Linux での Network Discover クラスタのインストール
Network Discover
クラスタのインストールサーバーコンピュータに
Network Discover
クラスタソフトウェアをインストールするには、以下の手順に従います。 このインストール処理に続くサーバー登録手続きの間に、クラスタの種類を指定します。
始める前に
Network Discover
クラスタのインストールを始める前に以下の前提条件を完了します。 - アップグレードの準備手順を完了します。Symantec Data Loss Prevention をアップグレードする準備 を参照してください。
- DetectionServer.zipファイルをサーバーコンピュータの/opt/temp/ディレクトリにコピーします。
Linux に Network Discover クラスタをインストールする手順
Network Discover
クラスタをインストールする手順以下のセクションでは、Linux プラットフォームにクラスタをインストールするために実行する手順を示します。
ステップ 1: ノード間の通信の保護
ワーカー ノードとデータ ノードをインストールする前に、DiscoverClusterKeyTool を使用して認証パッケージを作成します。この認証パッケージによって、ノードと Enforce サーバーの間の暗号化通信が可能になります。
- /opt/Symantec/DataLossPrevention/EnforceServer/16.0.1.00000/Protect/bin/DiscoverClusterKeyToolにある DiscoverClusterKeyTool を見つけます。
- 認証パッケージの実行を準備します。インストールに固有の情報を含む値を入力します。パラメータと説明のリストについては、以下の表を参照してください。DiscoverClusterKeyTool のパラメータコマンド説明generate-package-type認証が使用されるノードの種類を定義します。以下が含まれます。
- WN(ワーカー ノード)
- DN(データ ノード)
- All(ワーカー ノードとデータ ノードの両方)
enforce-url(オプション) Enforce サーバーのホスト名または IP を入力します。値を入力しない場合、URLhttps://<localhost>/が割り当てられます。enforce-username管理者権限を持つ Enforce サーバーのユーザー名を入力します。enforce-passwordenforce-usernameで指定されたユーザーのパスワードを入力します。keystore-password(オプション)キーストアのパスワードを入力します。パスワードを指定しない場合、ランダムに生成されたパスワードが割り当てられます。truststore-password(オプション) トラストストアのパスワードを入力します。パスワードを指定しない場合、ランダムに生成されたトラストストア パスワードが割り当てられます。disable-ssl-verification(オプション) Enforce サーバーへの接続中に SSL 検証を無効にするかどうかを指定します。次のいずれかの値を入力できる。- trueはクライアント側の SSL 検証を無効にします
- false(デフォルト)はクライアント側で有効な SSL 検証を保持します
output-dir(オプション)認証パッケージ zip が作成されるディレクトリを定義します。デフォルトでは、現在のディレクトリにパッケージが作成されます。以下のコマンドは、すべてのオプションを含む例です。DiscoverClusterKeyTool -generate-package -type=All-enforce-url=https://<localhost>/-enforce-username=SymantecDLP-enforce-password=<password>-keystore-password=<password>-truststore-password=<password>-disable-ssl-verification=true-output-dir=/opt/Symantec/DataLossPrevention/DataLossPreventionDetectionServer /16.0.1.00000/Protect/keystore/discovercluste - コマンドを実行します。generate-package-typeで定義した場所に基づいてファイルが作成されます。以下の表に、パッケージの種類に基づく出力を示します。認証パッケージの出力パッケージの種類生成されるファイルWNdlp_discover_cluster_workernode_auth.zipワーカー ノードのインストール中に使用します。DNdlp_discover_cluster_datanode_auth.zipデータ ノードのインストール中に使用します。[すべて]dlp_discover_cluster_auth.zipこのファイルには、dlp_discover_cluster_workernode_auth.zipとdlp_discover_cluster_datanode_auth.zipが含まれています。ワーカー ノードおよびデータ ノードのインストール中に、個別の ZIP ファイルを抽出してアクセスします。
ステップ 2: JRE のインストール
ステップ 3: ノードのインストール
以下の手順に従って、サーバーコンピュータにノードソフトウェアをインストールします。設定処理中にノードの種類を指定します。
