GUARDIANWALL AWS対応導入の手引き...GUARDIANWALL AWS 対応 2.1 AWS マネジメントコンソールへログイン AWSマネジメントコンソールにログインする手順をご紹介します。

GUARDIANWALL

AWS対応導入の手引き

*Internet Explorer、Windowsは、米国 Microsoft Corporationの、米国、日本およびその他の国における

登録商標または商標です。

*記載されている会社名及び商品名は、それぞれ各社の登録商標または商標です。本データ内の文章・画像・

図版の原著作権についてはそれぞれの著者に帰属します。

Copyright©2016 Canon IT Solutions Inc.

本マニュアルの一部あるいは全部について、キヤノンＩＴソリューションズ株式会社の事前の承認なく、複製、

転載することを禁止します。

http://www.canon-its.co.jp/

GUARDIANWALL AWS対応

1. はじめに........................................................................................................................ 1 1.1 対応バージョン ......................................................................................................... 1 1.2 全体の流れ .............................................................................................................. 2

2. AWS環境セットアップ手順 ............................................................................................. 3 2.1 AWSマネジメントコンソールへログイン........................................................................ 6 2.2 Virtual Private Cloud作成 .......................................................................................... 8 2.3 Route53設定 ......................................................................................................... 30 2.4 S3作成 ................................................................................................................. 39 2.5 内部メールサーバー作成 ........................................................................................... 53

3. 管理/検査複数台構成手順 ............................................................................................. 77 3.1 管理サーバーセットアップ ........................................................................................ 77 3.2 検査サーバーセットアップ ....................................................................................... 110 3.3 管理サーバーと検査サーバーの関連付け ...................................................................... 136

付録 ............................................................................................................................... 139 1. イメージバックアップ .................................................................................................. 139

1.1 イメージ作成 ......................................................................................................... 139 1.2 イメージからインスタンス作成 .................................................................................. 143 1.3 ElasticIP付け替え .................................................................................................. 151 1.4 GUARDIANWALLの IP変更 ..................................................................................... 154

目次

FortiMailスタートアップガイド

| はじめに

Copyright © 2015 Canon IT Solutions Inc. 1

導入の手引き

1. はじめに本資料はAmazon Web Services（以降、AWS）にGUARDIANWALLをご導入いただくにあたり、AWSへ

の導入から初期設定までをご紹介しています。GUARDIANWALL管理/検査複数台構成で導入する際の手順書

になります。(2015年10月9日時点)

また、GUARDIANWALLの機能につきましては製品付属のマニュアルを参照してください。

1.1 対応バージョン

本資料で対応しているGUARDIANのバージョンは以下の通りとなります。

· GUARDIANWALL Version 8.0.00/8.1.00

· GUARDIANSUITE Version 5.0.00/5.1.00/5.2.00

はじめに |



1.2 全体の流れ

AWSでGUARDIANWALLをご利用いただくまでの全体的な流れは以下の通りとなります。

既存の AWS環境を使用する場合は、

「AWS環境セットアップ」の各手順は省略してください。

AWSにログイン

AWS環境セットアップ

Virtual Private Cloud作成

Route53設定

S3作成

導入終了

内部メールサーバー作成

GUARDIANWALLセットアップ

管理サーバーセットアップ

検査サーバーセットアップ

管理サーバーと検査サーバーの関連付け


| AWS環境セットアップ手順


導入の手引き

2. AWS環境セットアップ手順ここでは、AWS環境セットアップの手順を記載します。本書では、以下の構成例、サイジング条件をもと

に手順を記載します。お客様の環境へ適宜変更し設定を行ってください。

■AWS環境構成例

【AWS構成内容】

項目内容備考

Region 日本

AMI EC2インスタンス起動イメージを保管する障害復旧用に各 EC2インスタンス用の

イメージを格納

S3 データバックアップを保管する

Route53 MXレコード用 DNS

AWS環境セットアップ手順 |



[セキュリティグループ]

・Inbound

タイププロトコルポート番号送信元

SSH(22) TCP 22 0.0.0/0

SMTP(25) TCP 25 パブリック IP

HTTP*(8080) TCP 8080 0.0.0.0/0

カスタム UDP

ルール

UDP 123 0.0.0.0/0

すべての

ICMP

ICMP すべて 0.0.0.0/0

すべてのトラ

フィック

すべてすべてプライベート IP

・outbound

タイププロトコルポート番号送信元

すべてのトラ

フィック

すべてすべて 0.0.0.0/0




導入の手引き

■サイジング条件

項目内容備考

メール流量 1万通/日

メール平均サイズ 100kb/通

アーカイブ保存日数 31日

【ハードウェア条件】

サーバー内容値

内部メール

サーバー

CPU 1

メモリ 2GB

スワップ 3GB

ディスクサイズ 30GB

追加ボリュームディスクサイズ 3GB(スワップ領域に割り当てる)

GUARDIANWALL

管理サーバー

CPU 1

メモリ 2GB

スワップ 3GB


追加ボリュームディスクサイズ 50GB(スワップ領域、アーカイブ

領域、メールログ領域に

割り当てる)

GUARDIANWALL

検査サーバー

CPU 1

メモリ 2GB

スワップ 3GB


追加ボリュームディスクサイズ 20GB(スワップ領域、アーカイブ

領域に割り当てる)




