OneFS 8.1 Web管理ガイド - Dell · このガイドの概要 21 このガイドについて........

IsilonOneFSバージョン 8.1.0

Web管理ガイド

Copyright © 2001-2017 EMC ジャパン株式会社 All rights reserved. （不許複製・禁無断転載）

2017年 5月発行

掲載される情報は、発信現在で正確な情報であり、予告なく変更される場合があります。

本文書に記載される情報は、「現状有姿」の条件で提供されています。本文書に記載される情報に関する、どのような内容についても表明保証条項を設けず、特に、商品性や特定の目的に対する適応性に対する黙示的保証はいたしません。この資料に記載される、いかなる Dell ソフトウェアの使用、複製、頒布も、当該ソフトウェアライセンスが必要です。

Dell、EMC、および Dell または EMC が提供する製品及びサービスにかかる商標は Dell Inc.またはその関連会社の商標又は登録商標です。その他の商標は、各社の商標又は登録商標です。Published in the USA.

EMC ジャパン株式会社〒 151-0053 東京都渋谷区代々木 2-1-1 新宿マインズタワーwww.DellEMC.com/ja-jp/index.htmお問い合わせはwww.DellEMC.com/ja-jp/index.htm

2 OneFS 8.1.0 Web管理ガイド

このガイドの概要 21このガイドについて.......................................................................................... 22Isilon スケールアウト NAS の概要....................................................................22IsilonSD Edge の概要.................................................................................. 22サポートの問い合わせ先................................................................................. 22

Isilon スケールアウト NAS 25OneFS ストレージアーキテクチャ......................................................................26Isilon ノードコンポーネント.............................................................................. 26内部ネットワークと外部ネットワーク................................................................... 27Isilon クラスター............................................................................................. 27

クラスター管理.................................................................................. 27Quorum......................................................................................... 28スプリットとマージ............................................................................... 29ストレージプール...............................................................................29

OneFS オペレーティングシステム......................................................................29データアクセスプロトコル....................................................................30ID管理とアクセス制御...................................................................... 30

ファイルシステムの構造................................................................................... 31データレイアウト................................................................................32ファイルの書き込み............................................................................ 32ファイルの読み取り.............................................................................32メタデータの配置...............................................................................33ロックと並列性.................................................................................. 33ストライピング....................................................................................33

データ保護の概要......................................................................................... 34N+M データ保護..............................................................................35データミラーリング..............................................................................35ファイルシステムジャーナル.................................................................36VHS（仮想ホットスペア）................................................................36保護とストレージ領域のバランシング.................................................... 36

VMware の統合...........................................................................................36ソフトウェアモジュール..................................................................................... 36

一般的なクラスター管理 39一般的なクラスター管理の概要.......................................................................40ユーザーインターフェイス..................................................................................40クラスターへの接続..........................................................................................41

Web管理インターフェイスへのログイン...................................................41クラスターへの SSH接続を開く........................................................... 42

ライセンス......................................................................................................42ソフトウェアライセンス.........................................................................43ハードウェアの階層............................................................................ 43ライセンスのステータス........................................................................ 43ライセンスの追加と削除..................................................................... 44

第 1章

第 2章

第 3章

目次

OneFS 8.1.0 Web管理ガイド 3

評価版ライセンスのアクティベーション....................................................46証明書........................................................................................................ 47

TLS証明書の交換または更新...........................................................47SSL証明書更新の確認...................................................................52自己署名 SSL証明書データの例...................................................... 52

クラスタの ID..................................................................................................53クラスタ名と連絡先情報の設定.......................................................... 53

クラスターの日付と時間.................................................................................. 54クラスターの日時の設定.....................................................................54NTP タイムサーバーの指定............................................................... 54

SMTP メール設定.........................................................................................55SMTP メール設定の構成..................................................................55

クラスターの参加モードの構成......................................................................... 56クラスター参加モードの指定................................................................56

ファイルシステムの設定...................................................................................57アクセス時間トラッキングの有効化または無効化....................................57クラスター文字エンコードの指定...........................................................57

セキュリティの強化..........................................................................................58STIG強化プロファイル.......................................................................59セキュリティ強化プロファイルの適用...................................................... 59セキュリティ強化プロファイルの復元...................................................... 60セキュリティ強化ステータスの表示.........................................................61

クラスターの監視............................................................................................62クラスターの監視...............................................................................62ノードのステータスの表示....................................................................63

クラスターハードウェアの監視........................................................................... 64ノードハードウェアステータスの表示.....................................................64シャーシとドライブの状態.................................................................... 64バッテリーステータスの確認.................................................................67SNMP モニタリング........................................................................... 68

イベントとアラート............................................................................................ 71イベントの概要.................................................................................. 71イベントグループの概要..................................................................... 72アラートの概要..................................................................................72チャネルの概要................................................................................. 72イベントグループの変更と表示............................................................72アラートの管理..................................................................................73チャネルの管理................................................................................. 75保守とテスト.....................................................................................79

クラスターのメンテナンス................................................................................... 81ノードコンポーネントの交換.................................................................81ノードコンポーネントのアップグレード..................................................... 82ドライブの ARR（Automatic Replacement Recognition）.................82ドライブのファームウェアの管理............................................................. 83クラスターノードの管理...................................................................... 88OneFS のアップグレード......................................................................91

リモートサポート............................................................................................. 91EMC セキュアリモートサービスサポートの構成..................................... 92リモートサポートスクリプト.................................................................. 94ESRS の有効化と構成..................................................................... 97

目次


アクセスゾーン 101アクセスゾーンの概要 .................................................................................. 102ベースディレクトリのガイドライン.......................................................................102アクセスゾーンのベストプラクティス.................................................................. 103SyncIQ セカンダリクラスタ上のアクセスゾーン...................................................104アクセスゾーンの制限................................................................................... 104サービス品質............................................................................................... 104アクセスゾーンの管理................................................................................... 105

アクセスゾーンの作成...................................................................... 105重複ベースディレクトリの割り当て...................................................... 106アクセスゾーンでの認証プロバイダーの管理......................................... 106IP アドレスプールのアクセスゾーンへの関連づけ...................................107アクセスゾーンの変更.......................................................................107アクセスゾーンの削除...................................................................... 108アクセスゾーンの一覧表示............................................................... 108

認証 109認証の概要................................................................................................. 110認証プロバイダーの機能.................................................................................110SID（セキュリティ識別子）ヒストリの概要........................................................ 110サポートされている認証プロバイダー.................................................................. 111Active Directory......................................................................................... 111LDAP......................................................................................................... 112NIS............................................................................................................ 113Kerberos認証............................................................................................ 113

キータブと SPN の概要..................................................................... 114MIT Kerberos プロトコルのサポート....................................................114

ファイルプロバイダー....................................................................................... 114ローカルプロバイダー......................................................................................115Active Directory プロバイダーの管理............................................................. 115

Active Directory プロバイダーの構成................................................ 115Active Directory プロバイダーの変更................................................ 116Active Directory プロバイダーの削除.................................................117Active Directory プロバイダーの設定.................................................117

LDAP プロバイダーの管理.............................................................................. 118LDAP プロバイダーの構成................................................................. 118LDAP プロバイダーの変更................................................................. 119LDAP プロバイダーの削除................................................................ 120LDAP クエリー設定..........................................................................120LDAP の詳細設定.......................................................................... 121

NIS プロバイダーの管理................................................................................ 123NIS プロバイダーの構成....................................................................123NIS プロバイダーの変更....................................................................124NIS プロバイダーの削除....................................................................124

MIT Kerberos認証の管理.......................................................................... 124MIT Kerberos領域の管理............................................................. 124MIT Kerberos プロバイダーの管理.................................................... 126MIT Kerberos ドメインの管理.......................................................... 129

ファイルプロバイダーの管理.............................................................................131ファイルプロバイダーの構成................................................................ 131パスワードファイルの生成.................................................................. 132

第 4章

第 5章

目次


パスワードファイルの形式.................................................................. 132グループファイルの形式.................................................................... 134ネットグループファイルの形式............................................................. 134ファイルプロバイダーの変更............................................................... 135ファイルプロバイダーの削除............................................................... 135

ローカルユーザーおよびグループの管理............................................................ 135プロバイダーごとのユーザーまたはグループリストの表示.......................... 135ローカルユーザーの作成................................................................... 136ローカルグループの作成....................................................................137ローカルユーザーおよびグループの命名規則........................................ 138ローカルユーザーの変更................................................................... 138ローカルグループの変更................................................................... 138ローカルユーザーの削除................................................................... 139ローカルグループの削除................................................................... 139

管理者の役割と権限 141役割に基づくアクセス制御............................................................................. 142Roles......................................................................................................... 142

カスタム役割................................................................................... 142組み込みの役割............................................................................. 143

権限.......................................................................................................... 146サポートされている OneFS の権限..................................................... 147データバックアップおよびリストア権限...................................................150コマンドラインインターフェイス権限..................................................... 150

役割の管理................................................................................................ 154カスタム役割の作成.........................................................................154役割の変更................................................................................... 154役割のコピー.................................................................................. 155カスタム役割への権限の追加............................................................155役割へのメンバーの追加.................................................................. 155カスタム役割の削除.........................................................................156役割の表示................................................................................... 156権限の表示................................................................................... 156

ID管理 157ID管理の概要............................................................................................ 158ID タイプ......................................................................................................158アクセストークン........................................................................................... 159アクセストークンの生成................................................................................. 160

ID マッピング....................................................................................160ユーザーマッピング........................................................................... 162オンディスク ID................................................................................ 164

ID マッピング管理......................................................................................... 166ID マッピングの作成..........................................................................166ID マッピングの変更..........................................................................166ID マッピングの削除..........................................................................166ID マッピングの表示..........................................................................167ID マッピングキャッシュのフラッシュ....................................................... 167ユーザートークンの表示................................................................... 168ID マッピング設定の構成.................................................................. 168

第 6章

第 7章

目次


ID マッピング設定の表示.................................................................. 169ユーザー ID の管理.......................................................................................169

ユーザー ID の表示..........................................................................169ユーザーマッピングルールの作成........................................................170ユーザーマッピングルールのテスト....................................................... 171Windows と UNIX のトークンのマージ................................................ 172LDAP からプライマリグループを取得................................................... 173マッピングルールのオプション...............................................................174マッピングルール演算子....................................................................175

ホームディレクトリ 179ホームディレクトリの概要............................................................................... 180ホームディレクトリの権限............................................................................... 180SMB ユーザーの認証................................................................................... 180SMB によるホームディレクトリの作成.............................................................. 180

拡張変数を使用したホームディレクトリの作成..................................... 181--inheritable-path-acl オプションでのホームディレクトリの作成............. 182SMB共有%U変数での特別なホームディレクトリの作成.....................183

SSH および FTP によるホームディレクトリの作成.............................................. 184SSH または FTP ログインシェルの設定 ............................................. 184SSH/FTP ホームディレクトリ権限の設定...........................................185SSH/FTP ホームディレクトリ作成オプションの設定.............................. 186ドットファイルを使用したホームディレクトリのプロビジョニング................... 186

混在環境でのホームディレクトリの作成........................................................... 187ACL とモードビットの相互作用.......................................................................187認証プロバイダーでのデフォルトホームディレクトリの設定....................................188サポートされる拡張変数................................................................................189ホームディレクトリプロビジョニングでのドメイン変数............................................. 191

データアクセス制御 193データアクセス制御の概要............................................................................ 194ACL........................................................................................................... 194UNIX権限................................................................................................. 195権限が混在する環境................................................................................... 195

Windows で作成されたファイルの NFS アクセス...................................195UNIX で作成されたファイルへの SMB アクセス.....................................195

アクセス権限の管理..................................................................................... 196予期されるユーザー権限の表示........................................................ 196アクセス管理設定の構成..................................................................197ACL ポリシー設定の変更................................................................. 198ACL ポリシーの設定........................................................................ 199PermissionsRepair ジョブの実行.....................................................204

ファイル共有 207ファイル共有の概要......................................................................................208

プロトコル混在環境.........................................................................208SmartCache を使用したライトキャッシュ........................................... 209

SMB..........................................................................................................210アクセスゾーンの SMB共有..............................................................211SMB マルチチャネル......................................................................... 211

第 8章

第 9章

第 10章

目次


MMC を通じた SMB共有管理........................................................213SMB サーバー側のコピー..................................................................214SMB の継続的な可用性.................................................................214SMB ファイルのフィルタリング..............................................................216シンボリックリンクと SMB クライアント.................................................. 216SMB共有への匿名アクセス............................................................. 218SMB設定の管理...........................................................................218SMB共有の管理.......................................................................... 222

NFS.......................................................................................................... 228NFS エクスポート............................................................................ 228NFS エイリアス............................................................................... 229NFS ログファイル............................................................................ 229NFS サービスの管理....................................................................... 230NFS エクスポートの管理...................................................................231NFS エイリアスの管理..................................................................... 238

FTP.......................................................................................................... 240FTP ファイル共有の有効化と構成.................................................... 240

HTTP および HTTPS...................................................................................241HTTP の有効化と構成....................................................................241

ファイルフィルタリング機能 243アクセスゾーンでのファイルのフィルタリング.........................................................244アクセスゾーンでのファイルフィルタリングの有効化と構成....................................244アクセスゾーンでのファイルフィルタリング設定の変更......................................... 245ファイルフィルタリング設定の表示................................................................... 245

監査 247監査の概要................................................................................................248システムログ................................................................................................ 248

システムログの転送......................................................................... 248プロトコル監査イベント..................................................................................249サポートされる監査ツール..............................................................................249複数の CEE サーバへのプロトコル監査イベントのデリバリ................................... 250サポートされるイベントタイプ..........................................................................250監査ログの例　............................................................................................252監査設定の管理.........................................................................................252

プロトコルアクセス監査の有効化...................................................... 253プロトコルアクセスイベントのシステムログへの転送 .............................. 254システム構成監査の有効化.............................................................254監査ホスト名の設定....................................................................... 255プロトコル監査対象ゾーンの構成...................................................... 255システム構成変更のシステムログへの転送..........................................256プロトコルのイベントフィルターの構成................................................. 256

EMC Common Event Enabler との統合...................................................... 257Windows用 CEE のインストール......................................................257Windows用 CEE の構成...............................................................258プロトコル監査イベントデリバリのための CEE サーバ構成......................259

プロトコル監査イベントデリバリのトラッキング.................................................... 259CEE サーバおよびシステムログへのイベントデリバリのタイムスタンプの表示....259

第 11章

第 12章

目次


CEE フォワーダーのログの位置の移動................................................ 260プロトコル監査イベントの CEE サーバへのデリバリ率の表示................... 260

スナップショット 261スナップショットの概要................................................................................... 262SnapshotIQ によるデータ保護...................................................................... 262スナップショットのディスク領域使用量.............................................................. 262スナップショットスケジュール............................................................................263スナップショットエイリアス................................................................................263ファイルとディレクトリのリストア......................................................................... 263スナップショット作成のベストプラクティス........................................................... 264スナップショットスケジュール作成のベストプラクティス......................................... 264ファイルクローン........................................................................................... 265

シャドウストアに関する考慮事項...................................................... 266スナップショットロック..................................................................................... 266スナップショット予約...................................................................................... 267SnapshotIQ ライセンスの機能...................................................................... 267SnapshotIQ を使用したスナップショットの作成.................................................267

SnapRevert ドメインの作成............................................................ 268スナップショットスケジュールの作成.....................................................268スナップショットの作成...................................................................... 269スナップショットの命名パターン........................................................... 270

スナップショットの管理 .................................................................................. 273スナップショットのディスク領域使用量の削減........................................273スナップショットの削除.......................................................................273スナップショット属性の変更............................................................... 274スナップショットへのスナップショットエイリアスの割り当て.......................... 274スナップショットの表示.......................................................................274スナップショット情報......................................................................... 275

スナップショットデータのリストア....................................................................... 275スナップショットの復元...................................................................... 275Windows エクスプローラーを使用したファイルまたはディレクトリのリストア.. 276UNIX コマンドラインを使用したファイルまたはディレクトリのリストア...........276スナップショットからのファイルのクローン.................................................277

スナップショットスケジュールの管理..................................................................277スナップショットスケジュールの変更..................................................... 277スナップショットスケジュールの削除.....................................................278スナップショットスケジュールの表示.....................................................278

スナップショットエイリアスの管理......................................................................278スナップショットスケジュールのスナップショットエイリアスの構成.................278スナップショットへのスナップショットエイリアスの割り当て.......................... 279ライブファイルシステムへのスナップショットエイリアスの再割り当て........... 279スナップショットエイリアスの表示.........................................................279スナップショットエイリアス情報........................................................... 280

スナップショットロックの管理........................................................................... 280スナップショットロックの作成.............................................................. 280スナップショットロックの有効期限の変更..............................................281スナップショットロックの削除............................................................... 281スナップショットロック情報................................................................. 282

SnapshotIQ設定の構成............................................................................ 282SnapshotIQ設定..........................................................................282

第 13章

目次


スナップショット予約の設定............................................................................ 283変更リストの管理........................................................................................ 284

変更リストの作成............................................................................284変更リストの削除............................................................................284変更リストの表示........................................................................... 285変更リスト情報.............................................................................. 285

SmartDedupe による重複排除 287重複排除の概要.........................................................................................288重複排除ジョブ........................................................................................... 288重複排除によるデータレプリケーションとバックアップ........................................... 289重複排除でのスナップショット......................................................................... 289重複排除に関する考慮事項........................................................................ 290シャドウストアに関する考慮事項................................................................... 290SmartDedupe ライセンスの機能....................................................................291重複排除の管理......................................................................................... 291

重複排除によって節約できるスペースの調査....................................... 291重複排除設定の指定.....................................................................292重複排除ジョブの開始またはスケジュール設定....................................292重複排除によって節約できるスペースの表示...................................... 293重複排除レポートの表示.................................................................293重複排除ジョブレポート情報........................................................... 293重複排除の情報............................................................................294

SyncIQ を使用したデータレプリケーション 297SyncIQ のデータレプリケーションの概要..........................................................298

IsilonSD Edge での SyncIQ へのアクセス..........................................298レプリケーションポリシーとジョブ.......................................................................298

自動化されたレプリケーションポリシー................................................ 299ソースクラスターとターゲットクラスターの関連づけ.................................300NAT を使用した SyncIQ ソースおよびターゲットクラスタの構成............. 301フルレプリケーションと差分レプリケーション........................................... 302レプリケーションジョブのリソース消費量の制御.....................................303レプリケーションポリシーの優先度...................................................... 303レプリケーションレポート................................................................... 303

レプリケーションスナップショット........................................................................304ソースクラスタースナップショット......................................................... 304ターゲットクラスタースナップショット.....................................................304

SyncIQ を使用したデータフェールオーバーおよびフェールバック............................305データフェールオーバー.....................................................................305データフェールバック.........................................................................306SmartLock コンプライアンスモードのフェールオーバーとフェールバック.......306SmartLock レプリケーションの制限事項............................................ 307

SyncIQ の復旧時間と目標.......................................................................... 308RPO アラート................................................................................. 308

レプリケーションポリシーの優先度...................................................................308SyncIQ ライセンスの機能............................................................................. 309レプリケーションポリシーの作成...................................................................... 309

レプリケーションからのディレクトリの除外.............................................. 309レプリケーションでのファイルの除外...................................................... 310

第 14章

第 15章

目次


ファイル条件オプション.......................................................................310デフォルトレプリケーションポリシー設定の構成..................................... 312レプリケーションポリシーの作成.......................................................... 313レプリケーションポリシーの評価..........................................................320

リモートクラスターへのレプリケーションの管理.................................................... 320レプリケーションジョブの開始............................................................. 320レプリケーションジョブの一時停止.......................................................321レプリケーションジョブの再開..............................................................321レプリケーションジョブのキャンセル....................................................... 321アクティブなレプリケーションジョブの表示.............................................. 321レプリケーションジョブの情報..............................................................321

SyncIQ を使用したデータフェールオーバーおよびフェールバックの開始..................322セカンダリクラスターへのデータフェイルオーバー.....................................322フェイルオーバー動作の復元............................................................. 323プライマリクラスタへのデータフェールバック............................................324

古い SmartLock ディレクトリのディザスタリカバリの実行.....................................325ターゲットクラスタでの SmartLock コンプライアンスディレクトリのリカバリ.. 325SmartLock コンプライアンスディレクトリの移行................................... 326

レプリケーションポリシーの管理.......................................................................327レプリケーションポリシーの変更..........................................................327レプリケーションポリシーの削除..........................................................328レプリケーションポリシーの有効化または無効化...................................328レプリケーションポリシーの表示..........................................................329レプリケーションポリシー情報.............................................................329レプリケーションポリシーの設定..........................................................329

ローカルクラスターへのレプリケーションの管理....................................................333ローカルクラスターへのレプリケーションのキャンセル................................ 333ローカルターゲットの関連づけの解除................................................. 333ローカルクラスターをターゲットとするレプリケーションポリシーの表示......... 333リモートレプリケーションポリシー情報................................................. 334

レプリケーションパフォーマンスルールの管理..................................................... 334ネットワークトラフィックルールの作成..................................................334ファイル操作ルールの作成................................................................ 335パフォーマンスルールの変更............................................................. 335パフォーマンスルールの削除............................................................. 335パフォーマンスルールの有効化または無効化.......................................335パフォーマンスルールの表示..............................................................336

レプリケーションレポートの管理...................................................................... 336デフォルトレプリケーションレポート設定の構成.................................... 336レプリケーションレポートの削除......................................................... 336レプリケーションレポートの表示..........................................................337レプリケーションレポート情報.............................................................337

失敗したレプリケーションジョブの管理............................................................. 338レプリケーションポリシーの解決..........................................................338レプリケーションポリシーのリセット....................................................... 338フルレプリケーションまたは差分レプリケーションの実行...........................339

FlexProtect を使用したデータレイアウト 341FlexProtect の概要....................................................................................342ファイルストライピング....................................................................................342リクエストされたデータ保護.............................................................................342

第 16章

目次


FlexProtect データリカバリ...........................................................................343SmartFail..................................................................................... 343ノード障害..................................................................................... 344

データ保護のリクエスト.................................................................................. 344リクエストされた保護設定..............................................................................345リクエストされた保護ディスク領域の使用量......................................................345

NDMPバックアップとリカバリの概要 347NDMPバックアップおよびリストアの概要..........................................................348

IsilonSD Edge の NDMPバックアップとリカバリ................................... 348NDMP 2方向バックアップ.............................................................................348NDMP 3方向バックアップ............................................................................ 349NDMP 3方向操作のための優先 IP の設定...................................................349NDMP マルチストリームのバックアップ/リカバリ................................................. 349スナップショットベースの増分バックアップ...........................................................350NDMP プロトコルのサポート...........................................................................351サポートされる DMA..................................................................................... 351NDMP ハードウェアのサポート........................................................................ 351NDMPバックアップの制限事項..................................................................... 352NDMP のパフォーマンスに関する推奨事項..................................................... 352NDMPバックアップからのファイルとディレクトリの除外......................................... 354基本 NDMPバックアップ設定の構成............................................................. 355

NDMPバックアップの構成と有効化...................................................355NDMPバックアップ設定の表示........................................................ 355NDMPバックアップの無効化............................................................356

NDMP ユーザーアカウントの管理..................................................................356NDMP管理者アカウントの作成.......................................................356NDMP ユーザーアカウントの表示.....................................................356NDMP管理者アカウントのパスワードの変更...................................... 357NDMP管理者アカウントの削除.......................................................357

NDMP環境変数の概要............................................................................. 357NDMP環境変数の管理................................................................ 357NDMP環境変数の設定................................................................ 358NDMP環境変数の追加................................................................ 358NDMP環境変数の表示................................................................ 359NDMP環境変数の編集................................................................ 359NDMP環境変数の削除................................................................ 359NDMP環境変数.......................................................................... 360バックアップ/リストア処理のための環境変数の設定.............................. 366

NDMP のコンテキストの管理.........................................................................367NDMP コンテキストの設定...............................................................367NDMP のコンテキストの表示............................................................367NDMP コンテキストの削除...............................................................368

NDMP セッションの管理............................................................................... 368NDMP セッション情報..................................................................... 368NDMP セッションの表示................................................................... 371NDMP セッションの中止................................................................... 371

NDMP のファイバーチャネルポートの管理....................................................... 371NDMPバックアップポートの設定....................................................... 371NDMPバックアップポートの有効化または無効化................................372NDMPバックアップポートの表示.......................................................372

第 17章

目次


NDMPバックアップポート設定の変更............................................... 373NDMP優先 IP設定項目の管理................................................................. 373

NDMP優先 IP設定の作成............................................................373NDMP優先 IP設定の変更............................................................373NDMP優先 IP設定のリスト........................................................... 374NDMP優先 IP設定の表示............................................................374NDMP優先 IP設定の削除............................................................374

NDMPバックアップデバイスの管理................................................................ 374NDMPバックアップデバイスの設定....................................................375NDMPバックアップデバイスの検出....................................................375NDMPバックアップデバイスの表示....................................................376NDMPバックアップデバイスの名前の変更..........................................376NDMPバックアップデバイスのエントリーの削除.................................... 377

NDMP ダンプ日付ファイルの概要...................................................................377NDMP ダンプ日付ファイルの管理......................................................377NDMP ダンプ日付ファイルの設定......................................................377NDMP ダンプ日付ファイルのエントリーの表示......................................378NDMP ダンプ日付ファイルのエントリーの削除......................................378

NDMP リストア処理.....................................................................................378NDMPパラレルリストア処理............................................................378NDMP シリアルリストア処理............................................................ 378NDMP シリアルリストア処理の指定.................................................. 379

クラスタ間のテープドライブの共有...................................................................379スナップショットベースの増分バックアップの管理.................................................379

ディレクトリのスナップショットベースの増分バックアップの有効化...............380スナップショットベースの増分バックアップのスナップショットの表示............. 380スナップショットベースの増分バックアップのスナップショットの削除............. 380

SmartLock によるファイル保存 381SmartLock の概要.....................................................................................382コンプライアンスモード...................................................................................382エンタープライズモード...................................................................................382SmartLock ディレクトリ................................................................................ 382IsilonSD Edge での SmartLock へのアクセス................................................. 383SmartLock によるレプリケーションとバックアップ.................................................383SmartLock ライセンスの機能........................................................................384SmartLock に関する考慮事項.....................................................................384コンプライアンスクロックの設定....................................................................... 385コンプライアンスクロックの表示....................................................................... 385SmartLock ディレクトリの作成...................................................................... 385

保存期間......................................................................................385自動コミット期間.............................................................................386空でないディレクトリへのエンタープライズディレクトリの作成....................386SmartLock ディレクトリの作成......................................................... 386

SmartLock ディレクトリの管理...................................................................... 387SmartLock ディレクトリの変更......................................................... 388SmartLock ディレクトリ設定の表示.................................................. 388SmartLock ディレクトリ構成の設定.................................................. 388

SmartLock ディレクトリのファイルの管理......................................................... 389UNIX コマンドラインを使用した保存期間の設定................................ 390Windows Powershell を使用した保存期間の設定........................... 390

第 18章

目次


UNIX コマンドラインを使用したファイルのWORM状態へのコミット........ 390Windows エクスプローラを使用したファイルのWORM状態へのコミット... 391SmartLock ディレクトリ内にあるすべてのファイルの保存期間の上書き.... 391WORM状態にコミットされたファイルの削除 ........................................391ファイルのWORM ステータスの表示.................................................. 392

保護ドメイン 393保護ドメインの概要..................................................................................... 394

IsilonSD Edge用の保護ドメイン......................................................394保護ドメインに関する考慮事項..................................................................... 394保護ドメインの作成..................................................................................... 395保護ドメインの削除..................................................................................... 395

処理中でないデータの暗号化 397処理中でないデータの暗号化の概要............................................................. 398

IsilonSD Edge の静止データ暗号化.................................................398自己暗号化ドライブ.....................................................................................398自己暗号化ドライブのデータセキュリティ..........................................................398自己暗号化ドライブで構成されたクラスタへのデータ移行...................................399シャーシとドライブの状態............................................................................... 399SmartFailed ドライブの REPLACE状態....................................................... 402SmartFailed ドライブの ERASE状態............................................................403

SmartQuotas 405SmartQuotas の概要................................................................................. 406クォータのタイプ............................................................................................ 406デフォルトクォータタイプ................................................................................ 407使用率のアカウンティングと制限..................................................................... 409ディスク使用量の計算...................................................................................410クォータ通知.................................................................................................411クォータ通知ルール........................................................................................ 411クォータレポート........................................................................................... 412クォータの作成............................................................................................. 413

アカウンティングクォータの作成...........................................................413強制クォータの作成......................................................................... 414

クォータの管理............................................................................................. 415クォータの検索................................................................................ 415クォータの管理................................................................................ 415クォータ構成ファイルのエクスポート...................................................... 416クォータ構成ファイルのインポート......................................................... 417

クォータ通知の管理...................................................................................... 417デフォルトクォータ通知設定の構成.................................................... 417カスタムクォータ通知ルールの構成..................................................... 418クォータのメール通知マッピングルール..................................................419

メールクォータ通知メッセージ..........................................................................419カスタムメール通知テンプレート変数の説明........................................420メールクォータ通知テンプレートのカスタマイズ....................................... 421

クォータレポートの管理.................................................................................422クォータレポートのスケジュールの作成................................................ 422クォータレポートの生成....................................................................422

第 19章

第 20章

第 21章

目次


クォータレポートの検索....................................................................423基本的なクォータ設定..................................................................................423アドバイザリ制限クォータ通知ルールの設定......................................................424ソフト制限クォータ通知ルールの設定.............................................................. 424ハード制限クォータ通知ルールの設定............................................................. 425制限通知の設定.........................................................................................426クォータレポートの設定.................................................................................427

ストレージプール 429ストレージプールの概要................................................................................430ストレージプール機能.................................................................................. 430

IsilonSD Edge でサポートされているストレージプールの機能................ 432自動プロビジョニング..................................................................................... 432ノードプール................................................................................................433

ノードクラスの互換性...................................................................... 434SSD互換性..................................................................................434手動ノードプール............................................................................435

仮想ホットスペア......................................................................................... 436スピルオーバー............................................................................................. 436推奨される保護.......................................................................................... 437保護ポリシー............................................................................................... 437SSD戦略.................................................................................................. 438その他の SSD ミラーの設定...........................................................................438グローバルネームスペースの高速化................................................................ 439L3 キャッシュの概要..................................................................................... 439

L3 キャッシュへの移行...................................................................... 441アーカイブクラスノードプールの L3 キャッシュ....................................... 441

階層..........................................................................................................442ファイルプールポリシー..................................................................................442Web管理インターフェイスでのノードプールの管理............................................ 443

階層へのノードプールの追加............................................................443ノードプールの名前または要求保護の変更........................................443ノードクラス互換性の作成............................................................... 444互換性のあるノードプールのマージ.................................................... 445ノードクラス互換性の削除...............................................................445SSD互換性の作成........................................................................446SSD互換性の削除........................................................................447

Web管理インターフェイスでの L3 キャッシュの管理........................................... 448L3 キャッシュをノードプールのデフォルトとして設定................................ 448特定のノードプールに L3 キャッシュを設定..........................................448ノードプールのストレージドライブへの SSD のリストア........................... 449

階層の管理................................................................................................449階層の作成...................................................................................449階層の編集...................................................................................450階層の削除...................................................................................450

ファイルプールポリシーの作成........................................................................ 451ファイルプールポリシーの作成...........................................................452ファイルプールポリシーのファイル一致オプション....................................452有効なワイルドカード文字................................................................ 454SmartPools の設定.......................................................................454

ファイルプールポリシーの管理........................................................................458

第 22章

目次


デフォルトファイルプール保護設定の構成.......................................... 458デフォルトファイルプールの要求された保護設定..................................458デフォルト I/O最適化設定の構成....................................................460デフォルトファイルプール I/O最適化設定......................................... 460ファイルプールポリシーの変更........................................................... 461ファイルプールポリシーの優先順位づけ.............................................. 461テンプレートからのファイルプールポリシーの作成.................................. 462ファイルプールポリシーの削除...........................................................462

ストレージプールのモニタリング....................................................................... 463ストレージプールの監視...................................................................463サブプールの稼働状態の表示...........................................................463SmartPools ジョブの結果の表示..................................................... 464

システムジョブ 465システムジョブの概要................................................................................... 466システムジョブライブラリ................................................................................466ジョブの操作............................................................................................... 469ジョブのパフォーマンスへの影響.......................................................................470ジョブの優先度.............................................................................................471システムジョブの管理.................................................................................... 471

アクティブなジョブの表示....................................................................471ジョブ履歴の表示............................................................................472ジョブの開始...................................................................................472ジョブの一時停止............................................................................472ジョブの再開...................................................................................473ジョブのキャンセル............................................................................ 473ジョブの更新...................................................................................473ジョブタイプ設定の変更................................................................... 474

インパクトポリシーの管理.............................................................................. 474インパクトポリシーの作成................................................................. 474インパクトポリシーのコピー................................................................ 475インパクトポリシーの変更................................................................. 475インパクトポリシーの削除................................................................. 476インパクトポリシー設定の表示.......................................................... 476

ジョブのレポートと統計の表示........................................................................ 476進行中のジョブの統計の表示........................................................... 477完了済みジョブのレポートの表示....................................................... 477

ネットワーク 479ネットワークの概要....................................................................................... 480内部ネットワークについて...............................................................................480

内部 IP アドレスの範囲................................................................... 480内部ネットワークのフェイルオーバー..................................................... 481IsilonSD Edge の内部ネットワークの構成...........................................481

外部ネットワークについて................................................................................481グループネット................................................................................. 482サブネット....................................................................................... 482IP アドレスプール............................................................................483SmartConnect モジュール.............................................................. 484ノードのプロビジョニングルール........................................................... 487

第 23章

第 24章

目次


ルーティングオプション...................................................................... 488内部ネットワークの構成................................................................................ 489

内部 IP アドレス範囲の変更............................................................ 489内部ネットワークのネットマスクの変更.................................................490内部フェイルオーバーの構成と有効化 ............................................... 490内部ネットワークフェイルオーバーの無効化..........................................491

グループネットの管理.................................................................................... 492グループネットの作成....................................................................... 492グループネットの変更....................................................................... 493グループネットの削除....................................................................... 493グループネットの表示....................................................................... 494

外部ネットワークのサブネットの管理................................................................ 494サブネットの作成.............................................................................494サブネットの変更.............................................................................496サブネットの削除.............................................................................496サブネット設定項目の表示...............................................................496SmartConnect サービスの IP アドレスの構成.....................................497VLAN タグ機能の有効化または無効化............................................. 497DSR アドレスの追加または削除........................................................498

IP アドレスプールの管理...............................................................................498IP アドレスプールの作成..................................................................498IP アドレスプールの変更..................................................................499IP アドレスプールの削除..................................................................499IP アドレスプール設定の表示...........................................................499IP アドレス範囲の追加または削除.................................................... 499

SmartConnect設定の管理........................................................................500SmartConnect DNS ゾーンの変更................................................. 500SmartConnect サービスサブネットの指定..........................................501ノードの一時停止または再開............................................................501IP アドレスアロケーションの構成........................................................502接続バランシングポリシーの構成...................................................... 503IP フェイルオーバーポリシーの構成.................................................... 504IP再バランスポリシーの構成........................................................... 505

ネットワークインターフェイスメンバーの管理......................................................506ネットワークインターフェイスの追加または削除..................................... 506リンクアグリゲーションの構成............................................................. 507

ノードプロビジョニング規則の管理.................................................................. 508ノードプロビジョニング規則の作成..................................................... 509ノードプロビジョニング規則の変更..................................................... 509ノードプロビジョニング規則の削除...................................................... 510ノードプロビジョニング規則の設定の表示............................................510

ルーティングオプションの管理..........................................................................510ソースベースルーティングの有効化または無効化.................................510静的経路の追加または削除............................................................ 510

DNS キャッシュ設定の管理............................................................................ 511DNS キャッシュのフラッシュ................................................................. 511DNS キャッシュ設定の変更............................................................... 511DNS キャッシュ設定.........................................................................512

TCP ポートの管理....................................................................................... 512TCP ポートの追加または削除...........................................................513

目次


アンチウィルス 515ウイルス対策の概要..................................................................................... 516オンアクセススキャン.....................................................................................516アンチウイルスポリシースキャン....................................................................... 517個別ファイルのスキャン...................................................................................517WORM ファイルとウイルス対策.......................................................................517アンチウイルススキャンレポート....................................................................... 517ICAP サーバー.............................................................................................518アンチウイルスによる脅威検出時の対応.......................................................... 518グローバルアンチウイルス設定の構成.............................................................. 519

アンチウイルススキャンからのファイルの除外..........................................519オンアクセススキャン設定の構成...................................................... 520アンチウイルス脅威検出時対応設定の構成....................................... 521アンチウイルスレポートの保存設定の構成.......................................... 521アンチウイルススキャンの有効化または無効化..................................... 521

ICAP サーバの管理......................................................................................521ICAP サーバーの追加と接続............................................................522ICAP サーバ接続のテスト................................................................ 522ICAP接続設定の変更...................................................................522ICAP サーバからの一時的な切断..................................................... 522ICAP サーバへの再接続..................................................................523ICAP サーバーの削除..................................................................... 523

アンチウイルスポリシーの作成........................................................................ 523アンチウイルスポリシーの管理........................................................................ 524

アンチウイルスポリシーの変更........................................................... 524アンチウイルスポリシーの削除........................................................... 524アンチウイルスポリシーの有効化または無効化.................................... 524アンチウイルスポリシーの表示........................................................... 525

アンチウイルススキャンの管理........................................................................ 525ファイルのスキャン............................................................................ 525アンチウイルスポリシーの手動実行....................................................525実行中のアンチウイルススキャンの停止..............................................525

アンチウイルス脅威の管理.............................................................................526ファイルの手動隔離.........................................................................526ファイルの再スキャン.........................................................................526隔離領域からのファイルの削除......................................................... 526ファイルの手動トランケート................................................................ 526脅威の表示................................................................................... 527アンチウイルス脅威情報...................................................................527

アンチウイルスレポートの管理........................................................................527アンチウイルスレポートの表示........................................................... 527アンチウイルスイベントの表示........................................................... 527

IsilonSD Edge 529EMC IsilonSD Edge ストレージおよびアーキテクチャ........................................ 530IsilonSD クラスターの概要.............................................................................531EMC IsilonSD Edge ライセンスの概要...........................................................531IsilonSD Management Server の概要........................................................ 533IsilonSD クラスタの構成............................................................................... 534IsilonSD クラスターの導入と構成...................................................................535EMC IsilonSD Edge のアップグレード............................................................ 535

第 25章

第 26章

目次


VMware統合 537VMware統合の概要..................................................................................538VAAI......................................................................................................... 538VASA........................................................................................................538

Isilon の VASA アラーム.................................................................. 538VASA ストレージ機能..................................................................... 539

VASA サポートの構成..................................................................................539VASA の有効化............................................................................ 540Isilon ベンダープロバイダー証明書のダウンロード................................. 540自己署名証明書の生成.................................................................540Isilon ベンダープロバイダーの追加.....................................................542

VASA の無効化または再有効化...................................................................542VASA ストレージ表示障害のトラブルシューティング........................................... 543

File System Explorer 545File System Explorer の概要......................................................................546ファイルシステムの参照.................................................................................546ディレクトリの作成........................................................................................ 546ファイルとディレクトリのプロパティの変更............................................................546ファイルとディレクトリのプロパティの表示............................................................ 547ファイルとディレクトリのプロパティ...................................................................... 547

第 27章

第 28章

目次


第 1章

このガイドの概要

本セクションでは、以下の項目について説明します。

l このガイドについて..................................................................................................22l Isilon スケールアウト NAS の概要........................................................................... 22l IsilonSD Edge の概要.......................................................................................... 22l サポートの問い合わせ先.........................................................................................22

このガイドの概要 21

このガイドについてこのガイドでは、Isilon OneFS Web管理インターフェイスによるクラスター構成、管理、モニタリング機能へのアクセス方法について説明します。このガイドの情報のほとんどは、VMware ESXi ハイパーバイザーで実行されている OneFS のソフトウェアデファインドのバージョンである IsilonSD Edge にも該当します。相違点は、このガイドのそれぞれのセクションでハイライト表示されます（存在する場合）。マニュアルの精度、構成、品質を向上するため、ご意見をお待ちしております。https://www.research.net/s/isi-docfeedback にフィードバックを送信してください。URL からフィードバックを送信できない場合は、[email protected]宛に E メールでメッセージを送信してください。

Isilon スケールアウト NASの概要EMC Isilon スケールアウト NAS ストレージプラットフォームは、モジュラーハードウェアと統合型ソフトウェアを組み合わせて、構造化されていないデータを活用します。EMC Isilon クラスターは、OneFS オペレーティングシステムにより、グローバルネームスペースによる拡張性に優れたストレージプールを提供します。プラットフォームの統合型ソフトウェアは、次の機能を管理するための、一元化されたWeb ベースとコマンドラインの管理機能を提供します。l 分散ファイルシステムを実行するクラスターl 容量とパフォーマンスを追加するスケールアウトノードl ファイルおよび階層化を管理するストレージオプションl 柔軟なデータ保護と高可用性l コストを管理しリソースを最適化するソフトウェアモジュール

IsilonSD Edgeの概要IsilonSD Edgeは VMware ESXi ハイパーバイザー上で実行される、OneFS のソフトウェアデファインドのバージョンで、コモディティハードウェア上でスケールアウト NAS の機能を実現します。OneFS ノードは、ホストで使用できるハードウェアリソースを使用して、VMware ESXi ホストに導入されている OneFS クラスタに仮想マシンとして追加できます。仮想 OneFS クラスタおよびノードはそれぞれ、IsilonSD クラスタ、IsilonSD ノードと呼ばれます。IsilonSD Edgeは、OneFS でサポートされているほとんどの機能とソフトウェアモジュールをサポートしています。また、一元化されたWeb ベースおよびコマンドラインの管理も提供します。これはOneFS と同じ機能であり、クラスタとノードの管理タスクを管理することを目的としています。詳細については、「IsilonSD Edge with IsilonSD Management Server インストールおよび管理ガイド」を参照してください。

サポートの問い合わせ先Isilon製品について質問がありましたら、 Isilon テクニカルサポートにお知らせください。



https://www.research.net/s/isi-docfeedback

https://www.research.net/s/isi-docfeedback

mailto:[email protected]

オンラインサポート

l ライブチャットl サービスリクエストの作成

電話によるサポート

l 米国：1-800-SVC-4EMC (1-800-782-4362)

l カナダ：1-800-543-4782

l その他の国：1-508-497-7901

l 特定の国の最寄りの電話番号については、EMC カスタマーサポートセンターをご覧ください。

サポート登録または利用

EMC カスタマサービスへのアクセスに関する質問については、E メールで[email protected] にお問い合わせください。

Isilon InfoHubs

Isilon Info Hub の一覧については、Isilon コミュニティネットワークの Isilon InfoHub ページを参照してください、Isilon Info Hub では、Isilon のドキュメント、ビデオ、ブログ、ユーザー投稿コンテンツがトピック別に整理されており、関心のあるテーマについてコンテンツが簡単に見つかるようになっています。

IsilonSD EdgeのサポートIsilonSD Edge の無料バージョンを使用している場合は、Isilon コミュニティネットワークを通じてサポートを利用できます。1 つまたは複数の IsilonSD Edge ライセンスを購入している場合、製品の有効なサポート契約を所持していれば、 Isilon テクニカルサポートにお問い合わせいただくことでサポートを受けることができます。


サポートの問い合わせ先 23

https://support.emc.com/servicecenter/liveChat/

https://support.emc.com/servicecenter/createSR/

http://Japan.emc.com/collateral/contact-us/h4165-csc-phonelist-ho.pdf

http://www.emc.com/collateral/contact-us/h4165-csc-phonelist-ho.pdf

https://support.emc.com

mailto:[email protected]

https://community.emc.com/docs/DOC-44304


https://community.emc.com/community/products/isilon

第 2章

Isilon スケールアウト NAS


l OneFS ストレージアーキテクチャ............................................................................. 26l Isilon ノードコンポーネント......................................................................................26l 内部ネットワークと外部ネットワーク........................................................................... 27l Isilon クラスター.....................................................................................................27l OneFS オペレーティングシステム............................................................................. 29l ファイルシステムの構造...........................................................................................31l データ保護の概要................................................................................................. 34l VMware の統合.................................................................................................. 36l ソフトウェアモジュール.............................................................................................36

Isilon スケールアウト NAS 25

OneFS ストレージアーキテクチャEMC Isilonは、分散ファイルシステムを実行するノードのクラスターを作成することによる、スケールアウトアプローチを採用しています。OneFSは、ストレージアーキテクチャの 3 つのレイヤー（ファイルシステム、ボリュームマネージャー、データ保護）を、スケールアウト NAS クラスターに結合します。各ノードは、リソースをクラスターに追加します。各ノードは、グローバルに一貫性のある RAM を含んでおり、クラスターの規模が大きくなると処理速度が高くなります。その一方で、ファイルシステムは動的に拡張されて内容が再配分され、ディスクをパーティション分割してボリュームを作成する作業が不要になります。ノードは、クラスター全体にデータを分散させるピアとして動作します。データのセグメント分割と分散（ストライピングと呼ばれる処理）は、データを保護するだけでなく、任意のノードに接続しているユーザーがクラスター全体のパフォーマンスを活用できるようにします。OneFSは、分散ソフトウェアを使用して、コモディティハードウェア全体にデータを拡張します。各ノードは、データ要求の管理、パフォーマンスの向上、クラスターの容量の拡大を行ううえで役立ちます。クラスターを制御するマスターデバイスはなく、依存関係を実行するスレーブもありません。代わりに、各ノードでデータ要求の管理、パフォーマンスの向上、クラスターの容量の拡大に対処できます。

Isilon ノードコンポーネントストレージノードは、ラックマウント可能なアプライアンスとして、2U または 4U のラックマウント可能シャーシに次のコンポーネントが含まれており、LCD フロントパネルが搭載されています。含まれているコンポーネントは、CPU、RAM、NVRAM、ネットワークインターフェイス、InfiniBand アダプター、ディスクコントローラー、ストレージメディアです。Isilon クラスターは、3～144台のノードで構成されます。クラスターにノードを追加すると、クラスターの合計ディスク、キャッシュ、CPU、RAM、ネットワーク容量が増えます。OneFS では、RAM が単一の一貫性のあるキャッシュにグループ化され、ノード上のデータ要求は、どこかにキャッシュされたデータの恩恵を受けることができるようになっています。NVRAMは、高いスループットでデータを書き込み、書き込み操作を停電から保護するためにグループ化されます。クラスターが拡大するにつれて、スピンドルと CPU が組み合わせられて、スループット、容量、IOPS（1秒あたりの I/O処理回数）が向上します。EMC Isilon には何種類ものノードがあり、容量およびパフォーマンスと、スループットまたは IOPS のバランスをとるために、そのすべてをクラスターに追加できます。

ノード用途

S シリーズ IOPS集約型のアプリケーション

X シリーズ高度の並列度とスループット主導のワークフロー

NL シリーズテープ並みの価格で、プライマリ水準のアクセス性を実現

HD シリーズ最大限の容量を実現

次の EMC Isilon ノードによりパフォーマンスが向上します。

ノード機能

A シリーズパフォーマンスアクセラレータ高いパフォーマンスのための独立した拡張



ノード機能

A シリーズバックアップアクセラレータファイバーチャネル経由で接続されるテープドライブ用の高速で拡張性の高いバックアップ/リストアソリューション

内部ネットワークと外部ネットワーククラスタには、ノード間でデータを交換するための内部ネットワークとクライアント接続を処理するための外部ネットワークの 2 つのネットワークが含まれます。ノードは、InfiniBand上の専用のユニキャストプロトコルを使用し、内部ネットワークを通じてデータを交換します。各ノードには冗長な InfiniBand ポートが搭載されているため、最初の内部ネットワークが障害になった場合は、2番目の内部ネットワークを追加できます。

IsilonSD Edge の場合は、ノードは Ethernet スイッチ経由でデータを交換します。IsilonSD Edgeの内部および外部のネットワーク要件の詳細については、「IsilonSD Edge インストールおよび管理ガイド」を参照してください。

クライアントは、1 GigE または 10 GigE Ethernet を使用してクラスタに到達します。どのノードにもEthernet ポートが搭載されているので、ノードを追加するたびに、パフォーマンスや容量とともにクラスタの帯域幅が拡張されます。

InfiniBand スイッチには、Isilon ノードのみを接続する必要があります。バックエンドネットワーク上でやり取りされる情報は暗号化されません。Isilon ノード以外を InfiniBand スイッチに接続すると、セキュリティリスクが発生します。

Isilon クラスターIsilon クラスターは、3個以上のハードウェアノード（最大 144個）から成ります。各ノードでは、Isilon OneFS オペレーティングシステムを実行します。これはクラスターにノードを結合する分散ファイルシステムソフトウェアです。クラスターのストレージ容量の範囲は、18 TB から 50 PB です。IsilonSD Edge を実行している場合、IsilonSD クラスターの要件については、このガイドの「IsilonSD クラスター」セクションを参照してください。

クラスター管理OneFSは、Web管理インターフェイスとコマンドラインインターフェイスを通じてクラスター管理を一元化します。どちらのインターフェイスでも、ライセンスのアクティベーション、ノードのステータスの確認、クラスターの構成、システムのアップグレード、アラートの生成、クライアント接続の表示、パフォーマンスの追跡、さまざまな設定の変更を行うための手段が提供されています。また、OneFS では、ジョブエンジンを使用してメンテナンスを自動化することにより、管理が単純化されます。ウイルスのスキャン、ディスクのエラーの検査、ディスク領域の回収、ファイルシステムの整合性のチェックを行うジョブをスケジュールできます。エンジンはジョブを管理し、クラスターのパフォーマンスに対する影響を最小化します。


内部ネットワークと外部ネットワーク 27

SNMP のバージョン 2c と 3 を使用して、ハードウェアコンポーネント、CPU使用率、スイッチ、ネットワークインターフェイスをリモートで監視できます。EMC Isilonは、OneFS オペレーティングシステムに対し、MIB（管理情報ベース）とトラップを提供します。また OneFS には、次の 2 つの機能領域に分かれている API（アプリケーションプログラミングインターフェイス）があります。一方の領域にはクラスターを構成、管理し、機能をモニタリングする機能があり、もう一方にはクラスター上のファイルやディレクトリを操作する機能があります。OneFS API には、REST（Representational State Transfer）インターフェイスを介してリクエストを送信します。このインターフェイスには、リソース URIや標準の HTTP メソッドを介してアクセスします。APIは、セキュリティを高めるために、OneFS の RBAC（役割に基づいたアクセス制御）と統合されています。「Isilon プラットフォーム API リファレンス」「」を参照してください。

Quorum

Isilon クラスターが適切に動作するためには、quorum が必要です。quorumは、2個のノードグループが同期されていない状態になった場合に、データの競合（たとえば、同じファイルの競合するバージョン）を防ぎます。クラスターが読み書き要求に対して quorum を失うと、OneFS ファイルシステムにアクセスできなくなります。quorum のためには、半分を超えるノードが内部ネットワーク上で利用可能である必要があります。たとえば、7 ノードクラスターでは、4 ノードの quorum が必要です。10 ノードクラスターでは、6 ノードの quorum が必要です。ノードが内部ネットワーク経由で到達不能な場合、OneFSはクラスターからノードを分離します。これは、スプリットと呼ばれる動作です。クラスターが分割された後、quorum を持つのに十分なノードがまだ接続されている限り、クラスター操作は継続されます。分割クラスターでは、クラスターに残っているノードは多数グループと呼ばれます。クラスターから分割されるノードは少数グループと呼ばれます。分割されたノードがクラスターにリコネクトでき、他のノードと再同期できる場合、ノードはクラスターの多数グループに再度参加します。これは、マージと呼ばれるアクションです。OneFS クラスターには次の 2個の quorum プロパティが含まれています。l 読み取り quorum（efs.gmp.has_quorum）l 書き込み quorum（efs.gmp.has_super_block_quorum）ノードに SSH で接続し sysctl コマンドラインツールを root で実行することにより、両方のタイプの quorum のステータスを表示できます。次に、読み取り操作と書き込み操作の両方の quorumがあるクラスターの例を示します。これは、コマンドの出力に 1（true）があることで示されます。

sysctl efs.gmp.has_quorum efs.gmp.has_quorum: 1 sysctl efs.gmp.has_super_block_quorum efs.gmp.has_super_block_quorum: 1

ノードの縮退状態（SmartFail、読み取り専用、オフラインなど）は、さまざまな方法で quorum に影響を与えます。SmartFail または読み取り専用状態のノードは、書き込み quorum のみに影響を与えます。しかし、オフライン状態のノードは、読み取りと書き込みの両方の quorum に影響を与えます。クラスターでは、さまざまな縮退状態のノードの組み合わせにより、読み取り要求と書き込み要求のいずれかまたは両方が動作するかどうかが決まります。クラスターは、書き込み quorum を失っても、読み取り quorum を保持することがあります。ノード 1と 2 が正常に動作している 4 ノードクラスターを考えます。ノード 3は読み取り専用状態で、ノード4は SmartFail状態です。この場合、クラスターへの読み取り要求は成功します。しかし、ノード 3と 4 の状態により書き込み quorum が壊れるため、書き込み要求は入出力エラーになります。クラスターは、その読み取り quorum と書き込み quorum の両方を失うこともあります。4 ノードクラスターでノード 3 と 4 がオフライン状態の場合、書き込み要求と読み取り要求の両方が入出力エラ



ーとなり、ファイルシステムにアクセスできなくなります。OneFS がノードに再接続できる場合、OneFSはノードをクラスターにマージします。Isilon ノードは、RAID システムと異なり、再構築や再構成せずにクラスターに再度参加できます。

スプリットとマージスプリットとマージは、ユーザーの介入なくノードの使用を最適化します。OneFSはクラスタのすべてのノードを監視します。ノードが内部ネットワーク経由で到達不能な場合、OneFSはクラスタからノードを分離します。これは、スプリットと呼ばれる動作です。クラスタがノードに再接続できる場合、OneFSはノードをクラスタに追加します。この動作をマージと呼びます。ノードがクラスタから分割されると、イベント情報のローカルな収集が継続されます。SSH で分割ノードに接続し、isi event events list を実行してノードのローカルイベントログを表示できます。ローカルイベントログは、分割の原因となる接続の問題をトラブルシューティングするのに役立ちます。分割ノードがクラスターに再び参加すると、分割中に収集されたローカルイベントが削除されます。分割ノードによって生成されたイベントは、/var/log/isi_celog_events.log にあるノードのイベントログファイルで表示できます。クラスタが書き込み操作中にスプリットされると、OneFSは quorum がある側でファイル用のブロックの再割り当てが必要になることがあり、quorum がない側で割り当てられたブロックが孤立することになります。スプリットされたノードがクラスタに再接続する場合、OneFS の Collect システムジョブは孤立したブロックを回収します。それまでの間、ノードがスプリットされクラスタにマージされる際に、OneFS の AutoBalance ジョブは、データをクラスタ内のノードに均等に再分配し、保護を最適化して領域を節約します。

ストレージプールストレージプールは、ノードとファイルと論理的な区分に分割し、データの管理と格納を単純化します。ストレージプールはノードプールと階層からなります。ノードプールは同等のノードをグループ化し、データを保護して信頼性を確保します。階層はノードプールを組み合わせて、頻繁に使用される高速階層や、めったにアクセスされないアーカイブなど、ニーズごとにストレージを最適化します。SmartPools モジュールは、ノードとファイルをプールにグループ化します。 SmartPools のライセンスをアクティブ化していない場合、モジュールはノードプールをプロビジョニングして、ファイルプールを 1つ作成します。 SmartPools のライセンスをアクティブ化すると、さらに多くの機能を使用できます。たとえば、複数のファイルプールを作成し、ポリシーを適用できます。ポリシーは、ファイル、ディレクトリ、ファイルプールをノードプールまたは階層間で移動します。また、ノードプールまたは階層が一杯の場合に OneFS が書き込み操作を処理する方法を定義することもできます。 SmartPools のライセンスがアクティブ化されているかどうかにかかわらず、SmartPoolsは、ドライブで障害が発生した場合にデータを再度保護するための仮想ホットスペアを確保します。

OneFS オペレーティングシステムOneFSは、FreeBSD ベースの分散オペレーティングシステムであり、Isilon クラスターのファイルシステムを、1 か所から管理される単一の共有またはエクスポートとして利用できるようにします。OneFS オペレーティングシステムは次のことを行います。l SMBや NFSなど、一般的なデータアクセスプロトコルをサポート。l Active Directoryや LDAPなどの複数の ID管理システムに接続。l ユーザーおよびグループの認証。


スプリットとマージ 29

l ディレクトリとファイルへのアクセスを制御。

データアクセスプロトコルOneFS オペレーティングシステムでは、複数のファイル共有プロトコルとファイル転送プロトコルを使用してデータにアクセスできます。その結果、Microsoft Windows、UNIX、Linux、Mac OS X クライアントが同じディレクトリとファイルを共有できます。OneFSは次のプロトコルをサポートしています。SMB

SMB（サーバメッセージブロック）プロトコルを使用すると、Windows のユーザーがクラスタにアクセスできるようになります。OneFS では、SMB 1、SMB 2、SMB 2.1 のほか、マルチチャネルの場合のみ SMB 3.0 を使用できます。SMB 2.1 の場合、OneFSはクライアントのoplock（便宜的ロック）と大型（1 MB）のMTU をサポートします。デフォルトのファイル共有は/ifs です。

NFS

NFS（Network File System）プロトコルを使用すると、UNIX、Linux、Mac OS X のシステムで、Windows ユーザーによって作成されたサブディレクトリを含む、すべてのサブディレクトリをリモートでマウントできます。OneFSは、NFSバージョン 3 および 4 で動作します。デフォルトのエクスポートは/ifs です。

HDFS

HDFS（Hadoop Distributed File System）プロトコルを使用すると、クラスタと、データ集約型の分散アプリケーションのフレームワークである Apache Hadoop の連携が可能になります。HDFS統合では、別途ライセンスのアクティブ化を要求されます。

FTP

FTP により、FTP クライアントを使用してクラスタに接続し、ファイルを交換できます。

HTTPおよび HTTPS

HTTP とそのセキュアバリアントである HTTPSは、リソースへのブラウザベースアクセスをシステムに提供します。OneFS には、WebDAV に対する限定的なサポートが含まれています。

Swift

Swift では、EMC Isilon クラスタに格納されているファイルベースデータにオブジェクトとしてアクセスできます。Swift APIは、HTTP または HTTPS（セキュア HTTP）上の REST（Representational State Transfer）Web サービスのセットとして実装されています。コンテンツおよびメタデータはオブジェクトとして送出でき、サポートされる他の EMC Isilon プロトコルを通じてコンカレントにアクセスできます。詳細については、「Isilon Swift Technical Note」を参照してください。

ID管理とアクセス制御OneFSは、複数の ID管理システムと連携して、ユーザーを認証し、ファイルへのアクセスを制御します。また、OneFSはアクセスゾーン機能を備えており、さまざまなディレクトリサービスのユーザーが、その IP アドレスに基づいてさまざまなリソースにアクセスできます。また、役割に基づいたアクセス制御（RBAC）により、管理アクセスが役割ごとに分割されます。OneFSは、次の ID管理システムを使用してユーザーを認証します。l Microsoft AD（Active Directory）l LDAP（Lightweight Directory Access Protocol）



l NIS（ネットワーク情報サービス）l ローカルユーザーとローカルグループl /etc/spwd.db ファイルと/etc/group ファイルのアカウントにあるファイルプロバイダー。フ

ァイルプロバイダーを使用すると、ユーザー/グループ情報の信頼できるサードパーティソースを追加できます。

さまざまな ID管理システムを使用してユーザーを管理できます。OneFSは、Windows と UNIX のID が共存できるように、アカウントをマッピングします。たとえば、Active Directory で管理されているWindows ユーザーアカウントは、NIS または LDAP の対応する UNIX アカウントにマッピングされます。アクセスを制御するために、Isilon クラスターでは、Windows システムの ACL（アクセスコントロールリスト）と UNIX システムの POSIX モードビットの両方を使用できます。OneFS がファイルの権限を ACL からモードビットまたはモードビットから ACL に変換する必要がある場合、OneFSは、権限をマージして一貫したセキュリティ設定を維持します。OneFSは、NFS が表示モードビットをエクスポートし、SMB共有が ACL を表示するように、権限のプロトコル固有のビューを提供します。ただし、chmod コマンドや chown コマンドなどの標準的なUNIX ツールを使用して、モードビットだけでなく ACL も管理できます。また、ACL ポリシーを使用すると、Windows システムと UNIX システムが混在するネットワークに対して、OneFS が権限を管理する方法を構成できます。アクセスゾーン

OneFS にはアクセスゾーン機能が含まれています。アクセスゾーンを使用すると、2個の信頼できない Active Directory ドメインなど、さまざまな認証プロバイダーのユーザーが、着信 IPアドレスに基づいてさまざまな OneFS リソースにアクセスできるようになります。1個のアクセスゾーンには複数の認証プロバイダーと SMB ネームスペースを含めることができます。

管理用の RBAC

OneFS には、管理用に役割に基づいたアクセス制御が含まれています。RBAC では、rootまたは管理者アカウントの代わりに、役割によって管理アクセスを管理できます。役割は、ある管理領域の特権を制限します。たとえば、セキュリティ、監査、ストレージ、バックアップ用に個別の管理者役割を作成できます。

ファイルシステムの構造OneFSは、クラスターのすべてのノードをグローバルなネームスペース（つまり、デフォルトのファイル共有/ifs）として提示します。ファイルシステム中では、ディレクトリは inode番号リンクです。inode には、ファイルの位置を示すファイルメタデータと inode番号が格納されています。OneFSは、inode を動的に割り当て、inodeの数に制限はありません。ノード間でデータを分散させるために、OneFSはグローバルにルーティング可能なブロックアドレスを、クラスターの内部ネットワークを通じて送信します。ブロックアドレスは、ノードと、データブロックが格納されているドライブを識別します。

データはルート/ifs ファイルパスに保存せず、/ifs下のディレクトリに保存することをお勧めします。データストレージ構造の設計は慎重に計画する必要があります。よく設計されたディレクトリでは、クラスターパフォーマンスとクラスター管理が最適化されます。


ファイルシステムの構造 31

データレイアウトOneFSは、ストレージの効率とパフォーマンスを最大化するレイアウトアルゴリズムを使用して、クラスターのノード間でデータを均等に分散します。システムは継続的にデータを再割り当てし、領域を節約します。OneFSは、データをブロックと呼ばれる小さなセクションに分割し、ブロックはストライプユニットに配置されます。ファイルデータまたは消失コードを参照することにより、ストライプユニットは、ハードウェア障害からファイルを保護するのに役立ちます。ストライプユニットのサイズは、ファイルサイズ、ノード数、保護設定によって変わります。OneFS がデータをストライプユニットに分割した後、OneFSはストライプユニットをクラスター内のノードにまたがって割り当てます（ストライピング）。クライアントがノードに接続するとき、クライアントの読み書き操作は複数のノードに対して実行されます。たとえば、クライアントがノードに接続してファイルを要求するとき、ノードはデータを複数のノードから取得してファイルを再構築します。ユーザーの主なアクセスパターン（コンカレント、ストリーミング、ランダム）に合わせて、OneFS がデータを配置する方法を最適化することができます。

ファイルの書き込みノード上で、OneFS ソフトウェアスタックの I/O処理は、2種類の機能レイヤーに分割されます。上位レイヤー（イニシエータ）と、下位レイヤー（参加者）です。読み書き操作で、イニシエータと参加者は異なる役割を果たします。クライアントがファイルをノードに書き込むとき、ノード上のイニシエータはクラスター上のファイルの配置を管理します。イニシエータは、まずファイルをそれぞれ 8 KB のブロックに分割します。次に、ブロックを 1個以上のストライプユニットに配置します。128 KB の場合、ストライプユニットは 16個のブロックからなります。次に、イニシエータは、ストライプユニットを、クラスターの幅に広がるまでクラスター全体に分散させ、ストライプを作成します。ストライプの幅は、ノード数と保護設定によって変わります。ファイルをストライプユニットに分割した後、イニシエータはデータをまず NVRAM（不揮発性ランダムアクセスメモリー）に書き込み、その後ディスクに書き込みます。NVRAMは、電源が切断されたときでも情報を保持します。書き込みトランザクションの間、NVRAMは、ジャーナルを使用してノード障害から保護します。ノードがトランザクションの途中で障害になった場合、トランザクションは障害になったノードなしで再起動されます。ノードが復帰した場合、NVRAM からジャーナルを再生して、トランザクションを完了します。また、ノードは AutoBalance ジョブを実行して、ファイルのディスク上のストライピングを確認します。その間、コミットされておらず、キャッシュ中で待機している書き込みは、ミラーリングによって保護されます。その結果、OneFS では複数の障害点が除去されます。

ファイルの読み取り読み取り操作では、ノードは他のノードからデータを収集し、要求元のクライアントに提示するマネージャとして機能します。Isilon クラスターの一貫性のあるキャッシュはすべてのノードに分散しているため、OneFSは、各ノードの RAM に異なるデータを保存できます。内部の InfiniBand ネットワークを使用することにより、ノードは、自身のローカルディスクから取得するよりも高速に別のノードのキャッシュからファイルデータを取得できます。読み取り操作がいずれかのノードにキャッシュされているデータを要求する場合、OneFSはキャッシュデータを取得して高速にデータを提供します。また、アクセスパターンがコンカレントまたはストリーミングであるファイルの場合、OneFSは要求されたデータは管理ノードのローカルキャッシュにプリフェッチされ、シーケンシャルな読み取りパフォーマンスがさらに向上します。



メタデータの配置OneFSは、複数のノードとドライブに分散させることでメタデータを保護します。メタデータには、ファイルの格納場所、その保護方法、誰がアクセスできるかについての情報が格納されており、inode に格納され、B+ツリーのロックで保護されます。B+ツリーは、データブロックをファイルシステムに構成し、迅速な検索を可能にするための標準的な構造です。OneFSは、単一障害点がなくなるように、クラスター全体にファイルメタデータをレプリケートします。すべてのノードがピアとして連携し、メタデータのアクセスとロックを管理します。あるノードがメタデータのエラーを検出すると、ノードは代わりの場所にあるメタデータを検索し、エラーを訂正します。

ロックと並列性OneFS には、クラスタの全ノードにまたがってデータのロックを調整する、分散ロックマネージャが含まれています。ロックマネージャは、SMB共有モードロックや、NFS アドバイザリロックなど、ファイルシステム、バイト範囲、プロトコルに対するロックを許可します。OneFSは、SMB の便宜的ロックもサポートします。OneFSはすべてのノードにまたがってロックマネージャーを分散させるため、どのノードもロックコーディネーターとして動作することができます。あるノードのスレッドがロックを要求した場合、ロックマネージャーのハッシュアルゴリズムは、一般に異なるノードにコーディネーターの役割を割り当てます。コーディネーターは、要求の種類に応じて、共有ロックまたは排他ロックを割り当てます。共有ロックは一般に読み取り操作用であり、ユーザーは同時にファイルを共有できます。排他ロックは一般に書き込み操作用であり、ファイルに対して 1 ユーザーのみにアクセスを許可します。

ストライピングストライピングと呼ばれる処理では、OneFS がファイルをデータユニットに分割して、クラスターのノードにまたがってユニットを分散します。ストライピングによりデータが保護され、クラスターのパフォーマンスが向上します。ファイルを分散するために、OneFSはファイルをデータブロックに分割し、ブロックをストライプユニットに配置して、ストライプユニットを内部ネットワーク上のノードに割り当てます。同時に、OneFSはファイルを保護する消去コードも分散します。消去コードは、分散したシンボルセットにファイルのデータをエンコードし、領域効率のよい冗長性を追加します。OneFSは、シンボルセットの一部のみを使用して元のファイルデータを復元できます。データとその冗長性はファイルデータの領域に対する保護グループを形成します。保護グループは異なるノードの異なるドライブに配置され、データストライプが作成されます。OneFSはデータをピアとして連携する複数のノードにまたがってストライピングするため、任意のノードに接続するユーザーはクラスター全体のパフォーマンスを活用できます。デフォルトでは、OneFSはコンカレントアクセス用にストライピングを最適化します。主なアクセスパターンがストリーミングである場合（ビデオのように、並列性が低く、単一ストリームの作業負荷が高い場合）、OneFS によるデータのレイアウト方法を変更し、シーケンシャルな読み取りパフォーマンスを向上させることができます。ストリーミングアクセスをより適切に処理するために、OneFSはデータをより多くのドライブにストライピングします。ストリーミングは、大きなファイルを提供するクラスターやサブプールで最も効果的です。


メタデータの配置 33

データ保護の概要Isilon クラスターは、コンポーネントが障害になった場合でもデータを提供するように設計されています。デフォルトでは、OneFSは消去コードを使用してデータを保護し、ノードまたはディスクが障害になった場合でもデータを取得できるようにします。消去コードの代わりとして、2～8個のミラーを使用してもデータを保護できます。5台以上のノードがあるクラスターを作成する場合、消去コードは最大で 80%の効率性を提供します。大規模なクラスターでは、消去コードは 4 レベルの冗長性を提供します。消去コードとミラーリングに加えて、OneFS には、データの整合性、可用性、機密性を保護するのに役立つ次の機能が含まれています。

機能説明

アンチウイルス OneFSは、ウイルスなどの脅威をスキャンするためにICAP（Internet Content Adaptation Protocol）を実行しているサーバーにファイルを送信できます。

クローン OneFS では、領域を節約するために他のファイルとブロックを共有するクローンを作成できます。

NDMPバックアップとリストア OneFS では、NDMP（Network Data

Management Protocol）を通じてテープなどのデバイスにデータをバックアップできます。OneFSは 3方向バックアップと 2方向バックアップの両方をサポートしていますが、2方向バックアップには Isilonバックアップアクセラレータノードが必要です。

IsilonSD Edgeは、3方向の NDMPバックアップのみをサポートしています。

保護ドメイン保護ドメインをファイルとディレクトリに適用し、変更を防ぐことができます。

次のソフトウェアモジュールもデータの保護に役立ちますが、個別にライセンスをアクティブ化する必要があります。

ライセンス対象機能説明

SyncIQ SyncIQは、別の Isilon クラスター上にデータをレプリケートし、クラスター間のフェイルオーバーおよびフェイルバック操作を自動化します。クラスターが不安定になった場合、別の Isilon クラスターにフェイルオーバーできます。

SnapshotIQ スナップショット（クラスターに保存されたデータの論理的なコピー）を使用してデータを保護できます。

SmartLock SmartLock ツールは、ユーザーがファイルを変更および削除するのを防ぎます。Write-Once Read-

Many状態にファイルをコミットできます。ファイルは変更できず、設定された保存期間が過ぎるまでは削除



ライセンス対象機能説明

できません。SmartLockは、取引委員会規則 17

条 a-4 に準拠するのに役立ちます。

N+M データ保護OneFSはクラスタ全体にわたるデータ冗長性を使用して、ドライブやノードの障害によるデータ漏洩を防ぎます。保護はファイルシステム構造に組み込まれ、個々のファイルレベルにまで適用することができます。OneFS の保護は、FEC（前方エラー訂正）を使用した、リードソロモンアルゴリズムをモデル化したものです。FEC を使用して、OneFSはデータを 128 KB のチャンクに割り当てます。データチャンク N個ごとに、OneFSはM個の保護チャンクまたはパリティチャンクを書き込みます。各 N+M個のチャンクは保護グループと呼ばれ、独立したノードの独立したディスクに書き込まれます。このプロセスは、データストライピングと呼ばれます。クラスタ全体にわたってデータをストライピングすることにより、ドライブまたはノードに障害が発生した場合に、OneFSはファイルをリカバリします。OneFS では、保護ポリシーと保護レベルは別の概念です。保護ポリシーとは、クラスタ上のストレージプールに設定する保護設定のことです。保護レベルとは、保護ポリシーと書き込み可能な実際のノード数に基づいて、OneFS がデータに対して行う実際の保護のことです。たとえば、3 ノードクラスタで保護ポリシー［+2d：1n］を指定すると、2台のドライブまたは 1台のノードに障害が発生しても OneFSはデータロスなしで対応可能です。ただし、同じ 3 ノードクラスタで保護ポリシー［+4d：2n］を指定しても、4台のドライブまたは 2台のノードの障害に対応する保護レベルを達成することはできません。N+M の値は、クラスタ内のノード数以下である必要があります。デフォルトでは、OneFSは、クラスタ構成に基づく推奨保護ポリシーを計算して設定します。推奨保護ポリシーは、データの整合性とストレージの効率性の最適なバランスを実現するポリシーです。クラスタのサポート範囲を超える高さの保護レベルを設定することもできます。たとえば、4 ノードクラスタの保護レベルを 5倍に設定することもできます。この場合、クラスタに 5番目のノードが追加されるまで、OneFSは 4倍でデータを保護し、5番目のノードが追加されると自動的にデータを 5倍で再保護します。

データミラーリングミラーリングを使用してディスク上のデータを保護できます。ミラーリングでは、データが複数の場所にコピーされます。OneFS では 2 から 8個のミラーがサポートされています。消去コードの代わりにミラーリングを使用したり、消去コードとミラーリングを組み合わせることができます。ただし、ミラーリングは、消去コードよりも多くの領域を消費します。たとえば、データを 3回ミラーリングすると、データが 3回複製され、消去コードよりも多くの領域が必要になります。このことから、ミラーリングは高パフォーマンスが必要なトランザクションに適しています。また、消去コードをミラーリングと組み合わせることもできます。書き込み処理中に、OneFSはデータを冗長な保護グループに分割します。消去コードで保護されているファイルの場合、保護グループはデータブロックとその消去コードからなります。ミラーされたファイルの場合、保護グループには、ブロックのすべてのミラーが含まれます。OneFS では、ファイルをディスクに書き込むときに保護グループの種類を切り換えることができます。保護グループを動的に切り換えることで、クラスターが消去コードを適用できなくなるノード障害が発生しても、OneFSはデータを引き続き書き込むことができます。ノードがリストアされた後、OneFSはミラーされた保護グループを消去コードに自動的に変換します。


N+M データ保護 35

ファイルシステムジャーナルジャーナルは、バッテリーでバックアップされた NVRAM カードにファイルシステムの変更を記録し、停電などの障害後にファイルシステムをリカバリします。ノードが再起動されると、ジャーナルはファイルトランザクションを再生して、ファイルシステムをリストアします。

VHS（仮想ホットスペア）ドライブが障害になると、OneFSはホットスペアドライブの代わりにサブプール内の予約された領域を使用します。予約された領域は仮想ホットスペアと呼ばれます。スペアドライブと異なり、仮想ホットスペアはドライブ障害を自動的に解決し、データの書き込みを続行します。ドライブが障害になると、OneFSはデータを仮想ホットスペアに移行して再保護します。4台までのディスクドライブを仮想ホットスペアとして予約できます。

保護とストレージ領域のバランシング保護要件とストレージ領域のバランスをとるために、保護レベルを設定できます。保護レベルを高くすると、一般に低いレベルよりも多くの領域を消費します。これは、消去コードを格納するためにディスク領域が消費されるためです。消去コードのオーバーヘッドは、保護レベル、ファイルサイズ、クラスター内のノード数によって変わります。データと消去コードの両方が複数のノードにまたがってストライピングされるため、ノードを追加するとオーバーヘッドが減少します。

VMwareの統合OneFSは、vSphere、vCenter、VMware ESXiなど、複数の VMware製品に統合されます。たとえば、OneFSは、VMware VASA（vSphere API for Storage Awareness）とともに動作し、Isilon クラスタに関する情報を vSphere で表示できるようになっています。OneFSは、VMware VAAI（vSphere API for Array Integration）でも動作し、ブロックストレージに対して、ハードウェアで支援されたロック機能、フルコピー機能、ブロックのゼロ化機能をサポートします。NFS用の VAAI には VMware ESXi プラグインが必要です。Isilon Storage Replication Adapter を使用すると、OneFSは VMware vCenter SiteRecovery Manager に統合され、複数の Isilon クラスタ間でレプリケートされた仮想マシンを復旧できます。

ソフトウェアモジュールEMC Isilon ソフトウェアモジュールのライセンスをアクティブ化することによって、高度な機能にアクセスできます。

IsilonSD Edge を実行している場合は、ソフトウェアモジュールのサポートリストは本製品の無料バージョンまたは購入済みバージョンのどちらを構成したかによって異なります。IsilonSD Edge で使用可能なソフトウェアモジュールの詳細については、このガイドの「IsilonSD Edge ライセンスの概要」のセクションを参照してください。



SmartLock

SmartLockは、故意や過失による、または時期尚早な変更や削除から重要なデータを保護し、SEC 17a-4規制に準拠するのに役立ちます。改ざん防止が施された状態にデータを自動的にコミットし、コンプライアンスクロックを使用して保存できます。

HDFS

OneFSは Hadoop Distributed File System プロトコルとともに使用でき、データ集約型の分散アプリケーションのためのフレームワークである Apache Hadoop が動作するクライアントがBig Data を分析できるようにします。

SyncIQ automated failover and failback

SyncIQは、別の Isilon クラスタ上にデータをレプリケートし、クラスタ間のフェールオーバーおよびフェールバックを自動化します。クラスタが不安定になった場合、別の Isilon クラスタにフェールオーバーできます。フェールバックは、プライマリクラスタが再度使用可能になったときに元のソースデータをリストアします。

セキュリティの強化セキュリティの強化は、できるだけ多くのセキュリティリスクを軽減または排除するようにシステムを構成するプロセスです。ポリシーガイドラインに従って OneFS の構成を保護する強化ポリシーを適用できます。

SnapshotIQ

SnapshotIQは、スナップショット（クラスタに保存されたデータの論理的なコピー）を使用してデータを保護します。スナップショットはその最上位ディレクトリにリストアできます。

SmartDedupe

SmartDedupe を実行して、クラスタ上の冗長性を低減できます。重複排除により、ファイルを読み取りおよび書き込みできるスピードに影響する可能性のあるリンクが作成されます。

SmartPools

SmartPools を使用すると、ファイルプールポリシーで管理される複数のファイルプールを作成できます。ポリシーは、ファイルとディレクトリをノードプールまたは階層間で移動します。また、ノードプールまたは階層が一杯の場合に OneFS が書き込み操作を処理する方法を定義することもできます。

CloudPools

SmartPools ポリシーのフレームワークに組み込まれている CloudPools では、データをクラウドストレージにアーカイブしてストレージの別の階層としてクラウドを効果的に定義することができます。CloudPoolsは、クラウドストレージプロバイダーとして、EMC Isilon、EMC ECS アプライアンス、Virtustream ストレージクラウド、Amazon S3、Microsoft Azure をサポートします。

SmartConnect Advanced

SmartConnect Advanced ライセンスをアクティブ化すると、ポリシーをバランシングして、CPU使用率、クライアント接続、スループットを均等に分散させることができます。また、IP アドレスプールを定義し、サブネットで複数の DNS ゾーンをサポートすることもできます。また、SmartConnectは、NFS フェールオーバーとも呼ばれる IP フェールオーバーをサポートしています。

InsightIQ

InsightIQ仮想アプライアンスは、Isilon クラスタのパフォーマンスを監視および分析し、ストレージリソースの最適化と容量の予測に役立ちます。


ソフトウェアモジュール 37

SmartQuotas

SmartQuotas モジュールは、レポートを使用してディスク使用量を追跡し、アラートを使用してストレージの制限を適用します。

Isilon Swift

Isilon Swiftは、OpenStack Swift 1.0 API と互換性のあるオブジェクトストレージゲートウェイです。Isilon Swift を通じて、EMC Isilon クラスタに格納されている既存のファイルベースデータにオブジェクトとしてアクセスできます。Swift APIは、HTTP または HTTPS上のRESTful Web サービスのセットとして実装されます。Swift APIはプロトコルと見なされるため、コンテンツおよびメタデータはオブジェクトとして送出でき、サポートされる他の EMC Isilonプロトコルを通じてコンカレントにアクセスできます。



第 3章

一般的なクラスター管理


l 一般的なクラスター管理の概要.............................................................................. 40l ユーザーインターフェイス......................................................................................... 40l クラスターへの接続................................................................................................. 41l ライセンス............................................................................................................. 42l 証明書................................................................................................................ 47l クラスタの ID......................................................................................................... 53l クラスターの日付と時間..........................................................................................54l SMTP メール設定................................................................................................ 55l クラスターの参加モードの構成................................................................................. 56l ファイルシステムの設定.......................................................................................... 57l セキュリティの強化................................................................................................. 58l クラスターの監視................................................................................................... 62l クラスターハードウェアの監視...................................................................................64l イベントとアラート....................................................................................................71l クラスターのメンテナンス........................................................................................... 81l リモートサポート.....................................................................................................91

一般的なクラスター管理 39

一般的なクラスター管理の概要EMC Isilon クラスターの一般的な OneFS設定およびモジュールライセンスを管理できます。一般的なクラスター管理では複数の領域がカバーされます。実行できる操作：l クラスター名、日付と時刻、メールなどの一般設定の管理l ハードウェアコンポーネントなど、クラスターのステータスとパフォーマンスの監視l イベントと通知の処理方法の構成l ノードの追加、削除、リスタートなどのクラスターメンテナンスの実行ほとんどの管理タスクは、Web管理インターフェイスまたはコマンドラインインターフェイスの両方を通じて実行されますが、どちらか一方でのみ管理できるタスクもあります。

ユーザーインターフェイスOneFS と IsilonSD Edge には EMC Isilon クラスターと IsilonSD クラスターを管理するためのインターフェイスがいくつか用意されています。

仮想マトリックス説明注意事項

OneFS Web管理インターフェイスブラウザベースの OneFS Web管理インターフェイスは、OneFS がサポートするブラウザに安全なアクセスを提供します。このインターフェイスを使用して堅牢なグラフィカルモニタリングディスプレイを表示したり、クラスター管理タスクを実行したりします。

OneFS Web管理インターフェイスはデフォルトのポートとしてポート8080 を使用します。

OneFS コマンドラインインターフェイス

コマンドラインインターフェイスでOneFS isi コマンドを実行することにより、クラスターの構成、監視、管理を行います。コマンドラインインターフェイスへのアクセスは、クラスター内の任意のノードへの SSH

（セキュアシェル）接続を介して行います。

OneFS コマンドラインインターフェイスは、クラスターを管理するための拡張標準 UNIX コマンドセットを提供します。

OneFS API OneFS API（アプリケーションプログラミングインターフェイス）は 2 つの機能領域に分かれています。1

つの領域でクラスター構成、管理、モニタリング機能を有効にし、もう 1 つの領域ではクラスター上のファイルとディレクトリの操作を有効にします。OneFS API には、REST（Representational State

Transfer）インターフェイスを介してリクエストを送信できます。このインターフェイスには、リソース URIや標準の HTTP メソッドを介してアクセスします。

OneFS API を介してクライアントベースソフトウェアを実装する前に、HTTP/1.1 を十分に理解し、HTTP ベースクライアントソフトウェアの作成を経験する必要があります。



仮想マトリックス説明注意事項

ノードフロントパネルアクセラレータノードを除く各ノードのフロントパネルには、ノードやクラスターの詳細を監視するためのLCD スクリーンと 5個のボタンが付いています。

このインターフェイスは、IsilonSD

Edge には該当しません。

ノードのステータス、イベント、クラスターの詳細、容量、IP アドレス、MAC アドレス、スループット、ドライブのステータスが、ノードのフロントパネルに表示されます。

クラスターへの接続EMC Isilon クラスターへのアクセスは、Web管理インターフェイスまたは SSH を介して提供されます。シリアル接続を使用して、コマンドラインインターフェイスを介したクラスター管理タスクを実行できます。ノードフロントパネルを介してクラスターにアクセスし、クラスター管理タスクのサブセットを実行することもできます。ノードフロントパネルへの接続については、ノードのインストールマニュアルを参照してください。

IsilonSD Edge には、ノードのフロントパネルはありません。

Web管理インターフェイスへのログインブラウザーベースのWeb管理インターフェイスから EMC Isilon クラスターを監視および管理できます。手順

1. ブラウザーウィンドウを開き、クラスターの URL をアドレスフィールドに入力します。次の例の［<yourNodeIPaddress>］を、ext-1 を構成したときに指定した最初の IP アドレスにリプレースします。IPv4

https://［<yourNodeIPaddress>］:8080IPv6

https://[［<yourNodeIPaddress>］]:8080

IPv6 アドレスは、IsilonSD Edge ではサポートされません。

セキュリティ証明書が構成されていない場合は、メッセージが表示されます。証明書の構成を解決し、Web サイトでの操作を続けます。

2. OneFS認証情報を［Username］と［Password］のフィールドに入力して、OneFS にログインします。


クラスターへの接続 41

Web管理インターフェイスにログインした後は、4時間のログインタイムアウトがあります。

クラスターへの SSH接続を開くOpenSSHや PuTTYなどの SSH クライアントを使用して、EMC Isilon クラスターに接続できます。はじめに接続を開いた後、クラスターにログインするには、有効な OneFS認証情報が必要になります。手順

1. クラスター内のいずれかのノードへの SSH（セキュアシェル）接続を、そのノードの IP アドレスとポート番号 22 を使用して開きます。

2. OneFS認証情報でログインします。

OneFS コマンドラインプロンプトで、 isi コマンドを使用してクラスターを監視および管理できます。

ライセンスすべての EMC Isilon ソフトウェアおよびハードウェアは、EMC SLC（ソフトウェアライセンスセントラル）を通じてライセンスを契約する必要があります。アクティブなライセンスとクラスタハードウェアのレコードは、ライセンスファイルに保存され、2 つの場所に格納されています。ライセンスファイルのコピーの 1 つは SLC リポジトリに格納され、コピーのもう 1つはクラスタに格納されます。ライセンスファイルには、次のライセンスタイプのレコードが保存されています。l OneFS

l 追加のソフトウェアモジュールクラスタにあるライセンスファイルと、SLC リポジトリにあるライセンスファイルでは、インストールされているハードウェアとソフトウェアが一致する必要があります。したがって、以下の場合は、ライセンスファイルの更新リクエストを送信する必要があります。l 初めて OneFS 8.1以降にアップグレードする場合l 新しいハードウェアを追加する場合、またはクラスタ内で既存のハードウェアをアップグレードする

場合l オプションのソフトウェアモジュールのアクティベーションが必要な場合ライセンスファイルの変更をリクエストするには、必要なハードウェアとソフトウェアライセンスの最新の一覧を保存したファイルを作成し、EMC SLC（ソフトウェアライセンスセントラル）に送信する必要があります。このファイル（アクティベーションファイルと呼ばれる）は、OneFS のインターフェイスから生成できます。ライセンスは、アクティベーションファイルの生成、EMC SLC（ソフトウェアライセンスセントラル）へのファイル送信、SLC からのライセンスファイルの受信、クラスタへのライセンスファイルのアップロードを行った後に作成されます。

無料バージョンの IsilonSD Edge を実行している場合、CloudPools、SmartLock、SyncIQ を除く、すべてのオプションソフトウェアモジュールにアクセスできます。これらの 3種類のモジュールのいずれかにアクセスする場合は、IsilonSD Edge のライセンスを購入する必要があります。



ソフトウェアライセンスOneFS のライセンス、およびオプションソフトウェアモジュールのライセンスは、クラスタ上のライセンスファイルに含まれている必要があり、さらに EMC SLC（ソフトウェアライセンスセントラル）リポジトリ内のライセンスレコードに一致している必要があります。クラスタ上のライセンスファイルと SLC リポジトリ内のライセンスファイルを参照して、OneFS のアップグレードバージョンが一致していることを確認する必要があります。次の OneFS ソフトウェアモジュールのライセンスアクティベーションを行うと、高度なクラスタ機能を使用できます。l CloudPools

l セキュリティの強化l HDFS

l Isilon Swift

l SmartConnect Advanced

l SmartDedupe

l SmartLock

l SmartPools

l SmartQuotas

l SnapshotIQ

l SyncIQ

オプションのソフトウェアモジュールの詳細については、EMC Isilon セールス担当者にお問い合わせください。

無料バージョンの IsilonSD Edge を実行している場合、CloudPools、SmartLock、SyncIQ を除く、すべてのオプションソフトウェアモジュールにアクセスできます。これらの 3種類のモジュールのいずれかにアクセスする場合は、IsilonSD Edge のライセンスを購入する必要があります。

ハードウェアの階層ライセンスファイルには、クラスタにインストールされている EMC Isilon ハードウェアの情報が保存されています。ライセンスファイル内で、ノードは階層別に一覧表示されます。ノードは、コンピューティングパフォーマンスレベル、容量、ドライブタイプに基づいて階層に配置されます。

ライセンスファイルでは、クラスタにあるすべてのノードに関して、項目情報が各行に記録されています。ただし、第 6世代よりも前のハードウェアは、OneFS のライセンスモデルには含まれません。

ライセンスのステータスOneFS ライセンスのステータスは、クラスタ上のライセンスファイルが OneFS の現在のバージョンを反映しているかどうかを示します。OneFS モジュールライセンスのステータスは、モジュールによって提供される機能をクラスタで使用できるかどうかを示します。


ソフトウェアライセンス 43

ライセンスの状態は次のいずれかです。

ステータス説明

署名なしライセンスは、EMC SLC（ソフトウェアライセンスセントラル）で更新されていません。新バージョンのOneFS でライセンスファイルを更新するには、アクティベーションファイルを生成し、送信する必要があります。

非アクティブライセンスはクラスタでアクティブ化されていません。対応するモジュールによって提供される機能にはアクセスできません。

評価ライセンスはクラスタで一時的にアクティブ化されています。対応するモジュールによって提供される機能には 90日間アクセスできます。

アクティブ化ライセンスはクラスタでアクティブ化されています。対応するモジュールによって提供される機能にはアクセスできます。

期限切れクラスタでライセンスの有効期限が切れています。ライセンスの期限が切れたら、アクティベーションファイルの生成と送信を行って、ライセンスファイルを更新する必要があります。

ライセンス情報の表示OneFS、ハードウェア、オプション Isilon ソフトウェアモジュールに関して、現在のライセンスステータス情報を表示できます。手順l ［Cluster Management］ > ［Licensing］をクリックします。

ステータスや有効期限などのライセンスに関する情報を確認することができます。［OneFS cluster license overview］領域には、OneFS ライセンスの関連情報があります。［Software licenses overview］領域には、オプションソフトウェアモジュールの関連情報があります。

l ［Cluster Management］ > ［Licensing］ページ上部の隅で［Alerts aboutlicenses］をクリックすると、ライセンスに関するアクティブアラートが表示されます。

ライセンスの追加と削除アクティベーションファイルを生成し、EMC SLC（ソフトウェアライセンスセントラル）にアクティベーションファイルを送信して、ライセンスファイルを更新したら、更新されたライセンスファイルをクラスタにアップロードできます。SLC にアクティベーションファイルを送信することで、ライセンスファイル内のライセンスを追加または削除できます。以下の操作を実行した後は、ライセンスファイルを更新する必要があります。l ハードウェアを追加または削除した場合l オプションのソフトウェアモジュールを追加または削除した場合



ライセンスのアクティベーションファイルを生成します。ライセンスファイルを更新するには、ライセンスアクティベーションファイルを生成して、EMC SLC（ソフトウェアライセンスセントラル）に送信する必要があります。手順

1. ［Cluster Management］ > ［Licensing］をクリックします。2. ［OneFS License Management］領域で［Open Activation File Wizard］をクリッ

クします。3. ソフトウェアモジュールの横にあるチェックボックスをクリックして、アクティベーションファイルの内

容を選択または選択解除します。以前に選択されたモジュールは、現在、ライセンスファイルに含まれています。モジュールを選択解除して、ライセンスを削除できます。一覧に加えた変更を元に戻すには、ページの下部にある［Revert changes］をクリックします。

4. ［Review Changes］をクリックします。5. アクティベーションファイルに加えようとしている変更を確認します。

［Contents of activation file］領域には、アクティベーションファイルに含まれている全ライセンスの一覧があります。またこのページでは、アクティベーションファイルから削除するためにユーザーが選択したライセンス、および追加するために選択したライセンスが一覧表示されます。

6. ［Create file］をクリックします。7. アクティベーションファイルの内容をすべて確認します。

このサマリーページには、OneFS ライセンスとハードウェア階層のサマリーも表示されます。

8. ［Accept］をクリックします。9. ［Download activation file］をクリックします。

ローカルマシンに、アクティベーションファイルを保存します。

10. ［Complete process］をクリックします。

ローカルマシンでアクティベーションファイルのコピーを用意したら、ファイルを EMC SLC（ソフトウェアライセンスセントラル）に送信できます。

SLC へのライセンスアクティベーションファイルの送信OneFS でアクティベーションファイルを生成したら、アクティベーションファイルを EMC SLC（ソフトウェアライセンスセントラル）に送信し、クラスタの署名済みライセンスファイルを受信します。

はじめにSLC にアクティベーションファイルを送信する前に、OneFS を通じてアクティベーションファイルを生成し、ローカルマシンにファイルを保存する必要があります。手順

1. ローカルのインターネット接続システムから、EMC SLC（ソフトウェアライセンスセントラル）に移動します。

2. EMC の資格情報を使用して、システムにログインします。3. ページの上部にある［ACTIVATE］をクリックします。


ライセンスの追加と削除 45

https://licensing.emc.com/

メニューが開いて、［Activate］と［Activate by File］の 2 つのオプションが表示されます。

4. ［Activate by File］をクリックします。

［Upload Activation File］ページが表示されます。5. ［Company］の横の一覧に自社の社名が表示されていることを確認します。

社名が表示されていない場合、［Select a Company］をクリックして社名と ID を検索します。

6. ［Upload（アップロード）］をクリックします。7. ローカルマシン上でアクティベーションファイルを見つけ、［Open］をクリックします。8. ［Start the Activation Process］ボタンをクリックします。

［LAC（Apply License Authorization Code）］ページが表示されます。9. ［Missing Product & Quantities Summary］テーブルで、右端の列に緑色のチェックがあ

ることを確認します。その列に緑色のチェックが入っていない行がある場合は、［検索］ボタンをクリックし、使用可能な別の LAC を選択することで、異なる LAC を検索できます。

10. ［Next: Review］ボタンをクリックします。11. ［Activate］ボタンをクリックします。

署名済みライセンスファイルが使用可能である場合、SLCはこのファイルを E メールの添付ファイルとして送信します。

署名済みライセンスファイルは、すぐに使用可能にならない場合もあります。

12. SLC から署名済みライセンスファイルを受信したら、署名済みライセンスファイルをローカルマシンにダウンロードします。

更新済みライセンスファイルのアップロードEMC SLC（ソフトウェアライセンスセントラル）から更新済みライセンスファイルを受信したら、更新済みファイルをクラスタにアップロードします。手順

1. ［Cluster Management］ > ［Licensing］をクリックします。2. ［Upload and activate a signed license file］領域で［Browse］をクリックして、署

名済みライセンスファイルを選択します。3. ［Upload and Activate］をクリックします。

評価版ライセンスのアクティベーション90日間、オプションのソフトウェアモジュールを評価できる評価版ライセンスのアクティベーションを実行できます。

評価版ライセンスのアクティベーション90日間、OneFS ソフトウェアモジュールを評価するために評価版ライセンスのアクティベーションを実行できます。



手順1. ［Cluster Management］ > ［Licensing］をクリックします。2. ［Manage trial versions of software modules］領域で［Manage Trials］をクリッ

クします。3. 評価するソフトウェアモジュールの横でチェックボックスをクリックします。4. ［Start Trial］をクリックします。

証明書Isilon Web管理インターフェイスの SSL（Secure Sockets Layer）証明書を更新するか、サードパーティの証明書でリプレースできます。Web管理インターフェイスを通じた通信を含むすべてのプラットフォーム API通信は SSL経由で行われます。生成した証明書で自己署名証明書をリプレースまたは更新できます。 SSL証明書をリプレースまたは更新するには、root としてログオンする必要があります。

TLS証明書の交換または更新TLS（Transport Layer Security）証明書は、ブラウザからクラスタへのアクセスに使用されます。この目的のために、クラスタには最初から自己署名証明書が含まれています。既存の自己署名証明書を引き続き使用することもできますが、サードパーティの CA（認証局）が発行した証明書に換えることもできます。自己署名証明書を引き続き使用しており、証明書が期限切れになった場合は、次のいずれか換える必要があります。l サードパーティ（パブリックまたはプライベート）の認証局が発行した証明書l クラスタで生成された別の自己署名証明書次のフォルダーは、server.crt および server.key ファイルのデフォルトの場所です。l TLS証明書：/usr/local/apache2/conf/ssl.crt/server.crtl TLS証明書キー：/usr/local/apache2/conf/ssl.key/server.key

サードパーティの CA が発行した証明書による TLS証明書の交換この処理手順では、既存の TLS証明書を、サードパーティ（パブリックまたはプライベート）の CA（認証局）が発行した TLS証明書に交換する方法について説明します。

はじめに認証局から TLS証明書をリクエストした場合、組織の情報を入力する必要があります。処理を開始する前に、事前にこの情報を判別することをお勧めします。必要な情報の詳細および例については、この章の「TLS証明書データの例」セクションを参照してください。

この処理手順では、isi_webui サービスを再起動する必要があります。この処理で、Web管理インターフェイスが再起動されます。したがって、スケジュール設定されたメンテナンスウィンドウ中に、次の手順を実行することをお勧めします。

手順1. クラスタ内の任意のノードへの SSH（セキュアシェル）接続を開き、root としてログインします。


証明書 47

2. 次のコマンドを実行して、バックアップディレクトリを作成します。

mkdir /ifs/data/backup/

3. バックアップディレクトリで権限を 700 に設定します。

chmod 700 /ifs/data/backup

4. 次の 2 つのコマンドを実行して、既存の server.crt および server.key ファイルのバックアップコピーを作成します。

cp /usr/local/apache2/conf/ssl.crt/server.crt \/ifs/data/backup/server.crt.bak

cp /usr/local/apache2/conf/ssl.key/server.key \/ifs/data/backup/server.crt.bak

バックアップディレクトリに同じ名前のファイルが存在する場合、既存のファイルを上書きします。あるいは、古いバックアップを保存し、タイムスタンプまたはその他の識別子で新しいファイルを名称変更します。

5. この処理手順を完了する場合には、ファイルを保持する作業ディレクトリを作成します。

mkdir /ifs/local

6. 作業ディレクトリで権限を 700 に設定します。

chmod 700 /ifs/local

7. 作業ディレクトリに変更します。

cd /ifs/local

8. 次のコマンドを実行して、新しい CSR（証明書署名リクエスト）と新しいキーを生成します。［<common-name>］は、割り当てる名前です。この処理手順で作業を行っている間、この名前は新しい.key および.csr ファイルを識別します。最終的には、ファイルを名称変更し、デフォルトの場所にコピーして、［<common-name>］という名前のファイルを削除することになります。［<common-name>］には任意の名前を選択できますが、新しい TLS証明書の共通名として入力する予定の名前にすることをお勧めします（たとえば、サーバ完全修



飾ドメイン名、または isilon.example.comなどのサーバ名）。この名前により、オリジナルのファイルと新しいファイルを区別できます。

openssl req -new -nodes -newkey rsa:1024 -keyout \［<common-name>］.key -out ［<common-name>］.csr

9. プロンプトが表示されたら、証明書リクエストに組み込む情報を入力します。情報の入力が完了すると、［<common-name>］.csr および［<common-name>］.key ファイルが/ifs/local ディレクトリに表示されます。

10. ［<common-name>］.csr ファイルの内容を署名のためにクラスタから CA（認証局）に送信します。

11. CA から署名済み証明書を受信したら（この時点で、.crt ファイル）、証明書を/ifs/local/<common-name>.crt にコピーします。［<common-name>］は、以前に割り当てた名前です。

12. (オプション) TLS証明書の属性を確認するには、次のコマンドを実行します。［<common-name>］は、以前割り当てた名前です。

openssl x509 -text -noout -in ［<common-name>］.crt

13. 次の 5 つのコマンドを実行して証明書とキーをインストールし、isi_webui サービスを再起動します。コマンドで、［<common-name>］を以前に割り当てられた名前に変えます。

isi services -a isi_webui disable

chmod 640 ［<common name>］.key

isi_for_array -s 'cp /ifs/local/［<common-name>］.key \/usr/local/apache2/conf/ssl.key/server.key'

isi_for_array -s 'cp /ifs/local/［<common-name>］.crt \/usr/local/apache2/conf/ssl.crt/server.crt'

isi services -a isi_webui enable

14. インストールが成功したことを確認します。手順については、「OneFS セキュリティ構成ガイド」の「TLS証明書更新の確認」セクションを参照してください。

15. /ifs/local ディレクトリから一時的な作業ファイルを削除します。

rm /ifs/local/［<common-name>］.csr \/ifs/local/［<common-name>］.key /ifs/local/［<common-name>］.crt


TLS証明書の交換または更新 49

16. （オプション）/ifs/data/backup ディレクトリからバックアップファイルを削除します。

rm /ifs/data/backup/server.crt.bak \/ifs/data/backup/server.key.bak

自己署名 TLS証明書の更新この処理手順では、既存の（ストック）サーバキーに基づく新しい証明書を生成することで、期限切れの自己署名 TLS証明書を交換する方法について説明します。

はじめに自己署名証明書を生成するときは、組織の情報を入力する必要があります。処理を開始する前に、事前にこの情報を判別することをお勧めします。必要な情報の詳細および例については、この章の「TLS証明書データの例」セクションを参照してください。

この処理手順では、isi_webui サービスを再起動する必要があります。この処理で、Web管理インターフェイスが再起動されます。したがって、スケジュール設定されたメンテナンスウィンドウ中に、次の手順を実行することをお勧めします。

手順1. クラスタ内の任意のノードへの SSH（セキュアシェル）接続を開き、root としてログインします。

2. 次のコマンドを実行して、バックアップディレクトリを作成します。

mkdir /ifs/data/backup/

3. バックアップディレクトリで権限を 700 に設定します。

chmod 700 /ifs/data/backup

4. 次の 2 つのコマンドを実行して、既存の server.crt および server.key ファイルのバックアップコピーを作成します。

cp /usr/local/apache2/conf/ssl.crt/server.crt \/ifs/data/backup.bak

cp /usr/local/apache2/conf/ssl.key/server.key \/ifs/data/backup.bak

バックアップディレクトリに同じ名前のファイルが存在する場合、既存のファイルを上書きします。あるいは、古いバックアップを保存し、タイムスタンプまたはその他の識別子で新しいファイルを名称変更します。



5. この処理手順を完了する場合には、ファイルを保持する作業ディレクトリを作成します。

mkdir /ifs/local/

6. 作業ディレクトリで権限を 700 に設定します。

chmod 700 /ifs/local

7. 作業ディレクトリに変更します。

cd /ifs/local/

8. コマンドプロンプトで次の 2 つのコマンドを実行して、2年間（730日間）で使用期間が終了する証明書を作成します。異なる有効期限の証明書を生成するには、［-days］の値を増減する。

cp /usr/local/apache2/conf/ssl.key/server.key ./

openssl req -new -days 730 -nodes -x509 -key \server.key -out server.crt

9. プロンプトが表示されたら、証明書リクエストに組み込む情報を入力します。情報の入力が完了したら、既存の（ストック）サーバキーに基づいて更新の証明書が作成されます。更新の証明書は server.crt と命名されて、/ifs/local ディレクトリに表示されます。

10. (オプション) TLS証明書の属性を検証するには、次のコマンドを実行します。

openssl x509 -text -noout -in server.crt

11. 次の 5 つのコマンドを実行して証明書とキーをインストールし、isi_webui サービスを再起動します。

isi services -a isi_webui disable

chmod 640 server.key

isi_for_array -s 'cp /ifs/local/server.key \/usr/local/apache2/conf/ssl.key/server.key'

isi_for_array -s 'cp /ifs/local/server.crt \/usr/local/apache2/conf/ssl.crt/server.crt'

isi services -a isi_webui enable


TLS証明書の交換または更新 51

12. インストールが成功したことを確認します。手順については、「OneFS セキュリティ構成ガイド」の「TLS証明書更新の確認」セクションを参照してください。

13. /ifs/local ディレクトリから一時的な作業ファイルを削除します。

rm /ifs/local/［<common-name>］.csr \/ifs/local/［<common-name>］.key /ifs/local/［<common-name>］.crt

14. （オプション）/ifs/data/backup ディレクトリからバックアップファイルを削除します。

rm /ifs/data/backup/server.crt.bak \/ifs/data/backup/server.key.bak

SSL証明書更新の確認SSL（Secure Sockets Layer）認定書に格納されている詳細を確認できます。手順

1. Web ブラウザーのウィンドウを開きます。2. https://<common name>:8080 にアクセスします。［<common name>］は、EMC

Isilon Web管理インターフェイスのホスト名（isilon.example.comなど）です。3. Web ページのセキュリティ詳細で、件名や指定した他の詳細が正しいことを確認します。

セキュリティ詳細を表示する手順はブラウザーごとに異なります。たとえば、ブラウザーによっては、アドレスバーの鍵の形のアイコンをクリックすると、Web ページのセキュリティ詳細が表示されます。ブラウザー固有の手順に従います。

自己署名 SSL証明書データの例自己署名 SSL証明書の更新またはリプレースには、完全修飾ドメイン名や連絡先メールアドレスなどのデータを提供する必要があります。自己署名 SSL証明書を更新またはリプレースするときに、次の例に示す形式でデータを提供するよう求められます。証明書ファイル内の一部のフィールドにはデフォルト値が含まれています。 '.'と入力した場合、証明書の生成時にフィールドは空白のままになります。l 国名（2文字のコード）[XX]：USl 州または地方名（完全名）[Some-State]：Washingtonl 市区町村名（都市など）[デフォルトの都市]：Seattlel 組織名（会社など）[Internet Widgits Pty Ltd]：Isilonl 組織単位名（部門など）[]：Supportl 共通名（サーバーの完全修飾ドメイン名やサーバー名など）[]：isilon.example.coml メールアドレス[]：[email protected]また、証明書リクエストで送信する次の属性を追加する必要があります。



l チャレンジパスワード[]：Isilon1l オプションの会社名[]：

クラスタの IDEMC Isilon クラスタの ID属性を指定できます。クラスタ名

クラスタ名はログインページに表示され、ネットワーク上でクラスタとそのノードを識別しやすくします。クラスタ内の各ノードは、クラスタ名とノード番号で指定されます。たとえば、Images という名前のクラスタの最初のノードは、Images-1 という名前になります。

IsilonSD Edge の場合は、IsilonSD Management Plug-in を介してのみクラスタの名前を割り当てることができます。詳細については、「IsilonSD Edge インストールおよび管理ガイド」を参照してください。

クラスタの説明ログインページのクラスタ名の下にクラスタの説明が表示されます。クラスタの説明は、ご使用の環境に複数のクラスタがある場合に便利です。

ログインメッセージログインメッセージは、OneFS Web管理インターフェイスの［Login］ページの別のボックスか、OneFS コマンドラインインターフェイスのクラスタ名の下のテキスト行に表示されます。ログインメッセージではクラスタの情報、ログインの手順、クラスタにログインする前に知っておく必要がある情報などを伝えることができます。OneFS Web管理インターフェイスの［Cluster Identity］ページに、この情報を設定します。

クラスタ名と連絡先情報の設定EMC Isilon クラスタの名前、説明、ログインメッセージ、連絡先情報を指定できます。

クラスタ名は文字で始める必要があり、数字、文字、ハイフンのみを含めることができます。クラスタが Active Directory ドメインに参加している場合、クラスタ名は 11文字以下にする必要があります。手順

1. ［Cluster Management］ > ［General Settings］ > ［Cluster Identity］をクリックします。

2. (オプション) ［Cluster Identity］領域で、［Cluster Name］フィールドにクラスタの名前を入力し、［Cluster Description］フィールドに説明を入力します。

IsilonSD Edge の場合は、VMware vCenter内の IsilonSD Management Plug-in からクラスターの名前を指定します。詳細については、「IsilonSD Edge Installation and

Administration Guide.」を参照してください。

3. (オプション) ［Login Message］領域で、［Message Title］フィールドにタイトルを入力して、［Message Body］フィールドにメッセージを入力します。


クラスタの ID 53

4. ［Contact Information］領域で、会社の名前と場所を入力します。5. ［Primary Administrator Information］領域で、クラスタのプライマリ OneFS管理者

の名前、電話番号、メールアドレスを入力します。6. ［Secondary Administrator Information］領域で、クラスタのセカンダリ OneFS管理

者の名前、電話番号、メールアドレスを入力します。7. ［Save Changes］をクリックします。

必要条件クラスター名を DNS サーバに追加する必要があります。

クラスターの日付と時間NTP（ネットワークタイムプロトコル）サービスは、手動で構成可能です。そのため、クラスター内のすべてのノードを同じタイムソースに確実に同期できます。NTP メソッドは、NTP サーバーを介してクラスターの日時設定を自動的に同期します。あるいは、サービスを手動で構成することにより、クラスターによって報告される日時を設定することもできます。Windows ドメインは、ドメインコントローラーで実行するマスタークロックにドメインのメンバーを同期させるメカニズムを提供するため、OneFSはサービスを使用してクラスターの時間を ActiveDirectory の時間に調整します。外部 NTP サーバーが構成されていない場合、OneFSはWindows ドメインコントローラーを NTP タイムサーバーとして使用します。クラスターとドメインの時間が同期していない状態が 4分を超えると、OneFSは、イベント通知を生成します。

クラスターとドメインの時間が同期していない状態が 5分を超えると、認証が機能しなくなります。

クラスターの日時の設定EMC Isilon クラスターによって使用される日付、時間、タイムゾーンを設定できます。手順

1. ［Cluster Management］ > ［General Settings］ > ［Date & Time］をクリックします。［Date and Time］ページに、各ノードの IP アドレスと各ノードの日時設定のリストが表示されます。

2. ［Date and Time］リストから、月、日、年、時、分の設定を選択します。3. ［Time zone］リストから値を選択します。

使用するタイムゾーンがリストに存在しない場合、［Time zone］リストで［Advanced］を選択し、［Advanced time zone］リストからタイムゾーンを選択します。

4. ［Submit］をクリックします。

NTP タイムサーバーの指定1台以上の NTP（ネットワークタイムプロトコル）サーバーを指定して、EMC Isilon クラスターのシステム時間を同期します。クラスターは、NTP サーバーと定期的に通信して、受け取る情報に基づいて日時を設定します。



手順1. ［Cluster Management］ > ［General Settings］ > ［NTP］をクリックします。2. (オプション) ［NTP Servers］領域で、1 つまたは複数の NTP サーバーの IPv4 または

IPv6 アドレスを入力します。キーファイルを使用する場合は、サーバーの IP アドレスの横にあるフィールドにキー数値を入力します。複数のサーバーを指定する場合は、［Add Another NTP Server］をクリックします。

3. (オプション) NTP サーバーのキーファイルを使用している場合、そのファイルのファイルパスを［Path to Key File］フィールドに入力します。

4. ［チャイマー設定］領域で、NTP サーバーに接続するチャイマーノード数を指定します（デフォルトでは 3）。

5. ノードをチャイミングから除外するには、LNN（論理ノード番号）を［Nodes Excludedfrom Chiming］フィールドに入力します。

6. ［Save Changes］をクリックします。

SMTP メール設定ネットワーク環境で SMTP サーバーを使用する必要がある場合や、SMTP を使用して EMCIsilon クラスターのイベント通知がポートを経由するようにルーティングする場合は、SMTP メール設定を行えます。SMTP の設定には、メールがルーティングされる SMTP のリレーアドレスやポート番号の指定も含まれます。クラスターから送信されるすべてのイベント通知メールの発信元や件名を指定できます。SMTP サーバーが認証をサポートするように構成されている場合、ユーザー名とパスワードを指定できます。また、接続を暗号化するかどうかも指定できます。

SMTP メール設定の構成イベント通知を SMTP メールサーバーを介して送信できます。SMTP認証をサポートするようにSMTP サーバーを構成した場合、SMTP認証を有効にすることもできます。手順

1. ［Cluster Management］ > ［General Settings］ > ［Email Settings］をクリックします。

2. ［SMTP Settings］領域で、［SMTP relay address］フィールドに IPv4 か IPv6 アドレスまたは SMTP リレーの完全修飾ドメイン名を入力します。

3. ［SMTP relay port］フィールドにポート番号を入力します。

デフォルトのポート番号は 25 です。

4. ［Use SMTP Authentication］チェックボックスをクリックして、SMTP認証を要求します。

トランスポートレイヤーセキュリティに関連するラジオボタンと、認証ユーザー名とパスワードを入力できるフィールドが表示されます。SMTP認証を使用したくない場合は、ステップ 7 に進みます。

5. 認証ユーザー名とパスワードを入力し、パスワードを確認します。6. 接続セキュリティを指定します。デフォルトでは、セキュリティは未設定です。TLS暗号化接

続を使用する場合は、STARTTLS を選択します。7. ［Event Notification Settings］領域で、メールの［To］行に表示される送信元のメー

ルアドレスを［Send email as］フィールドに入力します。


SMTP メール設定 55

8. ［Subject］フィールドに、メールの［Subject］行に表示されるテキストを入力します。9. イベント通知メールのバッチ処理をする場合、オプションを［Notification Batch Mode］

ドロップダウンメニューから選択します。デフォルトは［No batching］です。10. ［Default Email Template］ドロップダウンメニューから、OneFS またはカスタムテンプレー

トで提供されるデフォルトのテンプレートを使用するかどうかを選択します。カスタムテンプレートを選択した場合、［Custom Template Location］フィールドが表示されます。テンプレートのパス名を入力します。


テストイベント通知を送信することにより、構成をテストできます。

クラスターの参加モードの構成クラスター参加モードでは、EMC Isilon クラスターにノードを追加する方法と、認証が必要かどうかを指定します。OneFSは EMC Isilon クラスターにノードを追加する際の手動参加モードおよびセキュリティを考慮した参加モードをサポートします。

モード説明

手動クラスターに手動でノードを追加できます（許可は不要）。

セキュリティクラスターにノードを追加する際にはすべて許可が必要で、ノードはWeb管理インターフェイスを通じて追加するか、コマンドラインインターフェイスで isidevices -a add -d<unconfigured_node_serial_no>コマンドを使用する必要があります。

セキュリティを考慮した参加モードを使用する場合、シリアルコンソールのウィザードオプション［2］Joinan existing cluster を使用してノードをクラスターに参加させることはできません。

IsilonSD Edge には、クラスター参加モードを構成することはできません。詳細については、「IsilonSD Edge インストールおよび管理ガイド」を参照してください。

クラスター参加モードの指定ノードが EMC Isilon クラスターにどのように追加されるかを決定する参加モードを指定できます。

これらの手順は、IsilonSD Edge には適用されません。

手順1. ［Cluster Management］ > ［General Settings］ > ［Join Mode］をクリックします。

2. ［Settings］領域で、ノードをクラスターにどのように追加できるかを決定するモードを選択します。



オプション説明手動参加を手動で開始できます。セキュリティクラスターによってのみ参加を開始でき、認証は必須です。


ファイルシステムの設定アクセス時間のトラッキングと文字エンコーディングに関連するグローバルファイルシステム設定をEMC Isilon クラスターで構成できます。各ファイルにアクセスされた時間を監視する、アクセス時間トラッキング機能の有効と無効を切り替えることができます。必要に応じて、クラスターのデフォルトの文字エンコーディングを変更することもできます。

アクセス時間トラッキングの有効化または無効化アクセス時間トラッキングを有効にして、これに必要な機能をサポートすることができます。デフォルトでは、EMC Isilon クラスターは、ファイルがアクセスされたときにタイムスタンプをトラッキングしません。この機能を有効にして、この機能を使用する OneFS機能をサポートすることができます。たとえば、ファイルが最後にアクセスされた時間に基づいてファイルに一致する SyncIQ ポリシー基準を構成するには、アクセス時間トラッキングを有効にする必要があります。

アクセス時間トラッキングを有効にすると、クラスターのパフォーマンスに影響を与える場合があります。

手順1. ［File System Management］ > ［File System Settings］ > ［Access Time

Tracking］をクリックします。2. ［Access Time Tracking］領域の［Enable access time tracking］チェックボックス

をクリックして、ファイルアクセスのタイムスタンプをトラッキングします。この機能はデフォルトで無効になっています。

3. ［Precision］フィールドで数値の入力と単位（秒、分、時、日、週、月、年など）の選択を行うことによって、最終アクセス時間を更新する頻度を指定します。たとえば、1日の［Precision］設定を構成した場合、あるファイルが 1日の間に複数回アクセスされたとしても、クラスターは最終アクセス時間を 1日に一度だけ更新します。


クラスター文字エンコードの指定インストールした後に、EMC Isilon クラスターの文字エンコードセットを変更できます。

OneFS をサポートする文字セットのみを選択できます。UTF-8は、OneFS ノード用のデフォルト文字セットです。


ファイルシステムの設定 57

クラスター文字エンコードが UTF-8 に設定されていない場合、SMB共有名では大文字と小文字を区別します。

文字エンコードの変更を適用するには、クラスターを再起動する必要があります。

通常、文字エンコードはクラスターのインストール中に決定します。インストール後に文字エンコード設定を変更すると、誤った場合に、ファイルが読み取れなくなる恐れがあります。Isilon テクニカルサポートと相談したうえで必要な場合にのみ、設定を変更してください。

手順1. ［File System Management］ > ［File System Settings］ > ［Character

Encoding］をクリックします。2. (オプション) ［Character encoding］リストから、使用する文字エンコードセットを選択し

ます。3. ［Save Changes］をクリックしてから、［Yes］をクリックして、クラスターが再起動した後にエ

ンコードの変更が有効になることを確認します。4. クラスターを再起動します。

結果クラスターの再起動後、OneFS Web管理インターフェイスが変更を反映します。

セキュリティの強化セキュリティの強化は、できるだけ多くのセキュリティリスクを軽減または排除するようにシステムを構成するプロセスです。Isilon クラスタに強化プロファイルを適用する場合、OneFSはセキュリティプロファイルのファイルを読み取り、プロファイルで定義された構成をクラスタに適用します。必要に応じて、OneFSはノードの強化を妨害している構成上の問題を特定します。たとえば、特定ディレクトリのファイル権限が期待値に設定されていなかったり、必要なディレクトリがなかったりします。問題が見つかった場合、OneFS に問題を解決させるか、解決を延期して手動で問題を修正するかを選択します。

強化プロファイルの目的は、DISA（米国国防情報システム局）で定義された STIG（SecurityTechnical Implementation Guides）をサポートし、OneFS に適用することです。現時点で強化プロファイルは、DISA が STIG で定義した要件のサブセットのみをサポートしています。強化プロファイルは、主に連邦政府アカウントで使用することになります。

強化構成がシステムに適切でないと判断した場合は、旧セキュリティ強化プロファイルを復元することができます。強化プロファイルを復元すると、OneFSは、強化の前の、問題（存在する場合）を解決することで実現された構成に戻ります。OneFS に強化を適用するには、アクティブなセキュリティ強化ライセンスが必要で、EMC Isilon クラスタに root ユーザーとしてログインしている必要があります。ライセンスキーを取得する方法については、EMC Isilon担当営業にお問い合わせください。



STIG強化プロファイルOneFS STIG強化プロファイルは、米国国防総省によって設定された構成要件のサブセットを含んでおり、連邦政府アカウントをサポートする Isilon クラスタのために設計されました。STIG プロファイルを使用してインストールされた Isilon クラスタをとりまくエコシステムも、セキュリティで保護する必要があります。OneFS STIG強化プロファイルを適用した後、Isilon クラスタのセキュリティを強化し、DISA STIGで定義されている制御の一部をサポートするように、OneFS構成が変更されます。さまざまなシステム変更のうち、いくつかの例を次に示します。l SSH またはWeb インターフェイスを通じてログインした後、米国政府情報システムにアクセスし

ているというメッセージが表示され、システムの契約条件が表示される。l 各ノードで、SSH とWeb インターフェイスはノードの外部 IP アドレスでのみリスンする。l ローカルユーザーアカウントに対して、パスワードの複雑さ要件が高くなる。パスワードは 14文

字以上で、数字、大文字、小文字、記号を少なくとも 1文字ずつ含んでいる必要があります。l Root SSHは無効になっています。Web インターフェイスまたはシリアルコンソールセッションを

通じてのみ root としてログインできます。

セキュリティ強化プロファイルの適用Isilon クラスタに、OneFS STIG強化プロファイルを適用することができます。

はじめにセキュリティ強化は、root権限を必要とし、コマンドラインインターフェイスでのみ実行できます。強化がクラスタに正常に適用されると、root SSHは強化されたクラスタで許可されません。強化されたクラスタで root ユーザーとしてログインするには、Web インターフェイスかシリアルコンソールセッションを通じて接続する必要があります。OneFS に強化プロファイルを適用するには、アクティブなセキュリティ強化ライセンスが必要です。ライセンスキーを取得する方法については、EMC Isilon担当営業にお問い合わせください。手順

