Trend Vision One File Securityコンテナ化された検索ツールは、NetAppのONTAPと連携してRPCベースのプロトコルを使用するファイルを検索するために使用できます。
前提条件 
次の要件が必要です。
-
構成されたSVMを持つ動作中のONTAPクラスタ。
-
Windows Vscanサーバ。
-
スキャナーサービスを備えたKubernetesクラスター。適切な機能フラグでRPCエージェント管理が有効になっていることを確認してください。詳細については、コンテナ化されたスキャナーをデプロイするを参照してください。
-
すべてのコンポーネント間のネットワーク接続。
NetApp ONTAPを構成する
手順
- ONTAP管理コンソールでVscanを有効にする:
- スキャナプールを作成する:
vserver vscan scanner-pool create -vserver <svm_name> -scanner-pool <pool_name> -hostnames <vscan_server_hostname> -privileged-users <domain\user>
詳細については、vserver vscan scanner-pool createを参照してください。 - スキャナプールにポリシーを適用する:
vserver vscan scanner-pool apply-policy -vserver <svm_name> -scanner-pool <pool_name> -scanner-policy primary
詳細については、vserver vscan scanner-pool apply-policyを参照してください。 - SVMでVscanを有効にする:
vserver vscan enable -vserver <svm_name>
- スキャナプールを作成する:
- NetApp ONTAP AV-Connectorをインストール:
- NetAppのウェブサイトからNetApp ONTAP AV-Connectorをダウンロードしてください。
- Windows Vscanサーバにコネクタをインストールしてください。
- 次の設定でコネクタを構成してください:
- ONTAP管理LIFまたはデータLIF (SVMs) IPアドレス
- ONTAPアクセスに適した認証情報
ONTAPエージェントサポートのためのコンテナ化スキャナーを構成する
:
手順
values.yamlファイルを使用してManagement Serviceのためにontap-エージェントプラグインを有効にします。visiononeFilesecurity: management: plugins: - name: ontap-agent enabled: true configMapName: ontap-agent-config securitySecretName: ontap-agent-security jwtSecretName: ontap-agent-jwt- スキャナーサービスと管理サービスをIngressで公開する (例: AWS EKSデプロイメント)
- 共有ホストを構成する (推奨):スキャナーと管理サービスは、インフラストラクチャコストを削減し、DNS管理を簡素化するために同じホスト名を共有できます。ホストを共有する場合:
-
スキャナーサービスは、ルートパス (
/) へのすべてのトラフィックを処理します -
管理サービスはWebSocketトラフィックを
/ontapパスで処理します -
イングレスコントローラーはリクエストをルーティングする際に、より長い
/ontapパスを優先します
注意
共有ホストの主な要件は次のとおりです:-
両方のイングレスは、単一のロードバランサーを共有するために同じ
group.name注釈 (AWS ALB) を使用する必要があります -
管理サービスはWebSocketアップグレードの互換性のために
backend-protocol: HTTP1(HTTP2ではない) を使用する必要があります
-
- スキャナーサービス用の
values.yamlファイルを編集してください。scanner: ... ingress: enabled: true className: "alb" annotations: "alb.ingress.kubernetes.io/backend-protocol-version": "GRPC" "alb.ingress.kubernetes.io/group.name": "<lb-group-name>" "alb.ingress.kubernetes.io/scheme": "internet-facing" "alb.ingress.kubernetes.io/certificate-arn": "<certificate-arn>" "alb.ingress.kubernetes.io/target-type": "ip" hosts: - host: "<custom-domain-name>" paths: - path: / pathType: Prefix tls: [] - 管理サービス用の
values.yamlファイルを編集してください。managementService: ingress: enabled: true className: "alb" annotations: "alb.ingress.kubernetes.io/backend-protocol-version": "HTTP1" "alb.ingress.kubernetes.io/group.name": "<lb-group-name>" "alb.ingress.kubernetes.io/scheme": "internet-facing" "alb.ingress.kubernetes.io/certificate-arn": "<certificate-arn>" "alb.ingress.kubernetes.io/target-type": "ip" hosts: - host: "<custom-domain-name>" paths: - path: /ontap pathType: Prefix tls: [] - カスタマイズされた[values.yml]ファイルでアップグレードします。
helm upgrade my-release visionone-filesecurity/visionone-filesecurity -f values.yaml -n visionone-filesecurity
- Route53を通じてDNSを設定する:
-
ALBのDNS名を確認してください:
kubectl get ingress -n visionone-filesecurity
-
新しいレコードの作成:
- 名前: <custom-domain-name>
- タイプ: ALBのエイリアスA
- 値/ターゲット: ALB DNS名
-
- 共有ホストを構成する (推奨):
- 管理サービスでRPCエージェントのオンボーディングトークンを生成:
- コンテナ化されたスキャナーKubernetesクラスター内で管理サービスにアクセスする。
kubectl exec -it <management service pod> -n <namespace> -- bash
- RPCエージェントのためのエージェントスロットを作成:
clish agent create --name <agent-name>
- RPCエージェント認証用のオンボーディングトークンを生成する。
clish agent onboarding-token issue --instance <agent-name>
- コンテナ化されたスキャナーKubernetesクラスター内で管理サービスにアクセスする。
- RPCエージェントをインストールする:
- RPCエージェントインストーラ (msi) をダウンロード
- Windows Vscanサーバにインストールします。
- RPCエージェントを次の設定で構成します:
-
オンボーディングトークンを生成しました
-
スキャナーサービスエンドポイント
-
管理サービスエンドポイント
-
- RPCエージェントを管理サービスで構成する:
- コンテナ化されたスキャナーKubernetesクラスター内で管理サービスにアクセスする。
- エージェントの接続状態を確認してください。
clish agent show --instance <agent-name>
- RPCエージェントの特権ユーザ認証情報 (ユーザ名/パスワード) を設定する。
clish agent credential modify --instance <agent-name>
配信を確認する
手順
- ONTAP管理コンソールでVscanのステータスを確認してください。
vserver vscan connection-status show-all - Management ServiceでRPCエージェント接続を確認
- EICAR署名を持つテストファイルを作成してテストファイルスキャンを行い、ブロックされるかどうかを確認します。