Nutanix AHV用のApp Connector展開ガイド

セキュアなプライベートアクセス(ZPA)

Nutanix AHV用のApp Connector展開ガイド

この展開ガイドは、前提条件、Nutanix AHVでのApp Connectorの展開方法、展開後の検証チェックに関する情報を提供します。ZPA用App Connectorの展開に関する一般的な情報では、App Connectorの展開についてを参照してください。

ステップ1: App Connector展開の前提条件をすべて満たしていることを確認する
Zscalerでは、サポートされるプラットフォーム上にZPA App Connectorを展開する前に、以下の情報を読み、該当する場合は組織の環境に必要な変更を加えることを強く推奨します。
- App Connectorの仕様とサイジング要件
  各ZPA App Connectorについて、Zscalerが推奨する仕様は次のとおりです。
  メモリ：4GB RAM
  Zscaler Digital Experience (ZDX)展開の場合、Zscalerでは、8GBのRAMをApp Connectorにすることをお勧めします。
  CPU：
  物理マシン用CPUコア(Xeon E5クラス)2個(ハイパースレッディングなし)
  仮想マシン(VM)用CPUコア(Xeon E5クラス)4個(ハイパースレッディング対応)
  Amazon Web Services(AWS)、Google Cloud Platform(GCP)ともに、ハイパースレッディングのため、最低4CPUコアが必要
  AWSにApp Connectorを展開するには、Zscalerでは、t3.xlarge(非実稼働または低トラフィックのApp Connectorの場合)またはm5a.xlarge(実稼働または高トラフィックのApp Connectorの場合)を使用することを推奨します。
  GCPにApp Connectorを展開するには、Zscalerでは、n2-standard-4またはn2-highcpu-4でLinux RPMを使用することを推奨します
  V3より古いAzure VMでは2CPUコアが、V3以降のVMではハイパースレッディングのため4CPUコアが必要です。
  AzureにApp Connectorを展開するには、Zscalerでは、Standard_F4s_v2またはStandard_D4s_v3以降を使用することを推奨します
  Zscalerが提供するデフォルトのAppProtectionプロファイルを使用してAppProtectionを有効にするには、App Connectorに少なくとも8つのCPUコアと8GBのメモリーを搭載することをお勧めします。App Connectorがピークメモリー使用率とピークCPU使用率で40%未満であることを確認します。CPUまたはメモリーの使用率が推奨される最大値を超えている場合は、AppProtection を有効にしていない状態でCPUとメモリーの最大ピークである40%に達するには、App Connectorを追加する必要があります。このルールは、より小規模なVM (4台のCPU、4GB)を使用している場合にも適用されます。App Connectorスループットは、AppProtectionを使用する場合のApp Connectorサイジングに応じて100から200Mbpsになる場合があります。App Connectorダッシュボードに移動して、App Connectorを監視します。
  AppProtectionの推奨事項は、Webトラフィック、85%のGETリクエスト、15%のPOSTとペイロードおよびレスポンスのサイズ32KBの組み合わせに基づいています。ペイロードやレスポンスのサイズが小さいほど、必要なApp Connectorリソースが少なくて済み、スループットが向上する可能性があります。
  ZDX展開の場合、Zscalerでは、App Connectorに4つのCPUコアを使用することをお勧めします。
  Zscalerでは、PassMark Software Pty Ltdベンチマークを使用してCPU Markスコアを検証し、CPUプロセッサーを選択する際に最低2640のCPUベンチマークスコアを使用することをお勧めします。Intel Advanced Encryption Standard New Instructions (AES-NI)命令セットもCPUプロセッサーで有効にする必要があります。
  詳細は、ご使用のプラットフォーム用のApp Connector展開ガイドを参照してください。
  ディスク容量:すべての展開プラットフォーム用に64GB(シンプロビジョニング)
  ネットワークカード：NIC 1枚(最小)
  VMwareプラットフォームの展開では、ホストがVMリソースを動的に割り当てることができるデフォルトの構成は推奨されません。次のメモリとCPUの割り当てを予約するようにVM設定を構成します。
  メモリ：8GBのメモリ
  CPU：合計CPU GHz(コア数(2または4コア)にコアあたりのGHzを掛けたもの)
  詳細は、「VMwareのドキュメント」を参照してください。
  これらの仕様を使用すると、各App Connectorは最大500 Mbpsのスループットをサポートします。詳細は、この記事のApp Connectorのスループットについてを参照してください。Zscalerの推奨事項に基づいて、展開のためのApp Connectorのサイズ要件を決定します。Zscalerでは、App Connectorのディスク容量が満杯になった場合、ファイルをアーカイブし、より多くのログスペースを作成することを推奨します。詳細は、App Connectorのパフォーマンスの監視を参照してください。
  App Connectorが登録されると、ポート443経由のアウトバウンドTLSトンネルがZPAクラウドインフラストラクチャーに確立されます。この通信チャネルは、さまざまな機能を提供し、次のトラフィックを含む最小限の帯域幅を使用します。
  ZPA パブリックサービスエッジまたはZPA Private Service Edgeへの定期的なキープアライブ
  アプリケーション学習
  アプリケーション正常性レポート
  App Connectorソフトウェアのアップグレード(アップグレードは週単位のスケジュールに基づいて完了します)
  ネットワークとインターネット接続を確保しながら、同じプロビジョニングキーを使用して既存のApp Connectorグループに追加することで、いつでも追加のApp Connectorを展開できます。App Connectorは、弾性的にスケーリングするように設計されています。同じApp Connectorグループに追加のApp Connectorを展開して、展開に必要なスループットの合計を向上させることができます。Zscalerでは、利用可能なパスを常に確保するために、最低2つの正常なApp Connectorを設定しておくことを推奨します。詳細は、「App Connectorの展開について」「App Connectorでサポートされているプラットフォーム」を参照してください。
  展開後、App Connectorがサイジング要件を満たしていることを確認します。詳細は、「App Connectorのサイジング要件を確認する」を参照してください。
  App Connectorのスループットについて
  スループットの数値は集計値です(つまり、インバウンドとアウトバウンドの合計)。App Connectorのスループットのサイジングに関して、次のベストプラクティスが適用されます。
  既存のVPNソリューションの平均スループットとピークスループットを確認します。ユーザー/クライアントVPNトラフィックのみを考慮し、サイト間のトンネルトラフィックを考慮しないようにしてください。
  App Connectorは、提供された(デフォルト)ゲートウェイ(ほとんどの場合、ISPのWANブロードバンド接続)を介して通信します。
  二重暗号化を使用すると、スループットに影響します。ただし、効果は、二重暗号化が有効になっているアプリケーションの数によって異なります。
  したがって、データセンターに1Gbpsの接続(アグリゲート)がある場合、次の表のスループットガイドラインを使用して、フェイルオーバー(N+1)のための接続と容量をサポートする、十分な数のApp Connectorを確保することができます。たとえば、1Gbps接続では、アプリケーションが二重暗号化を使用していない場合は2〜3個のApp Connectorを展開する必要がありますが、二重暗号化を使用している場合は4〜6個のApp Connectorを展開する必要があります。詳細は、「二重暗号化について」を参照してください。
  次のスループットのガイドラインは、推奨のApp Connectorの仕様に基づいて適用されます。
  二重暗号化されたアプリケーションの割合 App Connectorあたりのスループット
  0% 500 Mbps
  25% 437.5 Mbps
  50% 375 Mbps
  75% 312.5 Mbps
  100% 250 Mbps
  より多くのメモリーとCPUを搭載し、ネットワークリンク速度を向上させたハードウェアでApp Connectorを実行することで、App ConnectorのスループットをApp Connectorあたり最大1Gbpsまで向上させることができます。データセンターに10Gbps(集計値)の接続があり、App ConnectorのスループットをApp Connectorあたり最大1Gbpsに上げる場合は、基盤となる仮想マシンの仕様を次のように増やすことができます。
  仮想マシン用に8個のvCPUコア、または物理マシン用に4個のCPUコア
  8GBのメモリ
  正確なスループットは、内部ネットワークの設定、待機時間、二重暗号化、アプリ保護、ZDXが有効になっているかどうかなど、他のネットワーク要因によって異なります。接続をサポートするのに十分なApp Connectorと、フェールオーバーの余地があることを確認します(N+1)。
  Zscalerでは、展開を水平方向に拡張するために、仕様の高いApp Connectorを少なくするよりも、仕様を低くするApp Connectorを増やすことを推奨しています。たとえば、仕様の高いApp Connectorが少なく、1つに障害が発生した場合、障害が発生する小さなApp Connectorよりも多くのユーザーアプリケーショントラフィック/セッションに悪影響を与える可能性があります。
  閉じる
- App Connectorプラットフォームの前提条件
  ご使用のプラットフォームの「App Connectorの展開ガイド」で手順を開始する前に、次のものがあることを確認してください。
  Intel x86_64/AMD64ベースのアーキテクチャー
  systemd
  新しいパッケージリポジトリーを構成し、パッケージをインストールするためのシステムへのrootまたはsudoアクセス
  DNS解決とネットワークアクセス
  ZPA Admin Portalから取得したApp Connectorプロビジョニングキー
  固定MACアドレス
  閉じる
- App Connectorセキュリティガイダンスとファイアウォールの要件
  App Connectorはさまざまな方法(プライベートクラウドVM、パブリッククラウドVM、OSパッケージ)で展開できるため、展開のタイプごとにセキュリティ機能が若干異なります。
  Zscalerでは、App Connectorへのアクセスを特権として扱い、許可された担当者のみがApp Connectorのコンソールにアクセスできるようにすることを推奨しています。アクセスを制限することで、App Connector内のプロセス間通信を攻撃から保護できるという利点もあります。
  オペレーティングシステムのセキュリティ
  プライベートクラウドで使用するためにZscalerによって配信されるApp Connector VMは、リモートからアクセス可能なサービスが実行されないように構成されています。App Connector VMではスワップパーティションが無効になり、メモリーの増加がApp Connectorのパフォーマンスに影響を与えないようにします。セキュリティを強化するには、passwdコマンドを使用してデフォルトの管理者アカウントの資格情報を変更する必要があります。詳細は、ご使用のプラットフォームのApp Connectorの展開ガイドを参照してください。
  ZPAはデフォルトで、AWS、GCP、Microsoft Azure、Nutanix、およびVMware向けのセキュリティ技術実装ガイド(STIG)のVMイメージを提供します。詳細は、プラットフォーム別App Connectorソフトウェアを参照してください。Zscalerによって提供される、残りのプライベートクラウドおよびパブリッククラウドのVMイメージは、リモートから悪用される可能性のある攻撃対象領域を減らすために、最小限のリスニングサービスで設定されています。これらは基本的に変更されていないオペレーティングシステム(現在はRHEL 9.xベース)であるため、標準のyum OS更新メカニズムを使用して、必要に応じてこれらのシステムにパッチを適用できます。Zscalerでは、初期展開後に、組織のセキュリティ標準に従って、VMイメージ上のオペレーティングシステム(sshd-configファイルを含む)を強化することを推奨します。詳細は、App Connectorシステムソフトウェアの更新を参照してください。
  CentOS 7.xのサポートの詳細は、CentOS 7.x、RHEL 7.xおよびOracle Linux 7.xのサポート終了を参照してください。
  DNSリゾルバーやLinuxカーネルなどのコアオープンソースコンポーネントでは、定期的に脆弱性が発見されるため、Zscalerは、定期的にパッチを適用するか、Zscalerで配信された新しいVMイメージを使用するか、ファイアウォールポリシーを使用してApp Connectorを保護することを推奨します。さらに、App Connectorをパッケージとしてインストールした場合、Zscalerでは、同様の予防措置を講じることを推奨します。
  一部の組織では、データセンターからインターネットへのアウトバウンドトラフィックをファイアウォールまたはその他の方法で制限することを選択します。このような環境でApp Connectorを展開することは、App ConnectorがZPA パブリックサービスエッジを含むすべてのZscalerデータセンターに到達できる限り可能です。展開用のファイアウォール設定情報については、config.zscaler.com/private.zscaler.com/zpa(private.zscaler.comクラウドの場合)またはconfig.zscaler.com/zpatwo.net/zpa(zpatwo.netクラウドの場合)を参照してください。詳細は、ZPAのクラウド名は何ですか？を参照してください。
  ファイアウォールの要件と相互運用性ガイドライン
  ZPA パブリックサービスエッジを含む、すべてのZscalerデータセンターを許可する必要があります。ファイアウォール構成が部分的であると、エンドユーザーの接続の問題が発生する可能性があります。Zscalerのポリシーは、制御ポリシーを変更する十分な機会を組織に提供するために、追加のIP CIDR範囲をアクティブ化することについて、90日前の通知を提供することです。
  このサービスにより、クライアント証明書とサーバー証明書の両方にTLS証明書のピン留めが適用されるため、インラインまたは中間者TLSインターセプトまたはインスペクションのすべての形式を無効にする必要があります。ZPA パブリックサービスエッジまたはZPA Private Service Edgeによって提示されたTLS証明書が、Zscalerによって信頼された公開キーに対して暗号的に検証しない場合、App Connectorは動作しません。
  設計上、証明書の検証は、サービスの整合性を維持するために構成可能ではありません。App Connectorから発信されるトラフィックのSSLバイパスリストに*.prod.zpath.netが含まれていることを確認してください。これは、App Connectorが解決してZPA パブリックサービスエッジまたはZPA Private Service Edgeに到達するために必要です。追加のZscalerのIPアドレスを許可リストに登録する必要がある場合は、config.zscaler.com/private.zscaler.com/zpa(private.zscaler.comクラウドの場合)またはconfig.zscaler.com/zpatwo.net/zpa(zpatwo.netクラウドの場合)を参照してください。詳細は、ZPAのクラウド名は何か？を参照してください。
