Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

KVMによるPolicy Enforcerのインストール

Policy Enforcerバーチャルアプライアンスリリース17.1R2以降は、CentOSリリース6.8以降にあるqemu-kvm(KVM)リリース1.5.3-105.el7以降に展開できます。

手記:

ジュニパーネットワークスは、KVMサーバーのインストールと設定のサポートを提供しません。仮想アプライアンスイメージをインストールし、仮想アプライアンスの推奨仕様に従って設定する必要があります。ジュニパーネットワークスは、Policy Enforcerバーチャルアプライアンスが正常に起動した後にのみサポートを提供します。

KVMサーバーにPolicy Enforcerバーチャルアプライアンスを展開するための前提条件は、以下のとおりです。

  • KVMサーバーの構成とインストールに関する知識。

  • KVMサーバーとサポートされているパッケージは、必要なカーネルとパッケージとともにCentOSマシンにインストールする必要があります。CentOSへのKVMサーバーおよびサポートされているパッケージのインストールについては、 http://wiki.centos.org/HowTos/KVM を参照してください。

  • Virtual Machine Manager (VMM) クライアントは、ローカル システムにインストールする必要があります。

  • virt-manager または virt-install を使用して、Policy Enforcer VM をインストールします。これらのパッケージの詳細については、ホストOSのドキュメントを参照してください。

以下は、Policy Enforcer VM をインストールするための最小要件です。

  • 2 CPU

  • 8 GB RAM(16 GB 推奨)

  • 120 GB のディスク容量

このトピックには以下のものが含まれます。

virt-manager による Policy Enforcer のインストール

ホスト OS に KVM、qemu、virt-manager、および libvirt がすでにインストールされていることを確認してください。

KVM virt-manager GUIパッケージを使用してPolicy Enforcerをインストールして起動できます。

virt-managerでPolicy Enforcerをインストールするには:

  1. ジュニパーのソフトウェアダウンロードサイトからPolicy Enforcer KVMイメージをダウンロードします。
  2. ホストOSで、「virt-manager」と入力します。Virtual Machine Manager が表示されます。
    手記:

    virt-managerを使用するには、ホストOSの管理者権限が必要です。
  3. [新しい仮想マシンの作成] をクリックします。[新規 VM(New VM)] ウィザードが表示されます。
  4. 仮想マシンの名前を入力し、[既存のディスク イメージのインポート] を選択して、[進む] をクリックします。
  5. ダウンロードした Policy Enforcer イメージの場所を参照し、それを選択します。
  6. [OS の種類] の一覧から [Linux] を選択し、[バージョン] の一覧から [すべての OS オプションを表示] を選択します。
  7. 展開された Version リストから Red Hat Enterprise Linux 6 以降を選択し、Forward をクリックします。
  8. RAM を 8192 MB に設定し、CPU を 1 に設定します。[進む] をクリックします。
  9. [詳細オプション] で [共有デバイス名の指定] を選択し、ブリッジの名前 (通常は br0) をテキスト ボックスに入力します。
  10. 終了」をクリックします。VM マネージャーは仮想マシンを作成し、Policy Enforcer コンソールを起動します。

virt-install による Policy Enforcer のインストール

ホスト OS に KVM、qemu、virt-install、および libvirt が既にインストールされていることを確認してください。

手記:

virt-installコマンドを使用するには、ホストOSでrootアクセス権が必要です。

virt-installツールとvirshツールは、LinuxホストにPolicy Enforcer VMをインストールして管理するに代わるCLIツールです。

virt-installでPolicy Enforcerをインストールするには:

  1. ジュニパーのソフトウェアダウンロードサイトからPolicy Enforcer KVMイメージをダウンロードします。
  2. ホスト OS で、表 1 に示す必須オプションを指定して virt-install コマンドを使用します。
    手記:

    利用可能なオプションの詳細については、公式の virt-install ドキュメントを参照してください。
    表 1: virt-install オプション

    コマンド オプション

    形容

    --name name

    Policy Enforcer VM に名前を付けます。

    --ラム megabytes

    VM に RAM をメガバイト単位で割り当てます。

    --cpu cpu-modelcpu-flags

    最適なスループットを得るには、 vmx 機能を有効にします。また、 aes を有効にして、暗号化スループットを向上させることもできます。

    手記:

    CPUフラグのサポートは、ホストOSとCPUによって異なります。

    virsh capabilitiesを使用して、ホストOSとCPUの仮想化機能を一覧表示します。

    --vcpus number

    Policy Enforcer 仮想マシンに vCPU の数を割り当てます。

    --disk path

    VM のディスク ストレージ メディアとサイズを指定します。次のオプションを含めます。

    • size=gigabytes

    • device=disk

    • bus=ide

    • format=qcow2

    --os-type os-type

    --os-variant os-type

    ゲスト OS の種類とバリアントを構成します。

    --輸入

    既存のイメージから Policy Enforcer VM を作成して起動します。

    次の例では、8192 MB の RAM、1 つの vCPU、および最大 120 GB のディスク ストレージを備えた Policy Enforcer VM を作成します。

Policy Enforcerの設定

デフォルトでは、virt-manager または virt-install を使用して Policy Enforcer VM を作成すると、コンソールウィンドウが表示され、Policy Enforcer の設定と設定を行うことができます。初期設定後、いつでもコンソールを開いて、設定を確認または編集できます。

Policy Enforcerの設定を行うには:

  1. ユーザー名と パスワードにそれぞれ rootabc123 を使用して仮想マシンにログインします。パスワードは後で変更する必要があります。

    ようこそページが表示されます。

  2. [OK] をクリックします。

    [End User License Agreement (EULA)] ウィンドウが表示されます。

  3. [同意する] をクリックして EULA に同意します。EULAに同意しない場合は、[キャンセル]をクリックします。構成が停止し、vSphere Client のメイン ページに戻ります。

    [ネットワーク構成] ページが表示されます。 図 1 を参照してください。

    図 1: 基本的なネットワーク構成設定の定義 Networking configuration screen for setting hostname, IP address, network mask, default gateway, primary and secondary DNS servers.
  4. 次の構成情報を入力します。

    オプション

    形容

    ホスト名

    Policy Enforcer 仮想マシンのホスト名を入力します。たとえば、 pe.juniper.netです。

    IP アドレス

    Policy Enforcer 仮想マシンの IP アドレスを入力します。

    手記:

    この IP アドレスは、後の手順で必要になるため、メモしておいてください。

    ネットワーク マスク

    Policy Enforcer 仮想マシンのネットマスクを入力します。

    デフォルトゲートウェイ

    内部ネットワークを外部ネットワークに接続するデフォルト ゲートウェイの IP アドレスを入力します。

    プライマリ DNS サーバー

    ドメイン生成アルゴリズム(DNS)に参加するために登録されているプライマリシステムのIPアドレスを入力します。

    セカンダリ DNS サーバー

    セカンダリ DNS サーバーの IP アドレスを入力します。Policy Enforcerは、プライマリDNS サーバーが利用できない場合にのみ、このアドレスを使用します。

    DNSサーバーのチェックをスキップする

    基本的なネットワーク設定を確認しない場合は、このチェックボックスをオンにします。デフォルトでは、システムはゲートウェイに ping を実行して、設定が正しいことを示す応答を確実に受信します。
  5. [Apply Changes] をクリックします。

    ネットワーク設定が適用されます。進行状況ウィンドウに状態が表示されます。

    システムがネットワーク設定の更新を完了すると、NTPサーバウィンドウが表示され、NTPサーバリストを設定するように求められます。 図 2 を参照してください。

    図2:NTPサーバーConfiguration screen for NTP servers with options to configure or use default servers.を設定するためのプロンプト
  6. [Yes] をクリックして、NTP サーバ リストをカスタマイズします。「いいえ」をクリックすると、0、1、2、3.centos.pool.ntp.org のデフォルト・リストが使用されます。
  7. (オプション)使用するNTPサーバーを指定します。図 3 を参照してください。「変更の適用」をクリックして編集内容を確定するか、「すべてクリア」をクリックしてこのウィンドウのすべてのフィールドをクリアするか、「キャンセル」をクリックして編集を破棄して次のステップに進みます。
    図 3: NTP サーバー Configuration screen for NTP servers in CentOS. Lists four servers for time sync. Buttons: Apply changes, Clear all, Cancel.の設定
  8. [Root パスワードの変更] ページが表示されます。図 4 を参照してください。
    図4:rootパスワードPassword change prompt for root user in a text-based interface listing requirements like length, characters, and restrictions.の変更
  9. Policy Enforcer 仮想マシンの新しい管理者パスワードを入力し、再入力します。

    パスワードの制限が画面に一覧表示されます。

    手記:

    このパスワードは、後の手順で必要になるため、メモしておいてください。

    パスワードを忘れた場合は、「 CentOS の root パスワードのリセット手順」を参照してください。

  10. [OK] をクリックします。

    [Juniper Networks Policy Enforcer] ページが表示されます。 図 5 を参照してください。

    図 5: 構成設定の確認と変更 Configuration menu for Juniper Networks Policy Enforcer with
  11. オプションの 1 つを選択し、Enter キーを押します。

    オプション

    形容

    構成を確認し、セットアップを完了する

    Policy Enforcer 仮想マシンに適用する前に、最後にもう一度定義した構成設定を確認できます。

    Security Director内でPolicy Enforcerを設定した後は、設定を変更しないことを推奨します。

    変える。。。

    設定を選択して、その値を更新します。

    トラブルシューティングメニュー

    デフォルトゲートウェイとカスタムIPアドレスにpingを実行し、DNSルックアップを実行して設定が正しいことを確認できます。

    [構成の確認] ページが表示されます。 図 6 を参照してください。

    図 6: 構成設定の確認 Configuration review screen showing network settings like host name and IP address, NTP servers, and buttons to finish or change setup.
  12. 構成設定を確認し、[セットアップの完了] をクリックします。設定を変更するには、[構成の変更] をクリックします。

    [ セットアップの完了] をクリックすると、構成設定が Policy Enforcer 仮想マシンに適用されます。ステータス ページに進行状況が表示されます。

    完了すると、[セットアップの完了] ページが表示されます。

    Setup completion screen for Juniper Networks Policy Enforcer with next steps: log into Space WebUI, go to Security Director, select Administration and PE Settings, add Connector instance. Finish button below.
  13. [完了] をクリックして、vSphere Client のメイン ページに戻ります。
    手記:

    Policy Enforcer 仮想マシンにログインするたびに、これらの設定を確認または変更するオプションが表示されます。

KVM 管理コンソールへの接続

デフォルトでは、Policy Enforcer VM を作成すると、コンソール ウィンドウが表示され、Policy Enforcer の設定と構成を行うことができます。初期設定後、いつでもコンソールを開いて、設定を確認または編集できます。これを行うには、ホストOSに virt-manager パッケージまたは virsh がインストールされている必要があります。

virt-managerを使用してPolicy Enforcerコンソールに接続するには、次の手順に従います。

  1. virt-managerを起動します。
  2. 表示されたVMのリストから、接続するPolicy Enforcer VMをハイライト表示します。
  3. 開く」をクリックします。
  4. [View]>[Text Consoles>Serial 1]を選択します。Policy Enforcer コンソールが表示されます。

virshを使用してPolicy Enforcerコンソールに接続するには、次の手順に従います。

  1. Linux ホスト OS で virsh console コマンドを使用します。例えば:

  2. Policy Enforcer コンソールが表示されます。

関連資料