Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

VMware vSphereを使用したJuniper Security Directorの導入

このトピックでは、VMware vSphereを使用したJuniper Security Director VMの導入について説明します。

始める前に

  • VMware vSphereの使用に慣れていない場合は、 VMwareのドキュメント を参照し、適切なVMware vSphereバージョンを選択してください。

  • VM のサイズを選択し、「 ハードウェア要件」を参照してください。

    表 1: ESXi Server のハードウェア要件
    VM 構成 デバイス管理機能ログ分析およびストレージ機能

    VM 構成 1

    • 16 vCPU

    • 80 GB の RAM

    • 2.1 TBストレージ

    • 最大 1000 台のデバイス

    • デバイスあたり最大10,000のポリシールール

    • デバイスあたり最大6000のNATルール

    • デバイス/システムあたり最大1000 VPN

    • 最大 17,000 ログ/秒

    • 合計 2.1 TB のストレージのうち、1.5 TB がログ分析専用です。

    VM 構成 2

    • 40個のvCPU

    • 208 GBのRAM

    • 4.2 TBストレージ

    • 最大 3000 台のデバイス

    • デバイスあたり最大20,000のポリシールール

    • デバイスあたり最大10000 NATルール

    • デバイス/システムあたり最大1500 VPN

    • 最大 40,000 ログ/秒

    • 合計 4.2 TB のストレージのうち、3.5 TB がログ分析専用です。
    手記:

    • VMware ハイパーバイザー (ESXi) サーバーでのハイパースレッディングは推奨されません。CPU、RAM、およびストレージに専用のリソースを使用する必要があります。

    • リソースを共有することはお勧めしません。

    • 必要に応じて、VM 構成 1 から VM 構成 2 に切り替えることができます。ただし、VM 構成 2 に切り替えると、VM 構成 1 に戻すことはできません。VMware vSphere で VM 構成を変更する手順については、「 VM 構成の変更」を参照してください。

  • 4つの専用IPアドレスが必要であり、SMTP、NTP、およびDNSサーバーにアクセスできることを確認します( ソフトウェア要件を参照してください)。

    手記:

    デプロイが規制/エアギャップ環境の場合は、VM が IDP/アプリケーション署名のダウンロード signatures.juniper.net にもアクセスできることを確認します。
VMware vSphere を使用して Juniper Security Director VM を展開するには、次の手順に従います。

ステップ1:OVAとソフトウェアバンドルをダウンロードする

  1. Juniper Security Director OVA(.ovaファイル)を https://support.juniper.net/support/downloads/?p=security-director-on-prem からWebサーバーまたはローカルマシンにダウンロードします。接続の問題を回避するには、OVA をローカル マシンに直接ダウンロードします。

  2. Juniper Security Directorソフトウェアバンドル(.tgzファイル)を https://support.juniper.net/support/downloads/?p=security-director-on-prem からローカルマシンにダウンロードし、ステージングサーバーにファイルを転送します。

    ステージング サーバーは、ソフトウェア バンドルがダウンロードされ、VM からアクセスできる中間サーバーです。

    ステージング サーバーは、SCP(セキュア コピー プロトコル)を介した Juniper Security Director VM からのソフトウェア バンドルのダウンロードをサポートする必要があります。VM を展開する前に、SCP のユーザー名やパスワードなど、ステージング サーバーの詳細が必要です。

手順 2: VM をデプロイするStep 2: Deploy the VM

  1. vSphere Client を開きます。

  2. 仮想マシンの有効な親オブジェクトであるインベントリ オブジェクトを右クリックし、[ OVF テンプレートの展開] を選択します。

    図 1: OVF テンプレート Deploy OVF Templateのデプロイ

  3. [ OVF テンプレートの選択 ] ページで、次の操作を行います。

    • OVA をダウンロードした Web サーバの OVA URL を入力します。システムは、ソースの検証について警告する場合があります。「 はい」をクリックします。

      手記:

      ファイアウォール ルールによって vSphere クラスタからのイメージ アクセスがブロックされていないことを確認します。

      又は

    • [ ローカル ファイル ] オプションを選択し、[ ファイルのアップロード ] をクリックして、ローカル マシンから OVA ファイルを選択します。

    図2:OVFファイルSelect or Upload OVF Fileの選択またはアップロード

  4. [ 名前とフォルダーの選択 ] ページで、VM 名を入力し、VM の場所を選択します。

  5. [ コンピューティング リソースの選択 ] ページで、VM をデプロイするホストのコンピューティング リソースを選択します。

  6. [ 詳細の確認 ] ページで、プロビジョニングするリソースの詳細を確認します。

  7. 使用許諾契約 」ページで、使用許諾契約に同意するチェック・ボックスを選択します。

  8. [ ストレージの選択 ] ページで、構成のストレージと仮想ディスク形式を選択します。仮想ディスク形式をシック プロビジョニングとして使用し、容量が 1.5 TB 以上のストレージを選択することをお勧めします。

