Introscope ドメインの定義と構成
内容
apmdevops96jp
内容
この章では、Introscope のセキュリティを設定する前の Introscope ドメインの定義と構成について説明します。 また、MOM、コレクタ、および Workstation の間でセキュリティ保護された認証を行うための公開鍵と秘密鍵の設定について説明します。
Introscope ドメインの定義と構成
Introscope では、ドメインを使用してエージェントとモニタリング ロジックを分割し、どの CA APM ユーザがどの情報を表示できるかを定義します。 Introscope エージェントのマッピングは、
<EM_Home>/config
ディレクトリにある domains.xml
ファイルで Perl5 の正規表現を使用して行います。 使用しているセキュリティ領域にかかわらず、ドメインを定義するときは domains.xml
を使用します。Introscope のセキュリティを設定するときは、ドメインの構成に加えて、ドメインの権限も構成します。 ローカルによるセキュリティの場合は、
domains.xml
ファイルでドメインの権限を構成します。 詳細については、「domains.xml での Introscope ドメイン権限の構成」を参照してください。 Introscope のセキュリティに CA EEM をデプロイする場合、domains.xml
内のドメイン権限は Enterprise Manager によって無視されるため、代わりに CA EEM 内でドメイン権限を構成します。 詳細については、「CA EEM APM ドメイン リソース アクセス ポリシーの作成と削除」を参照してください。ドメインの種類
Introscope には、以下の 2 種類のドメインがあります。
- スーパードメイン--スーパードメインは、システム内のユーザ定義のドメインをすべて含む上位集合ドメインです。 すべてのエージェントはスーパードメインに表示されますが、ユーザ定義のドメインに表示される場合もあります。 Introscope のデフォルト構成では、スーパードメインが唯一のドメインです。 その他のドメインを構成しない場合は、すべてのエージェントがスーパードメインにマップされます。
- ユーザ定義のドメイン -- 新しいドメインは<EM_Home>/configディレクトリにあるdomains.xmlファイルで定義します。domains.xmlファイルに、個々のドメインのマッピングを、正規表現を利用して指定します。
ドメインの定義に関するルール
domains.xml
ファイルにドメインを定義する際に適用されるルールは、以下のとおりです。- ドメイン定義時には、XML ファイルの適切なルールに従う必要があります。
- ドメイン名では大文字と小文字が区別されます。
- ドメインは、ルート XML ドメインのエレメントの内側に配置する必要があります。
- ドメインまたはスーパードメイン内に、それぞれ複数のエージェントをマップできます。ドメインがエージェントと一致するように構成されている場合、そのエージェントはそのドメインにマップされ、スーパードメインにも表示されます。注:トランザクション追跡を開始すると、そのようなエージェントは[トランザクション追跡]ウィンドウ内のユーザ定義ドメインに加えられます。
- エージェントは常に、割り当て先の最初のドメインにマップされます。 ドメインが割り当てられていない場合、エージェントはスーパードメインにマップされます。 ユーザ定義のドメインが割り当てられている場合、エージェントはユーザ定義のドメインにマップされます。
- 現在のスーパードメイン エージェントマッピング(デフォルトではすべてのエージェントに一致するように構成)を変更しない場合、Introscope は、新しく定義するドメインを<SuperDomain>タグの前に配置します。
- domains.xmlファイルの正規表現の誤りなどの問題が原因で、どのマッピング条件にも一致しなかったエージェントは、スーパードメインにマップされます。
クラスタ内およびクラスタ間の同一の domains.xml の使用
クラスタ内に MOM とコレクタをデプロイするときや、クラスタ内およびクラスタ間にオプションの CDV をデプロイするときは、domains.xml に関する以下の重要なルールを理解しておきます。
重要:
CA APM のクラスタ内およびクラスタ全体で、MOM、コレクタ、および CDV 用に別々の domains.xml ファイルを用意しないでください。MOM は、ライブ エージェント(クラスタに現在データを送信しているエージェント)についてクラスタ内で異なるドメインを処理できます。 しかし、MOM とコレクタとで履歴エージェント用の異なるドメインを持つことにより、履歴データの MOM ビューにおいて一貫性が保たれなくなる可能性があります。 このような混合ドメインを持つクラスタでは、コレクタ上の履歴エージェントは追跡されません。したがってこれらのデータは、履歴エージェントを明示的にマウントしない限り、MOM によって作成された Workstation グラフには表示されません。 この状況を回避するために、CA Technologies では、クラスタ内の MOM およびすべてのコレクタ上に同一の domains.xml ファイルを配置することを強く推奨します。 こうすることで、特定のコレクタに関連する Workstation 上の履歴データを表示するために履歴エージェントをマウントしなくても、ライブ エージェントおよび履歴エージェントのデータが常に MOM Workstation から参照できるようになります。
クロス クラスタ データ ビューア(CDV)をデプロイする場合、CDV の domains.xml ファイルには以下のドメインが含まれている必要があります。
- CDV の接続先となる全コレクタの全ドメイン。
- CDV のデータ収集元となるコレクタが含まれる全クラスタにまたがる全ドメイン。
あるドメインがコレクタの domains.xml ファイル内に存在し、CDV の domains.xml ファイル内に存在しない場合、以下のことが起こります。
- CDV は、存在しないコレクタ ドメインのデータを収集しません。
- CDV Workstation は、存在しないコレクタ ドメインのデータを表示しません。
エージェントの定義とドメインへのマッピング
ドメインを定義し、ドメインにエージェントをマップするために domains.xml ファイルを使用します。
以下の手順に従います。
- <EM_Home>/configディレクトリに移動します。
- domains.xmlファイルを開きます。
- 「ドメインの定義に関するルール」と以下のプロパティを使用して、ドメインを定義します。
- nameドメインの名前このプロパティのルール
- 英数字、および下線(_)とダッシュ(-)を使用できます。
- スペースは使用できません。
- descriptionドメインの簡単な説明引用符を除くすべての半角文字を使用できます。
注:XML タグはすべて大文字と小文字が区別されます。 - 追加のドメインについて手順 3 を繰り返します。
- スーパードメイン マッピングが domains.xml の最後に定義されていることを確認します。これにより、domains.xml はスーパードメインにエージェントをマッピングする前に特定のドメインにエージェントをマッピングできます。たとえば、以下のスーパードメイン マッピングが domains.xml の先頭に配置されている場合、XML ファイルの残りが処理される前にすべてのエージェントがスーパードメインの下に配置されます。
domains.xml の最後にこのスーパードメイン マッピングを配置することによって、スーパードメインは一致しないエージェントをすべてキャッチします。<SuperDomain><agent mapping="(.*)"/><grant group="Admin" permission="full"/></SuperDomain> - domains.xmlファイルを保存し、閉じます。
- Enterprise Manager を再起動して、新しいドメインがロードされるようにします。
注:
domains.xml
ファイル内に構文エラーなどのエラーがあると、Enterprise Manager は起動しません。新規ドメイン用の domains.xml 構文
ドメイン用の構文
<domain name="Domainname" description="Domain description"><agent mapping="host\|process\|agentname or matching agents"/><grant user="username" permission="permission"/></domain>
管理モジュールとドメインとの関連付け
新しい管理モジュールを作成するときは、その所属先のドメインを指定することができます。
管理モジュールをドメインに関連付けるには、
domains.xml
に定義したドメインと名前が同じディレクトリを作成し、この新しく作成したディレクトリに管理モジュールを移動します。以下の手順に従います。
- <EM_Home>/config/modulesディレクトリに、前のセクションで作成したドメイン名に対応するディレクトリを作成します。たとえば、前の手順で定義したドメインの名前が「PetstoreA」であれば、以下に示すように、同じ PetstoreA という名前のディレクトリを作成します。<EM_Home>/config/modules/PetstoreA注:このドメイン ディレクトリの名前は、domains.xmlファイルに定義されているドメイン名と正確に一致している必要があります。スペルの誤りがなく、大文字と小文字が正しく区別されていることが必要です。正確に一致していない場合、このディレクトリに置かれた管理モジュールはロードされません。
- 必要な管理モジュールを<EM_Home>/config/modulesディレクトリから、作成した新しいディレクトリに移動します。
- Enterprise Manager を再起動します。これで、新しいドメインがロードされます。
新しく定義したドメインへのサンプル管理モジュールの追加
新規に定義したばかりのドメインには管理モジュールが一切含まれていません。 新規に定義したドメインにデフォルトのサンプル ダッシュボードを表示させる場合は、新しいドメインにサンプル管理モジュールをコピーする必要があります。
以下の手順に従います。
- <EM_Home>/config/modules/ディレクトリに移動します。
- 新しく定義したドメインの適切なモジュール ディレクトリにSampleManagementModule.jarファイルをコピーします。たとえば、PetstoreA という名前のドメインを定義した場合は、以下のディレクトリにSampleManagementModule.jarをコピーします。<EM_Home>/config/modules/PetstoreA
- Enterprise Manager を再起動して、新しい管理モジュールをロードします。
重要:
新しいドメインにコピーしたサンプル管理モジュールは、元のサンプル管理モジュールには一切リンクされていません。 元のサンプル管理モジュールに加えた変更は、他のドメインに配置されたサンプル管理モジュールのコピーには反映されません。この逆についても同様です。エージェントのドメイン マッピングの変更
ドメインの削除または 2 つのドメインのマージを行った後に、エージェントを別のドメインにマップし直す場合、以下のような影響があります。
- 削除したドメインにマップされていたエージェントが、再割り当てされず、まだレポートを続けている場合、そのエージェントはスーパードメインに表示されます。
- エージェントに SNMP コレクションが関連付けられている場合、SNMP MIB の再発行が必要になります。
- エージェントが別のドメインに移動されると、そのエージェントが保持していたシャットオフ情報はすべて失われます。
ドメインの削除
ドメインの削除が必要になるのは、以下の場合です。
- エージェントを別のドメインに割り当てた場合
- 2 つのドメインをマージした場合
以下の手順に従います。
- Enterprise Manager をシャットダウンします。
- /config ディレクトリに移動します。
- domains.xml ファイルからドメインを削除します。
- 必要に応じて、マップされているエージェントを別のドメインに割り当て直します。
- 対応するドメイン ディレクトリを /config/modules から削除します。
- Enterprise Manager を再起動します。
2 つのドメインのマージ
2 つのドメインをマージするには、すべてのエージェント マッピング情報を 1 つのドメインにマージする作業と、関連付けられている管理モジュールをすべて 1 つのドメインに移動する作業を行う必要があります。
以下の手順に従います。
- Enterprise Manager をシャットダウンします。
- <EM_Home>/configディレクトリのdomains.xmlファイルを開きます。
- 移動元ドメイン(ここでは Domain A とします)が定義されている部分で、エージェント マッピング情報が指定されている XML コードをコピーします。
- 移動先ドメイン(ここでは Domain B とします)が定義されている部分で、エージェント マッピング情報が指定されている XML コードのコピーを貼り付けます。
- 移動元ドメイン(ドメイン A)から、エージェント マッピング情報が指定されている XML コードを削除します。
- 管理モジュールを<EM_Home>/config/modules/内の移動元ドメイン(Domain A など)ディレクトリから移動先ドメイン(Domain B など)に移動します。注:移動する管理モジュールと同じ名前の管理モジュールが移動先ドメインのディレクトリにすでに存在している場合は、移動元ドメインに存在する方の管理モジュールの名前を変更する必要があります。 同じ名前の管理モジュールが 2 つある場合、Enterprise Manager は起動しません。
- domains.xmlから、移動元ドメインを削除します。
- Enterprise Manager を再起動します。
異なる Introscope システム間でのドメインの複製
複製先となる Introscope システムのドメイン構成を、複製元となる Introscope システムのドメイン構成とまったく同じにする場合は、以下の手順に従います (つまり、
domains.xml
ファイルに定義されたドメインをすべてまったく同じにする場合)。以下の手順に従います。
- 移動元システムの<EM_Home>/config/domains.xmlファイルを移動先システムの同じディレクトリにコピーします。
- 移動元システムに<EM_Home>/config/shutoff/MetricShutoffConfiguration.xmlファイルがある場合は、移動先システムの同じディレクトリにコピーします。
- 移動元システムの<EM_Home>/config/modules/<domain>ディレクトリの内容を移動先システムにコピーします。
- Enterprise Manager を再起動します。
Introscope システム間における複製なしでのドメインの移動
古い Introscope システムと新しい Introscope システム間のドメイン構成がわずかに異なる場合、これらのシステム間で複製を行わずにドメインを移動するには、以下の手順に従います。
以下の手順に従います。
- 移動元システムの<EM_Home>/configディレクトリ内のdomains.xmlファイルを開きます。
- ドメイン情報をコピーします。
- 移動先システムの<EM_Home>/configディレクトリ内の domains.xmlファイルを開きます。
- コピーしたドメイン情報をdomains.xmlファイルに貼り付けます。
- 移動元システムの<EM_Home>/config/modulesディレクトリにある管理モジュール用ディレクトリに対応するディレクトリを、移動先システムに新しく作成します。
- 移動対象のドメインに属する管理モジュールをコピーし、移動先 Introscope システムの対応するドメイン ディレクトリにそれらを貼り付けます。
- 移動元 Introscope システムから、移動対象のドメインを削除します。
- Enterprise Manager を再起動します。
エージェント フェールオーバとユーザ/ドメイン構成
エージェント フェールオーバ機能を使用してユーザとパスワードを定義する場合は、指定されたフェールオーバ Enterprise Manager 全体で、
domains.xml
、server.xml
および users.xml
ファイルが同期されていることを確認します。エージェント フェールオーバの使用方法の詳細については、「
CA APM 設定および管理ガイド
」を参照してください。セキュリティ保護された認証のための公開鍵および秘密鍵の構成
クラスタ化された環境において、MOM、コレクタ、および Workstation 間の通信プロトコルは、セキュリティ保護された認証のために公開鍵と秘密鍵を使用します。
注:
公開鍵と秘密鍵はログイン時にパスワードをセキュリティ保護するためだけに使用されます。 すべての通信をセキュリティ保護するには、SSL が必要です。コレクタのデフォルトの秘密鍵について
各コレクタは、MOM が接続に使用するパスワードを復号化するための秘密鍵を使用します。 公開鍵と秘密鍵は一対のセットである必要があります。 コレクタ Enterprise Manager の秘密鍵は
IntroscopeEnterpriseManager.properties
ファイルの introscope.enterprisemanager.clustering.privatekey
プロパティで定義されます。デフォルト値は、以下のとおりです。
config/internal/server/EM.private
セキュリティを強化するためにコレクタ用の公開鍵と秘密鍵の新しいセットを生成する場合を除き、秘密鍵を再構成する必要はありません。 秘密鍵の再構成の詳細については、「公開鍵と秘密鍵の新しいセットの生成」を参照してください。
introscope.enterprisemanager.clustering.privatekey
プロパティの詳細については、「CA APM 設定および管理ガイド
」を参照してください。注:
CA APM の公開鍵と秘密鍵は期限切れになりません。公開鍵と秘密鍵の新しいセットの生成
CA APM 環境のセキュリティを強化するには、コレクタごとに新しい公開鍵と秘密鍵を生成し、公開鍵を MOM に配置し、MOM のコレクタ プロパティを更新します。
以下の手順に従います。
- Introscope インストール ディレクトリに移動します。
- コマンド プロンプトで、以下のコマンドを入力します。java -classpath product\enterprisemanager\plugins\com.wily.introscope.em.client14_9.5.0.jar;lib\CLWorkstation.jar;product\enterprisemanager\configuration\org.eclipse.osgi\bundles\24\1\.cp\lib\WilyBouncyCastle.jar com.wily.util.encryption.KeyGenerator EM.public EM.private
- コレクタ用の新しいキーを生成する場合は、MOM のIntroscopeEnterpriseManager.propertiesファイルのintroscope.enterprisemanager.clustering.login.em1.publicKeyプロパティで指定された場所に公開鍵をコピーします。注:MOM 用の新しいキーを生成する場合、この手順は適用されません。
- 公開鍵と秘密鍵をコピーし、Enterprise Manager の<EM_Home>\config\internal\serverに貼り付けます。