如果您希望 伺服器與工作負載保護 從您的 VMware vCenter 和/或 Active Directory 伺服器獲取電腦清單,則必須在它們之間放置一個資料中心閘道,如下圖所示。資料中心閘道代理它們之間的連接。
為了在網路中斷或元件故障的情況下實現高可用性 (HA),您也可以部署多個資料中心閘道,如下圖所示。
基本步驟包括:
驗證系統需求
資料防護中心閘道支援以下系統:
- Red Hat Enterprise Linux 7
- Red Hat Enterprise Linux 8
- Ubuntu Linux 18.04
- Ubuntu Linux 20.04
最低硬體需求:
- 1 個 CPU 或虛擬 CPU (vCPU)
- 2 GB 記憶體 (RAM)
- 1 GB 可用磁碟空間
防火牆和代理伺服器也必須允許與所需的埠號、主機名稱和 IP 位址的網路連線
授與權限
在安裝過程中,您需要使用唯一的驗證憑證檔案來配置資料中心閘道,該檔案與您的Trend Vision One使用者帳號無關。您必須擁有創建新資料中心閘道和訪問憑證檔案的必要權限。如果您無法創建新閘道或訪問憑證檔案,請聯繫您的管理員。
如果您具有超級管理員權限,您可以在 Trend Vision One 控制台中 創建或編輯自定義用戶角色,以授予用戶創建新的數據中心網關並訪問驗證憑證文件的權限。
-
前往。
-
新增或編輯自訂使用者角色:
-
要新增自訂使用者角色,請點選+ Add Role。
-
要編輯自訂使用者角色,請選擇自訂使用者角色並點選編輯圖示。
-
-
在General information標籤上,指定角色名稱和描述。
-
在Permissions標籤上,選擇要授予角色的權限。除了您希望授予使用者角色的任何其他權限外,您必須包含以下設定,以允許指定的使用者管理資料中心閘道並存取驗證憑證檔案。
-
前往
-
View:已啟動
-
Create:已啟動
-
編輯:已啟動
-
刪除:已啟動
-
-
下載資料中心閘道軟體
下載適用於 Red Hat Enterprise Linux 的 RPM 檔案,以及適用於 Ubuntu 的 DEB 檔案。
|
日期
|
版本
|
RPM 下載
|
DEB 下載
|
發行說明
|
|
二月 07, 2022
|
1.0.20
|
已更新第三方庫。
|
||
|
2021年十二月15日
|
1.0.18
|
已更新第三方庫。
|
||
|
2021年八月30日
|
1.0.17
|
增強隧道日誌記錄和 dcgw-control 助手支援 Proxy 配置
|
||
|
七月 26, 2021
|
1.0.15
|
資料中心閘道支援 Proxy 連接到趨勢科技所需的網路面向服務和內部 vCenter/Active Directory 伺服器目的地
|
||
|
2021年五月28日
|
1.0.14
|
修正了服務在啟動時無法自動啟動的問題。
|
||
|
2021年三月28日
|
1.0.12
|
已更新的 Python 庫依賴項。
|
||
|
2021年一月25日
|
1.0.7
|
改進了有關 destination_allow_list.yaml 加載失敗時應採取措施的說明。
修正了 RedHat 中的服務啟動問題。
|
||
|
十二月 08, 2020
|
1.0.2
|
下載憑證檔案
每個憑證檔案包含其資料中心閘道將用於驗證和與伺服器與工作負載保護通信的密鑰和識別碼。
- 在 伺服器與工作負載保護,前往 。
- 點選 New。
- 輸入Display Name。點選下一步。
- 點選Download Credential File。不要更改檔案名稱。這是安裝程式所需的。
- 重複前面的步驟,為您將安裝的每個資料中心閘道下載一個憑證檔案。
 |
秘訣僅使用具有其自身資料中心閘道的憑證檔案。即使是部署為高可用性 (HA) 配對的資料中心閘道也有唯一的憑證檔案。將相同的檔案複製到多個安裝中可能會導致意外行為。
|
 |
警告將憑證檔案保存在安全的地方,並使用權限來限制存取。金鑰是機密資訊,類似於密碼。未經授權的存取可能會導致安全漏洞。
|
配置 vCenter/Active Directory 伺服器和代理(如果有的話)
在安裝過程中,您需要提供一份 VMware vCenter 和/或 Microsoft Active Directory 伺服器的清單,這些伺服器是資料中心閘道所連接的。請使用純文字編輯器來撰寫這份清單。清單必須是
YAML 格式,並命名為
destination_allow_list.yaml。 |
秘訣使用 linter 驗證清單是否為有效的 YAML 格式。無效的檔案無法被安裝程式使用。
|
驗證資料中心閘道是否能夠到達清單中的所有網路位址。如果資料中心閘道必須通過Proxy連接到網路,或連接到內部網路的vCenter和/或Active Directory伺服器,則還需配置資料中心閘道以使用這些Proxy。
例如,
destination_allow_list.yaml 可能包含:gateway_proxy:
- HostName: "internet.proxy.example.com"
Port: 3128
Username: "intenet_proxy_user"
Password: "internet_proxy_password"
destinations:
- HostName: "vcenter1.datacenter.internal"
Port: 443
- HostName: "192.168.123.45"
Port: 443
- HostName: "adserver1.datacenter.internal"
Port: 389
- HostName: "192.168.123.46"
Port: 389
Proxy:
HostName: "proxy.vCenter.internal"
Port: 3128
Username: "vcenter_proxy_user"
Password: "vcenter_proxy_password"
位置:
gateway_proxy區段定義資料中心閘道將用來連接 伺服器與工作負載保護 的 Proxy。destinations部分定義了 vCenter 和/或 Active Directory 伺服器以及用於連接它們的代理(如果有的話)。HostName是用於在 伺服器與工作負載保護 控制台或 API 中添加 vCenter/Active Directory 伺服器的識別碼。使用者名稱和密碼是資料中心閘道用來連接到 Proxy 的登入資訊。如果不需要驗證,請省略它們。
|
警告將
destination_allow_list.yaml 保存在安全的地方,並使用權限來限制訪問。它包含密碼。未經授權的訪問可能會導致安全漏洞。 |
|
警告每個
HostName 必須是唯一的。如果網域名稱或 IP 位址指向與另一個 HostName 相同的 vCenter/Active Directory 伺服器,可能會導致受管理代理程式出現意外行為。 |
 |
注意為避免多個
HostName 條目解析到相同的 IP 位址而造成重複,只有第一個網域名稱會生效。網域名稱優先於 IP 位址。例如,根據以下配置,資料中心閘道將與主機名稱為 vc1.dc.internal 的 vCenter 伺服器通信: |
# Both "vc1.dc.internal" and "vc1.dc.example.com" resolve to 192.168.100.1
destinations:
- HostName: "192.168.100.1" # Does not take effect because hostnames take precedence over IP addresses
Port: 443
- HostName: "vc1.dc.internal" # Takes effect
Port: 443
- HostName: "vc1.dc.example.com" # Does not take effect because it resolves to the same IP address as previous hostname
Port: 443
安裝資料中心閘道
在您想要安裝資料中心閘道的伺服器上,請上傳安裝程式、驗證憑證和配置檔案,然後輸入安裝程式命令:
- Red Hat Enterprise Linux:
sudo DCGW_CRED_PATH="</absolute/path/to/credentials.json>" DCGW_ALLOW_LIST_PATH="</absolute/path/to/destination_allow_list.yaml>" rpm -ivh /path/to/rpm/file - Ubuntu:
sudo DCGW_CRED_PATH="</absolute/path/to/credentials.json>" DCGW_ALLOW_LIST_PATH="</absolute/path/to/destination_allow_list.yaml>" apt install /path/to/deb/file
如果出現以下任何錯誤訊息,請更正問題並重試。
|
錯誤訊息
|
可能原因
|
解決方案
|
|
檔案路徑
credentials.json是必需的,請設置變數 DCGW_CRED_PATH繼續 |
參數
DCGW_CRED_PATH在安裝過程中未分配。 |
設定變數
DCGW_CRED_PATH完整路徑 credentials.json檔案. |
|
檔案名稱應包含憑證或 destination_allow_list 檔案副檔名
|
DCGW_CRED_PATH或 DCGW_ALLOW_LIST_PATH不包含所需的檔案名稱。 |
驗證該值
DCGW_CRED_PATH以檔案名稱結尾 credentials.json, 以及 DCGW_ALLOW_LIST_PATH以檔案名稱結尾 destination_allow_list.yaml.請勿修改這些檔案名稱。 |
|
沒有此檔案,請使用
readlink -f獲取絕對路徑以 credentials.json或 destination_allow_list.yaml |
給定的路徑
DCGW_CRED_PATH或 DCGW_ALLOW_LIST_PATH未包含適當的檔案。 |
使用該命令
readlink -f驗證正確、完整的路徑 credentials.json或 destination_allow_list.yaml. |
安裝成功後,請刪除
credentials.json 和 destination_allow_list.yaml,或將它們備份到安全的 位置資訊。(安裝程式會將它們複製到 /var/opt/c1ws-dcgateway/conf/credentials.json 和 /var/opt/c1ws-dcgateway/conf/destination_allow_list.yaml,並設置正確的權限。您不需要保留原始檔案。)疑難排解
驗證資料中心閘道的狀態
要確定資料中心閘道是否處於活動狀態(其進程正在運行),請使用 SSH 或遠端桌面連接到其伺服器,然後輸入命令:
journalctl -u c1ws-dcgw.service -f或指令:
systemctl status c1ws-dcgw應顯示狀態,以及已新增的 vCenter 和/或 Active Directory 伺服器:
|
注意狀態僅顯示已添加到目的地列表中的伺服器。它不會測試與 vCenter 或 Active Directory 的網路連接,這必須單獨完成。
|
還請輸入此命令以確認錯誤日誌為空:
less +G c1ws-dcgw-error.log驗證資料中心閘道的網路連線
要驗證 vCenter 或 Active Directory 伺服器的埠是否開啟以及是否可以從資料中心閘道訪問,請登入資料中心閘道伺服器並輸入以下命令:
nc -v SERVER_HOST_IP SERVER_HOST_PORT位置:
SERVER_HOST_IP是 vCenter 或 Active Directory 伺服器的主機名稱或 IP 位址。SERVER_HOST_PORT是監聽的通訊埠號碼。預設情況下,vCenter 為 443,Active Directory 為 389(StarTLS)/636(LDAPS)。
連線測試應該會成功。
如果不成功,請確認通訊埠號碼是否開啟。還要確認 DNS 設定以及它們之間的任何路由器、防火牆和 Proxy。(如果有 Proxy,連線必須成功連接到 Proxy,而不是直接連接到
vCenter 或 Active Directory 伺服器。)
如果連線測試顯示伺服器可達,但伺服器與工作負載保護仍未接收資料,請檢查資料中心閘道錯誤日誌和顯示連線嘗試的日誌:
less +G c1ws-dcgw.log應顯示對 vCenter 或 Active Directory 伺服器(
destination)和 Trend Vision One 的防火牆例外要求 的連接嘗試。請驗證已配置的主機名稱和埠號。
升級資料中心閘道
在您想要升級資料中心閘道的伺服器上,請上傳 RPM 或 DEB 檔案,然後輸入升級指令:
- Red Hat Enterprise Linux:
sudo rpm -U <new data center gateway installer rpm> - Ubuntu Linux:
sudo apt --only-upgrade install ./<new data center gateway installer deb>
要驗證升級是否完成:
- 檢查資料中心閘道狀態和資料中心閘道網路連線。
- 驗證已安裝軟體的版本號碼:
- Red Hat Enterprise Linux:
rpm -q --info <資料中心閘道套件名稱> - Ubuntu Linux:
apt show <資料中心閘道套件名稱>
- Red Hat Enterprise Linux: