icon-cloud-connector.svg
Cloud Connector/Branch Connector

VMwareプラットフォームへのBranch ConnectorおよびApp Connectorの展開

この展開ガイドでは、前提条件、Zscaler Branch ConnectorとApp Connectorを仮想マシン(VM)としてVMwareプラットフォームに展開する方法、および展開後の構成について説明します。

この手順では、VMwareプラットフォームにZscaler Branch ConnectorとApp Connectorを展開する手順について説明します。Terraformスクリプトを使用したBranch ConnectorとApp Connectorの展開の詳細は、「Zscaler Branch ConnectorとApp Connectorの展開テンプレート」を参照してください。

前提条件

次の前提条件が満たされていることを確認してください。

  • 管理者にBranch Connectorプロビジョニングの権限へのフル アクセスを付与します。

    管理者に割り当てるロールによって、Zscaler Cloud ConnectorとBranch Connector管理ポータルに対する管理者のアクセス レベルが決まります。Zscalerは、ポータルへのフル アクセスと組織全体の範囲を提供するデフォルトの管理者アカウントを提供します。詳細は、「ロール管理について」「管理者ロールの追加」を参照してください。

  • Cloud ConnectorとBranch Connector管理ポータルで、Branch ConnectorとApp Connector展開専用のユーザー名とパスワードを作成します。また、パスワードは8文字以上で、少なくとも1つの大文字、1つの数字、および1つの特殊文字を含める必要があります。パスワードには、$&><;'または"を含めることはできません。パスワードがこれらの要件を満たさない場合、展開は失敗します。
  • ブランチ プロビジョニング テンプレートを構成し、ブランチ プロビジョニングURLをコピーします。
  • VMware ESXiの結合済みのWindows Branch ConnectorとApp Connector OVAイメージ ファイルをBranch Connectorイメージページからダウンロードします。
  • Branch ConnectorとApp ConnectorはAPIキーを使用してVMを認証し、Zscalerに登録します。APIキーをまだお持ちでない場合は、新規キーを生成します。次に、APIキー管理のページからAPIキーをコピーします。
  • VMには、VMware vSphere Hypervisor (ESXi)バージョン7.0以降、またはBroadcomが規定する最小バージョンが必要です。
  • ZPA Admin PortalでApp Connectorプロビジョニング キーを設定します。

    • 小規模VM: 16GBのメモリー、4つのCPUコア、128GBのデータ ディスク サイズ、3つのネットワーク インターフェイス カード(NIC)が必要です
    • 中規模VM:32GBのメモリ、6つのCPUコア、128GBのデータ ディスク サイズ、5つのNICが必要です
    閉じる

    • [無差別モード]オプションは、vSphereスイッチ(vSwitch)またはポート グループ レベルで有効にする(つまり、[承諾]に設定する)必要があります。Branch Connectorは、Common Address Redundancy Protocol (CARP)を使用して、複数のBranch Connectorインスタンス間のトラフィックを処理します。これをサポートするには、Branch Connectorサービス インターフェイスで無差別モードを有効にする必要があります。
    • vSwitchまたはポート グループで、[MACアドレスの変更]オプションが有効になっている必要があります。
    • [偽造送信]オプションは、vSwitchまたはポート グループで有効にする必要があります。
    • Branch Connectorは、多くの場合、vSwitchを他の企業VMと共有し、vSwitchレベルで適用した設定は、vSwitch上のすべてのVMに適用されます。無差別モードを有効にすると、他のVMがサービス インターフェイスを通過するトラフィックを検出できる可能性があります。このリスクを回避するために、Zscalerでは、Branch Connectorサービス インターフェイスのポート グループを作成して使用することをお勧めします。
    • 同じvSwitch上に複数の物理ポートが存在する場合は、ESXiホストでNet.ReversePathFwdCheckPromisc詳細オプションを有効にする(つまり、1に設定する)必要があります。有効でない場合、マルチキャスト トラフィックはホストにループバックし、CARPが正しく機能せず、「リンク状態が合体した」メッセージが送信されます。詳細は、VMwareのドキュメントを参照してください。
    閉じる

ユーザー データの作成と適用

Branch ConnectorとApp Connector VMのユーザー データ情報を作成する必要があります。VMware vCenterの場合、ユーザー データ情報はOVAファイルのインポート プロセス中に提供されます。VMware vSphereハイパーバイザー(ESXi)の場合は、ユーザー データ情報をVMに適用する必要があります。この情報は、仮想CD-ROMドライブを介してマウントするISOファイルを使用するか、手動で/etc/クラウド/クラウド.cfg.d/ディレクトリーにマウントしてVMに適用できます。どちらの方法でも、ユーザー データを含むテキスト ファイルを作成する必要があります。

  1. 次のテンプレートを使用して、YAML形式でuserdata.cfgと名付けられたテキスト ファイルでユーザー データを作成します。

    • ZSCALER:
  cc_url: <CC_URL>
  http_probe_port: 50035 #Optional to change the port for load balancer status checks from the default value 50001 to 50035.
  api_key: <API Key>
  password: <Admin Password>
  username: <Admin Username>
network: 
  config:
  - name: vmx0 #For the VMXNet3 driver (required)
    type: physical
    subnets:
    - address: <IP Address/Netmask> #IP configuration for the management interface
      gateway: <Gateway>
      type: static
   - name: vmx1 #For the VMXNet3 driver (required)  
     type: physical    
     fib: '1'    
    subnets:    
    - address: <IP Address/Netmask> #IP configuration for the App Connector interface    
      gateway: <Gateway>      
      type: static
  - type: nameserver
    address: 
    - <IP Address>
    - <IP Address>
    search:
    - zscaler.net
  version: '1'
zscaler_app_connector:  
  enable: 'yes'  
  provisioning_key: <Key> 
#ssh keys are optional
ssh_authorized_keys:   
- ssh-rsa <Key> 


      ZSCALER:
  cc_url: connector.zscaler.net/api/v1/provUrl?name=DemoBC
  api_key: adfads2sd
  password: demopass
  username: bac-demoadmin@12345689.zscaler.net
network: 
  config:
  - name: vmx0
    type: physical
    subnets:
    - address: 10.66.118.71/24
      gateway: 10.66.118.254
      type: static
  - name: vmx1    
    type: physical
    fib: '1'    
    subnets:    
    - address: 10.66.118.72/24      
      gateway: 10.66.118.254
      type: static
    - type: nameserver
      address:
      - 10.66.98.1
      - 8.8.8.8
    search:
    - zscaler.net
  version: '1'
zscaler_app_connector:
  enable: 'yes'
  provisioning_key: asldkfjalsdkjflaksasldkfjalsdkjflaksasldkfjalsdkjflaksasldkfjalsdkjflaksasldkfjalsdkjflaks
      閉じる

      ZSCALER:
  cc_url: connector.zscaler.net/api/v1/provUrl?name=DemoBC
  http_probe_port: 50035
  api_key: adfads2sd
  password: demopass
  username: bac-demoadmin@12345689.zscaler.net
network: 
  config:
  - name: vmx0
    type: physical
    subnets:
    - address: 10.66.118.71/24
      gateway: 10.66.118.254
      type: static
  - name: vmx1    
    type: physical
    fib: '1'    
    subnets:    
    - address: 10.66.118.72/24      
      gateway: 10.66.118.254
      type: static    
   - type: nameserver      
     address:      
     - 10.66.98.1    
     - 8.8.8.8    
   search:    
   - zscaler.net  
  version: '1'
zscaler_app_connector:
  enable: 'yes'
  provisioning_key: asldkfjalsdkjflaksasldkfjalsdkjflaksasldkfjalsdkjflaksasldkfjalsdkjflaksasldkfjalsdkjflaks 
ssh_authorized_keys:  
  - ssh-rsa ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQCh3ru9CCnEow69WlQyJuxvZJGHcjhcgJzp8XnoKTJk6o1bit+rq4BNyjS0orauMF6fNMHAyGZqDWw6RICvoeh386xNqnD7+AGE9VGz4cPv0CjoV2HvkKnA2Dj8KZFFJ/bBV0BndNdGATsbDnhq0wkJ+WXFmamb9kx4dSDL5ZD15SybFop0b/3JoqXoU+9pxFc0bQ/cediaifCztliI9i7NAmvIUinLy2OlDW/uPEcB8nBgXhAAc9ALe6+Q4wZt8JUdrcF04bgoAHYsNuzyEk4dNvov97JyExCAwzSLomiHFtdzhGw7/o6KhfhxxBRodKy4wQBwDzPbD6EbN9iCqoK8DY4HZ2L7HyQKRjhnnY/Y0uldO0tleogElbk+4LsoyAPjPAbogu89xSOa6D7sl2G+dPpqTlFBmO/3m/2JhBnGU= admin@branchpc
      閉じる

      閉じる

  2. 次のいずれかの方法で、ユーザー データをVMに適用します。

      1. ユーザー データをISOイメージとしてVMに適用します。

        • Centosでは、genisoimageをインストールします。

          sudo yum install genisoimage

        • Ubuntuでは、genisoimageをインストールします。

          sudo apt install genisoimage

      2. 必要なユーザー データを設定します。

        ユーザー データ ファイルの名前はuser-dataにする必要があります。

        zuser@hostname:~$ mkdir isodir
zuser@hostname:~$ cat > isodir/user-data <<EOF #cloud-config
<テキスト ファイルからのテキスト>
EOF
user@hostname:~genisoimage -o user-data.iso -r isodir/user-data

        ISOをBranch ConnectorおよびApp Connector VMに接続するには、VMware vSphereハイパーバイザー(ESXi)での展開の手順を参照してください。

      閉じる

    • ユーザ ーデータは、VMware vSphere Hypervisor (ESXi)への展開の手順の最後に適用します。

      閉じる

Branch ConnectorおよびApp Connectorの展開

次のいずれかの手順を実行して、Branch ConnectorとApp Connectorを展開します。

  • すべての前提条件を満たしたら、次の手順を実行して、vCenterを使用してBranch ConnectorとApp Connectorを展開します。

    1. vCenter Serverに、vSphere Clientでログインします
    2. Branch ConnectorとApp Connectorを展開するVMwareホストを見つけ、右クリックして[OVFテンプレートを展開]を選択します。

    1. [OVFテンプレートを選択]ページで、[ローカル ファイル]を選択します。次に、[以前にBranch Connectorイメージ]ページからダウンロードしたBranch ConnectorとApp Connector OVAイメージ ファイルをアップロードします。次に、[次へ]をクリックします。

    1. [名前とフォルダーを選択]ページで、一意の名前を入力し、VMのターゲット ロケーションを選択します。次に、[次へ]をクリックします。

    1. コンピュート リソースの選択のページで、宛先コンピュート リソースを選択します。次に、[次へ]をクリックします。

    1. 詳細の確認のページで、テンプレートの詳細を確認します。次に、[次へ]をクリックします。

    1. [構成]ページで、結合されたBranch ConnectorとApp Connectorイメージの展開構成を選択します。次に、[次へ]をクリックします。

    1. ストレージの選択のページで、構成ファイルとディスク ファイルのストレージを選択します。次に、[次へ]をクリックします。

    1. ネットワークの選択のページで、各送信元ネットワークの宛先ネットワークを選択します。次に、[次へ]をクリックします。

    1. [テンプレートのカスタマイズ]のページで、次の展開プロパティを構成します。
      • Branch Connector
        • [プロビジョニング テンプレートのURL]: Branch ConnectorプロビジョニングのURLを入力します。
        • [APIキー]:APIキー管理のページからAPIキーを入力します。
        • username: Zscaler Cloud ConnectorとBranch Connector管理ポータルのBranch Connector展開ロール用に作成したユーザー名を入力します。
        • [パスワード]: Zscaler Cloud ConnectorとBranch Connector管理ポータルにBranch Connector展開ロールのパスワードを入力します。
        • [管理インターフェイスのIPアドレス]:管理インターフェイスのIPアドレスを入力します。
        • 管理インターフェイスのサブネットマスク:管理インターフェイスのサブネットマスクを入力します。
        • [管理インターフェイスのデフォルト ゲートウェイ]:管理インターフェイスのデフォルト ゲートウェイを入力します。
        • [ドメイン]:ドメイン サフィックスを入力します。
        • [DNS情報]: Branch ConnectorがDNS解決に使用するプライマリーDNSサーバーとセカンダリーDNSサーバーを入力します。
        • [sshログイン公開鍵]:パスワードなしでログインするためのSSH公開鍵を入力します。
      • App Connector
        • [プロビジョニング キー]: App Connectorプロビジョニング キーを入力します。
        • [コントロール インターフェイスIPアドレス]:コントロール インターフェイスのIPアドレスを入力します。
        • [コントロール インターフェイス サブネット マスク]:コントロール インターフェイスのサブセット マスクを入力します。
        • [コントロール インターフェイスのデフォルト ゲートウェイ]:コントロール ネットワークのデフォルト ゲートウェイを入力します。
    2. [完了の準備ができています]のページで、すべての構成を確認します。次に、[]終了]をクリックして展開します。

    時刻同期の問題を回避するために、Zscaler Branch ConnectorとApp Connectorの展開後に[ゲストの時刻をホストと同期]オプションを有効にすることをお勧めします。詳細は、VMware製品のドキュメントを参照してください。

    閉じる

  • すべての前提条件を満たし、ユーザー データを作成し、ユーザー データをVMに適用したら(ISOメソッドを使用した場合)、次のステップを実行してBranch ConnectorとApp ConnectorをvSphereハイパーバイザー(ESXi)に展開します。

    1. vSphere Hypervisor(ESXi)Serverに、vSphere Clientでログインします
    2. Branch ConnectorとApp Connectorを展開するVMwareホストを見つけて、[VMを作成/登録]をクリックします。

    新しい仮想マシンのウィンドウが表示されます。

    1. [作成タイプを選択]のページで、[OVFまたはOVAファイルから仮想マシンを展開する]を選択します。次に、[次へ]をクリックします。

    1. [OVFファイルとVMDKファイルを選択]ページで、VMの一意の名前を入力し、[Branch Connectorイメージ]ページから以前にダウンロードしたBranch ConnectorとApp Connector OVAイメージ ファイルをアップロードします。次に、[次へ]をクリックします。

    1. ストレージの選択のページで、ストレージのタイプとして標準を選択し、VMの構成ファイルのデータストアを選択します。次に、[次へ]をクリックします。

    1. [展開オプション]ページで、[ネットワーク マッピング]、[展開タイプ]と[ディスク プロビジョニング]を選択します。[自動的に電源をオンにする]オプションが無効になっていることを確認します。次に、[次へ]をクリックします。

    1. [追加設定]ページでは、このページに入力された値は設定されないため、VMの追加プロパティーをスキップします。[次へ]をクリックします。

    1. 完了の準備ができていますのページで、すべての構成を確認します。次に、[終了]をクリックします。

    1. VMが完全に展開されたら、VMを見つけて[編集]をクリックします。

    [設定の編集]ウィンドウが表示されます。

    1. ISOメソッドを使用してVMにユーザー データを適用した場合:

      1. [設定を編集]ウィンドウで、[仮想ハードウェア]をクリックします。[CD/DVDドライブ1]ドロップダウン メニューから[データストアISOファイル]を選択します。

      2. [データストア ブラウザー]ウィンドウが開いたら、[アップロード]をクリックして、ISOメソッド手順で作成したuser-data.isoファイルをアップロードします。次に、[選択]をクリックします。

      3. [接続]と[電源投入時に接続]が有効になっていることを確認します。次に、[保存]をクリックします。

      4. [仮想マシン]で、展開されたBranch Connectorを見つけて、[パワーオン]をクリックします。

    2. 手動メソッドを使用してVMにユーザー データを適用しようとする場合:

      1. VMコンソールで、新規userdata.cfgファイルを作成します。

        zsroot@zscaler_node : ~ > sudo ee /etc/cloud/cloud.cfg.d/userdata.cfg

      2. ユーザー データ ファイルのコンテンツを貼り付けます。
      3. [Esc]を押してエディターを終了します。
      4. [a]を押してエディターを終了します。
      5. [a]を押してファイルを保存します。

      6. VMを再起動します。

        zsroot@zscaler_node : ~ > sudo reboot

    時刻同期の問題を回避するために、Zscaler Branch ConnectorとApp Connectorの展開後に[ゲストの時刻をホストと同期]オプションを有効にすることをお勧めします。詳細は、VMware製品のドキュメントを参照してください。

    閉じる

Branch ConnectorおよびApp Connectorの管理

VMが完全に展開されたら、Zscaler Cloud ConnectorとBranch Connector管理ポータルからBranch Connector VMとApp Connector VMを管理できます。展開済みVMがダッシュボードに表示されます。[Cloud ConnectorとBranch Connectorのモニタリング]ページには、ブランチ アカウントに展開されたVMの名前、グループ、ロケーション、ジオロケーションおよびステータスに関する情報が表示されます。

展開を確認した後、次のポリシーを構成できます。

関連記事s
Branch ConnectorのイメージのダウンロードBranch ConnectorとApp Connector用展開テンプレートVMwareプラットフォームへのBranch Connectorの展開VMwareプラットフォームへのBranch ConnectorとApp Connectorの展開Linux KVMを使用したBranch Connectorの展開Linux KVMでBranch ConnectorおよびApp Connectorを展開するHyper-VでのBranch Connectorの展開Branch ConnectorとApp ConnectorのHyper-Vでの展開Zscaler Branch ConnectorのDNS解決の処理