ETERNUS ディスクアレイのNAS管理を説明します。
ETERNUS ディスクアレイのNASを運用する場合に必要な基本システム構成を説明します。
図6.1 基本システム構成図
NASの設定は、運用管理サーバから行います。
運用管理サーバとETERNUS ディスクアレイを管理LANで接続します。運用管理サーバへのアクセスは、運用管理サーバまたは運用管理サーバとHTTPS通信が可能なネットワーク内にある端末のWebコンソールから行います。
NASの利用は業務LAN上のクライアントから行います。
NASの共有フォルダにアクセスするクライアントとETERNUS ディスクアレイは業務LANで接続します。また、NASアクセスに対する認証管理を行うための「認証サーバ」と名前解決を行うための「DNSサーバ」を業務LAN上に設定します。
ポイント
NASファイルシステムに認証機構を構築しない場合は、システム上に認証サーバを設置する必要はありません。
認証機構を構築しない場合は、すべての業務LAN上のクライアントからNASファイルシステムにアクセスできます。その場合、意図しないクライアントからのアクセスも可能になるため、認証サーバの設定をお勧めします。
本製品では、ETERNUS ディスクアレイのNAS運用を行うため、以下の機能を提供します。
NASファイルシステムの導入時に必要な「共有フォルダの作成」と「NASインターフェースの作成」を、ウィザードを用いて簡単に設定できます。
ETERNUS ディスクアレイのNASとして使用するリソースの構成情報を、Webコンソールで確認できます。また、障害が発生した場合は、Webコンソールのイベントログに障害内容が表示されます。
ETERNUS ディスクアレイのNASファイルシステムで使用している領域の容量監視を、ブロックボリュームと同等レベルで実施できます。
ETERNUS ディスクアレイの以下の資源に対する性能監視を実施できます。
NASボリューム
NASシステム
参考
NASポートに対しては、性能監視および閾値監視機能を使用できません。
NASボリュームおよびNASシステムに対しては、閾値監視機能を使用できません。
NASボリュームからNASバックアップボリュームへのバックアップ/リストアをQuickOPCによって実現します。NASバックアップボリュームを別Diskに作成することで、NASボリュームのDisk故障によるデータの消失を回避できます。また、NASバックアップボリュームをRead-Onlyで参照できるため、クライアントからファイル単位でNASボリュームへ書き戻すことが可能です。
指定したスケジュールに従ってスナップショットを自動採取する機能です。NASボリュームのスナップショット採取をSnapOPC+によって実現します。指定世代分のNASボリュームのスナップショットを保管でき、スナップショットからファイルやフォルダを管理者レスで復元できます。
ユーザーまたはグループの使用可能な容量の上限を管理する機能です。一部のユーザーまたはグループがディスク容量を大量に浪費することによる全体資源の枯渇を未然に防ぎます。
ウイルス対策セキュリティベンダーが提供するウイルス対策サーバを登録することで、共有フォルダ配下のファイルへのアクセスをチェックし、ウイルスの検出と対処を自動で実施します。NAS環境に存在するデータへのウイルス/不正プログラムの感染を防ぎます。
ETERNUS ディスクアレイのNAS運用を行うため、Webコンソールで以下を設定します。
共有フォルダとは、NASファイルシステムとしてネットワーク上に公開されたフォルダを指します。本製品では、共有フォルダを作成して、アクセス制御を設定することやバックアップやスナップショットを採取することが可能です。
Webコンソールから共有フォルダを作成する場合は、以下のリソースが同時に作成されます。
リソース | 内容 |
|---|---|
共有フォルダの作成先のボリュームです。 | |
NASボリュームのバックアップ用のボリュームです。 | |
NASボリュームのスナップショット用のボリュームです。 | |
NAS制御用の複数のボリュームです。 | |
NASボリュームをバックアップするときに使用するコピーグループです。 | |
NASボリュームとNASバックアップボリュームのコピーペアです。 |
