インターネットとSaaSへのセキュアなアクセス(ZIA)
Microsoft Hyper-Vの仮想サービス エッジの構成
Zscalerは、Microsoft Hyper-Vでの本番展開用にスタンドアロン仮想サービスエッジをサポートしています。
必要条件
以下の要件をすべて満たしていることを確認してください。
- 仮想サービスエッジクラスターには、本番環境にn+1の冗長性を提供するために、少なくとも2つの仮想サービスエッジインスタンスが含まれている必要があります。最大16個の仮想サービスエッジインスタンスを含めることができます。クラスター内の仮想サービスエッジごとにサブスクリプション ライセンス数が必要です。
- 仮想サービス エッジ Zscalerクラウドへの送信接続のみが必要です。必要な送信接続を許可するようにファイアウォールを構成します。ファイアウォールの要件を表示するには、ZIA管理ポータルにログインし、[ヘルプ]>[クラウド設定要件]>[ZIA 仮想サービスエッジ]に移動します。
画像を参照してください。 - ライセンスがニーズに適していることを確認します。[管理]>[会社プロファイル]>[サブスクリプション]に移動し、仮想サービス エッジを探し、サーバー数を確認します。
- 仮想サービスエッジクラスターの仮想マシンの仕様は次のとおりです。
- [ハイパーバイザー]:Hyper-V機能が有効になっているWindows Server 2019
- [無差別モード]オプションは、仮想スイッチでMicrosoft NDISキャプチャーを使用して有効にする必要があります。Zscalerのロード バランサーと仮想サービス エッジは、Common Address Redundancy Protocol (CARP)を使用して、複数の仮想サービスエッジインスタンス間のトラフィックを処理します。これをサポートするには、Windows Serverで無差別モードを有効にする必要があります。
- [ハイパーバイザー]:Hyper-V機能が有効になっているWindows Server 2019
次のPowerShellコマンドを実行して、無作為検出モードを有効にします。
PS C:\Users\Administrator> $extention=VMSystemswitchextensionportfeature -FeatureID 776e0ba7-94a1-41c8-8f28-951f524251b5 PS C:\Users\Administrator> $extension.SettingData.MonitorMode=2 PS C:\Users\Administrator> Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName <vSwitch-name> -VMSwitchExtensionFeature $extension
これらのコマンドは、管理者として実行する必要があります。
- Microsoft NDISキャプチャが、Hyper-V Windowsマネージャーの仮想スイッチ マネージャーの仮想スイッチに対して有効になっていることを確認します。
- [CPU]:4CPUコア
- [最低限必要なRAM]: 32GB
- [推奨RAM]: 48GB (運用環境用)
- [ディスク]: 500GB (シン プロビジョニング)。Zscalerでは、SSDの使用をお勧めします。
- [ネットワーク インターフェイス]: 3つのインターフェイス(1つは管理用、1つは仮想サービスエッジ用、1つはロード バランサー用)。これらのインターフェイスは、同じVLAN上にある必要があります。このVLANは、ユーザー トラフィックからアクセス可能であり、インターネットへのアウトバウンド アクセスが必要です。
- 必要なIPアドレスを次の表に示します。閉じる
仮想サービスエッジクラスターの設定
仮想サービスエッジクラスターを設定する場合は、少なくとも2つの仮想サービスエッジインスタンスを作成し、それぞれのSSL証明書をダウンロードする必要があります。仮想サービスエッジのVMにはそれぞれ一意のSSL証明書が必要であり、これはZIA管理ポータルからダウンロードできます。
仮想サービスエッジクラスターを設定するには、以下の手順を実行します。
- 1. 仮想サービスエッジインスタンスを追加する
- 2.Hyper-V VMファイルをダウンロードする
- 3. 仮想サービスエッジ証明書をダウンロードする
- 4. 仮想サービスエッジクラスターを追加する
- 5. 仮想サービスエッジクラスターをロケーションにバインドする
ロケーションを追加し、仮想サービスエッジクラスター(またはスタンドアロン仮想サービスエッジ)をバインドして、組織が認証、ファイアウォール、SSLインスペクション、ロケーション レベルのポリシーなどの機能を有効にできるようにします。サービスは、仮想サービスエッジで受信するトラフィックをそのロケーションに関連付け、そのロケーションに設定された機能とポリシーを適用します。
仮想サービスエッジまたは仮想サービスエッジクラスターをロケーションにバインドするには、以下の手順を実行します。
- [管理]>[ロケーション]の順に移動します。
[ロケーションを追加]をクリックするか、既存のロケーションの[編集]のアイコンをクリックします。
[ロケーションを追加]ウィンドウまたは[ロケーションの編集]ウィンドウが表示されます。
[ロケーション の追加] ウィンドウまたは [ロケーションの編集] ウィンドウで、次のいずれかの操作を行います。
- [仮想サービス エッジ]:ロケーションにバインドするスタンドアロン仮想サービスエッジを選択します。
[仮想サービスエッジクラスター]:ロケーションにバインドする仮想サービスエッジクラスターを選択します。
その他のフィールドの詳細については、ロケーションの設定を参照してください。
- 保存 をクリックします。
- 6. 仮想サービスエッジのIPアドレスをバイパスするファイアウォール フィルタリング ルールを作成する
Zscalerは、ロード バランサー(LB)から仮想サービスエッジへのICMPおよびHTTP監視を実行して、仮想サービスエッジの正常性を監視し、トラフィックが適切に分散されるようにします。正常性プローブを機能させるには、すべての仮想サービスエッジプロキシー、ロード バランサーおよびクラスターIPアドレスを許可するファイアウォール フィルター規則を作成する必要があります。
ファイアウォールフィルタリングルールを作成する手順。
- [ポリシー]>[ファイアウォールコントロール]に移動します。
ファイアウォールフィルタリングルールの追加 をクリックします。
[ファイアウォールフィルタリングルールの追加]ウィンドウが表示されます。
- [ファイアウォールフィルタリングルールの追加]ウィンドウで、[送信元ースIP]タブをクリックします。
- [IPアドレス]に、仮想サービス エッジの次のIPアドレスを追加します。
- プロキシIPアドレス
- ロードバランサーIPアドレス
クラスターIPアドレス
これらは、ステップ4で作成したIPアドレスです。その他のフィールドの詳細については、ファイアウォール フィルタリング ポリシーの設定を参照してください。
- ネットワークトラフィック で、 許可 を選択します。
- 保存 と 変更を有効にする をクリックします。
- 7. 仮想サービスエッジのVMを設定する
仮想サービスエッジクラスターを展開する場合は、各仮想サービスエッジインスタンスをHyper-Vマネージャー上のVMとして設定する必要があります。
Zscalerでは、フォールト トレランスを実現するために、インスタンスごとに異なるサーバーを使用することをお勧めします。
Hyper-Vマネージャーで仮想サービスエッジを設定するには、以下の手順を実行します。
- Hyper-VマネージャーのWindowsアプリケーションを起動します。
[アクション]メニューまたはペインで、[新規]をクリックし[仮想マシン]を選択します。
New Virtual Machine Wizardが表示されます。
- [開始する前に]画面で、コンテンツを確認し、[次へ]をクリックします。
- [名前とロケーションの指定]画面で、次の操作を行います。
- [名前]フィールドに、VMの名前を入力します。
(オプション)[仮想マシンを別のロケーションに保存する]を選択し、[ロケーション]フィールドで、VMを格納するロケーションへのパスを指定します。
デフォルトでは、VMのロケーションはC:\ProgramData\Microsoft\Windows\Hyper-V\ に設定され、このフィールドは淡色表示になっています。
- [次へ]をクリックします。
- [世代の指定]画面で、[第1世代]を選択し、[次へ]をクリックします。
- [メモリの割り当て]画面で、[スタートアップメモリ]を32768MBに設定し、[次へ]をクリックします。
- [ネットワークの構成]画面で、物理NICに接続する仮想スイッチを選択し、[次へ]をクリックします。
- [仮想ハード ディスクの接続]画面で、次の操作を行います。
- [既存の仮想ハード ディスクを使用する]を選択します。
- [ロケーション]フィールドで、ダウンロードしたHyper-V VMファイルがディスクに配置されているロケーションへのパスを指定します。
- 完了 をクリックします。
- 新しく作成したVMの[設定]をクリックします。
- さらに2つのNICを追加し、接続する必要がある仮想スイッチを選択します。
3番目のNICの[高度な機能]で、[MAC アドレス スプーフィングを有効にする]を選択します。
仮想サービスエッジの3番目のNICでは、ロード バランサーによってCARPが有効になっています。そのため、MACアドレス スプーフィングを有効にすると、仮想/クラスターIPによるフレームの送信が容易になります。
- [OK]をクリックします。
- 仮想サービスエッジのVMを選択し、[パワーオン]ボタンまたは[仮想マシンのパワーオン]をクリックします。
[コンソール]タブで、以下の認証情報でFreeBSDコマンドプロンプトにログインします。
- ユーザー名:zsroot
- パスワード:zsroot
以下のガイドラインが適用されます。
- Zscalerでは、passwdというコマンドを実行して、このデフォルトのパスワードを変更することを強くお勧めします。
- rootでの直接ログインは禁止されています。管理者は、より高い権限を持つコマンドを実行するために、sudoユーティリティを使用する必要があります。
- 次のコマンドを実行して、ネットワークを構成します。
sudo vzen configure-network
- 以下の情報を指定します。
- Zscalerクラウドのドメインの名前解決とプロキシー トラフィックのドメイン名に使用されるDNSサーバーのアドレス(例:10.84.0.100)。
- CIDRネットマスクを使用した管理インターフェイスIP。SSHまたはFTPには管理IPアドレスを使用します(例:10.84.0.110/24)。
- デフォルト ゲートウェイのIPアドレス(例:10.84.0.200)。
- 仮想サービスエッジのホスト名
- クラスター内の仮想サービスエッジインスタンスのSSL証明書をインストールします。これらは、ZIA管理ポータルからダウンロードした証明書です。仮想サービスエッジは、この証明書を使用して、Zscalerサービスに対して自身を認証します。仮想サービスエッジクラスターを設定する場合は、各仮想サービスエッジインスタンスに正しい証明書をアップロードしてください。
- 保存したSSL証明書に移動します。
- SCPまたはSFTPを使用して、仮想サービスエッジの管理IPアドレスにアップロードします。
- Hyper-Vクライアントで、[コンソール]タブをクリックし、以下の認証情報でログインします。
ユーザー名:zsroot
パスワード:zsroot - Console タブを開くか、SSH を使用して管理IPアドレスに接続します。
- 以下のコマンドを実行します。
sudo vzen install-cert < cert-bundle.zip>
必ず、SSL証明書への絶対パスを指定してください(例:
sudo vzen install-cert /tmp/cert-bundle.zip
)。- (省略可) SNMP管理システムを使用して仮想サービスエッジクラスターを監視する場合は、仮想サービスエッジ用にSNMPを有効にし、SNMPパラメーターを設定します。仮想サービス エッジはSNMPv3のみをサポートします。
- 以下のコマンドを実行します。
sudo vzen snmp-admin-configure
- 仮想サービスエッジにクエリーを送信するSNMPv3管理システムのユーザ名を入力します。仮想サービスエッジはこのユーザー名からのクエリーのみを受け入れます。
- 仮想サービスエッジがSNMP管理システムの認証に使用するパスワードを入力します。
- 仮想サービスエッジがSNMPユーザーの認証に使用できる認証プロトコルを指定します。MD5またはSHA1と入力します。
- 仮想サービスエッジがSNMPユーザーの認証に使用できる暗号化方式を指定します。DESまたはAESと入力します。
- 以下のコマンドを実行します。
sudo vzen snmp-trap-configure
- 構成するトラップを尋ねられたら、v3トラップを入力します。
- 仮想サービスエッジがトラップを送信するSNMPトラップ管理システムのIPアドレスを入力します。
- SNMP管理システムのユーザー名を入力します。
- 仮想サービスエッジがSNMP管理システムの認証に使用するパスワードを入力します。
- 仮想サービスエッジがSNMPユーザーの認証に使用できる認証プロトコルを指定します。MD5またはSHA1と入力します。
- 仮想サービスエッジがSNMPユーザーの認証に使用できる暗号化方式を指定します。DESまたはAESと入力します。
仮想サービスエッジビルドをダウンロードし、仮想サービスエッジを開始します。
- Hyper-Vクライアントで、[コンソール]タブをクリックするか、SSHを使用して管理IPアドレスに接続します。
- 次のコマンドを実行して、仮想サービスエッジビルドをダウンロードします。
sudo vzen download-build
初期ビルドは約1GBであるため、インターネット接続によっては時間がかかる場合があります。ダウンロードしたビルドは自動的にインストールされます。インストールが完了すると、仮想サービスエッジが自動的に開始されます。
構成のテスト
設定をテストするには
- Hyper-Vクライアントで、[コンソール]タブをクリックするか、SSHを使用して管理IPアドレスに接続します。
- 以下のコマンドを実行します。
sudo vzen status
出力には、仮想サービスエッジサービスとロード バランサーが実行されていることが示されます。
画像を参照してください。
- 以下のコマンドを実行します。
sudo vzen troubleshoot connection | grep 9422
出力で、確立された接続が表示されます。
仮想サービスエッジクラスターを設定したら、仮想サービス エッジへのトラフィックの転送で説明されているメカニズムの1つを使用して、インターネット トラフィックをそのクラスターに転送できます。仮想サービスエッジの健全性の監視方法など、仮想サービスエッジクラスターの監視については、仮想サービスエッジクラスターの監視を参照してください。