1. クラスタ内の任意のノードへの SSH（セキュアシェル）接続を開き、root としてログインします。

2. isi hardening apply コマンドを実行します。次のコマンドは、強化プロファイルを Isilon クラスタに適用するように OneFS に指示します。

isi hardening apply --profile=STIG

OneFSは、強化を適用する前に解決する必要のある構成の問題がシステムに含まれているかどうかを確認します。l OneFS に何も問題がなければ、強化プロファイルが適用されます。l OneFS に問題がある場合は、次の例のような出力が表示されます。

Found the following Issue(s) on the cluster:Issue #1 (Isilon Control_id:isi_GEN001200_01)Node: test-cluster-21: /etc/syslog.conf: Actual permission 0664; Expected permission 0654


STIG強化プロファイル 59

Issue #2 (Isilon Control_id:isi_GEN001200_02)Node: test-cluster-31: /usr/bin/passwd: Actual permission 4555; Expected permission 05552: /usr/bin/yppasswd: Actual permission 4555; Expected permission 0555Node: test-cluster-21: /usr/bin/passwd: Actual permission 4555; Expected permission 05552: /usr/bin/yppasswd: Actual permission 4555; Expected permission 0555

Total: 2 issue(s)Do you want to resolve the issue(s)?[Y/N]:

3. 構成の問題を解決します。Do you want to resolve the issue(s)?[Y/N]と表示されるので、次のいずれかのアクションを選択します。l OneFS ですべての問題を解決するには Y を入力します。OneFS による問題解決が完了したら、強化プロファイルを適用します。

l 解決を保留して、見つかった問題をすべて手動で修正する場合は、N を入力します。問題をすべて修正したら、isi hardening apply コマンドを再度実行します。

OneFS が致命的な問題を発見した場合、システムは手動でこの問題を解決するように求めます。OneFSは致命的な問題を解決することはできません。

セキュリティ強化プロファイルの復元EMC Isilon クラスタに適用した強化プロファイルを復元することができます。

はじめにセキュリティ強化の復元は、root権限を必要とし、コマンドラインインターフェイスでのみ実行できます。強化されたクラスタで root ユーザーとしてログインするには、シリアルコンソールセッションを通じて接続する必要があります。Root SSHは強化されたクラスタでは使用できません。OneFS で強化プロファイルを復元するには、アクティブなセキュリティ強化ライセンスが必要です。ライセンスキーを取得する方法については、EMC Isilon担当営業にお問い合わせください。手順

1. クラスター内の任意のノードにシリアルコンソールセッションを開き、root としてログインします。

2. isi hardening revert コマンドを実行します。OneFSはシステムが期待どおりの状態かどうかを確認します。l OneFS で問題が検出されなければ、強化プロファイルが復元されます。l OneFS で問題が検出された場合は、システムは次の例のような出力を表示します。

Found the following Issue(s) on the cluster:Issue #1 (Isilon Control_id:isi_GEN001200_01)Node: test-cluster-21: /etc/syslog.conf: Actual permission 0664; Expected permission 0654

Issue #2 (Isilon Control_id:isi_GEN001200_02)Node: test-cluster-31: /usr/bin/passwd: Actual permission 4555; Expected



permission 05552: /usr/bin/yppasswd: Actual permission 4555; Expected permission 0555Node: test-cluster-21: /usr/bin/passwd: Actual permission 4555; Expected permission 05552: /usr/bin/yppasswd: Actual permission 4555; Expected permission 0555

Total: 2 issue(s)Do you want to resolve the issue(s)?[Y/N]:

3. 構成の問題を解決します。Do you want to resolve the issue(s)?[Y/N]と表示されるので、次のいずれかのアクションを選択します。l すべての問題を OneFS が解決するようにするには Y と入力します。OneFSは影響を受ける構成を期待される状態に設定し、強化プロファイルを戻します。

l 解決を延期して、検出された問題をすべて手動で修正するには、N と入力します。すべての問題が修正されるまで、OneFSは復元プロセスを停止します。延期された問題をすべて修正した後で、isi hardening revert コマンドを再度実行します。

OneFS が致命的な問題を発見した場合、システムは手動でこの問題を解決するように求めます。OneFSは致命的な問題を解決することはできません。

セキュリティ強化ステータスの表示EMC Isilon クラスタおよび各クラスタノードのセキュリティ強化ステータスを表示できます。クラスタの全ノードの強化が完了するまで、クラスタは強化されたとみなされません。強化プロセスの実行時に、手動での解決が必要な問題が OneFS で発生したり、手動で解決するために問題を延期したりすると、問題が解決されるか強化プロファイルが正常に適用されるまで、問題が発生したノードは強化されません。問題解決にサポートが必要な場合は、Isilon テクニカルサポートにお問い合わせください。はじめにクラスタのセキュリティ強化ステータスの表示は、root権限を必要とし、コマンドラインインターフェイスでのみ実行できます。強化されたクラスタで root ユーザーとしてログインするには、シリアルコンソールセッションを通じて接続する必要があります。Root SSHは強化されたクラスタでは使用できません。クラスタの強化ステータスを表示するためにセキュリティ強化ライセンスは不要です。手順

1. クラスタの任意のノードに対しコンソールセッションを開き、root としてログインします。2. isi hardening status コマンドを実行して、Isilon クラスタと各ノードのセキュリティ

強化のステータスを表示します。次の例のような出力が表示されます。

Cluster Name: test-clusterHardening Status: Not HardenedProfile: STIGNode status:test-cluster-1: Disabledtest-cluster-2: Enabledtest-cluster-3: Enabled


セキュリティ強化ステータスの表示 61

クラスターの監視EMC Isilon クラスターの稼働状況、パフォーマンス、ステータスを監視できます。Web管理インターフェイスから OneFS ダッシュボードを使用して、OneFS システムのステータスと稼働状態を監視できます。個々のノードに使用できる情報。これには、ノード固有のネットワークトラフィックや内部および外部のネットワークインターフェイス、さらにノードプール、階層、クラスター全体の稼働状態に関する詳細が含まれます。EMC Isilon クラスターの稼働状況とパフォーマンスに関する次の部分を監視できます。ノードのステータス

クラスター内の各ノードに関する稼働状態およびパフォーマンスの統計。これには、HDD（ハードディスクドライブ）や SSD（ソリッドステートディスク）の使用量も含まれます。

クライアント接続ノードごとの接続されているクライアント数。

新しいイベントシステムイベントによって生成されたイベント通知のリスト。これには、重大度、固有のインスタンス ID、開始時間、アラートメッセージ、イベントの範囲が含まれます。

クラスターサイズ［Current］ビュー。使用済みおよび使用可能な HDD と SSD のスペース、および VHS（仮想ホットスペア）のために確保されたスペース。

［Historical］ビュー。使用済みの合計スペースと 1年間のクラスターサイズ。

クラスタースループット（ファイルシステム）［Current］ビュー。過去 1時間にクラスター内のノードを通過した送受信トラフィックの平均ボリューム。

［Historical］ビュー。過去 2週間にクラスター内のノードを通過した送受信トラフィックの平均ボリューム。

CPU使用率［Current］ビュー。過去 1時間のシステム、ユーザー、合計の平均 CPU使用率。

［Historical］ビュー。過去 2週間の CPU使用率。

クラスターの監視ノードのステータスやパフォーマンス、クライアント接続、イベント、クラスターサイズ、クラスターのスループット、CPU使用率を示すグラフや表を使用して EMC Isilon クラスターの稼働状態とパフォーマンスを監視できます。手順

1. ［Dashboard］ > ［Cluster Overview］ > ［Cluster Status］をクリックします。2. (オプション) クラスターの詳細を表示します。

l Status：ノードに関する詳細を表示するには、ノードの ID番号をクリックします。l Client connection summary：現在の接続のリストを表示するには、［Dashboard］ > ［Cluster Overview］ > ［Client Connections］をクリックします。



l New events：イベントに関する詳細情報を表示するには、［Actions］列の［Viewdetails］をクリックします。

l Cluster size：現在と履歴のビューを切り換えるには、［Monitoring］セクション見出しの近くにある［Historical］または［Current］をクリックします。履歴ビューで、［Used］または［Cluster size］をクリックして、表示を変更します。

l Cluster throughput（file system）：現在と履歴のビューを切り換えるには、［Monitoring］セクション見出しの横にある［Historical］または［Current］をクリックします。過去 2週間の特定期間のスループット統計を表示するには、［Dashboard ］ > ［Cluster Overview］ > ［Throughput Distribution］をクリックします。

グラフの凡例の［Inbound］または［Outbound］をクリックすることによって、受信または送信のスループットを非表示にしたり表示したりできます。最大スループットを表示するには、［Show］の横にある［Maximum］を選択します。

l CPU usage：現在と履歴のビューを切り換えるには、［Monitoring］セクション見出しの近くにある［Historical］または［Current］をクリックします。

グラフの凡例の［System］、［User］、［Total］のいずれかをクリックすることにより、プロットを表示したり非表示にしたりできます。最大使用量を表示するには、［Show］の横にある［Maximum］を選択します。

ノードのステータスの表示ノードの現在および履歴のステータスを表示できます。手順

1. ［Dashboard］ > ［Cluster Overview］ > ［Cluster Status］をクリックします。2. (オプション) ［Status］領域で、ステータスを表示するノードの ID番号をクリックします。3. ノードの詳細を表示します。

l Status：ノードのインターフェイス、サブネット、プールのネットワーク設定を表示するには、［Status］領域にあるリンクをクリックします。

l Client connections：このノードに現在接続されているクライアントを表示するには、この領域のリストを確認します。

l Chassis and drive status：このノードのドライブの状態を表示するには、この領域を確認します。ドライブに関する詳細を表示するには、ドライブの名前リンク（たとえば、［［Bay1］］）をクリックします。

l Node size：現在と履歴のビューを切り換えるには、［Monitoring］領域見出しの横にある［Historical］または［Current］をクリックします。履歴ビューで、［Used］または［Cluster size］をクリックし、それに応じて表示を変更します。

l Node throughput（file system）：現在と履歴のビューを切り換えるには、［Monitoring］領域見出しの横にある［Historical］または［Current］をクリックします。過去 2週間におけるある期間のスループット統計を表示するには、［Dashboard］ > ［Cluster Overview］ > ［Throughput Distribution］をクリックします。


ノードのステータスの表示 63

グラフの凡例の［Inbound］または［Outbound］をクリックすることによって、受信または送信のスループットを非表示にしたり表示したりできます。最大スループットを表示するには、［Show］の横にある［Maximum］を選択します。

l CPU usage：現在と履歴のビューを切り換えるには、［Monitoring］領域見出しの横にある［Historical］または［Current］をクリックします。

グラフの凡例の［System］、［User］、［Total］のいずれかをクリックすることにより、プロットを表示したり非表示にしたりできます。最大使用量を表示するには、［Show］の横にある［Maximum］を選択します。

クラスターハードウェアの監視EMC Isilon クラスターにあるハードウェアの状態は手動でチェックできるほか、SNMP を有効にしてリモートでコンポーネントを監視することもできます。

ノードハードウェアステータスの表示ノードのハードウェアステータスを表示できます。手順

1. ［Dashboard］ > ［Cluster Overview］ > ［Cluster Status］をクリックします。2. (オプション) ［Status］領域で、ノードの ID番号をクリックします。3. ［Chassis and drive status］領域で、［Platform］をクリックします。

シャーシとドライブの状態シャーシとドライブの状態の詳細を表示できます。クラスタでは、さまざまな縮退状態のノードの組み合わせにより、読み取り要求と書き込み要求のいずれかまたは両方が動作するかどうかが決まります。クラスタは、書き込み quorum を失っても、読み取り quorum を保持することがあります。OneFSは、クラスタ内のシャーシとドライブのステータスに関する詳細を提供します。次の表で、クラスタで検出する可能性のあるすべての状態について説明します。

IsilonSD Edge を実行している場合は、IsilonSD Management Plug-in を通じてシャーシとドライブの状態の詳細を表示し、管理することができます。詳細については、「IsilonSD Edge

Installation and Administration Guide.」を参照してください。

状態説明仮想マトリックスエラー状態

HEALTHY ノード内のすべてのドライブが正常に機能している。

コマンドラインインターフェイス、Web管理インターフェイス

L3 SSD（ソリッドステートドライブ）は、キャッシュメモ

コマンドラインインターフェイス




リのサイズを増やし、スループット速度を向上させるために、L3（レベル 3）キャッシュとして導入されました。

SMARTFAIL またはSmartfail orrestripe inprogress

I/O エラーまたはユーザーのリクエストにより、ファイルシステムからのドライブの安全な除去が進行中。SmartFail または読み取り専用状態のノードまたはドライブは、書き込み quorum のみに影響を与える。


NOT AVAILABLE 複数の原因によってドライブを使用できない。ベイをクリックして、この条件に関する詳細情報を表示できる。

Web管理インターフェイスでは、この状態にはERASE およびSED_ERROR コマンドラインインターフェイス状態が含まれる。


X

SUSPENDED この状態は、ドライブのアクティビティが一時的に中断し、ドライブが使用中でないことを示す。この状態は手動で開始し、通常のクラスタアクティビティ中は発生しない。


NOT IN USE オフライン状態のノードは、読み取りと書き込みの両方の quorum に影響を与える。


REPLACE ドライブの SmartFailは正常に行われ、交換の準備ができている。

コマンドラインインターフェイスのみ

STALLED ドライブは停止し、停止の評価を行っている。停止の評価は、低速またはその他の問題があるドライブをチェックするプロセスである。評価の結果に応じて、ドライブが動作を再



シャーシとドライブの状態 65


開するか、SmartFail が行われる。これは推移状態である。

NEW ドライブは新しいかブランクである。これは、isidev コマンドを-a［add］オプションで実行する際のドライブの状態である。


USED ドライブが追加され、Isilon GUID に含まれているが、ドライブはこのノードからのものではない。このドライブはクラスタ用にフォーマットされる可能性が高い。


PREPARING ドライブのフォーマット操作を実行中。フォーマットに成功すると、ドライブの状態が HEALTHY に変更される。


EMPTY ドライブがベイにない。コマンドラインインターフェイスのみ

WRONG_TYPE ドライブタイプがこのノードに対して正しくない。たとえば、SED ノードにSED以外のドライブがある、予期される SATA ドライブタイプではなく SAS

であるなど。


BOOT_DRIVE ベイ内に起動ドライブを持つ A100 ドライブに固有。


SED_ERROR ドライブは OneFS システムによって確認できない。

Web管理インターフェイスでは、この状態は Notavailable に含まれる。


X

ERASE ドライブは除去する準備ができているが、データが消去されていないため注意が必要。ドライブを手動で消去して、データが削除されていることを保証できる。






INSECURE 自己暗号化ドライブのデータは許可されていない従業員がアクセスできる。自己暗号化ドライブは非暗号化データ用には使用しないこと。

Web管理インターフェイスでは、この状態のラベルは UnencryptedSED となる。


X

UNENCRYPTED 自己暗号化ドライブのデータは許可されていない従業員がアクセスできる。自己暗号化ドライブは非暗号化データ用には使用しないこと。

コマンドラインインターフェイスでは、この状態のラベルは INSECURE となる。

Web管理インターフェイスのみ

X

バッテリーステータスの確認NVRAM のバッテリーや充電システムのステータスを監視できます。このタスクは、コマンドをサポートするノードハードウェアの OneFS コマンドラインインターフェイスでのみ実行できます。

次の手順は、IsilonSD Edge には適用できません。

手順1. クラスター内の任意のノードへの SSH接続を開きます。2. ノード上のすべての NVRAM のバッテリーや充電システムのステータスを表示するには、isi

batterystatus list コマンドを実行します。次の例のような出力が表示されます。

Lnn Status1 Status2 Result1 Result2----------------------------------------1 Good Good - -2 Good Good - -


バッテリーステータスの確認 67

3 Good Good - -----------------------------------------

SNMP モニタリングSNMP を使用して、ファン、ハードウェアセンサー、電源、ディスクなどの EMC Isilon クラスターハードウェアコンポーネントをリモートで監視できます。この目的のために、デフォルトの Linux SNMP ツールまたは GUI ベースの SNMP ツールを選択して使用します。クラスター上の個々のノードで SNMP モニタリングを有効にできます。また、任意のノードからクラスター情報を監視することもできます。生成された SNMP トラップは、SNMP ネットワークに送信されます。特定のイベントの SNMP トラップを送信し、イベントが発生したときにクラスターがそのサーバーにトラップを送信するネットワークステーションを指定するイベント通知ルールを構成できます。OneFSは、読み取り専用モードで SNMP をサポートします。OneFSは、SNMPバージョン 2c（デフォルト）と SNMPバージョン 3 をサポートします。

OneFSは、SNMPバージョン 1 をサポートしていません。--snmp-v1-v2-access のオプションが OneFS CLI（コマンドラインインターフェイス）コマンド isi snmp settings modify に存在しますが、この機能を有効にすると、OneFSは SNMPバージョン 2c でのみ監視を行います。

SNMPバージョン 3は単独で設定を構成することも、SNMPバージョン 2c とバージョン 3 の両方を構成することもできます。

SNMPバージョン 3 を構成する場合、クラスターをクエリーする際に、OneFS にはデフォルト値として SNMP固有のセキュリティレベルの AuthNoPriv が必要です。セキュリティレベルの AuthPrivはサポートされていません。

SNMP の階層にある構成要素は、ディレクトリツリーとよく似たツリー構造で並んでいます。ディレクトリと同じく、文字列が左から右に行くにつれて、識別子が一般的なものから具体的なものへと移行していきます。ただし、ファイル階層とは異なり、各要素は名前だけでなく、番号も付けられます。たとえば、SNMP エンティティ.iso.org.dod.internet.private.enterprises.isilon.oneFSss.ssLocalNodeId.0は、.1.3.6.1.4.1.12124.3.2.0 にマップされます。この名前の OneFSSNMP名前空間を参照する部分は、構成要素 12124 です。その番号の右側に続く部分は、OneFS固有の監視に関連します。MIB（管理情報ベース）ドキュメントでは、ユーザーが判読可能な管理オブジェクトの名前を定義し、データタイプやその他のプロパティを指定します。Isilon クラスターの SNMP モニタリングのために作成するMIB を OneFS Web管理インターフェイスからダウンロードするか CLI（コマンドラインインターフェイス）を使用して管理できます。MIBは、OneFS ノードの/usr/share/snmp/mibs/に格納されています。OneFS ISILON-MIBは、以下の 2 つの目的に適います。l 標準MIB で入手できる情報を補強するl 標準MIB では入手できない OneFS固有の情報を提供するISILON-MIBは、登録済みのエンタープライズMIB です。Isilon クラスターには 2種類のMIB ファイルがあります。



ISILON-MIB

OneFS統計スナップショットエージェントという NMS（ネットワークモニタリングシステム）からのクエリーに応答する SNMP エージェントのグループを定義します。この名前が示すように、これらのエージェントは、リクエストを受け取った時点で OneFS ファイルシステムの状態のスナップショットを作成し、NMS にこの情報を報告します。

ISILON-TRAP-MIB

トラップの PDU（プロトコルデータユニット）で定義された状況が発生したときに、SNMP トラップを生成し、SNMP モニタリングステーションに送信します。

OneFS MIB ファイルは、OneFS固有のオブジェクト ID を説明にマップします。/usr/share/snmp/mibs/など、SNMP ツールが見つけられるディレクトリにMIB ファイルをダウンロードまたはコピーします。名前と OID の自動マッピングを提供するために、Net-SNMP ツールにMIB を読み取らせるには、以下の例に示すように、-m All をコマンドに追加します。

snmpwalk -v2c -c public -m All <node IP> isilon

MIB ファイルがデフォルトの Net-SNMP MIB ディレクトリにない場合、以下の例に示すように、フルパスを指定する必要がある場合があります。3行すべてで、1 つのコマンドであることに注意してください。

snmpwalk -m /usr/local/share/snmp/mibs/ISILON-MIB.txt:/usr \/share/snmp/mibs/ISILON-TRAP-MIB.txt:/usr/share/snmp/mibs \/ONEFS-TRAP-MIB.txt -v2c -C c -c public <node IP> enterprises.onefs

前の例では、クラスターで snmpwalk コマンドが実行されています。ご使用の SNMPバージョンによって、必要な引数が異なる場合があります。

SNMP設定の管理SNMP を使用して、クラスターハードウェアおよびシステム情報を監視できます。Web管理インターフェイスまたはコマンドラインインターフェイスのいずれかを使用して設定を構成できます。クラスターの個々のノードで SNMP モニタリングを有効にできます。また、SNMP を各ノードで有効にすると、いずれのノードからもクラスター全体の情報を監視できます。Isilon クラスターで SNMP を使用する場合、固定のユーザー名 general を使用する必要があります。general ユーザーのパスワードは、Web管理インターフェイスで構成できます。静的 IPv4 または IPv6 アドレスを介して各ノードを直接クエリーするには、NMS（ネットワークモニタリングシステム）を構成する必要があります。この方法によって、全ノードに外部 IP アドレスを設定し、SNMP のクエリーに応答させることができるようになります。SNMP プロキシはデフォルトで有効なため、各ノードでの SNMP実装は、クラスター内のその他のすべてのノード（自分を除く）のプロキシに対して自動的に構成されます。このプロキシ構成によって、サポートされる SNMPバージョンのコンテキスト文字列を使用して、Isilon MIB（管理情報ベース）および標準MIB をシームレスに公開できます。該当するMIB をダウンロードして保存した後、Web管理インターフェイスまたはコマンドラインインターフェイスのいずれかを使用して SNMP モニタリングを構成できます。


SNMP モニタリング 69

SNMP モニタリング用のクラスターの構成EMC Isilon クラスターを構成し、SNMP を使用するハードウェアコンポーネントをリモートで監視できます。はじめにSNMPv3 を使用する場合、クラスターをクエリーする際に、OneFS にはデフォルト値として SNMP固有のセキュリティレベルの AuthNoPriv が必要です。セキュリティレベルの AuthPrivはサポートされていません。SNMP モニタリングの有効化または無効化、バージョンごとの SNMP アクセスの許可、その他の設定の構成（一部はオプション）を実行できます。すべての SNMP アクセスは読み取り専用です。

イベントを送信するイベント通知ルールを構成しないと、Isilon クラスターは SNMP トラップを生成しません。

手順1. ［Cluster Management］ > ［General Settings］ > ［SNMP Monitoring］をクリックします。

2. ［SNMP Service Settings］で、［Enable SNMP Service］チェックボックスをクリックします。SNMP サービスはデフォルトで有効になっています。

3. 使用するMIB ファイル（ベースまたはトラップ）をダウンロードします。

ブラウザーに固有のダウンロードプロセスに従います。4. /usr/share/snmp/mibs/など、SNMP ツールが見つけられるディレクトリにMIB ファ

イルをコピーします。Net-SNMP ツールにMIB を読み取らせて自動 OID命名マッピングを提供するには、例のように、-m All をコマンドに追加します。

snmpwalk -v2c -c public -m All <node IP> isilon

5. プロトコルが SNMPv2 の場合、［Allow SNMPv2 Access］チェックボックスが選択されていることを確認します。SNMPv2はデフォルトで選択されています。

6. ［SNMPv2 Read-Only Community Name］フィールドに、適切なコミュニティ名を入力します。デフォルトは I$ilonpublic です。

7. SNMPv3 を有効にするには、［Allow SNMPv3 Access］チェックボックスをクリックします。8. 次の手順により SNMP v3設定を構成します。

a.［SNMPv3 Read-Only User Name］フィールドに、SNMPv3 セキュリティ名を入力して、読み取り専用権限を持つユーザーの名前を変更します。デフォルトの読み取り専用ユーザーは、［general］です。

b.［SNMPv3 Read-Only Password］フィールドに、読み取り専用ユーザーの新しいパスワードを入力し、新規 SNMPv3認証パスワードを設定します。

デフォルトのパスワードは［password］です。パスワードを変更してセキュリティを高めることをお勧めします。パスワードは、少なくとも 8文字の長さである必要があり、スペースを含めることはできません。



c. 確認のために新しいパスワードを［Confirm password］フィールドに入力します。9. ［SNMP Reporting］領域で、クラスターの説明を［Cluster Description］フィールド

に入力します。10. 連絡先のメールアドレスを［System Contact Email］フィールドに入力します。11. ［Save Changes］をクリックします。

SNMP設定の表示SNMP モニタリング設定を確認できます。

手順l ［Cluster Management］ > ［General Settings］ > ［SNMP Monitoring］をクリッ

クします。

イベントとアラートOneFS は、継続的にクラスタの稼働状態とパフォーマンスを監視し、注意を必要とする状況が発生することがある場合にイベントを生成します。イベントはファイルシステムの整合性、ネットワーク接続、ジョブ、ハードウェア、その他クラスタの重要な操作やコンポーネントに関連するものとなります。イベントがキャプチャされると、OneFS によってそれらが分析されます。同様の根本原因を持つイベントは、イベントグループに整理されます。

イベントタイプ ID ごとの個々のイベントタイプの説明については、「OneFS イベントリファレンス」を参照してください。ハードウェアイベントなどの特定のイベントは、IsilonSD Edge には適用されません。

イベントグループは、特定の状況に関連する多数のイベントに対する単一の管理ポイントです。監視、無視、解決する必要があるイベントグループを指定できます。アラートは、イベントグループで発生した変更を報告するメッセージです。イベントグループに関連するアラートを配信する方法を制御できます。アラートは、チャネルを通じて配信されます。チャネルを作成して構成することにより、特定の対象者にアラートを送信し、チャネルが配信するコンテンツを制御し、アラートの頻度を制限できます。

イベントの概要イベントは、データワークフロー、メンテナンス操作、クラスターのハードウェアコンポーネントに関連する、個々の発生や状態を示しています。OneFS には、クラスター操作の監視と情報収集を常時行うプロセスがあります。コンポーネントまたは操作のステータスが変更された場合、その変更はイベントとして取得され、カーネルレベルで優先度キューに配置されます。すべてのイベントには、イベントのコンテキストを確立する際に有効な 2 つの ID番号が付けられます。l イベントタイプ IDは、発生したイベントのタイプを示します。l イベントインスタンス IDは、イベントタイプの特定の発生に固有の一意の番号です。イベントが

カーネルキューに送信されるときに、イベントインスタンス ID が割り当てられます。インスタンスID を参照すると、イベントが発生した正確な時間を決定することができます。


イベントとアラート 71

個々のイベントを表示することができます。ただし、イベントとアラートをイベントグループレベルで管理します。

イベントグループの概要イベントグループは、クラスター上の 1 つの状況に関連する症状である個々のイベントのコレクションです。イベントグループは、クラスター上の状況に対応して生成された複数のイベントインスタンスに対する単一の管理ポイントになります。たとえば、ノード内のシャーシファンに障害が起きた場合、OneFSは、障害が発生したファン自体と、ノード内の温度閾値を超えたことの両方に関連する複数のイベントを収集する可能性があります。ファンに関連するすべてのイベントは、1 つのイベントグループで表されます。単一のコンタクトポイントがあるため、多数のイベントを個別に管理する必要はありません。一貫性のある単一の問題として、この状況を処理できます。イベントのすべての管理は、イベントグループレベルで実行されます。イベントグループは、解決済みあるいは無視されたというマークを付けることができます。イベントグループに対するアラートの配信方法とタイミングも構成できます。

アラートの概要アラートは、イベントグループで発生した変更を通知するメッセージです。任意のポイントインタイムで、クラスタで発生している状況を追跡するイベントグループを表示できます。ただし、イベントグループ内で変更があった場合にプロアクティブに通知するアラートを作成することもできます。たとえば、新しいイベントがイベントグループに追加された場合、イベントグループが解決された場合、イベントグループの重大度が変更された場合にアラートを生成できます。特定のイベントグループや条件、重大度に対して、または限定された期間中にのみアラートを生成するようにクラスタを構成することができます。アラートは、チャネルを通じて提供されます。アラートを受け取るユーザーと時期を決定するチャネルを構成することができます。

チャネルの概要チャネルとは、イベントグループがアラートを送信するパスです。アラートが生成されるとき、アラートに関連するチャネルは、アラートの配信方法とアラートの受信者を決定します。次のようなメカニズムのいずれかによってアラートを配信するチャネルを構成することができます。それらは SMTP、SNMP、または ConnectEMC です。配信メカニズムが必要とするルーティングおよびラベルの情報を指定することもできます。

イベントグループの変更と表示イベントを表示し、イベントグループのステータスを変更できます。

イベントグループの表示イベントグループの詳細を表示することができます。手順

1. ［Cluster Management］ > ［Events and Alerts］をクリックします。2. 表示するイベントグループの［Actions］列で、［View Details］をクリックします。



イベントグループのステータスの変更イベントグループを無視するか、解決することができます。

イベントグループを解決したら、そのアクションを元に戻すことはできません。解決済みイベントグループに追加された新しいイベントは、新しいイベントグループに追加されます。

手順1. ［Cluster Management］ > ［Events and Alerts］をクリックします。2. 変更するイベントグループの［Actions］列で、［More］をクリックします。3. 表示されるメニューで［Mark Resolved］をクリックしてイベントグループを解決するか、［Ignore］をクリックしてイベントグループを無視します。

アクションを複数のイベントグループに対して実行するには、変更するイベントのイベントグループ ID の横のチェックボックスを選択して、［Select a bulk action］ドロップダウンリストからアクションを選択します。

4. ［Mark Resolved］または［Ignore］をクリックして、アクションを確定します。

イベントの表示指定のイベントの詳細を表示できます。手順

1. ［Cluster Management］ > ［Events and Alerts］をクリックします。2. 表示するイベントを含むイベントグループの［Actions］列で、［View Details］をクリック

します。3. ［Event Details］領域にある表示するイベントの［Actions］列で、［View Details］

をクリックします。

アラートの管理アラートを表示、作成、変更、削除して、イベントグループについて提供する情報を特定することができます。

アラートの表示指定のアラートの詳細を表示できます。手順

1. ［Cluster Management］ > ［Events and Alerts］ > ［Alerts］をクリックします。2. 表示するアラートの［Actions］列で、［View / Edit］をクリックします。

新しいアラートの作成イベントグループの特定の更新を示すために、新しいアラートを作成することができます。手順

1. ［Cluster Management］ > ［Events and Alerts］ > ［Alerts］をクリックします。2. ［Create an Alert］をクリックします。


アラートの管理 73

3. 必要に応じて、新しいアラートの設定を変更します。a.［Name］フィールドに、アラート名を入力します。b.［Alert Channels］領域で、アラートと関連づけるチャネルの横にあるチェックボックスをオンにします。新しいチャネルをアラートに関連づけるには、［Create an Alert Channel］をクリックします。

c. アラートと関連づける［Event Group Categories］の横にあるチェックボックスをオンにします。

d.［Event Group ID］フィールドで、アラートのレポートを希望するイベントグループの IDを入力します。アラートにもう 1 つのイベントグループ ID を追加するには、［Add Another EventGroup ID］をクリックします。

e.［Condition］ドロップダウンリストからアラートの条件を選択します。

選択したアラートの条件に応じて、その他の設定が表示されます。

f. 条件が［New event groups］、［New events］、［Interval］、［Severityincrease］、［Severity decrease］、［Resolved event group］の場合、どのくらい長くイベントが存在した場合にアラートで報告するかを示す数値と時刻の値を入力します。

g. 条件が［New events］の場合、［Maximum Alert Limit］フィールドに、新しいイベントについて送信できるアラートの最大数を編集します。

h. 条件が［ONGOING］の場合、継続中のイベントに関連するアラートの間隔に設定したい数値と時刻の値を入力します。

4. ［Create Alert］をクリックします。

アラートの削除作成したアラートを削除することができます。手順

1. ［Cluster Management］ > ［Events and Alerts］ > ［Alerts］をクリックします。2. 削除するアラートの［Actions］列で、［More］をクリックします。3. 表示されるメニューで［Delete］をクリックします。

複数のアラートを削除するには、削除するアラート名の横にあるチェックボックスを選択して、［Select an action］ドロップダウンリストから［Delete Selections］を選択します。

4. ［Delete］をクリックして、操作を確定します。

アラートの変更作成したアラートを変更することができます。



手順1. ［Cluster Management］ > ［Events and Alerts］ > ［Alerts］をクリックします。2. 変更するアラートの［Actions］列で、［View / Edit］をクリックします。3. ［Edit Alert］をクリックします。4. 必要に応じて、アラートの設定を変更します。

a.［Name］フィールドでアラート名を編集します。b.［Alert Channels］領域で、アラートと関連づけるチャネルの横にあるチェックボックスをオンにします。新しいチャネルをアラートに関連づけるには、［Create an Alert Channel］をクリックします。

c. アラートと関連づける［Event Group Categories］の横にあるチェックボックスをオンにします。

d.［Event Group ID］フィールドで、アラートのレポートを希望するイベントグループの IDを入力します。アラートにもう 1 つのイベントグループ ID を追加するには、［Add Another EventGroup ID］をクリックします。

e.［Condition］ドロップダウンリストからアラートの条件を選択します。

選択したアラートの条件に応じて、その他の設定が表示されます。

f. 条件が［New event groups］、［New events］、［Interval］、［Severityincrease］、［Severity decrease］、［Resolved event group］の場合、どのくらい長くイベントが存在した場合にアラートで報告するかを示す数値と時刻の値を入力します。

g. 条件が［New events］の場合、［Maximum Alert Limit］フィールドで、新しいイベントについて送信できるアラートの最大数を編集します。

h. 条件が［ONGOING］の場合、継続中のイベントに関連するアラートの間隔に設定したい数値と時刻の値を入力します。


チャネルの管理チャネルを表示、作成、変更、削除して、イベントグループ情報の提供方法を特定することができます。

チャネルの表示指定のチャネルの詳細を表示できます。手順

1. ［Cluster Management］ > ［Events and Alerts］ > ［Alerts］をクリックします。2. ［Alert Channels］領域で、表示するチャネルを検索します。3. 表示するチャネルの［Actions］列で、［View / Edit］をクリックします。


チャネルの管理 75

新しいチャネルの作成アラート情報を送信するための新しいチャネルを作成し、構成できます。手順

1. ［Cluster Management］ > ［Events and Alerts］ > ［Alerts］をクリックします。2. ［Alert Channels］領域で［Create an Alert Channel］をクリックします。3. ［Name］フィールドに、チャネル名を入力します。4. ［Enable this Channel］チェックボックスをクリックして、チャネルを有効化または無効化しま

す。5. チャネルからの配信メカニズムを［Type］ドロップダウンリストから選択します。

選択する配信メカニズムによって、さまざまな設定が表示されます。

6. SMTP チャネルを作成している場合は、次の設定を構成できます。a.［Send to］フィールドに、このチャネルに関するアラートを受信するメールアドレスを入力します。チャネルに別のメールアドレスを追加するには、［Add Another Email Address］をクリックします。

b.［Send from］フィールドに、アラートメールの差出人フィールドに表示するメールアドレスを入力します。

c.［Subject］フィールドに、アラートメールの件名に表示するテキストを入力します。d.［SMTP Host or Relay Address］フィールドに、SMTP ホストまたはリレーのアドレスを入力します。

e.［SMTP Relay Port］フィールドに、SMTP リレーポートの番号を入力します。f.［Use SMTP Authentication］チェックボックスをクリックして、SMTP サーバーのユーザー名とパスワードを指定します。

g. 接続セキュリティを［NONE］または［STARTTLS］間で指定します。h.［Notification Batch Mode］ドロップダウンから、重大度またはカテゴリー別にアラートをバッチ処理するかどうかを選択します。

i.［Notification Email Template］ドロップダウンから、メールを標準メールテンプレートまたはカスタムメールテンプレートから作成するかどうかを選択します。

カスタムテンプレートを指定する場合は、クラスター内でのテンプレートの場所を［Custom Template Location］フィールドに入力します。

j.［Master Nodes］領域の［Allowed Nodes］フィールドに、このチャネルを通じてアラートの送信を許可する、クラスター内のノードのノード番号を入力します。許可されるもう 1 つのノードをチャネルに追加するには、［Add another Node］をクリックします。ノードを指定しない場合、クラスター内のすべてのノードが許可されているノードであるとみなされます。

k.［Excluded Nodes］フィールドに、このチャネルを通じてアラートの送信を許可しない、クラスター内のノードのノード番号を入力します。



除外されるもう 1 つのノードをチャネルに追加するには、［Exclude another Node］をクリックします。

7. ConnectEMC のチャネルを作成している場合は、次の設定を構成できます。a.［Master Nodes］領域の［Allowed Nodes］フィールドに、このチャネルを通じてアラートの送信を許可する、クラスター内のノードのノード番号を入力します。許可されるもう 1 つのノードをチャネルに追加するには、［Add another Node］をクリックします。ノードを指定しない場合、クラスター内のすべてのノードが許可されているノードであるとみなされます。

b.［Excluded Nodes］フィールドに、このチャネルを通じてアラートの送信を許可しない、クラスター内のノードのノード番号を入力します。除外されるもう 1 つのノードをチャネルに追加するには、［Exclude another Node］をクリックします。

8. SNMP チャネルを作成している場合は、次の設定を構成できます。a.［Community］フィールドに、SNMP コミュニティ文字列を入力します。b.［Host］フィールドに、SNMP ホスト名またはアドレスを入力します。c.［Master Nodes］領域の［Allowed Nodes］フィールドに、このチャネルを通じてアラートの送信を許可する、クラスター内のノードのノード番号を入力します。許可されるもう 1 つのノードをチャネルに追加するには、［Add another Node］をクリックします。ノードを指定しない場合、クラスター内のすべてのノードが許可されているノードであるとみなされます。

d.［Excluded Nodes］フィールドに、このチャネルを通じてアラートの送信を許可しない、クラスター内のノードのノード番号を入力します。除外されるもう 1 つのノードをチャネルに追加するには、［Exclude another Node］をクリックします。

9. ［Create Alert Channel］をクリックします。

チャネルの変更作成したチャネルを変更することができます。手順

1. ［Cluster Management］ > ［Events and Alerts］ > ［Alerts］をクリックします。2. ［Alert Channels］領域で、変更するチャネルを検索します。3. 変更するチャネルの［Actions］列で、［View / Edit］をクリックします。4. ［Edit Alert Channel］をクリックします。5. ［Enable this Channel］チェックボックスをクリックして、チャネルを有効化または無効化しま

す。6. チャネルからの配信メカニズムを［Type］ドロップダウンリストから選択します。

選択する配信メカニズムによって、さまざまな設定が表示されます。

7. SMTP のチャネルを変更する場合は、次の設定を変更できます。


チャネルの管理 77

a.［Send to］フィールドに、このチャネルに関するアラートを受信するメールアドレスを入力します。チャネルに別のメールアドレスを追加するには、［Add Another Email Address］をクリックします。

b.［Send from］フィールドに、アラートメールの差出人フィールドに表示するメールアドレスを入力します。

c.［Subject］フィールドに、アラートメールの件名に表示するテキストを入力します。d.［SMTP Host or Relay Address］フィールドに、SMTP ホストまたはリレーのアドレスを入力します。

e.［SMTP Relay Port］フィールドに、SMTP リレーポートの番号を入力します。f.［Use SMTP Authentication］チェックボックスをクリックして、SMTP サーバーのユーザー名とパスワードを指定します。

g. 接続セキュリティを［NONE］または［STARTTLS］間で指定します。h.［Notification Batch Mode］ドロップダウンから、重大度またはカテゴリー別にアラートをバッチ処理するかどうかを選択します。

i.［Notification Email Template］ドロップダウンから、メールを標準メールテンプレートまたはカスタムメールテンプレートから作成するかどうかを選択します。

カスタムテンプレートを指定する場合は、クラスター内でのテンプレートの場所を［Custom Template Location］フィールドに入力します。

j.［Master Nodes］領域の［Allowed Nodes］フィールドに、このチャネルを通じてアラートの送信を許可する、クラスター内のノードのノード番号を入力します。許可されるもう 1 つのノードをチャネルに追加するには、［Add another Node］をクリックします。ノードを指定しない場合、クラスター内のすべてのノードが許可されているノードであるとみなされます。

k.［Excluded Nodes］フィールドに、このチャネルを通じてアラートの送信を許可しない、クラスター内のノードのノード番号を入力します。除外されるもう 1 つのノードをチャネルに追加するには、［Exclude another Node］をクリックします。

8. ConnectEMC のチャネルを変更する場合は、次の設定を変更できます。a.［Master Nodes］領域の［Allowed Nodes］フィールドに、このチャネルを通じてアラートの送信を許可する、クラスター内のノードのノード番号を入力します。許可されるもう 1 つのノードをチャネルに追加するには、［Add another Node］をクリックします。ノードを指定しない場合、クラスター内のすべてのノードが許可されているノードであるとみなされます。

b.［Excluded Nodes］フィールドに、このチャネルを通じてアラートの送信を許可しない、クラスター内のノードのノード番号を入力します。除外されるもう 1 つのノードをチャネルに追加するには、［Exclude another Node］をクリックします。

9. SNMP のチャネルを変更する場合は、次の設定を変更できます。a.［Community］フィールドに、SNMP コミュニティ文字列を入力します。b.［Host］フィールドに、SNMP ホスト名またはアドレスを入力します。



c.［Master Nodes］領域の［Allowed Nodes］フィールドに、このチャネルを通じてアラートの送信を許可する、クラスター内のノードのノード番号を入力します。許可されるもう 1 つのノードをチャネルに追加するには、［Add another Node］をクリックします。ノードを指定しない場合、クラスター内のすべてのノードが許可されているノードであるとみなされます。

d.［Excluded Nodes］フィールドに、このチャネルを通じてアラートの送信を許可しない、クラスター内のノードのノード番号を入力します。除外されるもう 1 つのノードをチャネルに追加するには、［Exclude another Node］をクリックします。


チャネルの削除作成したチャネルを削除できます。手順

1. ［Cluster Management］ > ［Events and Alerts］ > ［Alerts］をクリックします。2. ［Alert Channels］領域で、削除するチャネルを検索します。3. 削除するチャネルの［Actions］列で、［Delete］をクリックします。

複数のチャネルを削除するには、削除するチャネル名の横にあるチェックボックスを選択して、［Select an action］ドロップダウンリストから［Delete Selections］を選択します。

4. ［Delete］をクリックして、操作を確定します。

保守とテストイベント設定を変更して、イベントデータの保存期間とストレージの制限を指定したり、メンテナンスウィンドウのスケジュールを設定したり、テストイベントを送信したりできます。

イベントデータの保存期間とストレージの制限クラスター上でのイベントデータの処理方法を決定する設定を変更することができます。デフォルトでは、解決したイベントグループに関連するデータは無期限に保持されます。解決したイベントグループのデータをシステムが一定日数後に自動的に削除するように、保存期間の制限を設定できます。クラスターでイベントデータが占有できるメモリの量を制限することもできます。デフォルトでは、メモリの制限は、クラスター上の合計メモリの 1 テラバイトごとに 1 メガバイトです。1 メガバイトから 100 メガバイトまでのメモリに、この制限を調整することができます。小規模のクラスターの場合、別途確保される最小メモリ量は 1 ギガバイトです。クラスターがストレージの制限に達すると、システムによって新しいデータを収容できるよう、最も古いイベントグループデータの削除が開始されます。

イベントストレージ設定の表示ストレージと保守の設定を表示することができます。


保守とテスト 79

手順1. ［Cluster Management］ > ［Events and Alerts］ > ［Settings］をクリックします。

イベントストレージ設定の変更ストレージと保守の設定を表示することができます。手順

1. ［Cluster Management］ > ［Events and Alerts］ > ［Settings］をクリックします。2. ［Event Retention Settings］領域を検索します。3. ［Resolved Event Group Data Retention］フィールドに、解決済みのイベントグループ

を削除する前に保存する日数を入力します。4. ［Event Log Storage Limit］フィールドに、イベントデータ確保用のストレージ容量の上

限値を入力します。このフィールドの値は、全クラスターストレージのテラバイトあたり何メガバイトのデータを格納できるかを表します。


メンテナンスウィンドウメンテナンスウィンドウのスケジュールを設定するには、メンテナンスの開始時刻と期間を設定します。スケジュール設定されたメンテナンスウィンドウ期間中は、システムにより引き続きイベントがログに記録されますが、アラートは生成されません。メンテナンスウィンドウのスケジュールを設定すると、クラスターの保守手順に関連する無害のアラートによってチャネルが溢れることが防止されます。アクティブなイベントグループにより、スケジュール設定された保守期間が終了すると、自動的にアラートの生成が再開されます。

メンテナンスウィンドウのスケジュールメンテナンスウィンドウのスケジュールを設定して、クラスターの保守を実行しているときにアラートを停止することができます。手順

1. ［Cluster Management］ > ［Events and Alerts］ > ［Settings］をクリックします。2. ［Maintenance Period Settings］領域を検索します。3. ［Start Date］フィールドに、メンテナンスウィンドウを開始する日付を入力します。4. ［Start Date］ドロップダウンから、メンテナンスウィンドウを開始する時刻を選択します。5. ［Duration］フィールドに、メンテナンスウィンドウを持続させる長さの数値と時間の値を入力

します。6. ［Save Changes］をクリックします。

テストイベントとアラートハートビートイベントと呼ばれるテストイベントは自動的に生成されます。また、手動でテストアラートを生成することもできます。システムが正しく機能していることを確認するために、テストイベントはクラスター内の各ノードから 1イベントずつ、毎日自動的に送信されます。これらはハートビートイベントと呼ばれ、HeartbeatEvent という名前のイベントグループに通知されます。



チャネルの構成をテストするには、手動でシステムからテストアラートを送信します。

テストアラートの送信手動でテストアラートを生成することができます。手順

1. ［Cluster Management］ > ［Events and Alerts］ > ［Alerts］をクリックします。2. ［Send Test Alert］領域を検索します。3. ［Text message］フィールドに、送信するメッセージのテキストを入力します。4. ［Send Test Alert］をクリックします。

ハートビートイベントの変更ハートビートイベントを生成する頻度を変更することができます。

この処理手順は、コマンドラインインターフェイスを使用した場合にのみ使用できます。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi event settings modify コマンドを実行して、ハートビートイベントの間隔を

変更します。次のコマンド例は、週次ベースで送信されるようにハートビートイベントを変更します。

isi event settings modify --heartbeat-interval weekly

クラスターのメンテナンストレーニングを受けたサービス担当者は、Isilon ノードのコンポーネントを交換したりアップグレードできます。Isilon テクニカルサポートは、パフォーマンスを向上させるため、ノードコンポーネントの交換やコンポーネントのアップグレードを支援できます。

ノードコンポーネントの交換ノードコンポーネントで障害が発生した場合、Isilon テクニカルサポートはお客様と連携して、迅速にコンポーネントを交換し、そのノードを正常に稼働している状態に戻します。トレーニングを受けたサービス担当者は、以下の FRU（フィールド交換可能ユニット）を交換できます。

これらのコンポーネントは、IsilonSD ノードには適用されません。

l バッテリーl ブートフラッシュドライブl SATA/SAS ドライブl メモリー（DIMM）l ファン


クラスターのメンテナンス 81

l フロントパネルl 侵入スイッチl NIC（ネットワークインターフェイスカード）l InfiniBand カードl NVRAM カードl SAS コントローラーl 電源アラートを Isilon に送信するようにクラスターを構成した場合、Isilon テクニカルサポートは、コンポーネントを交換する必要が生じたときに、お客様に連絡します。アラートを Isilon に送信するようにクラスターを構成しない場合、サービスリクエストを開始する必要があります。

ノードコンポーネントのアップグレードノードコンポーネントをアップグレードして、追加の容量を増やしたり、パフォーマンスを向上させることができます。トレーニングを受けたサービス担当者は、以下のコンポーネントを現場でアップグレードすることができます。

これらのノードコンポーネントは、IsilonSD Edge には適用されません。

l ドライブl メモリー（DIMM）l NIC（ネットワークインターフェイスカード）ノードのコンポーネントをアップグレードする場合、Isilon テクニカルサポートに問い合わせてください。

ドライブの ARR（Automatic Replacement Recognition）ノードでドライブが交換されると、OneFSは自動的にドライブをフォーマットし、クラスタに追加します。ノードでドライブを交換するのは、ドライブをアップグレードする場合か、故障が発生したドライブを交換する場合です。クラスタにドライブを追加するために、ユーザーが追加的なアクションを実行する必要はありません。OneFS がドライブのフォーマットと追加を自動的に実行します。また ARRは、クラスタにインストールされている現在のドライブサポートパッケージと一致させるために、新しいドライブ上のファームウェア更新も自動的に実行します。ドライブファームウェアは、クラスタ全体では更新されません。新しいドライブのみが更新されます。ドライブのフォーマットと追加を手動で実行する場合は、ARR を無効化できます。

ARR（Automatic Replacement Recognition）ステータスの表示クラスタで ARR が有効になっているかどうかを確認できます。手順

1. ［Cluster Management］ > ［Automatic Replacement Recognition］をクリックします。［ARR settings per node］領域では、各ノードの現在の ARR ステータスとともに、すべてのノードが LNN（論理ノード番号）別に表示されます。



ARR（Automatic Replacement Recognition）の有効化または無効化クラスタ全体を対象として、または特定のノードのみを対象として、ARR の有効化または無効化を実行できます。手順

1. クラスタ全体で ARR を有効化または無効化するには、［ClusterManagement］ > ［Automatic Replacement Recognition］をクリックします。

2. ［Settings］領域で、［Disable ARR］または［Enable ARR］をクリックします。3. 特定ノードの ARR を無効化するには、CLI（コマンドラインインターフェイス）で、次のステッ

プを実行する必要があります。a. クラスタ内の任意のノードへの SSH接続を確立します。b. 次のコマンドを実行します。

isi devices config modify --automatic-replacement-recognition no --node-lnn ［<node-lnn>］

ノード LNN を指定しないと、コマンドはクラスタ全体に適用されます。

次のコマンド例では、2 つの LNN でノードの ARR を無効化します。

isi devices config modify --automatic-replacement-recognition no --node-lnn 2

4. 特定ノードの ARR を有効化するには、CLI（コマンドラインインターフェイス）で、次のステップを実行する必要があります。a. クラスタ内の任意のノードへの SSH接続を確立します。b. 次のコマンドを実行します。

isi devices config modify --automatic-replacement-recognition yes --node-lnn ［<node-lnn>］

ノード LNN を指定しないと、コマンドはクラスタ全体に適用されます。

次のコマンド例では、2 つの LNN でノードの ARR を有効化します。

isi devices config modify --automatic-replacement-recognition yes --node-lnn 2

ドライブのファームウェアの管理クラスター内のいずれかのドライブのファームウェアが古くなった場合、クラスターのパフォーマンスまたはハードウェアの信頼性が影響を受けることがあります。全体的なデータの整合性を確保するために、ドライブサポートパッケージまたはドライブファームウェアパッケージをインストールすることで、ドライブのファームウェアを最新リビジョンに更新できます。


ドライブのファームウェアの管理 83

ドライブのファームウェアおよび関連する特徴と機能は、IsilonSD Edge には適用されません。

クラスター上のドライブのファームウェアが最新リビジョンかどうかは、ドライブファームウェアのステータスを表示することで確認できます。

ドライブのファームウェアを更新する前に、EMC Isilon テクニカルサポートに連絡することをお勧めします。

ドライブのファームウェアの更新の概要ドライブのファームウェアは、ドライブサポートパッケージまたはドライブファームウェアパッケージを通じて更新できます。クラスターで実行している OneFSバージョンおよびノード上のドライブのタイプに応じて、http://support.emc.com からこれらのいずれかのパッケージをダウンロードしてインストールします。

ドライブサポートパッケージOneFS 7.1.1以降を実行しているクラスターでは、ドライブサポートパッケージをインストールして、ドライブファームウェアを更新します。ファームウェアの更新を完了するために、影響を受けるノードを再起動する必要はありません。ドライブサポートパッケージは、次の追加機能を提供します。l 次のドライブ構成情報を更新する。

n サポートされるドライブの一覧n ドライブファームウェアのメタデータn SSD磨耗モニタリングデータn SAS および SATA の設定と属性

l 新規および交換用ドライブがフォーマットされてクラスターで使用される前に、これらのドライブのドライブファームウェアを最新リビジョンに自動的に更新する。これは、OneFS 7.2以降を実行しているクラスターにのみ適用されます。

使用中のドライブのファームウェアは、自動的に更新できません。

ドライブファームウェアパッケージ7.1.1 より前の OneFSバージョンを実行しているクラスター、またはブートフラッシュ非搭載のノードがあるクラスターでは、クラスター全体のドライブファームウェアパッケージをインストールして、ドライブのファームウェアを更新します。ファームウェアの更新を完了するには、影響を受けるノードを再起動する必要があります。

ドライブサポートパッケージのインストールOneFS 7.1.1以降を実行しているクラスタでは、最新のドライブサポートパッケージをインストールして、ドライブファームウェアをサポートされている最新リビジョンに更新します。

はじめにインストールを開始する前に、「最新のドライブサポートパッケージのインストールの考慮事項」セクションを参照してください。手順

1. ドライブサポートパッケージの使用可能なすべてのバージョンが一覧表示されている EMCサポートページに移動します。



http://support.emc.com/

http://support.emc.com/

https://support.emc.com/search/?product_id=15209&resource=DOWN&AlloftheseWrds=drive%20support%20package&SearchWithin=true&adv=y

https://support.emc.com/search/?product_id=15209&resource=DOWN&AlloftheseWrds=drive%20support%20package&SearchWithin=true&adv=y

2. ドライブサポートパッケージの最新バージョンをクリックし、ファイルをダウンロードします。

パッケージの適切なバリアントを選択するには、最新のドライブサポートパッケージのインストールの考慮事項に関するセクションを参照してください。パッケージをダウンロードできない場合は、EMC Isilon テクニカルサポートにお問い合わせください。

3. クラスタ内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。4. ディレクトリ構造/ifs/data/Isilon_Support/dsp を作成するか、可用性を確認

します。5. SCP、FTP、SMB、NFS、その他のサポートされるデータアクセスプロトコルを通じて、ダウ

ンロードしたファイルを dsp ディレクトリにコピーします。6. tar コマンドを実行してファイルを解凍します。

たとえば、ドライブサポートパッケージに対して選択したバリアントに基づいて、次のコマンドのいずれかを実行することでパッケージを解凍します。

tar -zxvf Drive_Support_［<version>］.tgztar –zxvf Drive_Support_［<version>］_No_SSD.tgz

7. isi_dsp_install コマンドを実行してパッケージをインストールします。たとえば、ドライブサポートパッケージに対して選択したバリアントに基づいて、次のコマンドのいずれかを実行することでパッケージをインストールします。

isi_dsp_install Drive_Support_［<version>］.tarisi_dsp_install Drive_Support_［<version>］_No_SSD.tar

l ドライブサポートパッケージをインストールするには、isi_dsp_install コマンドを実行する必要があります。isi pkg コマンドを使用しないでください。

l isi_dsp_install を実行すると、クラスタ全体にドライブサポートパッケージがインストールされます。

l インストール処理では、ドライブサポートパッケージからの必要なすべてのファイルのインストールに続いて、パッケージのアンインストールが処理されます。インストール後または最新バージョンのインストール前にパッケージを削除する必要はありません。

ドライブのファームウェアのステータスクラスタ上のドライブのファームウェアのステータスを表示して、ファームウェアの更新が必要かどうかを判断できます。手順

1. クラスタ内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. 次のいずれかのタスクを実行します。

l 全ノードのドライブファームウェアのステータスを表示します。OneFS のバージョンに応じて、次のコマンドのいずれかを実行します。



OneFS 8.0以降isi devices drive firmware list --node-lnn all

OneFS 8.0より前isi drivefirmware status

l 指定ノードのドライブのファームウェアのステータスを表示するには、次のコマンドのいずれかを実行します。OneFS 8.0以降

isi devices drive firmware list --node-lnn［<ノード番号>］

OneFS 8.0より前isi drivefirmware status -n ［<ノード番号>］

ドライブのファームウェアを更新する必要がない場合、Desired FW列は空です。

ドライブファームウェアの更新ドライブのファームウェアを最新リビジョンに更新できます。ドライブファームウェアを更新すると、全体的なデータの整合性が確保されます。この処理手順では、最新のドライブサポートパッケージをインストールした後にブートフラッシュドライブのあるノードのドライブファームウェアを更新する方法について説明します。ブートフラッシュドライブのあるノードのリストについては、「Isilon Drive Support Package Release Notes」のシステム要件のセクションを参照してください。ブートフラッシュドライブのないノードのドライブファームウェアを更新するには、最新のドライブファームウェアパッケージをダウンロードしてインストールします。詳細については、最新のドライブファームウェアパッケージのリリースノートを参照してください（https://support.emc.com/）。

ファームウェアの更新中にドライブの電源を入れ直すと、予期しない結果になることがあります。ベストプラクティスとして、クラスタでドライブのファームウェアを更新しているときは、ノードをリスタートまたは電源をオフにしないでください。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. クラスタ全体のドライブファームウェアを更新するには、次のコマンドを実行します。

isi devices drive firmware update start all --node-lnn all特定ノード専用にドライブファームウェアを更新するには、次のコマンドを実行します。isi devices drive firmware update start all --node-lnn［<node-number>］

1台のノードの更新が完了するのを待って、次のノードの更新を開始する必要があります。ノードの更新完了を確認するには、次のコマンドを実行します。isi devices drive firmware update listドライブがまだ更新中の場合は、ステータスが FWUPDATE と表示されます。



https://support.emc.com/

1台のドライブのドライブファームウェアの更新には、ドライブモデルに応じて約 15秒かかります。OneFSは、ドライブをシーケンシャルに更新します。

ドライブのファームウェア更新の確認ノード内のドライブのファームウェアを更新した後は、ファームウェアが正しく更新され、影響を受けるドライブが問題なく動作していることを確認します。手順

1. 次のコマンドを実行して、現在進行中のドライブファームウェア更新がないことを確認します。

isi devices drive firmware update list

ドライブが現在更新されている場合は、ステータス列に[FW_UPDATE]が表示されます。2. 次のコマンドを実行して、すべてのドライブが表示されたことを確認します。

isi devices drive firmware list --node-lnn all

すべてのドライブが更新された場合、Desired FW列は空になります。3. 次のコマンドを実行して、影響を受けるすべてのドライブが正常な状態であることを確認しま

す。

isi devices drive list --node-lnn all

ドライブが正常な状態で動作している場合は、ステータス列に[HEALTHY]が表示されます。

ドライブのファームウェアのステータス情報ドライブのファームウェアのステータスに関する情報は、OneFS のコマンドラインインターフェイスで確認できます。次の例は、isi devices drive firmware list コマンドの出力を示しています。

your-cluster-1# isi devices drive firmware listLnn Location Firmware Desired Model------------------------------------------------------2 Bay 1 A204 - HGST HUSMM1680ASS2002 Bay 2 A204 - HGST HUSMM1680ASS2002 Bay 3 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 4 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 5 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 6 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 7 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 8 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 9 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 10 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 11 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 12 MFAOABW0 MFAOAC50 HGST HUS724040ALA640------------------------------------------------------Total: 12

各項目の意味は以下のとおりです。



LNN

ドライブが存在しているノードの LNN が表示されます。

Location

ドライブがインストールされているベイ番号が表示されます。

Firmware

ドライブで現在実行されているファームウェアのバージョン番号が表示されます。

Desired

ドライブのファームウェアをアップグレードする必要がある場合、ファームウェア更新後のドライブファームウェアのバージョン番号が表示されます。

Model

ドライブのモデル番号が表示されます。

isi devices drive firmware list コマンドは、ローカルノードのみのドライブのファームウェア情報を表示します。ローカルクラスタだけでなく、クラスタ全体のドライブファームウェア情報を表示するには、次のコマンドを実行します。isi devices drive firmware list --node-lnn all

ドライブファームウェアの自動更新OneFS 7.2以降を実行しているクラスターでは、最新のドライブサポートパッケージをノードにインストールして、新規または交換用ドライブのファームウェアを自動的に更新します。ドライブサポートパッケージ内の情報によって、ドライブがフォーマットされて使用される前にドライブのファームウェアを更新する必要があるかどうかが決まります。更新が使用可能な場合、ドライブは最新のファームウェアで自動的に更新されます。

クラスターに追加された新規または交換用ドライブは、ファームウェアのリビジョンのステータスに関係なくフォーマットされます。特定のノードでドライブのファームウェアのステータスを表示することで、ファームウェア更新の失敗を特定できます。失敗した場合は、ノード上で［fwupdate］アクションを指定して isi devices コマンドを実行して、ファームウェアを手動で更新します。たとえば、次のコマンドを実行して、ノード 1 のファームウェアを手動で更新します。

isi devices -a fwupdate -d 1

クラスターノードの管理ノードを追加したり、クラスターからノードを削除できます。クラスター全体をシャットダウンしたり、再起動することもできます。

クラスターへのノードの追加既存の EMC Isilon クラスターに新しいノードを追加できます。



はじめにノードをクラスターに追加する前に、内部 IP アドレスを使用できることを確認します。新規ノードを追加する前に、必要に応じて IP アドレスを追加します。

新しいノードがクラスターとは OneFS の異なるバージョンを実行する場合、システムは、OneFS のノードバージョンを変更してクラスターに一致させます。

l OneFS と EMC Isilon のハードウェア間のバージョン互換性の詳細については、「Isilon

Supportability and Compatibility Guide」を参照してください。l IsilonSD Edge を実行している場合、「IsilonSD Edge インストールおよび管理ガイド」の手順に

従って、IsilonSD クラスターにノードを追加します。

手順1. ［Cluster Management］ > ［Hardware Configuration］ > ［Add Nodes］をクリックします。

2. ［Available Nodes］テーブルで、クラスターに追加するノードの［Add］をクリックします。

クラスターからのノードの削除EMC Isilon クラスターからノードを削除できます。ノードを削除すると、システムはノードのSmartFail を実行し、そのノード上のデータがクラスター内の他のノードに転送されるようにします。

クラスターからストレージノードを削除すると、そのノードからデータが削除されます。システムがデータを削除する前に、FlexProtect ジョブは、クラスター内に残るノード間でデータを安全に再分配します。

IsilonSD Edge を実行している場合、「IsilonSD Edge インストールおよび管理ガイド」の手順に従って、クラスターからノードを削除します。

手順1. ［Cluster Management］ > ［Hardware Configuration］ > ［Remove Nodes］の順に選択します。

2. ［Remove Node］領域で、削除するノードを指定します。3. ［Submit］をクリックします。

ストレージノードを削除する場合、［Remove Node］領域に SmartFail の進行状況が表示されます。非ストレージアクセラレータノードを削除する場合、そのノードはすぐにクラスターから削除されます。

ノードの LNN の変更ノードの LNN（論理ノード番号）を変更できます。この処理手順は、CLI（コマンドラインインターフェイス）を通じてのみ利用可能です。クラスター内のノードは、任意の名前または 1～144 の整数に名称変更できます。ノードの名前を変更すると、LNN がリセットされます。


クラスターノードの管理 89

l 任意の整数を LNN として指定できますが、144 より大きい整数は指定しないことをお勧めします。144 より大きい LNN を指定すると、パフォーマンスが大幅に低下することがあります。

l IsilonSD ノードの LNNは変更できないため、IsilonSD Edge を実行している場合は、これらの手順を無視してください。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. 次のコマンドを実行して isi config コマンドプロンプトを開きます。

isi config

3. lnnset コマンドを実行します。次のコマンドは、ノードの LNN を 12 から 73 に切り換えます。

lnnset 12 73

4. 「commit 」と入力します。結果新しいノード名が自動的に変更される前に、SSH セッションにリコネクトすることが必要な場合があります。

ノードのシャットダウンまたは再起動EMC Isilon クラスタでは、個々のノードまたはすべてのノードを選択して、シャットダウンしたり再起動したりできます。手順

1. ［Cluster Management］ > ［Hardware Configuration］ > ［Nodes］をクリックします。

2. ［Nodes］領域で、対応するチェックボックスをクリックして 1個以上のノードを選択し、アクションを指定します。

オプション説明Shut down ノードをシャットダウンします。Reboot ノードを停止した後、再起動します。

またノードを選択して、［Actions］列から次のいずれかのオプションを実行します。l ［More］ > ［Shut down node］をクリックして、ノードをシャットダウンします。l ［More］ > ［Reboot node］をクリックして、ノードの停止と再起動を行います。



OneFS のアップグレードOneFS オペレーティングシステムのアップグレードには、ローリングアップグレードと同時アップグレードの 2 つのオプションがあります。OneFS ソフトウェアをアップグレードする前に、アップグレード前チェックを実行する必要があります。ローリングアップグレードでは、EMC Isilon クラスタ内の各ノードを個別にアップグレードし、順番に再起動します。ローリングアップグレード中は、クラスタはオンラインのままで、サービスを中断することなく、クライアントにサービスを提供し続けますが、SMB クライアントでは一部の接続がリセットされる場合があります。ローリングアップグレードは、ノード番号ごと順番に実行されます。そのため、ローリングアップグレードの実行には、同時アップグレードよりも長い時間がかかります。アップグレード処理での最後のノードは、アップグレード処理を開始するために使用したノードです。

ローリングアップグレードは、すべてのクラスターには使用できません。アップグレードの計画を立て、アップグレードするクラスタを準備し、オペレーティングシステムでアップグレードを実行する方法の詳細については、OneFS Upgrades - Isilon Info Hub を参照してください。

同時アップグレードでは、新しいオペレーティングシステムをインストールして、クラスタ内のすべてのノードを一斉に再起動します。同時アップグレードは、ローリングアップグレードよりも短い時間で行えますが、アップグレードプロセス中はサービスを一時的に中断する必要があります。アップグレードプロセスを実行している間は、データにアクセスできません。同時アップグレードまたはローリングアップグレードのいずれかを開始する前に、OneFSは現在のクラスタとオペレーティングシステムを新しいバージョンのものと比較し、構成の互換性（SMB、LDAP、SmartPools）、ディスクの可用性、重要なクラスタイベントが存在しないことなど、クラスタが特定の基準を満たしていることを確認します。アップグレードによってクラスタにリスクが発生する場合、OneFSはユーザーに警告を表示し、リスクに関する情報を提供して、アップグレードを続行するかどうかを確認するプロンプトを表示します。クラスタがアップグレード前の基準を満たしていない場合、アップグレードは続行されず、サポートされないステータスがリストされます。

EMC Isilon テクニカルサポートは、オプションのアップグレード前チェックを実行することを推奨します。アップグレードを開始する前に、クラスタがアップグレード処理を十分に完了できる状態であることを OneFS が確認します。いくつかのアップグレード前チェックが必須です。これらのチェックは、オプションのチェックをスキップしても行われます。アップグレード前チェックはすべて、より安全なアップグレードに貢献するものです。

リモートサポートOneFS では、ESRS（EMC セキュアリモートサービス）を通じたリモートサポートにより EMC Isilonクラスタを監視し、お客様の許可により、クラスタのデータを収集し問題のトラブルシューティングを行うために Isilon のテクニカルサポート担当者にリモートアクセスを提供します。ESRSは、セキュアなIP ベースのカスタマーサポートシステムです。ESRS の機能には、24時間 365日のリモートモニタリングと、AES 256 ビット暗号化および RSA デジタル証明書によるセキュアな認証が含まれます。OneFS 8.1以降では、必要なユーザー資格情報が保存されません。ESRSは、ライセンス対象機能ではありませんが、OneFSは、クラスタ ID として SWID（ライセンスソフトウェア ID）を使用するため、OneFS 8.1以降のクラスタで ESRS を使用する場合はライセンスが必要になります。クラスタをプロビジョニングした後、ESRS API キーがそれ以降の通信のために取得されます。


OneFS のアップグレード 91


構成されると、ESRSは Isilon クラスタを監視し、デバイスの正常性に関してアラートを送信します。Isilon のテクニカルサポート担当者は、SSH またWeb管理インターフェイスを通じてリモートセッションを確立できます。リモートセッション中にサポート担当者は、クラスタの設定および動作に関する診断データを収集するリモートサポートスクリプトを実行してそれを安全な FTP サイトに送信し、クラスタ上の未解決のサポートリクエストをトラブルシューティングします。リモートサポートを有効化する場合、Isilon のテクニカルサポート担当者がクラスタにリモートアクセスできるように、クラスタのログイン認証情報をサポート担当者と共有する必要があります。リモートアクセスは、未解決のサポートリクエストに対応する場合に限定されます。リモートセッションリクエストの許可または拒否は、Isilon テクニカルサポート担当者によって行われます。ESRS の機能の詳細な説明については、EMC Secure Remote Services TechnicalDescription の最新バージョンを参照してください。ESRS の関連ドキュメントについては、DellEMC Support by Product でご確認ください。

EMC セキュアリモートサービスサポートの構成Isilon クラスタで ESRS（EMC セキュアリモートサービス）のサポートを構成できます。ESRS を構成する前に、少なくとも 1台の ESRS ゲートウェイサーバがインストールおよび構成されている必要があります。Gateway サーバは、IP ベースのリモートサポートアクティビティおよびモニタリング通知で、単一の入口および出口のポイントとなります。必要に応じて、セカンダリ Gateway サーバをフェールオーバーとして設定します。

表 1 サポートされる ESRS Gateway リリース

ESRS OneFSバージョン 8.0以前

OneFSバージョン 8.1以降

ESRS Gateway サーバ（バックエンド）

バージョン 2 リリース 2（以前に構成されている場合）、およびリリース 3（OneFS ESRS 3 の機能と機能拡張に必要）

OneFS ESRS バージョン 2 リリース 2（以前に構成されている場合）、およびリリース 3（新しい機能と機能拡張に必要）

ESRSは、IPv6 の通信をサポートしていません。ESRS転送とリモート接続をサポートするには、IPv4 アドレス用に EMC Isilon クラスタ上に少なくとも 1 つのサブネットを構成する必要があります。ESRS が管理するすべてのノードには、IPv4 のアドレスプールのメンバーである少なくとも 1 つのネットワークインターフェイスが必要です。サポート担当者が、リモートゲートウェイ接続を処理する 1 つ以上の IP アドレスプールを指定します。IP アドレスプールは、デフォルトのシステムグループネットであり、システムアクセスゾーンが参照する groupnet0 の下のサブネットに属している必要があります。ESRS を介したリモート接続専用の固定 IP アドレスを持つプールを指定することをお勧めします。ESRS転送が失敗した場合は、ESRSはフェールオーバー SMTP アドレスにイベント通知を送信できます。また、転送失敗時に E メールを送信するかどうかを指定します。OneFS の一般クラスタ設定に、SMTP アドレスとメールアドレスが指定されています。クラスタで ESRS のサポートを有効にすると、各ノードのシリアル番号と IP アドレスがゲートウェイサーバに送信されます。クラスタ情報を受信すると、次の操作を行うことができます。l ESRS構成ツールを使用して、ESRS を通じて管理する対象を選択する。l ESRS Policy Manager を使用して、Isilon クラスタへのリモートサポート接続のルールを作成

する。



https://support.emc.com/docu55298_EMC-Secure-Remote-Services-Release-3.16-Technical-Description.pdf?language=en_US

https://support.emc.com/docu55298_EMC-Secure-Remote-Services-Release-3.16-Technical-Description.pdf?language=en_US

https://support.emc.com/products

https://support.emc.com/products

次に示すドキュメントに ESRS の補足情報が記載されています。l EMC Secure Remote Services Site Planning Guide ドキュメントの最新バージョン。

Gateway サーバの要件、インストール、構成について詳細に説明しています。l EMC Secure Remote Services Installation and Operations Guide ドキュメントの最新バ

ージョン。ESRS構成ツールについて詳細に説明しています。l EMC Secure Remote Services Policy Manager Operations Guide ドキュメントの最新

バージョン。ESRS Policy Manger の詳細について説明しています。l 製品ごとの EMC サポート。OneFS 8.1以降では、ESRS 3.x仮想エディションゲートウェイをサポートする ESRS REST インターフェイスを使用します。以前の OneFSバージョンのノードとは異なり、現在ではクラスタ全体が単一の登録でプロビジョニングされています。図 1 OneFS クラスタと ESRS Gateway接続性バックエンドの関係

次の表に、ESRS for OneFS 8.1 で使用できる機能と機能拡張を示します。新機能を活用するには、OneFS 8.1以降のクラスタで ESRS を有効化する前に、ESRS Gateway サーバ（仮想エディション）リリース 3.x を実行していることを確認してください。

表 2 ESRS の機能と機能強化

機能説明

統合 ESRSは、EMC の製品ライン全般でリモートアクセスを実現するため、統一された標準ベースのアーキテクチャを提供することで、テクニカルサポートへのアクセスポイントを統合しています。メリットとしては、モデムと電話回線の廃止によるコスト削減、リモートサービスイベント対応アクセスの許可管理、監査レビューリモートアクセスの統合ログなどが挙げられます。


EMC セキュアリモートサービスサポートの構成 93

https://support.emc.com/docu55300_EMC-Secure-Remote-Services-Release-3.16-Site-Planning-Guide.pdf?language=en_US

https://support.emc.com/docu55297_EMC-Secure-Remote-Services-Release-3.16-Installation-and-Operations-Guide.pdf?language=en_US

https://support.emc.com/docu41202_Secure-Remote-Services-Policy-Manager-2.02.1-xxx-Operations-Guide.pdf?language=en_US

https://support.emc.com/products/31755_EMC-Secure-Remote-Services

表 2 ESRS の機能と機能強化（続き）

機能説明

セキュリティの強化 l 包括的なデジタルセキュリティ：ESRS のセキュリティの機能には、TLS（Transport Layer

Security）データ暗号化、AES（高度暗号化標準）256 ビットデータ暗号化 SHA-1対応のTLS v1.0 トンネリング、エンティティの認証（プライベートデジタル証明書）、EMC ネットワークセキュリティで検証されるリモートアクセスユーザー認証などがあります。

l 許可の制御: ポリシー制御では、ポリシーマネージャを使用することにより、カスタマイズされた許可を実現できます。たとえば、サポートのアプリケーションレベルおよびデバイスレベルで、EMC デバイスインフラストラクチャへの接続を承諾または拒否したり、動的に承認要求したりできます。

l セキュアリモートアクセスセッショントンネル:

ESRSは、ソースとターゲットのエンドポイント間で、リモートセッションセキュア IP とアプリケーションポート割り当てを確立します。

ライセンス使用率データの転送 ESRS VE REST APIは、EMC製品から EMC へのライセンス使用率データの転送をサポートします。このような製品は ESRS VE で管理する必要があり、使用率データの送信のために、使用状況インテリジェンスを有効化する必要があります。EMCは、使用率データを処理し、使用状況インテリジェンスレポートを提供しています。これにより、お客様と EMCは、製品使用率のトラッキングとコンプライアンスの管理をよりよく実施できるようになっています。

ソフトウェアの自動更新 ESRS VEは、ソフトウェアアップデートを自動的にチェックし、使用可能になると E メールでユーザーに通知します。また使用可能になると、使用可能な最新のアップデートが ESRS Web UI ダッシュボードに表示されます。ユーザーは、ESRS VE Web UI から選択したとおりにアップデートを適用できます。

MFT（管理ファイル転送） MFTは、ESRS VE（Virtual Edition）の一部として提供されている双方向のファイル転送メカニズムです。MFT を使用すると、製品と EMC の間でログファイル、マイクロコード、ファームウェア、スクリプト、大きなインストールファイルなど、大容量のファイルを送受信できます。分散「ロッカー」は、双方向のファイルステージングに使用されます。

リモートサポートスクリプトESRS でリモートサポートを有効にすると、Isilon のテクニカルサポート担当者は、EMC Isilon クラスタのデータを収集するスクリプトによるログを要求し、そのデータをアップロードすることができます。



Isilon isi_gather_info ログ収集ツールに基づいたリモートサポートスクリプトは、各ノード上の/ifs/data/Isilon_Support/ディレクトリにあります。さらに ESRS が有効化されると、クラスタおよびノード固有データに焦点を当てたツールであるisi_phone_home が有効化されます。このツールは、クラスタに関する情報を毎週 Isilon テクニカルサポートに送信するように事前設定されています。isi_phone_homeは OneFS コマンドラインインターフェイスで無効化または有効化できます。以下の表には、リモートサポートスクリプトで実行されるデータ収集アクティビティがリストされています。Isilon のテクニカルサポート担当者がリクエストするときに、これらのスクリプトは自動的に実行され、クラスタの構成設定および動作に関する情報が収集されます。ESRSは、情報を Isilon のテクニカルサポート担当者が分析できるように Isilon の安全な FTP サイトにアップロードします。リモートサポートスクリプトがクラスタサービスやデータの可用性に影響することはありません。

アクション説明

Clean watch folder /var/crash のコンテンツをクリアします。

Get application data OneFS アプリケーションプログラムに関する情報を収集してアップロードします。

Generate dashboard file daily ダッシュボード情報を毎日生成します。

Generate dashboard file sequence ダッシュボード情報が発生した順番で情報を生成します。

Get ABR data ハードウェアに関する完成時の情報を収集します。

Get ATA control and GMirror status あらかじめ定義された eventid に応答するイベントを受け取ったときに、システム出力を収集し、スクリプトを呼び出します。

Get cluster data クラスター全体の構成と動作に関する情報を収集してアップロードします。

Get cluster events 既存の重要なイベントの出力を取得し、その情報をアップロードします。

Get cluster status クラスターのステータスの詳細を収集してアップロードします。

Get contact info 連絡先情報を抽出し、その情報を格納したテキストファイルをアップロードします。

Get contents（var/crash） /var/crash のコンテンツをアップロードします。

Get job status 監視しているジョブの詳細を収集してアップロードします。

Get domain data クラスターの ADS（Active Directory サービス）ドメインメンバーシップに関する情報を収集してアップロードします。

Get file system data OneFS /ifs/ファイルシステムの状態および稼働状態に関する情報を収集してアップロードします。


リモートサポートスクリプト 95

アクション説明

Get IB data InfiniBandバックエンドネットワークの構成と動作に関する情報を収集してアップロードします。

Get logs data 最新のクラスターログ情報のみを収集してアップロードします。

Get messages アクティブな/var/log/messages ファイルを収集してアップロードします。

Get network data クラスター全体およびノード固有のネットワーク構成設定と動作に関する情報を収集してアップロードします。

Get NFS clients コマンドを実行して、ノードが NFS クライアントとして使用されているかどうかをチェックします。

Get node data ノード固有の構成、ステータス、動作に関する情報を収集してアップロードします。

Get protocol data NFS、SMB、HDFS、FTP、HTTP プロトコルのネットワークステータス情報と構成設定を収集してアップロードします。

Get Pcap client stats クライアント統計を収集してアップロードします。

Get readonly status シャーシが開いている場合に警告し、イベント情報のテキストファイルをアップロードします。

Get usage data ノードのパフォーマンスおよびリソース使用量に関する現在と履歴の情報を収集してアップロードします。

isi_gather_info 最近のすべてのクラスタログ情報を収集してアップロードします。

isi_gather_info--incremental 直近のフルオペレーション以後に発生したクラスタログ情報への変更を収集してアップロードします。

isi_gather_info --incrementalsinglenode

直近のフルオペレーション以後に発生したクラスタログ情報への変更を収集してアップロードします。ノード番号を要求するプロンプトが表示されます。

isi_gather_infosingle node 単一ノードの詳細を収集してアップロードします。ノード番号を要求するプロンプトが表示されます。

isi_phone_home--script-file 最近のすべてのクラスタおよびノード固有情報を収集してアップロードします。

Upload the dashboard file ダッシュボード情報を Isilon のテクニカルサポートの安全な FTP サイトにアップロードします。



ESRS の有効化と構成OneFS Web UI では、Isilon クラスタで ESRS（EMC セキュアリモートサービス）のサポートを有効化し、構成することができます。はじめにESRS を有効化して構成する前に、OneFS ソフトウェアは、署名済みライセンスを取得する必要があります。また、Isilon クラスタで ESRS for OneFS 8.1 を有効化する前に、ESRS Gateway サーバ 3.x をインストールおよび構成する必要があります。ゲートウェイの接続を処理する IP アドレスプールは、システムに存在する必要があり、デフォルトのシステムグループネットである groupnet0 の下のサブネットに属している必要があります。手順

1. ［Cluster Management］ > ［General Settings］ > ［Remote Support］をクリックします。

2. ESRS を有効化するには、［Enable ESRS］をクリックします。図 2 ESRS のWeb UI

3. OneFS のライセンスが署名されていない場合、［Update license now］をクリックして、ライセンスの手順に従います。


ESRS の有効化と構成 97

図 3 署名されていないライセンスの警告

署名された OneFS ライセンスが追加された場合、ESRS の有効化と構成を実行できます。

4. ［Enable ESRS gateway support］チェックボックスをクリックします。図 4 ESRS設定の編集

［Settings］ウィンドウが開きます。



図 5 ESRS設定

5. ［Primary ESRS Gateway Server］フィールドに、IPv4 アドレスまたはプライマリゲートウェイサーバーの名前を入力します。

6. ［Secondary ESRS Gateway Server］フィールドに、IPv4 アドレスまたはセカンダリゲートウェイサーバーの名前を入力します。

7. IP アドレスプールを［Available Pools］リストと［Selected Pools］リスト間で移動させるには、［Gateway Access Pools］セクションで［Add］または［Remove］矢印をクリックします。［Available Pools］リストには、デフォルトのシステムグループネットである groupnet0 の下のサブネットに属している IP アドレスプールのみ表示されます。IPv4 のアドレス範囲を含むプールを選択します。

8. ESRS転送に失敗した場合は、フェールオーバー SMTP アドレスにイベント通知を送信する必要があると指定するには、［Use SMTP if ESRS transmission fails］をオンにします。SMTP アドレスは［Cluster Management］ > ［General Settings］ > ［EmailSettings］で構成されます。

9. ESRS転送に失敗した場合に、お客様の E メールアドレスにアラートを送信するには、［Send email if ESRS transmission fails］をオンにします。

メールアドレスは［Cluster Management］ > ［General Settings］ > ［ClusterIdentity］で構成されます。

10. 設定を保存してウィンドウを閉じるには、［Save Changes］をクリックします。


ESRS の有効化と構成 99

第 4章

アクセスゾーン


l アクセスゾーンの概要 .......................................................................................... 102l ベースディレクトリのガイドライン.............................................................................. 102l アクセスゾーンのベストプラクティス..........................................................................103l SyncIQ セカンダリクラスタ上のアクセスゾーン.......................................................... 104l アクセスゾーンの制限........................................................................................... 104l サービス品質....................................................................................................... 104l アクセスゾーンの管理...........................................................................................105

アクセスゾーン 101

アクセスゾーンの概要EMC Isilon クラスターのデフォルト表示は 1台の物理マシンですが、クラスターをアクセスゾーンと呼ばれる複数の仮想コンテナーに区分化できます。アクセスゾーンにより、データを分離し、各ゾーンのデータに誰がアクセスできるかを制御できます。アクセスゾーンはクラスター上の認証サービスや ID管理サービスの構成設定をすべてサポートするため、ゾーンごとに認証プロバイダーの構成や SMB共有および NFS エクスポートなどのプロトコルディレクトリのプロビジョニングを行うことができます。アクセスゾーンを作成すると、ローカルプロバイダーが自動的に作成されるため、ローカルユーザーとグループのリストを使用して各アクセスゾーンを構成できます。また、各アクセスゾーンで異なる認証プロバイダーを通じて認証できます。データへのアクセスを制御するには、DNS クライアント接続の設定を管理し、サブネットと IP アドレスプールが含まれている最上位レベルのネットワークコンテナーであるグループネットにアクセスゾーンを関連づけます。アクセスゾーンを作成する場合は、グループネットを指定する必要があります。グループネットが指定されていない場合、アクセスゾーンはデフォルトのグループネットを参照します。複数のアクセスゾーンが 1 つのグループネットを参照できます。アクセスゾーンへの受信接続をグループネット内の特定の IP アドレスプールに渡すことができます。アクセスゾーンと IP アドレスプールを関連づけると、関連づけられたアクセスゾーンへの認証が制限され、使用可能でアクセス可能なSMB共有および NFS エクスポートの数が減少します。複数のアクセスゾーンの利点は、個々のアクセスゾーンの監査プロトコルアクセスを構成できることです。成功および失敗したプロトコルの監査イベントのデフォルトリストを編集し、個々のアクセスゾーンについてサードパーティのツールを使用してレポートを生成できます。クラスターには System と呼ばれる組み込み型のアクセスゾーンがあり、ここでクラスターのあらゆる側面や別のアクセスゾーンを管理します。デフォルトで、すべてのクラスター IP アドレスは Systemゾーンに接続されます。主に構成操作を処理する役割に基づいたアクセスは、System ゾーンからのみ使用できます。すべての管理者（役割によって権限が与えられた場合も含む）は、クラスターを構成するために System ゾーンに接続する必要があります。システムゾーンは、クラスター上のデフォルトグループネット（groupnet0）を参照するように自動的に構成されます。System以外のアクセスゾーンの構成管理は、SSH、OneFS Platform API、Web管理インターフェイスを通じて行うことは許可されていません。ただし、アクセスゾーンの SMB共有はMMC（Microsoft管理コンソール）を使用して作成および削除できます。

ベースディレクトリのガイドラインベースディレクトリは、アクセスゾーンによって公開されるファイルシステムツリーを定義します。アクセスゾーンは、ベースディレクトリの外部にあるファイルへのアクセスを許可することはできません。各アクセスゾーンにベースディレクトリを割り当てる必要があります。ベースディレクトリは、SMB共有、NFS エクスポート、HDFS ルートディレクトリ、ローカルプロバイダーのホームディレクトリテンプレートなどの複数の機能のパスオプションを制限します。デフォルトのSystem アクセスゾーンのベースディレクトリは/ifs で、変更できません。アクセスゾーン内でデータを分離するためには、システムアクセスゾーンを除き、他のベースディレクトリと同一でなく重複もしていない一意のベースディレクトリパスを作成することを推奨します。たとえば、アクセスゾーン zone2 と zone3 の両方のベースディレクトリとして、/ifs/data/hr を指定しないでください。または、/ifs/data/hr を zone2 に割り当てる場合は、/ifs/data/hr/personnel を zone3 に割り当てないでください。OneFSは、ワークフローが共有データを必要とする場合のアクセスゾーン間でのデータの重複をサポートします。ただし、アクセスゾーンの構成が複雑になり、将来クライアントアクセスの問題につな



がる可能性があります。アクセスゾーン間でのデータの重複による最良の結果を得るために、EMCでは、アクセスゾーンで同一の認証プロバイダーを共有することも推奨します。プロバイダーを共有すると、ユーザーが異なるアクセスゾーンから同じデータにアクセスするときに整合性のとれた識別情報が得られます。データを共有するアクセスゾーン間で同一の認証プロバイダーを構成できない場合、EMCは次のベストプラクティスを推奨します。l 各アクセスゾーンで認証プロバイダーとして Active Directory を選択します。これによりファイル

がグローバルで一意な SID をオンディスク ID として保存するため、別ゾーンのユーザーが互いのデータへのアクセスを取得する可能性が排除されます。

l アクセスゾーンの認証プロバイダーとして、ローカル、LDAP、NIS を選択しないでください。これらの認証プロバイダーでは UID および GID を使用しますが、これらはグローバルに一意になることが保証されません。したがって、異なるゾーンからのユーザーが互いのデータにアクセスできる可能性が高くなります。

l オンディスク ID をネイティブに設定するか、または可能な場合には SID に設定します。ActiveDirectory と UNIX ユーザー間のユーザーマッピングが存在する場合、または ActiveDirectory プロバイダーの［Services for Unix］オプションが有効である場合、OneFSは SID を UID ではなくオンディスク ID として保存します。

アクセスゾーンのベストプラクティス次のベストプラクティスガイドラインに従って、アクセスゾーンを作成する際の EMC Isilon クラスター上の構成の問題を回避できます。

ベストプラクティス詳細

一意のベースディレクトリを作成する。データを分離する場合は、各アクセスゾーンのベースディレクトリパスは一意である必要があり、他のアクセスゾーンのベースディレクトリ内部に重複または入れ子にできない。重複を許可する場合も、ワークフローが共有データを必要とする場合にのみ使用するようにする。

System ゾーンの機能を他のアクセスゾーンから分離する。

構成アクセス用の System ゾーンを確保し、データアクセス用に追加のゾーンを作成します。System ゾーンから新しいアクセスゾーンに現在のデータを移動します。

アクセスゾーンを作成して、異なるクライアントまたはユーザーのデータアクセスを分離する。

ワークフローで異なるクラスのクライアントまたはユーザー間でデータを共有する必要がある場合は、アクセスゾーンを作成しない。

各アクセスゾーンに各タイプの認証プロバイダーを 1

つのみ割り当てる。アクセスゾーンは、単一の Active Directory プロバイダーに制限されるが、OneFS では各アクセスゾーンで複数の LDAP、NIS、ファイル認証プロバイダーが許可される。管理を簡単にするために、アクセスゾーンごとに各プロバイダーのタイプを 1 つのみ割り当てることをお勧めします。

同じアクセスゾーン内の認証プロバイダーに対して重複する UID または GID範囲を回避する。

ゾーンアクセスの競合の可能性はわずかだが、重複する UID/GID が同じアクセスゾーンに存在する場合はその可能性がある。


アクセスゾーンのベストプラクティス 103

SyncIQ セカンダリクラスタ上のアクセスゾーンバックアップおよびディザスタリカバリに使用するアクセスゾーンを、一定の制限付きで、SyncIQ セカンダリクラスタ上に作成することができます。アクティブな SyncIQ ライセンスがあれば、プライマリサーバをオフラインにする必要がある場合に、バックアップおよびフェールオーバーの目的でセカンダリ Isilon クラスタを管理することができます。プライマリサーバでレプリケーションジョブを実行すると、ファイルデータがバックアップサーバにレプリケートされます。この時、ディレクトリパスなどのファイル関連メタデータもレプリケートされます。ただし、アクセスゾーンなどのシステム構成設定は、セカンダリサーバにレプリケートされません。フェールオーバーのシナリオでは、プライマリクラスタとセカンダリクラスタの構成設定は、同一ではなくとも類似したものにする必要があります。アクセスゾーンを使用する場合を含め、ほとんどの場合、SyncIQ レプリケーションジョブを実行する前にシステム設定を構成することをお勧めします。これは、レプリケーションジョブでは、ターゲットディレクトリが読み取り専用モードになるためです。ベースディレクトリがすでに読み取り専用モードになっているアクセスゾーンを作成しようとすると、OneFSはこれを阻止してエラーメッセージを生成します。

アクセスゾーンの制限アクセスゾーン制限のガイドラインに従って、OneFS システム上のワークロードをサイズ変更できます。EMC Isilon クラスターに複数のアクセスゾーンを構成する場合は、システムパフォーマンスを最適化するためにガイドラインを制限することをお勧めします。「 Isilon OneFS TechnicalSpecifications Guide」で説明する制限は、クラスター上の負荷の高いエンタープライズワークフローに対する推奨であり、各アクセスゾーンを異なる物理マシンとして扱います。

サービス品質特定の物理リソースを各アクセスゾーンに割り当てることで、サービス品質の上限を設定できます。

サービス品質は、測定、改善、そして場合によって保証できる物理的なハードウェアパフォーマンス特性に対処します。サービス品質に対して測定される特性には、スループット率、CPU使用率、ディスク容量などがあります（これらに限定されません）。EMC Isilon クラスター内の物理ハードウェアを複数の仮想インスタンスで共有する場合、次のサービスで競合が発生します。l CPU

l メモリl ネットワークの帯域幅l ディスク I/O

l ディスク容量アクセスゾーンは、これらのリソースに対して論理的なサービス品質保証を提供しませんが、単一クラスター上のアクセスゾーン間でこれらのリソースを区分化できます。次の表で、サービス品質を向上させるためのリソースの区分化方法についていくつか説明します。



使用メモ

NIC アクセスゾーンに関連づけられている IP アドレスプールに特定のノード上の特定の NIC を割り当てることができる。これらの NIC を割り当てることで、アクセスゾーンに関連づけられるノードとインターフェイスを決定できます。これにより、CPU、メモリ、ネットワーク帯域幅を分離できます。IsilonSD Edge を実行している場合、ポートグループは IsilonSD ノード上の NIC を管理します。ポートグループの構成の詳細については、「IsilonSD Edge

インストールおよび管理ガイド」を参照してください。

SmartPools SmartPoolsは、ノードハードウェアの同等のクラスによって、通常は高、中、低パフォーマンスの複数の階層に分離される。SmartPool に書き込まれるデータは、そのプールのノード内のディスクにのみ書き込まれます。IP アドレスプールを単一の SmartPool のノードのみに関連づけると、ディスク I/O リソースを区分化できます。

SmartQuotas SmartQuotas を通じて、ユーザーまたはグループごとに、またはディレクトリ内でディスク容量を制限できる。アクセスゾーンのベースディレクトリにクォータを適用することで、そのアクセスゾーンで使用されるディスク容量を制限できます。

アクセスゾーンの管理EMC Isilon クラスターへのアクセスゾーンの作成、アクセスゾーン設定の表示と変更、アクセスゾーンの削除を行うことができます。

アクセスゾーンの作成アクセスゾーンを作成して、ベースディレクトリと認証プロバイダーを定義できます。手順

1. ［Access］ > ［Access Zones］の順にクリックします。2. ［Create an access zone］をクリックします。3. ［Zone Name］フィールドにアクセスゾーンの名前を入力します。4. ［Zone Base Directory］フィールドに、アクセスゾーンのベースディレクトリパスを入力する

か、パスを参照します。5. システムに設定するディレクトリがまだ存在しない場合は、［Create zone base directory

if it does not exist］チェックボックスをオンにします。6. ［Groupnet］リストで、アクセスゾーンと関連づけるグループネットを選択します。アクセスゾ

ーンは、選択したグループネットを共有する IP アドレスプールと認証プロバイダーにのみ関連づけることができます。

7. (オプション) ［Add a Provider］をクリックして［Add a New Auth Provider］ウィンドウを開き、アクセスゾーンの認証プロバイダーを選択します。


アクセスゾーンの管理 105

a.［Authentication Provider Type］リストで、プロバイダータイプを選択します。プロバイダータイプは、そのタイプのインスタンスがシステムに存在する場合にのみ表示されます。

b.［Authentication Provider］リストから認証プロバイダーを選択します。c. 認証やユーザー検索で認証プロバイダーが検索される順序を変更するには、プロバイダーインスタンスのタイトルバーをクリックして、リスト内の新しい位置にドラッグします。

8. ［Create Zone］をクリックします。9. 設定したディレクトリが別のアクセスゾーンのベースディレクトリと重なる場合は、システムプ

ロンプトで［Create］をクリックし、両方のアクセスゾーン内のユーザーにアクセスを許可することを確認します。

必要条件ユーザーがアクセスゾーンに接続するには、アクセスゾーンを IP アドレスプールに関連づける必要があります。

重複ベースディレクトリの割り当てワークフローで共有データを必要とする場合、アクセスゾーン間で重複ベースディレクトリを作成することができます。手順

1. ［Access］ > ［Access Zones］の順にクリックします。2. 変更するアクセスゾーンの横にある［View/Edit］をクリックします。

システムは［View Access Zone Details］ウィンドウを表示します。3. ［Edit］をクリックします。

システムは［Edit Access Zone Details］ウィンドウを表示します。4. ［Zone Base Directory］フィールドに、アクセスゾーンのベースディレクトリパスを入力する

か、パスを参照します。5. ［Save Changes］をクリックします。

システムで、設定するディレクトリが別のアクセスゾーンのベースディレクトリと重なることを確認するプロンプトが表示されます。

6. システムプロンプトで［Update］をクリックし、両方のアクセスゾーンでユーザーにデータアクセスを許可することを確認します。

7. ［Close］をクリックします。


アクセスゾーンでの認証プロバイダーの管理削除の認証プロバイダーをアクセスゾーンに追加し、認証プロセス中にプロバイダーがチェックされる順序を管理できます。手順

1. ［Access］ > ［Access Zones］の順にクリックします。2. 変更するアクセスゾーンの横にある［View/Edit］をクリックします。

システムは［View Access Zone Details］ウィンドウを表示します。



3. ［Edit］をクリックします。システムは［Edit Access Zone Details］ウィンドウを表示します。

4. (オプション) ［Add a Provider］をクリックして［Add a New Auth Provider］ウィンドウを開き、アクセスゾーンの認証プロバイダーを選択します。a.［Authentication Provider Type］リストで、プロバイダータイプを選択します。プロバイダータイプは、そのタイプのインスタンスがシステムに存在する場合にのみ表示されます。

b.［Authentication Provider］リストから認証プロバイダーを選択します。c. 認証やユーザー検索で認証プロバイダーが検索される順序を変更するには、プロバイダーインスタンスのタイトルバーをクリックして、リスト内の新しい位置にドラッグします。

5. ［Create Zone］をクリックします。6. 設定したディレクトリが別のアクセスゾーンのベースディレクトリと重なる場合は、システムプ

ロンプトで［Create］をクリックし、両方のアクセスゾーン内のユーザーにアクセスを許可することを確認します。


IP アドレスプールのアクセスゾーンへの関連づけIP アドレスプールをアクセスゾーンに関連づけて、クライアントがプールに割り当てられた IP アドレス範囲でのみアクセスゾーンに接続できるようにすることができます。

はじめにIP アドレスプールは、アクセスゾーンによって参照されている同じグループネットに属している必要があります。手順

1. ［Cluster Management］ > ［Network Configuration］ > ［External Network］をクリックします。

2. 変更する IP アドレスプールの横にある［View/Edit］をクリックします。システムは［View Pool Details］ウィンドウを表示します。

3. ［Edit］をクリックします。システムは［Edit Pool Details］ウィンドウを表示します。

4. ［Access Zone］リストから、プールに関連づけるアクセスゾーンを選択します。5. ［Save Changes］をクリックします。

アクセスゾーンの変更任意のアクセスゾーンのプロパティを変更することができますが、いくつかの例外があります。組み込み型の System ゾーンの名前を変更することはできず、選択されたグループネットを変更することはできません。手順

1. ［Access ］ > ［Access Zones］の順にクリックします。2. 変更するアクセスゾーンの横にある［View/Edit］をクリックします。

システムは［View Access Zone Details］ウィンドウを表示します。


IP アドレスプールのアクセスゾーンへの関連づけ 107

3. ［Edit］をクリックします。

システムは［Edit Access Zone Details］ウィンドウを表示します。4. 目的の設定を変更して［Save Changes］をクリックし、［Close］をクリックします。

アクセスゾーンの削除組み込みの System ゾーンを除いて任意のアクセスゾーンを削除できます。アクセスゾーンを削除した場合、関連づけられているすべての認証プロバイダーは他のゾーンで引き続き使用可能ですが、IP アドレスは他のゾーンに再割り当てされません。アクセスゾーンを削除すると、SMB共有、NFS エクスポート、HDFS データパスは削除されます。ただし、ディレクトリとデータは残るため、新しい共有、エクスポート、データパスを別のアクセスゾーンにマップできます。手順

1. ［Access］ > ［Access Zones］の順にクリックします。2. アクセスゾーンのテーブルで、削除するアクセスゾーンの横の［Delete］をクリックします。3. ［Confirm Delete］ダイアログボックスで、［Delete］をクリックします。

アクセスゾーンの一覧表示クラスター上のすべてのアクセスゾーンのリストを確認できます。手順

1. ［Access］ > ［Access Zones］の順にクリックします。2. 表示するアクセスゾーンの横の［View/Edit］をクリックします。

システムは［View Access Zone Details］ウィンドウを表示します。3. ［Close］をクリックします。



第 5章

認証

このセクションは、以下のトピックで構成されています。

l 認証の概要.........................................................................................................110l 認証プロバイダーの機能........................................................................................ 110l SID（セキュリティ識別子）ヒストリの概要............................................................... 110l サポートされている認証プロバイダー..........................................................................111l Active Directory................................................................................................. 111l LDAP................................................................................................................. 112l NIS.................................................................................................................... 113l Kerberos認証....................................................................................................113l ファイルプロバイダー...............................................................................................114l ローカルプロバイダー............................................................................................. 115l Active Directory プロバイダーの管理..................................................................... 115l LDAP プロバイダーの管理......................................................................................118l NIS プロバイダーの管理........................................................................................ 123l MIT Kerberos認証の管理..................................................................................124l ファイルプロバイダーの管理.................................................................................... 131l ローカルユーザーおよびグループの管理....................................................................135

認証 109

認証の概要OneFSはローカルとリモートの認証プロバイダーをサポートし、EMC Isilon クラスターへのアクセスを試行するユーザーが宣言通りであることを確認します。認証が不要な匿名アクセスは、それが許可されているプロトコルでサポートされています。OneFSは複数のタイプの認証プロバイダーの同時使用をサポートしており、ディレクトリサービスに類似しています。たとえば、OneFSは、多くの場合、Active Directory を使用してWindows クライアントを認証し、LDAP を使用して UNIX クライアントを認証するように構成されます。また、NIS（Sun Microsystems が設計）を構成して、クラスターにアクセスするユーザーとグループを認証できます。

OneFSは RFC 2307 に準拠しています。

認証プロバイダーの機能使用している環境の認証プロバイダーを構成できます。認証プロバイダーでは、次の表で説明する機能の混在がサポートされます。

機能説明

認証すべての認証プロバイダーは、平文認証をサポートしています。一部のプロバイダーは、NTLM またはKerberos認証をサポートするように構成することもできます。

ユーザーとグループ OneFSは、クラスター上で直接ユーザーとグループを管理するための機能を提供します。

ネットグループネットワークグループは NFS に固有で、NFS エクスポートへのアクセスを制限します。

UNIX中心のユーザーとグループのプロパティログインシェル、ホームディレクトリ、UID、GID。不足している情報は、構成テンプレートまたは追加の認証プロバイダーによって補足されます。

Windows中心のユーザーとグループのプロパティ NetBIOS ドメインおよび SID。不足している情報は、構成テンプレートによって補足されます。

SID（セキュリティ識別子）ヒストリの概要SID ヒストリは、Active Directory ドメインの移行時に、ユーザーおよびグループのメンバーシップとアクセス権を保存します。SID（セキュリティ識別子）ヒストリは、Active Directory ドメインの移行時に、ユーザーおよびグループのメンバーシップとアクセス権を保存します。オブジェクトを新しいドメインに移動すると、新ドメインが固有のプレフィックス付きの新しい SID を生成し、以前の SID情報を LDAP フィールドに記録します。この操作により、ユーザーとグループが、以前のドメインと同じアクセス権と権限を新しいドメインでも確実に保持できます。履歴の SID を使用する場合は、以下に注意してください。

認証


l 履歴の SIDは履歴ファイルアクセスと認証権限の管理にのみ使用する。l 新しいユーザー、グループ、ロールの追加に履歴の SID を使用しない。l ユーザーの変更、またはロールあるいはグループへのユーザーの追加には、ドメインで定義された

現在のオブジェクト SID を常に使用する。

サポートされている認証プロバイダーローカルとリモートの認証プロバイダーを構成して、EMC Isilon クラスターへのユーザーアクセスを認証または拒否できます。次の表に、OneFS がサポートしている各認証プロバイダーで使用可能な機能の比較を示します。次の表で、「x」は機能がプロバイダーで完全にサポートされていることを示します。アスタリスク（*）は、追加の構成または別のプロバイダーからのサポートが必要であることを示します。

認証プロバイダー

NTLM Kerberos ユーザー/グループ管理

ネットグループ

UNIX プロパティ（RFC2307）

Windowsのプロパティ

ActiveDirectory

x x * x

LDAP * x x x *

NIS x x

ローカル x x x x

ファイル x x x

MITKerberos

x * * *

Active DirectoryActive Directoryは、Microsoft による LDAP（Lightweight Directory Access Protocol）、Kerberos、DNS テクノロジーの実装であり、ネットワークリソースに関する情報を格納することができます。Active Directory には多くの機能がありますが、クラスターを Active Directory ドメインに接続する主な理由は、ユーザー認証およびグループ認証を行うためです。IPv4 アドレス、IPv6 アドレス、参加権限を持つユーザー名に解決できる完全修飾ドメイン名を指定することで、EMC Isilon クラスターを AD（Active Directory）ドメインに参加させることができます。クラスターが AD ドメインに参加するとき、単一の AD マシンアカウントが作成されます。マシンアカウントは、ドメインとの信頼関係を確立し、クラスターが Active Directory フォレスト内のユーザーを認証および承認できるようにするために使用されます。マシンアカウント名は、デフォルトではクラスター名と同じです。クラスター名が 15文字以上の場合、ドメイン参加後は名前がハッシュ化されて表示されます。OneFSは、Active Directory ドメインユーザーの認証に NTLM およびMicrosoft Kerberos をサポートします。NTLM クライアント認証情報がログインプロセスから取得され、暗号化されたチャレンジ/レスポンス形式で認証のために提示されます。Microsoft Kerberos クライアント認証情報は、KDC（キー配布センター）から取得され、サーバー接続の確立時に提示されます。セキュリティとパフォーマンスを向上させるために、Microsoft のガイドラインに従って、Kerberos を ActiveDirectory のプライマリ認証プロトコルとして実装することをお勧めします。各 Active Directory プロバイダーは、グループネットに関連づける必要があります。グループネットとは、DNS ネームサーバーに対するホスト名の解決を管理し、サブネットと IP アドレスプールを格納

認証

サポートされている認証プロバイダー 111

する最上位レベルのネットワークコンテナーです。グループネットは、Active Directory プロバイダーが外部のサーバーと通信するときに使用するネットワークのプロパティを指定します。ActiveDirectory プロバイダーと関連づけられたグループネットを変更することはできません。代わりに、Active Directory プロバイダーを削除し、新しいグループネットの関連づけを使用して再度作成する必要があります。アクセスゾーンを通じて接続するクライアントの認証方法として、アクセスゾーンに ActiveDirectory プロバイダーを追加できます。OneFSは、Isilon クラスターで Active Directory の複数のインスタンスをサポートしますが、アクセスゾーンに割り当てることができる Active Directory プロバイダーは 1 つだけです。アクセスゾーンと Active Directory プロバイダーは、同じグループネットを参照する必要があります。相互に信頼されない複数のドメインに対してアクセスを許可する場合のみ、複数の Active Directory インスタンスを構成してください。すべてのドメインに信頼関係がある場合は、単一の Active Directory インスタンスを構成してください。関連づけられているアクセスゾーンから Active Directory プロバイダーを削除することで、そのプロバイダーによる認証を中止できます。

LDAPLDAP（Lightweight Directory Access Protocol）は、ディレクトリサービスとリソースを定義、照会、変更できるようにするためのネットワークプロトコルです。OneFSは、ユーザーとグループにクラスターへのアクセスを許可するため、ユーザーとグループをLDAP リポジトリに対して認証することができます。OneFSは、LDAP プロバイダーの Kerberos認証をサポートします。LDAP サービスは次の機能をサポートしています。l ユーザー、グループ、ネットグループ。l 構成可能な LDAP スキーマ。たとえば、ldapsam スキーマを使用すると、Windows と同様の

属性を持つユーザーに対し、SMB プロトコル上で NTLM認証が可能です。l 単純な bind認証（SSL を使用または不使用）。l 同じディレクトリデータを持つサーバー間の冗長性とロードバランシング。l 異なるユーザーデータを持つサーバーにアクセスするための複数の LDAP プロバイダーインスタ

ンス。l 暗号化されたパスワード。l IPv4 および IPv6 サーバー URI。各 LDAP プロバイダーは、グループネットに関連づける必要があります。グループネットとは、DNS ネームサーバーに対するホスト名の解決を管理し、サブネットと IP アドレスプールを格納する最上位レベルのネットワークコンテナーです。グループネットは、LDAP プロバイダーが外部のサーバーと通信するときに使用するネットワークのプロパティを指定します。LDAP プロバイダーと関連づけられたグループネットを変更することはできません。代わりに LDAP プロバイダーを削除して、新しいグループネットの関連づけを使用して再度作成する必要があります。アクセスゾーンを通じて接続するクライアントの認証方法として、アクセスゾーンに LDAP プロバイダーを追加できます。1 つのアクセスゾーンには、最大で 1 つの LDAP プロバイダーを含めることができます。アクセスゾーンと LDAP プロバイダーは、同じグループネットを参照する必要があります。関連づけられているアクセスゾーンから LDAP プロバイダーを削除することで、そのプロバイダーによる認証を中止できます。

認証


NISNIS（Network Information Service）は、ローカルエリアネットワーク全体で認証機能と身元の統一性を提供します。OneFS には NIS認証プロバイダーが含まれており、クラスターを NIS インフラストラクチャと統合できます。NIS（Sun Microsystems が設計）を使用すると、クラスターにアクセスするユーザーとグループを認証できます。NIS プロバイダーは、NIS サーバーからパスワード、グループ、ネットグループマップを公開します。ホスト名検索もサポートされています。冗長性とロードバランシングのために、複数のサーバーを指定できます。各 NIS プロバイダーは、グループネットに関連づける必要があります。グループネットとは、DNS ネームサーバーに対するホスト名の解決を管理し、サブネットと IP アドレスプールを格納する最上位レベルのネットワークコンテナーです。グループネットは、NIS プロバイダーが外部のサーバーと通信するときに使用するネットワークのプロパティを指定します。NIS プロバイダーと関連づけられたグループネットを変更することはできません。代わりに NIS プロバイダーを削除して、新しいグループネットの関連づけを使用して再度作成する必要があります。アクセスゾーンを通じて接続するクライアントの認証方法として、アクセスゾーンに NIS プロバイダーを追加できます。1 つのアクセスゾーンには、最大で 1 つの NIS プロバイダーを含めることができます。アクセスゾーンと NIS プロバイダーは、同じグループネットを参照する必要があります。関連づけられているアクセスゾーンから NIS プロバイダーを削除することで、そのプロバイダーによる認証を中止できます。

NISは、OneFS がサポートしていない NIS+とは異なります。

Kerberos認証Kerberosは、接続をセキュリティで保護するために暗号化チケットをネゴシエートするネットワーク認証プロバイダーです。OneFS では、Microsoft Kerberos認証プロバイダーとMIT Kerberos認証プロバイダーが EMC Isilon クラスターでサポートされます。Active Directory プロバイダーを構成する場合は、Microsoft Kerberos認証のサポートが自動的に提供されます。MIT Kerberosは、Active Directory から独立して動作します。MIT Kerberos認証では、領域と呼ばれる管理ドメインを定義します。この領域内では、認証サーバーにはユーザー、ホスト、サービスを認証する権限があります。サーバーは、IPv4 アドレスまたはIPv6 アドレスに解決できます。オプションで、追加のドメイン拡張機能を領域に関連づけることができるように Kerberos ドメインを定義できます。Kerberos環境の認証サーバーは、KDC（キー配布センター）と呼ばれ、暗号化されたチケットを配布します。ユーザーが領域内のMIT Kerberos プロバイダーで認証されると、ユーザーの SPN（サービスプリンシパル名）で暗号化されたチケットが作成され、リクエストされたサービスにユーザーの ID が安全に渡されることが妥当性検査されます。各MIT Kerberos プロバイダーは、グループネットに関連づける必要があります。グループネットとは、DNS ネームサーバーに対するホスト名の解決を管理し、サブネットと IP アドレスプールを格納する最上位レベルのネットワークコンテナーです。グループネットは、Kerberos プロバイダーが外部のサーバーと通信するときに使用するネットワークのプロパティを指定します。Kerberos プロバイダーと関連づけられたグループネットを変更することはできません。代わりに Kerberos プロバイダーを削除して、新しいグループネットの関連づけを使用して再度作成する必要があります。

認証

NIS 113

アクセスゾーンを通じて接続するクライアントの認証方法として、アクセスゾーンにMIT Kerberosプロバイダーを追加できます。1 つのアクセスゾーンには、最大で 1 つのMIT Kerberos プロバイダーを含めることができます。アクセスゾーンと Kerberos プロバイダーは、同じグループネットを参照する必要があります。関連づけられているアクセスゾーンからMIT Kerberos プロバイダーを削除することで、そのプロバイダーによる認証を中止できます。

キータブと SPN の概要KDC（キー配布センター）は、EMC Isilon クラスター内のネットワークサービスに接続しているユーザーのアカウントとキータブを格納する認証サーバーです。キータブは、Kerberos チケットの妥当性検査と暗号化を行うためのキーを格納するキーテーブルです。キータブエントリーのフィールドの 1 つは SPN（サービスプリンシパル名）です。 SPNは、クラスター内の一意のサービスインスタンスを識別します。各 SPNは、KDC内の特定のキーに関連づけられています。ユーザーは、SPN とそれに関連づけられたキーを使用して、クラスター上のさまざまなサービスへのアクセスを可能にする Kerberos チケットを取得します。 SecurityAdmin役割のメンバーは、SPN の新しいキーを作成したり、後で必要に応じて変更したりできます。通常、サービスのSPNは<service>/<fqdn>@<realm>として表示されます。

SPNは、SmartConnect ゾーン名およびクラスターの FQDN ホスト名と一致する必要があります。 SmartConnect ゾーン設定が変更された場合は、変更と一致するようにクラスター上の SPNを更新する必要があります。

MIT Kerberos プロトコルのサポートMIT Kerberos では、HTTP、HDFS、NFSなどの特定の標準ネットワーク通信プロトコルがサポートされます。 MIT Kerberos では、SMB、SSH、FTP プロトコルはサポートされません。

NFS プロトコルサポートでは、エクスポートに対してMIT Kerberos を有効化する必要があり、Kerberos プロバイダーがアクセスゾーンに含まれている必要もあります。

ファイルプロバイダーファイルプロバイダーを通じて、ユーザーやグループに関する情報の信頼できるサードパーティソースを EMC Isilon クラスターに提供できます。サードパーティソースは、複数のサーバーに渡って/etc/passwd、/etc/group、etc/netgroup ファイルを同期する UNIX および Linux環境で有用です。標準的な BSD の/etc/spwd.db と/etc/group のデータベースファイルは、クラスター上のファイルプロバイダーのバッキングストアとして機能します。 OneFS CLI（コマンドラインインターフェイス）の pwd_mkdb コマンドを実行して spwd.db ファイルを生成します。データベースファイルへの更新をスクリプト化できます。Isilon クラスターでは、ファイルプロバイダーは libcrypt でパスワードをハッシュします。最高のセキュリティを実現するために、ソース/etc/passwd ファイルでModular Crypt Format を使用して、ハッシュアルゴリズムを決定することをお勧めします。 OneFS では、Modular Crypt Format に対して次のアルゴリズムをサポートします。l MD5

l NT-Hash

l SHA-256

認証


l SHA-512

使用可能なその他のパスワード形式の詳細については、CLI で man 3 crypt コマンドを実行して、暗号マニュアルページを表示してください。

組み込みの System ファイルプロバイダーには、root、admin、nobodyなどのシステムアカウントを一覧表示、管理、認証するためのサービスが含まれています。 System ファイルプロバイダーは変更しないことをお勧めします。

ローカルプロバイダーローカルプロバイダーには、管理者によって追加されたユーザーアカウントで使用できる認証機能と検索機能が用意されています。ローカル認証は、Active Directory、LDAP、NIS ディレクトリサービスが構成されていない場合や、特定のユーザーやアプリケーションがクラスターにアクセスする必要がある場合に役立ちます。ローカルグループには、組み込み型のグループと Active Directory グループをメンバーとして含めることができます。ネットワークベースの認証ソースの構成に加えて、クラスター内の各ノードのローカルパスワードポリシーを構成することでローカルユーザーとグループを管理することもできます。 OneFS設定では、パスワードの複雑性、パスワードの経過期間と再使用、パスワード試行ロックアウトポリシーを指定します。

Active Directoryプロバイダーの管理Active Directory プロバイダーの表示、構成、変更、削除を実施できます。 OneFSは、グローバルな Kerberos構成ファイルに加えて Active Directory用の Kerberos構成ファイルを備えています。どちらの構成ファイルもコマンドラインインターフェイスを使用して構成できます。 ActiveDirectory プロバイダーを使用しているすべてのアクセスゾーンからその Active Directory プロバイダーを削除することで、その Active Directory プロバイダーによる認証を中止できます。

Active Directory プロバイダーの構成1 つ以上の Active Directory プロバイダーを構成できます。それぞれの Active Directory プロバイダーは異なる Active Directory ドメインに属する必要があります。デフォルトでは、ActiveDirectory プロバイダーを構成すると、自動的に System アクセスゾーンに追加されます。

Active Directory プロバイダーを構成する際は、次の点を考慮します。l OneFS から Active Directory に参加すると、クラスタの時刻は Active Directory サーバから

更新されます（クラスタに NTP サーバが構成されていない場合）。l ユーザーを新しい Active Directory ドメインまたは別の Active Directory ドメインに移行する

場合は、新しいプロバイダーを構成した後で ACL ドメイン情報を再設定する必要があります。Microsoft SubInACLなどのサードパーティ製ツールを使用できます。

認証

ローカルプロバイダー 115

手順1. ［Access］ > ［Authentication Providers］ > ［Active Directory］の順にクリックします。

2. ［Join a domain］をクリックします。3. ［Domain Name］フィールドに、IPv4 または IPv6 アドレスに解決できる完全修飾の

Active Directory のドメイン名を入力します。

このドメイン名はプロバイダー名としても使用されます。4. ［User］フィールドに、Active Directory ドメインへの参加を許可されたアカウントのユーザー

名を入力します。5. ［Password］フィールドに、ユーザーアカウントのパスワードを入力します。6. (オプション) ［Organizational Unit］フィールドに、Active Directory サーバで接続に使

用する OU（組織単位）の名前を入力します。OUは［OuName］または［OuName1］/［SubName2］の形式で指定します。

7. (オプション) ［Machine Account］フィールドにマシンアカウントの名前を入力します。

接続に使用する OU を指定した場合、マシンアカウントがその OU内に存在しないときにはドメインへの参加が失敗します。

8. ［Groupnet］リストから、認証プロバイダーが参照するグループネットを選択します。9. (オプション) NFS で Active Directory認証を有効化するには、［Enable Secure NFS］

をオンにします。

接続に使用する OU を指定した場合、マシンアカウントがその OU内に存在しないときにはドメインへの参加が失敗します。

この設定を有効化した場合、ドメイン参加時に OneFSは NFS の SPN（サービスプリンシパル名）を登録します。

10. (オプション) ［Advanced Active Directory Settings］領域で、使用する高度な設定項目を構成します。影響を理解しないで高度な設定を変更しないことをお勧めします。

11. ［Join］をクリックします。

Active Directory プロバイダーの変更Active Directory プロバイダーの詳細設定を変更できます。手順

1. ［Access］ > ［ Authentication Providers］ > ［Active Directory］の順にクリックします。

2. ［Active Directory Providers］テーブルで、設定を変更するプロバイダーの［Viewdetails］をクリックします。

3. ［Advanced Active Directory Settings］をクリックします。4. 変更する設定ごとに［Edit］をクリックして変更を行い、［Save］をクリックします。5. (Optional)［Close］をクリックします。

認証


Active Directory プロバイダーの削除Active Directory プロバイダーを削除すると、そのプロバイダーに関連づけられた ActiveDirectory ドメインからクラスターが切断されるため、そのドメインにアクセス中のユーザーに対するサービスが中断されます。 Active Directory ドメインから離れた後は、ユーザーはクラスターからそのドメインにアクセスできなくなります。手順

1. ［Access］ > ［ Authentication Providers］ > ［Active Directory］の順にクリックします。

2. ［Active Directory Providers］テーブルで、離れるドメインの［Leave］をクリックします。3. 確認ダイアログボックスで、［Leave］をクリックします。

Active Directory プロバイダーの設定Active Directory プロバイダーの詳細設定を表示または変更できます。

設定説明

Services For UNIX ドメインコントローラで RFC 2307属性をサポートするかどうかを指定します。 RFC 2307はWindows

UNIX統合および Services For UNIX テクノロジーで必要になります。

Map to primary domain 修飾されていないユーザー名のプライマリドメイン内での検索を有効化します。この設定が有効化されていない場合、それぞれの認証動作でプライマリドメインの指定が必要になります。

Ignore trusted domains すべての信頼できるドメインを無視します。

Trusted Domains ［Ignore Trusted Domains］設定が有効な場合に、信頼できるドメインを指定します。

Domains to Ignore ［Ignore Trusted Domains］設定が無効な場合でも無視する信頼できるドメインを指定します。

Send notification when domain is unreachable グローバルの通知ルールの指定どおりにアラートを送信します。

Use enhanced privacy and encryption ドメインコントローラとの双方向の通信を暗号化します。

Home Directory Naming ホームディレクトリの命名用のテンプレートとして使用するパスを指定します。パスは/ifs で始まる必要があり、ユーザーのホームディレクトリパスの生成のために拡張される%Uなどの変数を含めることができます。

Create home directories on first login ユーザーのホームディレクトリがまだ存在しない場合に、ユーザーが最初にログインしたときにホームディレクトリを作成します。

UNIX Shell Active Directory サーバーがログインシェルの情報を供給しない場合に使用するログインシェルのパスを

認証

Active Directory プロバイダーの削除 117

設定説明

指定します。この設定は、SSH経由でファイルシステムにアクセスするユーザーにのみ適用されます。

Query all other providers for UID Active Directory に UID がない場合に、UID アロケーションを実行するために Active Directory ユーザーを他のすべてのプロバイダーから検索します。

Match users with lowercase Active Directory に UID がない場合に、検索する前に Active Directory ユーザー名を小文字に正規化します。

Auto-assign UIDs Active Directory に UID がない場合に、マッピングされていない Active Directory ユーザーに対してUID アロケーションを有効化します。

Query all other providers for GID Active Directory に GID がない場合に、GID アロケーションを実行する前に Active Directory グループを他のすべてのプロバイダーから検索します。

Match groups with lowercase Active Directory に GID がない場合に、検索する前に Active Directory グループ名を小文字に正規化します。

Auto-assign GIDs Active Directory に GID がない場合に、マッピングされていない Active Directory グループに対してGID アロケーションを有効化します。

Make UID/GID assignments for users andgroups in these specific domains

ユーザーとグループの検索を指定したドメインに制限します。

LDAPプロバイダーの管理LDAP プロバイダーを表示、構成、変更、削除できます。 LDAP プロバイダーを使用しているすべてのアクセスゾーンからその LDAP プロバイダーを削除することで、その LDAP プロバイダーによる認証を中止できます。

LDAP プロバイダーの構成デフォルトでは、LDAP プロバイダーを構成すると、自動的に System アクセスゾーンに追加されます。手順

1. ［Access］ > ［ Authentication ProvidersLDAP］ > ［］の順にクリックします。2. ［Add an LDAP Provider］をクリックします。3. ［LDAP provider name］フィールドにプロバイダーの名前を入力します。4. ［Server URI］フィールドに 1 つ以上の有効な LDAP サーバーの URI を入力します。1行

につき 1 つ、ldaps://［<server>］:［<port>］（セキュア LDAP）または ldap://［<server>］:［<port>］（非セキュア LDAP）の形式で入力します。LDAP サーバーのURIは、IPv4 アドレス、IPv6 アドレス、またはホスト名として指定できます。

認証


l ポートを指定しない場合は、デフォルトのポートが使用されます。デフォルトのポートは、非セキュア LDAP（ldap://）では 389、セキュア LDAP（ldaps://）では 636 です。セキュリティで保護されていない LDAP を指定した場合、バインドパスワードは平文でサーバーに送信されます。

l IPv6 アドレスを指定する場合、アドレスを角括弧で囲む必要があります。たとえば、このフィールドの正しい IPv6 アドレスは、ldap://[2001:DB8:170:7cff::c001]です。

5. LDAP サーバにランダムに接続するには、［Connect to a random server on eachrequest］チェックボックスをオンにします。この選択を解除すると、OneFSは［ServerURIs］フィールドにリストされている順序で LDAP サーバに接続します。

6. ［Base distinguished name (DN)］フィールドに、LDAP検索の開始点となるエントリーの DN（識別名）を入力します。

ベース DN には、［cn］（共通名）、［l］（地域）、［dc］（ドメインコンポーネント）、［ou］（組織単位）などのコンポーネントを含めることができます。たとえば、dc=emc,dc=comはemc.com のベース DN です。

7. ［Groupnet］リストから、認証プロバイダーが参照するグループネットを選択します。8. ［Bind DN］フィールドに、LDAP サーバのバインド先エントリーの識別名を入力します。9. ［Bind DN Password］フィールドに、LDAP サーバへのバインド時に使用するパスワードを

指定します。このパスワードを使用する際にセキュアな接続は必須ではありません。接続に TLS（Transport Layer Security）を使用しない場合、パスワードは平文で送信されます。

10. (オプション) 次のセクションの［Add an LDAP provider］フォームの設定を、環境のニーズを満たすように更新します。

オプション説明［Default QuerySettings］

ユーザー、グループ、ネットグループのクエリーのデフォルト設定を変更します。

［User QuerySettings］

ユーザークエリーおよびホームディレクトリプロビジョニングの設定を変更します。

［Group QuerySettings］

グループクエリーの設定を変更します。

［Netgroup QuerySettings］

ネットグループクエリーの設定を変更します。

［Advanced LDAPSettings］

ユーザー情報を含むデフォルト LDAP属性または LDAP セキュリティ設定を変更します。

11. ［Add LDAP Provider］をクリックします。

LDAP プロバイダーの変更名前を除いて LDAP プロバイダーのすべての設定を変更できます。有効にするには、プロバイダーに少なくとも 1 つのサーバーを指定する必要があります。

認証

LDAP プロバイダーの変更 119

手順1. ［ Access］ > ［ Authentication Providers］ > ［LDAP］の順にクリックします。2. ［LDAP Providers］テーブルで、設定を変更するプロバイダーの［View details］をクリ

ックします。3. 変更する設定ごとに［Edit］をクリックして変更を行い、［Save］をクリックします。4. (Optional)［Close］をクリックします。

LDAP プロバイダーの削除LDAP プロバイダーを削除すると、すべてのアクセスゾーンからその LDAP プロバイダーが削除されます。別の方法として、LDAP プロバイダーを、それを含むすべてのアクセスゾーンから削除することによって LDAP プロバイダーの使用を停止し、将来そのプロバイダーを利用できるようにしておくこともできます。手順

1. ［ Access］ > ［ Authentication Providers］ > ［LDAP］の順にクリックします。2. ［LDAP Providers］テーブルで、削除するプロバイダーに対して［Delete］をクリックしま

す。3. 確認ダイアログボックスで、［Delete］をクリックします。

LDAP クエリー設定LDAP ユーザー、グループ、ネットグループを検索するためのエントリーポイントと深さを構成できます。また、ユーザーホームディレクトリのプロビジョニングの設定を構成できます。


Base distinguished name

ユーザー、グループ、ネットグループオブジェクトの LDAP検索の開始点となるエントリーのベース DN（基本識別名）を指定します。ベース DN には、［cn］（共通名）、［l］（地域）、［dc］（ドメインコンポーネント）、［ou］（組織単位）などのコンポーネントを含めることができます。たとえば、dc=emc,dc=comは emc.com のベース DN です。

検索範囲LDAP検索を実施するベース DN からの深さを指定します。次の値が有効です。デフォルト

デフォルトのクエリー設定で定義されている検索範囲を適用します。このオプションはデフォルトのクエリー検索範囲の設定では利用できません。

ベースベース DN にあるエントリーのみを検索します。

One-level

ベース DN の正確に 1 レベル下のすべてのエントリーを検索します。

Subtree

ベース DN とその下のすべてのエントリーを検索します。

Children

ベース DN自体を除いて、ベース DN の下のすべてのエントリーを検索します。

認証


Search timeout

再試行を中止して検索に失敗するまでの秒数を指定します。デフォルト値は［100］です。この設定はデフォルトのクエリー設定でのみ可能です。

Query filter

ユーザー、グループ、ネットグループオブジェクト用の LDAP フィルタを指定します。この設定はデフォルトのクエリー設定では利用できません。

Authenticate users from this LDAP provider

認証要求に対してこのプロバイダーによる応答を許可するかどうかを指定します。この設定はユーザークエリー設定でのみ可能です。

Home directory naming template

ホームディレクトリの命名用のテンプレートとして使用するパスを指定します。パスは/ifs で始まる必要があり、ユーザーのホームディレクトリパスの生成のために拡張される%Uなどの変数を含めることができます。この設定はユーザークエリー設定でのみ可能です。

Automatically create user home directories on first login

ユーザーのホームディレクトリが存在しない場合に、ユーザーが最初にログインしたときにホームディレクトリを作成するかどうかを指定します。この設定はユーザークエリー設定でのみ可能です。

UNIX shell

SSH経由でファイルシステムにアクセスするユーザーのログインシェルのパスを指定します。この設定はユーザークエリー設定でのみ可能です。

LDAP の詳細設定LDAP セキュリティの設定やユーザー情報を含む LDAP属性の指定を行うことができます。


Name attribute

ログイン名として使用される UID を含む LDAP属性を指定します。デフォルト値は［uid］です。

Common name attribute

CN（共通名）を含む LDAP属性を指定します。デフォルト値は［cn］です。Email attribute

メールアドレスを含む LDAP属性を指定します。デフォルト値は［mail］です。GECOS field attribute

GECOS フィールドを含む LDAP属性を指定します。デフォルト値は［gecos］です。UID attribute

UID番号を含む LDAP属性を指定します。デフォルト値は［uidNumber］です。GID attribute

GID を含む LDAP属性を指定します。デフォルト値は［gidNumber］です。

認証

LDAP の詳細設定 121

Home directory attribute

ホームディレクトリを含む LDAP属性を指定します。デフォルト値は［homeDirectory］です。

UNIX shell attribute

UNIX ログインシェルを含む LDAP属性を指定します。デフォルト値は［loginShell］です。

Member of attribute

LDAP のリバースメンバーシップの検索時に使用される属性を設定します。この LDAP値は、POSIX ユーザーがメンバーであるグループを記述する、ユーザータイプの posixAccount の属性である必要があります。この設定のデフォルト値はありません。

Netgroup members attribute

ネットグループメンバーを含む LDAP属性を指定します。デフォルト値は［memberNisNetgroup］です。

Netgroup triple attribute

ネットグループトリプルを含む LDAP属性を指定します。デフォルト値は［nisNetgroupTriple］です。

Group members attribute

グループメンバーを含む LDAP属性を指定します。デフォルト値は［memberUid］です。Unique group members attribute

ユニークグループメンバーを含む LDAP属性を指定します。この属性は、LDAP サーバーに対してユーザー名ではなくユーザーの DN でクエリーが行われた場合に、ユーザーが所属するグループの決定に使用されます。この設定のデフォルト値はありません。

Alternate security identities attribute

代替のセキュリティ ID の検索時に使用する名前を指定します。この名前は、OneFS がユーザーへの Kerberos プリンシパルを解決するときに使用されます。この設定のデフォルト値はありません。

UNIX password attribute

UNIXパスワードを含む LDAP属性を指定します。この設定のデフォルト値はありません。

Windows password attribute

Windowsパスワードを含む LDAP属性を指定します。一般に使用される値は［ntpasswdhash］です。

Certificate authority file

ルート証明書ファイルのフルパスを指定します。

Require secure connection for passwords

TLS（Transport Layer Security）接続が必要かどうかを指定します。

Ignore TLS errors

ID チェックに失敗した場合でもセキュアな接続を継続します。

認証


NISプロバイダーの管理NIS プロバイダーの表示、構成、変更、または不要になったプロバイダーの削除を行うことができます。 NIS プロバイダーを使用しているすべてのアクセスゾーンからその NIS プロバイダーを削除することで、その NIS プロバイダーによる認証を中止できます。

NIS プロバイダーの構成デフォルトでは、NIS プロバイダーを構成すると、自動的に System アクセスゾーンに追加されます。手順

1. ［Access］ > ［Authentication Providers］ > ［NIS］の順にクリックします。2. ［Add a NIS provider］をクリックします。3. ［NIS provider name］フィールドにプロバイダーの名前を入力します。4. ［Servers］フィールドに、1 つ以上の有効な IPv4 アドレス、ホスト名、または FQDN（完

全修飾ドメイン名）を、コンマで区切って入力します。

［Distribute connections to NIS servers randomly］オプションが選択されていない場合、サーバはリストされている順番にアクセスされます。

5. ［NIS Domain］フィールドにドメイン名を入力します。6. (オプション) ［Distribute connections to NIS servers randomly］設定を構成しま

す。l NIS サーバにランダムに接続するには、このチェックボックスをオンにします。l ［Servers］フィールドにリストされている NIS サーバの順序に従って接続するには、チェックボックスをオフにします。

7. ［Groupnet］リストから、認証プロバイダーが参照するグループネットを選択します。8. (オプション) ［Default query settings］を指定します。

a.［Search time out after］フィールドで、再試行を中止して検索に失敗するまでの秒数を指定します。デフォルト値は 20 です。

b.［Retry search every］フィールドで、リクエストの再試行を行うまでのタイムアウト期間を秒数で指定します。デフォルト値は 5 です。

9. (オプション) ［User query settings］を指定します。a.［Authenticate users from this provider］チェックボックスをオンにして、認証リクエストに対してこのプロバイダーによる応答を許可します。

b.［Path to home directory］フィールドにパスを入力して、ホームディレクトリ命名のテンプレートとして使用します。パスは/ifs で始まる必要があり、拡張してユーザーのホームディレクトリパスを生成する%Uなどの拡張変数を含めることができます。詳細については、の「ホームディレクトリ」セクションを参照してください。

c.［Create home directories on first login］チェックボックスを選択して、ユーザーのホームディレクトリがまだ存在しない場合に、ユーザーが最初にログインしたときにホームディレクトリを作成するかどうかを指定します。

認証

NIS プロバイダーの管理 123

d.［UNIX shell］リストからパスを選択して、SSH経由でファイルシステムにアクセスするユーザーのログインシェルのパスを指定します。

10. (オプション) ［Host name query settings］セクションで、このプロバイダーの［Resolvehosts］を選択して、ホスト解決を有効化します。ホスト解決を無効化するには、チェックボックスをオフにします。

11. ［Add NIS provider］をクリックします。

NIS プロバイダーの変更名前を除いて NIS プロバイダーのすべての設定を変更できます。有効にするには、プロバイダーに少なくとも 1 つのサーバーを指定する必要があります。手順

1. ［Access］ > ［ Authentication Providers］ > ［NIS］の順にクリックします。2. ［NIS Providers］テーブルで、設定を変更するプロバイダーの［View details］をクリック

します。3. 変更する設定ごとに［Edit］をクリックして変更を行い、［Save］をクリックします。4. ［Close］をクリックします。

NIS プロバイダーの削除NIS プロバイダーを削除すると、すべてのアクセスゾーンから LDAP プロバイダーが削除されます。別の方法として、NIS プロバイダーを、それを含むすべてのアクセスゾーンから削除することによってNIS プロバイダーの使用を停止し、将来そのプロバイダーを利用できるようにしておくこともできます。手順

1. ［Access］ > ［ Authentication Providers］ > ［NIS］の順にクリックします。2. ［NIS Providers］テーブルで、削除するプロバイダーに対して［Delete］をクリックします。3. 確認ダイアログボックスで、［Delete］をクリックします。

MIT Kerberos認証の管理Active Directoryなしの認証用にMIT Kerberos プロバイダーを構成できます。 MIT Kerberosプロバイダーの構成には、MIT Kerberos領域の作成、プロバイダーの作成、定義済み領域への参加が関係します。オプションで、プロバイダーのMIT Kerberos ドメインを構成できます。Kerberos プロバイダーへの構成の変更がある場合は、暗号化キーを更新することもできます。プロバイダーを 1 つ以上のアクセスゾーンに含めることができます。

MIT Kerberos領域の管理MIT Kerberos領域は、認証サーバーがユーザーまたはサービスを認証する権限を持つ境界を定義する管理ドメインです。領域を作成、表示、編集、削除できます。ベストプラクティスとして、領域名は大文字を使用して指定します。

MIT Kerberos レルムの作成MIT Kerberos レルムとは、認証サーバーがユーザーやサービスを認証する権限を持つ境界を定義する管理ドメインのことです。レルムは、KDC（キー配布センター）と管理サーバーを定義することで作成できます。

認証


手順1. ［Access］ > ［Authentication Providers］ > ［Kerberos Provider］の順にクリックします。

2. ［Create a Kerberos Realm］をクリックします。3. ［Realm Name］フィールドに、大文字でドメイン名を入力します。たとえば、CLUSTER-

NAME.COMPANY.COM と入力します。4. ［Set as the default realm］チェックボックスをオンにし、そのレルムをデフォルトに設定しま

す。5. ［Key Distribution Centers (KDCs)］フィールドに、IPv4 アドレス、IPv6 アドレス、各サ

ーバーのホスト名のいずれかを指定して、1 つ以上の KDC を追加します。6. (オプション) ［Admin Server］フィールドに、IPv4 アドレス、IPv6 アドレス、管理サーバー

のホスト名のいずれかを指定すると、マスター KDC の役割を果たします。このステップを省略すると、前に追加した最初の KDC がデフォルトの管理サーバーとして使用されます。

7. (オプション) ［Default Domain］フィールドに、サービスプリンシパル名の変換に使用するドメイン名を指定します。

8. ［Create Realm］をクリックします。

MIT Kerberos レルムの変更MIT Kerberos レルムを変更するには、そのレルムの KDC（キー配布センター）と管理サーバーの設定を変更します。手順

1. ［Access］ > ［Authentication Providers］ > ［Kerberos Provider］の順にクリックします。

2. ［Kerberos Realms］テーブルで、レルムを選択して［View / Edit］をクリックします。3. ［View a Kerberos Realm］ページで、［Edit Realm］をクリックします。4. ［Set as the default realm］チェックボックスをオンまたはオフにして、レルムのデフォルト設

定を変更します。5. ［Key Distribution Centers (KDCs)］フィールドに、IPv4 アドレス、IPv6 アドレス、追加

の各 KDC サーバーのホスト名のいずれかを指定します。6. ［Admin Server］フィールドに、IPv4 アドレス、IPv6 アドレス、管理サーバーのホスト名の

いずれかを指定すると、マスター KDC の役割を果たします。7. ［Default Domain］フィールドに、SPN（サービスプリンシパル名）の変換に使用する代

替のドメイン名を指定します。8. ［Save Changes］をクリックして［View a Kerberos Realm］ページに戻ります。9. ［Close］をクリックします。

MIT Kerberos レルムの表示MIT Kerberos レルムに関連づけられた名前、KDC（キー配布センター）、管理サーバーに関する詳細を確認できます。手順


認証

MIT Kerberos領域の管理 125

2. ［Kerberos Realms］テーブルで、レルムを選択して［View / Edit］をクリックすると、そのレルムに関連づけられた情報が表示されます。

MIT Kerberos レルムの削除1 つ以上のMIT Kerberos レルムと、それらに関連づけられたすべてのMIT Kerberos のドメインを削除できます。 Kerberos のレルムは Kerberos のプロバイダーによって参照されます。このため、レルムを削除する前に、まずそのレルムで作成したプロバイダーを削除する必要があります。手順


2. ［Kerberos Realms］テーブルで、1 つ以上のレルムを選択して次のアクションのいずれか 1つを実行します。l 単一のレルムを削除するには、対象のレルムを選択し、［Actions］列から［More］ > ［Delete］の順にクリックします。

l 複数のレルムを削除するには、対象のレルムを選択し、［Select a bulk action］リストから［Delete Selection］を選択します。

3. 確認ダイアログボックスで、［Delete］をクリックします。

MIT Kerberos プロバイダーの管理MIT Kerberos プロバイダーを表示、削除、変更できます。 Kerberos プロバイダー設定を構成することもできます。

MIT Kerberos プロバイダーの作成Kerberos レルムの KDC（キー配布センター）を通じてクラスターにアクセスする認証情報を取得することによって、MIT Kerberos プロバイダーを作成できます。このプロセスは、レルムへの参加とも呼ばれます。このため、Kerberos プロバイダーを作成すると、以前に作成したレルムにも参加することになります。 MIT Kerberos プロバイダーを作成するには、SecurityAdmin役割のメンバーである必要があります。プロバイダーを作成する前に、Web インターフェイスを使用して、次のタスクを単一のワークフローで実行するか、各タスクを個々に実行できます。l レルムの定義l ドメインの定義l SPN（サービスプリンシパル名）の管理

MIT Kerberosのレルム、ドメイン、プロバイダーの作成MIT Kerberos のレルム、ドメイン、プロバイダーは、各オブジェクトを個々に構成する代わりに、1 つのワークフローで作成できます。手順


2. ［Get Started］をクリックします。

システムで［Create a Kerberos Realm and Provider］ウィンドウが表示されます。3. ［Create Realm］セクションで、ドメイン名を［Realm Name］フィールドに入力します。

認証


ドメイン名を CLUSTER-NAME.COMPANY.COM のように、大文字でフォーマットすることをお勧めします。

4. ［Set as the default realm］チェックボックスをオンにし、そのレルムをデフォルトに設定します。

5. ［Key Distribution Centers (KDCs)］フィールドに、IPv4 アドレス、IPv6 アドレス、各サーバーのホスト名のいずれかを指定して、1 つ以上の KDC を追加します。

6. ［Admin Server］フィールドに、IPv4 アドレス、IPv6 アドレス、管理サーバーのホスト名のいずれかを指定すると、マスター KDC の役割を果たします。このステップを省略すると、前に追加した最初の KDC がデフォルトの管理サーバーとして使用されます。

7. ［Default Domain］フィールドに、SPN（サービスプリンシパル名）の変換に使用するドメイン名を指定します。

8. (オプション) ［Create Domain(s)］セクションで、レルムに関連づけるドメイン名を 1 つ以上［Domain(s)］フィールドに指定します。

9. ［Authenticate to Realm］セクションで、Kerberos レルムに SPN を作成する権限を持つユーザーの名前とパスワードを［User］フィールドと［Password］フィールドに入力します。

10. ［Create Provider］セクションで、認証プロバイダーが参照するグループネットを［Groupnet］リストから選択します。

11. ［Service Principal Name (SPN) Management］領域で、SPN の管理に使用する次のオプションのいずれかを選択します。l ［Use recommended SPNs］l ［Manually associate SPNs］このオプションを選択した場合は、service/principal@realm の形式で 1 つ以上の SPN を入力し、手動でレルムと関連づけます。

12. ［Create Provider and Join Realm］をクリックします。

MIT Kerberosプロバイダーの作成とレルムへの参加ユーザーがMIT Kerberos プロバイダーを作成すると、自動的にレルムに参加します。レルムは、特定のユーザーやサービスが認証されるドメインを定義します。はじめに［Create a Kerberos Provider］ボタンを表示してアクセスし、この処理手順で説明しているタスクを実行するには、SecurityAdmin役割のメンバーである必要があります。手順


2. ［Create a Kerberos Provider］をクリックします。3. ［User］フィールドに、Kerberos レルムに SPN（サービスプリンシパル名）を作成する権

限があるユーザー名を入力します。4. ［Password］フィールドに、ユーザーのパスワードを入力します。5. ［Realm］リストから、参加するレルムを選択します。レルムは、システムですでに構成されて

いる必要があります。6. ［Groupnet］リストから、認証プロバイダーが参照するグループネットを選択します。7. ［Service Principal Name (SPN) Management］領域で、SPN の管理に使用する

次のオプションのいずれかを選択します。

認証

MIT Kerberos プロバイダーの管理 127

l ［Use recommended SPNs］l ［Manually associate SPNs］このオプションを選択した場合は、service/principal@realm の形式で 1 つ以上の SPN を入力し、手動でレルムと関連づけます。

8. ［Create Provider and Join Realm］をクリックします。

MIT Kerberos プロバイダーの変更MIT Kerberos プロバイダーのレルム認証情報と SPN（サービスプリンシパル名）情報を変更できます。はじめに［View / Edit］ボタンを表示してアクセスし、MIT Kerberos プロバイダーを変更するには、SecurityAdmin役割のメンバーである必要があります。手順


2. ［Kerberos Provider］テーブルで、ドメインを選択して［View / Edit］をクリックします。3. ［View a Kerberos Provider］ページで、［Edit Provider］をクリックします。4. ［Realm Authentication Information］セクションで、ユーザーの認証情報を指定し、特

定の Kerberos レルムで SPN を作成する権限を付与します。5. ［Provider Information］セクションで、SPN の管理方法について次のオプションのいずれ

か 1 つを選択します。l 推奨される SPN を使用する。l service/principal@realm の形式で SPN を入力してその SPN と選択したレルムを手動で関連づける。必要に応じて、複数の SPN を追加して関連づけることができます。

6. ［Save Changes］をクリックして［View a Kerberos Provider］ページに戻ります。7. ［Close］をクリックします。

MIT Kerberos プロバイダーの表示MIT Kerberos プロバイダーに関連づけられたMIT Kerberos レルムと SPN（サービスプリンシパル名）に関する情報を確認できます。手順


2. ［Kerberos Providers］テーブルで、プロバイダーを選択して［View / Edit］をクリックすると、レルム、推奨される SPN、検出されたその他の SPNなどのプロバイダーの情報が表示されます。

MIT Kerberos プロバイダーの削除MIT Kerberos プロバイダーを削除すると、そのプロバイダーを参照するすべてのアクセスゾーンから削除されます。プロバイダーを削除すると、MIT Kerberos レルムからも離れます。

はじめにこの処理手順で説明するタスクを実行するには、SecurityAdmin役割のメンバーである必要があります。

認証


手順1. ［Access］ > ［Authentication Providers］ > ［Kerberos Provider］の順にクリックします。

2. ［Kerberos Providers］テーブルで、1 つ以上のプロバイダーを選択して次のアクションのいずれか 1 つを実行します。l 単一のプロバイダーを削除するには、対象のプロバイダーを選択し、［Actions］列から［More］ > ［Delete］の順にクリックします。

l 複数のプロバイダーを削除するには、対象のプロバイダーを選択し、［Select a bulkaction］リストから［Delete Selection］を選択します。


Kerberos プロバイダー設定の構成KDC（キー配布センター）、Kerberos レルム、Kerberos レルムに関連づけられた認証サーバーの場所を DNS レコードで特定できるように、Kerberos プロバイダーの設定を行えます。これらの設定は、すべてのノード、サービス、アクセスゾーンの Kerberos ユーザーに、グローバルに適用されます。レルムに参加する場合や Active Directory KDC と通信する場合に関わる一部の設定は、クライアント側 Kerberos にのみ適用されます。一般的に、初期設定後にこれらの設定を変更する必要はありません。手順

1. ［Access］ > ［Authentication Providers］ > ［Kerberos Settings］の順にクリックします。

2. ［Default Realm］フィールドに、SPN（サービスプリンシパル名）に使用するレルムを指定します。最初に作成したレルムがデフォルトのレルムになります。

3. 常に事前認証を送信するには、チェックボックスをオンにします。これはクライアント側Kerberos の設定です。

このチェックボックスをオンにすると、認証サーバーがリクエストしなかった場合でも、Kerberosチケットのリクエストに事前認証データとして［ENC_TIMESTAMP］が含まれるようになります。これは、Active Directory のサーバーで作業する際に便利です。

4. チェックボックスで、レルムの KDCやその他のサーバーの場所（レルムの当該情報がリストされていない場合）を特定するために DNS のサーバーレコードを使用するかどうかを指定します。

5. チェックボックスで、DNS のテキストレコードを使用してホストの Kerberos レルムを特定するかどうかを指定します。


MIT Kerberos ドメインの管理オプションで、追加のドメイン拡張機能をMIT Kerberos領域に関連づけることができるようにMITKerberos ドメインを定義できます。領域のデフォルトドメインは常に指定できます。MIT Kerberos ドメインを作成、変更、削除、表示できます。 Kerberos ドメイン名は、通常は小文字を使用して指定する DNS サフィックスです。

MIT Kerberos ドメインの作成オプションのMIT Kerberos ドメインは、ドメインの拡張子を追加でMIT Kerberos レルムと関連づけるために、デフォルトのドメインとは別個に作成します。

認証

MIT Kerberos ドメインの管理 129

はじめにこの処理手順で説明するタスクを実行するには、SecurityAdmin役割のメンバーである必要があります。手順


2. ［Create a Kerberos Domain］をクリックします。3. ［Domain］フィールドに、ドメイン名（一般的には DNS サフィックス）を小文字で指定しま

す。4. ［Realm］リストで、以前に構成したレルムを選択します。5. ［Create Domain］をクリックします。

MIT Kerberos ドメインの変更MIT Kerberos ドメインを変更するには、レルム設定を変更します。



2. ［Kerberos Domains］テーブルで、ドメインを選択して［View / Edit］をクリックします。3. ［View a Kerberos Domain］ページで、［Edit Domain］をクリックします。4. ［Realm］リストで、代替のレルムを選択します。5. ［Save Changes］をクリックして［View a Kerberos Domain］ページに戻ります。6. ［Close］をクリックします。

MIT Kerberos ドメインの表示MIT Kerberos ドメインマッピングのプロパティを確認できます。手順


2. ［Kerberos Domains］テーブルで、ドメインを選択して［View / Edit］をクリックすると、そのドメインマッピングのプロパティが表示されます。

MIT Kerberos ドメインの削除1 つ以上のMIT Kerberos ドメインマッピングを削除できます。



認証


2. ［Kerberos Domains］テーブルで、1 つ以上のドメインマッピングを選択して次のアクションのいずれか 1 つを実行します。l 単一のドメインマッピングを削除するには、対象のマッピングを選択し、［Actions］列から［More］ > ［Delete］の順にクリックします。

l 複数のドメインマッピングを削除するには、対象のマッピングを選択し、［Select a bulkaction］リストから［Delete Selection］を選択します。

ファイルプロバイダーの管理1 つ以上のファイルプロバイダーを構成できます。それぞれのファイルプロバイダーには、アクセスゾーンごとに固有の組み合わせの置き換えファイルが含まれています。パスワードデータベースファイル（ユーザーデータベースファイルとも呼ばれます）は、バイナリ形式にする必要があります。各ファイルプロバイダーは最大 3 つの置き換えデータベースファイルから直接データを取得します。それらは、/etc/group と同じ形式を使用するグループファイル、ネットグループファイル、バイナリパスワードファイルの spwd.db（/etc/master.passwd形式のファイル内のデータへの高速アクセスを提供するファイル）です。置き換えファイルはクラスターにコピーして、ディレクトリパスによって参照する必要があります。

置き換えファイルが/ifs ディレクトリツリー以外の場所にある場合は、そのファイルをクラスター内のすべてのノードに手動で配布する必要があります。システムプロバイダーのファイルに対して行われた変更は、自動的にクラスター全体に配信されます。

ファイルプロバイダーの構成1 つ以上のファイルプロバイダーを構成できます。それぞれのファイルプロバイダーには、アクセスゾーンごとに固有の組み合わせの置き換えファイルが含まれています。ユーザー、グループ、ネットグループの任意の組み合わせに対して置き換えファイルを指定できます。手順

1. ［Access］ > ［Authentication Providers］ > ［File Provider］の順にクリックします。

2. ［Add a file provider］をクリックします。3. ［File provider name］フィールドにファイルプロバイダーの名前を入力します。4. ユーザー置き換えファイルを指定するには、［Path to users file］フィールドで、spwd.db

ファイルの場所を入力するかブラウズします。5. ネットグループ置き換えファイルを指定するには、［Path to netgroups file］フィールドで、

netgroup ファイルの場所を入力するかブラウズします。6. グループ置き換えファイルを指定するには、［Path to groups file］フィールドで、group

ファイルの場所を入力するかブラウズします。7. (オプション) 次の設定を行います。

オプション説明Authenticateusers from thisprovider

認証要求に対してこのプロバイダーによる応答を許可するかどうかを指定します。

認証

ファイルプロバイダーの管理 131

オプション説明Create homedirectories onfirst login

ユーザーのホームディレクトリが存在しない場合に、ユーザーが最初にログインしたときにホームディレクトリを作成するかどうかを指定します。

Path to homedirectory

ホームディレクトリの命名用のテンプレートとして使用するパスを指定します。パスは/ifs で始まる必要があり、拡張してユーザーのホームディレクトリパスを生成する%Uなどの拡張変数を含めることができます。詳細については、の「ホームディレクトリ」セクションを参照してください。

UNIX Shell SSH経由でファイルシステムにアクセスするユーザーのログインシェルのパスを指定します。

8. ［Add File Provider］をクリックします。

パスワードファイルの生成パスワードデータベースファイル（ユーザーデータベースファイルとも呼ばれます）は、バイナリ形式にする必要があります。この手順は、CLI（コマンドラインインターフェイス）を介して実行する必要があります。コマンドの使用のガイドラインについては、man pwd_mkdb コマンドを実行してください。手順

1. クラスター内の任意のノードへの SSH接続を確立します。2. pwd_mkdb［<file>］コマンドを実行します。［<file>］は、ソースパスワードファイルの場

所です。

デフォルトでは、バイナリパスワードファイル spwd.dbは/etc ディレクトリに作成されます。 -d オプションに別のターゲットディレクトリを指定することで、spwd.db ファイルを格納する場所をオーバーライドできます。

次のコマンドは、/ifs/test.passwd にあるパスワードファイルから、/etc ディレクトリに spwd.db ファイルを生成します。

pwd_mkdb /ifs/test.passwd

次のコマンドは、/ifs/test.passwd にあるパスワードファイルから、/ifs ディレクトリに spwd.db ファイルを生成します。

pwd_mkdb -d /ifs /ifs/test.passwd

パスワードファイルの形式ファイルプロバイダーは、バイナリパスワードデータベースファイル spwd.db を使用します。pwd_mkdb コマンドを実行することで、master.passwd形式のファイルからバイナリパスワードファイルを生成できます。

認証


master.passwd ファイルには、次の例に示すようなコロンで区切られた 10個のフィールドが含まれています。

admin:*:10:10::0:0:Web UI Administrator:/ifs/home/admin:/bin/zsh

フィールドは、ファイルに現れる順に以下のように定義されます。

UNIX システムでは、これらのフィールドから Class、Change、Expiry フィールドを省略したサブセットの passwd形式を定義している場合がよくあります。ファイルを passwd形式からmaster.passwd形式に変換するには、GID フィールドと Gecos フィールドの間に:0:0: を追加します。

ユーザー名ユーザー名。このフィールドでは大文字と小文字が区別されます。 OneFS ではレングスを制限していませんが、多くのアプリケーションでは名前を 16文字にトランケートします。

パスワードユーザーの暗号化されたパスワード。このユーザーの認証が必要ない場合は、パスワードの代わりにアスタリスク（*）を使用できます。アスタリスク文字はどのパスワードとも一致しないことが保証されています。

UID

UNIX ユーザー識別子。この値は［0］～［4294967294］の範囲の数字で、予約されていたりユーザーにすでに割り当てられていないことが必要です。この値が既存のアカウントのUID と競合する場合は、互換性の問題が発生します。

GID

ユーザーのプライマリグループのグループ識別子。すべてのユーザーは少なくとも 1 つのグループのメンバーになります。このグループはアクセス権の確認に使用されるほか、ファイルを作成するときにも使用されます。

Class

このフィールドは OneFS ではサポートされないため、空のままにする必要があります。

変更OneFSは、ファイルプロバイダー内のユーザーのパスワード変更をサポートしません。このフィールドは無視されます。

期限切れOneFSは、ファイルプロバイダー内のユーザーアカウントの有効期限をサポートしません。このフィールドは無視されます。

Gecos

このフィールドにはさまざまな情報を格納できますが、通常はユーザーのフルネームの格納に使用されます。

HOME

ユーザーのホームディレクトリの/ifs で始まる絶対パス。Shell

ユーザーのシェルの絶対パス。このフィールドが/sbin/nologin に設定された場合、そのユーザーはコマンドラインアクセスを拒否されます。

認証

パスワードファイルの形式 133

グループファイルの形式ファイルプロバイダーは、ほとんどの UNIX システムに存在する/etc/group ファイル形式のグループファイルを使用します。

group ファイルは、次の例に示すようなコロンで区切られた 4個のフィールドからなる 1行以上の行で構成されています。

admin:*:10:root,admin

フィールドは、ファイルに現れる順に以下のように定義されます。グループ名

グループの名前。このフィールドでは大文字と小文字が区別されます。 OneFS ではグループ名のレングスを制限していませんが、多くのアプリケーションでは名前を 16文字にトランケートします。

パスワードこのフィールドは OneFS ではサポートされていないため、アスタリスク（*）にする必要があります。

GID

UNIX グループ識別子。有効な値は［0］～［4294967294］の範囲の任意の数字で、予約されていたりグループにすでに割り当てられていないことが必要です。この値が既存のグループの GID と競合する場合は、互換性の問題が発生します。

グループメンバーユーザー名のコンマ区切りのリスト。

ネットグループファイルの形式ネットグループファイルは 1 つ以上のネットグループで構成されており、それぞれのネットグループは複数のメンバーを含むことができます。ネットグループのメンバーであるホスト、ユーザー、ドメインは、メンバートリプルで指定されます。ネットグループは他のネットグループを含むこともできます。

netgroup ファイルの各エントリーは、ネットグループ名とそれに続くスペースで区切られた一連のメンバートリプルおよびネストされたネットグループ名で構成されます。ネストされたネットグループを指定する場合は、ファイルの別の行でそのグループを定義する必要があります。メンバートリプルの形式は次のとおりです。

(［<host>］, ［<user>］, ［<domain>］)

ここで、［<host>］はマシン名のプレースホルダー、［<user>］はユーザー名のプレースホルダー、［<domain>］はドメイン名のプレースホルダーです。空のトリプルを除く任意の組み合わせが有効です。［(,,)］。

認証


次のサンプルファイルには 2 つのネットグループがあります。 rootgrp ネットグループには 4 つのホストが含まれています。 2 つのホストはメンバートリプルで定義されており、2 つのホストは 2行目に定義されているネストされた othergrp ネットグループに含まれています。

rootgrp (myserver, root, somedomain.com) (otherserver, root, somedomain.com) othergrpothergrp (other-win,, somedomain.com) (other-linux,, somedomain.com)

改行によって新しいネットグループが識別されます。最初の行の右端の位置にバックスラッシュ文字（\）を入力することによって、長いネットグループのエントリーを次の行に続けることができます。

ファイルプロバイダーの変更System ファイルプロバイダーの名称変更を除くファイルプロバイダーのすべての設定を変更できます。手順

1. ［Access］ > ［ Authentication Providers］ > ［File Provider］の順にクリックします。

2. ［File Provider］テーブルで、設定を変更するプロバイダーの［View details］をクリックします。

3. 変更する設定ごとに［Edit］をクリックして変更を行い、［Save］をクリックします。4. ［Close］をクリックします。

ファイルプロバイダーの削除ファイルプロバイダーの使用を中止するには、置き換えファイルの設定をすべて消去するか、プロバイダーを完全に削除します。手順

1. ［Access］ > ［ Authentication Providers］ > ［File Provider］の順にクリックします。

2. ［File Providers］テーブルで、プロバイダー名を選択します。3. ［Select an action］リストから［Delete］を選択します。4. 確認ダイアログボックスで、［Delete］をクリックします。

ローカルユーザーおよびグループの管理アクセスゾーンを作成する場合、各ゾーンには、ローカルユーザーおよびグループを作成、管理できるローカルプロバイダーが含まれます。すべての認証プロバイダーのユーザーとグループを表示できますが、作成、変更、削除を行えるのは、ローカルプロバイダーのユーザーとグループだけです。

プロバイダーごとのユーザーまたはグループリストの表示任意の認証プロバイダーのユーザーとグループを表示できます。

認証

ファイルプロバイダーの変更 135

手順1. ［Access］ > ［Membership & Roles］の順にクリックします。2. 表示する内容に応じて、次のいずれかのタブをクリックします。

オプション説明Users このタブを選択すると、プロバイダーごとにすべてのユーザーが表示されます。Groups このタブを選択すると、プロバイダーごとにすべてのグループが表示されます。

3. ［Current Access Zone］リストから、アクセスゾーンを選択します。4. ［Provider］リストでローカルプロバイダーを選択します。

ローカルユーザーの作成各アクセスゾーンには、ローカルユーザーおよびグループを作成、管理できるローカルプロバイダーが含まれます。ローカルユーザーアカウントの作成時に、その名前、パスワード、ホームディレクトリ、UNIX UID（ユーザー識別子）、UNIX ログインシェル、グループメンバーシップを構成できます。手順

1. ［Access］ > ［Membership & Roles］ > ［Users］の順にクリックします。2. ［Current Access Zone］リストから、アクセスゾーンを選択します。3. ［Provider］リストから、ゾーンのローカルプロバイダーを選択します。4. ［Create User］をクリックします。5. ［User Name］フィールドに、アカウントのユーザー名を入力します。6. ［Password］フィールドに、アカウントのパスワードを入力します。7. (オプション) 必要に応じて、次の追加の設定を行います。

オプション説明UID この設定を空のままにした場合、システムで自動的にアカウントの UID を

割り当てます。推奨される設定です。別のローカルユーザーアカウントで使用されている UID を割り当てることはできません。

Full Name ユーザーの氏名を入力します。EmailAddress

アカウントのメールアドレスを入力します。

PrimaryGroup

［Select a Primary Group］ダイアログボックスを使用して所有者グループを指定するには、［Select group］をクリックします。a. 選択したローカルプロバイダーでグループを見つけるには、グループ名を入力するか、［Search］をクリックします。

b. グループを選択して［Manage Users］ウィンドウに戻ります。

AdditionalGroups

このユーザーをメンバーにするグループを追加指定するには、［Addgroup］をクリックします。

HomeDirectory

ユーザーのホームディレクトリへのパスを入力します。パスを指定しない場合、/ifs/home/［<username>］にディレクトリが自動的に作成されます。

認証


オプション説明UNIX Shell この設定は、SSH経由でファイルシステムにアクセスするユーザーにのみ

適用されます。リストから、シェルを選択します。デフォルトでは、/bin/zsh シェルが選択されます。

AccountExpirationDate

カレンダーのアイコンをクリックして有効期限を選択するか、フィールドに有効期限を入力します。日付は［<mm>］/［<dd>］/［<yyyy>］の形式で入力します。

Enable theaccount

このチェックボックスをオンにすると、SSH、FTP、HTTP、SMB経由のWindows ファイル共有のローカルデータベースに対してユーザーが認証を行えます。この設定は、NFS経由の UNIX ファイル共有には使用されません。

8. ［Create］をクリックします。

ローカルグループの作成アクセスゾーンのローカルプロバイダー内で、グループを作成してメンバーを割り当てることができます。手順

1. ［Access］ > ［ Membership & Roles］ > ［Groups］の順にクリックします。2. ［Current Access Zone］リストから、アクセスゾーンを選択します。3. ［Provider］リストから、ゾーンのローカルプロバイダーを選択します。4. ［Create Group］をクリックします。5. ［Group Name］フィールドに、グループの名前を入力します。6. (オプション) UNIX GID（グループ識別子）の自動アロケーションを上書きする場合は、［GID］フィールドに数値を入力します。

別のグループで使用されている GID を割り当てることはできません。このフィールドは空のままにして、GID がシステムによって自動的に生成されるようにすることをお勧めします。

7. (オプション) グループに追加するメンバーごとに［Add Members］をクリックして、［Selecta User］ダイアログボックスで次のタスクを実行します。a.［Users］、［Groups］、［Well-known SIDs］のいずれかを検索します。b.［Users］または［Groups］を選択した場合は、次のフィールドに値を指定します。

User Name

ユーザー名の一部またはすべてを入力するか、フィールドを空のままにしてすべてのユーザーが検索されるようにします。ワイルドカード文字を使用できます。

Group Name

グループ名の一部またはすべてを入力するか、フィールドを空のままにしてすべてのユーザーが検索されるようにします。ワイルドカード文字を使用できます。

Provider

認証プロバイダーを選択します。

認証

ローカルグループの作成 137

c.［Search］をクリックします。d.［Search Results］テーブルでユーザーを選択して［Select］をクリックします。ダイアログボックスが閉じます。

8. ［Create Group］をクリックします。

ローカルユーザーおよびグループの命名規則EMC Isilon クラスターの適切な認証およびアクセスのために、ローカルユーザーおよびグループ名は命名規則に従う必要があります。ローカルユーザーおよびグループを作成および変更する場合は、次の命名規則に従う必要があります。l 名前の最大レングスは 104文字である。名前は 64文字以下にすることをお勧めします。l 名前に次の無効な文字を含めることはできない：

" / \ [ ] : ; | = , + * ? < >

l 名前には、無効な文字のリストにない任意の特殊文字を含めることができる。名前にはスペースを含めないことをお勧めします。

l 名前は大文字と小文字が区別されません。

ローカルユーザーの変更ユーザー名を除いてローカルユーザーアカウントのすべての設定を変更できます。手順

1. ［Access］ > ［ Membership & Roles］ > ［Users］の順にクリックします。2. ［Current Access Zone］リストから、アクセスゾーンを選択します。3. ［Users］リストから、アクセスゾーンのローカルプロバイダーを選択します。4. ユーザーのリストで、変更するユーザーの［View/Edit］をクリックします。［View User Details］ダイアログボックスが表示されます。

5. ［Edit User］をクリックします。［Edit User］ダイアログボックスが表示されます。

6. 構成する設定項目を更新します。7. ［Save Changes］をクリックします。8. ［Close］をクリックします。

ローカルグループの変更ローカルグループにメンバーを追加したり削除したりできます。手順

1. ［Access］ > ［ Membership & Roles］ > ［Groups］の順にクリックします。2. ［Current Access Zone］リストから、アクセスゾーンを選択します。3. グループのリストで、変更するグループの［View/Edit］をクリックします。［View Group Details］ダイアログボックスが表示されます。

4. ［Edit Group］をクリックします。［Edit Group］ダイアログボックスが表示されます。

認証


5. ［Members］領域で［Add Members］をクリックしてグループにユーザーを追加したり、ユーザー名の横の［Delete］をクリックしてグループからユーザー名を削除したりします。

6. ［Save Changes］をクリックします。7. ［Close］をクリックします。

ローカルユーザーの削除削除されたユーザーは、コマンドラインインターフェイス、Web管理インターフェイス、ファイルアクセスプロトコルを介してクラスターにアクセスできなくなります。ローカルユーザーアカウントを削除しても、対応するホームディレクトリはそのまま残ります。手順

1. ［Access］ > ［ Membership & Roles］ > ［Users］の順にクリックします。2. ［Current Access Zone］リストから、アクセスゾーンを選択します。3. ［Provider］リストで、アクセスゾーンのローカルプロバイダーを選択します。4. ユーザーのリストで、削除するユーザーの［More］ > ［Delete］をクリックします。

［Confirm Delete］ダイアログボックスが表示されます。5. ［Delete］をクリックします。

ローカルグループの削除グループにメンバーが割り当てられている場合でもローカルグループを削除できます。グループの削除はグループのメンバーに影響を与えません。手順

1. ［Access］ > ［ Membership & Roles］ > ［Groups］の順にクリックします。2. ［Current Access Zone］リストから、アクセスゾーンを選択します。3. ［Provider］リストで、アクセスゾーンのローカルプロバイダーを選択します。4. グループのリストで、削除するグループの［More］ > ［Delete］をクリックします。


認証

ローカルユーザーの削除 139

認証


第 6章

管理者の役割と権限


l 役割に基づくアクセス制御..................................................................................... 142l Roles.................................................................................................................142l 権限.................................................................................................................. 146l 役割の管理........................................................................................................ 154

管理者の役割と権限 141

役割に基づくアクセス制御役割に基づいたアクセスを割り当てて、管理タスクを選択したユーザーに委任できます。RBAC（役割に基づいたアクセス制御）では、特定の管理アクションを実行する権限を、クラスタに対して認証できる任意のユーザーに付与できます。役割は、セキュリティ管理者によって作成され、権限が割り当てられてから、メンバーが割り当てられます。役割によって権限を付与された管理者を含むすべての管理者が、クラスタを構成するために System ゾーンに接続する必要があります。これらのメンバーが構成インターフェイスを通じてクラスタにログインすると、これらの権限を持つようになります。すべての管理者は、アクセスゾーンの設定を構成でき、クラスタ上のすべてのアクセスゾーンの制御権を常に持ちます。役割を使用すると、メンバーユーザーとグループに権限を割り当てることができます。デフォルトでは、root ユーザーと admin ユーザーのみが、HTTP を使用してWeb管理インターフェイスに、またはSSH を通じてコマンドラインインターフェイスにログインできます。ロールを使用すると、root およびadmin ユーザーは、ログイン権限および特定の管理タスクを実行する管理権限を持つ組み込み型ロールまたはカスタムロールに他のユーザーを割り当てることができます。

ベストプラクティスとして、必要最低限の権限が含まれる役割にユーザーを割り当てることをお勧めします。ほとんどの目的では、デフォルトの権限ポリシー設定、システムアクセスゾーン、組み込み型の役割で十分です。必要に応じて、特定の環境用に役割に基づいたアクセス管理ポリシーを作成できます。

Roles役割を使用して、ユーザーごとに EMC Isilon クラスターの管理領域へのアクセスを許可および制限できます。OneFS には、いくつかの組み込みの管理者の役割と、変更不能な定義済みの権限が含まれています。カスタムの役割を作成して権限を割り当てることもできます。次のリストでは、役割を通じでできることとできないことを説明します。l 役割に権限を割り当てることができる。l カスタムの役割を作成し、それらの役割に権限を割り当てることができる。l 既存の役割をコピーすることができる。l ユーザーがクラスターを認証できる限り、ユーザーまたはよく知られたグループを含むユーザーグ

ループを役割に追加できる。l 複数の役割に、ユーザーまたはグループを追加できる。l ユーザーまたはグループに権限を直接割り当てることはできない。

OneFS が最初にインストールされるときは、root または管理レベルのアクセス権を持つユーザーのみがログインしてユーザーを役割に割り当てることができます。

カスタム役割カスタム役割は、組み込み型の役割を補完します。カスタム役割を作成して、EMC Isilon クラスター環境の管理領域にマッピングされる権限を割り当てることができます。たとえば、セキュリティ、監査、ストレージ、プロビジョニング、バックアップ用に個別の管理者役割を作成できます。



権限を役割に追加する際に、一部の権限を読み取り専用や読み取り/書き込みに設定できます。このオプションはいつでも変更し、ユーザーの責任の変更に合わせて権限を追加または削除することができます。

組み込みの役割組み込みの役割は OneFS に含まれ、一般的な管理機能を実行するために必要である可能性が最も高い権限を持つように構成されています。各組み込みの役割に割り当てられている権限のリストを変更することはできません。ただし、組み込みの役割にユーザーおよびグループを割り当てることができます。

SecurityAdmin の組み込みの役割SecurityAdmin の組み込みの役割は、認証プロバイダー、ローカルユーザーとグループ、役割のメンバーシップなど、クラスター上のセキュリティ構成を可能にします。

権限読み取り/書き込みアクセス

ISI_PRIV_LOGIN_CONSOLE 該当なし

ISI_PRIV_LOGIN_PAPI 該当なし

ISI_PRIV_LOGIN_SSH 該当なし

ISI_PRIV_AUTH 読み取り/書き込み

ISI_PRIV_ROLE 読み取り/書き込み

SystemAdmin の組み込みの役割SystemAdmin の組み込みの役割では、SecurityAdmin役割で明示的に対処されないすべてのクラスター構成の管理が可能です。

権限読み書きアクセス




ISI_PRIV_SYS_SHUTDOWN 該当なし

ISI_PRIV_SYS_SUPPORT 該当なし

ISI_PRIV_SYS_TIME R/W

ISI_PRIV_SYS_UPGRADE R/W

ISI_PRIV_ANTIVIRUS R/W

ISI_PRIV_AUDIT R/W

ISI_PRIV_CLOUDPOOLS R/W

ISI_PRIV_CLUSTER R/W

ISI_PRIV_DEVICES R/W

ISI_PRIV_EVENT R/W

ISI_PRIV_FILE_FILTER R/W


組み込みの役割 143


ISI_PRIV_FTP R/W

ISI_PRIV_HARDENING R/W

ISI_PRIV_HDFS R/W

ISI_PRIV_HTTP R/W

ISI_PRIV_JOB_ENGINE R/W

ISI_PRIV_LICENSE R/W

ISI_PRIV_MONITORING R/W

ISI_PRIV_NDMP R/W

ISI_PRIV_NETWORK R/W

ISI_PRIV_NFS R/W

ISI_PRIV_NTP R/W

ISI_PRIV_QUOTA R/W

ISI_PRIV_REMOTE_SUPPORT R/W

ISI_PRIV_SMARTPOOLS R/W

ISI_PRIV_SMB R/W

ISI_PRIV_SNAPSHOT R/W

ISI_PRIV_SNMP R/W

ISI_PRIV_STATISTICS R/W

ISI_PRIV_SWIFT R/W

ISI_PRIV_SYNCIQ R/W

ISI_PRIV_VCENTER R/W

ISI_PRIV_WORM R/W

ISI_PRIV_NS_TRAVERSE 該当なし

ISI_PRIV_NS_IFS_ACCESS 該当なし

AuditAdmin の組み込みの役割AuditAdmin の組み込みの役割では、すべてのシステム構成設定を表示することができます。





ISI_PRIV_SYS_TIME 読み取り専用

ISI_PRIV_SYS_UPGRADE 読み取り専用

ISI_PRIV_ANTIVIRUS 読み取り専用




ISI_PRIV_AUDIT 読み取り専用

ISI_PRIV_CLOUDPOOLS 読み取り専用

ISI_PRIV_CLUSTER 読み取り専用

ISI_PRIV_DEVICES 読み取り専用

ISI_PRIV_EVENT 読み取り専用

ISI_PRIV_FILE_FILTER 読み取り専用

ISI_PRIV_FTP 読み取り専用

ISI_PRIV_HARDENING 読み取り専用

ISI_PRIV_HDFS 読み取り専用

ISI_PRIV_HTTP 読み取り専用

ISI_PRIV_JOB_ENGINE 読み取り専用

ISI_PRIV_LICENSE 読み取り専用

ISI_PRIV_MONITORING 読み取り専用

SI_PRIV_NDMP 読み取り専用

ISI_PRIV_NETWORK 読み取り専用

ISI_PRIV_NFS 読み取り専用

ISI_PRIV_NTP 読み取り専用

ISI_PRIV_QUOTA 読み取り専用

ISI_PRIV_REMOTE_SUPPORT 読み取り専用

ISI_PRIV_SMARTPOOLS 読み取り専用

ISI_PRIV_SMB 読み取り専用

ISI_PRIV_SNAPSHOT 読み取り専用

ISI_PRIV_SNMP 読み取り専用

ISI_PRIV_STATISTICS 読み取り専用

ISI_PRIV_SWIFT 読み取り専用

ISI_PRIV_SYNCIQ 読み取り専用

ISI_PRIV_VCENTER 読み取り専用

ISI_PRIV_WORM 読み取り専用

BackupAdmin の組み込みの役割BackupAdmin の組み込みの役割は、/ifs からのファイルのバックアップとリストアを可能にします。


ISI_PRIV_IFS_BACKUP 読み取り専用

ISI_PRIV_IFS_RESTORE R/W


組み込みの役割 145

VMwareAdmin の組み込みの役割VMwareAdmin の組み込みの役割は、VMware vCenter によって必要なストレージのリモート管理を可能にします。

権限読み取り/書き込みアクセス


ISI_PRIV_NETWORK R/W

ISI_PRIV_SMARTPOOLS R/W

ISI_PRIV_SNAPSHOT R/W

ISI_PRIV_SYNCIQ R/W

ISI_PRIV_VCENTER R/W

ISI_PRIV_NS_TRAVERSE 該当なし

ISI_PRIV_NS_IFS_ACCESS 該当なし

権限ユーザーに権限を割り当てることで、EMC Isilon クラスターのタスクを実行できるようになります。権限は、ジョブエンジン、SMB、統計など、クラスターの管理領域と関連づけられます。権限は次のいずれかの形式をとります。アクション

ユーザーに、クラスターに対する特定のアクションの実行を許可します。たとえば、ISI_PRIV_LOGIN_SSH権限は、SSH クライアントを通じてクラスターにログインすることをユーザーに許可します。

読み取り/書き込み統計情報、スナップショット、クォータなど、構成サブシステムを表示または変更することをユーザーに許可します。たとえば、ISI_PRIV_SNAPSHOT権限は、管理者に対し、スナップショットとスナップショットスケジュールの作成および削除を許可します。読み取り/書き込み権限は、読み取り専用アクセスか読み取り/書き込みアクセスのいずれかを許可します。読み取り専用アクセスでは、ユーザーが構成設定を表示できます。読み書きアクセスでは、ユーザーが構成設定を表示および変更できます。

権限は、ユーザーが OneFS API、Web管理インターフェイス、SSH、コンソールセッションを通じてクラスターにログインする際に付与されます。ユーザーに付与されるすべての権限のリストが含まれるトークンが生成されます。各 URI、Web管理インターフェイスページ、コマンドには、各インターフェイスで使用する情報を表示または編集するための特定の権限が必要です。場合によっては、権限を付与することができないか、または権限の制限があります。l ログイン時に System ゾーンに接続しない場合や、推奨されない Telnet サービスを通じて接

続した場合、ユーザーが役割のメンバーであっても権限は付与されません。l 権限は、OneFS API外部の構成パスへの管理アクセスを提供しません。たとえば、

ISI_PRIV_SMB権限では、MMC（Microsoft管理コンソール）を使用して SMB共有を構成する権利をユーザーに付与しません。

l 権限は、すべてのログファイルへの管理アクセスを提供しません。ほとんどのログファイルにはroot アクセス権が必要です。



サポートされている OneFS の権限OneFS でサポートされている権限は、ユーザーに許可されるアクションまたはアクセスのタイプ別に分類されます（たとえば、ログイン、セキュリティ、構成権限）。

ログイン権限次の表に記載されているログイン権限では、ユーザーが特定のアクションを実行するのを許可するか、EMC Isilon クラスター上の管理領域への読み取りまたは書き込みアクセス権を付与します。

権限説明タイプ

ISI_PRIV_LOGIN_CONSOLE コンソールからのログイン。アクション

ISI_PRIV_LOGIN_PAPI プラットフォーム API とWeb管理インタフェースへのログイン。

アクション

ISI_PRIV_LOGIN_SSH SSH経由でのログイン。アクション

システム権限次の表に記載されているシステム権限では、ユーザーが特定のアクションを実行するのを許可するか、EMC Isilon クラスター上の管理領域への読み取りまたは書き込みアクセス権を付与します。


ISI_PRIV_SYS_SHUTDOWN システムをシャットダウンします。アクション

ISI_PRIV_SYS_SUPPORT クラスター診断ツールを実行します。

アクション

ISI_PRIV_SYS_TIME システム時間を変更します。 R/W

ISI_PRIV_SYS_UPGRADE OneFS システムをアップグレードします。

R/W

セキュリティ権限次の表に記載されているセキュリティ権限では、ユーザーが特定のアクションを実行するのを許可するか、EMC Isilon クラスター上の管理領域への読み取りまたは書き込みアクセス権を付与します。


ISI_PRIV_AUTH 外部認証プロバイダの構成。 R/W

ISI_PRIV_ROLE 新しい役割の作成と権限の割り当て。

R/W

構成権限次の表に記載されている構成権限では、ユーザーが特定のアクションを実行するのを許可するか、EMC Isilon クラスター上の管理領域への読み取りまたは書き込みアクセス権を付与します。


ISI_PRIV_ANTIVIRUS アンチウイルススキャンを設定します。

R/W


サポートされている OneFS の権限 147


ISI_PRIV_AUDIT 監査機能を構成します。 R/W

ISI_PRIV_CLOUDPOOLS CloudPools を構成します。 R/W

ISI_PRIV_CLUSTER クラスター ID と一般設定を構成します。

R/W

ISI_PRIV_DEVICES 新しい役割の作成と権限の割り当て。

R/W

ISI_PRIV_EVENT システムイベントの表示と変更。 R/W

ISI_PRIV_FILE_FILTER ファイルフィルタリング設定を構成します。

R/W

ISI_PRIV_FTP FTP サーバーを構成します。 R/W

ISI_PRIV_HDFS HDFS サーバーを構成します。 R/W

ISI_PRIV_HTTP HTTP サーバーを構成します。 R/W

ISI_PRIV_JOB_ENGINE クラスター全体のジョブをスケジュールします。

R/W

ISI_PRIV_LICENSE OneFS ソフトウェアライセンスのアクティベーション。

R/W

ISI_PRIV_MONITORING クラスターを監視するアプリケーションを登録します。

R/W

ISI_PRIV_NDMP NDMP サーバーを構成します。 R/W

ISI_PRIV_NETWORK ネットワークインターフェイスを構成します。

R/W

ISI_PRIV_NFS NFS サーバーを構成します。 R/W

ISI_PRIV_NTP NTP を構成します。 R/W

ISI_PRIV_QUOTA ファイルシステムクォータを構成します。

R/W

ISI_PRIV_REMOTE_SUPPORT

リモートサポートを構成します。 R/W

ISI_PRIV_SMARTPOOLS ストレージプールを構成します。 R/W

ISI_PRIV_SMB SMB サーバーを構成します。 R/W

ISI_PRIV_SNAPSHOT スナップショットをスケジュールし、取得し、表示します。

R/W

ISI_PRIV_SNMP SNMP サーバーを構成します。 R/W

ISI_PRIV_STATISTICS ファイルシステムパフォーマンス統計を表示します。

R/W

ISI_PRIV_SWIFT Swift を構成します。 R/W

ISI_PRIV_SYNCIQ SyncIQ を構成します。 R/W

ISI_PRIV_VCENTER vCenter用 VMware を構成します。

R/W




ISI_PRIV_WORM SmartLock ディレクトリを構成します。

R/W

ファイルアクセス権限次の表に記載されているファイルアクセス権限では、EMC Isilon クラスター上の管理領域でユーザーが特定のアクションを実行するのを許可するか、その領域への読み取りまたは書き込みアクセス権を付与します。

権限説明 Type

ISI_PRIV_IFS_BACKUP /ifs からファイルをバックアップします。

この権限は、モードビットや NTFS

ACLなどの従来のファイルアクセスチェックを無効にします。

アクション

ISI_PRIV_IFS_RESTORE /ifs からファイルをリストアします。

この権限は、モードビットや NTFS

ACLなどの従来のファイルアクセスチェックを無効にします。

アクション

ISI_PRIV_IFS_WORM_DELETE

WORM にコミットされたファイルで特権的削除の操作を実行します。

root のユーザーアカウントでログインしていない場合は、ISI_PRIV_NS_IFS_ACCESS

の権限も必要です。

アクション

ネームスペースの権限次の表に記載されているネームスペース権限では、ユーザーが特定のアクションを実行するのを許可するか、EMC Isilon クラスター上の管理領域への読み取りまたは書き込みアクセス権を付与します。


ISI_PRIV_NS_TRAVERSE ディレクトリメタデータの横断と表示。

アクション

ISI_PRIV_NS_IFS_ACCESS OneFS API により/ifs ディレクトリにアクセスします。

アクション


サポートされている OneFS の権限 149

データバックアップおよびリストア権限クラスターデータバックアップおよびリストアアクションに対して明示的な権限をユーザーに割り当てることができます。次の 2 つの権限により、ユーザーはサポートされるクライアント側プロトコルでクラスタデータをバックアップおよびリストアできます。ISI_PRIV_IFS_BACKUP および ISI_PRIV_IFS_RESTORE。

これらの権限は、モードビットや NTFS ACLなどの従来のファイルアクセスチェックを回避します。

ほとんどのクラスタ権限では、何らかの方法でクラスタ構成を変更できます。バックアップおよびリストア権限では、System ゾーンからのクラスタデータへのアクセス、すべてのディレクトリのトラバース、ファイル権限に関係なくすべてのファイルデータおよびメタデータの読み取りが可能です。これらの権限を割り当てられたユーザーは、アクセス拒否エラーを生成することや root ユーザーとして接続することなく、プロトコルを別のマシンへのバックアッププロトコルとして使用します。この 2 つの権限は、次のクライアント側プロトコルでサポートされます。l SMB

l NFS

l OneFS API

l FTP

l SSH

SMB では、ISI_PRIV_IFS_RESTORE権限と ISI_PRIV_IFS_RESTORE権限はWindows権限の SE_BACKUP_NAME および SE_BACKUP_NAME をエミュレートします。エミュレーションは、通常のファイルを開く手順がファイルシステム権限によって保護されることを意味します。SMBプロトコル上でバックアップおよびリストア権限を有効化するには、FILE_OPEN_FOR_BACKUP_INTENT オプションを指定してファイルを開く必要があります。これは、RobocopyなどのWindowsバックアップソフトウェアを通じて自動的に行われます。オプションの適用は、ファイルがWindows ファイルエクスプローラーなどの一般的なファイル参照ソフトウェアを通じて開かれた場合は自動的に行われません。ISI_PRIV_IFS_BACKUP権限と ISI_PRIV_IFS_RESTORE権限の両方が、基本的にRobocopyなどのWindowsバックアップツールをサポートします。ユーザーは、ファイル DACL および SACL のメタデータのコピーを含むすべての Robocopy機能にアクセスするには BackupAdmin組み込み型役割のメンバーである必要があります。

コマンドラインインターフェイス権限権限によって付与されるほとんどのタスクは CLI（コマンドラインインターフェイス）を使用して実行できます。一部の OneFS コマンドにはルートアクセス権が必要です。

コマンドと権限のマッピング各 CLI コマンドは、権限に関連づけられています。一部のコマンドにはルートアクセス権が必要です。

isi コマンド権限

isi antivirus ISI_PRIV_ANTIVIRUS




isi audit ISI_PRIV_AUDIT

isi auth、isi auth roles以外 ISI_PRIV_AUTH

isi auth roles ISI_PRIV_ROLE

isi batterystatus ISI_PRIV_DEVICES

isi cloud ISI_PRIV_CLOUDPOOLS

isi config root

isi dedupe、isi dedupe stats以外 ISI_PRIV_JOB_ENGINE

isi dedupe stats ISI_PRIV_STATISTICS

isi devices ISI_PRIV_DEVICES

isi email ISI_PRIV_CLUSTER

isi event ISI_PRIV_EVENT

isi fc ISI_PRIV_NDMP

isi file-filter ISI_PRIV_FILE_FILTER

isi filepool ISI_PRIV_SMARTPOOLS

isi ftp ISI_PRIV_FTP

isi get root

isi hardening ISI_PRIV_HARDENING

isi hdfs ISI_PRIV_HDFS

isi http ISI_PRIV_HTTP

isi job ISI_PRIV_JOB_ENGINE

isi license ISI_PRIV_LICENSE

isi ndmp ISI_PRIV_NDMP

isi network ISI_PRIV_NETWORK

isi nfs ISI_PRIV_NFS

ifs ntp ISI_PRIV_NTP

isi quota ISI_PRIV_QUOTA

isi readonly ISI_PRIV_DEVICES

isi remotesupport ISI_PRIV_REMOTE_SUPPORT

isi servicelight ISI_PRIV_DEVICES

isi services root

isi set root

isi smb ISI_PRIV_SMB

isi snapshot ISI_PRIV_SNAPSHOT

isi snmp ISI_PRIV_SNMP


コマンドラインインターフェイス権限 151


isi statistics ISI_PRIV_STATISTICS

isi status ISI_PRIV_EVENTISI_PRIV_DEVICES

ISI_PRIV_JOB_ENGINE

ISI_PRIV_NETWORK

ISI_PRIV_SMARTPOOLS

ISI_PRIV_STATISTICS

isi storagepool ISI_PRIV_SMARTPOOLS

isi swift ISI_PRIV_SWIFT

isi sync ISI_PRIV_SYNCIQ

isi tape ISI_PRIV_NDMP

isi time ISI_PRIV_SYS_TIME

isi upgrade ISI_PRIV_SYS_UPGRADE

isi version ISI_PRIV_CLUSTER

isi worm（isi worm files delete を除く） ISI_PRIV_WORM

isi worm files delete ISI_PRIV_IFS_WORM_DELETE

isi zone ISI_PRIV_AUTH

権限とコマンドのマッピング各権限は 1 つまたは複数のコマンドに関連づけられています。一部のコマンドにはルートアクセス権が必要です。

権限 isi コマンド

ISI_PRIV_ANTIVIRUS isi antivirus

ISI_PRIV_AUDIT isi audit

ISI_PRIV_AUTH isi auth（isi auth role を除く）isi zone

ISI_PRIV_CLOUDPOOLS isi cloud

ISI_PRIV_CLUSTER isi emailisi version

ISI_PRIV_DEVICES isi batterystatusisi devices

isi readonly

isi servicelight

isi status

ISI_PRIV_EVENT isi eventisi status

ISI_PRIV_FILE_FILTER isi file-filter




ISI_PRIV_FTP isi ftp

ISI_PRIV_HARDENING isi hardening

ISI_PRIV_HDFS isi hdfs

ISI_PRIV_HTTP isi http

ISI_PRIV_JOB_ENGINE isi jobisi dedupe

isi status

ISI_PRIV_LICENSE isi license

ISI_PRIV_NDMP isi fcisi tape

isi ndmp

ISI_PRIV_NETWORK isi networkisi status

ISI_PRIV_NFS isi nfs

ISI_PRIV_NTP isi ntp

ISI_PRIV_QUOTA isi quota

ISI_PRIV_REMOTE_SUPPORT isi remotesupport

ISI_PRIV_ROLE isi auth role

ISI_PRIV_SMARTPOOLS isi filepoolisi storagepool

isi status

ISI_PRIV_SMB isi smb

ISI_PRIV_SNAPSHOT isi snapshot

ISI_PRIV_SNMP isi snmp

ISI_PRIV_STATISTICS isi statusisi statistics

isi dedupe stats

ISI_PRIV_SWIFT isi swift

ISI_PRIV_SYNCIQ isi sync

ISI_PRIV_SYS_TIME isi time

ISI_PRIV_SYS_UPGRADE isi upgrade

ISI_PRIV_WORM isi worm（isi worm files delete を除く）

ISI_PRIV_IFS_WORM_DELETE isi worm files delete

root l isi config

l isi get


コマンドラインインターフェイス権限 153


l isi services

l isi set

役割の管理任意の役割のメンバーを表示、追加、削除することができます。権限を変更できない組み込み型の役割を除き、役割単位で OneFS権限を追加または削除することができます。

役割ではユーザーおよびグループの両方をメンバーと見なします。グループが役割に追加された場合、そのグループのメンバーであるすべてのユーザーに、その役割に関連づけられた権限が割り当てられます。同様に、複数の役割を持つメンバーは、各役割の統合された権限が割り当てられます。

カスタム役割の作成カスタム役割を作成し、その役割に権限とメンバーを追加できます。手順

1. ［Access］ > ［ Membership & Roles］ > ［Roles］の順にクリックします。2. ［Create a Role］をクリックします。3. ［Role Name］フィールドに、役割の名前を入力します。

役割名は、POSIX命名規則に従う必要があります。たとえば、役割名にスペースまたはハイフンを含めることはできません。

4. ［Task Description］フィールドに、説明を入力します。5. ［Add a member to this role］をクリックして役割にメンバーを追加します。6. ［Add a privilege to this role］をクリックしてアクセス権や権限を割り当てます。7. ［Create Role］をクリックします。

役割の変更組み込み型の役割を含め、任意の役割の説明と、ユーザーまたはグループメンバーシップを変更できます。ただし、名前と権限を変更できるのはカスタム役割のみです。手順

1. ［Access］ > ［ Membership & Roles］ > ［Roles］の順にクリックします。2. ［Roles］領域で、役割を選択して［View / Edit］をクリックします。

［View Role Details］ダイアログボックスが表示されます。3. ［Edit Role］をクリックし、［Edit Role Details］ダイアログボックスで必要に応じて設定

を変更します。4. ［Save Changes］をクリックして［View Role Details］ダイアログボックスに戻ります。5. ［Close］をクリックします。



役割のコピー既存の役割をコピーして、必要に応じて権限やメンバーをその役割に追加またはその役割から削除できます。手順

1. ［Access］ > ［ Membership & Roles］ > ［Roles］の順にクリックします。2. ［Roles］領域で、役割を選択して［More］ > ［Copy］の順にクリックします。3. 必要に応じて役割名、説明、メンバー、権限を変更します。4. ［Copy Role］をクリックします。

カスタム役割への権限の追加必要に応じて、カスタム役割に権限を追加またはカスタム役割から権限を削除できます。一部の権限を読み取り専用または読み取り/書き込みに指定できます。組み込み型の役割に割り当てられている権限は変更できません。カスタム役割に追加する各権限について、この処理手順を繰り返します。手順

1. 役割を作成、コピー、編集するには、ダイアログボックスで［Add a privilege to this role］をクリックします。

2. ［Add a privilege to this role］ダイアログボックスで、役割のアクセスタイプを選択します。

3. リストから権限を選択します。4. ［Add Privilege］をクリックします。

役割へのメンバーの追加役割を作成、コピー、編集する際に、役割に複数のメンバーを追加できます。ユーザーやグループは、複数の役割に所属できます。役割に関連づけられた権限はその役割のすべてのメンバーに付与されます。役割にさらにメンバーを追加するには、この処理手順を繰り返します。手順

1. 役割を作成、コピー、編集するには、ダイアログボックスで［Add a member to this role］をクリックします。

2. ［Select a User］ダイアログボックスで、次のいずれかのオプションを選択します。l ［Users］l ［Groups］l ［Well-known SIDs］

3. ［User］か［Group］を選択した場合は、次のいずれかの方法でそのユーザーやグループを特定します。l テキストフィールドに検索するユーザー名またはグループ名を入力する。l ［Provider］リストから検索する認証プロバイダーを選択する。クラスターで現在構成および有効化されているプロバイダーのみが表示されます。

4. ［Search］をクリックします。5. 検索結果からメンバーとして役割に追加するユーザー名、グループ名、既知の SID を選択

します。


役割のコピー 155

6. ［Select］をクリックします。

カスタム役割の削除カスタム役割を削除しても、それに割り当てられている権限やユーザーには影響しません。組み込み型の役割は削除できません。手順

1. ［Access］ > ［Membership & Roles］ > ［Roles］の順にクリックします。2. ［Roles］領域で、1 つ以上の役割を選択して次のアクションのいずれか 1 つを実行します。

l 単一の役割を削除するには、役割を選択して［Actions］列で［More］ > ［Delete］の順にクリックします。

l 複数の役割を削除するには、［Select a bulk action］リストで［DeleteSelection］を選択します。


役割の表示組み込み型およびカスタム役割に関する情報を表示できます。手順

1. ［Access］ > ［Membership & Roles］ > ［Roles］の順にクリックします。2. ［Roles］領域で、役割を選択して［View / Edit］をクリックします。3. ［View Role Details］ダイアログボックスで、役割の情報を確認します。4. ［Close］をクリックして［Membership & Roles］ページに戻ります。

権限の表示ユーザー権限を表示できます。この手順は、CLI（コマンドラインインターフェイス）を介して実行する必要があります。次のコマンドを使用して、別のユーザーの権限のリストを表示できます。手順

1. クラスター内の任意のノードへの SSH接続を確立します。2. 権限を表示するには、次のコマンドのいずれかを実行します。

l すべての権限のリストを表示するには、次のコマンドを実行します。

isi auth privileges --verbose

l 自身の権限のリストを表示するには、次のコマンドを実行します。

isi auth id

l 別のユーザーの権限のリストを表示するには、次のコマンドを実行します。ここで、［<user>］は名前で指定する別のユーザーのプレースホルダーです。

isi auth mapping token <user>



第 7章

ID管理


l ID管理の概要....................................................................................................158l ID タイプ............................................................................................................. 158l アクセストークン...................................................................................................159l アクセストークンの生成.........................................................................................160l ID マッピング管理................................................................................................. 166l ユーザー ID の管理.............................................................................................. 169

ID管理 157

ID管理の概要複数の異なるタイプのディレクトリサービスがある環境では、OneFSはユーザーとグループを別々のサービスからマップして、受信プロトコルにかかわらず、EMC Isilon クラスタに単一の統一 ID と、ファイルおよびディレクトリへの統合アクセス制御を提供します。このプロセスは ID マッピングと呼ばれます。一般に、Isilon クラスタは、Active Directoryや LDAPなど、複数のタイプのディレクトリサービスがあるマルチプロトコル環境に導入されます。複数のディレクトリサービスにアカウントを持つユーザーがクラスタにログインすると、OneFSはすべてのディレクトリサービスからのユーザーの ID と権限をネイティブアクセストークンに結合します。ユーザー ID と権限を制御するためのトークン操作のルールのリストを含むように OneFS設定を行えます。たとえば、Active Directory ID と LDAP ID を、SMB と NFS の両方で格納されるファイルへのアクセスに対して動作する単一のトークンにマージするように、ユーザーマッピングルールを設定できます。トークンには、Active Directory と LDAP からのグループを含めることができます。作成するマッピングルールでは、次の例のような多くの方法でアクセストークンを操作することで ID の問題を解決できます。l ユーザーを Active Directory で認証するが、ユーザーに UNIX ID を提供する。l Active Directory または LDAP で競合する選択肢からプライマリグループを選択する。l Active Directory と LDAP の両方に存在しないユーザーのログインを禁止する。ID管理の詳細については、EMC オンラインサポートのホワイトペーパー「Managing identitieswith the Isilon OneFS user mapping service」を参照してください。

ID タイプOneFS では 3 タイプのプライマリ ID タイプがサポートされており、それぞれをファイルシステム上に直接格納できます。ID タイプとは、UNIX のユーザー識別子とグループ識別子、およびWindows のセキュリティ識別子です。EMC Isilon クラスタにログオンすると、ユーザーマッパーがユーザー ID を拡張し、ActiveDirectory、LDAP、NISなど、すべてのディレクトリサービスの ID を追加します。OneFS によってディレクトリサービス間で ID がマップされた後、アカウントに関連づけられている識別情報を含むアクセストークンが生成されます。トークンには次の ID が含まれています。l UNIX UID（ユーザー識別子）および GID（グループ識別子）。UID と GIDは 32 ビットの数

値であり、最大値は 4,294,967,295 です。l Windows ユーザーアカウントの SID（セキュリティ識別子）。SIDは、32 ビットの RID（相対

ID）で終わる一連の権限と副権限です。大半の SIDは、S-1-5-21-［<A>］-［<B>］-［<C>］-［<RID>］の形式になっています。ここで、［<A>］、［<B>］、［<C>］は、ドメインまたはコンピューターに固有であり、［<RID>］は、ドメイン内のオブジェクトを表します。

l Windows グループアカウントのプライマリグループ SID。l ユーザーがメンバーとなっているすべてのグループを含む補足 ID のリスト。トークンには、管理役割に基づいたアクセス制御から生じた権限も含まれます。Isilon クラスタでは、ファイルには ACL（アクセスコントロールリスト）として表示される権限が含まれます。ACLは、ディレクトリ、ファイル、その他の保護可能なシステムオブジェクトへのアクセスも制御します。ユーザーがファイルにアクセスしようとすると、OneFSはユーザーのアクセストークン内の ID をファイルの ACL と比較します。OneFSは、ファイルの ACL に、トークン内の ID にファイルへのアクセスを許

ID管理


可する ACE（アクセス制御エントリー）が含まれ、ID によるアクセスを拒否する ACE が含まれない場合にアクセス権を付与します。OneFSは、ユーザーのアクセストークンをファイルの ACL と比較します。

権限の説明や、それらが POSIX モードビットにどのように対応するかなど、アクセスコントロールリストの詳細については、EMC オンラインサポートWeb サイトにあるホワイトペーパー「統合セキュリティモデルによる EMC Isilon マルチプロトコルデータアクセス」を参照してください。

名前が ID として渡された場合、対応するユーザーまたはグループオブジェクトと正しい ID タイプに変換されます。名前はさまざまな方法で入力および表示できます。l UNIX では、ユーザーとグループに対し、一意の、大文字と小文字が区別されるネームスペース

が仮定されています。たとえば、「Name」と「name」は異なるオブジェクトを表します。l Windowsは、すべてのオブジェクトに対し、単一の、大文字と小文字を区別しないネームスペ

ースを提供し、Active Directory ドメインをターゲットとするプレフィックス（domain\nameなど）も指定します。

l Kerberos と NFSv4はプリンシパルを定義し、名前がメールアドレスと同じ形式になっている必要があります（[email protected]など）。

複数の名前が同じオブジェクトを指すことができます。たとえば、名前「support」とドメイン「example.com」がある場合、support、EXAMPLE\support、[email protected]は、すべて Active Directory内の単一のオブジェクトの名前です。

アクセストークンアクセストークンは、ユーザーが初回のアクセスリクエストを行ったときに作成されます。アクセストークンは、クラスターに対してアクションを実行するユーザーを表し、ファイル作成時に使用するプライマリオーナーとグループ ID を提供します。また、アクセストークンは、許可チェック時にACLやモードビットと比較されます。ユーザー許可の際、OneFSは、最初の接続中に生成されたアクセストークンを、ファイルに関する許可データと比較します。ユーザーと ID のすべてのマッピングは、トークン生成中に行われます。マッピングは権限の評価時には行われません。アクセストークンには、すべての OneFS権限に加え、1 つの ID に対するすべての UID、GID、SIDが含まれます。 OneFSはトークン内の情報を読み取り、ユーザーがリソースに対するアクセス権を持っているかどうかを判定します。トークンには、常に UID、GID、SID の正しいリストが含まれていることが重要です。アクセストークンは次のソースのいずれかから作成されます。

ソース認証

ユーザー名 l SMB偽装ユーザーl Kerberos NFSv3

l Kerberos NFSv4

l NFS エクスポートユーザーマッピングl HTTP

l FTP

l HDFS

ID管理

アクセストークン 159

ソース認証

PAC（Privilege Attribute Certificate） l SMB NTLM

l Active Directory Kerberos

UID（ユーザー識別子） l NFS AUTH_SYS マッピング

アクセストークンの生成ほとんどのプロトコルで、アクセストークンはユーザー名または認証時に取得された許可データから生成されます。アクセストークンを生成するプロセスは複雑ですが、次のステップで簡略化した概要を示します。ステップ 1：ユーザー IDの検索

アクセスゾーンのすべての構成済み認証プロバイダーで、リストされている順番に、初期 ID を使用してユーザーを検索します。ユーザー ID とグループリストが、認証プロバイダーから取得されます。次に、ユーザーとグループリストに関連した追加グループメンバーシップがその他のすべての認証プロバイダーで検索されます。これら SID、UID、GID がすべて初期トークンに追加されます。

この動作の例外は、AD プロバイダーが LDAPや NISなど他のプロバイダーを呼び出すように構成されている場合です。

ステップ 2：ID マッピングユーザー IDはすべてディレクトリサービスに関連づけられます。すべての SIDは同等のUID/GID に変換され、逆に UID/GIDは同等の SID に変換されます。これらの ID マッピングは、アクセストークンにも追加されます。

ステップ 3：ユーザーマッピング他のディレクトリサービスからのアクセストークンは統合されます。ユーザー名がいずれかのユーザーマッピングルールに一致する場合、ルールが順番に処理され、それに応じてトークンが更新されます

ステップ 4：オンディスク IDの計算デフォルトのオンディスク IDは、最終トークンとグローバル設定を使用して計算されます。これらの IDは、新たに作成されたファイルに対して使用されます。

ID マッピングID（アイデンティティ）マッピングサービスは、マップされたWindows識別子と UNIX識別子間の関係情報を管理して、アクセスゾーン内のファイル共有プロトコル間での整合性のあるアクセス制御を提供します。

ID マッピングとユーザーマッピングは、名前は似ていますが異なるサービスです。

ID管理


認証時に、認証デーモンは、アクセストークンを作成するために ID マッピングサービスに ID マッピングをリクエストします。リクエストされると、ID マッピングサービスは UNIX識別子にマッピングされたWindows識別子、またはWindows識別子にマッピングされた UNIX識別子を返します。ユーザーが NFS経由で UID または GID を使用してクラスターに認証されると、ID マッピングサービスは、マッピングされたWindows SID を返し、別のユーザーが SMB経由で格納したファイルにアクセスできるようにします。ユーザーが SMB経由で SID を使用してクラスターに認証されると、ID マッピングサービスは、マッピングされた UNIX UID および GID を返し、UNIX クライアントが NFS経由で格納したファイルにアクセスできるようにします。UID または GID と SID の間のマッピングは、アクセスゾーンに応じて ID マップと呼ばれるクラスター分散データベースに格納されます。 ID マップ内の各マッピングは、ソース ID タイプからターゲット IDタイプへの一方向の関係として格納されます。双方向のマッピングが、補助的な一方向のマッピングとして格納されます。

Windows ID から UNIX ID へのマッピングSID でWindows ユーザー認証を行う場合、認証デーモンは外部 Active Directory プロバイダーを検索して、SID に関連づけられているユーザーまたはグループを検索します。ユーザーまたはグループが Active Directory に SID のみ持つ場合、認証デーモンは ID マッピングサービスにマッピングをリクエストします。

ユーザーおよびグループの検索は、Active Directory設定に応じて無効化または制限されることがあります。 isi auth ads modify コマンドを使用して、ユーザーおよびグループ検索を有効化します。

ID マッピングサービスで ID マップにマップされた UID または GID が見つからず返されない場合、認証デーモンは、Active Directory ユーザーと同じ名前と一致するユーザーを同じアクセスゾーンに構成されている他の外部認証プロバイダーで検索します。一致するユーザー名が他の外部プロバイダーに見つかった場合、認証デーモンは一致するユーザーの UID または GID を Active Directory ユーザーのアクセストークンに追加し、ID マッピングサービスは UID または GID と ID マップ内の Active Directory ユーザーの SID との間のマッピングを ID マップに作成します。これは、［外部マッピング］と呼ばれます。

外部マッピングが ID マップに格納される場合は、UID がそのユーザーのオンディスク ID として指定されます。 ID マッピングサービスが生成されたマッピングを格納する場合は、SID がオンディスク ID として指定されます。

一致するユーザー名が別の外部プロバイダーに見つからない場合、認証デーモンは、ID マッピング範囲の UID または GID を Active Directory ユーザーの SID に割り当て、ID マッピングサービスはマッピングを ID マップに格納します。これは、［生成されたマッピング］と呼ばれます。 ID マッピング範囲は、マッピング設定で割り当て済みの UID および GID のプールです。ユーザーに対してマッピングが作成された後、認証デーモンは、ユーザーの後続の検索時に、ID マップに格納されている UID または GID を取得します。

UNIX ID からWindows ID へのマッピングID マッピングサービスは、マッピングがまだ存在しない場合のみ、UID から SID および GID から SIDへの一時的なマッピングを作成します。これらのマッピングから得られる UNIX SID がディスク上に格納されることはありません。UID および GIDは、SID に対して事前定義されるマッピングのセットです。

ID管理

ID マッピング 161

認証時に UID から SID または GID から SID へのマッピングがリクエストされた場合、ID マッピングサービスは、次のルールを適用することで S-1-22-1-［<UID>］または S-1-22-2-［<GID>］の形式の一時的な UNIX SID を生成します。l UID の場合、ID マッピングサービスは、S-1-22-1 のドメインと、UID と一致する RID（リソース

ID）を使用して、UNIX SID を生成する。たとえば、UID 600 の UNIX SIDは S-1-22-1-600です。

l GID の場合、ID マッピングサービスは、S-1-22-2 のドメインと、GID と一致する RID を使用して、UNIX SID を生成する。たとえば、GID 800 の UNIX SIDは S-1-22-2-800 です。

ID マッピング範囲Active Directoryや LDAPなどの複数の外部認証プロバイダーがあるアクセスゾーンでは、同じアクセスゾーンに構成されている異なるプロバイダーの UID と GID が重ならないことが重要です。アクセスゾーン内のプロバイダー間で UID と GID が重なっていると、一部のユーザーが他のユーザーのディレクトリとファイルにアクセスできることがあります。生成されたマッピングに割り当てることのできる UID と GID の範囲は、isi auth settingsmappings modify コマンドを使用して各アクセスゾーンで構成できます。各アクセスゾーンのUID と GID の両方のデフォルト範囲は 1000000～2000000 です。共用の UID と GID を ID の範囲に含めないでください。たとえば、1000未満の UID と GIDはシステムアカウント用に予約されているので、ユーザーやグループに割り当てないでください。

ユーザーマッピングユーザーマッピングでは、ユーザーのセキュリティ識別子、ユーザー識別子、グループ識別子を指定することにより、権限を制御する方法が提供されます。 OneFSは、ファイルまたはグループ所有権をチェックする ID を使用します。ユーザーマッピング機能により、OneFS で使用するユーザー ID の変更、補足のユーザー ID の追加、ユーザーのグループメンバーシップの変更を行うルールを適用できます。ユーザーマッピングサービスでは、異なるディレクトリサービスからのユーザーの ID を単一のアクセストークンに組み合わせ、作成したルールに従ってそれを変更します。

マッピングルールはゾーンごとに構成できます。マッピングルールは、それを使用する各アクセスゾーンで個別に構成する必要があります。 OneFS でユーザーマッピングが実行されるのは、ログイン時またはプロトコルアクセス時のみです。

デフォルトのユーザーマッピングユーザーマッピングルールが明示的に作成されていない場合、アクセス権はデフォルトのユーザーマッピングによって決まります。ルールを構成しない場合、1 つのディレクトリサービスで認証されるユーザーは、アカウント名が同じ場合に他のディレクトリサービスの識別情報を受け取ります。たとえば、Active Directory ドメインで Desktop\jane として認証されたユーザーには、jane に対応する UNIX ユーザーアカウントの IDが LDAP または NIS から自動的に提供されます。最も一般的なシナリオでは、OneFSは Active Directory と LDAP の 2 つのディレクトリサービスに接続されます。このようなケースでは、ユーザーがデフォルトのマッピングによって次の ID属性を受け取ります。l LDAP の UID

l Active Directory のユーザー SID

ID管理


l Active Directory のデフォルトグループの SID

ユーザーのグループは Active Directory および LDAP から取得され、リストに LDAP グループと自動生成されたグループ GID が追加されます。 LDAP からグループを取得するには、マッピングサービスで memberUid属性をクエリーします。ユーザーのホームディレクトリ、gecos、シェルが ActiveDirectory から取得されます。

ユーザーマッピングルールの要素演算子とユーザー名を組み合わせて、ユーザーマッピングルールを作成します。次の要素が、ユーザーマッパーによるルールの適用方法に影響します。l ルールが実行する演算を決定する演算子l ユーザー名用のフィールドl オプションl パラメーターl ワイルドカード

ユーザーマッピングのベストプラクティス次のベストプラクティスに従うことで、ユーザーマッピングをシンプル化できます。

Active Directory、RFC 2307、Windows Services for UNIX を使用するMicrosoft Active Directory、Windows Services for UNIX、RFC 2307属性を使用して、Linux、UNIX、Windows システムを管理します。 UNIX システムおよび Linux システムとActive Directory を統合すると、ID管理の一元化と相互運用性の向上が実現し、その結果、ユーザーマッピングルールの必要性を減らすことができます。ご使用のドメインコントローラーでWindows Server 2003以降が稼働していることが必要です。

一貫性のあるユーザー命名方法を採用する最も単純な構成では、ユーザーに一貫性のある名前を付けて、各 UNIX ユーザーを、類似した名前を持つWindows ユーザーに対応させます。このような規則では、ワイルドカードを使用したルールによって、名前を一致させ、各アカウントペアを明示的に指定することなくそれらの名前をマッピングすることができます。

重複する ID範囲を使用しないLDAP および RFC 2307属性を持つ Active Directory のような、複数のアイデンティティソースが存在するネットワークでは、UID の範囲と GID の範囲が重複しないようにする必要があります。 OneFS が自動的に割り当てる UID と GID の範囲が、他の ID の範囲と重複しないことも重要です。 OneFS で UID と GID の自動割り当てに使用する範囲は、1,000,000～2,000,000 です。UID と GID が複数のディレクトリサービスで重複している場合、一部のユーザーが他のユーザーのディレクトリとファイルにアクセスできるようになることがあります。

共通 UIDおよび GIDの使用を回避共用の UID と GID を ID の範囲に含めないでください。たとえば、1000未満の UID と GIDはシステムアカウント用に予約されているので、ユーザーやグループに割り当てないでください。

UPN をマッピングルールで使用しないユーザーマッピングルール内で UPN（ユーザープリンシパル名）を使用することはできません。UPNは、Active Directory ドメインとユーザー名を@記号を使用してインターネットスタイルに結合した名前です（メールアドレス： jane@exampleなど）。ルールに UPN を含めた場合、マッピングサービスはそれを無視し、エラーが返される可能性があります。代わりに、DOMAIN\user.com の形式で名前を指定してください。

ID管理

ユーザーマッピング 163

ルールをタイプ別にグループ化して順序づけるシステムは、デフォルトではすべてのマッピングルールを処理しますが、不明ユーザーのアクセスをすべて拒否するルールなどを適用すると、問題が発生する可能性があります。また、置換ルールでは、ワイルドカード文字を含むルールとやり取りする場合があります。複雑さを最小限に抑えるには、タイプ別にルールをグループ化し、それらのルールを次の順序で編成することをお勧めします。

1. 置換ルール： ID を置き換えるルールを先頭に配置し、OneFS がその ID のすべてのインスタンスを置き換えることができるようにします。

2. 結合、追加、挿入ルール：置換操作で名前を設定したら、結合、追加、挿入の各ルールを使用して、予備の識別子を追加します。

3. 許可、拒否ルール：アクセスを許可または拒否するルールを最後に設定します。

デフォルトの拒否ルールを適用する前に、すべての処理を停止してください。これを行うには、許可ユーザーに一致しても、何も実行せず（フィールドオプションなしの加算演算子など）、ブレークオプションを持つルールを作成します。許可ユーザーを列挙した後にキャッチオール拒否を最後に配置すると、一致しないユーザーがいれば、空のユーザーで置き換えることができます。

明示的ルールがスキップされないようにするには、各ルールのグループで、ワイルドカード文字が含まれるルールの前に明示的ルールを指定します。

LDAP または NISプライマリグループを補足グループに追加するIsilon クラスターが Active Directory と LDAP に接続されている場合、LDAP プライマリグループを補足グループの一覧に追加するのがベストプラクティスです。これにより、OneFSは、NFS経由で作成されたファイルまたは他の UNIX ストレージシステムから移行されたファイルのグループ権限を継承することができます。 Isilon クラスターが Active Directory と NIS の両方に接続されている場合にも、同じプラクティスに従うことをお勧めします。

オンディスク ID

ユーザーマッパーがユーザーの ID を解決した後、OneFSはその信頼できる識別子を判断します。この識別子は優先されるオンディスク ID です。OnesFS では、ディスク上に UNIX ID またはWindows ID のいずれかをファイルメタデータで格納します。オンディスク ID タイプは UNIX、SID と、ネイティブです。ファイルの作成時またはファイルのアクセス制御データの変更時に、ID が設定されます。ほぼすべてのプロトコルで、正しい動作にはある程度のマッピングが必要になるため、ディスクに格納する優先 ID を選択することが重要です。UNIX ID またはWindows ID のいずれかを格納するように OneFS を構成できます。または、格納する最適な ID を OneFS で決定することもできます。オンディスク ID タイプは UNIX、SID と、ネイティブです。オンディスク ID のタイプは変更できますが、UNIX およびWindows システムではネイティブ ID がネットワークに最適です。ネイティブオンディスク ID モードでは、UID をオンディスク ID として設定すると NFSパフォーマンスが向上します。

SID のオンディスク IDは、Active Directory のみで管理するWindows システムで構成される同種ネットワーク用です。 OneFS 6.5 より古いバージョンからアップグレードすると、オンディスク IDは「UNIX」に設定されます。 OneFS 6.5以降のバージョンからアップグレードすると、オンディスク IDの設定は保持されます。新規インストールでは、オンディスク ID が「ネイティブ」に設定されます。

ID管理


ネイティブオンディスク ID タイプでは、OneFS認証デーモンが次の順序で ID マッピングタイプをチェックすることで、ディスクに格納する正しい ID を選択します。

順序マッピングタイプ説明

1 アルゴリズムマッピング内部 ID マッピングデータベース内の S-1-22-1-UIDや S-1-22-2-

GID と一致する SID が、対応するUNIX ID に再変換され、UID とGID がオンディスク ID として設定されます。

2 外部マッピングディレクトリサービス（RFC 2307

属性を持つ Active Directory、LDAP、NIS、OneFS ファイルプロバイダー、ローカルプロバイダーなど）に定義されている明示的なUID と GID を持つユーザーは、オンディスク ID として設定されたUNIX ID を持ちます。

3 永続的なマッピングマッピングは、ID マッパーデータベースに永続的に格納されます。 ID

マッパーデータベースに永続的なマッピングを持つ IDは、そのマッピングの宛先をオンディスク ID として使用します。これは主に手動 ID

マッピングで行われます。たとえば、GID：10000 をS-1-5-32-545 に ID マッピングする場合、オンディスクストレージGID：10000 をリクエストするとS-1-5-32-545 が返されます。

4 マッピングなし他のディレクトリサービスや ID データベースを照会しても UIDや GID

が見つからない場合、そのユーザーの SID がオンディスク ID として設定されます。また、ユーザーがNFS経由でファイルにアクセスできるようにするために、OneFSは事前設定された 1,000,000～2,000,000 の範囲から UID とGID を割り当てます。ネイティブオンディスク ID モードでは、OneFS

によって生成される UID またはGIDはオンディスク ID として設定されません。

オンディスク ID のタイプを変更する場合、変換モードで PermissionRepair ジョブを実行し、全ファイルのディスク表現を設定の変更前後で一致させる必要があります。

ID管理

オンディスク ID 165

ID マッピング管理ID マッピングの作成、変更、削除、および ID マッピング設定を行うことができます。

ID マッピングの作成ソース ID とターゲット ID間の手動 ID マッピングを作成するか、ソース ID のマッピングを自動的に生成できます。この処理手順は、コマンドラインインターフェイスを使用した場合にのみ使用できます。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi auth mapping create コマンドを実行します。

次のコマンドは、zone3 アクセスゾーンのソースとターゲットの ID を指定して、ID間の 2方向マッピングを作成します。

isi auth mapping create --2way --source-sid=S-1-5-21-12345 \--target-uid=5211 --zone=zone3

ID マッピングの変更ID マッピングの構成を変更できます。


手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi auth mapping modify コマンドを実行します。

次のコマンドを実行すると、zone3 アクセスゾーンの UID 4236 のユーザーのマッピングが変更され、ソース ID とターゲット ID間に逆の 2方向マッピングが含められます。

isi auth mapping modify --source-uid=4236 \--target-sid=S-1-5-21-12345 --zone=zone3 --2way

ID マッピングの削除1 つ以上の ID マッピングを削除できます。


手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi auth mapping delete コマンドを実行します。

次のコマンドを実行すると、zone3 アクセスゾーンのすべての ID マッピングが削除されます。

isi auth mapping delete --all --zone=zone3

ID管理


次のコマンドを実行すると、自動的に作成された zone3 アクセスゾーン内のすべての ID マッピングが削除され、外部認証ソースの UID または GID が含められます。

isi auth mapping delete --all --only-external --zone=zone3

次のコマンドを実行すると、zone3 アクセスゾーン内の UID 4236 のユーザーの ID マッピングが削除されます。

isi auth mapping delete --source-uid=4236 --zone=zone3

ID マッピングの表示特定の ID のマッピング情報を表示できます。


手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi auth mapping view コマンドを実行します。

次のコマンドを実行すると、zone3 アクセスゾーン内の UID 4236 のユーザーのマッピングが表示されます。

isi auth mapping view --uid=4236 --zone=zone3

次の例のような出力が表示されます。

Name： user_36 On-disk: UID： 4236Unix uid: 4236Unix gid: -100000 SMB: S-1-22-1-4236

ID マッピングキャッシュのフラッシュID マップキャッシュをフラッシュして、すべてまたは特定の ID マッピングのインメモリコピーを削除できます。ID マッピングを変更すると、キャッシュが同期しなくなり、ユーザーの認証時に低速化または停止が生じることがあります。キャッシュをフラッシュして、マッピングを同期できます。この処理手順は、コマンドラインインターフェイスを使用した場合にのみ使用できます。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi auth mapping flush コマンドを実行します。

次のコマンドを実行すると、EMC Isilon クラスター上のすべての ID マッピングがフラッシュされます。

isi auth mapping flush --all

ID管理

ID マッピングの表示 167

次のコマンドを実行すると、zone3 アクセスゾーン内の UID 4236 のユーザーのマッピングがフラッシュされます。

isi auth mapping flush --source-uid-4236 --zone=zone3

ユーザートークンの表示認証時にユーザーに対して生成されたアクセストークンの内容を表示できます。


手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi auth mapping token コマンドを実行します。

次のコマンドを実行すると、zone3 アクセスゾーン内の UID 4236 のユーザーのアクセストークンが表示されます。

isi auth mapping token --uid=4236 --zone=zone3


User Name: user_36 UID: 4236 SID: S-1-22-1-4236 On Disk: 4236ZID: 3Zone: zone3Privileges: -Primary Group Name: user_36 GID: 4236 SID: S-1-22-2-4236 On Disk: 4236

ID マッピング設定の構成UID と GID の自動アロケーションを有効化または無効化したり、各アクセスゾーンの ID値の範囲をカスタマイズしたりできます。デフォルトの範囲は 1000000～2000000 です。


手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi auth settings mapping modify コマンドを実行します。

次のコマンドを実行すると、zone3 アクセスゾーンの UID と GID の両方の自動アロケーションが有効化され、アロケーション範囲が 25000～50000 に設定されます。

isi auth settings mapping modify --gid-range-enabled=yes \--gid-range-min=25000 --gid-range-max=50000 --uid-range-enabled=yes \--uid-range-min=25000 --uid-range-max=50000 --zone=zone3

ID管理


ID マッピング設定の表示各ゾーンの ID マッピングの現在の設定を表示できます。


手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi auth settings mapping view コマンドを実行します。

次のコマンドを実行すると、zone3 アクセスゾーンの現在の設定が表示されます。

isi auth settings mapping view --zone=zone3


GID Range Enabled: Yes GID Range Min: 25000 GID Range Max: 50000UID Range Enabled: Yes UID Range Min: 25000 UID Range Max: 50000

ユーザー IDの管理ユーザー IDは、ユーザーマッピングルールを作成して管理できます。ユーザーマッピングルールを作成する際には、次の情報に留意する必要があります。l ユーザーマッピングルールは、System ゾーンを通じて EMC Isilon に接続している場合にのみ

作成できます。ただし、ユーザーマッピングルールを指定のアクセスゾーンに適用することはできます。指定のアクセスゾーンにユーザーマッピングルールを作成すると、そのルールはそのゾーンのコンテキスト内でのみ適用されます。

l あるノードのユーザーマッピングを変更すると、OneFS によってその変更が他のノードにも適用されます。

l ユーザーマッピングを変更すると、OneFS の認証サービスによってその構成が再ロードされます。

ユーザー ID の表示ユーザーの SID（セキュリティ ID）ヒストリなど、指定ユーザーの Active Directory および LDAP ディレクトリサービス内での IDやグループメンバーシップを表示できます。

この手順は、CLI（コマンドラインインターフェイス）を介して実行する必要があります。

OneFS のユーザーアクセストークンには、Active Directory と LDAP の両 ID の組み合わせが含まれています（両ディレクトリサービスが構成されている場合）。次のコマンドを実行して、特定の各ディレクトリサービスの ID を確認できます。

ID管理

ID マッピング設定の表示 169

手順1. クラスタ内の任意のノードへの SSH接続を確立します。2. Active Directory の ID を確認するには、isi auth users view コマンドを実行しま

す。次のコマンドは、Active Directory のドメインが YORK、ユーザー名が stand の ID を表示します。

isi auth users view --user=YORK\\stand --show-groups


Name: YORK\stand DN: CN=stand,CN=Users,DC=york,DC=hull,DC=example,DC=com DNS Domain: york.hull.example.com Domain: YORK Provider: lsa-activedirectory-provider:YORK.HULL.EXAMPLE.COMSam Account Name: stand UID: 4326 SID: S-1-5-21-1195855716-1269722693-1240286574-591111 Primary Group ID : GID:1000000 Name : YORK\york_sh_udg Additional Groups: YORK\sd-york space group YORK\york_sh_udg YORK\sd-york-group YORK\sd-group YORK\domain users

3. LDAP のユーザー ID を確認するには、isi auth users view コマンドを実行します。次のコマンドは、LDAP ユーザー名が stand の ID を表示します。

isi auth user view --user=stand --show-groups


Name: stand DN: uid=stand,ou=People,dc=colorado4,dc=hull,dc=example,dc=comDNS Domain: - Domain: LDAP_USERS Provider: lsa-ldap-provider:Unix LDAPSam Account Name: stand UID: 4326 SID: S-1-22-1-4326 Primary Group ID : GID:7222 Name : stand Additional Groups: stand sd-group sd-group2

ユーザーマッピングルールの作成ユーザーの ID を管理するためのユーザーマッピングルールを作成できます。

ID管理


手順1. ［Access］ > ［Membership & Roles ］ > ［User Mapping］の順にクリックします。2. ［Current Access Zone］リストから、管理するルールが含まれているアクセスゾーンを選

択し、［Edit User Mapping Rules］をクリックします。

［Edit User Mapping Rules］ダイアログボックスが表示されます。3. ［Create a User Mapping Rule］をクリックします。

［Create a User Mapping Rule］ダイアログボックスが表示されます。4. ［Operation］リストから操作を 1 つ選択します。

選択した操作によっては、［Create a User Mapping Rule］に追加のフィールドが表示されます。

5. 必要に応じて各フィールドに入力します。6. ［Add Rule］をクリックしてルールを保存し、［Edit User Mapping Rules］ダイアログボ

ックスに戻ります。7. リスト内でのルールの位置を変更するには、［User Mapping Rules］領域でルールのタイ

トルバーをクリックし、新しい位置にドラッグします。

ルールはリスト内の順序どおりに適用されます。各ルールが確実に処理されるようにするには、リプレースルールをリストの最初に配置し、許可/拒否ルールをリストの最後に配置します。

8. アクセストークンがデフォルトの UNIX ユーザーに関連づけられていないか、デフォルトのUNIX ユーザーにプライマリ UID または GID がない場合は、次のオプションのいずれか 1 つを選択して認証します。l UID および GID の予約済みの範囲からプライマリの UID または GID を生成するl ユーザーへのアクセスを拒否するl 別のユーザーをデフォルトの UNIX ユーザーとして割り当てる

read-only アクセスを持つ既知のアカウントからのユーザーを割り当てることをお勧めします。


ユーザーマッピングルールのテストユーザーマッピングルールを作成した後に、そのルールをテストして表示されるユーザーのトークンが想定どおりの結果になることを確認できます。手順

1. ［Access］ > ［Membership & Roles ］ > ［User Mapping］の順にクリックします。2. ［Current Access Zones］リストで、テストするルールが含まれているアクセスゾーンを選

択します。3. ［Test User Mapping］領域の［User, Group, or Well-known SID］フィールドで、

ユーザーまたはグループ名もしくは SID の値を入力するか、［Browse］をクリックして選択を行います。

4. ［Test Mapping］をクリックします。

ID管理

ユーザーマッピングルールのテスト 171

トークンの結果は、次のように［Results］セクションに表示されます。

User Name:krb_user_002 UID:1002 SID:S-1-22-1-1001 On disk:1001 ZID:1 Zone:System Privileges:-

Primary Group Name:krb_user_001 GID:1000 SID:S-1-22-2-1001 On disk:1000

Supplemental Identities Name:Authenticated Users GID: - SID:S-1-5-11

Windows と UNIX のトークンのマージ結合演算子または追加演算子のいずれかを使用して、異なる複数のディレクトリサービスのトークンを単一の OneFS ユーザートークンにマージすることができます。

Windows のユーザー名と UNIX のユーザー名がディレクトリサービス間で一致しない場合、結合演算子または追加演算子のいずれかを使用して 2 つのユーザー名をマージして 1 つのトークンにするユーザーマッピングルールを作成することができます。たとえば、ユーザーのWindows ユーザー名が win_bob であり、ユーザーの UNIX ユーザー名が UNIX_bob である場合、2 つの異なるユーザー名のユーザートークンを結合または追加することができます。アカウントを別のアカウントに追加する場合、追加演算子によって 1 つの ID の情報がもう 1 つの IDに追加されます。 OneFSは、オプションで指定されたフィールドを、ソース ID からターゲット ID に追加します。 OneFSは、ID を追加のグループ一覧に追加します。

手順1. ［Access］ > ［Membership & Roles］ > ［User Mapping］の順にクリックします。2. 管理するルールが含まれる［Current Access Zone］を選択し、［Edit User Mapping

Rules］をクリックします。


［Create a User Mapping Rule］ダイアログボックスが表示されます。4. ［Operation］リストから、次のオプションを 1 つ選択します。

オプション説明［Join two userstogether］

新しい ID をトークンに挿入します。

［Append field from auser］

フィールドをトークンに追加することでアクセストークンを変更します。

選択内容によっては、［Create a User Mapping Rule］ダイアログボックスが更新されて追加のフィールドが表示されます。

ID管理


5. 必要に応じてフィールドに入力します。6. ［Add Rule］をクリックします。

ルールはリストされた順に呼び出されます。すべてのルールが確実に処理されるようにするには、リプレースを最初にリストし、許可/拒否ルールを最後にリストします。ルールのタイトルバーをクリックして新しい位置にドラッグすることにより、ルールがリストされる順序を変更できます。


LDAP からプライマリグループを取得LDAP からユーザーのアクセストークンにプライマリグループの情報を挿入するためのユーザーマッピングルールを作成することができます。

デフォルトでは、ユーザーマッピングサービスは、AD と LDAP からの情報を結合しますが、AD からの情報を優先します。ユーザーに対して Active Directory ではなく LDAP のプライマリグループを優先するように、OneFS での情報の結合方法を制御するマッピングルールを作成することができます。手順

1. ［Access］ > ［ Membership & Roles］ > ［ User Mapping］の順にクリックします。2. 管理するルールが含まれる［Current Access Zone］を選択し、［Edit User Mapping

Rules］をクリックします。


［Create a User Mapping Rule］ダイアログボックスが表示されます。4. ［Operation］リストから、［Insert fields from a user］を選択します。

［Create a User Mapping Rule］ダイアログボックスが更新されて追加のフィールドが表示されます。

5. ［Insert Fields into this User］フィールドにデータを入力するには、次のステップを実行します。a.［Browse］をクリックします。

［Select a User］ダイアログボックスが表示されます。b. ユーザーと Active Directory認証プロバイダーを選択します。c.［Search］をクリックして検索結果を表示します。d. ユーザー名を選択し、［Select］をクリックして［Create a User Mapping Rule］ダイアログボックスに戻ります。

2番目のユーザーのプライマリグループが、最初のユーザーのプライマリグループとして挿入されます。

6. ［Insert primary group SID and GID］チェックボックスをオンにします。7. ［Insert Fields from this User］フィールドにデータを入力するには、次のステップを実行

します。

ID管理

LDAP からプライマリグループを取得 173

a.［Browse］をクリックします。

［Select a User］ダイアログボックスが表示されます。b. ユーザーと LDAP認証プロバイダーを選択します。c.［Search］をクリックして検索結果を表示します。d. ユーザー名を選択し、［Select］をクリックして［Create a User Mapping Rule］ダイアログボックスに戻ります。

8. ［Add Rule］をクリックします。

ルールはリストされた順に呼び出されます。各ルールが確実に処理されるようにするには、リプレースをリストの最初に配置し、許可/拒否ルールをリストの最後に配置します。ルールのタイトルバーをクリックして新しい位置にドラッグすることにより、ルールがリストされる順序を変更できます。


マッピングルールのオプションマッピングルールには、アクセストークンのフィールドをターゲットとするオプションを含めることができます。フィールドは、選択するユーザーのプライマリ UID、プライマリユーザー SIDなどのドメイン間のアクセストークンの側面を表します。 OneFS Web管理インターフェイスでフィールドの一部を確認できます。 Web管理インターフェイスの［User］は、ユーザー名と同じです。 isi auth mappingtoken コマンドを実行することで、アクセストークン内のフィールドを確認することもできます。ルールを作成するときは、OneFS が 2 つの ID の側面を単一のトークンにどのように結合するかを処理するオプションを追加できます。たとえば、オプションを使用して、補足グループをトークンに追加することを OneFS に強制できます。マッピングルールを使って、以下のトークンフィールドを操作できます。l username

l unix_name

l primary_uid

l primary_user_sid

l primary_gid

l primary_group_sid

l additional_ids（補足グループを含む）オプションは、ルールが識別情報をトークン内にどのように結合させるかを制御します。 break オプションは例外で、このオプションは、OneFS による追加ルールの処理を停止します。1 つのルールに複数のオプションを適用できますが、演算子によって使用できないオプションがあります。次の表は、各オプションを使用可能な演算子とその結果を示したものです。

オプション演算子説明

user insert、append プライマリ UID とプライマリユーザー SID が存在する場合は、それらをトークンにコピーします。

ID管理


オプション演算子説明

groups insert、append プライマリ GID とプライマリグループSID が存在する場合は、それらをトークンにコピーします。

groups insert、append すべての追加の識別子をトークンにコピーします（この追加の ID にはプライマリ UID、プライマリ GID、プライマリユーザー SID、プライマリグループ SIDは含まれません）。

default_user remove groups以外のすべての演算子

マッピングサービスでは、ルールに2番目のユーザーが見つからなかった場合にデフォルトユーザーのユーザー名が検索されます。デフォルトユーザー名にはワイルドカードは使用できません。コマンドラインインターフェイスでデフォルトユーザーオプションをルールに設定する場合、アンダースコアを使用して指定する必要があります（ default_user）。

break すべての演算子マッピングサービスによる break オプションの挿入ポイントの後にあるルールの適用を停止します。マッピングサービスによって、break ポイントで最終トークンが生成されます。

マッピングルール演算子演算子は、マッピングルールが何を実行するかを決定します。

ユーザーマッピングルールは、Web管理インターフェイス（演算子はリストに示すようにスペルアウトします）またはコマンドラインインターフェイスを使用して作成できます。マッピングルールを OneFS CLI（コマンドラインインターフェイス）を使用して作成する場合は、演算子を記号で指定する必要があります。演算子は、マッピングサービスがルールを処理する方向に影響します。マッピングルールの作成の詳細については、ホワイトペーパー「Managing identitieswith the Isilon OneFS user mapping service」を参照してください。次の表で、マッピングルールで使用できる演算子について説明します。マッピングルールに設定できる演算子は 1 つだけです。

演算子 Web インターフェイス

CLI 方向説明

append ［Append fieldsfrom a user］

++ 左から右フィールドを追加することでアクセストークンを変更します。マッピングサービスは、オプションリスト（ユーザー、グループ、複数のグルー

ID管理

マッピングルール演算子 175


CLI 方向説明

プ）に指定されたフィールドを、ルール内の最初の ID に追加します。フィールドは、ルール内の2番目の ID からコピーされます。追加されたすべての識別子は追加グループリストのメンバーになります。オプションがない追加ルールは、検索操作のみ実行します。トークンを変更するには、オプションを含める必要があります。

insert ［Insert fieldsfrom a user］

+= 左から右フィールドを追加することで既存のアクセストークンを変更します。オプションリスト（ユーザー、グループ、複数のグループ）に指定されたフィールドが新しい ID

からコピーされ、トークン内の ID に挿入されます。ルールがプライマリユーザーまたはプライマリグループを挿入すると、それがトークン内の新しいプライマリユーザーまたはプライマリグループになります。前のプライマリユーザーとプライマリグループは、追加の識別子リストに移動します。プライマリユーザーを変更してもトークンのユーザー名は変更されません。ID から追加のグループを挿入するとき、サービスは、新しいグループを既存のグループに追加します。

ID管理



CLI 方向説明

replace ［Replace oneuser with adifferentuser］

=> 左から右トークンを削除し、第 2 のユーザー名によって識別される新しいトークンに置き換えます。第 2 のユーザー名が空の場合、マッピングサービスはトークン内の最初のユーザー名を削除し、ユーザー名は残らなくなります。トークンにユーザー名が含まれていない場合、OneFSは nosuch user エラーでアクセスを拒否します。

remove groups ［Removesupplementalgroups from auser］

-- 単項補足グループを削除することでトークンを変更します。

join ［Join twouserstogether］

&= 双方向新しい ID をトークンに挿入します。新しい ID が 2番目のユーザーの場合は、既存の ID の後に挿入され、それ以外の場合は既存のID の前に挿入されます。OneFS では、先頭の ID を使用して新しいファイルシステムオブジェクトの所有権を決定するため、既存の ID がすでにリストの先頭にあるときには、挿入ポイントの位置が特に重要になります。

ID管理

マッピングルール演算子 177

ID管理


第 8章

ホームディレクトリ


l ホームディレクトリの概要.......................................................................................180l ホームディレクトリの権限.......................................................................................180l SMB ユーザーの認証...........................................................................................180l SMB によるホームディレクトリの作成......................................................................180l SSH および FTP によるホームディレクトリの作成......................................................184l 混在環境でのホームディレクトリの作成...................................................................187l ACL とモードビットの相互作用.............................................................................. 187l 認証プロバイダーでのデフォルトホームディレクトリの設定........................................... 188l サポートされる拡張変数....................................................................................... 189l ホームディレクトリプロビジョニングでのドメイン変数.....................................................191

ホームディレクトリ 179

ホームディレクトリの概要ローカルユーザーを作成すると、OneFSはそのユーザーのホームディレクトリを自動的に作成します。OneFSは、SMB共有への接続や、FTP または SSH によるログインによってクラスターにアクセスするユーザーのホームディレクトリの動的プロビジョニングにも対応します。ホームディレクトリを作成した方法にかかわらず、SMB、SSH、FTP を組み合わせて、ホームディレクトリへのアクセスを構成できます。

ホームディレクトリの権限ユーザーのホームディレクトリは、Windows ACL または POSIX モードビットで設定でき、これがSynthetic ACL に変換されます。ホームディレクトリを作成する方法によって、ホームディレクトリで設定される初期権限が決まります。ローカルユーザーを作成する場合、ユーザーのホームディレクトリはデフォルトでモードビットで作成されます。外部のソースに対して認証を行うユーザーについては、ログイン時に動的にホームディレクトリを作成するように設定できます。ホームディレクトリが SSH または FTP によるログイン時に作成された場合、モードビットで設定されます。ホームディレクトリが SMB接続時に作成された場合、モードビットまたは ACL のいずれかを受信します。たとえば、LDAP ユーザーが SSH または FTP を使用して初めてログインした場合、ユーザーのホームディレクトリはモードビットで作成されます。同じユーザーが SMB共有を使用して初めて接続した場合は、構成済みの SMB設定によって示される権限でホームディレクトリが作成されます。 --inheritable-path-acl設定が有効な場合はACL が作成され、それ以外の場合はビットモードが使用されます。

SMB ユーザーの認証NT ハッシュを処理できる認証プロバイダーから SMB ユーザーを認証できます。SMBは NTパスワードハッシュを送信して SMB ユーザーの認証を行うため、NT ハッシュを処理可能な認証プロバイダーからのユーザーのみが SMB を介してログインできます。 OneFS がサポートする次の認証プロバイダーが、NT ハッシュを処理できます。l Active Directory

l ローカルl LDAPSAM（Samba拡張機能が有効な LDAP）

SMB によるホームディレクトリの作成SMB共有は、共有パスに拡張変数を含めることで作成できます。拡張変数により、ユーザーは共有に接続してホームディレクトリにアクセスできます。また、SMB接続時に存在しないホームディレクトリの動的なプロビジョニングを有効にできます。

共有権限は、基になるファイルシステム権限がチェックされる前にファイルのアクセス時にチェックされます。これらの権限のいずれも、ファイルまたはディレクトリへのアクセスを阻止できます。



拡張変数を使用したホームディレクトリの作成拡張変数を使用して構成を設定し、SMB共有のホームディレクトリを作成できます。

SMB経由で EMC Isilon クラスターにアクセスする場合、ホームディレクトリは SMB共有経由でアクセスします。拡張変数構文を使用したパスを使用して構成を設定し、ユーザーがホームディレクトリ共有に接続できるようにします。

ホームディレクトリ共有パスは、/ifs/で始まる必要があり、ホームディレクトリ SMB共有が作成されるアクセスゾーンのルートパス内に存在する必要があります。

次のコマンドでは、--allow-variable-expansion オプションが有効化されて、%U をユーザー名に展開する必要があることを示しています（この例では user411）。 --auto-create-directory オプションを有効にすると、ディレクトリが存在しない場合にディレクトリが作成されます。

isi smb shares create HOMEDIR --path=/ifs/home/%U \ --allow-variable-expansion=yes --auto-create-directory=yes isi smb shares permission modify HOMEDIR --wellknown Everyone \ --permission-type allow --permission full isi smb shares view HOMEDIR


Share Name： HOMEDIR Path: /ifs/home/%U Description: Client-side Caching Policy: manualAutomatically expand user names or domain names: TrueAutomatically create home directories for users: True Browsable: TruePermissions:Account Account Type Run as Root Permission Type Permission------------------------------------------------------------Everyone wellknown False allow full ------------------------------------------------------------Total: 1...

user411 が net use コマンドで共有に接続した場合、ユーザーのホームディレクトリは/ifs/home/user411 に作成されます。user411 のWindows クライアントで、net usem:コマンドはHOMEDIR共有を通じて/ifs/home/user411 を接続します。

net use m: \\cluster.company.com\HOMEDIR /u:user411

手順1. 次のコマンドを--allow-variable-expansion オプションを有効にしてクラスター上で実行します。 %U拡張変数によりユーザー名に拡張され、--auto-create-directory オプションが有効化されて、ディレクトリが存在しない場合にディレクトリが作成されます。

isi smb shares create HOMEDIR --path=/ifs/home/%U \ --allow-variable-expansion=yes --auto-create-directory=yes isi smb shares permission modify HOMEDIR --wellknown Everyone


拡張変数を使用したホームディレクトリの作成 181

\ --permission-type allow --permission full

2. 次のコマンドを実行してホームディレクトリの設定を表示します。

isi smb shares view HOMEDIR


Share Name： HOMEDIR Path: /ifs/home/%U Description: Client-side Caching Policy: manualAutomatically expand user names or domain names: TrueAutomatically create home directories for users: True Browsable: TruePermissions:Account Account Type Run as Root Permission Type Permission------------------------------------------------------------Everyone wellknown False allow full ------------------------------------------------------------Total: 1...

user411 が net use コマンドで共有に接続した場合、user411 のホームディレクトリは/ifs/home/user411 に作成されます。user411 のWindows クライアントで、netusem:コマンドは HOMEDIR共有を通じて/ifs/home/user411 を接続し、次の例のように接続をマッピングします。

net use m: \\cluster.company.com\HOMEDIR /u:user411

--inheritable-path-acl オプションでのホームディレクトリの作成共有で--inheritable-path-acl オプションを有効にすることで、親ディレクトリに継承可能な ACL がある場合は共有パスで継承するように指定できます。

はじめにほとんどの構成タスクを実行するには、SecurityAdmin役割のメンバーとしてログオンする必要があります。デフォルトで、SMB共有のディレクトリパスは、モードビットに基づいて Synthetic ACL を使用して作成されます。 --inheritable-path-acl オプションを有効にすることによって、共有作成時に、または動的にプロビジョニングされる共有の場合は共有への接続時に、作成されるすべてのディレクトリで継承可能な ACL を使用できます。

手順1. クラスターの共有に最初に接続した際にユーザーのホームディレクトリを動的にプロビジョニングする、クラスターの--inheritable-path-acl オプションを有効にするには、次の例に似たコマンドを実行します。

isi smb shares create HOMEDIR_ACL --path=/ifs/home/%U \ --allow-variable-expansion=yes --auto-create-directory=yes



\ --inheritable-path-acl=yes

isi smb shares permission modify HOMEDIR_ACL \ --wellknown Everyone \ --permission-type allow --permission full

2. user411 のホームディレクトリをマッピングするには、Windows クライアントで次の例に似たnet use コマンドを実行します。

net use q: \\cluster.company.com\HOMEDIR_ACL /u:user411

3. user411共有の継承された ACL権限を表示するには、クラスター上で次の例に似たコマンドを実行します。

cd /ifs/home/user411ls -lde .


drwx------ + 2 user411 Isilon Users 0 Oct 19 16:23 ./ OWNER: user:user411 GROUP: group:Isilon Users CONTROL:dacl_auto_inherited,dacl_protected 0: user:user411 allow dir_gen_all,object_inherit,container_inherit

SMB共有%U変数での特別なホームディレクトリの作成特別な SMB共有名%U により、ユーザーの名前と同じように表示されるホームディレクトリ SMB共有を作成できます。%U SMB共有は通常、%U拡張変数を含む共有パスを使用して設定します。ユーザーがログイン名と一致する共有に接続を試行したものの、共有が存在しない場合、ユーザーは代わりに%U共有に接続し、%U共有の拡張されたパスに送られます。

ユーザーの名前に一致する別の SMB共有が存在する場合、ユーザーは%U共有ではなく明示的な名前の付いた共有に接続します。

手順1. 次のコマンドを実行して、ユーザーが共有に接続する際の認証されるユーザーログイン名と一致する共有を作成します。

isi smb share create %U /ifs/home/%U \ --allow-variable-expansion=yes --auto-create-directory=yes \ --zone=System

このコマンドを実行すると、ユーザー Zachary には「%U」ではなく「zachary」という名前の共有が表示され、Zachary が共有「zachary」への接続を試行すると、/ifs/home/


SMB共有%U変数での特別なホームディレクトリの作成 183

zachary に送られます。 Windows クライアントで、Zachary が次のコマンドを実行すると、/ifs/home/zachary ディレクトリのコンテンツが表示されます。

net use m: \\cluster.ip\zachary /u:zachary cd m:dir

同様に、ユーザー Claudia がWindows クライアントで次のコマンドを実行すると、/ifs/home/claudia ディレクトリのコンテンツが表示されます。

net use m: \\cluster.ip\claudia /u:claudia cd m: dir

Zachary と Claudiaは互いのホームディレクトリを表示できません。共有「zachary」はZachary にのみ存在し、共有「claudia」は Claudia にのみ存在するからです。

SSHおよび FTP によるホームディレクトリの作成認証プロバイダーの設定を変更することによって、SSH または FTP を使用してクラスターにアクセスするユーザーに対するホームディレクトリのサポートを構成できます。

SSH または FTP ログインシェルの設定--login-shell オプションを使用すると、ユーザーのデフォルトのログインシェルを設定できます。

デフォルトでは、--login-shell オプションを指定すると、すべての認証プロバイダー（ActiveDirectory を除く）によって提供されるログインシェル情報が上書きされます。Active Directory では、--login-shell を指定すると、Active Directory サーバによってログインシェル情報が提供されない場合のデフォルトのログインシェルを表します。

次の例では、ログインシェルを/bin/bash に設定しています。シェルを/bin/rbash に設定することもできます。

手順1. すべてのローカルユーザーのログインシェルを/bin/bash に設定するには、次のコマンドを実行します。

isi auth local modify System --login-shell /bin/bash

2. ドメイン内のすべての Active Directory ユーザーのデフォルトのログインシェルを/bin/bash に設定するには、次のコマンドを実行します。

isi auth ads modify YOUR.DOMAIN.NAME.COM --login-shell /bin/bash



SSH/FTP ホームディレクトリ権限の設定umask値を設定することにより、SSH または FTP を使用してアクセスされるホームディレクトリのホームディレクトリ権限を指定できます。

はじめにほとんどの構成タスクを実行するには、SecurityAdmin役割のメンバーとしてログオンする必要があります。ユーザーのホームディレクトリが SSH または FTP によるログイン時に作成されるときは、POSIX モードビットを使用して作成されます。ユーザーのホームディレクトリの権限は 0755 に設定されていますが、その後権限を制限するためにユーザーのアクセスゾーンの umask設定によってマスキングされます。ゾーンの umask設定は、--home-directory-umask オプションの umask値に 8進値を指定して変更できます。手順

1. umask設定を表示するには、次のコマンドを実行します。

isi zone zones view System


Name: System Path: /ifs Groupnet: groupnet0 Map Untrusted: - Auth Providers: lsa-local-provider:System, lsa-file-provider:System NetBIOS Name: - User Mapping Rules: - Home Directory Umask: 0077 Skeleton Directory: /usr/share/skel Cache Entry Expiry: 4H Negative Cache Entry Expiry: 1m Zone ID: 1

コマンドの結果より、作成されたホームディレクトリの Home Directory Umask のデフォルト設定は［0700］であり、(［0755］ & ~(［077］))と同じです。ゾーンの HomeDirectory Umask設定は、--home-directory-umask オプションの umask値に 8進値を指定して変更できます。この値は無効にする権限を示し、マスクにより大きな値を設定すると権限がより小さくなります。たとえば、umask値に［000］または［022］を指定すると作成されたホームディレクトリの権限が［0755］になり、umask値に［077］を指定すると作成されたホームディレクトリの権限が［0700］になります。

2. グループまたはその他によるホームディレクトリでの書き込み権限や実行権限を許可するには、次の例に似たコマンドを実行します。

isi zone zones modify System --home-directory-umask=022

この例でユーザーのホームディレクトリは、マスク解除されたフィールドでマスクされたモードビット［0755］で作成され、値は［022］に設定されます。したがって、ユーザーのホームディレクトリは、モードビット［0755］（（［0755］ & ~（［022］）と同等）で作成されます。


SSH/FTP ホームディレクトリ権限の設定 185

SSH/FTP ホームディレクトリ作成オプションの設定認証プロバイダーのオプションを指定することによって、SSH または FTP を使用してクラスターにアクセスするユーザーに対するホームディレクトリのサポートを構成できます。手順

1. 次のコマンドを実行すると、クラスター上の Active Directory認証プロバイダーの設定が表示されます。

isi auth ads list


Name Authentication Status DC Name Site ---------------------------------------------------------YOUR.DOMAIN.NAME.COM Yes online - SEA---------------------------------------------------------Total: 1

2. --create-home-directory オプションと--home-directory-template オプションを指定して、isi auth ads modify コマンドを実行します。

isi auth ads modify YOUR.DOMAIN.NAME.COM \--home-directory-template=/ifs/home/ADS/%D/%U \--create-home-directory=yes

3. --verbose を指定して isi auth ads view コマンドを実行します。次の例のような出力が表示されます。

Name： YOUR.DOMAIN.NAME.COM NetBIOS Domain: YOUR ... Create Home Directory: Yes Home Directory Template: /ifs/home/ADS/%D/%U Login Shell: /bin/sh

4. id コマンドを実行します。次の例のような出力が表示されます。

uid=1000008(<your-domain>\user_100) gid=1000000(<your-domain>\domain users) groups=1000000(<your-domain>\domain users),1000024(<your-domain>\c1t),1545(Users)

5. (オプション) この情報を外部 UNIX ノードから確認するには、外部 UNIX ノードで ssh コマンドを実行します。たとえば、次のコマンドを実行すると、以前に存在していなかった場合に/ifs/home/ADS/［<your-domain>］/user_100 が作成されます。

ssh <your-domain>\\[email protected]

ドットファイルを使用したホームディレクトリのプロビジョニングドットファイルを使用してホームディレクトリをプロビジョニングできます。



はじめにほとんどの構成タスクを実行するには、SecurityAdmin役割のメンバーとしてログオンする必要があります。skeleton ディレクトリはデフォルトで/usr/share/skel にあり、ローカルユーザーが作成されるとき、またはログイン時にユーザーのホームディレクトリが動的に作成されるときに、ユーザーのホームディレクトリにコピーされるファイルセットが含まれています。 dot.で始まる、skeleton ディレクトリ内のファイルは、ユーザーのホームディレクトリにコピーされるときに、名前が変更されて dot プレフィックスが削除されます。たとえば、dot.cshrcは、ユーザーのホームディレクトリに.cshrc としてコピーされます。この形式により、skeleton ディレクトリのドットファイルはコマンドラインインターフェイスを使用して表示できます。ls-a コマンドは必要ありません。ドットファイルでプロビジョニングされたホームディレクトリを使用する可能性のある SMB共有の場合、SMB を使用して共有に接続するユーザーが、ドットファイルを表示しないようにするオプションを設定できます。手順

1. System アクセスゾーンにデフォルトの skeleton ディレクトリを表示するには、次のコマンドを実行します。

isi zone zones view System


Name： System... Skeleton Directory: /usr/share/skel

2. デフォルトの skeleton ディレクトリを変更するには、isi zone zones modify コマンドを実行します。次のコマンドを実行すると、アクセスゾーンにあるデフォルトの skeleton ディレクトリ（/usr/share/skel）が変更されます。ここで、Systemは［<zone>］オプションの値、/usr/share/skel2は［<path>］オプションの値です。

isi zone zones modify System --skeleton-directory=/usr/share/skel2

混在環境でのホームディレクトリの作成ユーザーが SMB と SSH の両方を使用してログインする場合、SMB共有と、SSH を使用してユーザーの認証を行う各認証プロバイダーとの間で、パステンプレートが同じになるように、ホームディレクトリを設定することを推奨します。

ACL とモードビットの相互作用ホームディレクトリの設定は、ユーザーの認証方法や、ホームディレクトリの作成を指定するオプションなど、複数の要因によって決まります。ユーザーのホームディレクトリは、ACL または POSIX モードビットで設定でき、これが SyntheticACL に変換されます。ローカルユーザーのディレクトリはローカルユーザーが作成されるときに作成され、デフォルトでは POSIX モードビットによって設定されます。ディレクトリは、外部ソースで認証するユーザーに対して、また場合によってはファイルプロバイダーで認証するユーザーに対して、ログイ


混在環境でのホームディレクトリの作成 187

ン時に動的にプロビジョニングできます。この場合、ホームディレクトリはユーザーの最初のログイン方法に従って作成されます。たとえば、LDAP ユーザーが SSH または FTP を使用して初めてログインし、ユーザーのホームディレクトリが作成される場合、ホームディレクトリは POSIX モードビットで作成されます。同じユーザーが SMB ホームディレクトリ共有を使用して初めて接続する場合は、SMB のオプション設定に従ってホームディレクトリが作成されます。 --inherited-path-acl が有効な場合は、ACL が生成されます。それ以外の場合は、POSIX モードビットが使用されます。

認証プロバイダーでのデフォルトホームディレクトリの設定ホームディレクトリの設定方法に影響するデフォルト設定は、ユーザーが認証を行う認証プロバイダーによって異なります。

認証プロバイダーホームディレクトリホームディレクトリの作成

UNIX ログインシェル

ローカル l --home-directory-template=/ifs/home/%U

l --create-home-directory=

［yes］l --login-

shell=/bin/sh

有効 /bin/sh

ファイル l --home-directory-template=［""］


［no］

無効なし

Active Directory l --home-directory-template=/ifs/home/%D/%U


［no］l --login-

shell=/bin/sh

使用可能な場合、プロバイダー情報でこの値を上書きします。

無効 /bin/sh



認証プロバイダーホームディレクトリホームディレクトリの作成

UNIX ログインシェル

LDAP l --home-directory-template=［""］


［no］

無効なし

NIS l --home-directory-template=［""］


［no］

無効なし

サポートされる拡張変数SMB共有パスまたは認証プロバイダーのホームディレクトリテンプレートに拡張変数を組み込むことができます。OneFS では次の拡張変数がサポートされます。拡張変数を持つ共有を構成すると、パフォーマンスを向上させ、管理する共有数を減少させることができます。たとえば、各ユーザーに共有を作成する代わりに、共有のための%U変数を使用できます。各ユーザーのパスが異なるように名前に%U を使用すると、各ユーザーは自分のホームディレクトリのみを表示してアクセスできるので、セキュリティは確保されます。

Web管理インターフェイスを介して SMB共有を作成する場合、［Allow Variable Expansion］チェックボックスを選択する必要があります。選択しないと、文字列がシステムにより文字どおりに解釈されます。

変数値説明

%U ユーザー名（例：user_001）ユーザー名に展開し、異なるユーザーが異なるホームディレクトリを使用できるようにします。この変数は通常、パスの末尾に組み込まれます。たとえば、ユーザー user1 の場合、パス/ifs/home/%Uは/ifs/home/user1 にマップします。

%D NetBIOS ドメイン名（例：YORK.EAST.EXAMPLE.COM

に対する YORK）

認証プロバイダーに基づいて、ユーザーのドメイン名に展開します。l Active Directory ユーザー

の場合、%Dは Active


サポートされる拡張変数 189

変数値説明

Directory の NetBIOS名に展開します。

l ローカルユーザーの場合、%Dは大文字のクラスター名に展開します。たとえば、cluster1 というクラスターの場合、%Dは CLUSTER1 に展開します。

l System ファイルプロバイダーのユーザーの場合、%DはUNIX_USERS に展開します。

l その他のファイルプロバイダーのユーザーの場合、%DはFILE_USERS に展開します。

l LDAP ユーザーの場合、%D

は LDAP_USERS に展開します。

l NIS ユーザーの場合、%DはNIS_USERS に展開します。

%Z ゾーン名（例：ZoneABC）アクセスゾーン名に展開します。複数のゾーンがアクティブの場合、この変数は別々のゾーンのユーザーの区別に便利です。たとえば、System ゾーンのユーザー user1

の場合、パス/ifs/home/%Z/%Uは/ifs/home/System/user1 にマップします。

%L ホスト名（小文字のクラスターホスト名）

小文字に正規化されたクラスターのホスト名に展開します。使用は制限されます。

%0 ユーザー名の最初の文字ユーザー名の最初の文字に展開します。

%1 ユーザー名の 2番目の文字ユーザー名の 2番目の文字に展開します。

%2 ユーザー名の 3番目の文字ユーザー名の 3番目の文字に展開します。

ユーザー名が 3文字より少ない場合、%0、%1、%2 の変数は順に文字の送り込みが行われます。たとえば、ユーザー ab の場合、変数はそれぞれ a、b、a にマップします。ユーザー a の場合は、3 つの変数すべてが a にマップします。



ホームディレクトリプロビジョニングでのドメイン変数ホームディレクトリをプロビジョニングするとき、ドメイン変数を使用して認証プロバイダーを指定できます。ドメイン変数（%D）は、通常は Active Directory ユーザーに使用されますが、他の認証プロバイダーに使用できる値セットも備えています。 %Dはさまざまな認証プロバイダーに対して次の表に示すように展開されます。

認証されるユーザー %D の展開

Active Directory ユーザー

Active Directory NetBIOS名（例：プロバイダーYORK.EAST.EXAMPLE.COM に対する YORK）。

ローカルユーザーすべて大文字のクラスター名（例：クラスター名がMyCluster の場合、%D によってMYCLUSTER に展開）。

ファイルユーザー l UNIX_USERS（システムファイルプロバイダーの場合）l FILE_USERS（他のすべてのファイルプロバイダーの場合）

LDAP ユーザー LDAP_USERS（すべての LDAP認証プロバイダーの場合）

NIS ユーザー NIS_USERS（すべての NIS認証プロバイダーの場合）


ホームディレクトリプロビジョニングでのドメイン変数 191

第 9章

データアクセス制御


l データアクセス制御の概要.................................................................................... 194l ACL.................................................................................................................. 194l UNIX権限.........................................................................................................195l 権限が混在する環境........................................................................................... 195l アクセス権限の管理............................................................................................. 196

データアクセス制御 193

データアクセス制御の概要OneFS では、誰がアクセス権を持つかを制御する 2 つのタイプの権限データがファイルとディレクトリに対してサポートされます。 Windows の ACL（アクセスコントロールリスト）と POSIX モードビット（UNIX の権限）があります。ユーザーの環境を最適にサポートするために、デフォルトの ACL とUNIX の権限をカスタマイズできるようにするためのグローバルポリシー設定を構成できます。OneFS ファイルシステムは、UNIX権限をデフォルトとしてインストールされます。 Windows エクスプローラーまたは OneFS の管理ツールを使用することで、ファイルまたはディレクトリに ACL を適用できます。一般に、SMB経由で作成されるファイルや ACL があるディレクトリに作成されるファイルには、ACL が適用されます。ファイルが ACL を受け取ると、OneFSはファイルのモードビットの適用を停止します。モードビットは、アクセス制御ではなくプロトコルの互換性のみを目的として提供されます。OneFSは、統合セキュリティモデルにより、NFS（ネットワークファイルシステム）と SMB（サーバーメッセージブロック）においてマルチプロトコルデータアクセスをサポートします。ユーザーには、Windows ファイル共有のための SMB を使用している場合でも、UNIX ファイル共有のための NFSを使用している場合でも、ファイルに対して同じアクセス権が許可または拒否されます。NFS により、Linux および UNIX クライアントは、Windows または SMB ユーザーが作成したサブディレクトリを含め、任意のサブディレクトリをリモートでマウントできます。 Linux および UNIX クライアントは、OneFS管理者が作成した ACL保護されたサブディレクトリをマウントすることもできます。 SMBは、UNIX および Linux システムによって格納されたファイル、ディレクトリ、他のファイルシステムリソースへのアクセス権をWindows ユーザーに提供します。 Windows ユーザーに加えて、ACLはローカル、NIS、LDAP ユーザーに影響することがあります。デフォルトでは、OneFSはクライアントのオペレーティングシステムやユーザーの ID管理システム、ファイル共有プロトコルにかかわらず、同じファイル権限を保持します。ファイルの権限を ACL からモードビットに変換する必要がある場合、またはモードビットから ACL に変換する必要がある場合、OneFSは両者の権限を最適な表現にマージし、ユーザーの期待とファイルのセキュリティについて独自のバランスが取れるようにします。

ACLWindows環境では、ファイルとディレクトリの権限（アクセス権と呼びます）は ACL（アクセスコントロールリスト）で定義されます。 ACLはモードビットよりも複雑ですが、ACLはより詳細なアクセスルールのセットを表現できます。 OneFSは、Windows ACL に一般的に関連づけられているACL処理ルールをチェックします。Windows ACL には、ゼロ個以上の ACE（アクセスコントロールエントリー）が含まれています。それぞれの ACEは、被信頼者としてのユーザーまたはグループの SID（セキュリティ識別子）を表します。 OneFS では、UID、GID、SID を被信頼者とする ACE を ACL に含めることができます。各ACE には、ファイルまたはフォルダーへのアクセスを許可または拒否する権限が格納されています。ACE には、子フォルダーとファイルが ACE を継承するかどうかを指定する継承フラグをオプションで含めることができます。

モードビットで使用できる標準的な 3種類の権限の代わりに、ACL には 32 ビットの詳細なアクセス権があります。そのうちの上位 16 ビットが一般的なものであり、すべてのオブジェクトタイプに適用されます。下位の 16 ビットはファイルとディレクトリによって異なりますが、ほとんどのアプリケーションがファイルとディレクトリに同じビットを適用する方法で定義されています。



指定の被信頼者に権限を付与するかアクセスを拒否します。拒否 ACE を使用してユーザーのアクセスを明示的にブロックするか、ある権限を許可する ACE の中にユーザーが直接（またはグループを通じて間接的に）現れないようにすることで、アクセスを暗黙的にブロックすることもできます。

UNIX権限UNIX環境では、ファイルとディレクトリのアクセスは POSIX モードビットで制御されます。これは、読み取り、書き込み、実行権限を所有者ユーザー、所有者グループ、その他全員に許可するものです。OneFS では、UNIX の標準的なツールである ls、chmod、chown による権限の表示と変更をサポートしています。詳細については、man ls、man chmod、man chown の各コマンドを実行してください。すべてのファイルに 16個の権限ビットが含まれており、ファイルまたはディレクトリのタイプと権限に関する情報を提供します。下位 9 ビットは、トリプルと呼ばれる 3個の 3 ビットセットとしてグループ化されており、各ユーザークラス（所有者、グループ、その他）に対する読み取り、書き込み、実行（rwx）権限が格納されています。権限フラグを設定して、これらの各クラスに対する権限を許可できます。ユーザーが root でない限り、OneFSはクラスを使用してファイルに対するアクセスを許可するか拒否するかを決定します。クラスは重複しないため、一致した最初のクラスが適用されます。そのため、権限が少なくなる順序で権限を許可するのが一般的です。

権限が混在する環境ファイル操作でオブジェクトの許可データが必要な場合（例：NFS経由での ls-l コマンドや、SMB経由のWindows エクスプローラーでの［Properties］ダイアログボックスの［Security］タブ）、OneFSはそのデータを要求された形式で提供しようとします。UNIX システムとWindowsシステムが混在する環境では、ファイル作成、セキュリティ設定、セキュリティ取得、アクセス操作を実行するときに、何らかの変換が必要な場合があります。

Windows で作成されたファイルの NFS アクセスファイルに、所有ユーザーまたはグループ（SID）が含まれている場合、システムは、呼び出し側に返す前に、対応する UID または GID にマッピングしようとします。UNIX では、ファイルに対して stat(2)を呼び出し、所有者、グループ、モードビットを調べることで許可データが取得されます。 NFSv3 での GETATTR コマンドも同様に機能します。システムは、ファイルの ACL が変化するときに、ファイルに対してモードビットを近似して設定します。モードビットの近似が必要なのは、これらの呼び出しを処理するためだけです。

SID から UID へと、SID から GID へのマッピングは、OneFS ID マッパーと stat キャッシュの両方にキャッシュされます。マッピングが最近変更された場合、ファイルが更新されるかキャッシュがフラッシュされるまで、不正確な情報が報告される可能性があります。

UNIX で作成されたファイルへの SMB アクセスファイルの ACL を作成するときには、UID から SID または GID から SID へのマッピングは行われません。すべての UID と GIDは、ACL が返されるときに SID またはプリンシパルに変換されます。


UNIX権限 195

OneFSは 2段階のプロセスを使用して、所有者の SID とオブジェクトのプライマリグループが含まれているセキュリティディスクリプタを返します。

1. 現在のセキュリティディスクリプタは、ファイルから取得されます。ファイルに DACL（任意のアクセスコントロールリスト）がない場合、ファイルの下位 9個のモードビットから Synthetic ACL が作成されます。これは、3組（所有者、グループ、全員）の権限トリプルに分割されます。モードビットの詳細については、UNIX権限のトピックを参照してください。

2. 各トリプルについて 2個の ACE（アクセスコントロールエントリー）が作成されます。許可 ACEには、権限に従って許可される対応する権利が含まれており、拒否 ACE には、拒否される対応する権利が含まれています。どちらの場合にも、ACE の被信頼者は、ファイル所有者、グループ、全員に対応します。すべての ACE が生成された後、不要な ACEは Synthetic ACLが返される前に削除されます。

アクセス権限の管理ID および権限の内部表現には、UNIX ソース、Windows ソース、または両方からの情報を含めることができます。アクセスプロトコルはこれらのソースのうちいずれか 1個しか情報を処理できないため、システムではプロトコルが処理可能な形式で情報を示すように近似化が必要になる場合があります。

予期されるユーザー権限の表示ファイルやディレクトリへのユーザーアクセスの予期される権限を表示できます。

この手順は、CLI（コマンドラインインターフェイス）を介して実行する必要があります。

手順1. クラスター内の任意のノードへの SSH接続を確立します。2. 予期されるユーザー権限を表示するには、isi auth access コマンドを実行します。

次のコマンドは、［<username>］の代わりに指定したユーザーの権限を/ifs/に表示します。

isi auth access <username> /ifs/


User Name : <username> UID : 2018 SID : SID:S-1-5-21-2141457107-1514332578-1691322784-1018 File Owner : user:root Group : group:wheel Mode : drwxrwxrwx Relevant Mode : d---rwx--- Permissions Expected : user:<username> \ allow dir_gen_read,dir_gen_write,dir_gen_execute,delete_child

3. ユーザーのモードビットの権限を表示するには、isi auth access コマンドを実行します。



次のコマンドは、［<username>］の代わりに指定した冗長モードのファイル権限情報を/ifs/に表示します。

isi auth access <username> /ifs/ -v


User Name : <username> UID \: 2018 SID : SID:S-1-5-21-2141457107-1514332578-1691322784-1018 File Owner : user:root Group : group:wheel Mode : drwxrwxrwx Relevant Mode : d---rwx--- Permissions Expected : user:<username>allow dir_gen_read,dir_gen_write,dir_gen_execute,delete_child

4. ユーザーのファイルに対する予期される ACL ユーザー権限を表示するには、isi authaccess コマンドを実行します。次のコマンドは、［<username>］の代わりに指定したユーザーのファイルfile_with_acl.tx に対する冗長モードの ACL ファイル権限を/ifs/data/に表示します。

isi auth access <username> /ifs/data/file_with_acl.tx -v


User Name : <username> \UID : 2097 SID : SID:S-1-7-21-2141457107-1614332578-1691322789-1018 File Owner : user:<username> Group : group:wheel Permissions Expected : user:<username> allow file_gen_read,file_gen_write,std_write_dac Relevant Acl: group:<group-name> Users allow file_gen_read user:<username> allow std_write_dac,file_write,append,file_write_ext_attr,file_write_attr group:wheel allow file_gen_read,file_gen_write

アクセス管理設定の構成デフォルトのアクセス設定には、SMB接続の NTLMv2応答を送信するかどうか、ディスク上に格納する ID タイプ、ローカルモードでの実行時に使用するWindows ワークグループ名、ユーザー名およびグループ名内に出現するスペース用の文字代替があります。手順

1. ［Access］ > ［Settings］の順にクリックします。2. 必要に応じて、次の設定を行います。

オプション説明Send NTLMv2 NTLM互換の認証情報を持つ SMB クライアントに、NTLMv2応

答のみを送信するかどうかを指定します。On-DiskIdentity

ディスクに格納する優先 ID を制御します。OneFS で ID を適した形式に変換できない場合は、そのまま格納されます。この設定は、現在ディスクに格納されている ID には影響しません。次のいずれかの設定を選択します。


アクセス管理設定の構成 197

オプション説明

native

OneFS でディスクに格納する ID を決定できます。推奨される設定です。

unix

受信した UNIX識別子（UID および GID）を常にディスクに格納します。

sid

UNIX識別子から SID が生成された場合を除き、受信したWindows SID（セキュリティ識別子）をディスクに格納します。この場合、それを UNIX識別子に変換して戻し、ディスクに格納します。

Workgroup NetBIOS ワークグループを指定します。デフォルト値は［WORKGROUP］です。

SpaceReplacement

ユーザー名およびグループ名内のスペースの解析が難しいクライアントの場合、代替文字を指定します。

3. ［Save］をクリックします。

必要条件オンディスク ID の選択を変更した場合は、潜在的な権限エラーを防ぐため、修復タイプの［Convert］とともに PermissionRepair ジョブを実行することを推奨します。詳細については、「PermissionRepair ジョブの実行」セクションを参照してください。

ACL ポリシー設定の変更ACL ポリシー設定を変更することができますが、デフォルトの ACL ポリシー設定は、ほとんどのクラスター環境用として十分な内容です。

ACLポリシーによって、システム全体で権限の動作が変わるため、これらのポリシーは必要な場合のみ、Windows ACLの高度な知識を持った、経験の豊富な管理者が変更する必要があります。これは、クラスターの環境に関係なく適用される高度な設定の場合は特にそうです。

UNIX、Windows、バランス環境では、最適な権限ポリシー設定が選択され、それを変更することはできません。ただし、特定の環境をサポートするために必要な場合は、クラスターのデフォルト権限設定を手動で構成することを選択できます。手順

1. ［Access］ > ［ACL Policy Settings］をクリックします。2. ［Environment］領域で、ご使用の環境に最も近いオプションを選択するか、［Custom

environment］を選択して個々の権限ポリシーを構成します。3. ［Custom environment］オプションを選択した場合、必要に応じて［General ACL

Settings］領域で設定を行います。4. ［Advanced ACL Settings］領域で、必要に応じて設定を行います。



ACL ポリシーの設定使用可能な設定オプションを選択して、ACL（アクセス制御リスト）のポリシーを構成できます。

環境選択した環境に応じて、システムが自動的にその環境に最適な［General ACL Settings］と［Advanced ACL Settings］のオプションを選択します。また、一般設定と高度な設定を手動で構成するオプションもあります。Balanced

Isilon クラスターの権限を、UNIX とWindows の混在環境で動作できるようにします。この設定は、ほとんどの Isilon クラスター配置で推奨されます。

UNIX only

EMC Isilon クラスターの権限を、Windows のセマンティックではなく、UNIX のセマンティックで動作できるようにします。このオプションを有効化することによって、システムで ACL が作成されないようにします。

Windows only

Isilon クラスターの権限を、UNIX のセマンティックではなく、Windows のセマンティックで動作できるようにします。このオプションを有効化すると、UNIX chmod要求でシステムがエラーを返します。

お客様の環境［General ACL Settings］オプションと［Advanced ACL Settings］オプションを構成できるようにします。

General ACL Settings

ACL Creation Through SMB

SMB経由で ACL の作成を許可するか拒否するかを指定します。以下のいずれかを選択してください。［Do not allow ACLs to be created through SMB ］

クラスターでの ACL の作成を禁止します。

［Allow ACLs to be created through SMB］クラスターでの ACL の作成を許可します。

システム上の継承可能な ACLは、この設定よりも優先されます。フォルダーで継承可能なACL が設定されている場合、そのフォルダーで作成される新しいファイルおよびフォルダーは、そのフォルダーの ACL を継承します。この設定を無効にすると、現在ファイルで設定されているACL が削除されます。既存の ACL をクリアする場合は、chmod -b ［<mode>］［<file>］コマンドを実行して ACL を削除し、正しい権限を設定します。

Use the chmod Command On Files With Existing ACLs

ローカルまたは NFS経由で ACL を使用して、chmod操作をファイルで開始した場合の権限の処理方法を指定します。この設定では、File System Explorerなど、UNIX権限に影響するすべての要素を制御します。このポリシー設定を有効にしても、chmod操作が、ACLを持たないファイルに与える影響には変わりありません。以下のいずれかを選択してください。


ACL ポリシーの設定 199

［Remove the existing ACL and set UNIX permissions instead ］chmod操作の場合、既存の ACL があれば削除し、代わりに chmod権限を設定します。Windows から設定する権限が必要ない場合のみ、このオプションを選択します。

［Remove the existing ACL and create an ACL equivalent to the UNIXpermissions］

新しいWindows ACL に UNIX権限を格納します。Windows権限を削除しても、ファイルには Synthetic ACL を持たせない場合のみ、このオプションを選択します。

［Remove the existing ACL and create an ACL equivalent to the UNIXpermissions, for all users/groups referenced in old ACL］

古い ACL によって参照されるユーザーとグループに対してのみ、新しいWindows ACLに UNIX の権限を格納します。Windows権限を削除しても、ファイルには SyntheticACL を持たせない場合のみ、このオプションを選択します。

［Merge the new permissions with the existing ACL］chmod によって適用される権限を既存の ACL にマージします。各 ID の ACE（所有者、グループ、すべてのユーザー）は変更または作成されますが、その他のすべての ACEは変更されません。Windows ユーザーが引き続き、適切な権限を継承できるように、継承可能な ACE も変更されずそのまま残ります。ただし、UNIX ユーザーは、これら 3個の標準 ID のそれぞれに対して、特定の権限を設定できます。

［Deny permission to modify the ACL］ユーザーが NFS およびローカルの chmod操作を行わないようにします。NFS経由の権限設定を許可しない場合、この設定を有効にします。

［Ignore operation if file has an existing ACL］NFS クライアントが ACL の変更を行わないようにします。ディレクトリで継承可能な ACLを定義し、その ACL を権限のために使用する場合は、このオプションを選択します。

ACLでファイルに現在設定されているのと同じ権限で chmod コマンドを実行しようとすると、何も出力されずに操作に失敗する場合があります。操作は成功したように見えますが、クラスターで権限を確認すると、chmod コマンドが反映されていないことが判明します。代わりに、現在の権限から離れた chmod コマンドを実行してから、2回目の chmod コマンドで元の権限に戻すように実行します。たとえば、ファイルが 755 UNIX権限を示し、この番号を確定する場合は、chmod 700 file; chmod 755 file を実行できます。

ACLs Created On Directories By the chmod Command

Windows システムで、ディレクトリの ACE により詳細な継承ルールを定義できます。UNIX システムでは、モードビットは継承されません。chmod コマンドによってディレクトリに作成されるACL を継承可能にすると、堅固に制御された環境に対してより安全ですが、アクセスを想定する以外にない一部のWindows ユーザーへのアクセスを拒否する可能性があります。以下のいずれかを選択してください。l ［Make ACLs inheritable］

l ［Do not make ACLs inheritable］



Use the chown/chgrp On Files With Existing ACLs

ファイルまたはフォルダーの所有権を持つユーザーまたはグループを変更します。以下のいずれかを選択してください。［Modify only the owner and/or group］

chown または chgrp操作を UNIX で行うように実行できるようにします。この設定を有効にすると、新旧の所有者またはグループに関連づけられた ACL内の ACE を変更します。

［Modify the owner and/or group and ACL permissions］Windows で実行するように、NFS の chown または chgrp操作を行えるようにします。ファイル所有者がWindows経由で変更されても、ACL内の権限は変更されません。

［Ignore operation if file has an existing ACL］NFS クライアントが所有者またはグループの変更を行わないようにします。

NFS経由の chown または chgrp操作で、権限と所有権を持つユーザーまたはグループが変更されます。たとえば、rwx------ (700)権限を持つユーザー Joe が所有するファイルは、所有者に rwx権限があり、他の人には権限がないことを示します。chown コマンドを実行してファイルの所有権をユーザー Bob に変更した場合、所有者の権限はそのまま rwx ですが、その権限は、すべての権限を失った Joe ではなく、Bob の権限を表します。この設定は、UNIX権限を持つファイルで実行される UNIX の chown または chgrp操作には影響しません。また、Windows の chown または chgrp操作にも影響しないため、権限が変わることはありません。

Access checks (chmod, chown)

UNIX環境では、ファイルの所有者またはスーパーユーザーのみに、chmod または chown操作をファイルで実行する権限があります。Windows環境では、このポリシー設定を実装して、権限を変更する chmod操作を実行する権限、または所有権を取得するが与えることはできない chown操作を実行する権限をユーザーに与えることができます。以下のいずれかを選択してください。［Allow only the file owner to change the mode or owner of the file (UNIXmodel) ］

chmod および chown のアクセスチェックを UNIX に似た動作で操作できるようにします。

［Allow the file owner and users with WRITE_DAC and WRITE_OWNERpermissions to change the mode or owner of the file (Windows model) ］

chmod および chown のアクセスチェックをWindows に似た動作で操作できるようにします。

Advanced ACL Settings

Treatment of 'rwx' permissions

UNIX環境では、rwx権限はユーザーまたはグループが読み取り、書き込み、実行の権限を持ち、ユーザーまたはグループが最大限可能なレベルの権限を持つことを示します。



UNIX権限をファイルに割り当てても、そのファイルに対する ACLは格納されません。Windows システムは ACL のみを処理するため、Windows システムでファイルの権限を参照する際は Isilon クラスターが UNIX権限を ACL に変換する必要があります。このタイプのACLは Synthetic ACL と呼ばれます。Synthetic ACLはどこにも格納されません。必要に応じて動的に生成され、破棄されます。ファイルに UNIX権限が割り当てられている場合、ファイルの ACL を表示するために ls file コマンドを実行すると、Synthetic ACL の存在を確認できます。Synthetic ACL を生成すると、Isilon クラスターは UNIX権限をWindows権限にマッピングします。Windows では、UNIX よりも詳細な権限モデルがサポートされ、UNIX権限から簡単にマッピングできない権限を指定します。Isilon クラスターで rwx権限をWindows権限にマッピングする場合、次のいずれかのオプションを有効にする必要があります。［Retain 'rwx' permissions］

読み取り、書き込み、実行の権限のみを提供する ACE を生成します。

［Treat 'rwx' permissions as Full Control］権限の変更権限、所有権の取得権限、削除権限を追加することによって、ユーザーまたはグループに対する最大のWindows権限を提供する ACE を生成します。

Group Owner Inheritance

グループの所有権と権限の扱いについて、オペレーティングシステムには 2種類の傾向があります。BSDはファイルの親フォルダーからグループ所有者を継承し、Windows および Linuxはファイル作成者のプライマリグループからグループ所有者を継承します。グループ所有者を作成者のプライマリグループから継承させる設定を有効にした場合、chmod コマンドを実行してset-gid ビットを設定することによって、フォルダー単位で上書きすることができます。ファイルが作成されたときのみ、この継承が適用されます。詳細については、chmod コマンドのマニュアルのページを参照してください。以下のいずれかを選択してください。［When an ACL exists, use Linux and Windows semantics, otherwise useBSD semantics］

ファイルの ACL が存在する場合、グループ所有者がファイル作成者のプライマリグループから継承されることを指定します。ACL がない場合、親フォルダーからグループ所有者が継承されます。

［BSD semantics - Inherit group owner from the parent folder］グループ所有者がファイルの親フォルダーから継承されることを指定します。

［Linux and Windows semantics - Inherit group owner from the creator'sprimary group］

グループ所有者がファイル作成者のプライマリグループから継承されることを指定します。

chmod (007) On Files With Existing ACLs

chmod (007)コマンドの実行時に ACL を削除するかを指定します。以下のいずれかのオプションを選択します。［chmod(007) does not remove existing ACL］

既存の ACL を削除せずに、007 UNIX権限を設定します。

［chmod(007) removes existing ACL and sets 007 UNIX permissions］chmod (007)コマンドを使用して、UNIX ファイル共有（NFS）経由、およびクラスター上のローカルでファイルから ACL を削除します。この設定を有効にした場合は、ファイル



で chmod コマンドを実行する直前に chmod (007)を使用して ACL をクリアするようにします。ほとんどの場合、ファイルの 007権限を残す必要はありません。

Approximate Owner Mode Bits When ACL Exists

Windows の ACLは UNIX の権限よりも複雑です。UNIX クライアントは NFS経由で ACLを持つファイルの UNIX権限を要求する場合、ファイルの実際の権限の近似を受け取ります。UNIX クライアントから ls -l コマンドを実行すると、ユーザーの予想よりもオープンな権限のセットを返します。この寛容さがあることで、ファイルシステムの操作を試すかどうか判断する際に、UNIX権限自体の調査が不正確なアプリケーションを補います。このポリシー設定の目的は、これらのアプリケーションが操作を続け、ファイルシステムで ACL によるユーザーアクセスを正確に判断できるようにすることです。以下のいずれかを選択してください。［Approximate owner mode bits using all possible group ACEs in ACL］

所有者権限を実際のファイルの権限よりも寛容にみせます。

［Approximate owner mode bits using only the ACE with the owner ID］特定の所有者の権限のみを表示し、より寛容なセットは表示しないという点で、所有者権限をより正確にみせます。ただし、これにより、UNIX クライアントに対してアクセス拒否の問題が生じる場合があります。

Approximate Group Mode Bits When ACL Exists

グループ権限の次のいずれかのオプションを選択します。［Approximate group mode bits using all possible group ACEs in ACL］

グループ権限を実際のファイルの権限よりも寛容にみせます。

［Approximate group mode bits using only the ACE with the group ID］特定のグループの権限のみを表示し、より寛容なセットは表示しないという点で、グループ権限をより正確にみせます。ただし、これにより、UNIX クライアントに対してアクセス拒否の問題が生じる場合があります。

Synthetic "deny" ACEs

標準の ACL順序をはずれた拒否 ACE がある場合、Windows ACL ユーザーインターフェイスには ACL を表示できません。UNIX権限を正しく表現するため、拒否 ACE を標準 ACL順序からはずすことが必要な場合があります。以下のいずれかを選択してください。［Do not modify synthetic ACLs and mode bit approximations］

Synthetic ACL の生成の変更を防止し、必要なときに「拒否」ACE を生成できるようにします。

このオプションでは権限が並び替えられ、Windows ユーザーまたはアプリケーションがWindows に対して ACL取得、ACL変更、ACL設定を実行した場合、永久にアクセスが拒否される可能性があります。

［Remove "deny" ACEs from ACLs. This setting can cause ACLs to be morepermissive than the equivalent mode bits］

Synthetic ACL の生成時に拒否 ACE を含めません。



Access check (utimes)

ファイルのアクセス時間および変更時間である utime を変更するユーザーを制御できます。以下のいずれかを選択してください。［Allow only owners to change utimes to client-specific times (POSIXcompliant)］

所有者のみが utime を変更できます。これは POSIX標準に準拠します。

［Allow owners and users with ‘write’ access to change utimes to client-specific times］

所有者だけでなく書き込みアクセス権を持つユーザーも utime を変更できます。これは制限が厳しくないオプションです。

Read-only DOS attribute

［Deny permission to modify files with DOS read-only attribute overWindows Files Sharing (SMB)］

SMB プロトコルのみでの DOS属性権限の動作を複製し、SMB ではファイルが読み取り専用属性を使用するようにします。

［Deny permission to modify files with DOS read-only attribute through NFSand SMB］

NFS プロトコルと SMB プロトコルの両方で、DOS属性権限の動作を複製します。たとえば、SMB でのファイルに対する権限が読み取り専用の場合、NFS での権限は読み取り専用です。

Displayed mode bits

［Use ACL to approximate mode bits］ACL権限をベースとする NFS モードビットの近似表現を表示します。

［Always display 777 if ACL exists］777 ファイル権限を表示します。近似 NFS権限が、ACL での権限よりも低い権限である場合、この設定を使用して、操作を実行する前にアクセスチェックで NFS クライアントが停止しないようにすることができます。この設定は、ACL で適切なアクセス権が提供されず、サードパーティアプリケーションがブロックされる可能性がある場合に使用します。

PermissionsRepair ジョブの実行RepairPermissions ジョブを実行して、ファイルおよびディレクトリの権限または所有権を更新することができます。オンディスク ID を変更した後に発生する可能性のある権限の問題を回避するには、このジョブを修復タイプの［Convert］とともに実行して、クラスタ全体に変更が完全に伝播するようにします。手順

1. ［Cluster Management］ > ［Job Operations］ > ［Job Types］の順にクリックします。

2. (オプション) ［Job Types］表から、PermissionRepair の行で［View/Edit］をクリックします。［View Job Type Details］ウィンドウが表示されます。

3. ［Edit Job Type］をクリックします。



［Edit Job Type Details］ウィンドウが表示されます。4. ［Enable this job type］を選択します。5. ［Default Priority］リストで、実行中のすべてのジョブ間でジョブの優先度を指定する優先

度の数値を選択します。ジョブの優先度は 1～10 であり、1 が最高、10 が最低です。6. (オプション) ［Default Impact Policy］リストで、ジョブが従うインパクトポリシーを選択し

ます。7. ［Schedule］領域で、ジョブを開始する方法を指定します。

オプション説明Manual ジョブを手動で開始する必要があります。Scheduled ジョブが定期的にスケジュール設定されます。ドロップダウンリストからスケジュ

ールオプションを選択し、スケジュールの詳細を指定します。

8. ［Save Change］をクリックしてから、［Close］をクリックします。9. (オプション) ［Job Types］テーブルで、［Start Job］をクリックします。

［Start a Job］ウィンドウが開きます。10. ［Allow Duplicate Jobs］チェックボックスをオンまたはオフにします。11. (オプション) ［Impact policy］リストから、ジョブが従うインパクトポリシーを選択します。12. ［Paths］フィールドに、権限を修復する/ifs内のディレクトリを入力するか、そのディレクト

リを参照します。13. (オプション) ［Add another directory path］をクリックし、追加された［Paths］フィー

ルドに、権限を修復する/ifs内のもう 1 つのディレクトリを入力するか、そのディレクトリを参照します。このステップを繰り返して必要なだけディレクトリパスを追加します。

14. ［Repair Type］リストで、権限を更新するための次のいずれかの方法を選択します。

オプション説明Clone ［Template File or Directory］設定で指定されたディレクトリの権限設定

を、［Path］フィールドに設定したディレクトリに適用します。Inherit ［Template File or Directory］設定で指定されたディレクトリの ACL を、

標準の継承ルールに従って、指定された［Paths］フィールドの各ファイルおよび各サブディレクトリに再帰的に適用します。

Convert 指定された［Paths］フィールドのファイルおよびディレクトリごとに、［MappingType］設定に従って、所有者、グループ、ACL（アクセス制御リスト）をターゲットのオンディスク ID に変換します。

残りの設定オプションは、選択した修復タイプによって異なります。15. ［Template File Directory］フィールドに、権限のコピー元の/ifs内のディレクトリを入

力するか、そのディレクトリを参照します。この設定は、［Clone］および［Inherit］の修復タイプにのみ適用されます。

16. (オプション) ［Mapping Type］リストで、適用する優先オンディスク ID タイプを選択します。この設定は、［Convert］の修復タイプにのみ適用されます。


PermissionsRepair ジョブの実行 205

オプション説明Global システムのデフォルト ID を適用します。

SID（Windows）Windows ID を適用します。UNIX UNIX ID を適用します。Native ユーザーまたはグループに権限のある UNIX識別子（UID または

GID）がない場合は、Windows ID（SID）を適用します。

17. (オプション) ［Start Job］をクリックします。



第 10章

ファイル共有


l ファイル共有の概要............................................................................................. 208l SMB................................................................................................................. 210l NFS..................................................................................................................228l FTP.................................................................................................................. 240l HTTP および HTTPS.......................................................................................... 241

ファイル共有 207

ファイル共有の概要OneFS のマルチプロトコルサポートにより、Isilon クラスター上のファイルおよびディレクトリに、Windows ファイル共有用の SMB、UNIX ファイル共有用の NFS、SSH（セキュアシェル）、FTP、HTTP を介してアクセスできます。デフォルトでは SMB プロトコルと NFS プロトコルのみが有効化されています。クラスター上のすべてのファイルシステムデータのルートディレクトリである/ifs ディレクトリがOneFS によって作成されます。/ifs ディレクトリは、デフォルトで SMB共有および NFS エクスポートとして構成されます。/ifs ディレクトリツリー内に別の共有やエクスポートを作成できます。

データはルート/ifs ファイルパスに保存せず、/ifs下のディレクトリに保存することをお勧めします。データストレージ構造の設計は慎重に計画する必要があります。よく設計されたディレクトリ構造では、クラスターパフォーマンスと管理が最適化されます。

OneFS のファイルおよびディレクトリにWindows ベースおよび UNIX ベースのアクセス許可を設定できます。必要な権限を持つユーザーおよび管理者権限を持つユーザーは、サポートされている 1つ以上のファイル共有プロトコルを介してクラスター上のデータの作成、変更、読み取りを行うことができます。l SMB。Microsoft Windows およびMac OS X クライアントが、クラスター上に保存されている

ファイルにアクセスできるようにします。l NFS。RFC1813（NFSv3）および RFC3530（NFSv4）仕様概要に準拠する Linux およ

び UNIX クライアントが、クラスターに格納されているファイルにアクセスできるようにします。l HTTP および HTTPS（オプションの DAV対応）。Web ブラウザーを介してクライアントがクラス

ター上に保存されているファイルにアクセスできるようにします。l FTP。FTP クライアントプログラムを備えた任意のクライアントが、FTP プロトコルを介してクラス

ター上に保存されているファイルにアクセスできるようにします。

プロトコル混在環境/ifs ディレクトリは、クラスタ内のすべてのファイルシステムデータのルートディレクトリであり、SMB共有、NFS エクスポート、ドキュメントのルートディレクトリとして機能します。/ifs ディレクトリツリー内に別の共有やエクスポートを作成できます。SMB または NFS を排他的に使用するか、その両方を使用するように OneFS クラスタを構成できます。また、HTTP、FTP、SSH も有効化できます。アクセス権は、すべてのセキュリティモデルでアクセスプロトコル全体に一貫して適用されます。SMBを使用しているか NFS を使用しているかにかかわらず、ファイルに対する同じ権限がユーザーに付与または拒否されます。OneFS を実行するクラスタは、一連のグローバルポリシー設定をサポートしています。これを使用してデフォルトの ACL（アクセス制御リスト）および UNIX権限の設定をカスタマイズできます。OneFS のファイルツリーは、標準的な UNIX権限で構成されています。Windows エクスプローラーまたは OneFS の管理ツールを使用して、任意のファイルやディレクトリに ACL を適用できます。OneFS の ACL には、Windows ドメインのユーザーやグループに加えて、ローカル、NIS、LDAP のユーザーやグループを含めることができます。ファイルに ACL を適用すると、モードビットは効力を失い、有効なアクセス許可の目安としてのみ存在するようになります。

ファイル共有


ACL と UNIX権限の相互作用について十分理解している場合にのみそれらを構成することをお勧めします。

SmartCache を使用したライトキャッシュライトキャッシュはクラスターへのデータの書き込み処理を高速化します。OneFS には、SmartChache と呼ばれるライトキャッシュ機能が含まれており、デフォルトですべてのファイルとディレクトリに対して有効になっています。ライトキャッシュが有効な場合、OneFSはデータをすぐディスクに書き込まずにライトバックキャッシュに書き込みます。OneFSはより都合のよいときにデータをディスクに書き込むことができます。

ライトキャッシュは有効なままにすることをお勧めします。すべてのファイルプールポリシーに対してもライトキャッシュを有効化する必要があります。

クライアントの仕様に応じて、OneFSはクラスターへの書き込みを同期または非同期のいずれかに解釈します。ライトキャッシュの影響とリスクは、クライアントがクラスターへの書き込みに使用するプロトコルや、書き込みが同期として解釈されるか非同期として解釈されるかに依存します。ライトキャッシュを無効化した場合は、クライアントの仕様は無視され、すべての書き込みが同期的に実行されます。プロトコルに応じてクライアントの仕様が解釈される方法について次の表で説明します。

プロトコル同期非同期

NFS stable フィールドが［data_sync］または［file_sync］に設定されている。

stable フィールドが［unstable］に設定されている。

SMB write-through フラグが適用されている。

write-through フラグが設定されていない。

非同期書き込み用のライトキャッシュライトキャッシュによるクラスターへの非同期書き込みは、クラスターへ最も速くデータを書き込む方法です。非同期書き込みのライトキャッシュは、同期書き込みのライトキャッシュよりも少ないクラスターリソースしか必要とせず、ほとんどのワークフローでクラスターのパフォーマンス全体を向上します。ただし、非同期書き込みにはデータ消失のリスクがあります。非同期書き込みのライトキャッシュを有効にした場合のプロトコルごとのデータ消失リスクについて次の表で説明します。

プロトコルリスク

NFS ノードに障害が発生した場合に、そのノードのクライアントもクラスターにリコネクトする前にクラッシュするという可能性の低い事例を除いて、データが失われることはありません。その状況が起きた場合は、ディスクにコミットされていない非同期書き込みは失われます。

ファイル共有

SmartCache を使用したライトキャッシュ 209

プロトコルリスク

SMB ノードに障害が発生した場合、ディスクにコミットされていない非同期書き込みは失われます。

書き込みに使用するプロトコルにかかわらず、ライトキャッシュは無効化しないことをお勧めします。非同期書き込みによるクラスターへの書き込みを行っていて、データ消失のリスクが大きすぎると判断した場合は、ライトキャッシュを無効化するのではなく、同期書き込みを使用するようにクライアントを構成することをお勧めします。

同期書き込み用のライトキャッシュ同期書き込みのライトキャッシュは、ごくわずかのストレージ領域を含むクラスターのリソースを消費します。この方法は非同期書き込みのライトキャッシュほど速くはありませんが、クラスターのリソースが極端に少ない場合を除いて、同期書き込みのライトキャッシュはライトキャッシュのないクラスターへの書き込みよりも高速です。ライトキャッシュは同期書き込みの整合性に影響しません。クラスターまたはノードに障害が発生しても、同期書き込み用のライトバックキャッシュ内のデータは失われません。

SMBOneFS には構成可能な SMB サービスが含まれており、SMB共有の作成および管理ができます。SMB共有は、クラスタ上のファイルシステムリソースへのWindows クライアントのネットワークアクセスを提供します。読み取りや書き込みなどの操作を実行するための権限をユーザーやグループに対して許可できます。また、SMB共有上でアクセス許可を設定できます。/ifs ディレクトリは、デフォルトで SMB共有として構成されており、有効化されています。OneFSはユーザーセキュリティモードと匿名セキュリティモードの両方をサポートします。ユーザーセキュリティモードが有効な場合、SMB クライアントから共有に接続するユーザーは、有効なユーザー名と正しい認証情報を提供する必要があります。SMB共有はチェックポイントとして機能し、ユーザーには共有上のファイルシステム内のオブジェクトにアクセスするための共有へのアクセス権が必要です。ユーザーにファイルシステムへのアクセス権が付与されても、それが存在する共有へのアクセス権が付与されていない場合、ユーザーは権限に関係なくファイルシステムにアクセスできません。たとえば、ABCDocs という名前の共有が、file1.txt という名前のファイルを /ifs/data/ABCDocs/file1.txt のようなパスに含んでいるとを想定します。file1.txt にアクセスしようとしているユーザーが ABCDocs上に共有権限を持たない場合、ユーザーはファイルに対する読み取り権限や書き込み権限を元々付与されている場合でも、ファイルにアクセスできません。SMB プロトコルでは、許可データには SID（セキュリティ識別子）が使用されます。すべての IDは、取得中に SID に変換され、クラスタに保存される前にディスク上の表現に戻されます。ファイルまたはディレクトリが作成される際に、OneFSは親ディレクトリの ACL（アクセス制御リスト）を確認します。ACL に継承可能な ACE（アクセスコントロールエントリー）が含まれている場合は、その ACE から新しい ACL が作成されます。その他の場合は、ファイルおよびディレクトリの作成マスクおよび作成モード設定を結合して ACL が作成されます。OneFSは次の SMB クライアントをサポートしています。

SMBバージョンサポートされるオペレーティングシステム

3.0以上（マルチチャネルのみ） Windows 8以降Windows Server 2012以降

2.1 Windows 7以降

ファイル共有


SMBバージョンサポートされるオペレーティングシステム

Windows Server 2008 R2以降

2.0 Windows Vista以降Windows Server 2008以降

Mac OS X 10.9以降

1.0 Windows 2000以降Windows XP以降

Mac OS X 10.5以降

アクセスゾーンの SMB共有アクセスゾーンから SMB共有を作成し、管理できます。EMC Isilon クラスター上のストレージを複数の仮想コンテナーに区分化するアクセスゾーンを作成できます。アクセスゾーンは、クラスター上の認証および ID管理サービスのすべての構成設定をサポートするため、ゾーンごとに認証プロバイダーを構成し、SMB共有をプロビジョニングできます。アクセスゾーンを作成すると、ローカルプロバイダーが自動的に作成されるため、ローカルユーザーとグループのリストを使用して各アクセスゾーンを構成できます。各アクセスゾーンで異なる ActiveDirectory プロバイダーを通じて認証し、プール内の特定の IP アドレスからアクセスゾーンに受信接続を転送することでデータアクセスを制御できます。アクセスゾーンと IP アドレスプールを関連づけると、関連づけられたアクセスゾーンへの認証が制限され、使用可能でアクセス可能な SMB共有の数が減少します。次に、アクセスゾーンで SMB管理を簡略化する方法をいくつか示します。l Windows ファイルサーバーや NetApp ファイラーなどの複数の SMB サーバーを単一の Isilon

クラスターに移行してから、各 SMB サーバーの個別のアクセスゾーンを構成する。l 他のアクセスゾーン内の共有名と競合しない一意の SMB共有名セットで各アクセスゾーンを

構成し、各アクセスゾーンを異なる Active Directory ドメインに参加させる。l IP アドレスプールをアクセスゾーンに関連づけて認証をゾーンに制限することにより、管理対象

の使用可能およびアクセス可能な共有の数を減らす。l アクセスゾーン内のすべての共有に適用されるデフォルトの SMB共有設定を構成する。Isilon クラスターには、クラスターおよび他のアクセスゾーンのすべての側面を管理する System という名前の組み込み型アクセスゾーンが含まれます。SMB共有を管理する際にアクセスゾーンを指定しない場合、OneFSはデフォルトで System ゾーンになります。

SMB マルチチャネルSMB マルチチャネルは、複数のネットワーク接続上での単一の SMB セッションの確立をサポートします。SMB マルチチャネルは、次の機能を提供する SMB 3.0 プロトコルの機能です。スループットの向上

OneFSは、複数の接続を通じて高速ネットワークアダプターまたは複数のネットワークアダプター上でクライアントにより多くのデータを転送できます。

接続障害への耐性SMB マルチチャネルセッションが複数のネットワーク接続上で確立されると、接続の 1 つにネットワーク障害がある場合もセッションが失われないため、クライアントは作業を続行できます。

ファイル共有

アクセスゾーンの SMB共有 211

自動検出SMB マルチチャネルは、使用可能なネットワークパスが複数あるクライアント上でサポートされるハードウェア構成を自動的に検出し、複数のネットワーク接続上でセッションをネゴシエートおよび確立します。コンポーネント、役割、役割サービス、機能をインストールする必要はありません。

SMB マルチチャネルの要件EMC Isilon クラスターで SMB マルチチャネルをサポートするには、ソフトウェアおよび NIC構成の要件を満たす必要があります。OneFS では、次のソフトウェア要件が満たされている場合にのみ SMB マルチチャネルをサポートできます。l Windows Server 2012、2012 R2、Windows 8、8.1 クライアントのいずれかl SMB マルチチャネルが EMC Isilon クラスターとWindows クライアントコンピューターの両方で

有効化されている必要がある。Isilon クラスターではデフォルトで有効化されます。SMB マルチチャネルは、サポートされている NIC（ネットワークインターフェイスカード）構成でのみ、複数のネットワーク接続上で単一の SMB セッションを確立します。SMB マルチチャネルには、クライアントコンピューターに次の 1 つ以上の NIC構成が必要です。l 2枚以上のネットワークインターフェイスカード。l RSS（Receive Side Scaling）をサポートする 1枚以上のネットワークインターフェイスカード。l リンク統合で構成された 1枚以上のネットワークインターフェイスカード。リンク統合により、ノー

ド上の複数の NIC の帯域幅を単一の論理インターフェイスに結合できます。

SMB マルチチャネルでサポートされるクライアント側 NIC構成SMB マルチチャネルは、使用可能なネットワークパスが複数あるクライアント上でサポートされるハードウェア構成を自動的に検出します。EMC Isilon クラスター上の各ノードには、少なくとも 1枚の RSS対応 NIC（ネットワークインターフェイスカード）があります。クライアント側 NIC構成により、SMB マルチチャネルが SMB セッションごとの同時ネットワーク接続を確立する方法が決定されます。

クライアント側 NIC構成

説明

シングル RSS対応NIC

SMB マルチチャネルは、NIC上で Isilon クラスターへの最大 4 つのネットワーク接続を確立する。接続は、複数の CPU コアに分散される可能性が高いため、パフォーマンスボトルネックの問題が発生する可能性が低減し、NIC の最大速度機能が達成されます。

複数の NIC NIC が RSS対応の場合、SMB マルチチャネルは、各 NIC上で Isilon クラスターへの最大 4 つのネットワーク接続を確立する。クライアント上の NIC が RSS対応でない場合、SMB マルチチャネルは、各 NIC上で Isilon クラスターへの単一のネットワーク接続を確立します。どちらの構成でも、SMB マルチチャネルは複数のNIC の合計帯域幅を活用し、接続または NIC に障害が発生した場合に接続のフォールトトレランスを提供できます。

ファイル共有


クライアント側 NIC構成

説明

SMB マルチチャネルはセッションあたり 8 つを超える同時ネットワーク接続を確立できません。複数 NIC構成では、これにより NIC ごとに許可される接続数が制限されることがあります。たとえば、構成に 3枚の RSS対応 NIC が含まれる場合、SMB マルチチャネルは最初の NIC上で 3 つの接続を確立し、2枚目の NIC上で 3 つの接続を確立し、3枚目の NIC上で 2 つの接続を確立できます。

統合 NIC SMB マルチチャネルは、統合 NIC上で Isilon クラスターへの複数のネットワーク接続を確立するため、CPU コア間の接続のバランスがとられ、合計帯域幅が効果的に消費され、接続のフォールトトレランスが実現される。

統合 NIC構成は、性質上、SMB に依存しない NIC フォールトトレランスを提供します。

MMC を通じた SMB共有管理OneFS では、MMC（Microsoft管理コンソール）の共有フォルダースナップインがサポートされます。これにより、EMC Isilon クラスター上の SMB共有を、MMC ツールを使用して管理できます。通常は、Web管理インターフェイスまたはコマンドラインインターフェイスを通じてグローバルなSystem ゾーンに接続して、共有を管理および構成します。アクセスゾーンを構成する場合は、MMC共有フォルダースナップインを通じてゾーンに接続して、そのゾーン内のすべての共有を直接管理できます。MMC共有フォルダースナップインを通じて Isilon ノードへの接続を確立し、次の SMB共有管理タスクを実行できます。l 共有フォルダーの作成と削除l SMB共有に対するアクセスパーミッションの構成l アクティブな SMB セッションの一覧の表示l 開いている SMB セッションを閉じるl 開いているファイルの一覧の表示l 開いているファイルを閉じるMMC共有フォルダースナップインを通じてゾーンに接続する場合、そのゾーンに割り当てられているすべての SMB共有を表示および管理できます。ただし、そのゾーンに接続している特定のノード上のアクティブな SMB セッションおよび開いているファイルのみ表示できます。MMC共有フォルダースナップインを通じて共有に対して行う変更は、クラスターに伝播されます。

MMC接続要件アクセス要件を満たす場合は、MMC共有フォルダースナップインを通じて EMC Isilon クラスターに接続できます。MMC共有フォルダースナップインを通じて接続を確立するには、次の条件が必要です。l クラスターに構成されている AD（Active Directory）プロバイダーのドメインに参加している

Windows ワークステーションからMMC（Microsoft管理コンソール）を実行する必要がある。

ファイル共有

MMC を通じた SMB共有管理 213

l ローカル［<cluster>］\Administrators グループのメンバーである必要がある。

RBAC（役割に基づいたアクセス制御）権限はMMC に適用されません。SMB権限を持つ役割は、アクセスするために十分ではありません。

l ローカル［<cluster>］\Administrators グループのメンバーである Active Directory ユーザーとしてWindows ワークステーションにログインする必要がある。

SMB サーバー側のコピーシステムのパフォーマンスを向上させるために、SMB 2以降のクライアントでは OneFS のサーバー側コピー機能を利用できます。ファイルデータがネットワーク上を移動する必要がなくなるため、サーバー側のコピーのサポートを利用しているWindows クライアントでは、ファイルのコピー操作のパフォーマンスが向上する可能性があります。サーバー側のコピー機能ではサーバー上でのみファイルの読み取りと書き込みを行うことで、ネットワークのラウンドトリップとファイルデータの重複を回避します。この機能は、ソースとデスティネーションのファイルハンドルが同じ共有で開かれているときのファイルのコピーまたは部分コピー操作にのみ影響し、クロス共有操作に対しては動作しません。この機能は OneFS のクラスター間でデフォルトで有効になっており、すべてのゾーン間ではシステム全体でのみ無効化できます。さらに、OneFS内のサーバー側のコピーは、SMB の継続的な可用性機能と互換性がありません。共有で継続的な可用性が有効になっていて、クライアントが永続ファイルハンドルを開いている場合は、サーバー側のコピーが自動的にそのファイルに対して無効化されます。

OneFS での SMB サーバー側コピーの無効化または有効化は、CLI（コマンドラインインターフェイス）を使用した場合にのみ可能です。

SMB サーバー側コピーの有効化または無効化SMB サーバー側コピー機能を有効化または無効化することができます。

SMB サーバー側コピー機能は OneFS でデフォルトで有効になっています。

手順1. EMC Isilon クラスターへの SSH（セキュアシェル）接続を開きます。2. isi smb settings global modify コマンドを実行します。3. 必要に応じて--server-side-copy オプションを変更します。

この機能はデフォルトで有効です。

たとえば、次のコマンドで SMB サーバー側コピーが無効になります。

isi smb settings global modify --server-side-copy=no

SMB の継続的な可用性SMB 3.0 の環境で OneFS が実行されている場合は、特定のWindows クライアントで継続的な可用性が有効になっているサーバー上のファイルを開くことができます。

ファイル共有


サーバーがWindows 8 またはWindows Server 2012 を使用している場合、クライアントは、ネットワーク関連の切断またはサーバーの障害などのシステム停止後に再利用できる永続ファイルハンドルを作成できます。切断またはサーバーの障害発生後に永続ハンドルが保持される期間を指定できるとともに、別のハンドルに属しているファイルを開こうとするユーザーに厳格なロックアウトを強制できます。さらに、OneFS の CLI（コマンドラインインターフェイス）を使用して、共有への書き込みの安定性を制御する書き込み整合性の設定を構成できます。共有で継続的な可用性が有効になっていて、クライアントが永続ファイルハンドルを開いている場合は、サーバー側のコピーが自動的にそのファイルに対して無効化されます。

共有を作成するときにのみ継続的な可用性を有効化できますが、共有を作成または変更するときにタイムアウトの更新、ロックアウト、書き込み整合性の設定を実行できます。

SMB の継続的な可用性の有効化共有を作成する場合は、SMB 3.0 の継続的な可用性を有効にして設定を構成できます。

また、共有を変更する場合に、継続的な可用性のタイムアウト、ロックアウト、書き込み整合性の設定を更新できます。手順

1. ［Protocols］ > ［Windows Sharing (SMB)］ > ［SMB Shares］の順に移動します。

2. ［Create an SMB share］をクリックします。［Create an SMB Share］ウィンドウが開きます。

3. ［Enable continuous availability on the share］を選択します。4. (オプション) ［Show Advanced Settings］をクリックします。5. (オプション) ［Continuous Availability Timeout］フィールドに、クライアントが切断され

たかサーバーに障害が発生した後にパーシステントハンドルが保持される時間を指定します。デフォルトは 2分です。

6. (オプション) ［Strict Continuous Availability Lockout］を［Yes］に設定すると、クライアントがファイルの開かれているが切断されているパーシステントハンドルを持っている場合に、他のクライアントがそのファイルを開けないようにします。［no］に設定されている場合、OneFSはパーシステントハンドルを発行しますが、最初に開いたクライアント以外のクライアントがファイルにアクセスしようとすると、それらを破棄します。デフォルトは［Yes］です。

7. ［Create Share］をクリックします。8. 書き込み整合性設定を構成する場合：

a. OneFS CLI（コマンドラインインターフェイス）の SSH（セキュアシェル）接続を開きます。

b. --ca-write-integrityパラメーターを次のいずれかに設定します。［none］

継続的に利用可能な書き込みは、クラスタへの他の書き込みと異なる処理が行われません。［none］を指定した場合にノードに障害が発生すると、通知が送信されずにデータ消失が発生する可能性があります。この設定は推奨されません。

［write-read-coherent］共有への書き込みは、データを送信した SMB クライアントに成功メッセージが返される前に、永続的なストレージに移動されます。これはデフォルト設定です。

ファイル共有

SMB の継続的な可用性 215

［full］共有への書き込みは、データを送信した SMB クライアントに成功メッセージが返される前に永続的なストレージに移動され、OneFS が SMB クライアントにライトキャッシュリースおよびハンドルキャッシュリースを付与できないようにします。

SMB ファイルのフィルタリング共有またはアクセスゾーンへのファイルの書き込みを許可するか拒否するには、SMB ファイルのフィルタリングを使用します。この機能では、スループットの問題、セキュリティの問題、ストレージのクラッター、生産性の低下が起こる可能性のある特定タイプのファイルの使用を拒否することができます。特定のファイルタイプでの共有への書き込みを許可することにより、書き込みを制限できます。l ファイルへの書き込みを拒否する場合は、書き込みを行うことができないファイルタイプを拡張

子により指定できます。OneFS では、その他すべてのファイルタイプを共有に書き込むことができます。

l ファイルへの書き込みを許可する場合は、書き込みを行うことができるファイルタイプを拡張子により指定できます。OneFS では、その他すべてのファイルタイプの共有への書き込みが拒否されます。

制限ポリシーが変更された場合、ファイル拡張子を追加または削除することができます。

SMB ファイルフィルタリングの有効化共有に対する SMB ファイルのフィルタリングを有効化または無効化できます。手順

1. ［Protocols］ > ［Windows Sharing (SMB)］ > ［Default Share Settings］の順にクリックします。

2. ［Enable file filters］を選択します。

ファイル拡張子の設定が表示されます。3. ［File Extensions］リストで、次のいずれかを選択します。

l ［Deny writes for list of file extensions］。指定したファイルタイプを共有に書き込むことはできません。

l ［Allow writes for list of file extensions。］指定したファイルタイプのみが、共有への書き込みを許可されているファイルタイプです。

4. ［Add file extensions］をクリックします。5. .wav または.mpg のようなファイルタイプを、［File Extensions］フィールドに入力します。6. (オプション) より多くのファイルタイプを指定するには、［Add another file extension］を

クリックします。7. ［Add Extensions］をクリックして変更を保存します。8. 拡張子のリストからファイルタイプを削除するには、その拡張子に対応するチェックボックスを

オンにして、［Delete］をクリックします。

シンボリックリンクと SMB クライアントOneFS では、SMB2 クライアントがシームレスな方法でシンボリックリンクにアクセスできます。多くの管理者は、重要なファイルまたはディレクトリが環境に分散している場合には特に、シンボリックリンクを導入して、ファイルシステム階層を仮想的に並べ替えます。

ファイル共有


SMB共有では、シンボリックリンク（symlink またはソフトリンクとも呼ぶ）は、ターゲットファイルまたはディレクトリへのパスを含むファイルのタイプです。シンボリックリンクは、SMB クライアントで実行されているアプリケーションに対して透過的であり、通常のファイルおよびディレクトリとして機能します。相対リンクと絶対リンクのサポートは、SMB クライアントによって有効化されます。特定の構成は、クライアントタイプとバージョンに依存します。アクティブな SMB セッションのパスにないネットワークファイルまたはディレクトリを指すシンボリックリンクは、絶対（またはリモート）リンクと呼ばれることがあります。絶対リンクは、現在の作業ディレクトリにかかわらずファイルシステム上の同じ場所を指し、通常はパスの一部にルートディレクトリを含みます。反対に、相対リンクはユーザーまたはアプリケーションの作業ディレクトリを直接指すシンボリックリンクであるため、リンクの作成時に完全な絶対パスを指定する必要はありません。OneFSは、SMB2 プロトコルを通じてシンボリックリンクを公開し、OneFS に依存してクライアントに代わってリンクを解決する代わりに SMB2 クライアントがリンクを解決できるようにします。相対リンクまたは絶対リンクをトラバースするには、SMB クライアントが、リンクをたどることのできる SMB共有に対して認証されている必要があります。ただし、SMB クライアントに共有へのアクセス権がない場合は、ターゲットへのアクセスが拒否され、Windowsはユーザーに認証情報を求めるプロンプトを表示しません。SMB2 および NFS リンクは、相対リンクとのみ相互運用性があります。互換性を最大にするために、これらのリンクは POSIX クライアントから作成します。

SMB1 クライアント（Windows XPや 2002など）は相対リンクを使用できますが、サーバー側をトラバースし、「ショートカットファイル」と呼ばれます。絶対リンクは、これらの環境では機能しません。

シンボリックリンクの有効化SMB環境でシンボリックリンクを完全に使用するには、シンボリックリンクを有効化しておく必要があります。Windows SMB クライアントが各タイプのシンボリックリンクをトラバースするためには、クライアントでそれらを有効化する必要があります。 Windows では次のリンクタイプがサポートされます。l ローカルからローカルl リモートからリモートl ローカルからリモートl リモートからローカル4 つのリンクタイプをすべて有効化するには次のWindows コマンドを実行する必要があります。

fsutil behavior set SymlinkEvaluation L2L:1 R2R:1 L2R:1 R2L:1

Samba を使用している POSIX クライアントの場合は、[global]セクション（Samba構成ファイル（smb.conf））で次のオプションを設定して、Samba クライアントが相対および絶対リンクをトラバースできるようにする必要があります。

follow symlinks=yes wide links=yes

この場合、smb.conf ファイルの「wide links」は絶対リンクを意味します。このファイルのデフォルト設定は no です。

ファイル共有

シンボリックリンクと SMB クライアント 217

シンボリックリンクの管理シンボリックリンクを有効化した後で、Windows コマンドプロンプトまたは POSIX コマンドラインからそれらを作成または削除できます。シンボリックリンクは、SMB2 クライアントでWindows ［mklink］コマンドを使用して、またはPOSIX コマンドラインインターフェイスから［ln］コマンドを使用して作成します。たとえば、管理者は、Link1 という名前のリンクを作成することで、User1 という名前のユーザーに File1.doc という名前のファイル（/ifs/data/ディレクトリ内）に対するアクセス権を、そのディレクトリへのアクセス権は与えることなく付与できます。

mklink \ifs\home\users\User1\Link1 \ifs\data\Share1\File1.doc

シンボリックリンクを作成すると、ファイルリンクまたはディレクトリリンクとして指定されます。リンクの設定後は、指定を変更できません。シンボリックリンクパスは、相対パスまたは絶対パスとして形式設定できます。シンボリックリンクを削除するには、Windows の del コマンドまたは POSIX環境の rm コマンドを使用します。シンボリックリンクを削除する場合は、ターゲットファイルまたはディレクトリがまだ存在することに注意してください。ただし、ターゲットファイルまたはディレクトリを削除する場合、シンボリックリンクは引き続き存在し、古いターゲットを指しているため、リンクが破損します。

SMB共有への匿名アクセスローカルゲストユーザーを有効化し、ゲストユーザーの偽装を許可することで、SMB共有への匿名アクセスを構成できます。たとえば、ブラウザー実行可能ファイルやその他のパブリックデータなどのファイルをインターネット上に格納した場合、匿名アクセスにより、任意のユーザーが認証なしで SMB共有にアクセスできます。

SMB設定の管理SMB サービスの有効化/無効化、SMB サービスのグローバル設定の構成、各アクセスゾーンに固有のデフォルトの SMB共有設定の構成を行うことができます。

SMB サーバー設定の構成SMB サーバーの有効化または無効化と、SMB共有およびスナップショットディレクトリのグローバル設定の構成を行うことができます。

詳細設定を変更すると、運用上の障害が発生することがあります。これらの設定への変更をコミットする前に、考えられる結果に注意する必要があります。

手順1. ［Protocols］ > ［Windows Sharing (SMB)］ > ［SMB Server Settings］の順にクリックします。

2. ［Service］領域で、［Enable SMB Service］を選択します。3. ［Advanced Settings］領域で、次の設定についてシステムのデフォルトかカスタム構成を

選択します。

ファイル共有


l Visible at root

l Accessible at root

l Visible in subdirectories

l Accessible in subdirectories


デフォルトの SMB共有設定の構成各アクセスゾーンに固有の SMB共有設定を構成することができます。

デフォルトの設定は、アクセスゾーンに追加したすべての新しい共有に適用されます。

デフォルトの設定を変更すると、変更はアクセスゾーンにあるすべての既存の共有に適用されます。ただし、設定が SMB共有レベルとして構成された場合はこの限りではありません。

手順1. ［Protocols］ > ［Windows Sharing (SMB)］ > ［Default Share Settings］の順にクリックします。

2. ［Current Access Zones］ドロップダウンリストから、デフォルト設定を適用するアクセスゾーンを選択します。

3. ［File Filtering］領域で、［Enable file filters］を選択してファイルのフィルタリングを有効にします。

4. ［Advanced Settings］領域で、次の設定についてシステムのデフォルトかカスタム構成を選択します。l Continuous Availability Timeout

l Strict Continuous Availability Lockout

l Create Permission

l Directory Create Mask

l Directory Create Mode

l File Create Mask

l File Create Mode

l Change Notify

l Oplock

l Impersonate Guest

l Impersonate User

l NTFS ACL

l Access Based Enumeration

l HOST ACL


SMB マルチチャネルの有効化または無効化SMB マルチチャネルは、Windows クライアントコンピューターから EMC Isilon クラスターのノードへの複数のコンカレント SMB セッションに必要です。Isilon クラスターでは、SMB マルチチャネルはデフォルトで有効化されます。

ファイル共有

SMB設定の管理 219

SMB マルチチャネルは、コマンドラインインターフェイスを通じてのみ有効化または無効化できます。手順

1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi smb settings global modify コマンドを実行します。

次のコマンドを実行すると、EMC Isilon クラスター上で SMB マルチチャネルが有効化されます。

isi smb settings global modify –-support-multichannel=yes

次のコマンドを実行すると、EMC Isilon クラスター上で SMB マルチチャネルが無効化されます。

isi smb settings global modify –-support-multichannel=no

スナップショットディレクトリの設定SMB でスナップショットディレクトリを制御する設定を表示および構成できます。

これらの設定は、SMB サービスの動作に影響します。これらの設定を変更すると、現在および将来のすべての SMB共有に影響する可能性があります。

設定設定値

［Visible at Root］共有のルートで.snapshot ディレクトリを表示可能にするかどうかを指定します。デフォルト値は［Yes］です。

［Accessible at Root］共有のルートで.snapshot ディレクトリへのアクセスを可能にするかどうかを指定します。デフォルト値は［Yes］です。

［Visible in Subdirectories］共有ルートのサブディレクトリで.snapshot ディレクトリを表示可能にするかどうかを指定します。デフォルト値は［No］です。

［Accessible in Subdirectories］共有ルートのサブディレクトリで.snapshot ディレクトリへのアクセスを可能にするかどうかを指定します。デフォルト値は［Yes］です。

ファイルとディレクトリの権限の設定ファイルまたはディレクトリが SMB共有に作成されるときに適用される、デフォルトのソース権限やUNIX の作成マスク/モードビットを表示および構成できます。

SMB共有に対して直接変更を行うと、［Default SMB Share Settings］タブで構成したデフォルトの設定が上書きされます。

マスクビットおよびモードビットがデフォルト値と一致する場合は、設定の横に緑色のチェックマークが表示され、ユーザー、グループ、「その他」のレベルで、指定された読み取り（R）、書き込み（W）、

ファイル共有


実行（X）の権限が有効化されたことを示します。「その他」のレベルには、共有のオーナーとしてリストされていない、およびファイルが属するグループレベルの一部ではないすべてのユーザーが含まれています。設定設定値

Continuous Availability Timeout クライアントが切断されたかサーバーに障害が発生した後にパーシステントハンドルが保持される時間を指定します。デフォルトは 2分です。

Strict Continuous Availability Lockout クライアントがそのファイルの開かれているが切断されているパーシステントハンドルを持っている場合に、他のクライアントがファイルを開けないようにします。［no］に設定すると、OneFSはパーシステントハンドルを発行しますが、最初に開いたクライアント以外のクライアントがファイルを開こうとすると、それらを破棄します。デフォルトは［no］です。

Create Permission ファイルまたはディレクトリの作成の際に適用する、デフォルトのソース権限を設定します。デフォルト値は［Default ACL］です。

Directory Create Mask ディレクトリの作成の際に削除される UNIX モードビットを指定します。これで、権限が制限されます。マスクビットは、モードビットが適用される前に適用されます。

Directory Create Mode ディレクトリの作成の際に追加される UNIX モードビットを指定します。これで、権限が有効になります。モードビットは、マスクビットが適用された後で適用されます。

File Create Mask ファイルの作成の際に、削除される UNIX モードビットを指定します。これで、権限が制限されます。マスクビットは、モードビットが適用される前に適用されます。

File Create Mode ファイルの作成の際に追加される UNIX モードビットを指定します。これで、権限が有効になります。モードビットは、マスクビットが適用された後で適用されます。

SMBパフォーマンスの設定SMB共有の変更通知および便宜的ロックパフォーマンス設定を表示および構成できます。


設定設定値

Change Notify ファイルまたはディレクトリを変更した場合の、クライアントへの通知を構成します。これは、古いコンテンツがクライアントに表示されないようにするために役立ち

ファイル共有

SMB設定の管理 221

設定設定値

ますが、サーバーリソースを必要とします。デフォルト値は［Norecurse］です。

Oplock 便宜的ロック（oplock）要求が許可されるかどうかを示します。便宜的ロックでは、ローカルでキャッシュされた情報を使用することによって、クライアントがパフォーマンスを改善できます。デフォルト値は［Yes］です。

SMB セキュリティの設定SMB共有のセキュリティ設定を表示および構成できます。


設定設定値

Impersonate Guest 共有へのゲストアクセスを決定します。［Never］デフォルト値はです。

Impersonate User 特定のユーザーとして、すべてのファイルアクセスを実行できるようにします。これは、完全修飾ユーザー名にする必要があります。［No value］デフォルト値はです。

NTFS ACL SMB クライアントから ACL を格納および編集できるようにします。［Yes］デフォルト値はです。

Access Based Enumeration 要求元のユーザーがアクセスできるファイルとフォルダー上でのみアクセスベースの列挙が有効になります。［No］デフォルト値はです。

HOST ACL ホストアクセスを定義する ACL。デフォルトでは値は指定されていません。

SMB共有の管理クラスター上の各 SMB シェアとWindows ネットワークとの相互作用は、ルールや各種の設定を構成して制御することができます。OneFSは、ユーザーホームディレクトリの%U、%D、%Z、%L、%0、%1、%2、%3 の各変数の拡張および自動プロビジョニングをサポートしています。SMB共有に関連づけられているユーザーおよびグループを構成できます。また、それらの共有レベルの権限を表示または変更できます。

詳細な SMB共有設定を構成するのは、SMB プロトコルについて十分に理解している場合のみにすることをお勧めします。

ファイル共有


SMB共有の作成SMB共有を作成するときに、デフォルトのアクセス許可、パフォーマンス、アクセス設定を上書きできます。共有パスに拡張変数を含めて SMB ホームディレクトリプロビジョニングを構成することにより、ユーザーごとに固有のホームディレクトリを自動的に作成してユーザーをリダイレクトできます。

はじめにSMB共有として使用するディレクトリパスを指定し、SMB共有を作成する前に、ディレクトリを作成します。共有はアクセスゾーンに固有であり、共有パスはゾーンパスの下に存在する必要があります。SMB共有を作成する前にアクセスゾーンを作成します。手順

1. ［Protocols］ > ［Windows Sharing (SMB)］ > ［SMB Shares］の順にクリックします。

2. ［Current Access Zone］ドロップダウンリストから、共有を作成するアクセスゾーンを選択します。

3. ［Create an SMB Share］をクリックします。4. ［Name］フィールドに、共有の名前を入力します。

共有名は最大 80文字で、" \ / [ ] : |<>+ = ;, * ?は含めないようにします。また、クラスターの文字エンコードが UTF-8 に設定されていない場合、SMB共有の名前は大文字と小文字が区別されます。

5. (オプション) ［Description］フィールドに、共有に関するコメントを入力します。

説明はオプションですが、複数の共有を管理する場合に役立ちます。このフィールドは、255文字以内に制限されています。

6. ［Path］フィールドに、/ifs で始まる共有のフルディレクトリパスを入力するか、［Browse］をクリックしてディレクトリパスの場所を選択します。

ディレクトリパスを指定するとき、次の表の変数のどれかを使用する場合は、［AllowVariable Expansion］チェックボックスを選択します。指定しないと、システムでは文字列は単なる文字として解釈されます。

変数拡張

%D NetBIOS ドメイン名。

%U ユーザー名（たとえば user_001）。

%Z ゾーン名（たとえば System）。

%L 小文字に正規化したクラスターのホスト名。

%0 ユーザー名の最初の文字。

%1 ユーザー名の 2番目の文字。

%2 ユーザー名の 3番目の文字。

たとえば、ユーザーが DOMAIN という名前のドメインに user_1 というユーザー名を持つ場合、パス/ifs/home/%D/%Uは/ifs/home/DOMAIN/user_1 に展開されます。

ファイル共有

SMB共有の管理 223

7. まだ存在しない場合は、［Create SMB share directory if it does notexist］を選択して、パスのための共有ディレクトリを OneFS で作成するようにします。

8. ディレクトリに初期 ACL設定を適用します。これらの設定は後で変更できます。l 共有ディレクトリにデフォルトの ACL を適用するには、［Apply Windows default

ACLs］を選択します。

［Create SMB share directory if it does not exist］設定が選択されていると、OneFSは自動的に作成されるすべてのディレクトリに、UNIX 700 モードビット権限と同等の ACL を作成します。

l 共有ディレクトリで既存のアクセス許可を維持するには、［Do not change existingpermissions］を選択します。

9. (オプション) ホームディレクトリプロビジョニング設定の構成。l 共有ディレクトリパスで%Uなどのパス変数を拡張するには、［Allow Variable

Expansion］を選択します。l ユーザーが初めて共有にアクセスしたときにホームディレクトリを自動的に作成するには、［Auto-Create Directories］を選択します。このオプションは、［Allow VariableExpansion］オプションが有効な場合にのみ使用できます。

10. ［Enable continuous availability on the share］を選択して、ネットワーク関連の切断またはサーバの障害などのシステム停止後に再利用可能なパーシステントハンドルが、クライアントで作成されるようにします。サーバは、Windows 8 またはWindows 2012 R2（以降）の必要があります。

11. ［Add User or Group］をクリックして、ユーザーとグループの設定を編集します。

一般的な Everyone アカウントのデフォルトの権限構成は、read-only アクセスです。設定を変更して、ユーザーによる共有への書き込みを許可します。

12. ［File Filter Extensions］を選択して、ファイルフィルタリングをサポートするようにします。フィルタリング方法に適用するファイルタイプを追加します。

13. (オプション) 必要に応じて［Show Extra Settings］をクリックして、高度な SMB共有設定を適用します。

14. ［Create Share］をクリックします。

SMB共有の権限、パフォーマンス、セキュリティの変更各 SMB共有の権限、パフォーマンス、アクセス設定を変更できます。

ディレクトリパス変数すなわち拡張変数を含めて SMB ホームディレクトリプロビジョニングを構成することにより、ユーザーごとに固有のホームディレクトリを自動的に作成してユーザーをリダイレクトできます。

これらの設定に加えられた変更は、この共有の設定のみに影響を与えます。SMB共有のデフォルト値に変更を加える必要がある場合は、［Default SMB Share Settings］タブから変更できます。

手順1. ［Protocols］ > ［Windows Sharing (SMB)］ > ［SMB Shares］の順にクリックします。

ファイル共有


2. ［Current Access Zone］ドロップダウンリストから、変更する共有が含まれているアクセスゾーンを選択します。

3. SMB共有のリストで、変更する共有の［View/Edit］をクリックします。共有の設定が表示されます。

4. ［Edit SMB Share］をクリックします。5. 目的の設定を変更します。6. (オプション) ファイルおよびディレクトリの権限、パフォーマンス、セキュリティの設定を変更する

には、［Show Advanced Settings］をクリックします。7. ［Save Changes］をクリックします。

SMB共有の削除不要になった SMB共有は削除できます。

使用されていない SMB共有はクラスターのパフォーマンスを低下させません。SMB共有を削除すると、共有のパスが削除されますが、参照したディレクトリは存在したままになります。削除した共有と同じパスを持つ新しい共有を作成した場合、以前の共有が参照したディレクトリは新しい共有を通して再びアクセスできます。手順


2. ［Current Access Zone］ドロップダウンリストから、削除する共有が含まれているアクセスゾーンを選択します。

3. SMB共有のリストで、削除する共有を選択します。

共有名の横にあるチェックボックスを選択し、［Delete］をクリックして、クラスター上の複数の共有を削除することができます。

4. 確認ダイアログボックスで［Delete］をクリックし、削除を確定します。

Everyone アカウントの/ifs共有へのアクセス制限デフォルトでは、/ifs ルートディレクトリは System アクセスゾーンで SMB共有として構成されます。この共有の Everyone アカウントは read-only アクセスに制限することをお勧めします。手順


2. ［Current Access Zone］ドロップダウンリストから［System］を選択します。3. /ifs共有に対応するチェックボックスを選択し、［View/Edit］をクリックします。

［View SMB Share Details］ダイアログボックスが表示されます。4. ［Edit SMB Share］をクリックします。［Edit SMB Share Details］ダイアログボックスが表示されます。

5. ［Users and Groups］領域で、Everyone アカウントに対応するチェックボックスをオンにし、［View/Edit］をクリックします。［Edit Persona］ダイアログボックスが表示されます。

ファイル共有


6. ［Specify Permission Level］を選択し、続いて［Read］チェックボックスをオンにします。これらのオプションが選択済みの場合は、［Full Control］と［Read-Write］チェックボックスをオフにします。

7. ［Apply］をクリックします。

単一の SMB共有に対する匿名アクセスの構成単一の共有に格納されたデータに対して、ゲストユーザー偽装を使用した匿名アクセスを構成できます。手順

1. ［Access］ > ［Membership & Roles］ > ［Users］の順にクリックします。2. ［Current Access Zones］リストから、匿名アクセスを許可する共有が含まれているアクセ

スゾーンを選択します。3. ［Providers］ドロップダウンリストから、［Local］を選択します。

a. ゲストアカウントの［View/Edit］をクリックします。［View User Details］ダイアログボックスが表示されます。

b.［Edit User］をクリックします。c.［Enable the account］を選択して、［Save Changes］をクリックします。

4. ［Protocols］ > ［Windows Sharing (SMB) ］ > ［SMB Shares］の順にクリックします。

5. 匿名アクセスを許可する共有の横の［View/Edit］をクリックします。6. ［Edit SMB Share］をクリックします。7. ［Show Advanced Settings］をクリックします。8. ［Impersonate Guest］設定を検索して、［Use Custom］をクリックします。［Impersonate Guest］ドロップダウンリストが表示されます。

9. ［Impersonate Guest］リストで［Always］を選択します。10. ［Save Changes］をクリックします。

アクセスゾーンにあるすべての SMB共有への匿名アクセスの構成アクセスゾーンに格納されたデータへのゲストユーザー偽装による匿名アクセスを構成できます。手順

1. ［Access］ > ［Membership & Roles］ > ［Users］の順にクリックします。2. ［Current Access Zones］リストから、匿名アクセスを許可するアクセスゾーンを選択しま

す。3. ［Providers］ドロップダウンリストから、［Local］を選択します。

a. ゲストアカウントの［View/Edit］をクリックします。［View User Details］ダイアログボックスが表示されます。

b.［Edit User］をクリックします。c.［Enable the account］を選択して、［Save Changes］をクリックします。

4. ［Protocols］ > ［Windows Sharing (SMB) ］ > ［Default Share Settings］の順にクリックします。

ファイル共有


5. ［Current Access Zones］リストから、匿名アクセスを許可するアクセスゾーンを選択します。

6. ［Impersonate Guest］設定を検索して、［Use Custom］をクリックします。

［Impersonate Guest］ドロップダウンリストが表示されます。7. ［Impersonate Guest］リストで［Always］を選択します。8. ［Save Changes］をクリックします。

SMB共有へのユーザーまたはグループの追加SMB共有ごとに、特定のユーザーおよびグループに関する共有レベルの権限を追加できます。手順


2. ［Current Access Zone］ドロップダウンリストから、ユーザーまたはグループの追加先となる共有が含まれているアクセスゾーンを選択します。

3. SMB共有のリストで、変更する共有の［View/Edit］をクリックします。4. ［Edit SMB Share］をクリックします。5. ［Users and Groups］セクションで［Add a User or Group］をクリックします。

［Add Persona］ダイアログボックスが表示されます。6. ［Select User］をクリックします。

［Select Persona］ダイアログボックスが表示されます。7. 次のいずれかの方法でユーザーまたはグループを特定できます。

l テキストフィールドに検索するユーザー名またはグループ名を入力し、［Search］をクリックする。

l テキストフィールドで検索する認証プロバイダーを選択し、［Search］をクリックする。クラスタで現在構成および有効化されているプロバイダーのみが表示されます。

l ユーザー名またはグループ名を入力し、認証プロバイダーを選択して、［Search］をクリックする。

8. Well-known SIDs を選択した場合は、［Search］をクリックします。9. 検索結果で、SMB共有に追加するユーザー、グループ、SID をクリックし、［Select］をクリ

ックします。10. デフォルトでは、新しいアカウントのアクセス権限は［Deny All］に設定されています。ユ

ーザーまたはグループが共有にアクセスできるようにするには、次の追加の手順に従います。a. 追加したユーザーアカウントまたはグループアカウントの横にある［Edit］をクリックします。

b.［Run as Root］を選択するか、［Specify Permission Level］を選択して、次のアクセス権レベルを 1 つ以上選択します。［Full Control］、［Read-Write］、［Read］。

11. ［Add Persona］をクリックします。12. ［Save Changes］をクリックします。

ファイル共有


マルチプロトコルホームディレクトリアクセスの構成FTP または SSH によってこの共有にアクセスするユーザーに対して、SMB で接続しているか、FTPまたは SSH でログインしているかにかかわらず、それらのユーザーのホームディレクトリパスを同じにすることができます。このタスクは、OneFS コマンドラインインターフェイスでのみ実行できます。

このコマンドは、SMB共有に対して、ユーザーの認証プロバイダーで指定されるホームディレクトリテンプレートを使用するよう指示します。この処理手順は、コマンドラインインターフェイスを使用した場合にのみ使用できます。手順

1. クラスター内の任意のノードへの SSH接続を確立します。2. 次のコマンドを実行します。［<share>］は SMB共有の名前で、--pathはユーザーの認

証プロバイダーから指定されたホームディレクトリテンプレートのディレクトリパスです。

isi smb shares modify ［<share>］ --path=""

NFSOneFSは NFS サーバーを提供するため、クラスター上のファイルを、RFC1813（NFSv3）およびRFC3530（NFSv4）仕様概要に準拠した NFS クライアントと共有できます。OneFS では、NFS サーバーは、カーネルではなくユーザースペースで稼働するマルチスレッドサービスとして完全に最適化されます。このアーキテクチャは、クラスターのすべてのノード間で NFS サービスのロードバランシングを調整し、複数の NFS クライアント間の最大で数千個の接続を管理するために必要な安定性と拡張性を提供します。NFS マウントはすばやく実行およびリフレッシュされ、サーバーは NFS サービスに対する流動的な要求を絶えず監視し、すべてのノードを調整して継続的な信頼できるパフォーマンスを実現します。OneFSは、組み込み型プロセススケジューラを使用してノードリソースの公平なアロケーションを実現し、NFS サービスの公平な共有を超えてリソースを確保するクライアントがないようにします。NFS サーバーは、OneFS で定義されたアクセスゾーンもサポートするため、クライアントはゾーンに適したエクスポートのみにアクセスできます。たとえば、NFS エクスポートがゾーン 2 で指定されている場合は、ゾーン 2 に割り当てられたクライアントのみがこれらのエクスポートにアクセスできます。大きなパス名でのエクスポートでは特に、クライアント接続を単純化するために、NFS サーバーはエイリアスもサポートします。これは、クライアントが直接指定できるマウントポイントへのショートカットです。安全な NFS ファイル共有のために、OneFS では NIS および LDAP認証プロバイダーがサポートされます。

NFS エクスポートNFS クライアントで使用可能なマウントポイント（パス）を定義する個々の NFS エクスポートルールと、これらのクライアントでのサーバーの動作を管理できます。OneFS では、NFS エクスポートを作成、削除、一覧表示、表示、変更、再ロードできます。NFS エクスポートルールはゾーン対応です。ゾーンに関連づけられた各エクスポートは、そのゾーン上のクライアントによってのみマウントでき、ゾーンルート下のパスのみ公開できます。デフォルトでは、エクスポートコマンドはクライアントの現在のゾーンに適用されます。

ファイル共有


各ルールには、少なくとも 1 つのパス（マウントポイント）が必要で、追加のパスを含めることができます。特定の 1 つまたは複数のパスのすべてのサブディレクトリがマウント可能であることも指定できます。そうしない場合は、指定したパスのみエクスポートされ、子ディレクトリはマウントできません。エクスポートルールでは、特定のクライアントセットを指定でき、アクセスを特定のマウントポイントに制限したり、これらのクライアントに一意のオプションセットを適用したりできます。ルールでクライアントを指定しない場合、ルールはサーバーに接続するすべてのクライアントに適用されます。ルールでクライアントを指定した場合、そのルールはそれらのクライアントにのみ適用されます。

NFS エイリアスOneFS で、ディレクトリパス名のショートカットとしてのエイリアスを作成および管理できます。これらのパス名が NFS エクスポートとして定義されている場合、NFS クライアントではエイリアスを NFS マウントポイントとして指定できます。NFS エイリアスは、NFS のコンテキストで SMB共有名を使用した機能パリティを付与するように設計されています。各エイリアスは、ファイルシステム上のパスに一意の名前をマップします。NFS クライアントは、マウント時にパスの代わりにエイリアス名を使用できます。エイリアスは、単一のスラッシュに名前が続く、最上位レベルの UNIXパス名として書式設定する必要があります。たとえば、/q4 という名前のエイリアス（OneFS内のパス/ifs/data/finance/accounting/winter2015 にマップされる）を作成できます。NFS クライアントは、次のいずれかを通じてそのディレクトリをマウントできます。

mount cluster_ip:/q4

mount cluster_ip:/ifs/data/finance/accounting/winter2015

エイリアスとエクスポートは完全に独立しています。NFS エクスポートに関連づけることなく、エイリアスを作成できます。同様に、NFS エクスポートにはエイリアスは不要です。各エイリアスは、ファイルシステム上の有効なパスを指す必要があります。このパスが絶対パスの場合は、ゾーンルート（System ゾーンの/ifs）の下の場所を指す必要があります。エイリアスが、ファイルシステムに存在しないパスを指す場合、エイリアスをマウントしようとしているクライアントは、無効なフルパス名をマウントしようとした場合と同じように拒否されます。NFS エイリアスはゾーン対応です。デフォルトでは、エイリアスはクライアントの現在のアクセスゾーンに適用されます。これを変更するには、エイリアスの作成または変更の一環として代替アクセスゾーンを指定できます。各エイリアスは、そのゾーン上のクライアントによってのみ使用でき、ゾーンルート下のパスにのみ適用できます。エイリアス名はゾーンごとに一意ですが、/home のように、異なるゾーンでは同じ名前を使用できます。Web管理インターフェイスにエイリアスを作成する場合、エイリアスリストにはエイリアスのステータスが表示されます。同様に、isi nfs aliases コマンドの--check オプションを使用して、NFS エイリアスのステータスをチェックできます（ステータスは、good、illegal path、name conflict、not exported、path not found のいずれかになります）。

NFS ログファイルOneFS では、NFS イベントに関連づけられているログメッセージが/var/log内のファイルのセットに書き込まれます。ログレベルオプションでは、ログファイルに出力されるログメッセージの詳細レベルを指定できるようになりました。次の表に、NFS に関連づけられているログファイルの説明を示します。

ファイル共有

NFS エイリアス 229

ログファイル説明

nfs.log プライマリ NFS サーバー機能（v3、v4、マウント）

rpc_lockd.log NLM プロトコルを通じた NFS v3 のロックイベント

rpc_statd.log NSM プロトコルを通じた NFS v3再起動検出

isi_netgroup_d.log ネットグループの解決とキャッシュ

NFS サービスの管理NFS サービスを有効または無効にしたり、サポートする NFS のバージョン（NFSv3 および NFSv4など）を指定したりできます。NFS の設定はクラスタ内のすべてのノードに適用されます。

OneFS クラスタでは NFSv4 を無停止で有効化でき、NFSv4は NFSv3 と並行して実行されます。NFSv4 の有効化により、既存の NFSv3 クライアントが影響を受けることはありません。

NFS ファイル共有の構成NFS サービスを有効化または無効化し、ロック保護レベルとセキュリティタイプを設定できます。これらの設定はクラスタ内のすべてのノードに適用されます。ユーザーが定義する個々の NFS エクスポートの設定を変更できます。手順

1. ［Protocols］ > ［UNIX Sharing (NFS)］ > ［Global Settings］の順にクリックします。

2. 次の設定を有効化または無効化します。l NFS Export Service

l NFSv3

l NFSv4

3. ［Reload］（［Cached Export Configuration］セクション）をクリックして、キャッシュされた NFS エクスポート設定項目を再ロードします。

キャッシュされた NFS エクスポート設定を再ロードして、DNS または NIS の変更が適用されるようにします。


デフォルト NFS エクスポート用の root squash ルールの作成デフォルトでは、NFS サービスにはデフォルト NFS エクスポート用の root squash ルールが導入されています。このルールは、NFS クライアントの root ユーザーが NFS サーバに対して root権限を行使するのを防止できます。手順

1. ［Protocols］ > ［UNIX Sharing (NFS)］ > ［NFS Exports］の順にクリックします。2. NFS Exports リストでデフォルトエクスポートを選択し、［View/Edit］をクリックします。3. ［Root User Mapping］領域で、デフォルトの設定が選択されていることを確認します。デ

フォルト設定が選択されている場合は、何も変更しないでステップ 7 に移動します。4. ［Edit Export］をクリックします。

ファイル共有


5. ［Root User Mapping］設定で［Use Default］をクリックして、これらの値にリセットします。

User: Map root users to user nobodyPrimary Group: No primary groupSecondary Groups: No secondary groups


結果これらの設定により、NSF クライアントでのユーザーの認証情報にかかわらず、ユーザーが NFS サーバーで root権限を行使することができなくなります。

NFS グローバル設定NFS グローバル設定は、NFS サービスの動作を決定します。これらの設定は組織のニーズに応じて変更できます。次のテーブルは、NFS グローバル設定とそれぞれのデフォルト値について説明します。設定説明

NFS Export Service NFS サービスを有効または無効にします。この設定は、デフォルトで有効です。

NFSv3 NFSv3 のサポートを有効または無効にします。この設定は、デフォルトで有効です。

NFSv4 NFSv4 のサポートを有効または無効にします。この設定は、デフォルトで無効になっています。

Cached Export Configuration キャッシュされた NFS エクスポートを再ロードして、ドメインやネットワークに対する変更がすぐに反映されるようにします。

NFS エクスポートの管理NFS エクスポートの作成、エクスポート設定の表示および変更、不要になった NFS エクスポートの削除を行うことができます。/ifs ディレクトリは OneFS のデータストレージの最上位レベルディレクトリであり、デフォルトのエクスポートで定義されたパスでもあります。デフォルトでは、/ifs エクスポートはルートアクセスを禁止しますが、他のエクスポートでは UNIX クライアントがこのディレクトリおよびその下の任意のサブディレクトリをマウントできます。

デフォルトのエクスポートを変更して、アクセスを信頼されているクライアントに制限するか、アクセスを完全に制限することをお勧めします。機密データが危険にさらされないように、作成する他のエクスポートは OneFS ファイル階層の下位に置く必要があり、必要に応じて、アクセスゾーンで保護するか、root、read-write、または read-only アクセスで特定のクライアントに制限することができます。

NFS エクスポートの作成UNIX ベースのクライアントを使用して OneFS でファイルを共有する NFS エクスポートを作成できます。

ファイル共有

NFS エクスポートの管理 231

NFS サービスがユーザースペースで実行され、クラスタ内のすべてのノードに負荷を分散します。これにより、サービスの拡張性が向上し、大量のエクスポートをサポートできるようになります。ただし、ベストプラクティスとして、クライアントごとに別個のエクスポートをネットワークに作成することは避けてください。少数のエクスポートを作成し、アクセスゾーンとユーザーマッピングを使用してアクセスを制御するほうが効率的です。手順

1. ［Protocols］ > ［UNIX Sharing (NFS)］ > ［NFS Exports］の順にクリックします。2. ［Create Export］をクリックします。3. ［Directory Paths］設定では、エクスポートするディレクトリを入力するか、参照して指定

します。追加するパスごとに［Add another directory path］をクリックして、複数のディレクトリパスを追加できます。

4. (オプション) ［Description］フィールドに、エクスポートについて説明するコメントを入力します。

5. (オプション) エクスポートへのアクセスを許可する NFS クライアントを指定します。

次の表で説明する、クライアントのフィールドにあるすべての NFS クライアントを指定できます。クライアントは、ホスト名、IPv4 または IPv6 アドレス、サブネット、またはネットグループで識別されます。IPv6 アドレス空間にマップされた IPv4 アドレスは変換されて IPv4 アドレスとして格納され、いかなる曖昧さもなくなります。1行に 1 エントリーを入力して、各フィールドに複数のクライアントを指定できます。

クライアントを指定しない場合、ネットワーク上のすべてのクライアントはエクスポートへのアクセスが許可されます。［Always Read-Only Clients］などのいずれかのルールフィールドでクライアントを指定した場合、適用可能なルールのみがそれらのクライアントに適用されます。ただし［Root Clients］にエントリーを追加するだけでは、他のクライアントからのエクスポートへのアクセスは停止しません。同じクライアントを複数のリストに追加した場合で、各エントリーが同じ形式で入力されている場合、そのクライアントは単一リストに以下の優先順位で正規化されます。l Root Clients

l Always Read-Write Clients

l Always Read-Only Clients

l Clients

設定説明Clients エクスポートへのアクセスが許可される 1 つ以上のクライアントを指定する。アク

セスレベルはエクスポート権限によって制御されます。AlwaysRead-WriteClients

エクスポートのアクセス制限設定に関係なく、エクスポートへの読み取り/書き込みアクセスが許可される 1 つ以上のクライアントを指定する。［Restrictaccess to read-only］設定を選択せずにクライアントを［Clients］リストに追加するのと同じです。

AlwaysRead-

エクスポートのアクセス制限設定に関係なく、エクスポートへの read-only アクセスが許可される 1 つ以上のクライアントを指定する。［Restrict access to

ファイル共有


設定説明OnlyClients

read-only］設定を選択してクライアントを［Clients］リストに追加するのと同じです。

RootClients

エクスポートの root としてマッピングされる 1 つ以上のクライアントを指定する。この設定により、次のクライアントは、エクスポートのマウント、root ID の表示、root へのマッピングが可能です。クライアント、読み取り専用クライアント、読み取り/書き込みクライアントが設定されていない場合、このリストにクライアントを追加しても、他のクライアントがマウントから除外されることはありません。

6. 使用するエクスポート権限設定を選択します。l アクションを読み取り専用に制限します。l サブディレクトリへのマウントアクセスを有効化します。パス配下のサブディレクトリのマウントを許可します。

7. ユーザーおよびグループマッピングを指定します。

［Use custom］を選択すると、root ユーザーまたはすべてのユーザーを特定のユーザー IDやグループ ID にマッピングすることによってアクセスを制限できます。root squash の場合は、root ユーザーをユーザー名［nobody］にマップします。

8. ［Security Flavors］設定を特定します。使用するセキュリティタイプを設定します。デフォルト設定は UNIX です。

［Use custom］をクリックして、次のセキュリティタイプから 1 つ以上選択します。

l UNIX (system)

l Kerberos5

l Kerberos5 Integrity

l Kerberos5 Privacy

デフォルトのセキュリティの種類（UNIX）は、信頼できるネットワークに依存しています。ネットワーク上のすべてを完全に信頼できない場合のベストプラクティスは、Kerberos オプションの選択です。システムが Kerberos をサポートしていない場合、完全には保護されません。Kerberos を使用しない NFSは、ネットワーク上のすべてを信頼し、プレーンテキストですべてのパケットを送信するためです。Kerberos を使用できない場合、インターネット接続を保護するための何らかの手段を見つける必要があります。少なくとも、以下の対策が必要です。l クラスタへの root アクセスは信頼できるホスト IP アドレスに制限する。l ネットワークに追加するすべての新規デバイスが信頼できることを確認する。信頼を確保するための方法には次のような方法がありますが、これに限定されるものではありません。n IPsec トンネルを使用する。セキュアなキーを使用してデバイスを認証するため、このオプションは非常に安全です。

n 物理的に接続されていないスイッチポートはすべて非アクティブに構成する。さらに、スイッチポートがMAC制限されていることを確認する。

9. ［Show Advanced Settings］をクリックして、NFS エクスポートの詳細設定を構成する。

ファイル共有


詳細設定を変更する必要があり、これらの変更の結果を完全に理解している場合を除き、設定を変更しないでください。


結果新しい NFS エクスポートが作成され、［NFS Exports］リストの上部に表示されます。

NFS エクスポートの変更既存の NFS エクスポートの設定を変更できます。

エクスポートの設定を変更すると、パフォーマンスに問題が生じる可能性があります。変更を保存する前に、設定変更の潜在的な影響を理解しておく必要があります。

手順1. ［Protocols］ > ［UNIX Sharing (NFS)］ > ［NFS Export］の順に選択します。2. ［NFS Exports］リストで、変更するエクスポートに対応するチェックボックスをオンにし、［View/Edit］をクリックします。

3. ［Edit Export］をクリックします。4. 必要なエクスポート設定を編集します。5. ［Show Advanced Settings］をクリックして、詳細設定を表示します。

詳細設定を変更する必要があり、これらの設定の結果を完全に理解している場合を除き、設定を変更しないことをお勧めします。


NFS エクスポートの削除不要な NFS エクスポートを削除できます。これらのエクスポートに対する現在の NFS クライアントの接続はすべて無効になります。

クラスター上のすべてのエクスポートを一度に削除できます。［NFS Exports］リストの上部にある［Export ID/Path］チェックボックスをオンにして、右側のドロップダウンリストから［Delete］を選択します。

手順1. ［Protocols］ > ［UNIX Sharing (NFS)］ > ［NFS Export］の順に選択します。2. ［NFS Exports］リストで、削除するエクスポートの左側のチェックボックスをオンにします。3. ［Delete］をクリックします。4. 確認ダイアログボックスで［Delete］をクリックし、操作を確定します。

NFS エクスポートのエラーのチェック競合するエクスポートルール、無効なパス、解決できないホスト名やネットグループなど、NFS エクスポートのエラーをチェックできます。このタスクは、OneFS コマンドラインインターフェイスからのみ実行できます。

ファイル共有


手順1. クラスター内の任意のノードへの SSH接続を確立します。2. isi nfs exports check コマンドを実行します。

次の出力例では、エラーが見つかりませんでした。

ID Message--------------------Total: 0

次の出力例では、エクスポート 1 に現在存在しないディレクトリパスが含まれています。

ID Message-----------------------------------1 '/ifs/test' does not exist-----------------------------------Total: 1

デフォルトの NFS エクスポート設定の表示と構成NFS エクスポートのデフォルト設定を確認して構成できます。これらの設定に対する変更は、新規のエクスポートとデフォルト値を使用する既存のエクスポートすべてに適用されます。

デフォルトエクスポート設定に対する変更は、デフォルト設定を使用する現在と将来のすべてのNFS エクスポートに影響します。誤ってこれらの設定を変更すると、NFS ファイル共有サービスの可用性に悪影響があります。デフォルト設定、特に詳細設定のデフォルト設定は、NFS での作業経験がない場合は変更しないことをお勧めします。代わりに、個々の NFS エクスポートの作成時に必要に応じて設定を変更してください。

手順1. ［Protocols］ > ［UNIX Sharing (NFS)］ > ［Export Settings］の順に選択します。［Export Settings］領域に、共通の NFS エクスポート設定が表示されます。具体的には、［Root User Mapping］、［Non-Root User Mapping］、［Failed UserMapping］、［Security Flavors］です。新しい NFS エクスポートとデフォルト値を使用する既存のエクスポートに適用するデフォルト設定を変更します。

2. ［Advanced Export Settings］領域で、高度な設定を編集することができます。

詳細設定を変更する必要があり、変更の結果を完全に理解している場合を除き、設定を変更しないことをお勧めします。


NFS エクスポートの基本設定NFS エクスポートの基本設定はグローバル設定であるため、作成する新しい NFS エクスポートすべてに適用されます。次の表で、NFS エクスポートの基本設定について説明します。

設定デフォルト値

Root User Mapping User: Map root users to user ［nobody］

ファイル共有


設定デフォルト値

Primary Group：No primary group

Secondary Groups: No secondary groups

デフォルト設定は root squash ルールになり、NFS

クライアントのすべてのユーザー（root ユーザーを含む）が NFS サーバーで root権限を行使できません。

Non-Root User Mapping ユーザーマッピングはデフォルトで無効化されています。この設定は、エクスポートごとに必要に応じて設定することをお勧めします。

Failed User Mapping ユーザーマッピングはデフォルトで無効化されています。この設定は、エクスポートごとに必要に応じて設定することをお勧めします。

Security Flavors 使用可能なオプションには、［UNIX (system)］、デフォルト設定、［Kerberos5］、［Kerberos5Integrity］、［Kerberos5 Privacy］があります。

NFS エクスポートのパフォーマンス設定NFS エクスポートのパフォーマンスを制御する設定を行えます。

次の表で、NFS エクスポートのパフォーマンスカテゴリーの設定について説明します。

設定説明

Block Size NFSv3 FSSTAT リクエストと NFSv4 GETATTR リクエストのブロック数を計算するために使用するブロック長。デフォルト値は［8192 bytes］です。

Commit Asynchronous ［Yes］に設定されている場合、NFSv3 と NFSv4 のCOMMIT動作を非同期に実行できます。デフォルト値は［No］です。

Directory Transfer Size NFSv3 および NFSv4 クライアントに報告される優先ディレクトリ読み取り転送サイズ。デフォルト値は［131072 bytes］です。

Read Transfer Max Size NFSv3 および NFSv4 クライアントに報告される最大読み取り転送サイズ。デフォルト値は［1048576bytes］です。

Read Transfer Multiple NFSv3 および NFSv4 クライアントに報告される推奨される複数読み取り転送サイズ。デフォルト値は［512 bytes］です。

Read Transfer Preferred Size NFSv3 および NFSv4 クライアントに報告される優先読み取り転送サイズ。デフォルト値は［131072bytes］です。

ファイル共有


設定説明

Setattr Asynchronous ［Yes］に設定されている場合、属性設定操作を非同期で実行する。デフォルト値は［No］です。

Write Datasync Action DATASYNC書き込みを実行するアクション。デフォルト値は［DATASYNC］です。

Write Datasync Reply DATASYNC書き込みに対して送信する応答。デフォルト値は［DATASYNC］です。

Write Filesync Action FILESYNC書き込みに対して実行するアクション。デフォルト値は［FILESYNC］です。

Write Filesync Reply FILESYNC書き込みに対して送信する応答。デフォルト値は［FILESYNC］です。

Write Transfer Max Size NFSv3 および NFSv4 クライアントに報告される最大書き込み転送サイズ。デフォルト値は［1048576bytes］です。

Write Transfer Multiple NFSv3 および NFSv4 クライアントに報告される推奨書き込み転送サイズ。デフォルト値は［512bytes］です。

Write Transfer Preferred NFSv3 および NFSv4 クライアントに報告される優先書き込み転送サイズ。デフォルト値は［524288］です。

Write Unstable Action UNSTABLE書き込みに対して実行するアクション。デフォルト値は［UNSTABLE］です。

Write Unstable Reply UNSTABLE書き込みに対して送信する応答。デフォルト値は［UNSTABLE］です。

NFS エクスポートクライアント互換性設定NFS エクスポートクライアント互換性設定は、NFS エクスポートのカスタマイズに影響します。

次の表で、これらの設定について説明します。

設定設定値

Max File Size 許可されるファイルの最大サイズを指定します。この設定は必須ではなく、NFSv3 FSINFOや NFSv4

GETATTR のリクエストに対する応答としてクライアントに返されます。デフォルト値は［9223372036854776000 bytes］です。

Readdirplus Enable NFSv3 readdirplus サービスの使用を有効化することで、クライアントが送信するリクエストに対してエクスポート内のディレクトリやファイルに関する拡張情報を受け取ります。デフォルトは［Yes］です。

Return 32 bit File IDs クライアントに 32 ビットファイル ID を返すように指定します。デフォルトは［No］です。

ファイル共有


NFS エクスポート動作の設定NFS エクスポートの動作設定は、NFS サーバー上で NFS クライアントが特定の機能を実行できるかどうかを制御します。次の表で、NFS エクスポートの動作設定について説明します。

設定説明

Can Set Time この設定を有効化すると、NFS サーバー上で NFS

クライアントが各種時間属性を設定することをOneFS が許可します。デフォルト値は［Yes］です。

エンコードクラスターで設定されているエクスポート用の汎用エンコーディング設定を上書きします。デフォルト値は［DEFAULT］です。

Map Lookup UID UID（着信ユーザー ID）をローカル認証データベースで検索します。デフォルト値は［No］です。

Symlinks ファイルシステムがシンボリックリンクのファイルタイプをサポートすることを NFS クライアントに通知します。デフォルト値は［Yes］です。

Time Delta サーバクロックの精度を設定します。デフォルト値は［1e-9 seconds］（0.000000001秒）です。

NFS エイリアスの管理NFS エイリアスを作成して、クライアントが接続するエクスポートを簡略化できます。NFS エイリアスは、絶対ディレクトリパスを単純ディレクトリパスにマップします。たとえば、/ifs/data/hq/home/archive/first-quarter/finance への NFS エクスポートを作成したとします。エイリアス/finance1 を作成して、そのディレクトリパスにマップできます。NFS エイリアスは、システムゾーンを含む任意のアクセスゾーンに作成できます。

NFS エイリアスの作成NFS エイリアスを作成して、長いディレクトリパスを単純なパス名に割り当てることができます。

エイリアスは、単純な UNIX スタイルのディレクトリパスとして形成する必要があります（/homeなど）。手順

1. ［Protocols］ > ［UNIX Sharing (NFS)］ > ［NFS Aliases］の順に選択します。2. ［Create Alias］をクリックします。3. ［Alias Name］フィールドにエイリアス名を入力します。

エイリアスは、構成要素が 1 つの単純な UNIX スタイルのパスとして形成する必要があります（/homeなど）。

4. ［Path］フィールドで、エイリアスに関連づけるフルパスを入力するか、［Browse］をクリックしてパスを検索します。OneFS でアクセスゾーンを設定している場合、フルパスは現在のアクセスゾーンの root で始まる必要があります。

ファイル共有


5. ［Create Alias］をクリックします。

結果新しいエイリアスの名前、ステータス、パスは［NFS Aliases］リストの上部に表示されます。

NFS エイリアスの変更NFS エイリアスを変更できます。手順

1. ［Protocols］ > ［UNIX Sharing (NFS)］ > ［NFS Aliases］の順に選択します。2. ［NFS Aliases］リストで、変更するエイリアスの［View/Edit］をクリックします。3. ［View Alias Details］ダイアログボックスで、［Edit Alias］をクリックします。4. ［Alias Name］フィールドにエイリアス名を入力します。

エイリアスは、構成要素が 1 つの単純な UNIX スタイルのパスとして形成する必要があります（/homeなど）。

5. ［Path］フィールドで、エイリアスに関連づけるフルパスを入力するか、［Browse］をクリックしてパスを検索します。OneFS でアクセスゾーンを設定している場合、フルパスは現在のアクセスゾーンの root で始まる必要があります。


［View Alias Details］ダイアログボックスが表示され、変更が成功したことを示すメッセージが表示されます。


結果変更されたエイリアス名、ステータス、パスが［NFS Aliases］リストに表示されます。

NFS エイリアスの削除NFS エイリアスを削除できます。

NFS エイリアスが NFS エクスポートに割り当てられている場合、エイリアスを削除すると、エクスポートのマウントにそのエイリアスを使用しているクライアントが切断される可能性があります。手順

1. ［Protocols］ > ［UNIX Sharing (NFS)］ > ［NFS Aliases］の順に選択します。2. 削除するエイリアスに対応するチェックボックスを選択し、［More］をクリックします。3. ［Delete］をクリックします。


エイリアスが［NFS Aliases］リストから削除されます。

NFS エイリアスの一覧表示特定のゾーンに対してすでに定義されている NFS エイリアスのリストを表示できます。デフォルトではシステムゾーンのエイリアスの一覧が表示されます。

ファイル共有

NFS エイリアスの管理 239

手順l ［Protocols］ > ［UNIX Sharing (NFS)］ > ［NFS Aliases］の順に選択します。

［NFS Aliases］リストに、現在のアクセスゾーンのすべてのエイリアスが表示されます。すべてのエイリアスの名前、状態、パスが表示されます。

NFS エイリアスの表示NFS エイリアスの設定を確認できます。手順

1. ［Protocols］ > ［UNIX Sharing (NFS)］ > ［NFS Aliases］の順に選択します。2. 表示するエイリアスに対応するチェックボックスを選択し、［View/Edit］をクリックします。

