. [Relayの追加]をクリックします。
    7. [使用可能なコンピュータ]をクリックします。
    8. [Relayを有効にしてグループに追加]をクリックします。
      エージェントはRelayとして有効化され、Relayアイコン (relay_server=f4153185-92e1-4c25-83d3-cef4a201caf1.png) で表示されます。
ヒント
ヒント
レイテンシーとインターネット帯域幅の使用を最小限に抑えるために、同じ地理的地域およびネットワークセグメントにあるリレーをグループ化します。
ヒント
ヒント
検索フィールドを使用してコンピューターのリストをフィルタリングできます。

AgentをRelayグループに割り当てる

各エージェントが使用するRelayグループを指定する必要があります。各エージェントを手動でRelayグループに割り当てるか、イベントベースのタスクを設定して新しいエージェントを自動的に割り当てます。
  1. [コンピュータ]に移動します。
  2. コンピュータを右クリックして[処理]→[Relayグループの割り当て]を選択します。
    複数のコンピューターを割り当てるには、リスト内のコンピューターをShiftキーまたはCtrlキーを押しながらクリックし、[処理]→[Relayグループの割り当て]を選択します。
  3. コンピュータで使用するリレーグループを選択します。
    レイテンシーと外部/インターネット帯域幅の使用を最小限に抑えるために、エージェントを同じ地理的地域および/またはネットワークセグメント内のリレーに割り当ててください。

エージェントをRelayのプライベートIPアドレスに接続する

RelayにElasticIPアドレスがある場合、AWS VPC内のエージェントはそのIPアドレスを介してRelayに到達できない可能性があります。代わりに、RelayグループのプライベートIPアドレスを使用する必要があります。
  1. [管理][システム設定] に移動します。
  2. [システム設定]領域で、[アップデート]タブをクリックします。
  3. [ソフトウェアアップデート][Deep Security Relayの代わりとなるソフトウェアアップデート配信サーバ]ウィンドウで、次を入力します:
    https://<IP>:<port>/
    <IP> はRelayのプライベートネットワークIPアドレスであり、<port> Relayポート番号です
  4. [追加] をクリックします。
  5. [保存] をクリックします。
この設定は自動的には更新されないため、relayグループのプライベートIPが変わった場合は手動で更新する必要があります。