ソフトウェアエージェントのアップグレード

UI からのエージェントのアップグレード

エージェントは、「ソフトウェアエージェントの設定」で説明されているエージェント設定インテントワークフローを使用してアップグレードできます。エージェント設定プロファイルの設定時に、有効または無効にできる [自動アップグレード(Auto Upgrade)] オプションがあります。オプションが有効になっている場合、インベントリフィルタ条件に一致するエージェントは、利用可能な最新バージョンに自動的にアップグレードされます。

[ソフトウェアエージェント(Software Agents)] > [エージェントリスト(Agent List)]ページで、古いバージョンのソフトウェアエージェントが強調表示され、[SWバージョン(SW Version)] 列の下に警告記号が表示されます。これらのエージェントをクラスタで利用可能な最新バージョンにアップグレードすることが重要です。

ソフトウェアエージェント設定インテントワークフローを使用してソフトウェアエージェントのアップグレードを設定するには、次の手順を実行します。

Procedure

Step 1

[インベントリフィルタ(Inventory Filters)] ページでインベントリフィルタを作成します。詳細については、「フィルタ」を参照してください。

Figure 1. インベントリフィルタ
インベントリフィルタ

Step 2

インベントリフィルタによって選択されたエージェント用のエージェント設定プロファイルを作成します。必要に応じて、[自動アップグレード(Auto Upgrade)] オプションを有効にして、選択したエージェントを自動的にアップグレードできます。

Figure 2. エージェント設定
エージェント設定

Step 3

インベントリフィルタを使用して選択されたエージェントに設定プロファイルを適用するためのエージェント設定インテントを作成します。自動アップグレードオプションが有効になっている場合、選択したエージェントは自動的にアップグレードされます。

通常、エージェントプロファイルがエージェントに適用された後、エージェントがアップグレードされるまでに最大 30 分かかります。

Figure 3. エージェント設定インテント
エージェント設定インテント

Note

 

デフォルトのエージェントプロファイルの自動アップグレード設定は、ERSPAN に適用されます。他のすべてのコネクタエージェントは、パッチリリースを含むクラスタのアップグレードがあるたびに自動にアップグレードされます。

エージェントの手動アップグレード

次のセクションでは、センサー設定インテントワークフローを使用せずに、エージェントを手動でアップグレードする方法について説明します。

Procedure

Step 1

左側のナビゲーションウィンドウで、[管理(Manage)] > [ワークロード(Workloads)] > [エージェント(Agents)] の順にクリックします。

Step 2

[アップグレード(Upgrade)] タブをクリックします。

詳細可視性エージェントと適用エージェントが表示され、エージェントごとに、アップグレード可能な新しいバージョンのみが一覧表示されます。デフォルトでは、最新バージョンが選択されています。

Step 3

特定のエージェントをフィルタ処理するには、フィルタボックスに検索クエリを入力します。たとえば、「Platform = CentOS-7.6」と入力します。

Step 4

選択したバージョンにアップグレードするエージェントを選択し、[アップグレード(Upgrade)] をクリックします。

Note

 

通常の状況では、エージェントに自動的にアップグレードさせることが強く推奨されます。これがサポートされている唯一のアップグレード方法です。最新バージョンを手動でダウンロードし、ワークロードで実行されているエージェントに直接展開することによってアップグレードを制御する場合は、必ず、安全上の注意事項に従ってください。

Kubernetes/Openshift エージェントの動作のアップグレード

daemonset インストーラスクリプトを使用して Kubernetes/Openshift ノードにインストールされたエージェントは、セルフアップグレードが可能です。アップグレードプロセスは、自動アップグレードオプションによって、または Kubernetes/Openshift クラスタ内の任意のノードに対してアップグレードを手動でトリガーすることによって制御されます。この環境でのアップグレードのメカニズムでは、daemonset 仕様で Docker イメージをアップグレードします。つまり、次の段落で説明するように、1 つのエージェントのアップグレードが、daemonset によってカバーされるすべてのエージェントに影響します。

Daemonset Pod 仕様が変更されると、Kubernetes/Openshift はグレースフルシャットダウンをトリガーし、新しい Docker イメージを取得して、Kubernetes/Openshift クラスタ内のすべてのノードで Secure Workload エージェントポッドを開始します。これにより、アップグレードを許可するポリシーがクラスタ内のノードのサブセットにのみ適用される場合でも、エージェントは他のノードでアップグレードされます。

すべてのノードで自動アップグレードが無効になっている場合は、新しいインストーラスクリプトをダウンロードしてインストールを再実行することにより、手動アップグレードが可能です。インストールスクリプトは、新しいインストールと既存のインストールのアップグレードの場合を自動検出し、インストール済みであることを検出すると、daemonset ポッドを手動でアップグレードするように機能します。

優れた可視性または適用 Linux エージェントの削除

RPM ベースのインストール

  1. コマンド rpm -e tet-sensor を実行します。

エージェントのアンインストールイベントがクラスタに通知され、[ソフトウェアエージェント(Software Agent)] ページでエージェントがアンインストール済みとしてマークされます。

[ソフトウェアエージェント(Software Agent)] ページの UI からエージェントを手動で削除します。また、ユーザーは、エージェント設定プロファイルから [クリーンアップ期間(cleanup period)] をオンにして、エージェントの自動クリーンアップまたは削除を有効にすることもできます。


Note

デフォルトでは、[クリーンアップ期間(cleanup period)] はオフになっています。

Ubuntu.deb ベースのインストール

Ubuntu エージェントの新規インストールでは、ネイティブの .deb 形式が使用されるようになりました。

  1. コマンド dpkg –purge tet-sensor を実行します。

エージェントのアンインストールイベントがクラスタに通知され、[ソフトウェアエージェント(Software Agent)] ページでエージェントがアンインストール済みとしてマークされます。

[ソフトウェアエージェント(Software Agent)] ページの UI からエージェントを手動で削除します。また、ユーザーは、エージェント設定プロファイルから [クリーンアップ期間(cleanup period)] をオンにして、エージェントの自動クリーンアップまたは削除を有効にすることもできます。


Note

  • デフォルトでは、[クリーンアップ期間(cleanup period)] はオフになっています。

  • エージェントの操作中に、カーネルによって一部のカーネルモジュールが自動的にロードされる可能性があります。たとえば、Linux で適用が有効になっている場合、Netfilter モジュールがロードされる可能性があります。エージェントには、カーネルによってロードされるモジュールのリストはないため、エージェントのアンインストール中に、カーネルモジュールをアンロードできない可能性があります。

  • 適用エージェントがシステムファイアウォールにポリシーを適用した場合、エージェントをアンインストールすると、適用されたポリシーがクリアされ、システムファイアウォールが開きます。
Figure 4. エージェントのアンインストールアラート

優れた可視性または適用 Windows エージェントの削除

Secure Workload エージェントをアンインストールするには、次の 2 つのオプションがあります。

Procedure

Step 1

[コントロールパネル(Control Panel)] > [プログラム(Programs)] > [プログラムと機能(Programs and Features)]に移動し、Cisco Secure Workload Agent をアンインストールします。

Step 2

または、ショートカット Uninstall.lnk を実行します。 

C:\Program Files\Cisco Tetration

Step 3

適用エージェントがシステムファイアウォールにポリシーを適用する場合、エージェントをアンインストールすると、適用されたポリシーがクリアされ、システムファイアウォールが開きます。

エージェントをアンインストールすると、クラスタ情報が更新されます。エージェントのステータスが [ソフトウェアエージェント(Software Agent)] ページで更新され、エージェントがアンインストール済みとしてマークされます。

[ソフトウェア エージェント(Software Agent)] ページの UI からエージェントを手動で削除します。また、ユーザーはエージェント構成プロファイルで [クリーンアップ期間(cleanup period)] をオンにして、エージェントの自動クリーンアップまたは削除を有効にすることもできます。

Note

 

デフォルトでは、[クリーンアップ期間(cleanup period)] はオフのままになります。

Note

 

  • エージェントのインストール中に Npcap をインストールした場合、エージェントのアンインストール中に Npcap もアンインストールされます。

  • デフォルトでは、ログファイル、設定ファイル、および証明書はアンインストール中に削除されません。それらを削除したい場合は、同じフォルダでショートカット UninstallAll.lnk を実行します。

Deep Visibility エージェントまたは Enforcement AIX エージェントのアンインストール

Procedure

ソフトウェア エージェントをアンインストールするには、次のコマンドを実行します。

installp -u tet-sensor

ソフトウェアエージェントがアンインストールされて UI で使用できなくなると、この情報がクラスタに送信され、エージェントは [ソフトウェア エージェント(Software Agent)] ページで [アンインストール済み(Uninstalled)] とマークされます。

UI からエージェントを削除するには、次の 2 つの方法があります。

  • [ソフトウェア エージェント(Software Agent)] ページから不要になったエージェントを直接削除します。さらに、次のコマンドを実行して、Tetration エージェントのインストール ディレクトリ /opt/cisco/tetration を削除できます。 

    rm -rf /opt/cisco/tetration

  • [エージェント構成プロファイル(Agent Configuration Profiles)] ページで クリーンアップ期間 を構成して、自動クリーンアップを有効にします。

Note

 

  • デフォルトで、[クリーンアップ期間(cleanup period)] はオフに設定されています。

  • システム リソース コントローラは、tet-sensor として Deep Visibility エージェントを制御します。起動、停止、再起動、削除が可能です。このサービスは、inittab を tet-sen-engine として使用して永続化されます。

  • システム リソース コントローラは、tet-enforcer として Enforcement エージェントを制御します。起動、停止、再起動、削除が可能です。このサービスは、inittab を tet-enf-engine として使用して永続化されます。

  • エージェント運用中、カーネルはいくつかのカーネル モジュールを自動的にロードする場合があります。たとえば、AIX で適用が有効になっている場合、ipfilter モジュールがロードされます。エージェントには、カーネルによってロードされるモジュールのリストはありません。エージェントのアンインストール中に、カーネル モジュールをアンロードできません。

  • 適用エージェントがシステム ファイアウォールにポリシーを適用した場合、エージェントをアンインストールすると、適用されたポリシーがクリアされ、システム ファイアウォールが開きます。

ユニバーサル Linux エージェントの削除

Procedure

Step 1

アンインストールスクリプト ‘/usr/local/tet-light/uninstall.sh‘ を実行します。

Step 2

[ソフトウェアエージェント(Software Agent)] ページの UI からエージェントを削除します。

ユニバーサル Windows エージェントの削除

Procedure

Step 1

アンインストールスクリプト ‘C:\Program Files\Cisco Tetration\Lightweight Sensor\uninstall.cmd‘ を実行します。

Step 2

[ソフトウェアエージェント(Software Agent)] ページの UI からエージェントを削除します。

適用 Kubernetes または OpenShift エージェントの削除

Procedure

Step 1

元のインストーラスクリプトを見つけるか、Secure Workload UI から新しいスクリプトをダウンロードします。

Step 2

アンインストールオプション install.sh –uninstall を実行します。インストール時と同じ考慮事項が適用されます。

  • Linux x86_64 アーキテクチャでのみサポートされます。

  • ~/.kube/config に含まれている管理者ユーザーログイン情報を使用するか、または –kubeconfig オプションを使用して kubectl 管理者ログイン情報ファイルを指定します。

Step 3

[ソフトウェアエージェント(Software Agent)] ページの UI からすべての Kubernetes ノードのエージェントを削除します。

優れた可視性 Solaris エージェントの削除

Procedure

Step 1

次のコマンドを実行します。

  • Solaris 11.4 の場合:pkg uninstall tet-sensor

  • Solaris 10 の場合:pkgrm -a /opt/cisco/secure-workload/noask.admin -n tet-sensor

Step 2

[ソフトウェアエージェント(Software Agent)] ページでエージェントを削除します。

リホームの有効化

Procedure

Step 1

左側のナビゲーションメニューで、[管理(Manage)] > [ワークロード(Workloads)] > [エージェント(Agents)] をクリックします。

Step 2

[エージェントリスト(Agent List)] タブをクリックします。

Step 3

メニューアイコンをクリックし、[エージェントのリホーム(Rehome Agents)] を選択します。

Figure 5. エージェントのリホーム(Rehome Agents)

Step 4

[エージェントのリホーム(Agent Rehoming)] ウィンドウで、次の詳細を入力します。

フィールド

説明

宛先範囲のアクティベーションキー(Destination Scope Activation Key)

  1. [管理(Manage)] > [ワークロード(Workloads)] > [エージェント(Agents)] に移動します。

  2. [インストーラ(Installer)] タブをクリックします。

  3. [従来のパッケージインストーラを使用した手動インストール(Manual install using classic packaged installers)] を選択します。

  4. [次へ(Next)] をクリックします。

  5. [エージェントのアクティベーションキー(Agent Activation Key)] をクリックします。

  6. [キー(Key)] の値をコピーし、[宛先範囲のアクティベーションキー(Destination Scope Activation Key)] フィールドに貼り付けます。

宛先センサーVIP(Destination Sensor VIP)

  1. [プラットフォーム(Platforms)] > [クラスタ設定(Cluster Configuration)] に移動します。

  2. [センサーVIP(Sensor VIP)] をコピーし、[宛先センサーVIP(Destination Sensor VIP)] フィールドに貼り付けます。

HTTPS プロキシ

アウトバウンド通信にプロキシを使用するためにエージェントで必要となる場合は、

プロキシドメインまたはアドレスを入力します。

宛先センサーCA証明書(Destination Sensor CA Cert)

  1. [プラットフォーム(Platforms)] > [クラスタ設定(Cluster Configuration)] に移動します。

  2. [センサーCA証明書のダウンロード(Download Sensor CA Cert)] をクリックします。

Figure 6. エージェントのリホームの有効化

Step 5

[エージェントのリホームの有効化(Enable Agent Rehomeing)] をクリックします。

設定が保存されます。[リホーム(Rehome)] ボタンが右上に表示されます。

リホームするエージェントの選択

Procedure

Step 1

エージェントを選択します。

Step 2

[リホーム(Rehome)] をクリックします。

Figure 7. リホームするエージェントの選択

Step 3

確認のために [はい(Yes)] をクリックします。

リホームの無効化


Note

複数のユーザーが SaaS との間でリホームする場合、サイト管理者は各テナントやアプライアンスを個別に移動する必要があります。移動するには、リホームを無効化して設定をクリアし、新しいユーザーのリホームを有効にします。

Procedure

Step 1

メニューアイコンをクリックし、[エージェントのリホーム(Rehome Agents)] を選択します。

Step 2

[エージェントのリホーム(Agent Rehomeing)] ウィンドウで、[エージェントのリホームの無効化(Disable Agent Rehomeing)] をクリックします。

Figure 8. エージェントのリホームの無効化(Disable Agent Rehoming)