Server & Workload Protection でVMware vCenterおよび/またはActive Directoryサーバからコンピュータのインベントリを取得する場合は、次の図に示すように、それらの間にデータセンターゲートウェイを配置する必要があります。データセンターゲートウェイは、ゲートウェイ間の接続をプロキシします。
ネットワークの中断やコンポーネントの障害時に高可用性 (HA) を確保するために、次の図に示すように、複数のデータセンターゲートウェイを配置することもできます。
基本的な手順は次のとおりです。
システム要件の確認
データセンターゲートウェイは、次のデバイスでサポートされています。
- Red Hat Enterprise Linux 7
- Red Hat Enterprise Linux 8
- Ubuntu Linux 18.04
- Ubuntu Linux 20.04
最小ハードウェア要件:
- 1CPUまたは仮想CPU (vCPU)
- 2GBのメモリ (RAM)
- 1GBの空きディスク容量
ファイアウォールとプロキシでは、 必要なポート番号、ホスト名、およびIPアドレス
権限を付与
インストール時に、Trend Vision Oneユーザアカウントと関連付けられていない固有の認証情報ファイルを使用してデータセンターゲートウェイを設定する必要があります。新しいデータセンターゲートウェイを作成し、資格情報ファイルにアクセスするには、必要な権限が必要です。新しいゲートウェイを作成できない場合や資格情報ファイルにアクセスできない場合は、管理者に問い合わせてください。
マスター管理者アクセス権を持っている場合は、次の操作を実行できます。 カスタムユーザの役割を作成または編集するでTrend Vision Oneコンソールを使用して、新しいデータセンターゲートウェイを作成し、認証資格情報ファイルにアクセスするためのアクセス権をユーザに付与します。
-
に移動します。
-
カスタムユーザの役割を追加または編集します。
-
新しいカスタムユーザの役割を追加するには、 [+ 役割の追加]をクリックします。
-
カスタムユーザ役割を編集するには、カスタムユーザ役割を選択し、 [編集] アイコンをクリックします。
-
-
[一般情報] タブで、役割の名前と説明を指定します。
-
[権限] タブで、役割に付与する権限を選択します。ユーザの役割に付与するその他の権限に加えて、次の設定を含めて、割り当てられたユーザにデータセンターゲートウェイの管理および認証資格情報ファイルへのアクセス権限を許可する必要があります。
-
に移動
-
[表示]: 有効
-
[作成]: 有効
-
[編集]: 有効
-
[削除]: 有効
-
-
データセンターゲートウェイソフトウェアのダウンロード
Red Hat Enterprise Linuxの場合はRPMファイルを、Ubuntuの場合はDEBファイルをダウンロードします。
|
日付
|
バージョン
|
RPMのダウンロード
|
DEBダウンロード
|
リリースノート
|
|
2022年2月7日
|
1.0.20
|
サードパーティのライブラリがアップデートされました。
|
||
|
2021年12月15日
|
1.0.18
|
サードパーティのライブラリがアップデートされました。
|
||
|
2021年8月30日
|
1.0.17
|
トンネルログを強化し、dcgw-controlヘルパーがプロキシ設定をサポート
|
||
|
2021年7月26日
|
1.0.15
|
データセンターゲートウェイは、トレンドマイクロの必要なインターネット接続サービスおよび内部のvCenter/ Active Directoryサーバの送信先に接続するためのプロキシをサポートします。
|
||
|
5月2021年2月28日
|
1.0.14
|
起動時にサービスが自動的に起動しない問題を修正しました。
|
||
|
2021年3月28日
|
1.0.12
|
Pythonライブラリの依存関係が更新されました。
|
||
|
2021年1月25日
|
1.0.7
|
destination_allow_list.yamlの読み込みに失敗した場合の処理手順が改善されました。
RedHatでのサービス起動の問題が修正されました。
|
||
|
2020年12月8日
|
1.0.2
|
資格情報ファイルをダウンロードする
各資格情報ファイルには、データセンターゲートウェイが Server & Workload Protectionとの認証と通信に使用するキーと識別子が含まれています。
- Server & Workload Protectionで、 。
- [新規]をクリックします。
- [表示名]を入力します。 [次へ]をクリックします。
- [認証情報ファイルのダウンロード]をクリックします。ファイル名は変更しないでください。インストーラで必要です。
- インストールするデータセンターゲートウェイごとに1つの資格情報ファイルをダウンロードするには、前の手順を繰り返します。
 |
ヒント認証情報ファイルは、独自のデータセンターゲートウェイでのみ使用してください。高可用性 (HA) ペアとして導入されたデータセンターゲートウェイにも、一意の資格情報ファイルがあります。同じファイルを複数のインストールにコピーすると、予期しない動作が発生する可能性があります。
|
 |
警告資格情報ファイルは安全な場所に保管し、権限を使用してアクセスを制限します。キーは、パスワードと同様に秘密です。不正アクセスは、セキュリティ上の問題を引き起こす可能性があります。
|
vCenter/ Active Directoryサーバとプロキシ (存在する場合) の設定
インストール時に、データセンターゲートウェイの接続先となるVMware vCenterサーバやMicrosoft Active Directoryサーバのリストを指定する必要があります。プレーンテキストエディタを使用してリストを記述します。リストはYAML形式で、名前が指定されている必要があります
destination_allow_list.yaml 。 |
ヒントリンターを使用して、リストが有効なYAML形式であることを確認します。インストーラは無効なファイルを使用できません。
|
データセンターゲートウェイがリスト内のすべてのネットワークアドレスに到達できることを確認します。データセンターゲートウェイをプロキシ経由でインターネット、または内部ネットワークのvCenterやActive
Directoryサーバに接続する必要がある場合は、プロキシを使用するようにデータセンターゲートウェイも設定します。
たとえば、
destination_allow_list.yaml次のものを含めることができます。gateway_proxy: - HostName: "internet.proxy.example.com" Port: 3128 Username: "intenet_proxy_user" Password: "internet_proxy_password" destinations: - HostName: "vcenter1.datacenter.internal" Port: 443 - HostName: "192.168.123.45" Port: 443 - HostName: "adserver1.datacenter.internal" Port: 389 - HostName: "192.168.123.46" Port: 389 Proxy: HostName: "proxy.vCenter.internal" Port: 3128 Username: "vcenter_proxy_user" Password: "vcenter_proxy_password"
ここで、
- は
gateway_proxyセクションでは、データセンターゲートウェイが Server & Workload Protectionに接続するために使用するプロキシを定義します。 - は
destinationsセクションでは、vCenterサーバやActive Directoryサーバ、およびそれらへの接続に使用するプロキシ (存在する場合) を定義します。 HostNameServer & Workload Protection コンソールまたはAPIでvCenter/ Active Directoryサーバを追加するために使用される識別子です。UsernameそしてPasswordは、データセンターゲートウェイがプロキシに接続するために使用するログインです。認証が必要ない場合は省略します。
|
警告キープ
destination_allow_list.yaml安全な場所に配置し、権限を使用してアクセスを制限します。パスワードが含まれています。不正アクセスは、セキュリティ上の問題を引き起こす可能性があります。 |
|
警告それぞれ
HostName一意である必要があります。ドメイン名またはIPアドレスが別のサーバと同じvCenter/ Active Directoryサーバを指している場合HostNameを実行すると、管理下のエージェントで予期しない動作が発生する可能性があります。 |
 |
注意複数の場合に重複を避けるには
HostNameエントリが同じIPアドレスに解決される場合、最初のドメイン名のみが有効になります。ドメイン名はIPアドレスよりも優先されます。たとえば、次の設定では、データセンターゲートウェイは次のホスト名でvCenterサーバと通信します。vc1.dc.internal : |
# Both "vc1.dc.internal" and "vc1.dc.example.com" resolve to 192.168.100.1 destinations: - HostName: "192.168.100.1" # Does not take effect because hostnames take precedence over IP addresses Port: 443 - HostName: "vc1.dc.internal" # Takes effect Port: 443 - HostName: "vc1.dc.example.com" # Does not take effect because it resolves to the same IP address as previous hostname Port: 443
データセンターゲートウェイのインストール
データセンターゲートウェイをインストールするサーバで、インストーラ、認証認証情報、および設定ファイルをアップロードし、次のインストーラコマンドを入力します。
- Red Hat Enterprise Linux:
sudo DCGW_CRED_PATH="</absolute/path/to/credentials.json>" DCGW_ALLOW_LIST_PATH="</absolute/path/to/destination_allow_list.yaml>" rpm -ivh /path/to/rpm/file - Ubuntu:
sudo DCGW_CRED_PATH="</absolute/path/to/credentials.json>" DCGW_ALLOW_LIST_PATH="</absolute/path/to/destination_allow_list.yaml>" apt install /path/to/deb/file
次のいずれかのエラーメッセージが表示された場合は、問題を修正して再度実行してください。
|
エラーメッセージ
|
考えられる原因
|
解決策
|
|
のファイルパス
credentials.jsonは必須です。変数を設定してください。 DCGW_CRED_PATH続行します |
パラメータ
DCGW_CRED_PATHはインストール中に割り当てられませんでした。 |
変数の設定
DCGW_CRED_PATHの完全なパスを指定します。 credentials.jsonファイル。 |
