5.8. オフライン構成での導入手順

Ericom Shieldは通常、インターネット上に存在するレジストリから該当バージョンのモジュールをダウンロードしながらセットアップが行われますが、Registry OVA を利用することで、インターネットへの接続が制限された環境においても、セットアップを行うことが可能です。 この章では必要最小限の構成でインストールし、評価する手順をご紹介します。

shield-component02

構成としては上記のように、クラスタマネージメントとシステムコンポーネント、ファームサービスが1台、ブラウザーファームが1台という構成になります。

5.8.1. Registry OVAの展開

OVAファイル一覧 より、対象バージョンのRegistry OVAをダウンロードし、VMware環境へ展開してください。

Registry OVA は下記のユーザでログインしていただけます。

  • ユーザID:ericom
  • パスワード:ericomshield

Registry OVA にログインできたら、

  • 固定IPアドレス
  • ユニークなホスト名
  • タイムゾーン

を設定しておいてください。

参考手順

固定IPの設定

  • /etc/systemd/network に移動します。
  • 20-wired.networkファイルを編集します。 スタティックIPアドレス/サブネットを使用するように、DHCP=ipv4 の行を変更します。
[Match]
Name=en*

[Network]
Address=10.1.10.12/24
Gateway=10.1.10.1
DNS=10.1.10.1
DNS=10.1.10.2   //optional, multiples may be used
IPForward=ipv4

参考

DHCPサーバーが環境内に存在する場合は、予約済み(静的)IPをOVAにリースするように構成します。 最初の起動時に、OVAに与えられたIPアドレスによってOVAのMACアドレスを特定できるはずです。

NTPおよびタイムゾーンの設定

sudo timedatectl set-ntp on
sudo systemctl restart systemd-timesyncd
timedatectl set-timezone <Continent>/<City>

ホスト名の設定

sudo hostnamectl set-hostname NEW_UNIQUE_HOSTNAME
sudo reboot

5.8.2. 事前準備

Ericom Shield を導入するサーバは システム要件 に従って、準備してください。

また、追加で下記の要件を満たす必要があります。

  • パスワードを利用した一般ユーザ(ericom)によるSSH接続ができること。
  • ericomユーザにsudo権限が与えられていること。
  • 全てのノードでericomユーザのパスワードが共通であること。
  • apt.listを削除しておくこと。
  • proxyの設定を行う場合、Registry OVAのアドレスを no_proxy に設定し除外しておくこと。

参考手順

ericomユーザの作成およびsudo権限の追加

sudo adduser --gecos "" ericom
echo "ericom ALL=(ALL:ALL) NOPASSWD: ALL"  | sudo EDITOR='tee -a' visudo

一般ユーザでのパスワードによるSSHの許可

sudo vi /etc/ssh/sshd_config
  ※ PasswordAuthentication no の行を yes に変更
sudo systemctl restart sshd

apt.listの削除

sudo mv /etc/apt/sources.list /etc/apt/sources.list.bak
sudo touch /etc/apt/sources.list
sudo apt update

5.8.3. オフラインRegistry登録作業

  • Registry OVA にSSHで接続します。(ericom ユーザで接続。または他ユーザで接続した場合は su - ericom にてericom ユーザにスイッチしてください。)
  • 下記コマンドを実行し、Ericom Shield インストール対象ノードに オフラインレジストリの登録を行う。
sudo ./ericomshield/shield-prepare-servers -u ericom --offline-mode --offline-registry "<Registry OVAのIP>:5000" 対象ノードのIP#1 対象ノードのIP#2

対象ノードのIPはドレスは半角スペースで区切って複数設定することが可能です。

実行時の最終フェーズで、対象ノードは再起動されます。再起動の完了をまって、実行は終了となります。

failed が無いことを確認してください。

<実行結果例>

TASK [Shield_Node : Make sure firewalld is stopped] ***************************************************************
skipping: [192.168.215.47]

TASK [Shield_Node : Reboot node(s)] *******************************************************************************
changed: [192.168.215.47]

TASK [Shield_Node : Wait for apt-daily-upgrade] *******************************************************************
changed: [192.168.215.47]

TASK [Shield_Node : Clean up] *************************************************************************************
ok: [192.168.215.47]

PLAY RECAP ********************************************************************************************************
192.168.215.47             : ok=20   changed=14   unreachable=0    failed=0    skipped=4    rescued=0    ignored=0

5.8.4. セットアップスクリプトの実行

  • Rancherを配置する予定のノードにSSHで接続します。(ericom ユーザで接続。または他ユーザで接続した場合は su - ericom にてericom ユーザにスイッチしてください。)
  • 前項目にて実行したRegistryの登録が完了していることを確認します。 **Insecure Registries**に登録があることを確認してください。
docker info

<出力例>

~省略~

Insecure Registries:
  <Registry OVAのIP>:5000
  127.0.0.0/8
  • Regisyry OVAから shield-setup.sh をGetして実行します。( sudo は付けずに実行してください。)
curl -O http://<Registry OVAのIP>/scripts/shield-setup.sh
chmod +x shield-setup.sh
./shield-setup.sh --offline --registry <Registry OVAのIP>:5000
  • あとの流れは、オンラインでの通常のセットアップと同様です。

最小構成での導入手順 を参考に進めてください。

5.8.5. クライアントからのアクセス

アクティベーションが完了すると、デフォルトの設定状態ですぐにShieldをご利用いただけます。ご利用にあたってはクライアントPCで下記2点(Internet Explorerをクライアントとして利用している場合は3点)の設定が必要となります。

ルート証明書のインストール

HTTPS通信をシールドするためにクライアントPCにルート証明書をインストールする必要があります。証明書は企業独自の証明書を利用することも可能ですし、配布の方法も様々ありますが、 ここではビルドインのEricom社の自己署名の証明書を各ブラウザに導入する手順をご案内します。

展開ガイド - インストール後の手順 - 証明書の設定 を参照し、クライアントPCに証明書を導入してください。

プロキシ設定の変更

実際にクライアントのWebアクセスをShield経由にするために、プロキシサーバとしてShieldのアドレスを指定します。 指定の方法は様々ありますが、ここではブラウザ毎に直接設定を行う方法をご案内します。

展開ガイド - インストール後の手順 - プロキシの構成 を参照し、設定を行ってください。

(IEのみ) WebSocket接続の上限数変更

Internet Explorerをクライアントとして利用した場合、WebSocket接続の上限数が少ないことでSSLエラーが発生することがあります。下記を参照し、接続数の上限を変更してください。

  1. [ファイル名を指定して実行] より、gpedit.msc と入力します。
../../_images/iewebsocket01.jpg
  1. [コンピュータの構成] - [管理用テンプレート] - [Windowsコンポーネント] - [Internet Explorer] - [セキュリティの機能] - [AJAX] を開きます。
../../_images/iewebsocket02.jpg
  1. [サーバーあたりの最大WebSocket接続数を設定する] を選択します。
../../_images/iewebsocket03.jpg
  1. [有効]にチェックを入れ、最大接続数を変更します。
../../_images/iewebsocket04.jpg

参考

WebSocketの接続数につきましては、レジストリの値を変更することにより上限数を上げることも可能です。 参考までにご確認ください。

WebSocket Maximum Server Connections
https://docs.microsoft.com/en-us/previous-versions/windows/internet-explorer/ie-developer/general-info/ee330736(v=vs.85)?redirectedfrom=MSDN#websocket-maximum-server-connections.

以上で最低限の設定は完了です。