    手記:

    シンプロビジョニングはお勧めしません。シンプロビジョニングを選択し、実際に使用可能なディスク容量が少ない場合、ディスクがいっぱいになると、システムに問題が発生する可能性があります。

  9. [ ネットワークの選択 ] ページで、静的アドレス指定の IP 割り当てを構成するネットワークを選択します。

  10. [ テンプレートのカスタマイズ ]ページで、Juniper Security DirectorオンプレミスOVAパラメータを設定します。

    手記:事前に [カスタム テンプレート] ページの詳細をすべて準備します。OVF テンプレートは 6 分から 7 分後にタイムアウトします。
    図 3: OVF テンプレート Screenshot of the Juniper Security Director On-Premises OVA deployment wizard, step 7, Customize template, displaying input fields for configuration details such as Hostname, Management IP address, and DNS servers, with navigation buttons for Cancel, Back, and Next.のカスタマイズ
    手記:

    • cliadmin ユーザー・パスワード・フィールドは、パスワード要件を厳密に検証しません。ただし、インストール プロセス中に、システムは厳格な検証を強制し、指定された要件を満たさないパスワードを拒否するため、インストールが失敗します。インストール中の問題を回避するには、パスワードが次の基準を満たしていることを確認してください。

      • 長さは 8 文字以上 32 文字以下にする必要があります。

      • 辞書に載っている単語であってはなりません。

      • 次のうち少なくとも3つを含める必要があります。

        • 数字 (0-9)

        • 大文字 (A から Z)

        • 小文字 (a から z)

        • 特殊文字 (~!@#$%^&*()_-+={}[];:"'<,>.?/|\)

    • [UI FQDN]、[デバイス接続 FQDN]、および [ログ コレクター FQDN] フィールドは省略可能です。ただし、完全修飾ドメイン名 (FQDN) を使用することを強くお勧めします。FQDNが次の状態であることを確認します。

      • 有効であり、ドメイン命名規則に従います。

      • ドメインとサブドメインの詳細を含めて完了します。

      • 解決可能、つまり、DNS は FQDN を IP アドレスに正しくマップできます。

      FQDN が正しくないと、VM の再インストールが必要になる問題が発生します。

      IP アドレスが正しくない場合、VM への SSH 接続を開始できません。VM には、Web ポータルからのみアクセスできます。

    • ソフトウェアバンドルSCPパスは、ステージングサーバー上のJuniper Security Directorソフトウェアバンドル(.tgzファイル)の場所を指します。ジュニパーソフトウェアのダウンロードページから、Juniper Security Directorソフトウェアバンドル(.tgzファイル)をローカルマシンにダウンロードし、ステージングサーバーに転送したことを確認します。ステージング サーバーは、ソフトウェア バンドルを保存し、VM からアクセスできるようにする仲介役として機能します。ステージング サーバーは、SCP を介した Juniper Security Director VM からのソフトウェア バンドルのダウンロードをサポートする必要があります。VM をデプロイする前に、SCP のユーザー名やパスワードなど、ステージング サーバーの詳細があることを確認してください。

  11. [ 完了の準備完了 ] ページで、すべての詳細を確認し、必要に応じて、戻って VM パラメーターを編集します。これらのネットワーク パラメーターは、インストールが成功した後に VM 構成から変更することはできません。ただし、ネットワーク パラメータは CLI から変更できます。[ 完了(Finish )] をクリックして、OVA 展開を開始します。

    OVA 展開の進行状況ステータスは、画面下部の [最近のタスク(Recent Tasks)] ウィンドウで、100% 完了するまで監視できます。[状態] 列には、デプロイの完了率が表示されます。

    万丈!これで OVA の展開は完了です。

  12. (オプション)OVA を展開したら、VM のスナップショットを作成します。スナップショットは、ソフトウェアバンドルが自動的にインストールされた後にロールバックする必要がある場合に便利です。

    スナップショットを作成するには、次の手順に従います。

    1. VM を選択します。

    2. 「アクション」メニューで、「スナップショット>スナップショットの作成」に移動します。

      [Take Snapshot] ウィンドウが表示されます。

    3. スナップショットの名前と説明を入力します。

    4. 「作成」をクリックします。

      VM のスナップショットが作成されます。

  13. 仮想マシン名の横にある三角形のアイコン()をクリックして、仮想マシンをパワーオンします。

    手記:

    既定では、VM は「 ハードウェア要件」に記載されているように、最小のリソース構成でデプロイされます。VMware の [仮想マシンの編集] 設定を使用して、他のリソース構成と一致するようにリソースを調整します。

    インストールを成功させるには、リソースの割り当てが ハードウェア要件と一致している必要があります。

    VMware vSphere で VM 構成を変更する手順については、「 VM 構成の変更」を参照してください。

VM の電源がオンになったら、[ 概要] タブに移動し、[ WEB コンソールの起動 ] をクリックして、ソフトウェア バンドルのインストール ステータスを監視します。

手記:

インストールが完了するまでは、コンソールで操作を実行しないでください。

インストールの進行状況はコンソールで確認できます。インストールが完了すると、コンソールに [Successfully installed software bundle on the cluster ] と表示され、VM が再起動します。

インストールを成功させるには、約 30 分かかります。インストールが長引く場合は、Web コンソールでエラーがないか確認します。OVA の展開時に設定した cliadmin ユーザとパスワードを使用して、VM IP に SSH 接続できます。次に、 show bundle install status コマンドを使用してインストールステータスを確認します。

パラメータを確認するには、仮想マシンをパワーオフし、[ 構成 ] に移動して [vApp オプション] をクリックします。パラメータが正しくない場合は、正しいパラメータを使用して OVA を再度展開します。

万丈!これでソフトウェアバンドルのインストールは完了です。

VM 構成の変更

既定では、VM は最小のリソース構成である VM 構成 1 でデプロイされます。必要に応じて、下位の構成 (VM 構成 1) から上位の構成 (VM 構成 2) に切り替えることができます。ただし、VM 構成 2 に切り替えると、VM 構成 1 に戻すことはできません。

VM 構成を変更するには、次の手順を実行します。

  1. vSphere Client で仮想マシンを選択してパワーオフします。

  2. [Summary] タブで、[VM Hardware] セクションまで下にスクロールし、[ Edit] をクリックします。

    「設定の編集」ウィンドウが表示されます。

  3. 図 4 に示すように、「CPU」、「メモリー」、「ハード・ディスク 1」、「ハード・ディスク 2」、および「ハード・ディスク 3」フィールドを変更します。

    表 1 に記載されている設定に従って、すべてのフィールドを変更する必要があります。個々のディスクを拡張することはできません。

    図4:VM構成2(40vCPU、208GB RAM、4.2TBストレージ) VM Configuration 2 (40 vCPU, 208 GB RAM, 4.2 TB Storage)

  4. [ OK] をクリックして変更を確定します。

  5. 構成の変更を有効にするために、VM をパワーオンします。

ステップ3:確認とトラブルシューティング

インストールが成功したかどうかを確認するには、SSH 接続を介して VM IP にログインする必要があります。VM IP は、手順 9[IP アドレス] フィールドに指定した値です。次の既定の資格情報を使用します。

ユーザー: cliadmin

パスワード: abc123

ログインすると、デフォルトの資格情報を変更するように求められます。

新しい資格情報でログインし、次のコマンドを実行します。

  • service healthmonitor status インストールステータスを表示するためのコマンド。

  • list /var/log/cluster-manager コマンドを使用してログファイルを一覧表示します。

  • show file /var/log/cluster-manager/cluster-manager-service.log コマンドを使用して、ログファイルの内容を表示します。

  • remotecopy /var/log/cluster-manager/cluster-manager-service.log <username>@<hostname>:<remote path to copy the log file> トラブルシューティングのためにファイルをリモートの場所にコピーするためのコマンド。

    ディスク パーティションとストレージを確認するには、次の CLI コマンドを実行します。

    • show storage space—ディスクパーティションを表示するコマンド

    • show storage partition—空き領域と使用済み領域を確認するコマンド

    詳細については、「 ストレージの表示」を参照してください。

UI を使用したトラブルシューティング

デバイス管理、ポリシー管理、ログ分析などの機能グループに関連する問題について、システムログを生成してダウンロードできます。機能グループは、問題のデバッグにログが必要な関連するマイクロサービスの論理グループです。

始める前に

Juniper Security Director Web UIへのログインを参照してください。

システム ログを生成するには、次の手順に従います。

  1. [管理(Administration)] > [システム管理(System Management)] > [システムログ(System Logs)] を選択します。

    「システム・ログ」ページが表示されます。

  2. 機能グループを選択します。

  3. [ 期間(Timespan )] ドロップダウン フィールドで、ログを生成する期間を選択します。

  4. ログ・パッケージの生成」をクリックします。

    ログ生成プロセスのジョブが作成されます。ページ上部に詳細が表示されます。「 管理 」> 「ジョブ 」を選択して、ジョブを表示します。[ジョブ] ページでは、ログ生成プロセスの状態を監視できます。

    ジョブが終了すると、[システム ログ(System Logs)] ページにログをダウンロードするためのリンクが作成されます。システムログはtgzファイルとしてダウンロードされ、問題の根本原因を分析するためにジュニパーネットワークスのサポートチームと共有されます。

次のステップ

Juniper Security Director Web UIへのログイン