Linux での
Network Discover
クラスタのインストール

サーバーコンピュータに
Network Discover
クラスタソフトウェアをインストールするには、以下の手順に従います。
このインストール処理に続くサーバー登録手続きの間に、クラスタの種類を指定します。

始める前に

Network Discover
クラスタのインストールを始める前に以下の前提条件を完了します。

Linux に
Network Discover
クラスタをインストールする手順

以下のセクションでは、Linux プラットフォームにクラスタをインストールするために実行する手順を示します。

ステップ 1: ノード間の通信の保護

ワーカー ノードとデータ ノードをインストールする前に、DiscoverClusterKeyTool を使用して認証パッケージを作成します。この認証パッケージによって、ノードと Enforce サーバーの間の暗号化通信が可能になります。
  1. /opt/Symantec/DataLossPrevention/EnforceServer/16.0.1.00000/Protect/bin/DiscoverClusterKeyTool
    にある DiscoverClusterKeyTool を見つけます。
  2. 認証パッケージの実行を準備します。
    インストールに固有の情報を含む値を入力します。パラメータと説明のリストについては、以下の表を参照してください。
    DiscoverClusterKeyTool のパラメータ
    コマンド
    説明
    generate-package-type
    認証が使用されるノードの種類を定義します。以下が含まれます。
    • WN
      (ワーカー ノード)
    • DN
      (データ ノード)
    • All
      (ワーカー ノードとデータ ノードの両方)
    enforce-url
    (オプション) Enforce サーバーのホスト名または IP を入力します。
    値を入力しない場合、URL
    https://<localhost>/
    が割り当てられます。
    enforce-username
    管理者権限を持つ Enforce サーバーのユーザー名を入力します。
    enforce-password
    enforce-username
    で指定されたユーザーのパスワードを入力します。
    keystore-password
    (オプション)キーストアのパスワードを入力します。
    パスワードを指定しない場合、ランダムに生成されたパスワードが割り当てられます。
    truststore-password
    (オプション) トラストストアのパスワードを入力します。
    パスワードを指定しない場合、ランダムに生成されたトラストストア パスワードが割り当てられます。
    disable-ssl-verification
    (オプション) Enforce サーバーへの接続中に SSL 検証を無効にするかどうかを指定します。
    次のいずれかの値を入力できる。
    • true
      はクライアント側の SSL 検証を無効にします
    • false
      (デフォルト)はクライアント側で有効な SSL 検証を保持します
    output-dir
    (オプション)認証パッケージ zip が作成されるディレクトリを定義します。
    デフォルトでは、現在のディレクトリにパッケージが作成されます。
    以下のコマンドは、すべてのオプションを含む例です。
    DiscoverClusterKeyTool -generate-package -type=
    All
    -enforce-url=
    https://<localhost>/
    -enforce-username=
    SymantecDLP
    -enforce-password=
    <password>
    -keystore-password=
    <password>
    -truststore-password=
    <password>
    -disable-ssl-verification=
    true
    -output-dir=
    /opt/Symantec/DataLossPrevention/DataLossPreventionDetectionServer /16.0.1.00000/Protect/keystore/discovercluste
  3. コマンドを実行します。
    generate-package-type
    で定義した場所に基づいてファイルが作成されます。以下の表に、パッケージの種類に基づく出力を示します。
    認証パッケージの出力
    パッケージの種類
    生成されるファイル
    WN
    dlp_discover_cluster_workernode_auth.zip
    ワーカー ノードのインストール中に使用します。
    DN
    dlp_discover_cluster_datanode_auth.zip
    データ ノードのインストール中に使用します。
    [すべて]
    dlp_discover_cluster_auth.zip
    このファイルには、
    dlp_discover_cluster_workernode_auth.zip
    dlp_discover_cluster_datanode_auth.zip
    が含まれています。
    ワーカー ノードおよびデータ ノードのインストール中に、個別の ZIP ファイルを抽出してアクセスします。