2.1 AWSマネジメントコンソールへログイン

AWSマネジメントコンソールにログインする手順をご紹介します。

AWSアカウントでログインします。

事前に AWSアカウントを準備しておく必要があります。

1. ブラウザを起動し、AWSマネジメントコンソールの

URL（https://XXXXX.signin.aws.amazon.com/console）を入力してログイン画面を表示します。

※ アカウント作成時の「Direct Signin Link」を指定します。

2. 「アカウント」「ユーザー名」「パスワード」を入力して「サインイン」をクリックします。

※画面引用元：AWSマネジメントコンソール

https://xxxxx.signin.aws.amazon.com/console




導入の手引き

3. AWSマネジメントコンソール画面が表示されることを確認します。




2.2 Virtual Private Cloud作成

2.2.1 Virtual Private Cloud作成 Virtual Private Cloud（以降、VPC）を作成する手順をご紹介します。AWSの中でプライベートなネット

ワークを構築します。

1. AWSマネジメントコンソールから「VPC」をクリックします。




導入の手引き

2. 「VPC」をクリックします。

3. 「VPCの作成」をクリックします。




4. VPCを作成します。

以下を設定し、「作成」をクリックします。

項目説明設定例

ネームタグ VPCの名称を設定します。 sample_vpc

CIDRブロック CIDRを設定します。 10.0.0.0/16

テナンシーハードウェアを専有「する/しない」を設定します。

「デフォルト：しない、ハードウェア専有：する」

デフォルト：しない

5. VPCが作成されることを確認します。




導入の手引き

2.2.2 サブネット作成サブネットを作成する手順をご紹介します。VPCの IPアドレスの範囲を設定します。





2. 「サブネット」をクリックします。

3. 「サブネットの作成」をクリックします。




導入の手引き

4. サブネットを作成します。



ネームタグサブネットの名称を設定します。 sample_subnet

VPC 「2.2.1 Virtual Private Cloud作成」で作成した VPCを

選択します。

sample_vpc

アベイラビリティー

ゾーン

アベイラビリティーゾーンを設定します。

「アジアパシフィック(東京、ap-northeast-1)」を選択

ap-northeast-1

CIDRブロック CIDRを設定します。 10.0.10.0/24

5. サブネットが作成されることを確認します。




2.2.3 インターネットゲートウェイ作成インターネットゲートウェイを作成する手順をご紹介します。インターネットと接続するためのゲートウェ

イを設定します。





導入の手引き

2. 「インターネットゲートウェイ」をクリックします。

3. 「インターネットゲートウェイの作成」をクリックします。

4. インターネットゲートウェイを作成します。



ネームタグインターネットゲートウェイの名称を設定します。 sample_gw




5. インターネットゲートウェイが作成されることを確認します。

6. インターネットゲートウェイを VPCと紐付けます。

インターネットゲートウェイを選択し、「VPCにアタッチ」をクリックします。




導入の手引き

7. VPCにアタッチします。

以下を設定し、「アタッチ」をクリックします。



選択します。

sample_vpc

8. インターネットゲートウェイが VPCと紐付されたことを確認します。




2.2.4 ルートテーブル作成ルートテーブルを作成する手順をご紹介します。サブネットをルートテーブルに関連付ける設定をします。





導入の手引き

2. 「ルートテーブル」をクリックします。

3. 「ルートテーブルの作成」をクリックします。




4. ルートテーブルを作成します。



ネームタグルートテーブルの名称を設定します。 sample_routetable


選択します。

(省略)sample_vpc

5. ルートテーブルが作成されることを確認します。




導入の手引き

6. ルートテーブルを選択し、「ルート」タブをクリックします。

7. 「編集」をクリックします。

8. 「別ルートの追加」をクリックします。




9. ルートテーブルとインターネットゲートウェイを紐付けます。

以下を設定し、「保存」をクリックします。


送信先送信先の IPを設定します。 0.0.0.0/0

ターゲットインターネットゲートウェイを選択します。 sample_vpc

10. ルートテーブルとインターネットゲートウェイが紐付けされることを確認します。




導入の手引き

11. メインテーブルとして設定します。

「メインテーブルとして設定」をクリックします。

12. 「設定」をクリックします。

13. メインテーブルとして設定されたことを確認します。




2.2.5 セキュリティグループ作成セキュリティグループを作成する手順をご紹介します。インスタンスの仮想ファイアウォールとしての設定

をします。





導入の手引き

2. 「セキュリティグループ」をクリックします。

3. 「セキュリティグループの作成」をクリックします。




4. セキュリティグループを作成します。



ネームタグセキュリティグループの名称を設定します。 sample_group

グループ名グループの名称を設定します。 sample_group

説明セキュリティグループの説明を設定します。 sample_vpc

security group


選択します。

sample_vpc

5. セキュリティグループが作成されたことを確認します。




導入の手引き

6. セキュリティグループを選択し、「インバウンドルール」タブをクリックします。

7. 「編集」をクリックします。




8. 「別のルールの追加」をクリックし、インバウンドルールを作成します。

以下を設定し、「保存」をクリックします。


タイプルールタイプを選択します。以下参照

プロトコルプロトコルを設定します。以下参照

ポート範囲ポート範囲を設定します。以下参照

送信元送信元の IPを設定します。以下参照

[設定例]

タイププロトコルポート範囲送信元

SSH（22） TCP（6） 22 0.0.0.0/0

SMTP（25) TCP（6） 25 XX.XX.XX.XX/XX

(パブリック IP範囲を設

定)

