皆様、こんにちは。カスペルスキー製品担当SEの小池です。
今回は前回の記事の続きで、Kaspersky Security for Virtualization Light Agent (以降KSVLAと記載) の導入について記載します。
導入手順はかなりのボリュームになるため、記事を3つに分けます。
KSVLAの概要をご確認なさりたい場合は、前回の記事をご参照いただければと存じます。
この記事では以下を記載いたします。
KSVLA導入の流れ
KSVLA導入の全体の流れは以下の通りです。
今回は以下のうち KSC構築 から SVM展開 の途中までを記載します。
導入前の諸連絡
・本手順は以下の製品を利用した手順です。
仮想基盤:VMware ESXi 6.7.0
Kaspersky製品:KSC 12.2.0.4376、SVM(vSphere用) 5.1.44.295、KSVLA管理コンポーネント 5.1.2.273
DB:SQL Server 2017 Express (KSCと同居)
OS:Windows Server 2016 (KSC)、Windows 10 Enterprise 19H1 (保護対象のゲストOS)
・サポート対象OSやハイパーバイザーの確認について。
2020/1/14時点で最新のLight Agent 5.1 のシステム要件はこちらです。
https://support.kaspersky.com/KSVLA/5.1/ja-JP/64743.htm
・SVMのリソース変更について。
SVMのリソースはデフォルトで CPU2core、メモリ2GB、ディスク30GBです。
ハイパーバイザー上にある保護対象OSの数が多い場合等、このリソースを変更すべきケースがあります。
リソース変更の要否についてはメーカーへお問い合わせください。
・Webコンソールについて
2020/1/14時点で日本語Light Agnet用のWebコンソールプラグインは存在しません。
そのため、本手順は全てMMCベースのコンソールを用いた手順を記載しています。
KSC構築
まずは管理サーバーを構築します。
KSCで利用するDBをインストールし、KSC本体をインストールします。
第1回のブログでSQL Server ExpressのインストールとKSCのインストールについて記載しておりますので、ご参照いただければと存じます。
なお、2021/1/14時点でKSVLAのプラグインはありません。代わりに管理コンポーネントというものを次の手順でインストールします。
SVM導入準備
管理コンポーネントをインストールする
KSCに対してLight Agentの管理コンポーネントを導入します。
管理コンポーネントをメーカーのサイトからダウンロードし、KSCサーバーの任意の場所に配置します。
ついでなので、後続の手順で使うSVM本体もダウンロードしてKSCの任意の場所に配置します。
SVMはハイパーバイザーによって異なります。システムで利用しているハイパーバイザーにあうSVMをダウンロードしてください。
この手順ではESXiを使っているので、ESXi用のSVMをダウンロードします。
MMCベースのコンソールを表示している場合は、全て画面を閉じてください。
MMCベースのコンソールを閉じてから、KSCの任意の場所に配置した管理コンポーネント (ksvla-components_x.x.x.xxx_mlg.exe) を管理者権限で実行します。
ウィザードに従って管理コンポーネントをインストールします。
管理コンポーネント導入はこれで完了です。
SVM用のポリシーとタスクを準備する
KSCのMMCベースのコンソールを起動します。
起動すると直後にクイックスタートウィザードが起動します。
(クイックスタートウィザードが起動しない場合、コンソールの"管理対象デバイス" を選択してみてください。)
クイックスタートウィザードは以下の3つが連続で実行されます。
・Kaspersky Security for Virtualization Light Agent for Windows
・Kaspersky Security for Virtualization Light Agent for Linux
・Kaspersky Security for Virtualization Light Agent - Protection Server
上からそれぞれ、Windows用LA向けポリシー設定とタスク作成、Linux用LA向けポリシー設定とタスク作成、SVM用ポリシー作成とタスクの作成を実行しています。
全部似たような画面と処理内容なので、慣れていないと「???」となるかもしれませんが…ウィザードに従って手順を進めます。
以下の画面が表示された場合は [無視] をクリックします。
スタートアップウィザードが終わったら、SVM向けのポリシーとタスクが作成されていることを確認します。
MMCベースの管理コンソールの[管理サーバー]>[ポリシー]をクリックし、ポリシー一覧に [Kasperksy Security for Virtualization Light Agent - Protection Server]というポリシーがあることを確認します。
次に、[管理サーバー]>[タスク]をクリックし、タスク一覧に "Kasperksy Security for Virtualization Light Agent - Protection Server" の[定義データベースと製品モジュールのアップデート]というタスクがあることを確認します。
SVM用のポリシーとタスク準備は以上です。
SVM展開 (途中まで)
ハイパーバイザーへSVMを展開する
前の手順でKSCの任意の場所に配置したSVMを解凍します。
(前の手順でSVMをKSCにダウンロードしていない場合は、"https://www.kaspersky.co.jp/small-to-medium-business-security/downloads/virtualization-hybrid-cloud?utm_content=downloads" から該当するハイパーバイザー用のSVMをダウンロードしてください。
解凍すると中身はこんな感じです。
ではいよいよSVMを展開します。
KSCのMMCベースのコンソールから、[管理サーバー]>[監視]タブ>[Kaspersky Security for Virtualization Light Agent を管理する] をクリックします。
以下の画面が表示された場合は、[証明書を信頼できるものとみなす]をクリックします。
Integration Serverコンソールが表示されます。
[SVMの管理]>[SVMの管理]をクリックします。
[SVMの導入]を選択し、[次へ]をクリックします。
[+追加]をクリックします。
仮想インフラストラクチャの種別、IP、ユーザーを指定します。
[種別:]のプルダウンから、利用している仮想基盤を選択してください。(正直こんなに需要あるのかなと思うくらいに多数の仮想基盤に対応しています。)
IPを複数指定する場合は改行してください。(カンマじゃないです、改行です。)
SVMの展開などで使用するユーザーは管理者権限を保有している必要があります。
[読み取り専用権限を持つアカウント]については任意です。指定しない場合はIntegration Server と仮想インフラストラクチャの接続 (通常運用時に発生する内部接続) でも管理者権限アカウントを使います。
以下の画面が表示された場合は、[証明書が認証済であるとみなす]をクリックします。
先程指定した仮想インフラストラクチャに接続されているハイパーバイザー一覧が表示されます。
SVMを導入したいハイパーバイザーにチェックを入れ (複数可)、[次へ]をクリックします。
あらかじめ解凍しておいたSVMのイメージファイルを指定します。
[検証]をクリックします。
SVMイメージの完全性のチェックに問題が無いことを確認後、[次へ]をクリックします。
SVM名、保管領域、ネットワークを指定します。
SVM名は仮想インフラストラクチャ上の表示名 兼 ホスト名となります。
SVM名はデフォルトで "la-svm-<ハイパーバイザー名>" となっていますが、変更可能です。
保管領域とネットワークについてはプルダウンから選択してください。
指定が終わったら[次へ]をクリックします。
SVMのIPを動的に取得するか、静的に指定するかを選択します。
この手順では静的にIPを指定する手順を記載します。
[静的IPアドレス割り当て]を選択すると、IP、サブネットマスク、ゲートウェイ、DNS、代替DNSを指定する画面が表示されます。
代替DNS以外は全て入力必須です。
入力後、[次へ]をクリックします。
SVMからKSCへ接続する際のアドレスを指定します。
もしSVMが参照するDNS(前の画面で指定したDNS)でKSCの名前解決ができない場合は、ここをIPアドレスにしてください。
この画面では2つのアカウントのパスワードとSVMにおけるSSHの有効化を指定します。これらの項目はSVM展開後に変更できます。
klconfigというアカウントは、Integration Server管理コンソール(今使っているこの画面もIntegration Server 管理コンソールです) から各種設定を変更する際に用いるユーザーとパスワードです。
ルートアカウント とは、SVMのrootアカウントを指します。
SVMにSSHを用いてログインしたい場合は、下の画面の[ルートアカウントに対してSSHを使用したリモートアクセスを許可する]にチェックを入れてください。(通常運用においてはSVMにSSHでログインできる必要は特にありません。)
設定し終わったら[次へ]をクリックします。
各種項目の指定内容を確認し、[次へ]をクリックします。
[次へ]をクリックするとSVMの展開が始まります。
SVMの展開が完了するまで待ちます。
成功した場合は、以下の図のように "完了" がずらっと並びます。
SVMの展開に失敗した!そんな時は…。
まず安心してください。どの工程で失敗しても自動でロールバックされます。仮想基盤側にゴミは残りません。
基本的にはログを見て1個1個対処していく感じになります。
弊社作業時のよくある失敗例を下に挙げておきますので、参考にしていただければと存じます。
- 展開先のハイパーバイザーの名前解決ができなかった。
- 仮想インフラストラクチャの管理者権限ユーザー情報が間違っていた。
- DHCPでIP取得しようとしたが、空きがない。
- 静的IPの設定をしたが[SVMで使用可能なIPアドレスの取得]でエラーになる。←仮想基盤側の設定の問題の可能性あり。設定に問題がないのにエラー終了場合は、全く同じ設定で再実行してみてください。
このブログの筆者の経験上、SVMの展開は設定に問題が無い場合でも極稀にコケます。(本当です。)
「設定を確認したけど全部問題無い。なぜ失敗したのかわからないんだけど・・・。」という場合は全く同じ設定で再度SVMを展開してみてください。
[終了]をクリックします。
Integration Server 管理コンソールを閉じます。
MMCベースのコンソールで、[管理サーバー]>[未割り当てデバイス]を開きます。
先程展開したSVMが表示されているので、[管理対象デバイス]配下に移動します。
この手順では "SVM" というグループを作成したので、そこに移動しました。
移動後しばらくしてから、ステータスがOKになることを確認します。
今回はvCenterとESXiを使っているので、vCenterからも確認することができます。
ハイパーバイザーへSVMを展開する作業は以上です。
この後、SVMのアクティベーションタスクを作成し実行するのですが、長くなってきたので今回の記事はここまでといたします。
続きは次回 (以下のリンク) の記事をご参照いただければと存じます。
この度は最後まで記事をご覧いただき誠にありがとうございました。
記載事項へのご指摘、ご不明点、ご質問等ございましたら、以下からご連絡いただければと存じます。
https://www.networld.co.jp/product/kaspersky/
それでは次回の記事でお会いしましょう!