  ZPAとZDXとの統合では、App Connectorファイアウォールの要件がそれぞれのZDX構成と一致している必要があります。TCP、UDPおよびICMPプロトコルでの出力トラフィックを許可するようにファイアウォールを設定する必要があります。App Connectorは、Zscaler サービスエッジ接続のポート443と、設定されているすべてのアプリケーションのポート(つまり、App Connectorに登録されているすべてのApplication Segmentで設定されているポート)にトラフィックをエグレスできる必要があります。
  閉じる
前提条件をすべて満たしたら、サポートされているプラットフォームにApp Connectorを展開できます。
閉じる
ステップ2: NutanixにApp Connectorを展開する
この手順では、Nutanix AHVに仮想アプライアンスを展開する方法について説明します。
Nutanix AHVに仮想アプライアンスを展開する前に、最新のZscaler App Connector OVAを入手する必要があります。次のリンクを使用して、Zscaler : https://dist.private.zscaler.com/vms/VMware/2024.12/zpa-connector-el9-2024.12.ovaから最新のVMwareイメージをダウンロードします。
最新のZscaler App Connector OVAを入手したら、そのOVAを次のいずれかのプラットフォームにアップロードします。
- Prism Central。詳細は、Nutanixドキュメントを参照してください。
- Prism Element。詳細は、Nutanixドキュメントを参照してください。
この記事の手順では、OVAをPrism Elementにアップロードすることで、Nutanix AHVに仮想アプライアンスを展開する方法について説明します。
Nutanix AHVに仮想アプライアンスを展開する手順。
1. OVAからVMDKファイルを抽出します。OVAファイルを右クリックし、[7-Zip]>[ファイルを抽出]の順でクリックしてファイルを抽出します。
2. ファイルの保存先を選択し、[OK]をクリックします。
3. VMDKファイルをPrism Elementにアップロードします。
  1. Prism Elementにログインします。
  2. [設定]をクリックし、[画像の構成]をクリックします。
画像を表示
閉じる
1. [画像のアップロード]をクリックします。[イメージの作成]ウィンドウが表示されます。
画像を表示
閉じる
1. [イメージの作成]ウィンドウで、次のように入力します。
- 名前：VMの名前。
- 画像タイプ：[画像タイプ]ドロップダウンメニューから[ディスク]を選択します。
画像を表示
閉じる
1. [画像ソース]で、[ファイルのアップロード]を選択します。
  1. [ファイルの選択]をクリックし、ステップ1.bで抽出したVMDKファイルを選択します。
  2. [開く]をクリックします。
2. 保存をクリックします。
3. 画像構成ページ([設定]>[画像構成])に戻り、画像がテーブルにアクティブとしてリストされていることを確認します。
画像を表示
閉じる
1. VMを作成します。
  1. [ホーム]>[VM]の順にクリックします。
  2. [テーブル]タブで、[VMの作成]をクリックします。
画像を表示
閉じる
[VMの作成]ウィンドウが表示されます。
1. [一般情報]の下で、次の情報を入力します。
- 名前：VMの名前。
- タイムゾーン：VMのタイムゾーン。
画像を表示
閉じる
1. [詳細のコンピュート]の下で、次の情報を入力します。
- vCPU：VMのCPU(例：2コアのうち1コア)。
- vCPUあたりのコア数]：仮想CPUのコア数。最低限必要な値は4です。
- メモリ：VMのメモリ(8GBや4GBなど)。
画像を表示
閉じる
1. [ディスクの下で、[削除]アイコンをクリックして、CD-ROMディスクのタイプを削除します。
画像を表示
閉じる
1. ディスクを削除するように求められたら、[はい]をクリックします。
2. [新規ディスクの追加]をクリックします。
画像を表示
閉じる
1. [ディスクの追加]ウィンドウで、以下のパラメータを入力し、[追加]をクリックします。
- タイプ：ディスク
- 操作：画像サービスからのクローン作成
- [バスタイプ]: IDE
- 画像：手順2でアップロードした画像を選択します。
[サイズ]フィールドは、選択した画像に基づいて自動入力されます。
画像を表示
閉じる
ディスクを追加した後、[編集]アイコンをクリックしてディスクを編集できます。
1. [ネットワークアダプター(NIC)]の下で、[新規NICの追加]をクリックします。
画像を表示
閉じる
1. [NICの作成]ウィンドウで、[サブネット名]ドロップダウンメニューで[NR_PRT_DHCP]を選択し、[追加]をクリックします。
画像を表示
閉じる
1. 保存をクリックします。
2. [テーブル]タブ([ホーム]>[VM]の順)で、VMを名前で検索します。
画像を表示
閉じる
1. VMを選択して、VMの詳細を表示します。
2. [電源オン]をクリックします。
画像を表示
閉じる
1. [コンソールの起動]をクリックして、プロビジョニングキーを構成します。
画像を表示
閉じる
1. App Connectorのプロビジョニングキーを適用します。
- 説明書をご覧ください。
  Zscalerが提供する仮想アプライアンスでは、デフォルトでSSHは有効になっていません。App Connectorのプロビジョニングキーを構成するために短時間必要です。SSHを一時的に有効にするには、次のステップを実行します。
  管理者資格情報を使用してApp Connectorコンソールにログインします。
  App Connectorインスタンスの最初の起動後、管理者認証情報が適用されるまでに最大15分かかる場合があります。したがって、最初の起動後に無効な資格情報エラーが発生した場合は、数分待ってから再試行してください。
  以下のコマンドでSSHデーモンを起動します。
  [admin@zpa-connector ~]$ sudo systemctl start sshd
  このコマンドは一時的にSSHを有効にしますが、再起動が発生しても保持されません。再起動後もSSHを有効にしたままにする必要がある場合は、次のコマンド[sudo systemctl enable sshd]を使用します。
  次のコマンドを使用して、App ConnectorのIPアドレスを確認します。
  [admin@zpa-connector ~]$ ifconfig
  設定出力は通常以下のようなものになります。
  eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.0.2.1 netmask 255.255.255.128 broadcast 192.168.144.127 inet6 fe80::20c:29ff:fef5:5d43 prefixlen 64 scopeid 0x20<link> ether 00:0c:29:f5:5d:43 txqueuelen 1000 (Ethernet) RX packets 8504 bytes 8732964 (8.3 MiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 4900 bytes 427768 (417.7 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
  標準のSSHクライアントを使用して仮想マシン(VM)にSSH接続します。前の例を使用すると、App ConnectorのIPアドレスは192.0.2.1です。
  [admin@zpa-connector ~]$ ssh admin@192.0.2.1
  プロビジョニングキーファイルを入力します。
  実行中のzpa-connectorを停止します。App Connectorが最初に開始されたときにプロビジョニングキーが検出されなかった場合、App Connectorはスリープサイクルにあり、24時間ごとにキーを再度検索します。
  [admin@zpa-connector ~]$ sudo systemctl stop zpa-connector
  /opt/zscaler/var/provision_keyで644のアクセス許可を持つプロビジョニングキーファイルを作成します。例えば、次のようなものです。
  [admin@zpa-connector ~]$ sudo touch /opt/zscaler/var/provision_key [admin@zpa-connector ~]$ sudo chmod 644 /opt/zscaler/var/provision_key
  ZPA Admin Portalからプロビジョニングキーをコピーし、ファイルに貼り付けて保存します。viなどのエディターを使用します。
  [admin@zpa-connector ~]$ sudo vi /opt/zscaler/var/provision_key
  [vi]を使用している場合は、キーをファイルに貼り付ける前に、挿入モードになっていることを確認してください。
  viエディタに不慣れな方は、以下の echo と tee コマンドを使用して、プロビジョニングキーを貼り付けることも可能です。
  echo "<App Connectorのプロビジョニングキー>" | sudo tee /opt/zscaler/var/provision_key
  キーが二重引用符(")の中にあることを確認してください。
  以下のコマンドを入力し、ファイルの内容を確認します。
  [admin@zpa-connector ~]$ sudo cat /opt/zscaler/var/provision_key
  出力には、前のステップで入力したプロビジョニングキーが返されるはずです。
  zpa-connectorサービスを起動します。
  [admin@zpa-connector ~]$ sudo systemctl start zpa-connector
  App Connectorが登録されたら、次のコマンドを使用してSSHを無効にします。
  [admin@zpa-connector ~]$ sudo systemctl stop sshd
  ただし、上記のステップ[a.ii]用にsudo systemctl enable sshd]のコマンドを使用した場合は、sudo systemctl disable sshdコマンドを入力します。
  以下を実行します。
  [admin@zpa-connector ~]$ systemctl daemon-reload [admin@zpa-connector ~]$ systemctl start zpa-connector
  Zscalerを続行する前に、App Connectorシステムソフトウェアを更新することを強くお勧めします。
  閉じる
閉じる
ステップ3: STIGで強化されたApp Connectorイメージのパスワードの有効期限を無効にします
This article applies to Security Technical Implementation Guide (STIG) images that were released on November 24, 2024, and December 12, 2024. STIG images released after these dates are not affected.
If you're using an affected STIG image, passwords automatically expire every 60 days for Amazon Web Services (AWS), Google Cloud Platform (GCP), and Microsoft Azure, or 95 days (60 days + a 35-day grace period) for Nutanix and VMware.
If the password expires without changing it or disabling expiration, admin access to an App Connector is no longer available. When admin access expires, the only recovery method is to deploy a new App Connector.
STIG-hardened prebuilt App Connector images affected by password expiration were released on:
- AWS and GCP: November 24, 2024
- Azure, Nutanix, and VMware: December 12, 2024
To verify if an image is STIG-hardened:
1. Go to the App Connectors page in the ZPA Admin Portal.
2. Expand the row for an App Connector in the table.
3. Under App Connector Host Platform, if you see ZSIVersion: 2024.11 or ZSIVersion: 2024.12 for the ZSIVersion, the image is STIG-hardened.
See image.
Example STIG-hardened image with ZSIVersion: 2024.11.
閉じる
Zscaler recommends using one of these methods for passwords:
- Disable or set a password for AWS, GCP, and Azure.
  Disable the password expiration:
  Enter the following command (replacing admin with your admin username):
  [admin@zpa-connector ~]$ sudo chage -M -1 admin
  Verify that the password is set to never expire.
  [admin@zpa-connector ~]$ sudo chage -l admin Last password change : Feb 18, 2025 Password expires : never Password inactive : never Account expires : never Minimum number of days between password change : 1 Maximum number of days between password change : -1 Number of days of warning before password expires : 7
  Set a password when creating a new instance using passwd admin (replacing admin with your admin username) and renew it every 60 days.
  閉じる
- Disable or set a password for Nutanix and VMware.
  Disable the password expiration by entering the following command (replacing admin with your admin username):
  $ sudo chage -M -1 admin
  Set a password when creating a new instance using passwd admin (replacing admin with your admin username) and renew it every 60 or 95 days.
  閉じる
閉じる