ワーカー ノードをインストールする前に、データ ノードをインストールします。最初にデータ ノードをインストールすると、ワーカー ノードがインストール後に通信する場所が定義されます。
- インストール前の手順を完了します。検出サーバーのインストールの準備 を参照してください。
- 検出サーバーソフトウェアをインストールするコンピュータに root としてログオンします。
- Enforce Server から検出サーバー上のローカルディレクトリに検出サーバーインストーラ (DetectionServer.zip) をコピーします。DetectionServer.zipファイルはソフトウェアダウンロード (DLPDownloadHome) ディレクトリに含まれています。そのファイルは Enforce Server のインストール処理の間に Enforce Server のローカルディレクトリにコピーされています。
- DetectionServer.zipファイルのコピー先ディレクトリ (/opt/temp/) に移動します。
- ファイルのコンテンツを解凍します (たとえば、/opt/tempに解凍します)。
- 次のコマンドを実行して、RPM ファイルのファイル依存関係を確認します。rpm -qpR *.rpm次のコマンドを実行して確認するファイルを指定することもできます。rpm -qpR.rpm-file.rpm-fileは確認するファイルです。依存関係が見つからないことがコマンドによって示される場合、YUM リポジトリを使用してそれらの依存関係をインストールできます。次のコマンドを使用します。yum installreporepoをリポジトリ パッケージ名で置き換えます。
- 以下のコマンドを実行して、検出サーバーをインストールします。./install.sh -t detectionYUM を使用してインストールする場合、Symantec Data Loss Preventionがインストールされるデフォルトの再配置可能なルートを上書きすることはできません。
- ノードの設定処理を開始します。
ステップ 4: ノードソフトウェアの設定
検出サーバーをインストールした後は、検出サーバー設定ユーティリティを実行して設定します。
コマンド ラインからサイレントまたはインタラクティブにインストールを完了できます。以下の表に、インストール時に使用するインストールパラメータの一覧を示します。
コマンド | 説明 |
|---|---|
jreDirectory | JRE が存在する場所を指定します。 |
fipsOption | FIPS 暗号化を無効 ( Disabled ) または有効 (Enabled ) にするかどうか定義します。 |
serviceUserOption | NewUser または ExistingUser を入力することでサービスユーザーを定義します。 |
serviceUserUsername | Symantec Data Loss Prevention サービスを管理するために使用されるアカウントの名前を定義します。デフォルトのユーザー名は「SymantecDLP」です。 |
detectionCommunicationDefaultCertificates | デフォルト証明書を使用するか ( Enabled )、作成する証明書を使用するか (Disabled ) を定義します。 |
bindHost | Enforce Server との通信に使用する、検出サーバーのネットワークインターフェースを定義します。ネットワークインターフェースが 1 つだけの場合は、このフィールドを空白のままにします。 |
bindPort | 検出サーバーが Enforce Server からの接続を受け入れるポート番号を定義します。デフォルトのポート番号は 8100 です。 デフォルトポートを使えない場合は、1024 から 65535 の範囲でポート 1024 より番号が大きいポートに変更できます。 |
discoverClusterRoleOption | インストールするサーバーの種類を定義します。以下が含まれます。
ワーカー ノードがインストールされる場合、インストール中に java プロセスに対して CAP_NET_BIND_SERVICE が設定されます。この機能は、ワーカー ノードがアンインストールされた場合に削除されます。 |
discoverClusterIP | データ ノードの IP を定義します。 データ ノードをインストールする場合は、データ ノードをインストールするサーバーの内部 IP を入力します。 |
discoverClusterDiscoveryPortRange | クラスタ内のデータ ノードを検出するためにクラスタ IP と共に使用されます。 このパラメータはデータ ノードのインストールに必要です。 デフォルト値は 47500..47520 です。 |
discoverClusterClientConnectionPortRange | クラスタ内のワーカー ノードとデータ ノードの間の通信に使用されるポートの範囲を定義します。 このパラメータはデータ ノードとワーカー ノードのインストールに必要です。 デフォルト値は 10800..10820 です。 |
discoverClusterAuthPackage | 認証パッケージの場所を定義します。 インストールするノードの種類に基づいてファイルを指定します。
|
以下の例は、ワーカー ノードおよびデータ ノードに対して完了したコマンドの一覧です。使用するコマンドは、実装の要件によって異なります。以下のコマンドをそのまま使用すると、インストールに失敗する可能性があります。