ステップ 2: JRE のインストール

ステップ 3: ノードのインストール

以下の手順に従って、サーバーコンピュータにノードソフトウェアをインストールします。設定処理中にノードの種類を指定します。
ワーカー ノードをインストールする前に、データ ノードをインストールします。最初にデータ ノードをインストールすると、ワーカー ノードがインストール後に通信する場所が定義されます。
  1. インストール前の手順を完了します。
  2. 検出サーバーソフトウェアをインストールするコンピュータに root としてログオンします。
  3. Enforce Server から検出サーバー上のローカルディレクトリに検出サーバーインストーラ (
    DetectionServer.zip
    ) をコピーします。
    DetectionServer.zip
    ファイルはソフトウェアダウンロード (
    DLPDownloadHome
    ) ディレクトリに含まれています。そのファイルは Enforce Server のインストール処理の間に Enforce Server のローカルディレクトリにコピーされています。
  4. DetectionServer.zip
    ファイルのコピー先ディレクトリ (
    /opt/temp/
    ) に移動します。
  5. ファイルのコンテンツを解凍します (たとえば、
    /opt/temp
    に解凍します)。
  6. 次のコマンドを実行して、RPM ファイルのファイル依存関係を確認します。
    rpm -qpR *.rpm
    次のコマンドを実行して確認するファイルを指定することもできます。
    rpm -qpR
    .rpm-file
    .rpm-file
    は確認するファイルです。
    依存関係が見つからないことがコマンドによって示される場合、YUM リポジトリを使用してそれらの依存関係をインストールできます。次のコマンドを使用します。
    yum install
    repo
    repo
    をリポジトリ パッケージ名で置き換えます。
  7. 以下のコマンドを実行して、検出サーバーをインストールします。
    ./install.sh -t detection
    YUM を使用してインストールする場合、
    Symantec Data Loss Prevention
    がインストールされるデフォルトの再配置可能なルートを上書きすることはできません。
  8. ノードの設定処理を開始します。

ステップ 4: ノードソフトウェアの設定

検出サーバーをインストールした後は、検出サーバー設定ユーティリティを実行して設定します。
コマンド ラインからサイレントまたはインタラクティブにインストールを完了できます。以下の表に、インストール時に使用するインストールパラメータの一覧を示します。
Network Discover
クラスタのインストールパラメータ
コマンド
説明
jreDirectory
JRE が存在する場所を指定します。
fipsOption
FIPS 暗号化を無効 (
Disabled
) または有効 (
Enabled
) にするかどうか定義します。
serviceUserOption
NewUser
または
ExistingUser
を入力することでサービスユーザーを定義します。
serviceUserUsername
Symantec Data Loss Prevention
サービスを管理するために使用されるアカウントの名前を定義します。デフォルトのユーザー名は「SymantecDLP」です。
detectionCommunicationDefaultCertificates
デフォルト証明書を使用するか (
Enabled
)、作成する証明書を使用するか (
Disabled
) を定義します。
bindHost
Enforce Server との通信に使用する、検出サーバーのネットワークインターフェースを定義します。ネットワークインターフェースが 1 つだけの場合は、このフィールドを空白のままにします。
bindPort
検出サーバーが Enforce Server からの接続を受け入れるポート番号を定義します。デフォルトのポート番号は 8100 です。
デフォルトポートを使えない場合は、1024 から 65535 の範囲でポート 1024 より番号が大きいポートに変更できます。
discoverClusterRoleOption
インストールするサーバーの種類を定義します。以下が含まれます。
  • DN
    (データ ノード)
  • WN
    (ワーカー ノード)
ワーカー ノードがインストールされる場合、インストール中に java プロセスに対して CAP_NET_BIND_SERVICE が設定されます。この機能は、ワーカー ノードがアンインストールされた場合に削除されます。
discoverClusterIP
データ ノードの IP を定義します。
データ ノードをインストールする場合は、データ ノードをインストールするサーバーの内部 IP を入力します。
discoverClusterDiscoveryPortRange
クラスタ内のデータ ノードを検出するためにクラスタ IP と共に使用されます。
このパラメータはデータ ノードのインストールに必要です。
デフォルト値は
47500..47520
です。
discoverClusterClientConnectionPortRange
クラスタ内のワーカー ノードとデータ ノードの間の通信に使用されるポートの範囲を定義します。
このパラメータはデータ ノードとワーカー ノードのインストールに必要です。
デフォルト値は
10800..10820
です。
discoverClusterAuthPackage
認証パッケージの場所を定義します。
インストールするノードの種類に基づいてファイルを指定します。
  • ワーカー ノード:
    dlp_discover_cluster_workernode_auth.zip
  • データ ノード:
    dlp_discover_cluster_datanode_auth.zip
以下の例は、ワーカー ノードおよびデータ ノードに対して完了したコマンドの一覧です。使用するコマンドは、実装の要件によって異なります。以下のコマンドをそのまま使用すると、インストールに失敗する可能性があります。
  • データ ノードのコマンド例:
    ./DetectionServerConfigurationUtility -silent -jreDirectory=/usr/lib/jvm/adoptopenjdk-8-hotspot-jre/ -serviceUserOption=SymantecDLP -serviceUserUsername=protect -bindHost=
    [IP or host name]
    -bindPort=8100 -fipsOption=Disabled -detectionCommunicationDefaultCertificates=Enabled -discoverClusterRoleOption=DN -discoverClusterIP=0.0.0.0 -discoverClusterAuthPackage=/opt/dlp_discover_cluster_datanode_auth.zip -discoverClusterClientConnectionPortRange=
    <StartPort>
    ..
    <EndPort>
    -discoverClusterDiscoveryPortRange=<StartPort>..<EndPort>
  • ワーカー ノードのコマンド例:
./DetectionServerConfigurationUtility -silent -jreDirectory=/usr/lib/jvm/adoptopenjdk-8-hotspot-jre/ -serviceUserOption=ExistingUser -serviceUserUsername=protect -bindHost=
[IP or host name]
-bindPort=8100 -fipsOption=Disabled -detectionCommunicationDefaultCertificates=Enabled -discoverClusterRoleOption=WN -discoverClusterIP=0.0.0.0 -discoverClusterAuthPackage=/home/bishnu/Desktop/dlp_discover_cluster_workernode_auth.zip -discoverClusterClientConnectionPortRange=
<StartPort>
..
<EndPort>
  1. インストールディレクトリに移動します。
    /opt/Symantec/DataLossPrevention/DetectionServer/16.0.1.00000/Protect/install
    のデフォルトディレクトリに移動します。デフォルトディレクトリ以外へのインストールを選択した場合はそのパスに移動します。
  2. 検出サーバー設定ユーティリティを実行します。以下のコマンドを使ってユーティリティを起動します。
    ./DetectionServerConfigurationUtility
  3. 検出サーバー設定ユーティリティで次の情報を入力します。
    使用許諾契約
    使用許諾契約を確認し、
    1
    を入力して同意します。
    JRE ディレクトリ
    JRE ディレクトリを入力します。
    推奨されるディレクトリは
    /opt/AdoptOpenJRE/
    [JRE バージョン]
    です。
    FIPS 暗号化
    FIPS 暗号化を無効または有効にすることを選択します。
    サービスユーザー
    1
    」を入力して新しいユーザーを追加するか、「
    2
    」を入力して既存のユーザーを使用します。
    デフォルトの新しいユーザー名は「SymantecDLP」です。新しいサービスユーザーを作成する場合は、入力を求められたらユーザー名を入力します。
    新しいサービスユーザーを作成する場合、そのユーザーはグループのメンバーである必要があり、サービスユーザーとグループ名は一致する必要があります。これらの条件が満たされていない場合、アップグレードは失敗します。
    ネットワークポート
    検出サーバーが Enforce Server からの接続を受け入れるデフォルトポート番号 (8100) を受け入れます。デフォルトポートを使えない場合は、1024 から 65535 の範囲でポート 1024 より番号が大きいポートに変更できます。
    ネットワークインターフェース
    Enforce Server との通信に使用する、検出サーバーのネットワークインターフェース (バインドアドレス) を入力します。ネットワークインターフェースが 1 つだけの場合は、このフィールドを空白のままにします。
    ノードの種類
    インストールするサーバーの種類を定義します。以下が含まれます。
    • DN
      (データ ノード)
    • WN
      (ワーカー ノード)
    データ ノード IP
    データ ノードをインストールする場合は、データ ノードをインストールするサーバーの IP を入力します。
    Network Discover
    クラスタの検出ポートの範囲
    クラスタ内のデータ ノードを検出するためにクラスタ IP と共に使用されます。
    このパラメータはデータ ノードのインストールに必要です。
    デフォルト値は
    47500..47520
    です。
    Network Discover
    クラスタのクライアント接続ポートの範囲
    クラスタ内のワーカー ノードとデータ ノードの間の通信に使用されるポートの範囲を定義します。
    このパラメータはデータ ノードとワーカー ノードのインストールに必要です。
    デフォルト値は
    10800..10820
    です。
    クラスタの認証パッケージ
    認証パッケージの場所を定義します。
    インストールするノードの種類に基づいてファイルを指定します。
    • ワーカー ノード:
      dlp_discover_cluster_workernode_auth.zip
    • データ ノード:
      dlp_discover_cluster_datanode_auth.zip
  4. ノードが正しくインストールされていることを確認します。
  5. インストールの完了後にシステムのバックアップを作成します。