優れた可視性と適用のための Linux エージェントのインストール

Linux エージェントをインストールするための要件と前提条件

  • サポートされているプラットフォームと要件」を参照してください。

  • エージェント サービスをインストールして実行するには、ルートまたは管理者権限が必要です。

  • エージェントとログファイルには、1 ギガバイトの記憶域が必要です。

  • ホストをモニタリングしているセキュリティ アプリケーションでセキュリティの除外を構成します。このアクションにより、セキュリティ これらのアプリケーションがエージェントのインストールやエージェントのアクティビティをブロッキングするのを防ぐために必要です。詳細については、「セキュリティの除外」を参照してください。

  • システムでは、エージェントがインストールされているホストに特別なユーザー tet-sensor を作成します。着脱可能な認証モジュール(PAM)またはセキュリティ拡張 Linux(SELinux)がホストで構成されている場合は、tet-sensor ユーザーに適切な権限を付与します。これらの権限は、tet-sensor プロセスを実行し、コレクタに接続するために必要です。代替のインストール ディレクトリを提供し、Security-Enhanced Linux(SELinux)が構成されている場合は、その場所で実行を許可するようにしてください。

  • AutoInstall(インストーラ スクリプト)方式でエージェントをインストールする場合、unzip コマンドを使用できるようにする必要があります。

Linux エージェントをインストールするためにサポートされている方法

優れた可視性と適用のために Linux エージェントをインストールする方法:

エージェント イメージ インストーラ方式を使用した Linux エージェントのインストール

Linux エージェントのインストールには、自動インストーラスクリプト方式を推奨します。イメージインストーラ方式を使用する具体的な理由がある場合は、この手動方式を使用します。

前提条件:

SaaS クラスタの場合、および複数のテナントがあるオンプレミスクラスタのデフォルト以外のテナントにエージェントをインストールしている場合は、user.cfg ファイルで ACTIVATION_KEY と HTTPS_PROXY を設定します。詳細については、(手動インストールのみ)ユーザー構成ファイルの更新を参照してください。(手動インストールのみ)ユーザー構成ファイルの更新

エージェントイメージ方式を使用して Linux エージェントをインストールするには、次の手順を実行します。

Procedure

Step 1

エージェントのインストール方式に移動するには、次の手順を実行します。

  • 初めてのユーザーの場合は、クイックスタートウィザードを起動し、[エージェントのインストール(Install Agents)] をクリックします。

  • ナビゲーションウィンドウで、[管理(Manage)] > [エージェント(Agents)]の順に選択し、[インストーラ(Installer)] タブを選択します。

Step 2

[エージェントイメージインストーラ(Agent Image Installer)] をクリックします。

Step 3

[プラットフォーム(Platform)] フィールドに、Linux と入力します。

Step 4

必要なエージェントタイプとエージェントのバージョンを入力し、結果から必要なバージョンのエージェントをダウンロードします。

Step 5

RPM パッケージを展開するためにすべての Linux ホストにコピーします。

Note

 

エージェントがすでにホストにインストールされている場合は、エージェントを再インストールしないでください。エージェントをアップグレードするには、「ソフトウェアエージェントのアップグレード」を参照してください。

Step 6

プラットフォームに基づいて、ルート権限で RPM コマンドを実行します。

  • RHEL/CentOS/Oracle プラットフォームの場合は、rpm -ivh <rpm_filename> コマンドを実行します。

  • Ubuntu プラットフォームの場合:

    • 依存関係リストを取得し、すべての依存関係が満たされていることを確認するために、rpm -qpR <rpm_filename> コマンドを実行します。

    • rpm -ivh \\--nodeps <rpm filename> コマンドを実行して、“–nodeps” オプションを使用してエージェントをインストールします。

エージェント スクリプト インストーラ方式を使用した Linux エージェントのインストール

優れた可視性および適用の Linux エージェントを展開するには、インストーラスクリプト方法をお勧めします。


Note

  • インストールされた Linux エージェントは、優れた可視性と適用の両方をサポートしています。

  • デフォルトでは、適用は無効になっています。適用を有効にするには、「エージェント設定プロファイルの作成」を参照してください。

スクリプトインストーラ方式を使用して Linux エージェントをインストールするには、次の手順を実行します。

Procedure

Step 1

エージェントのインストール方式に移動するには、次の手順を実行します。

  • 初めてのユーザーの場合は、クイックスタートウィザードを起動し、[エージェントのインストール(Install Agents)] をクリックします。

  • ナビゲーションウィンドウで、[管理(Manage)] > [エージェント(Agents)] の順にクリックし、[インストーラ(Installer)] タブを選択します。

Step 2

[エージェントスクリプトインストーラ(Agent Script Installer)] をクリックします。

Step 3

[プラットフォームの選択(Select Platform)] ドロップダウンリストから、[Linux] を選択します。

サポートされている Linux プラットフォームを表示するには、[サポートされているプラットフォームの表示(Show Supported Platforms)] をクリックします。

Step 4

エージェントをインストールするテナントを選択します。

Note

 

Cisco Secure Workload SaaS クラスタでは、テナントを選択する必要はありません。

Step 5

ワークロードにラベルを割り当てる場合は、ラベルキーを選択し、ラベル値を入力します。

インストールされたエージェントがホストで IP アドレスを報告すると、このホストによって報告された IP に割り当てられているアップロード済みの別の CMDB ラベルとともに、ここで選択されたインストーラ CMDB ラベルが新しい IP アドレスに自動的に割り当てられます。アップロード済みの CMDB ラベルとインストーラ CMDB ラベルの間で競合が発生した場合は、次のようになります。

  • 正確な IP アドレスに割り当てられたラベルは、サブネットに割り当てられたラベルよりも優先されます。

  • 正確な IP アドレスに割り当てられた既存のラベルは、インストーラの CMDB ラベルよりも優先されます。

Step 6

Cisco Secure Workload との通信に HTTP プロキシが必要な場合は、[はい(Yes)] を選択し、有効なプロキシ URL を入力します。

Step 7

[インストーラの有効期限(Installer expiration)] セクションで、オプションを選択します。

  • [有効期限なし(No expiration)]:インストーラスクリプトは何回も使用できます。

  • 1 回のみ:インストーラスクリプトは 1 回のみ使用できます。

  • 時間制限:インストーラスクリプトを使用できる日数を設定できます。

  • 展開数:インストーラスクリプトを使用できる回数を設定できます。

Step 8

[ダウンロード(Download)] をクリックし、ファイルをローカルディスクに保存します。

Step 9

Linux ホストでインストーラ シェル スクリプトをコピーし、chmod u+x tetration_installer_default_sensor_linux.sh コマンドを実行してスクリプトに実行権限を付与します。

Note

 

スクリプト名は、選択したエージェントのタイプと範囲によって異なる場合があります。

Step 10

エージェントをインストールするために、ルート権限で ./tetration_installer_default_sensor_linux.sh コマンドを実行します。

Note

 

