初めてのエンタープライズ・エージェント

による投稿 2019年8月14日
2019年8月15日

ThousandEyesは、ターゲットに対して監視テストを設定・実行するためにエージェントを使用します。 エージェントとは、ThousandEyesが提供するLinuxベースのソフトウェアで、定期的にThousandEyesのクラウドにチェックインして指示を受け取ります。

エンタープライズエージェントは、自社ネットワーク内、あるいは自社が運用可能なインフラから外部のターゲットをテストするために使用されるエージェントです。仮想マシンやコンテナイメージ、あるいはLinuxパッケージを使用して、データセンターやブランチオフィスのルータやサーバーに簡単にインストールできます。 エンタープライズエージェントは、お客様のアカウント内で設定されたリソースのデータのみを収集し、他のアカウントと共有されることはありません。

設置のポイント

1. エージェントの正常動作に必要なサーバ要件を満たしたプラットフォームを選択してください。

2. 各プラットフォームに適したソフトウェアを選択してください。

3. 設置環境のファイアウォールルールを事前に確認してください。

  • 内部ネットワークから発生した通信の応答パケットを自動的に許可するステートフルな通信機器を経由する事を前提としています。
  • もしファイアウォールやルーターのような機器で固定パケットフィルタを使用する場合には、双方向の通信を許可するルールを作成する必要があります。(詳細は3を参照)
  • ネットワークパス上のルーターからエージェントに返されるICMPのTTL Expiredメッセージ (ICMPタイプ11)がブロックされていないよう確認してください。

1. サーバ要件

 サーバ要件 BrowserBot有* BrowserBot無
CPU 数 2 2
RAM 2 GB 1 GB
ハードディスク  20 GB 20 GB
ネットワークインタフェース 必要 必要
インターネットとの接続 必要 必要

* BrowserBotは、ページロードとトランザクションのテストの実行の場合に必要となります。

英語版オンラインマニュアル

2. ソフトウェア環境

① 仮想アプライアンス
Ubuntu LTSベースの仮想アプライアンスを下記プラットフォーム向けに提供しています。

英語版オンラインマニュアル(ハイパバイザー別ガイド)

• OVAを動作可能なハイパバイザー環境(例: Oracle VirtualBox、VMware ESXi)
• Microsoft Hyper-V

英語版オンラインビデオ(Hyper-v)

• Cisco 1000 ASR シリーズルータ
• Cisco 4000 ISR シリーズルータ
• Cisco Catalyst 9000 シリーズルータ

英語版オンラインマニュアル(Cisco)

• Juniper NFX250

英語版オンラインマニュアル(Juniper)

② 物理アプライアンス
Intel NUCサーバー向けのインストラーイメージを提供しています。
Intel NUCサーバーへのインストール方法については、こちらをご参照ください。

③ Windows
Microsoft Windowsプラットフォーム用のThousandEyes Agentソフトウェアはありません。
ただし、仮想アプライアンスのオプションがあります。

• x64アーキテクチャのWindows Server(2008+):Windows Server 2008以降を使用している場合は、Microsoft Hyper-V仮想化パッケージを使用してThousandEyes仮想アプライアンスをホストすることができます。
• 他のWindowsバージョン:ThousandEyesは、Oracle VirtualBoxや VMware Workstation等の仮想化プラットフォーム上へのインストールが可能です。
Oracle VirtualBoxへのインストールについては、こちらをご参照ください。

④ Linux
x86(32ビット)およびx64(64ビット)アーキテクチャーでサポートされているLinuxディストリビューションおよびバージョンを以下の表に示します。 ARMプロセッサ/アーキテクチャは現在サポートされていません。

ディストリビューション Minimum バージョン Maximum バージョン
Ubuntu Linux 16.04 LTS 18.04 LTS
Red Hat Enterprise Linux 7.4 7.x (最新)
CentOS 7.4 7.x (最新)
Oracle Linux 7.4 7.x (最新)
英語版オンラインマニュアル

3. ファイアウォールの設定について

Enterprise Agentによるテスト実行、ThousandEyesクラウドプラットフォームへのデータ送信、DNS(Domain Name Service)やNTP(Network Time Protocol)などの必要なサービスへのアクセスには、設置環境のファイアウォールルールの事前確認が必要となります。

【ルール設定一覧】

Protocol Port Destination Direction1 Description
TCP 53 * outbound DNS サーバーテスト
UDP 53 * outbound DNS クエリー
TCP 80 * outbound Web テスト
UDP 123 NTP servers outbound NTP 時間同期
TCP 443 * outbound Web テスト
TCP or UDP 5060 * outbound SIP サーバーテスト
ICMP n/a * outbound2 ICMPベースのネットワークレイヤテスト、Agent to Server テスト, パスの可視化
UDP Default = 49152   inbound/
outbound
Voice レイヤテスト
(Advanced Settings tab)
TCP and

UDP
Default = 49153 * inbound/
outbound
Agent to Agent テスト
(Advanced Settings tab)
TCP 443 192.150.160.0/24 AND 208.185.7.0/24 outbound Enterprise Agent から ThousandEyesクラウドへの通信
TCP 443 sc1.thousandeyes.com, c1.thousandeyes.com, data1.agt.thousandeyes.com, crashreports.thousandeyes.com outbound Enterprise Agent から ThousandEyesクラウドへの通信
TCP 443 hub.docker.com outbound DockerベースのAgents 

(インストール時のみ)

TCP 80

443
yum.thousandeyes.com OR apt.thousandeyes.com outbound Enterprise Agent 3


TCP 80 archive.ubuntu.com outbound 仮想アプライアンスまたはUbuntuベースの Linux package
TCP 80 archive.canonical.com outbound 仮想アプライアンスまたはCanonicalベースのLinux package
TCP 443 cdn.redhat.com outbound RedHat Enterprise Linuxベースの Linux package4
TCP 80 mirror.centos.org and mirrorlist.centos.org outbound CentOSベースのLinux package4
TCP 80 linuxdownload.adobe.com outbound Adobe Flash を利用する RedHat Enterprise Linuxベース、CentOSベース Linux package 

【確認事項】

  • 上記に示した通信の方向は、内部ネットワークから発生した通信の応答パケットを自動的に許可するステートフルな通信機器を経由する事を前提としています。もしファイアウォールやルーターのような機器で固定パケットフィルタを使用する場合には、双方向の通信を許可するルールを作成する必要があります。

  • アプリケーションの通信パスの可視化のためにエージェントからTCPやICMPを使ったtracerouteのデータが監視対象のホストに実行されます。このtracerouteが正常に実行されるにはネットワークパス上のルーターからエージェントに返されるICMPのTTL Expiredメッセージ (ICMPタイプ11)がブロックされていないよう確認下さい。

  • エンタープライズエージェントは定期的にソフトウェアを自動更新します。仮想アプライアンスやUbuntuベースのシステムは apt.thousandeyes.comリポジトリからソフトウェアのアップデートをダウンロードします (通信はTCP/443)。同じくRedHatやCentOSベースのシステムは yum.thousandeyes.com のリポジトリを使用します。

  • RedHatやCentOSでは /etc/yum.repos.d に定義されたリポジトリにhttpやhttpsを使ったアクセス権を与える必要がありますが、場合によってはシステムが選択したリポジトリのIPアドレスが動的に変更します。社内のファイアウォール等のフィルタールールに固定IPアドレスを入力しなければいけない場合は、定期的に管理者がdigやnslookupなどのツールでリポジトリのIPアドレスを手動で決定してフィルタルールを更新する必要があります。

  • Enterpriseエージェントの仮想アプライアンスは TCPポート443にWeb管理インターフェイスがインストールされますが、LinuxパッケージやLinuxコンテナを使用してインストールされたEnterpriseエージェントには、Web管理サービスがありません。

    これらのエージェントの設定の詳細は以下のリンクを参照にしてください:
    •Linuxパッケージ:https://success.thousandeyes.com/PublicArticlePage?articleIdParam=kA0E0000000CmnZKAS_Enterprise-Agent-deployment-using-Linux-Package-method
    •Linuxコンテナ:https://success.thousandeyes.com/PublicArticlePage?articleIdParam=kA0E0000000CmnXKAS_Enterprise-Agent-deployment-using-Docker
  • (オプション)ファイアウォールを経由しないリモート接続の場合、下記の通信を確認してください。

    Protocol Port Destination Direction Description
    TCP 22 Enterprise Agent inbound Secure Shell (SSH)
    TCP 80 Enterprise Agent inbound 仮想アプライアンス管理
    TCP 443 Enterprise Agent inbound 仮想アプライアンス管理 (HTTPS)5