如果您希望 Server & Workload Security保護 從您的 VMware vCenter 和/或 Active Directory 伺服器獲取電腦清單,則必須在它們之間放置一個資料中心閘道,如下圖所示。資料中心閘道代理它們之間的連接。
為了在網路中斷或元件故障的情況下實現高可用性 (HA),您也可以部署多個資料中心閘道,如下圖所示。
基本步驟包括:
驗證系統需求
資料防護中心閘道支援以下系統:
- Red Hat Enterprise Linux 7
- Red Hat Enterprise Linux 8
- Ubuntu Linux 18.04
- Ubuntu Linux 20.04
最低硬體需求:
- 1 個 CPU 或虛擬 CPU (vCPU)
- 2 GB 記憶體 (RAM)
- 1 GB 可用磁碟空間
防火牆和代理伺服器也必須允許與所需的埠號、主機名稱和 IP 位址的網路連線
授與權限
在安裝過程中,您需要使用唯一的驗證憑證檔案來配置資料中心閘道,該檔案與您的Trend Vision One使用者帳號無關。您必須擁有創建新資料中心閘道和訪問憑證檔案的必要權限。如果您無法創建新閘道或訪問憑證檔案,請聯繫您的管理員。
如果您具有超級管理員權限,您可以在 Trend Vision One 控制台中 創建或編輯自定義用戶角色,以授予用戶創建新的數據中心網關並訪問驗證憑證文件的權限。
-
前往。
-
新增或編輯自訂使用者角色:
-
要新增自訂使用者角色,請點選+ Add Role。
-
要編輯自訂使用者角色,請選擇自訂使用者角色並點選編輯圖示。
-
-
在General information標籤上,指定角色名稱和描述。
-
在Permissions標籤上,選擇要授予角色的權限。除了您希望授予使用者角色的任何其他權限外,您必須包含以下設定,以允許指定的使用者管理資料中心閘道並存取驗證憑證檔案。
-
前往
-
View:已啟動
-
Create:已啟動
-
編輯:已啟動
-
刪除:已啟動
-
-
下載資料中心閘道軟體
下載適用於 Red Hat Enterprise Linux 的 RPM 檔案,以及適用於 Ubuntu 的 DEB 檔案。
|
日期
|
版本
|
RPM 下載
|
DEB 下載
|
發行說明
|
|
二月 07, 2022
|
1.0.20
|
已更新第三方庫。
|
||
|
2021年十二月15日
|
1.0.18
|
已更新第三方庫。
|
||
|
2021年八月30日
|
1.0.17
|
增強隧道日誌記錄和 dcgw-control 助手支援 Proxy 配置
|
||
|
七月 26, 2021
|
1.0.15
|
資料中心閘道支援 Proxy 連接到趨勢科技所需的網路面向服務和內部 vCenter/Active Directory 伺服器目的地
|
||
|
2021年五月28日
|
1.0.14
|
修正了服務在啟動時無法自動啟動的問題。
|
||
|
2021年三月28日
|
1.0.12
|
已更新的 Python 庫依賴項。
|
||
|
2021年一月25日
|
1.0.7
|
改進了有關 destination_allow_list.yaml 加載失敗時應採取措施的說明。
修正了 RedHat 中的服務啟動問題。
|
||
|
十二月 08, 2020
|
1.0.2
|
下載憑證檔案
每個憑證檔案包含其資料中心閘道將用於驗證和與Server & Workload Security保護通信的密鑰和識別碼。
- 在 Server & Workload Security保護,前往 。
- 點選 New。
- 輸入Display Name。點選下一步。
- 點選Download Credential File。不要更改檔案名稱。這是安裝程式所需的。
- 重複前面的步驟,為您將安裝的每個資料中心閘道下載一個憑證檔案。
 |
秘訣僅使用具有其自身資料中心閘道的憑證檔案。即使是部署為高可用性 (HA) 配對的資料中心閘道也有唯一的憑證檔案。將相同的檔案複製到多個安裝中可能會導致意外行為。
|
 |
警告將憑證檔案保存在安全的地方,並使用權限來限制存取。金鑰是機密資訊,類似於密碼。未經授權的存取可能會導致安全漏洞。
|
配置 vCenter/Active Directory 伺服器和代理(如果有的話)
在安裝過程中,您需要提供一份 VMware vCenter 和/或 Microsoft Active Directory 伺服器的清單,這些伺服器是資料中心閘道所連接的。請使用純文字編輯器來撰寫這份清單。清單必須是
YAML 格式,並命名為
destination_allow_list.yaml。 |
秘訣使用 linter 驗證清單是否為有效的 YAML 格式。無效的檔案無法被安裝程式使用。
|
驗證資料中心閘道是否能夠到達清單中的所有網路位址。如果資料中心閘道必須通過Proxy連接到網路,或連接到內部網路的vCenter和/或Active Directory伺服器,則還需配置資料中心閘道以使用這些Proxy。
例如,
destination_allow_list.yaml 可能包含:gateway_proxy:
- HostName: "internet.proxy.example.com"
Port: 3128
Username: "intenet_proxy_user"
Password: "internet_proxy_password"
destinations:
- HostName: "vcenter1.datacenter.internal"
Port: 443
- HostName: "192.168.123.45"
Port: 443
- HostName: "adserver1.datacenter.internal"
Port: 389
- HostName: "192.168.123.46"
Port: 389
Proxy:
HostName: "proxy.vCenter.internal"
Port: 3128
Username: "vcenter_proxy_user"
Password: "vcenter_proxy_password"
位置:
gateway_proxy區段定義資料中心閘道將用來連接 Server & Workload Security保護 的 Proxy。destinations部分定義了 vCenter 和/或 Active Directory 伺服器以及用於連接它們的代理(如果有的話)。HostName是用於在 Server & Workload Security保護 控制台或 API 中添加 vCenter/Active Directory 伺服器的識別碼。使用者名稱和密碼是資料中心閘道用來連接到 Proxy 的登入資訊。如果不需要驗證,請省略它們。
|
警告將
destination_allow_list.yaml 保存在安全的地方,並使用權限來限制訪問。它包含密碼。未經授權的訪問可能會導致安全漏洞。 |
|
警告每個
HostName 必須是唯一的。如果網域名稱或 IP 位址指向與另一個 HostName 相同的 vCenter/Active Directory 伺服器,可能會導致受管理代理程式出現意外行為。 |
 |
注意為避免多個
HostName 條目解析到相同的 IP 位址而造成重複,只有第一個網域名稱會生效。網域名稱優先於 IP 位址。例如,根據以下配置,資料中心閘道將與主機名稱為 vc1.dc.internal 的 vCenter 伺服器通信: |
# Both "vc1.dc.internal" and "vc1.dc.example.com" resolve to 192.168.100.1
destinations:
- HostName: "192.168.100.1" # Does not take effect because hostnames take precedence over IP addresses
Port: 443
- HostName: "vc1.dc.internal" # Takes effect
Port: 443
- HostName: "vc1.dc.example.com" # Does not take effect because it resolves to the same IP address as previous hostname
Port: 443
安裝資料中心閘道
在您想要安裝資料中心閘道的伺服器上,請上傳安裝程式、驗證憑證和配置檔案,然後輸入安裝程式命令:
- Red Hat Enterprise Linux:
sudo DCGW_CRED_PATH="</absolute/path/to/credentials.json>" DCGW_ALLOW_LIST_PATH="</absolute/path/to/destination_allow_list.yaml>" rpm -ivh /path/to/rpm/file - Ubuntu:
sudo DCGW_CRED_PATH="</absolute/path/to/credentials.json>" DCGW_ALLOW_LIST_PATH="</absolute/path/to/destination_allow_list.yaml>" apt install /path/to/deb/file
如果出現以下任何錯誤訊息,請更正問題並重試。
|
錯誤訊息
|
可能原因
|
解決方案
|
|
檔案路徑
