高可用性について (レガシ)
重要
Defender for IoT では、Microsoft クラウド サービスまたは既存の IT インフラストラクチャを使用して一元的な監視とセンサー管理を行うことを推奨し、2025 年 1 月 1 日にオンプレミスの管理コンソールを廃止する予定です。
詳細については、「ハイブリッドまたはエアギャップ OT センサー管理のデプロイ」を参照してください。
オンプレミス管理コンソールに高可用性を構成することによって、Defender for IoT デプロイの回復性を高めます。 高可用性デプロイでは、マネージド センサーによってアクティブなオンプレミス管理コンソールに継続的に報告されます。
このデプロイは、プライマリとセカンダリのアプライアンスを含むオンプレミス管理コンソールのペアにより実装されます。
注意
このドキュメントでは、プリンシパル オンプレミス管理コンソールをプライマリと呼び、エージェントをセカンダリと呼びます。
前提条件
この記事の手順を実行する前に、次の前提条件を満たしていることを確認します。
プライマリ アプライアンスとセカンダリ アプライアンスの両方にオンプレミス管理コンソールがインストールされていることを確認します。
- プライマリとセカンダリのオンプレミス管理コンソール アプライアンスは両方とも、同一のハードウェア モデルとソフトウェア バージョンを実行している必要があります。
- CLI コマンドを実行するには、特権ユーザーとしてプライマリとセカンダリの両方のオンプレミス管理コンソールにアクセスできる必要があります。 詳細については、OT 監視のためのオンプレミスのユーザーとロールに関するページを参照してください。
プライマリ オンプレミス管理コンソールが完全に構成されていることを確認します。これには、コンソール UI に接続され、表示される少なくとも 2 つの OT ネットワーク センサーのほか、スケジュールされたバックアップまたは VLAN 設定が含まれます。 ペアリング後、すべての設定がセカンダリ アプライアンスに自動的に適用されます。
SSL/TLS 証明書が必要な条件を満たしていることを確認します。 詳細については、「オンプレミス リソースの SSL/TLS 証明書の要件」を参照してください。
プライマリおよびセカンダリのオンプレミス管理コンソール上の次のサービスへのアクセスが組織のセキュリティ ポリシーによって許可されていることを確認する必要があります。 これらのサービスにより、センサーとセカンダリ オンプレミス管理コンソールの間の接続も許可されます。
Port サービス 説明 443 または TCP HTTPS オンプレミス管理コンソール Web コンソールへのアクセスを許可します。 22 または TCP SSH プライマリとセカンダリのオンプレミス管理コンソール アプライアンス間でデータを同期します 123 または UDP NTP オンプレミス管理コンソールの NTP 時刻同期。アクティブとパッシブのアプライアンスが同じタイムゾーンで定義されていることを確認します。
プライマリとセカンダリのペアの作成
重要
指定された場所でのみ sudo を使用してコマンドを実行します。 指定されていない場合は、sudo で実行しないでください。
プライマリとセカンダリのオンプレミス管理コンソール アプライアンスの両方をオンにします。
セカンダリ アプライアンスで、次の手順を使用して接続文字列をクリップボードにコピーします。
セカンダリ オンプレミス管理コンソールにサインインし、[システム設定] を選択します。
[センサーのセットアップ - 接続文字列] 領域の [接続文字列のコピー] で、 ボタンを選択して完全な接続文字列を表示します。
接続文字列は、IP アドレスとトークンで構成されます。 IP アドレスはコロンの前にあり、トークンはコロンの後にあります。 IP アドレスとトークンを個別にコピーします。 たとえば、接続文字列が
172.10.246.232:a2c4gv9de23f56n078a44e12gf2ce77f
の場合は、IP アドレス172.10.246.232
とトークンa2c4gv9de23f56n078a44e12gf2ce77f
を個別にコピーします。
プライマリ アプライアンスで、次の手順を使用して、CLI 経由でセカンダリ アプライアンスをプライマリに接続します。
SSH 経由でプライマリオンプレミス管理コンソールにサインインして CLI にアクセスし、次のコマンドを実行します。
sudo cyberx-management-trusted-hosts-add -ip <Secondary IP> -token <Secondary token>
<Secondary IP>
はセカンダリ アプライアンスの IP アドレスで、<Secondary token>
は前にクリップボードにコピーしたコロンの後の接続文字列の 2 番目の部分です。次に例を示します。
sudo cyberx-management-trusted-hosts-add -ip 172.10.246.232 -token a2c4gv9de23f56n078a44e12gf2ce77f
IP アドレスが検証され、SSL/TLS 証明書がプライマリ アプライアンスにダウンロードされ、プライマリ アプライアンスに接続されているすべてのセンサーがセカンダリ アプライアンスに接続されます。
プライマリ アプライアンスに変更を適用します。 次を実行します。
sudo cyberx-management-trusted-hosts-apply
証明書がプライマリ アプライアンスに正しくインストールされていることを確認します。 次を実行します。
cyberx-management-trusted-hosts-list
プライマリ アプライアンスとセカンダリ アプライアンスのバックアップと復元プロセスの間の接続を許可します。
プライマリ アプライアンスで、次を実行します。
cyberx-management-deploy-ssh-key <secondary appliance IP address>
セカンダリ アプライアンスで、SSH 経由でサインインして CLI にアクセスし、次を実行します。
cyberx-management-deploy-ssh-key <primary appliance IP address>
セカンダリ アプライアンスに変更が適用されていることを確認します。 セカンダリ アプライアンスで、次を実行します。
cyberx-management-trusted-hosts-list
高可用性アクティビティの追跡
コア アプリケーション ログを Defender for IoT サポート チームにエクスポートすると、高可用性の問題に対処できます。
コア ログにアクセスするには:
- オンプレミスの管理コンソールにサインインし、[システム設定]>[エクスポート] を選択します。 サポート チームに送信するログのエクスポートの詳細については、トラブルシューティングのためにオンプレミス管理コンソールからログをエクスポートするに関するページを参照してください。
高可用性を利用したオンプレミス管理コンソールの更新
高可用性が構成されているオンプレミス管理コンソールを更新するには、次の手順を行う必要があります。
- プライマリ アプライアンスとセカンダリ アプライアンスの両方から高可用性を切断します。
- アプライアンスを新しいバージョンに更新します。
- 両方のアプライアンスに対して高可用性を再構成します。
更新を次の順序で実行します。 新しい手順を開始する前に、各手順が完了していることを確認してください。
高可用性を構成済みのオンプレミス管理コンソールの更新
次のようにプライマリ アプライアンスとセカンダリ アプライアンスの両方から高可用性を切断します。
プライマリ上:
現在接続されているアプライアンスの一覧を取得します。 次を実行します。
cyberx-management-trusted-hosts-list
セカンダリ アプライアンスに関連付けられているドメインを見つけて、クリップボードにコピーします。 次に例を示します。
信頼されたホストの一覧からセカンダリ ドメインを削除します。 次を実行します。
sudo cyberx-management-trusted-hosts-remove -d [Secondary domain]
証明書が正しくインストールされていることを確認します。 次を実行します。
sudo cyberx-management-trusted-hosts-apply
セカンダリ上:
現在接続されているアプライアンスの一覧を取得します。 次を実行します。
cyberx-management-trusted-hosts-list
プライマリ アプライアンスに関連付けられているドメインを見つけて、クリップボードにコピーします。
信頼されたホストの一覧からプライマリ ドメインを削除します。 次を実行します。
sudo cyberx-management-trusted-hosts-remove -d [Primary domain]
証明書が正しくインストールされていることを確認します。 次を実行します。
sudo cyberx-management-trusted-hosts-apply
プライマリ アプライアンスとセカンダリ アプライアンスの両方を新しいバージョンに更新します。 詳細については、「オンプレミス管理コンソールを更新する」を参照してください。
プライマリ アプライアンスとセカンダリ アプライアンスの両方で、もう一度高可用性を設定します。 詳細については、「プライマリとセカンダリのペアを作成する」を参照してください。
フェールオーバー プロセス
高可用性を設定すると、OT センサーは、プライマリに接続できない場合は、セカンダリ オンプレミス管理コンソールに自動的に接続します。 現在、OT センサーの半分未満がセカンダリ マシンと通信している場合、システムはプライマリ マシンとセカンダリ マシンの両方で同時にサポートされます。 OT センサーの半分より多くがセカンダリ マシンと通信している場合、セカンダリ マシンがすべての OT センサー通信を引き継ぎます。 プライマリからセカンダリへのフェールオーバーには約 3 分かかります。
フェールオーバーが発生すると、プライマリのオンプレミス 管理コンソールがフリーズし、同じサインイン資格情報を使用してセカンダリにサインインできます。
フェールオーバー中、センサーは引き続きプライマリ アプライアンスとの通信を試みます。 マネージド センサーの半分より多くがプライマリとの通信に成功すると、プライマリが復元されます。 プライマリが復元されると、セカンダリ コンソールに次のメッセージが表示されます。
リダイレクト後にプライマリ アプライアンスにもう一度サインインします。
期限切れのアクティブ化ファイルを処理する
アクティブ化ファイルは、プライマリのオンプレミス管理コンソールでのみ更新できます。
アクティブ化ファイルがセカンダリ マシンで期限切れになる前に、ライセンスを更新できるように、プライマリ マシンとして定義します。
詳細については、「新しいアクティブ化ファイルをアップロードする」を参照してください。
次のステップ
詳細については、「オンプレミス管理コンソールをアクティブにして設定する」を参照してください。