icon-zia.svg
インターネットとSaaSへのセキュアなアクセス(ZIA)

Microsoft Hyper-Vの仮想サービス エッジの構成

Zscalerは、Microsoft Hyper-Vでの本番展開用にスタンドアロン仮想サービスエッジをサポートしています。

必要条件

以下の要件をすべて満たしていることを確認してください。

  • 仮想サービスエッジクラスターには、本番環境にn+1の冗長性を提供するために、少なくとも2つの仮想サービスエッジインスタンスが含まれている必要があります。最大16個の仮想サービスエッジインスタンスを含めることができます。クラスター内の仮想サービスエッジごとにサブスクリプション ライセンス数が必要です。
  • 仮想サービス エッジ Zscalerクラウドへの送信接続のみが必要です。必要な送信接続を許可するようにファイアウォールを構成します。ファイアウォールの要件を表示するには、ZIA管理ポータルにログインし、[ヘルプ]>[クラウド設定要件]>[ZIA 仮想サービスエッジ]に移動します。
  • ライセンスがニーズに適していることを確認します。[管理]>[会社プロファイル]>[サブスクリプション]に移動し、仮想サービス エッジを探し、サーバー数を確認します。
  • 仮想サービスエッジクラスターの仮想マシンの仕様は次のとおりです。
    • [ハイパーバイザー]:Hyper-V機能が有効になっているWindows Server 2019
      • [無差別モード]オプションは、仮想スイッチでMicrosoft NDISキャプチャーを使用して有効にする必要があります。Zscalerのロード バランサーと仮想サービス エッジは、Common Address Redundancy Protocol (CARP)を使用して、複数の仮想サービスエッジインスタンス間のトラフィックを処理します。これをサポートするには、Windows Serverで無差別モードを有効にする必要があります。

次のPowerShellコマンドを実行して、無作為検出モードを有効にします。

PS C:\Users\Administrator> $extention=VMSystemswitchextensionportfeature -FeatureID 776e0ba7-94a1-41c8-8f28-951f524251b5
PS C:\Users\Administrator> $extension.SettingData.MonitorMode=2
PS C:\Users\Administrator> Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName <vSwitch-name> -VMSwitchExtensionFeature $extension

これらのコマンドは、管理者として実行する必要があります。

  • Microsoft NDISキャプチャが、Hyper-V Windowsマネージャーの仮想スイッチ マネージャーの仮想スイッチに対して有効になっていることを確認します。

  • [CPU]:4CPUコア
  • [最低限必要なRAM]: 32GB
  • [推奨RAM]: 48GB (運用環境用)
  • [ディスク]: 500GB (シン プロビジョニング)。Zscalerでは、SSDの使用をお勧めします。
  • [ネットワーク インターフェイス]: 3つのインターフェイス(1つは管理用、1つは仮想サービスエッジ用、1つはロード バランサー用)。これらのインターフェイスは、同じVLAN上にある必要があります。このVLANは、ユーザー トラフィックからアクセス可能であり、インターネットへのアウトバウンド アクセスが必要です。
  • 必要なIPアドレスを
    IPアドレス目的必要条件
    管理用IPアドレスこれは、管理のために仮想サービスエッジのVMへのSSH接続を確立するために使用されます。また、Zscalerクラウドから仮想サービスエッジビルドをダウンロードするためにも使用されます。インストール時に仮想サービスエッジ管理者がSSH経由でアクセスでき、インターネットへのアウトバウンド アクセスが必要です。これは、仮想サービスエッジ CLIで設定します。
    プロキシIPアドレス

    これは、次の目的で使用されます。

    • アウトバウンドデータ接続(プロキシドトラフィック)
    • Zscalerクラウドへのアウトバウンド コントロール接続
    • ロードバランサーによるヘルスモニタリング
    • 仮想サービスエッジスタンドアロンでは、ユーザー トラフィックをリッスンするために使用されます
    これは、ロード バランサーおよびクラスターIPアドレスと同じサブネット内に存在する必要があります。これは、ZIA管理ポータルで仮想サービスエッジインスタンスを作成するときに使用されます。
    ロードバランサーのIPアドレスこれは、Zscalerクラウドへの送信制御接続を確立し、ユーザーからの最初のリクエストを受信するために使用されます。プロキシおよびクラスタのIPアドレスと同じサブネットに存在する必要があります。Virtual Servide Edgeスタンドアロンでは必要ありません。
    クラスタIPアドレス仮想サービスエッジクラスターでは、フォールト トレランスを実現し、ユーザー トラフィックをリッスンするために使用されます。このインターフェイスは、明示的にIPアドレスを取得しませんプロキシーおよびロード バランサーのIPアドレスと同じVLAN内にある必要があります。仮想サービスエッジスタンドアロンには必要ありません。
    閉じる

