Shieldをスプリットモードで展開

Shieldは、一部のコンポーネントがLAN内にあり、他のコンポーネントがDMZ内にある場合、スプリットモードで展開されることがあります。

これが選択された配置の場合、2つのクラスタが作成され、それぞれの場所(DMZ/LAN)ごとに定義されます。

../../../../_images/split.png

LANにある管理クラスタ(クラスタAと呼ばれる)には、ManagementとProxyコンポーネントが含まれます。DMZにあるFarmクラスタ(クラスタBと呼ばれています)には、ELKとBrowserファームが含まれます。

これが配備されている場合、2つのクラスタ間を接続し、一方のクラスタのコンポーネントが認識され、Shieldが適切に機能するように、他方のクラスタと通信できるように設定する必要があります。

LANコンポーネントでDMZコンポーネントを構成する

参考

以下の説明にはYAMLファイルのいくつかの変更が含まれています。スペースのみを使用して、正しいインデントを 維持しなければならない ことに注意してください。タブの使用はYAMLではサポートされておらず、エラーの原因となります。

Cluster A を実行しているマシンに移動し、以下のyamlファイルを更新します。

  1. custom-management.yaml`custom-proxy.yaml` を編集します (ファイル内の指示に従ってください)。

    # Split-Mode: uncomment these lines and replace the IP (dashes separated) of the server running the Browser Farm
farmAddress: |
  - name: FARMURL
    value: https://10-10-0-1.sslip.io:30443
  - name: FARMENABLED
    value: 'true'

# When ELK is running on a different system (e.g. Split Mode), uncomment this
# line and replace the IP (enter the IP of the server running ELK)
  elasticHost: "10.10.0.1:9200"

最終的な結果はこのようになります。

../../../../_images/split1.png

  1. ``custom-common.yaml``で、これらの行のコメントを解除し(ファイルに記載されているように)、IPをクラスタBのIPアドレス(DMZ内)に更新します。

    fluent-bit-out-syslog:
  elasticHost: "10.10.0.1:9200"

最終的な結果はこのようになります。

../../../../_images/split2.png

クラスタBを実行しているマシンに移動し、 custom-farm.yaml` を更新してください。 以下の行のコメントを外してください。

# Split-Mode: uncomment these lines:
  proxyless:
    sslip:
      enabled: true
  extProxyIngress: true
  extProxyIngressPort: 30128

最終的な結果はこのようになります。

../../../../_images/split3.png

Shieldの再展開

sudo ./deploy-shield.sh

ポート

ポートテーブル によると、Yes/Exclusive のマークが付いたポートがすべて開放されていることを確認します。