オンプレミスのゲートウェイの設定
ネットワークのリソースへのアクセスを制御する ZTNA オンプレミスのゲートウェイを設定します。
手順は、ゲートウェイを ESXi サーバー、Microsoft Hyper-V、または Amazon Web Services でホストするかによって異なります。
警告
AWS ゲートウェイは 2024年 3月 31日にサポート終了となります。製品のサポート終了日を参照してください。AWS に SFOS を導入し、リソースをこのゲートウェイに移行して、ユーザーがその日付以降もアプリにアクセスできるようにすることができます。
警告
ゲートウェイは、内部サービスで使用するサブネットで動作するようには設定しないでください。その場合、アプリケーションへのアクセスで問題が発生する場合があります。このようなサブネットは次のとおりです。10.42.0.0/16、10.43.0.0/16、10.108.0.0/16。
警告
IPv6 はサポートされていないため、ゲートウェイに IPv6 アドレスを設定したり、エンドポイントに IPv6 アドレスを割り当てることを許可したりしないでください。
注
Amazon Web Services では、設定内容に基づいて追加コストが発生します。ZTNA ライセンスに、このようなコストは含まれていません。
ヒント
ユーザーが、ZTNA ゲートウェイと同じネットワークから ZTNA リソースにアクセスする必要がある場合は、種類が MASQ の SNAT ルールを追加して、非対称ルーティングを防止してください。
手順を確認するには、以下で該当するホストのタブをクリックします。
ESXi 上のゲートウェイの設定は、次の 2段階に分けて実行します。
-
ゲートウェイイメージ (OVA ファイル) をダウンロードして、ESXi に導入します。
-
Sophos Central でゲートウェイ設定を追加し、ESXi でゲートウェイを起動するために使用する ISO ファイル (「シードとして使用するイメージ」) を生成します。
可用性を確保するために、ゲートウェイクラスタを設定することもできます。これを行うには、ここにある説明に従って、ゲートウェイの追加インスタンスを設定します。
注
日付と時刻が ESXi ホストで正しく設定されていることを確認します。タイムゾーンは UTC に設定する必要があります。時刻を正しく設定しないと、ZTNA ゲートウェイで問題が発生します。詳細は、要件を参照してください。
ツーアームプロキシを使用している場合は、ネットワーク設定を参照してください。
イメージのダウンロードと導入
-
Sophos Central で「デバイス > インストーラ」にアクセスします。
-
「Zero Trust Network Access」を参照します。
- ゲートウェイイメージのダウンロードリンクをクリックします。
- 使用許諾契約に同意し、(プロンプトが表示された場合は) ソフトウェアの輸出コンプライアンスに関するフォームに同意します。
- ゲートウェイイメージがダウンロードされます。これは、ESXi サーバー用の ZTNA ゲートウェイの汎用 OVA イメージです。何回でも再使用できます。
-
OVA イメージを ESXi ホストに導入します。VMware vSphere で、ホストを右クリックして、「OVA テンプレートのデプロイ」を選択します。これによって、導入をガイドするアシスタントが実行されます。
警告
自動電源オンのオプション (ESXi でのデフォルト) をオフにするか、完了後に ZTNA ゲートウェイが起動しないようにしてください。これを実行しないと、ゲートウェイは ISO ファイルなしで起動し、手順の再実行が必要になります。
設定の追加とゲートウェイの起動
-
Sophos Central に戻り、「マイプロダクト > ZTNA > ゲートウェイ」の順に選択します。「ゲートウェイの追加」をクリックします。
-
「ゲートウェイモード」で 、「オンプレミス」を選択します。
-
「ゲートウェイの追加」で、次の手順を実行します。
- ゲートウェイ名とゲートウェイ FQDN を入力します。
- リソース (アプリ) のドメインを入力します。
- 「プラットフォームの種類」で、「VMware ESXi」を選択します。
-
「導入モード」を選択します。
- 「ワンアーム」では、受信トラフィックと送信トラフィックに外部インターフェースが使用されます。
- 「ツーアーム」では、外部インターフェースと内部インターフェースの両方が使用されます。
-
「インターフェースの設定」を入力します。
-
「DHCP」を選択した場合は、DHCP サーバーで予約を設定します。
警告
ゲートウェイは、IP アドレスの変更を処理できません。DHCP が割り当てた初期 IP アドレスが常に保持されるように、予約を設定する必要があります。
-
「静的 IP」を選択した場合は、IP アドレス、サブネット、DNS サーバーの設定を入力します。
ツーアーム導入では、複数の内部ネットワークでホストされているアプリがある場合、「静的ルート」を指定する必要があります。
-
-
先ほど作成した証明書をアップロードします。
- 「保存して、ファイルを生成」をクリックします。
注
このリリースで対応しているワイルドカード証明書は 1つのみです。
-
「ゲートウェイ」ページで、ゲートウェイの状態が「導入待機中」になります。
これで、シードとして使用するイメージ、ISO をダウンロードする準備ができました。これは、ゲートウェイを起動し、登録プロセスを完了するために必要です。ISO はゲートウェイごとに一意です。それを再使用することはできません。
注
イメージをダウンロードする前に、ゲートウェイクラスタを作成することを推奨します。クラスタが不要な場合は、ステップ 6 に進んでください。
。
-
新しいゲートウェイをクリックして、詳細ページを開きます。「インスタンスの追加/編集」をクリックします。
-
「インスタンスの追加/編集」で、次の手順を実行します。
- 「別のインスタンスの追加」をクリックします。クラスタリングは自動的にオンになります。
-
「クラスタ仮想 IP」を入力します。これは、クラスタ管理および負荷分散に使用されます。ゲートウェイインスタンスと同じ IP 範囲にある必要があります。
ツーアーム導入の場合、外部クラスタ VIP は負荷分散のためのみに使用されます。外部の負荷分散を使用する場合、これは空白のままにしてください。
-
新しいインスタンスの「VM 名」と「インターフェース IP」を入力します。
ツーアーム導入の場合、内部および外部インターフェース IP を入力します。
-
操作を繰り返して、さらにインスタンスを追加します。
注
クラスタには、少なくとも 3つのインスタンスが必要です。最大 9つのインスタンスを追加できますが、その数は常に奇数である必要があります。
注
クラスターをアクティブに保つには、クラスター内のゲートウェイの少なくとも半分がアクティブであることを確認してください。
-
各 ISO ファイルをダウンロードし、ホストにマウントします。その後、次のようにゲートウェイに接続します。
- VMware vSphere を参照します。
- ゲートウェイ VM を右クリックし、「設定の編集」を選択します。
- 「ハードウェア」タブの「CD/DVD ドライブ」に、ISO ファイルが表示されていることを確認し、「接続」を選択します。
- 「状態」で、「電源オン時に接続」を選択します。
- 「保存」をクリックします。
シリアルデバイスが「仮想ハードウェア」タブに表示される場合は、安全に取り外すことができます。
ゲートウェイが ISO ファイルで起動すると、Sophos Central に連絡して登録します。
-
Sophos Central に戻ります。「ゲートウェイ」ページで、ゲートウェイの状態が「承認待機中」に変わります。
プロンプトが表示されたら、ゲートウェイの登録を承認します。
承認が有効になるまでに最大 10分かかる場合があります。その後、ゲートウェイの状態が「接続」に変わります。表示されるオプションを使用して、必要に応じてパスワードを作成できます。
注
ゲートウェイインスタンスのクラスタがある場合は、最初のゲートウェイインスタンスのゲートウェイ登録のみを承認します。残りのインスタンスは、明示的に承認しなくても管理されます。
注
ISO ファイルは、ゲートウェイにマウントしたままにしておく必要があります。ゲートウェイの起動後にマウントを解除することはできません。
これで、オンプレミスのゲートウェイの設定が完了しました。
注
ゲートウェイが Sophos Central に接続できない場合は、VMware vSphere に移動して VM の診断を実行してください。
新しいバージョンの仮想マシンが使用可能になると、「バージョン」列に緑色のチェックマークが表示されます。バージョン番号をクリックして、アップデートを開始またはスケジュール設定してください。詳細は、ゲートウェイの「ゲートウェイのアップデート」を参照してください。
Microsoft Hyper-V でゲートウェイを設定するには、次の手順を実行します。
-
ゲートウェイ VM イメージをダウンロードして導入します。
-
ゲートウェイ設定を追加して、ISO ファイル (シードとして使用するイメージ) を生成します。
-
ISO ファイルをダウンロードして、ゲートウェイを起動します。
イメージのダウンロードと導入
-
Sophos Central で「デバイス > インストーラ」にアクセスします。
-
「Zero Trust Network Access」で、「Hyper-V 用のゲートウェイ VM イメージのダウンロード」をクリックします。
VM イメージを含む ZIP ファイルがダウンロードされます。
-
ダウンロードした ZIP ファイルから Hyper-V ベースイメージを展開します。
これによって、ゲートウェイの設定に必要な
.vhdx
ファイルを入手できます。このファイルを使用して複数の VM を導入することはできませんが、コピーを作成して追加の VM 用に使用することはできます。 -
Hyper-V マネージャーの「仮想マシン」リストの「操作」で、「新規」をクリックします。
-
VM の名前を入力します。
-
世代を選択します。「第 1世代」は、32ビットと 64ビットの両方の OS をサポートしています。
-
「メモリの割り当て」で、最低 4096 MB の起動メモリを入力します。
-
「ネットワークの構成」で、ネットワークアダプタを選択します。
-
「仮想ハードディスクの接続」で、「既存の仮想ハードディスクを使用する」を選択し、VMイメージのダウンロードから展開した
.vhdx
ファイルを参照します。 -
「完了」をクリックします。
-
新しい VM の「設定」に移動します。
-
「ハードウェア > プロセッサ」で、「仮想プロセッサの数」を 「2」に設定します。
-
ゲートウェイがツーアーム導入の場合は「ネットワークアダプタ」に移動し、VM に新たにアダプタを追加します。
注
VLAN を使用している場合は、ネットワークイインターフェースに適切な VLAN ID をタグ付けしてください。
-
-
「適用」および「保存」をクリックします。
「ゲートウェイの追加」設定
-
Sophos Central に戻り、「マイプロダクト > ZTNA > ゲートウェイ」の順に選択します。「ゲートウェイの追加」をクリックします。
-
「ゲートウェイモード」で 、「オンプレミス」を選択します。
-
「ゲートウェイの追加」で、次の手順を実行します。
- ゲートウェイ名とゲートウェイ FQDN を入力します。
- リソース (アプリ) のドメインを入力します。
- 「プラットフォームの種類」で、「Hyper-V」を選択します。
-
「導入モード」を選択します。
- 「ワンアーム」では、受信トラフィックと送信トラフィックに外部インターフェースが使用されます。
- 「ツーアーム」では、外部インターフェースと内部インターフェースの両方が使用されます。
-
「インターフェースの設定」を入力します。
-
「DHCP」を選択した場合は、DHCP サーバーで予約を設定します。
警告
ゲートウェイは、IP アドレスの変更を処理できません。DHCP が割り当てた初期 IP アドレスが常に保持されるように、予約を設定する必要があります。
-
「静的 IP」を選択した場合は、IP アドレス、サブネット、DNS サーバーの設定を入力します。
ツーアーム導入では、複数の内部ネットワークでホストされているアプリがある場合、「静的ルート」を指定する必要があります。
-
-
先ほど作成した証明書をアップロードします。
- 「保存して、ファイルを生成」をクリックします。
注
このリリースで対応しているワイルドカード証明書は 1つのみです。
-
「ゲートウェイ」ページで、新しいゲートウェイの状態が「導入待機中」になります。ゲートウェイをクリックして、詳細を表示します。
-
ゲートウェイの詳細で、ISO イメージがダウンロード可能であることがわかります。これは、ゲートウェイを起動するために必要となります。ISO はゲートウェイごとに一意です。それを再使用することはできません。
イメージをダウンロードする前に、ゲートウェイクラスタを作成することを推奨します。クラスタが不要な場合は、「ISO ファイルのダウンロードとゲートウェイの起動」セクションに進んでください。
-
ゲートウェイの詳細で、「インスタンスの追加/編集」をクリックします。
-
「インスタンスの追加/編集」で、「別のインスタンスの追加」をクリックします。クラスタリングは自動的にオンになります。
-
新しいインスタンスの詳細を次のように入力します。
-
「クラスタ仮想 IP」を入力します。これは、クラスタ管理および負荷分散に使用されます。この IP アドレスは、ゲートウェイインスタンスと同じ IP 範囲内にある、この設定でまだ未使用のものにしてください。
ヒント
ツーアーム導入の場合、外部インターフェース IP アドレスは負荷分散のためのみに使用されます。外部の負荷分散を使用する場合、このフィールドは空白のままにしてください。
-
新しいインスタンスの「VM 名」と「インターフェース IP」を入力します。
ツーアーム導入の場合、内部および外部インターフェース IP を入力します。
-
操作を繰り返して、さらにインスタンスを追加します。
注
クラスタには、少なくとも 3つのインスタンスが必要です。最大 9つのインスタンスを追加できますが、その数は常に奇数である必要があります。
注
クラスターをアクティブに保つには、クラスター内のゲートウェイの少なくとも半分がアクティブであることを確認してください。
-
次に、ISO ファイルをダウンロードし、ゲートウェイを起動します。
ISO ファイルのダウンロードとゲートウェイの起動
各インスタンスの ISO ファイルをダウンロードし、ゲートウェイ VM に添付して、次のようにゲートウェイを起動します。
-
ゲートウェイの詳細で、各インスタンスに移動し、「イメージのダウンロード」をクリックします。
-
Hyper-V マネージャーで、VM の「設定」に移動します。「DVD ドライブ」で、次の手順を実行します。
- 「コントローラー」で「IDE コントローラー 1」を選択します。
- 「メディア」で「イメージファイル」を選択し、シード ISO へのパスを入力します。
- 「適用」および「保存」をクリックします。
注
ISO ファイルは、ゲートウェイにマウントしたままにしておく必要があります。ゲートウェイの起動後にマウントを解除することはできません。
-
ゲートウェイインスタンスの電源をオンにします。数分間待ちます。
-
Sophos Central で、「マイプロダクト > ZTNA > ゲートウェイ」に移動し 、新しいゲートウェイをクリックして詳細ページを開きます。
ゲートウェイの状態が「ゲートウェイの承認を待機中」に変わります。「承認」をクリックします。
注
ゲートウェイインスタンスのクラスタがある場合は、最初のゲートウェイインスタンスのゲートウェイ登録のみを承認します。残りのインスタンスは、明示的に承認しなくても管理されます。
-
ゲートウェイの状態が「アクティブ」に変わります。
これで、オンプレミスのゲートウェイの設定が完了しました。
注
ゲートウェイが Sophos Central に接続できない場合は、Hyper-Vマネージャーに移動して VM の診断を実行してください。
新しいバージョンの仮想マシンが使用可能になると、「バージョン」列に緑色のチェックマークが表示されます。バージョン番号をクリックして、アップデートを開始またはスケジュール設定してください。詳細は、ゲートウェイの「ゲートウェイのアップデート」を参照してください。
Amazon Web Services (AWS) で ZTNA ゲートウェイを設定するには、次の手順を実行します。
-
Sophos Central で、「マイプロダクト > ZTNA > ゲートウェイ」の順に選択します。
-
「ゲートウェイ」ページで、「ゲートウェイの追加」をクリックします。
-
「ゲートウェイモード」で 、「オンプレミス」を選択します。
-
「ゲートウェイの追加」ダイアログで、次のように詳細を追加します。
- ゲートウェイ名と FQDN を入力します。
- リソース (アプリケーション) のドメインを入力します。
- 「プラットフォームの種類」で、「Amazon Web Services」を選択します。
- 「IdP」で、先ほど設定した IdP を選択します。
- 先ほど作成した証明書をアップロードします。
- 「保存」をクリックします。
-
「ゲートウェイ」ページに、新しいゲートウェイが表示されます。横にある「スタックの起動」リンクをクリックします。
AWS でのスタックの作成
AWS の CloudFormation で、「スタックのクイック作成」テンプレートを表示できます。既にソフォスで一部設定済みです。以下の手順を実行して、完了します。
-
「スタックのクイック作成」ページで、次の手順を実行します。
- 画面の右上で AWS リージョンを選択します。
- 「スタックの名前」にカスタム名を入力します。
-
「基本設定」で、ゲートウェイの可用性を確保するために、2つまたは 3つのアベイラビリティゾーンを選択します。
-
「VPC ネットワークの設定」で、次の手順を実行します。
- アベイラビリティゾーンの数を設定します。これは、1つ前のステップで選択したゾーンの数と一致する必要があります。
- サブネットが既存のリソースと競合しないようにします。
- 「MaxNumberOfNodes」で、ノードの最大数を設定します。デフォルトでこれは 3つです。
- 「NodeInstanceType」で、使用する EC2 インスタンスの種類を選択します。
- 「NumberOfNodes」で、必要なノードの数を設定します。デフォルトは、アベイラビリティゾーンごとに 1つです。
自動スケーリングは、現在 ZTNA では使用できません。
-
「スタックの作成」をクリックし、処理が完了するまで待ちます。これには、最大 1時間かかる場合があります。完了すると、新しいスタックは AWS のスタックリストに表示され、詳細は次のようになります。
-
Sophos Central で、新しいゲートウェイを参照します。「承認」をクリックします。
承認が有効になるまでに最大 10分かかる場合があります。その後、ゲートウェイの状態が「接続」に変わります。
注
ゲートウェイインスタンスのクラスタがある場合は、最初のゲートウェイインスタンスのゲートウェイ登録のみを承認します。残りのインスタンスは、明示的に承認しなくても管理されます。
新しい VPC の設定
次のように VPC を設定します。
-
AWS で、「仮想プライベートクラウド > VPC」を参照します。
-
新しい VPC を参照し、VPC ID を探します。この ID を使用して、作成した他のコンポーネントを検索できます。
-
EC2 インスタンスを参照し、新しい VPC ID のあるインスタンスを検索します。これによって、ZTNA ゲートウェイクラスタを構成するインスタンスが検出されます。名前を変更します。
注
クラスターをアクティブに保つには、クラスター内のゲートウェイの少なくとも半分がアクティブであることを確認してください。
-
「負荷分散」で、VPC ID を使用して、ZTNA の負荷分散を検索します。詳細を開き、「DNS 名」をコピーします。これは、負荷分散を指定するゲートウェイのパブリック DNS レコード (CNAME) を作成するために必要です。
ピアリング接続の作成
ゲートウェイは常に新しい VPC 内にあるため、ピアリングを使用して、アプリケーションが存在する VPC に接続する必要があります。
-
「VPC > ピアリング接続」を参照します。「ピアリング接続の作成」をクリックして、次の手順を実行します。
- 「VPC ID (リクエスタ)」で、ZTNA ゲートウェイの ID を選択します。
- 「VPC ID (アクセプタ)」で、リソースが存在する VPC を選択します。
- 「ピアリング接続の作成」をクリックします。
-
「サブネット」を参照し、リソースのサブネットと、ゲートウェイのプライベートサブネットをルートテーブルに追加します。これによって、ZTNA はピアリング接続を使用してリソースに接続できます。
これで、オンプレミスのゲートウェイの設定が完了しました。
新しいバージョンの仮想マシンが使用可能になると、「バージョン」列に緑色のチェックマークが表示されます。バージョン番号をクリックして、アップデートを開始またはスケジュール設定してください。詳細は、ゲートウェイの「ゲートウェイのアップデート」を参照してください。
次に、DNS 設定を追加します。