General
ePO on AWS とは?
McAfee Enterprise は、ePO とその他の関連するインフラストラクチャ要素をクイックスタート AWS を使用して配備できるようになりました。 このソリューションは ePO on AWS として知られています。
この AWS ソリューションについての詳しい情報はどこで見ることができますか?
AWS Quick Start のランディングページをご覧ください。
ePO on AWS を利用するためには、既存のライセンスを利用できるのか、それとも新たにライセンスを購入する必要があるのか。
既存の ePO オンプレミスライセンスを使用して AWS のサービスで ePO を使用できます (独自のライセンス (BYOL))。 新たなライセンスや SKU の購入は必要ありません。
AWS Quick Starts のスタックを構成するインフラ要素とは?
ePO Application Server, Agent Handlers, DXL Brokers, and Relational Database Service (RDS) SQL Database.
AWS で動作するインフラ要素は誰が所有し、誰が支払うのか?
お客様が所有し、AWS にランニングコストを支払います。
スタックエレメント(ePO/DXL ブローカー)はどのバージョンに基づいていますか?
次の条件に基づいています:
DXL 機能は使っていないし、必要もないのに、なぜデフォルトのスタック構成に DXL ブローカーがあるのか?
これは、企業ネットワーク内のエンドポイントが、エージェントのウェイクアップやクライアントタスクの実行などの操作に到達できるようにするために必要です。
AWS 仮想プライベートクラウド (VPC) から内部ネットワークへの接続性を確認する AWS 直接接続などの代替策を使用している場合。 その後、DXL ブローカーの「自動スケーリンググループ」を変更できます。 スタックを設置した後、これらのグループのMinとMaxの値を0に変更します。
ePO on AWS でサポートされている McAfee Enterprise 製品は何ですか?
ePolicy Orchestrator 5.10.xでサポートされる最小の拡張バージョンについては、
KB90383 - ePolicy Orchestrator 5.10.xでサポートされる最小の拡張バージョンを参照してください。
このソリューションでは、どの AWS リージョンに対応していますか?
Amazon Web Services での ePolicy Orchestrator の地域別サポートの詳細については、
KB90695 - Amazon Web ServicesでのePolicy Orchestratorの地域別サポートを参照してください。
自分で設計してインフラを整えるのではなく、「クイックスタート」を使う理由は?
クイックスタートは、AWS に配備するためのゴールド標準です。 アーキテクチャとスタック要素は AWS との協議で設計されています。 また、AWS クイックスタートを使用することで、デプロイメントアーキテクチャのサイジングや設計の複雑さを解消することができます。
このオファーでは、SQL に AWS Relational Database Service(RDS)を使用していますか?
はい。
このクイックスタートソリューションは BYOSQL に対応していますか?
既存の RDS インスタンスの場合は「はい」、そうでない場合は「いいえ」となります。
Azure で同様のサービスはありますか?
現在ありません。 オファーリングが必要な場合は、製品改善リクエスト (PER) を上げてください。 詳しくは、
KB60021 - 商品アイデアを投稿するにはをご覧ください。
私が使用している製品が、製品互換性リスト(PCL)の「ブロックリスト」に入っている場合、プランニングにサポートしてもらうにはどうすればいいですか?
製品改善リクエスト (PER) を上げます。 詳しくは、
KB60021 - How to submit a new Product Idea をご覧ください。
スタックエレメントの FIPS モードでの動作はサポートされていますか?
いいえ。
このソリューションで AWS GovCloud はサポートされていますか?
はい。
初期設定と構成
テンプレートの "Deployment Environment "フィールドで、"Production "と "Development "の違いは何ですか?
開発オプションは、お客様が低コストでソリューションを試すことができます。 例えば、「開発」オプションを選択した際に起動した SQL インスタンスは、RDS SQL Server Express エディションです。
開発モードから本番モードに切り替えることはできますか?
いいえ、「プロダクション」モードを選択してスタックを作成する必要があります。
環境内で管理対象エンドポイント (または管理対象製品) の数が増加または減少した場合はどうすればよいですか?
- ePO アプリケーション サーバー - 稼働中のePOインスタンスから Amazon Machine Image (AMI) を作成します。 元の EC2 インスタンスをシャットダウンし、ロードバランサーターゲットグループから削除します。 AMI から新しい ePO インスタンスを開始し、EC2 インスタンスタイプまたはストレージなどの必要な容量を設定します。 McAfee ePO サーバーが起動したら、ロードバランサーのターゲットグループに追加します。
推奨されるインスタンスパラメーターのガイダンスについては、「コスト予測」の表を参照してください。
- Agent ハンドラーと DXL ブローカー-これらのコンポーネントの自動拡張機能により、適切な数の機能 Agent ハンドラー (AHs) と DXLs が使用できるようになります。 アクションは必要ありません。
- RDS SQL-データベースインスタンスの仕様を手動で変更する必要があります。 推奨されるインスタンスパラメーターのガイダンスについては、「コスト予測」の表を参照してください。
テンプレートパラメータのうち、後から変更可能なものはどれですか?
詳細については、次の表を参照してください:
テンプレート |
変更可能なパラメーター |
McAfee Enterprise Security Management Platform の設定 |
None |
ネットワーク設定 |
外部の要塞アクセス CIDR |
オンプレミスのネットワーク構成 |
None |
ePO アプリケーションサーバーの設定 |
外部アクセス CIDR |
ePO データベース-Amazon RDS (SQL Server) の設定 |
None |
ePO エージェント (クライアント) の設定 |
外部アクセス CIDR |
管理設定 |
すべて |
「高可用性」はスタックのどのコンポーネントに適用されるのか?
適用対象:
- エージェント ハンドラー
- DXL ブローカー
- RDS SQL
フランクフルトとロンドンのように、異なる地域のアベイラビリティーゾーンを選択することはできますか?
いいえ、高可用性は同じ地域内のアベイラビリティーゾーンに限定されます。
エンドポイントエージェントからのリクエストは、高可用性のある設定では負荷分散されていますか?
はい。
AWS キーのペアを指定する必要があるのはなぜですか? これはどのような目的に使用されますか?
この鍵ペアはインスタンスへのセキュアな接続を可能にするために必要です。
ePO へのアクセスを制御するにはどうすればよいですか? 例えば、一連の IP にのみアクセスを制限するためには?
ePO Application Server Configuration テンプレートの
External Access CIDR フィールドを使用します。
既存の仮想プライベートクラウド(VPC)を適用して、ePO インフラを展開することはできますか?
はい。
クイックスタート導入ガイドをご覧ください。
AWS 上で動作する ePO に Active Directory(AD)インフラを接続するにはどうすればいいですか?
AWS VPC を内部ネットワークに接続します。 この接続には、VPN(Virtual Private Network)または AWS Direct Connect を使用します。
オンプレミスのインフラとの通信のために開く必要のあるファイアウォールのポートはありますか?
いいえ。DXL ブローカー、ePO コンソール、およびエージェントハンドラー(AH)へのアウトバウンドポートは、スタックの作成時に設定されます。
スタックを既存の RDS インスタンスとペアリングすることはできますか?
はい。
ePO のログオン URL はどのように決定されますか? この情報はどこで入手できますか?
次のいずれかの方法を使用して、この情報を確認できます:
- Under CloudWatch, Dashboards (select stack), Quick Links.
- Stacks において、root stack を選択します。 情報は、[出力] タブにあります。
- Welcome メールを通じて
注意: GovCloud リージョンを利用しているお客様には、Welcome メールは送信されません。
既存のデータベース(DB)をエクスポートして、RDS にインポートすることはできますか? このソリューションは役に立ちますか?
いいえ。このソリューションには、既存の DB をインポートするためのアウトオブバウンド(OOB)オプションはありません。
AH/DXL のブローカーをオンプレミスと AWS の両方に設置することは可能ですか?
この状況は推奨しません。 エージェントハンドラーとデータベース間のレイテンシーは、パフォーマンスとスケーラビリティを向上させるために可能な限り低くする必要があります。
AWS の ePO や DXL ブローカーと分散型リポジトリの連携は?
UNC と HTTP は分散リポジトリとしてサポートされています。 AWS VPN 接続では、オンプレミスの SuperAgent リポジトリをレイジーキャッシングで利用できるほか、ポイントツーポイントリレーも可能です。
CFT のテンプレートを変更することはできますか?テクニカルサポートはありますか?
はい。 しかし、McAfee Enterprise は、カスタムや顧客の変更を維持しません。 そのため、Amazon システムイメージ(AMI)を作成する際に、カスタムワークが失われる可能性があります。
危険: デフォルトのテンプレートを使用しない場合、AH および DXL ブローカーのMcAfee の「アップデート」機能にアクセスできなくなることがあります。
スタックコンポーネント(ePO、AH、DXLブローカー)にログオンするにはどうすればいいですか?
詳細については、
KB90847.-PuTTY を使用して Bastion インスタンスから ePO およびエージェントハンドラーインスタンスにアクセスする方法を参照してください。
負荷分散証明書に Amazon リソース名 (ARN) を指定しない場合はどうなりますか? この場合、コミュニケーションはどうなるのでしょうか?
証明書が提供されない場合は、自己署名証明書が作成され、通信に使用されます。
スタックエレメント(ePO、AH、DXLブローカー)へのアクセスを制御するにはどうすればいいですか?
Network Configuration テンプレート内の External Access CIDR フィールドを使用します。
コスト推定
スタックのセットアップはどのくらい早くできるのか?
通常、スタックは1時間以内にセットアップできます。 テンプレートパラメーターの実際の設定は、全体の時間に占める割合はわずかです。
スタックの一部としてスピンされるインスタンスに関する情報:
例 |
管理対象エンドポイントの数 |
1-10k |
10k -25k |
25K-75K |
75K-150K |
150K-250K |
250K-400K |
400K-500K |
ePO Server Instance type |
m5.large |
m5.xlarge |
m5.2xlarge |
ePO Server storage |
256 GB |
512 GB |
512 GB |
DB Server RDS type |
sqlserver-se |
sqlserver-ee |
RDS Instance type |
db.m4.large |
db.m4.xlarge |
db.r4.2xlarge |
db.r4.4xlarge |
db.r4.8xlarge |
db.r4.16xlarge |
RDS IOPS |
2,000 |
5,000 |
>10,000 |
>30,000 |
>90,000 |
RDS DB Storage |
250 GB |
500 GB |
1000 GB |
2000 GB |
RDS IOPS |
1000 |
1500 |
2000 |
3500 |
AH Instance type |
c4.large 128 GB |
No. of remote AH instances |
1
(2 with HA) |
1
(2 with HA) |
2
(4 with HA) |
2
(4 with HA) |
3
(6 with HA) |
4
(8 with HA) |
4
(8 with HA) |
DXL Broker Instance type |
c4.large 64 GB |
No. of DXL Broker instances |
1
(2 with HA) |
1
(2 with HA) |
2 |
4 |
7 |
10 |
13 |
注意: ePolicy Orchestrator (オンプレミス) 環境で McAfee Agent Handlers の帯域幅を測定する方法については、
KB90826 - How to measure bandwidth usage of Agent Handlers in an ePolicy Orchestrator environment を参照してください。
AWS での継続的なメンテナンス
お客様は、スタック要素のベースとなるオペレーティングシステムにパッチを適用する必要がありますか? どうすればよいですか?
注意: Remote Agent Handlers と DXL Broker はAuto-scaling グループの下にあります。 閉鎖して新しいインスタンスを作成した場合は、再度パッチを当てなければならないかもしれません。
ePO Application Server の Hotfix を適用する手順を教えてください。
ePO インストーラーを起動して、手動で作業を行う必要があります。
Agent Handler(AH)および DXL Broker の Hotfix をアップグレードして適用する手順について教えてください。
いずれも:
- CI/CD パイプラインを使用して McAfee Enterprise によって配信された更新を適用します。 テンプレートの「スタックコンポーネントの更新」でYes を選択すると達成されます。
もしくは
- 「スタックコンポーネントの更新」がNoに設定されている場合は、CloudFormation テンプレート Actions から手動でスタックを更新し、Update Stack を実行します。 このアクションにより、AH と DXL Broker の旧バージョンと AMI が新バージョンに置き換えられます。
注意: GovCloud リージョンをご利用のお客様は、このオプションを使用する必要があります。
「スタックコンポーネントのアップデート」はどのコンポーネントに関連していますか?
Agent ハンドラーと DXL ブローカー
注意: GovCloud リージョンをご利用のお客様は、
CloudFormatio テンプレートの
Actions を使用して、
Update Stack を実行する必要があります。
「スタックコンポーネントの更新」を選択した場合、エージェントハンドラーとDXLブローカーの更新メカニズムはどうなりますか?
AHs と DXL ブローカーの新しいインスタンスがスピンアップされます。 これらの新しいインスタンスの健全性が適切であると判断されると、古いインスタンスは閉鎖されます。
「スタックコンポーネントのアップデート」をオプトアウトした場合はどうなりますか?
スタックコンポーネントを手動で更新する必要があります。
ePO Application Server にも同様の AutoUpdate の仕組みはありますか?
いいえ。
ディザスタリカバリのプロセスは、現在のオンプレミスの ePO とは異なるのでしょうか?
違います。オンプレミスと類似しています。 詳細については、次を参照してください。
KB90845 - ePolicy Orchestrator server on Amazon Web Services disaster recovery procedure,
データベーススナップショットはデフォルトでオンになっていて、その頻度は?
DB スナップショットはデフォルトで有効になっており、バックアップは毎日実行されます。 詳しい情報は、
AWS のウェブページでご覧いただけます。
既存のインスタンスを使用する場合、データベースのスナップショットはどうですか?
既存の RDS を使用する場合は、既存の RDS と同じバックアップスケジュールに従います。
アプリケーションサーバーがダウンするとどうなりますか? 復旧作業はどのように行うのでしょうか?
ePO の障害時復旧プロセスに従います。
例えば DXL ブローカーのテンプレートを変更した場合、CI/CD パイプラインで利用可能になった AH に対しても「簡単なアップデート」を使用できますか?
いいえ、テンプレートの変更はサポートされていません。
AWS 上の ePO にエンドポイントを移行する際の移行プロセスは、オンプレミスと同様ですか?
はい。 オンプレミスにあるデータベースへの接続を確立するには、VPN 接続が必要です。
オートスケーリングとはどのような機能なのでしょうか?
スタック要素の使用状況に応じて、Agent ハンドラー、および DXL ブローカーが追加または削除されます。 このアクションを実行すると、リソースが消費される時間が短縮され、コストがかかります。 自動スケーリングは、パラメーターをモニタリングすることにより、バックグラウンドで処理されます。 例えば、エージェントハンドラーとデータベース間のアクティブな接続とレイテンシーとして。
Auto Scaling はどのコンポーネントに適用されますか?
Agent ハンドラーと DXL ブローカー
オートスケーリングを無効にすることはできますか?
はい。 AH および DXL ブローカーの「Auto scaling Groups」の最小値と最大値を手動で設定することができます。
ePO のログはどこで見ることができ、またリアルタイムで見ることができますか?
ePO、エージェントハンドラ、その他のログは、CloudWatch の /mcafee/ の下にあります。
.
このソリューションは、CloudWatch と統合されていますか?
ePO、AH、および DXL の準備ログは、CloudWatch で確認できます。 また、このソリューションは、スタックコンポーネントの正常性に関する情報を提供する帯域外(OOB)ダッシュボードを提供します。
オートスケーリングや AH や DXL のブローカーの更新に関連するイベントがあるかどうかを判断するにはどうすればいいですか?
この情報は Auto Scaling グループの履歴で確認できます。
AWS コンソール内から ePO、AH、DXL のいずれかのインスタンスを手動で閉じるとどうなりますか?
危険: AWS コンソール内から ePO ソリューションのインスタンスを手動で閉じないでください。 意図しない結果になります。
ePO、RDS、DR のパスワードをリセットまたは回復する方法を教えてください。
システム Manager サービスのパラメーターストアから 3PO コンソール、ePO データベース、または DR パスフレーズのパスワードを忘れてしまった場合は、スタックのパラメーターストアから取得できます。
トップに戻る