DSVAシームレスアップデートによるアップデートの簡素化
トレンドマイクロ VMware テクニカルアライアンス担当 栃沢です。
8月の VMworld 2019 参加などを挟んで少し時間が空いてしまいましたが、Deep Security™ 12.0(以下、Deep Security)リリースに伴う Deep Security Virtual Appliance(以下、DSVA)関連のアップデートの 1つである ”DSVA シームレスアップデート” についてご紹介をしたいと思います。
これから DSVA を利用される方にはなかなか分かりづらいアップデートになりますが、運用していく上ではアップデート時の選択肢が増えるという意味で有用な機能になっていますので、運用設計の参考にもしていただければと思います。
また、このシームレスアップデートについては、VMware NSX® Data Center for vSphere の場合に利用が可能で、2019年10月(Deep Security 12.0 Update 2)時点では VMware NSX-T® Data Center 環境ではご利用頂けませんのでご注意ください。
■ 従来の DSVA のアップデートの方法と DSVA のデプロイの使用
従来、Deep Security のバージョンアップを行う際には Deep Security Manager(以下DSM)をアップグレードした後に DSVA を vCenter Server の“ネットワークとセキュリティ”から DSVA の再配信を行う、というのが一般的な方法でした。
「DSVA の再配信」は、すでに各 VMware ESXi™(以下、ESXi)ホストに配信されている DSVA を一旦「削除」して、改めて新しい OVF ファイルで配信を行う一連の作業の総称で、すべて vSphere Client から vCenter Server を起点に実施する仕様となっています。(同時に配信する Guest Introspection と同様の配信手順になるため、私がトレーニングなどでお話しするときは「DSVA と Guest Introspection は兄弟ですよ!」とお伝えしています。)
ここでアップデートの方法を理解する上で DSVA の OVF ファイルと配信される仮想アプライアンスとしての DSVA の関係性について触れておきたいと思います。
ヘルプセンターなどのオンラインマニュアルには記載がありますが、なかなかご説明をする機会も少ないですね。
DSVA を配信するために必要な OVF ファイルは、DSM に格納されていますので、vCenter Server および連携する NSX Manager は DSVA を配信する際に、DSM から DSVA のパッケージをダウンロードした上で各 ESXi ホストへ配信します。(あらかじめ必要なパッケージの DSM へのアップロードとバージョン指定をしておけば、配信時の DSM からの操作は不要です。)
DSVA 配信にあたり、予め DSM へアップロードしておくべきパッケージには以下のものがあります。
- DVSA パッケージ
- Linux 版 Deep Security Agent(以下DSA) 64bit 用
DSVA のパッケージは基本的にはメジャーリリース毎(DS11.0、DS12.0など)の初期ビルドのみでリリースされ、その後リリースされるアップデート毎にはリリースされません。各アップデートで提供される DSVA の機能拡張や修正は Linux 版 DSA 64bit パッケージに含まれており、DSVA の配信を実行すると、DSVA をデプロイする際に合わせて指定した DSA のバージョンパッケージによりアップデートが行われます。
上記のような仕様であることと、DSVA 配信時には vSphere Client からは配信するバージョンを指定することはできないことから予め DSM で配信したいビルド番号を指定しておくことも必要です。アップデートしたいビルドバージョンは DSM ローカルにアップロードされている DSA パッケージのみが選択可能となっており、デフォルトではローカルで最も新しいビルドを利用するようになっています。
デプロイ後の DSVA の状態を見てみると、以下のようにバージョンの情報が2つ表示されます。
- Virtual Appliance のバージョン :仮想アプライアンスとして配信されている DSVA のビルド番号
- Appliance(SVM) のバージョン :ベースとなった DSVA パッケージ(OVF)のビルド番号
また、同一メジャーバージョンの間でビルドのアップデートを行いたい場合には、DSVA を配信した状態で “Virtual Appliance のバージョン”(=DSA パッケージビルド)によるアップデートを行うことも可能です。
DSVA 毎にアップデートすることが可能ですが、短時間ではありますがセキュリティ保護ができなくなることがありますので留意してください。
■ 従来のアップデートの違いとシームレスアップデートの違い
DSVA のアップデートの仕組みをご理解いただいたところで、今回のテーマであるシームレスアップデートについて解説をしていきたいと思います。
従来のアップデートとの違いも含めて整理すると以下のような位置づけになります。
簡単に言ってしまうと、シームレスアップデートは DSVA を配信した状態で OVF の置き換えもしてしまうアップデート方法です。シームレスアップデートを行うと “Virtual Appliance のバージョン”、“Appliance(SVM) のバージョン” 双方がアップデートされます。
ここからはアップデート方法とアップデート中の DSVA の状態を解説していきたいと思います。
【シームレスアップデートの実行】
DSM でアップデートしたい ESXi ホストを指定して “Appliance(SVM) のアップグレードを実行
ポップアップ画面の解説にも記載がありますが、シームレスアップデートを実行すると DSVA の削除から指定されたビルドでの再配信までをワンクリックで自動的に実行してくれます。
そのため、アップデート中は該当 ESX iホスト上の仮想マシンに対するセキュリティ保護はできなくなりますので注意してください。
また、DSVA を指定するのではなく、ESXi ホストを指定して実行することもポイントです。
手順はこの 1つだけです。非常に簡単に実行できます。
【シームレスアップデートの流れ】
実際のアップデート時の挙動について簡単に見ておきましょう。
DSM 上ではシームレスアップデート実行後しばらくすると ESXi ホストのステータスが“非管理対象”となり、あわせてアップグレード中であることが表示されます。
vSphere Client からも DSVA がパワーオフされて削除されて新たにデプロイされていく推移を確認できます。
ここまでシームレスアップデートについて解説してきました。
シームレスアップデートを利用するのか、DSVA を再配信するのかはどのような方針でアップデートするのかによって使い分けて頂くことになると思いますが、vSphere Client 経由で DSVA を再配信する場合にはクラスタ単位での実行となる為、影響範囲が大きいと判断される場合には、シームレスアップデートをご利用頂けるケースもあるのではないでしょうか。
シームレスアップデートを利用のポイントを改めてまとめておきたいと思います。以下の点も踏まえてバージョンアップ計画を立てて頂ければと思います。
- エージェントアップデートは DSVA を指定するが、シームレスアップデートは DSVA が配信されているホストを指定して実行する
- DSVA の配信管理は原則 vCenter から NSX Manager 経由で実行されているためクラスタ単位での実行になるが、シームレスアップデートはホスト単位での実行となる
- 複数の ESXi ホストを同時にアップデートすることはできない(おそらく ESX Agents Manager の制御との兼ね合い)ため、1台ずつ完了確認を行いながら実施する
- クラスタ単位で DSVA のバージョンが異なることは問題が発生した際に切り分けが困難になることもあるので、アップデートを開始したら速やかに同一クラスタの各 ESXi ホストをアップデートも実行する
- シームレスアップデートはVMware NSX Data Center for vSphere 環境でのみ実行可能で、VMware NSX-T Data Center 環境ではサポートしていない
ぜひ、アップデート時の1つの選択肢としてご利用を検討してみてください。
執筆者:
トレンドマイクロ株式会社
エンタープライズSE本部
セールスエンジニアリング部 サーバセキュリティチーム
シニアソリューションアーキテクト / VMware vExpert
栃沢 直樹(Tochizawa Naoki)
【Deep Security 12.0リリース! VMware関連アップデートのご紹介】