仮想サービスエッジクラスターの設定

仮想サービスエッジクラスターを設定する場合は、少なくとも2つの仮想サービスエッジインスタンスを作成し、それぞれのSSL証明書をダウンロードする必要があります。仮想サービスエッジのVMにはそれぞれ一意のSSL証明書が必要であり、これはZIA管理ポータルからダウンロードできます。

仮想サービスエッジクラスターを設定するには、以下の手順を実行します。

  • 1. 仮想サービスエッジインスタンスを追加する
  • クラスター内の各仮想サービスエッジのHyper-V VMファイルをダウンロードするには、以下の手順を実行します。

    1. [管理]>[仮想サービス エッジ]に移動します。
    2. [Hyper-V VMファイルのダウンロード]をクリックします。

    Hyper-V VMファイルのダウンロードに失敗した場合は、イメージのZscalerサポートにお問い合わせください。

    閉じる
  • 3. 仮想サービスエッジ証明書をダウンロードする
  • 4. 仮想サービスエッジクラスターを追加する
  • ロケーションを追加し、仮想サービスエッジクラスター(またはスタンドアロン仮想サービスエッジ)をバインドして、組織が認証、ファイアウォール、SSLインスペクション、ロケーション レベルのポリシーなどの機能を有効にできるようにします。サービスは、仮想サービスエッジで受信するトラフィックをそのロケーションに関連付け、そのロケーションに設定された機能とポリシーを適用します。

    仮想サービスエッジまたは仮想サービスエッジクラスターをロケーションにバインドするには、以下の手順を実行します。

    1. [管理]>[ロケーション]の順に移動します。
    2. [ロケーションを追加]をクリックするか、既存のロケーションの[編集]のアイコンをクリックします。

      [ロケーションを追加]ウィンドウまたは[ロケーションの編集]ウィンドウが表示されます。

    3. [ロケーション の追加] ウィンドウまたは [ロケーションの編集] ウィンドウで、次のいずれかの操作を行います。

      • [仮想サービス エッジ]:ロケーションにバインドするスタンドアロン仮想サービスエッジを選択します。
      • [仮想サービスエッジクラスター]:ロケーションにバインドする仮想サービスエッジクラスターを選択します。

      その他のフィールドの詳細については、ロケーションの設定を参照してください。

    4. 保存 をクリックします。
    閉じる
  • Zscalerは、ロード バランサー(LB)から仮想サービスエッジへのICMPおよびHTTP監視を実行して、仮想サービスエッジの正常性を監視し、トラフィックが適切に分散されるようにします。正常性プローブを機能させるには、すべての仮想サービスエッジプロキシー、ロード バランサーおよびクラスターIPアドレスを許可するファイアウォール フィルター規則を作成する必要があります。

    ファイアウォールフィルタリングルールを作成する手順。

    1. [ポリシー]>[ファイアウォールコントロール]に移動します。
    2. ファイアウォールフィルタリングルールの追加 をクリックします。

      [ファイアウォールフィルタリングルールの追加]ウィンドウが表示されます。

    3. [ファイアウォールフィルタリングルールの追加]ウィンドウで、[送信元ースIP]タブをクリックします。
    4. [IPアドレス]に、仮想サービス エッジの次のIPアドレスを追加します。
    5. ネットワークトラフィック で、 許可 を選択します。
    6. 保存変更を有効にする をクリックします。
    閉じる
  • 仮想サービスエッジクラスターを展開する場合は、各仮想サービスエッジインスタンスをHyper-Vマネージャー上のVMとして設定する必要があります。

