セキュアなプライベート アクセス(ZPA)
ZPA Private Service Edgeパフォーマンスの監視
ZPA Private Service Edgeとそのパフォーマンスを監視する際には、さまざまな点を考慮する必要があります。最も重要なことは、ZPA Private Service Edgeが、イメージのサイズとスケーラビリティ、サポートされているプラットフォーム要件、展開のベスト プラクティス、ネットワーク構成、およびその他の重要なガイドラインに関するZscalerの推奨事項に従う方法で展開されていることを確認することです。詳細は、ZPA Private Service Edgeの展開の前提条件とネットワーキング展開済みZPA Private Service Edgeを参照してください。
ZPA Admin Portal内では、Private Service Edgeダッシュボードを使用することで組織のPrivate Service Edgeを監視に役立てることができます。
ZPA Private Service Edgeを直接監視する際は、次の点を考慮してください。
- CPU使用率
ピーク時の持続CPU使用率は70%未満であることが推奨されます。この値は、グループ内のすべてのZPA Private Service Edgeを考慮する必要があります。グループのZPA Private Service EdgeのCPU使用率は、追加の負荷を管理でき、Private Service Edgeの1つが利用できなくなった場合でも各Private Service Edgeが70%の使用率で動作できるようにする必要があります。たとえば、ZPA Private Service Edgeが2つしかなく、両方とも50%の場合、これは70%のしきい値を下回っています。ただし、1つのZPA Private Service Edgeが停止すると、もう1つのPrivate Service Edgeは70%を超えて実行されます。
CPUの使用率を監視するには
- ログ ストリーミング サービスでZPA Private Service Edgeステータス ログを確認します
ZPA Private Service Edgeステータス ログは、ログ ストリーミング サービス(LSS)を使用してSIEMまたはsyslogサーバーにストリーミングできます。ZPA Private Service Edgeステータス ログはPrivate Service Edgeごとに定期的に生成され、CPUUtilizationフィールドには、そのインスタンスでのPrivate Service EdgeホストのCPU使用率が表示されます。詳細は、Private Service Edgeメトリクス ログ フィールドについてを参照してください。
閉じる - ホスト上のZPA Private Service Edgeステータス ログを確認します
ZPA Private Service Edgeログは、Private Service Edgeが実行されているときはいつでもZPA Private Service Edgeホストで表示できます。ZPA Private Service Edgeログに表示される情報には、ローカル システムログ記録施設へのPrivate Service Edgeのログ出力が含まれます。
VM間の負荷を軽減し、バランスをとるため。
- ハイパーバイザーが健全であることを確認します。
- それに応じてハイパーバイザーの設定を変更します。
- ZPA Private Service EdgeホストでCLIコマンドを使用します
Linuxには、CLI(Command Line Interface)コマンドを使用してCPU使用率を表示するユーティリティがいくつか用意されています。例えば、以下のようなものです。
topコマンドは、すべてのプロセッサのすべてのコアの利用率の合計を報告します。sysstatパッケージには、パフォーマンスと使用方法に関するさまざまなツールが含まれています。
また、ZPA Private Service EdgeホストのCPU使用率を別個の統計収集サーバーに定期的に報告するスクリプトを作成することもできます。
CPU使用率が100%を超える場合は、ZPA Private Service Edgeホスト上の複数のCPUコアが原因である可能性があります。たとえば、コアが4つある場合、上位の出力には使用率が400%と表示されます。この
閉じるlscpuコマンドを使用して、CPUコアの数を確認します。この場合、ピークCPUの計算は、コア数全体で正規化する必要があります。 - Simple Network Management Protocolを使用する。
簡易ネットワーク管理プロトコル (SNMP)は、ホスト サーバーのパフォーマンス メトリクスを定期的に監視するための明確に定義されたインターフェイスを提供します。ZPA Private Service Edgeホスト上のCPU情報は、SNMPオブジェクト識別子(OID)を使用して読み取ることができます。