二重暗号化されたアプリケーションの割合	App Connectorあたりのスループット
0%	500 Mbps
25%	437.5 Mbps
50%	375 Mbps
75%	312.5 Mbps
100%	250 Mbps

ステップ4:展開済みApp Connectorのネットワークを構成します

対応するプラットフォーム上にApp Connectorを導入した後、以下のネットワーキング構成を完了することができます。

App Connectorの追加インターフェイスの設定
必要に応じて、nmcli connection add con-nameを使用して新しいインターフェイスを設定するか、nmcli connection modifyを使用して既存のインターフェイスの名前を変更することで、インターフェイスに追加の変更を加えることができます。
1. 管理者資格情報を使用してApp Connectorコンソールにログインします。
2. IPアドレスを表示します。
```
[admin@zpa-connector ~]$ ip addr show
```
1. 現在の接続プロファイルを表示します。
```
[admin@zpa-connector ~]$ nmcli connection show
```
1. 動的または静的イーサネット構成を使用して、インターフェイスのIPネットワークを構成します。
動的の場合は、接続プロファイルを変更します。例：
```
[admin@zpa-connector ~]$ sudo nmcli connection modify "Profile 1" ipv4.method auto
```
静的の場合は、接続プロファイルを変更し、次の形式を使用してIPアドレスとゲートウェイを識別します。<プロファイル名> ipv4.method manual ipv4.addresses <アドレス> ipv4.gateway <ゲートウェイIP>。例えば：
```
[admin@zpa-connector ~]$ sudo nmcli connection modify "Profile 1" ipv4.method manual ipv4.addresses 192.168.2.241/24 ipv4.gateway 192.168.2.254
```
1. 変更を適用するため、接続プロファイルをオンに戻します。例：
```
[admin@zpa-connector ~]$ sudo nmcli connection up "Profile 1" 
```
1. IPアドレスを再確認してください。
```
[admin@zpa-connector ~]$ ip addr show
```
1. 新しい接続を再確認します。
```
[admin@zpa-connector ~]$ nmcli connection show
```
閉じる
App Connectorで明示的なプロキシサーバーを使用するように設定する
App Connectorでのプロキシ設定は、App ConnectorとZPA Private Service Edge間のトラフィックをプロキシするために使用されます。App Connectorアプリケーションと内部アプリケーション間のトラフィックのプロキシには使用されません。
トラフィックがプロキシーを経由する場合(つまり、App ConnectorとZPA パブリックサービスエッジまたはZPA Private Service Edge間のトラフィック)は、そのプロキシーを介して動作するようにApp Connectorを手動で設定する必要があります。以下の手順により、App Connectorは、標準のHTTPプロキシーサーバーを介してCONNECTリクエストを使用してブローカーと通信できます。
App Connectorで明示的なプロキシを経由して動作するように設定するには、次の手順を実行します。
1. 管理者資格情報を使用してApp Connectorコンソールにログインします。
2. /opt/zscaler/var/proxyという名前のファイルを作成します。viなどのエディターを使用します。
```
[admin@zpa-connector ~]$ sudo vi /opt/zscaler/var/proxy
```
以下の形式を使用してプロキシ情報を入力します：<プロキシホスト名またはIPアドレス>:<プロキシポート>(例、192.0.2.0:0)。
1. 変更を適用するには、次のコマンドを使用して、App Connectorを再起動します。
```
[admin@zpa-connector ~]$ sudo systemctl restart zpa-connector
```
App Connectorは、前に指定したプロキシーを介してTLSセッションの作成を試みます。
閉じる
App ConnectorのDHCP IPアドレッシングの設定
デフォルトでは、仮想マシンベースのApp Connectorは、プライマリーインターフェイスでDHCPネットワークを使用するように構成されています。必要に応じて、App Connector用の静的IPアドレスを構成できます。
閉じる
App Connectorのドメイン名システム(DNS)リゾルバーを構成する
DNS解決は、App Connectorが正常に動作するために不可欠です。App Connectorは、DNSを使用してアプリケーションを検出し、またアプリケーションのDNS名が、個別にトラッキングされて負荷分散されたサーバーとして解決される各IPアドレスを列挙します。動的アプリケーション検出中、DNSは、App Connectorグループ内の各App Connectorからの初期到達可能性チェックとして使用されます。App Connectorは、App Connectorのサブセットが追加構成なしで所定のDNS名を解決できるパーティション環境で動作することが可能です。App Connectorは、ZPAクラウドインフラストラクチャーなどの外部DNS名も解決できる必要があります。
1. 管理者資格情報を使用してApp Connectorコンソールにログインします。
2. 現在の接続プロファイルを表示します。
```
[admin@zpa-connector ~]$ nmcli connection show
```
1. 次の形式を使用して、DNS設定を変更します。<プロファイル名> ipv4.dns <ネームサーバーIP>。例えば：
```
[admin@zpa-connector ~]$ sudo nmcli connection modify "Profile 1" +ipv4.dns 192.168.2.241
```
1. 変更を適用するため、接続プロファイルをオフにしてからオンに戻します。例：
```
[admin@zpa-connector ~]$ sudo nmcli connection down "Profile 1"
```
```
 [admin@zpa-connector ~]$ sudo nmcli connection up "Profile 1"
```
1. ネームサーバーレコードが追加されたことを確認します。
```
[admin@zpa-connector ~]$ sudo cat /etc/resolv.conf
```
閉じる
App Connectorのネットワークタイムプロトコル(NTP)サーバーの設定
Amazon Web Services(AWS)またはMicrosoft Azureプラットフォームで実行されているApp Connectorに対してNTPサーバーを構成することはできません。
App Connectorで内部NTPサーバーを使用するように設定するには、次の手順を実行します。
1. 管理者資格情報を使用してApp Connectorコンソールにログインします。
2. /etc/chrony.confファイルを編集します。viなどのエディターを使用します。
```
[admin@zpa-connector ~]$sudo vi /etc/chrony.conf
```
次の例のように、内部NTPサーバーをリストに加えます。
```
server 0.zscaler.pool.ntp.org iburst
server 1.zscaler.pool.ntp.org iburst
server 2.zscaler.pool.ntp.org iburst
server 3.zscaler.pool.ntp.org iburst
```
1. 変更を適用するには、以下のコマンドでchrony daemonを再起動します。
```
[admin@zpa-connector ~]$ systemctl restart chronyd
```
1. NTPサーバーを検証するには、以下のコマンドでNTPが正常に動作していることを確認してください。
```
[admin@zpa-connector ~]$ chronyc sources    
```
閉じる
App Connectorのプロキシバイパスの設定
App Connectorがプロキシにトラフィックを送信するように構成されている場合、プロキシから除外する必要があるトラフィック(つまり、App ConnectorとZPA パブリックサービスエッジまたはパブリックサービスエッジとの間のトラフィック)に対して、App Connectorにプロキシバイパスをセットアップすることができます。App Connectorにプロキシバイパスを使用するには、プロキシバイパスファイルをApp Connectorに追加する必要があります。
プロキシバイパスを実行するようにApp Connectorを設定するには、次の手順を実行します。
1. 管理者資格情報を使用してApp Connectorコンソールにログインします。
2. [opt/zscaler/var/proxy-bypass]という名前のファイルを作成してください。[vi]などのエディタを使用します。例えば、以下のようになります。
```
[admin@zpa-connector ~]$sudo vi /opt/zscaler/var/proxy-bypass
```
1. IPアドレス、サブネット、ドメイン、またはプレフィックスワイルドカード付きドメインを使用して、必要なバイパスエントリーを入力します。例えば：
```
1.2.3.4
111.222.33.0/24
myexampledomain.com
*.internal.local
```
1. 変更を適用するには、次のコマンドを使用して、App Connectorを再起動します。
```
[admin@zpa-connector ~]$ sudo systemctl restart zpa-connector
```
閉じる
App Connectorの静的IPアドレッシングの設定
DHCPが利用できない場合、VMベースのApp Connectorで静的IPアドレスを構成することができます。
1. 管理者資格情報を使用してApp Connectorコンソールにログインします。
2. 現在の接続プロファイルを表示します。
```
[admin@zpa-connector ~]$ nmcli connection show
```
1. 次の形式を使用して、接続プロファイルを変更します。<プロファイル名> connection.id <新規接続名>。例えば：
```
[admin@zpa-connector ~]$ sudo nmcli connection modify "Profile 1" connection.id LAN
```
1. 現在の接続プロファイルを確認します。
```
[admin@zpa-connector ~]$ nmcli connection show
```
1. 次の形式で、静的IPとデフォルトゲートウェイを使用してプロファイルを編集します：<接続ID> ipv4.method manual ipv4.addresses<IPアドレス> ipv4.gateway <ゲートウェイIP> ipv4.dns <DNS IP> ipv4.dns-search <ドメイン名>。例えば、次の通りです。
```
[admin@zpa-connector ~]$ sudo nmcli connection modify LAN ipv4.method manual ipv4.addresses 172.30.1.88/24 ipv4.gateway 172.30.1.1 ipv4.dns 172.30.1.254 ipv4.dns-search company.com
```
1. 変更を適用するため、接続IDをオンに戻します。例えば、次の通りです。
```
[admin@zpa-connector ~]$ sudo nmcli connection up LAN 
```
1. IPアドレスを検証します。
```
[admin@zpa-connector ~]$ ip addr show
```
1. デフォルトゲートウェイを検証します。
```
[admin@zpa-connector ~]$ ip route show default
```
1. DNS設定を検証します。
```
[admin@zpa-connector ~]$ sudo cat /etc/resolv.conf
```
閉じる
App Connectorの静的ルーティングの設定
App Connector用のインターフェイスコントロールファイルに静的ルートを追加するには、次の手順を実行します。
1. 管理者資格情報を使用してApp Connectorコンソールにログインします。
2. 次の形式を使用して、既存のイーサネット接続の静的ルートを編集します。<プロファイル名> ipv4.routes <アドレスとゲートウェイ>。例えば：
```
[admin@zpa-connector ~]$ sudo nmcli connection modify "Profile 1" +ipv4.routes "192.168.2.241/24 10.10.10.1"
```
1. 変更を適用するため、接続プロファイルをオフにしてからオンに戻します。例：
```
[admin@zpa-connector ~]$ sudo nmcli connection down "Profile 1"
```
```
 [admin@zpa-connector ~]$ sudo nmcli connection up "Profile 1"
```
1. 新しいルートが追加されていることを確認します。
```
[admin@zpa-connector ~]$ ip route
```
閉じる

App ConnectorのTCP通信ソケットの設定

App ConnectorのprofsインターフェイスとSO_KEEPALIVEソケットオプションを使用して TC通信ソケットを一時的に設定するには、次のようにします。

ZPA Admin Portalで、セグメントグループの[TCPキープアライブ]を有効にします。詳細は、定義済みApplication Segmentsの設定を参照してください。

TCP通信に使用するソケットを[SO_KEEPALIVE]に設定し、App Connectorとサーバー間の接続を確立します。このソケットを使用した通信では、[SO_KEEPALIVE]に対応するシステム値を参照し、パラメーターに応じたアクションを実行します。

App Connectorのカーネルを調整してTCPパラメーターを設定し、次のコマンドを使用して、キープアライブパケットの送信方法を選択します。

# echo 600 > /proc/sys/net/ipv4/tcp_keepalive_time

# echo 60 > /proc/sys/net/ipv4/tcp_keepalive_intvl

# echo 20 > /proc/sys/net/ipv4/tcp_keepalive_probes

システムパラメータを選択しない場合は、デフォルト値が使用されます。赤字の値は、設定可能な値の例です。

[Profs]インターフェイスを使用してTCPパラメーターを設定するための、App Connectorのカーネルへの変更は一時的であり、再起動後にデフォルトに戻ります。

[sysctl]インターフェイスを使用してTCP通信ソケットを恒久的に設定する手順。

ZPA Admin Portalで、セグメントグループの[TCPキープアライブ]を有効にします。詳細は、定義済みApplication Segmentsの設定を参照してください。
[/etc/sysctl.conf]を以下のコマンドで編集してください。

# vi /etc/sysctl.conf

App Connectorのカーネルを調整してTCPパラメーターを設定し、次のコマンドを使用して、キープアライブパケットの送信方法を選択します。

net.ipv4.tcp_keepalive_time = 60
net.ipv4.tcp_keepalive_intvl = 10
net.ipv4.tcp_keepalive_probes = 6

システムパラメータを選択しない場合は、デフォルト値が使用されます。赤字の値は、設定可能な値の例です。

設定を読み込むには、次のコマンドを入力します。

# sysctl -p

キープアライブパケットには以下のパラメータがあります。

パラメーター	定義	デフォルト値
`tcp_keepalive_time`	最後に送信されたデータパケット(単純なACKはデータとは見なされません)と最初のキープアライブプローブの間隔。接続がキープアライブを必要とするとマークされた後、このカウンタはそれ以上使用されません。	7,200秒(2時間)
`tcp_keepalive_intvl`	その間に接続が何を交換したかには関係なく、その後のキープアライブプローブ間の間隔。	75秒
`tcp_keepalive_probes`	接続が切断されたと見なしてアプリケーション層に通知する前に送信する未確認プローブの数です。`tcp_keepalive_probes`値は純粋な数値です。	9

例えば：

tcp_keepalive_time valueが1時間の場合、キープアライブルーチンは1時間待ってから最初のキープアライブプローブを送信し、その後、tcp_keepalive_intvl値に従って75秒間隔で再送信します。
tcp_keepalive_intvlの値が60秒の場合、最初のtcp_keepalive_timeの値から60秒ごとにキープアライブプローブが送信されます。
tcp_keepalive_probesの値が7で、7回連続でACK応答を受信しなかった場合、接続が切断されたと判定されます。

tcp_keepalive_timeの値以内にデータ通信がない場合、アプリサーバーにキープアライブプローブを送信します。

ACKが返された場合、その間にデータ通信が行われない場合は、2時間(tcp_keepalive_time)後に別のキープアライブプローブが送信されます。
RSTが返された場合、ソケットが閉じます。
応答がない場合は、応答のために75秒(tcp_keepalive_intvl)ごとにキープアライブを再送信し、9回再試行します(tcp_keepalive_probes)。9回のプローブを行っても応答がない場合、ソケットは閉じます。

カーネルの構成についての詳細は、Linuxのドキュメンテーションを参照してください。

閉じる

HTTPプロキシサーバーを使用するようにyumを設定する
HTTPプロキシサーバーを介して通信するようにyumを設定する場合は、CentOSおよびRed Hatのドキュメントを参照してください。
CentOS 7.x、RHEL 7.xおよびOracle Linux 7.xのサポートについての詳細は、CentOS 7.x、RHEL 7.xおよびOracle Linux 7.xのサポート終了を参照してください。
閉じる
キープアライブがTCPセッションに対して有効になっていることを検証する
どのTCPセッションでkeepaliveが有効になっているか、およびその現在のタイマーを確認するには、-t(tcpのみ)および-o(タイマーを表示)オプションを指定して、App Connectorでssコマンドを実行します。
```
# ss -to
State  Recv-Q  Send-Q  Local Address:Port  Peer Address:Port
ESTAB  0       0       10.18.4.210:42452   10.251.33.110:https  timer:(keepalive,29sec,0)
```
keepaliveが有効になっているセッションでは、タイマー情報(timer:(<timer_name>,<expire_time>,<retrans>))はkeepaliveがいつ送信されるかを示します。詳細は、Linuxのドキュメンテーションを参照してください。
閉じる

閉じる

ステップ5:展開済みApp Connectorが正常に実行されていることを確認します。また、サイジング要件を満たしていることを確認します。

展開を確認したら、システムを維持するための追加タスクを実行できます(つまり、ZPA App Connectorコンソール管理者資格情報の変更やシステムソフトウェア更新の実行)。詳細は、「展開済みApp Connectorの管理」を参照してください。

App Connectorが展開されたら、次のことができます。

アプリケーショントラフィックを渡すためのApplication Segmentとアクセスポリシーを作成します。たとえば、構成をテストするには、App ConnectorへのSSHアクセスを許可する単純なApplication Segmentを設定することを検討してください。
App Connectorのログレシーバーを設定して、ログストリーミングサービス(LSS)を介してApp Connectorまたはユーザーに関する情報を受信します。

セキュアなプライベート アクセス(ZPA)

Nutanix AHV用のApp Connector展開ガイド

App Connectorのスループットについて

オペレーティングシステムのセキュリティ

ファイアウォールの要件と相互運用性ガイドライン

この記事は役に立ちましたか？下のアイコンをクリックしてご意見をお寄せください。

関連記事s

セキュアなプライベートアクセス(ZPA)