セキュアなプライベート アクセス(ZPA)
展開済みApp Connectorの管理
App Connectorを展開し、適切なネットワーク構成を完了したら、次の手順を実行して、App Connectorが実行されていて正常であること、および展開前に決定したサイズとスケーラビリティの仕様が組織のニーズにまだ適切であることを確認します。
- App Connectorステータスを確認する
App Connectorのステータスは、次の2つの方法で確認できます。
App Connectorページと正常性ダッシュボードの使用 - App Connectorページにアクセスし、ZPA Admin Portal内の正常性ダッシュボードを使用して、ステータスを確認できます。
ZPA Admin Portalを使用してApp Connectorステータスを確認する手順は次の通りです。
- [構成とコントロール]>[プライベート インフラストラクチャー]>[App Connector管理]>[App Connector]に移動します。展開したApp Connectorが設定済みApp Connectorの表に表示されていることを確認します。
[ダッシュボード]>[正常性]に移動します。展開済みApp ConnectorがApp Connectorウィジェットに表示されていることを確認します。App Connectorが[正常性]ダッシュボードに表示されるには、少なくとも1回は正常に登録されている必要があります。
たとえば、[San Jose App Connector 3]を展開した場合は、次のように表示されます。
[構成とコントロール]>[プライベート インフラストラクチャー]>[App Connector管理]>[App Connector]で、次の操作を行います。
[App Connector]ウィジェットの[ダッシュボード]>[正常性]で、次の操作を行います。
systemd の使用 - systemd を使用して、ローカルシステムで zpa-connector サービスが実行されているかどうかを確認することができます。
systemdを使用してApp Connectorのステータスを確認する手順は次の通りです。
- 管理者資格情報を使用してApp Connectorコンソールにログインします。
- 次のコマンドを入力します。
[admin@zpa-connector ~]$ sudo systemctl status zpa-connector正常なApp Connectorは、通常、親プロセスと子の2つのプロセスで構成されます。ただし、親プロセスのみが存在する場合は、App Connectorが正常でないことを意味する可能性があります。たとえば、以下の出力は、アクティブ/実行中ステータスの正常なApp Connectorを示しています。PID 2696の親プロセスとPID 2705の子プロセスの両方が存在します。
zpa-connector.service - Zscaler Private Access App Connector Loaded: loaded (/usr/lib/systemd/system/zpa-connector.service; enabled; vendor preset: enabled) Active: active (running) since Thu 2016-08-18 00:58:44 UTC; 2h 16min ago Main PID: 2696 (zpa-connector) CGroup: /system.slice/zpa-connector.service ├─2696 /opt/zscaler/bin/zpa-connector └─2705 zpa-connector-child次の例は、App Connector(親プロセスPID2696を持つ)が非アクティブ/停止中ステータスであることを示しています。
zpa-connector.service - Zscaler Private Access App Connector Loaded: loaded (/usr/lib/systemd/system/zpa-connector.service; enabled; vendor preset: enabled) Active: inactive (dead) since Thu 2016-08-18 03:19:03 UTC; 9s ago Process: 2696 ExecStart=/opt/zscaler/bin/zpa-connector (code=killed, signal=TERM) Main PID: 2696 (code=killed, signal=TERM)systemdコア ダンプは、Red Hat Enterprise Linux 8(RHEL 8)ではデフォルトで有効になっています。systemdコア ダンプが有効になっている場合、RHEL 8で実行されているzpaコネクター サービスのsystemd出力にコア ダンプ情報を含めることができます。
閉じる - App Connectorサイジング仕様を確認する
App Connectorを展開後、仮想マシン(VM)イメージが要件を満たしていることを確認します。
- 管理者資格情報を使用してApp Connectorコンソールにログインします。
- 次のコマンドを入力します。
[admin@zpa-connector ~]$ free -g
使用可能なメモリーの合計が、合計列に値4として示されているように、少なくとも4 GBであることを確認します。例:
[admin@zpa-connector ~]$ free -g total used free shared buff/cache available Mem: 4 0 3 0 0 4 Swap: 0 0 0- 次のコマンドを入力します。
[admin@zpa-connector ~]$ cat /proc/cpuinfo | grep flags
リストに ht フラグが含まれているかどうかを確認します。以下の例では、フラグが緑色でハイライトされています。
フラグ:fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ht syscall nx rdtscp lm constant_tsc rep_good noplxtopology eagerfpu pnipclmulqdq ssse3 fma cx16 pcid sse4_1 sse4_2 x2apic movbe popcnt tsc_deadline_timer aes xsave avx f16c rdrand hypervisor lahf_lm abm fsgsbase bmi1 avx2 smep bmi2 erms invpcid xsaveopt- 次のコマンドを入力します。
[admin@zpa-connector ~]$ cat /proc/cpuinfo | grep processor
プロセッサのリストなどが表示されるはずです。
processor : 0 processor : 1 processor : 2 processor : 3
ステップ3のフラグリストに ht が含まれている場合、ここに最低4プロセッサが表示されるはずです。そうでない場合は、最低でも2つのプロセッサが表示されるはずです。
詳細は、「App Connector仕様とサイジング要件」を参照してください。
閉じる
配置を確認したら、次の手順を実行して、システムを管理および保守します。
- App Connectorシステム コンソールのデフォルトの管理者パスワードを変更する
デフォルトの管理者アカウントのユーザー名はadminで、パスワードはzscalerです。セキュリティを強化するには、
passwdコマンドを使用してデフォルトの管理者アカウントの資格情報を変更する必要があります。変更した管理者アカウントのパスワードを忘れた場合は、Zscalerでは、新しいApp Connectorを回復を試みるのではなく、展開することを推奨します。デフォルトの管理者アカウントの認証情報を変更する場合。
- デフォルトの管理者ユーザ名とパスワードを使用してApp Connectorコンソールにログインします。
- passwd コマンドを入力し、現在のデフォルトパスワード (zscaler) を入力します。
[admin@zpa-connector ~]$ passwd ユーザーadminのパスワードを変更します。 adminのパスワードを変更する。 (現在の) UNIXパスワード: 新しいパスワード: 新しいパスワードを再入力: passwd: すべての認証トークンの更新に成功しました。 [admin@zpa-connector ~]$
- logout コマンドを入力します。
[admin@zpa-connector ~]$ logout
閉じる - App Connectorシステム コンソールへのログインとログアウト
App Connectorコンソールにログインするには、管理者資格情報を入力します。
ZPA-コネクタログイン:管理者 パスワード:*******
App Connectorインスタンスの最初の起動後、管理者認証情報が適用されるまでに最大15分かかる場合があります。したがって、最初の起動後に無効な資格情報エラーが発生した場合は、数分待ってから再試行してください。
App Connectorコンソールからログアウトするには、logoutと入力します。
[admin@zpa-connector ~]$ logout
閉じる - App Connectorの開始、停止または再起動
App Connectorは、システムの起動時に自動的に起動するように構成されています。一部のシナリオでは、App Connectorを停止、開始、または再起動する必要がある場合があります。
- SSH経由でApp Connectorパッケージをホストしているシステムにログインするか、管理者資格情報を使用してローカルApp Connectorコンソールにログインします。
- systemdを使用して、適切なコマンドを入力します。
開始します。
[admin@zpa-connector ~]$ sudo systemctl start zpa-connector
停止する。
[admin@zpa-connector ~]$ sudo systemctl stop zpa-connector
再スタート
[admin@zpa-connector ~]$ sudo systemctl restart zpa-connector
次のログは、App Connectorが再起動、アップグレードまたはダウングレードされたときにApp Connectorコンソールに表示される場合があります。この潜在的なエラーは無視してかまいません。
Mar 23 12:45:39 centos zpa-connector-child[18383]: Upgrade prep error for: Connector, err: ZPATH_RESULT_ERR, upgrade_id: 73195382414249455
閉じる - App Connectorログを表示する
App Connectorは、ローカルLinuxシステムのsyslog機能を使用してログを記録します。
App Connectorログを表示するには、以下の手順を実行します。
- 管理者資格情報を使用してApp Connectorコンソールにログインします。
- 次のコマンドを入力します。
[admin@zpa-connector ~]$ sudo journalctl -u zpa-connector
表示される情報には、ローカル システム ロギング機能へのApp Connectorのログ出力が含まれます。また、実行中のApp Connectorは、次のようなステータス メッセージを定期的に出力します。
-------- App Connector Status:ID=217246525011525974:Name=Test App Connector-1:Ver=18.42.1 -------- Certificate will expire in 370 days, 21 hours, 39 minutes Control connection state: fohh_connection_connected, local:[10.80.202.1]:53040 remote:broker1a.ec2.prod.zpath.net...3.245]:443 RPC Messages: BrkRq = 0, BrkRqAck = 0, BindReq = 0, BindReqAck = 0, AppRtDisc = 0, AppRtReq = 0, DsnAstChk = 0 Broker data connection count = 0, backed_off connections = 0 Data Transfer: Total ToBroker = 0 bytes, Total FromBroker = 0 bytes Mtunnels: Total Created = 0, Total Freed = 0, Current Active = 0 Registered apps count = 0, alive app = 0, passive_health = 0, service_count = 0, target_count = 0, alive_target ...target = 0
- 現在のApp Connectorログ情報を含むテキスト ファイルを作成するには、次のコマンドを使用します。
[admin@zpa-connector ~]$ sudo journalctl> dump-of-journalctl.txt
古いApp Connectorログは、自動的に/var/log/messagesファイルに保存されます。
閉じる - エンドポイント監視ツールのインストール
監視ツールまたはエンドポイント セキュリティ ツールは、Zscalerプロセスに干渉したり、リソースを奪い合ったりしない限り、App Connectorホスト オペレーティング システムにインストールできます。他のツールがホスト オペレーティング システムのリソースを消費して、App Connectorサービスで利用できるリソースが最小プロビジョニング要件を下回らないように保証する必要があります。実行するツールが、内部プロセスの適切な運用とApp Connectorサービスの外部通信を妨げないようにするのは、組織の責任です。
閉じる - プロビジョニング キーの置き換えまたは新しいハードウェアへのApp Connectorの移動
プロビジョニング キーを置換する、または新しいハードウェアに移動する場合は、App Connectorを再登録する必要があります。どちらの場合も、最初に展開した仮想マシン(VM)イメージにより新しいキーを使用する必要があります。
App Connectorのプロビジョニング キーを置き換えるには、以下の手順を実行します。
- ZPA Admin Portalにログインし、[構成とコントロール]>[プライベート インフラストラクチャー]>[App Connector管理]>[App Connector]に移動します。
- プロビジョニング キーを置き換えるApp Connectorを見つけて、[削除]アイコンをクリックします。
- 表示される確認ウィンドウで、[削除]をクリックします。
- (省略可)新しいApp Connectorのプロビジョニング キーをまだ持っていない場合は、新しいプロビジョニング キーを使用して新しいApp Connectorを追加する手順を必ず完了してください。
- 管理者資格情報を使用してApp Connectorコンソールにログインします。
- sshdを一時的に有効にします。
- Amazon Web Services (AWS)の場合は、ポート22からのインバウンド接続を許可するようにセキュリティ グループを更新します。詳細は、「Amazon Web Services(AWS)用のApp Connector展開ガイド」を参照してください。
- Microsoft Azureの場合は、ポート22からの受信接続を許可するようにネットワーク セキュリティ グループ(ファイアウォール)を更新します。詳細は、「Microsoft AzureのApp Connector展開ガイド」を参照してください。
- その他のプラットフォームでは、次のコマンドを入力します。
[admin@zpa-connector ~]$ sudo systemctl start sshd- 次のコマンドを入力して、zpa-connectorサービスを停止します。
[admin@zpa-connector ~]$ sudo systemctl stop zpa-connector- 古いプロビジョニングキーファイルを削除するには、以下のオプションのいずれかを使用します。
- コマンドを入力して完全なルートアクセスを取得し、removeコマンドを入力します。
[admin@zpa-connector ~]$ sudo su [admin@zpa-connector /home/admin]# rm -f /opt/zscaler/var/*.- サブシェルでremoveコマンドを入力します。
[admin@zpa-connector ~]$ sudo bash -c"rm -f /opt/zscaler/var/*"- 644権限を持つ新しいプロビジョニング キー ファイルを/opt/Zscaler/var/provision_keyに作成します。例えば:
[admin@zpa-connector ~]$ sudo touch /opt/zscaler/var/provision_key [admin@zpa-connector ~]$ sudo chmod 644 /opt/zscaler/var/provision_keyプロキシー設定はステップ8で古いプロビジョニング キー ファイルとともに削除されるため、新しいプロビジョニング キー ファイルを作成した後、App Connectorでプロキシー設定を再設定する必要があります。
- ZPA Admin Portalからプロビジョニング キーをコピーし、ファイルに貼り付けて保存します。viなどのエディターを使用します。
[admin@zpa-connector ~]$ sudo vi /opt/zscaler/var/provision_keyviエディターに慣れていない場合は、次のechoコマンドとteeコマンドを使用してプロビジョニング キーを貼り付け、キーが二重引用符(")で囲まれていることを確認できます。
echo "<App Connector Provisioning Key>" | sudo tee /opt/zscaler/var/provision_key- 以下のコマンドを入力し、ファイルの内容を確認します。
[admin@zpa-connector ~]$ sudo cat /opt/zscaler/var/provision_key出力には、前のステップで入力したプロビジョニングキーが返されるはずです。
- 以下のコマンドを入力して、zpa-connectorサービスを起動します。
[admin@zpa-connector ~]$ sudo systemctl start zpa-connector- AWSとAzureを除くすべてのプラットフォームで、次のコマンドを入力してsshdを無効にします。
[admin@zpa-connector ~]$ sudo systemctl stop sshd- AWSとAzureの場合、22番ポート経由のインバウンドアクセスが無効になっていることを確認してください。
- 既存のApp Connectorのプロビジョニング キーを使用したApp Connectorの置き換え
既存のVMイメージ上の新しいプロビジョニング キーを使用して展開済みのApp Connectorを置換する必要がある場合は、上記のApp Connectorプロビジョニング キーを置換する手順を完了します。新規VMイメージ上の既存のプロビジョニング キーを使用して展開済みのApp Connectorを置換する必要がある場合は、以下の手順を実行します。
- ZPA Admin Portalにログインし、[構成とコントロール]>[プライベート インフラストラクチャー]>[App Connector管理]>[App Connectorのプロビジョニング キー]に移動します。
- [App Connectorのプロビジョニング キー]ページで、使用する既存のキーを見つけて[編集]アイコンをクリックします。
- [App Connectorのプロビジョニング キーの編集]ウィンドウで、[プロビジョニング キーの最大再利用]の値を増やして、置き換えるApp Connectorの数に対応します。詳細は、「App Connectorのプロビジョニング キーの編集」を参照してください。
- 上記のステップ3の既存のプロビジョニング キーを使用して、新しい代替App ConnectorのVMイメージを展開します。そうすることで、これらの新しいApp Connectorは、置き換えるApp Connectorと同じApp Connectorグループに自動的に参加します。詳細は、「ご使用のApp Connectorの展開ガイド」を参照してください。
- 新しいApp Connectorが展開されると、正常性ダッシュボード内に表示されます。App Connectorグループの新しいApp Connectorが有効になっていて、[稼働時間]が表示されていることを確認します。詳細は、「App Connectorの詳細の表示」を参照してください。
- [構成とコントロール]>[プライベート インフラストラクチャー]>[App Connector管理]>[App Connector]に移動します。
- App Connectorページで、置き換えるApp Connectorを見つけて、[編集]アイコンをクリックします。
- [App Connectorの編集]ウィンドウで、[ステータス]を[無効]に設定します。詳細は、「展開済みApp Connectorの編集」を参照してください。
- アプリケーションへのユーザーアクセスが希望通りに動作していることを確認します。
- すべてのユーザー トラフィックが新しい代替App Connectorに完全に転送されたことを確認するには、少なくとも24時間待ってから、古い無効なApp Connectorを削除します。
無効なApp Connectorでユーザー セッションの有効期限が切れたら、ZPA Admin Portal内でそれらを削除し、環境から古いVMインスタンスを削除します。
閉じる - App Connectorシステム ソフトウェアの更新
Linuxに発見された重大なセキュリティ脆弱性を緩和するために、OSソフトウェアを更新する必要が生じる場合があります。
App Connectorシステム ソフトウェアを更新するには、以下の手順を実行します。
- 管理者資格情報を使用してApp Connectorコンソールにログインします。
- ローカルシステムのソフトウェアをアップグレードするには、以下のコマンドを入力します。
[admin@zpa-connector ~]$ sudo yum update -y
sudo yum updateコマンドを実行すると、次のレスポンスが返されます。Zscalerはエンタイトルメントを処理し、このレスポンスを無視することをお勧めします。サブスクリプション管理リポジトリーの更新。
アイデンティティーを読み取ったり消費したりできない
このシステムは、エンタイトルメント サーバーに登録されていません。「rhc」または「subscription-manager」を使用して登録できます。- 更新プロセスが完了したら、次のコマンドを使用してApp Connectorを再起動します。
[admin@zpa-connector ~]$ sudo reboot
閉じる - App Connectorソフトウェア パッケージの更新
App Connectorソフトウェア パッケージをアップグレードするには、複数の方法があります。
- App Connectorソフトウェア パッケージをプロキシー サーバーで更新する
[admin@zpa-connector ~]$ sudo vi /etc/yum.conf
プロキシサーバーとポート情報、およびそれに対する適切な認証情報を追加する、など。
# プロキシサーバー - プロキシサーバー:ポート番号 proxy=http://proxy.example.com:8080 # プロキシ認証 proxy_username=proxyusername proxy_password=proxypassword
- 次のコマンドを使用して、App Connectorソフトウェア パッケージを更新する
[admin@zpa-connector ~]$ sudo yum update
- 更新プロセスが完了したら、次のコマンドを使用してApp Connectorを再起動します。
[admin@zpa-connector ~]$ sudo systemctl restart zpa-connector
閉じる - パッケージー リポジトリーへのアクセスでApp Connectorソフトウェア パッケージを更新する
[admin@zpa-connector ~]$ sudo yum update zpa-connector
- 更新プロセスが完了したら、次のコマンドを使用してApp Connectorを再起動します。
[admin@zpa-connector ~]$ sudo systemctl restart zpa-connector
閉じる - パッケージー リポジトリーにアクセスせずにApp Connectorソフトウェア パッケージを更新する
- 次ののRPMパッケージの一つをダウンロードします。
- Red Hat Enterprise Linux 8ベースのRPMパッケージの展開:(zpa-connector.rpm)
- Red Hat Enterprise Linux 9ベースのRPMパッケージの展開:(zpa-connector.rpm)
scpコマンドを使用して、RPMパッケージをApp Connectorにコピーします。
$ scp < RPM バージョン>- 管理者資格情報を使用してApp Connectorコンソールにログインします。
- 次のコマンドを使用して、App Connectorソフトウェア パッケージを更新する
[admin@zpa-connector ~]$ sudo rpm -Uvh zpa-connector-24.692.9-1.el9.x86_64.rpm- 次のように、更新が正常に完了したことを確認します。
[admin@zpa-connector ~]$ sudo rpm -Uvh zpa-connector-24.692.9-1.el9.x86_64.rpm [sudo] password for admin: Preparing... ################################# [100%] Updating / installing... 1:zpa-connector-24.692.9-1.el9 ################################# [ 50%] Warning: zpa-connector.service changed on disk. Run 'systemctl daemon-reload' to reload units. Cleaning up / removing... 2:zpa-connector-24.692.9-1.el9 ################################# [100%]次のコマンドを使用してApp Connectorを再起動します。
[admin@zpa-connector ~]$ sudo systemctl restart zpa-connector
- 次ののRPMパッケージの一つをダウンロードします。
- App Connectorソフトウェア パッケージをプロキシー サーバーで更新する