［View Alias Details］ダイアログボックスに、エイリアスに関連づけられた設定が表示されます。

3. エイリアスの確認が終了したら、［Close］をクリックします。

FTPOneFS には、標準 FTP および FTPS ファイル転送に対して構成できる vsftpd（Very SecureFTP Daemon を意味する）というセキュアな FTP サービスが含まれます。

FTP ファイル共有の有効化と構成クラスタ内のすべてのノードが標準ユーザーアカウントによる FTP要求に応答するように、FTP サービスを設定できます。リモート FTP サーバ間のファイル転送を有効化できます。また、「anonymous」または「ftp」という名前のローカルユーザーを作成することで root の anonymous FTP サービスを有効化できます。FTP アクセスを構成するときは、指定した FTP ルートがログインユーザーのホームディレクトリになるようにします。たとえば、jsmith というローカルユーザーの FTP ルートを ifs/home/jsmith にします。手順

1. ［Protocols］ > ［FTP Settings］の順にクリックします。2. ［Service］領域で、［Enable FTP Service］を選択します。3. ［Settings］領域で、次のオプションから 1 つ以上を選択します。

オプション説明Enableanonymousaccess

ユーザー名が「anonymous」または「ftp」のユーザーが、認証を必要とせずにファイルやディレクトリにアクセスできるようになる。この設定は、デフォルトで無効になっています。

Enable localaccess

ローカルユーザーが、ローカルユーザー名およびパスワードでファイルまたはディレクトリにアクセスでき、ファイルシステムからファイルを直接アップロードできるようになる。この設定は、デフォルトで有効です。

Enable server-to-servertransfers

2台のリモート FTP サーバ間でのファイル転送が可能になる。この設定は、デフォルトで無効になっています。

ファイル共有



HTTPおよび HTTPSOneFS には構成可能な HTTP（Hypertext Transfer Protocol）サービスが含まれており、クラスタ上に保存されているファイルのリクエストやWeb管理インターフェイスによる操作に使用できます。OneFS では、HTTP とそのセキュアなバリアントである HTTPS の両方がサポートされます。クラスタ内の各ノードでは、HTTP アクセスを提供するために Apache HTTP Server のインスタンスが実行されます。異なるモードで実行するように HTTP サービスを構成できます。ファイル転送では HTTP と HTTPS の両方がサポートされますが、プラットフォーム API コールではHTTPS のみサポートされます。HTTPS のみの要件には、Web管理インターフェイスが含まれます。また、OneFSは、特定の種類のWebDAV（Web ベース DAV）プロトコルをサポートしており、ユーザーはリモートWeb サーバ上のファイルの変更や管理を行うことができます。OneFSは分散オーサリングを実施しますが、バージョン管理をサポートしておらずセキュリティチェックも行いません。DAVは、Web管理インターフェイスで有効化できます。

HTTP の有効化と構成HTTP と DAV を構成し、ユーザーがリモートWeb サーバ全体でファイルを共同で編集および管理できるようにします。OneFS Web管理インターフェイスでのみ、このタスクを実行できます。手順

1. ［Protocols］ > ［HTTP Settings］をクリックします。2. ［Service］領域で次のいずれかの設定を選択します。


Enable HTTP クラスタ管理やクラスタ上のコンテンツを参照する際に HTTP でアクセスできます。

Disable HTTP andredirect to theOneFS WebAdministrationinterface

Web管理インターフェイスへの管理アクセスのみ許可します。これはデフォルト設定です。

Disable HTTP ファイルアクセスに使用される HTTP ポートを閉じます。ユーザーは、URL でポート番号を指定することでWeb管理インターフェイスへのアクセスを継続できます。デフォルトのポートは 8080 です。

3. ［Protocol Settings］領域の［Document root directory］フィールドにパス名を入力するか、［Browse］をクリックして/ifs内の既存のディレクトリをブラウズします。

HTTP サーバーは、daemon ユーザーおよびグループとして実行されます。アクセス制御を正しく適用するには、ドキュメントルート下のすべてのファイルへのデーモンユーザーまたはグループの読み取りアクセス権を付与し、HTTP サーバがドキュメントルートを走査できるようにする必要があります。

4. ［Authentication Settings］領域で、［Authentication］リストから認証の設定を選択します。

ファイル共有

HTTP および HTTPS 241


Off HTTP認証を無効化にします。

Basic AuthenticationOnly

HTTP基本認証を有効にします。ユーザー認証情報はプレーンテキストで送信されます。

IntegratedAuthentication Only

NTLM、Kerberos、またはその両方による HTTP認証を有効にします。

Integrated and BasicAuthentication

基本認証と統合認証の両方を有効にします。

Basic Authenticationwith Access Controls

HTTP基本認証を有効化し、アクセスチェックを行うために Apache Web サーバを有効化します。

IntegratedAuthentication withAccess Controls

NTLM と Kerberos での HTTP統合認証を有効化し、アクセスチェックを行うために Apache Web サーバーを有効化します。

Integrated and BasicAuthentication withAccess Controls

HTTP基本認証と統合認証を有効化し、アクセスチェックを行うために Apache

Web サーバを有効化します。

5. 複数のユーザーがリモートWeb サーバ間でファイルを共同で管理および変更できるようにするには、［Enable WebDAV］チェックボックスをオンにします。

6. ［Enable access logging］を選択します。7. ［Save Changes］をクリックします。

ファイル共有


第 11章

ファイルフィルタリング機能


l アクセスゾーンでのファイルのフィルタリング................................................................ 244l アクセスゾーンでのファイルフィルタリングの有効化と構成........................................... 244l アクセスゾーンでのファイルフィルタリング設定の変更................................................. 245l ファイルフィルタリング設定の表示........................................................................... 245

ファイルフィルタリング機能 243

アクセスゾーンでのファイルのフィルタリングアクセスゾーンでは、ファイルフィルタリングを使用して、ファイルタイプに基づいてファイルへの書き込みを許可または拒否できます。一部のファイルタイプが EMC Isilon クラスター上でスループットの問題、セキュリティの問題、ストレージクラッター、生産性の低下を引き起こす可能性があるか、または組織で特定のファイルポリシーに準拠する必要がある場合は、指定したファイルタイプへの書き込みを制限するか、指定されたファイルタイプのリストのみへの書き込みを許可できます。アクセスゾーンでファイルのフィルタリングを有効にすると、OneFSはそのアクセスゾーン内のファイルに対してのみ、ファイルフィルタリングルールを適用します。l ファイルへの書き込みを拒否する場合は、書き込みを行うことができないファイルタイプを拡張

子により指定できます。OneFS では、その他すべてのファイルタイプに書き込むことができます。l ファイルへの書き込みを許可する場合は、書き込みを行うことができるファイルタイプを拡張子に

より指定できます。OneFS では、その他すべてのファイルタイプへの書き込みが拒否されます。OneFSは、ファイルフィルタリングルールを適用するときにどのファイル共有プロトコルがアクセスゾーンへの接続に使用されたかを考慮しません。ただし、SMB共有レベルで追加のファイルフィルタリングを適用することができます。このガイドの「ファイル共有」の章にある「SMB ファイルのフィルタリング」を参照してください。

アクセスゾーンでのファイルフィルタリングの有効化と構成アクセスゾーンごとにファイルフィルタリングを有効化し、アクセスゾーン内でどのファイルタイプへの書き込みアクセスをユーザーに拒否または許可するかを指定できます。手順

1. ［Access］ > ［File Filter］をクリックします。2. ［Current Access Zone］リストで、ファイルフィルタリングを適用するアクセスゾーンを選択

します。3. ［Enable file filters］を選択します。4. ［File Extensions］リストで、次のフィルタリング方法のいずれかを選択します。

l Deny writes for list of file extensions

l Allow writes for list of file extensions

5. ［Add file extensions］をクリックします。

［Add File Extensions］ダイアログボックスが表示されます。6. ［File Extensions］フィールドに、フィルタリングするファイルタイプのファイル名拡張子を入力

します。拡張子は、.txt のように「.」で始める必要があります。

7. (オプション) 複数の拡張子を入力するには、［Add another file extension］をクリックします。

8. ［Add Extensions］をクリックします。9. ［Save Changes］をクリックします。



アクセスゾーンでのファイルフィルタリング設定の変更フィルタリング方法の変更やファイル拡張子の編集によってファイルフィルタリング設定を変更することができます。手順

1. ［Access］ > ［File Filter］をクリックします。2. ［Current Access Zones］ドロップダウンリストから、変更するアクセスゾーンを選択しま

す。3. アクセスゾーンでのファイルのフィルタリングを無効化するには、［Enable file filters］チェッ

クボックスをオフにします。4. ファイルのフィルタリング方法を変更するには、［File Extensions］リストから次のフィルタリン

グ方法のいずれかを選択します。l Deny writes for list of file extensions

l Allow writes for list of file extensions

5. ファイル名拡張子を追加するには、［Add file extensions］をクリックし、ファイル名拡張子を入力して、［Add Extensions］をクリックします。

6. ファイル名拡張子を削除するには、削除対象の拡張子の横にある［Remove Filter］ボタンをクリックします。


ファイルフィルタリング設定の表示アクセスゾーンのファイルフィルタリングの設定を表示することができます。手順

1. ［Access］ > ［File Filter］をクリックします。2. ［Current Access Zones］ドロップダウンリストから、変更するアクセスゾーンを選択しま

す。選択したアクセスゾーンの設定が［File Filter Settings］タブに表示されます。


アクセスゾーンでのファイルフィルタリング設定の変更 245

第 12章

監査


l 監査の概要....................................................................................................... 248l システムログ........................................................................................................248l プロトコル監査イベント..........................................................................................249l サポートされる監査ツール..................................................................................... 249l 複数の CEE サーバへのプロトコル監査イベントのデリバリ........................................... 250l サポートされるイベントタイプ................................................................................. 250l 監査ログの例　................................................................................................... 252l 監査設定の管理................................................................................................ 252l EMC Common Event Enabler との統合..............................................................257l プロトコル監査イベントデリバリのトラッキング............................................................ 259

監査 247

監査の概要EMC Isilon クラスタでシステム構成の変更およびプロトコルアクティビティを監査できます。すべての監査データはクラスタのファイルシステムに格納および保護され、監査トピックごとに整理されます。監査では、不正行為、不適切な資格の付与、不正アクセスの痕跡など、データ漏洩の原因となりうる多くの状況を検出できます。金融サービス、医療、ライフサイエンス、メディア、エンターテイメント、政府機関などの各業界のお客様は、データを消失から守るために策定された厳格な規制条件を満たさなくてはなりません。システム構成監査では、OneFS HTTP API によって処理されるすべての構成イベントがトラッキングされて記録されます。具体的には、CLI（コマンドラインインターフェイス）、Web管理インターフェイス、OneFS APIなどが対象になります。システム構成監査を有効にする際に、追加の構成は不要です。システム構成監査イベントは、config監査トピックディレクトリに保存されます。プロトコル監査は、SMB、NFS、HDFS プロトコル接続を通じて実行されるアクティビティを追跡し、格納します。クラスタ内の 1 つ以上のアクセスゾーンのプロトコル監査を有効にして構成できます。アクセスゾーンのプロトコル監査を有効化した場合、SMB、NFS、HDFS プロトコルを通じたファイルアクセスイベントはプロトコル監査トピックディレクトリに記録されます。各アクセスゾーンにログインするイベントを指定できます。たとえば、システムアクセスゾーンでは protocol イベントのデフォルトセットを監査し、別のアクセスゾーンではファイルの削除試行の成功のみ監査できます。監査イベントは、SMB、NFS、HDFS クライアントのアクティビティの開始元である個々のノードに記録されます。イベントは、/ifs/.ifsvar/audit/logs のバイナリファイルに格納されます。ログはサイズが 1 GB に達すると新しいファイルに自動的にロールオーバーされます。スペースを節約するために、ログは圧縮されます。protocol監査ログファイルは、EMC CEE（Common Event Enabler）をサポートする監査アプリケーションで使用できます。

システムログシステムログは、特定のイベント通知メッセージを伝達するために使用されるプロトコルです。監査イベントをログに記録し、システムログフォワーダーを使用してシステムログに転送するように Isilon クラスタを構成できます。デフォルトでは、イベントが発生したアクセスゾーンにかかわらず、特定のノードで発生したすべてのプロトコルイベントが/var/log/audit_protocol.log ファイルに転送されます。すべての構成監査イベントは、デフォルトで/var/log/audit_config.log にログが記録されます。システムログは、送信されてくる監査イベントのタイプに応じた ID で構成されます。ファシリティのdaemon と info の優先度レベルを使用します。プロトコル監査イベントは、ID がaudit_protocol というシステムログにログが記録されます。構成監査イベントは、ID がaudit_config というシステムログにログが記録されます。Isilon クラスタ上に監査を構成するには、root ユーザーであるか、監査権限（ISI_PRIV_AUDIT）を含む管理者ロールに割り当てられている必要があります。

システムログの転送システムログフォワーダーは、有効化されている場合にアクセスゾーン内の構成変更とプロトコル監査イベントを取得し、イベントをシステムログに転送するデーモンです。ユーザー定義監査の成功および失敗イベントだけがシステムログへの転送の対象となります。

監査


各ノードで、同じノードのシステムログデーモンに監査イベントを記録する監査システムログフォワーダーデーモンが実行されています。

プロトコル監査イベントデフォルトでは、監査対象のアクセスゾーンでは、EMC Isilon クラスタ上の特定のイベントのみがトラッキングされます。この中には、ファイルおよびディレクトリへの成功したまたは失敗したアクセスの試みが含まれます。デフォルトでトラッキングされるイベントは、create、close、delete、rename、set_security です。生成されるイベントの名前は、すべての操作がファイルハンドルを取得するための create イベントで始まるWindows IRP（I/O要求パケット）モデルにおおまかに基づいています。以下を含む、すべての I/O操作の前に、create イベントが必要です。close、create、delete、get_security、read、rename、set_security、write。close イベントは、create イベントによって作成されたファイルハンドルの使用をクライアントが終了した時点を表します。

NFS および HDFS プロトコルでは、名前変更イベントと削除イベントが、作成イベントとクローズイベントで囲まれていない可能性があります。

これらの内部的に格納されるイベントは、EMC CEE経由で監査アプリケーションに転送されるイベントに変換されます。このマッピングは、OneFS上の EMC CEE エクスポート設備が実行します。EMC CEE を使用して、EMC CEE をサポートするサードパーティアプリケーションに接続できます。

EMC CEEは、HDFS プロトコルイベントのサードパーティアプリケーションへの転送をサポートしていません。

異なる SMB、NFS、HDFS クライアントは異なるリクエストを発行し、SMB を使用するWindowsやMac OS Xなどのプラットフォームの特定のバージョンはそれぞれ異なります。同様に、MicrosoftWordやWindows エクスプローラーなどのアプリケーションのバージョンの違いによって、プロトコルリクエストが違ってくる場合があります。たとえば、Windows エクスプローラーウィンドウが開いているクライアントは、そのウィンドウの自動または手動更新が発生すると、多数のイベントを生成する場合があります。アプリケーションは、ログインしているユーザーの資格情報でリクエストを発行しますが、すべてのリクエストが意図的なユーザーアクションであることは想定しないでください。有効化されている場合、OneFS監査は SMB共有、NFS エクスポート、HDFS データのファイルとディレクトリに行われたすべての変更をトラッキングします。

サポートされる監査ツールEMC CEE（Common Event Enabler）をサポートするサーバにプロトコル監査ログを送信するように OneFS を構成できます。

CEEは、複数のサードパーティソフトウェアベンダーで動作することがテストおよび検証されています。

OneFS監査機能を有効化する前に、サードパーティの監査アプリケーションをインストールして構成しておくことを推奨します。そうしないと、記録されたすべてのイベントが監査アプリケーションに転送されるため、大量のバックログにより最新のイベントの受信に遅延が発生します。

監査

プロトコル監査イベント 249

複数の CEE サーバへのプロトコル監査イベントのデリバリOneFSは、EMC CEE サービスを実行している複数の CEE サーバへの、プロトコル監査イベントのコンカレントデリバリをサポートします。CEE サーバのサブセット全体で、HTTP 1.1接続を最大 20接続同期できます。EMC Isilon クラスタのノードごとに、デリバリ用の CEE サーバを 5台まで選択できます。CEE サーバはグローバル構成で共有され、各サーバの URI を OneFS構成に追加することによって、OneFS を使用して構成されます。CEE サーバを構成すると、EMC Isilon クラスタのノードが、CEE URI のソートされたリストから CEEサーバを自動的に選択します。サーバは、ソートされたリスト内のノードの論理ノード番号オフセットの順に選択されます。CEE サーバを使用できない場合は、次のサーバがソート順で選択されます。すべての接続が、選択されたサーバ間で均等に分散されます。CEE サーバが以前使用できなかったためにノードを移動した場合は、15分ごとに CEE サーバの可用性が確認されます。CEE サーバが使用可能になると、即座にノードが戻されます。CEE サーバを構成する前に、次のベストプラクティスに従ってください。l CEE サーバは各ノードに 1台にすることをお勧めします。選択した CEE サーバがオフラインにな

った場合にのみ、EMC Isilon クラスタのサイズより多い CEE サーバを使用することができます。

グローバル構成では、ノードごとに 1台の CEE サーバが必要です。

l CEE サーバの構成と、プロトコル監査の有効化は同時に行います。そうしないと、イベントのバックログが累積して、一時的に古いものがデリバリがされる可能性があります。

プロトコル監査イベントのデリバリ進行状況のグローバルビューを受信することも、isi auditprogress view コマンドを実行して進行状況の論理ノード番号ビューを受信することもできます。

サポートされるイベントタイプアクセスゾーンで監査されるイベントタイプを表示または変更できます。

イベント名プロトコルアクティビティの例

デフォルトで監査される

CEE を通じてエクスポート可能

CEE を通じてエクスポート不可

create l ファイルまたはディレクトリを作成する

l ファイル、ディレクトリ、共有を開く

l 共有をマウントするl ファイルを削除する

X X

監査


イベント名プロトコルアクティビティの例

デフォルトで監査される

CEE を通じてエクスポート可能

CEE を通じてエクスポート不可

SMB プロトコルでは作成操作で削除するファイルを設定することができますが、監査ツールがイベントを記録できるようにするには削除イベントを有効化する必要があります。

close l ディレクトリを閉じるl 変更済みまたは未

変更のファイルを閉じる

X X

rename ファイルまたはディレクトリを名称変更する

X X

delete ファイルまたはディレクトリを削除する

X X

set_security ファイルまたはディレクトリの権限の変更を試行する

X X

read 開いているファイルハンドルでの最初の読み取り要求

X

write 開いているファイルハンドルでの最初の書き込み要求

X

get_security クライアントは開いているファイルハンドルのセキュリティ情報を読み取る

X

logon SMB セッションがクライアントによるリクエストを作成する

X

logoff SMB セッションのログオフ

X

tree_connect SMB が初めて共有へのアクセスを試行する

X

監査

サポートされるイベントタイプ 251

監査ログの例　Isilon クラスタの任意のノードで isi_audit_viewer コマンドを実行することで、構成監査ログとプロトコル監査ログの両方を表示できます。

プロトコルアクセス監査ログを表示するには、isi_audit_viewer -t protocol を実行します。システム構成のログを表示するには isi_audit_viewer -t config を実行します。次の出力は、システム構成のログの例を示します。

[0: Fri Jan 23 16:17:03 2015] {"id":"524e0928-a35e-11e4-9d0c-005056302134","timestamp":1422058623106323,"payload":"PAPI config logging started."}

[1: Fri Jan 23 16:17:03 2015] {"id":"5249b99d-a35e-11e4-9d0c-005056302134","timestamp":1422058623112992,"payload":{"user":{"token": {"UID":0, "GID":0, "SID": "SID:S-1-22-1-0", "GSID": "SID:S-1-22-2-0", "GROUPS": ["SID:S-1-5-11", "GID:5", "GID:20", "GID:70", "GID:10"], "protocol": 17, "zone id": 1, "client": "10.7.220.97", "local": "10.7.177.176" }},"uri":"/1/protocols/smb/shares","method":"POST","args":"","body":{"path": "/ifs/data", "name": "Test"}}}

[2: Fri Jan 23 16:17:05 2015] {"id":"5249b99d-a35e-11e4-9d0c-005056302134","timestamp":1422058625144567,"payload":{"status":201,"statusmsg":"Created","body":{"id":"Test"}}}

[3: Fri Jan 23 16:17:39 2015] {"id":"67e7ca62-a35e-11e4-9d0c-005056302134","timestamp":1422058659345539,"payload":{"user":{"token": {"UID":0, "GID":0, "SID": "SID:S-1-22-1-0", "GSID": "SID:S-1-22-2-0", "GROUPS": ["SID:S-1-5-11", "GID:5", "GID:20", "GID:70", "GID:10"], "protocol": 17, "zone id": 1, "client": "10.7.220.97", "local": "10.7.177.176" }},"uri":"/1/audit/settings","method":"PUT","args":"","body":{"config_syslog_enabled": true}}}

[4: Fri Jan 23 16:17:39 2015] {"id":"67e7ca62-a35e-11e4-9d0c-005056302134","timestamp":1422058659387928,"payload":{"status":204,"statusmsg":"No Content","body":{}}}

構成監査イベントはペアになっています。［pre event］はコマンドの実行前にログに記録され、［post event］はイベントがトリガーされた後にログに記録されます。プロトコル監査イベントは、操作の完了後に、post event としてログに記録されます。構成監査イベントは、id フィールドを一致させることで関連づけることができます。

pre eventは常に最初に出現し、ユーザートークン情報、PAPIパス、PAPI コールに渡された引数を含みます。イベント 1 では、/1/protocols/smb/shares に対して引数 path=/ifs/data および name=Test を指定して POST リクエストが行われています。post event には、HTTP の戻りステータスとサーバーから返された出力が含まれます。

監査設定の管理EMC Common Event Enabler との統合の構成に加えて、システム構成およびプロトコルアクセス監査設定を有効化および無効化できます。

監査


プロトコルアクセス監査の有効化SMB、NFS、HDFS のプロトコルアクセスをアクセスゾーン単位で監査できます。生成されたイベントを EMC CEE（Common Event Enabler）に転送してサードパーティ製品用にエクスポートすることもできます。

各監査イベントによってシステムリソースが消費されるため、監査アプリケーションで必要なイベントだけに関してゾーンを構成することを推奨します。また、OneFS監査機能を有効化する前に、サードパーティの監査アプリケーションをインストールして構成しておくことを推奨します。そうしないと、この機能によって実行される大量のバックログにより、結果がかなり長時間にわたり更新されないことがあります。

手順1. ［Cluster Management］ > ［Auditing］の順にクリックします。2. ［Settings］領域で、［Enable Protocol Access Auditing］チェックボックスを選択し

ます。3. ［Audited Zones］領域で、［Add Zones］をクリックします。4. ［Select Access Zones］ダイアログボックスで、1 つ以上のアクセスゾーンのチェックボック

スをオンにして、［Add Zones］をクリックします。5. (オプション) ［Event Forwarding］領域で、ログに記録されたイベントの転送先として 1

つ以上の CEE サーバを指定します。a.［CEE Server URIs］フィールドに、CEE サーバープールの各 CEE サーバーの URI を入力します。OneFS CEE エクスポートサービスは、イベントを複数の CEE サーバにエクスポートするときにラウンドロビンロードバランシングを使用します。有効な URIは http://で開始し、必要に応じてポート番号と CEE サーバのパスを含みます（例：http://example.com:12228/cee）。

b.［Storage Cluster Name］フィールドに、プロトコルイベントを転送する際に使用するストレージクラスタの名前を指定します。この名前の値は通常、SmartConnect ゾーン名ですが、SmartConnect が実装されていない場合は、サードパーティアプリケーションで認識されるクラスタのホスト名と一致する必要があります。フィールドが空白のままの場合、各ノードからのイベントにはノード名が入力されます（clustername + lnn）。この設定が必要になるのは、サードパーティの監査アプリケーションで必要な場合だけです。

このステップはオプションですが、イベントのバックログは CEE サーバが構成されているかどうかにかかわらず蓄積することに注意してください。CEE サーバが構成されている場合、CEE の転送はバックログにある最も古いイベントから開始され、先入れ先出し方式で最新のイベントまで進みます。


結果次のプロトコルイベントは、監査されるアクセスゾーンに対してデフォルトで収集されます。［create］、［close］、［delete］、［rename］、［set_security］。コマンドラインインタ

監査

プロトコルアクセス監査の有効化 253

ーフェイスでコマンドを実行すると、アクセスゾーンで監査されるイベントのセットを変更できます。各監査イベントはシステムリソースを消費するため、監査アプリケーションが必要とするイベントのゾーンのみを構成することをお勧めします。必要条件isi audit settings modify コマンドを実行して、監査されるプロトコルアクセスイベントのタイプを変更できます。また、プロトコルアクセスイベントのシステムログへの転送を有効にするには、isi audit settings modify コマンドを--syslog-forwarding-enabled オプションで実行します。これらの処理手順は、コマンドラインインターフェイスを使用した場合にのみ使用できます。

プロトコルアクセスイベントのシステムログへの転送監査プロトコルアクセスイベントを各アクセスゾーンのシステムログに転送する処理を有効化または無効化することができます。デフォルトでは、プロトコルアクセスの監査が有効化されている場合、転送は有効化されていません。この処理手順は、コマンドラインインターフェイスを使用した場合にのみ使用できます。はじめにアクセスゾーンのプロトコルアクセスイベントの転送を有効化するには、最初にアクセスゾーンでのプロトコルアクセス監査を有効化する必要があります。

--audit-success オプションと--audit-failure オプションでは監査されるイベントタイプを定義し、--syslog-audit-events オプションではシステムログに転送されるイベントタイプを定義します。監査されるイベントタイプのみが、システムログへの転送の対象になります。システムログの転送が有効になっている場合、プロトコルアクセスイベントは/var/log/audit_protocol.log ファイルに書き込まれます。手順

1. クラスタ内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi audit settings modify コマンドを--syslog-forwarding-

enabled オプションとともに実行して、監査システムログを有効化または無効化します。次のコマンドは、zone3 アクセスゾーンでの監査プロトコルアクセスイベントの転送を有効化し、転送されるイベントタイプが close、create、delete イベントのみであることを指定します。

isi audit settings modify --syslog-forwarding-enabled=yes --syslog-audit-events=close,create,delete --zone=zone3

次のコマンドは、zone3 アクセスゾーンからの監査プロトコルアクセスイベントの転送を無効化します。

isi audit settings modify --syslog-forwarding-enabled=no --zone=zone3

システム構成監査の有効化OneFSは、Isilon クラスタ上のシステム構成イベントを監査できます。API によって処理されるすべての構成イベント（書き込み、変更、削除など）がトラッキングされ、構成監査トピックディレクトリに記録されます。システム構成監査を有効または無効にする際に、追加の構成は不要です。構成監査へのシステムログ転送が有効化されている場合にのみ、構成イベントのログが/var/log/audit_config.log に記録されます。構成の変更ログは、/

監査


ifs/.ifsvar/audit の下の監査バックエンドストレージエリアの構成トピックに入力されます。

構成イベントは CEE（Common Event Enabler）には転送されません。

手順1. ［Cluster Management］ > ［Auditing］の順にクリックします。2. ［Settings］領域で、［Enable Configuration Change Auditing］チェックボックスを

オンにします。3. ［Save Changes］をクリックします。

必要条件isi audit settings global modify コマンドの実行時に--config-syslog-enabled オプションを指定すると、システムログへのシステム構成変更の転送を有効化することができます。この処理手順は、コマンドラインインターフェイスを使用した場合にのみ使用できます。

監査ホスト名の設定必要に応じて、ユニファイドホスト名が必要なサードパーティ監査アプリケーションに監査ホスト名を設定することができます。これらのアプリケーションにホスト名を設定しないと、EMC Isilon クラスタ内の各ノードはそのホスト名をサーバ名として CEE サーバに送信します。そうでないと、構成された監査ホスト名がグローバルサーバ名として使用されます。手順

1. クラスタ内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. 監査ホスト名を設定するには、 isi audit settings global modify コマンド

に--hostname オプションを設定して実行します。次のコマンドは、［mycluster］という監査ホスト名を設定します。

isi audit settings global modify --hostname=mycluster

プロトコル監査対象ゾーンの構成監査対象ゾーン内のプロトコル監査イベントのみが収集されて、CEE サーバに送信されます。そのため、監査イベントを送信するには、プロトコル監査対象ゾーンを構成する必要があります。手順

1. クラスタ内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi audit settings global modify コマンドを-audited-zones オプショ

ンを指定して実行して、プロトコル監査対象ゾーンを構成します。次のコマンドは、［HomeDirectory］と［Misc］をプロトコル監査対象ゾーンとして構成します。

isi audit settings global modify --audited-zones=HomeDirectory,Misc

監査

監査ホスト名の設定 255

システム構成変更のシステムログへの転送EMC Isilon クラスター上のシステム構成の変更をシステムログ（/var/log/audit_config.log に保存）に転送する処理を有効化または無効化することができます。この手順は、コマンドラインインターフェイスを通じてのみ利用可能です。

はじめにデフォルトでは、システム構成の監査が有効化されている場合、転送は有効化されていません。システム構成変更のシステムログへの転送を有効化するには、まず、クラスターのシステム構成監査を有効化する必要があります。手順

1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi audit settings global modify コマンドを--config-syslog-

enabled オプションで実行して、システム構成の変更の転送を有効化または無効化します。次のコマンドは、システム構成変更のシステムログへの転送を有効化します。

isi audit settings global modify --config-syslog-enabled=yes

次のコマンドは、システム構成変更のシステムログへの転送を無効化します。

isi audit settings global modify --config-syslog-enabled=no

プロトコルのイベントフィルターの構成アクセスゾーンで監査されるプロトコルアクセスイベントのタイプをフィルタリングすることができます。正常なイベントや失敗したイベントのフィルターを作成することができます。次のプロトコルイベントは、監査されるアクセスゾーンに対してデフォルトで収集されます。create、delete、rename、close、set_security。この処理手順は、コマンドラインインターフェイスを使用した場合にのみ使用できます。はじめにプロトコルのイベントフィルターを作成するには、最初にアクセスゾーンでプロトコルアクセス監査を有効にする必要があります。手順

1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi audit settings modify コマンドを実行します。

次のコマンドは、zone3 アクセスゾーンでの create、close、delete イベントの失敗を監査するフィルターを作成します。

isi audit settings modify --audit-failure=create,close,delete --zone=zone3

監査


次のコマンドは、zone5 アクセスゾーンでの create、close、delete イベントの成功を監査するフィルターを作成します。

isi audit settings modify --audit-success=create,close,delete --zone=zone5

EMC Common Event Enabler との統合OneFS を EMC CEE（Common Event Enabler）と統合すると、サードパーティ監査アプリケーションによりプロトコル監査ログを収集および解析できます。OneFSは、Windows向けの CEE の CEPA（Common Event Publishing Agent）コンポーネントをサポートしています。OneFS との統合では、サポートされているWindows クライアント上でWindows向けの CEE をインストールおよび構成する必要があります。

OneFS監査機能を有効化する前に、サードパーティの監査アプリケーションをインストールして構成しておくことを推奨します。そうしないと、この機能によって実行される大量のバックログにより、かなりの長時間にわたり結果が最新でなくなることがあります。

Windows用 CEE のインストールCEE を OneFS と統合するには、Windows オペレーティングシステムを実行中のコンピューターに最初に CEE をインストールする必要があります。

はじめに以下のステップで説明されているように、.iso ファイルからファイルを展開しておきます。処理に不慣れな場合は、次のいずれかの方法を選択してください。

1. アーカイブとして.iso ファイルを開くことができるWinRAR または他の適切なアーカイブプログラムをインストールし、ファイルをコピーする。

2. イメージを CD-ROM に焼き付けてから、ファイルをコピーする。3. SlySoft Virtual CloneDrive をインストールする。これを使用すると、ファイルをコピーできるドライブとして ISO イメージをマウントできます。

最低 2台のサーバーにインストールする必要があります。 CEE 6.6.0以降をインストールすることを推奨します。

手順1. CEE フレームワークソフトウェアを EMC オンラインサポートからダウンロードします。

a. Web ブラウザーで、https://support.emc.com/search/に移動します。b. 検索フィールドで Common Event Enabler for Windows と入力し、次に［Search］アイコンをクリックします。

c.［Common Event Enabler <Version> for Windows］をクリックします。ここで、［<Version>］は 6.2以降です。次に指示に従って.iso ファイルを開くか保存します。

2. .iso ファイルから、必要とする 32 ビットまたは 64 ビットの EMC_CEE_Pack実行可能ファイルを展開します。

監査

EMC Common Event Enabler との統合 257

https://support.emc.com/search/

展開が完了すると、［EMC Common Event Enabler］インストールウィザードが開きます。

3. ［Next］をクリックして［License Agreement］ページに進みます。4. ［I accept...］オプションをクリックして使用許諾契約書の条件に同意し、次に［Next］を

クリックします。5. ［Customer Information］ページで、ユーザー名と組織を入力してインストールプリファレ

ンスを選択し、次に［Next］をクリックします。6. ［Setup Type］ページで、［Complete］を選択し、次に［Next］をクリックします。7. ［インストール］をクリックして、インストールを開始します。［Installing EMC Common Event Enabler］ページにインストールの進捗が表示されます。インストールが完了すると、［InstallShield Wizard Completed］ページが表示されます。

8. ［［Finish］］をクリックしてウィザードを終了します。9. システムを再起動します。

Windows用 CEE の構成Windows向けの CEE をクライアントコンピューターにインストールした後で、Windows レジストリエディター（regedit.exe）を使用して追加設定を構成する必要があります。手順

1. Windows レジストリエディターを開きます。2. 監査アプリケーションによってサポートされている場合は、次のレジストリキーを構成します。

設定レジストリの場所キー値

CEE HTTP

リスニングポート

[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\Configuration]

HttpPort 12228

リモートエンドポイントの監査の有効化

[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration]

Enabled 1

リモートエンドポイントの監査

[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration]

EndPoint ［<EndPoint

>］

l HttpPort値は、OneFS プロトコル監査構成時に指定した CEE URI のポートと一致する必要があります。

l EndPoint値は［<EndPoint_Name>］@［<IP_Address>］の形式にする必要があります。各値をセミコロン（;）で区切ることで、複数のエンドポイントを指定できます。

次のキーでは、単一のリモートエンドポイントを指定します。[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration] EndPoint = [email protected]次のキーでは、複数のリモートエンドポイントを指定します。

監査


[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration] EndPoint [email protected];[email protected]

3. Windows レジストリエディターを閉じます。

プロトコル監査イベントデリバリのための CEE サーバ構成OneFS構成への各サーバの URI を追加することにより、OneFS を使用してプロトコル監査イベントをデリバリするように、CEE サーバを構成するできます。

手順l isi audit settings global modify コマンドを--cee-server-uris オプシ

ョンを設定して実行して、OneFS構成への CEE サーバの URI を追加します。

次のコマンドは、3台の CEE サーバの URI を OneFS構成に追加します。

isi audit settings global modify --cee-server-uris=http://server1.example.com:12228/vee,http://server2.example.com:12228/vee,http://server3.example.com:12228/vee

プロトコル監査イベントデリバリのトラッキングプロトコル監査イベントの収集プロセスと CEE サーバへのデリバリが、同時に行われることはありません。そのため、利用できる CEE サーバがない場合でも、プロトコル監査イベントの収集は継続され、後で CEE サーバにデリバリするために格納されています。最後に収集されたプロトコル監査イベントの時間と、CEE サーバに送信された最後のイベントのイベント時刻を表示することができます。CEE フォワーダーのログの位置を必要な時刻に移動することもできます。

CEE サーバおよびシステムログへのイベントデリバリのタイムスタンプの表示isi audit progress view コマンドを実行しているノードの CEE サーバとシステムログに対するイベントデリバリのタイムスタンプを表示することができます。

この設定は、コマンドラインインターフェイスを使用した場合にのみ使用できます。

手順l isi audit progress view コマンドを実行すると、コマンドを実行しているノードの

CEE サーバとシステムログに対するイベントデリバリのタイムスタンプを表示することができます。

isi audit progress view の出力例は次のとおりです。

Protocol Audit Log Time: Tue Mar 29 13:32:38 2016Protocol Audit Cee Time: Tue Mar 29 13:32:38 2016Protocol Audit Syslog Time: Fri Mar 25 17:00:28 2016

isi audit progress view コマンドに--lnn オプションを指定して実行すると、論理ノード番号で指定されたノードの監査イベントのデリバリのタイムスタンプが表示されます。

次のコマンドは、論理ノード番号［2］のノードの監査イベントのデリバリの進行状況を表示します。

isi audit progress view --lnn=2

監査

プロトコル監査イベントデリバリのための CEE サーバ構成 259

次のような出力が表示されます。

Protocol Audit Log Time: Tue Mar 29 13:32:38 2016Protocol Audit Cee Time: Tue Mar 29 13:32:38 2016Protocol Audit Syslog Time: Fri Mar 25 17:00:28 2016

CEE フォワーダーのログの位置の移動現在時刻と比較して監査ログのイベント時間に遅延がある場合、CEE フォワーダーのログの位置を移動することができます。EMC Isilon クラスタ内の CEE フォワーダーのすべてのログのイベント時間が、最も近い時刻にグローバルに移動します。

スキップされるイベントは、まだクラスタで利用可能な場合でも、CEE サーバに転送されません。

手順l isi audit settings global modify コマンドを--cee-log-time オプションを

指定して実行すると、CEE フォワーダーのログの位置が移動します。

次のコマンドは、CEE フォワーダーのログの位置を手動で移動します。

isi audit settings global modify --cee-log-time='protocol@2016-01-27 01:03:02'

プロトコル監査イベントの CEE サーバへのデリバリ率の表示プロトコル監査イベントの CEE サーバへのデリバリ率を表示することができます。

手順l isi statistics query コマンドを実行すると、EMC Isilon ノードの CEE サーバへのプ

ロトコル監査イベントの現在のデリバリ率を表示します。次のコマンドを実行すると、CEE サーバへのプロトコル監査イベントの現在のデリバリ率が表示されます。

isi statistics query current list --keys=node.audit.cee.export.rate

次のような出力が表示されます。

Node node.audit.cee.export.rate--------------------------------- 1 3904.600000---------------------------------Total: 1

監査


第 13章

スナップショット


l スナップショットの概要...........................................................................................262l SnapshotIQ によるデータ保護..............................................................................262l スナップショットのディスク領域使用量...................................................................... 262l スナップショットスケジュール................................................................................... 263l スナップショットエイリアス....................................................................................... 263l ファイルとディレクトリのリストア.................................................................................263l スナップショット作成のベストプラクティス...................................................................264l スナップショットスケジュール作成のベストプラクティス................................................. 264l ファイルクローン...................................................................................................265l スナップショットロック.............................................................................................266l スナップショット予約..............................................................................................267l SnapshotIQ ライセンスの機能.............................................................................. 267l SnapshotIQ を使用したスナップショットの作成........................................................ 267l スナップショットの管理 .......................................................................................... 273l スナップショットデータのリストア...............................................................................275l スナップショットスケジュールの管理..........................................................................277l スナップショットエイリアスの管理............................................................................. 278l スナップショットロックの管理...................................................................................280l SnapshotIQ設定の構成.................................................................................... 282l スナップショット予約の設定....................................................................................283l 変更リストの管理................................................................................................ 284

スナップショット 261

スナップショットの概要OneFS スナップショットは、特定のポイントインタイムでクラスターに格納されるデータへの論理ポインターです。スナップショットは、クラスター上のディレクトリ、およびディレクトリとそのサブディレクトリに格納されているすべてのデータを参照します。スナップショットによって参照されているデータを変更した場合、スナップショットには、変更されたデータの物理コピーが格納されます。スナップショットは、ユーザーの仕様に応じて作成されるか、またはシステムオペレーションを容易にするために OneFS によって自動的に生成されます。スナップショットを作成および管理するには、クラスターで SnapshotIQ ライセンスをアクティブ化する必要があります。一部のアプリケーションを機能させるためには、スナップショットを生成する必要がありますが、SnapshotIQ ライセンスをアクティブ化する必要はありません。デフォルトでは、これらのスナップショットは、OneFS で必要とされなくなった時点で自動的に削除されます。ただし、SnapshotIQ ライセンスをアクティブ化した場合は、スナップショットを保持できます。他のモジュールによって生成されたスナップショットは、SnapshotIQ ライセンスをアクティブ化しなくても表示できます。名前または ID によってスナップショットを識別および検索できます。スナップショット名はユーザーが指定し、スナップショットを含む仮想ディレクトリに割り当てられます。スナップショット IDは、OneFSによってスナップショットに自動的に割り当てられる数値識別子です。

SnapshotIQ によるデータ保護SnapShotIQ ソフトウェアモジュールでスナップショットを作成して、データを保護できます。スナップショットで、削除および変更されたファイルをリストアできるようにすることにより、過失による削除や変更からデータを保護します。SnapshotIQ を使用するには、クラスター上で SnapshotIQ ライセンスをアクティブ化する必要があります。スナップショットは、時間とストレージ消費の両方の点において、個別の物理ストレージデバイスでデータをバックアップするよりも低コストです。データを別の物理デバイスに移動するために必要な時間は、移動するデータ量に応じて異なりますが、スナップショットは、スナップショットによって参照されるデータ量に関係なく、ほぼ瞬時に作成されます。さらに、スナップショットはローカルに使用できるため、エンドユーザーは、多くの場合、各自のデータをシステム管理者のサポートを必要とせずにリストアできます。変更されていないデータは、再度作成されるのではなく参照されるため、スナップショットが必要とする容量はリモートバックアップが必要とする容量よりも少なくなります。スナップショットは、ハードウェアやファイルシステムの問題からデータを保護するものではありません。スナップショットは、クラスターに格納されているデータを参照します。このため、クラスターのデータが使用不可になると、スナップショットも使用不可になります。このため、スナップショットの作成に加え、別の物理デバイスにデータをバックアップすることをお勧めします。

スナップショットのディスク領域使用量スナップショットが消費するディスク領域の量は、スナップショットによって格納されるデータ量と、スナップショットが他のスナップショットから参照するデータ量の両方に依存します。OneFS による作成の直後は、スナップショットが消費するディスク領域の容量はごくわずかです。スナップショットは、スナップショットによって参照されるデータが変更されない限り、追加のディスク領域を消費しません。スナップショットが参照するデータが変更された場合、スナップショットは、変更前のデータの読み取り専用コピーを格納します。スナップショットは、スナップショット作成時の状態にディレクトリの内容をリストアするために必要なスペースのみを消費します。



ディスク領域の使用量を削減するため、同じディレクトリを参照するスナップショットは相互参照を行い、古いスナップショットが新しいスナップショットを参照します。ファイルが削除されたときに、複数のスナップショットがそのファイルを参照している場合は、1 つのスナップショットがそのファイルのコピーを格納し、他のスナップショットは、コピーを格納しているスナップショットからファイルを参照します。報告されるスナップショットのサイズは、そのスナップショットによって格納されたデータ量のみを反映し、そのスナップショットによって参照されているデータ量は含まれません。スナップショットは、一定量のストレージ領域を消費しないため、スナップショットの作成に関する使用可能な領域の要件はありません。スナップショットのサイズは、スナップショットに含まれるデータの変更に応じて増大します。クラスターは、20,000 を超えるスナップショットを保持することはできません。

スナップショットスケジュールスナップショットは、スナップショットスケジュールに従って自動的に生成できます。スナップショットスケジュールでは、スナップショットを毎回手動で作成することなく、ディレクトリのスナップショットを定期的に生成できます。また、有効期限を割り当て、自動生成された各スナップショットを SnapshotIQ が削除するタイミングを決定することもできます。

スナップショットエイリアススナップショットエイリアスは、スナップショットの論理ポインターです。スナップショットスケジュールのエイリアスを指定した場合、エイリアスは常に、そのスケジュールで生成された最新のスナップショットを指します。スナップショットエイリアスを割り当てると、スナップショットスケジュールに従って生成された最新のスナップショットを迅速に識別およびアクセスできます。クライアントにエイリアスを通じたスナップショットへのアクセスを許可する場合、エイリアスを再割り当てしてクライアントを他のスナップショットにリダイレクトできます。スナップショットへのスナップショットエイリアスの割り当てに加えて、ファイルシステムのライブバージョンにスナップショットエイリアスを割り当てることもできます。これは、クライアントがスナップショットエイリアスを通じてスナップショットにアクセスしており、クライアントをファイルシステムのライブバージョンにリダイレクトする場合に役立つことがあります。

ファイルとディレクトリのリストアスナップショットからデータをコピーするか、スナップショットからファイルのクローン作成を行うか、スナップショット全体を戻すことで、スナップショットエイリアスによって参照されているファイルとディレクトリをリストアできます。スナップショットからファイルをコピーすると、ファイルが複製され、消費されるストレージ領域の量がほぼ倍増します。スナップショットではないディレクトリから元のファイルを削除した場合でも、ファイルのコピーはスナップショット内に残ります。スナップショットからファイルのクローンを作成した場合も、ファイルが複製されます。ただし、クラスター上で追加のスペースがすぐに消費されるコピーとは異なり、クローンを作成した場合は、クローンまたはクローン作成されたファイルが変更されない限り、クラスター上で追加のスペースが消費されません。スナップショットを元に戻すと、ディレクトリの内容がスナップショットに格納されたデータで置き換えられます。スナップショットを元に戻す前に、SnapshotIQは、置き換えられるディレクトリのスナップショットを作成します。これにより、スナップショットを元に戻す操作を後で取り消すことが可能になります。スナップショットを元に戻す操作は、ファイルとディレクトリに対して行った大量の変更を取り消す場合に役立ちます。ディレクトリのスナップショットが作成された後に、そのディレクトリで新しいファイルまたはディレクトリが作成された場合、これらのファイルとディレクトリは、スナップショットを戻すと削除されます。


スナップショットスケジュール 263

ディレクトリを移動する場合、ディレクトリが移動される前に取得されたディレクトリのスナップショットは復元できません。

スナップショット作成のベストプラクティス大量のスナップショットを取り扱う場合は、次のスナップショットのベストプラクティスを考慮してください。パフォーマンスの低下を回避するために、1 つのディレクトリに 1,000 を超えるスナップショットを作成しないことをお勧めします。ルートディレクトリのスナップショットを作成すると、そのスナップショットは、ルートディレクトリのすべてのサブディレクトリのスナップショットの合計数に加算されます。たとえば、/ifs/data のスナップショットを 500個と/ifs/data/media のスナップショットを 500個作成した場合、/ifs/data/media のスナップショットを 1,000個作成したことになります。他のスナップショットによってすでに参照されているディレクトリのスナップショットを作成しないでください。パフォーマンスの低下を回避するために、スナップショット内の各ファイルに 1,000 を超えるハードリンクは作成しないことをお勧めします。ディレクトリパスは、常にできるだけ浅くするようにします。スナップショットによって参照されるディレクトリの階層が深いほどパフォーマンスは低下します。ディレクトリツリーの上位にあるディレクトリのスナップショットを作成すると、そのスナップショットによって参照されているデータを変更するための時間が長くなり、スナップショットとディレクトリを管理するためにさらに多くのクラスタリソースが必要になります。ただし、ディレクトリツリーの下位のディレクトリのスナップショットを作成すると、より多くのスナップショットスケジュールが必要になり、管理が難しくなる可能性があります。/ifs または/ifs/data のスナップショットは作成しないことをお勧めします。クラスタ上で、一度に最大 20,000 のスナップショットを作成できます。ワークフローで多数のスナップショットが継続的に必要な場合、OneFS コマンドラインインターフェイスでスナップショットを管理するよりも、OneFS Web管理インターフェイスでスナップショットを管理する方が適切です。CLI には、さまざまなソートオプションとフィルタリングオプションがあり、リストをテキストファイルにリダイレクトすることもできます。スナップショットが不要になったら、削除するようにスナップショットをマークします。この時、SnapshotDelete システムジョブが有効になっていることを確認してください。SnapshotDelete ジョブが無効になっていると、未使用のディスク領域が解放されないだけでなく、時間の経過とともにパフォーマンス低下の原因になる可能性もあります。システムクロックが UTC（協定世界時）以外のタイムゾーンに設定されている場合、SnapshotIQは DST（夏時間）に一致するようにスナップショット保存期間を変更します。DST に入ると、DSTに合わせてスナップショット保存期間が 1時間増やされます。DST が終了すると、標準時間に合わせてスナップショット保存期間が 1時間減らされます。

スナップショットスケジュール作成のベストプラクティススナップショットスケジュール構成は、スナップショットの削除方法によって、順序削除と非順序削除に分類できます。順序削除は、ディレクトリの最も古いスナップショットの削除です。非順序削除は、ディレクトリの最も古いスナップショットではないスナップショットの削除です。非順序削除は、順序削除に比べ、完了までの時間がおよそ 2倍かかり、より多くのクラスターリソースを消費します。ただし、非順序削除は、少ない数のスナップショットを保持することで、スペースを節約できます。非順序削除と順序削除のどちらがメリットがあるかは、スナップショットによって参照されるデータの変更頻度によって決まります。データが頻繁に変更される場合は、非順序削除によってスペースが節



約されます。ただし、データが変更されない場合、非順序削除ではスペースが節約されない可能性が高いため、順序削除を実行してクラスターリソースを解放することをお勧めします。順序削除を実装するには、ディレクトリのすべてのスナップショットに対して同じ持続期間を割り当てます。スナップショットは、1件または複数のスナップショットスケジュールによって作成できます。ディレクトリのスナップショットが 1,000個を超えて作成されないことを常に確認してください。非順序スナップショット削除を実装するには、1 つのディレクトリに対して複数のスナップショットスケジュールを作成した後、各スケジュールに対して異なるスナップショット持続期間を割り当てます。可能であれば、すべてのスナップショットが同時に作成されることを確認します。次の表に、スナップショットのベストプラクティスに従ったスナップショットスケジュールを示します。

表 3 スナップショットスケジュール構成

削除タイプスナップショットの頻度

スナップショット時間スナップショットの有効期限

保持される最大スナップショット数

順序削除（大半の静的データ用）

毎時 12:00 AM開始、11:59 AM終了

1 か月 720

非順序削除（頻繁に変更されるデータ）

1時間おき 12:00 AM開始、11:59 PM終了

1日 27

毎日 12:00 AM 1週間

毎週土曜日 12:00 AM 1 か月

毎月第 1土曜日 12:00AM

3 か月

ファイルクローンSnapshotIQ を使用して、既存のファイルとブロックを共有するファイルクローンを作成し、クラスターの容量を節約できます。通常、ファイルクローンはファイルコピーの場合よりも消費する容量が少なく、作成時間も短くなります。スナップショットからファイルをクローンすることはできますが、クローンは主に内部で OneFS によって使用されます。クローンとクローンファイル間で共有されているブロックは、シャドウストアと呼ばれる隠しファイルに含まれています。クローンが作成されるとすぐに、クローンファイルに元々含まれていたすべてのデータがシャドウストアに転送されます。両方のファイルがシャドウストアからすべてのブロックを参照するため、2 つのファイルは元のファイルと同程度の容量しか消費しません。つまり、クローンによってクラスターの容量がさらに消費されることはありません。ただし、クローンファイルまたはクローンが変更されると、そのファイルとクローンはそれらの両方に共通するブロックしか共有しなくなるため、変更されたブロック、つまり共有されていないブロックによってクラスターの容量がさらに使用されるようになります。時間の経過とともに、シャドウストアに含まれている共有ブロックをファイルまたはクローンのどちらも参照しなくなる場合、それらのブロックは不要になる可能性があります。クラスターは、不要になったブロックを定期的に削除します。ShadowStoreDelete ジョブを実行すると、使用されていないブロックを、いつでもクラスターから強制的に削除することができます。クローンに ADS（代替データストリーム）を含めることはできません。代替データストリームを含むファイルのクローンを作成しても、そのクローンには代替データストリームは含まれません。


ファイルクローン 265

シャドウストアに関する考慮事項シャドウストアは、クローンファイルと重複排除ファイルによって参照される隠しファイルです。シャドウストアを参照するファイルは、他のファイルとは動作が異なります。l シャドウストア参照の読み取りは、データの直接的な読み取りよりも遅くなることがある。特に、

キャッシュされていないシャドウストア参照の読み取りは、キャッシュされていないデータの読み取りよりも遅くなります。キャッシュされているシャドウストア参照の読み取りには、キャッシュされているデータの読み取りと同程度の時間がかかります。

l シャドウストアを参照しているファイルが別の Isilon クラスターにレプリケートされるか、NDMP（ネットワークデータ管理プロトコル）バックアップデバイスにバックアップされるとき、ターゲットIsilon クラスターまたはバックアップデバイスにシャドウストアは転送されない。ファイルは、シャドウストアから参照しているデータが含まれているかのように転送されます。ターゲット Isilon クラスターまたはバックアップデバイスでは、ファイルは、シャドウストアを参照していない場合と同じスペースの容量を消費します。

l OneFSは、シャドウストアを作成するとき、そのシャドウストアを参照しているファイルのストレージプールにシャドウストアを割り当てます。シャドウストアが存在するストレージプールを削除すると、シャドウストアは、そのシャドウストアを参照している別のファイルによって占有されているプールに移動されます。

l OneFSは、シャドウストアブロックに対する最後の参照が削除された直後にそのブロックを削除しない。代わりに、OneFSは、未参照ブロックを削除する ShadowStoreDelete ジョブが実行されるまで待機します。大量の未参照ブロックがクラスター上に存在する場合、OneFSは、ShadowStoreDelete ジョブが実行されるまで、マイナスの重複排除による節約を報告することがあります。

l シャドウストアは、それを参照しているファイルの中で最も保護されているファイルと同じレベルで保護される。たとえば、シャドウファイルを参照する 1 つのファイルが+2 の保護のストレージプールに格納され、同じシャドウファイルを参照する別のファイルが+3 の保護のストレージプールに格納されている場合、シャドウストアは+3 で保護されます。

l クォータは、シャドウストアを参照するファイルを、そのファイルにシャドウストアから参照されるデータが含まれているかのように考慮する。クォータから見ると、シャドウストア参照は存在しません。ただし、クォータにデータ保護オーバーヘッドが含まれている場合、クォータにはシャドウストアのデータ保護オーバーヘッドは含まれません。

スナップショットロックスナップショットロックでは、スナップショットの削除が防止されます。スナップショットに、それに適用されている 1 つ以上のロックがある場合、そのスナップショットを削除することはできず、ロックされているスナップショットと見なされます。ロックされたスナップショットが期限切れとなっても、OneFSはそのスナップショットに設定されているすべてのロックが削除されるまで、スナップショットを削除しません。OneFSはスナップショットロックを適用することで、OneFS アプリケーションによって生成されたスナップショットが予定よりも早く削除されないようにします。このため、スナップショットロックを削除したり、スナップショットロックの期限を変更しないことをお勧めします。同時にスナップショットに適用できるロックの数には制限があります。スナップショットロックを作成すると、スナップショットの制限に達する場合があり、OneFS が必要なときにスナップショットロックを適用できなくなることがあります。このため、スナップショットロックを作成しないことをお勧めします。



スナップショット予約スナップショット予約を行うと、スナップショット専用のクラスターストレージ容量を最小パーセントだけ確保できます。これを指定すると、他のすべての OneFS動作が、スナップショット用に予約された割合のクラスター容量にアクセスできなくなります。

スナップショット予約によって、スナップショットがクラスターで使用できる容量が制限されることはありません。スナップショットは、スナップショット予約によって指定されたよりも多くの割合のストレージ容量を使用できます。スナップショット予約を指定しないことを推奨します。

SnapshotIQ ライセンスの機能スナップショットは、クラスター上で SnapshotIQ ライセンスをアクティブ化している場合のみ作成できます。ただし、OneFS による内部使用のために作成されたスナップショットとスナップショットロックは、SnapshotIQ ライセンスをアクティブ化しなくても表示できます。次の表に、SnapshotIQ ライセンスがアクティブ化されているかどうかに応じて使用できるスナップショット機能を示します。

機能非アクティブアクティブ

スナップショットおよびスナップショットスケジュールの作成

× 可

SnapshotIQ設定の構成 × 可

スナップショットスケジュールの表示

可可

スナップショットの削除可可

スナップショットデータへのアクセス

可可

スナップショットの表示可可

SnapshotIQ ライセンスが非アクティブになると、新しいスナップショットは作成できず、すべてのスナップショットスケジュールは無効化され、スナップショットまたはスナップショット設定は変更できません。ただし、スナップショットの削除と、スナップショットに含まれているデータへのアクセスは引き続き可能です。

SnapshotIQ を使用したスナップショットの作成スナップショットを作成するには、クラスターに SnapshotIQ ライセンスを構成する必要があります。スナップショットスケジュールを作成するか、または個々のスナップショットを手動で生成することで、スナップショットを作成できます。スナップショットをすぐに作成する必要がある場合やスナップショットスケジュールに指定していない時間の場合は、手動のスナップショットが便利です。たとえば、ファイルシステムの変更を予定していて、変更の結果に確信が持てない場合、変更前に現在のファイルシステムの状態をスナップショットに収集できます。


スナップショット予約 267

スナップショットを作成する前に、スナップショットの復元には、復元対象ディレクトリの SnapRevertドメインが存在している必要があることを考慮してください。ディレクトリのスナップショットの復元を予定している場合、ディレクトリの SnapRevert ドメインは、空のディレクトリで作成することが推奨されます。含まれるデータが少ないディレクトリのドメイン作成は少ない時間で済みます。

SnapRevert ドメインの作成ディレクトリを含むスナップショットを復元するには、まず対象ディレクトリの SnapRevert ドメインを作成する必要があります。ディレクトリの SnapRevert ドメインは、空のディレクトリで作成することが推奨されます。SnapRevert ドメインはスナップショットと同じルートパスに存在する必要があります。たとえば、ドメインのルートパスが/ifs/data/media の場合、/ifs/data/media/archive のルートパスでスナップショットを復元することはできません。/ifs/data/media/archive を復元するには、/ifs/data/media/archive のルートパスで SnapRevert ドメインを作成する必要があります。手順


2. ［Job Types］領域において、［DomainMark］行の［Actions］列で［Start Job］を選択します。

3. ［Domain Root Path］フィールドに、スナップショットルートディレクトリのパスを入力します。

4. ［Type of domain］リストから［SnapRevert］を選択します。5. ［Delete this domain］チェックボックスがオフになっていることを確認します。6. ［Start Job］をクリックします。

スナップショットスケジュールの作成スナップショットスケジュールを作成して、ディレクトリのスナップショットを継続的に生成することができます。手順

1. ［Data Protection］ > ［SnapshotIQ］ > ［Snapshot Schedules］をクリックします。

2. ［Create a Schedule］をクリックします。［Create a Schedule］ダイアログボックスが表示されます。

3. (オプション) ［Schedule Name］フィールドに、スナップショットスケジュールの名前を入力します。

4. (オプション) ［Naming pattern for Generated Snapshots］フィールドに命名パターンを入力します。このスケジュールに従って生成される各スナップショットには、このパターンに基づいて名前が割り当てられます。たとえば、次の命名パターンは有効です。

WeeklyBackup_%m-%d-%Y_%H:%M

この例では、次のような名前が生成されます。

WeeklyBackup_07-13-2014_14:21



5. ［Path］フィールドに、このスケジュールに従って生成されるスナップショットに含めるディレクトリを指定します。

6. ［Schedule］リストで、スケジュールに従ってスナップショットを生成する頻度を選択します。

オプション説明スナップショットの生成を毎日実行するか、指定した日数間隔で実行する。

［Daily］を選択し、スナップショットを生成する頻度を指定する。

毎週特定の曜日にスナップショットを生成する。または特定の週数だけスナップショットの生成をスキップする。

［Weekly］を選択し、スナップショットを生成する頻度を指定する。

毎月特定の日にスナップショットを生成する。または特定の月数だけスナップショットの生成をスキップする。

［Monthly］を選択し、スナップショットを生成する頻度を指定する。

毎年特定の日にスナップショットを生成する。

［Yearly］を選択し、スナップショットを生成する頻度を指定する。

スナップショットのスケジュールは複数の日にまたがることはできません。たとえば、スナップショットを月曜日の午後 5時に開始して火曜日の午前 5時に終了するように指定することはできません。1日を超えて継続するスナップショットを生成するには、2 つのスナップショットスケジュールを作成する必要があります。たとえば、スナップショットの生成を月曜日の午後 5時に開始して火曜日の午前 5時に終了するようにするには、月曜日の午後 5時から午後 11時 59分までのスケジュールと火曜日の午前 12時から午前 5時までのスケジュールを作成します。

7. (オプション) スケジュールによって生成される最新のスナップショットに代替名を割り当てるには、スナップショットのエイリアスを指定します。a.［Create an Alias］の横の［Yes］をクリックします。b. デフォルトのスナップショットエイリアス名を変更するには、［Alias Name］フィールドにスナップショットの代替名を入力します。

8. (オプション) スケジュールに従って生成されるスナップショットが OneFS によって削除されるまでの存在期間を指定するには、有効期限を指定します。a.［Snapshot Expiration］の横の［Snapshots expire］を選択します。b.［Snapshots expire］の横に、スケジュールに従って生成されるスナップショットの保存期間を指定します。

9. ［Create Schedule］をクリックします。

スナップショットの作成ディレクトリのスナップショットを作成できます。手順

1. ［Data Protection］ > ［SnapshotIQ］ > ［Snapshots］をクリックします。2. ［Create a Snapshot］をクリックします。

［Create a Snapshot］ダイアログボックスが表示されます。


スナップショットの作成 269

3. (オプション) ［Share Name］フィールドに、スナップショットの名前を入力します。4. ［Path］フィールドに、スナップショットを格納するディレクトリを指定します。5. (オプション) スナップショットの代替名を作成するには、［Create a snapshot alias］を選

択して、エイリアス名を入力します。6. (オプション) 時間を置いてスナップショットが自動的に削除されるようにする場合は、有効期

限を指定します。a.［Snapshot Expires on］を選択します。b. カレンダーで、スナップショットを自動的に削除する日を指定します。

7. ［Create Snapshot］をクリックします。

スナップショットの命名パターンスナップショットの自動生成をスケジュールする場合、スナップショットのスケジュールまたはレプリケーションポリシーに従って、スナップショットの命名方法を指定するスナップショット命名パターンを割り当てる必要があります。スナップショット命名パターンには、スナップショットの作成方法と作成時期に関する情報を示す変数が含まれています。スナップショット命名パターンには次の変数を指定できます。

変数説明

%A 曜日。

%a 曜日の略称。たとえば、スナップショットが日曜日に生成される場合、%aは Sun に置き換えられます。

%B 月の名前。

%b 月の略称。たとえば、スナップショットが 9月（September）に生成される場合、%bは Sep に置き換えられます。

%C 年の最初の 2桁。たとえば、スナップショットが 2014

年に生成される場合、%Cは 20 に置き換えられます。

%c 日時。この変数は%a %b %e %T %Y を指定した場合に相当します。

%d 月の 2桁の日。

%e 月の特定の日。1桁の日の前にはスペースが付加されます。

%F 日付。この変数は%Y-%m-%d を指定した場合に相当します。

%G 年。この変数は%Y を指定した場合に相当します。ただし、スナップショットを作成する週のうち現在の年に該当する日数が 4日未満の場合、その週の大部分の日が含まれる年が表示されます。週の最初の日を月曜日として計算します。たとえば、スナップショットの作成日が 2017年 1月 1日（日曜日）の場合、この週のうち 2017年に該当する日は 1日のみであるため、%Gは 2016 に置き換えられます。



変数説明

%g 年の略称。この変数は%y を指定した場合に相当します。ただし、スナップショットを作成する週のうち現在の年に該当する日数が 4日未満の場合、その週の大部分の日が含まれる年が表示されます。週の最初の日を月曜日として計算します。たとえば、スナップショットの作成日が 2017年 1月 1日（日曜日）の場合、この週のうち 2017年に該当する日は 1日のみであるため、%gは 16 に置き換えられます。

%H 時間。時間を 24時間制で表します。1桁の時間の前には 0 が付加されます。たとえば、スナップショットの作成時刻が午前 1時 45分の場合、%Hは 01に置き換えられます。

%h 月の略称。この変数は%b を指定した場合に相当します。

%I 時間を 12時間制で表します。1桁の時間の前には0 が付加されます。たとえば、スナップショットの作成時刻が午後 1時 45分の場合、%Iは 01 に置き換えられます。

%j 年の数値形式の日。たとえば、スナップショットの作成日が 2月 1日の場合、%jは 32 に置き換えられます。

%k 時間を 24時間制で表します。1桁の時間の前にはスペースが付加されます。

%l 時間を 12時間制で表します。1桁の時間の前にはスペースが付加されます。たとえば、スナップショットの作成時刻が午前 1時 45分の場合、%Iは 1 に置き換えられます。

%M 2桁の分。

%m 2桁の月。

%p AM または PM。%{PolicyName} スナップショットの作成対象となるレプリケーションポリ

シー。この変数は、レプリケーションポリシーのスナップショット命名パターンを指定する場合にのみ有効です。

%R 時刻。この変数は%H:%M を指定した場合に相当します。

%r 時刻。この変数は%I:%M:%S %p を指定した場合に相当します。

%S 2桁の秒。

%s 秒は UNIX または POSIX時刻で表されます。

%{SrcCluster} スナップショットの作成対象となるレプリケーションポリシーのソースクラスターの名前。この変数は、レプリケ


スナップショットの命名パターン 271

変数説明

ーションポリシーのスナップショット命名パターンを指定する場合にのみ有効です。

%T 時刻。この変数は%H:%M:%S を指定した場合に相当します。

%U 年の週を表す 2桁の数値。00 から 53 までの値の範囲。週の最初の日を日曜日として計算します。

%u 曜日を表す数値。1 から 7 までの値の範囲。週の最初の日を月曜日として計算します。たとえば、スナップショットの作成日が日曜日の場合、［%u］は 7 に置き換えられます。

%V スナップショットが作成された年の週を表す 2桁の数値。01 から 53 までの値の範囲。週の最初の日を月曜日として計算します。1月 1日の週の日数が 4

日以上ある場合、その週はその年の最初の週として扱われます。

%v スナップショットが作成された日。この変数は%e-%b-%Y を指定した場合に相当します。

%W スナップショットが作成された年の週を表す 2桁の数値。00 から 53 までの値の範囲。週の最初の日を月曜日として計算します。

%w スナップショットを作成した曜日を表す数値。0 から6 までの値の範囲。週の最初の日を日曜日として計算します。たとえば、スナップショットの作成日が日曜日の場合、%wは 0 に置き換えられます。

%X スナップショットが作成された時刻。この変数は%H:%M:%S を指定した場合に相当します。

%Y スナップショットが作成された年。

%y スナップショットが作成された年の最後の 2桁。たとえば、スナップショットが 2014年に生成された場合、［%y］は 14 に置き換えられます。

%Z スナップショットが作成されたタイムゾーン。

%z スナップショットが作成されたタイムゾーンの UTC（協定世界時）からのオフセット。プラス記号が前に付いている場合、タイムゾーンは UTC の東にあることを示します。マイナス記号が前に付いている場合、タイムゾーンは UTC の西にあることを示します。

%+ スナップショットが作成された日時。この変数は%a%b %e %X %Z %Y を指定した場合に相当します。

%% パーセント記号をエスケープする。たとえば、100%%

は 100%に置き換えられます。



スナップショットの管理スナップショットを削除したり表示したりすることができます。また、既存のスナップショットの名前、保存期間、スナップショットエイリアスを変更できます。ただし、スナップショットに含まれているデータを変更することはできません。スナップショットに含まれているデータは読み取り専用です。

スナップショットのディスク領域使用量の削減複数のスナップショットを同じディレクトリに格納している場合、1 つのスナップショットを削除しても、システムによってそのスナップショットのサイズとして報告された領域全体が解放されないことがあります。スナップショットのサイズは、スナップショットを削除した場合に解放される可能性があるデータの最大量を示します。スナップショットを削除すると、そのスナップショットが専用に使用していた領域のみが解放されます。2つのスナップショットが、格納された 1 つのデータを参照している場合、そのデータは、両方のスナップショットが削除されるまで解放されません。スナップショットには、ルートディレクトリのすべてのサブディレクトリに保存されているデータが格納されます。スナップショット 1 に/ifs/data/が保存され、スナップショット 2 に/ifs/data/dir が保存されている場合、この 2 つのスナップショットはデータを共有している可能性が高いと考えられます。ディレクトリを削除して再作成すると、ディレクトリ内のファイルを変更しなくても、そのディレクトリを含むスナップショットには再作成したディレクトリ全体が格納されます。同じディレクトリを含む複数のスナップショットを削除すると、異なるディレクトリを含む複数のスナップショットを削除する場合よりデータが解放される確率が高くなります。複数のスナップショットに同じディレクトリが格納されている場合、古いスナップショットを削除する方が新しいスナップショットを削除するよりディスク領域が解放される確率が高くなります。有効期限日を割り当てられたスナップショットは、スナップショットデーモンによって自動的に削除対象としてマークされます。デーモンが無効になっている場合、スナップショットはシステムによって自動削除されません。スナップショットデーモンを無効化しないことをお勧めします。

スナップショットの削除スナップショットに格納されているデータへのアクセスが不要になった場合は、スナップショットを削除できます。OneFS では、削除したスナップショットが占有しているディスク領域は、SnapshotDelete ジョブの実行時に解放されます。また、クローンまたはクローンファイルを含むスナップショットを削除した場合、シャドウストア内のデータはクラスタ上のファイルによって参照されなくなる可能性があります。OneFS では、シャドウストア内の未参照のデータは、ShadowStoreDelete ジョブの実行時に削除されます。OneFS では、ShadowStoreDelete ジョブと SnapshotDelete ジョブが定期的に実行されますが、これらのジョブを随時手動で実行することもできます。手順

1. ［Data Protection］ > ［SnapshotIQ］ > ［Snapshots］をクリックします。2. スナップショットのリストで、削除するスナップショットを選択します。

a.［Select an action］リストから［Delete］を選択します。b. 確認ダイアログボックスで、［Delete］をクリックします。

3. (オプション) 削除されたスナップショットデータをクラスタ上で解放する速度を高速化するには、SnapshotDelete ジョブを実行します。


スナップショットの管理 273

a.［Cluster Management］ > ［Job Operations］ > ［Job Types］の順にクリックします。

b.［Job Type］領域の［SnapshotDelete］で、［Start Job］をクリックします。

［Start a Job］ダイアログボックスが表示されます。c.［Start Job］をクリックします。

4. (オプション) 重複排除されたファイルやクローンファイル間で共有されていた削除済みデータをクラスタ上で解放する速度を高速にするには、ShadowStoreDelete ジョブを実行します。ShadowStoreDelete ジョブは、必ず SnapshotDelete ジョブを実行した後で実行します。

a.［Cluster Management］ > ［Job Operations］ > ［Job Types］の順にクリックします。

b.［Job Types］領域の［ShadowStoreDelete］で、［Start Job］をクリックします。

［Start a Job］ダイアログボックスが表示されます。c.［Start Job］をクリックします。

スナップショット属性の変更スナップショットの名前と有効期限を変更できます。手順

1. ［Data Protection］ > ［SnapshotIQ］ > ［Snapshots］をクリックします。2. スナップショットのリストで、変更するスナップショットの［View/Edit］をクリックします。

［View Snapshot Details］ダイアログボックスが表示されます。3. ［Edit］をクリックします。

［Edit Snapshot Details］ダイアログボックスが表示されます。4. 変更する属性を変更します。5. ［Save Changes］をクリックします。

スナップショットへのスナップショットエイリアスの割り当てスナップショットにスナップショットエイリアスを割り当てることができます。手順

1. ［Data Protection］ > ［SnapshotIQ］ > ［Snapshots］をクリックします。2. ［Snapshot Aliases］テーブルのエイリアスの行で、［View/Edit］をクリックします。3. ［Alias Name］領域で、［Edit］をクリックします。4. ［Alias Name］フィールドに新しいエイリアス名を入力します。5. ［Save］をクリックします。

スナップショットの表示スナップショットのリストを表示できます。



手順1. ［Data Protection］ > ［SnapshotIQ］ > ［Snapshots］をクリックします。

［Snapshots］テーブルにスナップショットがリストされます。

スナップショット情報すべてのスナップショットによって使用されているスペース合計量など、スナップショットに関する情報を表示できます。［Saved Snapshots］領域に次の情報が表示されます。

Saved Snapshots

クラスターに存在するスナップショットの合計数を示します。

Snapshots Pending Deletion

最後のスナップショット削除ジョブが実行された以降にクラスターで削除されたスナップショットの合計数を示します。削除されたスナップショットによって使用されていたスペースは、スナップショット削除ジョブを再度実行するまでは解放されません。

Snapshot Aliases

クラスターに存在するスナップショットエイリアスの合計数を示します。

Capacity Used by Snapshots

すべてのスナップショットによって使用されているスペースの合計量を示します。

スナップショットデータのリストアスナップショットデータをさまざまな方法でリストアできます。スナップショットの復元またはスナップショットディレクトリからスナップショットデータへのアクセスが可能です。スナップショットディレクトリから、ファイルのクローンを作成したり、ディレクトリまたはファイルをコピーしたりできます。スナップショットディレクトリには、Windows エクスプローラーまたは UNIX コマンドラインからアクセスできます。どの方法についても、スナップショット設定でスナップショットディレクトリへのアクセスを無効化または有効化することができます。

スナップショットの復元スナップショットが取得されたときの状態にディレクトリをリストアすることができます。OneFS では、スナップショットを復元する前に、ディレクトリに格納されているデータが失われないように、復元するディレクトリのスナップショットが生成されます。復元したスナップショットは削除されません。はじめにl ディレクトリの SnapRevert ドメインを作成します。l ディレクトリのスナップショットを作成します。手順


2. ［Job Types］テーブルの［SnapRevert］ジョブの［Start Job］をクリックします。

［Start a Job］ダイアログボックスが表示されます。3. (オプション) ジョブの優先度を指定するには、［Priority］リストで優先度を選択します。


スナップショット情報 275

値が小さいほど優先度が高いことを示します。優先度を指定しない場合、ジョブにはデフォルトのスナップショット復元優先度が割り当てられます。

4. (オプション) ジョブに使用できるクラスタリソースの量を指定するには、［Impact policy］リストからインパクトポリシーを選択します。

ポリシーを指定しない場合、ジョブにはデフォルトのスナップショット復元ポリシーが割り当てられます。

5. ［Snapshot ID to revert］フィールドに、復元するスナップショットの名前または ID を入力し、［Start Job］をクリックします。

Windows エクスプローラーを使用したファイルまたはディレクトリのリストアコンピューターにMicrosoft シャドウコピークライアントがインストールされている場合、この機能を使用してスナップショットに保存されているファイルやディレクトリをリストアできます。このファイルおよびディレクトリのリストア方法では、元の権限は保存されません。代わりに、この方法では、ファイルまたはディレクトリに、そのファイルまたはディレクトリのコピー先ディレクトリと同じ権限が割り当てられます。スナップショットからのデータのリストア時に権限を保存するには、UNIX コマンドラインで cp コマンドを-a オプションとともに実行します。

Windows エクスプローラーで、最新のスナップショットから始まってディレクトリの最大 64個のスナップショットにアクセスできます。アクセスするディレクトリのスナップショットが 64個を超える場合は、UNIX コマンドラインを使用します。

手順1. Windows エクスプローラーで、リストアするディレクトリか、リストア対象のファイルが格納されているディレクトリに移動します。ディレクトリが削除されている場合は、ディレクトリを再作成する必要があります。

2. フォルダーを右クリックして［Properties］をクリックします。3. ［Properties］ウィンドウの［Previous Versions］タブをクリックします。4. リストアするフォルダーのバージョンか、リストア対象ファイルのバージョンが格納されているフォ

ルダーのバージョンを選択します。5. ファイルまたはディレクトリのバージョンをリストアします。

l 選択したディレクトリのすべてのファイルをリストアするには、［Restore］をクリックします。l 選択したディレクトリを別の場所にコピーするには、［Copy］をクリックし、ディレクトリのコピー先となる場所を指定します。

l 特定のファイルをリストアするには、［Open］をクリックし、対象ファイルを元のディレクトリにコピーして、既存のコピーをスナップショットバージョンに置き換えます。

UNIX コマンドラインを使用したファイルまたはディレクトリのリストアUNIX コマンドラインを使用して、スナップショットからファイルまたはディレクトリをリストアすることができます。手順

1. UNIX コマンドラインを使用してクラスターへの接続を開きます。



2. (オプション) ファイルまたはディレクトリをリストアする元のスナップショットの内容を表示するには、スナップショットのルートディレクトリに含まれるディレクトリに対して ls コマンドを実行します。たとえば、次のコマンドを実行すると、Snapshot2014Jun04 に含まれている/archive ディレクトリの内容が表示されます。

ls /ifs/.snapshot/Snapshot2014Jun04/archive

3. cp コマンドを使用してファイルまたはディレクトリをコピーします。たとえば、次のコマンドは file1 ファイルのコピーを作成します。

cp -a /ifs/.snapshot/Snapshot2014Jun04/archive/file1 \ /ifs/archive/file1_copy

スナップショットからのファイルのクローンスナップショットからファイルのクローンを作成することができます。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. ファイルまたはディレクトリをリストアする元のスナップショットの内容を表示するには、スナップシ

ョットのルートディレクトリのサブディレクトリに対して ls コマンドを実行します。たとえば、次のコマンドを実行すると、Snapshot2014Jun04 に含まれている/archive ディレクトリの内容が表示されます。

ls /ifs/.snapshot/Snapshot2014Jun04/archive

3. cp コマンドに-c オプションを指定して実行し、スナップショットからファイルのクローンを作成します。たとえば、次のコマンドを実行すると、Snapshot2014Jun04 から test.txt のクローンが作成されます。

cp -c /ifs/.snapshot/Snapshot2014Jun04/archive/test.txt \/ifs/archive/test_clone.text

スナップショットスケジュールの管理スナップショットスケジュールを変更、削除、表示することができます。

スナップショットスケジュールの変更スナップショットスケジュールの変更は、変更後に生成されるスナップショットにのみ適用されます。スケジュールの変更は、既存のスナップショットには影響しません。スナップショットスケジュールのスナップショットエイリアスを変更すると、変更後のエイリアスは、スケジュールに従って次回生成されるスナップショットに割り当てられます。ただし、前回のスナップショットに割り当てられた変更前のエイリアスは削除されません。前回のスナップショットに割り当てられた変更前のエイリアスは、手動で削除しない限り、そのまま維持されます。


スナップショットからのファイルのクローン 277

手順1. ［Data Protection］ > ［SnapshotIQ］ > ［Snapshot Schedules］をクリックします。

2. ［Schedules］テーブルで、変更するスナップショットスケジュールの［View/Edit］をクリックします。［View Snapshot Schedule Details］ダイアログボックスが表示されます。


［Edit Snapshot Schedule Details］ダイアログボックスが表示されます。4. 変更するスナップショットスケジュール属性を変更します。5. ［Save Changes］をクリックします。

スナップショットスケジュールの削除スナップショットスケジュールを削除することができます。スナップショットスケジュールを削除しても、スケジュールに従って生成されたスナップショットは削除されません。手順


2. ［Schedules］テーブルで、削除するスナップショットスケジュールの［Delete］をクリックします。［Confirm Delete］ダイアログボックスが表示されます。

3. ［Delete］をクリックします。

スナップショットスケジュールの表示スナップショットスケジュールを表示することができます。手順


2. ［Schedules］テーブルで、表示するスナップショットスケジュールの［View/Edit］をクリックします。

スナップショットエイリアスの管理スナップショットスケジュールによって最後に作成されたスナップショットにスナップショットエイリアスを割り当てるようにスナップショットスケジュールを構成できます。特定のスナップショットまたはファイルシステムのライブバージョンにスナップショットエイリアスを手動で割り当てることもできます。

スナップショットスケジュールのスナップショットエイリアスの構成スナップショットスケジュールを構成し、スケジュールに基づいて作成された最新のスナップショットにスナップショットエイリアスを割り当てることができます。手順




2. ［Schedules］テーブルで、構成するスナップショットスケジュールの［View/Edit］をクリックします。［View Snapshot Schedule Details］ダイアログボックスが表示されます。

3. Edit をクリックします。

［Edit Snapshot Schedule Details］ダイアログボックスが表示されます。4. ［Create a snapshot alias］を選択します。5. ［Snapshot Alias］フィールドに、スナップショットエイリアスの名前を入力します。6. ［Save Changes］をクリックします。

スナップショットへのスナップショットエイリアスの割り当てスナップショットにスナップショットエイリアスを割り当てることができます。手順

1. ［Data Protection］ > ［SnapshotIQ］ > ［Snapshots］をクリックします。2. ［Snapshot Aliases］テーブルのエイリアスの行で、［View/Edit］をクリックします。3. ［Alias Name］領域で、［Edit］をクリックします。4. ［Alias Name］フィールドに新しいエイリアス名を入力します。5. ［Save］をクリックします。

ライブファイルシステムへのスナップショットエイリアスの再割り当てスナップショットを再割り当てして、クライアントをスナップショットからライブファイルシステムにリダイレクトできます。この処理手順は、CLI（コマンドラインインターフェイス）を通じてのみ利用可能です。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi snapshot aliases modify コマンドを実行します。

次のコマンドを実行すると、latestWeekly エイリアスがライブファイルシステムに再割り当てされます。

isi snapshot aliases modify latestWeekly --target LIVE

スナップショットエイリアスの表示すべてのスナップショットエイリアスのリストを表示できます。

この処理手順は、CLI（コマンドラインインターフェイス）を通じてのみ利用可能です。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. 次のコマンドを実行して、すべてのスナップショットエイリアスのリストを表示します。

isi snapshot aliases list


スナップショットへのスナップショットエイリアスの割り当て 279

スナップショットエイリアスがファイルシステムのライブバージョンを参照する場合、TargetIDは-1 です。

3. (オプション) isi snapshot aliases view コマンドを実行して、特定のスナップショットに関する情報を表示します。次のコマンドを実行すると、latestWeekly に関する情報が表示されます。

isi snapshot aliases view latestWeekly

スナップショットエイリアス情報isi snapshot aliases view コマンドの出力を通じて、スナップショットエイリアスに関する情報を表示できます。ID

スナップショットエイリアスの数値 ID。

Name

スナップショットエイリアスの名前。

ターゲット ID

エイリアスによって参照されているスナップショットの数値 ID。

Target Name

エイリアスによって参照されているスナップショットの名前。

Created

スナップショットエイリアスが作成された日付。

スナップショットロックの管理スナップショットロックの有効期限を削除、作成、変更できます。

スナップショットロックは、Isilon テクニカルサポートから指示されない限り、作成、削除、変更しないことをお勧めします。

OneFS によって作成されたスナップショットロックを削除すると、データが失われる可能性があります。OneFS によって作成されたスナップショットロックを削除すると、対応するスナップショットがまだOneFS で使用中であっても削除される可能性があります。OneFS が動作に必要なスナップショットにアクセスできない場合、誤動作を起こしてデータが消失することがあります。OneFS によって作成されたスナップショットロックの有効期限を変更することも、対応するスナップショットが早期に削除される可能性があるので、データ消失につながる場合があります。

スナップショットロックの作成スナップショットが削除されないように、スナップショットロックを作成することができます。

スナップショットロックを作成すると、スナップショットが自動的に削除されることを回避できますが、スナップショットロックを作成することは推奨されません。スナップショットが自動的に削除されないようにするには、スナップショットの保存期限を延長することを推奨します。この処理手順は、CLI（コマンドラインインターフェイス）を通じてのみ利用可能です。



手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi snapshot locks create コマンドを実行してスナップショットロックを作成しま

す。たとえば、次のコマンドは SnapshotApril2016 にスナップショットロックを適用し、ロックの有効期限を 1 か月に設定し、「Maintenance Lock」という説明を追加します。

isi snapshot locks create SnapshotApril2016 --expires 1M \--comment "Maintenance Lock"

スナップショットロックの有効期限の変更スナップショットロックの有効期限を変更することができます。

スナップショットロックの有効期限を変更しないことを推奨します。


手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi snapshot locks modify コマンドを実行します。

次のコマンドを実行すると、SnapshotApril2014 という名前のスナップショットに適用される、ID 1 のスナップショットロックに対して、有効期限が現在の日付から 2日後に設定されます。

isi snapshot locks modify SnapshotApril2014 1 --expires 2D

スナップショットロックの削除スナップショットロックを削除することができます。

スナップショットロックを削除しないことを推奨します。


手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi snapshot locks delete コマンドを実行してスナップショットロックを削除しま

す。次のコマンドは、SnapshotApril2014 に適用されていてロック ID が 1 であるスナップショットロックを削除します。

isi snapshot locks delete Snapshot2014Apr16 1

スナップショットロックの削除を確認するシステムプロンプトが表示されます。


スナップショットロックの有効期限の変更 281

3. yes と入力し、Enter キーを押します。

スナップショットロック情報スナップショットロック情報は、isi snapshot locks view および isi snapshotlocks list コマンドで表示できます。ID

スナップショットロックの数値 ID番号。

Comment

スナップショットロックの説明。任意の文字列を指定できます。

Expires

OneFS によってスナップショットロックが自動的に削除される日付。

Count

スナップショットロックが保持された回数。ファイルクローン操作では、1 つのスナップショットロックを複数回保持できます。複数のファイルクローンが同時に作成された場合、ファイルクローン操作では複数のロックを作成する代わりに、同じロックを複数回保持します。複数回保持されたスナップショットロックを削除する場合、ロックが保持されたインスタンスのうち 1 つのみが削除されます。複数回保持されたスナップショットロックを削除するには、［Count］フィールドに表示された回数分だけスナップショットロックを削除する必要があります。

SnapshotIQ設定の構成スナップショットの作成方法やユーザーによるスナップショットデータへのアクセス方法を決定するSnapshotIQ設定を構成できます。手順

1. ［Data Protection］ > ［SnapshotIQ］ > ［Settings］をクリックします。2. SnapshotIQ設定を変更し、［Save］をクリックします。

SnapshotIQ設定SnapshotIQ設定では、スナップショットの動作とアクセス方法を指定します。

次の SnapshotIQ設定を構成できます。Snapshot Scheduling

スナップショットを生成できるかどうかを決定します。

スナップショットの生成を無効にすると、一部の OneFS操作が失敗する可能性があります。この設定は無効にしないことをお勧めします。

Auto-create Snapshots

スナップショットスケジュールに従ってスナップショットが自動的に生成されるかどうかを決定します。



Auto-delete Snapshots

有効期限に従ってスナップショットが自動的に削除されるかどうかを決定します。

NFS Visibility & Accessibility

Root Directory Accessible

スナップショットディレクトリに NFS からアクセスできるかどうかを決定します。

Root Directory Visible

スナップショットディレクトリが NFS から可視かどうかを決定します。

Sub-directories Accessible

スナップショットサブディレクトリに NFS からアクセスできるかどうかを決定します。

SMB Visibility & Accessible


スナップショットディレクトリに SMB からアクセスできるかどうかを決定します。


スナップショットディレクトリが SMB から可視かどうかを決定します。


スナップショットサブディレクトリに SMB からアクセスできるかどうかを決定します。

Local Visibility & Accessibility


スナップショットディレクトリにローカルファイルシステムからアクセスできるかどうかを決定します。SSH接続またはローカルコンソールでローカルファイルシステムにアクセスできます。


スナップショットディレクトリがローカルファイルシステムから可視かどうかを決定します。SSH接続またはローカルコンソールでローカルファイルシステムにアクセスできます。


スナップショットサブディレクトリにローカルファイルシステムからアクセスできるかどうかを決定します。SSH接続またはローカルコンソールでローカルファイルシステムにアクセスできます。

スナップショット予約の設定スナップショット用に確保する最小限のクラスターストレージ容量を示す割合を指定できます。

スナップショット予約によって、スナップショットがクラスターで使用できる容量が制限されることはありません。スナップショットは、スナップショット予約によって指定された容量の割合よりも多くの容量を使用できます。スナップショット予約を指定しないことを推奨します。この処理手順は、CLI（コマンドラインインターフェイス）を通じてのみ利用可能です。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。


スナップショット予約の設定 283

2. isi snapshot settings modify コマンドに--reserve オプションを付けて実行し、スナップショット予約を設定します。たとえば、次のコマンドはスナップショット予約を 20%に設定します。

isi snapshot settings modify --reserve 20

変更リストの管理2 つのスナップショット間の違いを示す変更リストを作成し、表示できます。共通のルートディレクトリを持つ 2 つのスナップショットの変更リストを作成することができます。変更リストは、OneFS プラットフォーム API を通じてアプリケーションによって最もよくアクセスされます。たとえば、カスタムアプリケーションは重要なディレクトリパスの 2 つの最新スナップショットを定期的に比較し、ディレクトリをバックアップするか、またはその他のアクションをトリガーするかどうかを決定します。

変更リストの作成2 つのスナップショット間の違いを表示する変更リストを作成することができます。手順

1. (オプション) スナップショットの ID を記録します。a.［Data Protection］ > ［SnapshotIQ］ > ［Snapshots］をクリックします。b. 変更リストを作成する対象の各スナップショットの行で、［View Details］をクリックし、スナップショットの ID を記録します。


3. ［Job Types］領域において、［ChangelistCreate］行の［Actions］列で［StartJob］を選択します。

4. ［Older Snapshot ID］フィールドに、古いスナップショットの ID を入力します。5. ［Newer Snapshot ID］フィールドに、新しいスナップショットの ID を入力します。6. ［Start Job］をクリックします。

変更リストの削除変更リストを削除することができます。手順

1. -k を指定して isi_changelist_mod コマンドを実行します。次のコマンドでは、変更リスト 22_24 を削除します。

isi_changelist_mod -k 22_24



変更リストの表示2 つのスナップショット間の違いを説明する変更リストを表示することができます。この処理手順は、CLI（コマンドラインインターフェイス）を通じてのみ利用可能です。手順

1. 次のコマンドを実行して、変更リストの ID を表示します。

isi_changelist_mod -l

変更リスト ID には、変更リストの作成に使用される両方のスナップショットの ID が含まれます。OneFS がまだ変更リストの作成処理中の場合は、変更リスト ID に inprog が追加されます。

2. (オプション) -a オプションを指定して isi_changelist_mod コマンドを実行すると、変更リストの内容がすべて表示されます。次のコマンドを実行すると、2_6 という名前の変更リストの内容が表示されます。

isi_changelist_mod -a 2_6

変更リスト情報変更リストに含まれる情報を表示できます。

変更リストに含まれる情報は、OneFS プラットフォーム API を通じてアプリケーションで使用されます。

isi_changelist_mod コマンドを実行すると、変更リスト内の各アイテムに対して次の情報が表示されます。st_ino

指定されたアイテムの inode番号を表示します。

st_mode

指定されたアイテムのファイルタイプとアクセス権が表示されます。

st_size

アイテムの合計サイズがバイト単位で表示されます。

st_atime

アイテムが最後にアクセスされた時点の POSIX タイムスタンプを表示します。

st_mtime

アイテムが最後に変更された時点の POSIX タイムスタンプを表示します。

st_ctime

アイテムが最後に変更された時点の POSIX タイムスタンプを表示します。

cl_flags

アイテムと、アイテムにどのような変更が加えられたかについての情報を表示します。


変更リストの表示 285

01

アイテムがスナップショットのルートディレクトリに追加されたか移動しました。

02

アイテムがスナップショットのルートディレクトリから削除されたか移動しました。

04

スナップショットのルートディレクトリから削除されずに、アイテムのパスが変更されました

10

アイテムに ADS（代替データストリーム）が現在含まれているか、かつて含まれていました。

20

アイテムは ADS です。

40

アイテムにハードリンクが存在します。

これらの値は、ともに出力に追加されます。たとえば、ADS が追加された場合、コードはcl_flags=021 になります。

path

指定したファイルまたはディレクトリの絶対パス。



第 14章

SmartDedupe による重複排除


l 重複排除の概要................................................................................................ 288l 重複排除ジョブ...................................................................................................288l 重複排除によるデータレプリケーションとバックアップ...................................................289l 重複排除でのスナップショット.................................................................................289l 重複排除に関する考慮事項................................................................................290l シャドウストアに関する考慮事項...........................................................................290l SmartDedupe ライセンスの機能........................................................................... 291l 重複排除の管理.................................................................................................291

SmartDedupe による重複排除 287

重複排除の概要SmartDedupe で冗長データを削減することにより、クラスター上のストレージ領域を節約することができます。重複排除は、同一ブロックを持つ複数ファイルの格納に必要なストレージ容量を削減することで、クラスターの効率性を最大に高めます。SmartDedupe ソフトウェアモジュールは、Isilon クラスターの同一データブロックをスキャンしてデータを重複排除します。各ブロックは 8 KB です。SmartDedupe で重複ブロックが検出されると、SmartDedupeはブロックの単一コピーをシャドウストアと呼ばれる隠しファイルに移動します。SmartDedupeは、元のファイルから重複ブロックを削除し、シャドウストアへのポインターでブロックをリプレースします。重複排除はディレクトリレベルで適用され、1 つ以上のルートディレクトリの下のすべてのファイルとディレクトリをターゲットとします。SmartDedupe では、別ファイル内の同一ブロックだけでなく、単一ファイル内の同一ブロックも重複排除します。最初に重複排除のディレクトリを評価し、節約される推定スペース量を判断できます。次に、ディレクトリを重複排除するかどうかを決定できます。ディレクトリの重複排除を開始した後で、重複排除によって節約される容量をリアルタイムで監視できます。2 つ以上のファイルを重複排除する場合、その 2 つのファイルのディスクプールポリシー ID と保護ポリシーは同じである必要があります。2 つ以上の同一のファイル、または同一の 8K ブロックを持つファイルの間でこれらの属性の一方または両方が異なる場合、ファイルは重複除外されません。ファイルごと、またはディレクトリごとに保護ポリシーが指定可能であるため、重複排除できる可能性はさらに下がります。/ifs/data/projects/alpha/logo.jpg と/ifs/data/projects/beta/logo.jpg という 2 つのファイルを例にあげて考えてみましょう。両方のディレクトリ内の logo.jpg ファイルは同じでも、双方のファイルの保護ポリシーが異なっていると、2 つのファイルは重複排除されません。さらに、クラスターで SmartPools のライセンスをアクティブにした場合は、カスタムのファイルプールポリシーを指定できます。このようなファイルプールポリシーがあると、同一のファイルまたは同一の 8Kブロックを持つファイルが別々のノードプールに格納される場合があります。そのため、これらのファイルには異なるディスクプールポリシーの ID があり、重複排除されないようになっています。32KB以下のファイルを重複排除してもストレージの節約に見合わない量のクラスターリソースが消費されるため、そのようなファイルも重複排除されません。シャドウストアのデフォルトのサイズは 2GB です。各シャドウストアには最大 256,000個のブロックを含むことができます。シャドウストア内の各ブロックは最大 32,000回参照できます。

重複排除ジョブ重複排除は、重複排除ジョブと呼ばれるシステムメンテナンスジョブによって実行されます。重複排除ジョブは、クラスター上の他のメンテナンスジョブと同様に監視および制御できます。重複排除の全体的なパフォーマンスインパクトは最小限ですが、重複排除ジョブはノードあたり 400 MB のメモリを消費します。重複排除ジョブがクラスター上で最初に実行されるときに、SmartDedupe によって各ファイルからブロックがサンプリングされ、それらのブロックのインデックスエントリーが作成されます。2 つのブロックのインデックスエントリーが一致した場合、SmartDedupe によって一致するペアに隣接するブロックがスキャンされ、すべての重複ブロックが重複排除されます。重複排除ジョブでファイルが 1回サンプリングされた後、新しい重複排除ジョブではファイルが変更されるまでそのファイルは再びサンプリングされません。最初に実行する重複排除ジョブは、後続の重複排除ジョブよりも完了までに大幅に長い時間を要することがあります。最初の重複排除ジョブでは、指定したディレクトリのすべてのファイルをスキャンし



て初期インデックスを作成する必要があります。後続の重複排除ジョブが完了に長時間かかる場合、大量のデータが重複排除されている可能性が最も高くなります。ただし、ユーザーがクラスター上に大量の新規データを保存していることを示している可能性もあります。重複排除ジョブが重複排除プロセス中に中断された場合、ジョブは中断した場所からスキャンプロセスを自動的に再開します。

ユーザーがクラスター上のデータを変更していない場合は、重複排除ジョブを実行する必要があります。重複排除されたブロックはシャドウストアから絶えず削除されるため、ユーザーがクラスター上でファイルを継続的に変更している場合、重複排除によって節約されるスペース量は最小になります。

Isilon クラスター上で重複排除ジョブをどのくらいの頻度で実行する必要があるかは、データセットのサイズ、変更の比率、オポチュニティによって異なります。ほとんどのクラスターでは、7～10日おきに重複排除ジョブを開始することをお勧めします。重複排除ジョブを手動で開始するか、指定された間隔で繰り返しジョブのスケジュールを設定することができます。デフォルトでは、重複排除ジョブは低い優先度で実行するように構成されています。ただし、手動またはスケジュールによって実行される重複排除ジョブの優先度やインパクトなどのジョブの制御を指定できます。重複排除設定の変更に必要な権限は、重複排除ジョブの実行に必要な権限と同じではありません。ユーザーが重複排除ジョブを実行するためにはメンテナンスジョブ権限が必要ですが、ユーザーが重複排除設定を変更するには重複排除権限が必要です。デフォルトでは、root ユーザーとSystemAdmin ユーザーがすべての重複排除操作のために必要な権限を持っています。

重複排除によるデータレプリケーションとバックアップ重複排除されたファイルが別の Isilon クラスターにレプリケートされるかテープデバイスにバックアップされると、重複排除されたファイルはターゲットの Isilon クラスターまたはバックアップデバイス上のブロックを共有しなくなります。ただし、ターゲットの Isilon クラスター上のデータは重複排除できますが、NDMPバックアップデバイス上のデータは重複排除できません。シャドウストアは、ターゲットクラスターまたはバックアップデバイスに転送されません。このため、重複排除されたファイルは、レプリケートまたはバックアップされるときに、重複排除されていないファイルよりも少ないスペースを消費します。スペースの不足を回避するために、データが重複排除されていない場合と同様に、ターゲットクラスターとテープデバイスに、重複排除されたデータを格納するのに十分な空き領域があることを確認する必要があります。ターゲットの Isilon クラスターで消費されるストレージ領域の量を削減するために、レプリケーションポリシーのターゲットディレクトリに対して重複排除を構成できます。これによりターゲットディレクトリのデータは重複排除されますが、SyncIQではシャドウストアを転送できません。重複排除は、ターゲットクラスターで実行されている重複排除ジョブによって依然として実行されます。重複排除されたデータのバックアップおよびレプリケートに必要なクラスターリソースの量は、重複排除されていないデータの場合と同じです。データのレプリケートまたはバックアップ中にデータを重複排除できます。

重複排除でのスナップショットスナップショットに格納されているデータは重複排除できません。ただし、重複排除されたデータのスナップショットは作成できます。重複排除されたディレクトリのスナップショットを作成してから、そのディレクトリの内容を変更した場合、シャドウストアへの参照が時間の経過とともにスナップショットに転送されます。したがって、スナップショットを作成する前に重複排除を有効化した場合は、クラスター上のスペースが節約されます。スナップショットに大量のデータがすでに格納されているクラスター上に重複排除を実装した場合は、スナップショットデータが重複排除の影響を受けるまでに時間がかかります。新規に作成され


重複排除によるデータレプリケーションとバックアップ 289

たスナップショットに重複排除されたデータを含めることはできますが、重複排除の実装前に作成されたスナップショットには含めることができません。スナップショットの復元を計画している場合は、重複排除ジョブを実行する前にスナップショットを復元することが最適です。スナップショットをリストアすると、クラスター上のファイルの多くが上書きされることがあります。重複排除されたファイルは、スナップショットの復元によって上書きされた場合に通常のファイルに復元されます。ただし、スナップショットの復元が完了した後で、ディレクトリを重複排除し、クラスター上でスペースの節約を維持できます。

重複排除に関する考慮事項重複排除によって、データの格納の効率性が大幅に向上することがあります。ただし、重複排除の影響は、クラスターによって異なります。SmartDedupe を実行して、クラスター上の冗長性を低減できます。重複排除により、ファイルを読み取りおよび書き込みできるスピードに影響する可能性のあるリンクが作成されます。特に、重複排除されたファイルを 512 KB未満のチャンクでシーケンシャルに読み取ると、重複排除されていないファイルを同じ小さいシーケンシャルなチャンクで読み取るよりも大幅に低速になることがあります。このパフォーマンスの低下は、キャッシュされていないデータを読み取る場合にのみ適用されます。キャッシュされたデータの場合、重複排除されたファイルのパフォーマンスは、重複排除されていないファイルよりも高くなる可能性があります。 512 KB より大きいチャンクをストリーミングする場合、重複排除はファイルの読み取りパフォーマンスに大きな影響を与えません。一度に各ファイルの 8 KB以下をストリーミングし、ファイルの同時ストリーミングを計画していない場合は、ファイルを重複排除しないことをお勧めします。重複排除は、静的またはアーカイブされたファイルおよびディレクトリに適用される場合に最も効果的です。変更されるファイルが少ないほど、重複排除がクラスターに与える悪影響が小さくなります。たとえば、仮想マシンにはめったに変更されない同一ファイルのコピーが複数含まれていることがよくあります。多数の仮想マシンを重複排除すると、消費されるストレージ領域を大幅に削減できます。

シャドウストアに関する考慮事項シャドウストアは、クローンファイルと重複排除ファイルによって参照される隠しファイルです。シャドウストアを参照するファイルは、他のファイルとは動作が異なります。l シャドウストア参照の読み取りは、データの直接的な読み取りよりも遅くなることがある。特に、

キャッシュされていないシャドウストア参照の読み取りは、キャッシュされていないデータの読み取りよりも遅くなります。キャッシュされているシャドウストア参照の読み取りには、キャッシュされているデータの読み取りと同程度の時間がかかります。

l シャドウストアを参照しているファイルが別の Isilon クラスターにレプリケートされるか、NDMP（ネットワークデータ管理プロトコル）バックアップデバイスにバックアップされるとき、ターゲットIsilon クラスターまたはバックアップデバイスにシャドウストアは転送されない。ファイルは、シャドウストアから参照しているデータが含まれているかのように転送されます。ターゲット Isilon クラスターまたはバックアップデバイスでは、ファイルは、シャドウストアを参照していない場合と同じスペースの容量を消費します。

l OneFSは、シャドウストアを作成するとき、そのシャドウストアを参照しているファイルのストレージプールにシャドウストアを割り当てます。シャドウストアが存在するストレージプールを削除すると、シャドウストアは、そのシャドウストアを参照している別のファイルによって占有されているプールに移動されます。

l OneFSは、シャドウストアブロックに対する最後の参照が削除された直後にそのブロックを削除しない。代わりに、OneFSは、未参照ブロックを削除する ShadowStoreDelete ジョブが



実行されるまで待機します。大量の未参照ブロックがクラスター上に存在する場合、OneFSは、ShadowStoreDelete ジョブが実行されるまで、マイナスの重複排除による節約を報告することがあります。

l シャドウストアは、それを参照しているファイルの中で最も保護されているファイルと同じレベルで保護される。たとえば、シャドウファイルを参照する 1 つのファイルが+2 の保護のストレージプールに格納され、同じシャドウファイルを参照する別のファイルが+3 の保護のストレージプールに格納されている場合、シャドウストアは+3 で保護されます。

l クォータは、シャドウストアを参照するファイルを、そのファイルにシャドウストアから参照されるデータが含まれているかのように考慮する。クォータから見ると、シャドウストア参照は存在しません。ただし、クォータにデータ保護オーバーヘッドが含まれている場合、クォータにはシャドウストアのデータ保護オーバーヘッドは含まれません。

SmartDedupe ライセンスの機能データの重複排除は、クラスター上で SmartDedupe ライセンスをアクティブ化している場合のみ実行できます。ただし、重複排除による節約は、SmartDedupe ライセンスをアクティブ化しなくても評価できます。SmartDedupe ライセンスをアクティブ化した後でデータの重複排除を実行した場合、ライセンスが非アクティブになった場合でも、スペースの節約が失われることはありません。ライセンスが非アクティブの間も、重複排除による節約を表示できます。ただし、追加データの重複排除は、SmartDedupe ライセンスを再アクティブ化するまでは実行できません。

重複排除の管理個々のディレクトリを重複排除することで節約できるスペース量を最初に評価することで、クラスター上の重複排除を管理できます。重複排除する価値があるディレクトリを決定した後で、これらのディレクトリを別々に重複排除するように SmartDedupe を構成できます。その後、節約しているディスク領域の実際の量を監視できます。

重複排除によって節約できるスペースの調査ディレクトリを重複排除することで節約されるディスク領域の量を評価できます。手順

1. ［File System］ > ［Deduplication］ > ［Settings］の順にクリックします。2. ［Assess Deduplication］領域で［Browse］をクリックし、重複排除するディレクトリを

選択します。複数のディレクトリを調査する場合、ディスクの節約は重複排除レポートでディレクトリごとに区別されません。

3. ［Save］をクリックして、重複排除設定項目を保存します。4. ［Cluster Management］ > ［Job Operations］ > ［Job Types］の順にクリックし

ます。5. ［Job Types］テーブルで［DedupeAssessment］ジョブを特定し、［Start Job］をク

リックします。［Start a Job］ダイアログボックスが表示されます。

6. ［Start Job］をクリックします。


SmartDedupe ライセンスの機能 291

7. ［Cluster Management］ > ［Job Operations］ > ［Job Summary］の順にクリックします。アクティブなジョブが［Active Jobs］リストに表示されます。

8. 評価ジョブが完了するまで待機します。DedupeAssessment ジョブが完了すると、ジョブが［Active Jobs］リストから削除されます。

9. ［File System］ > ［Deduplication］ > ［Summary］の順にクリックします。

［Deduplication Assessment Reports］領域で、最新の評価ジョブの行の［ViewReport］をクリックします。

10. ディレクトリを重複排除した場合に節約されるディスク領域の容量を確認します。重複排除されるブロック数が、［Deduped blocks］フィールドに表示されます。

重複排除設定の指定重複排除するディレクトリを指定できます。手順

1. ［File System］ > ［Deduplication］ > ［Settings］の順にクリックします。2. ［Deduplication Settings］領域で［Browse］をクリックし、重複排除するディレクトリ

を選択します。3. (オプション) 追加のディレクトリを指定します。

a.［Add another directory path］をクリックします。b.［Browse］をクリックして、重複排除するディレクトリを選択します。


重複排除ジョブの開始またはスケジュール設定手動で重複排除ジョブを開始するか、ジョブの反復スケジュールを指定して自動的に実行されるようにします。10日おきに重複排除ジョブを実行することをお勧めします。クラスタで最初に実行する重複排除ジョブは、後続の重複排除ジョブよりも完了までに大幅に長い時間を要することがあります。手順


2. ［Job Types］リストの重複排除ジョブの［View/Edit］をクリックします。

［View Job Type Details］ダイアログボックスが表示されます。3. ［Edit Job Type］をクリックします。

［Edit Job Type Details］ダイアログボックスが表示されます。4. 次のように、ジョブの制御を指定します。

オプション説明Enable thisjob type

ジョブタイプの有効化を選択します。



オプション説明DefaultPriority

同時に実行している他のシステムメンテナンスジョブと比較してジョブの優先度を設定します。ジョブの優先度は 1～10 であり、1 が最高、10 が最低です。デフォルト値は［4］です。

DefaultImpactPolicy

同時に実行している他のシステムメンテナンスジョブと比較して、このジョブで使用するシステムリソースの量を選択します。ポリシーの値を［HIGH］、［MEDIUM］、［LOW］、［OFF-HOURS］から選択します。デフォルトは［LOW］です。

Schedule ジョブを手動で開始する必要があるか、または定期的にスケジュール設定に基づいて実行するかを指定します。［Scheduled］をクリックすると、毎日、毎週、月単位、年単位のスケジュールを指定することができます。ほとんどのクラスタでは、10日おきに重複排除ジョブを実行することをお勧めします。

5. ［Save Change］をクリックしてから、［Close］をクリックします。新しいジョブの制御が保存され、ダイアログボックスが閉じられます。

6. ［Start Job］をクリックします。

結果重複排除ジョブは、新しいジョブ制御により実行されます。

重複排除によって節約できるスペースの表示重複排除で現在節約しているディスク領域の量を表示できます。手順

1. ［File System］ > ［Deduplication］ > ［Summary］の順にクリックします。2. ［Deduplication Savings］領域で、節約されるディスク領域の容量を確認します。

重複排除レポートの表示重複排除ジョブの完了後に、重複排除レポートでジョブに関する情報を表示できます。手順

1. ［File System］ > ［Deduplication］ > ［Summary］の順にクリックします。2. ［Deduplication Reports］または［Deduplication Assessment Reports］セクション

で、表示するレポートの［View Report］をクリックします。

重複排除ジョブレポート情報重複排除ジョブレポートで次の重複排除固有情報を表示できます。Start time

重複排除ジョブの開始時刻。

End time

重複排除ジョブの終了時刻。

Iteration Count

SmartDedupe がサンプリングプロセスを中断した回数。 SmartDedupe が大量のデータをサンプリングしている場合、SmartDedupeはデータの重複排除を開始するためにサンプリングを


重複排除によって節約できるスペースの表示 293

中断することがあります。 SmartDedupe がサンプリングされたデータの重複排除を終了した後、SmartDedupeは残りのデータのサンプリングを続行します。

Scanned blocks

指定した重複排除済みディレクトリにあるブロックの総数。

Sampled blocks

SmartDedupe によってインデックスエントリーが作成されたブロック数。

Deduped blocks

重複排除されたブロック数。

Dedupe percent

重複排除されたスキャン済みブロックの割合。

Created dedupe requests

作成された重複排除リクエストの総数。一致するデータブロックのペアごとに重複排除リクエストが作成されます。たとえば、すべて一致するデータブロックが 3個ある場合、SmartDedupeでは 2 つのリクエストが作成されます。リクエストの 1 つが file1 と file2 をペアリングし、別のリクエストは file2 と file3 をペアリングすることがあります。

Successful dedupe requests

正常に完了した重複排除リクエストの数。

Failed dedupe requests

失敗した重複排除リクエストの数。重複排除リクエストに失敗した場合、ジョブも失敗したことは意味しません。重複排除リクエストは、いくつかの理由で失敗することがあります。たとえば、サンプリング後にファイルが変更された可能性があります。

Skipped files

重複排除ジョブによってスキャンされなかったファイルの数 SmartDedupeは、いくつかの理由でファイルをスキップします。たとえば、SmartDedupe では、すでにスキャンされ、それ以降変更されていないファイルがスキップされます。 SmartDedupe では、4 KB より小さいファイルもすべてスキップされます。

Index entries

インデックスに現在存在するエントリーの数。

Index lookup attempts

以前の重複排除ジョブによって実行された検索の総数に、この重複排除ジョブによって実行された検索の数を加えた数。検索では、インデックスが作成されたブロックとインデックスが作成されていないブロックとの照合が重複排除ジョブによって試行されます。

Index lookup hits

インデックスエントリーが一致したブロックの数。

重複排除の情報重複排除によって節約されるディスク領域の容量を［Deduplication Savings］領域で確認できます。Space Savings

重複排除によって節約される物理ディスク領域の合計容量（保護オーバーヘッドとメタデータを含む）。たとえば、同一のファイルが 3個あり、それぞれが 5 GB の場合、節約される物理



容量の推定値は 10 GB を超えます。重複排除によってファイルメタデータや保護オーバーヘッドが占める領域が節約されるためです。

Deduplicated data

重複排除されたディレクトリが占めるクラスター上の領域の容量。

Other data

重複排除されていないディレクトリが占めるクラスター上の領域の容量。


重複排除の情報 295

第 15章

SyncIQ を使用したデータレプリケーション


l SyncIQ のデータレプリケーションの概要................................................................. 298l レプリケーションポリシーとジョブ.............................................................................. 298l レプリケーションスナップショット............................................................................... 304l SyncIQ を使用したデータフェールオーバーおよびフェールバック................................... 305l SyncIQ の復旧時間と目標..................................................................................308l レプリケーションポリシーの優先度.......................................................................... 308l SyncIQ ライセンスの機能.....................................................................................309l レプリケーションポリシーの作成.............................................................................. 309l リモートクラスターへのレプリケーションの管理............................................................320l SyncIQ を使用したデータフェールオーバーおよびフェールバックの開始......................... 322l 古い SmartLock ディレクトリのディザスタリカバリの実行.............................................325l レプリケーションポリシーの管理.............................................................................. 327l ローカルクラスターへのレプリケーションの管理........................................................... 333l レプリケーションパフォーマンスルールの管理.............................................................334l レプリケーションレポートの管理..............................................................................336l 失敗したレプリケーションジョブの管理..................................................................... 338

SyncIQ を使用したデータレプリケーション 297

SyncIQのデータレプリケーションの概要OneFS では、SyncIQ ソフトウェアモジュールを介して、ある Isilon クラスタから別の Isilon クラスタにデータをレプリケートできます。Isilon クラスタ間でデータをレプリケートするには、両方の Isilon クラスタで SyncIQ ライセンスをアクティブ化する必要があります。ディレクトリレベルでデータをレプリケートできます。オプションで、特定のファイルやサブディレクトリをレプリケート対象から除外することもできます。SyncIQはスナップショットを作成および参照して、ソースディレクトリの整合性のあるポイントインタイムイメージをレプリケートします。データとともに ACL（アクセス制御リスト）や ADS（代替データストリーム）などのメタデータもレプリケートされます。SyncIQ を使用して、別の Isilon クラスタ上のデータの整合性のとれたレプリカを管理し、データレプリケーションの頻度を制御することができます。たとえば、毎日午後 10時に、プライマリクラスタのデータをセカンダリクラスタにバックアップするように SyncIQ を構成することができます。データセットのサイズによっては、最初のレプリケーションオペレーションに超時間がかかる場合もあります。ただしその後は、レプリケーションオペレーションはより迅速に完了します。SyncIQ には自動フェールオーバーおよびフェールバック機能が用意されており、プライマリクラスタが使用不可になった場合でも、セカンダリ Isilon クラスタで操作を継続することができます。

IsilonSD Edge での SyncIQ へのアクセスSyncIQ ソフトウェアモジュールは、IsilonSD Edge の購入済みライセンスでのみ利用可能です。この製品のパッケージには無償ライセンスは含まれていません。したがって、SyncIQ のバックアップとレプリケーションの機能にアクセスするには IsilonSD Edge のライセンスを購入する必要があります。

レプリケーションポリシーとジョブデータレプリケーションはレプリケーションポリシーとレプリケーションジョブに従って調整されます。レプリケーションポリシーには、レプリケートするデータ、データのレプリケート先、データのレプリケート頻度を指定します。レプリケーションジョブは、Isilon クラスター間でデータをレプリケートする操作です。SyncIQは、レプリケーションポリシーに従ってレプリケーションジョブを生成します。レプリケーションポリシーは、ソースとターゲットの 2 つのクラスタを指定します。レプリケーションポリシーが存在するクラスタはソースクラスタです。データのレプリケート先となるクラスタはターゲットクラスタです。レプリケーションポリシーが開始すると、SyncIQはそのポリシーに対応するレプリケーションジョブを生成します。レプリケーションジョブを実行すると、ソースクラスタ上のディレクトリツリーのファイルがターゲットクラスタ上のディレクトリツリーにレプリケートされます。これらのディレクトリツリーはソースディレクトリおよびターゲットディレクトリと呼ばれます。レプリケーションポリシーによって作成された最初のレプリケーションジョブが完了した後、ターゲットディレクトリとそのターゲットディレクトリに含まれるすべてのファイルが読み取り専用に設定されます。このディレクトリとファイルは、同じレプリケーションポリシーに属する別のレプリケーションジョブによってのみ変更できます。クラスターに 1,000個を超えるポリシーを作成しないことを推奨します。

権限エラーを防ぐため、ACL ポリシーがソースクラスタとターゲットクラスタで同じ設定になっていることを確認してください。

2 つのタイプのレプリケーションポリシーを作成することができます。それらは同期ポリシーとコピーポリシーです。同期ポリシーでは、ターゲットクラスタでソースディレクトリの正確なレプリカが維持されま



す。ソースディレクトリからファイルまたはサブディレクトリが削除された場合、ポリシーを再実行すると、これらのファイルまたはディレクトリはターゲットクラスタからも削除されます。同期化ポリシーを使用して、ソースクラスタとターゲットクラスタ間のデータをフェールオーバーおよびフェールバックできます。ソースクラスタが使用不可になった場合、ターゲットクラスタのデータをフェールオーバーして、そのデータをクライアントで使用できるようにすることが可能です。ソースクラスタが再度使用可能になった時点でデータをソースクラスタにフェールバックできます。コピーポリシーでは、ソースクラスタに格納されたファイルの最新バージョンが維持されます。ただし、ソースクラスタからファイルが削除されても、そのファイルはターゲットクラスタからは削除されません。フェールバックは、コピーポリシーではサポートされていません。コピーポリシーは、アーカイブの目的でよく使用されます。コピーポリシーでは、ソースクラスタからファイルを削除しても、ターゲットクラスタ上のファイルは失われません。ソースクラスタのファイルを削除することによってソースクラスタのパフォーマンスが向上し、削除したファイルはターゲットクラスタ上で維持されます。このポリシーは、たとえば、ソースクラスタを本番用に使用し、ターゲットクラスタをアーカイブ専用に使用する場合などに便利です。SyncIQは、レプリケーションポリシーに対応するジョブを作成した後、そのジョブが完了するまで待機してから同じポリシーの別のジョブを作成します。クラスタに存在するレプリケーションジョブの数に制限はありませんが、ソースクラスタで一度に実行できるレプリケーションジョブは 50個以下です。クラスタに存在するレプリケーションジョブが 50個を超える場合、最初の 50個のジョブが実行されている間、その他のジョブはキューに登録され、実行を待機します。ターゲットクラスタが同時にサポートできるレプリケーションジョブの数に制限はありません。ただし、レプリケーションジョブが多くなると、より多くのクラスタリソースが必要となるため、より多くのコンカレントジョブが追加されてレプリケーション速度が低下します。レプリケーションジョブを実行するとき、OneFSはソースクラスタとターゲットクラスタにワーカーを生成します。ターゲットクラスタのワーカーがデータの受信と書き込みを行っている間に、ソースクラスタのワーカーはデータの読み出しと送信を行います。OneFS では、1 つのレプリケーションジョブ、1 つのノードに対して生成するワーカー数は最大 8 です。たとえば、5 ノードのクラスタでは、OneFSは 1 つのレプリケーションジョブに対して 40個以下のワーカーを作成します。1 つのレプリケーションジョブで任意の数のファイルおよびディレクトリをレプリケートできます。データの同期化に使用できるクラスターリソースとネットワーク帯域幅の量を制限することによって、大規模なレプリケーションジョブによるシステムへの過剰な負荷を回避できます。クラスタ内の各ノードでデータを送受信できるため、大規模なクラスタのデータレプリケーションが高速になります。

自動化されたレプリケーションポリシーレプリケーションポリシーはいつでも手動で開始できますが、ソースディレクトリの変更またはスケジュールに基づいて自動的に開始するようにレプリケーションポリシーを構成することもできます。スケジュールに従って実行するようにレプリケーションポリシーを構成できるため、レプリケーションが実行されるタイミングを制御できます。ディレクトリのスナップショットでキャプチャされたデータをレプリケートするポリシーを構成することもできます。SyncIQ でソースディレクトリに対する変更が検出されたときに開始するようにレプリケーションポリシーを構成して、SyncIQ によってターゲットクラスターのデータの最新バージョンが維持されるようにすることもできます。ポリシーのスケジューリングは、次の状況で役立つ場合があります。l ユーザーアクティビティが最小限のときにデータをレプリケートしたい場合l データがいつ変更されるかを正確に予測できる場合スケジュールに従って実行するようにポリシーを構成している場合、ジョブの最後の実行以降にソースディレクトリの内容に変更がない場合は実行しないようにポリシーを構成できます。ただし、ソースディレクトリの親ディレクトリまたはソースディレクトリの兄弟ディレクトリに変更があり、親ディレクトリのスナップショットを作成した場合、ソースディレクトリには変更がなくても、SyncIQはそのポリシーに対


自動化されたレプリケーションポリシー 299

するジョブを作成します。また、InsightIQ の FSA（File System Analytics）機能を使用してクラスターを監視する場合、FSA ジョブは<filepath>/ifs</filepath>のスナップショットを作成するため、FSA ジョブが実行されるたびにレプリケーションジョブが開始されることになります。ディレクトリのスナップショットに含まれているデータをレプリケートすることは、次の状況で役立つ場合があります。l スケジュールに従ってデータをレプリケートしたい場合で、スナップショットスケジュールに従ってソ

ースディレクトリのスナップショットがすでに生成されている場合l ソースとターゲットの両方のクラスターで同一のスナップショットを保持したい場合l 既存のスナップショットをターゲットクラスターにレプリケートしたい場合

これを実行するには、ターゲットクラスター上でアーカイブスナップショットを有効にする必要があります。この設定は、ポリシーの作成時にのみ有効にすることができます。

スナップショットをレプリケートするようにポリシーが構成されている場合は、指定された命名パターンに一致するスナップショットのみをレプリケートするように SyncIQ を構成できます。ソースディレクトリに変更が加えられたときに開始するようにポリシーを構成することは、次の状況で役立つ場合があります。l データのコピーを常に最新の状態で保持したい場合l 予測不能の間隔で大量の変更が加えられることが予想される場合ソースディレクトリに変更が加えられるたびに開始するように構成されたポリシーでは、SyncIQ によって 10秒ごとにソースディレクトリがチェックされます。SyncIQは、これらのファイルやディレクトリがレプリケーションから除外されるかどうかにかかわらず、ソースディレクトリの下にあるすべてのファイルとディレクトリをチェックします。このため、SyncIQは不必要にレプリケーションジョブを実行する場合があります。たとえば、newPolicy では/ifs/data/mediaはレプリケートされるが、/ifs/data/media/tempは除外されると仮定します。/ifs/data/media/temp/file.txt に変更が行われた場合、SyncIQは/ifs/data/media/temp/file.txt がレプリケートされなくても newPolicy を実行します。ソースディレクトリに変更が加えられるたびに開始するようにポリシーが構成され、レプリケーションジョブが失敗した場合、SyncIQはポリシーの実行を再試行する前に 1分待ちます。SyncIQ では、この遅延が失敗のたびに急激に増加し、最大 8時間にまで達します。ポリシーを手動で実行することで遅延をいつでも上書きできます。ポリシーのジョブが正常に完了した後、SyncIQは 10秒ごとのソースディレクトリのチェックを再開します。ソースディレクトリに変更があるたびに開始するようにポリシーが構成されている場合、ソースディレクトリの変更後、指定期間待機してからジョブを開始するように SyncIQ を構成できます。

最小変更内容の頻繁な同期とシステムリソースの過度な負担を回避するため、ソースディレクトリの使用頻度が非常に高いときに継続的レプリケーションを行わないように構成することを強くお勧めします。このような場合は、変更トリガーが数時間遅延するように継続的レプリケーションを構成して、変更グループをまとめることをお勧めします。

ソースクラスターとターゲットクラスターの関連づけSyncIQ では、ジョブの初回実行時にターゲットクラスターにマークを付けることで、レプリケーションポリシーをターゲットクラスターに関連づけます。ターゲットクラスターの名前または IP アドレスを変更しても、ターゲットクラスターのマークは存続します。SyncIQは、レプリケーションポリシーの実行時にこのマークをチェックして、データが適切な場所にレプリケートされたかどうかを確認します。ターゲットクラスターでは、レプリケーションポリシーとターゲットディレクトリ間の関連づけを手動で解除できます。ソースクラスターとターゲットクラスター間の関連づけを解除すると、ターゲットクラスターのマークは削除されます。関連づけが古くなった場合は、ターゲットの関連づけを手動で解除できま



す。ポリシーの関連づけを解除すると、ソースクラスターではポリシーは無効になり、実行できません。無効化されたポリシーを再度実行するには、レプリケーションポリシーをリセットする必要があります。ポリシーの関連づけを解除すると、次回のレプリケーションポリシーの実行時にフルレプリケーションまたは差分レプリケーションが行われます。フルレプリケーションまたは差分レプリケーションの実行時に、SyncIQ によってソースクラスターとターゲットクラスター間の新しい関連づけが作成されます。レプリケートするデータ量によっては、フルレプリケーションまたは差分レプリケーションが完了するまでに長時間かかる場合があります。

SyncIQ外のターゲットクラスターの構成を変更すると、エラー状態になり、ソースクラスターとターゲットクラスター間の関連づけが事実上壊れてしまう場合があります。たとえば、ターゲットクラスターの DNS レコードを変更すると、この問題が発生するおそれがあります。SyncIQ外のターゲットクラスターの構成を大きく変更する必要がある場合は、SyncIQポリシーがターゲットクラスターにも接続できることを確認してください。

NAT を使用した SyncIQ ソースおよびターゲットクラスタの構成ソースクラスタおよびターゲットクラスタでは、SyncIQ フェールオーバーとフェールバックに NAT（ネットワークアドレス変換）を使用できますが、構成が適切である必要があります。このような場合は通常、ソースクラスタとターゲットクラスタは物理的に離れた場所に存在し、ルーティング不可能なプライベートアドレス空間を使用しており、インターネットには直接接続していません。各クラスタには通常、一定範囲のプライベート IP アドレスが割り当てられています。たとえば 12ノードのクラスタには、192.168.10.11 から 192.168.10.22 という IP アドレスが割り当てられています。パブリックインターネットを介して通信するには、ソースクラスタとターゲットクラスタのすべての送受信データパケットを、NAT対応のファイアウォールまたはルータで適切に変換してリダイレクトする必要があります。

SyncIQのデータは暗号化されません。パブリックインターネット経由で SyncIQジョブを実行する場合、データの盗難に対する保護はありません。

SyncIQ を使用すれば、レプリケーションジョブをクラスタ内の特定のノードに制限することができます。たとえば、12 ノードで構成されるクラスタで、そのうちの 3 ノードだけにレプリケーションジョブを制限することができます。NAT をサポートするためには、ソースクラスタとターゲットクラスタの間に 1対1 の関係を確立する必要があります。したがって、ソースクラスタでレプリケーションジョブを 3 ノードに制限する場合は、ターゲットクラスタの 3 ノードを関連づける必要があります。この例では、インバウンドマッピングとも呼ばれる静的 NAT を構成する必要があります。ソースクラスタとターゲットクラスタの両方で、各ノードに割り当てられたプライベートアドレスに対して、静的NAT アドレスを関連づけます。例：

ソースクラスタターゲットクラスタ

ノード名プライベートアドレス

NAT アドレスノード名プライベートアドレス

NAT アドレス

source-1 192.168.10.11 10.8.8.201 target-1 192.168.55.101

10.1.2.11


NAT を使用した SyncIQ ソースおよびターゲットクラスタの構成 301

ソースクラスタターゲットクラスタ

ノード名プライベートアドレス

NAT アドレスノード名プライベートアドレス

NAT アドレス

source-2 192.168.10.12 10.8.8.202 target-2 192.168.55.102

10.1.2.12

source-3 192.168.10.13 10.8.8.203 target-3 192.168.55.103

10.1.2.13

静的 NAT を構成するには、6 ノードすべての/etc/local/hosts ファイルを編集し、適切なNAT アドレスとノード名を追加して、対応する相手に関連づける必要があります。たとえば、ソースクラスタの 3 ノードの/etc/local/hosts ファイルのエントリーは次のようになります。

10.1.2.11 target-1

10.1.2.12 target-2

10.1.2.13 target-3

同様に、ターゲットクラスタの 3 ノードの/etc/local/hosts ファイルを編集し、NAT アドレスと関連づけられたソースクラスタのノードの名前を指定します。たとえば、ターゲットクラスタの 3 ノードのエントリーは次のようになります。

10.8.8.201 source-1

10.8.8.202 source-2

10.8.8.203 source-3

ソースクラスタのノードから SyncIQ データのパケットを受信すると、NAT サーバはパケットヘッダーとノードのポート番号および内部 IP アドレスを、NAT サーバ自体のポート番号と外部 IP アドレスに置き換えます。ソースネットワーク上の NAT サーバがインターネットを介してターゲットネットワークにパケットを送信すると、もう 1台の NAT サーバプラットフォームが同様のプロセスを実行し、ターゲットノードにデータを転送します。データをフェールバックする場合は、プロセスが逆になります。このタイプの構成では、SyncIQ が正しい接続アドレスを判断できるため、SyncIQはデータを送受信することができます。この場合、SmartConnect ゾーン構成は必要ありません。SyncIQ が使用するポートの詳細については、お使いの OneFSバージョンの「OneFS セキュリティ構成ガイド」を参照してください。

フルレプリケーションと差分レプリケーションレプリケーションポリシーに修復できない問題が発生した場合（例：ターゲットクラスターで関連づけが解除された場合など）、レプリケーションポリシーをリセットする必要が生じることがあります。レプリケーションポリシーをリセットすると、次回のポリシー実行時に SyncIQ によってフルレプリケーションまたは差分レプリケーションが行われます。SyncIQ が実行するレプリケーションのタイプを指定できます。フルレプリケーションでは、SyncIQは、ターゲットクラスターに存在するデータの内容に関係なく、ソースクラスターからすべてのデータを転送します。フルレプリケーションはネットワーク帯域幅の使用量が多く、長時間かかる場合がありますが、CPU使用率はフルレプリケーションの方が差分レプリケーションより低くなります。SyncIQ の差分レプリケーションでは、対象ファイルがすでにターゲットクラスターに存在するかどうかを確認してから、ターゲットクラスターに存在しないデータのみを転送します。差分レプリケーションは、フルレプリケーションよりネットワーク帯域幅の使用量が少ないものの、CPU の使用量は多くな



ります。レプリケーションジョブに使用する CPU リソースが十分にある場合は、差分レプリケーションの方がフルレプリケーションより高速になる可能性があります。

レプリケーションジョブのリソース消費量の制御レプリケーションジョブによって発生するネットワークトラフィック、レプリケーションジョブにるファイルの送信レート、レプリケーションジョブによる CPU の使用率、レプリケーションジョブ用に作成されるワーカー数を制限するルールを作成することができます。SyncIQ が作成できるワーカーの総数の割合を制限する場合、クラスタハードウェアによって決定される、SyncIQ が作成できるワーカーの合計数に制限が適用されます。ターゲットクラスタのワーカーがデータの受信と書き込みを行っている間に、ソースクラスタのワーカーはデータの読み出しと送信を行います。

ファイル操作ルールは、転送時間が 1秒を超えるファイルや、サイズに大差があるファイルでは正確に動作しない可能性があります。

レプリケーションポリシーの優先度レプリケーションポリシーを作成する場合、他のジョブよりも優先されるようにポリシーを構成できます。最大数のジョブがすでに実行されているために複数のレプリケーションジョブがキューに登録されている場合、優先度がないジョブの前に優先度があるポリシーによって作成されたジョブが実行されます。たとえば、50個のジョブが現在実行されていると仮定します。優先度がないジョブが作成されて実行のキューに入れられました。次に、優先度があるジョブが作成され、実行キューに入れられました。優先度があるジョブは、優先度がないジョブが長期間キューに登録されている場合でも、次に実行されます。SyncIQ も優先度がないレプリケーションジョブを一時停止し、優先度があるジョブが実行されるようにします。たとえば、50個のジョブがすでに実行されていて、そのうちの 1 つに優先度がないものとします。優先度があるレプリケーションジョブが作成されると、SyncIQは優先度がないレプリケーションジョブを一時停止し、優先度があるジョブを実行します。

レプリケーションレポートレプリケーションジョブの完了後に、SyncIQ では、ジョブを実行した時間の長さ、転送されたデータ量、発生したエラーなど、ジョブに関する詳細情報を含むレプリケーションレポートが生成されます。レプリケーションレポートが中断された場合、SyncIQ ではそれまでのジョブの進行状況に関するサブレポートを作成できます。その後ジョブが再開されると、ジョブが完了するか再び中断されるまでのジョブの進行状況に関する別のサブレポートが SyncIQ によって作成されます。SyncIQ では、ジョブが正常に完了するまで、ジョブが中断されるたびにサブレポートが作成されます。ジョブに対して複数のサブレポートが作成される場合、SyncIQ ではサブレポートの情報が単一のレポートに結合されます。レプリケーションレポートは定期的に削除されます。SyncIQ で保持するレプリケーションレポートの最大数と、SyncIQ でレプリケーションレポートを保持する期間を指定できます。クラスターのレプリケーションレポートが最大数を超えると、新しいレポートが作成されるたびに最も古いレポートが削除されます。レプリケーションレポートの内容はカスタマイズできません。


レプリケーションジョブのリソース消費量の制御 303

レプリケーションポリシーを削除すると、そのポリシーで生成されたすべてのレポートが自動的に削除されます。

レプリケーションスナップショットSyncIQは、Isilon クラスター間のレプリケーション、フェイルオーバー、フェイルバックを容易にするためにスナップショットを生成します。SyncIQ によって生成されたスナップショットは、ターゲットクラスターでのアーカイブの目的にも使用できます。

ソースクラスタースナップショットSyncIQは、ソースクラスターにスナップショットを生成して、レプリケートされたポイントインタイムイメージの整合性を確保し、未変更のデータがターゲットクラスターに送信されないようにします。レプリケーションジョブを実行する前に、SyncIQはソースディレクトリのスナップショットを作成します。その後、クラスターの現在の状態ではなく、スナップショットに従ってデータをレプリケートし、ユーザーがソースディレクトリのファイルを変更しても、レプリケートされるソースディレクトリの正確なポイントインタイムイメージを確保できるようにします。たとえば、/ifs/data/dir/のレプリケーションジョブが午後 1時に開始し、午後 1時 20分に終了する場合、/ifs/data/dir/file が午後 1時 10分に変更されると、/ifs/data/dir/file を午後 1時 15分までレプリケートしなかったとしても、この変更はターゲットクラスターには反映されません。SnapshotIQ ソフトウェアモジュールで生成されたスナップショットに従ってデータをレプリケートできます。SnapshotIQ のスナップショットに従ってデータをレプリケートする場合、SyncIQ ではソースディレクトリの別のスナップショットは生成されません。この方法は、複数の Isilon クラスターにデータの同一コピーをレプリケートする場合に便利です。SyncIQ でソーススナップショットを生成して、レプリケーションジョブによって未変更のデータが転送されないようにすることもできます。レプリケーションポリシーのジョブが作成されると、SyncIQはそのジョブがポリシーの最初のジョブであるかどうかを確認します。ポリシーの最初のジョブではない場合、SyncIQは以前のジョブ用に生成されたスナップショットを新しいジョブ用に生成されたスナップショットと比較します。SyncIQは、レプリケーションポリシー用にスナップショットが最後に生成されたとき以降に変更されたデータのみをレプリケートします。レプリケーションジョブが完了すると、SyncIQは以前のソースクラスターのスナップショットを削除して、次回ジョブが実行されるまで、最新のスナップショットを維持します。

ターゲットクラスタースナップショットレプリケーションジョブを実行すると、SyncIQはフェイルオーバー動作を容易にするためにターゲットクラスターにスナップショットを生成します。レプリケーションポリシーに次のレプリケーションジョブを作成すると、このレプリケーションジョブによって新しいスナップショットが作成され、古いスナップショットは削除されます。ターゲットクラスターで SnapshotIQ ライセンスがアクティブ化されている場合は、レプリケーションポリシーを構成して、後続のレプリケーションジョブを実行した後もターゲットクラスターに残る追加のスナップショットを生成できます。SyncIQは、ターゲットクラスターに SnapshotIQ ライセンスが構成されているかどうかに関係なく、ターゲットクラスターのフェイルオーバーを容易にするスナップショットを生成します。フェイルオーバース



ナップショットはレプリケーションジョブの完了時に生成されます。SyncIQ では、レプリケーションポリシーごとに 1 つのフェイルオーバースナップショットのみを保持し、新しいスナップショットの作成後には古いスナップショットを削除します。ターゲットクラスターで SnapshotIQ ライセンスがアクティブ化されている場合は、SyncIQ を構成して、後続のレプリケーションジョブの実行時に自動的に削除されないアーカイブスナップショットをターゲットクラスター上に生成できます。アーカイブスナップショットには、フェイルオーバー用に生成されたスナップショットと同一のデータが格納されます。アーカイブスナップショットをターゲットクラスターに保存する期間は構成可能です。アーカイブスナップショットへのアクセス方法は、クラスターに生成された他のスナップショットにアクセスする場合と同様です。

SyncIQ を使用したデータフェールオーバーおよびフェールバックSyncIQ を使用すると、Isilon クラスタ間でデータの自動フェールオーバーおよびフェールバック操作を実行できます。プライマリクラスタがオフラインになると、セカンダリ Isilon クラスタにフェールオーバーされるため、クライアントは引き続きデータにアクセスすることができます。プライマリクラスタが使用可能な状態に戻った時点で、プライマリクラスタにフェールバックします。SyncIQ のフェールオーバーおよびフェールバックでは、クライアントが元々アクセスしていたクラスタをプライマリクラスタと呼びます。クライアントデータがレプリケートされるクラスタをセカンダリクラスタと呼びます。フェールオーバーとは、クライアントがセカンダリクラスタ上のデータにアクセスしたり、データを表示、変更、削除できるようにするプロセスです。フェールバックとは、クライアントがプライマリクラスタのワークフローを再開できるようにするプロセスです。フェールバック中にセカンダリクラスタ上のデータに加えられたあらゆる変更は、ミラーポリシーを使用したレプリケーションジョブにより、プライマリクラスタにコピーされます。フェールオーバーとフェールバックはディザスタリカバリの際にも役立ちます。たとえばプライマリクラスタが自然災害によって損傷を受けた場合、クライアントをセカンダリクラスタに移行して、通常の運用を継続することができます。プライマリクラスタが修復されてオンラインに戻ったら、クライアントをプライマリクラスタに戻します。フェールオーバーおよびフェールバックを使用すれば、スケジュール設定によるクラスタのメンテナンスも容易に行えます。たとえば、プライマリクラスタをアップグレードする場合、アップグレードが完了するまでクライアントをセカンダリクラスタに移行し、完了後にクライアントを再度プライマリクラスタに移行することができます。

データのフェールオーバーとフェールバックは、エンタープライズ SmartLock ディレクトリとコンプライアンス SmartLock ディレクトリの両方をサポートします。コンプライアンス SmartLock ディレクトリはSEC（米国証券取引委員会）規制 17a-4（f）を遵守しており、書き換え不能、消去不能のフォーマットでの記録の保存にはセキュリティブローカーとセキュリティディーラーが必要です。SyncIQは、フェールオーバーおよびフェールバック時にも、17a-4（f）規制のコンプライアンスを適切に管理します。

データフェールオーバーフェールオーバーとは、セカンダリクラスタ上にデータを準備して、通常のクライアント操作をセカンダリクラスタにスイッチするプロセスです。セカンダリクラスタへのフェールオーバー後、セカンダリクラスタ上のデータにアクセス、表示、変更が行えるようにクライアントをリダイレクトします。フェールオーバーを実行する前に、プライマリクラスタで SyncIQ レプリケーションポリシーを作成して実行しておく必要があります。その後、セカンダリクラスタでフェールオーバープロセスを開始します。


SyncIQ を使用したデータフェールオーバーおよびフェールバック 305

複数のレプリケーションポリシーに分散したプライマリクラスタからデータを移行するには、レプリケーションポリシーごとにフェールオーバーを開始する必要があります。レプリケーションポリシーのアクションがコピーに設定されている場合、プライマリクラスタで削除されたファイルは依然としてセカンダリクラスタには存在しています。セカンダリクラスタに接続すれば、プライマリクラスタで削除されたすべてのファイルを使用することができます。関連するレプリケーションジョブの実行中にレプリケーションポリシーのフェールオーバーを開始すると、フェールオーバー操作は完了しますが、レプリケーションジョブは失敗します。データが不整合の状態になっている可能性があるため、SyncIQは最後に成功したレプリケーションジョブで生成されたスナップショットを使用して、セカンダリクラスタのデータを最新のリカバリポイントに復元します。プライマリクラスタで災害が発生した場合、最後に成功したレプリケーションジョブの開始以後に行われたデータの変更は、セカンダリクラスタに反映されません。クライアントがセカンダリクラスタに接続すると、セカンダリクラスタのデータが、最後に成功したレプリケーションジョブの開始時と同じ内容で表示されます。

データフェールバックフェールバックとは、プライマリクラスタとセカンダリクラスタを、フェールオーバー操作前の役割にリストアするプロセスです。フェールバックが完了すると、プライマリクラスタに最新のデータセットが保存されて、クライアントのホスティング、設定された SyncIQ レプリケーションポリシーによるセカンダリクラスタへのデータのレプリケートなど、通常の運用が再開されます。フェールバックプロセスの最初のステップでは、セカンダリクラスタのデータに対して行われたすべての変更によってプライマリクラスタが更新されます。次のステップでは、クライアントからアクセスできるようにプライマリクラスタが準備されます。最後のステップでは、プライマリクラスタからセカンダリクラスタへのデータレプリケーションが再開されます。フェールバックプロセスが完了したら、プライマリクラスタのデータにアクセスするようにユーザーをリダイレクトします。セカンダリクラスタに加えられた変更によりプライマリクラスタを更新するには、SyncIQはソースディレクトリの SyncIQ ドメインを作成する必要があります。レプリケーションポリシーでフェールバックできるのは、次のすべての基準を満たすデータです。l ポリシーがフェールオーバーされている。l ポリシーは同期ポリシーである（コピーポリシーではない）。l レプリケーションからファイルまたはディレクトリが除外されていない。

SmartLock コンプライアンスモードのフェールオーバーとフェールバックバージョン 8.0.1以降、OneFSは SmartLock コンプライアンスモードドメインのターゲットクラスタへのレプリケーションをサポートします。このサポートには、これらの SmartLock ドメインのフェールオーバーとフェールバックも含まれています。SmartLock コンプライアンスモードは SEC（米国証券取引委員会）規制 17a-4（f）に準拠しているため、コンプライアンスモードのWORM ドメインのフェールオーバーとフェールバックにはいくつかの計画と構成が必要です。最も重要なのは、プライマリ（ソース）とセカンダリ（ターゲット）クラスタの両方が、初期設定でコンプライアンスモードクラスタとして構成されている必要があることです。このプロセスは、ノードモデルのIsilon インストールガイド（「Isilon S210 インストールガイド」など）に記述されています。さらに両方のクラスタに、コンプライアンスタイプがWORM ドメインとして定義されたディレクトリが必要です。たとえば、WORM ファイルをプライマリクラスタの SmartLock コンプライアンスドメイン/ifs/financial-records/locked に保存する場合、フェールオーバーするターゲットクラスタにも SmartLock コンプライアンスドメインが存在している必要があります。ソースとターゲットのSmartLock コンプライアンスドメインのパス名は同じでもかまいませんが、必須ではありません。



また、両方のクラスタで、コンプライアンスクロックを開始する必要があります。

SmartLock レプリケーションの制限事項SyncIQ での SmartLock ディレクトリのレプリケートとバックアップの制限事項に注意してください。SyncIQ ポリシーのソースディレクトリまたはターゲットディレクトリが SmartLock ディレクトリの場合、レプリケーションとフェールバックが許可されない場合があります。詳細については、次の表を参照してください。

ソースディレクトリタイプ

ターゲットディレクトリタイプレプリケーション可能

フェールバック可能

SmartLock以外 SmartLock以外可可

SmartLock以外 SmartLock エンタープライズ可可（ファイルがターゲットクラスタでWORM状態にコミットされる場合を除く）

SmartLock以外 SmartLock コンプライアンス × ×

SmartLock エンタープライズ

SmartLock以外はい（ただし、ファイルの保存日とコミットステータスは失われる）

可（ただし、ファイルはWORM

状態にならない）


SmartLock エンタープライズ可可（新たにコミットされたWORM ファイルを含む）


SmartLock コンプライアンス × ×

SmartLock コンプライアンス

SmartLock以外 × ×


SmartLock エンタープライズ × ×


SmartLock コンプライアンス可可（新たにコミットされたWORM ファイルを含む）

SmartLock ディレクトリを別の SmartLock ディレクトリにレプリケートする場合は、レプリケーションポリシーを実行する前にターゲットの SmartLock ディレクトリを作成する必要があります。ターゲットディレクトリが存在しない場合は OneFS によってターゲットディレクトリが自動的に作成されますが、OneFS ではターゲット SmartLock ディレクトリは自動的には作成されません。ターゲットディレクトリが作成される前にエンタープライズディレクトリをレプリケートしようとした場合、OneFSは非SmartLock ターゲットディレクトリを作成し、レプリケーションジョブが成功します。ターゲットディレクトリが作成される前にコンプライアンスディレクトリをレプリケートした場合は、レプリケーションジョブが失敗します。SyncIQ ツールを使用して SmartLock ディレクトリを別の EMC Isilon クラスターにレプリケートすると、ファイルのWORM状態もレプリケートされます。ただし、SmartLock ディレクトリの構成設定はターゲットディレクトリに転送されません。たとえば、レプリケートするディレクトリに期限が 3月 4日に設定されているコミット済みファイルが存在する場合、ターゲットクラスタ上でもファイルの期限が 3月 4日に設定されます。ただし、ソースクラスタのディレクトリに設定されたファイルのコミット禁止期間が 1年を超えている場合、ターゲットディレクトリには同じ制限は自動的に設定されません。


SmartLock レプリケーションの制限事項 307

SyncIQの復旧時間と目標RPO（Recovery Point Objective：目標復旧時点）と RTO（Recovery Time Objective：目標復旧時間）は、災害が業務に及ぼす可能性のある影響度を表す尺度です。災害復旧のRPO と RTO をレプリケーションポリシーに従って計算できます。RPOは、クラスターが突然使用不可になった場合に許容されるデータ消失の最大時間です。Isilon クラスターでは、RPOは、最後に正常に完了したレプリケーションジョブが開始してからの経過時間です。RPOは、2 つの連続したレプリケーションジョブを実行し、完了するまでの時間より長くすることはできません。レプリケーションジョブの実行中に災害が発生した場合、セカンダリクラスター上のデータは最後にレプリケーションジョブが完了したときの状態に復元されます。たとえば、レプリケーションポリシーを 3時間ごとに実行するようにスケジュール設定し、レプリケーションジョブが完了するまでに 2時間かかる環境を考えてみましょう。レプリケーションジョブを開始して 1時間後に災害が発生した場合、その前に完了したジョブがデータのレプリケーションを開始してから 4時間が経過しているため、RPOは 4時間です。RTOは、災害後にクライアントがバックアップデータを使用できるようになるまでに必要な最大時間です。RTOは、特定のポリシーに対応するレプリケーションジョブの作成速度に応じて、必ず RPOより短いか、ほぼ等しくなります。レプリケーションジョブを連続して実行すると、つまり、前のレプリケーションジョブが完了する前に同じポリシーの別のレプリケーションジョブを作成すると、RTOは RPO とほぼ等しくなります。セカンダリクラスターをフェイルオーバーすると、クラスターのデータは最後のジョブが完了した時点の状態にリセットされます。データのリセットにかかる時間は、ユーザーがデータの変更に要した時間に比例します。インターバルをおいてレプリケーションジョブを実行すると、つまり、ポリシーのレプリケーションジョブが完了してから次のレプリケーションジョブを開始するまでに一定の時間を空けると、RTO と RPO の関係は災害発生時にレプリケーションジョブを実行するかどうかによって変わります。災害発生時にジョブが実行中の場合、RTOは RPO とほぼ等しくなります。災害発生時にジョブが実行されていない場合、最後のレプリケーションジョブを実行して以後セカンダリクラスターが未変更で、フェイルオーバー処理が即座に完了するため、RTOは微小です。

RPO アラートSyncIQ を構成して、指定した RPO（目標復旧時点）を超えたことに対してアラートを発行するOneFS のイベントを作成することができます。これらのイベントを表示するには他の OneFS のイベントと同じインターフェイスを使用します。これらのイベントのイベント IDは 400040020 です。これらのアラートのイベントメッセージは、次の形式に従っています。

SW_SIQ_RPO_EXCEEDED: SyncIQ RPO exceeded for policy <replication_policy>

たとえば、RPO を 5時間に設定します。ジョブが午後 1時 00分に開始し、午後 3時 00分に完了します。午後 3時 30分、2番目のジョブを開始します。2番目のジョブが午後 6時までに完了しなかった場合、SyncIQは OneFS のイベントを作成します。

レプリケーションポリシーの優先度レプリケーションポリシーを作成する場合、他のジョブよりも優先されるようにポリシーを構成できます。



最大数のジョブがすでに実行されているために複数のレプリケーションジョブがキューに登録されている場合、優先度がないジョブの前に優先度があるポリシーによって作成されたジョブが実行されます。たとえば、50個のジョブが現在実行されていると仮定します。優先度がないジョブが作成されて実行のキューに入れられました。次に、優先度があるジョブが作成され、実行キューに入れられました。優先度があるジョブは、優先度がないジョブが長期間キューに登録されている場合でも、次に実行されます。SyncIQ も優先度がないレプリケーションジョブを一時停止し、優先度があるジョブが実行されるようにします。たとえば、50個のジョブがすでに実行されていて、そのうちの 1 つに優先度がないものとします。優先度があるレプリケーションジョブが作成されると、SyncIQは優先度がないレプリケーションジョブを一時停止し、優先度があるジョブを実行します。

SyncIQ ライセンスの機能データの別の Isilon クラスターへのレプリケーションは、ローカルクラスターとターゲットクラスターの両方で SyncIQ がアクティブ化されている場合のみ実行できます。SyncIQ ライセンスが非アクティブな場合、レプリケーションポリシーを作成、実行、管理することはできません。また、以前に作成したすべてのレプリケーションポリシーは無効化されます。ローカルクラスターをターゲットとするレプリケーションポリシーも、無効化されます。ただし、以前にローカルクラスターにレプリケートしたデータは引き続き使用できます。

レプリケーションポリシーの作成どのような場合にデータを SyncIQ にレプリケートするかを決定するレプリケーションポリシーを作成できます。

レプリケーションからのディレクトリの除外指定したソースディレクトリにあるディレクトリをレプリケーションポリシーによるレプリケーションから除外できます。

フェイルバックは、ディレクトリを除外するレプリケーションポリシーではサポートされません。

デフォルトでは、レプリケーションポリシーのソースディレクトリにあるすべてのファイルとディレクトリがターゲットクラスターにレプリケートされますが、ソースディレクトリ内のディレクトリをレプリケートしないようにすることもできます。除外するディレクトリを指定すると、除外されたディレクトリ内のファイルおよびディレクトリはターゲットクラスターにレプリケートされません。包含するディレクトリを指定した場合、包含するディレクトリ内のファイルおよびディレクトリのみがターゲットクラスターにレプリケートされます。包含するディレクトリ内に存在しないディレクトリは除外されます。ディレクトリの包含と除外の両方を指定する場合、除外するディレクトリは包含するディレクトリのいずれかに存在する必要があります。そうでなければ、除外するディレクトリの設定は無効です。たとえば、次の設定のポリシーについて考えてみます。l ルートディレクトリは/ifs/datal 含まれるディレクトリは/ifs/data/media/music と/ifs/data/media/moviesl 除外されるディレクトリは/ifs/data/archive と/ifs/data/media/music/

working


SyncIQ ライセンスの機能 309

この例では、/ifs/data/archive ディレクトリは包含するディレクトリのいずれにも含まれていないため、/ifs/data/archive ディレクトリを除外する設定は無効です。ディレクトリを明示的に除外するかどうかに関係なく、/ifs/data/archive ディレクトリはレプリケートされません。一方、/ifs/data/media/music/working ディレクトリを除外する設定は、この設定を指定しなくてもレプリケートされるため、有効です。また、ソースディレクトリを含むディレクトリを除外した場合、除外ディレクトリ設定は無効です。たとえば、ポリシーのルートディレクトリが/ifs/data の場合、/ifs ディレクトリを明示的に除外しても/ifs/dataはレプリケーションから除外されません。明示的に包含または除外するすべてのディレクトリは、指定されたルートディレクトリ以下に存在する必要があります。たとえば、指定されたルートディレクトリが/ifs/data であるポリシーについて考えます。この例では、/ifs/data/media ディレクトリと/ifs/data/users/ディレクトリは/ifs/data にあるため、この両方のディレクトリを含めることができます。ディレクトリを同期化ポリシーから除外しても、そのディレクトリはターゲットクラスターから削除されません。たとえば、ソースクラスターの/ifs/data をターゲットクラスターの/ifs/data に同期するレプリケーションポリシーを考えてみます。このポリシーで/ifs/data/media をレプリケーションから除外し、ターゲットクラスターに/ifs/data/media/file が存在する場合、このポリシーを実行しても/ifs/data/media/fileはターゲットクラスターから削除されません。

レプリケーションでのファイルの除外レプリケーションポリシーにより特定のファイルを複製したくない場合は、ファイル一致基準ステートメントを通じて、レプリケーションプロセスからそれらのファイルを除外できます。ファイル一致基準ステートメントは、レプリケーションポリシー作成プロセスで構成できます。

ファイルを除外するレプリケーションポリシーはフェイルバックできません。

ファイル基準ステートメントには 1 つ以上のエレメントを含めることができます。それぞれのファイル基準エレメントは、ファイル属性、比較演算子、比較値を含みます。複数の基準エレメントを 1 つの基準ステートメントに結合するには、ブール演算子の「AND」と「OR」を使用します。ファイル基準定義はいくつでも構成できます。ファイル基準ステートメントを構成すると、関連するジョブの実行速度が低下することがあります。必要な場合にのみレプリケーションポリシーにファイル基準ステートメントを指定することを推奨します。ファイル基準ステートメントを変更すると、次回のレプリケーションポリシーの開始時に完全なレプリケーションが実行されます。複製するデータの量によっては、完全なレプリケーションが完了するまでに長時間かかることがあります。同期ポリシーのため、ファイル属性の比較演算子や比較値を変更した際に、ファイルが指定されたファイル一致基準に一致しなくなった場合は、次回のジョブの実行時にファイルがターゲットから削除されます。このルールはコピーポリシーには適用されません。

ファイル条件オプション特定の条件を満たしているファイルまたは満たしていないファイルを除外するレプリケーションポリシーを構成できます。ファイル条件は、次のファイル属性に基づいて指定できます。Date created

ファイルが作成された時期に基づいてファイルを包含または除外する。このオプションはコピーポリシーのみで使用できます。



「two weeks ago」のような相対的な日時、または「January 1, 2012」のような特定の日時を指定できます。時刻の設定は 24時間制です。

Date accessed

ファイルが最後にアクセスされた時期に基づいてファイルを包含または除外する。このオプションは、コピーポリシー専用であり、クラスターのグローバルなアクセス時間トラッキングオプションが有効になっている場合にのみ使用できます。「two weeks ago」のような相対的な日時、または「January 1, 2012」のような特定の日時を指定できます。時刻の設定は 24時間制です。

Date modified

ファイルが最後に変更された時期に基づいてファイルを包含または除外する。このオプションはコピーポリシーのみで使用できます。「two weeks ago」のような相対的な日時、または「January 1, 2012」のような特定の日時を指定できます。時刻の設定は 24時間制です。

ファイル名ファイル名に基づいてファイルを包含または除外する。特定のテキストを含む名前の全部または一部に基づいて包含または除外を指定できます。次のワイルドカード文字を使用できます。

または、POSIX正規表現（regex）テキストを使用してファイル名をフィルターすることもできます。Isilon クラスターは、IEEE Std 1003.2（POSIX.2）の正規表現をサポートします。POSIX正規表現の詳細については、BSD マニュアルページを参照してください。

表 4 レプリケーションファイルマッチングのワイルドカード

ワイルドカード文字説明

* アスタリスクの部分は任意の文字列と一致します。たとえば、m*の場合、movies も m123 も一致します。

[ ] 角括弧に含まれるすべての文字、またはダッシュで区切られた文字の範囲と一致します。たとえば、b[aei]t の場合、bat、bet、bitが一致します。

たとえば、1[4-7]2 の場合、142、152、162、172 が一致します。最初の角括弧の後に感嘆符を付けると、角括弧内の文字を除外することができます。

たとえば、b[!ie]の場合、batは一致しますが、bitや betは一致しません。角括弧内の最初または最後の文字が角括弧の場合は、角括弧内のその角括弧と一致します。

たとえば、[[c]at の場合、cat と[at が一致します。


ファイル条件オプション 311

表 4 レプリケーションファイルマッチングのワイルドカード（続き）


角括弧内の最初または最後の文字がダッシュの場合は、角括弧内のダッシュと一致します。

たとえば、car[-s]の場合、cars と car-が一致します。

? 疑問符の部分は任意の文字と一致します。たとえば、 t?p の場合、tap、 tip、topはいずれも一致します。

Path

ファイルパスに基づいてファイルを包含または除外する。このオプションはコピーポリシーのみで使用できます。指定したテキストを含むパスの全部または一部に基づいて包含または除外を指定できます。ワイルドカード文字の*、?、[ ]を使用することもできます。

サイズファイルサイズに基づいてファイルを包含または除外する。

ファイルサイズは 1,000 ではなく、1,024 の倍数で表されます。

タイプ次のファイルシステムオブジェクトタイプのいずれかに基づいてファイルを包含または除外する。

l ソフトリンク

l 通常のファイル

l ディレクトリ

デフォルトレプリケーションポリシー設定の構成レプリケーションポリシーのデフォルト設定を構成できます。レプリケーションポリシーを作成する際にこれらの設定を変更しない場合は、指定されたデフォルト設定が適用されます。手順

1. ［Data Protection］ > ［SyncIQ］ > ［Settings］をクリックします。2. ［Default Policy Settings］セクションで、ターゲットクラスタの SmartConnect ゾーンの

ノードにのみ接続するポリシーが必要な場合は、［Connect only to the nodes withinthe target cluster SmartConnect zone］を選択します。

このオプションは、SmartConnect ゾーンとしてターゲットクラスタが指定されているポリシーにのみ影響を及ぼします。



3. ポリシーの実行時にレプリケーションポリシーを接続するノードを指定します。

オプション説明ソースクラスタのすべてのノードにポリシーを接続する。

［Run the policy on all nodes in thiscluster］をクリックします。

指定されたサブネットとプールに含まれているノードにのみポリシーを接続する。

a.［Run the policy only on nodes in thespecified subnet and pool］をクリックします。

b.［Subnet and pool］リストからサブネットとプールを選択します。

SyncIQ では、動的に割り当てられた IP アドレスプールはサポートされません。レプリケーションジョブが動的に割り当てられた IP アドレスに接続する場合、レプリケーションジョブの実行中に SmartConnect がアドレスを再割り当てする可能性があります。その場合は、ジョブが切断されてエラーが発生します。


レプリケーションポリシーの作成SyncIQ で、データを別の Isilon クラスタにレプリケートする方法と日時を定義するレプリケーションポリシーを作成できます。レプリケーションポリシーの構成には 5 つのステップがあります。

レプリケーションポリシーは慎重に構成してください。ポリシーの実行後に次のポリシー設定のいずれかを変更すると、次回のポリシー実行時に完全レプリケーションまたは差分レプリケーションが実行されます。l ソースディレクトリl 包含または除外されるディレクトリl ファイル基準ステートメントl ターゲットクラスターの名前またはアドレス

別のクラスタをターゲットとする場合のみ該当します。ターゲットクラスタの IP またはドメイン名を変更した後、新しい IP またはドメイン名に合わせてソースクラスタでレプリケーションポリシーを変更した場合、フルレプリケーションは実行されません。

l ターゲットディレクトリ

SmartLock コンプライアンスディレクトリのレプリケーションポリシーを作成する場合は、SyncIQ コンプライアンスドメインと SmartLock コンプライアンスドメインの root ディレクトリレベルを同一にして構成する必要があります。SyncIQ ドメイン内に、SmartLock コンプライアンスドメインをネストすることはできません。

基本ポリシー設定の構成レプリケーションポリシーの基本設定を構成する必要があります。


レプリケーションポリシーの作成 313

手順1. ［Data Protection］ > ［SyncIQ］ > ［Policies］をクリックします。2. ［Create a SyncIQ policy］をクリックします。3. ［Settings］領域の［Policy name］フィールドに、レプリケーションポリシーの名前を入力

します。4. (オプション) ［Description］フィールドに、レプリケーションポリシーの説明を入力します。5. ［Action］設定に、レプリケーションポリシーのタイプを指定します。

l すべてのファイルをソースディレクトリからターゲットディレクトリにコピーするには、［Copy］をクリックします。

フェイルバックは、コピーポリシーではサポートされていません。

l すべてのファイルをソースディレクトリからターゲットディレクトリにコピーし、ソースディレクトリには存在しないターゲットディレクトリ上のファイルをすべて削除するには、［Synchronize］をクリックします。

6. ［Run Job］設定に、レプリケーションジョブを実行するかどうかを指定します。

オプション説明ユーザーが手動で開始したときだけジョブを実行する場合

［Manually］をクリックします。

スケジュールに従って自動的にジョブを実行する場合

a.［On a schedule］をクリックします。b. スケジュールを指定します。レプリケーションポリシーを 1日に 2回以上実行する場合、2日間にまたがるインターバルを構成することはできません。たとえば、午後 7時から午前 1時まで、1時間おきに実行するようにレプリケーションポリシーを構成することはできません。

c. ソースディレクトリの内容が変更されていない場合にポリシーが実行されることを防ぐには、［Only run if source directorycontents are modified］をクリックします。

d. 指定した RPO を超過している場合に OneFS イベントを作成するには、［Send RPO alerts after...］をクリックし、RPO を指定します。たとえば、RPO を［5 hours］に設定します。ジョブが午後1時 00分に開始し、午後 3時 00分に完了します。午後 3時 30分、2番目のジョブを開始します。2番目のジョブが午後 6時に完了しなかった場合、SyncIQは OneFS のイベントを作成します。

このオプションは、SyncIQ設定でグローバルに RPO アラートを有効化している場合にのみ有効です。これらのイベントのイベント IDは 400040020 です。

ソースディレクトリが変更されるたびに自

a.［Whenever the source is modified］をクリックします。



オプション説明動的にジョブを実行する場合

b. ソースディレクトリが変更された後、レプリケーションジョブを開始する前に、指定された時間待機するように SyncIQ を構成するには、［Change-Triggered Sync Job Delay］をクリックし、遅延を指定します。

ソースディレクトリのスナップショットが作成されるたびに自動的にジョブを実行する場合

a.［Whenever a snapshot of the source directory istaken］をクリックします。

b. 特定の命名パターンに一致するスナップショットに含まれるデータのみをレプリケートするには、スナップショットの命名パターンを［Run job if snapshot name matches the followingpattern］ボックスに入力します。

c. ポリシーが作成される前にソースディレクトリで作成されたすべてのスナップショットに含まれるデータをレプリケートするには、［Sync existing snapshots before policy creationtime］をクリックします。

必要条件レプリケーションポリシーの作成プロセスの次のステップは、ソースのディレクトリおよびファイルの指定です。

ソースディレクトリとファイルの指定レプリケートするディレクトリとファイルを指定する必要があります。

SyncIQ レプリケーションポリシーでは、OneFS を使用して、別のレプリケーションポリシーから、ターゲットディレクトリとなるソースディレクトリ、またはターゲットディレクトリ内に含まれるソースディレクトリを指定することができます。カスケードレプリケーションといいますが、このユースケースは特にバックアップを目的としたものであるため、慎重に使用する必要があります。OneFSでは、このような場合にフェイルバックは許可されません。

手順1. ［Source Cluster］領域の［Source Root Directory］フィールドに、ターゲットクラスターにレプリケートするソースディレクトリのフルパスを入力します。

/ifs に含まれているディレクトリを指定する必要があります。/ifs/.snapshot ディレクトリまたはそのサブディレクトリは指定できません。

2. (オプション) ソースディレクトリの特定のサブディレクトリをレプリケーション対象から除外します。l ディレクトリを包含するには、［Included Directories］領域で、［Add a directory

path］をクリックします。l ディレクトリを除外するには、［Excluded Directories］領域で、［Add a directory

path］をクリックします。3. (オプション) ファイル一致基準を指定して、特定のファイルをレプリケートしないようにします。

a.［File Matching Criteria］領域で、フィルタータイプを選択します。b. 演算子を選択します。



c. 値を入力します。指定の基準を満たさないファイルは、ターゲットクラスターにレプリケートされません。たとえば、File Type doesn't match .txt と指定すると、SyncIQ ではファイル拡張子が.txt のファイルはレプリケートされません。Created after 08/14/2013 と指定すると、SyncIQ では、2013年 8月 14日よりも前に作成されたファイルはレプリケートされません。複数のファイル一致基準を指定する場合は、［Add an "Or" condition］または［Addan "And" condition］をクリックして、それぞれの基準の関係を制御できます。

4. レプリケーションポリシーの実行時の接続先ノードを指定します。

オプション説明ソースクラスターのすべてのノードにポリシーを接続する場合

［Run the policy on all nodes in thiscluster］をクリックします。

指定したサブネットおよびプールに含まれるノードのみにポリシーを接続する場合

a.［Run the policy only on nodes in thespecified subnet and pool］をクリックします。

b.［Subnet and pool］リストからサブネットとプールを選択します。


必要条件レプリケーションポリシーの作成プロセスの次のステップは、ターゲットディレクトリの指定です。

ポリシーターゲットディレクトリの指定データのレプリケート先となるターゲットクラスターとディレクトリを指定する必要があります。手順

1. ［Target Cluster］領域の［Target Host］フィールドに次のいずれかを入力します。l ターゲットクラスターのノードの FQDN（完全修飾ドメイン名）l ターゲットクラスターの任意のノードのホスト名l ターゲットクラスターの SmartConnect ゾーンの名前l ターゲットクラスターの任意のノードの IPv4 または IPv6 アドレスl localhostローカルクラスター上の別のディレクトリにデータをレプリケートします。




2. ［Target Directory］フィールドに、データのレプリケート先となるターゲットクラスターのディレクトリの絶対パスを入力します。

ターゲットクラスターの既存のディレクトリを指定する場合、そのディレクトリが別のレプリケーションポリシーのターゲットになっていないことを確認してください。同期化ポリシーの場合、ディレクトリが空であることを確認してください。同期化ポリシーを最初に実行したときに、そのポリシーのターゲットからすべてのファイルが削除されます。

指定したターゲットディレクトリがターゲットクラスターに存在していない場合は、ジョブが初めて実行されるときにディレクトリが作成されます。 /ifs ディレクトリは指定しないことを推奨します。 /ifs ディレクトリを指定すると、ターゲットクラスター全体が読み取り専用状態に設定され、クラスターに追加のデータを保存できなくなります。これがコピーポリシーで、ターゲットディレクトリのファイルがソースディレクトリのファイルと同じ名前を共有する場合は、ジョブの実行時にターゲットディレクトリのファイルが上書きされます。

3. レプリケーションジョブがターゲットクラスターによって指定された SmartConnect ゾーンに含まれるノードのみに接続する場合は、［Connect only to the nodes within the targetcluster SmartConnect Zone］をクリックします。

必要条件レプリケーションポリシーの作成プロセスの次のステップは、ポリシーのターゲットスナップショット設定の指定です。

ポリシーターゲットスナップショット設定の構成ターゲットクラスタ上でアーカイブスナップショットが生成される方法を指定することもできます。アーカイブスナップショットへのアクセス方法は、SnapshotIQ スナップショットにアクセスする場合と同様です。SyncIQ では、この設定に関係なく、ターゲットクラスタに常に 1 つのスナップショットを保持し、容易にフェールオーバーできるようになっています。手順

1. ターゲットクラスタにアーカイブスナップショットを作成するには、［Target Snapshots］領域で、［Enable capture of snapshots on the target cluster］をクリックします。

2. (オプション) レプリケーションポリシーに従って作成された最新のスナップショットのデフォルトエイリアスを変更するには、［Snapshot Alias Name］フィールドに新しいエイリアスを入力します。エイリアス名をスナップショット命名パターンとして指定できます。たとえば、次の命名パターンは有効です。

%{PolicyName}-on-%{SrcCluster}-latest



この例に従うと、名前は次のようになります。

newPolicy-on-Cluster1-latest

3. (オプション) レプリケーションポリシーに従って作成されたスナップショットのスナップショット命名パターンを変更するには、［Snapshot Naming Pattern］フィールドに命名パターンを入力します。このレプリケーションポリシーに対して生成される各スナップショットには、このパターンに基づいて名前が割り当てられます。たとえば、次の命名パターンは有効です。

%{PolicyName}-from-%{SrcCluster}-at-%H:%M-on-%m-%d-%Y

この例では、次のような名前が生成されます。

newPolicy-from-Cluster1-at-10:30-on-7-12-2012

4. スナップショットの有効期限については、次のオプションのいずれかを選択します。l ［Snapshots do not expire］をクリックします。l ［Snapshots expire after...］をクリックし、有効期限を指定します。

必要条件レプリケーションポリシーの作成プロセスの次のステップは、詳細ポリシー設定です。

詳細ポリシー設定の構成レプリケーションポリシーの詳細設定を構成することもできます。手順

1. (オプション) ［Priority］フィールドに、ポリシーが優先度を持つかどうかを指定します。

［Normal］を選択すると、ポリシーによって作成されたジョブに優先度が設定されません。［High］を選択すると、レプリケーションポリシーによって作成されたジョブに優先度が設定されます。

2. (オプション) ［Log Level］リストから、SyncIQ がレプリケーションジョブを実行する際のログレベルを選択します。有効なログレベルを詳細度の低い順に並べると、次のようになります。l ［Fatal（致命的）］l ［Error］l ［Notice］l ［Info］l ［コピー］l ［Debug］l ［トレース］レプリケーションログは、一般にデバッグ目的で使用されます。必要であれば、コマンドラインインターフェイスを介してノードにログインし、ノードで/var/log/isi_migrate.log ファイルの内容を表示できます。



推奨ログレベルは［Notice］です。

3. (オプション) レプリケーションポリシーの影響を受ける各ファイルデータパケットのチェックサムを SyncIQ で実行する場合、［Validate File Integrity］チェックボックスをオンにします。

このオプションを有効にすると、ファイルデータパケットのチェックサムの値が一致しない場合、SyncIQは影響を受けるパケットを再送します。

4. (オプション) ポリシーのフェイルバック速度を向上させるには、［Prepare policy foraccelerated failback performance］をクリックします。

このオプションを選択すると、SyncIQ では、フェイルバックプロセス中にこれらのタスクを実行するのを待機するのではなく、次回のジョブ実行時にフェイルバックの構成タスクを実行します。これにより、フェイルバックが開始されたときにフェイルバック操作を実行するために必要な時間量が削減されます。

5. (オプション) ポリシーのレプリケーションレポートが SyncIQ で保持される期間を変更するには、［Keep Reports For］領域で期間を指定します。

レポートの指定された有効期限が過ぎた後、SyncIQは自動的にレポートを削除します。レポートは、当初入力したものとは異なる時間単位で表示される場合があります。週、月、年に対応する値に等しい日数を入力した場合、より大きな時間単位が表示されます。たとえば、［7 days］という値を入力した場合、作成されたレポートには 1週間と表示されます。このような変更が行われるのは、SyncIQ ではレポートの保存期間を内部的に秒単位で記録し、日、週、月、年のいずれかに変換するようになっているためです。

6. (オプション) レプリケーションジョブで削除されたファイルに関する情報を記録するかどうかを指定するには、次のいずれかのオプションを選択します。l ［Record when a synchronization deletes files or directories］をクリックします。

l ［Do not record when a synchronization deletes files or directories］をクリックします。

このオプションは同期化ポリシーのみに適用できます。

7. ポリシーが CloudPools の SmartLink ファイルをレプリケートする方法を指定します。

［Deny］に設定されると、SyncIQは、すべての CloudPools SmartLink ファイルをターゲットクラスターに SmartLink ファイルとしてレプリケートします。ターゲットクラスターがCloudPools をサポートしていない場合、ジョブは失敗します。［Force］に設定されると、SyncIQは、ターゲットクラスターにすべての SmartLink ファイルを通常のファイルとしてレプリケートします。［Allow］に設定されると、SyncIQは SmartLink ファイルをターゲットクラスターに SmartLink ファイルとしてレプリケートしようとします。ターゲットクラスターがCloudPools をサポートしていない場合、SyncIQは SmartLink ファイルを通常ファイルとしてレプリケートします。

必要条件レプリケーションポリシーの作成プロセスの次のステップは、レプリケーションポリシー設定の保存です。



レプリケーションポリシー設定の保存SyncIQ でレプリケーションポリシーに対応するレプリケーションジョブを作成するには、ポリシーを保存する必要があります。はじめにレプリケーションポリシーの現在の設定を確認します。必要に応じて、ポリシー設定を変更します。手順

1. ［Create SyncIQ Policy］ダイアログボックスで、すべてのポリシー設定が意図するとおりになったら［Create Policy］をクリックします。

レプリケーションポリシーの評価レプリケーションポリシーの初回実行前に、レプリケーションの影響を受けるであろうファイルの統計情報を、ファイルを転送することなく確認できます。これは、ポリシーを実行すると転送されるデータセットのサイズを事前に確認する必要がある場合に便利です。

評価できるのは、これまで実行されたことのないレプリケーションポリシーのみです。

手順1. ［Data Protection］ > ［SyncIQ］ > ［Policies］をクリックします。2. ［SyncIQ Policies］テーブルにおいて、レプリケーションポリシーの行の［Actions］列で［Assess Sync］を選択します。

3. ［Data Protection］ > ［SyncIQ］ > ［Summary］の順にクリックします。4. ジョブが完了してから、［SyncIQ Recent Reports］テーブルのレプリケーションジョブの行

で［View details］をクリックします。

レポートの［Total Data］フィールドに、転送されるデータの合計容量が表示されます。

リモートクラスターへのレプリケーションの管理他のクラスターをターゲットとするレプリケーションジョブは手動で実行、表示、評価、一時停止、再開、キャンセル、解決、リセットできます。ポリシージョブが開始した後、ジョブを一時停止してレプリケーションアクティビティを中断できます。その後ジョブを再開して、ジョブが中断した場所からレプリケーションを続行できます。ジョブに割り当てられたクラスターリソースを解放する必要がある場合は、実行中や一時停止中のレプリケーションジョブをキャンセルすることもできます。一時停止中のジョブでは、リソースが使用中であるかどうかにかかわらず、クラスターリソースが保持されます。キャンセルしたジョブではクラスターリソースが解放され、別のレプリケーションジョブがそれらのリソースを使用できます。クラスターで同時に実行または一時停止できるレプリケーションジョブは 5個までです。ただし、クラスターでキャンセルできるレプリケーションジョブの数は無制限です。レプリケーションジョブが一時停止されたまま 1週間を超えると、SyncIQ によってジョブが自動的にキャンセルされます。

レプリケーションジョブの開始レプリケーションポリシーに対応するレプリケーションジョブをいつでも手動で開始できます。



既存のスナップショットに従ってデータをレプリケートする場合は、OneFS コマンドプロンプトで、isisync jobs start コマンドに［--source-snapshot］オプションを付けて実行します。SyncIQ で生成されたスナップショットに従ってデータをレプリケートすることはできません。

手順1. ［Data Protection］ > ［SyncIQ］ > ［Policies］をクリックします。2. ［SyncIQ Policies］テーブルの［Actions］列で［Start Job］を選択します。

レプリケーションジョブの一時停止実行中のレプリケーションジョブを一時停止し、後からジョブを再開することができます。レプリケーションジョブを一時停止すると、一時的にデータのレプリケーションが停止しますが、データのレプリケーションを実行しているクラスターリソースは解放されません。手順

1. ［Data Protection］ > ［ SyncIQ］ > ［Summary］をクリックします。2. ［Active Jobs］テーブルにあるジョブの［Actions］列で、［Pause Running Job］をク

リックします。

レプリケーションジョブの再開一時停止したレプリケーションジョブを再開することができます。手順

1. ［Data Protection］ > ［ SyncIQ］ > ［Summary］をクリックします。2. ［Currently Running］テーブルにあるジョブの［Actions］列で、［Resume Running

Job］をクリックします。

レプリケーションジョブのキャンセル実行中または一時停止したレプリケーションジョブをキャンセルすることができます。レプリケーションジョブをキャンセルすると、データのレプリケーションが停止し、データのレプリケーションを実行していたクラスターリソースが解放されます。キャンセルしたレプリケーションジョブは再開できません。レプリケーションを再開するには、レプリケーションポリシーを再度開始する必要があります。手順

1. ［Data Protection］ > ［ SyncIQ］ > ［Summary］をクリックします。2. ［Active Jobs］テーブルにあるジョブの［Actions］列で、［Cancel Running Job］を

クリックします。

アクティブなレプリケーションジョブの表示現在実行中または一時停止中のレプリケーションジョブに関する情報を表示できます。手順

1. ［Data Protection］ > ［SyncIQ］ > ［Policies］をクリックします。2. ［Active Jobs］テーブルで、アクティブなレプリケーションジョブの情報を確認します。

レプリケーションジョブの情報［Active Jobs］テーブルを通じて、レプリケーションジョブに関する情報を表示できます。


レプリケーションジョブの一時停止 321

Status

ジョブのステータス。次のジョブステータスがあります。実行中

ジョブがエラーなしで現在実行しています。

一時停止ジョブが一時的に停止されています。

Policy Name

関連づけられたレプリケーションポリシーの名前。

Started

ジョブの開始時刻。

Elapsed

ジョブ開始後の経過時間。

Transferred

転送されたファイル数と転送されたすべてのファイルの合計サイズ。

Source Directory

ソースクラスター上のソースディレクトリのパス。

Target Host

ターゲットクラスター上のターゲットディレクトリ。

Actions

実行可能なジョブ関連のアクションがすべて表示されます。

SyncIQ を使用したデータフェールオーバーおよびフェールバックの開始

プライマリクラスタが使用不可になった場合などには、Isilon クラスタ間でフェールオーバーすることができます。プライマリクラスタが使用可能な状態に戻った時点で、フェールバックします。フェールオーバーは不要であったと判断した場合、またはテスト目的でフェールオーバーした場合には、フェールオーバーを元に戻して復元できます。

データのフェールオーバーとフェールバックは、コンプライアンス SmartLock ディレクトリとエンタープライズ SmartLock ディレクトリの両方をサポートするようになりました。コンプライアンス SmartLock ディレクトリは、初期構成中にコンプライアンスモードクラスタとして設定されたクラスタ上にのみ作成することができます。

セカンダリクラスターへのデータフェイルオーバープライマリクラスタが使用不可になった場合、セカンダリ Isilon クラスタにフェールオーバーすることができます。はじめにプライマリクラスタ上で、レプリケーションポリシーを作成し、正常に実行している必要があります。このアクションにより、データがセカンダリクラスタにレプリケートされます。



SmartLock エンタープライズディレクトリと SmartLock コンプライアンスディレクトリの両方に、データフェールオーバーがサポートされています。SmartLock コンプライアンスディレクトリには、専用のレプリケーションポリシーが別に必要です。

フェールオーバー対象のレプリケーションポリシーごとに以下の手順を実行します。

手順1. プライマリクラスタがオンラインのままの場合は、次の手順を実行します。

a. ローカルアクティビティとクライアントアクティビティを両方を含め、レプリケーションポリシーのパスへのすべての書き込みを停止します。これにより、セカンダリクラスタへのフェールオーバーの準備のようには、新しいデータがポリシーのパスに書き込まれなくなります。

b. 手動でのみ実行されるように、レプリケーションポリシーの設定を変更します。

これにより、プライマリクラスタ上のポリシーが、レプリケーションジョブを自動的に実行することはなくなります。ターゲットディレクトリへの書き込みが許可されているときにプライマリクラスタ上のポリシーがレプリケーションジョブを実行すると、ジョブは失敗して、レプリケーションポリシーは非アクティブ化されます。この状況が発生した場合は、手動でのみ実行するようにポリシーの設定を変更し、ポリシーを解決して、フェールバック処理を完了します。フェイルバック処理が完了した後で、ポリシーがスケジュールに従って実行されるように再度設定を変更します。

2. セカンダリクラスタで、［Data Protection］ > ［SyncIQ］ > ［Local Targets］をクリックします。

3. ［SyncIQ Local Targets］テーブルで、レプリケーションポリシーに対して［More］ > ［Allow Writes］を選択します。

4. クライアントアクセスを再度有効化し、ユーザーがセカンダリクラスタのデータにアクセスできるようにします。

フェイルオーバー動作の復元フェイルオーバー動作をセカンダリクラスターで復元すると、プライマリクラスターからセカンダリクラスターへとデータを再びレプリケートできるようになります。フェイルオーバー復元は、セカンダリクラスターでデータが変更される前にプライマリクラスターが使用可能になった場合や、テストの目的でセカンダリクラスターにフェイルオーバーした場合に役立ちます。はじめにレプリケーションポリシーを実行してフェイルオーバーします。

更新されたデータはフェイルオーバー動作を復元してもプライマリクラスターに移行されません。セカンダリクラスターでクライアントが変更したデータを移行するには、プライマリクラスターにフェイルバックする必要があります。フェイルオーバー対象のレプリケーションポリシーごとに以下の手順を実行します。

手順1. ［Data Protection］ > ［SyncIQ］ > ［Local Targets］をクリックします。2. ［SyncIQ Local Targets］テーブルにおいて、レプリケーションポリシーの行の［Actions］

列で［Disallow Writes］を選択します。


フェイルオーバー動作の復元 323

プライマリクラスタへのデータフェールバックセカンダリクラスタにフェールオーバーした後、プライマリクラスタにフェールバックできます。

はじめにプライマリクラスタにフェールバックする前に、セカンダリクラスタへのフェールオーバーが完了している必要があります。また、プライマリクラスタがオンラインに戻るようにする必要があります。

データのフェールバックは、SmartLock コンプライアンスディレクトリと SmartLock エンタープライズディレクトリの両方に対してサポートされています。セカンダリクラスタの操作中にクライアントが新規の SmartLock ファイルをコミットすると、これらの SmartLock ファイルはフェールバック時にプライマリクラスタにレプリケートされます。

手順1. プライマリクラスタで、［Data Protection］ > ［SyncIQ］ > ［Policies］をクリックします。

2. ［SyncIQ Policies］リストのレプリケーションポリシーに対して、［More］ > ［Resync-prep］をクリックします。

この操作により、SyncIQ がセカンダリクラスタのレプリケーションポリシーのミラーポリシーを作成します。ミラーポリシーは、セカンダリクラスタの［DataProtection］ > ［SyncIQ］ > ［Local Targets］下に置かれます。SyncIQは、次のパターンに従ってミラーポリシーの名前を付けます。

［<replication-policy-name>］_mirror3. フェールバックプロセスを開始する前に、クライアントがセカンダリクラスタにアクセスしないよう

にしてください。この操作により、SyncIQ が最新のデータセットにフェールバックします。このデータセットには、プライマリクラスタが利用不可の間にユーザーがセカンダリクラスタ上のデータに対して行ったすべての変更が含まれます。クライアントのアクティビティが減少するのを待ってから、セカンダリクラスタへのアクセスを止めることをお勧めします。

4. セカンダリクラスタで、［Data Protection］ > ［SyncIQ］ > ［Policies］をクリックします。

5. ［SyncIQ Policies］リストのミラーポリシーに対して、［More］ > ［Start Job］をクリックします。または、セカンダリクラスタ上のミラーポリシーを編集して、ポリシーを実行するスケジュールを指定することもできます。

6. プライマリクラスターで、［Data Protection］ > ［SyncIQ］ > ［Local Targets］をクリックします。

7. プライマリクラスタの［SyncIQ Local Targets］リストのミラーポリシーに対して、［More］ > ［Allow Writes］を選択します。

8. セカンダリクラスタで、［Data Protection］ > ［SyncIQ］ > ［Policies］をクリックします。

9. セカンダリクラスタの［SyncIQ Policies］リストのミラーポリシーに対して、［More］ > ［Resync-prep］をクリックします。



これでセカンダリクラスタが読み取り専用モードに戻り、プライマリクラスタとセカンダリクラスタ両方のデータセットの整合性が保証されます。

必要条件クライアントをリダイレクトして、プライマリクラスタのデータにアクセスするようにします。必須ではありませんが、フェールバックが正常に完了した後にミラーポリシーを削除するのが安全です。

古い SmartLock ディレクトリのディザスタリカバリの実行OneFS 7.2.1以前を実行しているセカンダリクラスタに SmartLock コンプライアンスディレクトリをレプリケートした場合、OneFS 8.0.1 を実行しているプライマリクラスタに SmartLock コンプライアンスディレクトリをフェールバックすることはできません。ただし、セカンダリクラスタに格納されているSmartLock コンプライアンスディレクトリをリカバリして、プライマリクラスタに戻すことはできます。

SmartLock エンタープライズディレクトリのデータの、旧バージョンの OneFS を使用したフェールオーバーとフェールバックがサポートされています。

ターゲットクラスタでの SmartLock コンプライアンスディレクトリのリカバリOneFS 7.2.1以前のバージョンが動作しているセカンダリクラスタにレプリケートしたコンプライアンスSmartLock ディレクトリのリカバリが可能です。

リカバリする各 SmartLock コンプライアンスディレクトリに対して次の処理手順を実行します。

手順1. セカンダリクラスタで、［Data Protection］ > ［SyncIQ］ > ［Local Targets］をクリックします。

2. ［SyncIQ Local Targets］テーブルで、レプリケーションポリシーに対するポリシーのターゲットディレクトリへの書き込みを有効化します。l 最後のレプリケーションジョブが完了し、実行中のレプリケーションジョブがない場合、［Allow Writes］を選択します。

l 現在レプリケーションジョブを実行中の場合、レプリケーションジョブが完了するまで待機してから、［Allow Writes］を選択します。

l レプリケーションジョブの実行中にプライマリクラスタが使用不可になった場合、［BreakAssociation］を選択します。プライマリクラスタが完全にオフラインになっている場合は、必要なのは関連づけを解除することだけですので注意してください。

3. ［Break Association］をクリックした場合は、不整合状態のままのファイルをリカバリします。a. WORM状態にコミットしないすべてのファイルをターゲットディレクトリから削除します。b. すべてのファイルをフェールオーバースナップショットからターゲットディレクトリにコピーします。フェールオーバースナップショットには次の命名パターンに従って名前が付けられます。

SIQ-Failover-［<policy-name>］-［<year>］-［<month>］-［<day>］_［<hour>］-［<minute>］-［<second>］

スナップショットは/ifs/.snapshot ディレクトリに格納されます。


古い SmartLock ディレクトリのディザスタリカバリの実行 325

4. SmartLock ディレクトリの構成設定（自動コミット期間など）をレプリケーションポリシーのソースディレクトリに指定した場合は、その設定をターゲットディレクトリに適用します。

自動コミットの情報はターゲットクラスタに転送されないため、元のソースクラスタでWORM状態にコミットされるようにスケジュール設定されていたファイルは、ターゲットクラスタでは同時にコミットされるようにスケジュール設定されていません。すべてのファイルが適切な期間保持されるように、ターゲット SmartLock ディレクトリのすべてのファイルをWORM状態にコミットすることができます。

たとえば、次のコマンドを使用すると、/ifs/data/smartlock のすべてのファイルが 1分後にWORM状態に自動でコミットされます。

isi worm domains modify /ifs/data/smartlock --autocommit-offset 1m

必要条件クライアントをリダイレクトして、クライアントがターゲットクラスタへのアクセスを開始できるようにします。

SmartLock コンプライアンスディレクトリの移行オリジナルソースクラスタまたは新しいクラスタにディレクトリをレプリケートすることにより、SmartLockコンプライアンスディレクトリをリカバリクラスタから移行することができます。移行が必要なのは、リカバリクラスタが OneFS 7.2.1以前で実行されている場合のみです。これらのバージョンの OneFS では、SmartLock コンプライアンスディレクトリのフェールオーバーおよびフェールバックはサポートされていません。手順

1. リカバリクラスタでは、別のクラスタ（オリジナルのプライマリクラスタまたは新しいクラスタ）に移行する各 SmartLock コンプライアンスディレクトリに、レプリケーションポリシーを作成します。ポリシーは次の要件を満たしている必要があります。l リカバリクラスタ上のソースディレクトリが、移行する SmartLock コンプライアンスディレクトリであること。

l ターゲットディレクトリは、データ移行先のクラスタ上にある空の SmartLock コンプライアンスディレクトリであること。ソースディレクトリとターゲットディレクトリがともに、SmartLock コンプライアンスディレクトリである必要があります。

2. 作成したポリシーを実行して、ターゲットディレクトリにリカバリデータをレプリケートします。

データをレプリケートするには、ポリシーを手動で開始する方法とスケジュールを指定する方法があります。

3. (オプション) すべてのファイルに SmartLock の保護が適用されるように、SmartLock ターゲットディレクトリのすべての移行ファイルをWORM状態にコミットします。

自動コミット情報はリカバリクラスタから転送されないため、ターゲット SmartLock ディレクトリ内のすべての移行ファイルをWORM状態にコミットします。



たとえば、次のコマンドを使用すると、/ifs/data/smartlock のすべてのファイルが 1分後にWORM状態に自動でコミットされます。

isi worm domains modify /ifs/data/smartlock --autocommit-offset 1m

移行する SmartLock ディレクトリに自動コミット時間を設定していない場合は、このステップは不要です。

4. 移行データがあるクラスタで、［Data Protection］ > ［SyncIQ］ > ［Local Targets］の順にクリックします。

5. ［SyncIQ Local Targets］テーブルで、レプリケーションポリシーに対して、［More］ > ［Allow Writes］の順に選択します。

6. (オプション) 自動コミット期間などの SmartLock ディレクトリ構成設定項目がレプリケーションポリシーのソースディレクトリに指定されている場合、移行データが存在するクラスタ上のターゲットディレクトリにそれらの設定項目適用してください。

7. (オプション) リカバリクラスタの SmartLock データのコピーを削除します。

すべてのファイルがWORM状態から解放されるまで、ソース SmartLock ディレクトリによって消費されているスペースは回復されません。ファイルがWORM状態から解放される前にスペースを解放する場合は、リカバリクラスタの再フォーマットについて Isilon テクニカルサポートにお問い合わせください。

レプリケーションポリシーの管理レプリケーションポリシーを変更、表示、有効化、無効化することができます。

レプリケーションポリシーの変更レプリケーションポリシーの設定を変更できます。

ポリシー実行後に次のいずれかのポリシー設定を変更した場合、次回のポリシー実行時に OneFSでフルレプリケーションまたは差分レプリケーションが実行されます。l ソースディレクトリl 包含または除外されるディレクトリl ファイル基準ステートメントl ターゲットクラスター

別のクラスターをターゲットとする場合のみ該当します。ターゲットクラスターの IP またはドメイン名を変更した後、新しい IP またはドメイン名に合わせてソースクラスターでレプリケーションポリシーを変更した場合、フルレプリケーションは実行されません。

l ターゲットディレクトリ

手順1. ［Data Protection］ > ［SyncIQ］ > ［Policies］をクリックします。2. ［SyncIQ Policies］テーブルのポリシーの行で、［View/Edit］をクリックします。3. ［View SyncIQ Policy Details］ダイアログボックスで、［Edit Policy］をクリックします。4. レプリケーションポリシーの設定を変更し、［Save Changes］をクリックします。


レプリケーションポリシーの管理 327

レプリケーションポリシーの削除レプリケーションポリシーを削除することができます。ポリシーを削除すると、SyncIQ でそのポリシーに対応するレプリケーションジョブは生成されなくなります。レプリケーションポリシーを削除すると、ターゲットクラスター上のターゲットの関連づけが解除され、ターゲットディレクトリへの書き込みが許可されます。レプリケーションポリシーによるレプリケーションジョブの作成を一時的に停止したい場合は、ポリシーを無効化し、後からポリシーを再び有効化することができます。手順

1. ［Data Protection］ > ［SyncIQ］ > ［Policies］をクリックします。2. ［SyncIQ Policies］テーブルのポリシーの行で、［Delete Policy］を選択します。3. 確認ダイアログボックスで、［Delete］をクリックします。

操作は、SyncIQ がターゲットクラスターと通信できるようになるまで成功しません。それまでボリシーは［SyncIQ Policies］テーブルから削除されません。ソースクラスターとターゲットクラスター間の接続が再確立された後、SyncIQは次にジョブの実行がスケジュール設定されたときにポリシーを削除します。ポリシーが手動でのみ実行するように構成されている場合は、ポリシーを再度手動で実行する必要があります。SyncIQ がターゲットクラスターと永続的に通信できない場合は、isi sync policies delete コマンドを--local-only オプションとともに実行します。これにより、ポリシーはローカルクラスターからのみ削除され、ターゲットクラスター上のターゲットの関連づけは解除されません。詳細については、「OneFS CLI管理ガイド」を参照してください。

レプリケーションポリシーの有効化または無効化レプリケーションポリシーによるレプリケーションジョブの作成を一時的に停止し、後から再び有効化することができます。

レプリケーションポリシーを無効にした時点で、関連づけられたレプリケーションジョブが実行中であった場合、実行中のジョブは中断されません。ただし、ポリシーを有効化するまでポリシーによって新たなジョブが作成されることはありません。

手順1. ［Data Protection］ > ［SyncIQ］ > ［Policies］をクリックします。2. ［SyncIQ Policies］テーブルのレプリケーションポリシーの行で、［Enable Policy］または［Disable Policy］を選択します。

［Enable Policy］も［Disable Policy］も表示されない場合は、そのポリシーについてレプリケーションジョブが実行していないことを確認します。関連づけられたレプリケーションジョブが実行されていない場合は、SyncIQ ライセンスがクラスターでアクティブ化されていることを確認してください。



レプリケーションポリシーの表示レプリケーションポリシーに関する情報を表示できます。手順

1. ［Data Protection］ > ［SyncIQ］ > ［Policies］をクリックします。2. ［SyncIQ Policies］テーブルで、レプリケーションポリシーに関する情報を表示します。

レプリケーションポリシー情報［SyncIQ Policies］テーブルを通じて、レプリケーションポリシーに関する情報を参照できます。

Policy Name

ポリシーの名前。

State

ポリシーが有効か無効かを示します。

Last Known Good

最後に成功したジョブ実行。

Schedule

次のジョブがいつ実行するようにスケジュール設定されているか。値［Manual］は、ジョブを手動でしか実行できないことを示します。値［When source is modified］は、ソースディレクトリが変更されると必ずジョブが実行されることを示します。

Source Directory


Target Host : ディレクトリターゲットクラスターの IP アドレスまたは完全修飾ドメイン名とターゲットディレクトリのフルパス。

Actions

実行可能なポリシー関連のアクション。

レプリケーションポリシーの設定レプリケーションポリシーの設定に従って実行するようにレプリケーションポリシーを構成できます。Policy name

ポリシーの名前。

説明ポリシーについて説明します。たとえば、ポリシーの目的や機能を説明します。

Enabled

ポリシーが有効かどうかを決定します。

アクションポリシーでどのようにデータがレプリケートされるかを決定します。すべてのポリシーは、ソースディレクトリからターゲットディレクトリにファイルをコピーし、ターゲットディレクトリ中のファイルを、ソースディレクトリのファイルと一致するように更新します。アクションによって、ソースディレクトリでのファイルの削除がターゲットにどのように影響するかが決定されます。次の値が有効です。


レプリケーションポリシーの表示 329

Copy

ソースディレクトリ中のファイルが削除された場合でも、ターゲットディレクトリのファイルは削除されません。

Synchronize

ソースディレクトリに存在しなくなったファイルは、ターゲットディレクトリから削除されます。これにより、ソースディレクトリの正確なレプリカがターゲットクラスター上で維持されます。

Run job

ジョブがスケジュールに基づいて自動的に実行されるか、ユーザーが手動で指定したときに実行されるかを決定します。

Last Successful Run

ポリシーのレプリケーションジョブが正常に完了した最後の時間を表示します。

Last Started

ポリシーが最後に実行された時間を表示します。

Source Root Directory

ソースディレクトリのフルパス。データはソースディレクトリからターゲットディレクトリにレプリケートされます。

Included Directories

レプリケーションに含めるディレクトリを決定します。1個以上のディレクトリがこの設定で指定されている場合、指定されていないディレクトリはレプリケートされません。

Excluded Directories

レプリケーションから除外するディレクトリを決定します。この設定で指定されたディレクトリはレプリケートされません。

File Matching Criteria

レプリケーションから除外するファイルを決定します。指定した基準を満たさないファイルはレプリケートされません。

Restrict Source Nodes

ポリシーをソースクラスのすべてのノードで実行できるか、特定のノードのみで実行できるかを決定します。

Target Host

ターゲットクラスターの IP アドレスまたは完全修飾ドメイン名。

Target Directory

ターゲットディレクトリのフルパス。データはソースディレクトリからターゲットディレクトリにレプリケートされます。

Restrict Target Nodes

ポリシーをターゲットクラスのすべてのノードに接続できるか、特定のノードのみに接続できるかを決定します。

Capture Snapshots

アーカイブスナップショットがターゲットクラスターに生成されるかどうかを決定します。



Snapshot Alias Name

ターゲットクラスターに対して取得された最新のアーカイブスナップショットのスナップショットエイリアスを指定します。

Snapshot Naming Pattern

ターゲットクラスター上でのアーカイブスナップショットの命名方法を指定します。

Snapshot Expiration

アーカイブスナップショットが、システムによって自動的に削除されるまでの、ターゲットクラスター上での保存期間を指定します。

Workers Threads Per Node

ポリシーの各レプリケーションジョブを実行するために、OneFS によって生成される、ノードあたりのワーカーの数を指定します。

Log Level

レプリケーションジョブについて記録される情報の量を指定します。より詳細度の高いオプションには、より詳細度の低いオプションのすべての情報が含まれます。次のリストに、詳細度が低い順にログレベルを示します。

l Fatal（致命的）l Error

l Notice

l Info

l Copy

l Debug

l トレース

レプリケーションログは、一般にデバッグ目的で使用されます。必要であれば、コマンドラインインターフェイスを介してノードにログインし、ノードで/var/log/isi_migrate.log ファイルの内容を表示できます。

通知は、推奨ログレベルです。

Validate File Integrity

OneFS が、レプリケーションジョブによって影響を受ける各ファイルデータパケットに対しチェックサムを実行するかどうかを決定します。チェックサム値が一致しない場合、OneFSは影響のあるファイルデータパケットを再送します。

Keep Reports For

OneFS によって自動的に削除されるまでに、レプリケーションレポートを保持する期間を指定します。

Log Deletions on Synchronization

同期化ジョブによりターゲットクラスター上でファイルまたはディレクトリが削除されるときに、OneFS が記録するかどうかを決定します。

次のレプリケーションポリシーフィールドは、OneFS のコマンドラインインターフェイスを通じてのみ使用できます。


レプリケーションポリシーの設定 331

Source Subnet

レプリケーションジョブがクラスターの任意のノードに接続するか、指定したサブネットのノードのみにジョブが接続できるかを指定します。

Source Pool

レプリケーションジョブがクラスターの任意のノードに接続するか、ジョブが指定したプールのノードのみに接続できるかを指定します。

Password Set

ターゲットクラスターにアクセスするためのパスワードを指定します。

Report Max Count

このポリシーに対して保持するレプリケーションレポートの最大数を指定します。

Target Compare Initial Sync

このポリシーに対して、フルレプリケーションと差分レプリケーションのどちらを実行するかを決定します。フルレプリケーションと差分レプリケーションは、初めてポリシーを実行するときと、ポリシーをリセットした後に実行されます。

Source Snapshot Archive

ソースクラスター上でレプリケーションポリシーに対して生成されたスナップショットを、次のレプリケーションポリシーを実行するときに削除するかどうかを決定します。アーカイブソースのスナップショットを有効化するのに、クラスターで SnapshotIQ ライセンスをアクティブ化する必要はありません。

Source Snapshot Pattern

ソースクラスター上のレプリケーションポリシーに対して生成されたスナップショットが保持される場合、指定された名称変更パターンに従ってスナップショットの名称を変更します。

Source Snapshot Expiration

ソースクラスター上のレプリケーションポリシーに対して生成されたスナップショットが保持される場合、スナップショットの有効期限を指定します。

Restrict Target Network

レプリケーションジョブが指定の SmartConnect ゾーンのノードのみに接続するかどうかを決定します。この設定が適用されるのは、ターゲットホストが SmartConnect ゾーンとして指定されている場合のみです。

Target Detect Modifications

SyncIQ がファイルをレプリケートする前にターゲットディレクトリの変更をチェックするかどうかを決定します。デフォルトでは、SyncIQは常に変更をチェックします。

このオプションを無効化すると、データ消失が発生する可能性があります。このオプションを無効化する前に Isilon テクニカルサポートに相談することを推奨します。

Resolve

レプリケーションジョブがエラーを検出した場合に、ポリシーを手動で解決できるかどうかを決定します。



ローカルクラスターへのレプリケーションの管理ローカルクラスターをターゲットとするレプリケーションジョブを中断できます。ローカルクラスターをターゲットとする、現在実行中のジョブをキャンセルしたり、ポリシーとその指定されたターゲットの間の関連づけを解除することができます。ソースクラスターとターゲットクラスターの関連づけを解除すると、SyncIQは、次回ポリシーを実行するときにフルレプリケーションを実行します。

ローカルクラスターへのレプリケーションのキャンセルローカルクラスターをターゲットとするレプリケーションジョブをキャンセルできます。手順

1. ［Data Protection］ > ［SyncIQ］ > ［Local Targets］をクリックします。2. ［SyncIQ Local Targets］テーブルで、特定のレプリケーションジョブをキャンセルするのか、

ローカルクラスターをターゲットとするすべてのレプリケーションジョブをキャンセルするのかを指定します。l 特定のジョブをキャンセルするには、レプリケーションジョブの行で［Cancel Running

Job］を選択します。l ローカルクラスターをターゲットとするすべてのジョブをキャンセルするには、［Policy

Name］の左側のチェックボックスを選択して、［Select a bulk action］リストで［Cancel Selection］を選択します。

ローカルターゲットの関連づけの解除レプリケーションポリシーとローカルクラスターの間の関連づけを解除することができます。ターゲットの関連づけを破棄すると、ターゲットディレクトリへの書き込みが許可されますが、ポリシーを再び実行する前にレプリケーションポリシーをリセットすることも必要になります。

レプリケーションポリシーをリセットした後、SyncIQは、次回ポリシーを実行したときに、フルレプリケーションまたは差分レプリケーションを実行します。レプリケートするデータ量によっては、フルレプリケーションまたは差分レプリケーションが完了するまでに長時間かかる場合があります。

手順1. ［Data Protection］ > ［SyncIQ］ > ［Local Targets］をクリックします。2. ［SyncIQ Local Targets］テーブルのレプリケーションポリシーの行で、［Break

Association］をクリックします。3. ［Confirm］ダイアログボックスで、［Yes］をクリックします。

ローカルクラスターをターゲットとするレプリケーションポリシーの表示現在ローカルクラスターにデータをレプリケートしているレプリケーションポリシーに関する情報を表示できます。手順

1. ［Data Protection］ > ［SyncIQ］ > ［Local Targets］をクリックします。


ローカルクラスターへのレプリケーションの管理 333

2. ［SyncIQ Local Targets］テーブルで、レプリケーションポリシーに関する情報を参照します。

リモートレプリケーションポリシー情報現在ローカルクラスターをターゲットにしているレプリケーションポリシーに関する情報を表示できます。次の情報が［SyncIQ Local Targets］テーブルに表示されます。ID

レプリケーションポリシーの ID。

Policy Name

レプリケーションポリシーの名前。

Source Host

ソースクラスターの名前。

Source Cluster GUID

ソースクラスターの GUID。

Coordinator IP

ジョブコーディネータとして機能しているソースクラスター上のノードの IP アドレス。

Updated

ポリシーまたはジョブに関するデータがソースクラスターから最後に収集された時刻。

Target Path

ターゲットクラスター上のターゲットディレクトリのパス。

Status

レプリケーションジョブの現在のステータス。

Actions

実行可能なジョブ関連のアクションがすべて表示されます。

レプリケーションパフォーマンスルールの管理レプリケーションジョブによって生成されるネットワークトラフィックと、ファイルが送信される速度を制限するルールを作成することで、クラスターのパフォーマンスに対するレプリケーションの影響を管理することができます。

ネットワークトラフィックルールの作成レプリケーションポリシーが指定した期間に生成することを許可するネットワークトラフィックの量を制限するネットワークトラフィックルールを作成できます。手順

1. ［Data Protection］ > ［SyncIQ］ > ［Performance Rules］の順にクリックします。2. ［Create a SyncIQ Performance Rule］をクリックします。3. ［Rule Type］リストから［Bandwidth］を選択します。4. ［Limit］フィールドに、レプリケーションポリシーによって送信できる 1秒あたりの最大キロビッ

ト数を指定します。



5. ［Schedule］領域で、ルールを適用する時刻と曜日を指定します。6. ［Create Performance Rule］をクリックします。

ファイル操作ルールの作成レプリケーションジョブが 1秒間に送信できるファイルの数を制限するファイル操作ルールを作成できます。手順

1. ［Data Protection］ > ［SyncIQ］ > ［Performance Rules］の順にクリックします。2. ［Create a SyncIQ Performance Rule］をクリックします。3. ［Rule Type］リストから［Bandwidth］を選択します。4. ［Limit］フィールドに、レプリケーションポリシーによって送信できる秒あたりの最大ファイル数

を指定します。5. ［Schedule］領域で、ルールを適用する時刻と曜日を指定します。6. ［Create Performance Rule］をクリックします。

パフォーマンスルールの変更パフォーマンスルールを変更できます。手順

1. ［Data Protection］ > ［SyncIQ］ > ［Performance Rules］の順にクリックします。2. ［SyncIQ Performance Rules］の変更するルールの行で、［View/Edit］をクリックしま

す。3. ［Edit Performance Rule］をクリックします。4. ルールの設定を変更し、［Save Changes］をクリックします。

パフォーマンスルールの削除パフォーマンスルールを削除できます。手順

1. ［Data Protection］ > ［SyncIQ］ > ［Performance Rules］の順にクリックします。2. ［SyncIQ Performance Rules］テーブルの削除するルールの行で、［Delete Rule］を

選択します。3. ［Confirm Delete］ダイアログボックスで、［Delete］をクリックします。

パフォーマンスルールの有効化または無効化パフォーマンスルールを無効にし、ルールの適用を一時的に中止することができます。また、無効にした後でパフォーマンスルールを有効にすることもできます。手順

1. ［Data Protection］ > ［SyncIQ］ > ［Performance Rules］の順にクリックします。2. ［SyncIQ Performance Rules］テーブルの有効化または無効化するルールの行で、［Enable Rule］または［Disable Rule］を選択します。


ファイル操作ルールの作成 335

パフォーマンスルールの表示レプリケーションパフォーマンスルールに関する情報を表示できます。手順

1. ［Data Protection］ > ［SyncIQ］ > ［Performance Rules］の順にクリックします。2. ［SyncIQ Performance Rules］テーブルで、パフォーマンスルールに関する情報を参照

します。

レプリケーションレポートの管理レプリケーションレポートの表示に加えて、レポートをクラスターに保存する期間を構成できます。また、有効期限を過ぎたレポートを削除することもできます。

デフォルトレプリケーションレポート設定の構成SyncIQ がクラスターにレプリケーションレポートを保持するデフォルトの期間を構成できます。レプリケーションポリシーごとに SyncIQ が保持するレポートの最大数も構成できます。手順

1. ［Data Protection］ > ［SyncIQ］ > ［Settings］をクリックします。2. ［Report Settings］領域の［Keep Reports For］領域で、レプリケーションレポートを

保持する期間を指定します。レポートの指定された有効期限が過ぎた後、SyncIQは自動的にレポートを削除します。一部の時間単位は、元々入力した内容とレポートを表示するときとで異なって表示されます。週、月、年に対応する値に等しい日数を入力した場合、より大きな時間単位が表示されます。たとえば、7日という値を入力した場合、作成されたレポートには 1週間と表示されます。この変更が起きるのは、SyncIQ がレポート保存期間を内部的に秒数で記録し、それを日、週、月、年に変換して表示するためです。

3. ［Number of Reports to Keep Per Policy］フィールドに、1個のレプリケーションポリシーについて一度に保持するレポートの最大数を入力します。


レプリケーションレポートの削除レプリケーションレポートは、レポートの有効期限が過ぎた後に SyncIQ によって定期的に削除されます。SyncIQ では、レポート数が指定の制限を超えた後にも削除されます。過剰なレポートはSyncIQ によって定期的に削除されますが、すべての過剰なレプリケーションレポートをいつでも手動で削除できます。この処理手順は、CLI（コマンドラインインターフェイス）を通じてのみ利用可能です。手順

1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. 次のコマンドを実行して、過剰なレプリケーションレポートを削除します。

isi sync reports rotate



レプリケーションレポートの表示レプリケーションのレポートとサブレポートを表示することができます。手順

1. ［Data Protection］ > ［SyncIQ］ > ［Reports］をクリックします。2. ［SyncIQ Reports］テーブルのレポートの行で［View Details］をクリックします。

レポートにサブレポートが含まれる場合、レポートがフォルダーとして表示されます。サブレポートは、レポートフォルダー内のファイルとして表示されます。

レプリケーションレポート情報［Reports］テーブルを通じて、レプリケーションジョブに関する情報を参照できます。

Policy Name

ジョブに関連づけられたポリシーの名前。ポリシー名をクリックすることにより、ポリシーの設定を表示または編集できます。

Status

ジョブのステータスが表示されます。次のジョブステータスがあります。Running

ジョブがエラーなしで現在実行しています。

Paused

ジョブが一時的に停止されています。

Finished

ジョブは正常に完了しました。

Failed

ジョブが異常終了しました。

Started

ジョブを開始した時刻を示します。

Ended

ジョブを終了した時刻を示します。

Duration

ジョブの完了に要した時間の長さを示します。

Transferred

ジョブの実行中に転送されたファイルの総数と、転送されたすべてのファイルの合計サイズ。評価済みポリシーについては、Assessment が表示されます。

Source Directory


Target Host

ターゲットクラスターの IP アドレスまたは完全修飾ドメイン名。


レプリケーションレポートの表示 337

Action

実行可能なレポート関連のアクションが表示されます。

失敗したレプリケーションジョブの管理レプリケーションジョブがエラーで失敗した場合、SyncIQ により対応するレプリケーションポリシーが無効にされることがあります。たとえば、ターゲットクラスターの IP またはホスト名が変更された場合、SyncIQはレプリケーションポリシーを無効にする可能性があります。レプリケーションポリシーが無効になると、ポリシーは実行できません。無効にされたポリシーに対してレプリケーションを再開するには、ポリシーが無効にされる原因となったエラーを修正するか、レプリケーションポリシーをリセットする必要があります。ポリシーをリセットするのではなく、問題の修正を試みることをお勧めします。エラーを修正し終えたと考えられる場合は、ポリシーを解決することにより、レプリケーションポリシーを有効状態に戻すことができます。その後ポリシーを再度実行して、問題が修正されたかどうかをテストすることができます。問題を修正できない場合は、レプリケーションポリシーをリセットできます。ただし、ポリシーをリセットすると、次回ポリシーを実行したときにフルレプリケーションまたは差分レプリケーションが実行されます。

同期またはコピーされるデータの量によっては、フルレプリケーションまたは差分レプリケーションの完了までに非常に長い時間がかかる可能性があります。

レプリケーションポリシーの解決レプリケーションエラーが原因で SyncIQ によりレプリケーションポリシーが無効にされ、エラーの原因となった問題を修正した場合、レプリケーションポリシーを解決できます。レプリケーションポリシーを解決すると、再度ポリシーを実行できるようになります。エラーの原因となった問題を解決できない場合は、レプリケーションポリシーをリセットすることができます。手順

1. ［Data Protection］ > ［SyncIQ］ > ［Policies］をクリックします。2. ［Policies］テーブルで、ポリシーの行の［Resolve］をクリックします。

レプリケーションポリシーのリセットレプリケーションジョブで解決できないエラーが発生した場合、対応するレプリケーションポリシーをリセットすることができます。ポリシーをリセットすると、次回ポリシーを実行したときに、OneFS によりフルレプリケーションまたは差分レプリケーションが実行されます。レプリケーションポリシーをリセットすると、そのポリシーに対してソースクラスターで生成された最新のスナップショットが削除されます。

レプリケートするデータ量によっては、フルレプリケーションまたは差分レプリケーションが完了するまでに長時間かかる場合があります。レプリケーションエラーの原因となった問題を修正できない場合のみレプリケーションポリシーをリセットしてください。エラーの原因となった問題を修正する場合は、ポリシーをリセットするのではなく、ポリシーを解決してください。

手順1. ［Data Protection］ > ［SyncIQ］ > ［Policies］をクリックします。2. ［SyncIQ Policies］テーブルのポリシーの行で、［Reset Sync State］を選択します。



フルレプリケーションまたは差分レプリケーションの実行レプリケーションポリシーをリセットした後は、フルレプリケーションまたは差分レプリケーションを実行する必要があります。この操作は CLI からのみ実行できます。

はじめにレプリケーションポリシーをリセットします。手順

1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、root またはコンプライアンス管理者アカウントでログインします。

2. isi sync policies modify コマンドを実行して、実行するレプリケーションのタイプを指定します。l フルレプリケーションを実行するには、--target-compare-initial-sync オプションを無効化する。たとえば、次のコマンドは、newPolicy に対する差分同期を無効にします。

isi sync policies modify newPolicy \--target-compare-initial-sync off

l 差分レプリケーションを実行するには、--target-compare-initial-sync オプションを有効化する。たとえば、次のコマンドは、newPolicy に対する差分同期を有効にします。

isi sync policies modify newPolicy \--target-compare-initial-sync on

3. isi sync jobs start コマンドを実行してポリシーを実行します。たとえば、次のコマンドは newPolicy を実行します。

isi sync jobs start newPolicy


フルレプリケーションまたは差分レプリケーションの実行 339

第 16章

FlexProtect を使用したデータレイアウト


l FlexProtect の概要........................................................................................... 342l ファイルストライピング........................................................................................... 342l リクエストされたデータ保護.................................................................................... 342l FlexProtect データリカバリ.................................................................................. 343l データ保護のリクエスト..........................................................................................344l リクエストされた保護設定..................................................................................... 345l リクエストされた保護ディスク領域の使用量............................................................. 345

FlexProtect を使用したデータレイアウト 341

FlexProtectの概要Isilon クラスターは、1台以上のコンポーネントが同時に障害に陥っても、データを継続的に提供できるように設計されています。 OneFSは、クラスター全体にデータをストライピングまたはミラーリングすることにより、データの可用性を確保します。クラスターのコンポーネントが障害になった場合、障害になったコンポーネントに格納されていたデータは、別のコンポーネント上で利用可能になります。コンポーネント障害の後、失われたデータは、FlexProtect専用のシステムによって、正常に動作するコンポーネント上でリストアされます。データ保護はブロックレベルではなく、ファイルレベルで指定されており、システムは素早くデータを復旧できます。すべてのデータ、メタデータ、パリティ情報は、すべてのノードに分散されるため、クラスターに専用のパリティノードまたはドライブは必要ありません。これにより、1 つのノードが再構築プロセスの速度を制限することはありません。

ファイルストライピングOneFSは、Isilon クラスタの内部ネットワークを使用し、クラスタ内の個々のノードとディスクにまたがってデータを自動的に分散します。OneFSは、データの書き込み時にファイルを保護します。データを保護するための他のアクションは必要ありません。ストレージにファイルを書き込む前に、OneFSはファイルをストライプと呼ばれるさらに小さな論理チャンクに分割します。各ファイルチャンクのサイズは、ストライプユニットサイズと呼ばれます。各OneFS のブロックは 8 KB で、1 ストライプユニットは 16 ブロックで構成され、1 ストライプユニットごとに合計で 128 KB になります。書き込み時に OneFSはデータを複数のストライプに分割して、ストライプユニットにデータを論理的に配置します。OneFS がクラスタ全体にデータを書き込む場合、書き込み可能なノード数と指定された保護ポリシーに応じて、OneFSはストライプユニットを満たしてデータを保護します。OneFSは、継続的にデータを再割り当てするので、ストレージ領域をより有効かつ効率的に使用できます。クラスタサイズが大きくなるにつれて、大きなファイルはより効率的に格納されます。128 KB以下のファイルを保護する場合は、OneFSはファイルをさらに小さな論理チャンクに分割することはしません。代わりに OneFSは、FEC（前方エラー訂正）によるミラーリングを行います。ミラーリングにより、OneFSは各小規模ファイルのデータ（N）のコピーを作成し、FECパリティチャンク（M）を追加して、保護ユニット（N + M）全体の複数のインスタンスをクラスタ全体に分散します。

リクエストされたデータ保護リクエストされたデータの保護は、データがコンポーネントの障害から保護されるように、クラスター上で作成される冗長データの量を決定します。 OneFS では、クライアントがクラスターに対してデータの読み取りや書き込みを行っているときに、リクエストされた保護をリアルタイムで変更できます。OneFS には、いくつかのデータ保護設定があります。これらの保護設定は、クラスターやファイルシステムを再起動したりオフラインにすることなく、いつでも変更できます。ストレージソリューションを計画する際には、リクエストされた保護の増加が、ライトパフォーマンスを低下させ、増加したノード数に対してストレージ領域の追加が必要になることに注意してください。OneFSは N+M の保護にリードソロモンアルゴリズムを使用しています。 N+M データ保護モデルでは、Nはデータストライプユニット数を表し、Mは、データ消失を発生させることなくクラスターが対処可能なノードまたはドライブの同時障害数（またはノードとドライブの障害の組み合わせ）を表します。 NはM より大きい必要があります。



N+M データ保護に加えて、OneFS では、2倍から 8倍までのデータミラーリングもサポートしており、データのミラーを 2 から 8個作成できます。クラスター全体のパフォーマンスとリソース消費に関しては、N+M保護の方がミラーリングによる保護よりも多くの場合効率的になります。ただし、N+M保護ではリード/ライトパフォーマンスが低下するため、データミラーリングは、頻繁に更新されサイズが小さいデータに対して高速な場合があります。データミラーリングでは多大なオーバーヘッドが生じるため、必ずしも最善のデータ保護方法ではありません。たとえば、3倍のミラーリングを有効化すると、指定されたコンテンツはクラスター上で 3回複製されます。ミラーリングするコンテンツの量によっては、大量のストレージ領域が消費されます。

FlexProtect データリカバリOneFSは FlexProtect専用のシステムを使用して、ノードまたはドライブの障害により縮退状態にあるファイルやディレクトリを検出して修復します。OneFSは、構成されている保護ポリシーに基づいてクラスター内のデータを保護します。 OneFSは障害になったディスクを再構築し、クラスター全体の空きストレージ領域を使用してデータ消失をさらに防ぎ、データを監視し、危険なコンポーネントからデータを移動します。OneFSは、クラスター全体にすべてのデータおよびエラー訂正情報を分散するため、同時に複数のコンポーネント障害が発生しても、すべてのデータは元の状態で維持され、アクセスできます。通常の運用条件では、クラスター上のすべてのデータが、1個のノードまたはドライブでの 1件以上の障害に対して保護されます。ただし、ノードまたはドライブが故障した場合、データが再度 OneFS で保護されるまで、クラスターの保護ステータスは縮退状態と見なされます。 OneFSは、クラスターの空き領域にデータを再構築することにより、データを再保護します。保護ステータスが縮退状態になっている場合、データ消失が起きやすくなります。データはクラスターの空き領域に再構築されるため、クラスターがコンポーネント障害から回復するために、専用のホットスペアノードやドライブは必要ありません。データを再構築するには、ある程度の空き領域が必要なため、仮想ホットスペア機能を通じて適切な空き領域を確保することをお勧めします。ノードを追加するほど、クラスターがリカバリ操作中に使用できる CPU、メモリー、ディスク容量が多くなります。クラスターの規模が大きくなると、データの再ストライピング操作が高速になります。

SmartFail

OneFSは、SmartFail と呼ばれるプロセスを通じて、障害になったノードまたはドライブに格納されているデータを保護します。SmartFail処理の間、OneFSはデバイスを隔離します。隔離されたデバイスに格納されているデータは読み取り専用になります。デバイスが隔離されている間、OneFSは、他のデバイスにデータを分散させることにより、デバイス上のデータを再保護します。すべてのデータ移行が完了すると、OneFSはクラスターからデバイスを論理的に削除し、クラスターはその幅を新しい構成に論理的に変更し、ノードまたはドライブが物理的に交換できるようになります。OneFSは、最後の手段としてのみデバイスの SmartFail を実行します。ノードまたはドライブに対し手動で SmartFail を実行できますが、まず Isilon のテクニカルサポートに相談することをお勧めします。OneFS が問題を検出する前にデバイスが障害になることがあります。ドライブが SmartFail されずに障害になった場合、OneFSは、クラスターの使用可能な空き領域で自動的にデータの再構築を開始します。しかし、ノードが障害から回復する可能性があるため、ノードが障害になった場合、OneFSは、ノードがクラスターから論理的に削除されない限りデータの再構築を開始しません。


FlexProtect データリカバリ 343

ノード障害ノード障害が一時的な問題であることは少なくないため、OneFSは、ノードが障害になったりオフラインになったりしても、自動的にはデータの再保護を開始しません。ファイルシステムは、一時的な障害の間は変更されないため、ノードが再起動すれば、ファイルシステムを再構築する必要はありません。クラスターで N+1 データ保護を構成し、ノードに障害が発生した場合、クラスター内の他のどのノードからでも、すべてのデータにアクセスできます。ノードはオンラインに戻ると、自動的にクラスターに参加するため、一から再構築する必要はありません。クラスターから物理的にノードを削除した場合、データを保護された状態に保つため、論理的にもクラスターからノードを削除する必要があります。論理的にノードを削除すると、そのノードが自分自身のドライブを自動的に再フォーマットし、出荷時のデフォルト設定にリセットします。リセットは、すべてのデータが再保護されたことを OneFS が確認した後でのみ実行されます。ノードは、SmartFail処理を使用して論理的に削除できます。ノードの SmartFailは、クラスターからノードを完全に削除する場合にのみ使用することが大切です。新しいノードを追加する前に障害になったノードを削除すると、障害になったノードに格納されていたデータを、クラスターの空き領域で再構築する必要があります。新しいノードを追加した後、OneFSはデータを新しいノードに分散します。交換ノードは、古いノードに障害が発生する前にクラスターに追加した方が効率的です。これは、OneFS がすぐに交換ノードを使用し、障害が発生したノードに格納されているデータを再構築できるためです。

データ保護のリクエストリクエストされた保護を設定することにより、ファイルまたはディレクトリの保護を指定できます。この柔軟性により、個別のデータセットをデフォルトより高いレベルで保護できます。リクエストされたデータの保護は OneFS によって計算され、クラスタ内のストレージプールに自動的に設定されます。推奨保護がデフォルト設定になっており、データ保護とストレージ効率性のバランスが最適になっています。たとえば推奨保護の N+2：1は、ドライブ 2台あるいは 1 つのノードに障害が発生しても、データが消失しないことを意味します。結果を最適にするには、最低でもデータの推奨保護をクラスタで採用することをお勧めします。重要なファイル、ディレクトリ、ノードプールに対して、推奨保護よりさらに高いレベルの保護をいつでも指定することができます。OneFS では、クラスタが現在対応できない保護をリクエストできます。対応できない保護をリクエストした場合、クラスタは、対応が可能になるまでリクエストされた保護に対応しようとし続けます。たとえば、4 ノードクラスタで、5倍のミラー保護をリクエストすることができます。この例では、OneFSは、5番目のノードをクラスタに追加するまで 4倍でデータをミラーし、5番目のノードが追加されるとデータを 5倍で再保護します。推奨保護より低いレベルのリクエスト保護を設定すると、この条件に対して OneFS が警告を表示します。

4U Isilon IQ X シリーズおよび NL シリーズのノードと、IQ 12000X/EX 12000 を組み合わせたプラットフォームでは、3 ノードの最小クラスタサイズには最小保護 N+2:1 が必要です。



リクエストされた保護設定リクエストされた保護設定では、クラスターがデータ消失を発生させることなくリカバリできるハードウェア障害のレベルを決定します。

リクエストされた保護設定必要な最小ノード数定義

[+1n] 3 クラスターは、データ消失なく 1台のドライブまたはノードの障害からリカバリできます。

[+2d:1n] 3 クラスターは、データ消失なく 2台のドライブの同時障害または 1台のノード障害からリカバリできます。

[+2n] 4 クラスターは、データ消失なく 2台のドライブまたはノードの同時障害からリカバリできます。


[+3d:1n1d] 3 クラスターは、データ消失なく 3台のドライブの同時障害または 1台のノードと 1

台のドライブの同時障害からリカバリできます。



[+4d:2n] 4 クラスターは、データ消失なく 4台のドライブの同時障害または 2台のノードの障害からリカバリできます。


N倍（データミラーリング） N

たとえば、5倍には最低 5

台のノードが必要です。

クラスターは、データ消失なく N - 1台のドライブまたはノードの障害からリカバリできます。たとえば、5倍の保護は、クラスターが 4台のドライブまたはノードの障害からリカバリできることを意味します。

リクエストされた保護ディスク領域の使用量データのリクエストされた保護を高めると、クラスタ上のデータによって消費されるスペースの量も増えます。


リクエストされた保護設定 345

N + M保護のパリティのオーバーヘッドは、ファイルサイズとクラスタ内のノード数によって異なります。パリティのオーバーヘッドの割合は、クラスタが大きくなるにつれて、下降します。次の表は、リクエストされた保護とクラスタまたはノードプールのサイズに応じて予測されるオーバーヘッドの割合を示しています。この表では、クラスタサイズに基づく推奨される保護レベルは示されていません。

ノードの数 [+1n] [+2d:1n] [+2n] [+3d:1n] [+3d:1n1d] [+3n] [+4d:1n] [+4d:2n] [+4n]

3 2 +1（33%） 4 + 2

（33%）— 6 + 3

（33%）3 + 3（50%） — 8 + 4

（33%）— —

4 3 +1（25%） 6 + 2

（25%）2 + 2

（50%）9 + 3

（25%）5 + 3（38%） — 12 + 4

（25%）4 + 4

（50%）—

5 4 +1（20%） 8 + 2

（20%）3 + 2

（40%）12 + 3

（20%）7 + 3（30%） — 16 + 4

（20%）6 + 4

（40%）—

6 5 +1（17%） 10 + 2

（17%）4 + 2

（33%）15 + 3

（17%）9 + 3（25%） 3 + 3

（50%）16 + 4

（20%）8 + 4

（33%）—

7 6 +1（14%） 12 + 2

（14%）5 + 2

（29%）15 + 3

（17%）11 + 3（21%） 4 + 3

（43%）16 + 4

（20%）10 + 4

（29%）—

8 7 +1（13%） 14 + 2

（12.5%）6 + 2

（25%）15 + 3

（17%）13 + 3（19%） 5 + 3

（38%）16 + 4

（20%）12 + 4

（25%）4 + 4

（50%）

9 8 +1（11%） 16 + 2

（11%）7 + 2

（22%）15 + 3

（17%）15 + 3（17%） 6 + 3

（33%）16 + 4

（20%）14 + 4

（22%）5 + 4

（44%）

10 9 +1（10%） 16 + 2

（11%）8 + 2

（20%）15 + 3

（17%）15 + 3（17%） 7 + 3

（30%）16 + 4

（20%）16 + 4

（20%）6 + 4

（40%）

12 11 +1（8%） 16 + 2

（11%）10 + 2

（17%）15 + 3

（17%）15 + 3（17%） 9 + 3

（25%）16 + 4

（20%）16 + 4

（20%）8 + 4

（33%）

14 13 + 1（7%） 16 + 2

（11%）12 + 2

（14%）15 + 3

（17%）15 + 3（17%） 11 + 3

（21%）16 + 4

（20%）16 + 4

（20%）10 + 4

（29%）

16 15 + 1

（6%）16 + 2

（11%）14 + 2

（13%）15 + 3

（17%）15 + 3（17%） 13 + 3

（19%）16 + 4

（20%）16 + 4

（20%）12 + 4

（25%）

18 16 + 1

（6%）16 + 2

（11%）16 + 2

（11%）15 + 3

（17%）15 + 3（17%） 15 + 3

（17%）16 + 4

（20%）16 + 4

（20%）14 + 4

（22%）

20 16 + 1

（6%）16 + 2

（11%）16 + 2

（11%）16 + 3

（16%）16 + 3（16%） 16 + 3

（16%）16 + 4

（20%）16 + 4

（20%）16 + 4

（20%）

30 16 + 1

（6%）16 + 2

（11%）16 + 2

（11%）16 + 3

（16%）16 + 3（16%） 16 + 3

（16%）16 + 4

（20%）16 + 4

（20%）16 + 4

（20%）

ミラーリングによるデータ保護のパリティのオーバーヘッドは、クラスタ内のノード数による影響を受けません。次の表では、リクエストされた、ミラーされた保護のパリティのオーバーヘッドが示されています。

2x 3x 4x 5x 6x 7x 8x

50% 67% 75% 80% 83% 86% 88%



第 17章

NDMPバックアップとリカバリの概要


l NDMPバックアップおよびリストアの概要................................................................. 348l NDMP 2方向バックアップ.................................................................................... 348l NDMP 3方向バックアップ.................................................................................... 349l NDMP 3方向操作のための優先 IP の設定.......................................................... 349l NDMP マルチストリームのバックアップ/リカバリ......................................................... 349l スナップショットベースの増分バックアップ.................................................................. 350l NDMP プロトコルのサポート.................................................................................. 351l サポートされる DMA.............................................................................................351l NDMP ハードウェアのサポート................................................................................351l NDMPバックアップの制限事項.............................................................................352l NDMP のパフォーマンスに関する推奨事項............................................................. 352l NDMPバックアップからのファイルとディレクトリの除外.................................................354l 基本 NDMPバックアップ設定の構成.....................................................................355l NDMP ユーザーアカウントの管理......................................................................... 356l NDMP環境変数の概要.....................................................................................357l NDMP のコンテキストの管理................................................................................ 367l NDMP セッションの管理.......................................................................................368l NDMP のファイバーチャネルポートの管理...............................................................371l NDMP優先 IP設定項目の管理.........................................................................373l NDMPバックアップデバイスの管理........................................................................ 374l NDMP ダンプ日付ファイルの概要.......................................................................... 377l NDMP リストア処理............................................................................................ 378l クラスタ間のテープドライブの共有.......................................................................... 379l スナップショットベースの増分バックアップの管理........................................................ 379

NDMPバックアップとリカバリの概要 347

NDMPバックアップおよびリストアの概要OneFS では、NDMP（Network Data Management Protocol）を介して、ファイルシステムのデータをバックアップおよびリストアできます。バックアップサーバから、EMC Isilon クラスタと、テープデバイス、メディアサーバ、VTL（仮想テープライブラリ）などのバックアップデバイスの間の、バックアップ処理とリストア処理を指示することができます。以下に、NDMP の機能の一部を紹介します。l NDMPは、2方向バックアップモデルと 3方向バックアップモデルをサポートしています。l 特定のデータ管理アプリケーションでは、NDMPは BRE（再開可能バックアップ拡張機能）を

サポートしています。NDMP BRE を使用すると、障害発生前の最後のチェックポイントから、失敗したバックアップジョブを再開することができます。失敗したジョブはすぐに再開されます。スケジュール設定または手動での開始はできません。

l NDMPバックアップを実行するためにクラスタで SnapshotIQ ライセンスをアクティブ化する必要はありません。SnapshotIQ ライセンスをクラスタでアクティブ化してある場合、SnapshotIQ ツールを通じてスナップショットを生成し、同じスナップショットをバックアップできます。SnapshotIQ スナップショットをバックアップする場合、OneFSはバックアップの別のスナップショットを作成しません。

l NDMP を通じてWORM ドメインをバックアップすることもできます。

IsilonSD Edge の NDMPバックアップとリカバリIsilonSD Edgeは、3方向の NDMPバックアップモデルのみをサポートしています。双方向のNDMPバックアップでは、サポートされていない IsilonSD クラスター上のバックアップアクセラレータノードが必要です。

NDMP 2方向バックアップNDMP 2方向バックアップは、ローカルまたは直接 NDMPバックアップとも呼ばれます。NDMP 2方向バックアップを実行するには、EMC Isilon クラスターをバックアップアクセラレータノードに接続し、テープデバイスをバックアップアクセラレータノードに接続する必要があります。テープデバイスにバックアップするには、その前に OneFS を使用してそのデバイスを検出する必要があります。サポートされるテープデバイスをバックアップアクセラレータノードのファイバーチャネルポートに直接接続できます。または、ファイバーチャネルスイッチをバックアップアクセラレータノードのファイバーチャネルポートに接続し、テープおよびメディアチェンジャーデバイスをファイバーチャネルスイッチに接続できます。詳細については、ファイバーチャネルスイッチのマニュアルで、バックアップアクセラレータノードと接続されているテープデバイスおよびメディアチェンジャーデバイスの間の通信を可能にするための、スイッチのゾーニングについて参照してください。テープデバイスをバックアップアクセラレータノードに接続すると、クラスターは、ノードを起動またはリスタートしたときか、ファイバーチャネルポートを再スキャンしてデバイスを検出したときにデバイスを検出します。クラスターがテープデバイスを検出する場合、クラスターは検出した各デバイスへのパスのためのエントリーを作成します。ファイバーチャネルスイッチ経由でデバイスを接続する場合、1台のデバイスについて複数のパスが存在する可能性があります。たとえば、テープデバイスをファイバーチャネルスイッチに接続し、ファイバーチャネルスイッチを 2個のファイバーチャネルポートに接続した場合、OneFSはパスごとに 1個ずつ合計 2個のエントリーをデバイスに対して作成します。



IsilonSD Edge では、NDMP 2方向バックアップはサポートされていません。

NDMP 3方向バックアップNDMP 3方向バックアップは、リモート NDMPバックアップとも呼ばれます。3方向 NDMPバックアップ操作では、バックアップサーバー上の DMA（データ管理アプリケーション）が、LAN に接続されているか、DMA に直接接続されているテープメディアサーバーへのデータのバックアップを開始するようクラスターに指示します。NDMP サービスは 1台の NDMP サーバー上で実行され、NDMP テープサービスは別のサーバー上で実行されます。双方のサーバーはネットワーク境界を越えて相互に接続されます。

NDMP 3方向操作のための優先 IPの設定複数のネットワークインターフェイスのある環境で、NDMP 3方向操作の DMA（データ管理アプリケーション）として Avamar を使用している場合は、EMC Isilon クラスタ間または OneFS で定義されている 1 つ以上のサブネットに対して優先 IP設定を適用できます。優先 IP設定とは、NDMP3方向操作中にデータサーバまたはテープサーバを接続する優先順位付きの IP アドレスのリストです。DMA からの受信リクエストを受信する NDMP サーバの IP アドレスにより、優先権設定の範囲と優先度が決まります。受信 IP アドレスが優先権が設定されたサブネットの範囲内にある場合は、優先権設定が適用されます。サブネット固有の優先権設定はなくても、クラスタ全体の優先権設定がある場合は、クラスタ全体にわたる優先権設定が適用されます。クラスタ全体の優先権設定は、常にサブネット固有の優先権設定により上書きされます。クラスタ全体の優先権設定もサブネット固有の優先権設定も存在しない場合は、DMA からの受信リクエストを受信する IP アドレスのサブネット内の IP アドレスが優先 IP アドレスとして使用されます。クラスタまたはネットワークサブネットごとに優先 IP設定を 1 つ持つことができます。NDMP優先 IP のリストの指定は、isi ndmp settings preferred-ips コマンドで行います。

NDMP マルチストリームのバックアップ/リカバリ特定の DMA（データ管理アプリケーション）と連携して NDMP のマルチストリームバックアップ機能を使用して、バックアップを高速化できます。マルチストリームバックアップでは、DMA を使用して、同時にバックアップするデータの複数のストリームを指定できます。OneFS では、特定のマルチストリームバックアップ操作のすべてのストリームを同じバックアップコンテキストの一部であると見なします。マルチストリームバックアップセッションが成功すると、マルチストリームバックアップコンテキストは削除されます。失敗したストリームがあると、バックアップ操作の完了後も 5分間バックアップコンテキストが保持されるため、その時間内であれば失敗したストリームを再試行することができます。データをテープドライブにバックアップする NDMP のマルチストリームバックアップ機能を使用した場合、DMA によっては複数のストリームのデータもリカバリできます。OneFS 8.0.0 では、マルチストリームバックアップは、CommVault Simpanaバージョン 11.0 Service Pack 3 と EMC NetWorkerバージョン 9.0.1 でサポートされています。CommVault Simpana を使用してデータをバックアップすると、マルチストリームのコンテキストは作成されますが、データは一度に 1 ストリームずつリカバリされます。


NDMP 3方向バックアップ 349

OneFS のマルチストリームバックアップは、NDMP の再開可能バックアップ機能ではサポートされていません。

スナップショットベースの増分バックアップスナップショットベースの増分バックアップを実装して、これらのバックアップの実行スピードを上げることができます。スナップショットベースの増分バックアップ中、OneFSは、前回の NDMPバックアップ操作で取得されたスナップショットをチェックして、新しいスナップショットと比較します。その後、OneFSは、最後のスナップショットの取得以降に変更されたすべてのファイルをバックアップします。増分バックアップにスナップショットが関与しない場合、OneFSは、ディレクトリをスキャンして、どのファイルが変更されたかを検出する必要があります。OneFSは、変更率が低い場合、増分バックアップを非常に高速に実行できます。増分バックアップは、クラスターで SnapshotIQ ライセンスをアクティブ化しなくても実行できます。SnapshotIQは多数の有用な機能を提供しますが、NDMPバックアップ/リカバリでのスナップショット機能は強化しません。BACKUP_MODE環境変数を［SNAPSHOT］に設定して、スナップショットベースの増分バックアップを有効化します。スナップショットベースの増分バックアップを有効化した場合、OneFSは、同じまたは下位レベルの新しいバックアップが実行されるまで、NDMPバックアップ用に取得された各スナップショットを保持します。一方、スナップショットベースの増分バックアップを有効化しない場合、OneFSは、対応するバックアップが完了またはキャンセルされた後、生成された各スナップショットを自動的に削除します。BACKUP_MODE環境変数の設定後、スナップショットベースの増分バックアップは次の表に示す特定の DMA（データ管理アプリケーション）と連動します。

表 5 DMA によるスナップショットベースの増分バックアップのサポート

DMA サポート

Symantec NetBackup ×

環境変数を使用してスナップショットベースの増分バックアップを有効化できます。

EMC NetWorker 可

EMC Avamar 可

CommVault Simpana 可

IBM Tivoli Storage Manager ×

Symantec Backup Exec ×

Dell NetVault ×

ASG-Time Navigator ×



NDMPプロトコルのサポートバージョン 3 または 4 の NDMP プロトコルによって EMC Isilon クラスターデータをバックアップできます。OneFSは、NDMPバージョン 3 と 4 の以下の機能をサポートしています。l フル（レベル 0）NDMPバックアップl 増分（レベル 1～9）NDMPバックアップおよび永久増分バックアップ（レベル 10）。

レベル 10 の NDMPバックアップでは、最新の増分バックアップ（レベル 1～9）または最後のレベル 10 のバックアップ以降に変更されたデータのみがコピーされます。レベル 10 のバックアップを繰り返すことで、フルバックアップを実行しなくても、データセット内の最新バージョンのファイルを確実にバックアップできます。

l トークンベースの NDMPバックアップl NDMP TARバックアップタイプl ダンプバックアップタイプl パスベースおよびディレクトリ/ノードファイル履歴形式l DAR（Direct Access Restore）l DDAR（ディレクトリ DAR）l 特定のファイルとディレクトリのバックアップへの追加と除外l ファイル属性のバックアップl ACL（アクセスコントロールリスト）のバックアップl ADS（代替データストリーム）のバックアップl BRE（再開可能バックアップ拡張機能）OneFSは、IPv4 または IPv6 によるクラスターへの接続をサポートします。

サポートされる DMANDMPバックアップは、バックアップサーバで動作する DMA（データ管理アプリケーション）によって調整されます。

サポートされるすべての DMAは IPv4 プロトコルを通じて EMC Isilon クラスタに接続できます。ただし、IPv6 プロトコルは、EMC Isilon クラスタに接続するため、DMA の一部でのみサポートします。

NDMPハードウェアのサポートOneFS では、テープデバイスおよび VTL（仮想テープライブラリ）でデータをバックアップおよびリカバリできます。


NDMP プロトコルのサポート 351

サポートされるテープデバイス3方向の NDMPバックアップの場合、サポートされるテープデバイスは DMA（データ管理アプリケーション）によって決定されます。

サポートされるテープライブラリNDMP 2方向および 3方向バックアップの場合、OneFSは DMA によってサポートされるすべてのテープライブラリをサポートします。

サポートされる仮想テープライブラリ3方向 NDMPバックアップの場合、サポートされる仮想テープライブラリは DMA によって決定されます。

NDMPバックアップの制限事項NDMPバックアップには次の制限事項があります。l 4 KB を超えるパスレングスをサポートしません。l ファイルの保護レベルポリシーやクォータなどのファイルシステム構成データはバックアップしませ

ん。l 256 KB を超えるテープブロックはバックアップしません。l OneFS以外のファイルシステムからのデータのリカバリをサポートしていません。ただし、

isi_vol_copy ツールを使用して、NDMP プロトコルを介して NetApp または EMC VNX ストレージシステムから OneFS へデータを移行できます。これらのツールの詳細については、EMCオンラインサポートサイトで「OneFS Built-in Migration Tools Guide」を参照してください。

l バックアップアクセラレータノードは、4,096個を超えるテープパスとやり取りすることはできません。

NDMPのパフォーマンスに関する推奨事項OneFS NDMPバックアップを最適化するには、以下の事項を考慮してください。

パフォーマンスに関する一般的な推奨事項l OneFS と、使用している DMA（データ管理アプリケーション）の最新のパッチをインストールし

ます。l A100バックアップアクセラレータノードあたり最大 8個の NDMP コンカレントセッションと

Isilon IQバックアップアクセラレータノードあたり 4個の NDMP コンカレントセッションを実行して、セッションあたり最適なスループットを実現します。

l NDMPバックアップにより、RPO（目標復旧時点）と RTO（目標復旧時間）が非常に高くなります。1 つ以上のバックアップアクセラレータノードをクラスターに接続し、2方向 NDMPバックアップを実行することで、RPO と RTO を削減できます。

l バックアップおよびリカバリ処理中の Isilon クラスターのスループットはデータセットに依存し、小さなファイルではかなり低減されます。

l 大量の小容量ファイルをバックアップする場合は、ディレクトリごとに個別のスケジュールを設定します。

l NDMP 3方向バックアップを実行する場合は、Isilon クラスターの複数のノードで複数のNDMP セッションを実行します。



l ファイルを頻繁にリカバリする場合には、特に DAR（Direct Access Recovery）を使用してファイルをリカバリします。ただし、DARは少数のファイルのリストアに適しているため、DAR を使用したフルバックアップのリカバリや多数のファイルのリカバリを行わないことをお勧めします。

l 大量のファイルを頻繁にリカバリする場合は、DDAR（ディレクトリ DAR）を使用してファイルをリカバリします。

l 使用しているバージョンの OneFS で使用できる、最大のテープレコードサイズを使用してスループットを高めます。

l 可能であれば、バックアップにファイルを追加または除外しないようにします。ファイルを追加または除外すると、フィルタリングのオーバーヘッドにより、バックアップパフォーマンスに影響を及ぼす可能性があります。

l ファイルシステム中のネストしたサブディレクトリの深さを制限します。l ディレクトリ中のファイルの数を制限します。多数のファイルを 1個のディレクトリに格納するので

はなく、ファイルを複数のディレクトリに分散させます。

SmartConnectの推奨事項l SmartConnect での 2方向 NDMPバックアップセッションには、バックアップおよびリカバリ処

理用のバックアップアクセラレータが必要です。ただし、SmartConnect との 3方向 NDMP セッションでは、これらの操作にバックアップアクセラレータは不要です。

l SmartConnect との NDMP 2方向バックアップセッションでは、バックアップアクセラレータノード上の NIC（ネットワークインターフェイスカード）のプールから構成される専用のSmartConnect ゾーンを通じて NDMP セッションに接続します。

l SmartConnectなしでの 2方向 NDMPバックアップセッションでは、バックアップアクセラレータノードの固定 IP アドレスまたは完全修飾ドメイン名を使用してバックアップセッションを開始します。

l 3方向 NDMPバックアップ操作では、フロントエンド Ethernet ネットワークまたはノードのインターフェイスを使用してバックアップトラフィックを処理します。したがって、まだ他のワークロードまたは接続の処理で過負荷になっていないノードのみを使用して NDMP セッションを開始するように DMA を構成することを推奨します。

l SmartConnect がある場合とない場合の 3方向 NDMPバックアップ操作では、NDMP セッションの実行用に識別されているノードの IP アドレスを使用してバックアップセッションを開始します。

バックアップアクセラレータの推奨事項l バックアップアクセラレータノードには静的 IP アドレスを割り当てます。l 大規模なクラスターには、より多くのバックアップアクセラレータノードを接続します。推奨される

バックアップアクセラレータノード数を次の表に示します。表 6 バックアップアクセラレータノードあたりのノード数

ノードのタイプバックアップアクセラレータノードあたりの推奨されるノード数

X シリーズ 3

NL シリーズ 3

S シリーズ 3

HD シリーズ 3


NDMP のパフォーマンスに関する推奨事項 353

l より多くのテープデバイスにバックアップする場合は、より多くのバックアップアクセラレータノードを接続します。

DMA固有の推奨事項l DMA がこのオプションをサポートする場合は、DMA の並列化を有効化します。これにより、

OneFSは、同時に複数のテープデバイスにデータをバックアップできるようになります。

NDMPバックアップからのファイルとディレクトリの除外DMA（データ管理アプリケーション）を通じて NDMP環境変数を指定することにより、ファイルとディレクトリを NDMPバックアップ操作から除外できます。ファイルまたはディレクトリを追加すると、他のすべてのファイルとディレクトリは、バックアップ操作から自動的に除外されます。ファイルまたはディレクトリを除外すると、除外したファイルまたはディレクトリを除くすべてのファイルとディレクトリがバックアップされます。次の文字パターンを指定することにより、ファイルとディレクトリを追加または除外できます。表に示されている例は、バックアップパスが/ifs/data である場合にのみ有効です。

表 7 NDMP のファイルとディレクトリを照合するワイルドカード

文字説明例追加または除外されるディレクトリ

* 任意の 1個以上の文字に置き換わる

archive* archive1src/archive42_a/media

[] ある範囲の文字または数字に置き換わる

data_store_[a-f]data_store_[0-9]

/ifs/data/data_store_a/ifs/data/data_store_c/ifs/data/data_store_8

? 任意の 1文字に置き換わる

user_? /ifs/data/user_1/ifs/data/user_2

\ 空白を追加 user\ 1 /ifs/data/user 1

// 1 つのスラッシュ（/）に置き換わる

ifs//data//archive /ifs/data/archive

*** 1 つのアスタリスク（*）に置き換わる

.. パスの冒頭にある場合にパターンを無視する

../home/john home/john

""は、複数のパターンが指定される場合に Symantec NetBackup に必要です。パターンは、ディレクトリに制限されません。

アンカーされていないパターンは、homeや user1 のように、多数のファイルやディレクトリに属する可能性があるテキストの文字列をターゲットにします。パターンに「/」が含まれている場合は、アンカーされているパターンです。アンカーされているパターンは、常にパスの先頭から照合されます。パスの途中のパターンは照合されません。アンカーされているパターンは、ifs/data/home のように、特定のファイルのパス名をターゲットにします。どちらのタイプのパターンも追加または除外できます。追加パターンと除外パターンの両方を指定した場合、追加パターンが最初に処理され、続いて除外パターンが処理されます。



追加パターンと除外パターンの両方を指定すると、追加されるディレクトリの下の除外されるファイルやディレクトリはバックアップされません。除外ディレクトリが追加ディレクトリのいずれにも見つからない場合、除外指定は効果がありません。

アンカーされていないパターンを指定すると、バックアップのパフォーマンスが低下することがあります。アンカーされていないパターンはできるだけ避けることをお勧めします。

基本 NDMPバックアップ設定の構成NDMPバックアップ設定を構成して、EMC Ision クラスター上でこれらのバックアップを実行する方法を制御できます。また、NDMPバックアップの特定の DMA（データ管理アプリケーション）と通信するように OneFS を構成することもできます。

NDMPバックアップの構成と有効化OneFS では、デフォルトで NDMPバックアップは無効になっています。NDMPバックアップを実行する前に、NDMPバックアップを有効にし、NDMP設定を構成する必要があります。手順

1. ［Data Protection］ > ［NDMP］ > ［NDMP Settings］をクリックします。2. ［Service］領域で［Enable NDMP Service］をクリックします。3. ［Port number］フィールドに、EMC Isilon クラスタに接続する DMA（データ管理アプリケ

ーション）が使用するポート番号を指定します。デフォルトポート番号は 10000 です。4. (オプション) ［DMA vendor］リストから、バックアップ操作を管理する DMA ベンダーの名

前を選択します。目的の DMA ベンダーがリストに含まれていない場合は、［generic］を選択します。ただし、リストに含まれないベンダーは公式にはサポートされないことに注意してください。予期したとおりに機能しない可能性があります。

5. ［NDMP Administrators］領域で［Add an NDMP Administrator］をクリックして、管理者を追加します。［Add NDMP Administrator］ダイアログが表示されます。

6. 管理者名とパスワードを入力し、パスワードを確認して、［Add NDMP Administrator］をクリックします。

7. ［Save Changes］をクリックして、すべての設定を保存します。もしくは、［RevertChanges］をクリックして変更を取り消し、以前の設定に戻します。

NDMPバックアップ設定の表示現在の NDMPバックアップ設定を表示できます。これらの設定によって、NDMPバックアップの有効/無効、DMA（データ管理アプリケーション）が EMC Isilon クラスターに接続するためのポート、OneFS が通信するように構成される DMA ベンダーが定義されます。手順

1. ［Data Protection］ > ［NDMP］ > ［NDMP Settings］をクリックし、NDMPバックアップの設定を表示します。

2. ［Settings］領域で、NDMPバックアップの設定を確認します。


基本 NDMPバックアップ設定の構成 355

NDMPバックアップの無効化今後 NDMPバックアップ方法を使用しない場合は、NDMPバックアップを無効化することができます。手順

1. ［Data Protection］ > ［NDMP］ > ［NDMP Settings］をクリックします。

2. ［Service］領域の［Enable NDMP service］チェックボックスをオフにして、NDMPバックアップを無効化します。

NDMP ユーザーアカウントの管理NDMP ユーザーアカウントを作成、削除、またそのパスワードを変更できます。

NDMP管理者アカウントの作成NDMPバックアップを実行する前に、DMA（データ管理アプリケーション）が EMC Isilon クラスタにアクセスする際に使用する NDMP管理者アカウントを作成する必要があります。手順

1. ［Data Protection］ > ［NDMP］ > ［NDMP Settings］をクリックします。2. ［NDMP Administrators］領域で［Add an NDMP Administrator］をクリックしま

す。［Add NDMP Administrator］ダイアログが表示されます。

3. ［Add NDMP Administrator］ダイアログボックスの［Name］フィールドに、アカウントの名前を入力します。

このステップで作成した NDMP管理者は、NDMP操作に対してのみ有効です。任意の他のユーザー、グループ、クラスタ上の ID に、この NDMP管理者をリンクすることはできません。

4. ［Password］フィールドと［Confirm password］フィールドに、アカウントのパスワードを入力します。

NDMP管理者のための特別なパスワードポリシー要件はありません。

5. ［Add NDMP Administrator］をクリックします。

NDMP ユーザーアカウントの表示NDMP ユーザーアカウントに関する情報を表示できます。手順

1. ［Data Protection］ > ［NDMP］ > ［NDMP Settings］をクリックします。



2. ［NDMP Administrators］領域で、管理者に対応するチェックボックスを選択して［View/Edit］をクリックすることにより、NDMP管理者の情報を確認します。

NDMP管理者アカウントのパスワードの変更NDMP管理者アカウントのパスワードを変更できます。手順

1. ［Data Protection］ > ［NDMP］ > ［NDMP Settings］をクリックします。2. ［NDMP Administrators］領域で、目的の管理者名の横にあるチェックボックスを選択

し、［View/Edit］をクリックします。

［View NDMP Administrator Details］ダイアログボックスが表示されます。3. ［Edit］をクリックします。

［Edit NDMP Administrator Details］ダイアログボックスが表示されます。4. 新しいパスワードを入力し、パスワードを確認して、［Save Changes］をクリックします。

NDMP管理者アカウントの削除NDMP の管理者アカウントを削除することができます。手順

1. ［Data Protection］ > ［NDMP］ > ［NDMP Settings］をクリックします。2. ［NDMP Administrators］領域で、目的の管理者名の横にあるチェックボックスを選択

し、［Delete］をクリックします。

管理者の名前は、NDMP管理者のリストから削除されます。

NDMP環境変数の概要NDMP環境変数は、パスに関連づけられています。環境変数のパスがバックアップまたはリカバリ処理のパスと一致すると、環境変数がその操作に適用されます。すべての環境変数は/ifs ディレクトリの下に存在します。環境変数を含むその他 2 つの仮想パスがあり、それらは/BACKUP と/RESTORE です。このパスの下にある環境変数は、グローバルに適用できます。/BACKUP の下の環境変数はすべてのバックアップ処理に適用されます。/RESTOREの下の環境変数はすべてのリカバリ処理に適用されます。グローバル環境変数は、パスに固有の環境変数が適用された後にのみ適用されます。そのため、パス固有の変数の方が、グローバル変数より優先されます。

NDMP環境変数の管理OneFS では、デフォルトの NDMP環境変数を指定して、NDMPバックアップおよびリカバリ作業を管理できます。DMA（データ管理アプリケーション）を通じてデフォルトの NDMP環境変数を上書きすることもできます。環境変数を追加、表示、編集、削除することができます。環境変数は、バックアップパスごとに管理できます。この環境変数は、バックアップまたはリカバリセッションで DMA から渡される環境変数に追加されます。次の表は、環境変数を直接設定可能な DMA の一覧です。


NDMP管理者アカウントのパスワードの変更 357

表 8 環境変数の設定に対する DMA のサポート

DMA DMA で直接サポート OneFS コマンドラインインターフェイスを介したサポート

Symantec NetBackup 可可

EMC NetWorker 可可

EMC Avamar 不可可

CommVault Simpana 不可可

IBM Tivoli StorageManager

不可可

Symantec Backup Exec 不可可

Dell NetVault 不可可

ASG-Time Navigator 不可可

NDMP バックアップまたはリカバリ操作に対して DMA上で直接環境変数を設定できない場合は、SSH クライアントを通じて EMC Isilon クラスターにログインし、isi ndmp settingsvariables set コマンドを使用して環境変数を設定してください。

NDMP環境変数の設定NDMP環境変数の設定を表示し、必要に応じて管理することができます。

以下の設定は、［Variables］テーブルに表示されます。

設定説明

Add Variables 新しいパス環境変数をそれらの値とともに追加します。

Path 新しい環境変数を格納する/ifs ディレクトリの下のパスです。パスが「［/BACKUP］」に設定されている場合、すべてのバックアップ操作に環境変数が適用されます。パスが「［/RESTORE］」に設定されている場合、すべてのリストア処理に環境変数が適用されます。

Add Name/Value 新しい環境変数の名前と値を追加します。

Name 環境変数の名前。

Value 環境変数に設定された値

Action 指定されたパスで、環境変数を編集、表示、または削除します。

NDMP環境変数の追加環境変数を指定のパスに追加して、バックアップパスごとに適用するかグローバルに適用することができます。手順

1. ［Data Protection］ > ［NDMP］ > ［Environment Settings］をクリックします。



2. ［Add Variables］をクリックして、［Add Path Variables］ダイアログボックスを開きます。3. ［Variable Settings］領域で、次のパラメーターを指定します。

a. /ifs の下のパスを指定するか参照して環境変数を格納します。

l バックアップおよびリカバリ操作のためのグローバル環境変数を設定するには、バックアップ操作の場合は/BACKUPパス、リカバリ操作の場合は/RESTOREパスを指定します。

l ユーザーが作成したスナップショットのバックアップを実行している場合は、バックアップパスに.snapshot/<snapshot name>を含める必要があります。

b.［Add Name/Value］をクリックし、環境変数の名前と値を指定して、［CreateVariable］をクリックします。

NDMP環境変数の表示NDMP環境変数についての詳細を表示することができます。手順

1. ［Data Protection］ > ［NDMP］ > ［Environment Settings］をクリックします。2. ［Variables］表で、環境変数に対応するチェックボックスをクリックして、［View/Edit］を

クリックします。3. ［Display Path Variables］ダイアログボックスで、詳細を確認します。

NDMP環境変数の編集NDMP環境変数を編集することができます。手順

1. ［Data Protection］ > ［NDMP］ > ［Environment Settings］をクリックします。2. ［Variables］表で、環境変数に対応するチェックボックスをクリックして、［View/Edit］を

クリックします。3. ［Display Path Variables］ダイアログボックスで、［Edit Path Variables］をクリックし

ます。4. ［Edit Variables］ダイアログボックスで、［Add Name/Value］をクリックして環境変数の

新しい名前と値を指定します。

NDMP環境変数の削除NDMP環境変数を削除することができます。手順

1. ［Data Protection］ > ［NDMP］ > ［Environment Settings］をクリックします。2. ［Variables］表で、環境変数に対応するチェックボックスをクリックして、［Delete］をクリッ

クします。3. 確認ダイアログボックスで、［Delete］をクリックします。


NDMP環境変数の表示 359

結果［View/Edit］をクリックして［Edit Path Variables］をクリックすると表示される［EditVariables］ダイアログボックスから、NDMP環境変数を削除することもできます。

NDMP環境変数NDMP環境変数によって、NDMPバックアップ/リカバリ処理のデフォルト設定を指定できます。NDMP環境変数は、DMA（データ管理アプリケーション）で指定することもできます。

環境変数を直接設定し OneFS に反映できるのは、Symantec NetBackup および EMCNetWorker の 2 つの DMA のみです。

表 9 NDMP環境変数

環境変数指定可能な値デフォルト説明BACKUP_FILE_LIST ［<file-path>］なしファイルリストバックアップをトリ

ガーします。現在、OneFS には EMC

Networker およびSymantec NetBackup のみが環境変数を渡すことができます。

BACKUP_MODE ［TIMESTAMP］［SNAPSHOT］

［TIMESTAMP］

スナップショットベースの増分バックアップを有効または無効にします。スナップショットベースの増分バックアップを有効化するには、［SNAPSHOT］を指定します。

BACKUP_OPTIONS ［ 0x00000100］［ 0x00000200］［ 0x00000400］［ 0x00000001］［0x00000002］［0x00000004］

［0］この環境変数は、CloudPools SmartLink ファイルを含むデータセットのみに固有です。バックアップの動作を制御します。0

変更されたキャッシュデータをバックアップします。

［0x00000100］SmartLink ファイルデータをクラウドから読み取り、SmartLink ファイルを通常のファイルとしてバックアップします。

［0x00000200］ -

SmartLink ファイルに格納されているすべてのキャッシュデータをバックアップします。



表 9 NDMP環境変数（続き）

環境変数指定可能な値デフォルト説明

［ 0x00000400］SmartLink ファイルに格納されているデータをリコールしてバックアップします。

［ 0x00000001］バックアップ操作の終了時に、環境変数のリストに DUMP_DATE情報を常に追加します。DUMP_DATE値は、バックアップスナップショットが取得された時刻です。DMAは、次回のバックアップ操作のBASE_DATE の設定に、DUMP_DATE値を使用できます。

［0x00000002］トークンベースバックアップのバックアップスナップショットは、dumpdates ファイルに保存されます。トークンベースバックアップにはレベルがないため、デフォルトでレベル 10 に設定されます。トークンベースバックアップが完了すると、スナップショットは次回の増分バックアップに高速増分バックアップを行います。

［0x00000004］前回のスナップショットを保存します。高速増分バックアップが完了すると、以前のスナップショットがレベル 10 で保存されます。同じレベルのスナップショットが 2 つの存在するのを回避するために、以前のスナップショットはレベルを低くしてdumpdates ファイルに


NDMP環境変数 361



保存されます。これにより、BASE_DATE とBACKUP_MODE=

［snapshot］設定は、トークンベースバックアップではなく、高速増分バックアップをトリガーできます。NDMP サーバは、環境変数設定に基づいて、以前のバックアップを検索するために、BASE_DATE値をdumpdates ファイルのタイムスタンプと比較することを要求します。DMA

が最新の高速増分バックアップに失敗しても、OneFSは以前のスナップショットを保存します。DMAは、以前のバックアップの BASE_DATE値を使用して、次回のバックアップサイクルで高速増分バックアップを再試行できます。

BASE_DATE トークンベースの増分バックアップを有効にします。この場合、dumpdates ファイルは更新されません。

DIRECT ［Y］［N］

［N］ DAR（Direct Access

Restore）と DDAR（ディレクトリ DAR）を有効化または無効化します。次の値が有効です。

［Y］DAR と DDAR を有効化する。

［N］DAR と DDAR を無効化する。

EXCLUDE ［<file-matching-

pattern>］なしこのオプションを指定すると、

OneFSは指定したパターンに該当するファイルとディレクトリのみをバックアップしません。複





数のパターンの区切りにはスペースを使用します。

FILES ［<file-matching-

pattern>］なしこのオプションを指定すると、

OneFSは指定したパターンに該当するファイルとディレクトリのみをバックアップします。複数のパターンの区切りにはスペースを使用します。

一般に、ファイルは最初に照合された後、EXCLUDEパターンが適用されます。

HIST ［<file-history-

format>］［Y］ファイルヒストリの形式を指定

します。次の値が有効です。

［D］ディレクトリまたはノードのファイルヒストリを指定する。

［F］パスベースのファイルヒストリを指定する。

［Y］NDMPバックアップ設定によって決定されるデフォルトのファイルヒストリ形式を指定する。

［N］ファイルヒストリを無効化する。

LEVEL ［<integer>］［0］実行する NDMPバックアップのレベルを指定します。次の値が有効です。

［0］NDMP によるフルバックアップを実行する。

［1］ - ［9］指定されたレベルで増分バックアップを実行する。





［10］増分永続バックアップを実行する。

MSB_RETENTION_PERIOD 整数 300秒バックアップコンテキストの保存期間を指定します。

MSR_RETENTION_PERIOD 0～60*60*24 600秒リカバリセッションの再試行を行うことができる、リカバリコンテキストの保存期間を指定します。

RECURSIVE ［Y］［N］

［Y］バックアップセッションが再帰的であることを指定します。

RESTORE_BIRTHTIME ［Y］［N］

［N］リカバリセッションの出生時刻をリカバリするかどうかを指定します。

RESTORE_HARDLINK_BY_TABLE

［Y］［N］

［N］シングルスレッドのリストアセッションに対しては、リカバリ処理でハードリンクテーブルを作成することによって、OneFS でハードリンクをリカバリするかどうかを指定します。ハードリンクのバックアップに問題があり、リカバリ処理が失敗する場合には、このオプションを指定します。ハードリンクのバックアップに問題があるためにリカバリ処理が失敗する場合、NDMPバックアップログに次のメッセージが表示されます。

Bad hardlink path for <path>［］

この変数は、パラレルリストア処理では効果的ではありません。

RESTORE_OPTIONS ［0］［1］［ 0x00000002］［ 0x00000004］

［0］デフォルトでは、リストア処理はパフォーマンスを向上させるためにマルチスレッド化されています。リストア処理をシングルスレッドに変更するには、RESTORE_OPTIONS=1 を指定します。





以下のオプションは、パラレルリストアの場合にのみ該当します。0

リストア処理は既存のディレクトリの権限を上書きしません。

［0x00000002］リストア処理で、リストアストリームからの情報を使用して既存のディレクトリの権限を上書きするよう強制します。このオプションは、nlist にあるディレクトリにのみ適用可能です。

［0x00000004］OneFS 8.0.0 より前のリリースでは、リストア処理中に作成された中間ディレクトリにはデフォルトの権限が設定されます。OneFS 8.0.0以降のリリースでは、中間ディレクトリの権限は、そのディレクトリ内で最初にリストアされたファイルと同じです。［0x00000004］では以前のリストア方法に戻り、中間ディレクトリの権限を 0700 に設定し、UID と GID を 0 に設定します。

UPDATE ［Y］［N］

［Y］ OneFS によってdumpdates ファイルを更新するかどうかを指定します。

［Y］OneFS がdumpdates ファイルを更新します。





［N］OneFSはdumpdates ファイルを更新しません。

バックアップ/リストア処理のための環境変数の設定環境変数を設定して、NDMP セッションのバックアップ/リストア処理をサポートすることができます。

環境変数は、DMA（データ管理アプリケーション）またはコマンドラインインターフェイスで設定します。また、グローバル環境変数を設定することもできます。バックアップ/リストア処理設定への適用優先順位は次のとおりです。l DMA を使用して指定された環境変数が最も高い優先順位を持つ。l isi ndmp settings variables によって指定されたパス固有の環境変数が次に高

い優先順位を持つ。l ［"/BACKUP"］または［"/RESTORE"］のグローバル環境変数設定の優先順位が最も低

くなる。環境変数を設定して、次のようにさまざまなタイプのバックアップ操作をサポートすることができます。l BASE_DATE環境変数が任意の値に設定されており、BACKUP_MODE環境変数が［SNAPSHOT］に設定されている場合は、LEVEL環境変数は自動的に［10］に設定され、増分永続バックアップが実行される。

l BASE_DATE環境変数が［0］に設定されている場合は、フルバックアップが実行される。l BACKUP_MODE環境変数が［snapshot］に設定されている場合に BASE_DATE環境

変数が［0］に設定されていないと、dumpdates ファイルのエントリーが読み取られ、BASE_DATE環境変数と比較される。エントリーと以前の有効なスナップショットの両方が存在する場合は、増分バックアップはさらに高速に実行される。

l BACKUP_MODE環境変数が［snapshot］に設定されている場合に BASE_DATE環境変数が［0］に設定されていないか、dumpdates ファイルにエントリーがなくかつ以前の有効なスナップショットもない場合は、BASE_DATE環境変数の値を使用してトークンベースのバックアップが実行される。

l BASE_DATE環境変数が設定されている場合、BACKUP_OPTIONS環境変数はデフォルトで 0x00000001 に設定される。

l BACKUP_MODE環境変数が［snapshot］に設定されている場合、BACKUP_OPTIONS環境変数はデフォルトで［0x00000002］に設定される。

l BACKUP_OPTIONS環境変数が［0x00000004］に設定されている場合、バックアッププロセスを使用するアプリケーションがスナップショットを保存して管理する。

l 高速増分バックアップで増分永続バックアップを実行するには、次の環境変数を設定する必要がある。n BASE_DATE=［<time>］



n BACKUP_MODE=［snapshot］n BACKUP_OPTIONS=［7］

NDMPのコンテキストの管理NDMPバックアップ、リストア、再開可能バックアップ、マルチストリームバックアッププロセスはそれぞれ、コンテキストを作成します。NDMP サーバーは、コンテキストに対応する作業ファイルを格納します。コンテキストを表示または削除することができます。

再開可能バックアップコンテキストを削除した場合、対応するバックアップセッションを再開することはできません。

NDMP コンテキストの設定NDMP コンテキストの詳細を表示し、それらのコンテキストを管理できます。

以下の設定は、［Contexts］テーブルに表示されます。

設定説明

［タイプ］コンテキストのタイプ。backup、restartable

backup、restore のいずれかになります。

［ID］バックアップまたはリストアジョブの識別子。バックアップまたはリストアジョブは 1 つまたは複数のストリームで構成され、それらすべてがこの識別子によって識別されます。この識別子は、NDMPバックアップデーモンによって生成されます。

［Start Time］［月、日、時刻、年］形式のコンテキストが開始された時刻。

［Actions］選択されたコンテキストを表示するか、削除します。

［Status］コンテキストのステータス。バックアップまたはリストアジョブが開始されるとステータスが［active］で表示され、バックアップストリームが完了するかエラー終了するまではアクティブな状態を維持し続けます。

［Path］選択されたコンテキストのすべての作業ファイルが保存されているパス。

［MultiStream］マルチストリームバックアッププロセスが有効になっているかどうかを指定します。

［Lead Session ID］バックアップまたはリストア処理に対応する最初のバックアップまたはリストアセッションの識別子。

［Sessions］選択されたコンテキストに関連づけられているすべてのセッションのリストを含むテーブル。

NDMP のコンテキストの表示NDMPバックアップ、再開可能バックアップ、リカバリのコンテキストに関する情報を表示できます。


NDMP のコンテキストの管理 367

手順1. ［Data Protection］ > ［NDMP］ > ［Contexts］をクリックします。2. ［Contexts］表で、確認するコンテキストに対応するチェックボックスをクリックし、［View

Details］をクリックします。3. コンテキストに関する情報を［Display Backup Context］ダイアログボックスで確認しま

す。

NDMP コンテキストの削除NDMP コンテキストを削除することができます。

バックアップとリストアのコンテキストには保存期間があり、その期間を超えるとコンテキストが自動的に削除されます。ただし、リソースを解放するために、その保存期間より前にコンテキストを削除することができます。アクティブなセッションのコンテキストを削除することはできません。また、アクティブなBRE コンテキストを含むバックアップコンテキストを削除することはできません。BRE コンテキストを削除できるのは、アクティブなセッションの一部ではない場合のみです。手順

1. ［Data Protection］ > ［NDMP］ > ［Contexts］をクリックします。2. ［Contexts］表で、コンテキストを選択して［Delete］をクリックします。3. 確認ダイアログボックスで、［Delete］をクリックします。

NDMP セッションの管理NDMP セッションのステータスを表示したり、進行中のセッションを終了したりすることができます。

NDMP セッション情報DMA（データ管理アプリケーション）では、バックアップアクセラレータノードで実行されている NDMPデーモンを使用してセッションを確立します。NDMP デーモンを使用した、DMA からの通信は、セッションのコンテキストで管理されます。以下は、［Sessions］テーブルに表示される項目です。

項目説明

［Session］ OneFS がセッションに割り当てた固有の識別番号を指定します。

［Elapsed］セッション開始後の経過時間を指定します。

［Transferred］セッション中に転送されたデータ量を指定します。

［Throughput］過去 5分間におけるセッションの平均スループットを指定します。

［Client/Remote ］ DMA（データ管理アプリケーション）を実行するバックアップサーバの IP アドレスを指定します。NDMP 3方向バックアップまたはリストア操作が現在実行されている場合、リモートのテープメディアサーバの IP アドレスも表示されます。

［Mover/Data］ Data Mover とデータサーバの現在の状態を指定します。最初の文字は、Data Mover のアクティビティを示します。2番目の文字は、データサーバのアクティビティを示します。



項目説明

Data Mover とデータサーバは、バックアップとリストア操作中に、相互にデータを送受信します。Data Moverは、バックアップ中にデータを受信し、リストア操作中にデータを送信するバックアップサーバのコンポーネントです。データサーバは、バックアップ中にデータを送信し、リストア操作中に情報を受信する OneFS のコンポーネントです。

以下の状態が表示されます。Active

Data Mover またはデータサーバは、現在データを送受信しています。

Paused

Data Moverは、一時的にデータを受信できません。Data Mover が一時停止している間、データサーバはデータを Data Mover に送信できません。データサーバは一時停止できません。

Idle

Data Mover またはデータサーバは、データを送受信していません。

Listen

Data Mover またはデータサーバは、データサーバまたは Data

Mover への接続を待機しています。

［Operation］現在進行中の操作のタイプ（バックアップまたはリストア）を指定します。進行中の操作がない場合、このフィールドは空白です。B ({M} {F} [L[0-10] | T0 | Ti | S[0-10]] {r | R})


[ a ]：a が必要

{ a }：aはオプション

a | b：a または b、同時に成立しない

M：マルチストリームバックアップ

F：ファイルのリスト

L：レベルベース

T：トークンベース

S：スナップショットモード

s：スナップショットモードとフルバックアップ（ルートディレクトリが新しい場合）

r：再開可能バックアップ

R：再開されたバックアップ

0~10：ダンプレベル

R ({M|s}[F | D | S]{h})


M：マルチストリームリストア


NDMP セッション情報 369

項目説明

s：シングルスレッドリストア（RESTORE_OPTIONS=1 の場合）

F：フルリストア

D：DAR

S：選択的リストア

h：テーブルによるハードリンクのリストア

［Source/Destination］操作が現在進行中の場合、その操作によって影響を受ける/ifs ディレクトリを指定します。バックアップが進行中の場合、バックアップされているソースディレクトリのパスが表示されます。リストア操作が進行中の場合、テープメディアサーバがデータをリストアしている宛先ディレクトリとリストアされているディレクトリのパスが表示されます。データをバックアップした場所と同じ場所にデータをリストアしている場合、同じパスが 2回表示されます。

［Device］ EMC Isilon クラスターと通信しているテープまたはメディアチェンジャーデバイスの名前を指定します。

［Mode］ OneFS がバックアップメディアサーバーでデータをやり取りする方法を、以下のオプションで指定します。Read/Write

OneFSは、バックアップ操作中にデータの読み取りおよび書き込みを実行します。

Read

OneFSは、リストア操作中にデータを読み取ります。

Raw

DMA がテープドライブにアクセスできますが、書き込み可能なテープメディアはドライブに含まれません。

［Actions］セッションを調査または削除できます。

例 1 NDMPバックアップ/リストア操作

前述のテーブルの説明の［Operation］フィールドで指定されるアクティブな NDMPバックアップセッションの例は、次のとおりです。

B(T0): Token based full backup B(Ti): Token based incremental backup B(L0): Level based full backup B(L5): Level 5 incremental backup B(S0): Snapshot based full backup B(S3): Snapshot based level 3 backup B(FT0): Token based full filelist backup B(FL4): Level 4 incremental filelist backup B(L0r): Restartable level based full backup B(S4r): Restartable snapshot based level 4 incremental backup B(L7R): Restarted level 7 backup B(FT1R): Restarted token based incremental filelist backup B(ML0): Multi-stream full backup



例 1 NDMPバックアップ/リストア操作（続き）

前述のテーブルの説明の［Operation］フィールドで指定されるアクティブな NDMP リストアセッションの例は、次のとおりです。

R(F): Full restoreR(D): DARR(S): Selective restoreR(MF): Multi-stream full restoreR(sFh): single threaded full restore with restore hardlinks by table option

NDMP セッションの表示アクティブな NDMP セッションに関する情報を表示できます。手順

1. ［Data Protection］ > ［NDMP］ > ［Sessions］をクリックします。2. ［Sessions］表で、NDMP セッションに関する情報を確認します。

NDMP セッションの中止NDMP のバックアップセッションまたはリストアセッションはいつでも中止できます。手順

1. ［Data Protection］ > ［NDMP］ > ［Sessions］をクリックします。2. ［Sessions］表で、中止するセッションに対応するチェックボックスをクリックし、［Delete］を

クリックします。3. 確認ダイアログボックスで、［Delete］をクリックします。

NDMPのファイバーチャネルポートの管理テープおよびメディアチェンジャーデバイスをバックアップアクセラレータノードに接続するファイバーチャネルポートを管理できます。NDMP ファイバーチャネルポートの設定を有効化、無効化、変更することもできます。

NDMPバックアップポートの設定OneFSは、EMC Isilon クラスタに接続されたバックアップアクセラレータノードのそれぞれのファイバーチャネルポートにデフォルト設定を割り当てます。これらの設定は、ポートを識別し、ポートがNDMPバックアップデバイスと連携する方法を決定します。

以下の設定は、［Ports］テーブルに表示されます。

設定説明

［LNN］バックアップアクセラレーターノードの論理ノード番号を指定します。

［Port］バックアップアクセラレータノードの名前とポートの数を指定します。


NDMP セッションの表示 371

設定説明

［Topology］ポートでサポートされるファイバーチャネルトポロジーの種類を指定します。次のオプションがあります。Point to Point

ポートに直接接続されている単一バックアップデバイスまたはファイバチャネルスイッチ。

Loop

循環形式で単一ポートに接続された複数のバックアップデバイス。

Auto

接続されたデバイスのトポロジーを自動的に検出する。これは推奨設定であり、スイッチファブリックトポロジーを使用する場合に必要です。

［WWNN］ポートのWorld Wide Node Name（WWNN）を指定します。1個のノードの各ポートの名前は、同じです。

［WWPN］ポートのWorld Wide Port Name（WWPN）を指定します。この名前は、ポートに対して一意です。

［Rate］データがポートを介して送信される速度を指定します。レートは［1 Gb/s］、［2Gb/s］、［4 Gb/s］、［8 Gb/s］、［Auto］に設定できます。［8 Gb/s］はA100 ノードでのみ使用できます。［Auto］に設定すると、ファイバーチャネルチップが接続されたファイバーチャネルスイッチやファイバーチャネルデバイスとネゴシエートしてレートを決定します。［Auto］は、推奨設定です。

［State］ポートを有効にするか無効にするかを指定します。

［Actions］ポートの設定を表示して編集します。

NDMPバックアップポートの有効化または無効化NDMPバックアップポートを有効または無効にすることができます。手順

1. ［Data Protection］ > ［NDMP］ > ［Ports］をクリックします。2. ポートの行で、［View/Edit］をクリックします。

［View Port］ダイアログボックスが表示されます。3. ［Edit Port］ボタンをクリックします。

［Edit Port］ダイアログボックスが表示されます。4. ［State］ドロップダウンリストで、［Enable］または［Disable］を選択します。5. ［Save Changes］ボタンをクリックします。

NDMPバックアップポートの表示EMC Isilon クラスターに接続しているバックアップアクセラレータノードのファイバーチャネルポートに関する情報を表示できます。手順

1. ［Data Protection］ > ［NDMP］ > ［Ports］をクリックします。



2. ［ポート］テーブルで NDMPバックアップポートに関する情報をレビューします。特定のポートに関する詳細情報については、そのポートに対応する［View/Edit］ボタンをクリックします。

NDMPバックアップポート設定の変更NDMPバックアップポートの設定を変更できます。手順

1. ［Data Protection］ > ［NDMP］ > ［Ports］をクリックします。2. 変更するポートに対応する［View/Edit］ボタンをクリックします。［View Port］ダイアログボックスが表示されます。

3. ［Edit Port］ボタンをクリックします。［Edit Port］ダイアログボックスが表示されます。

4. ［Edit Port］ダイアログボックスの設定を編集し、完了したら［Save Changes］をクリックします。

NDMP優先 IP設定項目の管理ネットワークインターフェイスが複数ある環境で EMC Avamar を使用して NDMP 3方向操作を行う場合、クラスタ全体またはサブネット固有の NDMP優先 IP設定項目の作成、変更、削除、一覧表示、表示を行うことができます。NDMP優先 IP項目は、OneFS コマンドラインインターフェイスを通じてのみ管理できます。

NDMP優先 IP設定の作成EMC Avamar を使用して NDMP 3方向バックアップまたはリストア操作を行っている場合、クラスタ全体またはサブネット固有の NDMP優先 IP設定を作成できます。手順l NDMP優先 IP設定の作成には、isi ndmp settings preferred-ips

create コマンドを実行します。たとえば、次のコマンドを実行すると、クラスタに優先 IP設定が適用されます。

isi ndmp settings preferred-ips create cluster groupnet0.subnet0,10gnet.subnet0

次のコマンドを実行すると、サブネットグループに優先 IP設定が適用されます。

isi ndmp settings preferred-ips create 10gnet.subnet0 10gnet.subnet0,groupnet0.subnet0

NDMP優先 IP設定の変更EMC Avamar を使用して NDMP 3方向バックアップまたはリストア処理を行っている場合、サブネットグループを追加または削除することによって、NDMP優先 IP設定を変更することができます。手順l NDMP優先 IP設定の変更には、isi ndmp settings preferred-ips

modify コマンドを実行します。


NDMPバックアップポート設定の変更 373

たとえば、次のコマンドを実行すると、クラスタの NDMP優先 IP設定が変更されます。

isi ndmp settings preferred-ips modify 10gnet.subnet0 --add-data-subnets 10gnet.subnet0,groupnet0.subnet0

次の例のコマンドを実行すると、サブネットの NDMP優先 IP設定が変更されます。

isi ndmp settings preferred-ips modify 10gnet.subnet0 --remove-data-subnets groupnet0.subnet0

NDMP優先 IP設定のリストEMC Avamar を使用して NDMP 3方向バックアップまたはリストア操作を行っている場合、NDMP優先 IP設定をリストすることができます。手順l NDMP優先 IP設定をリストするには、isi ndmp settings preferred-ips

list コマンドを実行します。たとえば、次のコマンドを実行すると、NDMP優先 IP設定をリストすることができます。

isi ndmp settings preferred-ips list

NDMP優先 IP設定の表示EMC Avamar を使用して NDMP 3方向バックアップまたはリストア処理を行っている場合、サブネットやクラスタの NDMP優先 IP設定を表示することができます。手順l NDMP優先 IP設定の表示には、 isi ndmp settings preferred-ips view

コマンドを実行します。たとえば、次のコマンドを実行すると、サブネットの NDMP優先 IP設定を表示できます。

isi ndmp settings preferred-ips view --scope=10gnet.subnet0

NDMP優先 IP設定の削除EMC Avamar を使用して NDMP 3方向バックアップまたはリストア操作を行っている場合、サブネットやクラスタの NDMP優先 IP設定を削除できます。手順l NDMP優先 IP設定を削除するには、 isi ndmp settings preferred-ips

delete コマンドを実行します。たとえば、次のコマンドを実行すると、サブネットの優先 IP設定が削除されます。

isi ndmp settings preferred-ips delete --scope=10gnet.subnet0

NDMPバックアップデバイスの管理バックアップアクセラレータノードにテープデバイスまたはメディアチェンジャーデバイスを接続した後、デバイスを検出して接続を確立するように OneFS を構成する必要があります。クラスターとバックア



ップデバイス間に接続が確立された後、クラスターがデバイスに割り当てた名前を変更したり、デバイスをクラスターから切り離すことができます。デバイスに複数の LUN がある場合は、すべての LUN を適切に検出できるように、LUN0 を構成する必要があります。

NDMPバックアップデバイスの設定OneFS では、バックアップアクセラレータノードを通じてクラスタに接続したデバイスごとにデバイスエントリーが作成されます。次の表に、テープまたはメディアチェンジャーデバイス用に確認できる設定を示します。これらは［Devices］テーブルの他、デバイスを選択して［View/Edit］をクリックすると表示される［ViewTape Devices］ダイアログボックスにも示されます。

設定説明

［Name］ OneFS によって割り当てられたデバイス名を指定します。

［State］デバイスが使用中であるかどうかを示す。現在データがデバイスへのバックアップ中またはデバイスからのリストア中の場合は、Read/Write と表示されます。デバイスが使用中でない場合は、Closed と表示されます。

［WWNN］デバイスのWorld Wide Node Name を指定します。

［Product(Vendor/Model/Revision)］

デバイスベンダーの名前とデバイスのモデル名または番号を指定します。

［SerialNumber］

デバイスのシリアル番号を指定します。

［Actions］デバイスを表示、編集、削除します。

［Path］デバイスに接続されたバックアップアクセラレータノードの名前とデバイスが接続されたポート番号を指定します。

［LUN］デバイスの LUN（論理ユニット番号）を指定します。

［State］デバイスがアクティブまたは非アクティブのどちらであるかを指定します。

［WWPN］テープまたはメディアチェンジャーデバイスのポートのWWPN（World Wide Port

Name）を指定します。

［Port ID］論理デバイスを物理デバイスにバインドするデバイスのポート ID を指定します。

［Open Count］デバイスに対してアクティブで開かれている接続のカウンター。

［Device Name］ FreeBSD のオペレーティングシステムの下に表示される通常のデバイス名を指定します。

［Pass Name］ FreeBSD のオペレーティングシステムの下に表示されるパススルーデバイスの名前を指定します。

NDMPバックアップデバイスの検出バックアップアクセラレータノードにテープデバイスまたはメディアチェンジャーを接続する場合は、デバイスを検出するように OneFS を構成する必要があります。その場合のみ、OneFS が、デバイスに


NDMPバックアップデバイスの設定 375

対してデータのバックアップやリストアを実行できます。OneFS では、特定の EMC Isilon ノード、特定のポート、すべてのノードのすべてのポートをスキャンできます。手順

1. ［Data Protection］ > ［NDMP］ > ［Devices］をクリックします。2. ［Discover Devices］リンクをクリックします。

［Discover Devices］ダイアログが表示されます。3. (オプション) NDMP デバイス用の特定のノードのみをスキャンするには、［Node］リストから

ノードを選択します。4. (オプション) NDMP デバイス用の特定のポートのみをスキャンするには、［Ports］リストから

ポートを選択します。ポートとノードを指定すると、そのノードの指定したポートのみがスキャンされます。しかし、ポートのみを指定した場合、すべてノードの指定したポートがスキャンされます。

5. (オプション) アクセス不能になったデバイスまたはパスのエントリーを削除するには、［Deleteinaccessible paths or devices］チェックボックスをオンにします。


結果検出される各デバイスについて、エントリーが［Tape Devices］テーブルまたは［MediaChangers］テーブルに追加されます。

NDMPバックアップデバイスの表示現在 EMC Isilon クラスターに接続されている、テープデバイスとメディアチェンジャーデバイスに関する情報を表示できます。手順

1. ［Data Protection］ > ［NDMP］ > ［Devices］をクリックします。2. ［Tape Devices］テーブルと［Media Changers Devices］テーブルで、NDMPバック

アップデバイスに関する情報を確認します。

NDMPバックアップデバイスの名前の変更OneFS で NDMPバックアップデバイスの名前を変更できます。手順

1. ［Data Protection］ > ［NDMP］ > ［Devices］をクリックします。2. ［Tape Devices］表または［Media Changer Devices］表で、バックアップデバイスエ

ントリーの名前に対応するチェックボックスをクリックします。3. ［View/Edit］をクリックします。

［View Tape Devices］または［View Media Changers］ダイアログボックスが表示されます。

4. ［Edit Tape Device］をクリックします。

［Edit Tape Devices］または［Edit Media Changers］ダイアログボックスが表示されます。

5. デバイス名を編集します。6. ［Save Changes］をクリックします。



NDMPバックアップデバイスのエントリーの削除NDMP デバイスを EMC Isilon クラスターから物理的に取り外した場合でも、OneFSはデバイスのエントリーを保持しています。取り外したデバイスのデバイスエントリーは削除することができます。クラスターにまだ物理的に接続されているデバイスのデバイスエントリーを削除することもできます。この場合、OneFSはデバイスから切り離されます。

クラスターに接続されているデバイスのデバイスエントリーを削除し、デバイスを物理的に切り離さない場合、OneFSは次回ポートをスキャンするときにそのデバイスを検出します。現在使用中のデバイスのデバイスエントリーを削除することはできません。

手順1. ［Data Protection］ > ［NDMP］ > ［Devices］をクリックします。2. ［Tape Devices］表または［Media Changer Devices］表で、削除するデバイスに対

応するチェックボックスをクリックします。3. ［削除］をクリックします。4. ［Confirm Delete］ダイアログボックスで、［Delete］をクリックします。

NDMP ダンプ日付ファイルの概要UPDATE環境変数を［Y］に設定すると、NDMP デーモンは、トークンベースのバックアップセッションを除くすべてのセッションを記録した dumpdates ファイルを管理します。dumpdates ファイルのタイムスタンプにより、次のレベルベースバックアップのための変更ファイルを特定します。dumpdates ファイル内のエントリーには、指定されたパスの最後のバックアップセッションと、バックアップセッションのタイプに関する情報も入っています。タイプには、フルバックアップ、レベルベースの増分バックアップ、スナップショットベースのバックアップがあります。この情報は、この後に実行する必要がある増分バックアップのタイプを決定します。バックアップのパスが削除されると、dumpdates ファイル内のエントリーが古くなる可能性があります。このような場合は、dumpdates ファイルからすべての古いエントリーを削除することができます。

NDMP ダンプ日付ファイルの管理NDMP dumpdates ファイルのエントリーを表示したり削除したりできます。

NDMP ダンプ日付ファイルの設定NDMP dumpdates ファイルのエントリーの詳細を表示し、必要に応じて削除することもできます。以下の設定は、［Dumpdates］テーブルに表示されます。

設定説明

Date dumpdates ファイルにエントリーが追加された日付を指定します。

ID dumpdates ファイルのエントリーの識別子を指定します。

Level バックアップのレベルを指定します。

Path dumpdates ファイルが保存されているパスを指定します。


NDMPバックアップデバイスのエントリーの削除 377

設定説明

Snapshot ID 次のレベルのバックアップのために変更されたファイルを特定します。この IDは、スナップショットベースのバックアップに対してのみ有効です。その他すべてのケースでは、値は 0 です。

Actions dumpdates ファイルのエントリーを削除します。

NDMP ダンプ日付ファイルのエントリーの表示NDMP dumpdates ファイルのすべてのエントリーを表示できます。手順

1. ［Data Protection］ > ［NDMP］ > ［Environment Settings］の順にクリックします。

2. ［Dumpdates］テーブルに、NDMP dumpdates ファイルのエントリーに関する情報が表示されます。

NDMP ダンプ日付ファイルのエントリーの削除NDMP dumpdates ファイルのエントリーを削除することができます。手順


2. ［Dumpdates］テーブルで、削除するエントリーの［Delete］をクリックします。3. ［Confirm Delete］ダイアログボックスで、［Delete］をクリックします。

NDMP リストア処理NDMPは次のタイプのリストア処理をサポートします。l NDMPパラレルリストア（マルチスレッドプロセス）l NDMP シリアルリストア（シングルスレッドプロセス）

NDMPパラレルリストア処理パラレル（マルチスレッド）リストアにより、データがテープから読み取られるのと同じぐらい高速にデータをクラスターに書き込むことで、フルまたは部分リストア処理を高速化できます。OneFS では、パラレルリストアがデフォルトのリストアメカニズムです。パラレルリストアメカニズムにより、複数のファイルを同時にリストアできます。

NDMP シリアルリストア処理トラブルシューティングまたはその他の目的で、より少ないシステムリソースを使用するシリアルリストア処理を実行できます。シリアルリストア処理はシングルスレッドプロセスとして実行されます。この処理では、一度に 1 ファイルが指定したパスにリストアされます。



NDMP シリアルリストア処理の指定RESTORE_OPTIONS環境変数を使用して、シリアル（シングルスレッド）リストア処理を指定できます。手順

1. データ管理アプリケーションで、通常どおりにリストア処理を構成します。2. データ管理アプリケーションで RESTORE_OPTIONS環境変数が 1 に設定されていることを

確認します。RESTORE_OPTIONS環境変数がまだ 1 に設定されていない場合は、OneFS コマンドラインから isi ndmp settings variables modify コマンドを指定します。次のコマンドでは、/ifs/data/projects ディレクトリのシリアルリストアを指定しています。

isi ndmp settings variables modify /ifs/data/projects RESTORE_OPTIONS 1

［path］オプションの値は、バックアップ操作中に設定された FILESYSTEM環境変数に一致している必要があります。［name］オプションに指定する値は大文字と小文字が区別されます。

3. リストア処理を開始します。

クラスタ間のテープドライブの共有複数の Isilon クラスタ、または EMC Isilon クラスタとサードパーティの NAS システムを、1台のテープドライブを共有するように構成できます。これは、データセンターのテープインフラストラクチャの使用を最大限にするために役立ちます。DMA（データ管理アプリケーション）で NDMP をテープドライブを制御するように構成し、テープドライブが正しく共有されることを確認する必要があります。次の構成がサポートされます。

OneFS のバージョン

サポートされる DMA テスト済みの構成

l 7.1.1

l 7.1.0.1以降*

l 8.0.0

l 8.0.1

l EMC NetWorker 8.0以降l Symantec NetBackup 7.5以

降

l Isilon Backup Accelerator ノードと第2 の Backup Accelerator

l Isilon Backup Accelerator ノードとNetApp ストレージシステム

*テープドライブ共有機能は OneFS 7.0.1 リリースではサポートされません。

EMC NetWorker では、テープドライブ共有機能は、DDS（動的ドライブ共有）と呼ばれます。Symantec NetBackup では、SSO（共有ストレージオプション）という用語を使用します。構成手順については、DMA ベンダーのドキュメントを参照してください。

スナップショットベースの増分バックアップの管理スナップショットベースの増分バックアップを有効化した後で、これらのバックアップに対して作成されたスナップショットを表示および削除できます。


NDMP シリアルリストア処理の指定 379

ディレクトリのスナップショットベースの増分バックアップの有効化デフォルトでディレクトリのスナップショットベースの増分バックアップを実行するように OneFS を構成できます。DMA（データ管理アプリケーション）のデフォルト設定を上書きすることもできます。

手順l isi ndmp settings variable create コマンドを実行します。

次のコマンドを実行すると、/ifs/data/media に対してスナップショットベースの増分バックアップが有効化されます。

isi ndmp settings variables create /ifs/data/media BACKUP_MODE SNAPSHOT

スナップショットベースの増分バックアップのスナップショットの表示スナップショットベースの増分バックアップに対して生成されたスナップショットを表示できます。手順


2. ［Dumpdates］テーブルに、スナップショットベースの増分バックアップに関する情報が表示されます。

スナップショットベースの増分バックアップのスナップショットの削除スナップショットベースの増分バックアップに対して作成されたスナップショットを削除できます。

スナップショットベースの増分バックアップに対して作成されたスナップショットは削除しないことをお勧めします。パスのすべてのスナップショットが削除されると、パスに対して次に実行されるバックアップはフルバックアップになります。

手順1. ［Data Protection］ > ［NDMP］ > ［Environment Settings］の順にクリックします。

2. ［Dumpdates］テーブルで、削除するエントリーの［Delete］をクリックします。3. ［Confirm Delete］ダイアログボックスで、［Delete］をクリックします。



第 18章

SmartLock によるファイル保存


l SmartLock の概要.............................................................................................382l コンプライアンスモード...........................................................................................382l エンタープライズモード.......................................................................................... 382l SmartLock ディレクトリ........................................................................................382l IsilonSD Edge での SmartLock へのアクセス.........................................................383l SmartLock によるレプリケーションとバックアップ.........................................................383l SmartLock ライセンスの機能............................................................................... 384l SmartLock に関する考慮事項............................................................................ 384l コンプライアンスクロックの設定...............................................................................385l コンプライアンスクロックの表示...............................................................................385l SmartLock ディレクトリの作成..............................................................................385l SmartLock ディレクトリの管理..............................................................................387l SmartLock ディレクトリのファイルの管理.................................................................389

SmartLock によるファイル保存 381

SmartLockの概要SmartLock ソフトウェアモジュールを使用すれば、EMC Isilon クラスタ上のファイルの変更、上書き、削除を行えないようにすることができます。この方法でのファイルの保護には、SmartLock ライセンスをアクティブ化する必要があります。SmartLock を使用して、OneFS のディレクトリをWORM ドメインとして特定します。WORM とは、Write Once, Read Many の略です。WORM ドメイン内のすべてのファイルは、WORM状態にコミットすることができます。WORM状態のファイルは、上書き、変更、削除を行うことはできません。ファイルをWORM状態から除去した後、ファイルを削除することができます。ただし、WORM状態にコミットしたファイルは、WORM状態から除去した後も変更することはできません。OneFS では、SmartLock を、コンプライアンスモードまたはエンタープライズモードのどちらのモードでも導入できます。

コンプライアンスモードSmartLock コンプライアンスモードでは、米国証券取引委員会規則 17条 a-4 に定められた規制に従ってデータを保護できます。セキュリティブローカーとセキュリティディーラーを対象とするこの規制は、すべてのセキュリティトランザクションのレコードを書き換え不能かつ消去不能な方法でアーカイブする必要があると定めています。

SmartLock ライセンスをアクティブ化する前の、初期クラスタ構成処理中にのみ、EMC Isilon クラスタを SmartLock コンプライアンスモードに構成することができます。クラスタの初期構成および本番稼働後は、クラスタを SmartLock コンプライアンスモードに変換することはできません。

クラスタを SmartLock コンプライアンスモードに構成すると root ユーザーは無効化され、root ユーザーアカウントでクラスタにログインすることはできません。代わりに、初期 SmartLock コンプライアンスモード構成中に構成されるコンプライアンス管理者アカウントでクラスタにログインします。コンプライアンス管理者アカウントで SmartLock コンプライアンスモードクラスタにログインすると、sudo コマンドを使用して管理タスクを実行することができます。

エンタープライズモード標準構成のクラスタで SmartLock ライセンスをアクティブ化すると、SmartLock ドメインを作成し、ファイルをWORM状態にすることができます。これは、SmartLock エンタープライズモードと呼ばれます。SmartLock エンタープライズモードは SEC規制に準拠していませんが、SmartLock ディレクトリを作成して、書き換えや消去ができないように保護ファイルに SmartLock制御を適用するができます。さらに、root ユーザーアカウントが、使用しているシステム上に残ります。

SmartLock ディレクトリSmartLock ディレクトリでは、ファイルをWORM状態に手動でコミットすることも、ファイルを自動的にコミットするように SmartLock を構成することもできます。SmartLock ディレクトリを作成する前に、クラスタで SmartLock ライセンスをアクティブ化する必要があります。



作成できる SmartLock ディレクトリには、エンタープライズとコンプライアンスの 2種類があります。ただし、コンプライアンスディレクトリを作成するには、初期構成時に EMC Isilon クラスタがSmartLock コンプライアンスモードに設定されている必要があります。エンタープライズディレクトリでは、米国証券取引委員会規則 17条 a-4 で定義された規制に準拠するようにクラスタを制限することなく、データを保護できます。エンタープライズディレクトリでファイルをWORM状態にコミットした場合、そのファイルは変更できず、保存期間が経過するまで削除できません。ただし、ファイルを所有していて ISI_PRIV_IFS_WORM_DELETE権限が割り当てられるか、root ユーザーアカウントを使用してログインしている場合は、保存期間が経過する前であっても、権限のある削除機能を使用してファイルを削除できます。権限のある削除機能は、コンプライアンスディレクトリに対しては使用できません。エンタープライズディレクトリは、システムクロックを参照して、ファイル保存などの時間依存の操作を容易に実行できるようにします。コンプライアンスディレクトリでは、米国証券取引委員会規則 17条 a-4 に定められた規制に従ってデータを保護できます。コンプライアンスディレクトリでファイルをWORM状態にコミットした場合、そのファイルは指定された保存期間が経過するまで変更できず、削除できません。コミットしたファイルは、コンプライアンス管理者アカウントにログインしても削除できません。コンプライアンスディレクトリは、コンプライアンスクロックを参照して、ファイル保存などの時間依存の操作を容易に実行できるようにします。コンプライアンスクロックは、コンプライアンスディレクトリを作成する前に設定する必要があります。コンプライアンスクロックは一度しか設定できません。設定後に、クロック時刻を変更することはできません。必要に応じて、WORM にコミットされたファイルの保存時間を個別に延長することはできますが、保存時間を短縮することはできません。コンプライアンスクロックはコンプライアンスクロックデーモンによって制御されます。Root およびコンプライアンス管理者ユーザーがコンプライアンスクロックデーモンを無効化すれば、WORM にコミットされたすべてのファイルの保存期間を延長させることができます。ただし、これは推奨されていません。

IsilonSD Edgeでの SmartLock へのアクセスIsilonSD Edge を実行している場合、SmartLock ソフトウェアモジュールは購入済みライセンスでのみ利用可能です。この製品は、IsilonSD Edge の無償ライセンスには含まれていません。IsilonSD Edge で SmartLock を使用する前に、次の考慮事項を確認してください。l IsilonSD Edge がエンタープライズモードとコンプライアンスモードの両方の SmartLock機能

をサポートしている場合でも、IsilonSD クラスタは米国証券取引委員会規則 17a-4 に定められた規制に準拠していません。これは、IsilonSD クラスタを実行する仮想化ソフトウェアが、仮想クラスタのディスク構成とそこに存在するデータの改ざんが理論的に可能な root ユーザーを管理しているためです。

l IsilonSD クラスタがコンプライアンスモードに設定されている場合、クラスタに新しいノードを追加することはできません。そのため、クラスタを SmartLock コンプライアンスモードにアップグレードする前に、必要な数のノードを追加する必要があります。

SmartLock によるレプリケーションとバックアップOneFS では、ターゲットクラスタへのレプリケートまたはバックアップに、コンプライアンス SmartLockディレクトリとエンタープライズ SmartLock ディレクトリの両方を使用できます。SmartLock ディレクトリを SyncIQ でレプリケートする場合は、ソースクラスタとターゲットクラスタのすべてのノードを NTP（Network Time Protocol）ピアモードに構成して、ノードクロックが確実に同期するようにすることをお勧めします。コンプライアンスクラスタの場合は、コンプライアンスクロックの設定前に、ソースクラスタとターゲットクラスタのすべてのノードを NTP ピアモードに構成するこ


IsilonSD Edge での SmartLock へのアクセス 383

とをお勧めします。これにより、ソースクラスタとターゲットクラスタが最初に同時刻に設定され、米国証券取引委員会規則 17a-4 への準拠が保証されます。

データを SmartLock ディレクトリにレプリケートするには、それ以上データをディレクトリにレプリケートしなくなるまで、そのディレクトリの SmartLock設定を構成しないでください。たとえば、SmartLockターゲットディレクトリに自動コミット期間を構成すると、レプリケーションジョブが失敗する場合があります。ターゲットディレクトリでファイルをWORM状態にコミットするときに、ソースクラスタでファイルを変更すると、コミットされたファイルは上書きできないため、次回のレプリケーションジョブは失敗します。

データを NDMP デバイスにバックアップした場合、保存期間とコミット状態に関連するすべてのSmartLock メタデータが NDMP デバイスに転送されます。データをクラスタ上の SmartLock ディレクトリにリカバリした場合、メタデータはクラスタに保持されます。ただし、リカバリ先のディレクトリがSmartLock ディレクトリでないと、メタデータは失われます。SmartLock ディレクトリには、ディレクトリが空の場合のみデータをリカバリできます。

SmartLock ライセンスの機能SmartLock ディレクトリを作成してファイルをWORM状態にコミットするには、EMC Isilon クラスターで SmartLock ライセンスがアクティブ化されている必要があります。SmartLock ライセンスが非アクティブになると、クラスターに新たな SmartLock ディレクトリを作成することはできなくなり、SmartLock ディレクトリ構成の設定を変更することもできません。また、有効期限より前にWORM状態にコミットしたエンタープライズディレクトリのファイルを削除することもできません。ただし、既存の SmartLock ディレクトリ内のファイルをWORM状態にコミットすることは引き続き可能です。SmartLock コンプライアンスモードで実行しているクラスターで SmartLock ライセンスが非アクティブになると、クラスターへの root アクセスはリストアされません。

SmartLock に関する考慮事項l root ユーザーが排他的に所有するファイルで、SmartLock コンプライアンスモードで実行して

いる EMC Isilon クラスタに存在する場合、コンプライアンスモードでは root ユーザーアカウントが無効になるため、ファイルにアクセスできません。これはたとえば、コンプライアンスモードに構成されていないクラスタでファイルに root所有権が割り当てられており、その後ファイルがコンプライアンスモードを実行しているクラスタにレプリケートされた場合に発生します。root が所有するファイルを、バックアップからコンプライアンスクラスタにリストアする場合にも発生する可能性があります。

l ファイルを SmartLock ディレクトリの外部で作成し、ファイルの操作を完了してからSmartLock ディレクトリに転送することを推奨します。ファイルをクラスタにアップロードする場合、SmartLock ディレクトリ以外のディレクトリにアップロードした後で SmartLock ディレクトリに転送することを推奨します。ファイルをアップロード中にWORM状態にコミットすると、ファイルが不整合状態になります。

l ファイルを開いた状態でもWORM状態にコミットできます。ディレクトリに自動コミット期間を指定すると、自動コミット期間は、ファイルが閉じられたときではなく、ファイルが最後に変更されたときからの時間の長さに従って計算されます。自動コミット期間を超えて開いているファイルへの書き込みに遅延が発生した場合、ファイルは自動的にWORM状態にコミットされ、書き込みができなくなります。



l Microsoft Windows環境では、ファイルをWORM状態にコミットすると、ファイルの非表示属性やアーカイブ属性を変更できなくなります。WORM状態にコミットしたファイルの非表示またはアーカイブ属性を変更しようとすると、エラーが発生します。これにより、サードパーティアプリケーションによる非表示属性またはアーカイブ属性の変更を防ぐことができます。

コンプライアンスクロックの設定SmartLock コンプライアンスディレクトリを作成する前に、コンプライアンスクロックを設定する必要があります。コンプライアンスクロックを設定すると、クロックが EMC Isilon クラスターのシステムクロックと同じ時間に構成されます。コンプライアンスクロックを設定する前に、システムクロックが正確な時間に設定されていることを確認してください。コンプライアンスクロックを設定した後で、コンプライアンスクロックがシステムクロックと同期されなくなると、コンプライアンスクロックはシステムクロックに合わせて徐々に訂正されます。コンプライアンスクロックはおよそ 1年につき 1週間の割合で自身を訂正します。

手順1. ［File System］ > ［SmartLock］ > ［WORM］の順にクリックします。2. ［Start Compliance Clock］をクリックします。

コンプライアンスクロックの表示コンプライアンスクロックの現在時刻を表示できます。手順

1. ［File System］ > ［SmartLock］ > ［WORM］の順にクリックします。2. ［Compliance Clock］領域で、コンプライアンスクロックを表示します。

SmartLock ディレクトリの作成SmartLock ディレクトリを作成し、ファイルがWORM状態で保持される期間と、ファイルがWORM状態に自動的にコミットされるタイミングを制御する設定を構成できます。SmartLock ディレクトリを含むディレクトリを移動したり名称変更することはできません。

保存期間保持期間は、WORM状態にあるファイルがWORM状態を解除されるまでその状態を維持する時間の長さです。ディレクトリに対してデフォルト、最大、最小の保持期間を適用する SmartLockディレクトリ設定を構成できます。手動でファイルをコミットする場合、ファイルがWORM状態から解除される日付をオプションで指定できます。SmartLock ディレクトリの最小保持期間と最大保持期間を構成することで、ファイルがあまりにも長期間または短期間保持されるのを防ぐことができます。すべての SmartLock ディレクトリについて最小保存期間を指定することをお勧めします。たとえば、最小保存期間が 2日間の SmartLock ディレクトリがあるとします。月曜日の午後 1時00分にファイルをWORM状態にコミットし、ファイルのWORM状態が火曜日の午後 3時 00分に解除されるように指定したとします。ファイルを指定どおりに解除すると最小保持期間に違反するため、ファイルは、2日後である水曜日の午後 1時 00分にWORM状態を解除されます。ファイルのWORM状態を解除する日付を指定せずにファイルをコミットしたときに割り当てられるデフォルト保持期間を構成することもできます。


コンプライアンスクロックの設定 385

自動コミット期間SmartLock ディレクトリに対する自動コミット期間を構成できます。自動コミット期間を設定すると、SmarkLock ディレクトリにある一定期間変更のないファイルが自動的にWORM状態にコミットされます。コミットされていないファイルが含まれる SmartLock ディレクトリの自動コミット期間を設定すると、設定前にそのディレクトリにあったファイルに新しい自動コミット期間が即時に適用されます。たとえば、自動コミット期間が 2時間に設定されている SmartLock ディレクトリがあるとします。1:00PM にその SmartLock ディレクトリ内のファイルを編集し、2:15PM に自動コミット期間を 1時間に減らすと、ファイルはすぐにWORM状態にコミットされます。ファイルをWORM状態に手動でコミットすると、読み取り/書き込み権限が変更されます。ただし、WORM状態に自動でコミットされたファイルの読み取り/書き込み権限は変更されません。

空でないディレクトリへのエンタープライズディレクトリの作成SmartLock エンタープライズディレクトリに、空でないディレクトリを作成することができます。この処理手順は、CLI（コマンドラインインターフェイス）を通じてのみ利用可能です。

SmartLock ディレクトリを作成する前に、以下の条件と要件が満たされていることを確認してください。l SmartLock ディレクトリを、既存の SmartLock ディレクトリのサブディレクトリとして作成するこ

とはできません。l ハードリンクは、SmartLock ディレクトリの境界をまたぐことはできません。l SmartLock ディレクトリを作成すると、そのディレクトリに対応する SmartLock ドメインが作成

されます。手順

1. isi job jobs start コマンドを実行します。次のコマンドは、/ifs/data/smartlock に SmartLock エンタープライズのドメインを作成します。

isi job jobs start DomainMark --root /ifs/data/smartlock --dm-type Worm

SmartLock ディレクトリの作成SmartLock ディレクトリを作成し、そのディレクトリのファイルをWORM状態にコミットすることができます。SmartLock ディレクトリを作成する前に、以下の条件と要件が満たされていることを確認してください。l SmartLock ディレクトリを、既存の SmartLock ディレクトリのサブディレクトリとして作成するこ

とはできません。l ハードリンクは、SmartLock ディレクトリの境界をまたぐことはできません。l SmartLock ディレクトリを作成すると、そのディレクトリに対応する SmartLock ドメインが作成

されます。



手順1. ［File System］ > ［SmartLock］ > ［WORM］の順にクリックします。2. ［Create Domain］をクリックします。3. ［Type］リストから、ディレクトリがエンタープライズディレクトリかコンプライアンスディレクトリか

を指定します。コンプライアンスディレクトリでは、米国証券取引委員会規則 17条 a-4 に定められた規制に従ってデータを保護できます。エンタープライズディレクトリでは、これらの制限事項を遵守することなく、データを保護できます。このオプションは、クラスタが SmartLock コンプライアンスモードの場合にのみ有効です。クラスタがコンプライアンスモードでない場合は、すべての SmartLock ディレクトリはエンタープライズディレクトリです。

4. ［Privileged Delete］リストから、WORM状態に現在コミットされているファイルを root ユーザーが削除できるようにするかどうかを指定します。

この機能は、SmartLock エンタープライズディレクトリに対してのみ使用できます。

5. ［Path］フィールドに、SmartLock ディレクトリに作成するディレクトリのフルパスを入力します。指定されたパスは、クラスタ上の空のディレクトリに属している必要があります。

6. (オプション) ディレクトリのデフォルトの保存期間を指定するには、［Apply a defaultretention span］をクリックして、期間を指定します。

ファイルをWORM状態から解除する日を指定することなくファイルをWORM状態にコミットすると、デフォルトの保存期間が割り当てられます。

7. (オプション) ディレクトリの最少保存期間を指定するには、［Apply a minimumretention span］をクリックして、期間を指定します。

最少保存期間を指定すると、ファイルは少なくとも指定された期間WORM状態に維持されます。

8. (オプション) ディレクトリの最大保存期間を指定するには、［Apply a default retentionspan］をクリックして、期間を指定します。

最大保存期間を指定すると、ファイルは指定された期間を超えてWORM状態に維持されません。

9. ［Create Domain］をクリックします。10. ［Create］をクリックします。

SmartLock ディレクトリの管理デフォルトの保存期間、最小保存期間、最大保存期間、自動コミット期間などの SmartLock ディレクトリの設定を変更できます。SmartLock ディレクトリの名前は、ディレクトリが空の場合のみ変更できます。


SmartLock ディレクトリの管理 387

SmartLock ディレクトリの変更SmartLock ディレクトリの SmartLock構成設定を変更できます。手順

1. ［File System］ > ［SmartLock］ > ［WORM］の順にクリックします。2. ［Write Once Read many (WORM) Domains］表の SmartLock ディレクトリの行で［View / Edit］をクリックします。

3. ［Edit Domain］をクリックします。4. 設定を変更し、［Save Changes］をクリックします。

SmartLock ディレクトリ設定の表示SmartLock ディレクトリの設定を表示できます。手順


3. ［View WORM Domain Details］ダイアログボックスに SmartLock ディレクトリ設定を表示します。

SmartLock ディレクトリ構成の設定SmartLock ディレクトリ設定を構成して、ファイルがコミットされるタイミングや、指定のディレクトリでファイルがWORM状態のまま保存される期間を設定できます。Path

ディレクトリのパス。

Root Logical Inode (LIN)

ディレクトリの LIN。

ID

対応する SmartLock ドメインの数値 ID。

タイプSmartLock ディレクトリのタイプ。エンタープライズ

エンタープライズディレクトリでは、米国証券取引委員会規則 17a-4 で定義された規制に準拠するようにクラスターを制限することなく、データを保護できます。

コンプライアンスコンプライアンスディレクトリでは、米国証券取引委員会規則 17a-4 に定められた規制に従ってデータを保護できます。

Privileged Delete

特権削除機能を通じてディレクトリ内のWORM状態にコミットされたファイルを削除できるかどうかを示します。権限の削除機能にアクセスするには、ISI_PRIV_IFS_WORM_DELETE権限を割り当てられているか、削除するファイルを所有している必要があります。root または



compadmin ユーザーアカウントでログインしている場合は、すべてのファイルに対する権限の削除機能にもアクセスできます。on

WORM状態にコミットされたファイルは、isi worm files delete コマンドを使用して削除できます。

off

WORM状態にコミットされたファイルは、isi worm files delete コマンドを使用しても削除できません。

disabled

WORM状態にコミットされたファイルは、isi worm files delete コマンドを使用しても削除できません。この設定は適用した後には変更できません。

Apply a default retention span

ディレクトリのデフォルトの保存期間。WORM状態のファイルをリリースする日時をユーザーが指定しなかった場合は、デフォルトの保存期間が割り当てられます。

Enforce a minimum retention time span

ディレクトリの最小保存期間。ユーザーが、保存期間が短くなる有効期限を指定した場合でも、ファイルは少なくとも指定された期間WORM状態で保存されます。

Enforce a maximum retention time span

ディレクトリの最大保存期間。ユーザーが保存期間よりも長い有効期限を指定した場合でも、ファイルは指定された期間より長くWORM状態で保存されません。

Automatically commit files after a specific period of time

ディレクトリの自動コミット期間。この SmartLock ディレクトリで指定の期間変更されなかったファイルは、自動的にWORM状態にコミットされます。

Override retention periods and protect all files until a specific date

ディレクトリの上書き保存日付。WORM状態にコミットされたファイルは、ディレクトリの最大保存期間や、ファイルをWORM状態から解放する早期日付をユーザーが指定するかどうかにかかわらず、指定された日付を過ぎるまでWORM状態から解放されません。

SmartLock ディレクトリのファイルの管理ファイルの読み書き権限を削除することにより、SmartLock ディレクトリ内のファイルをWORM状態にコミットできます。ファイルの保存期間が切れる特定の日付を設定することもできます。ファイルがWORM状態にコミットされた後は、ファイルの保存期間を長くすることはできますが、短くすることはできません。ファイルの保存期間が過ぎた後でも、WORM状態にコミットされたファイルを削除することはできません。保存期間の期限日は、ファイルのアクセス時刻を変更することで設定されます。UNIX コマンドラインでは、touch コマンドを使用してアクセス時刻を変更できます。Windows エクスプローラーではアクセス時刻を変更する方法がありませんが、Windows Powershell を使用するとアクセス時刻を変更できます。ファイルにアクセスしても保存期間の期限日は設定されません。ファイルを SmartLock状態から解除する日付を指定せずに SmartLock ディレクトリ内のファイルに対して touch コマンドを実行し、ファイルをコミットした場合、保存期間は SmartLock ディレクトリに対して指定されたデフォルト保存期間に自動的に設定されます。SmartLock ディレクトリのデフォルト保存期間を指定しなかった場合、ファイルの保存期間はゼロ秒に設定されます。すべてのSmartLock ディレクトリについて最小保存期間を指定することをお勧めします。


SmartLock ディレクトリのファイルの管理 389

UNIX コマンドラインを使用した保存期間の設定UNIX コマンドラインを使用してファイルをWORM状態から解放するタイミングを指定できます。手順

1. UNIX コマンドラインを使用して EMC Isilon クラスターのノードへの接続を開き、ログインします。

2. touch コマンドを使用して、ファイルのアクセス時間を変更して保存期間を設定します。次のコマンドを実行すると、/ifs/data/test.txt の有効期限が 2015年 6月 1日に設定されます。

touch -at 201506010000 /ifs/data/test.txt

Windows Powershell を使用した保存期間の設定Microsoft Windows Powershell を使用してファイルをWORM状態から解放するタイミングを指定できます。手順

1. Windows PowerShell コマンドプロンプトを開きます。2. (オプション) net use コマンドを実行して、EMC Isilon クラスターへの接続を確立します。

次のコマンドを実行すると、cluster.ip.address.com上の/ifs ディレクトリに対する接続が確立されます。

net use "\\cluster.ip.address.com\ifs" /user:root password

3. オブジェクトを作成することで、保存期間を設定するファイルの名前を指定します。このファイルは SmartLock ディレクトリに存在している必要があります。

次のコマンドを実行すると、/smartlock/file.txt のオブジェクトが作成されます。

$file = Get-Item "\\cluster.ip.address.com\ifs\smartlock\file.txt"

4. ファイルの最終アクセス時刻を設定することで、保存期間を指定します。次のコマンドを実行すると、有効期限が 2015年 7月 1日の午後 1:00 に設定されます。

$file.LastAccessTime = Get-Date "2015/7/1 1:00 pm"

UNIX コマンドラインを使用したファイルのWORM状態へのコミットUNIX コマンドラインを使用して、ファイルをWORM状態にコミットできます。

ファイルをWORM状態にコミットするには、すべての書き込み権限をファイルから削除する必要があります。ファイルがすでに読み取り専用状態に設定されている場合は、最初に書き込み権限をファイルに追加してから、そのファイルを読み取り専用状態に戻す必要があります。手順

1. UNIX コマンドラインインターフェイスを使用して EMC Isilon クラスターへの接続を開き、ログインします。



2. chmod コマンドを実行して、ファイルから書き込み権限を削除します。次のコマンドを実行すると、/ifs/data/smartlock/file.txt の書き込み権限が削除されます。

chmod ugo-w /ifs/data/smartlock/file.txt

Windows エクスプローラを使用したファイルのWORM状態へのコミットMicrosoft Windows エクスプローラを使用して、ファイルをWORM状態にコミットできます。この処理手順では、Windows 7 を使用してファイルをコミットする方法を説明します。

ファイルをWORM状態にコミットするには、読み取り専用設定を適用する必要があります。ファイルがすでに読み取り専用状態に設定されている場合、最初にそのファイルを読み取り専用状態からはずした後、読み取り専用状態に戻す必要があります。手順

1. Windows エクスプローラで、WORM状態にコミットするファイルに移動します。2. フォルダを右クリックして［プロパティ］をクリックします。3. ［プロパティ］ウィンドウで、［全般］タブをクリックします。4. ［読み取り専用］チェックボックスをオンにして、［OK］をクリックします。

SmartLock ディレクトリ内にあるすべてのファイルの保存期間の上書きSmartLock ディレクトリ内のファイルの保存期間を上書きできます。このディレクトリ内でWORM状態にコミットされたすべてのファイルは、指定日を過ぎるまでWORM状態のままです。

保存期間が上書きされた後にファイルがWORM状態にコミットされた場合、上書きされた日付までが最短の保存日になります。ユーザーの指定に関係なく、WORM状態にコミットされたすべてのファイルは、少なくとも特定の日までは期限切れになりません。手順


3. ［Edit Domain］をクリックします。4. ［Override retention periods and protect all files until a specific date］をクリッ

クし、日付を指定します。5. ［Save Changes］をクリックします。

WORM状態にコミットされたファイルの削除特権削除機能を使用して、WORM にコミットされたファイルを有効期限前に削除できます。この処理手順は、CLI（コマンドラインインターフェイス）を通じてのみ利用可能です。

はじめにl そのファイルを含む SmartLock ディレクトリに対して、管理者権限による削除機能が永続的に

無効化されていないことが必要です。l ファイルの所有者であり、かつ ISI_PRIV_IFS_WORM_DELETE および

ISI_PRIV_NS_IFS_ACCESS権限を持っているか、または root ユーザーアカウントでログインしている必要があります。


Windows エクスプローラを使用したファイルのWORM状態へのコミット 391

手順1. UNIX コマンドラインを使用して EMC Isilon クラスターへの接続を開き、ログインします。2. SmartLock ディレクトリの管理者権限による削除機能が無効化されている場合は、isi

worm domains modify コマンドを--privileged-delete オプションとともに実行してそのディレクトリを変更します。次のコマンドを実行すると、/ifs/data/SmartLock/directory1 の管理者権限による削除が有効になります。

isi worm domains modify /ifs/data/SmartLock/directory1 \--privileged-delete true

3. isi worm files delete コマンドを実行して、WORM にコミットされたファイルを削除します。次のコマンドを実行すると、/ifs/data/SmartLock/directory1/file が削除されます。

isi worm files delete /ifs/data/SmartLock/directory1/file

出力は次のようになります。

Are you sure? (yes, [no]):4. ［yes］と入力し、Enter キーを押します。

ファイルのWORM ステータスの表示個々のファイルのWORM ステータスを表示できます。この処理手順は、CLI（コマンドラインインターフェイス）を通じてのみ利用可能です。手順

1. UNIX コマンドラインを使用して EMC Isilon クラスターへの接続を開きます。2. isi worm files view コマンドを実行してファイルのWORM ステータスを表示しま

す。たとえば、次のコマンドを実行すると、ファイルのWORM ステータスが表示されます。

isi worm files view /ifs/data/SmartLock/directory1/file

出力は次のようになります。

WORM DomainsID Root Path------------------------------------65539 /ifs/data/SmartLock/directory1

WORM State: COMMITTED Expires: 2015-06-01T00:00:00



第 19章

保護ドメイン


l 保護ドメインの概要............................................................................................. 394l 保護ドメインに関する考慮事項.............................................................................394l 保護ドメインの作成............................................................................................. 395l 保護ドメインの削除............................................................................................. 395

保護ドメイン 393

保護ドメインの概要保護ドメインはファイルやディレクトリの変更を防止するためのマーカーです。ディレクトリにドメインが適用された場合、そのディレクトリの下のすべてのファイルとサブディレクトリにもドメインが適用されます。ドメインは手動で指定できますが、OneFSは通常自動的にドメインを作成します。ドメインには SyncIQ ドメイン、SmartLock ドメイン、SnapRevert ドメインがあります。SyncIQ ドメインは、レプリケーションポリシーのソースディレクトリとターゲットディレクトリに割り当てることができます。レプリケーションポリシーが初めて実行されたときに、OneFSはレプリケーションポリシーのターゲットディレクトリに SyncIQ ドメインを自動的に作成します。また、フェイルバックプロセスの最中にOneFSはレプリケーションポリシーのソースディレクトリに SyncIQ ドメインを自動的に作成します。高速フェイルバックポリシーを構成することにより、フェイルバックプロセスを開始する前にソースディレクトリに SyncIQ ドメインを手動で作成できますが、レプリケーションポリシーのターゲットディレクトリをマークしている SyncIQ ドメインを削除することはできません。SmartLock ドメインは、コミットされたファイルの変更や削除を防止するために SmartLock ディレクトリに割り当てられます。SmartLock ディレクトリが作成されたときに、OneFSは自動的にSmartLock ドメインを作成します。SmartLock ドメインは削除できません。ただし、SmartLock ディレクトリを削除した場合は、そのディレクトリに関連づけられている SmartLock ドメインが OneFSによって自動的に削除されます。SnapRevert ドメインは、スナップショットの復元中にファイルやディレクトリが変更されるのを防ぐために、スナップショットに含まれるディレクトリに割り当てられます。OneFSは自動的に SnapRevert ドメインを作成しません。スナップショットに含まれるディレクトリに SnapRevert ドメインを作成するまではスナップショットの復元はできません。すでに SnapRevert ドメインを備えているディレクトリのサブディレクトリに SnapRevert ドメインを作成できます。たとえば、/ifs/data と/ifs/data/archive の両方の SnapRevert ドメインを作成できます。ディレクトリのスナップショットの復元が不要になった場合は、SnapRevert ドメインを削除できます。

IsilonSD Edge用の保護ドメインIsilonSD Edge の購入したライセンスにより、SyncIQ および SmartLock の保護ドメインにアクセスできます。

保護ドメインに関する考慮事項OneFS が特定の動作を実行するために保護ドメインを必要とする前に、保護ドメインを手動で作成できます。ただし、保護ドメインを手動で作成すると、そのドメインによってマークされたデータの操作が制限される場合があります。l 保護ドメインへの大量のファイルのコピーは、非常に長い時間がかかる場合があります。これは

保護ドメインに属していることを各ファイルに個別にマークする必要があるためです。l ディレクトリを保護ドメインに移動したり保護ドメインから移動することはできません。ただし、保

護ドメインに含まれているディレクトリを同じ保護ドメインの中の別の場所に移動することはできます。

l 大量のファイルが含まれているディレクトリでの保護ドメインの作成には、より少ないファイルしか含まれていないディレクトリでの保護ドメインの作成よりも多くの時間がかかります。このため、ディレクトリが空の間に保護ドメインを作成し、その後でディレクトリにファイルを追加することをお勧めします。

l ドメインが現在特定のファイルの変更または削除を禁止している場合は、そのファイルを含むディレクトリに対して保護ドメインを作成することはできません。たとえば、/ifs/data/

保護ドメイン


smartlock/file.txt が SmartLock ドメインによってWORM状態に設定されている場合は、/ifs/data/に対して SnapRevert ドメインを作成できません。

SyncIQ を使用して SmartLock コンプライアンスディレクトリのレプリケーションポリシーを作成する場合、SyncIQ コンプライアンスドメインと SmartLock コンプライアンスドメインの root ディレクトリレベルを同一にして構成する必要があります。SyncIQ ドメイン内に、SmartLock コンプライアンスドメインをネストすることはできません。

保護ドメインの作成スナップショットの復元およびフェイルオーバー動作を高速化するために、SyncIQ ドメインまたはSnapRevert ドメインを作成できます。SmartLock ドメインを作成することはできません。OneFSでは、SmartLock ディレクトリを作成したときに自動的に SmartLock ドメインが作成されます。手順



3. ［Domain Root Path］フィールドに、保護ドメインを作成するディレクトリのパスを入力します。

4. ［Type of domain］リストで、作成するドメインのタイプを指定します。5. ［Delete this domain］チェックボックスがオフになっていることを確認します。6. ［Start Job］をクリックします。

保護ドメインの削除ドメインからディレクトリを移動する場合は、SyncIQ ドメインまたは SnapRevert ドメインを削除できます。SmartLock ドメインは削除できません。OneFS では、SmartLock ディレクトリを削除したときに自動的に SmartLock ドメインが削除されます。手順



3. ［Domain Root Path］フィールドに、保護ドメインを削除するディレクトリのパスを入力します。

4. ［Type of domain］リストで、削除するドメインのタイプを指定します。5. ［Delete this domain］を選択します。6. ［Start Job］をクリックします。

保護ドメイン

保護ドメインの作成 395

保護ドメイン


第 20章

処理中でないデータの暗号化


l 処理中でないデータの暗号化の概要.....................................................................398l 自己暗号化ドライブ............................................................................................ 398l 自己暗号化ドライブのデータセキュリティ................................................................. 398l 自己暗号化ドライブで構成されたクラスタへのデータ移行.......................................... 399l シャーシとドライブの状態.......................................................................................399l SmartFailed ドライブの REPLACE状態............................................................... 402l SmartFailed ドライブの ERASE状態................................................................... 403

処理中でないデータの暗号化 397

処理中でないデータの暗号化の概要自己暗号化ドライブノードのみ含む EMC Isilon クラスターでデータのセキュリティを高め、処理中でないデータの保護を提供できます。OneFS システムは、SED（自己暗号化ドライブ）のみ含む Isilon OneFS ノードで構成されるクラスターとして使用できます。自己暗号化ノードの処理中でないデータのシステム要件と管理は、自己暗号化ドライブを含まないノードの場合と同じです。混在ノードタイプのクラスターはサポートされません。

IsilonSD Edge の静止データ暗号化IsilonSD ノードは自己暗号化ドライブタイプをサポートしていないため、IsilonSD Edgeは静止データ暗号化をサポートしません。

自己暗号化ドライブ自己暗号化ドライブは、静止データ暗号化用に設計されたクラスタにデータを格納します。自己暗号化ドライブにおける静止データ暗号化は、デバイスに格納されたデータが不正なデータアクセスを防ぐために暗号化されている場合に行われます。ストレージデバイスに書き込まれるデータはすべて格納時に暗号化され、ストレージデバイスから読み取られるデータはすべて読み取られる時点で復号化されます。格納されたデータは 256 ビットデータ AES暗号化キーを使用して暗号化され、同じ方法で復号化されます。OneFSは、ドライブ認証キーをディスク上のデータ暗号化キーと組み合わせることでデータアクセスを制御します。

クラスタ内のすべてのノードは自己暗号化ドライブタイプである必要があります。混在ノードはサポートされません。

自己暗号化ドライブのデータセキュリティ自己暗号化ドライブを SmartFailすると、削除後のデータセキュリティが保証されます。暗号化キーを認証することで、自己暗号化ドライブ上のデータは不正アクセスから保護されます。暗号化キーはドライブに残りません。ドライブがロックされている場合は、正常な認証によってドライブがデータアクセス用にロック解除されます。自己暗号化ドライブ上のデータは、次の条件でアクセス不能と見なされます。l 自己暗号化ドライブが SmartFail されると、ドライブ認証キーはノードから削除される。ドライブ

上のデータは復号化できないため、読み取りが不可能になり、ドライブが保護される。l ドライブが SmartFail され、ノードから削除されると、ドライブ上の暗号化キーは削除される。ド

ライブからのデータ読み取り用の暗号化キーはデータの書き込み時に使用されたキーと同じである必要があるため、以前にドライブに書き込まれたデータは復号化できない。SmartFail を実行してからドライブを削除すると、そのドライブは暗号で消去される。

ドライブの SmartFailは、自己暗号化ドライブの削除に推奨される方法です。SmartFail されたノードを削除すると、データを確実にアクセス不能にすることができます。



l 自己暗号化ドライブの電源が失われると、ドライブはロックされ、不正アクセスから保護される。電源が復旧すると、適切なドライブ認証キーが提供されたときにデータは再びアクセス可能になる。

自己暗号化ドライブで構成されたクラスタへのデータ移行既存のクラスタから、SED（自己暗号化ドライブ）で構成されたノードのクラスタに、データを移行することができます。新しいクラスタに移行されたデータと今後のデータは、すべて暗号化されます。

SED で構成されたクラスタへのデータ移行は、Isilon プロフェッショナルサービスを利用して実行する必要があります。詳細については、EMC Isilon の担当者にお問い合わせください。

シャーシとドライブの状態シャーシとドライブの状態の詳細を表示できます。クラスタでは、さまざまな縮退状態のノードの組み合わせにより、読み取り要求と書き込み要求のいずれかまたは両方が動作するかどうかが決まります。クラスタは、書き込み quorum を失っても、読み取り quorum を保持することがあります。OneFSは、クラスタ内のシャーシとドライブのステータスに関する詳細を提供します。次の表で、クラスタで検出する可能性のあるすべての状態について説明します。

IsilonSD Edge を実行している場合は、IsilonSD Management Plug-in を通じてシャーシとドライブの状態の詳細を表示し、管理することができます。詳細については、「IsilonSD Edge

Installation and Administration Guide.」を参照してください。


HEALTHY ノード内のすべてのドライブが正常に機能している。


L3 SSD（ソリッドステートドライブ）は、キャッシュメモリのサイズを増やし、スループット速度を向上させるために、L3（レベル 3）キャッシュとして導入されました。

コマンドラインインターフェイス

SMARTFAIL またはSmartfail orrestripe inprogress

I/O エラーまたはユーザーのリクエストにより、ファイルシステムからのドライブの安全な除去が進行中。SmartFail または読み取り専用状態のノードまたはドライブは、書き込み quorum のみに影響を与える。



自己暗号化ドライブで構成されたクラスタへのデータ移行 399


NOT AVAILABLE 複数の原因によってドライブを使用できない。ベイをクリックして、この条件に関する詳細情報を表示できる。

Web管理インターフェイスでは、この状態にはERASE およびSED_ERROR コマンドラインインターフェイス状態が含まれる。


X

SUSPENDED この状態は、ドライブのアクティビティが一時的に中断し、ドライブが使用中でないことを示す。この状態は手動で開始し、通常のクラスタアクティビティ中は発生しない。


NOT IN USE オフライン状態のノードは、読み取りと書き込みの両方の quorum に影響を与える。


REPLACE ドライブの SmartFailは正常に行われ、交換の準備ができている。


STALLED ドライブは停止し、停止の評価を行っている。停止の評価は、低速またはその他の問題があるドライブをチェックするプロセスである。評価の結果に応じて、ドライブが動作を再開するか、SmartFail が行われる。これは推移状態である。


NEW ドライブは新しいかブランクである。これは、isidev コマンドを-a［add］オプションで実行する際のドライブの状態である。


USED ドライブが追加され、Isilon GUID に含まれているが、ドライブはこのノードからのものではない。このドライブはクラスタ用に





フォーマットされる可能性が高い。

PREPARING ドライブのフォーマット操作を実行中。フォーマットに成功すると、ドライブの状態が HEALTHY に変更される。


EMPTY ドライブがベイにない。コマンドラインインターフェイスのみ

WRONG_TYPE ドライブタイプがこのノードに対して正しくない。たとえば、SED ノードにSED以外のドライブがある、予期される SATA ドライブタイプではなく SAS

であるなど。


BOOT_DRIVE ベイ内に起動ドライブを持つ A100 ドライブに固有。


SED_ERROR ドライブは OneFS システムによって確認できない。



X

ERASE ドライブは除去する準備ができているが、データが消去されていないため注意が必要。ドライブを手動で消去して、データが削除されていることを保証できる。



INSECURE 自己暗号化ドライブのデータは許可されていない従業員がアクセスできる。自己暗号化ドライブは非暗号化データ用には使用しないこと。


X


シャーシとドライブの状態 401


Web管理インターフェイスでは、この状態のラベルは UnencryptedSED となる。

暗号化されていません自己暗号化ドライブのデータは許可されていない従業員がアクセスできる。自己暗号化ドライブは非暗号化データ用には使用しないこと。

コマンドラインインターフェイスでは、この状態のラベルは INSECURE となる。

Web管理インターフェイスのみ

X

SmartFailed ドライブの REPLACE状態SmartFail プロセスでは、さまざまなドライブ状態が表示されます。

SmarFail中のベイ 1 のドライブに対して isi dev コマンドを実行すると、出力は次のようになります。

Node 1, [ATTN] Bay 1 Lnum 11 [SMARTFAIL] SN:Z296M8HK 000093172YE04 /dev/da1 Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5 00009330EYE03 /dev/da2 Bay 3 Lnum 9 [HEALTHY] SN:Z296LBP4 00009330EYE03 /dev/da3 Bay 4 Lnum 8 [HEALTHY] SN:Z296LCJW 00009327BYE03 /dev/da4 Bay 5 Lnum 7 [HEALTHY] SN:Z296M8XB 00009330KYE03 /dev/da5 Bay 6 Lnum 6 [HEALTHY] SN:Z295LXT7 000093172YE03 /dev/da6 Bay 7 Lnum 5 [HEALTHY] SN:Z296M8ZF 00009330KYE03 /dev/da7 Bay 8 Lnum 4 [HEALTHY] SN:Z296M8SD 00009330EYE03 /dev/da8 Bay 9 Lnum 3 [HEALTHY] SN:Z296M8QA 00009330EYE03 /dev/da9 Bay 10 Lnum 2 [HEALTHY] SN:Z296M8Q7 00009330EYE03 /dev/da10 Bay 11 Lnum 1 [HEALTHY] SN:Z296M8SP 00009330EYE04 /dev/da11 Bay 12 Lnum 0 [HEALTHY] SN:Z296M8QZ 00009330JYE03 /dev/da12



SmartFail が正常に完了した後に isi dev コマンドを実行すると、次の例のような出力が表示され、ドライブの状態が REPLACE になります。

Node 1, [ATTN] Bay 1 Lnum 11 [REPLACE] SN:Z296M8HK 000093172YE04 /dev/da1 Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5 00009330EYE03 /dev/da2 Bay 3 Lnum 9 [HEALTHY] SN:Z296LBP4 00009330EYE03 /dev/da3 Bay 4 Lnum 8 [HEALTHY] SN:Z296LCJW 00009327BYE03 /dev/da4 Bay 5 Lnum 7 [HEALTHY] SN:Z296M8XB 00009330KYE03 /dev/da5 Bay 6 Lnum 6 [HEALTHY] SN:Z295LXT7 000093172YE03 /dev/da6 Bay 7 Lnum 5 [HEALTHY] SN:Z296M8ZF 00009330KYE03 /dev/da7 Bay 8 Lnum 4 [HEALTHY] SN:Z296M8SD 00009330EYE03 /dev/da8 Bay 9 Lnum 3 [HEALTHY] SN:Z296M8QA 00009330EYE03 /dev/da9 Bay 10 Lnum 2 [HEALTHY] SN:Z296M8Q7 00009330EYE03 /dev/da10 Bay 11 Lnum 1 [HEALTHY] SN:Z296M8SP 00009330EYE04 /dev/da11 Bay 12 Lnum 0 [HEALTHY] SN:Z296M8QZ 00009330JYE03 /dev/da12

SmartFail中のベイ 3 のドライブに対して isi dev コマンドを実行すると、出力は次のようになります。

Node 1, [ATTN] Bay 1 Lnum 11 [REPLACE] SN:Z296M8HK 000093172YE04 /dev/da1 Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5 00009330EYE03 /dev/da2 Bay 3 Lnum 9 [SMARTFAIL] SN:Z296LBP4 00009330EYE03 N/A Bay 4 Lnum 8 [HEALTHY] SN:Z296LCJW 00009327BYE03 /dev/da4 Bay 5 Lnum 7 [HEALTHY] SN:Z296M8XB 00009330KYE03 /dev/da5 Bay 6 Lnum 6 [HEALTHY] SN:Z295LXT7 000093172YE03 /dev/da6 Bay 7 Lnum 5 [HEALTHY] SN:Z296M8ZF 00009330KYE03 /dev/da7 Bay 8 Lnum 4 [HEALTHY] SN:Z296M8SD 00009330EYE03 /dev/da8 Bay 9 Lnum 3 [HEALTHY] SN:Z296M8QA 00009330EYE03 /dev/da9 Bay 10 Lnum 2 [HEALTHY] SN:Z296M8Q7 00009330EYE03 /dev/da10 Bay 11 Lnum 1 [HEALTHY] SN:Z296M8SP 00009330EYE04 /dev/da11 Bay 12 Lnum 0 [HEALTHY] SN:Z296M8QZ 00009330JYE03 /dev/da12

SmartFailed ドライブの ERASE状態SmartFail プロセスの終了時に、OneFSはドライブ上の認証キーをリセットできない場合にキーの削除を試行します。


SmartFailed ドライブの ERASE状態 403

l 単一ドライブ上の認証キーを安全に削除するには、個々のドライブの SmartFail を実行します。

l 単一ノード上の認証キーを安全に削除するには、ノードの SmartFail を実行します。l クラスター全体で認証キーを安全に削除するには、各ノードの SmartFail を実行し、最後のノ

ードで isi_reformat_node コマンドを実行します。

isi dev コマンドを実行すると、次の例のような出力が表示され、ドライブの状態が ERASE になります。

Node 1, [ATTN] Bay 1 Lnum 11 [REPLACE] SN:Z296M8HK 000093172YE04 /dev/da1 Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5 00009330EYE03 /dev/da2 Bay 3 Lnum 9 [ERASE] SN:Z296LBP4 00009330EYE03 /dev/da3

ERASE状態を示すドライブは、安全に廃棄、再使用、返却できます。ERASE状態を示しているドライブにアクセスするには、ドライブの認証キーをデフォルトのMSID（Manufactured Security ID）に設定する必要があります。このアクションにより、ドライブ上のDEK（データ暗号化キー）が消去され、ドライブ上の既存のデータが永久に読み取り不能になります。



第 21章

SmartQuotas


l SmartQuotas の概要.........................................................................................406l クォータのタイプ....................................................................................................406l デフォルトクォータタイプ........................................................................................407l 使用率のアカウンティングと制限.............................................................................409l ディスク使用量の計算.......................................................................................... 410l クォータ通知........................................................................................................ 411l クォータ通知ルール................................................................................................411l クォータレポート................................................................................................... 412l クォータの作成.....................................................................................................413l クォータの管理.....................................................................................................415l クォータ通知の管理..............................................................................................417l メールクォータ通知メッセージ................................................................................. 419l クォータレポートの管理........................................................................................ 422l 基本的なクォータ設定......................................................................................... 423l アドバイザリ制限クォータ通知ルールの設定............................................................. 424l ソフト制限クォータ通知ルールの設定......................................................................424l ハード制限クォータ通知ルールの設定.....................................................................425l 制限通知の設定................................................................................................ 426l クォータレポートの設定........................................................................................ 427

SmartQuotas 405

SmartQuotasの概要SmartQuotas モジュールは、管理者が定義したストレージ制限を監視および強制するオプションのクォータ管理ツールです。SmartQuotasは、アカウンティングと強制のクォータ制限、レポート作成機能、自動通知を使用して、ストレージの使用管理、ディスクストレージの監視、ディスクストレージ制限を超えたときのアラートの発行を実行します。クォータは、ユーザーが定義した基準に沿ってストレージ使用量を管理するのに役立ちます。クォータは、ユーザー、グループ、プロジェクトで消費するストレージ量をトラッキングする（制限することもあります）ために使用されます。クォータは、あるユーザーや部署が別のユーザーや部署に割り当て済みのストレージを使用することを防ぐのに役立ちます。クォータの実装には、定義されたスペース以外の場所に書き込もうとすると、それが拒否されるものや、簡単な通知が送信されるものがあります。

クォータを/ifs/.ifsvar/またはそのサブディレクトリに適用しないでください。クォータを通じて/ifs/.ifsvar/ディレクトリのサイズを制限する場合、ディレクトリがその制限に達すると、ファイルシステム分析などのジョブは失敗します。クォータは、新しいレポート用の領域を作成するために古いジョブレポートが/ifs/.ifsvar/サブディレクトリから削除されることをブロックします。

SmartQuotas モジュールには、別途ライセンスが必要です。SmartQuotas モジュール、またはそのモジュールをアクティブ化する方法の詳細については、EMC Isilon セールス担当者にお問い合わせください。

クォータのタイプOneFSは、クォータタイプの概念をストレージクォータの基礎的な組織単位として使用します。ストレージクォータは、リソースのセットとそのセットの各リソースタイプの計算によって構成されます。ストレージクォータはストレージドメインとも呼ばれます。ストレージクォータの作成には 3 つの識別子が必要です。l 監視対象のディレクトリl クォータ制限に対してスナップショットがトラッキングされるかどうかl クォータのタイプ（ディレクトリ、ユーザー、グループ）

OneFS ルート（/ifs）には、いかなるタイプのクォータも作成しないでください。ルートレベルのクォータは、パフォーマンスを著しく低下させる可能性があります。

以下のエンティティからクォータタイプを選択できます。ディレクトリ

特定のディレクトリおよびそのサブディレクトリ。

ユーザー特定のユーザーまたはデフォルトユーザー（すべてのユーザー）。ユーザーが構成する特定のユーザークォータは、デフォルトのユーザークォータに優先します。

グループ特定のグループのすべてのメンバーまたはデフォルトグループのすべてのメンバー（すべてのグループ）。ユーザーが構成する特定のグループクォータは、デフォルトのグループクォータに優先し

SmartQuotas


ます。グループクォータをデフォルトのグループクォータと関連づけることにより、リンクされたクォータが作成されます。

同じディレクトリに複数のクォータタイプを作成できますが、それらのクォータは異なるタイプであるか、異なるスナップショットオプションを設定する必要があります。OneFS の任意のディレクトリにクォータタイプを指定して、それらのタイプを相互にネストし、複雑なストレージ使用ポリシーの階層を作成することができます。ネストされたストレージクォータは、重複可能です。たとえば、次のクォータ設定は、finance ディレクトリが 5 TB を超えることはありません。一方、財務部門のユーザーは 1 TB に制限されます。l /ifs/data/finance に 5 TB のハードクォータを設定します。l 財務部門の各ユーザーに 1 TB のソフトクォータを設定する。

デフォルトクォータタイプデフォルトクォータは、指定したディレクトリにユーザーまたはグループのその他のクォータを自動的に作成します。デフォルトクォータは、トリガーに一致する新しいエンティティのポリシーを指定します。default-user@/ifs/csは、別途定義されていないそれぞれの特定ユーザーに対して、specific-user@/ifs/cs になります。たとえば、デフォルトユーザーのクォータを、/ifs/dir-1 ディレクトリに作成できます。このディレクトリは root ユーザーによって所有されています。デフォルトユーザータイプは、root のためのそのディレクトリにドメインを自動的に作成し、使用量をその場所に追加します。

my-OneFS-1# mkdir /ifs/dir-1my-OneFS-1# isi quota quotas create /ifs/dir-1 default-usermy-OneFS-1# isi quota quotas ls --path=/ifs/dir-1 Type AppliesTo Path Snap Hard Soft Adv Used---------------------------------------------------------------default-user DEFAULT /ifs/dir-1 No - - - 0buser root /ifs/dir-1 No - - - 0b---------------------------------------------------------------

ここで、別のユーザー（admin）によって所有されるファイルを追加します。

my-OneFS-1# touch /ifs/dir-1/somefilemy-OneFS-1# chown admin /ifs/dir-1/somefilemy-OneFS-1# isi quota quotas ls --path=/ifs/dir-1Type AppliesTo Path Snap Hard Soft Adv Used---------------------------------------------------------------default-user DEFAULT /ifs/dir-1 No - - - 0buser root /ifs/dir-1 No - - - 26buser admin /ifs/dir-1 No - - - 0b---------------------------------------------------------------Total: 3

この例では、デフォルトユーザータイプが特定ユーザータイプ（user:admin）を自動的に作成し、そこに新規使用量を追加しました。デフォルトユーザーは、新規クォータを自動的に生成するためだけに使用されるため、使用量を持ちません。デフォルトユーザーの強制は、特定ユーザー（user:admin）にコピーされ、継承されたクォータは、リンクされたクォータと呼ばれます。この方法で、各ユーザーアカウントは、独自の使用率のアカウンティングを取得します。デフォルトは、重複できます。たとえば、default-user@/ifs/dir-1 と default-user@/ifs/cs を両方とも定義できます。デフォルトの強制が変更されると、OneFS ストレージクォータは、その変更をリ

SmartQuotas

デフォルトクォータタイプ 407

ンクされたクォータに同期せずに伝搬します。更新が非同期であるため、更新が有効になるまで少しの遅延が生じます。すべてのユーザーまたはすべてのグループなど、デフォルトタイプを削除する場合、OneFSは継承済みとしてマークされたすべての子を削除します。オプションとして、子を削除せずにデフォルトを削除することもできますが、このアクションはすべての継承された子で継承が失われることに注意してください。この例の続きで、root ユーザーによって所有される別のファイルを追加します。ルートタイプが存在するため、新規使用量は、このタイプに追加されます。

my-OneFS-1# touch /ifs/dir-1/anotherfilemy-OneFS-1# isi quota ls -v --path=/ifs/dir-1 --format=list Type: default-user AppliesTo: DEFAULT Path: /ifs/dir-1 Snap: NoThresholds Hard : - Soft : - Adv : - Grace : - Usage Files : 0 With Overhead : 0.00b W/O Overhead : 0.00b Over: - Enforced: No Container: No Linked: ----------------------------------------------------------------------- Type: user AppliesTo: root Path: /ifs/dir-1 Snap: NoThresholds Hard : - Soft : - Adv : - Grace : - Usage Files : 2 With Overhead : 3.50K W/O Overhead : 55.00b Over: - Enforced: No Container: No Linked: Yes----------------------------------------------------------------------- Type: user AppliesTo: admin Path: /ifs/dir-1 Snap: NoThresholds Hard : - Soft : - Adv : - Grace : - Usage Files : 1 With Overhead : 1.50K W/O Overhead : 0.00b Over: - Enforced: No Container: No Linked: Yes

SmartQuotas


デフォルトユーザーの強制は、特定ユーザーがタイプ内に割り当てられ、新らたに継承されたクォータタイプがリンクされたクォータでもある場合に、この特定ユーザーにコピーされます。

リンクされたクォータの構成の変更は、リンクされたクォータが継承している親クォータに対して行う必要があります。親クォータの変更は、すべての子に反映されます。親クォータからの構成をオーバーライドするには、最初にクォータへのリンクを切断します。

使用率のアカウンティングと制限ストレージクォータはストレージ領域を管理するために作成できる、使用率のアカウンティングと適用制限の 2種類の使用タイプをサポートします。使用タイプごとに OneFS のクォータを構成することによって、ストレージの使用をトラッキングまたは制限できます。ディスクストレージの使用を監視するアカウンティングオプションは、監査、計画、課金に便利です。適用制限では、ユーザー、グループ、ディレクトリのストレージ制限を設定します。ストレージ容量制限を指定しないストレージ容量制限のトラッキング

アカウンティングオプションでは、ディスクストレージの使用をトラッキングしますが、制限は行いません。クォータにアカウンティングオプションを使用することで、inode数と物理/論理領域のリソースを監視できます。物理領域とは、ドメイン内のデータやメタデータを含め、ファイルおよびディレクトリの格納に使用するすべての領域のことです。論理領域とは、ファイルのメタデータとスパース領域を除く、すべてのファイルサイズの合計のことです。ユーザーデータストレージのトラッキングには論理領域の計算を使用しますが、これには保護のオーバーヘッドは含まれません。アカウンティングオプションを使用すると、たとえば次のことを実行できます。

l さまざまなユーザーまたはグループが使用したディスク領域の量をトラッキングして、使用したディスク領域について各ユーザー、グループ、ディレクトリに課金する。

l ストレージの使用パターンの特定に役立つレポートを確認、解析し、ストレージポリシーを定義する。

l 容量およびその他のストレージの必要量を計画する。

ストレージ容量制限の指定適用制限には、アカウンティングオプションのすべての機能と、ディスク領域の制限および通知の送信の機能が含まれます。適用制限を使用すれば、クラスタを論理的に区分化し、特定のユーザー、グループ、ディレクトリが使用できるストレージの量を制御または制限できます。たとえば、ハード/ソフト制限を設定して、主要なプロジェクトや重要なアプリケーションに対して常に十分な空き容量を確保し、クラスタのユーザーが割り当てられたストレージ容量を超過しないようにすることができます。クォータの定める上限に近づいたか、その上限を上回った場合に、ユーザー、グループ、マネージャ、管理者にメールによるリアルタイムのクォータ通知を送信できます。

クォータタイプがアカウンティングのみのオプションの場合、クォータに適用制限を使用することはできません。

ルートとしてログインした管理者のアクションによってドメインがクォータ閾値を超過する場合があります。たとえば、保護レベルの変更やスナップショットの取得によってクォータのパラメータを超過する可能性があります。リペアなどのシステムアクションによってドメインが制限を超える場合もあります。システムには管理者が定義する 3種類の適用閾値があります。

SmartQuotas

使用率のアカウンティングと制限 409

閾値タイプ説明

Hard ディスク使用量を超えてはならないサイズまでに制限。たとえばファイルの書き込みなどの操作によりターゲットクォータがハードクォータの値を超えると、次のイベントが発生します。l 操作が失敗するl アラートのログがクラスタに記録されるl 指定した受信者に通知が発行される

使用量が閾値より下がると書き込みが再開されます。

Soft 猶予期間が満了するまでは超過することが許される猶予期間付きの制限を許可。ソフトクォータを超過すると、アラートのログがクラスターに記録され、指定した受信者に通知が発行されます。ただし、猶予期間中にはデータの書き込みは許可されます。

猶予期間の満了後もソフト閾値を超えている場合、データの書き込みは失敗し、指定した受信者にハード制限の通知が発行されます。

使用量が閾値より下がると書き込みが再開されます。

Advisory 超過することが可能な、情報提供のみの制限。アドバイザリクォータの閾値を超えると、アラートがクラスタのログに記録され、指定した受信者に通知が発行されます。アドバイザリ閾値ではデータの書き込みは禁止されません。

ディスク使用量の計算構成済みの各クォータに対して、データ保護のオーバーヘッドを今後のディスク使用量の計算に含めるかどうかを指定できます。クォータの構成のほとんどにはオーバーヘッドの計算が必要ありません。クォータの使用量の計算にデータ保護のオーバーヘッドを含めない設定にすると、その後のクォータのディスク使用量の計算には、ファイルおよびディレクトリの格納に必要な領域のみが含まれます。クラスターのデータ保護設定に必要な領域は計算に含まれません。前述の例と同様に 40 GB のクォータ制限があるユーザーについて、ディスク使用量の計算にデータ保護のオーバーヘッドが含まれていない場合を考えてみましょう。クラスターのデータ保護レベルを 2xに構成し、クラスターに 10 GB のファイルを書き込んだ場合、ファイルは 20 GB の領域を消費しますが、データ保護のオーバーヘッドに使用される 10 GBはクォータの計算には含まれません。この例では、クラスターに 10 GB のファイルを書き込んだことによってクォータ 40 GB のうち 25%が消費されたことになります。通常のクォータ構成では、この方法でディスク使用量を計算することが推奨されます。クォータの使用量の計算にデータ保護のオーバーヘッドを含める設定にすると、その後のクォータのディスク使用量の計算では、ファイルおよびディレクトリの格納に必要な領域の合計に、パリティやミラーリングなどデータ保護設定への対応に必要な領域を加算した数値を算出します。たとえば、40GB のクォータ制限があり、ディスク使用量の計算にデータ保護のオーバーヘッドが含まれているユーザーを考えてみましょう。クラスターのデータ保護レベルを 2x に構成し（ミラーリング）、クラスターに 10GB相当の書き込みをした場合、ファイルが実際に消費するのは 20 GB分の領域となります。20

SmartQuotas


GB の内訳は、ファイル用が 10 GB、データ保護のオーバーヘッド用が 10 GB です。この例では、クラスターに 10 GB のファイルを書き込んだことによってクォータ 40 GB のうち 50%が消費されたことになります。

クローンされたファイルおよび重複排除されたファイルは、クォータでは普通のファイルとして扱われます。クォータにデータ保護のオーバーヘッドを含める場合、共有データのデータ保護のオーバーヘッドは使用量の計算に含まれません。

クォータにスナップショットが消費する領域を含めるような構成にすることもできます。1 つのパスに 2つのクォータを適用させることができます。1 つがスナップショット不使用のもの（デフォルト）、もう 1 つがスナップショットを使用するものです。クォータにスナップショットを含めると、現在のディレクトリにあるファイルより多くのファイルが計算に含まれます。実際のディスク使用量は、現在のディレクトリとそのディレクトリのスナップショットの合計です。どのスナップショットが計算に含まれるかは、クォータパスの.snapshot ディレクトリを調べることで確認できます。

QuotaScan ジョブの完了後に作成したスナップショットのみが計算に含まれます。

クォータ通知クォータ通知は強制クォータに対して生成され、クォータ違反が発生すると情報をユーザーに提供します。状態が存在している間は、定期的に通知が送信されます。各通知ルールは、強制する条件と、条件が真になったときに実行するアクションを定義します。強制クォータでは、複数の通知ルールを定義できます。閾値を超えたときに、指定したユーザーに自動メール通知を送信する、システムアラートに従って通知を監視する、該当イベントに関するメールを受信するなどの設定を行うことができます。通知は、グローバルに構成してすべてのクォータドメインに適用することも、特定のクォータドメインに構成することもできます。強制クォータは次の通知設定をサポートします。各クォータには以下の設定のいずれか 1 つのみを使用できます。

制限通知の設定説明

Turn Off Notifications for this Quota クォータに対するすべての通知を無効にします。

Use Default Notification Rules 指定したクォータタイプにグローバルなデフォルト通知します。

Use Custom Notification Rules 特定のクォータに適用する高度なカスタム通知を作成できるようにします。カスタム通知は、指定したクォータの閾値タイプ（ハード、ソフト、アドバイザリ）のいずれか、またはすべてに構成できます。

クォータ通知ルールクォータ通知ルールを書き込んで、イベントの閾値によってトリガーされるアラートを生成できます。イベントが発生すると、通知ルールに従って通知がトリガーされます。たとえば、グループがディスクスペースのアロケーションの閾値を超えたときにメールを送信する通知ルールを作成できます。

SmartQuotas

クォータ通知 411

イベントの閾値（通知条件）に応じてアクションをトリガーするように、通知ルールを構成できます。ルールでは、たとえば「毎日午前 1時」のようにアクションの実行スケジュールを指定することも、特定の状態遷移を直ちに通知するように指定することもできます。イベントが発生したときは、通知トリガーによって、メールの送信や、インターフェイスへのクラスターアラートの送信など、1 つまたは複数のアクションを実行できます。次の例は、通知ルールの構成に使用できる条件のタイプを示しています。l 閾値を超過したら通知、最大で 5分に 1回l アロケーションが拒否されたら通知、最大で 1時間に 1回l 毎日午前 2時に閾値超過の場合は通知l 日曜日の午前 2時に猶予期間が期限切れの場合は通知通知は、次のカテゴリー別にグループ化されたイベントに対してトリガーされます。インスタント通知

ハード閾値によって書き込みが拒否されたときにトリガーされる書き込み拒否通知や、ハード、ソフト、アドバイザリのいずれかの閾値を超えたときにトリガーされる閾値超過通知などがあります。これらは特定時点の個別のイベントを表すため、1回限りの通知です。

継続通知スケジュール設定に基づいて生成され、長期間にわたってハード、ソフト、アドバイザリの閾値が制限を超えている、またはソフト閾値の猶予期間が期限切れになっているなどの持続的な条件を示します。

クォータレポートOneFS SmartQuotas モジュールには、レポート作成に関するさまざまなオプションがあり、クラスターリソースの管理と使用量の統計情報の解析を行うことができます。ストレージクォータレポートは、クォータドメインの過去または現在の状態の概要を表示します。レポート作成用の raw データが OneFS によって収集された後、一連のフィルタリングパラメータとソートタイプを使用してデータサマリーを作成できます。ストレージクォータレポートには、閾値のタイプ別にグループ化された違反項目に関する情報が含まれます。履歴データサンプルまたは現在のデータからレポートを生成できます。いずれの場合も、レポートには特定時期のデータ使用量が表示されます。OneFS には、トレンド分析などの時系列の集計データに関するレポートは用意されていませんが、raw データを使用してトレンドを分析できます。構成上の制限は、レポートの保存領域の容量のみで、レポート数に関する制限はありません。OneFSは、次のデータコレクションおよびレポート方法を提供します。l スケジュール設定されたレポートは、定期的なインターバルで生成および保存されます。l 非定型レポートは、ユーザーのリクエストに応じて生成および保存されます。l ライブレポートは、即時でかつ一時的な表示用に生成されます。スケジュール設定されたレポートは、デフォルトで /ifs/.isilon/smartquotas/reports ディレクトリに配置されますが、場所は/ifs下の任意のディレクトリに構成できます。生成される各レポートには、クォータドメイン定義、状態、使用方法、グローバル構成が含まれます。デフォルトでは、一度に 10件のレポートが保持され、古いレポートはパージされます。いつでもアドホックレポートを作成して、ストレージクォータシステムの現在の状態を見ることができます。これらのライブレポートは手動で保存できます。非定型レポートは、時間指定のレポートセットのスキューを回避するため、スケジュール設定されたレポートとは別の場所に保存されます。

SmartQuotas


クォータの作成データを監視するストレージクォータを 2種類作成することができます。アカウンティングクォータと強制クォータですストレージクォータの制限と制約は、特定のユーザー、グループ、ディレクトリに適用できます。作成するクォータのタイプは、目的によって異なります。l 強制クォータでは、ディスク使用量が監視および制限されます。強制クォータは、ハード制限、ソ

フト制限、アドバイザリ制限の任意の組み合わせを使用して作成できます。

強制クォータは、スナップショットによるクォータドメインのトラッキングには推奨されません。

l アカウンティングクォータでは、ディスク使用量が監視されますが、制限はされません。

解析や他の目的にクォータデータを使用する前に、QuotaScan ジョブが実行されていないことを確認してください。

アカウンティングクォータの作成アカウンティングクォータを作成して、ディスク使用量を制限せずに監視することができます。

スナップショットデータまたはデータ保護のオーバーヘッド、あるいはその両方をアカウンティングクォータに含めることもできます。手順

1. ［File System］ > ［SmartQuotas］ > ［Quotas & Usage］をクリックします。2. ［Create Quota］をクリックします。

［Create a Quota］ダイアログボックスが表示されます。3. ［Quota Type］リストから、このクォータのターゲットを選択します。

l ［Directory quota］l ［User quota］l ［Group quota］

4. 選択したターゲットに応じて、クォータを適用する対象のエンティティを選択します。たとえば、［Quota Type］リストから［User quota］を選択すると、すべてのユーザーまたは特定のユーザーをターゲットにすることができます。

5. ［Path］フィールドにクォータのパスを入力するか、［Browse］をクリックしてディレクトリを選択します。

6. (オプション) ［Quota Accounting］領域で、使用するオプションを選択します。l スナップショットデータをアカウンティングクォータに含めるには、［Include Snapshot

Data］チェックボックスをオンにします。l データ保護のオーバーヘッドをアカウンティングクォータに含めるには、［Include Data-

Protection Overhead］を選択します。7. ［Quota Limits］領域で、［Track storage without specifying a storage limit］

を選択します。

SmartQuotas

クォータの作成 413

8. ［Create Quota］をクリックします。

必要条件分析や他の目的にクォータデータを使用する前に、［Cluster Management］ > ［JobOperations］ > ［Job Summary］をクリックして QuotaScan ジョブが進行中でないことを確認してください。

強制クォータの作成強制クォータを作成して、ディスク使用量を監視および制限することができます。ハード、ソフト、アドバイザリの制限を設定する強制クォータを作成できます。手順

1. ［File System］ > ［SmartQuotas］ > ［Quotas & Usage］をクリックします。2. ［Create Quota］をクリックします。

［Create a Quota］ダイアログボックスが表示されます。3. ［Quota Type］リストから、このクォータのターゲットを選択します。

l ［Directory quota］l ［User quota］l ［Group quota］

4. 選択したターゲットに応じて、クォータを適用する対象のエンティティを選択します。たとえば、［Quota Type］リストから［User quota］を選択すると、すべてのユーザーまたは特定のユーザーをターゲットにすることができます。

5. ［Path］フィールドにクォータのパスを入力するか、［Browse］をクリックしてディレクトリを選択します。

6. (オプション) ［Quota Accounting］領域で、使用するオプションを選択します。l スナップショットデータをアカウンティングクォータに含めるには、［Include Snapshot

Data］チェックボックスをオンにします。l データ保護のオーバーヘッドをアカウンティングクォータに含めるには、［Include Data-

Protection Overhead］を選択します。7. ［Quota Limits］領域で、［Specify storage limits］を選択します。8. 適用する各制限の横のチェックボックスをオンにします。9. フィールドに数値を入力し、リストからクォータに使用する値を選択します。

10. ［Quota Notifications］領域で、クォータに適用する通知オプションを選択します。11. (オプション) カスタム通知ルールを使用するオプションを選択した場合、リンクをクリックして、

使用量制限の選択に適用するカスタム通知タイプを拡張します。12. ［Create Quota］をクリックします。

必要条件分析や他の目的にクォータデータを使用する前に、［Cluster Management］ > ［ JobOperations］ > ［Job Summary］をクリックして QuotaScan ジョブが進行中でないことを確認してください。

SmartQuotas


クォータの管理構成したストレージクォータの値を変更することや、クォータを有効化または無効化することができます。特定のユーザー、グループ、ディレクトリに適用するクォータの制限や制約を作成することもできます。OneFS でのクォータ管理は、クォータ検索機能によって合理化されています。この機能ではフィルターを使用して 1 つ以上のクォータを特定できます。親クォータと関連づけられたクォータへのリンクを切断し、クォータのカスタム通知を構成できます。また、クォータを一時的に無効化し、必要になったときに有効化することもできます。

クォータドメイン間でのクォータディレクトリの移動はサポートされていません。

クォータの検索クォータの検索では、さまざまな検索条件を使用できます。デフォルトでは、ユーザーがレポートフィルタまたは検索フィルタを適用する前に、このページにすべてのストレージクォータと表示オプションが表示されます。［Quotas & Storage］セクションが折りたたまれている場合、［Define quota display］をクリックします。

手順1. ［File System］ > ［SmartQuotas］ > ［Quotas & Usage］をクリックします。2. フィルターバーで、フィルタリングするオプションを選択します。

l ［Type］リストで、検索するクォータタイプを選択します。l 制限を超えているクォータを検索するには、［Exceed］リストで［Over limit］を選択します。

l ［Path］フィールドにパスワードの全部または一部を入力します。［Path］フィールドでは、ワイルドカード文字（*）を使用できます。

l サブディレクトリを検索するには、［Recursive］リストで［Include children］を選択します。

検索条件に一致するクォータが［Quotas & Usage］テーブルに表示されます。

結果アカウンティングクォータまたは強制クォータの閾値が 0 の場合はダッシュ（–）で示します。列見出しをクリックして結果セットをソートできます。

結果セットをクリアして、すべてのストレージクォータを表示するには、［Reset］をクリックします。

クォータの管理クォータは、ディスクストレージの現在または過去の使用状況を監視および分析する場合に役立ちます。クォータを検索して、表示、変更、削除、リンクの切断を行うことができます。デフォルトクォータまたはスケジュール設定されたクォータの初期 QuotaScan ジョブを実行する必要があります。そうしないと、不完全なデータが表示される可能性があります。

SmartQuotas

クォータの管理 415

クォータを変更する前に、変更がファイルシステムおよびエンドユーザーに及ぼす影響を考慮してください。

l クォータを編集または削除するオプションは、クォータがデフォルトクォータにリンクされていない場合にのみ表示されます。

l クォータのリンクを切断するオプションは、クォータがデフォルトクォータにリンクされている場合にのみ選択できます。

手順1. ［File System］ > ［SmartQuotas］ > ［Quotas & Usage］をクリックします。2. (オプション) フィルターバーで、フィルタリングするオプションを選択します。

l ［Type］リストで、検索するクォータタイプを選択します。l 制限を超えているクォータを検索するには、［Exceed］リストで［Over limit］を選択します。

l ［Path］フィールドにパスワードの全部または一部を入力します。［Path］フィールドでは、ワイルドカード文字（*）を使用できます。

l サブディレクトリを検索するには、［Recursive］リストで［Include children］を選択します。

検索条件に一致するクォータが［Quotas & Usage］テーブルに表示されます。3. (オプション) 管理するクォータを検索します。次のアクションを実行できます。

l クォータを確認または編集するには、［View Details］をクリックします。l クォータを削除するには、［Delete］をクリックします。l リンクされたクォータのリンクを切断するには、［Unlink］をクリックします。

リンクされたクォータの構成の変更は、リンクされたクォータが継承している親（デフォルト）クォータに対して行う必要があります。親クォータの変更は、すべての子に反映されます。親クォータから構成をオーバーライドする場合、まずクォータのリンクを切断する必要があります。

クォータ構成ファイルのエクスポートクォータ設定を構成ファイルとしてエクスポートすることができます。エクスポートした構成ファイルは、インポートして別の Isilon クラスターで再使用できます。また、エクスポートしたクォータ構成をクラスターの外部にある場所に格納できます。このタスクは、OneFS コマンドラインインターフェイスからのみ実行できます。XML レポートをファイルまたはディレクトリにパイプで書き込むことができます。そのファイルを別のクラスターにインポートすることができます。手順

1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. コマンドプロンプトで次のコマンドを実行します。

isi_classic quota list --export

SmartQuotas


クォータ構成ファイルが raw XML として表示されます。

クォータ構成ファイルのインポート別の Isilon クラスターからエクスポートした構成ファイルの形式のクォータ設定をインポートすることができます。このタスクは、OneFS コマンドラインインターフェイスからのみ実行できます。手順

1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. エクスポートしたクォータ構成ファイルの場所に移動します。3. コマンドプロンプトで次のコマンドを実行します。［<filename>］は、エクスポートした構成フ

ァイルの名前です。

isi_classic quota import --from-file=<filename>

システムによりファイルが解析され、クォータ設定が構成ファイルからインポートされます。クォータ構成ファイルをインポートする前に構成したクォータ設定は保持され、インポートしたクォータ設定はただちに有効になります。

クォータ通知の管理クォータ通知は、有効化、無効化、変更、削除することができます。デフォルトでは、グローバルクォータ通知がすでに構成されており、全クォータに適用されます。グローバルクォータ通知の設定を引き続き使用することも、グローバル通知の設定を変更することもできます。また、クォータに対してカスタム通知を無効化または設定することができます。強制クォータでは 4種類の通知とメモがサポートされています。l 閾値の超過l オーバークォータのメモl 猶予期間の期限切れl 書き込みアクセス拒否ユーザーの認証にディレクトリサービスを使用している場合には、通知マッピングを構成することにより、クラスターがクォータ通知を送信したときのメールアドレスの解決方法を管理できます。必要に応じて、クォータメール通知に使用されるドメインをマップし直し、Active Directory ドメインとローカルUNIX ドメインの一方または両方をマップし直すことができます。

デフォルトクォータ通知設定の構成指定した閾値タイプのすべてのクォータに適用するデフォルトのグローバルクォータ通知設定を構成できます。クォータに構成したカスタム通知設定は、デフォルトグローバル通知設定より優先されます。

手順1. ［File System］ > ［SmartQuotas］ > ［Settings］をクリックします。2. ［Scheduled Reporting］領域で、次のレポート作成オプションを構成できます。

l ［Archive Directory］フィールドで、スケジュール設定されたクォータレポートのアーカイブ先ディレクトリを入力するかブラウズします。

SmartQuotas

クォータ構成ファイルのインポート 417

l ［Number of Scheduled Reports Retained］フィールドに、アーカイブするレポート数を入力します。

l レポート作成スケジュールのオプションを選択し、［Select］をクリックします。l ［Scheduled］を選択するとスケジュール設定されたレポート作成機能が有効化され、［Manual］を選択するとスケジュール設定されたレポート作成機能が無効化されます。

3. ［Manual Reporting］領域で、次のレポート作成オプションを構成します。l ［Archive Directory］フィールドで、手動で生成されたクォータレポートのアーカイブ先ディレクトリを入力するかブラウズします。

l ［Number of Live Reports Retained］フィールドに、アーカイブするレポート数を入力します。

4. ［Email Mapping］領域で、マッピングルールまたは使用するルールを定義します。E メールマッピングルールを追加するには、［Add a Mapping Rule］をクリックして、ルールの設定項目を指定します。

5. ［Notification Rules］領域で、各ルールタイプのデフォルト通知ルールを定義します。a.［Add a Notification Rule］をクリックします。

［Create a Notification Rule］ダイアログボックスが開きます。b.［Rule type］リストで、使用するルールタイプを選択します。c.［Rule Settings］領域で、使用する通知オプションを選択します。

6. ［Create Rule］をクリックします。7. Save Changes をクリックします。


カスタムクォータ通知ルールの構成指定したクォータのみに適用するカスタムクォータ通知ルールを構成できます。

はじめにカスタム通知ルールを構成するには、強制クォータが存在するか、作成中である必要があります。既存の強制クォータの通知を構成するには、クォータ変更の処理手順に従った後、以下の手順を実行して、クォータ通知ルールを設定します。クォータにはクォータ固有のカスタム通知ルールを構成する必要があります。クォータに通知ルールを構成しない場合、デフォルトのイベント通知構成が使用されます。デフォルト通知ルールの詳細については、「イベント通知ルールの作成」を参照してください。手順

1. ［Edit Quota Details］ダイアログボックスで、［Create custom notification rules］を選択します。

2. 通知ルールを追加するには、［Create a notification rule］をクリックして、通知に使用する値を選択します。

3. 通知の構成設定が完了したら、［Create Rule］をクリックします。4. ［Save Changes］をクリックします。

SmartQuotas



クォータのメール通知マッピングルールメール通知マッピングルールは、クラスタからクォータ通知を送信する際のメールアドレスの解決方法を制御します。必要に応じて、SmartQuotas の E メール通知に使用するドメインを再マッピングできます。再マッピングできるドメインは、Active Directory ドメイン、ローカルの UNIX ドメイン、NIS ドメインのいずれかです。

このタスクを実行するには、Web管理インターフェイスにログインする必要があります。

手順1. ［File System］ > ［SmartQuotas］ > ［Settings］をクリックします。2. (オプション) ［Email Mapping］領域で、［Add a Mapping Rule］をクリックします。3. ［Type］リストで、この通知ルールの認証プロバイダータイプを選択します。デフォルトは［Local］です。クラスタで使用可能な認証プロバイダーを判断するには、［Access］ > ［Authentication Providers］をブラウズします。

4. ［Current domain］リストで、マッピングルールに使用するドメインを選択します。リストが空白の場合は、［Cluster Management］ > ［Network Configuration］にブラウズして、マッピングに使用するドメインを指定します。

5. ［Map to domain］フィールドに、E メール通知をマッピングするドメイン名を入力します。［Current domain］リストで選択したのと同じドメイン名でもかまいません。複数のドメインを指定するには、ドメイン名をコンマで区切ります。

6. ［Create Rule］をクリックします。

メールクォータ通知メッセージ超過したクォータのメール通知が有効化されている場合、メール通知の Isilon テンプレートをカスタマイズしたり、自身で作成したりできます。OneFS には 3 つのメール通知テンプレートが用意されています。テンプレートは/etc/ifs にあり、次の表で説明されています。

テンプレート説明quota_email_template.txt ディスククォータを超過したことを示す通知。

quota_email_grace_template.txt ディスククォータを超過したことを示す通知（日数での猶予期間を定義するパラメーターも含む）。

quota_email_test_template.txt ユーザーがメール通知を受信していることを確認するために使用できる通知テストメッセージ。

デフォルトのメール通知テンプレートではニーズに対応できない場合は、テキストと SmartQuotas の変数を組み合わせてカスタムのメール通知テンプレートを独自に構成できます。独自のテンプレート

SmartQuotas

クォータのメール通知マッピングルール 419

の作成と既存のテンプレートの変更のどちらを選択する場合でも、テンプレートファイルの最初の行が Subject:であるようにします。例：

Subject: Disk quota exceeded

メッセージ送信者に関する情報を含める場合は、件名行の直後に From:行を含めます。メールアドレスを使用する場合は、アドレスの完全ドメイン名を含めます。例：

From: [email protected]

この quota_email_template.txt ファイルの例では、From:行が含まれます。また、テンプレートの最後にあるデフォルトのテキスト「Contact your system administrator for details」が管理者の名前に変更されます。

Subject: Disk quota exceededFrom: [email protected]

The <ISI_QUOTA_TYPE> disk quota on directory <ISI_QUOTA_PATH> owned by <ISI_QUOTA_OWNER> on <ISI_QUOTA_NODE> was exceeded.