本製品で作成された共有フォルダへは以下のプロトコルを使用してアクセスできます。以下のプロトコルは同時利用が可能なので、1つの共有フォルダに対してUNIX系とWindowsそれぞれのクライアントからアクセスできます。
NASインターフェースとは、業務LAN上で共有フォルダにアクセスするための公開用のIPアドレスと、そのIPアドレスを割当てるポートの情報を管理するネットワークインターフェースの定義情報を指します。VLAN機能を用いることで、1つのポートに対して複数のIPアドレスを割当てることが可能です。
参考
共有フォルダとNASインターフェースに関連はありません。どのNASインターフェースからでも同じ共有フォルダを参照可能です。
NASインターフェースを割り当てたポートは、単体としてアクセスする方法と、2つのポートを組み合わせることによりアクセスする方法があります。本製品から設定できる接続形態は、以下のとおりです。
2つのポートを用いて、それぞれにIPアドレスを設定する方法です。2つのポートは常に有効であり、どちらのポートからでも共有フォルダにアクセス可能です。また、クライアントには2通りのIPアドレスを公開でき、帯域の負荷分散が可能です。片方のポートがダウンした際は、自動的にもう片方のポートにIPアドレス設定を引き継ぐことができるため、ダウン後も同じIPアドレスで運用を継続できます。
参考
ポートダウン時は、片方のポートだけの運用となるため、2つのポートを用いた負荷分散はできなくなります。
2つのポートを用いて、1つのIPアドレスを設定する方法です。2つのうち、片方のポートだけ有効(Activeポート)であり、もう片方のポートは無効(Standbyポート)となります。Activeポートがダウンしたときは、自動的に有効になるStandbyポートにIPアドレス設定を引き継ぐことができ、ダウン後も同じIPアドレスを用いて同じ帯域での運用を継続できます。
1つのポートを用いて、1つのIPアドレスを設定する方法です。ポートがダウンしたときは、共有フォルダにアクセスできなくなります。
参考
ポートダウン時に運用を継続するために、冗長化されているActive-Active接続またはActive-Standby接続に設定することをお勧めします。
また、通信速度と耐故障性の向上を目的として、複数の物理ポートを束ねて1つの論理ポートとして扱うことができます。さらに、その論理ポートに対してNASインターフェースを割り当てます(結合ポート)。結合ポートの通信用のポートを決定する方法として、動作モードとハッシュポリシーを選択します。
ネットワークを束ねて通信速度を向上させます。
「図6.2 通信速度向上」は、100Mbpsのネットワークを3本束ねているので、最大300Mbpsで通信します。
図6.2 通信速度向上
束ねたネットワークのどれかで通信故障が発生しても、残りのネットワークで通信を継続します。
「図6.3 耐故障性向上」は、3本のネットワークのうち1本が故障しているので、残りの2本で最大200Mbpsの通信を継続します。
図6.3 耐故障性向上
NASサーバ名とは、ETERNUS ディスクアレイに設定される一意の名前です。
ETERNUS ディスクアレイに設定されるNASサーバ名をDNSサーバに登録することで、NASサーバ名を指定してCIFSプロトコルの共有フォルダにアクセスできます。
NASを運用する場合に使用するDNSサーバを設定します。
IPv4とIPv6それぞれに対し、DNSサーバを最大2台まで設定できます。
本製品では、共有フォルダへのアクセス制御を行うために、ドメインコントローラーを用いた認証機構を提供します。
ドメインコントローラーは、ネットワーク上の個々のクライアントのアカウント情報を一元的に管理し、それぞれのクライアントに対する認証やアクセス許可を行います。
本製品のシステム環境では、認証サーバがダウンした場合の予備サーバとして、各認証方式について最大3台まで認証サーバを登録できます。
本製品がサポートしている認証方式は、以下のとおりです。
Active DirectoryによるKerberos認証方式
Kerberosとは、接続するクライアントを正しく設定するためのネットワーク認証プロトコルです。クライアントから受け取るパスワードを認証してチケットを発行します。認証されたクライアントは、チケットを利用することでネットワークサービスを利用できます。
CIFSプロトコルで共有フォルダにアクセスする場合、かつディレクトリやファイルに対してアクセス管理を行う場合は、本認証方式を使用して認証やアクセス制御を行うために、Active Directoryを搭載した認証サーバを登録します。
LDAPとは、ディレクトリサービスにアクセスするためのプロトコルです。ディレクトリサービスでは、ネットワーク機器やクライアントのアカウント情報を一元的に管理することで、検索などの機能を容易に使用できます。
NFSプロトコルで共有フォルダにアクセスする場合、かつディレクトリやファイルに対してアクセス管理を行う場合は、本認証方式を使用して認証やアクセス制御を行うために、LDAPを搭載した認証サーバを登録します。
ETERNUS ディスクアレイにおけるNAS環境のバックアップの概要を説明します。
参照
NAS環境のバックアップ運用は、『ETERNUS SF AdvancedCopy Manager 運用ガイド Copy Control Module編』の「NAS環境のバックアップ」を参照してください。
Webコンソールで設定したNASボリューム全体を、NASバックアップボリュームへバックアップできます。また、NASバックアップボリュームから、NASボリューム全体をリストアできます。
図6.4 NASボリュームのバックアップ/リストア
参考
NASボリュームのバックアップは、Webコンソールで実行または運用管理サーバからコマンドで実行できます。NASボリュームのリストアは、Webコンソールだけで実行できます。
NASバックアップボリュームからファイル単位にデータを復元する場合は、NASバックアップボリュームをマウントし、手動でファイルを書き戻します。
1台のETERNUS ディスクアレイに作成可能なNASボリュームおよびNASバックアップボリュームの本数は、装置のモデルおよびファームウェア版数によって異なります。詳細は、ETERNUS ディスクアレイ付属のマニュアルを参照してください。
NASボリュームのバックアップ先であるNASバックアップボリュームを、NAS環境にRead-Onlyでマウントできます。NASバックアップボリュームをマウントすることにより、クライアントからバックアップ時点の個々のファイルをユーザー自身でNASボリュームに書き戻せます。また、マウントしたNASバックアップボリュームは、利用が終わった時点でアンマウントできます。
図6.5 NASバックアップボリュームのマウント/アンマウント
参考
NASバックアップボリュームのマウント/アンマウントは、Webコンソールから操作できます。
NASバックアップボリュームのマウント中は、NASボリュームをバックアップ/リストアできません。
マウント後のNASバックアップボリューム上の共有フォルダ名は、バックアップ時の共有フォルダ名+"$bak"です。なお、NASバックアップボリュームの共有フォルダ名は、Webコンソールに表示されません。
ETERNUS ディスクアレイにおけるNAS環境のスナップショット機能の概要を説明します。
NASスナップショットでは、任意のタイミングでの定期的なスナップショットの採取および採取したスナップショットをクライアントから参照できます。NASボリュームのスナップショットをSnapOPC+によって実現します。NASボリュームの世代管理や操作ミスによるフォルダおよびファイルの削除に対する復元を目的として提供します。
NASスナップショット機能は、Webコンソールからスナップショットの設定を実行することで使用できます。
以下の項目を設定します。
スナップショット世代数
保持したいスナップショットの世代数を設定します。
設定可能な世代数は、装置のモデルおよびファームウェア版数によって異なります。ETERNUS ディスクアレイに付属のマニュアルを参照してください。
スケジュール設定
スナップショットを採取するスケジュールの設定です。毎週の指定した曜日の時間または毎日の指定した時間にスナップショットを採取します。
図6.6 NASスナップショットの概要
注意
アプリケーションからボリュームにアクセスしている最中にスナップショットを採取した場合、中途半端なデータがボリュームに書き込まれた時点のスナップショットが作成されることがあります。この場合、スナップショット内のデータの整合性は保証されず、スナップショットに含まれるファイルを操作できなくなったり、ファイル内容が不完全になったりします。
一般的に、データの整合性があるスナップショットを採取するには、ボリュームにアクセスしているアプリケーションを事前に停止しておく必要があります。
スナップショット内のデータ不整合を検出した場合に世代を遡って正しいデータを参照できるように、スナップショットの採取スケジュールおよび世代数を設定してください。
装置の保守期間や長期休暇などによりNASボリュームの更新が一時的に行われない場合、スナップショットの採取を停止させることで、過去のスナップショットが上書きされることを防ぎます。スナップショットの採取を再開する場合は、スナップショットの採取の開始を実行します。停止前のスナップショットを引き継いだ状態で、スナップショットの採取を再開できます。
図6.7 スナップショット採取の停止/開始
ETERNUS ディスクアレイにおけるNAS環境のクォータ管理の概要を説明します。
クォータ管理では、リソースの使用可能量を制限できます。一部のユーザーがディスク容量を浪費することによる全体資源の枯渇を未然に防ぐことができます。
共有フォルダの所有者であるユーザーやグループに対し、ディスク使用量とファイル数の制限を設定できます。以下の2つの値を設定できます。
制限値
実際に使用できる上限値です。制限値を超えるデータ更新を実施した場合、更新がエラーとなります。
警告値
制限値到達前の予兆通知を行うための値です。警告値を超えるデータ更新を実施した場合、運用管理サーバへSNMPトラップでイベントが通知されます。
ポイント
制限値を超過して使用してもエラーにならない場合があります。そのときは、最大でディスク使用量制限値+2GBまで使用されます。
クォータ設定済みのNASボリュームに対してバックアップを実行した場合、クォータ設定情報も同時にバックアップされます。そのため、リストアした場合はバックアップ時点のクォータ設定が適用されます。
図6.8 クォータ管理の概要
参考
「6.6.3.3 NASファイルシステムの環境設定」で設定した認証サーバに登録されているユーザーおよびグループに対し、クォータ設定します。
メール通知やSystemwalker Centric Manager連携の機能を使用することでクォータ管理の制限値および警告値の超過をメールで通知できます。詳細は「6.3 イベント表示・連携」を参照してください。
クォータ管理では次の場合にSNMPトラップが運用管理サーバに通知されます。
制限値に到達した状態で、データ更新またはファイル作成を行おうとしてエラーが発生した(制限値超過)
警告値を超えた(予兆)
警告値以下に戻った
通知されたイベントはWebコンソールのクォータ管理のログ画面で確認できます。ログの保持期間は30日です。
参照
クォータ管理のログ画面の表示手順は、『ETERNUS SF Webコンソール説明書』の「クォータ情報の表示」を参照してください。
ポイント
イベントは、種類(警告値超過、制限値超過、および警告値解除)ごとにまとめられ、10分間に1回通知されます。
制限値超過のイベントは、制限値に到達した状態で、データ更新またはファイル作成を行おうとしてエラーになったときに通知されます。
ETERNUS ディスクアレイにおけるNAS環境のウイルス対策の概要を説明します。
ウイルス対策機能は、ウイルス対策セキュリティベンダーが提供するウイルス対策サーバと連携し、NAS環境に存在するデータへのウイルス/不正プログラムの感染を防ぎます。
クライアントからファイルにアクセスすると、登録しているウイルス対策サーバが、対象ファイルをチェックします。
クライアントから、ETERNUS ディスクアレイの共有フォルダ内のファイルへアクセス
ETERNUS ディスクアレイからウイルス対策サーバへ、対象ファイルのウイルスチェックを指示
ウイルス対策サーバが、対象ファイルをチェック
ウイルス/不正プログラムを検出した場合、検出ログをログ用フォルダに出力
ウイルス/不正プログラムを検出した場合、検出結果をWebコンソールに通知
ポイント
ウイルス対策機能は、プロトコルがCIFSの共有フォルダだけを対象とします。
ウイルス対策サーバは、ETERNUS ディスクアレイの2つのCMから通信できるように、NASインターフェースを設定する必要があります。
複数台のウイルス対策サーバを設置することを推奨します。ETERNUS ディスクアレイがウイルス対策サーバと通信できない場合、クライアントからNAS環境に存在するファイルへアクセスできなくなります。
登録できるウイルス対策サーバの台数は、ETERNUS ディスクアレイに付属のマニュアルを参照してください。
ウイルス対策サーバのアクティベーションコードは、ETERNUS ディスクアレイごとに用意してください。
ウイルス対策機能は、書込み権限がある共有フォルダを対象とします。
書込み権限がない共有フォルダはスキャンされません。
ウイルス対策サーバのIPアドレスには、IPv6リンクローカルアドレスを利用できません。IPv6を使用する場合は、IPv6グローバルアドレスを設定してください。
FQDNを使用する場合は、IPv6リンクローカルアドレスに変換されないように設定してください。
ウイルス対策サーバがウイルスを検出すると、自動的に対処します。
ウイルス対策サーバが実施した対処を、以下の手順で確認してください。
共有フォルダにアクセスし、ログを確認します。ログは、以下のフォルダに出力されます。
\\<NASインターフェースのIPアドレス>\<共有フォルダ名>\.evscan\log
ログファイル名は、以下のとおりです。
最新のログ
viruslog_YYYY_MM.txt
YYYY: 西暦年、MM: 月(1~12)
過去のログ
viruslog_YYYY_MM_partN.txt
YYYY: 西暦年、MM: 月(1~12)、N: 管理番号(1から始まる10進数)
参照
ログの詳細は、ログに出力されるメッセージを参照してください。対処は、ETERNUS ディスクアレイに付属のマニュアルを参照してください。
ログの内容から、ウイルス対策サーバで実施された対処を確認します。
検出した内容を詳しく確認したい場合は、ログと対象のファイルをベンダーに提示して確認します。
ウイルス対策サーバによって隔離されたファイルは、以下のフォルダにあります。
\\<NASインターフェースのIPアドレス>\<共有フォルダ名>\.evscan\quarantine
ポイント
ログ出力先の容量が不足した場合、SNMPトラップが通知されます。通知された場合、以下の対処をして容量を確保してください。
NASボリュームを拡張する
不要になった過去のログや.evscan\quarantineフォルダ内のファイルを削除する
クォータ管理を設定している場合、制限値を上げる
.evscan\logフォルダ内のログの保持期間は、90日です。
ウイルス対策では、次の場合にSNMPトラップが運用管理サーバに通知されます。
ウイルスを検出した
パターンファイルが2日以上更新されていない
スキャンエンジンが最新ではない
パターンファイル/スキャンエンジンが更新された
ウイルス対策サーバと通信できない
ウイルス対策サーバとの通信が回復した
アクティベーションコードの有効期限まで30日になった
アクティベーションコードの有効期限が切れた
通知されたイベントは、Webコンソールのウイルス対策のログ画面で確認できます。ログの保持期間は90日です。
参照
ウイルス対策のログ画面の表示手順は、『ETERNUS SF Webコンソール説明書』の「ウイルス対策情報の表示」を参照してください。
ETERNUS ディスクアレイのNASオプションが持つ機能は、以下の環境で使用できます。
対象 | 環境 |
|---|---|
プラットフォーム | ETERNUS SF Managerが動作するプラットフォーム |
必須ライセンス |
|
ETERNUS ディスクアレイ | ETERNUS DX100 S3/DX200 S3/DX500 S3/DX600 S3 |
必須オプション | NASオプション |
エージェント | Storage Cruiserエージェントは不要 |
ドメインコントローラーによる認証方式 (注3) | [CIFSプロトコルでアクセスする場合] Active Directory [NFSプロトコルでアクセスする場合] LDAP |
ウイルス対策サーバ | Trend Micro Storage Security for FUJITSU Storage ETERNUS DX S3 series |
注1: NASファイルシステムを構築するために必要です。
注2: NASボリュームをバックアップするために必要です。
注3: NASファイルシステムに対して認証サーバを用いたアクセス制御を行うときに必要です。認証サーバの設定がない場合は、すべてのアクセスを許可します。