カスタム TCPルール TCP（6） 8080 0.0.0.0/0

カスタム UDPルール UDP（6） 123 0.0.0.0/0

すべての ICMP ICMP（1）すべて 0.0.0.0/0

すべてのトラフィックすべてすべて XX.XX.XX.XX/XX

「2.2.2 サブネット作成」

で設定した IPを設定




導入の手引き

9. インバウンドルールが作成されたことを確認します。




2.3 Route53設定

2.3.1 Hosted Zones作成 Route53で Hosted Zonesを作成する手順をご紹介します。DNSサービスの設定をします。

1. AWSマネジメントコンソールから「Route 53」をクリックします。

2. 「Hosted Zones」をクリックします。




導入の手引き

3. 「Create Hosted Zone」をクリックします。

4. ドメインを作成します。

以下を設定し、「Create」をクリックします。


Domain Name ドメインを設定します。 sample.com

Comment コメントを設定します。任意

Type パブリック/プライベートを設定します。 Public Hosted Zone




5. Hosted Zoneが作成されたことを確認します。




導入の手引き

2.3.2 Record Set作成 Route53で Record Setを作成する手順をご紹介します。Aレコードと MXレコードを登録します。

1. AWSマネジメントコンソールから「Route 53」をクリックします。

2. 「Hosted Zones」をクリックします。




3. 「ドメイン」をクリックします。

4. 「Create Record Set」をクリックします。




導入の手引き

5. Aレコードを登録します。



Name サブドメインを設定します。

※ルートドメインの場合は何も入力しません。

mail

Type レコードを設定します。 A-IPv4 address

Alias Aliasを設定します。 No

TTL(Seconds) TTLを設定します。 300

Value 内部メールサーバーの IPを設定します。内部メールサーバー

のパブリック IP

Routing Policy DNSルーティングのポリシーを設定します。 Simple




6. Aレコードが登録されたことを確認します。

7. 再度「Create Record Set」をクリックします。




導入の手引き

8. MXレコードを登録します。



Name サブドメインを設定します。

※ルートドメインの場合は何も入力しません。

mail

Type レコードを設定します。 MX – Mail exchange

Alias Aliasを設定します。 No

TTL(Seconds) TTLを設定します。 300

Value 内部メールサーバーの FQDNを設定します。 mail.sample.com

Routing Policy DNSルーティングのポリシーを設定します。 Simple




9. MXレコードが登録されたことを確認します。




導入の手引き

2.4 S3作成

2.4.1 S3作成 S3を作成する手順をご紹介します。ストレージサービスの設定をします。

1. AWSマネジメントコンソールから「S3」をクリックします。




2. 「バケットを作成」をクリックします。

3. バケットを作成します。



バケット名バケット名を設定します。 guardian-backup

リージョンリージョンを設定します。 Tokyo




導入の手引き

4. バケットが作成されたことを確認します。




2.4.2 IAMグループ作成 IAMグループを作成する手順をご紹介します。S3用の IAMグループを作成します。

1. AWSマネジメントコンソールから「Identity and Access Management」をクリックします。

2. 「グループ」をクリックします。




導入の手引き

3. 「グループ名」を設定します。

以下を設定し、「次のステップ」をクリックします。


グループ名グループ名を設定します。 sample_s3




4. 「AmazonS3FullAccess」を選択し、「次のステップ」をクリックします。

5. 「グループの作成」をクリックします。




導入の手引き

6. グループが作成されたことを確認します。




2.4.3 IAMユーザー作成 IAMユーザーを作成する手順をご紹介します。S3用の IAMユーザーを作成します。


2. 「ユーザー」をクリックします。




導入の手引き

3. 「新規ユーザーの作成」をクリックします。

4. ユーザーを作成します。



ユーザー名ユーザー名を設定します。 sample_s3user

ユーザーごとにアク

セスキーを生成

ユーザーごとにアクセスキーを生成の設定をします。 ■




5. 「認証情報のダウンロード」をクリックします。

6. ユーザーセキュリティ認証情報を保存します。




導入の手引き

7. 「閉じる」をクリックします。

8. ユーザーが作成されたことを確認します。




2.4.4 IAMグループにユーザーを追加 IAMグループにユーザーを追加する手順をご紹介します。S3用の IAMグループに IAMユーザーを追加し

ます。


2. 「グループ」をクリックします。




導入の手引き

3. グループを選択し、「グループのアクション > グループにユーザーを追加」をクリックします。

4. ユーザーを選択し、「ユーザーの追加」をクリックします。




5. グループをクリックし、ユーザーが追加されたことを確認します。




導入の手引き

2.5 内部メールサーバー作成

内部メールサーバーを作成する手順をご紹介します。AWS上で使用するメールサーバーを作成します。

2.5.1 EC2作成 EC2を作成する手順をご紹介します。メールサーバー用の仮想サーバーを作成します。

1. AWSマネジメントコンソールから「EC2」をクリックします。




2. 「インスタンスの作成」をクリックします。

3. Amazonマシンイメージを選択します。

以下を選択し、「選択」をクリックします。


AMI 搭載する OSを設定します。 Amazon

Linux(64bit)




導入の手引き

4. インスタンスタイプを選択します。

以下を選択し、「次の手順：インスタンスの詳細の設定」をクリックします。


タイプインスタンスタイプを設定します。 t2.small

(CPU:1,

メモリ:2GB)




5. インスタンスの詳細を設定します。

以下を設定し、「次の手順：ストレージの追加」をクリックします。


インスタンス数インスタンス数の設定をします。デフォルト:1

購入のオプションスポットインスタンスのリクエストオプションの設定を

します。

デフォルト:チェック

なし

ネットワークネットワークの設定をします。 sample_vpc

サブネットサブネットの設定をします。 sample_subnet

自動割り当てパブリ

ック IP

自動割り当てパブリック IPの設定をします。デフォルト:サブネッ

ト設定を使用(無効)

IAMロール IAMロールの設定をします。デフォルト:なし

シャットダウン動作シャットダウン動作の設定をします。デフォルト:停止

削除保護の有効化削除保護の有効化の設定をします。デフォルト:チェック

なし

モニタリングモニタリングの設定をします。デフォルト:チェック

なし

テナンシーテナンシーの設定をします。デフォルト:共有テナ

ンシー(マルチテナン

トハードウェア)




導入の手引き

6. ストレージの追加を設定します。

以下を設定し、「次の手順：インスタンスのタグ付け」をクリックします。


サイズストレージのサイズを設定します。 30GiB

ボリュームタイプストレージのボリュームタイプを設定します。汎用(SSD)




7. インスタンスのタグ付けの設定をします。

以下を設定し、「次の手順：セキュリティグループの設定」をクリックします。


キーキーを設定します。デフォルト：Name

値タグ付けする値を設定します。 sample_mta




導入の手引き

8. セキュリティグループの設定をします。

以下を設定し、「確認と作成」をクリックします。


セキュリティグルー

プの割り当て

セキュリティグループを選択します。既存のセキュリティ

グループを選択する


プ

既存のセキュリティグループを選択します。 sample_group




9. 「作成」をクリックします。

10. プルダウンから「新しいキーペアの作成」を選択します。

以下を設定し、「キーペアのダウンロード」をクリックします。




導入の手引き

11. 成したキーペアを保存します。


13. インスタンスが作成されたことを確認します。




2.5.2 ElasticIP設定インスタンスに ElasticIPを設定する手順をご紹介します。インスタンスに静的 IPアドレスを設定します。





導入の手引き

2. 「Elastic IP」をクリックします。

3. 「新しいアドレスの割り当て」をクリックします。

4. 「関連付ける」をクリックします。





6. 新しいアドレスが割り当てられたことを確認します。

7. 割り当てられた ElasticIPを選択し、「アクション > アドレスの関連付け」をクリックします。




導入の手引き

8. インスタンスに ElasticIPを関連付けます。

以下を設定し、「関連付ける」をクリックします。


インスタンスインスタンスを設定します。 sample_mta

プライベート IPアド

レス

プライベート IPアドレスを設定します。デフォル

ト:10.0.10.205*

9. インスタンスに ElasticIPが関連付けされたことを確認します。




2.5.3 ボリューム追加ボリュームを追加する手順をご紹介します。インスタンスにボリュームを追加します。

導入時にはスワップ領域が存在しませんので

スワップ領域を作成します。





導入の手引き

2. 「ボリューム」をクリックします。

3. 「ボリュームの作成」をクリックします。




4. ボリュームを作成します。



タイプボリュームタイプの設定をします。汎用(SSD)