エージェントがテナントにすでにインストールされている場合は、インストールを続行できません。

スクリプトの使用方法の詳細で指定されているように、事前チェックを実行することを推奨します。

Linux インストーラスクリプトの使用方法の詳細
bash tetration_linux_installer.sh [--pre-check] [--skip-pre-check=<option>] [--no-install] [--logfile=<filename>] [--proxy=<proxy_string>] [--no-proxy] [--help] [--version] [--sensor-version=<version_info>] [--ls] [--file=<filename>] [--save=<filename>] [--new] [--reinstall] [--unpriv-user] [--force-upgrade] [--upgrade-local] [--upgrade-by-uuid=<filename>] [--basedir=<basedir>] [--logbasedir=<logbdir>] [--tmpdir=<tmp_dir>] [--visibility] [--golden-image]
  --pre-check: run pre-check only
  --skip-pre-check=<option>: skip pre-installation check by given option; Valid options include 'all', 'ipv6' and 'enforcement'; e.g.: '--skip-pre-check=all' will skip all pre-installation checks; All pre-checks will be performed by default
  --no-install: will not download and install sensor package onto the system
  --logfile=<filename>: write the log to the file specified by <filename>
  --proxy=<proxy_string>: set the value of CL_HTTPS_PROXY, the string should be formatted as http://<proxy>:<port>
  --no-proxy: bypass system wide proxy; this flag will be ignored if --proxy flag was provided
  --help: print this usage
  --version: print current script's version
  --sensor-version=<version_info>: select sensor's version; e.g.: '--sensor-version=3.4.1.0'; will download the latest version by default if this flag was not provided
  --ls: list all available sensor versions for your system (will not list pre-3.1 packages); will not download any package
  --file=<filename>: provide local zip file to install sensor instead of downloading it from cluster
  --save=<filename>: download and save zip file as <filename>
  --new: remove any previous installed sensor
  --reinstall: reinstall sensor and retain the same identity with cluster; this flag has higher priority than --new
  --unpriv-user=<username>: use <username> for unpriv processes instead of tet-sensor
  --force-upgrade: force sensor upgrade to version given by --sensor-version flag; e.g.: '--sensor-version=3.4.1.0 --force-upgrade'; apply the latest version by default if --sensor-version flag was not provided
  --upgrade-local: trigger local sensor upgrade to version given by --sensor-version flag: e.g.: '--sensor-version=3.4.1.0 --upgrade-local'; apply the latest version by default if --sensor-version flag was not provided
  --upgrade-by-uuid=<filename>: trigger sensor whose uuid is listed in <filename> upgrade to version given by --sensor-version flag; e.g.: '--sensor-version=3.4.1.0 --upgrade-by-uuid=/usr/local/tet/sensor_id'; apply the latest version by default if --sensor-version flag was not provided
  --basedir=<base_dir>: instead of using /usr/local use <base_dir> to install agent. The full path will be <base_dir>/tetration
  --logbasedir=<log_base_dir>: instead of logging to /usr/local/tet/log use <log_base_dir>. The full path will be <log_base_dir>/tetration
  --tmpdir=<tmp_dir>: instead of using /tmp use <tmp_dir> as temp directory
  --visibility: install deep visibility agent only; --reinstall would overwrite this flag if previous installed agent type was enforcer
  --golden-image: install Cisco Secure Workload Agent but do not start the Cisco Secure Workload Services; use to install Cisco Secure Workload Agent on Golden Images in VDI environment or Template VM. On VDI/VM instance created from golden image with different host name, Cisco Secure Workload Services will work normally

Note

  • Ubuntu ではネイティブの .deb パッケージが使用されるため、新規インストールと再インストールを行うとこのパッケージタイプに切り替わります。以前のバージョンからのアップグレードには、引き続き .rpm パッケージが使用されます。

  • Ubuntu .deb パッケージは、/opt/cisco/tetration にインストールされています。

  • .deb パッケージの再配置はサポートされていません。そのため、Ubuntu では –basedir オプションはサポートされていません。

Linux エージェントをインストールするためにサポートされている方法

優れた可視性と適用のために Linux エージェントをインストールする方法:

NVIDIA Bluefield ネットワーク プラットフォームのエージェントサポート

データ処理ユニット(DPU)は、データ転送、電力最適化、セキュリティ、圧縮、分析、暗号化などのデータ中心のタスクを管理するように設計されたプログラム可能なプロセッサです。

NVIDIA DPU は、優れたネットワークパフォーマンスを備えたスマート ネットワーク インターフェイス カード(SmartNic)です。高速イーサネット NIC 機能を提供し、NIC 自体でソフトウェアを直接実行できるため、NIC を通過するネットワークトラフィックの傍受、モニタリング、および操作ができます。

NVIDIA は、DOCA ソフトウェア開発キット(SDK)の提供を通じて機能を促進します。PCIe Single Root I/O Virtualization(SR-IOV)に基づく仮想化テクノロジーを活用して、DPU は仮想マシン(VM)がハイパーバイザを介さずに直接通信するためのメカニズムを確立します。DPU には、ネットワーク制御用の OpenVSwitch ベースのハードウェア アクセラレーション eSwitch が組み込まれており、全体的な効率が向上します。

要件および前提条件

  • Ubuntu 22.04 ベースの DOCA が BlueField ネットワーキング プラットフォームにインストールされていることを確認します。

  • アウトオブバンド インターフェイスの 1 つを介してエージェントがクラスタに接続できるように、DPU カードネットワークを設定します。オプションには、oob_net0、tmfifo_net0、または enp3s0f0s0 経由のインバンド接続が含まれます。

エージェントのインストール

インストールでは、Linux に似たプロセスを実行します。

  1. エージェントのインストール方式に移動するには、次の手順を実行します。

    • 初めてのユーザーの場合は、クイックスタートウィザードを起動し、[エージェントのインストール(Install Agents)] をクリックします。

    • ナビゲーションウィンドウで、[管理(Manage)] > [ワークロード(Workloads)] > [エージェント(Agents)] の順に選択します。

  2. [インストーラ(Installer)] タブで、[エージェント スクリプト インストーラ(Agent Script Installer)] をクリックします。

  3. [プラットフォームの選択(Select Platform)] ドロップダウンリストから、[Linux] を選択します。

    サポートされている Linux プラットフォームを表示するには、[サポートされているプラットフォームの表示(Show Supported Platforms)] をクリックします。


    Note

    Cisco Secure Workload エージェントは、Ubuntu 22 ベースの DOCA ソフトウェア開発キット(SDK)でのみサポートされています。

  4. エージェントをインストールするテナントを選択します。


    Note

    Cisco Secure Workload SaaS クラスタでは、テナントを選択する必要はありません。

  5. (オプション)ワークロードにラベルを割り当てる場合は、ラベルキーを選択し、ラベル値を入力します。

  6. Cisco Secure Workload との通信に HTTP プロキシが必要な場合は、[はい(Yes)] をクリックし、有効なプロキシを入力します。

  7. [インストーラの有効期限(Installer expiration)] セクションで、利用可能なオプションを 1 つ選択します。

    • [有効期限なし(No expiration)]:インストーラスクリプトは何回も使用できます。

    • [1回のみ(One time)]:インストーラスクリプトは 1 回のみ使用できます。

    • [時間制限(Time-bound)]:インストーラスクリプトを使用できる日数を設定できます。

    • [展開数(Number of deployments)]:インストーラスクリプトを使用できる回数を設定できます。

  8. [ダウンロード(Download)] をクリックし、いずれかのネットワークデバイスを使用して Linux インストーラスクリプトを DPU にダウンロードします。

  9. インストーラスクリプトを実行します。詳細については、「エージェント スクリプト インストーラ方式を使用した Linux エージェントのインストール」を参照してください。

    Figure 1. インストールスクリプト

[ソフトウェアエージェント(Software Agents)] > [エージェントリスト(Agent List)] の順に選択し、[ホスト名(Hostname)] をクリックします。[インターフェイス(Interfaces)] で、関連付けられた IP アドレスがあるインターフェイスの現在のマッピングを確認できます。

Figure 2. インターフェイス マッピング

仮想マシン(VM)が DPU によって提供される SR_IOV 仮想ネットワーク インターフェイスを使用している場合は、[Investigate] > [トラフィック(Traffic)] の順に選択して、仮想マシン(VM)間のネットワークトラフィックをモニターします。DPU 上のエージェントは、それらの仮想ネットワーク インターフェイス間のネットワークトラフィックのセグメンテーションを可能にします。

Linux エージェントのインストールの確認

Procedure

sudo rpm -q tet-sensor sudo rpm -q tet-sensor コマンドを実行します。 

sudo rpm -q tet-sensor
出力として単一のエントリが表示され、Linux エージェントがホストにインストールされていることを確認できます。

出力例:tet-sensor-3.1.1.50-1.el6.x86_64

指定された出力は、プラットフォームとアーキテクチャによって異なる場合があります。