• 使用されるセキュリティトークン（アクセスキーと秘密鍵）には、オーケストレータ情報の取得を許可する適切な種類の IAM 権限が必要です。

• 前述の構成フィールドを入力した AWS オーケストレータを構成します。

Cisco Secure Workload は、次のラベルをすべての AWS インスタンスに追加します。

次のラベルはインスタンス固有です。

• AWS リージョンと可用性ゾーンを混同する。

  これらの値は両方とも相互に関連しているため、混同しないでください。たとえば、us-west-1 がリージョンの場合、可用性ゾーンは us-west-1a、us-west-1b などになります。オーケストレータを構成するときは、リージョンを使用する必要があります。すべてのリージョンについては、https://docs.aws.amazon.com/general/latest/gr/rande.html [英語] を参照してください。

• オーケストレータ構成を更新した後の接続およびクレデンシャルの問題。

  ユーザーは、設定が更新されるたびに AWS シークレットキーを再送信する必要があります。

• サポートされている Kubernetes および OpenShift バージョンについては、https://www.cisco.com/go/secure-workload/requirements/integrationsを参照してください。

• Secure Connector トンネル（接続に必要な場合）。

次の設定フィールドは、オーケストレータオブジェクトの Kubernetes オーケストレータ設定に関連します。

ゴールデン ルール オブジェクトの属性については、以下を参照してください。ゴールデンルールを使用することで、Kubernetes クラスタノードで適用が有効になった後も、Kubernetes クラスタが機能し続けるために必要なルールの仕様を簡潔に作成できます。

kubelet ポートは、Kubernetes 管理デーモンから kubelet へのトラフィック（ライブログ、インタラクティブモードのポッドの実行など）を許可するポリシーを作成するために必要です。さまざまな Kubernetes サービスとデーモン間の重要な接続は、一連のサービスとして指定され、各サービス配列のエントリには次の構造があります。

• 説明：サービスを説明する文字列

• アドレス：<IP>:<port>/<protocol> 形式のサービス エンドポイント アドレスのリスト 。

• コンシューマ：エンドポイントのコンシューマのリスト（許可される値はポッドまたはノード）。

（注）	タイプとして [Kubernetes] が選択されている場合、ゴールデンルール構成が許可されます。

• 必要に応じて、Secure Workload クラスタから Kubernetes API サーバー（複数可）への接続用に Secure Connector トンネルを構成します。

• 前述の構成フィールドを入力した Kubernetes オーケストレータを構成します。

• Kubernetes オーケストレータのゴールデンルールを設定します。

Kubernetes クライアントは、次のリソースを GET/LIST/WATCH しようとします。管理キー/証明書または管理サービスアカウントを構成しないことを強くお勧めします。

指定する Kubernetes 認証の資格情報には、次のリソースに対する最小限の権限セットが必要です。

基本的に、これらの最小限の権限を使用して、Kubernetes サーバーに特別なサービスアカウントを作成できます。このサービスアカウントの作成を容易にする kubectl コマンドのシーケンスの例を以下に示します。clusterrole（role ではない）と clusterrolebindings（rolebindings ではない）を使用することに注意してください。これらはクラスタ全体のロールであり、名前空間ごとのロールではありません。role/rolebinding の使用は、機能しません。これは、Secure Workload がすべての名前空間からのデータ取得を試行するためです。

$ kubectl create serviceaccount csw.read.only

clusterrole を作成します。

最小限の権限を持つ clusterrole.yaml の例を以下に示します。

    kind: ClusterRole
    apiVersion: rbac.authorization.k8s.io/v1
    metadata:
      name: csw.read.only
    rules:
      - apiGroups:
        - ""
        resources:
          - nodes
          - services
          - endpoints
          - namespaces
          - pods
          - replicationcontrollers
          - ingresses
        verbs:
          - get
          - list
          - watch
      - apiGroups:
        - extensions
        - networking.k8s.io
        resources:
          - ingresses
        verbs:
          - get
          - list
          - watch
      - apiGroups:
        - apps
        resources:
          - replicasets
          - deployments
          - statefulsets
          - daemonsets
        verbs:
          - get
          - list
          - watch
      - apiGroups:
        - batch
        resources:
          - jobs
          - cronjobs
        verbs:
          - get
          - list
          - watch

    $ kubectl create -f clusterrole.yaml

（注）	これらのさまざまなリソースの API グループは、Kubernetes のバージョン間の変更の影響を受ける場合があります。上記のサンプルは Kubernetes バージョン 1.20 ～ 1.24 で動作しますが、他のバージョンではいくつかの調整が必要になる場合があります。

クラスタロールバインドの作成

$ kubectl create clusterrolebinding csw.read.only --clusterrole=csw.read.
˓→only --serviceaccount=default:csw.read.only

serviceaccount から認証トークンシークレットを取得し（GUI の [認証トークン（Auth Token）] フィールドで使用）、base64 からデコードするために、yaml 出力で serviceaccount をリストして、シークレットの名前を取得できます。

  $ kubectl get serviceaccount -o yaml csw.read.only
  apiVersion: v1
  kind: ServiceAccount
  metadata:
    creationTimestamp: 2020-xx-xxT19:59:57Z
    name: csw.read.only
    namespace: default
    resourceVersion: "991"
    selfLink: /api/v1/namespaces/default/serviceaccounts/e2e.minimal
    uid: ce23da52-a11d-11ea-a990-525400d58002
  secrets:
  - name: csw.read.only-token-vmvmz

yaml 出力モードでシークレットをリストすると、トークンが生成されますが、Base64 形式となります（シークレットデータに対する標準の Kubernetes 手順）。Secure Workload は、この形式のトークンを受け入れないため、Base64 からデコードする必要があります。

  $ kubectl get secret -o yaml csw.read.only-token-vmvmz
  apiVersion: v1
  data:
    ca.crt: ...
    namespace: ZGVmYXVsdA==
    token: ZXlKaGJHY2lPaUpTVX....HRfZ2JwMVZR
  kind: Secret
  metadata:
    annotations:
      kubernetes.io/service-account.name: csw.read.only
      kubernetes.io/service-account.uid: ce23da52-a11d-11ea-a990-525400d58002
    creationTimestamp: 2020-05-28T19:59:57Z
    name: csw.read.only-token-vmvmz
    namespace: default
    resourceVersion: "990"
    selfLink: /api/v1/namespaces/default/secrets/csw.read.only-token-vmvmz
    uid: ce24f40c-a11d-11ea-a990-525400d58002
  type: kubernetes.io/service-account-token

  $ kubectl get secret csw.read.only-token-vmvmz --template "{{ .data.token }}" | base64 -d

この認証トークンは、Secure Workload UI で Kubernetes オーケストレータを構成するために、ユーザー名/パスワードまたはキー/証明書の代わりに使用できます。

「EKS 固有の RBAC 考慮事項」を参照してください。

「Kubernetes クラスタに関連するラベル」を参照してください。

• クライアントキーや証明書ログイン情報の解析または不一致

  これらは PEM 形式で提供し、kubectl.conf ファイルからの正しいエントリである必要があります。お客様が CA 証明書をクライアント証明書フィールドに貼り付けたり、キーと証明書が互いに一致していないことがありました。

• GKE 認証情報の代わりに gcloud 認証情報

  gcloud CLI で GKE を使用しているお客様が、GKE クラスタの認証情報が必要な場合に、誤って gcloud 認証情報を提供します。

• Kubernetes クラスタのバージョンがサポートされていません

  互換性のないバージョンの Kubernetes を使用すると、エラーが発生する可能性があります。Kubernetes のバージョンが、サポートされているバージョンのリストにあることを確認してください。

• 資格情報に十分な権限がありません

  使用されている認証トークンや、ユーザーまたはクライアントのキー/証明書に、上記の表にリストされているすべての権限があることを確認します。

• Kubernetes インベントリが変動し続けています

  hosts_list フィールドは、同じ Kubernetes クラスタの API サーバーのプールを指定します。これを使用して複数の Kubernetes クラスタを設定することはできません。Secure Workload は稼働状態を調べ、これらのエンドポイントの 1 つをランダムに選択して接続し、Kubernetes インベントリ情報を取得します。ここではロードバランシングは実行されず、これらのエンドポイント間で負荷が均等に分散される保証もありません。これらが異なるクラスタである場合、どのクラスタの API サーバーに接続するかに応じて、Kubernetes インベントリはそれらのクラスタ間を切り替え続けます。

• 複数の認証方式

  複数の認証方式（ユーザー名またはパスワード、認証トークン、クライアントキーまたは証明書）が設定中に入力される場合があり、API サーバーとの間で確立されたクライアント接続で使用されます。ここでは、有効な同時認証方式に対する標準の Kubernetes ルールが適用されます。

• SSL 証明書の検証失敗

  Kubernetes API エンドポイントが NAT またはロードバランサの背後にある場合、kube コントロールプレーンノードで生成された SSL 証明書の DN が、Cisco Secure Workload で設定された IP アドレスと一致しない場合があります。これにより、CA 証明書が提供され、有効であっても、SSL 検証が失敗します。Insecure ノブは厳密なサーバー SSL 証明書の検証をバイパスするため、この問題を回避するのに役立ちますが、MITM の問題につながる可能性があります。これに対する正しい修正は、CA 証明書を変更して、Kubernetes クラスタへの接続に使用できるすべての DNS または IP エントリに SAN（サブジェクト代替名）エントリを指定することです。

• 接続に必要な場合、Secure Connector トンネル。

• サポートされている vCenter バージョンが 6.5 以降であること

• vCenter 統合を正常に機能させるには、少なくとも読み取り専用権限が必要です。また、vCenter のすべてのオブジェクトとその子にアクセスできるように、読み取り専用権限を設定するときに [子への伝播（Propagate to children）] オプションを選択していることを確認してください。

「外部オーケストレータの作成」で説明されている共通の設定フィールドのほかに、次のフィールドを設定できます。

• [ホストリスト（Hosts List）] は、ベアメタル/VM 属性がフェッチされる vCenter サーバーを指すホスト名/IP とポートのペアの配列です。

• ユーザーは Secure Workload クラスタから該当 IP やポートを使用して vCenter サーバーにアクセスできることを最初に確認する必要があります。

• TaaS の場合、または vCenter サーバーに直接アクセスできない場合、ユーザーはセキュアなコネクタトンネルを確立して接続を提供する必要があります。

Cisco Secure Workload は、vCenter サーバーから学習したすべての VM に次のラベルを追加します。

次のラベルはインスタンス固有です。

• vCenter 用の外部オーケストレータ構成が追加されると、Secure Workload ソフトウェアはホストリストで指定された vCenter サーバーに接続します。サーバーへの接続が成功すると、Secure Workload ソフトウェアは、vCenter サーバーに存在するすべてのベアメタルと仮想マシンのホスト名、IP アドレス、およびカテゴリ/ラベルをインポートします。ベアメタルと VM のホスト名と IP アドレスをインポートするには、すべてのベアメタルと VM に VM ツールをインストールする必要があります。特定のベアメタル/仮想マシンに VM ツールがインストールされていない場合、Secure Workload ソフトウェアはその特定のベアメタル/VM のカテゴリ/ラベルを表示しません。

• Cisco Secure Workload ソフトウェアは、ベアメタル/VM のカスタム属性をインポートしません。

• vCenter サーバーの負荷を軽減するために、[デルタ（Delta）] インターバルタイマーを 10 分以上に設定することをお勧めします。上記のタイマーが変更されると、vCenter サーバー上のインベントリ/ラベルに変更がある場合に、少なくとも 10 分の伝播遅延が発生します。

• 接続の問題

  Secure Workload アプライアンスが vCenter サーバーに接続または到達できない場合、外部オーケストレータの [接続ステータス（Connection Status）] タブに、適切なエラー（エラーがある場合）とともに障害ステータスが表示されます。

• Cisco Secure Workload ソフトウェアのヘルスチェック。

  [メンテナンス/サービスステータス（MAINTENANCE/Service Status）] ページをチェックして、サービスが停止していないか確認します。OrchestratorInventoryManager が稼働しているか確認します。

• セキュアコネクタトンネル（接続に必要な場合）

• サポートされている DNS サーバー：BIND9、AXFR（RFC 5936）をサポートするサーバー、Microsoft Windows Server 2016

• [DNSゾーン（DNS zones）] は文字列配列であり、各文字列は DNS サーバーから転送される DNS ゾーンを表します。すべての DNS ゾーンには、末尾にピリオド（「.」）の文字が必要です。

• [ホストリスト（Hosts List）] はホスト名/IP とポートのペアの配列であり、DNS レコードを取得する DNS サーバーを指します。ここでは、HA のみを目的として複数の DNS サーバーを構成できます。hosts_list で複数の DNS サーバーが指定された場合、高可用性では「最初の正常なサーバー」が使用されます。hosts_list のエントリの先頭から順に優先されます。ゾーンを DNS サーバー間で分割することはできません。

• まず、ユーザーは、Secure Workload クラスタから該当 IP/ポートで DNS サーバーに到達可能なことを確認する必要があります。

• TaaS の場合、または DNS サーバーに直接到達できない場合、ユーザーは安全なコネクタトンネルを設定して接続を提供する必要があります。

• DNS サーバーで正しい DNS ゾーン転送 ACL または構成を設定します。詳細については、個別の DNS サーバーソフトウェアのマニュアルを参照してください。

orchestrator_system/dns_name -> その値がすべてその IP を示す CNAME および A/AAAA ホスト名である複数の値フィールド。

• DNS オーケストレータフィードはメタデータフィードです。DNS ゾーン転送から学習された IP アドレスによって Cisco Secure Workload にインベントリアイテムが作成されることはありません。代わりに、既存の IP アドレスのラベルが新しい DNS メタデータで更新されます。不明な IP の DNS データは、警告なしで破棄されます。センサー統合または他のオーケストレータ統合を介して学習されていない IP の DNS メタデータに注釈を付けるには、CMDB 一括アップロードメカニズムを使用して IP をアップロードし、IP のインベントリエントリを作成する必要があります。CMDB アップロードから学習されたサブネットによって、インベントリエントリが作成されることはありません。

• DNS サーバーからの CNAME レコードと A/AAAA レコードのみが処理されます。CNAME レコードは、それらが指す A/AAAA レコードを介して最終的な IPv4/IPv6 レコードに処理されます。CNAME が同じオーケストレータからの A/AAAA レコードを指している限り、単一レベルの参照のみがサポートされます（つまり、CNAME -> CNAME -> A/AAAA やそれ以上のチェーンは参照されません）。異なる DNS オーケストレータ間での CNAME 参照はサポートされていません。

• 接続の問題

  Cisco Secure Workload は、Secure Workload アプライアンスサーバーの 1 つから、または TaaS の場合はクラウドから、または Secure Workload Secure Connector VPN トンネルサービスをホストしている VM から発信される TCP 接続を使用して、指定された IP/ホスト名とポート番号への接続を試みます。この接続を正しく確立するには、このトラフィックを許可するようにファイアウォールを構成する必要があります。

• DNS AXFR 特権の問題

  さらに、ほとんどの DNS サーバー（BIND9 または Windows DNS または Infoblox）では、クライアント IP が DNS ゾーン転送（DNS プロトコルのオペコードによる AXFR 要求）を試みるときに、追加の設定が必要になります。これは、個々の DNS レコードを解決するためのシンプルな DNS 要求と比べて、必要なリソース消費量と特権がより多くなるためです。これらのエラーは、通常、AXFR が理由コード 5（REFUSE）で拒否されたときに表示されます。

  したがって、DNS サーバーが正しく設定されていることを確認するための手動テストは、ホスト名ルックアップが成功したかによるのではなく、（dig などのツールを使用して）具体的な AXFR 要求をテストする必要があります。

  DNS サーバーからの AXFR ゾーン転送の実行に失敗すると、Secure Workload アプライアンスによって「authentication_failure_error」フィールドで報告されます。

  また、Secure Workload は、設定されたすべての DNS ゾーンからのゾーン転送を試みますが、DNS データを Secure Workload ラベルデータベースに挿入するためには、そのすべてが成功する必要があることに注意してください。

• インベントリの [ホスト名（Hostname）] フィールドは [DNS] フィールドによって入力されず、「hostname」は常に Secure Workload センサーから学習されます。インベントリがセンサーからではなく、CMDB アップロードを介してアップロードされた場合、ホスト名が欠落している場合があります。DNS オーケストレータ ワークフローからのすべてのデータは、「orchestrator_system/dns_name」ラベルの下にのみ表示され、ホスト名フィールドに入力されることはありません。

デフォルトのフルスナップショット間隔は 24 時間です

デフォルトの差分スナップショット間隔は 60 分です

デフォルトの間隔は、各タイマーの最小許容値でもあります。

DNS レコードはほとんど変更されないため、最適なフェッチ動作のために、Secure Workload は差分スナップショット間隔ごとに、いずれかの DNS ゾーンのシリアル番号が前の間隔から変更されているかチェックします。ゾーンが変更されていない場合、アクションは必要ありません。

いずれかのゾーンが変更された場合は、構成されているすべての DNS ゾーン（変更された単一のゾーンだけでなく）からゾーン転送を実行します。

Secure Workload は、完全なスナップショット間隔ごとに、ゾーンのシリアル番号が変更されたかどうかに関係なく、すべてのゾーンからゾーン転送ダウンロードを実行して、ラベルデータベースに挿入します。

• WAPI バージョン 2.6、2.6.1、2.7、2.7.1 をサポートする Infoblox REST API エンドポイント（推奨）

「外部オーケストレータの作成」で説明されている共通の設定フィールドのほかに、次のフィールドを設定できます。

（注）	Infoblox 外部オーケストレータの場合、IPv4 および IPv6（デュアルスタックモード）アドレスがサポートされます。ただし、デュアルスタックのサポートはベータ版の機能であることに注意してください。

• まず、ユーザーは、Secure Workload クラスタから Infoblox REST API エンドポイントに到達できることを確認する必要があります。

• TaaS の場合、または Infoblox サーバーに直接到達できない場合、ユーザーは Secure Connector トンネルを設定して接続を可能にする必要があります。

• Infoblox タイプの外部オーケストレータを作成します。Infoblox データの量（サブネット、ホスト、および A/AAAA レコードの数）によっては、最初の完全なスナップショットが Cisco Secure Workload で使用可能になるまでに最大 1 時間かかります。

• Infoblox 設定の際に、ユーザーはいずれかのレコードタイプ（サブネット、ホスト、A/AAAA レコード）の選択を解除することもできます。

Cisco Secure Workload は、Infoblox から取得したすべてのオブジェクトに次のシステムラベルを追加します。

すべての Infoblox 拡張可能属性は、プレフィックス orchestrator_ の付いた Secure Workload ラベルとしてインポートされます。たとえば、Department という拡張可能属性を持つホストは、Secure Workload のインベントリ検索で orchestrator_Department としてアドレス指定できます。

• Infoblox からインポートできるサブネットの最大数は 50000 です。

• Infoblox からインポートできるホストと A/AAAA レコードの最大数は、合計で 400000 です。

• 接続の問題：Secure Workload は、Secure Workload アプライアンスサーバーの 1 つから、または TaaS の場合はクラウドから、または Secure Workload セキュア コネクタ トンネル サービスをホストしている VM から、HTTPS 接続を使用して、指定された IP/ホスト名とポート番号に接続しようとします。この接続を正しく確立するには、このトラフィックを許可するようにファイアウォールを構成する必要があります。また、指定されたクレデンシャルが正しいこと、および REST API 要求を Infoblox に送信するための権限があることを確認してください。

• すべての予期されるオブジェクトがインポートされない：Secure Workload ではサブネット、ホスト、および拡張可能な属性が添付された A/AAAA レコードのみがインポートされます。Infoblox からインポートできるオブジェクトの数には制限があることに注意してください（「注意事項」を参照）。

• インベントリでサブネットが見つからない：Secure Workload インベントリは設計上 IP アドレスのみが含まれているため（ホストや A/AAAA レコードなど）、インベントリ検索を使用して Infoblox サブネットを見つけることはできません。

• ホストまたは A/AAAA レコードが見つからない：Secure Workload は Infoblox から取得したすべての拡張可能属性をインポートします。たとえば、インベントリ検索でプレフィックス orchestrator_ を拡張可能な属性名に追加してください。サブネットの拡張可能属性は、Infoblox で継承とマークされていない場合、ホストの一部ではないため、Cisco Secure Workload で検索できないことに注意してください。

• セキュアコネクタトンネル（接続に必要な場合）

• F5 BIG-IP REST API エンドポイントバージョン 12.1.1

「外部オーケストレータの作成」で説明されている共通の設定フィールドのほかに、次のフィールドを設定できます。

• まず、ユーザーは、Cisco Secure Workload から F5 BIG-IP REST API エンドポイントに到達できることを確認する必要があります。

• TaaS の場合、または F5 BIG-IP アプライアンスに直接到達できない場合、ユーザーは Secure Connector トンネルを設定して接続を可能にする必要があります。

• F5 BIG-IP タイプの外部オーケストレータを作成します。

• 差分間隔の値によっては、F5 BIG-IP 仮想サーバーの最初の完全スナップショットが完了するまでに最大 60 秒（デフォルトの差分間隔）かかる場合があります。その後、生成されたラベルを使用して、Secure Workload の範囲と適用ポリシーを作成できます。

Cisco Secure Workload は、F5 BIG-IP の外部オーケストレータに次のシステムラベルを追加します。

外部オーケストレータは、仮想サーバーごとに次のラベルを生成します。

この機能により、Secure Workload は、ラベル付きの F5 BIG-IP 仮想サーバーに一致するプロバイダーグループの論理ポリシーを F5 BIG-IP セキュリティポリシールールに変換し、それらのルールを REST API を使用してロード バランサ アプライアンスに展開できます。前述のように、それぞれの F5 BIG-IP 仮想サーバーへの既存のセキュリティポリシーの割り当ては、Secure Workload によって生成されたセキュリティポリシーを指す新しい割り当てに置き換えられます。既存のセキュリティポリシーが変更されたり、F5 BIG-IP ポリシーリストから削除されたりすることはありません。

デフォルトでは、適用は外部オーケストレータ設定では有効になっていません。

このオプションは、必要に応じていつでも変更できます。

適用を有効にしても、ロードバランサに適用される少なくとも 1 つのポリシーを含むワークスペースで適用を有効にするまで、ロード バランサ アプライアンスにポリシーは展開されません。または、インベントリの更新に起因する場合もあります。

ただし、オーケストレータの適用を無効にすると、展開されたすべてのセキュリティポリシールールが F5 BIG-IP ロードバランサからすぐに削除されます。

（注）	F5 BIG-IP のオーケストレータも、セキュリティポリシールールの逸脱を検出し、Secure Workload ポリシーに置き換えます。そのため、仮想サーバーに対するポリシーの変更は、すべて Secure Workload を使用して行う必要があります。 ポリシーの適用が停止されるか、外部オーケストレータが削除されると、すべての Secure Workload ポリシーが F5 BIG-IP ロードバランサから削除されるため、仮想サーバーのセキュリティポリシーは空になります。

外部オーケストレータの OpenAPI ポリシー適用ステータスを使用して、外部オーケストレータに関連付けられたロード バランサ アプライアンスへの Secure Workload ポリシー適用のステータスを取得できます。この機能は、F5 BIG-IP アプライアンスへのセキュリティポリシールールの展開が成功したかどうかを確認するのに役立ちます。

• F5 BIG-IP HA モードの展開フェーズ中に、構成同期オプションを有効にしてください。有効にすると、外部オーケストレータが、現在接続しているホストから仮想サーバーの最新リストをフェッチできます。

• F5 BIG-IP HA 展開モードの場合、SNAT プールの代わりに Auto-Map がアドレス変換用に構成されている場合は、プライマリ BIG-IP がフローティングセルフ IP アドレスで構成されていることを確認してください。

• 単一のアドレスとして指定された VIP のみがサポートされています。つまり、サブネットとして指定された VIP はサポートされていません。

• 接続の問題 Secure Workload は、Secure Workload アプライアンスサーバーの 1 つから、または TaaS の場合はクラウドから、または Secure Workload Secure Connector トンネル サービスをホストしている VM から、HTTPS 接続を使用して、指定された IP/ホスト名とポート番号に接続しようとします。この接続を正しく確立するには、このトラフィックを許可するようにファイアウォールを構成する必要があります。また、指定されたクレデンシャルが正しいこと、および F5 BIG-IP アプライアンスに REST API 要求を送信するための読み取りおよび書き込みアクセス権限があることを確認してください。

• セキュリティルールが見つからない定義された仮想サーバーのセキュリティルールが見つからない場合は、ポリシー適用の実行後に、対応する仮想サーバーが有効になっていることを確認してください。そのサーバーの可用性やステータスが使用可能/有効になっている必要があります。

• セキュアコネクタトンネル（接続に必要な場合）

• Netscaler REST API エンドポイントバージョン 12.0.57.19

「外部オーケストレータの作成」で説明されている共通の設定フィールドのほかに、次のフィールドを設定できます。

• まず、ユーザーは、Secure Workload クラスタから Netscaler REST API エンドポイントに到達できることを確認する必要があります。

• TaaS の場合、または Netscaler アプライアンスに直接到達できない場合、ユーザーは Secure Connector トンネルを設定して接続を提供する必要があります。

• タイプが Citrix Netscaler の外部オーケストレータを作成します。

• デルタ間隔の値によっては、Netscaler 仮想サーバーの最初の完全スナップショットが完了するまでに最大 60 秒（デフォルトのデルタ間隔）かかる場合があります。その後、生成されたラベルを使用して、Secure Workload の範囲と適用ポリシーを作成できます。

• Secure Workload からポリシーを適用して、Netscaler ACL ルールを展開します。

Cisco Secure Workload は、Citrix NetScaler の外部オーケストレータに次のシステムラベルを追加します。

負荷分散仮想サーバーごとに、外部オーケストレータは次のラベルを生成します。

この機能により、Secure Workload は、ラベル付きの Citrix Netscaler 仮想サーバーに一致するプロバイダーグループの論理ポリシーを Citrix Netscaler ACL ルールに変換し、それらのルールを REST API を使用してロード バランサ アプライアンスに展開できます。前述のように、すべての既存の ACL ルールは、Secure Workload によって生成されたポリシールールに置き換えられます。

デフォルトでは、以下の図に示すように、[オーケストレータの作成（Create Orchestrator）] ダイアログで、[適用の有効化（Enable Enforcement）] フィールドはオンになっておらず、適用は無効化されています。

指定されたチェックボックスをクリックするだけで、オーケストレータの適用を有効にすることができます。このオプションは、必要に応じていつでも変更できます。

オーケストレータ設定の作成または編集によって有効にされたかどうかに関係なく、オーケストレータの適用を有効にしても、現在の論理ポリシーがロード バランサ アプライアンスにすぐに展開されることはありません。このタスクは、次の図に示すように、ユーザーによって、またはインベントリの更新によってトリガーされるワークスペースポリシー適用の一環として実行されます。ただし、オーケストレータの適用を無効にすると、展開されたすべての ACL ルールが Citrix Netscaler ロードバランサからすぐに削除されます。

（注）	Citrix Netscaler のオーケストレータも、ACL ルールの逸脱を検知し、Secure Workload ポリシーに置き換えます。そのため、ロードバランシング仮想サーバーに対するポリシーの変更は、すべて Secure Workload を使用して行う必要があります。 ポリシーの適用が停止されるか、外部オーケストレータが削除されると、すべての Secure Workload ポリシーが Citrix Netscaler ロードバランサから削除されるため、ACL は空になります。

外部オーケストレータの OpenAPI ポリシー適用ステータスを使用して、外部オーケストレータに関連付けられたロード バランサ アプライアンスへの Secure Workload ポリシー適用のステータスを取得できます。この機能は、Citrix Netscaler アプライアンスへの ACL ルールの展開が成功したかどうかを確認するのに役立ちます。

• 適用が有効になっている場合、Secure Workload ポリシーは常に ACL のグローバルリスト（パーティション default）に展開されます。

• 単一のアドレスとして指定された VIP のみがサポートされています。言い換えれば、アドレスパターンとして指定された VIP はサポートされていません。

• 検出されたサービス（Citrix Netscaler 仮想サーバー）の可視性はサポートされていません。

• 接続の問題 Secure Workload は、Secure Workload アプライアンスサーバーの 1 つから、または TaaS の場合はクラウドから、または Secure Workload Secure Connector トンネル サービスをホストしている VM から、HTTPS 接続を使用して、指定された IP/ホスト名とポート番号に接続しようとします。この接続を正しく確立するには、このトラフィックを許可するようにファイアウォールを構成する必要があります。また、指定されたクレデンシャルが正しいこと、および Citrix Netscaler アプライアンスに REST API 要求を送信するための読み取りおよび書き込みアクセス権限があることを確認してください。

• ACL ルールが見つからない ACL ルールが見つからない場合は、ポリシー適用の実行後に、対応する仮想サーバーが有効になっていることを確認してください。そのステータスは稼働状態である必要があります。

• セキュアコネクタトンネル（接続に必要な場合）

• サポートされる TAXII サーバー：1.0

• STIX バージョンでサポートされる TAXII フィード：1.x

「外部オーケストレータの作成」で説明されている共通の設定フィールドのほかに、次のフィールドを設定できます。

• ユーザーは Secure Workload クラスタから該当 IP/ポートで TAXII サーバーに到達できることを最初に確認する必要があります。

• ポーリングパスと TAXII フィード名を使用して、正しい TAXII サーバーを設定します。

• TAXII 統合は、オンプレミスの Cisco Secure Workload のみでサポートされます。

• TAXII フィードからの IP およびハッシュインジケータのみが取り込まれます。

• 取り込まれる IP の最大数は、TAXII フィードあたり 100K（最近更新された数値）です。

• 取り込まれるハッシュの最大数は、すべての TAXII フィードで 500K（最近更新された数値）です。

• STIX バージョン 1.x の TAXII フィードのみがサポートされています。

• 接続の問題

  Secure Workload は、Secure Workload アプライアンスサーバーの 1 つ、または Secure Workload Secure Connector VPN トンネルサービスをホストしている VM から、指定されたポーリング URLパスへの接続を試みます。この接続を正しく確立するには、このトラフィックを許可するようにファイアウォールを構成する必要があります。

デフォルトのフルスナップショット間隔は 24 時間です。

フルスナップショット間隔ごとに、Secure Workload は IP とハッシュの TAXII フィードを前述の制限までラベルデータベースにプルします。