Zscalerは、Microsoft Hyper-Vでの本番展開用にスタンドアロン仮想サービスエッジをサポートしています。

必要条件

以下の要件をすべて満たしていることを確認してください。

• 仮想サービスエッジクラスターには、本番環境にn+1の冗長性を提供するために、少なくとも2つの仮想サービスエッジインスタンスが含まれている必要があります。最大16個の仮想サービスエッジインスタンスを含めることができます。クラスター内の仮想サービスエッジごとにサブスクリプション ライセンス数が必要です。
• 仮想サービス エッジ Zscalerクラウドへの送信接続のみが必要です。必要な送信接続を許可するようにファイアウォールを構成します。ファイアウォールの要件を表示するには、ZIA管理ポータルにログインし、[ヘルプ]>[クラウド設定要件]>[ZIA 仮想サービスエッジ]に移動します。
  画像を参照してください。

  

  閉じる
• ライセンスがニーズに適していることを確認します。[管理]>[会社プロファイル]>[サブスクリプション]に移動し、仮想サービス エッジを探し、サーバー数を確認します。
• 仮想サービスエッジクラスターの仮想マシンの仕様は次のとおりです。
  • [ハイパーバイザー]：Hyper-V機能が有効になっているWindows Server 2019
    • [無差別モード]オプションは、仮想スイッチでMicrosoft NDISキャプチャーを使用して有効にする必要があります。Zscalerのロード バランサーと仮想サービス エッジは、Common Address Redundancy Protocol (CARP)を使用して、複数の仮想サービスエッジインスタンス間のトラフィックを処理します。これをサポートするには、Windows Serverで無差別モードを有効にする必要があります。

次のPowerShellコマンドを実行して、無作為検出モードを有効にします。

PS C:\Users\Administrator> $extention=VMSystemswitchextensionportfeature -FeatureID 776e0ba7-94a1-41c8-8f28-951f524251b5
PS C:\Users\Administrator> $extension.SettingData.MonitorMode=2
PS C:\Users\Administrator> Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName <vSwitch-name> -VMSwitchExtensionFeature $extension

これらのコマンドは、管理者として実行する必要があります。

• Microsoft NDISキャプチャが、Hyper-V Windowsマネージャーの仮想スイッチ マネージャーの仮想スイッチに対して有効になっていることを確認します。

画像を見る。

• [CPU]：4CPUコア
• [最低限必要なRAM]: 32GB
• [推奨RAM]: 48GB (運用環境用)
• [ディスク]: 500GB (シン プロビジョニング)。Zscalerでは、SSDの使用をお勧めします。
• [ネットワーク インターフェイス]: 3つのインターフェイス(1つは管理用、1つは仮想サービスエッジ用、1つはロード バランサー用)。これらのインターフェイスは、同じVLAN上にある必要があります。このVLANは、ユーザー トラフィックからアクセス可能であり、インターネットへのアウトバウンド アクセスが必要です。
• 必要なIPアドレスを次の表に示します。

  IPアドレス	目的	必要条件
  管理用IPアドレス	これは、管理のために仮想サービスエッジのVMへのSSH接続を確立するために使用されます。また、Zscalerクラウドから仮想サービスエッジビルドをダウンロードするためにも使用されます。	インストール時に仮想サービスエッジ管理者がSSH経由でアクセスでき、インターネットへのアウトバウンド アクセスが必要です。これは、仮想サービスエッジ CLIで設定します。
  プロキシIPアドレス	これは、次の目的で使用されます。 アウトバウンドデータ接続(プロキシドトラフィック) Zscalerクラウドへのアウトバウンド コントロール接続 ロードバランサーによるヘルスモニタリング 仮想サービスエッジスタンドアロンでは、ユーザー トラフィックをリッスンするために使用されます	これは、ロード バランサーおよびクラスターIPアドレスと同じサブネット内に存在する必要があります。これは、ZIA管理ポータルで仮想サービスエッジインスタンスを作成するときに使用されます。
  ロードバランサーのIPアドレス	これは、Zscalerクラウドへの送信制御接続を確立し、ユーザーからの最初のリクエストを受信するために使用されます。	プロキシおよびクラスタのIPアドレスと同じサブネットに存在する必要があります。Virtual Servide Edgeスタンドアロンでは必要ありません。
  クラスタIPアドレス	仮想サービスエッジクラスターでは、フォールト トレランスを実現し、ユーザー トラフィックをリッスンするために使用されます。このインターフェイスは、明示的にIPアドレスを取得しません	プロキシーおよびロード バランサーのIPアドレスと同じVLAN内にある必要があります。仮想サービスエッジスタンドアロンには必要ありません。

  閉じる

仮想サービスエッジクラスターの設定

仮想サービスエッジクラスターを設定する場合は、少なくとも2つの仮想サービスエッジインスタンスを作成し、それぞれのSSL証明書をダウンロードする必要があります。仮想サービスエッジのVMにはそれぞれ一意のSSL証明書が必要であり、これはZIA管理ポータルからダウンロードできます。

仮想サービスエッジクラスターを設定するには、以下の手順を実行します。

• 1. 仮想サービスエッジインスタンスを追加する
• 2.Hyper-V VMファイルをダウンロードする

  クラスター内の各仮想サービスエッジのHyper-V VMファイルをダウンロードするには、以下の手順を実行します。

  1. [管理]>[仮想サービス エッジ]に移動します。
  2. [Hyper-V VMファイルのダウンロード]をクリックします。

  Hyper-V VMファイルのダウンロードに失敗した場合は、イメージのZscalerサポートにお問い合わせください。

  画像を見る。

  

  閉じる

  閉じる
• 3. 仮想サービスエッジ証明書をダウンロードする
• 4. 仮想サービスエッジクラスターを追加する
• 5. 仮想サービスエッジクラスターをロケーションにバインドする

  ロケーションを追加し、仮想サービスエッジクラスター(またはスタンドアロン仮想サービスエッジ)をバインドして、組織が認証、ファイアウォール、SSLインスペクション、ロケーション レベルのポリシーなどの機能を有効にできるようにします。サービスは、仮想サービスエッジで受信するトラフィックをそのロケーションに関連付け、そのロケーションに設定された機能とポリシーを適用します。

  仮想サービスエッジまたは仮想サービスエッジクラスターをロケーションにバインドするには、以下の手順を実行します。

  1. [管理]>[ロケーション]の順に移動します。

  2. [ロケーションを追加]をクリックするか、既存のロケーションの[編集]のアイコンをクリックします。

     [ロケーションを追加]ウィンドウまたは[ロケーションの編集]ウィンドウが表示されます。

  3. [ロケーション の追加] ウィンドウまたは [ロケーションの編集] ウィンドウで、次のいずれかの操作を行います。

     • [仮想サービス エッジ]:ロケーションにバインドするスタンドアロン仮想サービスエッジを選択します。

     • [仮想サービスエッジクラスター]:ロケーションにバインドする仮想サービスエッジクラスターを選択します。

       画像を見る。

       

       閉じる

     その他のフィールドの詳細については、ロケーションの設定を参照してください。

  4. 保存 をクリックします。

  閉じる
• 6. 仮想サービスエッジのIPアドレスをバイパスするファイアウォール フィルタリング ルールを作成する

  Zscalerは、ロード バランサー(LB)から仮想サービスエッジへのICMPおよびHTTP監視を実行して、仮想サービスエッジの正常性を監視し、トラフィックが適切に分散されるようにします。正常性プローブを機能させるには、すべての仮想サービスエッジプロキシー、ロード バランサーおよびクラスターIPアドレスを許可するファイアウォール フィルター規則を作成する必要があります。

  ファイアウォールフィルタリングルールを作成する手順。

  1. [ポリシー]>[ファイアウォールコントロール]に移動します。

  2. ファイアウォールフィルタリングルールの追加 をクリックします。

     [ファイアウォールフィルタリングルールの追加]ウィンドウが表示されます。

  3. [ファイアウォールフィルタリングルールの追加]ウィンドウで、[送信元ースIP]タブをクリックします。
  4. [IPアドレス]に、仮想サービス エッジの次のIPアドレスを追加します。
     • プロキシIPアドレス
     • ロードバランサーIPアドレス

     • クラスターIPアドレス

       これらは、ステップ4で作成したIPアドレスです。その他のフィールドの詳細については、ファイアウォール フィルタリング ポリシーの設定を参照してください。

  5. ネットワークトラフィック で、 許可 を選択します。
  6. 保存 と 変更を有効にする をクリックします。

  閉じる
• 7. 仮想サービスエッジのVMを設定する

  仮想サービスエッジクラスターを展開する場合は、各仮想サービスエッジインスタンスをHyper-Vマネージャー上のVMとして設定する必要があります。

  Zscalerでは、フォールト トレランスを実現するために、インスタンスごとに異なるサーバーを使用することをお勧めします。

  Hyper-Vマネージャーで仮想サービスエッジを設定するには、以下の手順を実行します。

  1. Hyper-VマネージャーのWindowsアプリケーションを起動します。

  2. [アクション]メニューまたはペインで、[新規]をクリックし[仮想マシン]を選択します。

     New Virtual Machine Wizardが表示されます。

  3. [開始する前に]画面で、コンテンツを確認し、[次へ]をクリックします。
  4. [名前とロケーションの指定]画面で、次の操作を行います。
     1. [名前]フィールドに、VMの名前を入力します。

     2. (オプション)[仮想マシンを別のロケーションに保存する]を選択し、[ロケーション]フィールドで、VMを格納するロケーションへのパスを指定します。

        デフォルトでは、VMのロケーションはC:\ProgramData\Microsoft\Windows\Hyper-V\ に設定され、このフィールドは淡色表示になっています。

     3. [次へ]をクリックします。
  5. [世代の指定]画面で、[第1世代]を選択し、[次へ]をクリックします。
  6. [メモリの割り当て]画面で、[スタートアップメモリ]を32768MBに設定し、[次へ]をクリックします。
  7. [ネットワークの構成]画面で、物理NICに接続する仮想スイッチを選択し、[次へ]をクリックします。
  8. [仮想ハード ディスクの接続]画面で、次の操作を行います。
     1. [既存の仮想ハード ディスクを使用する]を選択します。
     2. [ロケーション]フィールドで、ダウンロードしたHyper-V VMファイルがディスクに配置されているロケーションへのパスを指定します。
     3. 完了 をクリックします。
  9. 新しく作成したVMの[設定]をクリックします。
  10. さらに2つのNICを追加し、接続する必要がある仮想スイッチを選択します。

  11. 3番目のNICの[高度な機能]で、[MAC アドレス スプーフィングを有効にする]を選択します。

      仮想サービスエッジの3番目のNICでは、ロード バランサーによってCARPが有効になっています。そのため、MACアドレス スプーフィングを有効にすると、仮想/クラスターIPによるフレームの送信が容易になります。

      画像を見る。

      

      閉じる

  12. [OK]をクリックします。
  13. 仮想サービスエッジのVMを選択し、[パワーオン]ボタンまたは[仮想マシンのパワーオン]をクリックします。

  14. [コンソール]タブで、以下の認証情報でFreeBSDコマンドプロンプトにログインします。

      • ユーザー名：zsroot
      • パスワード：zsroot

      以下のガイドラインが適用されます。

      • Zscalerでは、passwdというコマンドを実行して、このデフォルトのパスワードを変更することを強くお勧めします。
      • rootでの直接ログインは禁止されています。管理者は、より高い権限を持つコマンドを実行するために、sudoユーティリティを使用する必要があります。
  15. 次のコマンドを実行して、ネットワークを構成します。

  sudo vzen configure-network

  16. 以下の情報を指定します。
      • Zscalerクラウドのドメインの名前解決とプロキシー トラフィックのドメイン名に使用されるDNSサーバーのアドレス(例：10.84.0.100)。
      • CIDRネットマスクを使用した管理インターフェイスIP。SSHまたはFTPには管理IPアドレスを使用します(例：10.84.0.110/24)。
      • デフォルト ゲートウェイのIPアドレス(例：10.84.0.200)。
      • 仮想サービスエッジのホスト名
  17. クラスター内の仮想サービスエッジインスタンスのSSL証明書をインストールします。これらは、ZIA管理ポータルからダウンロードした証明書です。仮想サービスエッジは、この証明書を使用して、Zscalerサービスに対して自身を認証します。仮想サービスエッジクラスターを設定する場合は、各仮想サービスエッジインスタンスに正しい証明書をアップロードしてください。
      1. 保存したSSL証明書に移動します。
      2. SCPまたはSFTPを使用して、仮想サービスエッジの管理IPアドレスにアップロードします。
      3. Hyper-Vクライアントで、[コンソール]タブをクリックし、以下の認証情報でログインします。
         ユーザー名：zsroot
         パスワード：zsroot
      4. Console タブを開くか、SSH を使用して管理IPアドレスに接続します。
      5. 以下のコマンドを実行します。

  sudo vzen install-cert < cert-bundle.zip>

  必ず、SSL証明書への絶対パスを指定してください(例：sudo vzen install-cert /tmp/cert-bundle.zip)。

  18. (省略可) SNMP管理システムを使用して仮想サービスエッジクラスターを監視する場合は、仮想サービスエッジ用にSNMPを有効にし、SNMPパラメーターを設定します。仮想サービス エッジはSNMPv3のみをサポートします。
      1. 以下のコマンドを実行します。

  sudo vzen snmp-admin-configure

  2. 仮想サービスエッジにクエリーを送信するSNMPv3管理システムのユーザ名を入力します。仮想サービスエッジはこのユーザー名からのクエリーのみを受け入れます。
  3. 仮想サービスエッジがSNMP管理システムの認証に使用するパスワードを入力します。
  4. 仮想サービスエッジがSNMPユーザーの認証に使用できる認証プロトコルを指定します。MD5またはSHA1と入力します。
  5. 仮想サービスエッジがSNMPユーザーの認証に使用できる暗号化方式を指定します。DESまたはAESと入力します。
  6. 以下のコマンドを実行します。

  sudo vzen snmp-trap-configure

  7. 構成するトラップを尋ねられたら、v3トラップを入力します。
  8. 仮想サービスエッジがトラップを送信するSNMPトラップ管理システムのIPアドレスを入力します。
  9. SNMP管理システムのユーザー名を入力します。
  10. 仮想サービスエッジがSNMP管理システムの認証に使用するパスワードを入力します。
  11. 仮想サービスエッジがSNMPユーザーの認証に使用できる認証プロトコルを指定します。MD5またはSHA1と入力します。
  12. 仮想サービスエッジがSNMPユーザーの認証に使用できる暗号化方式を指定します。DESまたはAESと入力します。

  13. 仮想サービスエッジビルドをダウンロードし、仮想サービスエッジを開始します。

      1. Hyper-Vクライアントで、[コンソール]タブをクリックするか、SSHを使用して管理IPアドレスに接続します。
      2. 次のコマンドを実行して、仮想サービスエッジビルドをダウンロードします。

      sudo vzen download-build

      初期ビルドは約1GBであるため、インターネット接続によっては時間がかかる場合があります。ダウンロードしたビルドは自動的にインストールされます。インストールが完了すると、仮想サービスエッジが自動的に開始されます。

  閉じる

構成のテスト

設定をテストするには

1. Hyper-Vクライアントで、[コンソール]タブをクリックするか、SSHを使用して管理IPアドレスに接続します。
2. 以下のコマンドを実行します。

sudo vzen status

出力には、仮想サービスエッジサービスとロード バランサーが実行されていることが示されます。
画像を参照してください。

3. 以下のコマンドを実行します。

sudo vzen troubleshoot connection | grep 9422

出力で、確立された接続が表示されます。

仮想サービスエッジクラスターを設定したら、仮想サービス エッジへのトラフィックの転送で説明されているメカニズムの1つを使用して、インターネット トラフィックをそのクラスターに転送できます。仮想サービスエッジの健全性の監視方法など、仮想サービスエッジクラスターの監視については、仮想サービスエッジクラスターの監視を参照してください。