Tanium Core Platformサーバの概要

このガイドは、下記のTanium™ Core Platformサーバをカスタマー提供のWindowsインフラストラクチャにインストールする要件と手順を説明します。

  • Tanium™ Server
  • Tanium™ Module Server
  • Tanium™ Zone Server(Tanium™ Zone Serverハブを含む)

Tanium Infrastructureタイプ

Tanium Core Platformサーバは、次のインフラストラクチャオプションをサポートします。

  • 強化した物理的、または仮想のTanium Appliance(推奨):詳細については、Tanium Applianceインストールガイドを参照してください。
  • このガイドに記載されているように、顧客が提供するハードウェアのWindowsインストール。

Tanium Server

Tanium Serverは、Tanium Client、他のTanium Core Platformサーバ、およびTaniumコンテンツパックをホストするcontent.tanium.comサーバと通信するサーバです。Tanium ClientはTanium Serverと直接、またはプロキシとして行動するTanium Zone Serverを通して通信します。Tanium Serverはまた、Tanium™ ConsoleおよびAPIサービスも実行します。

Tanium Serverは、Tanium Module Serverやデータベースサーバとは別の専用ホスト、または3つのサーバすべてが共有するオールインワンホストにインストールできます。エンタープライズ本番またはラボ環境用の専用ホストを使用(Tanium Core Platformトポロジーを参照)。オールインワンアーキテクチャは概念実証(POC)デプロイ用のみ。

2つのTanium Serverを1つのアクティブ/アクティブ高可用性(HA)クラスタにデプロイして、故障や定期メンテナンス時の継続的な可用性を確保できます。HA デプロイには次の特徴があります。

Tanium Client接続

Tanium Clientは、Tanium Serverリストを使用して、割り当てられたプライマリTanium Serverが利用できない場合に自動的にバックアップサーバを探します。

共有データベース

HAクラスタのTanium Serverは、1つの共有データベースを読み書きします。同じクラスタ内の他のサーバが相互に特定できるよう、各サーバはtaniumデータベースに自身のエントリを作成します。 データベース管理のベストプラクティスに従ってデータベースサーバの可用性を確保し、Taniumデータベースと関連するデータベースオブジェクトが確実に定期的にバックアップされるようにしてください。

Tanium Console

HA クラスタメンバのそれぞれに専用のURLを持つTanium Consoleがあります。

Tanium™ソリューションモジュール

このモジュールは、HA クラスタ内のすべてのTanium Serverが共有するTanium Module Serverにインストールされます。しかしながら、すべてTanium Serverでこのモジュールを使用できるようにするには、各クラスタメンバのTanium Consoleを通してモジュールをインポートする必要があります。Module ServerはHAをサポートしていません。

HAクラスタ通信

各サーバは、ポート17472を介して他のクラスタメンバーにTaniumメッセージ(Questionに対する回答など)を渡します。パッケージファイルを1つのTanium Serverにアップロードすると、他のHAクラスタメンバーへのファイルも自動的に同期されます。

Taniumの容量拡張やパフォーマンス向上のためにHAクラスタリングを行う必要はありません。スタンドアロンのTanium Core Platformサーバのホストシステムハードウェアおよびオペレーティングシステムは、それぞれ必要とされる容量やパフォーマンスに応じてサイジングできます。詳細は、関連情報:ホストシステムのリソースに関するガイドラインを参照してください。

専用のWindows Serverホストにスタンドアロン(非HA)Tanium Serverをインストールするには、Tanium Serverのインストールを参照してください。HA デプロイにTanium Serverをインストールするには、アクティブ/アクティブHAクラスタへのTanium Serverのインストールを参照してください。

Tanium Module Server

Tanium Module Serverは、Tanium™ Patchなど、Taniumのソリューションモジュール用のアプリケーションサービスおよびストアファイルを実行します。Taniumの管理者は、Tanium Consoleを使用して、ソリューションモジュールを管理および使用できます。Module Serverは、Tanium Serverとのみ直接通信します。エンドポイントはパッケージをTanium ServerまたはZone Server経由で受信します。

本番デプロイでは、Module Serverを専用ホスト(Tanium Serverとの共有ホストではなく)にインストールし、スクリプトが故意か誤ってかに関わらずTanium Serverに直接影響を及ぼすことを回避します。手順については、Tanium Module Serverのインストールを参照してください。

一部の概念実証(POC)デプロイのみで、Module ServerとTanium Serverを同じホストにインストールできます。

Tanium Zone Server

Taniumのデプロイ時、Tanium ClientはTanium Serverとの接続を開始します。ただし、通常はエンタープライズネットワークセキュリティポリシーによって、信頼済みでないネットワークにあるエンドポイントはTanium Serverなど信頼済みの内部ネットワークにあるリソースとの接続を開始できないようになっています。Tanium Serverが外部エンドポイントを管理できるようにしたい場合は、DMZ内に1つまたは複数のTanium Zone Serverをデプロイして外部エンドポイントからの通信をプロキシ経由にします。 手順については、Tanium Zone Serverのインストールを参照してください。

次の図に、Zone Serverの通信を示します。Zone Serverは、通常はDMZの既存の共有デバイスにサービスとしてインストールされます。これは、内部ネットワークのホストコンピュータ(通常はTanium Serverホストコンピュータ)にインストールするTanium Zone Server Hubプロセスを介して、Tanium Serverと通信します。外部エンドポイント上でTanium Clientをセットアップし、プライマリTanium Serverであるかのように、Zone Serverに登録します。

F: 図1: Zone Serverのデプロイ

*デフォルトでは、Zone Serverは、Zone ServerハブおよびTanium Clientからのトラフィックに対して、同じポート(デフォルトでは17472)を使用します。ただし、Zone Serverのセキュリティを向上させるためのベストプラクティスとして、ハブとクライアントの個別のポートを設定します(Zone Server HubおよびTanium Clientからのトラフィックのポートを設定するを参照してください)。

キャッシュ

Taniumシステムパフォーマンスを最適化するには、Zone ServerはアクションパッケージファイルとTanium Client APIを介してリクエストされたファイルをキャッシュします。これらのリソースは、Tanium Serverから再要求する必要なく、クライアントに提供されます。Zone Server上のディスクスペースの過剰消費を防止するには、最大キャッシュサイズを設定することができます。Tanium Serverホスト上でZone Serverハブが実行されているデプロイでは、ハブは独自のキャッシュを持たず、Tanium Serverのキャッシュを使用します。ハブが専用ホストにある場合は、ハブ上のキャッシュを有効にする必要があります。Zone Serverまたはハブでキャッシュを設定するには、Zone ServerおよびZone Server Hubのキャッシュの管理を参照してください。

High Availability

2つのZone Serverと2つのZone Serverハブをアクティブ/アクティブ高可用性(HA)設定にデプロイして、故障や定期メンテナンス時の継続的な可用性を確保できます。次の図は、Tanium Server、Zone Serverハブ、およびZone ServerのHA ペアを持つデプロイを示しています。この例では、Zone Serverハブは、Tanium Server上でローカルに実行されます。

F: 図2: Zone ServerのHAデプロイ
Zone Server HA

次の接続(F: 図2の番号に一致)は、このデプロイにおいて継続的な可用性を確保します。

11番 各Zone Serverハブは、単一のTanium Serverに接続します。

22番 各Zone Serverハブは、両方のZone Serverに接続します。

Tanium Core Platform7.4では、各Zone ServerのHubPriorityList設定を構成して、サーバがTanium Clientのコンテンツ(センサー定義、設定情報、アクションパッケージファイルなど)を受信する優先Zone Serverハブを指定することができます。複数のZone Serverとハブとのデプロイでは、HubPriorityListを構成することにより、各Zone Serverが最も近いハブからコンテンツを受信することを確実にするベストプラクティスです。この設定を構成すると、ひとつのハブが両方のサーバに対応するのではなく個々のハブがひとつのZone Serverに確実に対応することでハブの使用率も最適化できます。手順については、Zone Serverをインストールするを参照してください。

F: 図2で、Zone Server1(zs1.example.com)のHubPriorityListは、Zone Serverハブ1(ts1.example.com)を指定します。したがって、ts1.example.comが使用可能な限り、zs1.example.comはそのハブからのみクライアントコンテンツを受信します。図の実線は、優先ハブが利用可能となったときの接続を示しています。優先ハブがダウンしている場合、Zone Serverは他のハブからクライアントコンテンツを受信します。図の点線は、フェイルオーバー接続を示します。

3番号3 Tanium Clientは、両方のZone Serverを介して登録するため、両方のTanium Serverがクライアントを管理できます。Tanium Serverは、アクティブ/アクティブな可用性を確保するため、互いに同期します。

Zone Serverは高可用性 同期を実行せず、ハブも実行しません。

高可用性 デプロイにより、1つのTanium ServerまたはZone Server、またはどちらかがダウンした場合でも、エンドポイントの管理を継続できます。この例では、Tanium Server 1 (ts1.example.com)がダウンすると、Zone Server Hub 2はTanium ClientコンテンツをTanium Server 2 (ts2.example.com)からZone Server1 (zs1.example.com)に転送するため、クライアントへのサービスを継続できます。次の図は、このシナリオを示しています。

F: 図3: HAデプロイでのTanium Serverのフェイルオーバー
Tanium Serverのフェイルオーバー

この例ではZone Server1がダウンすると、Zone Server2 (zs2.example.com)は、優先ハブ、Zone Server Hub 2 (ts2.example.com)からTanium Clientコンテンツを受信します。Zone Server Hub 1 (ts1.example.com)からzs2.example.comへの接続は、ts2.example.comが利用可能な限り、スタンバイ接続のままです。次の図は、このシナリオを示しています。

F: 図4: HAデプロイにおけるZone Serverのフェイルオーバー
Zone Serverのフェイルオーバー

Tanium Core Platformを使用して外部エンドポイントを管理する際には、外部クライアントに内部エンドポイントと同じ内部リソースへのアクセス権がない可能性のあることを考慮してください。Active Directoryサーバなどの内部ネットワーク上のリソースに外部エンドポイント上のTanium Clientがアクセスを試みないようアクションを絞り込みます。

Tanium Core Platformトポロジー

次の図に示すように、組織の本番用デプロイでは、Tanium Server、Tanium Module Server、およびデータベースサーバは、それぞれ別々のホストにインストールする必要があります。概念実証(POC) デプロイでは、これら3つのサーバを同じホストにインストールします。しかしながら、POCアーキテクチャはデモ目的のみで、エンタープライズデプロイはサポートしていません。ソフトウェアのアップグレードとコンテンツソリューションのテストを行うために使用するエンタープライズラボ環境には、本番環境のアーキテクチャを使用するのがベストプラクティスです。以下の図は、HA構成における生産またはラボのデプロイを示しています。

F: 図5: エンタープライズ本番またはエンタープライズラボデプロイ

*デフォルトでは、Zone Serverは、Zone ServerハブおよびTanium Clientからのトラフィックに対して、同じポート(デフォルトでは17472)を使用します。ただし、Zone Serverのセキュリティを向上させるためのベストプラクティスとして、ハブとクライアントの個別のポートを設定します(Zone Server HubおよびTanium Clientからのトラフィックのポートを設定するを参照してください)。

Tanium Core Platformサーバと外部サーバ間のプロキシサーバを使用するデプロイのトポロジーについては、Tanium Consoleユーザガイド:プロキシサーバ設定の構成を参照してください。

その他のリソース

リリースノート

サポートナレッジベース
(ログインが必要です)

最終更新: 2020/11/20 5:22| フィードバック

Powered by Translations.com GlobalLink OneLink Software