ZAC - yusukew62/docs GitHub Wiki
ZAC
初期構築
ホスト名
ホスト名の設定
# nmcli general hostname zac01
ホスト名の確認
# nmcli general hostname
ネットワーク
デバイスを確認
# nmcli dev
※ ens192として以下は記載
インターフェイスを有効化
# nmcli con mod ens192 connection.autoconnect yes
IPアドレス、サブネットマスクを変更
# nmcli con mod eno16777984 ipv4.addresses 192.168.1.121/24
デフォルトゲートウェイを設定
# nmcli con mod ens192 ipv4.gateway 192.168.1.1
DNS設定
# nmcli con mod ens192 ipv4.dns 192.168.1.1
IPを固定割り当てに設定 (DHCP は "auto"に変更)
# nmcli con mod ens192 ipv4.method manual
インターフェースを再起動して設定を反映
# nmcli con down ens192
# nmcli con up ens192
設定確認
# nmcli dev show ens192
# ip addr
ネットワーク再起動
# systemctl restart network
ファイル確認
# cat /etc/sysconfig/network-scripts/ifcfg-ens192
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens192
UUID=ea477950-8b58-49f8-a2c6-4698d714a3eb
DEVICE=ens192
ONBOOT=yes
IPADDR=192.168.1.121
PREFIX=24
GATEWAY=192.168.1.1
DNS1=192.168.1.1
パッケージ更新
パッケージ更新
# yum -y update
セキュリティ
selinux無効化
# cp -pi /etc/selinux/config /etc/selinux/config.org
# vi /etc/selinux/config
SELINUX=disabledにする
# reboot
firewalld起動確認
# systemctl status firewalld
vmware-tools
vmware-tools
リポジトリ作成
# touch /etc/yum.repos.d/vmware-tools.repo
# cat > /etc/yum.repos.d/vmware-tools.repo <<EOF
[vmware-tools]
name = VMware Tools
baseurl = http://packages.vmware.com/packages/rhel7/x86_64/
enabled = 1
gpgcheck = 1
EOF
インストール
# rpm --import http://packages.vmware.com/tools/keys/VMWARE-PACKAGING-GPG-RSA-KEY.pub
# yum install open-vm-tools-devel
サービス起動/ステータス確認
# systemctl start vmtoolsd.service
# systemctl status vmtoolsd.service
chronyd
# diff -wu /etc/chrony.conf.org /etc/chrony.conf
--- /etc/chrony.conf.org 2019-08-08 20:40:15.000000000 +0900
+++ /etc/chrony.conf 2021-12-07 03:15:44.905218177 +0900
@@ -1,9 +1,13 @@
# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
-server 0.centos.pool.ntp.org iburst
-server 1.centos.pool.ntp.org iburst
-server 2.centos.pool.ntp.org iburst
-server 3.centos.pool.ntp.org iburst
+#server 0.centos.pool.ntp.org iburst
+#server 1.centos.pool.ntp.org iburst
+#server 2.centos.pool.ntp.org iburst
+#server 3.centos.pool.ntp.org iburst
+server 0.zscaler.pool.ntp.org iburst
+server 1.zscaler.pool.ntp.org iburst
+server 2.zscaler.pool.ntp.org iburst
+server 3.zscaler.pool.ntp.org iburst
# Record the rate at which the system clock gains/losses time.
driftfile /var/lib/chrony/drift
chronydを再起動
# systemctl restart chronyd
時刻同期
# chronyc sources
210 Number of sources = 4
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^- pittsburghmusicals.com 2 6 7 0 -2495us[+336.9s] +/- 111ms
^* jp2.ntp.tlercher.de 2 6 7 1 +213us[+336.9s] +/- 3783us
^- time.cloudflare.com 3 6 7 1 +60us[+336.9s] +/- 67ms
^- 126.99.178.217.static.us> 1 6 7 1 -1082us[+336.9s] +/- 13ms
sysctlの設定変更前のパラメータ
# sysctl -a | grep keepalive
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.ens192.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"
net.ipv4.tcp_keepalive_intvl = 75
net.ipv4.tcp_keepalive_probes = 9
net.ipv4.tcp_keepalive_time = 7200
sysctl.confの差分
# diff -wu /etc/sysctl.conf.org /etc/sysctl.conf
--- /etc/sysctl.conf.org 2020-11-17 01:20:16.000000000 +0900
+++ /etc/sysctl.conf 2021-12-07 03:17:43.258113950 +0900
@@ -8,3 +8,6 @@
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).
+net.ipv4.tcp_keepalive_time = 60
+net.ipv4.tcp_keepalive_intvl = 10
+net.ipv4.tcp_keepalive_probes = 6
sysctl.confの設定反映
# sysctl -p
net.ipv4.tcp_keepalive_time = 60
net.ipv4.tcp_keepalive_intvl = 10
net.ipv4.tcp_keepalive_probes = 6
sysctlの設定反映後の確認
# sysctl -a | grep keepalive
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.ens192.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"
net.ipv4.tcp_keepalive_intvl = 10
net.ipv4.tcp_keepalive_probes = 6
net.ipv4.tcp_keepalive_time = 60
zscaler用repoの作成
# vi /etc/yum.repos.d/zscaler.repo
zpa-connectorのインストール
# yum install zpa-connector
読み込んだプラグイン:fastestmirror
Loading mirror speeds from cached hostfile
* base: ftp.jaist.ac.jp
* extras: ftp.jaist.ac.jp
* updates: centosg9.centos.org
zscaler | 3.3 kB 00:00:00
zscaler/primary_db | 15 kB 00:00:00
依存性の解決をしています
--> トランザクションの確認を実行しています。
---> パッケージ zpa-connector.x86_64 0:21.224.1-1.el7 を インストール
--> 依存性解決を終了しました。
依存性を解決しました
============================================================================================================================
Package アーキテクチャー バージョン リポジトリー 容量
============================================================================================================================
インストール中:
zpa-connector x86_64 21.224.1-1.el7 zscaler 1.5 M
トランザクションの要約
============================================================================================================================
インストール 1 パッケージ
総ダウンロード容量: 1.5 M
インストール容量: 3.8 M
Is this ok [y/d/N]: y
Downloading packages:
警告: /var/cache/yum/x86_64/7/zscaler/packages/zpa-connector-21.224.1-1.el7.x86_64.rpm: ヘッダー V4 RSA/SHA256 Signature、鍵 ID 8765e1dd: NOKEY
zpa-connector-21.224.1-1.el7.x86_64.rpm の公開鍵がインストールされていません
zpa-connector-21.224.1-1.el7.x86_64.rpm | 1.5 MB 00:00:01
https://yum.private.zscaler.com/gpg から鍵を取得中です。
Importing GPG key 0x8765E1DD:
Userid : "Zscaler, Inc. (External Package Repository Signing Key) <[email protected]>"
Fingerprint: a6fe 2422 fce7 e8ac 672e 9e51 644e a315 8765 e1dd
From : https://yum.private.zscaler.com/gpg
上記の処理を行います。よろしいでしょうか? [y/N]y
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
インストール中 : zpa-connector-21.224.1-1.el7.x86_64 1/1
検証中 : zpa-connector-21.224.1-1.el7.x86_64 1/1
インストール:
zpa-connector.x86_64 0:21.224.1-1.el7
完了しました!
zpa-connectorのステータス確認
# systemctl status zpa-connector
● zpa-connector.service - Zscaler Private Access Connector
Loaded: loaded (/usr/lib/systemd/system/zpa-connector.service; enabled; vendor preset: enabled)
Active: active (running) since 火 2021-12-07 03:21:58 JST; 1min 50s ago
Main PID: 24589 (zpa-connector)
CGroup: /system.slice/zpa-connector.service
mq24589 /opt/zscaler/bin/zpa-connector
12月 07 03:22:10 zac01 zpa-connector-child[24676]: FOHH creating thread pool fohh_log with threads 4->4
12月 07 03:22:10 zac01 zpa-connector-child[24676]: Connector version: 21.172.1
12月 07 03:22:10 zac01 zpa-connector-child[24676]: memory_arena_count=14
12月 07 03:22:10 zac01 zpa-connector-child[24676]: Checking Enrollment
12月 07 03:22:10 zac01 zpa-connector-child[24676]: Cannot get provisioning key, please check if provision_key exist...ctory
12月 07 03:22:12 zac01 zpa-connector[24589]: zscaler-update: zpa-connector-child exited too fast, was running for 2 seconds
12月 07 03:22:12 zac01 zpa-connector[24589]: zscaler-update: zpa-connector-child failed too many times in a row- re...tware
12月 07 03:22:12 zac01 zpa-connector[24589]: zscaler-update: zpa-connector-child Default software failing; waiting ...clear
12月 07 03:22:58 zac01 zpa-connector[24589]: collection call stats event_log: (0: 0, 0, 0, 0), (1: 0, 0, 0, 0), (2:..., 44)
12月 07 03:22:59 zac01 zpa-connector[24589]: collection call stats statistics_log: (0: 0, 0, 0, 0), (1: 0, 0, 0, 0)...0, 0)
Hint: Some lines were ellipsized, use -l to show in full.
zpa-connectorの停止
# systemctl stop zpa-connector
provision_keyの作成
# touch /opt/zscaler/var/provision_key
# chmod 644 /opt/zscaler/var/provision_key
# vi /opt/zscaler/var/provision_key
provision_keyの確認
# cat /opt/zscaler/var/provision_key
3|api.private.zscaler.com|sn3pUz2Sb(省略)+49639STl1
zpa-connectorの起動
# systemctl start zpa-connector