|
ファイル名には認証情報またはdestination_allow_listファイル拡張子が含まれている必要があります
|
DCGW_CRED_PATHまたは DCGW_ALLOW_LIST_PATHに必要なファイル名が含まれていません。 |
の値が正しいことを確認します。
DCGW_CRED_PATHファイル名で終わる credentials.json、およびの値 DCGW_ALLOW_LIST_PATHファイル名で終わる destination_allow_list.yamlこれらのファイル名は変更しないでください。 |
|
そのようなファイルはありません。
readlink -fの絶対パスを取得します credentials.jsonまたは destination_allow_list.yaml |
の指定されたパス
DCGW_CRED_PATHまたは DCGW_ALLOW_LIST_PATH適切なファイルが含まれていませんでした。 |
次のコマンドを使用します。
readlink -fの正しい完全なパスを確認します。 credentials.jsonまたは destination_allow_list.yaml. |
インストールが成功したら、次のいずれかを削除します。
credentials.jsonそしてdestination_allow_list.yamlまたは安全な場所にバックアップします。 (インストーラはこれらを/var/opt/c1ws-dcgateway/conf/credentials.jsonそして/var/opt/c1ws-dcgateway/conf/destiantion_allow_list.yaml権限が必要です。元のファイルを保持する必要はありません)。一度data center gateway is successfully running, you can continue with Server & Workload ProtectionへのVMware vCenterの追加またはActive Directoryコンピュータの追加。
トラブルシューティング
データセンターゲートウェイのステータスの確認
データセンターゲートウェイがアクティブかどうか (プロセスが実行中かどうか) を確認するには、SSHまたはリモートデスクトップを使用してサーバに接続し、次のコマンドを入力します。
journalctl -u c1ws-dcgw.service -fまたは次のコマンドを実行します。
systemctl status c1ws-dcgwステータスと、追加されたvCenterまたはActive Directoryサーバ (あるいはその両方) が表示されます。
|
注意[ステータス] には、送信先リストに追加されたサーバのみが表示されます。しません。 vCenterまたはActive Directoryとのネットワーク接続のテストこれは個別に実行する必要があります。
|
また、次のコマンドを入力して、エラーログが空であることを確認します。
less +G c1ws-dcgw-error.logデータセンターゲートウェイのネットワーク接続を確認する
vCenterまたはActive Directoryサーバのポートが開いていて、データセンターゲートウェイからアクセス可能であることを確認するには、データセンターゲートウェイサーバにログインし、次のコマンドを入力します。
nc -v SERVER_HOST_IP SERVER_HOST_PORTここで、
SERVER_HOST_IPvCenterまたはActive Directoryサーバのホスト名またはIPアドレスです。SERVER_HOST_PORTは待機ポート番号です。初期設定では、vCenterの場合は443、 Active Directoryの場合は389 (StarTLS)/636 (LDAPS) です。
接続テストは成功するはずです。
成功しない場合は、ポート番号が開いていることを確認します。また、DNS設定と、それらの間のルータ、ファイアウォール、およびプロキシも確認します。 (プロキシがある場合は、vCenterまたはActive
Directoryサーバに直接接続するのではなく、プロキシに接続する必要があります)。
接続テストの結果、サーバに接続可能であるにもかかわらず、 Server & Workload Protection がデータを受信していない場合は、データセンターゲートウェイのエラーログ接続試行を示すログ:
less +G c1ws-dcgw.logvCenterまたはActive Directoryサーバの両方への接続試行が表示されます (
destination) および Trend Vision Oneのファイアウォール除外要件 。設定されているホスト名とポート番号を確認します。
データセンターゲートウェイのアップグレード
データセンターゲートウェイをアップグレードするサーバで、RPMまたはDEBファイルをアップロードしてから、次のアップグレードコマンドを入力します。
- Red Hat Enterprise Linux:
sudo rpm -U <new data center gateway installer rpm> - Ubuntu Linux:
sudo apt --only-upgrade install ./<new data center gateway installer deb>
アップグレードが完了したことを確認するには
- データセンターゲートウェイのステータスの確認そしてデータセンターゲートウェイのネットワーク接続。
- インストールされているソフトウェアのバージョン番号を確認します。
- Red Hat Enterprise Linux:
rpm -q --info <data center gateway package name> - Ubuntu Linux:
apt show <data center gateway package name>
- Red Hat Enterprise Linux: