Dockerにインストール
KeeperゲートウェイをDockerにインストール

概要
本ページでは、Docker上でKeeperゲートウェイのインストール、設定、アップデート方法を取り扱います。DockerコンテナはRocky Linux 8のベースイメージを使用し、DockerHubでホストされています。
PAMの全機能を利用するには、x86 AMDプロセッサーを搭載したLinuxホストをご使用ください。
要件
x86 AMDプロセッサーを搭載したLinuxホスト
docker
およびdocker-compose
がインストールされていること (LinuxへのDockerインストールのページをご参照ください)
備考: サーバー環境ではdocker-compose
の構文を使用しますが、ローカルのDocker Desktopではdocker compose
(スペースあり) を使用する場合があります。
ゲートウェイを作成
新しいゲートウェイの展開は、ウェブボルトかデスクトップアプリ (17.1以降) から[新規作成] > [ゲートウェイ]をクリックして作成します。
また、コマンダーCLIからゲートウェイと構成ファイルを作成することもできます。
アプリケーション名とUIDは、secrets-manager app list
コマンドで確認できます。
インストール
SecCompファイル
docker-seccomp.json
というファイルをダウンロードし、Docker Composeファイルと同じフォルダに配置します。
ログ
Keeperゲートウェイのプレビュー版を実行する際、ログに以下のような出力が表示されます。

ボルト内の[Secrets Manager]画面から、[アプリケーション] > [ゲートウェイ]へ移動します。ゲートウェイが[オンライン]と表示されます。

ゲートウェイサービスの管理
サービス起動
サービス停止
サービスの再起動
ゲートウェイコンテナへ接続
デバッグを有効にする
ゲートウェイで詳細なデバッグログを有効にするには、Docker Composeファイルに以下の環境変数を追加してデバッグログを有効にしてください。
デバッグを有効にした後、docker compose restart
コマンドを使用してサービスを再起動します。
ログをリアルタイムで追跡
アップデート
以下のコマンドを実行すると、Keeperゲートウェイコンテナが最新版にアップデートされ、サービスが再起動します。
自動的に起動
docker-compose.yml
ファイルに「restart」パラメータを追加することで、環境に再起動ポリシーが適用されます。
再起動の際にゲートウェイを起動
Docker環境でKeeperゲートウェイを自動起動させるには、以下の手順を実行してください (Linuxホストの場合)。
最初に、/etc/systemd/system/keeper-gateway.service
に.service
ファイルを作成します。
備考
/home/ec2-user
をdocker-compose.yml
が保存されているパスに置き換えます。ec2-user
を Docker を実行するユーザーに置き換えます。docker
グループを、定義されたグループに置き換えます。
その後サービスを有効にします。
ホストインスタンスへの接続
Keeperゲートウェイの便利な機能の一つに、ホストマシンへの接続やトンネルを開く機能があります。Docker Composeファイルにextra_hosts
セクションを追加し、値をhost.docker.internal:host-gateway
と設定すると、ホストへのセッションを直接開くことができます。
以下はゲートウェイコンテナを含むdocker composeの例となります。
このオプションを有効にすると、ホストへの接続を確立できます。例えば、SSH接続を開くには、以下の手順を実行します:
SSH秘密鍵を使用してPAMユーザーレコードを作成します。
ホスト名を
host.docker.internal
、ポートを22
にしてPAMマシンレコードを作成します。PAM設定でPAMユーザーを指定し、SSH接続を有効にします。
ホストからKeeperゲートウェイサービスを更新する
KeeperPAMを使用してホストサービスにSSH接続している場合、バックグラウンドでゲートウェイのコンテナ更新を実行することでコンテナを更新できます。
ネットワーク構成
ゲートウェイは、以下へのアウトバウンド接続のみを確立します。
Keeperクラウド
TLSポート443
対象インフラとの通信には、ネイティブプロトコル (SSH、RDPなど) を使用する必要があります。
Keeper KRelay (coturn) サーバー (krelay.keepersecurity.[com|eu|com.au|jp|ca|us])
ポート3478でTCPおよびUDP
ユーザーのボルトとゲートウェイサービス間で、安全で暗号化された接続を確立するために必要です。
Keeper KRelay (coturn) サーバー (krelay.keepersecurity.[com|eu|com.au|jp|ca|us])
ポート49152から65535までのTCPおよびUDPのアウトバウンドアクセス
指定されたポート範囲でアウトバウンドアクセスを確立するために必要です。
ゲートウェイでは、すべての暗号化および復号化処理をローカルで実行することでゼロ知識を保持します。Keeperクラウドとの通信にはKeeperシークレットマネージャーのAPIを使用します。
参考資料
最終更新