IBM Cloud Docs
Entrust KeyControl の管理

Entrust KeyControl の管理

Entrust KeyControl™ (旧 HyTrust KeyControl) の新規インストールは、VMware Cloud Foundation for Classic - Automated インスタンスの新規または既存のデプロイメントではサポートされません。 既存のインスタンスの既存の Entrust KeyControl インストール済み環境は引き続き使用できます。削除することもできます。

Entrust KeyControl, を管理するには、 IBM Cloud® for VMware Solutions コンソールから Entrust KeyControl Web GUI にアクセスするか、 vSphere® Web Client から Entrust KeyControl コンソールにアクセスする。

VMware Solutions コンソールで Entrust KeyControl Web GUI にアクセスする

プライマリまたはセカンダリの Entrust KeyControl アプライアンスの WebGUI にログインするには、Entrust KeyControl サービス詳細ページにある WebGUI 認証情報を使用する。

vSphere Web Client から Entrust KeyControl コンソールへのアクセス

vSphere Web Client から Entrust KeyControl コンソールにアクセスするには、以下の手順を使用します。

  1. vSphere Web Client で、次の名前で始まる仮想マシン(VM)を見つけます。 KC1KC2 Entrust KeyControl サービス詳細ページにある一致する IP アドレスを持つ仮想マシンを見つける。
  2. **「KC1」または「KC2」を右クリックし、「コンソールを開く」**をクリックします。
  3. Entrust KeyControl サービスの詳細ページに示されているコンソール資格情報を使用して、コンソールにログインします。

Entrust KeyControl VM のインターネット・アクセスを可能にする

Entrust KeyControl 4.3.2 以降、 IBM Cloud for VMware Solutions では、コール・ホーム機能が有効になっている Entrust ライセンスの自動更新サポートが提供されます。 プライベート専用でない VMware Cloud Foundation for Classic - Automated インスタンスでは、Entrust KeyControl、管理サービス ESG mgmt-nsx-edge で定義されるファイアウォールおよび SNAT(送信元ネットワークアドレス変換)ルールが配備される。

これらのルールにより、Entrust VM のインターネット・アクセスを有効にすることができます。 インターネット・アクセスが有効になっていないと、Entrust KeyControl インストール済み環境に適用されるライセンスは 1 年後に有効期限が切れます。

プライベート専用 vCenter Server 環境の場合、VMware® NSX Edge Services Gateway (ESG) mgmt-nsx-edge が追加されません。 したがって、ファイアウォールと SNAT の規則は定義されません。 その結果、プライベート専用インスタンスのインターネット接続を有効化できず、Entrust ライセンスは毎年有効期限が切れます。

定義されたファイアウォール規則および SNAT 規則を見つける手順

  1. VMware vSphere® Web Client (FLEX) にログインし、 ESG mgmt-nsx-edge を見つけます。
  2. ホーム > ネットワーキング & セキュリティー > NSX Edge をクリックします。
  3. ESG mgmt-nsx-edge をダブルクリックし、**「管理」**タブをクリックします。
  4. **「ファイアウォール」**タブに移動し、Entrust ルールを見つけます。 送信元 IP アドレス (Entrust VM の IP アドレス) をメモします。
  5. **「NAT」**タブに移動し、Entrust VM 用に作成された SNAT ルールを見つけます。 送信元 IP アドレスが、前の手順でメモした IP アドレスと一致しています。

Entrust KeyControl のインターネット接続を有効にする手順

  1. 前の手順のステップ 1 から 3 を実行します。
  2. **「設定」をクリックし、「インターフェース」**をクリックします。 プライベート・アップリンクの IP アドレスをメモします。 このアドレスが新しいデフォルト・ゲートウェイです。
  3. 「ホーム」>「ホストおよびクラスター」 をクリックし、Entrust VM を見つけます。 VM の 1 つを右クリックし、**「コンソールを開く」**をクリックします。
  4. IBM Cloud for VMware Solutions コンソールの Entrust KeyControl サービスの詳細ページに記載されているコンソール資格情報を使用して、コンソールにログインします。
  5. VM から現在のデフォルト・ゲートウェイ IP アドレスを取得するには、**「ネットワーク設定の管理 (Manage Network Settings)」>「現在のネットワーク構成の表示 (Show Current Network Configuration)」**をクリックします。 **「ゲートウェイ」**にリストされている IP アドレスをメモします。 このアドレスが、静的ルートに使用されるゲートウェイになります。
  6. VM の静的ルートを設定するには、**「ネットワーク設定の管理 (Manage Network Settings)」>「静的ルートの管理 (Manage Static Routes)」>「静的ルートの追加 (Add Static Route)」**をクリックします。 Network addressを 10.0.0.0/8Gatewayを前のステップで指定したIPアドレスに設定する。
  7. VM のデフォルト・ゲートウェイ IP を設定するには、**「ネットワーク設定の管理 (Manage Network Settings)」>「現在のネットワーク構成の変更 (Change Current Network Configuration)」をクリックします。 警告メッセージが表示されたら、「OK」をクリックし、「カスタム構成 (Custom Configuration)」**をクリックします。 **「ゲートウェイ」フィールドを、ステップ 2 でメモしたプライベート・アップリンク IP アドレスに設定し、「OK」**をクリックします。 新しいネットワーク構成がインストールされ、ネットワーク・サービスが再始動するまで待ちます。
  8. Entrust SecureOS の再認証を求めるメッセージが表示されたら、**「OK」**をクリックし、このインストール済み環境のもう一方の Entrust VM の IP アドレスを入力します。 16 文字のパスフレーズを要求された場合は、Enter キーを押してメインメニューに戻ります。 現在のネットワーク構成を調べて、変更が適用されていることを確認します。
  9. VM がインターネットにアクセスできることを確認するには、パブリック IP アドレスまたは Web サイトに ping します。 **「ネットワーク設定の管理 (Manage Network Settings)」>「ネットワーク診断ツール (Network Diagnostic Tools)」>「他のサーバーのインバウンド・ポートのテスト (Test Inbound Ports of Another Server)」をクリックします。 パブリック Web サイト・アドレス (例: www.ibm.com) を入力し、「OK」**をクリックし、ポートに 80 443 (またはテストするその他のポート) と入力します。 80 (OK) 443 (OK) のようなメッセージでインバウンド・ポートを示す応答が即時に返されます。
  10. 他の Entrust VM について、ステップ 3 から 9 を繰り返します。

Entrust KeyControl を削除する際の考慮事項

サービスを削除する前に、以下の考慮事項を確認してください。

  • Entrust KeyControl,を削除する前に、すべてのクライアントがEntrust KeyContolを使用しないようにする。 サービスを削除すると、キーが削除され、VMからロックアウトされる可能性がある。
  • VMware® Solutions v4.0 の前に Entrust KeyControl サービスをインストールし、サービスを削除した場合、DNS エントリを手動で削除する必要がある。 詳しくは、手動による DNS エントリーの削除を参照してください。