Workload Security が VMware vCenter または Active Directory サーバーからコンピュータのインベントリを取得できるようにするには、次の図に示すように、それらの間にデータセンターゲートウェイを配置する必要があります。
データセンターゲートウェイは接続をプロキシします。
ネットワークの中断やコンポーネントの障害が発生した場合の高可用性 (HA) のために、以下の図に示すように複数のデータセンターゲートウェイを展開することもできます。
基本的な手順は次のとおりです。
システム要件の確認
データセンターゲートウェイは、以下のプラットフォームでサポートされています:
|
プラットフォーム
|
データセンターゲートウェイバージョン
|
|
Red Hat Enterprise Linux 7
|
1.0.45 およびそれ以前
|
|
Red Hat Enterprise Linux 8
|
1.0.45 およびそれ以前
|
|
Red Hat Enterprise Linux 9
|
1.0.51以降 *
|
|
Ubuntu Linux 18.04
|
1.0.45 およびそれ以前
|
|
Ubuntu Linux 20.04
|
1.0.45 およびそれ以前
|
|
Ubuntu Linux 22.04
|
1.0.51以降 *
|
* このプラットフォームにデータセンターゲートウェイの以前のバージョンをインストールしようとすると、既知のライブラリ互換性の問題が発生する可能性があります。これらの問題を解決する方法については、トラブルシューティングを参照してください。
最小ハードウェア要件:
- 1CPUまたは仮想CPU (vCPU)
- 2GBのメモリ (RAM)
- 1GBの空きディスク容量
ファイアウォールとプロキシも必要なポート番号、ホスト名、およびIPアドレスとのネットワーク接続を許可する必要があります。
権限の付与
インストール中に、データセンターゲートウェイを認証情報で構成する必要があります。これらの認証情報はあなたのユーザアカウントに属していないため、管理者がそれらにアクセスするための特別な権限を付与する必要があります。
- Workload Security コンソールで、 に進みます。
- データセンターゲートウェイの認証情報をダウンロードするユーザの役割を編集します。
- を選択します。[データセンターゲートウェイ]の場合は、[フル]を選択します。
データセンターゲートウェイソフトウェアをダウンロードすします
Red Hat Enterprise Linuxの場合、RPMファイルをダウンロードしてください。
Ubuntuの場合、DEBファイルをダウンロードしてください。
FIPSパッケージは、データセンターゲートウェイの政府展開用に設計されています。このパッケージは、AWS上のUbuntu Pro FIPS 20.04と互換性があります。このパッケージを使用するには、FIPSパッケージを含むUbuntu FIPS for AWS | Ubuntuイメージが環境にあることを確認してください。
|
日付
|
バージョン
|
RPM ダウンロード
|
DEB ダウンロード
|
FIPS ダウンロード
|
リリースノート
|
|
2024年10月15日
|
1.0.51
|
このバージョンおよびそれ以降のバージョンは、Red Hat Enterprise Linux 9およびUbuntu 22.04をサポートします。以前のバージョンはRed
Hat Enterprise Linux 8およびUbuntu 20.04のみをサポートし、Red Hat Enterprise Linux 9およびUbuntu
22.04はサポートしません。
|
|||
|
2024年6月12日
|
1.0.45
|
サードパーティライブラリを更新しました。このバージョンおよびそれ以前のバージョンは、Red Hat Enterprise Linux 8およびUbuntu 20.04をサポートしています。バージョン1.0.51から、Data
Center GatewayはRed Hat Enterprise Linux 9およびUbuntu 22.04をサポートします。バージョン1.0.45およびそれ以前のバージョンは、Red
Hat Enterprise Linux 9およびUbuntu 22.04をサポートしていません。
|
|||
|
2022年2月07日
|
1.0.20
|
なし
|
サードパーティのライブラリがアップデートされました。
|
||
|
2021年12月15日
|
1.0.18
|
なし
|
サードパーティのライブラリがアップデートされました。
|
||
|
2021年8月30日
|
1.0.17
|
なし
|
トンネルログの強化とdcgw-controlヘルパーによるプロキシ設定のサポート
|
||
|
2021年7月26日
|
1.0.15
|
なし
|
データセンターゲートウェイは、トレンドマイクロが必要とするインターネット向けサービスおよび内部のvCenterまたはActive Directoryサーバの宛先に接続するためのプロキシをサポートします。
|
||
|
2021年5月28日
|
1.0.14
|
なし
|
起動時にサービスが自動的に起動しない問題を修正しました。
|
||
|
2021年3月28日
|
1.0.12
|
なし
|
Pythonライブラリの依存関係を更新しました。
|
||
|
2021年1月25日
|
1.0.7
|
なし
|
destination_allow_list.yamlのロードに失敗した場合の対処方法が改善されました。
RedHatにおけるサービスの起動に関する問題が修正されました。
|
||
|
2020年12月08日
|
1.0.2
|
なし
|
資格情報ファイルをダウンロードする
各資格情報ファイルには、データセンターゲートウェイが認証およびWorkload Securityとの通信に使用するキーと識別子が含まれています。
- Workload Securityコンソールで、 の順に選択します。
- [新規]をクリックします。
- [表示名]を入力してください。
- [次へ]をクリックします。
- [ 認証情報ファイルのダウンロード] をクリックします。ファイル名は変更しないでください。インストーラで必要になります。
- 上記の手順を繰り返して、インストールするデータセンターゲートウェイごとに1つの資格情報ファイルをダウンロードします。
 |
ヒント独自のデータセンターゲートウェイでのみ資格情報ファイルを使用してください。HAペアとして展開されているデータセンターゲートウェイであっても、資格情報ファイルは一意です。同じファイルを複数のインストールにコピーすると、予期しない動作が発生する可能性があります。さらに、資格情報ファイルは安全な場所に保管し、アクセスを制限するために権限を使用してください。キーはパスワードと同様に秘密です。不正アクセスはセキュリティの侵害につながる可能性があります。
|
vCenterおよびActive Directoryサーバとプロキシの設定
インストール中に、データセンターゲートウェイが接続するVMware vCenterまたはMicrosoft Active Directoryサーバーのリストを提供する必要があります
(該当する場合)。プレーンテキストエディタを使用してリストを作成してください。リストはYAML形式で、
destination_allow_list.yamlという名前にする必要があります。リンターを使用して、リストが有効なYAML形式であることを確認します。インストーラは無効なファイルを使用できません。
データセンターゲートウェイがリスト内のすべてのネットワークアドレスに到達できることを確認します。データセンターゲートウェイをプロキシ経由でインターネット、または内部ネットワークのvCenterサーバまたはActive
Directoryサーバに接続する必要がある場合は、プロキシを使用するようにデータセンターゲートウェイも設定します。
例えば、
destination_allow_list.yamlには次の内容が含まれる可能性があります:gateway_proxy:
- HostName: "internet.proxy.example.com"
Port: 3128
Username: "intenet_proxy_user"
Password: "internet_proxy_password"
destinations:
- HostName: "vcenter1.datacenter.internal"
Port: 443
- HostName: "192.168.123.45"
Port: 443
- HostName: "adserver1.datacenter.internal"
Port: 389
- HostName: "192.168.123.46"
Port: 389
Proxy:
HostName: "proxy.vCenter.internal"
Port: 3128
Username: "vcenter_proxy_user"
Password: "vcenter_proxy_password"
ここで:
-
gateway_proxyセクションでは、データセンターゲートウェイがWorkload Securityに接続するために使用するプロキシを定義します。 -
destinationsセクションでは、vCenterまたはActive Directoryサーバーおよびそれらに接続するために使用されるプロキシ (存在する場合) を定義します。 -
HostNameは、Workload SecurityコンソールまたはAPIでvCenterやActive Directoryサーバーを追加するために使用される識別子です。各HostNameは一意でなければなりません。ドメイン名またはIPアドレスが他のHostNameと同じvCenterまたはActive Directoryサーバーを指している場合、管理対象エージェントに予期しない動作を引き起こす可能性があります。 -
UsernameとPasswordは、データセンターゲートウェイがプロキシに接続するために使用するログイン情報です。認証が不要な場合は省略してください。
 |
警告destination_allow_list.yamlを安全な場所に保管し、アクセスを制限するために権限を使用してください。パスワードが含まれています。不正アクセスはセキュリティの侵害を引き起こす可能性があります。さらに、各HostNameが一意であることを忘れないでください。ドメイン名またはIPアドレスが他のHostNameと同じvCenter/Active Directoryサーバーを指している場合、管理対象エージェントに予期しない動作を引き起こす可能性があります。 |
複数の
HostNameエントリが同じIPアドレスに解決される場合の重複を防ぐため、最初のドメイン名のみが有効になります。ドメイン名はIPアドレスよりも優先されます。例えば、次の構成が与えられた場合、データセンターゲートウェイはホスト名vc1.dc.internalのvCenterサーバと通信できます。# Both "vc1.dc.internal" and "vc1.dc.example.com" resolve to 192.168.100.1
destinations:
- HostName: "192.168.100.1" # Does not take effect because hostnames take precedence over IP addresses
Port: 443
- HostName: "vc1.dc.internal" # Takes effect
Port: 443
- HostName: "vc1.dc.example.com" # Does not take effect because it resolves to the same IP address as previous hostname
Port: 443
データセンターゲートウェイのインストール
データセンターゲートウェイをインストールするサーバで、インストーラ、認証情報、および設定ファイルをアップロードし、次のインストーラコマンドを入力します。
- Red Hat Enterprise Linux で:
sudo DCGW_CRED_PATH="</absolute/path/to/credentials.json>" DCGW_ALLOW_LIST_PATH="</absolute/path/to/destination_allow_list.yaml>" rpm -ivh /path/to/rpm/file - Ubuntuの場合:
sudo DCGW_CRED_PATH="</absolute/path/to/credentials.json>" DCGW_ALLOW_LIST_PATH="</absolute/path/to/destination_allow_list.yaml>" apt install /path/to/deb/file
次のエラーメッセージのいずれかが表示された場合は、問題を修正して再試行してください。
|
エラーメッセージ
|
考えられる原因
|
解決方法
|
|
ファイルパス
credentials.jsonが必要です。変数を設定してください DCGW_CRED_PATH続行する |
パラメータ
DCGW_CRED_PATHインストール中に割り当てられませんでした。 |
変数を設定する
DCGW_CRED_PATH完全なパスを含む credentials.jsonファイル。 |
|
ファイル名には資格情報またはdestination_allow_listファイル拡張子を含める必要があります
|
DCGW_CRED_PATHまたは DCGW_ALLOW_LIST_PATH必要なファイル名が含まれていません。 |
値を確認してください
DCGW_CRED_PATHファイル名で終わる credentials.json,および値 DCGW_ALLOW_LIST_PATHファイル名で終わる destination_allow_list.yaml.これらのファイル名を変更しないでください。 |
|
そのようなファイルはありません。使用してください
readlink -f絶対パスを取得するには credentials.jsonまたは destination_allow_list.yaml |
指定されたパスは
DCGW_CRED_PATHまたは DCGW_ALLOW_LIST_PATH適切なファイルが含まれていませんでした。 |
コマンドを使用
readlink -f正しい完全なパスを確認するために credentials.jsonまたは destination_allow_list.yamlを参照してください。 |
インストールが成功したら、
credentials.jsonおよびdestination_allow_list.yamlを削除するか、安全な場所にバックアップしてください。インストーラーはこれらのファイルを/var/opt/c1ws-dcgateway/conf/credentials.jsonおよび/var/opt/c1ws-dcgateway/conf/destiantion_allow_list.yamlに正しい権限でコピーします。元のファイルを保持する必要はありません。トラブルシューティング
データセンターゲートウェイのステータスの確認
データセンターゲートウェイがアクティブかどうか (プロセスが実行中かどうか) を確認するには、SSHまたはリモートデスクトップを使用してサーバに接続し、次のいずれかのコマンドを入力します。
journalctl -u c1ws-dcgw.service -fまたは:
systemctl status c1ws-dcgwステータスと、追加されたvCenterサーバまたはActive Directoryサーバが表示されます。
ステータスは、どのサーバーが宛先リストに追加されたかを示すだけです。vCenterやActive Directoryとのネットワーク接続をテストすることは含まれていません。それは別途行う必要があります。
また、次のコマンドを入力して、エラーログが空であることを確認します。
less +G c1ws-dcgw-error.logデータセンターゲートウェイのネットワーク接続を確認する
vCenterまたはActive Directoryサーバのポートが開いていて、データセンターゲートウェイからアクセス可能であることを確認するには、データセンターゲートウェイサーバにログインし、次のコマンドを入力します。
nc -v SERVER_HOST_IP SERVER_HOST_PORTここで:
SERVER_HOST_IPはvCenterまたはActive Directoryサーバのホスト名またはIPアドレスです。SERVER_HOST_PORTはリスニングポート番号です。デフォルトでは、vCenterは443、Active Directoryは389 (StarTLS)/636 (LDAPS) です。
接続テストは成功するはずです。
成功しない場合は、ポート番号が開いていることを確認してください。また、DNS設定およびそれらの間にあるルータ、ファイアウォール、プロキシを確認してください。プロキシがある場合、接続はvCenterやActive
Directoryサーバに直接ではなく、プロキシに成功する必要があります。
接続テストでサーバーに到達可能であることが示されているが、Workload Securityがまだデータを受信していない場合は、データセンターゲートウェイエラーログおよび接続試行を示すログを確認してください。
less +G c1ws-dcgw.logvCenterまたはActive Directoryサーバー (
destination) およびWorkload Security FQDNへの接続試行が表示されるはずです。設定されたホスト名とポート番号を確認してください。
データセンターゲートウェイをアップグレードする
アップグレードするデータセンターゲートウェイがあるサーバにRPMまたはDEBファイルをアップロードし、次にアップグレードコマンドを入力します
- Red Hat Enterprise Linux では:
sudo rpm -U <new data center gateway installer rpm> - Ubuntu Linuxの場合:
sudo apt --only-upgrade install ./<new data center gateway installer deb>
アップグレードが完了したことを確認するには
- データセンターゲートウェイのステータスを確認し、データセンターゲートウェイのネットワーク接続を確認してください。
- インストールされているソフトウェアのバージョン番号を確認します。
- Red Hat Enterprise Linux で:
rpm -q --info <data center gateway package name> - Ubuntu Linux では:
apt show <data center gateway package name>
- Red Hat Enterprise Linux で: