コンテンツにスキップ

オンプレミスのゲートウェイの設定

ネットワークのリソースへのアクセスを制御する ZTNA オンプレミスのゲートウェイを設定します。

手順は、ゲートウェイを ESXi サーバーでホストするか、Microsoft Hyper-V でホストするかによって異なります。

警告

AWS ゲートウェイは 2024年 3月 31日にサポート終了となります。製品のサポート終了日を参照してください。AWS に SFOS を導入し、リソースをこのゲートウェイに移行して、ユーザーがその日付以降もアプリにアクセスできるようにすることができます。

警告

ゲートウェイは、内部サービスで使用するサブネットで動作するようには設定しないでください。その場合、アプリケーションへのアクセスで問題が発生する場合があります。このようなサブネットは次のとおりです。10.42.0.0/16、10.43.0.0/16、10.108.0.0/16。

警告

IPv6 はサポートされていないため、ゲートウェイに IPv6 アドレスを設定したり、エンドポイントに IPv6 アドレスを割り当てることを許可したりしないでください。

ヒント

ユーザーが、ZTNA ゲートウェイと同じネットワークから ZTNA リソースにアクセスする必要がある場合は、種類が MASQ の SNAT ルールを追加して、非対称ルーティングを防止してください。

手順を確認するには、以下で該当するホストのタブをクリックします。

ESXi 上のゲートウェイの設定は、次の 2段階に分けて実行します。

  • ゲートウェイイメージ (OVA ファイル) をダウンロードして、ESXi に導入します。

  • Sophos Central でゲートウェイ設定を追加し、ESXi でゲートウェイを起動するために使用する ISO ファイル (「シードとして使用するイメージ」) を生成します。

可用性を確保するために、ゲートウェイクラスタを設定することもできます。これを行うには、ここにある説明に従って、ゲートウェイの追加インスタンスを設定します。

日付と時刻が ESXi ホストで正しく設定されていることを確認します。タイムゾーンは UTC に設定する必要があります。時刻を正しく設定しないと、ZTNA ゲートウェイで問題が発生します。詳細は、要件を参照してください。

ツーアームプロキシを使用している場合は、ネットワーク設定を参照してください。

イメージのダウンロードと導入

  1. Sophos Central で「デバイス > インストーラ」にアクセスします。

  2. Zero Trust Network Access」を参照します。

    1. ゲートウェイイメージのダウンロードリンクをクリックします。
    2. 使用許諾契約に同意し、(プロンプトが表示された場合は) ソフトウェアの輸出コンプライアンスに関するフォームに同意します。
    3. ゲートウェイイメージがダウンロードされます。これは、ESXi サーバー用の ZTNA ゲートウェイの汎用 OVA イメージです。何回でも再使用できます。

    ソフォスのダウンロードページ。

  3. OVA イメージを ESXi ホストに導入します。VMware vSphere で、ホストを右クリックして、「OVA テンプレートのデプロイ」を選択します。これによって、導入をガイドするアシスタントが実行されます。

    警告

    自動電源オンのオプション (ESXi でのデフォルト) をオフにするか、完了後に ZTNA ゲートウェイが起動しないようにしてください。これを実行しないと、ゲートウェイは ISO ファイルなしで起動し、手順の再実行が必要になります。

    VMware vSphere のデプロイページ。

設定の追加とゲートウェイの起動

  1. Sophos Central に戻り、「マイプロダクト > ZTNA > ゲートウェイ」の順に選択します。「ゲートウェイの追加」をクリックします。

    「ゲートウェイ」ページ。

  2. ゲートウェイモード」で 、「オンプレミス」を選択します。

    オンプレミスのゲートウェイモードが選択されました。

  3. ゲートウェイの追加」で、次の手順を実行します。

    1. ゲートウェイ名とゲートウェイ FQDN を入力します。
    2. リソース (アプリ) のドメインを入力します。
    3. プラットフォームの種類」で、「VMware ESXi」を選択します。

    4. 導入モード」を選択します。

      • ワンアーム」では、受信トラフィックと送信トラフィックに外部インターフェースが使用されます。
      • ツーアーム」では、外部インターフェースと内部インターフェースの両方が使用されます。

    5. インターフェースの設定」を入力します。

      • DHCP」を選択した場合は、DHCP サーバーで予約を設定します。

        警告

        ゲートウェイは、IP アドレスの変更を処理できません。DHCP が割り当てた初期 IP アドレスが常に保持されるように、予約を設定する必要があります。

      • 静的 IP」を選択した場合は、IP アドレス、サブネット、DNS サーバーの設定を入力します。

      ツーアーム導入では、複数の内部ネットワークでホストされているアプリがある場合、「静的ルート」を指定する必要があります。

    6. 先ほど作成した証明書をアップロードします。

    7. 保存して、ファイルを生成」をクリックします。

    このリリースで対応しているワイルドカード証明書は 1つのみです。

    「ゲートウェイの追加」ダイアログ。

  4. ゲートウェイ」ページで、ゲートウェイの状態が「導入待機中」になります。

    これで、シードとして使用するイメージ、ISO をダウンロードする準備ができました。これは、ゲートウェイを起動し、登録プロセスを完了するために必要です。ISO はゲートウェイごとに一意です。それを再使用することはできません。

    イメージをダウンロードする前に、ゲートウェイクラスタを作成することを推奨します。クラスタが不要な場合は、ステップ 6 に進んでください。

    ゲートウェイの状態が表示された「ゲートウェイ」ページ。

  5. 新しいゲートウェイをクリックして、詳細ページを開きます。「インスタンスの追加/編集」をクリックします。

    「ゲートウェイの詳細」ページ。

  6. インスタンスの追加/編集」で、次の手順を実行します。

    1. 別のインスタンスの追加」をクリックします。クラスタリングは自動的にオンになります。

    2. クラスタ仮想 IP」を入力します。これは、クラスタ管理および負荷分散に使用されます。ゲートウェイインスタンスと同じ IP 範囲にある必要があります。

      ツーアーム導入の場合、外部クラスタ VIP は負荷分散のためのみに使用されます。外部の負荷分散を使用する場合、これは空白のままにしてください。

    3. 新しいインスタンスの「VM 名」と「インターフェース IP」を入力します。

      ツーアーム導入の場合、内部および外部インターフェース IP を入力します。

    4. 操作を繰り返して、さらにインスタンスを追加します。

      • クラスタには、少なくとも 3つのインスタンスが必要です。最大 9つのインスタンスを追加できますが、その数は常に奇数である必要があります。

      • クラスタを作成する場合は、ファイアウォールで作成した DNAT ルールがクラスタの外部仮想 IP アドレスを参照していることを確認してください。ゲートウェイノードがダウンしている場合、要求はクラスタ内の他のノードに転送されます。

      • クラスターをアクティブに保つには、クラスター内のゲートウェイの少なくとも半分がアクティブであることを確認してください。

    「インスタンスの追加/編集」ダイアログ。

  7. 各 ISO ファイルをダウンロードしてホストにマウントし、ゲートウェイに接続します。

    この時点で ISO をマウントしない場合は、ウィザードの最後のステップで「完了時に電源を入れる」の選択を解除する必要があります。ISO をマウントした後で、仮想マシンの電源を手動で入れられます。

    ISO ファイルをゲートウェイに接続するには、次の手順に従います。

    1. VMware vSphere を参照します。
    2. ゲートウェイ VM を右クリックし、「設定の編集」を選択します。
    3. ハードウェア」タブの「CD/DVD ドライブ」に、ISO ファイルが表示されていることを確認し、「接続」を選択します。
    4. 状態」で、「電源オン時に接続」を選択します。
    5. 保存」をクリックします。

    シリアルデバイスが「仮想ハードウェア」タブに表示される場合は、安全に取り外すことができます。

    ゲートウェイが ISO ファイルで起動すると、Sophos Central に連絡して登録します。

    VMware vSphere の「仮想ハードウェア」タブ。

  8. Sophos Central に戻ります。「ゲートウェイ」ページで、ゲートウェイの状態が「承認待機中」に変わります。

    プロンプトが表示されたら、ゲートウェイの登録を承認します。

    承認が有効になるまでに最大 10分かかる場合があります。その後、ゲートウェイの状態が「接続」に変わります。表示されるオプションを使用して、必要に応じてパスワードを作成できます。

    ゲートウェイインスタンスのクラスタがある場合は、最初のゲートウェイインスタンスのゲートウェイ登録のみを承認します。残りのインスタンスは、明示的に承認しなくても管理されます。

    ISO ファイルは、ゲートウェイにマウントしたままにしておく必要があります。ゲートウェイの起動後にマウントを解除することはできません。

これで、オンプレミスのゲートウェイの設定が完了しました。

ゲートウェイが Sophos Central に接続できない場合は、VMware vSphere に移動して VM の診断を実行してください。

新しいバージョンの仮想マシンが使用可能になると、「バージョン」列に緑色のチェックマークが表示されます。バージョン番号をクリックして、アップデートを開始またはスケジュール設定してください。詳細は、ゲートウェイの「ゲートウェイのアップデート」を参照してください。

Microsoft Hyper-V でゲートウェイを設定するには、次の手順を実行します。

  • ゲートウェイ VM イメージをダウンロードして導入します。

  • ゲートウェイ設定を追加して、ISO ファイル (シードとして使用するイメージ) を生成します。

  • ISO ファイルをダウンロードして、ゲートウェイを起動します。

イメージのダウンロードと導入

  1. Sophos Central で「デバイス > インストーラ」にアクセスします。

  2. Zero Trust Network Access」で、「Hyper-V 用のゲートウェイ VM イメージのダウンロード」をクリックします。

    VM イメージを含む ZIP ファイルがダウンロードされます。

    「デバイスの保護」ページ。

  3. ダウンロードした ZIP ファイルから Hyper-V ベースイメージを展開します。

    これによって、ゲートウェイの設定に必要な .vhdx ファイルを入手できます。このファイルを使用して複数の VM を導入することはできませんが、コピーを作成して追加の VM 用に使用することはできます。

  4. Hyper-V マネージャーの「仮想マシン」リストの「操作」で、「新規」をクリックします。

    Hyper-V マネージャー。

  5. VM の名前を入力します。

    「名前と場所の指定」ページ。

  6. 世代を選択します。「第 1世代」は、32ビットと 64ビットの両方の OS をサポートしています。

    「世代の指定」ページ。

  7. メモリの割り当て」で、最低 4096 MB の起動メモリを入力します。

    「メモリの割り当て」ページ。

  8. ネットワークの構成」で、ネットワークアダプタを選択します。

    「ネットワークの構成」ページ。

  9. 仮想ハードディスクの接続」で、「既存の仮想ハードディスクを使用する」を選択し、VMイメージのダウンロードから展開した .vhdx ファイルを参照します。

    「仮想ハードディスクの接続」ページ。

  10. 完了」をクリックします。

    「仮想マシンの新規作成ウィザードの完了」ページ。

  11. 新しい VM の「設定」に移動します。

    1. ハードウェア > プロセッサ」で、「仮想プロセッサの数」を 「2」に設定します。

    2. ゲートウェイがツーアーム導入の場合は「ネットワークアダプタ」に移動し、VM に新たにアダプタを追加します。

    VM の設定。

    VLAN を使用している場合は、ネットワークイインターフェースに適切な VLAN ID をタグ付けしてください。

  12. 適用」および「保存」をクリックします。

「ゲートウェイの追加」設定

  1. Sophos Central に戻り、「マイプロダクト > ZTNA > ゲートウェイ」の順に選択します。「ゲートウェイの追加」をクリックします。

    「ゲートウェイ」ページ。

  2. ゲートウェイモード」で 、「オンプレミス」を選択します。

    オンプレミスのゲートウェイモードが選択されました。

  3. ゲートウェイの追加」で、次の手順を実行します。

    1. ゲートウェイ名とゲートウェイ FQDN を入力します。
    2. リソース (アプリ) のドメインを入力します。
    3. プラットフォームの種類」で、「Hyper-V」を選択します。

    4. 導入モード」を選択します。

      • ワンアーム」では、受信トラフィックと送信トラフィックに外部インターフェースが使用されます。
      • ツーアーム」では、外部インターフェースと内部インターフェースの両方が使用されます。

    5. インターフェースの設定」を入力します。

      • DHCP」を選択した場合は、DHCP サーバーで予約を設定します。

        警告

        ゲートウェイは、IP アドレスの変更を処理できません。DHCP が割り当てた初期 IP アドレスが常に保持されるように、予約を設定する必要があります。

      • 静的 IP」を選択した場合は、IP アドレス、サブネット、DNS サーバーの設定を入力します。

      ツーアーム導入では、複数の内部ネットワークでホストされているアプリがある場合、「静的ルート」を指定する必要があります。

    6. 先ほど作成した証明書をアップロードします。

    7. 保存して、ファイルを生成」をクリックします。

    このリリースで対応しているワイルドカード証明書は 1つのみです。

    「ゲートウェイの追加」ダイアログ。

  4. ゲートウェイ」ページで、新しいゲートウェイの状態が「導入待機中」になります。ゲートウェイをクリックして、詳細を表示します。

    導入待機中。

  5. ゲートウェイの詳細で、ISO イメージがダウンロード可能であることがわかります。これは、ゲートウェイを起動するために必要となります。ISO はゲートウェイごとに一意です。それを再使用することはできません。

    イメージをダウンロードする前に、ゲートウェイクラスタを作成することを推奨します。クラスタが不要な場合は、「ISO ファイルのダウンロードとゲートウェイの起動」セクションに進んでください。

    新しいゲートウェイの詳細。

  6. ゲートウェイの詳細で、「インスタンスの追加/編集」をクリックします。

    「ゲートウェイの詳細」ページ。

  7. インスタンスの追加/編集」で、「別のインスタンスの追加」をクリックします。クラスタリングは自動的にオンになります。

    「インスタンスの追加/編集」ダイアログ。

  8. 新しいインスタンスの詳細を次のように入力します。

    1. クラスタ仮想 IP」を入力します。これは、クラスタ管理および負荷分散に使用されます。この IP アドレスは、ゲートウェイインスタンスと同じ IP 範囲内にある、この設定でまだ未使用のものにしてください。

      ヒント

      ツーアーム導入の場合、外部インターフェース IP アドレスは負荷分散のためのみに使用されます。外部の負荷分散を使用する場合、このフィールドは空白のままにしてください。

    2. 新しいインスタンスの「VM 名」と「インターフェース IP」を入力します。

      ツーアーム導入の場合、内部および外部インターフェース IP を入力します。

    3. 操作を繰り返して、さらにインスタンスを追加します。

      クラスタには、少なくとも 3つのインスタンスが必要です。最大 9つのインスタンスを追加できますが、その数は常に奇数である必要があります。

      クラスターをアクティブに保つには、クラスター内のゲートウェイの少なくとも半分がアクティブであることを確認してください。

    インスタンスの詳細。

次に、ISO ファイルをダウンロードし、ゲートウェイを起動します。

ISO ファイルのダウンロードとゲートウェイの起動

各インスタンスの ISO ファイルをダウンロードし、ゲートウェイ VM に添付して、次のようにゲートウェイを起動します。

  1. ゲートウェイの詳細で、各インスタンスに移動し、「イメージのダウンロード」をクリックします。

    ゲートウェイインスタンスとダウンロード。

  2. Hyper-V マネージャーで、VM の「設定」に移動します。「DVD ドライブ」で、次の手順を実行します。

    1. コントローラー」で「IDE コントローラー 1」を選択します。
    2. メディア」で「イメージファイル」を選択し、シード ISO へのパスを入力します。
    3. 適用」および「保存」をクリックします。

    ISO ファイルは、ゲートウェイにマウントしたままにしておく必要があります。ゲートウェイの起動後にマウントを解除することはできません。

    VM DVD ドライブ。

  3. ゲートウェイインスタンスの電源をオンにします。数分間待ちます。

  4. Sophos Central で、「マイプロダクト > ZTNA > ゲートウェイ」に移動し 、新しいゲートウェイをクリックして詳細ページを開きます。

    ゲートウェイの状態が「ゲートウェイの承認を待機中」に変わります。「承認」をクリックします。

    ゲートウェイの状態と「承認」ボタン。

    ゲートウェイインスタンスのクラスタがある場合は、最初のゲートウェイインスタンスのゲートウェイ登録のみを承認します。残りのインスタンスは、明示的に承認しなくても管理されます。

  5. ゲートウェイの状態が「アクティブ」に変わります。

これで、オンプレミスのゲートウェイの設定が完了しました。

ゲートウェイが Sophos Central に接続できない場合は、Hyper-Vマネージャーに移動して VM の診断を実行してください。

新しいバージョンの仮想マシンが使用可能になると、「バージョン」列に緑色のチェックマークが表示されます。バージョン番号をクリックして、アップデートを開始またはスケジュール設定してください。詳細は、ゲートウェイの「ゲートウェイのアップデート」を参照してください。

次に、DNS 設定を追加します。