サイズ(GiB) サイズの設定をします。 3

IOPS IOPSの設定をしますデフォルト


ゾーン

アベイラビリティーゾーンの設定をします。


ap-northeast-1

スナップショットスナップショットの設定をします。デフォルト

暗号化暗号化の設定をします。デフォルト

5. ボリュームが作成されたことを確認します。




導入の手引き

6. インスタンスとボリュームを紐付けます。

ボリュームを選択し、「アクション > ボリュームのアタッチ」をクリックします。

7. ボリュームをアタッチします。



インスタンスインスタンスの設定をします。 sample_mta

デバイスデバイスの設定をします。デフォルト




8. ボリュームがアタッチされたことを確認します。




導入の手引き

2.5.4 ボリュームフォーマットボリュームをフォーマットする手順をご紹介します。ボリュームをフォーマットします。

1. SSHから内部メールサーバーに接続します。

内部メールサーバーに以下のユーザーID、秘密鍵を使用してログインします。


ユーザーID ログインアカウントです。ec2-userでログインします。 ec2-user

パスワードログインパスワードを設定します。なし

秘密鍵インスタンス作成時に作成したキーペアを使用しま

す。

sample-key.pem

2. 追加されたボリュームのフォーマットを行います。

$ sudo fdisk /dev/xvdf

3. 追加されたボリュームを割り当てるパーティションを作成するため、「n」を入力します。

Command (m for help) : n

4. 作成するパーティションの種類として「primary」を選択します。「p」を入力し、パーティションを作成

します。

Partition type: p primary (0 primary, 0 extended, 4 free) e extended Select (default p): p

5. パーティションとして設定するパーティション番号を指定します。「1」を入力します。

Partition number (1-4, default 1): 1




6. パーティションに割り当てる最初のセクターを指定します。デフォルト値を使用するため「Enter」キー

を押下します。

First sector (3072-4194303, default 3072): Using default value 3072

7. パーティションに割り当てる最後のセクターを指定します。追加した 3GB全てを割り当てるため、デフ

ォルト値を使用します。「Enter」キーを押下します。

Last sector, +sectors or +size{K,M,G} (3072-4194303, default 4194303): Using default value 4194303 Partition 1 of type Linux and of size 3 GiB is set

8. パーティションタイプを変更するため、「t」を入力します。

Command (m for help): t

9. パーティションタイプを変更するパーティション番号を指定します。「1」を指定します。

Selected partition 1

10. パーティションタイプを「Linux LVM」に変更します。「Linux LVM」の IDの「8e」を入力します。

Hex code (type L to list all codes): 8e Changed type of partition 'Linux' to 'Linux LVM'

11. 今までの設定を保存するため、「w」を入力します。

Command (m for help): w The partition table has been altered! Calling ioctl() to re-read partition table. Syncing disks.

12. OSを再起動して設定を反映させます。

$ sudo shutdown –r now




導入の手引き

2.5.5 LVMへのボリューム割当てフォーマットしたボリュームを LVMへ割り当てる手順をご紹介します。スワップ領域に割り当てます。







す。

sample-key.pem

2. 新たに追加された「xvdf1」を「Physical volume」として追加します。「sudo pvcreate /dev/xvdf1」

コマンドを入力し、「successfully created」と表示されることを確認します。

$ sudo pvcreate /dev/xvdf1 Physical volume "/dev/sdf1" successfully created

3. 「VolGroup01」グループを作成します。「sudo vgcreate VolGroup01 /dev/xvdf1」コマンドを入力し、

「successfully created」と表示されることを確認します。

$ sudo vgcreate VolGroup01 /dev/xvdf1 Volume group "VolGroup01" successfully created

4. スワップ領域「LvData-swap」を作成し、全て割り当てます。「sudo lvcreate -n LvData-swap -l

100%FREE VolGroup01」コマンドを入力し、「created」と表示されることを確認します。

$ sudo lvcreate -n LvData-swap -l 100%FREE VolGroup01 Logical volume "LvData-swap" created.




5. スワップ領域を作成します。「mkswap /dev/VolGroup01/LvData-swap -f」コマンドを入力し、「Setting

up swapspace」と表示されることを確認します。

# mkswap /dev/VolGroup01/LvData-swap -f Setting up swapspace version 1, size = 3145724 KiB no label, UUID=f6f1c744-61d4-4642-b4fe-7321549ba5fd

6. スワップ領域を有効にします。「swapon /dev/VolGroup01/LvData-swap」コマンドを入力します。

# swapon /dev/VolGroup01/LvData-swap

7. スワップ領域が有効になっていることを確認します。「swapon –s」コマンドを入力し、スワップ領域が

表示されることを確認します。

# swapon –s Filename Type Size Used Priority /dev/dm-0 partition 3145724 0 -1

8. スワップ領域を自動的にマウントされるように設定します。

# vi /etc/fstab 以下を最下行に追加します。 /dev/VolGroup01/LvData-swap swap swap defaults 0 0

9. OSを再起動して設定を反映させます。以下のコマンドを入力します。

# shutdown –r now




導入の手引き

2.5.6 EC2初期セットアップ EC2初期セットアップ手順をご紹介します。パスワード設定、タイムゾーンの変更をします。

内部メールサーバーとしての各設定は

初期セットアップ手順終了後にお客様の環境に合わせ設定を行ってください。







す。

sample-key.pem

2. 初期時 ec2-userにパスワードが設定されていないため、設定を行います。

「sudo passwd ec2-user」コマンドを入力します。

$ sudo passwd ec2-user

3. パスワードを２回問い合わせてきますので、設定したいパスワードを入力します。

New password: Retype new password:

4. 初期時 rootにもパスワードが設定されていないため、設定を行います。

「sudo passwd root」コマンドを入力します。

$ sudo passwd root






6. 導入時はタイムゾーン設定が日本時間になっていませんので、タイムゾーンを変更します。

$ sudo cp -p /usr/share/zoneinfo/Japan /etc/localtime

以下も変更します。

$ sudo vi /etc/sysconfig/clock 以下内容で設定します。 ZONE="Asia/Tokyo"

7. パッケージを更新します。

$ sudo yum update


$ sudo shutdown –r now


| 管理/検査複数台構成手順


導入の手引き

3. 管理/検査複数台構成手順

3.1 管理サーバーセットアップ

GUARDIANWALL管理サーバーをセットアップする手順をご紹介します。AWS上で使用する

GUARDIANWALL管理サーバーをセットアップします。

3.1.1 EC2作成 EC2を作成する手順をご紹介します。GUARDIANWALL管理サーバー用の仮想サーバーを作成します。


管理/検査複数台構成手順 |




3. 「AWS Marketplace」をクリックします。

4. 検索で「centos」と入力します。




導入の手引き




AMI 搭載する OSを設定します。 CentOS 6(x86_64)

– with Updates

HVM





(CPU:1,

メモリ:2GB)









します。


なし




ック IP






なし


なし







導入の手引き













値タグ付けする値を設定します。 sample_guardiansuite




導入の手引き





プの割り当て




プ






12. プルダウンから「既存のキーペア」を選択し、作成したキーペアを選択します。

「選択したプライベートキーファイルへアクセス権があり、このファイルなしではインスタンスにログイ

ンできないことを認識しています。」にチェックします。




導入の手引き











導入の手引き













導入の手引き




インスタンスインスタンスを設定します。 sample_guardiansuite

プライベート IPア

ドレス


ト:10.0.10.221*






導入時にはスワップ領域が存在しません。

GUARDIANWALL使用するためにはスワップ領域の作成は必須になります。





導入の手引き













ゾーン



ap-northeast-1







導入の手引き






インスタンスインスタンスの設定をします。 sample_guardiansuite









導入の手引き


1. SSHから管理サーバーサーバーに接続します。

管理サーバーに以下のユーザーID、秘密鍵を使用してログインします。


ユーザーID ログインアカウントです。rootでログインします。 root



す。

sample-key.pem


# fdisk /dev/xvdf




します。

Command action e extended p primary partition (1-4) p


Partition number (1-4): 1






First cylinder (1-10443, default 1): Using default value 1

7. パーティションに割り当てる最後のセクターを指定します。追加した分全てを割り当てるため、デフォル

ト値を使用します。「Enter」キーを押下します。

Last cylinder, +cylinders or +size{K,M,G} (1-10443, default 10443): Using default value 10443






Hex code (type L to list codes): 8e Changed system type of partition 1 to 8e (Linux LVM)




# shutdown –r now




導入の手引き

3.1.5 LVMへのボリューム割当てボリュームをフォーマットする手順をご紹介します。スワップ領域、アーカイブ領域、メールログ領域に割

り当てます。







す。

sample-key.pem

2. 本手順では以下のボリューム名、パーティションを作成します。

項目説明備考

ボリュームグループ名 VolGroup01

論理ボリューム名 1 LvData-swap スワップ領域用

論理ボリューム名 2 LvData-archive アーカイブ領域用

論理ボリューム名 3 LvData-logs メールログ領域用

パーティション /gs/data/store アーカイブ領域用

/gs/data/logs メールログ領域用

3. LVMに必要なパッケージを導入します。

# yum install lvm2



# pvcreate /dev/xvdf1 Physical volume "/dev/sdf1" successfully created






# vgcreate VolGroup01 /dev/xvdf1 Volume group "VolGroup01" successfully created

6. スワップ領域「LvData-swap」を作成し、3GB割り当てます。「lvcreate -n LvData-swap -L 3072

VolGroup01」コマンドを入力し、「created」と表示されることを確認します。

# lvcreate -n LvData-swap -L 3072 VolGroup01 Logical volume "LvData-swap" created



# mkswap /dev/VolGroup01/LvData-swap -f Setting up swapspace version 1, size = 3145724 KiB no label, UUID=d0413522-28ab-488a-a216-bf61377fd01c






10. アーカイブ領域「LvData-archive」を作成し、37GB割り当てます。「lvcreate -n LvData-archive -L 37888


# lvcreate -n LvData-archive -L 37888 VolGroup01




導入の手引き

11. ファイルシステムを作成します。「mkfs -t ext4 /dev/VolGroup01/LvData-archive」コマンドを入力し、

「override」と表示されることを確認します。

# mkfs -t ext4 /dev/VolGroup01/LvData-archive mke2fs 1.41.12 (17-May-2010) ： Use tune2fs -c or -i to override.

12. アーカイブ領域のディレクトリを作成します。

# mkdir –p /gs/data/store

13. アーカイブ領域をマウントします。

# mount –o rw –t ext4 /dev/VolGroup01/LvData-archive /gs/data/store

14. メールログ領域「LvData-logs」を作成し、残り全て割り当てます。「lvcreate -n LvData-logs -l


# lvcreate -n LvData-logs –l 100%FREE VolGroup01 Logical volume "LvData-logs" created.

15. ファイルシステムを作成します。「mkfs -t ext4 /dev//dev/VolGroup01/LvData-logs」コマンドを入力

し、「override」と表示されることを確認します。

# mkfs -t ext4 /dev//dev/VolGroup01/LvData-logs mke2fs 1.41.12 (17-May-2010) ： Use tune2fs -c or -i to override.

16. メールログ領域のディレクトリを作成します。

# mkdir –p /gs/data/logs




17. メールログ領域をマウントします。

# mount –o rw –t ext4 /dev/VolGroup01/LvData-logs /gs/data/logs

18. スワップ領域,アーカイブ領域,メールログ領域を自動的にマウントされるように設定します。

# vi /etc/fstab 以下を最下行に追加します。 /dev/VolGroup01/LvData-swap swap swap defaults 0 0 /dev/VolGroup01/LvData-archive /gs/data/store ext4 defaults 1 1 /dev/VolGroup01/LvData-logs /gs/data/logs ext4 defaults 1 1


# shutdown –r now




導入の手引き


1. SSHから管理サーバーに接続します。






す。

sample-key.pem

2. 導入時 rootにパスワードが設定されていないため、設定を行います。

以下コマンドを入力します。

# passwd root



4. 導入時タイムゾーン設定が日本時間になっていませんので、タイムゾーンを変更します。

# cp -p /usr/share/zoneinfo/Japan /etc/localtime


$ sudo vi /etc/sysconfig/clock 以下内容で設定します。 ZONE="Asia/Tokyo"

5. 時刻同期させるために、ntpパッケージを導入します。

# yum install ntp




6. ntpdの自動起動の設定を行います。

# chkconfig ntpd on

7. 内部メールサーバーに時刻同期するための設定を行います。

内部メールサーバーのプライベート IPアドレスを設定します。

# vi /etc/fstab 以下のように設定します。 #server 0.centos.pool.ntp.org iburst #server 1.centos.pool.ntp.org iburst #server 2.centos.pool.ntp.org iburst #server 3.centos.pool.ntp.org iburst server XXX.XXX.XXX.XXX

8. ntpdを起動します。

# /etc/init.d/ntpd start

9. 内部メールサーバーに時刻同期していることを確認します。

# ntpq -p


# yum update


# shutdown –r now




導入の手引き

3.1.7 s3fs導入 s3fsを導入する手順をご紹介します。S3をEC2でマウントするための設定をします。

1. SSHから管理サーバーに接続します。






す。

sample-key.pem

2. s3fsに必要な以下パッケージをインストールします。「Complete!」と表示されることを確認します。

# yum -y install gcc-c++ fuse fuse-devel libcurl-devel libxm libxslt-devel openssl-devel Complete!

# yum install wget Complete!




3. 以下手順で fuseをインストールします。

# cd /usr/local/src/ # wget http://downloads.sourceforge.net/project/fuse/fuse-2.X/2.9.3/fuse-29..9.3.tar.gz “fuse-2.9.3.tar.gz” saved # tar xvfz fuse-2.9.3.tar.gz # cd fuse-2.9.3 # ./configfigure ure --prefix=/usr checking build system type... x86_64-unknown-linux-gnu ： config.status: executing libtool commands # make Making all in include ： make[1]: Leaving directory `/usr/local/src/fuse-2.9.3' # make install Making install in include ： make[1]: Leaving directory `/usr/local/src/fuse-2.9.3'

4. 「.bash_profile」をバックアップします。

# cp -p /root/.bash_profile /root/.bash_profile_def

5. 「.bash_profile」に以下設定を追加します。

# echo "export PKG_CONFIG_PATH=/usr/lib/pkgconfig:/usr/lib64/pkgconfig" >> /root/.bash_profile

http://downloads.sourceforge.net/project/fuse/fuse-2.X/2.9.3/fuse-29..9.3.tar.gz




導入の手引き

6. 変更内容を反映します。

# source /root/.bash_profile

7. 設定が追加されていることを確認します。

# diff /root/.bash_profile /root/.bash_profile_def

8. 作業ディレクトリを作成し、作成したディレクトリに移動します。

# cd /root # mkdir work # cd work




9. 以下手順で s3fsをインストールします。

# wget https://github.com/s3fs-fuse/s3fs-fuse/archive/v1.78.tar.gz “v1.78.tar.gz” saved # tar xvzf v1.78.tar.gz # cd s3fs-fuse-1.78/ # ./autogen.sh configure.ac:25: installing `./config.guess' ： src/Makefile.am: installing `./depcomp' # cd /work/s3fs-fuse-1.78/ # ./configure --prefix=/usr checking build system type... x86_64-unknown-linux-gnu ： config.status: executing depfiles commands # make Making all in src ： make[1]: Leaving directory `/work/s3fs-fuse-1.78' # make install Making install in src ： make[1]: Leaving directory `/work/s3fs-fuse-1.78' # whereis s3fs s3fs: /usr/bin/s3fs /usr/share/man/man1/s3fs.1

https://github.com/s3fs-fuse/s3fs-fuse/archive/v1.78.tar.gz




導入の手引き

10. 以下手順で S3にマウントします。

# mkdir –p /mnt/s3 # echo "[S3 アカウントの Access Key]:[S3 アカウントの Secret Access Key] " >> /etc/passwd-s3fs # chmod 640 /etc/passwd-s3fs # s3fs guardian-backup /mnt/s3 fuse: warning: library too old, some operations may not not work # ldconfig # modprobe fuse # s3fs guardian-backup /mnt/s3 # df –h Filesystem Size Used Avail Use% Mounted on : s3fs 256T 0 256T 0% /mnt/s3




11. 自動マウントを設定します。

# vi /etc/init.d/s3mount 以下のように設定します。 #!/bin/sh # chkconfig: 2345 99 10 # description: test shell case "$1" in start) ldconfig modprobe fuse s3fs guardian-backup /mnt/backup -o allow_other ;; stop) umount /mnt/backup ;; *) break ;; esac




導入の手引き

3.1.8 GUARDIANWALLインストール GUARDIANWALL管理サーバーをインストールする手順をご紹介します。AWS上にGUARDIANWALL管理

サーバーをインストールします。

GUARDIANWALLのマニュアル

(管理サーバー導入の手引き～GUARDIANWALL、WEBGUARDIAN共通～)

通りにインストールを行ってください。

1. GUARDIANWALLインストール前の準備をします。

『管理サーバー導入の手引き～GUARDIANWALL、WEBGUARDIAN共通～』の「1 準備」を参照し、

作業を行ってください。

2. GUARDIANWALLをインストールします。

『管理サーバー導入の手引き～GUARDIANWALL、WEBGUARDIAN共通～』の「2 インストール」を参

照し、作業を行ってください。

3. GUARDIANWALLの動作確認をします。

『管理サーバー導入の手引き～GUARDIANWALL、WEBGUARDIAN共通～』の「3 動作確認」を参照し、

作業を行ってください。

4. ライセンスの登録をします。

『管理サーバー導入の手引き～GUARDIANWALL、WEBGUARDIAN共通～』の「4 ライセンス登録」を

参照し、作業を行ってください。

5. パスワードの設定をします。

『管理サーバー導入の手引き～GUARDIANWALL、WEBGUARDIAN共通～』の「5 パスワード設定」を

参照し、作業を行ってください。




3.2 検査サーバーセットアップ

GUARDIANWALL検査サーバーをセットアップする手順をご紹介します。AWS上で使用する

GUARDIANWALL検査サーバーをセットアップします。

3.2.1 EC2作成 EC2を作成する手順をご紹介します。GUARDIANWALL検査サーバー用の仮想サーバーを作成します。





導入の手引き


3. 「AWS Marketplace」をクリックします。

4. 検索で「centos」と入力します。







AMI 搭載する OSを設定します。 CentOS 6(x86_64)

– with Updates

HVM





(CPU:1,

メモリ:2GB)




導入の手引き






します。


なし




ック IP






なし


なし















導入の手引き





値タグ付けする値を設定します。 sample_guardianwall








プの割り当て




プ





導入の手引き













導入の手引き












導入の手引き










インスタンスインスタンスを設定します。 sample_guardianwall

プライベート IPアド

レス


ト:10.0.10.36*





導入の手引き


導入時にはスワップ領域が存在しません。

GUARDIANWALL使用するためにはスワップ領域の作成は必須になります。










導入の手引き








ゾーン



ap-northeast-1












インスタンスインスタンスの設定をします。 sample_guardianwall





導入の手引き






1. SSHから検査サーバーに接続します。

検査サーバーに以下のユーザーID、秘密鍵を使用してログインします。





す。

sample-key.pem


# fdisk /dev/xvdf




します。

Command action e extended p primary partition (1-4) p


Partition number (1-4): 1




導入の手引き



First cylinder (1-10443, default 1): Using default value 1

7. パーティションに割り当てる最後のセクターを指定します。追加した分全てを割り当てるため、デフォル

ト値を使用します。「Enter」キーを押下します。

Last cylinder, +cylinders or +size{K,M,G} (1-10443, default 10443): Using default value 10443






Hex code (type L to list codes): 8e Changed system type of partition 1 to 8e (Linux LVM)




# shutdown –r now




3.2.5 LVMへのボリューム割当てボリュームをフォーマットする手順をご紹介します。スワップ領域、アーカイブ領域、メールログ領域に割

り当てます。







す。

sample-key.pem

2. 本手順では以下のボリューム名、パーティションを作成します。

項目説明備考

ボリュームグループ名 VolGroup01

論理ボリューム名 1 LvData-swap スワップ領域用

論理ボリューム名 2 LvData-archive アーカイブ領域用

パーティション /gs/data/store アーカイブ領域用

3. LVMに必要なパッケージを導入します。

# yum install lvm2



# pvcreate /dev/xvdf1 Physical volume "/dev/sdf1" successfully created




導入の手引き



# vgcreate VolGroup01 /dev/xvdf1 Volume group "VolGroup01" successfully created

6. スワップ領域「LvData-swap」を作成し、3GB割り当てます。「lvcreate -n LvData-swap -L 3072


# lvcreate -n LvData-swap -L 3072 VolGroup01 Logical volume "LvData-swap" created



# mkswap /dev/VolGroup01/LvData-swap -f Setting up swapspace version 1, size = 3145724 KiB no label, UUID=d0413522-28ab-488a-a216-bf61377fd01c






10. アーカイブ領域「LvData-archive」を作成し、残り全て割り当てます。「lvcreate -n LvData-archive -l


# lvcreate -n LvData-archive -l 100%FREE VolGroup01 Logical volume "LvData-archive" created.




11. ファイルシステムを作成します。「mkfs -t ext4 /dev/VolGroup01/LvData-archive」コマンドを入力し、

「override」と表示されることを確認します。

# mkfs -t ext4 /dev/VolGroup01/LvData-archive mke2fs 1.41.12 (17-May-2010) ： Use tune2fs -c or -i to override.

12. アーカイブ領域のディレクトリを作成します。

# mkdir –p /gs/data/store

13. アーカイブ領域をマウントします。

# mount –o rw –t ext4 /dev/VolGroup01/LvData-archive /gs/data/store

14. スワップ領域,アーカイブ領域を自動的にマウントされるように設定します。

# vi /etc/fstab 以下を最下行に追加します。 /dev/VolGroup01/LvData-swap swap swap defaults 0 0 /dev/VolGroup01/LvData-archive /gs/data/store ext4 defaults 1 1


# shutdown –r now




導入の手引き


1. SSHから検査サーバーに接続します。






す。

sample-key.pem

2. 導入時 rootにパスワードが設定されていないため、設定を行います。

以下コマンドを入力します。

# passwd root



4. 導入時タイムゾーン設定が日本時間になっていませんので、タイムゾーンを変更します。

# cp -p /usr/share/zoneinfo/Japan /etc/localtime


# vi /etc/sysconfig/clock 以下内容で設定します。 ZONE="Asia/Tokyo"




5. 時刻同期させるために、ntpパッケージを導入します。

# yum install ntp

6. ntpdの自動起動の設定を行います。

# chkconfig ntpd on

7. 内部メールサーバーに時刻同期するための設定を行います。

内部メールサーバーのプライベート IPアドレスを設定します。

# vi /etc/ntp.conf 以下のように設定します。 #server 0.centos.pool.ntp.org iburst #server 1.centos.pool.ntp.org iburst #server 2.centos.pool.ntp.org iburst #server 3.centos.pool.ntp.org iburst server XXX.XXX.XXX.XXX

8. ntpdを起動します。

# /etc/init.d/ntpd start

9. 内部メールサーバーに時刻同期していることを確認します。

# ntpq -p


# yum update


# shutdown –r now




導入の手引き

3.2.7 GUARDIANWALLインストール GUARDIANWALL検査サーバーをインストールする手順をご紹介します。AWS上にGUARDIANWALL検査

サーバーをインストールします。

GUARDIANWALLのマニュアル

(検査サーバー導入の手引き～GUARDIANWALL導入事前準備～)

(管理サーバー導入の手引き～GUARDIANWALL、WEBGUARDIAN共通～)

通りにインストールを行ってください。

1. GUARDIANWALLインストール前の準備をします。

『検査サーバー導入の手引き～GUARDIANWALL導入事前準備～』の「1 インストールプラン」、「2 デ

ータ保存用ディスク領域」、「3-3 Red Hat Enterprise Linux 6への導入準備(管理サーバー/検査サーバ

ー)」、「4 MTA設定」を参照し、作業を行ってください。

2. GUARDIANWALLをインストールします。

『管理サーバー導入の手引き～GUARDIANWALL、WEBGUARDIAN共通～』の「2 インストール」を参

照し、作業を行ってください。




3.3 管理サーバーと検査サーバーの関連付け

GUARDIANWALLのインストールが完了すると管理画面からGUARDIANWALLを利用することができるよ

うになります。始めに管理サーバーから検査サーバーを管理するため関連付けを行ってください。

1. Webブラウザより「http:// /GUARDIANWALL管理サーバーの IPアドレス:8080/login」で管理画面へ

接続します。以下の情報を入力し、「ログイン」をクリックします。

以下のアカウント、パスワードは管理画面用にデフォルトで設定されています。

rootアカウントとパスワードはご利用いただけませんのでご注意ください。

項目値

管理クラス情報管理者

アカウント admin

パスワード mgadm99




導入の手引き

2. 「共通」-「検査サーバー管理」-「個別設定」をクリックします。個別設定の画面に移行後、「サーバー追

加」をクリックします。

3. 検査サーバーの IPアドレス等を設定し、「追加」をクリックします。


ID 検査サーバーを管理するための番号です。任意の値を

設定することができます。

1

IPアドレス検査サーバーの IPアドレスを設定します。

※プライベート IPアドレスを設定します。

10.0.10.1

種別検査サーバーの種類を選択します。本製品では「メー

ル」のみ選択できます。

メール




4. サーバープロセスの再起動が通知されるので、「OK」をクリックします。

5. 画面上部に「検査サーバー1を追加しました」と表示されること、検査サーバーが登録されたことをそれ

ぞれ確認します。

6. 「共通」-「検査サーバー管理」-「状況確認」をクリックします。登録した検査サーバーのプロセス動作

状況が「稼働中」になっていることを確認します。


| イメージバックアップ


導入の手引き

付録 AWSを使う際に利用するその他の項目を記載します。

1. イメージバックアップ EC2の起動イメージをバックアップする手順をご紹介します。作成したインスタンスをバックアップします。

本手順では、GUARDIANWALL管理サーバーのバックアップをする手順をご紹介します。

検査サーバーのバックアップをする際は読み替えて行ってください。

1.1 イメージ作成

インスタンスをからイメージを作成する手順をご紹介します。作成したインスタンスのイメージを作成しま

す。


イメージバックアップ |



2. 「インスタンス」をクリックします。

3. インスタンスを選択し、「アクション > イメージ > イメージの作成」をクリックします。




導入の手引き

4. AMIイメージを作成します。

以下を設定し、「イメージの作成」をクリックします。


イメージ名イメージの名称を設定します。 sample_guardiansuite_ami






6. 「AMI」をクリックします。

7. イメージが作成されたことを確認します。




導入の手引き

1.2 イメージからインスタンス作成

AMIイメージからインスタンスを作成する手順をご紹介します。AMIイメージからインスタンスを作成しま

す。


2. 「AMI」をクリックします。




3. AMIを選択し、「作成」をクリックします。





(CPU:1,

メモリ:2GB)




導入の手引き






します。


なし




ック IP






なし


なし









[ボリューム 1]




[ボリューム 2]


タイプタイプを設定します。デフォルト：EBS EBS

デバイスデバイスを設定します。 /dev/sdf

サイズストレージのサイズを設定します。 50GB





導入の手引き





値タグ付けする値を設定します。 sample_guardiansuite_ami








プの割り当て




プ





導入の手引き













導入の手引き

1.3 ElasticIP付け替え

ElasticIPを付け替えする手順をご紹介します。インスタンスとAMIイメージから作成したインスタンスの

ElasticIPを付け替えします。






3. Elastic IP」を選択し、「アクション > アドレスの関連付け」をクリックします。




導入の手引き

4. インスタンスに ElasticIPを再関連付けます。



インスタンスインスタンスを設定します。 sample_guardiansuite_ami

プライベート IPア

ドレス

プライベート IPアドレスを設定します。 10.0.10.32*

再関連付け再関連付けします。 ■





1.4 GUARDIANWALLの IP変更

GUARDIANWALLのIPを変更する手順をご紹介します。AMIイメージから作成したインスタンスの

GUARDIANWALLのIPを変更します。







す。

sample-key.pem

2. 以下のファイルの IPを変更します。

設定する IPアドレスは、

プライベート IPアドレスを設定します。

[管理サーバー]

/opt/Guardian/Admin/etc/admin/server/[ID]/server.conf

[検査サーバー]

/opt/Guardian/Admin/etc/cserv/server/mail/server.conf




導入の手引き

3. 各 GUARDIANサービスを再起動します。


# /etc/init.d/Guardian.admin stop # /etc/init.d/Guardian.admin start


# /etc/init.d/Guardian.mail stop # /etc/init.d/Guardian.mail start

GUARDIANWALL AWS対応導入の手引き

2016年 02月第三版

本書についてキヤノン ITソリューションズ株式会社より書面による

許諾を受けることなく、いかなる方法・理由においても無断で複写、

複製することは禁じられています。

Documents

GUARDIANWALL AWS対応 導入の手引き...GUARDIANWALL AWS 対応 2.1 AWS マネジメントコンソールへログイン AWSマネジメントコンソールにログインする手順をご紹介します。

GUARDIANWALL AWS対応導入の手引き...GUARDIANWALL AWS 対応 2.1 AWS マネジメントコンソールへログイン AWSマネジメントコンソールにログインする手順をご紹介します。