AWSを使用したService Gateway仮想アプライアンスのデプロイ

手順

1. Service Gatewayの登録トークンを取得します。
   1. Trend Vision Oneコンソールで、[Workflow and Automation] → [Service Gateway Management]に移動します 。
   2. クリック仮想アプライアンスのダウンロード。
   3. [登録トークン]をコピーします。

      注意 登録トークンは、インストールとセットアップの完了後に、 Service Gateway仮想アプライアンスをService Gateway Inventoryに登録するために使用されます。登録トークンは、使用しない場合、24時間後に期限切れになります。

2. インスタンスの起動を開始するには、AWSマネジメントコンソールにサインインします。
   EC2サービスへのアクセス権限を持つアカウントを使用する必要があります。
3. EC2サービスを見つけてリンクをクリックし、EC2ダッシュボードにアクセスします。

   ヒント EC2サービスが表示されない場合は、画面上部の検索バーを使用してEC2を検索します。 [サービス]でEC2を探します。

4. 上部のナビゲーションバーで、インスタンスの [地域] を選択します。

   注意 リージョンは、 Service Gatewayのデプロイが必要な任意のリージョンに設定できます。選択するリージョンがわからない場合は、AWSアカウントの初期設定のリージョンを使用してください。

5. [[インスタンスの起動]]をクリックし、 [インスタンスの起動]を選択します。
   [インスタンスの起動] 画面が表示されます。
6. [名前とタグ] セクションで、名前を入力するか、インスタンスにタグを追加します。

   ヒント タグを追加すると、所有権を追跡したり、デプロイされたインスタンスに関連付けられているリソースを検索したりできるようになるため、仮想マシンの管理に役立ちます。

7. [アプリケーションイメージとOSイメージ (Amazon Machine Image)] セクションで、 Service Gateway AMIを見つけて選択します。
   1. [アプリケーションイメージとOSイメージ (Amazon Machine Image)] セクションで、 [その他のAMIを参照する]をクリックします。

      

   2. [Amazon Machine Image (AMI) の選択] 画面で、検索バーの下にある [AWS Marketplace AMI] を選択します。

      

   3. [Trend Micro Service Gateway]を検索します。
   4. [トレンドマイクロ Service Gateway BYOL] を検索し、 [選択]をクリックします。

      

   5. 詳細を確認し、 [続行]をクリックします。
8. [インスタンスの種類] セクションで、配置の仕様を満たすインスタンスを選択します。

   注意 初期設定のインスタンスは、8つのvCPUと16 GiBのメモリを備えた [C5.2xlarge] です。 Service Gatewayは、次の推奨インスタンスタイプをサポートします。ニーズに最適なものを選択してください。 C5.2xlarge C5.4xlarge 詳細については、Service Gatewayアプライアンスのシステム要件を参照してください。

9. [キーペア (ログイン)] セクションで、既存のキーペアを選択するか、新しいキーペアを作成します。
   トレンドマイクロ では、SSHクライアントを使用してService Gateway仮想マシンにアクセスすることをお勧めします。 SSHアクセスを有効にするには、新しいキーペアに対して次の設定を使用します。

   • [キーペアの種類]: RSA
   • [秘密鍵のファイル形式]: .PEM

   注意 既存のキーペアを使用する場合は、キーの長さが2,048ビット以上であることを確認してください。

10. [ネットワーク設定] セクションで、 [編集] をクリックして設定を行います。
    1. Network Deploymentの設定を行います。
       • インスタンスに使用する [VPC] を選択します。
       • 使用する [サブネット] を選択します。
       • [パブリックIPの自動割り当て] を [無効化]に設定します。

       VPCとサブネットの設定方法の詳細については、Amazonのドキュメント を参照してください。

       重要 サブネットに [設定なし] を選択しないでください。

    2. [ファイアウォール (セキュリティグループ)]で [セキュリティグループの作成]を選択します。

       重要 ファイアウォール設定と [受信セキュリティグループのルール]は、AWSによって自動的に入力される場合があります。ただし、設定が不完全な可能性があります。設定を確認し、必要に応じて設定します。

       • [セキュリティグループ名]を指定します。
       • セキュリティグループの [説明] を指定します。
    3. [[受信セキュリティグループのルール]]を確認して設定します。
       必要なService Gatewayポートごとに [Security group rules] を追加します。