credentials.json是必需的,請設置變數 DCGW_CRED_PATH繼續 |
參數
DCGW_CRED_PATH在安裝過程中未分配。 |
設定變數
DCGW_CRED_PATH完整路徑 credentials.json檔案. |
|
檔案名稱應包含憑證或 destination_allow_list 檔案副檔名
|
DCGW_CRED_PATH或 DCGW_ALLOW_LIST_PATH不包含所需的檔案名稱。 |
驗證該值
DCGW_CRED_PATH以檔案名稱結尾 credentials.json, 以及 DCGW_ALLOW_LIST_PATH以檔案名稱結尾 destination_allow_list.yaml.請勿修改這些檔案名稱。 |
|
沒有此檔案,請使用
readlink -f獲取絕對路徑以 credentials.json或 destination_allow_list.yaml |
給定的路徑
DCGW_CRED_PATH或 DCGW_ALLOW_LIST_PATH未包含適當的檔案。 |
使用該命令
readlink -f驗證正確、完整的路徑 credentials.json或 destination_allow_list.yaml. |
安裝成功後,請刪除
credentials.json 和 destination_allow_list.yaml,或將它們備份到安全的 位置資訊。(安裝程式會將它們複製到 /var/opt/c1ws-dcgateway/conf/credentials.json 和 /var/opt/c1ws-dcgateway/conf/destination_allow_list.yaml,並設置正確的權限。您不需要保留原始檔案。)疑難排解
驗證資料中心閘道的狀態
要確定資料中心閘道是否處於活動狀態(其進程正在運行),請使用 SSH 或遠端桌面連接到其伺服器,然後輸入命令:
journalctl -u c1ws-dcgw.service -f或指令:
systemctl status c1ws-dcgw應顯示狀態,以及已新增的 vCenter 和/或 Active Directory 伺服器:
|
注意狀態僅顯示已添加到目的地列表中的伺服器。它不會測試與 vCenter 或 Active Directory 的網路連接,這必須單獨完成。
|
還請輸入此命令以確認錯誤日誌為空:
less +G c1ws-dcgw-error.log驗證資料中心閘道的網路連線
要驗證 vCenter 或 Active Directory 伺服器的埠是否開啟以及是否可以從資料中心閘道訪問,請登入資料中心閘道伺服器並輸入以下命令:
nc -v SERVER_HOST_IP SERVER_HOST_PORT位置:
SERVER_HOST_IP是 vCenter 或 Active Directory 伺服器的主機名稱或 IP 位址。SERVER_HOST_PORT是監聽的通訊埠號碼。預設情況下,vCenter 為 443,Active Directory 為 389(StarTLS)/636(LDAPS)。
連線測試應該會成功。
如果不成功,請確認通訊埠號碼是否開啟。還要確認 DNS 設定以及它們之間的任何路由器、防火牆和 Proxy。(如果有 Proxy,連線必須成功連接到 Proxy,而不是直接連接到
vCenter 或 Active Directory 伺服器。)
如果連線測試顯示伺服器可達,但Server & Workload Security保護仍未接收資料,請檢查資料中心閘道錯誤日誌和顯示連線嘗試的日誌:
less +G c1ws-dcgw.log應顯示對 vCenter 或 Active Directory 伺服器(
destination)和 Trend Vision One 的防火牆例外要求 的連接嘗試。請驗證已配置的主機名稱和埠號。
升級資料中心閘道
在您想要升級資料中心閘道的伺服器上,請上傳 RPM 或 DEB 檔案,然後輸入升級指令:
- Red Hat Enterprise Linux:
sudo rpm -U <new data center gateway installer rpm> - Ubuntu Linux:
sudo apt --only-upgrade install ./<new data center gateway installer deb>
要驗證升級是否完成:
- 檢查資料中心閘道狀態和資料中心閘道網路連線。
- 驗證已安裝軟體的版本號碼:
- Red Hat Enterprise Linux:
rpm -q --info <資料中心閘道套件名稱> - Ubuntu Linux:
apt show <資料中心閘道套件名稱>
- Red Hat Enterprise Linux: