データセンターゲートウェイの設定

ビュー:

Server & Workload ProtectionがVMware vCenterまたはActive Directoryサーバからコンピュータのインベントリを取得できるようにするには、次の図に示すようにデータセンターゲートウェイをそれらの間に配置する必要があります。

gateway=f2061afb-2ea8-4845-9949-c800d0fb186a.png

データセンターゲートウェイは接続をプロキシします。

ネットワークの中断やコンポーネントの故障の場合に高可用性 (HA) を確保するために、以下の図に示すように複数のデータセンターゲートウェイを展開することもできます。

gateway_deployment=61dd27b2-1278-41d4-9b0a-f75803b35b0e.png

基本的な手順は次のとおりです。

システム要件の確認
権限の付与
データセンターゲートウェイソフトウェアのダウンロード
資格情報ファイルをダウンロードする
vCenterとActive Directoryサーバおよびプロキシを構成する
データセンターゲートウェイのインストール

システム要件の確認

データセンターゲートウェイは、以下のプラットフォームでサポートされています:

Red Hat Enterprise Linux 7
Red Hat Enterprise Linux 8
Ubuntu Linux 18.04
Ubuntu Linux 20.04
Ubuntu Linux 22.04

最小ハードウェア要件:

1CPUまたは仮想CPU (vCPU)
2GBのメモリ (RAM)
1GBの空きディスク容量

ファイアウォールとプロキシでは、必要なポート番号、ホスト名、およびIPアドレス

権限を付与

インストール時に、Trend Vision Oneユーザアカウントと関連付けられていない固有の認証情報ファイルを使用してデータセンターゲートウェイを設定する必要があります。新しいデータセンターゲートウェイを作成し、資格情報ファイルにアクセスするには、必要な権限が必要です。新しいゲートウェイを作成できない場合や資格情報ファイルにアクセスできない場合は、管理者に問い合わせてください。

マスター管理者アクセス権を持っている場合は、次の操作を実行できます。カスタムユーザの役割を作成または編集するでTrend Vision Oneコンソールを使用して、新しいデータセンターゲートウェイを作成し、認証資格情報ファイルにアクセスするためのアクセス権をユーザに付与します。

[管理] → [User Roles]に移動します。
カスタムユーザの役割を追加または編集します。
- 新しいカスタムユーザの役割を追加するには、 [+ 役割の追加]をクリックします。
- カスタムユーザ役割を編集するには、カスタムユーザ役割を選択し、 [編集] アイコンをクリックします。
[一般情報] タブで、役割の名前と説明を指定します。
[権限] タブで、役割に付与する権限を選択します。

ユーザの役割に付与するその他の権限に加えて、次の設定を含めて、割り当てられたユーザにデータセンターゲートウェイの管理および認証資格情報ファイルへのアクセス権限を許可する必要があります。
- [セキュリティ機能] → [サーバ&Workload Protection] → [その他の権限] → [データセンターゲートウェイ]に移動
  - [表示]: 有効
  - [作成]: 有効
  - [編集]: 有効
  - [削除]: 有効

データセンターゲートウェイソフトウェアのダウンロード

Red Hat Enterprise Linuxの場合、RPMファイルをダウンロードしてください。

Ubuntuの場合、DEBファイルをダウンロードしてください。

FIPSパッケージは、データセンターゲートウェイの政府導入向けに設計されています。このパッケージはAWS上のUbuntu Pro FIPS 20.04と互換性があります。このパッケージを使用するには、環境にFIPSパッケージを含むUbuntu FIPS for AWS | Ubuntuイメージがあることを確認してください。

日付	バージョン	RPMダウンロード	DEBダウンロード	FIPSダウンロード	リリースノート
2025年6月2日	1.0.56	ダウンロード	ダウンロード	ダウンロード	OpenSSLは、複数の脆弱性 (CVE-2024-0727およびCVE-2024-25261を含む) に対処するためにバージョン3.0.16に更新されました。 Ubuntu Pro FIPS 20.04のセキュリティアップデートが適用され、FIPS要件への準拠が確保され、既知のパッケージ脆弱性が解決されました (2025-01-30)。
2024年10月15日	1.0.51	ダウンロード	ダウンロード	ダウンロード	このバージョンおよびそれ以降のバージョンは、Red Hat Enterprise Linux 9およびUbuntu 22.04をサポートしています。以前のバージョンはRed Hat Enterprise Linux 8とUbuntu 20.04のみをサポートし、Red Hat Enterprise Linux 9とUbuntu 22.04はサポートしていません。
2024年6月12日	1.0.45	ダウンロード	ダウンロード	N/A	サードパーティのライブラリがアップデートされました。このバージョンおよびそれ以前のバージョンは、Red Hat Enterprise Linux 8とUbuntu 20.04をサポートしています。バージョン1.0.51から、Data Center GatewayはRed Hat Enterprise Linux 9とUbuntu 22.04をサポートします。バージョン1.0.45以前はRed Hat Enterprise Linux 9およびUbuntu 22.04をサポートしていません。
2022年2月7日	1.0.20	ダウンロード	ダウンロード	N/A	サードパーティのライブラリがアップデートされました。
2021年12月15日	1.0.18	ダウンロード	ダウンロード	N/A	サードパーティのライブラリがアップデートされました。
2021年8月30日	1.0.17	ダウンロード	ダウンロード	N/A	トンネルログを強化し、dcgw-controlヘルパーがプロキシ設定をサポート
2021年7月26日	1.0.15	ダウンロード	ダウンロード	N/A	データセンターゲートウェイは、トレンドマイクロが必要とするインターネット向けサービスおよび内部のvCenterまたはActive Directoryサーバーの宛先に接続するためのプロキシをサポートします。
2021年5月28日	1.0.14	ダウンロード	ダウンロード	N/A	起動時にサービスが自動的に起動しない問題を修正しました。
2021年3月28日	1.0.12	ダウンロード	ダウンロード	N/A	Pythonライブラリの依存関係を更新しました。
2021年1月25日	1.0.7	ダウンロード	ダウンロード	N/A	destination_allow_list.yamlの読み込みに失敗した場合の処理手順が改善されました。 RedHatでのサービス起動の問題が修正されました。
2020年12月8日	1.0.2	ダウンロード	ダウンロード	N/A

資格情報ファイルをダウンロードする

各資格情報ファイルには、データセンターゲートウェイが Server & Workload Protectionとの認証と通信に使用するキーと識別子が含まれています。

Server & Workload Protectionで、[管理] → [システム設定] → [データセンターゲートウェイ] 。
[新規]をクリックします。
[表示名]を入力してください。[次へ]をクリックしてください。
[Download Credential File]をクリックしてください。インストーラーによって必要とされるため、ファイル名を変更しないでください。
インストールするデータセンターゲートウェイごとに1つの資格情報ファイルをダウンロードするには、前の手順を繰り返します。

認証情報ファイルは、独自のデータセンターゲートウェイでのみ使用してください。高可用性 (HA) ペアとして導入されたデータセンターゲートウェイにも、一意の資格情報ファイルがあります。同じファイルを複数のインストールにコピーすると、予期しない動作が発生する可能性があります。

警告

資格情報ファイルは安全な場所に保管し、権限を使用してアクセスを制限します。キーは、パスワードと同様に秘密です。不正アクセスは、セキュリティ上の問題を引き起こす可能性があります。

vCenterとActive Directoryサーバおよびプロキシを構成する

インストール時に、データセンターゲートウェイの接続先となるVMware vCenterサーバやMicrosoft Active Directoryサーバのリストを指定する必要があります。プレーンテキストエディタを使用してリストを記述します。リストはYAML形式で、名前が指定されている必要がありますdestination_allow_list.yaml 。

リストが有効なYAML形式であることを確認するためにリンターを使用できます。無効なファイルはインストーラーで使用できません。

データセンターゲートウェイがリスト内のすべてのネットワークアドレスに到達できることを確認してください。データセンターゲートウェイがインターネット、または内部ネットワークのvCenterやActive Directoryサーバにプロキシを介して接続する必要がある場合は、プロキシを使用するようにデータセンターゲートウェイを設定してください。

例えば、destination_allow_list.yamlには次の内容が含まれる可能性があります。

gateway_proxy:
  - HostName: "internet.proxy.example.com"
    Port: 3128
    Username: "intenet_proxy_user"
    Password: "internet_proxy_password"
destinations:
  - HostName: "vcenter1.datacenter.internal"
    Port: 443
  - HostName: "192.168.123.45"
    Port: 443
  - HostName: "adserver1.datacenter.internal"
    Port: 389
  - HostName: "192.168.123.46"
    Port: 389
    Proxy:
      HostName: "proxy.vCenter.internal"
      Port: 3128
      Username: "vcenter_proxy_user"
      Password: "vcenter_proxy_password"

ここで、

はgateway_proxyセクションでは、データセンターゲートウェイが Server & Workload Protectionに接続するために使用するプロキシを定義します。
はdestinationsセクションでは、vCenterサーバやActive Directoryサーバ、およびそれらへの接続に使用するプロキシ (存在する場合) を定義します。
HostName は、Server & Workload Protection コンソールまたはAPIでvCenterやActive Directoryサーバを追加するために使用される識別子です。
各HostNameは一意でなければなりません。ドメイン名またはIPアドレスが他のHostNameと同じvCenterまたはActive Directoryサーバを指している場合、管理されたエージェントに予期しない動作を引き起こす可能性があります。
UsernameそしてPasswordは、データセンターゲートウェイがプロキシに接続するために使用するログインです。認証が必要ない場合は省略します。

警告

destination_allow_list.yamlを安全な場所に保管し、アクセスを制限するために権限を使用してください。パスワードが含まれています。許可されていないアクセスはセキュリティ侵害につながる可能性があります。

複数の場合に重複を避けるにはHostNameエントリが同じIPアドレスに解決される場合、最初のドメイン名のみが有効になります。ドメイン名はIPアドレスよりも優先されます。たとえば、次の設定では、データセンターゲートウェイは次のホスト名でvCenterサーバと通信します。vc1.dc.internal :

# Both "vc1.dc.internal" and "vc1.dc.example.com" resolve to 192.168.100.1

destinations:
  - HostName: "192.168.100.1"       # Does not take effect because hostnames take precedence over IP addresses
    Port: 443
  - HostName: "vc1.dc.internal"     # Takes effect
    Port: 443
  - HostName: "vc1.dc.example.com"  # Does not take effect because it resolves to the same IP address as previous hostname
    Port: 443

データセンターゲートウェイのインストール

データセンターゲートウェイをインストールするサーバで、インストーラ、認証認証情報、および設定ファイルをアップロードし、次のインストーラコマンドを入力します。

Red Hat Enterprise Linux:sudo DCGW_CRED_PATH="</absolute/path/to/credentials.json>" DCGW_ALLOW_LIST_PATH="</absolute/path/to/destination_allow_list.yaml>" rpm -ivh /path/to/rpm/file
Ubuntu: sudo DCGW_CRED_PATH="</absolute/path/to/credentials.json>" DCGW_ALLOW_LIST_PATH="</absolute/path/to/destination_allow_list.yaml>" apt install /path/to/deb/file

次のエラーメッセージが表示された場合は、問題を修正して再試行してください。

エラーメッセージ	考えられる原因	解決策
`credentials.json`のファイルパスが必要です。続行するには変数`DCGW_CRED_PATH`を設定してください	インストール中にパラメータ`DCGW_CRED_PATH`が割り当てられませんでした。	変数`DCGW_CRED_PATH`を`credentials.json`ファイルの完全なパスで設定します。
ファイル名には資格情報またはdestination_allow_listファイル拡張子を含める必要があります	`DCGW_CRED_PATH` または `DCGW_ALLOW_LIST_PATH` に必要なファイル名が含まれていません。	`DCGW_CRED_PATH`の値がファイル名`credentials.json`で終わること、および`DCGW_ALLOW_LIST_PATH`の値がファイル名`destination_allow_list.yaml`で終わることを確認してください。これらのファイル名を変更しないでください。
そのようなファイルはありません。`readlink -f`を使用して`credentials.json`または`destination_allow_list.yaml`の絶対パスを取得してください	指定された`DCGW_CRED_PATH`または`DCGW_ALLOW_LIST_PATH`のパスに適切なファイルが含まれていませんでした。	コマンド`readlink -f`を使用して、`credentials.json`または`destination_allow_list.yaml`の正しい完全なパスを確認してください。