Linux OSのCPU使用率を監視するためのよく知られたSNMP OIDには、次のようなものがあります。
- ユーザーCPU時間の割合:.1.3.6.1.4.1.2021.11.9.0
- ユーザーCPU生時間:.1.3.6.1.4.1.2021.11.50.0
- システムCPU時間の割合:.1.3.6.1.4.1.2021.11.10.0
- システムCPU生時間: .1.3.6.1.4.1.2021.11.52.0
- アイドルCPU時間の割合: .1.3.6.1.4.1.2021.11.11.0
- 生のアイドルCPU時間: .1.3.6.1.4.1.2021.11.53.0
個別のZPA Private Service EdgeホストのCPU使用率を下げるには、次の点を考慮してください。
- 追加のZPA Private Service EdgeをZPA Private Service Edgeグループに展開して、追加のPrivate Service Edgeにユーザーを分散します。
- 特定のApplication Segments専用の ZPA Private Service Edgeグループを展開して、各Private Service Edgeグループを通じて要求されるアプリケーションの数を減らします。
CPU盗用率は、ハイパーバイザーによってVMから盗まれたCPU時間で、ステータス ログに1分ごとに報告されます。CPU盗用率が高い場合、ハイパーバイザーはビジー状態になり、ZPA Private Service Edgeのパフォーマンスが低下します。
閉じる - ログ ストリーミング サービスでZPA Private Service Edgeステータス ログを確認します
- メモリ使用量
ピーク時の持続メモリー使用量は80%未満にする必要があります。この値は、グループ内のすべてのZPA Private Service Edgeを考慮する必要があります。グループのZPA Private Service Edgeのメモリーは、追加の負荷を管理でき、Private Service Edgeの1つが利用できなくなった場合でも各Private Service Edgeが80%の使用率で動作できるようにする必要があります。たとえば、ZPA Private Service Edgeが2つしかなく、両方とも50%の場合、これは80%のしきい値を下回っています。ただし、一方のPrivate Service Edgeが停止した場合、もう一方のPrivate Service Edgeは80%を超えて実行されます
メモリをモニターするには
- ログ ストリーミング サービスでZPA Private Service Edgeステータス ログを確認します
ZPA Private Service Edgeステータス ログは、ログ ストリーミング サービス(LSS)を使用してSIEMまたはsyslogサーバーにストリーミングできます。ZPA Private Service Edgeステータス ログはPrivate Service Edgeごとに定期的に生成され、フィールド[MemUtilization]には、そのインスタンスでのPrivate Service Edgeホストのメモリー使用量が表示されます。詳細は、Private Service Edgeステータス ログ フィールドについてを参照してください。
閉じる - ホスト上のZPA Private Service Edgeステータス ログを確認します
ZPA Private Service Edgeログは、Private Service Edgeが実行されているときはいつでもZPA Private Service Edgeホストで表示できます。ZPA Private Service Edgeログに表示される情報には、ローカル システムログ記録施設へのPrivate Service Edgeのログ出力が含まれます。
VM間の負荷を軽減し、バランスをとるため。
- ハイパーバイザーが健全であることを確認します。
- それに応じてハイパーバイザーの設定を変更します。
- Private Service EdgeホストでのCLIコマンドの使用
Linuxには、CLIコマンドを使用してメモリー使用量を表示するための
閉じるfree、top、cat/proc/meminfo、htopなどのユーティリティーがいくつか用意されています。ZPA Private Service Edgeホストのメモリー使用量を別個の統計収集サーバーに定期的に報告するスクリプトを作成できます。 - Simple Network Management Protocolを使用する。
簡易ネットワーク管理プロトコル(SNMP)は、ホスト サーバーのパフォーマンス メトリクスを定期的に監視するための明確に定義されたインターフェイスを提供します。ZPA Private Service Edgeホストのメモリー情報は、SNMPオブジェクト識別子(OID)を使用して読み取ることができます。
Linux OSでメモリを監視するためのよく知られたSNMP OIDには、次のようなものがあります。
- マシンの総RAM:.1.3.6.1.4.1.2021.4.5.0
- 使用したRAMの合計:.1.3.6.1.4.1.2021.4.6.0
- 合計RAM空き容量:.1.3.6.1.4.1.2021.4.11.0
個別のZPA Private Service Edgeホストのメモリー使用量を削減するには、以下の点を考慮してください。
- ZPA Private Service Edgeホストで利用可能なメモリーの量を増やします。
- 追加のZPA Private Service EdgeをZPA Private Service Edgeグループに展開して、追加のPrivate Service Edgeにユーザーを分散します。
- 特定のApplication Segments専用の ZPA Private Service Edgeグループを展開して、各Private Service Edgeグループを通じて要求されるアプリケーションの数を減らします。
- ログ ストリーミング サービスでZPA Private Service Edgeステータス ログを確認します
- データスループット
推奨されるZPA Private Service Edge仕様に基づくピーク持続スループットは500Mbps未満である必要があります。
ZPA Private Service Edgeスループットを監視する手順は次の通りです。
- ログストリーミングサービスでZPA Private Service Edgeの状態ログを確認する
ZPA Private Service Edgeステータス ログは、ログ ストリーミング サービス(LSS)を使用してSIEMまたはsyslogサーバーにストリーミングできます。ZPA Private Service Edgeステータス ログは Private Service Edgeごとに定期的に生成され、フィールド[TotalBytesRx]および[TotalBytesTx ]には、そのインスタンスでのPrivate Service Edgeホストのスループットが表示されます。詳細は、Private Service Edgeステータス ログ フィールドについてを参照してください。
閉じる - ホスト上のZPA Private Service Edgeの状態ログを確認する
ZPA Private Service Edgeログは、Private Service Edgeが実行されているときはいつでも、Private Service Edgeホストで表示できます。ZPA Private Service Edgeログに表示される情報には、ローカル システムログ記録施設へのPrivate Service Edgeのログ出力が含まれます。CPU盗用率は、ハイパーバイザーによってVMから盗まれたCPU時間で、ステータス ログに1分ごとに報告されます。CPU盗用率が高いときは、ハイパーバイザーはビジー状態になり、ZPA Private Service Edgeのパフォーマンスが低下します。
VM間の負荷を軽減し、バランスをとるため。
- ハイパーバイザーが健全であることを確認します。
- それに応じてハイパーバイザーの設定を変更します。
- ZPA Private Service EdgeホストでのCLIコマンドの使用
Linuxには、CLIコマンドを使用してZPAPrivate Service Edgeホスト インターフェイス上の帯域幅統計を表示するための
閉じるnload、iftop、nethog、bmonその他などのユーティリティーがいくつか用意されています。ホストの帯域幅使用率を別の統計収集サーバーに定期的に報告するスクリプトを作成できます。 - Simple Network Management Protocolを使用する。
簡易ネットワーク管理プロトコル(SNMP)は、ホスト サーバーのパフォーマンス メトリクスを定期的に監視するための明確に定義されたインターフェイスを提供します。ZPA Private Service Edgeホストのデータ スループット情報は、SNMPオブジェクト識別子(OID)を使用して読み取ることができます。
Linux OS上でZPA Private Service Edgeのスループットを監視するための周知のSNMP OIDには、次のようなものがあります。
- インタフェースで受信した総バイト数: .1.3.6.1.2.2.1.10
- インタフェースで伝送された総バイト数: .1.3.6.1.2.2.1.16
個別のZPA Private Service Edgeホストのデータ スループットを低減させるには、次の点を考慮してください。
- 追加のZPA Private Service EdgeをZPA Private Service Edgeグループに展開して、追加のPrivate Service Edgeにユーザーを分散します。
- 特定のApplication Segments専用のZPA Private Service Edgeグループを展開して、各ZPA Private Service Edgeグループを通じて要求されるアプリケーションの数を減らします。
- ログストリーミングサービスでZPA Private Service Edgeの状態ログを確認する
- ソースポート消費量
使用済みポートと空きポートの数は、次のコマンドを使用して、ZPA Private Service Edgeホストから取得できます。次の例では、11はUDPポートの数、13は使用中のTCPポートの数です。
[root@ip-10-0-0-116 admin]# sudo su [root@ip-10-0-0-116 admin]# ss -uln | wc -l&& ss -tn state connected | wc -l 11 13
TCPポートまたはUDPポートの使用中の数が利用可能なポート数と等しいかそれに近い場合、ZPA Private Service Edgeホストでポート枯渇が発生する可能性が高く、Private Service Edgeはアプリケーションに接続できない可能性があります。
次の例では、コマンドは引き続き使用されます。これは、このZPA Private Service Edgeホストで利用できるポートの数を示す60999-32768=28231の差異を示しています。使用中のUDPポートおよびTCPポートの数は、28231より小さくなければなりません。
[root@ip-10-0-0-116 admin]# sysctl net.ipv4.ip_local_port_range net.ipv4.ip_local_port_range = 32768 60999 [root@ip-10-0-0-116 admin]#.
ポートの使用量を調整するには、次のことを考慮してください。
閉じる- 使用可能な最大ポート数を増やす
ZPA Private Service Edgeホストの再起動後も持続しないポートの非恒久的的な増加では、次のいずれかのオプションを使用します。赤のテキストは、ポート範囲の例です。
echo を使用する
echo 32768 65000 > /proc/sys/net/ipv4/ip_local_port_rangesysctlを使用する
sysctl -w net.ipv4.ip_local_port_range="32768 65000"ポートを永続的に増やすには、
/etc/sysctl.confに以下を追加します。赤のテキストはポート範囲の例です。net.ipv4.ip_local_port_range= 32768 65000閉じる
- 使用可能な最大ポート数を増やす
- ホストアプリケーションアクセス
グループ内の少数のZPA Private Service Edgeから過剰な数のアプリケーションがアクセスされると、アプリケーションのパフォーマンスが低下する可能性があります。所定のZPA Private Service Edgeからアクセスされるアプリケーションの数が多すぎると、アプリケーションのレイテンシーが増加したり、Private Service Edgeで使用されるCPUやメモリーの量が増えたりする可能性があります。
ZPA Private Service Edgeごとのアプリケーション数を減らすには、次の点を考慮してください。
- 特定のApplication Segments専用の ZPA Private Service Edgeグループを展開して、各Private Service Edgeグループを通じて要求されるアプリケーションの数を減らします。
- Zscalerでは、余分なアプリケーションをサポートするために、既存のZPA Private Service Edgeグループに追加のZPA Private Service Edgeを追加することを推奨します。
- ディスク使用量
ZPA Private Service Edgeは、通常の操作中にディスクに保存されるログを生成します。ZPA Private Service Edgeログとソフトウェア更新プログラムに十分なディスク領域を確保するには、ディスク領域の消費量を監視します。
ZPA Private Service Edgeプロセスは、ディスク領域が100MB未満の場合に再起動し、再起動の原因を反映するログを
/var/log/messageファイルに生成します。これにより、ZPA Private Service Edgeのソフトウェア更新プログラムを正常にダウンロードできます。ZPA Private Service Edgeが他のソフトウェアを実行する場合、大量のログが生成され、ディスク領域がいっぱいになる可能性があります。
ディスク容量を監視するには
- ディスクの空き容量を確認する
sudo df -hのコマンドは、ZPA Private Service Edgeホストの空きディスク領域を表示します。例えば:[admin@ip-10-0-0-228 ~]$ sudo df -h Filesystem Size Used Avail Use% Mounted on /dev/nvme0n1p1 8.0G 1.7G 6.4G 21% / devtmpfs 1.9G 0 1.9G 0% /dev tmpfs 1.9G 1.9G 0 1.9G 0% /dev/shm tmpfs 1.9G 181M 1.7G 10% /run tmpfs 1.9G 0 1.9G 0% /sys/fs/cgroup tmpfs 375M 0 375M 0% /run/user/1000
閉じる - ディスク容量を消費する上位のプロセスを確認する
- システムログの生成行数を確認する
次のコマンドを使用して、ZPA Private Service Edgeプロセスによって書き込まれた
syslogd行の大まかな見積もりを取得します。sudo grep -v "zpa-service-edge" /var/log/messages | wc -l sudo grep "zpa-service-edge" /var/log/messages | wc -l
閉じる - Simple Network Management Protocolを使用する。
簡易ネットワーク管理プロトコル(SNMP)は、ホスト サーバーのパフォーマンス メトリクスを定期的に監視するための明確に定義されたインターフェイスを提供します。ZPA Private Service Edgeホストのディスク・スペース情報は、SNMPオブジェクト識別子(OID)を使用して読み取ることができます。
Linux OSでディスク領域の使用率を監視するためのよく知られたSNMP OIDには、次のようなものがあります。
- ディスクの空き容量:.1.3.6.1.4.1.2021.9.1.7.1
- ディスクの使用容量:.1.3.6.1.4.1.2021.9.1.8.1
- ディスクの使用率:.1.3.6.1.4.1.2021.9.1.9.1
- ディスクで使用されている inode の割合: .1.3.6.1.4.1.2021.9.1.10.1
- ディスクがマウントされているパス: .1.3.6.1.4.1.2021.9.1.2.1
- パーティション用デバイスのパス: .1.3.6.1.4.1.2021.9.1.3.1
- ディスク/パーティションの合計サイズ(キロバイト):.1.3.6.1.4.1.2021.9.1.6.1
個別のZPA Private Service Edgeホストのディスク容量を減らすには、次のオプションを使用します。
- ファイルをアーカイブする
Linux
logrotateユーティリティを使用して、コマンドを使用して定期的に(たとえば、毎日、毎週、または毎月)ファイルをアーカイブします/etc/logrotate.conf。logrotateをアーカイブに利用する方法もあります。- ログファイルを毎日アーカイブする:
daily - 7日分のログを残す:
rotate 7 - 古いログファイルをアーカイブした後、新しい(空の)ログファイルを作成します。
create - アーカイブしたファイルのサフィックスに日付を使用する:
dateext - ログファイルを圧縮するためのコメント解除:
compress
- ログファイルを毎日アーカイブする:
- ファイルを削除する
cronジョブを実行してログ ファイルを削除するか、
rmコマンドを使用して、アーカイブ済みファイルを含め、必要でないと思われるファイルを削除します。たとえば、/var/log/messagesを削除することに機能的な影響はありません。削除する前に、ZPA Private Service Edgeのトラブルシューティングにファイルが必要かどうかを確認します。ディスク容量を削減するためにファイルをアーカイブする場合、ファイルまで削除する必要はありません。
閉じる - ログ容量を増やす
/var/log/journalでより多くのスペースを作成するには、vacuum-timeまたはvacuum-sizeコマンドを使用します。例えば:sudo journalctl --vacuum-size=100m sudo journalctl --vacuum-time=1d
閉じる
Zscalerは、ディスク容量を減らすために少なくとも
閉じるrsyslogdを無効にすることをお勧めします。 - ディスクの空き容量を確認する
- ファイルディスクリプタの枯渇
ZPA Private Service Edgeホストでファイル記述子の数が十分でない場合、ファイル記述子の枯渇が原因でトランザクションが失敗する可能性があります。これに対処するには、次のコマンドを実行して
SYSTEM_FD制限を増やします。sudo sysctl -w fs.file-max=1000000
詳しくは、「Private Service Edgeダッシュボードについて」を参照してください。
閉じる