       種類	プロトコル	ポート範囲	ソースの種類	ソース	目的
       SSH	TCP	22	推奨: カスタム	See note	Service Gateway仮想アプライアンスにアクセスするためのCLISHコマンド
       HTTP	TCP	80	推奨: カスタム	See note	オンプレミスのActive Directoryサーバ、接続された トレンドマイクロ 製品 (エンドポイントエージェントなど)、機械学習型検索、ファイルレピュテーションサービス、またはThird-Party Integrationに対するサービス対応クエリ
       HTTPS	TCP	443	推奨: カスタム	See note	オンプレミスのActive Directoryサーバ、接続された トレンドマイクロ 製品 (エンドポイントエージェントなど)、機械学習型検索、ファイルレピュテーションサービス、またはThird-Party Integrationに対するサービス対応クエリ
       カスタムTCP	TCP	5274	推奨: カスタム	See note	WebレピュテーションサービスまたはWeb検査サービスのクエリ
       カスタムTCP	TCP	5275	推奨: カスタム	See note	WebレピュテーションサービスまたはWeb検査サービスのクエリ
       カスタムTCP	TCP	8080	推奨: カスタム	See note	転送プロキシサービスの接続待機ポート
       カスタムTCP	TCP	8088	推奨: カスタム	See note	Zero Trust Secure Access On-Premises Gatewayの接続待機ポート

       注意 [ソースの種類] は、Service Gateway仮想アプライアンスへの接続を許可するIPアドレスを制御します。 トレンドマイクロ では、 [ソースの種類] を [カスタム]に設定してから、 [ソース] IPアドレスまたはセキュリティグループを指定することをお勧めします。 IPアドレスとセキュリティグループの割り当ての詳細については、AWSのヘルプを参照してください。 トレンドマイクロ では、送信ポートのルールに初期設定を使用することをお勧めします。追加の送信ルールを設定すると、 Service GatewayがService Gateway Inventoryに接続する機能に影響する場合があります。

11. [ストレージの設定] 設定を使用して、インスタンスのルートボリュームのサイズを指定します。

    注意 ボリュームの最小サイズは200 GiBです。ストレージを拡張する必要がある場合は、ボリュームのサイズを増やすか、 [新しいボリュームの追加] をクリックしてディスクを追加します。

12. [詳細情報]の初期設定を使用します。
13. [概要] パネルで設定を確認し、 [[[インスタンスの起動]]]をクリックします。
    インスタンスを起動すると、 Service Gateway仮想アプライアンスのインストールが開始されます。インストールが完了するまでに数分かかることがあります。 EC2コンソールでインスタンスのステータスを表示するには、次の場所に移動します。[インスタンス] → [インスタンス] 。

    [インスタンスの状態] が [実行中] で、 [ステータスチェック] が [2/2のチェックに合格]と表示されれば、Service Gateway仮想アプライアンスは接続および設定の準備ができています。
14. インスタンスに接続します。

    注意 トレンドマイクロ では、SSHクライアントを使用してService Gateway仮想アプライアンスに接続し、登録トークンより簡単に。次の手順は、SSHクライアントに接続する方法の概要を示しています。

    1. EC2コンソールで、次の場所に移動します。[インスタンス] → [インスタンス]をクリックし、Service Gateway仮想アプライアンスの [インスタンスID] をクリックします。
    2. [インスタンスの概要] 画面で、 [接続]をクリックします。
    3. [SSHクライアント]をクリックします。
    4. [インスタンスに接続] 画面の手順を確認し、表示されたプライベートIPアドレスをコピーします。
    5. SSHクライアントを開きます。
    6. 次のコマンドを入力して、 Service Gateway仮想アプライアンスに接続します。
       ssh -i "<keypair.pem>" admin@<IPaddress>

       注意 キーペアの完全なファイル名を使用します。ファイル拡張子を含みます。 ユーザ名はadmin。 プライベートIPアドレスを使用します。AWSからコピーされました。 たとえば、キーペアファイルの名前が my_key_pair.pem で、プライベートIPアドレスが127.0.0.1の場合は、次のコマンドを入力します。 ssh -i "my_key_pair.pem" admin@127.0.0.1

       重要 Applianceにすぐに接続できない場合は、次の手順に従って問題を解決してください。 新しいキーペアを作成した場合、EC2が新しいキーペアと同期するまでに時間がかかることがあります。 5分待ってから、再度実行してください。 信頼済みホストファイルをEC2から自動的にアップデートすることはできません。 SSHクライアントで、次のコマンドを入力します。 ~/.ssh/known_hosts信頼済みファイルから既知のホストを削除してから、再度接続してください。 Service Gateway仮想アプライアンスでNetwork Time Protocolサーバを設定することはできません。アプライアンスはクラウドに展開されるため、時刻設定は自動的に同期されます。

15. Service Gatewayを設定および登録します。
    1. インスタンスに接続してサインオンすると、コマンドラインインタフェース (CLI) が表示されます。
    2. 種類有効にする [ENTER] キーを押して、管理コマンドを有効にします。
       コマンドプロンプトが>から#に変わります。
    3. configure コマンドを使用して、IPアドレスやDNS設定など、必要なネットワーク設定を行います。
    4. 次のコマンドを入力して、Service Gateway仮想アプライアンスを Trend Vision Oneに登録します。
       register <registration_token>

       Service Gateway Inventoryから取得した登録トークンを使用します。
16. 必要に応じて、CLIを使用してその他の設定を行います。
    使用可能なコマンドの詳細については、Service GatewayのCLIコマンドを参照してください。