- データ ノードのコマンド例:./DetectionServerConfigurationUtility -silent -jreDirectory=/usr/lib/jvm/adoptopenjdk-8-hotspot-jre/ -serviceUserOption=SymantecDLP -serviceUserUsername=protect -bindHost=[IP or host name]-bindPort=8100 -fipsOption=Disabled -detectionCommunicationDefaultCertificates=Enabled -discoverClusterRoleOption=DN -discoverClusterIP=0.0.0.0 -discoverClusterAuthPackage=/opt/dlp_discover_cluster_datanode_auth.zip -discoverClusterClientConnectionPortRange=<StartPort>..<EndPort>-discoverClusterDiscoveryPortRange=<StartPort>..<EndPort>
- ワーカー ノードのコマンド例:
./DetectionServerConfigurationUtility -silent -jreDirectory=/usr/lib/jvm/adoptopenjdk-8-hotspot-jre/ -serviceUserOption=ExistingUser -serviceUserUsername=protect -bindHost=[IP or host name]-bindPort=8100 -fipsOption=Disabled -detectionCommunicationDefaultCertificates=Enabled -discoverClusterRoleOption=WN -discoverClusterIP=0.0.0.0 -discoverClusterAuthPackage=/home/bishnu/Desktop/dlp_discover_cluster_workernode_auth.zip -discoverClusterClientConnectionPortRange=<StartPort>..<EndPort>
- インストールディレクトリに移動します。/opt/Symantec/DataLossPrevention/DetectionServer/16.0.1.00000/Protect/installのデフォルトディレクトリに移動します。デフォルトディレクトリ以外へのインストールを選択した場合はそのパスに移動します。
- 検出サーバー設定ユーティリティを実行します。以下のコマンドを使ってユーティリティを起動します。./DetectionServerConfigurationUtility
- 検出サーバー設定ユーティリティで次の情報を入力します。使用許諾契約使用許諾契約を確認し、1を入力して同意します。JRE ディレクトリJRE ディレクトリを入力します。推奨されるディレクトリは/opt/AdoptOpenJRE/です。[JRE バージョン]FIPS 暗号化FIPS 暗号化を無効または有効にすることを選択します。サービスユーザー「1」を入力して新しいユーザーを追加するか、「2」を入力して既存のユーザーを使用します。デフォルトの新しいユーザー名は「SymantecDLP」です。新しいサービスユーザーを作成する場合は、入力を求められたらユーザー名を入力します。新しいサービスユーザーを作成する場合、そのユーザーはグループのメンバーである必要があり、サービスユーザーとグループ名は一致する必要があります。これらの条件が満たされていない場合、アップグレードは失敗します。ネットワークポート検出サーバーが Enforce Server からの接続を受け入れるデフォルトポート番号 (8100) を受け入れます。デフォルトポートを使えない場合は、1024 から 65535 の範囲でポート 1024 より番号が大きいポートに変更できます。ネットワークインターフェースEnforce Server との通信に使用する、検出サーバーのネットワークインターフェース (バインドアドレス) を入力します。ネットワークインターフェースが 1 つだけの場合は、このフィールドを空白のままにします。ノードの種類インストールするサーバーの種類を定義します。以下が含まれます。
- DN(データ ノード)
- WN(ワーカー ノード)
データ ノード IPデータ ノードをインストールする場合は、データ ノードをインストールするサーバーの IP を入力します。Network Discoverクラスタの検出ポートの範囲クラスタ内のデータ ノードを検出するためにクラスタ IP と共に使用されます。このパラメータはデータ ノードのインストールに必要です。デフォルト値は47500..47520です。Network Discoverクラスタのクライアント接続ポートの範囲クラスタ内のワーカー ノードとデータ ノードの間の通信に使用されるポートの範囲を定義します。このパラメータはデータ ノードとワーカー ノードのインストールに必要です。デフォルト値は10800..10820です。クラスタの認証パッケージ認証パッケージの場所を定義します。インストールするノードの種類に基づいてファイルを指定します。- ワーカー ノード:dlp_discover_cluster_workernode_auth.zip
- データ ノード:dlp_discover_cluster_datanode_auth.zip
- ノードが正しくインストールされていることを確認します。
- インストールの完了後にシステムのバックアップを作成します。