    Zscalerでは、フォールト トレランスを実現するために、インスタンスごとに異なるサーバーを使用することをお勧めします。

    Hyper-Vマネージャーで仮想サービスエッジを設定するには、以下の手順を実行します。

    1. Hyper-VマネージャーのWindowsアプリケーションを起動します。
    2. [アクション]メニューまたはペインで、[新規]をクリックし[仮想マシン]を選択します。

      New Virtual Machine Wizardが表示されます。

    3. [開始する前に]画面で、コンテンツを確認し、[次へ]をクリックします。
    4. [名前とロケーションの指定]画面で、次の操作を行います。
      1. [名前]フィールドに、VMの名前を入力します。
      2. (オプション)[仮想マシンを別のロケーションに保存する]を選択し、[ロケーション]フィールドで、VMを格納するロケーションへのパスを指定します。

        デフォルトでは、VMのロケーションはC:\ProgramData\Microsoft\Windows\Hyper-V\ に設定され、このフィールドは淡色表示になっています。

      3. [次へ]をクリックします。
    5. [世代の指定]画面で、[第1世代]を選択し、[次へ]をクリックします。
    6. [メモリの割り当て]画面で、[スタートアップメモリ]を32768MBに設定し、[次へ]をクリックします。
    7. [ネットワークの構成]画面で、物理NICに接続する仮想スイッチを選択し、[次へ]をクリックします。
    8. [仮想ハード ディスクの接続]画面で、次の操作を行います。
      1. [既存の仮想ハード ディスクを使用する]を選択します。
      2. [ロケーション]フィールドで、ダウンロードしたHyper-V VMファイルがディスクに配置されているロケーションへのパスを指定します。
      3. 完了 をクリックします。
    9. 新しく作成したVMの[設定]をクリックします。
    10. さらに2つのNICを追加し、接続する必要がある仮想スイッチを選択します。
    11. 3番目のNICの[高度な機能]で、[MAC アドレス スプーフィングを有効にする]を選択します。

      仮想サービスエッジの3番目のNICでは、ロード バランサーによってCARPが有効になっています。そのため、MACアドレス スプーフィングを有効にすると、仮想/クラスターIPによるフレームの送信が容易になります。

    12. [OK]をクリックします。
    13. 仮想サービスエッジのVMを選択し、[パワーオン]ボタンまたは[仮想マシンのパワーオン]をクリックします。
    14. [コンソール]タブで、以下の認証情報でFreeBSDコマンドプロンプトにログインします。

      • ユーザー名:zsroot
      • パスワード:zsroot

      以下のガイドラインが適用されます。

      • Zscalerでは、passwdというコマンドを実行して、このデフォルトのパスワードを変更することを強くお勧めします。
      • rootでの直接ログインは禁止されています。管理者は、より高い権限を持つコマンドを実行するために、sudoユーティリティを使用する必要があります。
    15. 次のコマンドを実行して、ネットワークを構成します。
    sudo vzen configure-network
    1. 以下の情報を指定します。
      • Zscalerクラウドのドメインの名前解決とプロキシー トラフィックのドメイン名に使用されるDNSサーバーのアドレス(例:10.84.0.100)。
      • CIDRネットマスクを使用した管理インターフェイスIP。SSHまたはFTPには管理IPアドレスを使用します(例:10.84.0.110/24)。
      • デフォルト ゲートウェイのIPアドレス(例:10.84.0.200)。
      • 仮想サービスエッジのホスト名
    2. クラスター内の仮想サービスエッジインスタンスのSSL証明書をインストールします。これらは、ZIA管理ポータルからダウンロードした証明書です。仮想サービスエッジは、この証明書を使用して、Zscalerサービスに対して自身を認証します。仮想サービスエッジクラスターを設定する場合は、各仮想サービスエッジインスタンスに正しい証明書をアップロードしてください。
      1. 保存したSSL証明書に移動します。
      2. SCPまたはSFTPを使用して、仮想サービスエッジの管理IPアドレスにアップロードします。
      3. Hyper-Vクライアントで、[コンソール]タブをクリックし、以下の認証情報でログインします。
        ユーザー名:zsroot
        パスワード:zsroot
      4. Console タブを開くか、SSH を使用して管理IPアドレスに接続します。
      5. 以下のコマンドを実行します。
    sudo vzen install-cert < cert-bundle.zip>

    必ず、SSL証明書への絶対パスを指定してください(例:sudo vzen install-cert /tmp/cert-bundle.zip)。

    1. (省略可) SNMP管理システムを使用して仮想サービスエッジクラスターを監視する場合は、仮想サービスエッジ用にSNMPを有効にし、SNMPパラメーターを設定します。仮想サービス エッジはSNMPv3のみをサポートします。
      1. 以下のコマンドを実行します。
    sudo vzen snmp-admin-configure
    1. 仮想サービスエッジにクエリーを送信するSNMPv3管理システムのユーザ名を入力します。仮想サービスエッジはこのユーザー名からのクエリーのみを受け入れます。
    2. 仮想サービスエッジがSNMP管理システムの認証に使用するパスワードを入力します。
    3. 仮想サービスエッジがSNMPユーザーの認証に使用できる認証プロトコルを指定します。MD5またはSHA1と入力します。
    4. 仮想サービスエッジがSNMPユーザーの認証に使用できる暗号化方式を指定します。DESまたはAESと入力します。
    5. 以下のコマンドを実行します。
    sudo vzen snmp-trap-configure
    1. 構成するトラップを尋ねられたら、v3トラップを入力します。
    2. 仮想サービスエッジがトラップを送信するSNMPトラップ管理システムのIPアドレスを入力します。
    3. SNMP管理システムのユーザー名を入力します。
    4. 仮想サービスエッジがSNMP管理システムの認証に使用するパスワードを入力します。
    5. 仮想サービスエッジがSNMPユーザーの認証に使用できる認証プロトコルを指定します。MD5またはSHA1と入力します。
    6. 仮想サービスエッジがSNMPユーザーの認証に使用できる暗号化方式を指定します。DESまたはAESと入力します。
    7. 仮想サービスエッジビルドをダウンロードし、仮想サービスエッジを開始します。

      1. Hyper-Vクライアントで、[コンソール]タブをクリックするか、SSHを使用して管理IPアドレスに接続します。
      2. 次のコマンドを実行して、仮想サービスエッジビルドをダウンロードします。
      sudo vzen download-build

      初期ビルドは約1GBであるため、インターネット接続によっては時間がかかる場合があります。ダウンロードしたビルドは自動的にインストールされます。インストールが完了すると、仮想サービスエッジが自動的に開始されます。

    閉じる

構成のテスト

設定をテストするには

  1. Hyper-Vクライアントで、[コンソール]タブをクリックするか、SSHを使用して管理IPアドレスに接続します。
  2. 以下のコマンドを実行します。
sudo vzen status

出力には、仮想サービスエッジサービスとロード バランサーが実行されていることが示されます。

  1. 以下のコマンドを実行します。
sudo vzen troubleshoot connection | grep 9422

出力で、確立された接続が表示されます。

仮想サービスエッジクラスターを設定したら、仮想サービス エッジへのトラフィックの転送で説明されているメカニズムの1つを使用して、インターネット トラフィックをそのクラスターに転送できます。仮想サービスエッジの健全性の監視方法など、仮想サービスエッジクラスターの監視については、仮想サービスエッジクラスターの監視を参照してください。

関連記事s
仮想サービス エッジについて仮想サービスエッジクラスタについて仮想サービスエッジクラスタの設定 Virtual Service Edgeクラスターでの外部ロード バランサーの使用Microsoft Azureの仮想サービスエッジクラスタの設定Amazon Web Services用Virtual Service Edgeを設定するGWLBによるAmazon Web Services用仮想サービス エッジの構成Microsoft Hyper-Vの仮想サービス エッジの構成Google Cloud Platformの仮想サービスエッジの設定仮想サービスエッジインスタンスの追加仮想サービスエッジクラスタの追加仮想サービスエッジVMのダウンロード仮想サービスエッジ証明書のダウンロード仮想サービスエッジとNTPサーバの同期の設定デュアルアームモード用仮想サービスエッジ設定ガイド仮想サービス エッジ用Kerberosの展開仮想サービス エッジへのトラフィックの転送