シングルノード VM に関する FAQ
仮想化
サポートしているハイパーバイザーと、そのバージョンを教えてください。
以下の仮想化プラットフォームをサポートしています:
- Microsoft Hyper-V: Windows Server 2019+ および Windows 10+
- VMware: ESXi 7.0.0+
- VirtualBox: 7.0.8+
リソース
VM ではストレージはどのように管理されますか?
ストレージ用として、ソリッドステートドライブ(SSD)(より優れた I/O とパフォーマンスのため)またはハードディスクドライブ(HDD)を VM に接続できます。
必要な最小仮想コア数はいくつですか?
16
VM の最小ディスクサイズはいくつですか?
100 GB
VM はログを自動ローテーションしますか?
はい。
OS 上で実行されるサービスのログは、/etc/logrotate.conf で設定されたデフォルトの Red Hat ログローテーション policy に従います。このファイルは必要に応じてカスタマイズできます。
RKE2 の Pod ログは、デフォルトの RKE2 ログローテーションに従います:
- コンテナごとの最大ログファイル数: 3
- ログファイルごとの最大サイズ: 2 MB
パフォーマンス向上のために、より多くの vCPU を割り当てるメリットはありますか?
いいえ。CPU の割り当てを増やしても、Glasswall Halo の同期 API のパフォーマンスは向上しません。
必要な最小メモリ容量はどれくらいですか?
32 GB
VM イメージのサイズはどれくらいですか?
- VMware または VirtualBox: OVA 約 5.5 GB
- Hyper-V: VHD 64 GB
セキュリティ
OS ファイアウォールは有効ですか?
いいえ。Kubernetes ネットワークとの競合を避けるため、ファイアウォールは無効になっています。
どのファイアウォールルールが適用されていますか?
なし — ファイアウォールは無効です。
VM で開いたままになっているネットワークポートはどれですか?
- 80
- 443
- 22 (SSH)
- 6443 (Kubernetes API server — クラスター CIDR
10.42.0.0/16およびサービス CIDR10.43.0.0/16に制限)
SSH へのブルートフォース攻撃の試行に対する保護はありますか?
はい。
Fail2Ban はログファイル(例: /var/log/auth.log)を監視し、失敗が繰り返された後に悪意のある IP アドレスをブロックします。
ベース OS にパッチを適用した状態に保つにはどうすればよいですか?
Glasswall は四半期ごとに更新済みの VM イメージを提供します。
Red Hat ミラーから直接更新するには:
subscription-manager register --username <your_username> --password <your_password> --auto-attach
組織の SSL 証明書と希望する FQDN を設定するにはどうすればよいですか?
ドメインの秘密鍵と証明書を VM にコピーし、VM 内で bash configure_tls.sh を実行します。
SSH 経由で証明書のみの認証を強制するにはどうすればよいですか?
VM 内で ~/.ssh/authorized_keys を公開鍵で更新し、パスワード認証を無効にします:
sudo sed -i "s/passwordauthentication yes/passwordauthentication no/g" /etc/ssh/sshd_config sudo service sshd restart
デフォルトの SSH ユーザー名とパスワードは直ちに更新する必要がありますか?
はい、パスワードの更新は必須です。VM にログインすると、パスワードの更新を求められます。
どの程度のセキュリティ強化が実施されていますか?
- STIG によるハードニングがベース OS に適用されています。
- CIS によるハードニングが RKE2(Kubernetes クラスター)に適用されています。
- すべてのGlasswallコンテナは、強化されたコンテナイメージを使用しています。
- すべてのGlasswallソフトウェアは、SAST、DAST、SCAツールを使用して強化されています。
VMイメージの真正性を認証するためのハッシュは提供されていますか?
はい。Glasswallは、ファイルのbase64エンコードされたMD5ハッシュ値を提供します。$ova_file_pathをOVAファイルのパスに置き換えて、次のコマンドを使用して一致するか確認してください。
openssl dgst -md5 -binary < $ova_file_path | base64
VMでアンチウイルスソリューションを有効にするにはどうすればよいですか?
VMイメージにはアンチウイルスソリューションはインストールされていません。必要に応じて、アンチウイルスソリューションをVMに別途インストールできます。
アンチウイルスソリューションはCDRプロセスを妨げたり停止させたりしますか?
アンチウイルスソリューションはCDRプロセスに干渉する可能性があるため、処理中のファイルが置かれるVM内のフォルダはアンチウイルススキャンの対象外にする必要があります。
アンチウイルス保護の対象外にする必要があるフォルダはありますか?
はい。/opt/local-path-provisionerはアンチウイルススキャンの対象外にする必要があります。
RKE2はFIPS 140-2検証済み暗号化をサポートしていますか?
はい。FIPS 140-2サポートは、基盤レベルでRKE2に組み込まれています。具体的には、RKE2内で使用される機能は、FIPS 140-2標準で定められた厳格なセキュリティ要件を満たしています。これには、暗号化および復号化に使用されるアルゴリズム、鍵生成および鍵管理に使用される方法、ならびに暗号モジュールへの不正アクセスや不正使用を防止するための保護が含まれます。
FIPS 140-2の有効化に関する追加ドキュメントは、こちらで確認できます。
アンチウイルスソリューションはCDRプロセスを妨げたり停止させたりしますか?
アンチウイルスソリューションはCDRプロセスに干渉する可能性があるため、処理中のファイルが置かれるVM内のフォルダはアンチウイルススキャンの対象外にする必要があります。
OS構成
VM にログオンしたときのシステムバナーメッセージはどのように設定しますか?
バナーメッセージは、VM 内の /etc/issue ファイルを更新することでカスタマイズできます。
VM 上で実行されている OS レベルのサービスは何ですか?
以下は、VM 上で実行されている OS レベルのサービスの一覧です。
| ユニット | ロード | アクティブ | 状態 | 説明 |
|---|---|---|---|---|
| Atd.service | loaded | アクティブ | running | ジョブスプーリングツール |
| Auditd.service | loaded | アクティブ | running | セキュリティ監査サービス |
| Chronyd.service | loaded | アクティブ | running | NTP client/server |
| Dbus.service | loaded | アクティブ | running | D-Bus system message bus |
| [email protected] | loaded | アクティブ | running | tty1 上の getty |
| Irqbalance.service | loaded | アクティブ | running | irqbalance デーモン |
| Libstoragemgmt.service | loaded | アクティブ | running | libstoragemgmt プラグインサーバーデーモン |
| Mcelog.service | loaded | アクティブ | running | マシンチェック例外ログ記録デーモン |
| Networkmanager.service | loaded | アクティブ | running | ネットワークマネージャー |
| Polkit.service | loaded | アクティブ | running | 認可マネージャー |
| Rhsmcertd.service | loaded | アクティブ | running | エンタイトルメント証明書の定期更新を有効にします。 |
| Rke2-server.service | loaded | アクティブ | running | Rancher Kubernetes Engine v2(server) |
| Rsyslog.service | loaded | アクティブ | running | システムロギングサービス |
| [email protected] | loaded | アクティブ | running | ttys0 上のシリアル getty |
| Smartd.service | loaded | アクティブ | running | self monitoring and reporting technology(SMART)デーモン |
| Sshd.service | loaded | アクティブ | running | OpenSSH サーバーデーモン |
| Systemd-journald.service | loaded | アクティブ | running | ジャーナルサービス |
| Systemd-logind.service | loaded | アクティブ | running | ログインサービス |
| Systemd-resolved.service | loaded | アクティブ | running | ネットワーク名前解決 |
| Systemd-udevd.service | loaded | アクティブ | running | udev カーネルデバイスマネージャー |
| Usbguard.service | loaded | アクティブ | running | USBGuard デーモン |
| [email protected] | loaded | アクティブ | running | UID 1000 のユーザーマネージャー |
| 不要な OS レベルのサービスは無効化されていますか? |
Red Hat OS は STIG ハードニングプロセスを経ており、不要なサービスはすべて削除され、不要なサービスは一切インストールされていません。
ベースとなるオペレーティングシステムは何ですか、またそのバージョンは?
ベース OS のバージョンはリリースノートで確認できます。
Kubernetes は VM 内で実行されますか?
はい、Kubernetes クラスターは Single Node で実行されます。
実行されている Kubernetes のバージョンは何ですか?
Kubernetes のバージョンはリリースノートで確認できます。
監視
どのエラーメッセージを積極的に監視すべきですか?
Glasswall Halo のエラーコードと API は、Glasswall API documentationで確認できます。
Glasswall Halo クラスターの正常性は、API health endpoint を使用して監視できます。
CPU アーキテクチャのサポート
どの CPU アーキテクチャがサポートされていますか?
現在、x86-64 CPU プロセッサがサポートされています。ARM のサポートは今後のリリースで提供される予定です。
ログローテーションとストレージ管理
ログを希望するネットワーク上の場所にオフロードまたは集約するにはどうすればよいですか?
この VM には syslog が事前設定されており、これを使用してログを syslog サーバーに送信できます。
アップグレード パス
この VM を Glasswall の別の VM イメージに置き換えた場合はどうなりますか。また、稼働中の運用を維持するための完全なアップグレード パスはどのようになりますか?
- デプロイ手順に従って、Glasswall の新しいイメージから新しい VM を作成します。
- 新しい VM が想定どおりに動作していることを確認します。
- DNS レコードを古い IP アドレスから VM の新しい IP アドレスに切り替えます。
パッチ適用
セキュリティの観点から Kubernetes ソフトウェアを更新するにはどうすればよいですか?
Kubernetes ソフトウェアの更新は、Glasswall が提供する VM イメージで実施されます。ただし、セキュリティアドバイザリが公開された場合は、Kubernetes クラスターを更新することを推奨します。
クラスターの Kubernetes バージョンをアップグレードする際は、次を推奨します:
- スナップショットを取得します。
- Kubernetes のアップグレードを開始します。
- アップグレードに失敗した場合は、クラスターをアップグレード前の Kubernetes バージョンに戻します。これは、restore etcd and Kubernetes version オプションを選択することで実行できます。これにより、etcd スナップショットを復元する前に、クラスターはアップグレード前の Kubernetes バージョンに戻ります。
- 復元操作は、正常またはアクティブな状態ではないクラスターでも機能します。
ネットワーク
DNS / IP 範囲の設定はどのように管理しますか?
IP アドレス、ゲートウェイ、および DNS サーバーの設定には、nmcli コマンドラインユーティリティまたは nmtui ユーティリティを使用します。
VM で DHCP は有効ですか?
はい。VM では DHCP クライアントが有効であり、DHCP サーバーのあるネットワークにデプロイされた場合に IP アドレスを割り当てることができます。
VM に SSH 接続するにはどうすればよいですか?
VM に IP アドレスが設定されたら、Glasswall から共有されたユーザー名とパスワード/秘密鍵を使用して SSH 接続します。
許可リストに追加する必要がある IP アドレスまたはインターネット URL は何ですか?
ありません。
VM でサポートされている通信プロトコルは何ですか?
VM 内で HTTPS および HTTP エンドポイントが提供されます。
ライセンス
Glasswall Halo 仮想アプライアンス用に Red Hat サブスクリプションを別途購入する必要がありますか?
はい。Glasswall Halo 仮想アプライアンスは Red Hat Enterprise Linux (RHEL) 上で動作しますが、RHEL サブスクリプションはアプライアンスに含まれていません。システムアップデート、セキュリティパッチ、およびサポートへのアクセスを確保するために、お客様はRed Hat または認定パートナーから直接有効な RHEL サブスクリプションを取得する責任があります。デプロイされた各インスタンスは、お客様自身の Red Hat アカウント認証情報を使用して Red Hat Subscription Management (RHSM) に登録する必要があります。有効なサブスクリプションがない場合、アプライアンスは重要なアップデートを受け取れない可能性があり、Red Hat サポートの対象にもなりません。
詳細については、RHEL ライセンスに関する案内をご覧ください。
Kubernetes ソフトウェアは Glasswall によってライセンスされていますか?
Kubernetes は Apache 2.0 license のオープンソースであるため、ライセンスを購入する必要はありません。
ソリューション全体を構成する主なオープンソースコンポーネントは何ですか?
主なオープンソースコンポーネントは RKE2 と RabbitMQ であり、完全な software bill of materials (SBOM) はご要望に応じて提供可能です。
オープンソースコンポーネントはどのようにライセンスされていますか?
- RKE2 Kubernetes cluster は Apache 2.0 license の下でライセンスされています。
- RabbitMQ cluster Kubernetes operator は Mozilla public license 2.0 の下でライセンスされています。
- RabbitMQ server は Apache 2.0 license の下でライセンスされています。
- 追加のライセンス情報は、ご要望に応じて software bill of materials (SBOM) により提供可能です。