インターネットとSaaSへのセキュアなアクセス(ZIA)
仮想サービスエッジクラスタの設定
ZIA 仮想サービス エッジは、クラスターまたはスタンドアロン モードで展開できます。Zscalerでは、仮想サービス エッジをクラスターに展開して冗長性を実現し、スケジュールされた更新サイクル中にソフトウェアをシームレスに更新することをお勧めします。スタンドアロン モードでの仮想サービス エッジの展開の詳細については、仮想サービスエッジインスタンスの追加を参照してください。
Zscalerでは、外部ロード バランサー(LB)の使用を推奨していません。ただし、組織で外部ロード バランサーを使用する必要がある場合は、仮想サービス エッジでの外部ロード バランサーの使用を参照してください。
必要条件
以下の要件をすべて満たしていることを確認してください。
- 仮想サービスエッジクラスターには、本番環境にn+1の冗長性を提供するために、少なくとも2つの仮想サービスエッジインスタンスが含まれている必要があります。最大16個の仮想サービスエッジインスタンスを含めることができます。クラスター内の仮想サービスエッジごとにサブスクリプション ライセンス数が必要です。さらに、クラスター内のすべての仮想サービス エッジのサブスクリプションのタイプが大規模であることを確認します。
- 仮想サービス エッジでは、Zscalerクラウドへのアウトバウンド接続のみが必要です。必要なアウトバウンド接続を許可するようにファイアウォールを設定します。ファイアウォールの要件を表示するには、ZIA管理ポータルにログインし、[ヘルプ]>[クラウド構成要件]>[ZIA 仮想サービスエッジ]に移動します。
画像を参照してください。 - ライセンスがニーズに合っていることを確認します。[管理]>[会社プロファイル]>[サブスクリプション]に移動し、仮想サービス エッジを探して、サーバー数を確認します。
- SSLトラフィックを検査する場合、大規模な仮想サービス エッジではCavium NITROX SSLカードが必要です。小型および中型の仮想サービス エッジは、Cavium NITROXカードに対応していますが、必須ではありません。1枚のカードを1つのVMwareホストの複数の仮想サービス エッジで共有することはできないため、クラスター内の大規模な仮想サービスエッジごとに1枚のカードが必要です。Zscalerはこのカードを販売していませんので、直接購入する必要があります。必要なCavium NITROXカードの具体的なモデルについては、サポート チームにお問い合わせください。
- 仮想サービスエッジクラスターの仮想マシンの仕様は次のとおりです。
- ハイパーバイザー:VMware ESX/ESXi v5.0以上
- [無差別モード]オプションは、vSphereスイッチ(vSwitch)またはポート グループ レベルで有効にする(つまり、[承諾]に設定する)必要があります。Zscalerロード バランサーとZIA Public Service Edgeは、一般アドレス冗長化プロトコル(CARP)を使用して、複数のPublic Service Edgeインスタンス間でトラフィックを処理します。これに対応するには、仮想サービスエッジインターフェイスで無差別モードを有効にする必要があります。
- MACアドレスの変更オプションは、vSwitchまたはポート グループで有効にする必要があります。
- 偽造送信オプションは、vSwitchまたはポート グループで有効にする必要があります。
- 仮想サービス エッジは、多くの場合、他の企業VMとvSwitchを共有し、vSwitchレベルで適用された設定は、vSwitch上のすべてのVMに適用されます。無差別モードが有効であることは、他のVMが仮想サービスエッジを通過するトラフィックをスニッフィングできる可能性があることを意味します。このリスクを回避するために、Zscalerでは仮想サービスエッジインターフェイス用にポート グループを作成して、使用することを推奨しています。
同じvSwitch上に複数の物理ポートが存在する場合は、ESXiホストでNet.ReversePathFwdCheckPromisc詳細オプションを有効にする(つまり、1に設定する)必要があります。詳細は、VMwareのドキュメンテーションを参照してください。
そうでない場合、マルチキャストトラフィックがホストにループバックし、CARPが正常に機能せず、リンク状態が合体したメッセージが送信されることになります。詳細は、VMwareのドキュメンテーションを参照してください。
- [CPU]: 4 CPUコア。各CPUコアは、仮想サービスエッジのトラフィックの一部を個別に処理します。
- 最小限必要なRAM:実稼働環境の場合は32GB、クラスターのノードには48GB、およびSSLカードをインストールするたびにVMホストから8GBの追加空きメモリが必要です。
- 推奨メモリ:48 GB
- [ディスク]: 500 GB (シン プロビジョニング)。Zscalerでは、SSDの使用をお勧めします。
- [ネットワーク インターフェイス]: 3つのインターフェイス(1つは管理用、1つは仮想サービスエッジ用、1つはロード バランサー用)。これらのインターフェイスは、同じVLAN上にある必要があります。このVLANは、ユーザーのトラフィックからアクセス可能で、インターネットへのアウトバウンド アクセスが可能である必要があります。仮想サービス エッジのデュアル アーム構成の詳細については、デュアル アーム モードの仮想サービスエッジ構成ガイドを参照してください。
必要なIPアドレスを次の表に示します。
閉じる仮想サービス エッジは、IpSecまたはGREトンネル経由でのみ転送されるIPv6トラフィックをサポートします。Zscalerサポートに連絡して、組織のIPv6を有効にして設定してください。
- ハイパーバイザー:VMware ESX/ESXi v5.0以上
仮想サービスエッジクラスターの設定
仮想サービスエッジクラスターを設定する場合は、少なくとも2つの仮想サービスエッジインスタンスを作成し、それぞれのSSL証明書をダウンロードする必要があります。仮想サービスエッジのVMには、それぞれ一意のSSL証明書が必要であり、これはZIA管理ポータルからダウンロードできます。
仮想サービスエッジクラスターを設定するには、以下の手順を実行します。
- 1. 仮想サービスエッジインスタンスを追加する
- 2. 仮想サービスエッジ証明書をダウンロードする
- 3. 仮想サービスエッジ VMをダウンロードする
- 4. 仮想サービスエッジクラスターを追加する
- 5. 仮想サービスエッジクラスターをロケーションにバインドする
ロケーションを追加し、仮想サービスエッジクラスター(またはスタンドアロン仮想サービスエッジ)をバインドして、組織が認証、ファイアウォール、SSLインスペクション、ロケーション レベルのポリシーなどの機能を有効にできるようにします。サービスは、仮想サービスエッジで受信するトラフィックをそのロケーションに関連付け、そのロケーションに設定された機能とポリシーを適用します。
仮想サービスエッジまたは仮想サービスエッジクラスターをロケーションにバインドするには、以下の手順を実行します。
- [管理]>[ロケーション]の順に移動します。
[ロケーションを追加]をクリックするか、既存のロケーションの[編集]のアイコンをクリックします。
[ロケーションを追加]ウィンドウまたは[ロケーションの編集]ウィンドウが表示されます。
[ロケーション の追加] ウィンドウまたは [ロケーションの編集] ウィンドウで、次のいずれかの操作を行います。
- [仮想サービス エッジ]:ロケーションにバインドするスタンドアロン仮想サービスエッジを選択します。
[仮想サービスエッジクラスター]:ロケーションにバインドする仮想サービスエッジクラスターを選択します。
その他のフィールドの詳細については、ロケーションの設定を参照してください。
- 保存 をクリックします。
- 6. 仮想サービスエッジのIPアドレスをバイパスするファイアウォール フィルタリング ルールを作成する
Zscalerは、ロード バランサー(LB)から仮想サービスエッジへのICMPおよびHTTP監視を実行して、仮想サービスエッジの正常性を監視し、トラフィックが適切に分散されるようにします。正常性プローブを機能させるには、すべての仮想サービスエッジプロキシ、ロード バランサー、およびクラスターIPアドレスを許可するファイアウォール フィルタリング規則を作成する必要があります。
ファイアウォールフィルタリングルールを作成する手順。
- [ポリシー]>[ファイアウォールコントロール]に移動します。
ファイアウォールフィルタリングルールの追加 をクリックします。
[ファイアウォールフィルタリングルールの追加]ウィンドウが表示されます。
- [ファイアウォールフィルタリングルールの追加]ウィンドウで、[送信元ースIP]タブをクリックします。
- [IPアドレス]に、仮想サービス エッジの次のIPアドレスを追加します。
- プロキシIPアドレス
- LBのIPアドレス
クラスターIPアドレス
これらは、ステップ4. 仮想サービスエッジクラスターの追加で作成したIPアドレスです。その他のフィールドの詳細については、ファイアウォール フィルタリング ポリシーの設定を参照してください。
- ネットワークトラフィック で、 許可 を選択します。
- 保存 と 変更を有効にする をクリックします。
- 7. 仮想サービスエッジ VMを設定する
仮想サービスエッジクラスターを展開する場合、各仮想サービスエッジインスタンスをESX/ESXiサーバー上のVMとして設定する必要があります。
ESX/ESXiサーバーで仮想サービスエッジを設定するには、次の操作を実行します。
- vSphereクライアントにログインします。
- [ファイル]>[OVFテンプレートを展開]の順にアクセスします。
- [OVFテンプレートの展開]ウィザードを使用して、仮想サービスエッジのVMを展開します。
- すべてのデフォルトを受け入れて、仮想サービスエッジのVMをインポートします。
- 仮想サービスエッジのポート グループで、[無差別モード]、[偽造送信]、[Macアドレス変更]が有効になっていることを確認します。
- 仮想サービスエッジのVMを選択し、[パワー オン]ボタンまたは[仮想マシンのパワー オン]をクリックします。
[コンソール]タブで、以下の認証情報でFreeBSDコマンドプロンプトにログインします。
- ユーザー名:zsroot
- パスワード:zsroot
以下のガイドラインが適用されます。
- Zscalerでは、passwdコマンドを実行して、このデフォルトのパスワードを変更することを強くお勧めします。
- rootでの直接ログインは禁止されています。管理者は、より高い権限を持つコマンドを実行するために、sudoユーティリティを使用する必要があります。
次のコマンドを実行して、ネットワークを構成します。
sudo vzen configure-network
- 以下の情報を指定します。
- Zscalerクラウドドメインの名前解決およびプロキシ トラフィックのドメイン名に使用されるDNSサーバーのアドレス(10.84.0.100など)。
- CIDRネットマスクを使用した管理インターフェイスIP。SSHまたはFTPには、管理IPアドレス(10.84.0.110/24など)を使用します。
- デフォルト ゲートウェイのIPアドレス(例:10.84.0.200)。
- 仮想サービスエッジのホスト名
- クラスター内の仮想サービスエッジインスタンスのSSL証明書をインストールします。これらは、ZIA管理ポータルからダウンロードした証明書です。仮想サービスエッジは、この証明書を使用して、Zscalerサービスに対して自身を認証します。仮想サービスエッジクラスターを設定する場合は、各仮想サービスエッジインスタンスに正しい証明書をアップロードしてください。
- 保存したSSL証明書に移動します。
- SCPまたはSFTPを使用して、仮想サービスエッジの管理IPアドレスにアップロードします。
- vSphereクライアントで、[コンソール]タブをクリックし、以下の認証情報でログインします。
ユーザー名:zsroot
パスワード:zsroot - Console タブを開くか、SSH を使用して管理IPアドレスに接続します。
以下のコマンドを実行します。
sudo vzen install-cert < cert-bundle.zip>
必ず、SSL証明書への絶対パスを指定してください(例、
sudo vzen install-cert /tmp/cert-bundle.zip
)。
- Cavium NITROX カードをサーバーにインストールした場合は、次のようにします。
- vSphere クライアントで、 構成 ]タブをクリックします。
- [編集]をクリックします。
[パススルー用デバイスをマークする]ウィンドウで、[Cavium NITROXカード]を選択します。
画像を参照してください。 - Cavium NITROXカードを追加する必要がある仮想サービスエッジを選択します。仮想サービスエッジの電源がオフになっていることを確認します。次に、[仮想マシン設定の編集]をクリックします。[仮想マシンのプロパティ]ウィンドウで、[追加...]をクリックします。
画像を参照してください。 - [PCIデバイス]を選択し、[次へ]をクリックします。
画像を参照してください。 - ドロップダウンメニューから[Cavium NITROXカード]を選択し、[次へ]をクリックします。
画像を参照してください。 - [終了]をクリックして、[Cavium NITROXカード]を追加します。
画像を参照してください。 - [OK]をクリックしてセットアップを終了します。
画像を参照してください。 以下のコマンドを実行し、カードの設定を行います。
sudo vzen install-nitrox
- (省略可) SNMP管理システムを使用して、仮想サービスエッジクラスターを監視する場合は、仮想サービスエッジ用にSNMPを有効にし、SNMPパラメーターを設定します。仮想サービス エッジはSNMPv3のみをサポートします。
以下のコマンドを実行します。
sudo vzen snmp-admin-configure
- 仮想サービスエッジにクエリーを送信するSNMPv3管理システムのユーザー名を入力します。仮想サービスエッジは、このユーザー名からのクエリーのみを受け入れます。
- 仮想サービスエッジでSNMP管理システムの認証に使用するパスワードを入力します。
- 仮想サービスエッジでSNMPユーザーの認証に使用できる認証プロトコルを指定します。MD5またはSHA1を入力します。
- 仮想サービスエッジでSNMPユーザーの認証に使用できる暗号化方式を指定します。DESまたはAESを入力します。
以下のコマンドを実行します。
sudo vzen snmp-trap-configure
- 構成するトラップを尋ねられたら、v3トラップを入力します。
- 仮想サービスエッジがトラップを送信する先のSNMPトラップ管理システムのIPアドレスを入力します。
- SNMP管理システムのユーザー名を入力します。
- 仮想サービスエッジでSNMP管理システムの認証に使用するパスワードを入力します。
- 仮想サービスエッジでSNMPユーザーの認証に使用できる認証プロトコルを指定します。MD5またはSHA1を入力します。
- 仮想サービスエッジでSNMPユーザーの認証に使用できる暗号化方式を指定します。DESまたはAESを入力します。
- 仮想サービスエッジビルドをダウンロードし、仮想サービスエッジを開始します。
- vSphere クライアントで、 Console タブをクリックするか、SSH を使用して管理IPアドレスに接続します。
次のコマンドを実行して、仮想サービスエッジビルドをダウンロードします。
sudo vzen download-build
最初のビルドは約1 GBなので、インターネット接続によっては時間がかかる場合があります。ダウンロードしたビルドが自動的にインストールされます。インストールが完了すると、仮想サービスエッジが自動的に開始されます。
- 8. (省略可) 仮想サービスエッジクラスターの更新をスケジュールする
Zscalerは仮想サービス エッジを定期的に更新して、最新のソフトウェア アップデートを利用できるようにします。仮想サービスエッジが属するクラウドのメンテナンス ウィンドウから24時間以内に、更新を開始するようにスケジュールできます。
設計上、クラスター内の仮想サービス エッジは連続して更新されるため、ダウンタイムはありません。
ただし、更新時間に最大24時間の柔軟性を持たせるには、仮想サービスエッジクラスターの各ノードで次のコマンドを実行します。
sudo vzen delay-upgradeHH:MM
HH
:
MM
はUTC 24時間形式です。たとえば、次のコマンドは13:00 UTCに更新を実行します。
sudo vzen 遅延アップグレード 13:00
仮想サービスエッジクラスターでは、クラスターのノードで設定された遅延アップグレード時間の間に最低1時間の差を設けることをお勧めします。前の例では、クラスターのノード1で遅延アップグレードが13:00に設定されている場合、クラスタのノード2では遅延アップグレードを12:00または14:00に設定する必要があります。これにより、クラスターのアップグレード プロセス中のダウンタイムが最小限に抑えられます。
クラスタリングではなく、外部ロード バランサーを使用して仮想サービス エッジをスタンドアロン モードで使用している場合は、仮想サービス エッジを2つのロジック グループに分割することでダウンタイムを最小限に抑えることができます。仮想サービス エッジの最初のグループをX時間に更新し、2番目のグループをX+1時間に更新するように設定します。たとえば、仮想サービス エッジの最初のグループを00:00に設定した場合、2番目のグループは少なくとも1時間後(つまり、1:00)に設定する必要があります。
閉じる - 9. (省略可)ポート443でZscalerクラウドとの仮想サービスエッジ通信を有効にする
Zscaler設定ページ(https://config.zscaler.com/<Zscalerクラウド名>/zia-v-sedge)に一覧表示されているポート9422、9431、9442ではなく、ポート443でZscalerクラウドとの仮想サービスエッジ通信を確立する場合は、標準ポートを有効にします。
<Zscalerクラウド名>は、ZIA管理ポータルへのログインに使用するURLに記載されています。たとえば、[admin.zscaler.net]にログインした場合は、[https://config.zscaler.com/zscaler.net/zia-v-sedge]に移動します。詳細については、ZIAのクラウド名とは?を参照してください。
標準ポートを有効にするには、次の手順を実行します。
- vSphere クライアントで、 Console タブをクリックするか、SSH を使用して管理IPアドレスに接続します。
仮想サービスエッジで次のコマンドを実行します。
sudo vzen enable-stdport
- 次の
subcmd
のいずれかを入力します。ca
: 仮想サービスエッジがポート443でポリシーを認証および取得することを有効にします。cds
: 仮想サービスエッジがポート443でZIA 仮想サービスエッジネットワーク構成をダウンロードすることを有効にします。smsm
: 仮想サービスエッジがポート443で分析用にログをZscaler Nanologに送信することを有効にします。all
: 仮想サービスエッジがポート443でポリシーを認証して取得し、ZIA 仮想サービスエッジネットワーク構成をダウンロードし、分析用にログをZscaler Nanologに送信することを有効にします。
次のコマンドを使用して仮想サービスエッジを再起動します。
sudo vzen restart
ポート443 (9422、9431、9442を置き換える)でのみ仮想サービスエッジからのアウトバウンド接続を許可するように、ファイアウォール設定を更新する必要があります。その他のアウトバウンド接続要件は変わりません。
標準ポートを無効にするには、次のコマンドを実行します。
- vSphere クライアントで、 Console タブをクリックするか、SSH を使用して管理IPアドレスに接続します。
仮想サービスエッジで次のコマンドを実行します。
vzen disable-stdport
- 次の
subcmd
のいずれかを入力します。ca
: 仮想サービスエッジがポート443でポリシーを認証および取得することを無効にします。cds
: 仮想サービスエッジがポート443でZIA 仮想サービスエッジネットワーク構成をダウンロードすることを無効にします。smsm
: 仮想サービスエッジがポート443で分析用にログをZscaler Nanologに送信することを無効にします。all
: 仮想サービスエッジがポート443でポリシーを認証して取得し、ZIA 仮想サービスエッジネットワーク構成をダウンロードし、分析用にログをZscaler Nanologに送信することを無効にします。
次のコマンドを使用して仮想サービスエッジを再起動します。
sudo vzen restart
接続を確認するには、次の手順を実行します。
- vSphere クライアントで、 Console タブをクリックするか、SSH を使用して管理IPアドレスに接続します。
次のコマンドを実行して、ポート443での仮想サービスエッジまたはロード バランサー接続を確認します。
vzen troubleshoot connection
標準ポートが有効になっている場合は、安定した仮想サービスエッジまたはロード バランサー接続が存在します。
次のコマンドを実行して、ポート443で仮想サービスエッジのZscalerクラウドサービスへの接続を確認します。
cmd :: sockstat | grep smcdsc
構成のテスト
設定をテストするには
- vSphere クライアントで、 Console タブをクリックするか、SSH を使用して管理IPアドレスに接続します。
以下のコマンドを実行します。
sudo vzen status
出力には、仮想サービスエッジサービスとロード バランサーが実行されていることが示されます。
以下のコマンドを実行します。
sudo vzen troubleshoot connection | grep 9422
出力で、確立された接続が表示されます。
仮想サービスエッジクラスターを設定したら、仮想サービス エッジへのトラフィックの転送で説明されているメカニズムの1つを使用して、インターネット トラフィックをそのクラスターに転送できます。仮想サービスエッジの正常性の監視方法など、仮想サービスエッジクラスターの監視については、仮想サービスエッジクラスターの監視を参照してください。