次の方法で共有

高可用性について (レガシ)

  • [アーティクル]

大事な

Defender for IoT では、中央監視とセンサー管理に Microsoft クラウド サービスまたは既存の IT インフラストラクチャを使用することが推奨されるようになりました。は、2025 年 1 月 1 日にオンプレミス管理コンソール を廃止する予定です。

詳細については、「ハイブリッドまたはエアギャップ OT センサー管理をデプロイする」を参照してください。

お使いのオンプレミス管理コンソールで高可用性を構成することで、Defender for IoTのデプロイの回復性を向上させます。 高可用性のデプロイにより、マネージド センサーはアクティブなオンプレミス管理コンソールに継続的に報告されます。

このデプロイは、プライマリ アプライアンスとセカンダリ アプライアンスを含むオンプレミスの管理コンソール ペアで実装されます。

手記

このドキュメントでは、オンプレミスのプリンシパル管理コンソールをプライマリと呼び、エージェントをセカンダリと呼びます。

前提 条件

この記事の手順を実行する前に、次の前提条件を満たしていることを確認してください。

  • プライマリ アプライアンスとセカンダリ アプライアンスの両方に オンプレミス管理コンソールがインストールされていることを確認します。

    • プライマリとセカンダリの両方のオンプレミス管理コンソール アプライアンスで、同じハードウェア モデルとソフトウェア バージョンが実行されている必要があります。
    • CLI コマンドを実行するには、特権ユーザーとして、プライマリとセカンダリの両方のオンプレミス管理コンソールにアクセスできる必要があります。 詳細については、OT 監視のオンプレミス ユーザーとロールの を参照してください。

  • プライマリ オンプレミス管理コンソールが、 接続され、コンソール UI に表示される少なくとも 2 つの OT ネットワーク センサーと、スケジュールされたバックアップまたは VLAN 設定を含め、が完全に 構成されていることを確認します。 ペアリング後、すべての設定がセカンダリ アプライアンスに自動的に適用されます。

  • SSL/TLS 証明書が必要な条件を満たしていることを確認します。 詳細については、オンプレミス リソース SSL/TLS 証明書の要件に関する情報を参照してください。

  • 組織のセキュリティ ポリシーによって、プライマリとセカンダリのオンプレミス管理コンソールで、次のサービスへのアクセスが許可されていることを確認します。 これらのサービスでは、センサーとセカンダリオンプレミス管理コンソール間の接続も可能です。

    サービス 説明
    443 または TCP HTTPS オンプレミス管理コンソール Web コンソールへのアクセスを許可します。
    22 または TCP SSH プライマリとセカンダリのオンプレミス管理コンソール アプライアンスの間でデータを同期します
    123 または UDP NTP (ネットワークタイムプロトコル) オンプレミス管理コンソールの NTP 時刻同期。アクティブアプライアンスとパッシブ アプライアンスが同じタイムゾーンで定義されていることを確認します。

プライマリとセカンダリのペアを作成する

大事な

指定された場所でのみ sudo を使用してコマンドを実行します。 指定されていない場合は、sudo で実行しないでください。

  1. プライマリとセカンダリの両方のオンプレミス管理コンソール アプライアンスの電源をオンにします。

  2. セカンダリ アプライアンスで、次の手順に従って接続文字列をクリップボードにコピーします。

    1. セカンダリオンプレミス管理コンソールにサインインし、[システム設定]選択します。

    2. [センサーのセットアップ - 接続文字列] 領域の [接続文字列のコピー]で、 ボタンを選択して完全な接続文字列を表示します。

    3. 接続文字列は、IP アドレスとトークンで構成されます。 IP アドレスはコロンの前にあり、トークンはコロンの後にあります。 IP アドレスとトークンを個別にコピーします。 たとえば、接続文字列が 172.10.246.232:a2c4gv9de23f56n078a44e12gf2ce77fされている場合は、IP アドレス 172.10.246.232 とトークン a2c4gv9de23f56n078a44e12gf2ce77f を個別にコピーします。

      次のコマンドで使用する接続文字列の各部分をコピーすることを示すスクリーンショット。

  3. プライマリ アプライアンスで、次の手順に従って、CLI を使用してセカンダリ アプライアンスをプライマリに接続します。

    1. SSH 経由でプライマリ オンプレミス管理コンソールにサインインして CLI にアクセスし、次のコマンドを実行します。

      sudo cyberx-management-trusted-hosts-add -ip <Secondary IP> -token <Secondary token>

      ここで、<Secondary IP> はセカンダリ アプライアンスの IP アドレスであり、<Secondary token> はコロンの後の接続文字列の 2 番目の部分です。これは、前にクリップボードにコピーしたものです。

      例えば:

      sudo cyberx-management-trusted-hosts-add -ip 172.10.246.232 -token a2c4gv9de23f56n078a44e12gf2ce77f

      IP アドレスが検証され、SSL/TLS 証明書がプライマリ アプライアンスにダウンロードされ、プライマリ アプライアンスに接続されているすべてのセンサーがセカンダリ アプライアンスに接続されます。

    2. プライマリ アプライアンスに変更を適用します。 走れ

      sudo cyberx-management-trusted-hosts-apply

    3. 証明書がプライマリ アプライアンスに正しくインストールされていることを確認します。 走る:

      cyberx-management-trusted-hosts-list

  4. プライマリ アプライアンスとセカンダリ アプライアンスのバックアップと復元プロセスの間の接続を許可します。

    • プライマリ アプライアンスで、次を実行します。

      cyberx-management-deploy-ssh-key <secondary appliance IP address>

    • セカンダリ アプライアンスで、SSH 経由でサインインして CLI にアクセスし、次のコマンドを実行します。

      cyberx-management-deploy-ssh-key <primary appliance IP address>

  5. セカンダリ アプライアンスに変更が適用されていることを確認します。 セカンダリ アプライアンスで、次のコマンドを実行します。

    cyberx-management-trusted-hosts-list

高可用性アクティビティの追跡

コア アプリケーション ログを Defender for IoT サポート チームにエクスポートして、高可用性の問題に対処できます。

コア ログにアクセスするには:

  1. オンプレミス管理コンソールにサインインし、[システム設定][エクスポート]選択します。 サポート チームに送信するログのエクスポートの詳細については、「のトラブルシューティングのためにオンプレミス管理コンソールからログをエクスポートする 」を参照してください。

高可用性を使用してオンプレミス管理コンソールを更新する

高可用性が構成されているオンプレミス管理コンソールを更新するには、次の手順を実行する必要があります。

  1. プライマリ アプライアンスとセカンダリ アプライアンスの両方から高可用性を無効にします。
  2. アプライアンスを新しいバージョンに更新します。
  3. 両方のアプライアンスに対して高可用性を再設定します。

次の順序で更新を実行します。 新しい手順を開始する前に、各手順が完了していることを確認します。

高可用性が構成されたでオンプレミス管理コンソールを更新するには:

  1. プライマリ アプライアンスとセカンダリ アプライアンスの両方から高可用性の接続を解除します。

    プライマリ:

    1. 現在接続されているアプライアンスの一覧を取得します。 走れ

      cyberx-management-trusted-hosts-list

    2. セカンダリ アプライアンスに関連付けられているドメインを見つけて、クリップボードにコピーします。 例えば:

      セカンダリ アプライアンスに関連付けられているドメインを示すスクリーンショット。

    3. 信頼されたホストの一覧からセカンダリ ドメインを削除します。 走る:

      sudo cyberx-management-trusted-hosts-remove -d [Secondary domain]

    4. 証明書が正しくインストールされていることを確認します。 走る:

      sudo cyberx-management-trusted-hosts-apply

    セカンダリ:

    1. 現在接続されているアプライアンスの一覧を取得します。 走る:

      cyberx-management-trusted-hosts-list

    2. プライマリ アプライアンスに関連付けられているドメインを見つけて、クリップボードにコピーします。

    3. 信頼されたホストの一覧からプライマリ ドメインを削除します。 走る:

      sudo cyberx-management-trusted-hosts-remove -d [Primary domain]

    4. 証明書が正しくインストールされていることを確認します。 走る:

      sudo cyberx-management-trusted-hosts-apply

  2. プライマリ アプライアンスとセカンダリ アプライアンスの両方を新しいバージョンに更新します。 詳細については、「オンプレミス管理コンソールのを更新する」を参照してください。

  3. プライマリ アプライアンスとセカンダリ アプライアンスの両方で、再度高可用性を設定します。 詳細については、「プライマリペアとセカンダリペアを作成する」を参照してください。

フェールオーバー プロセス

高可用性を設定した後、OT センサーはプライマリに接続できない場合、セカンダリオンプレミス管理コンソールに自動的に接続します。 OT センサーの半分未満が現在セカンダリ マシンと通信している場合、システムはプライマリ マシンとセカンダリ マシンの両方で同時にサポートされます。 OT センサーの半分以上がセカンダリ マシンと通信している場合、セカンダリ マシンはすべての OT センサー通信を引き継ぎます。 プライマリからセカンダリ マシンへのフェールオーバーには約 3 分かかります。

フェールオーバーが発生すると、プライマリオンプレミス管理コンソールがフリーズし、同じサインイン資格情報を使用してセカンダリにサインインできます。

フェールオーバー中、センサーは引き続きプライマリ アプライアンスとの通信を試みます。 マネージド センサーの半分以上がプライマリとの通信に成功すると、プライマリが復元されます。 プライマリが復元されると、セカンダリ コンソールに次のメッセージが表示されます。

プライマリが復元されたときにセカンダリ コンソールに表示されるメッセージのスクリーンショット。

リダイレクト後にプライマリ アプライアンスに再度サインインします。

期限切れのアクティブ化ファイルを処理する

アクティブ化ファイルは、プライマリオンプレミス管理コンソールでのみ更新できます。

ライセンス認証ファイルがセカンダリ マシンで期限切れになる前に、ライセンスを更新できるようにプライマリ コンピューターとして定義します。

詳細については、「新しいアクティブ化ファイルをアップロードする」を参照してください。

次の手順

詳細については、「オンプレミス管理コンソールのアクティブ化と設定」を参照してください。