Eメールセキュリティアプライアンス(ESA)クラスタの設定

ダウンロード オプション

  • PDF     (384.6 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2025 年 5 月 5 日
Document ID:200885

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、Cisco Eメールセキュリティアプライアンス(ESA)でクラスタをセットアップする方法について説明します。

    前提条件 

    要件

    次の項目に関する知識があることが推奨されます。

    • アプライアンスをクラスタに参加させる方法(一元管理)
    • すべての ESA で同じ AsyncOS バージョン(リビジョンまで)を持っていることが必須です。

    :バージョン8.5+では、一元管理キーはAsyncOSの組み込み機能であるため、不要になり、追加しても表示されなくなります。

    • ポート22を使用するクラスタを作成する場合(設定が簡単な場合)は、ポート22トラフィック上のアプライアンス間にファイアウォールまたはルーティングの問題がないことを確認します。
    • ポート2222 (クラスタ通信サービス)を使用するクラスタを作成する場合は、このポート上のトラフィックが検査や中断なしで使用できるようにファイアウォールルールが作成されていることを確認してください。
    • クラスタ設定オプションは、ESA の CLI 経由で行う必要があり、GUI で作成したり、GUI に参加することはできません。
    • 通信にホスト名を使用する場合は、アプライアンスに設定されたDNSサーバーがネットワーク内の他のすべてのアプライアンスを解決できること、およびホスト名の解決先のIPアドレスが、選択された通信ポートでリッスンするように構成されたインターフェイスに割り当てられていることを確認します。
    • アプライアンスのインターフェイスで、必要なポートとサービス(SSHまたはCCS)が有効になっていることを確認します。

    使用するコンポーネント

    このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    問題

    問題は、大規模なESAグループ間の設定を一元化して同期を維持する必要がある場合に、各アプライアンスで継続的に変更を行う必要がないようにすることです。

    ESA上のクラスタ

    ESAの一元管理機能を使用すると、複数のアプライアンスを同時に管理および設定して、ネットワーク内の信頼性、柔軟性、および拡張性を向上させることができます。これにより、ローカル・ポリシーに準拠しながら、グローバルな管理を実行できます。 

    クラスタは、共通の設定情報を持つマシンのセットで構成されます。各クラスタ内で、アプライアンスはさらにマシン グループに分けることができます。ここで単独のマシンは一度に 1 つのグループのみでメンバーになれます。 

    クラスタは、プライマリ/セカンダリ関係のないピアツーピアアーキテクチャで実装されます。任意のマシンにログインして、クラスタ全体またはグループ全体を制御および管理できます。  これにより、管理者はシステムのさまざまな要素をクラスタ全体、グループ全体、またはマシンごとに、独自の論理グループに基づいて設定できます

    クラスタの作成

    すべての要件が満たされたら、クラスタを作成するために、最初のアプライアンスのコマンドライン(CLI)から開始する必要があります。

    ヒント:クラスタを設定する前に、アプライアンスの現在の設定をバックアップしてください。GUI から、[System Management] > [Configuration File] に移動します。 マスクされたパスワードボックスのチェックを外し、設定をローカルのPCに保存します。

    SSH経由でのクラスタの作成

    C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> NameOfCluster

Should all machines in the cluster communicate with each other by hostname or
by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 10.1.1.11 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 1

Other machines will communicate with Machine C370.lab using IP address
10.1.1.11 port 22. You can change this by using the COMMUNICATION subcommand
of the clusterconfig command.
New cluster committed: DATE
Creating a cluster takes effect immediately, there is no need to commit.

Cluster NameOfCluster

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.

    CCS経由でのクラスタの作成

    C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> Test

Should all machines in the cluster communicate with each other by hostname or by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C370.lab?
1. 10.1.1.1 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 2

Enter the IP address for Machine C370.lab.
[]> 10.1.1.1

Enter the port (on 10.66.71.120) for Machine C370.lab.
[22]> 2222

    この手順が完了すると、クラスタが作成され、すべての設定がマシンからクラスタレベルに移行します。これは、他のすべてのマシンが参加したときに継承する設定です。

    SSHまたはCCSを使用した現行クラスタへの参加

    このセクションでは、以前に作成した、または作成したばかりの現在のクラスタに新しいアプライアンスを追加する方法について説明します。どちらの方法でも現在のクラスタに参加する方法は似ていますが、相違点の唯一のキーポイントは、クラスタが新しいアプライアンスを受け入れられるように、CCSでクラスタをファイナライズするために追加の手順が必要になることです。

    SSHを介した参加

    :次の手順で太字で示されているセクションは、正確に行う必要があります。SSHでは、CCSのイネーブルに対してyesと発音しないでください。

    C370.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 3

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  
    To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig
-> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for 
    the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig
settings)
Exception:  Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  
    These settings on this machine will remain intact.
Do you want to enable the Cluster Communication Service on C370.lab? [N]>

Enter the IP address of a machine in the cluster.
[]> 10.66.71.120

Enter the remote port to connect to.  This must be the normal admin ssh port, not the CCS port.
[22]>

Enter the name of an administrator present on the remote machine
[admin]>

Enter password:
Please verify the SSH host key for 10.66.71.120:
Public host key fingerprint: d2:6e:36:9b:1d:87:c6:1f:46:ea:59:40:61:cc:3e:ef
Is this a valid key for this host? [Y]>

    チェック後、アプライアンスはクラスタに正常に参加します。

    CCSを通じた参加

    これはアプローチが似ていますが、唯一の違いは、現在のクラスタに新しいアプライアンスを許可することを決定する前に、クラスタ内でアクティブなアプライアンスにログインする必要があることです。

    クラスタ内のアクティブなアプライアンスで以下を実行します。

    (Cluster test)> clusterconfig

Cluster test

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]> prepjoin

Prepare Cluster Join Over CCS

No host entries waiting to be added to the cluster.

Choose the operation you want to perform:
- NEW - Add a new host that will join the cluster.
[]> new

Enter the hostname of the system you want to add.
[]> ESA.lab

Enter the serial number of the host ESA.lab.
[]> XXXXXXXXXXXXXX-XXXXXA

Enter the user key of the host ESA2.lab.  This can be obtained by typing 
    "clusterconfig prepjoin print" in the CLI on ESA.lab.
Press enter on a blank line to finish.


    前のコード例で、SSHフィンガープリント(クラスタに参加しようとするアプライアンスにログインし、コマンドclusterconfig prepjoin printを使用して取得する)を入力して、空白行を入力すると、prep joinが完了します。

    注:PREPJOIN オプションを実行する場合は、セカンダリESAでclusterconfig を実行する前にプライマリESAに対する変更をコミットし、新しく設定したクラスタにそのアプライアンスを参加させる必要があります。  これは、操作全体の出力から確認できます。事前共有キーを使用してこのアプライアンスをクラスタに参加させるには、クラスタマシンにログインし、clusterconfig > prepjoin > newコマンドを実行し、次の詳細を入力して、変更を確定します。

    次に、参加を試みるアプライアンスで参加プロセスを開始できます。たとえば、前の手順と一致させるためにESA2.labという名前を付けます。

    :SSH-DSSキーは次の例にあります。

    ESA2.lab> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 4

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  
    To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig
-> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for 
    the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig
settings)
Exception:  Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  
    These settings on this machine will remain intact.
In order to join a cluster over CCS, you must first log in to the cluster and tell it that this system is being added.  
    On a machine in the cluster, run "clusterconfig -> prepjoin -> new" with the following information and commit.
Host: ESA2.lab
Serial Number: XXXXXXXXXXXX-XXXXXA
User Key:
ssh-dss AAAAB3NzaC1kc3.......BrccM=

Choose the interface on which to enable the Cluster Communication Service:
1. ClusterInterface (10.1.1.2/24: ESA2.lab)
[1]> 1

Enter the port on which to enable the Cluster Communication Service:
[2222]

Enter the IP address of a machine in the cluster.
[]> 10.1.1.1

Enter the remote port to connect to.  This must be the CCS port on the machine "10.1.1.1", 
    not the normal admin ssh port.
[2222]>

    これが確認されると、SSH-DSSキーが表示されます。一致する場合は条件を受け入れることができ、クラスタは正常に参加します。

    クラスタ設定における移行対象

    クラスタ設定の移行:

    • ポリシー設定の構成
    • コンテンツ フィルタ
    • テキストリソース
    • コンテンツ辞書
    • LDAP設定
    • アンチスパムおよびアンチウイルス
    • グローバル設定
    • リスナーの設定
    • SMTPルートの設定
    • DNS設定

    クラスタ設定における移行対象外

    クラスタ設定は移行されません。

    • アプライアンスのローカルホスト名
    • 設定されたIPインターフェイス
    • ルーティングテーブルを設定しました。
    • ローカルスパム隔離の設定
    • ローカル ポリシー、ウイルスおよびアウトブレイク隔離設定
    • コマンドラインのwebsecurityadvancedconfigコマンドの設定(バージョン8.5以降) 
    note-icon

    :存在しない隔離を参照するコンテンツフィルタがある場合、参照されたポリシー隔離がマシンに設定されるまで、それらのフィルタは無効になります。

    ESAクラスタでのグループの設定方法

    特定のシナリオでは、クラスタ内の一部のESAが他のESAよりも特定の方法で動作することが必要になる場合があります。これを行うには、新しいクラスタを作成する必要がなく、グループの作成に進むことができます。

    note-icon

    :グループレベルで行われた設定は、クラスタレベルの設定よりも優先されます。

    グループを作成するには、ESA CLIからグループを作成します。設定を開始するには、clusterconfig —> ADDGROUPコマンドを使用します。

    (マシンesalab.cisco.com)> clusterconfig 

    このコマンドはクラスタモードに制限されています。  クラスターモードに切り替えますか?[Y]>

    クラスタCisco

    実行する操作を選択します。

    - ADDGROUP – クラスタグループを追加します。

    - SETGROUP – マシンが属するグループを設定します。

    - RENAMEGROUP – クラスタグループの名前を変更します。

    - DELETEGROUP – クラスタグループを削除します。

    - REMOVEMACHINE – クラスタからマシンを削除します。

    - SETNAME – クラスタ名を設定します。

    - LIST – クラスタ内のマシンを一覧表示します。

    - CONNSTATUS:クラスタ内のマシン間の接続のステータスを示します。

    - COMMUNICATION:マシンがクラスタ内で通信する方法を設定します。

    - DISCONNECT – クラスタからマシンを一時的に切断します。

    - RECONNECT – 以前に切断されたマシンとの接続を復元します。

    - PREPJOIN - CCSを介した新しいマシンの追加を準備します。

    []> ADDGROUP

    作成する新しいクラスタグループの名前を入力します。

    []> New_Group

    クラスタグループNew_Groupが作成されました。

    ESAを現在のクラスタから作成された新しいグループに追加するには、コマンドSETGROUP:

    (マシンesalab.cisco.com)> clusterconfig

    このコマンドはクラスタモードに制限されています。 クラスターモードに切り替えますか?[Y]>

    クラスタCisco

    実行する操作を選択します。

    - ADDGROUP – クラスタグループを追加します。

    - SETGROUP – マシンが属するグループを設定します。

    - RENAMEGROUP – クラスタグループの名前を変更します。

    - DELETEGROUP – クラスタグループを削除します。

    - REMOVEMACHINE – クラスタからマシンを削除します。

    - SETNAME – クラスタ名を設定します。

    - LIST – クラスタ内のマシンを一覧表示します。

    - CONNSTATUS:クラスタ内のマシン間の接続のステータスを示します。

    - COMMUNICATION:マシンがクラスタ内で通信する方法を設定します。

    - DISCONNECT – クラスタからマシンを一時的に切断します。

    - RECONNECT – 以前に切断されたマシンとの接続を復元します。

    - PREPJOIN - CCSを介した新しいマシンの追加を準備します。

    []> SETGROUP

    別のグループに移動するコンピューターを選択してください。  複数のマシンはカンマで区切ります。

    1. esalab.cisco.com (グループESA_Group)

    [1]> 1

    esalab.cisco.comがメンバーである必要があるグループを選択します。

    1. ESA_Group

    2. New_Group(新規グループ)

    [1] > 2

    esalab.cisco.comをグループNew_Groupに設定します。

    ESAクラスタ内の現在のグループの名前を変更するには、RENAMEGROUP:

    (マシンesalab.cisco.com)> clusterconfig

    このコマンドはクラスタモードに制限されています。 クラスターモードに切り替えますか?[Y]>

    クラスタCisco

    実行する操作を選択します。

    - ADDGROUP – クラスタグループを追加します。

    - SETGROUP – マシンが属するグループを設定します。

    - RENAMEGROUP – クラスタグループの名前を変更します。

    - DELETEGROUP – クラスタグループを削除します。

    - REMOVEMACHINE – クラスタからマシンを削除します。

    - SETNAME – クラスタ名を設定します。

    - LIST – クラスタ内のマシンを一覧表示します。

    - CONNSTATUS:クラスタ内のマシン間の接続のステータスを示します。

    - COMMUNICATION:マシンがクラスタ内で通信する方法を設定します。

    - DISCONNECT – クラスタからマシンを一時的に切断します。

    - RECONNECT – 以前に切断されたマシンとの接続を復元します。

    - PREPJOIN - CCSを介した新しいマシンの追加を準備します。

    []> RENAMEGROUP

    名前を変更するグループを選択します。

    1. ESA_Group

    2. New_Group(新規グループ)

    [1] > 2

    グループの新しい名前を入力します。

    [New_Group]> Cluster_Group

    グループNew_Groupの名前がCluster_Groupに変更されました。

    現在のグループをESAクラスタから削除するには、コマンドDELETEGROUPを使用します。

    (マシンesalab.cisco.com)> clusterconfig

    このコマンドはクラスタモードに制限されています。クラスターモードに切り替えますか?[Y]>

    クラスタCisco

    実行する操作を選択します。

    - ADDGROUP – クラスタグループを追加します。

    - SETGROUP – マシンが属するグループを設定します。

    - RENAMEGROUP – クラスタグループの名前を変更します。

    - DELETEGROUP – クラスタグループを削除します。

    - REMOVEMACHINE – クラスタからマシンを削除します。

    - SETNAME – クラスタ名を設定します。

    - LIST – クラスタ内のマシンを一覧表示します。

    - CONNSTATUS:クラスタ内のマシン間の接続のステータスを示します。

    - COMMUNICATION:マシンがクラスタ内で通信する方法を設定します。

    - DISCONNECT – クラスタからマシンを一時的に切断します。

    - RECONNECT – 以前に切断されたマシンとの接続を復元します。

    - PREPJOIN - CCSを介した新しいマシンの追加を準備します。

    []> DELETEGROUP

    削除するグループを選択します。

    1. Cluster_Group

    2. ESA_Group

    [1]> 1

    Cluster_Group内のマシンの移動先のグループを選択します。

    1. ESA_Group

    [1]> 1

    グループCluster_Groupが削除されました。

    note-icon

    注:クラスタでマシンを追加または削除すると、変更はコミットなしでアプライアンスに即座に適用されます。一方、ESAグループでは、それに関連するすべてのアクションがESAに適用されるのはコミット後だけです。

    関連情報

    更新履歴

    改定 発行日 コメント
    4.0
    05-May-2025
    スタイル要件、リンクターゲット、および書式を更新。
    3.0
    09-Apr-2024
    再認定
    1.0
    12-Dec-2016
    初版
    TAC Authored

    シスコ エンジニア提供

    • マシュー・フイン
      テクニカルコンサルティングエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています