本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

追加のリレーを配信する

最初のDeep Security Relay配信した後は、冗長性と負荷分散のために少なくとも1つ以上を配置する必要があります。展開のサイズと範囲に応じてさらに展開する必要がある場合もあります。

リレーを配置する場合は、次の作業を行う必要があります。

  1. リレーの最適な数と位置を計画する
  2. アップデート元を設定する
  3. Relayの設定
ネットワーク上のリレーが多すぎるとパフォーマンスが向上しないため、パフォーマンスが低下します。リレーは通常のAgentよりも多くのシステムリソースを使用します。余分なリレーは、外部接続を最小限に抑える代わりに、帯域幅を競合する可能性もあります。必要に応じて、リレーを通常のDeep Security Agentに変換できます。詳細については、「AgentからRelay機能を削除する」を参照してください。

リレーの最適な数と位置を計画する

リレーの最適な数と配置は次の条件に依存します。

Deep Securityアップデートダイアグラム

地理的地域と距離

理想的には、各地域には少なくとも2つのリレーを持つ独自のリレーグループが必要です。

エージェントは、の同じ地理的地域にローカルリレーを使用する必要があります。長距離およびネットワークの遅延のため、アップデートの再配布が遅くなる可能性があります。他の地域からダウンロードすると、ネットワーク帯域幅および/またはクラウドコストも増加する可能性があります。

ネットワークアーキテクチャと帯域幅の制限

理想的には、帯域幅が制限されたエージェントまたは仮想アプライアンス の各ネットワークセグメントには、少なくとも2つのリレーを持つ独自のリレーグループが必要です。

大量のトラフィック量がネットワーク間を移動する場合、低帯域幅の Internet/WAN 接続、ルータ、ファイアウォール、VPN、VPC、またはプロキシデバイス(ネットワークセグメントをすべて定義できます)がボトルネックになる可能性があります。ボトルネックは、アップデートの再配布を遅くします。したがって、クライアントは、通常、同じネットワークセグメント内のローカルリレーを使用する必要があります。 - リレーはボトルネックの外部ネットワークにはありません。

たとえば、リレーグループ階層では、インターネットおよび内部ネットワークの帯域幅の使用を最小限に抑えることができます。1つの「上位」リレーグループのみがインターネット接続を使用できます。サブグループは、ローカルネットワーク接続を介して上位サーバからダウンロードされます。エージェント および仮想アプライアンス は、ローカルリレーグループからダウンロードされます。

大規模な導入では、エージェントと仮想アプライアンス の多くが各リレーに接続されている可能性があります。これには、共有サーバにリレーをより多く配置するのではなく、より強力な専用サーバにリレーを配置する必要があります。詳細については、 Deep Security Agent のサイズとリソース消費のサイジングを参照してください。

エアギャップ環境

ほとんどの展開はインターネットに接続できます。ただし、インターネット上のトレンドマイクロのアップデートサーバに孤立したネットワーク上に接続できない場合(「Air-Gapped」配信), の場合は、次の手順を実行する必要があります。

  1. セキュリティ上のアップデートを取得するために、非武装地帯(インターネットに接続できるDMZ) に別のリレーを追加します。
  2. DMZリレーから他の空中ギャップリレーにアップデートをコピーします。

詳細については、インターネットにアクセスできないAgentを設定するを参照してください。

アップデート元を設定する

リレーを設定する前に、次の手順を実行して、アップデート元を定義し、通常のRelay階層をバイパスしてアップデートを取得するタイミングを定義します。

  1. [管理]→[システム設定]→[アップデート] の順に選択します。
  2. 必要に応じて、 セキュリティアップデート元セカンダリソースを設定します。

    初期設定では、プライマリソースは Trend Micro Update Server で、インターネット経由でアクセスします。設定を変更しないでください。サポートプロバイダが、 その他のアップデート元を設定するよう指示している場合を除きます。代替アップデート元のURLに「http://" 」または「https://".」を含める必要があります。

  3. 通常、エージェントおよび仮想アプライアンス は、 Deep Security Managerからの指示に従ってセキュリティアップデートを取得するためにリレーに接続します。ただし、 および の十分なインターネット/ WAN帯域幅が利用できる場合、コンピュータが常にマネージャまたはリレー(予約された保守時間など)に接続できない場合は、次のオプションを選択できます。

    • リレーに接続できない場合、セキュリティアップデート元からの直接ダウンロードをAgent/Applianceに許可
    • Deep Security Managerにアクセスできない場合、セキュリティアップデートの自動ダウンロードをAgent/Applianceに許可

    ラップトップとポータブルコンピュータを保護する場合、サポートサービスから離れていることがあります。アップデート中に問題の可能性があるセキュリティアップデートのリスクを回避するには、これらのオプションの選択を解除してください。

  4. 古いエージェントのセキュリティ更新が必要な場合は、[ のサポート対象の8.0および9.0エージェントをにアップデートする]を選択します。これらの薬剤の多くはもはやサポートされているので、デフォルトでは、のDeep Security Managerは、以前のDeep Security Agentの9.0用の更新プログラムをダウンロードしていないとしません。まだサポートされている古いエージェントの詳細については、 Deep Security LTSライフサイクルの日付を参照してください。
  5. マルチテナントを使用する場合:
    1. 通常、リレーはDeep Security Managerがインストールされた地域 (ロケール) のパターンのみをダウンロードして配信します。これにより、ディスク領域の使用量が最小限に抑えられます。ただし、他の地域にテナントがある場合は、[すべての地域のパターンファイルをダウンロード]を選択します。
    2. 通常、プライマリテナントは、他のテナントとリレーを共有します。これにより、他のテナントが独自のリレーを設定する必要がないため、他のテナントの設定が簡素化されます。これを行わない場合は、[プライマリテナントのリレーグループを初期設定のリレーグループとして使用する (割り当てられていないリレー用)] の選択を解除します。
      このオプションの選択を解除した場合、[管理]→[更新]>>グループ] の順にクリックすると、リレーグループ名は [プライマリテナントのリレーグループ] ではなく、 [初期設定のリレーグループ] になります。
  6. Deep Security Managerでエージェントアップデートビルドをローカルインベントリに自動インポートする場合は、[ ]を選択して、[インポートされたソフトウェアへのアップデートを自動的にダウンロードします]を実行します。

    この設定では、ソフトウェアはDeep Security Managerにインポートされますが、エージェントソフトウェアまたはアプライアンスソフトウェアは自動的にアップデートされません。詳細については、 Deep Security Agentのアップグレード のアップグレードを参照してください。

  7. 通常、リレーはDeep Security Managerに接続してソフトウェアのアップデートを取得し、再配布します。しかし、リレーは常に、このような定期保守時間中として(マネージャと接続できない場合、または企業は、ファイアウォール管理者の間で、リレーのDeep Security Managerがないときは、 は、トレンドマイクロのダウンロードセンターからダウンロードソフトウェアアップデートにリレーを許可]を選択することができます), 場合アクセス可能な。リレーは、代わりにダウンロードセンターからソフトウェアのアップデートを取得します。
  8. ハイブリッドクラウド環境では、多くの場合、パブリッククラウド内にいくつかのエージェントとリレーが存在しますが、他のもの(およびマネージャ)はプライベートネットワーク内にあります。プライベートネットワークファイアウォールで ポート番号 を開く危険性を避けるために、またはソフトウェアパッケージをクラウドのリレーに手動でコピーする場合は、このオプションを選択します。

  9. 代替ソフトウェアアップデートサーバを設定して、 Deep Security Relayを置き換えて、ソフトウェアアップデートの代替ソースを指定します。これにより、セキュリティアップデートが引き続きリレーから送信される必要があることに注意してください。リレーが弾性IPアドレスを持っている場合、 を計画している場合にリレーをセキュリティアップデートのみを受信するように設定する場合 (ソフトウェアのアップデートではない), )または ホストソフトウェアをWebサーバ でホストする場合は、効率と可用性の理由から。 https://<IP_or_hostname>:<port>/ と入力して、 <IP_or_hostname>:<port> を次のいずれかに変更します。
    • 固有IPアドレスを持つリレーのプライベートネットワークIPアドレスとポート
    • Deep SecurityソフトウェアをホストするWebサーバおよびポート

Relayの設定

リレーの場所と数、およびリレーで使用するアップデート元を決定したら、次の操作を実行できます。。

  1. Relayグループを作成する
  2. リレーを有効にする
  3. AgentをRelayグループに割り当てる
  4. AgentをRelayのプライベートIPアドレスに接続する

Relayグループを作成する

リレーは、リレーグループに編成する必要があります。リレーグループ自体は、さらに階層構造に編成できます。

Deep Security Managerのインストール時に同じ場所に配置されたリレーをインストールした場合、初期設定のリレーグループが自動的に作成されます。しかし、他の場所にグループを追加する必要がある場合( リレーの最適な数と位置を計画する ), では、より多くのグループを作成できます。

  1. [管理]→[アップデート]→[Relayの管理] に進みRelay グループのプロパティ を開きます。
  2. 新しいリレーグループをクリックします。
  3. リレーグループの名前を入力します。
  4. アップデート元で、セキュリティアップデート元のいずれかを選択するか、サブグループの場合は、, 親リレーグループの名前になります。

    初期設定のRelayグループはアップデート元のリストに含まれていないため、親として設定することはできません。

    コストと速度が最適なアップデート元の選択を検討してください。リレーグループが階層の一部であっても、親リレーグループではなくセキュリティアップデート元からアップデートをダウンロードするほうが安価で高速になる場合があります。

  5. この中継グループでセキュリティアップデート元への接続時にプロキシを使用する必要がある場合は、 アップデート元プロキシを選択します。詳細については、 プロキシ経由でプライマリセキュリティアップデート元に接続する

    他のリレーグループとは異なり、初期設定のRelayグループでは、[ Agent、Appliance、およびRelayで使用されるセキュリティアップデートプロキシを使用します] 設定は、 [管理]→[システム設定]→[プロキシ] タブで設定できます。

    このリレーグループが通常は親リレーグループに接続する場合、親リレーグループが使用できず、セキュリティアップデート元を使用するようにフォールバックするように設定されている場合を除き、サブグループはプロキシを使用しません。

  6. [ コンテンツのアップデート]で、[ のセキュリティ]と[ソフトウェアのアップデート ]または[ のセキュリティのアップデートのみ] []のいずれかを選択します。[ Security Updates only]を選択した場合は、別のソフトウェアアップデート元を設定する必要があります。詳細は、 アップデート元を設定するを選択します。

遅延と外部/インターネット帯域幅の使用量を最小限に抑えるには、地域やネットワークセグメント、あるいはその両方に対してRelayグループを作成します。

リレーを有効にする

  1. リレーコンピュータが要件を満たしていることを確認してください。Deep Security Agent のサイズとリソース消費およびシステム要件 を満たしている必要があります。
  2. 該当するポート番号のリレーとの間の送受信通信が許可されていることを確認してください。Deep Securityのポート番号を参照してください。
  3. リレーがプロキシ経由で接続する必要がある場合は、プロキシ経由でプライマリセキュリティアップデート元に接続するを参照してください。
  4. 選択したコンピュータにエージェントを配信します。Deep Security Agentソフトウェアの入手およびエージェントをインストールするを参照してください。
  5. エージェントをリレーとして有効にします。
    1. Deep Security Managerにログインします。
    2. 上部の [管理] をクリックします。
    3. 左側のナビゲーションペインで[Relay管理]をクリックします。
    4. リレーを配置するリレーグループを選択します。リレーグループが存在しない場合は、ドメイングループを作成してください。
    5. リレーグループを選択して、リレーを配置するグループを決定します。リレーグループが存在しない場合は、作成してください。Linuxを使用している場合は、ユーザーnobodyとリレーグループnogroupを作成してください。
    6. 使用可能なコンピュータで、配信したばかりのエージェントを選択します。
    7. Relayとグループに追加をクリックします。
    8. Relayとグループに追加をクリックします。

    エージェントはリレーとして有効にされ、リレーアイコン()が表示されます。

遅延とインターネット帯域幅の使用量を最小限に抑えるには、同じ地域および同じネットワークセグメントにあるリレーをグループ化します。

検索フィールドを使用してコンピュータのリストをフィルタできます。

AgentをRelayグループに割り当てる

各エージェントが使用するリレーグループを指定する必要があります。各エージェントを手動で中継グループに割り当てるか、 イベントベースのタスク を設定して新しいエージェントを自動的に割り当てます。

  1. [コンピュータ] に移動します。
  2. コンピュータを右クリックし、[ Actions]→[Assign Relay Group]の順に選択します。

    複数のコンピュータを割り当てるには、リスト内のコンピュータをShiftキーまたはCtrlキーを押しながらクリックし、[処理]→[Relayグループの割り当て] の順に選択します。

  3. コンピュータで使用するリレーグループを選択します。

    レイテンシと external/Internet の帯域幅使用を最小にするには、同じ地理的地域 and/or ネットワークセグメント内にあるリレーにエージェントを割り当てます。

AgentをRelayのプライベートIPアドレスに接続する

RelayにElastic IPアドレスがある場合、AWS VPC内のAgentはそのIPアドレス経由でRelayにアクセスできない場合があります。その代わりに、RelayグループのプライベートIPアドレスを使用する必要があります。

  1. [管理][システム設定] の順に選択します。
  2. [システム設定] エリアで [アップデート] タブをクリックします。
  3. [ソフトウェアアップデート][Deep Security Relayの代わりとなるソフトウェアアップデート配信サーバ] で、次のように入力します。

    https://<IP>:<port>/

    ここで、 <IP> はリレーのプライベートネットワークIPアドレス、 <port> リレーポート番号

  4. [Add] をクリックします。
  5. [保存] をクリックします。

RelayグループのプライベートIPが変わった場合は、この設定を手動で更新する必要があります。この設定は自動的には更新されません。