デプロイおよびネットワーク要件

HTTPS 接続用の証明書に基づくデプロイ アーキテクチャと、関連するポート、ストレージ、VM、および DNS の要件について説明します。

デプロイ

このデプロイ モデルでは、PEG へのすべての接続はお客様が管理するネットワーク内に維持されます。

アーキテクチャ


このアーキテクチャでは、お客様が HTTPS 接続用の証明書を作成およびマネージする必要があります。

ポート要件

次の表は、受信 IP アドレスと送信 IP アドレスのポート要件を示しています。

ポート プロトコル 目的 受信非公開 IP 受信公開 IP 公開インターネットへの送信
22 TCP 管理者用 ssh 接続
443 TCP

受信

HTTPS (TLS 1.2) 経由のデスクトップ センサーとビジネス アナリストの接続

送信

PEG は、マスキング済みのデータを プロセス ディスカバリー に送信します。

リポジトリから PEG インストーラーや更新などをプル ダウンするためにも使用されます

センサーは プロセス ディスカバリー クラウドに直接接続し、構成情報のみを取得します。収集したデータがセンサーから プロセス ディスカバリー クラウドに直接送信されることはありません。

80 TCP Http から HTTPS (443) へのリダイレクトにも使用されます。

データの暗号化

データは、PEG からクラウド環境に送信されるときに暗号化されます。次に、データ プライバシーとセキュリティを確保するために導入されているデータ暗号化ポリシーおよび処理方法を示します。
  • Secure Transmission Protocol (STP): PEG システムは、クラウド プラットフォームへのすべてのデータ送信に HTTPS を採用して、転送時の暗号化の使用を確実にし、データ漏洩から保護します。
  • トランスポート レイヤー セキュリティ (TLS) 暗号化: PEG からクラウドに転送されるデータは、TLS プロトコルを使用して暗号化されます。このプロトコルは、安全な Web 通信の業界標準です。
  • 機密性と整合性: HTTPS によって提供される暗号化により、PEG から送信されるデータの機密性と整合性が保持されて、不正な開示や変更を防止します。
  • 証明書を介した認証: クラウド プラットフォームの ID は、HTTPS プロトコルの一部としてデジタル証明書を使用して認証されます。これは、ハッキングや攻撃、および不正なデータ アクセスを防止するのに役立ちます。
  • 堅牢な暗号化アルゴリズム: HTTPS は、Advanced Encryption Standard (AES) や Rivest-Shamir-Adleman (RSA) など、強力な暗号化アルゴリズムを組み込んで、データ交換用の安全なチャネルを作成します。

VM のサイズ要件

PEG のインストールでは、以下の VM サイズがサポートされています。
  • Microsoft Azure: NC8as T4 v3
  • AWS: g4dn.4xlarge
  • Google Cloud Platform: N1-highmem-8、1 nvidia-tesla-t4 GPU 付き
注: 各 PEG VM は、暦週あたり 10 個のセンサーを処理することができ、各センサーは週 5 日、毎日約 8 時間データを送信します。

ストレージ要件

OS またはルート ディスクに 2TB 以上のニアライン SSD ストレージがあることを確認します。プラットフォームのストレージ暗号化メカニズムを使用してディスクを暗号化します。

注: MiNIO と K-Lite のマークとロゴは、MiNIO および K-Lite Codec Pack の商標または登録商標であり、識別のみを目的として使用されています。

MiNIO は、プロセス ディスカバリー センサーによって生成されたすべての画像を保存する、当社社内の非構造化データ ストレージとして機能します。
  • データ保護: MinIO は、ハードウェアの障害およびデータの破損からデータを保護するために、イレイジャー コーディングおよびビット腐敗保護をサポートしています。
  • セキュリティ: MinIO は、転送時の暗号化 (TLS) および保存時の暗号化、ID およびアクセス管理 (IAM)、バケット ポリシーのサポート、アクセス制御リスト (ACL) など、堅牢なセキュリティ機能を提供します。

非構造化データの保存に加えて、過去のリストブロック リストなど、テキスト ファイルも MiNIO に保存されます。ただし、画像は K-Lite の URL からアクセスされるため、MiNIO から直接アクセスされることはありません。このストレージは、デバッグ手順の場合や、転送された元画像の追加チェックが必要な場合に使用できる、ブラウザベースのアクセスを備えています。

次のシナリオがサポートされています。
  • 画像を読み取り、UI に表示するために K-Lite によって使用される読み取り専用ユーザー
  • 追加の権限を必要としているタスクに使用できるストレージ管理者ユーザー

DNS 要件

使用する apex ドメイン名 (例: example.com) を PEG に提供します。それに基づいて、PEG は、作成する必要がある DNS サブ ドメイン レコードについて通知します。