インストールが成功したら、次のいずれかを削除します。credentials.jsonそしてdestination_allow_list.yamlまたは安全な場所にバックアップします。 (インストーラはこれらを/var/opt/c1ws-dcgateway/conf/credentials.jsonそして/var/opt/c1ws-dcgateway/conf/destiantion_allow_list.yaml権限が必要です。元のファイルを保持する必要はありません)。

一度data center gateway is successfully running, you can continue with Server & Workload ProtectionへのVMware vCenterの追加またはActive Directoryコンピュータの追加。

トラブルシューティング

データセンターゲートウェイのステータスの確認

データセンターゲートウェイがアクティブかどうか (プロセスが実行中かどうか) を確認するには、SSHまたはリモートデスクトップを使用してサーバに接続し、次のコマンドを入力します。

journalctl -u c1ws-dcgw.service -f

または次のコマンドを実行します。

systemctl status c1ws-dcgw

ステータスと追加されたvCenterまたはActive Directoryサーバを表示する必要があります。

data-center-gateway=06211061-9cdc-47ba-ba1a-865fe5c10e86.png

[ステータス] には、送信先リストに追加されたサーバのみが表示されます。しません。 vCenterまたはActive Directoryとのネットワーク接続のテストこれは個別に実行する必要があります。

また、次のコマンドを入力して、エラーログが空であることを確認します。

less +G c1ws-dcgw-error.log

データセンターゲートウェイのネットワーク接続を確認する

vCenterまたはActive Directoryサーバのポートが開いていて、データセンターゲートウェイからアクセス可能であることを確認するには、データセンターゲートウェイサーバにログインし、次のコマンドを入力します。

nc -v SERVER_HOST_IP SERVER_HOST_PORT

場所:

SERVER_HOST_IP vCenterまたはActive Directoryサーバのホスト名またはIPアドレスです。
SERVER_HOST_PORTは待機ポート番号です。初期設定では、vCenterの場合は443、 Active Directoryの場合は389 (StarTLS)/636 (LDAPS) です。

接続テストは成功するはずです。

vcenter-connection=b98bad2a-763f-49f0-951d-0a7abac757f6.png

成功しない場合は、ポート番号が開いていることを確認してください。また、DNS設定やそれらの間にあるルーター、ファイアウォール、プロキシを確認してください。プロキシがある場合、接続はvCenterやActive Directoryサーバに直接ではなく、プロキシに成功しなければなりません。

接続テストでサーバーに到達可能であることが示されているが、Server & Workload Protectionがまだデータを受信していない場合は、データセンターゲートウェイエラーログおよび接続試行を示すログを確認してください。

less +G c1ws-dcgw.log

vCenterまたはActive Directoryサーバの両方への接続試行が表示されます (destination) および Trend Vision Oneのファイアウォール除外要件。設定されているホスト名とポート番号を確認します。

dc-log=a095c7b9-1423-42c5-8e60-1a2a88bb0007.png

データセンターゲートウェイのアップグレード

データセンターゲートウェイをアップグレードするサーバで、RPMまたはDEBファイルをアップロードしてから、次のアップグレードコマンドを入力します。

Red Hat Enterprise Linux: sudo rpm -U <new data center gateway installer rpm>
Ubuntu Linux: sudo apt --only-upgrade install ./<new data center gateway installer deb>

アップグレードが完了したことを確認するには

データセンターゲートウェイのステータスを確認し、データセンターゲートウェイのネットワーク接続を確認してください。
インストールされているソフトウェアのバージョン番号を確認します。
- Red Hat Enterprise Linux: rpm -q --info <data center gateway package name>
- Ubuntu Linux: apt show <data center gateway package name>