Relayの設定

Deep Security Relayとは、Relay機能が有効になっているエージェントで、WindowsおよびLinux用のDeep Security Agent 9.5以降で使用できます (64ビット版のみ)。

RelayはAgentをすばやく更新し、Managerの負荷を軽減して、インターネット接続またはWANの帯域幅を節約します。詳細については、Relayの仕組みを参照してください。

AgentとApplianceがセキュリティアップデートとソフトウェアをダウンロードできるように、Deep Security環境内では少なくとも1つのRelayグループを設定することをお勧めします。ただし、パフォーマンスを最適化するには、通常、2つ以上のRelayが必要になります。サイジングについては、Deep Security Relayのサイジングを参照してください。

現時点では、Relay機能を一度有効にすると、Deep Security Managerを使用してこの機能を無効にすることができなくなります。ただし、エージェントを削除してから再インストールすることもできます。

このトピックの内容:

有効にするRelayを増やす必要があるか

次のすべての条件に当てはまる場合は、Relayを有効にします。

冗長性を確保するため、トレンドマイクロでは、少なくとも2つのRelayを有効にすることを推奨しています。必要なRelayの数は以下の要因によって異なります。

  • 冗長性の要件
  • 地理的な場所

    アップデートは同じ地域のRelayグループから (可能な場合は同じローカルネットワークのRelayグループから) Agentにダウンロードすることをお勧めします。

  • 保護対象のコンピュータの数 (環境の規模)
  • ネットワークのボトルネックの数または最大帯域幅

    ボトルネックは、すべてのAgentが同じ接続を使用してアップデートを迅速にダウンロードできない場合に発生します。たとえば、AgentのローカルネットワークセグメントとリモートのDeep Security Managerサーバまたはトレンドマイクロのアップデートサーバ間に帯域幅の低いWAN接続が使用されている場合などが該当します。このような場合には、アラートが発生する可能性があります。Agentとアップデート元の間に、システムリソースを大量に使用するルータ、ファイアウォール、またはプロキシが配置されている場合も、パフォーマンスのボトルネックとなる可能性があります。ボトルネックを軽減するためには、ボトルネックが発生している個々のネットワークセグメント内にRelayを配置します。

すべてのAgentをRelayに変換しないでください。Relayの数が多すぎると、遅延が発生する可能性があります。 Relayは通常のAgentよりも多くのシステムリソースを使用します。アップデートがプライマリRelayから次のRelayへ、さらにその次のRelayへと転送されている間、他のAgentはそれぞれのRelayから最終的にアップデートをダウンロードできないため、ホップが増えるたびに待ち時間が増えていきます。Relayグループの階層が多すぎると、合計待ち時間が増加し、その増加分が、Relayの帯域幅最適化で得られる節約効果を上回る可能性があります。どちらもパフォーマンスが低下する原因になります。

Deep Security Relayのサイジング

Agentの数 推奨されるRelayの数
1~10,000 1~2
10,000~20,000 2~3
20,000超 3~5

推奨されるRelayの数は、一定の時間内にアップデートを必要とするAgentの数によって異なります。Agentの最初の有効化の際のダウンロードのサイズは通常50~100MBですが、その後のアップデートは通常これより小さく、1~10MBとなります。

たとえば、50台のAgentを1時間以内にアップデートする必要があるとします。そのサブネットにRelayがない場合、アップデートの最大帯域幅は約5GB/時になりますが、ほとんどのアップデートに必要な帯域幅は50~500MB/時です。このサブネットにRelayを1つ追加すると、必要な帯域幅は最大100MB/時 (通常は1~10MB/時) にまで減少します。

アップデートをさらに早くするために、Relayの数を増やすとどうなるでしょうか。30分で20,000台のAgentに10MBのアップデートを配布する場合は、4つのRelayが必要です。また、1~2時間で20,000台のAgentに10MBのアップデートを配布する場合、必要なRelayは2つのみです。

Relayを有効にする

現時点では、AgentのRelay機能を一度有効にすると、Deep Security Managerから無効にすることはできません。ただし、エージェントを削除してから再インストールすることもできます。

  1. Agentをインストールした後、Agentを有効化します
  2. [コンピュータ] に移動します。
  3. Deep Security Relayのシステム要件を満たしているコンピュータをダブルクリックします。
  4. [概要]→[処理]→[ソフトウェア] に進みます。
  5. [Relayの有効化] をクリックします。

    [Relayの有効化] ボタンが表示されていない場合は、次の手順を実行します。
    1. Agentが有効化されていることを確認します。
    2. AgentがまだRelayに変換されていないことを確認します。
    3. [管理]→[アップデート]→[ソフトウェア]→[ローカル] に移動し、対応するパッケージがインポートされていることを確認します。
    4. コンピュータで64ビット版のAgentソフトウェアが実行されていることを確認します。

    コンピュータのアイコンが通常のコンピュータ からRelay実行中のコンピュータ に変わります。Relayから配布する準備ができているアップデートの数を表示するには、[プレビュー] アイコンをクリックしてプレビュー画面を表示します。

  6. コンピュータでWindowsファイアウォールまたはiptablesが有効になっている場合は、Relayの待機ポート番号への受信接続を許可するファイアウォールルールも追加します。
  7. Relayでプロキシ経由の接続を使用する必要がある場合は、プロキシサーバを使用するようにRelayグループを設定するを参照してください。

    Relayを有効化すると、そのRelayはまず初期設定のRelayグループに割り当てられます。複数のRelayグループにRelayを割り当てる場合は、Relayグループを使用して高速で安定したアップデートを保証するに進んでください。

Relayグループを使用して高速で安定したアップデートを保証する

Agentは、設定を変えないかぎり、初期設定のRelayグループからアップデートを取得します。Relayグループの表示を参照してください。

追加のRelayグループを作成し、階層構造に編成することでパフォーマンスを向上させ、帯域幅を最適化し、冗長性を確保できます。

Relayグループを作成する

Relayグループを追加すると冗長性が確保され、アップデートの負荷が分散されます。Agentがアップデートをダウンロードしようとしたときに、最初のRelayが応答しなかった場合、Agentはアップデートの送信元となる別のRelayメンバーをグループからランダムに選択します。各AgentのRelayリストはランダム化されているため、各Agentは異なる順番でRelayへのアクセスを試みます。そのため、各Relayはグループに割り当てられているAgentの一部に対してのみアップデートを提供します。

新たに有効化されたRelayには、セキュリティアップデートの内容を更新するように求める通知がManagerから自動的に送信されます。

  1. Relayとして使用するAgentでRelay機能を有効化します。
  2. [管理]→[アップデート]→[Relayグループ] に進みます。
  3. [新規] をクリックします。ウィザードの指示に従い、Relayグループを作成して名前を付け、Relayを割り当てます。

    アップデートは同じ地域のRelayグループから (可能な場合は同じローカルネットワークのRelayグループから) Agentにダウンロードすることをお勧めします。
  4. Relayグループの親Relayグループを選択してRelayグループ階層を作成します。親グループが指定されている場合、Relayグループは、親グループからアップデートをダウンロードします。

    プライマリRelayグループの場合は、[アップデートのダウンロード元] セクションにある [セキュリティアップデート元] からアップデート元のURLを選択します (これらは、[管理]→[システム設定]→[アップデート] の [Relay] セクションで設定されています)。

    大規模環境におけるパフォーマンスを向上させるには、複数のRelayグループを作成し、階層内にRelayを配置します。第1階層に位置する1つまたは少数のRelayがトレンドマイクロのアップデートサーバからアップデートを直接ダウンロードし、第2階層のRelayグループが第1階層のグループからアップデートをダウンロードするといった具合に階層構造を編成することで、大規模環境におけるパフォーマンスを向上させることができます。
  5. Relayグループをさらに作成する必要がある場合は、上記の手順を繰り返します。

RelayグループにAgentを割り当てる

Relayグループの作成時にAgentを割り当てなかった場合は、手動でAgentをRelayグループに割り当てるか、予約タスクを設定して割り当てることができます。

  1. 帯域幅とアップデートの速度を最適化するために、必要に応じてRelayグループを作成します。
  2. [コンピュータ] に移動します。
  3. コンピュータを右クリックして、[処理]→[Relayグループの割り当て] の順に選択します。

    複数のコンピュータを割り当てるには、リスト内のコンピュータをShiftキーまたはCtrlキーを押しながらクリックし、[処理]→[Relayグループの割り当て] の順に選択します。

  4. 使用するRelayグループをリストから選択するか、[コンピュータの詳細] 画面の [アップデートのダウンロード元] を使用してRelayグループを選択します。

プロキシサーバを使用するようにRelayグループを設定する

初期設定のRelayグループを除き、各Relayグループは、プロキシサーバ経由でセキュリティアップデートをダウンロードするように設定できます。初期設定のRelayグループは、Deep Security Managerと同じプロキシを使用します。プロキシの背後に配置されたAgentの接続および不正プログラム対策とルールアップデート用にプロキシを設定する (CLI) を参照してください。

Deep Security Agent 10.0 以前では、プロキシからRelayへの接続はサポートされていませんでした。プロキシが原因でルールセットのダウンロードが失敗し、AgentがRelayまたはManager (Deep Security as a Serviceを含む) へのアクセスにプロキシを必要とする場合は、次のいずれかを実行する必要があります。
  1. Deep Security Managerで、[管理]→[システム設定]→[プロキシ] の順に選択し、[新規] をクリックしてプロキシを定義します。
  2. [管理]→[アップデート]→[Relayグループ] に進みます。
  3. Relayグループをダブルクリックし、[プロパティ] 画面を表示します。
  4. [プロキシ] タブで、[セキュリティアップデート用プロキシサーバ] リストからプロキシサーバを選択します。
  5. [OK] をクリックします。
  6. プロキシを使用するAgentを再起動します。