The quota limit is <ISI_QUOTA_THRESHOLD>, and <ISI_QUOTA_USAGE>is currently in use. You may be able to free some disk space by deleting unnecessary files. If your quota includes snapshot usage, your administrator may be able to free some disk space by deleting one or more snapshots. Contact Jane Anderson ([email protected]) for details.

これは、メール通知としてユーザーに何が表示されるかを示す例です（SmartQuotas変数が解決されていることに注意してください）。

Subject: Disk quota exceededFrom: [email protected]

The advisory disk quota on directory /ifs/data/sales_tools/collateralowned by jsmith on production-Boris was exceeded.

The quota limit is 10 GB, and 11 GB is in use. You may be able to free some disk space by deleting unnecessary files. If your quota includes snapshot usage, your administrator may be able to free some disk space by deleting one or more snapshots. Contact Jane Anderson ([email protected]) for details.

カスタムメール通知テンプレート変数の説明メールテンプレートにはテキストおよびオプションとして値を表す変数が含まれます。テンプレートでは任意の SmartQuotas変数を使用できます。

変数説明例

ISI_QUOTA_PATH クォータドメインのパス /ifs/data

ISI_QUOTA_THRESHOLD 閾値 20 GB

ISI_QUOTA_USAGE 使用されているディスク領域 10.5 GB

ISI_QUOTA_OWNER クォータドメインの所有者の名前 jsmith

ISI_QUOTA_TYPE 閾値タイプ Advisory

ISI_QUOTA_GRACE 日数単位での猶予期間 5 days

ISI_QUOTA_EXPIRATION 猶予期間の有効期限 Fri May 22 14:23:19 PST 2015

SmartQuotas


変数説明例

ISI_QUOTA_NODE クォータイベントが発生したノードのホスト名

someHost-prod-wf-1

メールクォータ通知テンプレートのカスタマイズメール通知の Isilon テンプレートをカスタマイズできます。カスタマイズテンプレートは、OneFS コマンドラインインターフェイスからのみ実行できます。

この処理手順では、/etc/ifs ディレクトリにある Isilon テンプレートを使用していることを想定します。

テンプレートを直接編集しないことを推奨します。代わりに、別のディレクトリにコピーし、それらを編集して導入してください。

手順1. クラスタ内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. デフォルトテンプレートの 1 つをディレクトリにコピーし、そこでファイルを編集し、後で OneFS

Web管理インターフェイスを通じてアクセスできます。例：

cp /etc/ifs/quota_email_template.txt /ifs/data/quotanotifiers/quota_email_template_copy.txt

3. テンプレートファイルをテキストエディターで開きます。例：

edit /ifs/data/quotanotifiers/quota_email_template_copy.txt

テンプレートがエディターに表示されます。4. テンプレートを編集します。カスタマイズしたテンプレートを使用または作成している場合は、

テンプレートに Subject:行があることを確認します。5. 変更を保存します。テンプレートファイルは、.txt ファイルとして保存する必要があります。6. Web管理インターフェイスで、［File System］ > ［SmartQuotas］ > ［Settings］

に移動します。

7. ［Notification Rules］領域で、［Add a Notification Rule］をクリックします。

［Create a Notification Rule］ダイアログボックスが表示されます。8. ［Rule type］リストで、テンプレートとともに使用する通知ルールタイプを選択します。9. ［Rule Settings］領域で、通知タイプオプションを選択します。

10. 選択したルールタイプに応じたスケジュールフォームが表示されます。使用するスケジュールオプションを選択します。

11. ［Message template］フィールドにメッセージテンプレートのパスを入力するか、［Browse］をクリックしてテンプレートを検索します。

12. (オプション) ［Create Rule］をクリックします。

SmartQuotas

メールクォータ通知テンプレートのカスタマイズ 421

クォータレポートの管理Isilon クラスターでのストレージ使用状況の監視、追跡、分析に役立つレポートを構成およびスケジュール設定できます。レポートを参照したり、スケジュールを設定したり、設定をカスタマイズして、ディスクストレージの使用状況をトラッキング、監視、分析できます。制御できる設定は、レポートのスケジュール設定、レポートの生成方法、保存場所、保存しておくレポートの数、表示方法です。クォータレポートは、これらの設定を構成して管理します。Web管理インターフェイスで表示できるスケジュール設定レポートの最大数は、レポートタイプごとに構成できます。最大数のレポートが格納された場合、新しいレポートが生成されたときに、領域を空けるために最も古いレポートが削除されます。

クォータレポートのスケジュールの作成指定のスケジュールでクォータレポートを生成するように、クォータレポートの設定を構成できます。

この設定では、スケジュール設定レポートを生成するかどうか、いつ生成するか、レポートの保存場所、保存方法を指定します。スケジュール設定レポートを無効化する場合は、スケジュール設定しないでいつでもレポートを実行できます。手順

1. ［File System］ > ［SmartQuotas］ > ［Settings］をクリックします。2. (オプション) ［Quota Settings］ページの［Scheduled Reporting］領域で、［Scheduled］を選択します。

［Schedule］パネルが表示されます。3. ［Schedule］パネルで、［Report Frequency］オプションと［Reporting Schedule］オ

プションを選択します。4. ［Save Changes］をクリックします。

結果スケジュール条件に従ってレポートが生成され、［FileSystem］ > ［SmartQuotas］ > ［Generated Reports Archive］の順にクリックすると表示されます。

クォータレポートの生成スケジュール設定されたクォータレポートに加えて、ポイントインタイムでの使用統計を収集するレポートを生成できます。はじめにクォータレポートを生成する前に、クォータが存在し、QuotaScan ジョブを実行できる必要があります。手順

1. ［File System］ > ［SmartQuotas］ > ［Generated Reports Archive］をクリックします。

2. ［Create a Manual Report］をクリックします。

結果新しいレポートが［Quota Reports］リストに表示されます。

SmartQuotas


クォータレポートの検索XML ファイルとして格納されたクォータレポートを検索し、独自のツールを使用してそのレポートを変換、表示することができます。このタスクは、OneFS コマンドラインインターフェイスからのみ実行できます。手順

1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. クォータレポートが格納されているディレクトリに移動します。次のパスがクォータレポートのデ

フォルトの場所です。/ifs/.isilon/smartquotas/reports

クォータレポートがデフォルトのディレクトリにない場合は、isi quota settings コマンドを実行してレポートが格納されているディレクトリを見つけることができます。

3. コマンドプロンプトで、ls コマンドを実行します。l ディレクトリにあるすべてのクォータレポートのリストを表示するには、次のコマンドを実行します。

ls -a *.xml

l ディレクトリにある特定のクォータレポートを表示するには、次のコマンドを実行します。

ls <filename>.xml

基本的なクォータ設定ストレージクォータを作成するときに、少なくとも以下の属性を定義する必要があります。使用量制限を指定する場合、クォータを定義するための追加オプションを使用できます。


パスクォータが存在するディレクトリ。

Directory Quota ディレクトリのストレージ制限を設定します。

User Quota 指定したディレクトリにデータを格納する現在または今後のすべてのユーザーのクォータを作成します。

Group Quota 指定したディレクトリにデータを格納する現在または今後のすべてのグループのクォータを自動的に作成します。

Include snapshots in the storage quota 使用量制限のすべてのスナップショットデータをカウントします。このオプションはクォータの作成後は変更できません。

Include data-protection overhead in the storagequota

使用量制限の保護オーバーヘッドをカウントします。

SmartQuotas

クォータレポートの検索 423


Track storage without specifying a storage limit 使用量のみを考慮します。

Specify storage limits アドバイザリ制限、ソフト制限、絶対制限を設定して適用します。

アドバイザリ制限クォータ通知ルールの設定クォータに対するアドバイザリ制限のカスタムクォータ通知ルールを構成できます。カスタム通知ルールを使用するオプションを選択すると、以下の設定を使用できます。

オプション説明高い超過したまま

Notify owner エンティティの所有者にメール通知を送信します。

可可

Notify another contact 他の受信者にメール通知を送信します。その受信者のメールアドレスを入力します。

入力できる E メールアドレスは 1

つのみです。複数の人物に通知する場合は、配布リストを作成して、それを E メールアドレスに指定することを検討してください。

可可

Message template カスタムテンプレートのパスを入力するか、［Browse］をクリックしてカスタムテンプレートを特定します。デフォルトのテンプレートを使用する場合は、フィールドを空白のままにします。

可可

Create cluster event 超過時にクォータのイベント通知を生成します。

可可

Notification delay 通知を生成するまでの遅延時間（時間、日、週）を指定します。

可 ×

Schedule 通知およびアラートの頻度（毎日、毎週、月単位、年単位）を指定します。選択に応じて、インターバル、送信日、送信時刻、ルールあたり複数のメールメッセージを指定します。

× 可

ソフト制限クォータ通知ルールの設定クォータに対して、カスタムソフト制限通知ルールを構成できます。カスタム通知ルールを使用するオプションを選択すると、以下の設定を使用できます。

SmartQuotas


オプション説明高い超過したまま猶予期間の期限切れ

書き込みアクセス拒否


可可可可

Notify anothercontact

他の受信者にメール通知を送信します。その受信者のメールアドレスを入力します。

入力できる E メールアドレスは 1 つのみです。複数の人物に通知する場合は、配布リストを作成して、それを E メールアドレスに指定することを検討してください。

可可可可


可可可可

Create clusterevent

クォータのイベント通知を生成します。

可可可可


可 × × 可


× 可可 ×

ハード制限クォータ通知ルールの設定クォータのハード制限に応じてカスタムクォータ通知ルールを構成できます。カスタム通知ルールを使用するオプションを選択すると、以下の設定を使用できます。

SmartQuotas

ハード制限クォータ通知ルールの設定 425

オプション説明書き込みアクセス拒否高い


可可

Notify another contact 他の受信者にメール通知を送信します。その受信者のメールアドレスを入力します。

入力できる E メールアドレスは 1

つのみです。複数の人物に通知する場合は、配布リストを作成して、それを E メールアドレスに指定することを検討してください。

可可


可可

Create cluster event クォータのイベント通知を生成します。

可可


可 ×


× 可

制限通知の設定強制クォータは、閾値の種類ごとに次の通知設定をサポートしています。1 つのクォータで使用できるのは、これらの設定の中の 1 つのみです。

通知設定説明

Disable quota notifications クォータに対するすべての通知を無効にします。

Use the system settings for quotanotifications

指定した閾値の種類に対して構成したデフォルトの通知ルールを使用します。

Create custom notification rules このクォータにのみ適用される基本的なカスタム通知を作成するための設定を指定します。

SmartQuotas


クォータレポートの設定ディスク使用量をトラッキングするクォータレポートの設定を構成できます。この設定によって、スケジュールレポートを生成するかどうか、およびそのタイミングと、レポートが格納される場所および方法が決定されます。最大数のレポートが格納された場合、新しいレポートが生成されたときに、領域を空けるために最も古いレポートが削除されます。

設定説明

Scheduled reporting スケジュールレポート機能を有効または無効にします。

l ［Off］。手動で生成するオンデマンドレポートは、いつでも実行できます。

l ［On］。レポートは、指定したスケジュールに従って自動的に実行されます。

Report frequency このレポートを実行するための間隔を指定します（毎日、毎週、月単位、年単位）。次のオプションを使用して、レポートのスケジュールをさらに微調整できます。

［Generate report every］。選択したレポートの頻度に対する数値を指定します（2 か月ごとなど）。

［Generate reports on］。レポートを生成する 1 つまたは複数の日付を選択します。

［Select report day by］。レポートを生成する日付または曜日を指定します。

［Generate one report per specified by］。このレポートを生成する時刻を指定します。

［Generate multiple reports per specified day］。その日にレポートを生成する間隔と時刻を設定します。

Scheduled report archiving SmartQuotas の［Reports］ページに表示できるスケジュールレポートの最大数を決定します。

［Limit archive size］。スケジュールされたレポートのアーカイブサイズを、指定されたレポート数に制限します。保管するレポートの最大数を指定する整数を入力します。

［Active Directory］。アーカイブ用としてクォータレポートを格納するディレクトリを参照します。

Manual report archiving SmartQuotas の［Reports］ページに表示できる手動で生成された（オンデマンド）レポートの最大数を決定します。

［Limit archive size］。ライブレポートのアーカイブサイズを、指定されたレポート数に制限します。保管するレポートの最大数を指定する整数を入力します。

［Active Directory］。アーカイブ用としてクォータレポートを格納するディレクトリを参照します。

SmartQuotas

クォータレポートの設定 427

SmartQuotas


第 22章

ストレージプール


l ストレージプールの概要....................................................................................... 430l ストレージプール機能.......................................................................................... 430l 自動プロビジョニング.............................................................................................432l ノードプール....................................................................................................... 433l 仮想ホットスペア.................................................................................................436l スピルオーバー.....................................................................................................436l 推奨される保護.................................................................................................. 437l 保護ポリシー.......................................................................................................437l SSD戦略..........................................................................................................438l その他の SSD ミラーの設定.................................................................................. 438l グローバルネームスペースの高速化........................................................................439l L3 キャッシュの概要............................................................................................. 439l 階層................................................................................................................. 442l ファイルプールポリシー......................................................................................... 442l Web管理インターフェイスでのノードプールの管理....................................................443l Web管理インターフェイスでの L3 キャッシュの管理...................................................448l 階層の管理....................................................................................................... 449l ファイルプールポリシーの作成................................................................................451l ファイルプールポリシーの管理............................................................................... 458l ストレージプールのモニタリング............................................................................... 463

ストレージプール 429

ストレージプールの概要OneFS では、さまざまなノードタイプを別々のノードプールに編成します。さらに、これらのノードプールをストレージの論理階層に整理できます。SmartPools ライセンスをアクティブ化することで、指定したファイル一致条件に基づいてこれらの階層にファイルを自動的に格納するファイルプールポリシーを作成できます。アクティブな SmartPools ライセンスがない場合、OneFSはすべてのノードプールを単一のストレージプールとして管理します。ファイルデータとメタデータは、クラスター全体でストライピングされるため、データが保護、保全され、アクセスしやすくなります。すべてのファイルはデフォルトのファイルプールに属し、デフォルトファイルプールポリシーによって管理されます。このモードでは、OneFSは、自動プロビジョニング、互換性、VHS（仮想ホットスペア）、SSD戦略、GNA（グローバルネームスペースの高速化）、L3 キャッシュ、ストレージ階層などの機能を提供します。SmartPools ライセンスをアクティブ化すると、カスタムファイルプールポリシーやスピルオーバー管理などの追加機能が使用可能になります。SmartPools ライセンスを使用して、データセットをより細かく管理することで、クラスターのパフォーマンスを向上させることができます。次の表に、SmartPools ライセンスがアクティブかどうかに基づくストレージプールの機能をまとめます。

機能非アクティブな SmartPools ライセンス

アクティブな SmartPools ライセンス

自動ストレージプールプロビジョニング

可可

ノードクラスの互換性（ノード等価性）

可可

SSD容量の互換性可可

SSD数の互換性可可

仮想ホットスペア可可

SSD戦略可可

L3 キャッシュ可可

階層可可

GNA 可可

ファイルプールポリシー × 可

スピルオーバー管理 × 可

ストレージプール機能クラスターがインストールされている場合、ノードがクラスターに追加されるたびに、OneFS がノードをノードプールに自動的にグループ化します。ノードのノードプールへの自動プロビジョニングにより、OneFSはクラスター上のパフォーマンス、信頼性、データ保護を最適化できます。アクティブな SmartPools ライセンスがない場合、OneFSはデフォルトのファイルプールポリシーを適用して、すべてのデータを単一のファイルプールに整理します。このポリシーでは、OneFSはデータ



をクラスター全体に分散するため、データが保護され、アクセスしやすくなります。SmartPools ライセンスをアクティブ化すると、追加機能が使用可能になります。OneFS には、アクティブな SmartPools ライセンスがある場合とない場合の次の機能が用意されています。ノードプールの自動プロビジョニング

同等クラスノードをノードプールに自動的にグループ化して、ストレージの効率性と保護を最適化します。自動プロビジョニングが動作するためには同等クラスの少なくとも 3 つのノードが必要です。

ノードクラスの互換性（ノード等価性）同等クラスではない特定のノードを既存のノードプールに参加させることができます。OneFSでは、Isilon S200 ノードと S210 ノード、X200 ノードと X210 ノード、X400 ノードと X410 ノード、NL400 ノードと NL410 ノード間のノードクラス互換性がサポートされます。ノードクラス互換性が機能するためには、L3 キャッシュをノードプールで有効化する必要があります。

SSD容量の互換性異なる SSD容量のノードを既存の互換ノードプールにプロビジョニングできます。それ以外の場合、SSD容量が異なる互換ノードは同じノードプールに参加できません。異なる SSD容量のノードが 3 つ未満の場合、これらのノードはプロビジョニングされないままになるため、機能しません。SSD容量の互換性が機能するためには、L3 キャッシュをノードプールで有効化する必要があります。

SSD数の互換性SSD の数が異なるノードを同じノードプールにプロビジョニングできるようにします。それ以外の場合、SSD数が異なる互換ノードは同じノードプールに参加できません。特定の SSD数のノードが 3 つ未満である場合、これらのノードはプロビジョニングされないままになります。したがって、SSD数の互換性を作成するまでは機能しません。SSD数の互換性が機能するためには、L3 キャッシュをノードプールで有効化する必要があります。

階層ノードプールをストレージの論理階層にグループ化します。この機能に対して SmartPools ライセンスをアクティブ化した場合、カスタムファイルプールポリシーを作成し、異なるファイルプールを適切なストレージ階層に渡すことができます。

デフォルトのファイルプールポリシーすべてのファイルタイプを管理し、クラスター上の任意の場所にファイルを格納できます。カスタムファイルプールポリシーは、SmartPools ライセンスを必要とし、デフォルトのファイルプールポリシーより優先されます。

要求された保護デフォルトファイルプールのリクエストされた保護設定を、ノードプールごと、または個々のファイルに対して指定します。デフォルト設定のままにすることも、OneFS によって計算され、提案された保護を選択して最適なデータ保護を実現することもできます。

仮想ホットスペアディスク障害発生時にデータの修復に使用可能なストレージ領域の部分を確保します。

SSD戦略クラスター内の SSD に格納されるデータのタイプを定義します。たとえば、読み取り/書き込み高速化用のメタデータの格納などです。


ストレージプール機能 431

L3 キャッシュキャッシュメモリを増やし、より大きな作業ファイルセットでのファイルシステムのパフォーマンスを高速化するため、ノード内で SSD を使用することを指定します。

グローバルネームスペースの高速化GNA（グローバルネームスペースの高速化）をアクティブ化します。これにより、SSD が搭載されていないノードプールに格納されているデータに対して、追加のメタデータミラーの格納用に、クラスターの任意の場所の SSD にアクセスできるようになります。追加のメタデータミラーにより、メタデータの読み取り動作が高速化されます。

SmartPools ライセンスをアクティブ化すると、OneFSは次の追加機能を提供します。カスタムファイルプールポリシー

カスタムファイルプールポリシーを作成して、異なるクラスのファイルを識別し、これらのファイルプールを論理ストレージ階層に格納します。たとえば、Isilon S シリーズノードプールの高パフォーマンス階層と、大容量 Isilon NL400 および HD400 ノードプールのアーカイブ階層を定義できます。さらに、カスタムファイルプールポリシーでは、一致条件に基づいてファイルプールを識別し、これらのプールで実行するアクションを定義できます。たとえば、あるファイルプールポリシーで、1年より古いすべての JPEG ファイルを識別し、それらをアーカイブ階層に格納できます。別のポリシーでは、過去 3 か月間に作成または変更されたすべてのファイルをパフォーマンス階層に移動できます。

ストレージプールスピルオーバーストレージプールの容量オーバーフローの自動管理を有効化します。スピルオーバーでは、ストレージプールが書き込み可能でないときに、書き込み操作をどのように処理するかが定義されます。スピルオーバーが有効な場合、データは指定されたストレージプールへリダイレクトされます。スピルオーバーが無効な場合、新しいデータ書き込みは失敗し、書き込み処理を試行しているクライアントにエラーメッセージが送信されます。

IsilonSD Edge でサポートされているストレージプールの機能IsilonSD Edgeは、デフォルトのファイルプールポリシー、要求された保護、仮想ホットスペアストレージプールの機能のみをサポートします。IsilonSD Edge でストレージプールを使用する前に、次の考慮事項を確認してください。l IsilonSD ノード上のドライブは常に IsilonSD Edge で HDD として認識されます。ホストされて

いるストレージプールは関係ありません。l 同じ IsilonSD クラスター内に異機種混在ノードを作成することはできません。

自動プロビジョニングIsilon クラスターにノードを追加すると、OneFS によってノードプールへのノードの割り当てが試行されます。このプロセスは自動プロビジョニングと呼ばれ、OneFS がクラスター上の最適なパフォーマンス、ロードバランシング、ファイルシステムの整合性を提供するのに役立ちます。ノードはノードプールに自動プロビジョニングされず、同じ同等クラスの少なくとも 3 つのノードがクラスターに追加されるまで書き込み可能になります。同等クラスのノードを 2 つだけ追加した場合、同じクラスの 3番目のノードが追加されるまで、それらのノードにデータは格納されません。同様に、ノードがダウンしたか、クラスターから削除され、3 つ未満の同等クラスのノードが残っている場合、ノードプールはアンダープロビジョニングとなります。この場合、残りの 2 つのノードはまだ書き込み可能です。ただし、同等クラスのノードが 1 つしか残っていない場合、このノードは書き込み不能ですが、読み取りは可能なままです。



時間の経過とともにクラスターに新しい Isilon ノードを追加した場合、新しいノードが何らかの形で古いノードと異なる場合があります。たとえば、古いノードと新しいノードで世代が違ったり、ドライブ構成が異なったり場合があります。クラスターをアップグレードする場合に同等クラスのノードを 3 ノード新たに追加しなければ、新しいノードは自動プロビジョニングされません。こうした制限事項に対処するために、OneFS では、ノードクラス、SSD容量、SSD数の 3 つの互換性のタイプを作成できます。互換性の組み合わせが適切であれば、新しいノードタイプを既存のノードプールにプロビジョニングできます。複数のノードを一度に 1 ノードづつクラスターに追加していくと、新しいノードは既存のノードプール内で完全に機能するピアになります。たとえば、クラスターに 3 つの S200 ノードで構成されるノードプールが 1 つあるところに、S210 ノードを購入するとします。S210 ノードは世代が異なるだけでなく、搭載している SSD の数と容量が異なる可能性があります。互換性が適切であれば、新しい S210 ノードを S200 ノードプールにプロビジョニングすることができます。

ノードプールノードプールは、単一のストレージプールを形成する 3 つ以上の Isilon ノードのグループです。ノードを Isilon クラスターに追加すると、OneFSは新しいノードをノードプールに自動的にプロビジョニングしようとします。ノードを自動プロビジョニングするには、新しいノードがノードプール内の他のノードと同じ同等クラスである必要があります。OneFSは、次の条件を使用して、新しいノードが同じ同等クラスかどうかを判断します。l ファミリーコードl シャーシコードl ジェネレーションコードl ドライブ構成l RAM容量新しいノードがすべての条件と一致する場合、OneFSは新しいノードをノードプールにプロビジョニングします。ノードプール内のすべてのノードがピアであり、データはプール内のノード間で分散します。プロビジョニングされた各ノードは、クラスターの統合ディスク、キャッシュ、CPU、ネットワーク容量を増やします。OneFS でノードプロビジョニングを処理することを強く推奨します。ただし、特別な要件またはユースケースがある場合は、ノードを自動プロビジョニングされたノードプールから手動で定義するノードプールに移動できます。手動で定義したノードプールを作成する機能は、OneFS コマンドラインインターフェイスを通じてのみ使用可能で、EMC Isilon カスタマーサポートのコンサルティングを受けた後でのみ導入する必要があります。マニュアルノードプールに追加する目的でノードプールからノードを削除しようとした結果、元のノードプール内の残りのノードが 3 つ未満になる場合は、削除が失敗します。手動で定義したノードプールからノードを削除すると、OneFSはそのノードを同じ同等クラスのノードプールに自動プロビジョニングしようとします。同等クラスの 3 つ未満のノードをクラスターに追加した場合、OneFSはこれらのノードを自動プロビジョニングできません。これらの場合、1 つまたは複数の互換性を作成して、OneFS が新規に追加されたノードを互換ノードプールにプロビジョニングできるようにすることができます。互換性の種類には、ノードクラス、SSD の容量、SSD の数が含まれます。


ノードプール 433

ノードクラスの互換性自動プロビジョニングするには、ノードがノードプール内の他のノードと同じ同等クラスである必要があります。新しいノードが同じ同等クラスでない場合は、多くの場合ノードクラス互換性を定義して既存のノードプールにノードをプロビジョニングできます。

Isilon Infinity モデルは、その他のノードタイプとクラスの互換性を維持することはできません。

既存の S200、X200、X400、NL400 ノードプールがあり、3 つ未満の Isilon S210、X210、X410、NL410 ノードを追加する場合は、ノードクラス互換性を作成して、新しいノードをプロビジョニングし、クラスタ内で機能させることができます。現在、S210、X210、X410、NL410 ノードのみが古いノード世代とのノードクラス互換性に適格です。プロビジョニングするには、新しいノードに、対応する古い世代と同じドライブ構成が必要で、次の表に示す量の互換 RAM が必要です。

S200/S210 の互換性

X200/X210 の互換性

X400/X410 の互換性

NL400/NL410 の互換性

S200RAM

S210RAM

X200RAM

X210RAM

X400RAM

X410RAM

NL400RAM

NL410RAM

24 GB 32 GB 6 GB 使用不可 24 GB 32 GB 12 GB 使用不可

48 GB 64 GB 12 GB 48 GB 64 GB 24 GB 24 GB

96 GB 128 GB 24 GB 24 GB 96 GB 128 GB 48 GB 48 GB

256 GB 48 GB 48 GB 192 GB 256 GB – –

新しいノードにさまざまな容量や数の SSD があるためにさまざまなドライブ構成がある場合は、ノードクラスの互換性だけでなく、SSD の容量または SSD の数の互換性を作成する必要があります。

特定の同等クラスを持つ 3 つ以上の新世代ノードをクラスタに追加した後で、作成したノードクラス互換性を削除することが望まれる場合があります。このステップにより、OneFSは新しい S210、X210、X410、NL410 ノードを独自のノードプールに自動プロビジョニングでき、新しいノードタイプのより高いパフォーマンス仕様概要を利用できます。ただし、より大きなノードプールではより効率的にデータが保存されるため、互換性を削除するとクラスタで使用可能なストレージの量が減少する可能性があります。互換性を削除するかどうか不明な場合、最初に EMC Isilon の担当者と相談することをお勧めします。

SSD互換性ノードプール内の他のノードと異なる SSD容量または SSD数がある場合、OneFSは新しいノードを自動プロビジョニングできません。SSD容量または SSD数の異なる新規ノードが互換ノードプールに参加できるようにするには、SSD互換性を作成します。たとえば、クラスタに S200 ノードプールがすでにあり、新しい S200 ノードを追加した場合、OneFSは新しいノードを S200 ノードプールに自動プロビジョニングしようとします。ただし、新しい S200 ノードに古い S200 ノードよりも容量の大きい SSD がある場合、または SSD数が異なる場合、OneFSは新しいノードを自動プロビジョニングできません。新しいノードを自動プロビジョニングできるようにするには、S200 ノードタイプの SSD互換性を作成します。



ノードクラス互換性と同様に、SSD互換性には、次の表に示すようにノードが互換である必要があります。

既存のノードプール作成できる SSD互換性

S200 S200、S210*

X200 X200、X210*

X400 X400、X410*

NL400 NL400、NL410*

S210 S210、S200*

X210 X210、X210*

X410 X410、X410*

NL410 NL410、NL400*

Infinity-F800 オールフラッシュシステム、SSD の互換性はサポート対象外

Infinity-H600 Infinity-H600



Infinity-A2000 Infinity-A2000

Infinity-A200 Infinity-A200

* 既存のノードプールクラスとのノードクラス互換性も必要です。

SSD互換性が作成されるためには、すべてのノードで L3 キャッシュが有効化されている必要があります。ノードクラスの互換性および適切な SSD の互換性を作成しようとして、プロセスがエラーメッセージにより失敗する場合、既存のノードプールで L3 キャッシュが有効であることを確認します。次に、互換性の作成を再試行します。L3 キャッシュは、SSD の数が 16個未満で、HDD と SSD の比率が少なくとも 2:1 になっているノードでのみ有効化できます。SSD の互換性をサポートするInfinity モデルでは、SSD の台数は無視されます。ストレージに SSD を使用する場合、ノードプール内のすべてのノードで SSD の台数を同じにする必要があります。SSD の台数が不統一のまま放置されると、ノードプールの効率性とパフォーマンスが最適な状態になりません。

手動ノードプールOneFS によって自動的にプロビジョニングされたノードプールがニーズを満たさない場合は、ノードプールを手動で構成できます。この操作は、既存のノードプールから手動ノードプールにノードを移動することで行います。この機能は、目的に応じて特定のノードにデータを格納できるようにするもので、OneFS コマンドラインインターフェイスでのみ使用できます。

OneFSがノードを自動的にプロビジョニングできるようにすることをお勧めします。手動で作成されたノードプールは、自動管理のノードプールよりパフォーマンスと効率性が劣る場合があります。変更によって手動ノードプール内のノードが 20個未満になる場合は特に顕著です。


手動ノードプール 435

仮想ホットスペアVHS（仮想ホットスペア）設定により、ドライブに障害が発生した場合にデータを再構築するためのディスク領域を確保できます。確保する仮想ドライブ数と、合計ストレージ領域のパーセンテージの両方を指定できます。たとえば、2台の仮想ドライブと 15パーセントを指定した場合、各ノードプールは、2台のドライブまたはその合計容量の 15パーセントのどちらか大きい方に相当する仮想ドライブスペースを確保します。次のオプションを指定することで、この目的でクラスターのノードプールにスペースを確保できます。l 少なくとも 1～4台の仮想ドライブ。l 少なくとも 0～20%の合計ストレージ。OneFSは、2 つの係数のうち大きい方の数値を計算して、割り当てられるスペースを決定します。VHS設定の構成時には、次の情報を考慮してください。l ［Ignore reserved space when calculating available free space］（デフォルト）のオ

プションを選択解除する場合、空き領域の計算には VHS用に予約されたスペースが含まれる。

l ［Deny data writes to reserved disk space］（デフォルト）のオプションを選択解除した場合、OneFS を使用して通常のデータ書き込みに VHS を使用できる。このオプションは選択したままにすることをお勧めします。そうしないと、データ修復が危険にさらされることがあります。

l ［Ignore reserved space when calculating available free space］が有効で、［Denydata writes to reserved disk space］が無効な場合、ファイルシステムは 100パーセントを超える使用率をレポートすることができる。

VHS設定はスピルオーバーに影響します。 VHS オプション［Deny data writes to reserveddisk space］が有効で、［Ignore reserved space when calculating available freespace］が無効になっている場合、スピルオーバーはファイルシステムが 100%の使用率をレポートする前に発生します。

スピルオーバーSmartPools ライセンスをアクティブ化すると、ファイルプールポリシーによって指定されたハードウェアがフルまたは書き込み不能な場合にスピルオーバーデータを受け取るノードプールまたは階層を指定できます。指定したノードプールまたは階層がいっぱいになったため、または書き込み可能ではないために、異なる場所にデータがスピルオーバーされないようにする場合は、この機能を無効にできます。

仮想ホットスペアの予約はスピルオーバーに影響します。［Deny data writes to reserveddisk space］設定が有効で、［Ignore reserved space when calculating available freespace］が無効になっている場合、スピルオーバーはファイルシステムが 100%の使用率をレポートする前に発生します。



推奨される保護Isilon クラスターの構成に基づいて、OneFSは EMC Isilon の厳格なデータ保護要件を維持するために推奨される保護の量を自動的に計算します。OneFS には、5000年という理論的なMTTDL（平均データ消失時間）を維持するためにデータに対して推奨される保護を計算する機能が含まれます。推奨される保護は、クラスター上のデータ保護とストレージ効率性の間に最適なバランスを提供します。ファイルプールポリシーを構成することで、単一のファイル、ファイルプールと呼ばれるファイルのサブセット、クラスター上のすべてのファイルに対して、要求される複数の保護の 1 つを指定できます。推奨される保護より低い設定は指定しないことを推奨します。 OneFSは、クラスター上の保護レベルを定期的にチェックし、データが推奨される保護を下回った場合に警告します。

保護ポリシーOneFSは、ファイルの保護またはファイルプールポリシーの指定時に選択する保護ポリシーをいくつか提供します。クラスター内のノード数が多いほど（最大 20 ノード）、OneFS がデータを格納および保護する効率性が向上し、オペレーティングシステムが実現できるリクエストされた保護のレベルが高くなります。クラスターの構成と格納されるデータ量によっては、OneFS がリクエストされた保護レベルを実現できないことがあります。たとえば、容量に近づいている 3 ノードクラスターがある場合に+2n保護をリクエストすると、OneFSはリクエストされた保護を提供できないことがあります。次の表で、OneFS で使用可能な保護ポリシーについて説明します。

保護ポリシーサマリー

+1n 1 ドライブの障害または 1 ノードの障害に対応できる。

+2d:1n 2 ドライブの障害または 1 ノードの障害に対応できる。



+3d:1n1d 3 ドライブの障害または 1 ノードと 1 ドライブの障害に対応できる。





ミラー：2倍

3倍

4倍

5倍

6倍

7倍

指定した数のノードでデータを複製（ミラーリング）する。たとえば、2x の場合はデータブロックごとに 2 つのコピーが生成されます。

ミラーは、他の保護ポリシーより多くのデータを使用することがありますが、非シーケンシャルに書き込まれるファイルを保護するため、または重要なファイルへのより高速なアクセスを提供するための効果的な方法である可能性があります。


推奨される保護 437

保護ポリシーサマリー

8倍

SSD戦略OneFS クラスタには、SSD（ソリッドステートドライブ）を含むノードを含めることができます。OneFSは、SSD を持つ同等クラスノードを 1 つ以上のノードプールに自動プロビジョニングします。デフォルトのファイルプールポリシーに定義された SSD戦略は、クラスタ内での SSD の使用方法を決定し、さまざまなワークフローでパフォーマンスを向上させるように設定できます。必要に応じて特定の SSD戦略に適用するファイルプールポリシーを構成できます。ファイルプールポリシーの作成中に SSD オプションを選択するときに、高速または低速なパフォーマンスを必要とする OneFS クラスタ内のファイルを指定できます。SmartPools ジョブを実行すると、OneFSはファイルプールポリシーを使用してこのデータを適切なストレージプールとドライブタイプに移動します。ファイルプールポリシーで設定できる次の SSD戦略オプションは、低速なものから高速なものの順に示してあります。Avoid SSDs

すべての関連するファイルデータおよびメタデータを HDD のみに書き込みます。

このオプションは SSD領域を解放するために使用します。ただし、使用するのは、Isilon テクニカルサポートの担当者と相談してからにしてください。この方式を使用すると、パフォーマンスに悪影響を及ぼす可能性があります。

Metadata read acceleration

ファイルデータとメタデータの両方を HDD に書き込みます。これはデフォルト設定です。ファイルメタデータの追加のミラーが、SSD に書き込まれます。追加の SSD ミラーは、リクエストされた保護を満たすために必要なミラーの数（存在する場合）一部です。

Metadata read/write acceleration

可能な場合は、ファイルデータを HDD に書き込み、メタデータを SSD に書き込みます。この戦略を使用すると、メタデータの読み取りだけでなく書き込みも高速化されますが、［Metadata read acceleration］設定よりも 4倍から 5倍ほどの SSD ストレージが必要となります。GNA を有効にしても、読み取り/書き込みの高速化には影響がありません。

Data on SSDs

グローバルネームスペースの高速化が有効であるかどうかに関係なく、データとメタデータの両方に SSD ノードプールを使用します。この SSD戦略では、通常のリクエストされた保護を上回る追加のミラーは作成されませんが、他の SSD戦略オプションと比較して、ストレージ要件が著しく増大します。

その他の SSD ミラーの設定OneFSは、ファイルシステム構造のミラーを複数作成し、デフォルトでこれらの構造ごとに 1 つのミラーを SSD に保存します。これらのファイルシステム構造の全ミラーを SSD に保存すると、ユーザーは指定することができます。OneFSは、次のファイルシステム構造のミラーを作成します。



l システム B ツリーl システムデルタl QAB（クォータアカウンティングブロック）各構造に対して、OneFSはファイルシステム全体にわたるミラーを複数作成し、少なくとも 1 つのミラーを SSD に保存します。SSDは HDD よりも I/O が高速であるため、OneFSは必要なときに、各構造のミラーをより迅速に検索し、アクセスすることができます。また、これらのファイルシステム構造に対して作成された全ミラーは SSD に保存すると指定することができます。

システム B ツリー、システムデルタ、QAB のデフォルトミラー設定を変更する機能は、OneFS CLIでのみ実行できます（特に isi storagepool settings コマンドで）。

グローバルネームスペースの高速化GNA（グローバルネームスペースの高速化）では、SSD がないノードプール上のデータがクラスター内の他の場所にある SSD に追加のメタデータミラーを持つことができます。SSD上のメタデータミラーにより、メタデータの読み取り処理を高速化することでファイルシステムパフォーマンスが向上することがあります。GNAは、クラスター内の 20%以上のノードに少なくとも 1台の SSD が含まれ、クラスターのストレージ合計の 1.5%以上が SSD ベースである場合のみ有効化できます。最良の結果を得るためには、GNA を有効化する前に、クラスターストレージの合計の 2.0%以上が SSD ベースであることを確認します。有効化されている場合でも、SSD と HDD の比率が 1.5%の閾値未満になるか、1台以上の SSDを含むノードのパーセンテージが 20%を下回ると、GNAは非アクティブになります。これらの要件が再度満たされた場合、GNAは再アクティブ化されます。このように GNA が非アクティブ状態の場合、既存の SSD ミラーは読み取り可能ですが、新たに書き込まれたメタデータには追加の SSD ミラーは取得されません。

L3 キャッシュが有効化されたノードプールは、GNA の目的では事実上目に見えません。GNA のすべての比率の計算は L3 キャッシュを有効化せずにノードプールに対して排他的に行われます。このため、たとえばクラスターに 6 つのノードプールがあり、そのうちの 3 つで L3 キャッシュが有効化されている場合、GNAは L3 キャッシュが有効化されていない残りの 3 つのノードプールにのみ適用されます。L3 キャッシュが有効化された 1 つのノードプールでは、メタデータアクセスはすでに L3 キャッシュによって高速化されているため、メタデータは追加の GNA ミラーを必要としません。

L3 キャッシュの概要SSD（ソリッドステートドライブ）でノードを構成して、キャッシュメモリを増やし、より大規模な作業ファイルセットでファイルシステムパフォーマンスを高速化できます。OneFS では、ファイルデータとメタデータが複数レベルでキャッシュされます。次の表では、Isilon クラスターで使用可能なファイルシステムキャッシュのタイプについて説明します。


グローバルネームスペースの高速化 439

Name タイププロファイル

対象範囲

説明

L1 キャッシュ RAM 揮発性ローカルノード

フロントエンドキャッシュとも呼ばれ、NFS、SMB、HTTPなどを経由してフロントエンドネットワークによってリクエストされたファイルシステムメタデータとデータのコピーを保持する。

L2 キャッシュ RAM 揮発性 Global バックエンドキャッシュとも呼ばれ、データを所有するノード上にファイルシステムメタデータとデータのコピーを保持します。

SmartCache 変数不揮発性

ローカルノード

ストレージへの書き込みを待機しているフロントエンドファイルへの保留中の変更を保持します。このタイプのキャッシュは、RAM と安定したストレージの組み合わせを使用してライトバックデータを保護します。

L3 キャッシュ SSD 不揮発性

Global L2 キャッシュからリリースされたファイルデータとメタデータを保持し、L2 キャッシュの容量を事実上増やします。

OneFSは、頻繁にアクセスされるファイルおよびメタデータを使用可能な RAM（ランダムアクセスメモリ）にキャッシュします。キャッシュにより、OneFSはデータ保護とファイルシステムパフォーマンスを最適化できます。RAM キャッシュが容量に達すると、OneFSは通常、最も古いキャッシュデータを破棄し、ストレージドライブにアクセスすることで新しいデータリクエストを処理します。このサイクルは、RAM キャッシュがいっぱいになるたびに繰り返されます。SSD および L3 キャッシュを導入して、キャッシュ循環の問題を軽減し、ファイルシステムパフォーマンスをさらに向上させることができます。L3 キャッシュは、使用可能なキャッシュメモリを大幅に追加し、HDD（ハードディスクドライブ）よりも高速にデータにアクセスできるようにします。L2 キャッシュが容量に達すると、OneFSは、リリースするデータを評価し、ワークフローに応じてデータを L3 キャッシュに移動します。このようにして、最も頻繁にアクセスされるデータの多くがキャッシュに保持され、全体的なファイルシステムパフォーマンスが向上します。たとえば、128 GB の RAM を持つクラスターについて考えます。通常、キャッシュに使用可能なRAM の量は、他のアクティブプロセスに応じて変動します。RAM の 50%がキャッシュに使用可能な場合、キャッシュサイズは約 64 GB になります。この同じクラスターに 3 つのノードがあり、それぞれに 2台の 200 GB SSD がある場合、L3 キャッシュの量は 1.2 TB で、使用可能な L2 キャッシュの約 18倍です。L3 キャッシュは、デフォルトで新しいノードプールに対して有効化されます。ノードプールは、同じ同等のクラスのすべてであるノード、または互換性が作成されたノードの集合です。L3 キャッシュは、SSD が存在するノードにのみ適用されます。主にアーカイブが目的の HD400 ノードの場合、L3 キャッシュはデフォルトでオンになり、オフにはできません。HD400 では、L3 キャッシュはメタデータにのみ使用されます。ノードプールで L3 キャッシュを有効化した場合、OneFSはすべてのキャッシュレベルを管理して、最適なデータ保護、可用性、パフォーマンスを提供します。また、電源障害が発生した場合、L3 キャッシュ上のデータは保持され、電源の復元後も使用可能です。

L3 キャッシュの利点はストリーミングおよびコンカレントファイルアクセスのあるワークフローに見られますが、L3 キャッシュはランダムファイルアクセスに関係するワークフローで最もメリットを発揮します。



L3 キャッシュへの移行L3 キャッシュは、新規ノードでデフォルトで有効化されます。クラスターを古いリリース（OneFS 7.1.1より前）からアップグレードしている場合は、SSD を持つノードプールで L3 キャッシュを手動で有効化する必要があります。 L3 キャッシュを有効化すると、OneFSは SSD をストレージディスクからキャッシュに移行するプロセスをアクティブにします。現在 SSD にあるファイルデータはクラスター内の別の場所に移動されます。L3 キャッシュをすべての新規ノードプールのデフォルトとして有効化するか、コマンドラインまたはWeb管理インターフェイスから特定のノードプールに対して手動で有効化できます。 L3 キャッシュは、ノードに SSD があるノードプールでのみ有効化できます。SSD に格納されているデータ量により、移行プロセスは時間がかかることがあります。 OneFS により、移行が開始しようとしていることを通知するメッセージが表示されます。

WARNING: Changes to L3 cache configuration can have a long completion time. If this is a concern, please contact EMC Isilon Support for more information.

OneFS で移行を続行するかどうかを確認する必要があります。その後で、OneFSは移行をバックグラウンド処理としてインテリジェントに処理します。移行中にクラスターの管理を続行できます。ノードプールで L3 キャッシュを無効化することを選択した場合、移行プロセスは非常に高速です。

アーカイブクラスノードプールの L3 キャッシュIsilon ノードの一部は、主にアーカイブワークフロー用に設計された大容量ユニットです。このようなユニットでは、データの読み取りよりも、データの書き込みの割合が高くなります。これらのアーカイブクラスのノードで構成されたノードプールでは、L3 キャッシュに SSD が導入されており、ディレクトリ検索などファイルシステムのトラバーサルアクティビティの速度が大幅に向上します。L3 キャッシュがソリッドステートドライブのみにメタデータを格納することにより、これらの大容量ノードで最高のデータアーカイブ性能が実現します。次の表で説明しているように、L3 キャッシュはデフォルトでオンになっています。

ノードコメント

NL シリーズ HDD（ハードディスクドライブ）容量が 4 TB よりも小さい NL シリーズノードで構成されたノードプールでは、L3 キャッシュにソリッドステートドライブ内のデータとメタデータの両方がデフォルトで保存されます。ハードディスクドライブ容量が 4 TB以下のNL シリーズノードでは、L3 キャッシュをオフにできます。ただし、NL シリーズノードプールでは通常ソリッドステートドライブが少なめであるため、L3 キャッシュは有効のままにしておくことをお勧めします。パフォーマンスの観点から、これらのノードプール上でストレージドライブとしてソリッドステートドライブを使用するよりも、L3 キャッシュを使用する方が、メリットが大きくなります。ハードディスクドライブ容量が 4 TB を超える NL シリーズノードで構成されたノードプールでは、L3 キャッシュはソリッドステートドライブのみにメタデータを格納するため、L3 キャッシュを無効にすることはできません。

HD シリーズ HD シリーズノードで構成されたノードプールではすべて、L3 キャッシュはメタデータをSSD のみに保存しており、無効化することはできません。

Infinity A シリーズ Infinity A シリーズノードで構成されたノードプールではすべて、L3 キャッシュはメタデータを SSD のみに格納しており、無効化することはできません。


L3 キャッシュへの移行 441

階層階層とは、ファイル用のストレージプールとして指定できるノードプールの、ユーザー定義による集合です。 1 つのノードプールが属することができる階層は 1 つだけです。階層を作成すると、階層内の任意のノードプールにデータを割り当てることができます。たとえば、高可用性と高速アクセスを必要とするデータを格納するために特に作成された階層に、ノードプールのコレクションを割り当てることができます。 3階層のシステムでは、この分類は Tier 1 になることがあります。あまり使われないデータや、アクセスするユーザーが少ないデータは、Tier-2 データとして分類できます。通常、Tier 3はほとんど使用されないデータから構成され、履歴または規制に対応するためアーカイブできます。

ファイルプールポリシーファイルプールポリシーは、ファイルのセット（ファイルプール）と、それらをクラスターに格納する場所と方法を定義します。特定のファイルプールを識別するフィルタリングルールを持つ複数のファイルプールポリシーと、これらのファイルプールについてリクエストされた保護および I/O最適化設定を構成できます。カスタムファイルプールポリシーを作成するには、アクティブな SmartPools ライセンスが必要です。OneFS の初期インストールでは、すべてのファイルが、デフォルトファイルプールポリシーの対象になる単一のファイルプールに配置されます。アクティブな SmartPools ライセンスがない場合は、デフォルトファイルプールポリシーのみ構成できます。これは、すべてのファイルを制御し、クラスター上の任意の場所に格納します。アクティブな SmartPools ライセンスでは、OneFSは複数のファイルプールを識別、保護、制御するカスタムファイルプールポリシーを作成できるようにすることで、基本的なストレージ機能を補強します。たとえば、カスタムファイルプールポリシーでは、高速アクセスやアーカイブを目的として特定のノードプールまたは階層上のファイルプールを定義および格納できます。ファイルプールポリシーを作成する場合、柔軟なフィルタリング条件により、ファイルが最後にアクセス、変更、作成された日付の時間ベース属性を指定できます。現在の日付までの 30日間など、相対的な時間属性を定義することもできます。他のフィルタリング条件には、ファイルのタイプ、名前、サイズ、カスタム属性が含まれます。次の例で、ファイルプールポリシーの構成方法をいくつか示します。l 特定の重要なファイルセットに対する強力な保護を設定するファイルプールポリシー。l 最も高速な読み取りまたは読み取り/書き込みを提供するノードプールに、頻繁にアクセスされ

るファイルを格納するファイルプールポリシー。l 古いファイルが規制準拠のアーカイブの目的で最適なノードプールに格納されるように、ファイル

が最後にアクセスされた時刻を評価するファイルプールポリシー。SmartPools ジョブを実行すると（通常は 1日に 1回実行）、優先順位に従ってファイルプールポリシーが処理されます。カスタムファイルプールポリシーはいつでも編集、順序変更、削除できます。ただし、デフォルトのファイルプールポリシーは常に優先順位の最後になります。デフォルトのファイルプールポリシーを編集することはできますが、順序変更または削除はできません。カスタムファイルプールポリシーがある場合、デフォルトファイルプールポリシーの設定は、別のファイルプールポリシーの対象とならないファイルにのみ適用されます。新しいファイルが作成されると、OneFS はデフォルトのファイルプールポリシーに基づいてストレージプールを選択します。すでにストレージプールがある場合は、そのファイルに一致する、より優先度の高いカスタムのファイルプールポリシーを選択します。新しいファイルが最初からデフォルトのファイルプールポリシーに一致していた場合、後からそのファイルに一致するカスタムのファイルプールポリシ



ーを作成すると、新しいカスタムポリシーによってファイルが制御されます。その結果、次のSmartPools ジョブ実行時に、ファイルが別のストレージプールに配置される可能性があります。

Web管理インターフェイスでのノードプールの管理OneFS Web管理インターフェイスでノードプールを管理できます。 SmartPools以上の管理権限が必要です。

階層へのノードプールの追加使用可能なノードプールを各階層にグループ化できます。

1 つのノードプールは一度に 1 つの階層にしか追加できません。ノードプールが使用可能としてリストされない場合は、すでに別の階層に属しています。手順

1. ［File System］ > ［ Storage Pools］ > ［ SmartPools］の順にクリックします。

［SmartPools］ページに 2 つのグループが表示されます。［Tiers & Node Pools］と［Compatibilities］の 2 つです

2. ［Tiers & Node Pools］領域で、階層の横の［View/Edit］をクリックします。3. ［View Tier Details］ページで、［Edit Tier］をクリックします。

［Edit Tier Details］ページが表示されます。4. ［Available Node Pools］リストで、ノードプールをクリックして［Add］をクリックします。

ノードプールが［Selected Node Pools for this Tier］リストに移動します。5. 追加するそれぞれのノードプールにステップ 4 を繰り返します。すべてのノードプールを追加

したら、［Save Changes］をクリックします。

操作が正常に完了したことを示すメッセージが表示されます。［View Tier Details］ページが開いたままの状態です。


［Tiers & Node Pools］グループに、ノードプールが階層に追加されたことが表示されます。

ノードプールの名前または要求保護の変更ノードプールの名前または要求保護を変更することができます。手順

1. ［File System］ > ［ Storage Pools］ > ［ SmartPools］の順にクリックします。2. ［Tiers & Node Pools］グループで、変更するノードプールの行の［View/Edit］をクリッ

クします。［View Node Pools Details］ページが表示されます。


［Edit Node Pools Details］ページが表示されます。4. ノードプールの新しい名前を入力するか、要求される保護レベルをリストから選択するか、ま

たはその両方を行います。


Web管理インターフェイスでのノードプールの管理 443

ノ-ドプール名は文字またはアンダースコアからのみ開始でき、文字、数字、ハイフン、ピリオドのみを使用することができます。

5. ［Edit Node Pools Details］ページで［Save Changes］をクリックします。6. ［View Node Pools Details］ページで［Close］をクリックします。

ノードクラス互換性の作成OneFSは自動的に同等クラスの新しいノードを既存のノードプールに追加します。新しいノードが同クラスでない場合は、ノードクラス互換性を作成してそのノードを既存のノードプールに追加できます。次の互換性が現在サポートされています：S200/S210、X200/X210、X400/X410、NL400/NL410。たとえば、3 つ以上の S200 のノードで構成されているノードプールで互換性を作成すると、新しい S210 のノードが自動的に S200 のノードプールに追加されます。

新しいノードが古いノードの既存のノードプールにプロビジョニングされるには、それらノードプールのノードと互換性のある RAM が搭載されていて、ドライブの構成が同じである必要があります。ドライブの構成が同じでなく、SSD の容量または SSD の数が異なる場合、SSD の互換性も作成できます。

手順1. ［File System］ > ［Storage Pools］ > ［SmartPools］の順に選択します。

［SmartPools］タブに 2 つのリストが表示されます。［Tiers & Node Pools］と［Compatibilities］の 2 つです。

2. ［Create a Compatibility］をクリックします。

［Create a Compatibility］ダイアログボックスに互換性タイプのドロップダウンリストが表示されます。

3. ［Compatibility Type］リストから、［Node Class］を選択します。［First Node Class］と［Second Node Class］の 2 つの追加ドロップダウンリストが追加されます。

4. ［Firsts Node Class］リストで、現在の選択を受け入れるか、新しく選択します。5. ［Second Node Class］リストで、現在の選択を受け入れるか、新しく選択します。6. ［Create Compatibility］をクリックします。

［Confirm Create Compatibility］ダイアログボックスに 1 つ以上のチェックボックスが表示され、先に進むにはどれかを選択する必要があります。チェックボックスは、操作の結果について説明しています。

7. すべてのチェックボックスをオンにし、［Confirm］をクリックします。

結果ノードクラス互換性が作成され、［Compatibilities］リストに追加されます。たとえば、「The S200Node Class is now considered compatible with the S210 Node Class」のようなメッセージが表示されます。新しい互換性の結果は［Tiers & Node Pools］リストに表示されます。新しいノードにノードクラス互換性があってもプロビジョニングされない場合は、その新しいノードに SSD互換性を作成する必要があります。対象のノードプールで L3 キャッシュが無効化されている場合、新しいノードがプロビジョニングされることはなく、エラーメッセージが生成されます。



互換性のあるノードプールのマージノードクラス互換性を作成し、複数の互換性ノードプールをマージできます。OneFS ではノード数が 20 までのより大きなノードプールのほうがデータを効率的に保護できます。したがって、新しいデータを保存するためのストレージ領域が提供されます。たとえば、一方のノードプールに S200 のノードが 6 つあり、もう一方のノードプールに S210 のノードが 3 つある場合、互換性を作成して 2 つのノードプールを 9 つのノードが含まれる 1 つのノードプールにマージできます。

一般的に新しいノードタイプのほうがパフォーマンス仕様が優れているため、古い方のノードタイプにマージすると全体のパフォーマンスが低下する場合があります。また、2 つのノードプールをマージすると、OneFS ではデータを再ストライピングします。これは、データセットのサイズによっては時間がかかる場合があります。

手順1. ［File System］ > ［Storage Pools］ > ［SmartPools］の順にクリックします。


2. ［Create a Compatibility］をクリックします。

［Create a Compatibility］ダイアログボックスに互換性タイプのドロップダウンリストが表示されます。

3. ［Compatibility Type］リストから、［Node Class］を選択します。［First Node Class］と［Second Node Class］の 2 つの追加ドロップダウンリストが追加されます。

4. ［Firsts Node Class］リストで、現在の選択を受け入れるか、新しく選択します。5. ［Second Node Class］リストで、現在の選択を受け入れるか、新しく選択します。6. ［Create Compatibility］をクリックします。



結果ノードクラス互換性が作成され、［Compatibilities］リストに追加されます。たとえば、「The S200Node Class is now considered compatible with the S210 Node Class」のようなメッセージが表示されます。新しい互換性の結果は［Tiers & Node Pools］リストに表示されます。互換性の作成に成功したものの、ノードプールがマージされていない場合、おそらく 2 つのノードプール間でSSD の互換性を作成する必要があります。互換性の作成に失敗してエラーメッセージが出力される場合、いずれかまたは両方のノードプールで L3 キャッシュが無効になります。

ノードクラス互換性の削除ノードクラス互換性を削除できます。結果、この互換性によってノードプールにプロビジョニングされたすべてのノードがノードプールから削除されます。


互換性のあるノードプールのマージ 445

ノードクラス互換性を削除すると、意図しない結果を招く可能性があります。たとえば、互換性を削除し、互換性のある 2 つ以下のノードがノードプールから削除されると、それらのノードはクラスターの使用可能なストレージプールから削除されます。次回 SmartPoolsジョブが実行されると、それらのノードのデータはクラスターに再ストライピングされ、処理に時間がかかる可能性があります。互換性のあるノードが 3 つ以上ノードプールから削除されると、それらのノードは独自のノードプールを形成し、データは再ストライピングされます。元のノードプールを参照するファイルプールポリシーは、存在する場合はノードプールの階層を参照し、存在しない場合はOneFS によって作成された新しい階層を参照します。

手順1. ［File System］ > ［Storage Pools］ > ［SmartPools］の順にクリックします。［SmartPools］タブに 2 つのリストが表示されます。［Tiers & Node Pools］と［Compatibilities］の 2 つです。

2. ［Compatibilities］リストで、削除する互換性の横の［Delete］をクリックします。［Confirm Delete Compatibility］ダイアログボックスに 1 つ以上のチェックボックスが表示され、先に進むにはどれかを選択する必要があります。

3. ダイアログボックスのすべてのチェックボックスを選択し、［Confirm］をクリックします。

結果互換性が削除され、影響を受けたノードの新しいステータスが［Tiers & Node Pools］リストに表示されます。

SSD互換性の作成容量と数の両方について SSD の互換性を作成し、新しいノードをさまざまな SSD の仕様でノードプールにプロビジョニングできるようにすることができます。SSD互換性は、次のノードタイプに対して作成できます：S200、S210、X200、X210、X400、X410、NL400、NL410 のノードタイプに作成できます。たとえば、100GB の SSD を持つ 3 つの S200 ノードから構成されるノードプールがあり、200GBの同数の SSD を持つ S200 ノードをインストールする場合、新しい S200 ノードは、SSD互換性を作成するまで S200 ノードプールに自動プロビジョニングされません。S200 ノードプールのノードにそれぞれ 6個の SSD があり、新しい S200 ノードに 8個の SSD がある場合、SSD数の互換性も作成して、新しい S200 ノードを S200 ノードプールにプロビジョニングできるようにする必要があります。同様に、S200 ノードと S210 ノードのようにクラス互換の異なる世代のノードがある場合、これらのノードタイプ間の SSD互換性も作成されます。手順

1. ［File System］ > ［Storage Pools］ > ［SmartPools］の順に選択します。［SmartPools］タブに 2 つのリストが表示されます。［Tiers & Node Pools］と［Compatibilities］の 2 つです。

2. ［Create a compatibility］をクリックします。［Create a Compatibility］ダイアログボックスに互換性タイプのドロップダウンリストが表示されます。

3. ［Compatibility Type］リストから［SSD］を選択します。追加のドロップダウンリストの［Node Class］が追加されます。



4. ［Node Class］リストで、必要に応じて現在の選択を受け入れるか新しく選択します。5. 該当する場合、［SSD Count Compatibility］チェックボックスも選択します。6. ［Create Compatibility］をクリックします。



結果SSD互換性が作成され、［Compatibilities］リストに追加されます。たとえば、「S200 and S210nodes are SSD compatible」のようなメッセージが表示されます。SSD互換性の結果は［Tiers& Node Pools］リストにも表示されます。SSD互換性により影響を受けるいずれかのノードプールで L3 キャッシュがオフの場合、SSD互換性が作成されないで、エラーメッセージが生成されます。状況を修正するためには、それらのノードプールの L3 キャッシュをオンにします。

SSD互換性の削除SSD互換性を削除できます。この操作を行うと、この互換性によってノードプールに追加されたすべてのノードがノードプールから削除されます。

SSD互換性を削除すると、意図しない結果を招く可能性があります。たとえば、SSD互換性を削除し、互換性のある 2 つ以下のノードがノードプールから削除されると、結果的にこれらのノードはクラスターの使用可能なストレージプールから削除されます。次回 SmartPoolsジョブが実行されると、それらのノードのデータはクラスターの他の場所に再ストライピングされ、処理に時間がかかる可能性があります。互換性のあるノードが 3 つ以上ノードプールから削除されると、それらのノードは独自のノードプールを形成しますが、データは再ストライピングされます。元のノードプールを参照するファイルプールポリシーは、存在する場合はノードプールの階層を参照し、存在しない場合は OneFS によって作成された新しい階層を参照します。



2. ［Compatibilities］リストで、削除する SSD互換性の横の［Delete］をクリックします。

［Confirm Delete Compatibility］ダイアログボックスに 1 つ以上のチェックボックスが表示され、先に進むにはオンにする必要があります。チェックボックスは、操作の結果について説明しています。

3. ダイアログボックスのすべてのチェックボックスを選択し、［Confirm］をクリックします。

結果SSD互換性が削除され、影響を受けたノードの新しいステータスが［Tiers & Node Pools］リストに表示されます。たとえば、以前にプロビジョニングされたノードがプロビジョニングされていません。


SSD互換性の削除 447

Web管理インターフェイスでの L3 キャッシュの管理Web管理インターフェイスから、グローバルにまたは特定のノードプールの L3 キャッシュを管理できます。 SmartPools以上の管理権限が必要です。 HD400 のノードでは、L3 キャッシュはデフォルトでオンになっており、オフにすることはできません。

L3 キャッシュをノードプールのデフォルトとして設定L3 キャッシュをデフォルトとして設定できます。こうすると、新しいノードプールを作成すると、L3 キャッシュが自動的に有効化されます。はじめにL3 キャッシュは、SSD を含むノードでのみ有効です。どのクラスターにも SSD ストレージが含まれていない場合は、L3 キャッシュをデフォルトとして有効にする必要はありません。手順

1. ［File System］ > ［Storage Pools］ > ［SmartPools Settings］の順にクリックします。［Edit SmartPools Settings］ページが表示されます。

2. ［Local Storage Settings］の［Use SSDs as L3 Cache by default for new nodepools］をクリックします。


結果クラスターに SSD が含まれる新しいノードを追加し、OneFS によって新しいノードプールが指定されると、それらのノードプールでは自動的に L3 キャッシュが有効化されます。 SSD が含まれない新しいノードプールでは、デフォルトでは L3 キャッシュが有効化されません。

特定のノードプールに L3 キャッシュを設定特定のノードプールに対して L3 キャッシュをオンにすることができます。手順

1. ［File System］ > ［Storage Pools］ > ［SmartPools］の順にクリックします。［SmartPools］ページに、階層とノードプールのリストが表示されます。

2. ［Tiers & Node Pools］リストで、ターゲットノードプールの横の［View/Edit］ボタンをクリックします。［View Node Pool Details］ダイアログボックスが表示され、ノードプールの現在の設定が示されます。

3. ［Edit］をクリックします。［Edit Node Pool Details］ダイアログボックスが表示されます。

4. ［Enable L3 cache］チェックボックスをクリックします。このチェックボックスは、SSD が含まれないノードプールについてはグレー表示されており、設定を変更できません。

5. ［Save Changes］をクリックします。［Confirm Change to L3 Cache Setting］メッセージボックスが表示されます。



6. ［Continue］ボタンをクリックします。

L3 キャッシュへの移行プロセスが開始されます。ノードプール内の SSD の数とサイズにより、このプロセスは時間がかかる可能性があります。移行プロセスが完了すると、［View NodePool Details］ダイアログボックスが表示されます。


ノードプールのストレージドライブへの SSD のリストアノードプール上で SSD の L3 キャッシュを無効にし、それらの SSD をストレージドライブにリストアすることができます。

HD400 のノードプールでは、SSDは L3 キャッシュにのみ使用され、これはデフォルトでオンになっておりオフにすることはできません。 L3 キャッシュに使用する SSD が含まれるその他すべてのノードプールでは、SSD をストレージドライブに移行できます。

手順1. ［File System］ > ［Storage Pools］ > ［SmartPools］の順にクリックします。2. ［Tiers & Node Pools］領域の［SmartPools］タブで、ターゲットノードプールの横の［View/Edit］ボタンを選択します。

［View Node Pool Details］ダイアログボックスが表示され、ノードプールの現在の設定が示されます。


［Edit Node Pool Details］ダイアログボックスが表示されます。4. ［Enable L3 cache］チェックボックスをオフにします。

この設定は、SSD が含まれないノードプールについてはグレー表示されており、設定を変更できません。


［Confirm Change to L3 Cache Setting］メッセージボックスが表示されます。6. ［Continue］をクリックします。

L3 キャッシュを無効にする移行プロセスが開始されます。ノードプール内の SSD の数とサイズにより、このプロセスにはしばらく時間がかかります。移行プロセスが完了すると、［ViewNode Pool Details］ダイアログボックスが表示されます。


階層の管理ノードプールを階層に移動して、ファイルおよびストレージ管理を最適化できます。階層を管理するには、SmartPools以上の管理権限が必要です。

階層の作成1 つ以上のプールを含む階層を作成することができます。階層を使用して特定のカテゴリーのファイルを格納できます。


ノードプールのストレージドライブへの SSD のリストア 449

手順1. ［File System］ > ［ Storage Pools］ > ［ SmartPools］の順にクリックします。

［SmartPools］タブと 2 つのセクションが表示されます。［Tiers & Node Pools］と［Compatibilities］の 2 つです。

2. ［Tiers & Node Pools］セクションで、［Create a Tier］をクリックします。3. 表示された［Create a Tier］ページで階層の名前を入力します。4. 階層に追加するノードプールを［Available Node Pools］リストから選択し、［Add］を

クリックします。ノードプールが［Selected Node Pools for this Tier］リストに移動します。

5. ［Create Tier］をクリックします。

［Create a Tier］ページが閉じ、新しい階層が［Tiers & Node Pools］領域に追加されます。追加したノードプールが階層名の下に表示されます。

階層の編集階層の名前を変更することや、階層に割り当てられたノードプールを変更することができます。

階層名に含めることができるのは英数字と下線だけで、先頭を数字にすることはできません。手順

1. ［File System ］ > ［ Storage Pools］ > ［ SmartPools］の順にクリックします。

［SmartPools］タブに 2 つのグループが表示されます。［Tiers & Node Pools］と［Compatibilities］です。

2. ［Tiers & Node Pools］領域で、編集する階層の横の［View/Edit］をクリックします。3. ［View Tier Details］ダイアログボックスで、［Edit Tier］をクリックします。4. ［Edit Tier Details］ダイアログボックスで、必要に応じて次の設定を変更します。

オプション説明［Tier Name］階層の名前を変更するには、既存の名前を選択して上書きし

ます。［Node PoolSelection］

ノードプールの選択を変更するには、ノードプールを選択し、［Add］または［Remove］をクリックします。

5. 階層設定の編集が完了したら、［Save Changes］をクリックします。6. ［View Tier Details］ダイアログボックスで、［Close］をクリックします。

階層の削除ノードプールが割り当てられていない階層は、削除することができます。

はじめにノードプールが割り当てられている階層を削除する場合は、最初に階層からノードプールを削除する必要があります。手順

1. ［File System ］ > ［ Storage Pools］ > ［ SmartPools］の順にクリックします。




2. ［Tiers & Node Pools］リストで、削除する階層の横で［More］ > ［Delete Tier］の順にクリックします。操作を確認またはキャンセルするメッセージボックスが表示されます。

3. ［Delete Tier］をクリックして、操作を確定します。

結果階層が［Tiers & Node Pools］リストから削除されます。

ファイルプールポリシーの作成ファイルプールポリシーを構成して、ファイルプールと呼ばれる論理グループを特定し、それらのファイルのストレージ処理を指定できます。ファイルプールポリシーを作成する前に、SmartPools ライセンスをアクティブ化する必要があり、SmartPools またはそれ以上の管理権限を持っている必要があります。ファイルプールポリシーには、2 つのパートがあります。ファイルプールを定義するファイル一致条件と、そのファイルプールに適用されるアクションです。ファイルプールは特徴（ファイルタイプ、パス、作成日時、変更日時、アクセスタイムスタンプ）に基づいて定義し、これらの条件をブール演算子（AND、OR）を使用して組み合わせることができます。ファイル一致条件に加え、ファイルプールに適用する各種アクションを指定できます。これらのアクションには次のものがあります。l リクエストされた保護とデータ間最適化パラメーターの設定l データとスナップショットのストレージターゲットの指定l データとスナップショットの SSD戦略の定義l SmartCache の有効化/無効化たとえば、パフォーマンス層（S シリーズのノードプール）のディスク領域を開放するために、1 か月以上アクセスまたは変更されていないサイズが 25MB を超えるファイルをアーカイブ層（NL シリーズのノードプール）に移動するファイルプールポリシーを作成できます。複数のファイルプールポリシーを構成して優先順位づけし、特定のワークフローやクラスター構成が格納されるファイルストレージを最適化できます。 SmartPools ジョブを実行すると（デフォルトでは1日に 1回実行）、優先順位に従ってファイルプールポリシーが適用されます。ファイルプールがポリシーに定義された条件に一致すると、そのポリシーのアクションが適用され、そのファイルプールについては優先順位の低いカスタムポリシーは無視されます。カスタムファイルプールポリシーのリストが一通り処理され、ファイルに適用されるアクションがない場合、デフォルトファイルプールポリシーのアクションが適用されます。この方法で、デフォルトファイルプールポリシーにより全ファイルにすべてのアクションが確実に適用されます。

ファイルプールポリシーのリストの順番はいつでも変更できますが、デフォルトファイルプールポリシーはファイルプールポリシーのリスト内で常に最後に配置されます。

また、OneFS にはポリシーのカスタマイズ可能なテンプレートが用意されており、独自のポリシーを作成することもできます。ただし、これらのテンプレートは OneFS のWeb管理インターフェイスでのみ入手できます。


ファイルプールポリシーの作成 451

ファイルプールポリシーの作成特定のファイルセットを定義して、一致したファイルに適用する SmartPools アクションを指定するファイルプールポリシーを作成できます。このような SmartPools アクションには、特定の階層またはノードプールへのファイルの移動、要求される保護レベルの変更、書き込みパフォーマンスとデータアクセスの最適化が含まれます。

既存のファイルプールポリシーによって特定のストレージプールにデータが移動される場合、［Data storage target］オプションに［anywhere］を指定して他のファイルプールポリシーを構成しないでください。［anywhere］を使用すると、指定されたストレージプールが組み込まれるため、意図しない結果を避けるには、特定のストレージプールをターゲットにしてください。

手順1. ［File System］ > ［Storage Pools］ > ［File Pool Policies］の順にクリックします。2. ［Create a File Pool Policy］をクリックします。3. ［Create a File Pool Policy］ダイアログボックスで、ポリシー名と、オプションで説明を入力

します。4. このファイルプールポリシーによって管理する対象のファイルを指定します。

ファイルプールを定義するために、IF、AND、OR条件を組み合わせてファイル一致条件を指定できます。これらの条件は、名前、パス、タイプ、サイズ、タイムスタンプ情報などのさまざまなファイル属性を使用して定義できます。

5. 選択したファイルプールに適用する SmartPools アクションを指定します。

適用するストレージおよび I/O の最適化設定を指定できます。

6. ［Create Policy］をクリックします。

結果ファイルプールポリシーは、スケジュールされている SmartPools システムジョブの次回実行時に作成されて適用されます。デフォルトでは、このジョブは 1日 1回実行されますが、ジョブをただちに開始することもできます。

ファイルプールポリシーのファイル一致オプション特定の条件を満たすファイルのファイルプールポリシーを構成できます。

ファイルプールポリシーを作成または編集する際に、次のファイル一致オプションを指定できます。

OneFSは、次の文字を使用した、ファイル名属性とパスに対する UNIX シェルスタイル（glob）パターンマッチングをサポートしています。

次の表に、ファイルプールポリシーの定義に使用できるファイル属性を示します。

ファイル属性指定内容

名前ファイル名に基づいてファイルを包含または除外する。




特定のテキストを含む名前の全部または一部に基づいて包含または除外するかどうかを指定できます。ワイルドカード文字を使用できます。

パスファイルパスに基づいてファイルを包含または除外する。

指定したテキストを含むパスの全部または一部に基づいて包含または除外するかどうかを指定できます。ワイルドカード文字の［*］、［?］、［[ ]］を使用することもできます。

ファイルタイプ次のファイルシステムオブジェクトタイプのいずれかに基づいてファイルを包含または除外する。l ファイルl ディレクトリl その他

サイズファイルサイズに基づいてファイルを包含または除外する。

ファイルサイズは 1,000 ではなく、1,024 の倍数で表されます。

変更ファイルが最後に変更された時期に基づいてファイルを包含または除外する。

Web管理インターフェイスでは、「2週間前」のような相対的な日時、または「2012年 1月 1日以前」のような特定の日時を指定できます。時刻の設定は 24時間制です。

作成ファイルが作成された時期に基づいてファイルを包含または除外する。


メタデータの変更時期ファイルのメタデータが最後に変更された時期に基づいてファイルを包含または除外する。このオプションは、クラスターのグローバルなアクセス時間トラッキングオプションが有効になっている場合にのみ使用できます。


アクセス次の時間単位でファイルが最後にアクセスされた時期に基づいてファイルを包含または除外する。



ファイルプールポリシーのファイル一致オプション 453


パフォーマンスに影響するため、ファイルプールポリシー条件としてのアクセス時間の追跡は、デフォルトでは無効になっています。

ファイル属性ユーザー定義のカスタム属性に基づいてファイルを包含または除外する。

有効なワイルドカード文字ワイルドカード文字とファイル一致オプションを組み合わせて、ファイルプールポリシーを定義できます。OneFSは、次の文字を使用した、ファイル名属性とパスに対する UNIX シェルスタイル（glob）パターンマッチングをサポートしています。次の表に、ファイルプールポリシーを定義するためにファイル一致オプションと組み合わせることができる有効なワイルドカード文字を示します。

ワイルドカード説明* アスタリスクの位置の任意の文字列と一致します。

たとえば、m*の場合、movies も m123 も一致します。

[a-z] 角括弧に含まれる任意の文字、またはハイフンで区切られた文字の範囲と一致します。たとえば、b[aei]tは bat、bet、bit に一致し、1[4-7]2は 142、152、162、172 に一致します。左側の括弧の後に感嘆符を付けることで、括弧内の文字を除外できます。たとえば、b[!ie]の場合、batは一致しますが、bitや betは一致しません。

最初または最後の文字の場合、括弧内の括弧と一致できます。たとえば、[[c]at の場合、cat と[at が一致します。最初または最後の文字の場合、括弧内のハイフンと一致できます。たとえば、car[-s]の場合、cars と car-が一致します。

? 疑問符の位置の任意の 1文字と一致します。たとえば、 t?p の場合、tap、 tip、topはいずれも一致します。

SmartPools の設定SmartPools の設定には、ディレクトリ保護、グローバルネームスペースの高速化、L3 キャッシュ、仮想ホットスペア、スピルオーバー、要求された保護管理、I/O最適化管理などがあります。

Web Admin での設定 CLI での設定説明注

［Increase directoryprotection to a higherlevel than itscontents］

--protect-directories-one-level-higher

ディレクトリの保護レベルを上げることで、失われていないデータにアクセスできるようにします。デバイスの障害によってデータが消失した場合（例：+2:1 ポリシーで 3台のドライブまたは 2 つのノード）、この設

この設定は有効化する必要があります（デフォルト）。この設定を無効にした場合、ファイルプールが含まれているディレクトリはユーザーの保護レベル設定に従って保護されますが、そのディレクトリやファイルの




定を有効化すると、損傷を受けていないデータにアクセスできる状態を保てます。

保存に使用されるデバイスも同じように保護されるとは限りません。ディレクトリが含まれていたノードが失われた結果、ファイルデータは損傷を受けていなくても、そのデータにアクセスできなくなる可能性があります。

たとえば、+2 のデフォルトファイルプール保護設定があり、追加のファイルプールポリシーのないクラスタがあるとします。OneFS のディレクトリは常にミラーされるため、3x で保存されます。これは、+2 のデフォルトのミラーと同等です。

この構成により、2 つのノードの障害に耐えることができ、データ消失またはアクセス不能が発生しません。この設定が有効な場合、すべてのディレクトリは4x で保護されます。クラスタで 3 つのノードに障害が発生した場合、個々のファイルにはアクセスできなくなる可能性はありますが、ディレクトリツリーは使用でき、まだアクセス可能なファイルにアクセスすることができます。

また、別のファイルプールポリシーによっていくつかのファイルがより高いレベルで保護されている場合、3 つのノードに障害が発生しても、それらのファイルにもアクセスできます。

［Enable globalnamespaceacceleration］

--global-namespace-acceleration-enabled

ノードプールで、ファイル単位のメタデータが SSD を使用できるかどうかを指定します。l 無効化されている場合、スピルオ

ーバーの場合を除き、ファイル単位のメタデータはファイルのストレージプールポリシーに制限されます。これはデフォルト設定です。

l 有効化されている場合、すべてのノードプールでファイル単位のメタデータが SSD を使用できます。

この設定は、クラスタ内の 20パーセント以上のノードに SSD が組み込まれ、クラスタのストレージ合計の少なくとも 1.5パーセントが SSD ベースである場合にのみ使用できます。この設定は、IsilonSD Edge には該当しません。

クラスタでノードが追加または削除されて、SSD の閾値が満たされなくなると、GNAは非アクティブになります。GNAは有効なため、SSD の閾値が再び満たされると、GNAは再アクティブ化されます。


SmartPools の設定 455


L3 キャッシュが有効化されたノードプールは、GNA の目的では事実上目に見えません。GNA のすべての比率の計算は L3 キャッシュを有効化せずにノードプールに対して排他的に行われます。

［Use SSDs as L3Cache by default fornew node pools］

--ssd-l3-cache-default-enabled

ソリッドステートドライブを含むノードプールの場合は、SSD を L3 キャッシュとして導入します。L3 キャッシュはL2 キャッシュを拡張し、より大きな作業ファイルセットでファイルシステムのパフォーマンスを高速にします。

L3 キャッシュは、デフォルトで新しいノードプールで有効化されます。既存のノードプールで L3 キャッシュを有効化すると、OneFSは移行を実行して、SSD上の既存のデータをクラスタ上の他の場所に移動します。この設定は、IsilonSD Edge には該当しません。

OneFSはすべてのキャッシュレベルを管理して、最適なデータ保護、可用性、パフォーマンスを提供します。電源障害が発生した場合、L3 キャッシュ上のデータは保持され、電源の復元後も使用可能です。

［Virtual Hot Spare］ --virtual-hot-spare-deny-writes--virtual-hot-spare-hide-spare

--virtual-hot-spare-limit-drives

--virtual-hot-spare-limit-percent

ドライブに障害が発生した場合に、データ修復に使用できる最小限の領域をノードプールに確保します。

仮想ホットスペアとして使用するためのディスク領域を確保するには、次のオプションから選択します。l ［Ignore reserved disk

space when calculatingavailable free space］。使用可能な空き領域を計算するときに、仮想ホットスペア用に確保されたスペースを差し引きます。

l ［Deny data writes toreserved disk space］。書き込み操作によって、確保されたディスク容量が使用されないようにします。

l ［VHS Space Reserved］。最小数の仮想ドライブ（1～4台）に加え、合計ディスク容量の最小限の割合（0～20%）を確保できます。

確保対象の VHS容量を構成するときに、最小数の仮想ドライブと、合計ディスク容量の最小限の割合の両方を構成すると、実行される最小の値によって両方の要件が満たされます。

この設定が有効で、［Deny newdata writes］が無効になっている場合は、ファイルシステムの使用率が100%を超えて報告される可能性があります。




［Enable globalspillover］

--no-spillover 書き込み不可のノードプールに対して書き込み操作をどのように処理するかを指定します。

l 有効化されている場合、書き込み不可のノードプールからの書き込み処理を、別のノードプールまたはクラスタ上の任意の場所（デフォルト）にリダイレクトします。

l 無効化されている場合、書き込み操作に関するディスク領域エラーを、書き込み不可のノードプールに返します。

［Spillover DataTarget］

--spillover-target--spillover-anywhere

ストレージプールが書き込み不可の場合にターゲットにする別のストレージプールを指定します。

スピルオーバーが有効化されている場合に、データ書き込みが失敗しないことが重要であるときは、ファイルプールポリシーによって特定のプールにデータが送信される場合でも、［SpilloverData Target］設定に［anywhere］を選択します。

［Manage protectionsettings］

--automatically-manage-protection

この設定が有効化されている場合、SmartPoolsはリクエストされた保護レベルを自動的に管理します。

［Apply to files withmanually-managedprotection］が有効化されている場合は、File System Explorer またはコマンドラインインターフェイスで構成された保護設定を上書きします。

［Manage I/Ooptimization settings］

--automatically-manage-io-optimization

有効化されている場合は、SmartPools テクノロジーを使用してI/O最適化を管理します。

［Apply to files withmanually-managed I/Ooptimization settings］が有効化されている場合は、ファイルシステムエクスプローラーまたはコマンドラインインターフェイスで構成された I/O最適化設定を上書きします。

なし --ssd-qab-mirrors QAB（クォータアカウントブロック）の1個のミラーまたはすべてのミラーがSSD に保存されます。

I/O を高速化するために QAB の全ミラーを SSD に配置すると、クォータアカウンティングのパフォーマンスが向上します。デフォルトでは、1個の QAB ミラーのみが SSD に格納されます。

なし --ssd-system-btree-mirrors

システム B ツリーの 1個のミラーまたは全ミラーが SSD に保存されます。

アクセスを高速化するためにシステム B

ツリーの全ミラーを SSD に配置すると、ファイルシステムのパフォーマンスが向上します。それ以外の場合、システム B ツリーの 1個のミラーのみが SSD

に保存されます。

なし --ssd-system-delta-mirrors

システムデルタの 1個のミラーまたは全ミラーが SSD に保存されます。

アクセスを高速化するためにシステムデルタの全ミラーを SSD に配置すると、ファイルシステムのパフォーマンスが向上します。それ以外の場合、システムデルタの 1個のミラーのみが SSD に保存されます。


SmartPools の設定 457

ファイルプールポリシーの管理カスタムファイルプールポリシーの変更、順序変更、コピー、削除を行うことができます。デフォルトのファイルプールポリシーを変更することはできますが、順序変更または削除はできません。ファイルプールポリシーを管理するには、以下のタスクを実行します。l ファイルプールポリシーの変更l デフォルトファイルプールポリシーの変更l ファイルプールポリシーのコピーl ファイルプールポリシーテンプレートの使用l ファイルプールポリシーの順序変更l ファイルプールポリシーの削除

デフォルトファイルプール保護設定の構成デフォルトファイルプール保護設定を構成できます。デフォルト設定は、別のファイルプールポリシーが適用されていないすべてのファイルに適用されます。

既存のファイルプールポリシーによって特定のストレージプールにデータが移動される場合、［Data storage target］オプションの［anywhere］オプションに対して、ファイルプールポリシーを追加または変更しないでください。代わりに、特定のファイルプールをターゲットにしてください。

手順1. ［File System］ > ［ Storage Pools］ > ［ File Pool Policies］の順にクリックします。

2. ［File Pool Policies］タブで、リストにある［Default Policy］の横の［View/Edit］をクリックします。［View Default Policy Details］ダイアログボックスが表示されます。

3. ［Edit Policy］をクリックします。

［Edit Default Policy Details］ダイアログボックスが表示されます。4. ［Apply SmartPools Actions to Selected Files］セクションで、［Storage Target］、［Snapshot Storage Target］、［Requested Protection］のデフォルトとして適用するストレージ設定を選択します。

5. ［Save Change］をクリックしてから、［Close］をクリックします。

結果選択した設定は、SmartPools ジョブの次回実行時に、別のファイルプールポリシーの適用対象になっていないすべてのファイルに対して適用されます。

デフォルトファイルプールの要求された保護設定デフォルトの保護設定には、デフォルトのファイルプールポリシーによってフィルタリングされるファイルのデータストレージターゲット、スナップショットストレージターゲット、要求された保護レベル、SSD戦略の指定が含まれます。



設定（WebAdmin）

設定（CLI）説明注

Storage Target --data-storage-target--data-ssd-strategy

このファイルプールポリシーでターゲットにするストレージプール（ノードプールまたは階層）を指定します。

既存のファイルプールポリシーによって特定のストレージプールにデータが移動される場合、［Data storagetarget］オプションに［anywhere］を指定して他のファイルプールポリシーを構成しないでください。［anywhere］を使用すると、指定されたストレージプールが組み込まれるため、意図しないファイルストレージの場所が指定されることを防止するには、特定のストレージプールをターゲットにしてください。

次のいずれかのオプションを選択して、SSD戦略を定義します。Use SSDs for metadata read acceleration

Default（デフォルト）。ファイルデータとメタデータの両方を HDD に書き込み、メタデータを SSD に書き込みます。メタデータの読み取りのみが高速化されます。［Metadata read/write acceleration］設定よりも、使用する SSD容量が少なくなります。

Use SSDs for metadata read/writeacceleration

メタデータを SSD プールに書き込みます。［Metadata read acceleration］よりも、使用する SSD容量は大幅に増えますが、メタデータの読み取りおよび書き込み処理が高速化されます。

Use SSDs for data & metadata

データとメタデータの両方に対して SSD を使用します。グローバルネームスペースの高速化が有効化されているかどうかに関係なく、空きがある場合はすべての SSD ブロックがストレージターゲットに配置されます。

Avoid SSDs

関連するすべてのファイルデータとメタデータを HDD

のみに書き込みます。

設定によりパフォーマンスが低下する可能性があるため、このオプションを使用して SSD領域を解放するのは、Isilon テクニカルサポートの担当者のコンサルティングを受けたうえで行ってください。

GNA が有効化されておらず、ターゲットとして選択したストレージプールに SSD が含まれていない場合、SSD戦略を定義することはできません。

［Use SSDs formetadata readacceleration］では、ファイルデータとメタデータの両方がHDD ストレージプールに書き込まれますが、可能な場合はさらに SSD ミラーを追加すると、読み取りパフォーマンスが高まります。使用可能な場合は、HDD

を使用して信頼性を高め、追加のメタデータミラーを SSD に提供して、読み取りのパフォーマンスを高めます。ほとんどのユーザーに推奨されます。

［Use SSDs formetadata read/writeacceleration］を選択すると、パフォーマンスと信頼性を考慮し、ストレージターゲットで使用可能な場合は戦略で SSD

が使用されます。追加のミラーは、有効な GNA を使用して別のストレージプールから行われることも、同じノードプールから行われることもあります。

［Use SSDs formetadata read/writeacceleration］戦略と［UseSSDs for data &metadata］戦略のどちらでも、通常のリクエストされた保護を超えて追加のミラーが作成されることはありません。ファイルプールポリシー内で使用可能な場合は、ファイルデータとメタデータは両方とも SSD に保存されます。このオプションでは、大量の SSD ストレージが必要です。


デフォルトファイルプールの要求された保護設定 459



Snapshot storagetarget

--snapshot-storage-target--snapshot-ssd-strategy

このファイルプールポリシーでスナップショットストレージのターゲットにするストレージプールを指定します。これらの設定はデータストレージターゲットの設定と同じですが、適用先はスナップショットデータになります。

データストレージターゲットは、スナップショットストレージターゲットに適用されることに注意してください。

Requestedprotection

--set-requested-protection

［Default of storage pool］。ストレージプールのデフォルトの要求された保護を、フィルタリングされたファイルに割り当てます。

［Specific level］。指定された要求された保護を、フィルタリングされたファイルに割り当てます。

要求された保護を変更するには、新しい値をリストから選択します。

デフォルト I/O最適化設定の構成デフォルトの I/O最適化設定を構成できます。手順

1. ［File System］ > ［ Storage Pools］ > ［ File Pool Policies］の順にクリックします。

2. ［File Pool Policies］タブで、リストにある［Default Policy］の横の［View/Edit］をクリックします。［View Default Policy Details］ダイアログボックスが表示されます。

3. ［Edit Policy］をクリックします。

［Edit Default Policy Details］ダイアログボックスが表示されます。4. ［Apply SmartPools Actions to Selected Files］セクションの［I/O Optimization

Settings］で、［Write Performance］および［Data Access Pattern］のデフォルトとして適用する設定を選択します。

5. ［Save Change］をクリックしてから、［Close］をクリックします。

結果選択した設定は、SmartPools ジョブの次回実行時に、別のファイルプールポリシーの適用対象になっていないすべてのファイルに対して適用されます。

デフォルトファイルプール I/O最適化設定手動で管理される属性を持つファイルなど、デフォルトファイルプールポリシーで使用される I/O最適化設定を管理できます。File System Explorer または isi set コマンドを使用して構成された最適化設定をSmartPools が上書きできるようにするには、［Including files with manually-managed I/Ooptimization settings］オプションを［Default Protection Settings］グループから選択します。 CLI で、--automatically-manage-io-optimization オプションを isistoragepool settings modify コマンドとともに使用します。





書き込みパフォーマンス

--enable-coalescer SmartCache を有効化または無効化します（コアレッサーとも呼びます）。

最適なライトパフォーマンスを得るためには、［EnableSmartCache］が推奨される設定です。非同期書き込みの場合、Isilonは書き込みをメモリー内にバッファリングします。このバッファリングを無効にする場合は、同期書き込みを使用するようにアプリケーションを構成することをお勧めします。それが不可能な場合は、SmartCache を無効にします。

データアクセスパターン

--data-access-pattern

コンカレント、ストリーミング、ランダムデータタイプのアクセスの最適化設定を定義します。

ファイルおよびディレクトリは、デフォルトでコンカレントアクセスパターンを使用します。パフォーマンスを最適化するには、ワークフローで検出されるパターンを選択します。たとえば、ビデオ編集の多いワークフローは［Optimize for streamingaccess］に設定する必要があります。そのワークフローは、データアクセスパターンが［Optimize for randomaccess］に設定されている場合に影響を受けます。

ファイルプールポリシーの変更ファイルプールポリシーを変更することができます。

既存のファイルプールポリシーによって特定のストレージプールにデータが移動される場合、［Data storage target］オプションに［anywhere］を指定して他のファイルプールポリシーを構成しないでください。［anywhere］を使用すると、指定されたストレージプールが組み込まれるため、意図しないファイルストレージの場所が指定されることを防止するには、特定のストレージプールをターゲットにしてください。

手順1. ［File System］ > ［Storage Pools］ > ［File Pool Policies］の順にクリックします。2. ［File Pool Policies］リストで、変更するポリシーの横の［View/Edit］をクリックします。

［View File Pool Policy Details］ダイアログボックスが表示されます。3. ［Edit Policy］をクリックします。

［Edit File Pool Policy Details］ダイアログボックスが表示されます。4. ポリシーの設定を変更し、［Save Changes］をクリックします。5. ［View File Pool Policy Details］ダイアログボックスで［Close］をクリックします。

結果ファイルプールポリシーへの変更は、SmartPools ジョブの次回実行時に適用されます。SmartPools ジョブを手動で開始してポリシーをただちに実行することもできます。

ファイルプールポリシーの優先順位づけカスタムファイルプールポリシーの優先順位を変更できます。ファイルプールポリシーは、ファイルプールポリシーリストでの位置に従って、降順で評価されます。


ファイルプールポリシーの変更 461

デフォルトでは、新しいポリシーはデフォルトのファイルプールポリシーのすぐ上に挿入されます。デフォルトのファイルプールポリシーは常にリストの最後であり、したがって優先順位は最も低くなっています。リスト内でカスタムポリシーを上下に移動させて、優先順位を上げたり下げたりできます。手順

1. ［File System］ > ［Storage Pools］ > ［File Pool Policies］の順にクリックします。［File Pool Policies］タブに 2 つのリストが表示されます。［File Pool Policies］と［Policy Templates］です。

2. ［File Pool Policies］リストの［Order］列で、ポリシーの横にある矢印のアイコンをクリックすると、ポリシーを上下に移動して優先順位を変更できます。

3. 優先度を変更するポリシーごとに前のステップを繰り返します。結果SmartPools システムジョブの実行時、ファイルプールポリシーが優先順位に従って処理されます。デフォルトのファイルプールポリシーは、他のどのファイルプールポリシーにも一致しないすべてのファイルに適用されます。

テンプレートからのファイルプールポリシーの作成ポリシーテンプレートから新しいファイルプールポリシーを作成することができます。テンプレートは、古くなったファイルのアーカイブや仮想マシン（.vmdk ファイル）の管理などの一般的なワークフロー用に事前構成されています。手順


2. ［Policy Templates］リストで、使用するテンプレート名の横の［View/Use Template］をクリックします。［View File Pool Policy Template Details］ダイアログボックスが開きます。

3. ［Use Template］をクリックします。［Create a File Pool Policy］ダイアログボックスが開きます。

4. (必須) ポリシーの名前と説明を指定し、必要に応じてポリシー設定を変更します。5. ［Save Changes］をクリックします。

結果新しいカスタムポリシーが、［File Pool Policies］リストのデフォルトポリシーのすぐ上に追加されます。

ファイルプールポリシーの削除デフォルトポリシーを除く、すべてのファイルプールポリシーを削除できます。

ファイルプールポリシーを削除すると、ファイルプールは別のファイルプールポリシーか、次にSmartPools ジョブが実行される際のデフォルトのポリシーのいずれかによって制御されます。手順




2. ［File Pool Policies］リストで、削除するポリシーの横の［Delete］をクリックします。3. ［Confirm Delete］ダイアログボックスで、［Delete］をクリックします。

結果そのファイルプールポリシーが［File Pool Policies］リストから削除されます。

ストレージプールのモニタリングストレージプールの稼働状態と使用状況に関する情報にアクセスできます。以下の情報が表示されます。l ファイルプールポリシーの稼働状態l 階層、ノードプール、サブプールを含む SmartPools の稼働状態l 各ストレージプールについて、HDD および SSD ディスク領域使用率のパーセンテージl SmartPools ジョブステータス

ストレージプールの監視ファイルプールポリシー、SmartPools、設定のステータスを確認できます。手順

1. ［File System］ > ［Storage Pools］ > ［Summary］の順にクリックします。

［Summary］タブに 2 つの領域が表示されます。［Status］リストと［Local StorageUsage］グラフです。

2. ［Status］リストでは、ポリシー、SmartPools、Smartpools の設定のステータスを確認します。

3. (オプション) アイテムのステータスが［Good］以外である場合は、［View Details］をクリックして問題を確認、修正することができます。

4. ［Local Storage Usage］領域には、各ノードプールに関連した統計が表示されます。

たとえば、ノードプールの使用状況に不均衡が見られる場合は、ファイルプールポリシーを変更するかどうかを検討できます。

サブプールの稼働状態の表示OneFS では、正常に稼働していないサブプールがリストに表示されるので、問題があれば修正することができます。ディスクプールとも呼ばれるサブプールは、ノードプールの一部であるディスクのコレクションです。


［SmartPools］タブに 3 つのグループが表示されます。［Tiers & Node Pools］、［Compatibilities］、［Subpools Health］の 3 つです。

2. ［Subpools Health］領域で詳細を確認し、正常稼働していないサブプールがあれば対処します。


ストレージプールのモニタリング 463

SmartPools ジョブの結果の表示前回実行された SmartPools ジョブの詳細な結果を確認できます。手順

1. ［Cluster Management］ > ［Job Operations］ > ［Job Reports］をクリックします。［Jobs Reports］タブにジョブレポートのリストが表示されます。

2. ［Job Reports］リストの［Type］列で最新の SmartPools ジョブを見つけ、［ViewDetails］をクリックします。

［View Job Report Details］ダイアログボックスが開き、ジョブレポートが表示されます。3. レポートをスクロールして各ファイルプールポリシーの結果を表示します。4. 完了したら、［View Job Report Details］ダイアログボックスで［Close］をクリックしま

す。



第 23章

システムジョブ


l システムジョブの概要...........................................................................................466l システムジョブライブラリ........................................................................................466l ジョブの操作.......................................................................................................469l ジョブのパフォーマンスへの影響.............................................................................. 470l ジョブの優先度.................................................................................................... 471l システムジョブの管理............................................................................................471l インパクトポリシーの管理......................................................................................474l ジョブのレポートと統計の表示................................................................................476

システムジョブ 465

システムジョブの概要OneFS の最も重要な機能は、Isilon クラスターのデータの整合性を維持することです。他の重要なシステム保守機能には、パフォーマンスのモニタリングと最適化、ドライブおよびノード障害の検出と軽減、利用可能な領域の解放があります。保守機能はシステムリソースを使用し、実行に時間がかかるため、OneFS では、ジョブエンジンを介してバックグラウンドで実行するジョブとして実行されます。ジョブの実行にかかる時間は、複数の要素によって大きく変化する場合があります。そのような要素としては、同時に実行している他のシステムジョブ、ジョブの実行中に CPU および I/O サイクルを取得する他のプロセス、クラスターの構成、データセットのサイズ、ジョブの最後の反復が実行されてからの経過時間などがあります。最大 3個のジョブを同時に実行できます。保守ジョブが生産性を妨げたり、互いに競合したりしないようにするために、ジョブエンジンでは、ジョブを分類して異なる優先度とインパクトレベルで実行します。（進捗を消失することなく）一時的に中断して優先度の高いジョブおよび管理者タスクが実行されるようにすることもできます。電源障害の場合、ジョブエンジンはチェックポイントシステムを使用して中断点に可能な限り近い個所からジョブを再開します。チェックポイントシステムは、ジョブエンジンがすでに完了したジョブフェーズとタスクを記録するうえで役立ちます。クラスターがバックアップされて実行されると、ジョブエンジンは電源障害の発生時に処理されていたフェーズまたはタスクの最初からジョブを再開します。システム管理者は、ジョブエンジンサービス全体を通して、システム保守ジョブについて監視、スケジュール、実行、終了、その他の制御の適用を行うことができます。ジョブエンジンで提供される統計およびレポートツールを使用すると、OneFS環境でさまざまなシステムジョブの実行に要する時間を判断できます。

ジョブエンジンタスクを初期化するには、OneFS システムの SystemAdmin の役割である必要があります。

システムジョブライブラリOneFS には、Isilon クラスタの管理に役立てるためにバックグラウンドで実行されるシステムジョブライブラリが用意されています。デフォルトでは、システムジョブは手動またはスケジュール設定のいずれかに分類されます。ただし、ワークフローに従って任意のジョブを手動で実行したり、定期的に実行するように任意のジョブのスケジュールを設定することができます。さらに、OneFSは特定のシステム状態が発生した場合に一部のジョブを自動的に開始します。たとえば、FlexProtect とFlexProtectLinはドライブが smartfail したときに開始します。

ジョブ名説明除外セットインパクトポリシー

優先度オペレーション

AutoBalance クラスタ内の空き領域をバランス調整します。HDD

（ハードディスクドライブ）だけが含まれるクラスタで最も効果的です。MultiScan の一部として、またはデバイスがクラスタに参加（または再参加）したとき自動的にシステムによって実行されます。

再ストライプ低 4 手動

AutoBalanceLin クラスタ内の空き領域をバランス調整します。ファイルシステムメタデータが SSD（ソリッドステートドライブ）上に格納されるクラスタで最も効果的です。MultiScan の一部として、またはデバイスがクラスタ






に参加（または再参加）したとき自動的にシステムによって実行されます。

AVScan すべてのファイルでアンチウイルススキャンを実行します。

なし低 6 手動

ChangelistCreate ルートパスが一致する 2 つのスナップショット間の変更リストを作成します。CLI からこれらのスナップショットを指定することができます。

なし低 5 手動

Collect ノードまたはドライブが使用不可だったために解放できなかった空き領域を再利用します。MultiScan の一部として、またはデバイスがクラスタに参加（または再参加）したとき自動的にシステムによって実行されます。

マーキング低 4 手動

Dedupe* 冗長データブロック用のディレクトリをスキャンし、ディレクトリに格納されているすべての冗長データの重複排除を行います。SmartDedupe ライセンスをアクティブ化している場合のみ使用できます。

なし低 4 手動

DedupeAssessment 冗長データブロック用のディレクトリをスキャンし、ディレクトリの重複排除によって節約される可能性があるスペースの推定容量を報告します。

なし低 6 手動

DomainMark パスおよびそのパスの内容をドメインに関連づけます。

なし低 5 手動

FlexProtect デバイス障害の後でファイルシステムをスキャンして、すべてのファイルが引き続き保護されていることを確認します。HDD だけで構成されているクラスタには、FlexProtect が最も効果的です。クラスタでデバイス障害が発生した場合に実行可能なのはFlexProtect（または FlexProtectLin）ジョブのみです。データセットのサイズに応じて、このプロセスの実行には長時間かかる場合があります。FlexProtect（または FlexProtectLin）処理が完了するまで、クラスタは縮退状態になります。他のシステムジョブが開始できないことや一時停止されていたことに気付いた場合は、isi jobstatus --verbose コマンドを使用して「Cluster is Degraded」メッセージが表示されるかどうかを確認できます。

再ストライプ中 1 手動


システムジョブライブラリ 467



ストレージに使用されている HDDや SSD とは異なり、L3 キャッシュに使用されている SSD が故障すると、FlexProtect ジョブは実行されずにドライブ状態がただちに「REPLACE」に変わります。L3 キャッシュに使用されている SSD にはキャッシュデータのみが含まれており、これは FlexProtect によって保護する必要はありません。ドライブ状態が「REPLACE」に変わったら、故障した SSD を引き出して交換できます。

FlexProtectLin デバイス障害の後でファイルシステムをスキャンして、すべてのファイルが引き続き保護されていることを確認します。ファイルシステムメタデータが SSD

に保存されている場合に、このコマンドは最も効果的です。この状況では、FlexProtect ではなくFlexProtectLin を実行します。


FSAnalyze* /ifsパスの下にあるすべてのファイルとディレクトリについての情報を収集し、レポートします。このジョブの実行には、InsightIQ のライセンスをアクティブ化する必要があります。このジョブからのレポートは、システム分析目的で InsightIQ ユーザーが使用します。詳細については、「Isilon InsightIQ ユーザーガイド」を参照してください。

なし低 1 スケジュール

IntegrityScan ファイルシステムの整合性を検証します。マーキング中 1 手動

MediaScan メディアレベルのエラーを特定し、ディスクからクリアして、すべてのデータが保護されている状態にします。

再ストライプ低 8 スケジュール

MultiScan AutoBalance ジョブと Collect ジョブを同時に実行します。

再ストライプマーキング

低 4 手動

PermissionRepair テンプレートファイルまたはディレクトリを、ターゲットファイルまたはディレクトリに設定する権限のベースとして使用します。ターゲットディレクトリは常に/ifsパスの下位にある必要があります。このジョブは手動で開始する必要があります。

なし低 5 手動

QuotaScan* 既存のファイルツリーに作成されたドメインのクォータアカウントを更新します。SmartQuotas ライセンスをアクティブ化している場合のみ使用できます。このジョブはすべてのクォータを設定した後、および新しいクォータを設定するたびに業務時間外に手動で実行する必要があります。

なし低 6 手動

SetProtectPlus デフォルトのファイルポリシーをクラスタ全体に適用します。SmartPools ライセンスがアクティブ化されていない場合のみ実行されます。






ShadowStoreDelete シャドウストアに関連づけられているスペースを解放します。シャドウストアは、クローンファイルと重複排除ファイルによって参照される隠しファイルです。


ShadowStoreProtect 高いレベルの保護で、LIN（論理 i ノード）で参照されているシャドウストアを保護します。


SmartPools* SmartPools ファイルプールポリシーを適用します。SmartPools ライセンスをアクティブ化している場合のみ使用できます。このジョブは定期的にスケジュール設定ベースで実行されるほか、変更（たとえば、ノードプールをマージする互換性の作成など）がされる場合も、システムによって開始できます。

再ストライプ低 6 スケジュール

SnapRevert スナップショット全体を先頭に戻します。なし低 5 手動

SnapshotDelete 削除されたスナップショットに関連づけられた空き領域を作成します。スナップショットを削除対象としてマークする際に、システムによってトリガーされます。

なし中 2 手動

TreeDelete /ifs ディレクトリ内の指定されたファイルパスを削除します。

なし中 4 手動

アップグレードソフトウェアバージョンのアップグレード後にファイルシステムをアップグレードします。

アップグレードジョブは、メジャーソフトウェアバージョンでクラスターを更新する場合にのみ実行する必要があります。詳細な情報については、「Isilon

OneFS Upgrade Planning and Process Guide」を参照してください。


WormQueue WORM ファイルのコミット時間をトラッキングするWORM キューを処理します。ファイルがWORM

状態にコミットされると、キューから削除されます。


*追加ライセンスをアクティブ化している場合のみ使用できます。

ジョブの操作OneFS には、Isilon クラスターの実行状態を最高に維持するために実行するシステムメンテナンスジョブが含まれます。ジョブエンジンにより、OneFSは必要に応じてこれらのジョブのサブセットを自動的に実行して、ファイルとデータの整合性を保証し、ドライブとノードの障害をチェックして緩和し、空き領域を最適化します。Dedupeなどの他のジョブの場合は、ジョブエンジンを使用して手動で開始することも、定期的に自動実行するようにスケジュール設定することもできます。ジョブエンジンは、システムメンテナンスジョブをバックグラウンドで実行し、同じ分類（除外セット）に含まれるジョブが同時に実行するのを防ぎます。2 つの除外セット、再ストライピングとマーキングが適用されます。


ジョブの操作 469

再ストライピングタイプのジョブは次のとおりです。l AutoBalance

l AutoBalanceLin

l FlexProtect

l FlexProtectLin

l MediaScan

l MultiScan

l SetProtectPlus

l SmartPools

マーキングタイプのジョブは次のとおりです。l Collect

l IntegrityScan

l MultiScan

MultiScanは再ストライピングとマーキングの両方の除外セットのメンバーであることに注意してください。ジョブタイプの除外セットパラメーターは変更できません。また、ジョブエンジンは、ジョブの優先度も認識し、任意の優先度のジョブを最大 3 つまで同時に実行できます。ジョブの優先度は 1～10 であり、1 が最高、10 が最低です。実行中のジョブまたはキュー内のジョブの間で競合が発生した場合、システムはジョブの優先度を使用します。たとえば、すでに実行している他の 3 つのジョブより高い優先度のジョブを手動で開始した場合、ジョブエンジンは優先度が最低のアクティブなジョブを一時停止し、新しいジョブを実行した後、古いジョブを一時停止した時点から再開します。同様に、再ストライピング除外セットのジョブを開始したとき、別の再ストライピングジョブがすでに実行していた場合、システムは優先度を使用して、実行する（または実行したままにする）ジョブと、一時停止する（または一時停止したままにする）ジョブを決定します。他のジョブパラメーターでは、ジョブが有効かどうか、ジョブのパフォーマンスインパクト、スケジュールが決定されます。システム管理者は、ジョブのデフォルトを受け入れることも、要件に基づいてこれらのパラメーター（除外セットを除きます）を調整することもできます。ジョブが開始すると、ジョブエンジンはジョブのセグメント（フェーズとタスク）をクラスターのノード間に分散させます。1 つのノードがジョブコーディネーターとして機能し、他のノードと継続的に連携して処理を負荷分散します。これにより、特定のノードに過剰な負荷がかかることはなく、ジョブエンジンによって開始されたものではない他の管理者およびシステム I/O のアクティビティもシステムリソースを使用できます。タスクが完了した後、各ノードはジョブコーディネーターにタスクのステータスを報告します。ジョブコーディネーターとして動作するノードは、このタスクステータス情報をチェックポイントファイルに保存します。結果として、電源停止または一時停止の場合、中断した時点からジョブを常に再開できます。一部のジョブは実行に時間がかかり、大量のシステムリソースを使用する場合があるため、これは重要なことです。

ジョブのパフォーマンスへの影響ジョブエンジンサービスは、システムパフォーマンスを監視して、メンテナンスジョブがクラスターの通常の I/O アクティビティおよび他のシステム管理タスクを大きく妨げていないことを確認します。ジョブエンジンが使用するインパクトポリシーを管理することで、ジョブを実行できるとき、およびジョブが消費するシステムリソースを制御できます。ジョブエンジンの 4 つのデフォルトインパクトポリシーを使用できますが、これらを変更することはできません。デフォルトのインパクトポリシーは次のとおりです。



インパクトポリシー実行許可資源の消費

LOW いつでも低

MEDIUM いつでも中

HIGH いつでも高

OFF_HOURS 営業時間外。営業時間は、月曜日から金曜日の午前 9時～午後 5時と定義されます。 OFF_HOURS

は、営業時間中は一時停止されます。

低

デフォルトのインパクトポリシー以外のポリシーをジョブに指定する必要がある場合は、新しい設定でカスタムポリシーを作成できます。低インパクトポリシーのジョブは、使用可能な CPU およびディスク I/O リソースに対する影響が最小です。高インパクトポリシーのジョブは、非常に大きな影響を与えます。ただし、どのような場合でも、ジョブエンジンは CPU およびディスクのスロットルアルゴリズムを使用して、ユーザーが手動で開始したタスクおよびジョブエンジンに関係のない他の I/O タスクが、高い優先度を受け取るようにします。

ジョブの優先度ジョブの優先度は、除外セットが異なる 4 つ以上のジョブが同時に実行しようとしたときに優先されるジョブを決定します。ジョブエンジンは、すべてのジョブに 1～10 の優先度値を割り当てます。1 が最も重要であり、10 が最も重要ではありません。同時に実行可能なジョブの最大数は 3 です。手動で、またはシステムイベントによって、優先度の高い 4番目のジョブが開始された場合、ジョブエンジンは現在実行中のジョブの中で優先度が最低のものを一時停止します。ジョブエンジンは、一時停止したジョブを優先度キューに格納し、他のジョブの 1 つが完了すると一時停止しているジョブを自動的に再開します。優先度レベルが同じ 2 つのジョブが同時に実行するようにスケジュール設定されていて、それより優先度の高い 2 つのジョブがすでに実行している場合、先にキューに置かれたジョブが先に実行されます。

システムジョブの管理ジョブエンジンを使用すると、OneFS ファイルシステムの安定性と整合性を保証する定期的なシステムメンテナンスタスクを制御できます。メンテナンスジョブが実行すると、ジョブエンジンはクラスター全体のパフォーマンスに対するその影響を常時監視して軽減します。システム管理者は、Isilon クラスターの特定のワークフローに合うようにこれらのジョブを調整できます。アクティブなジョブおよびジョブの履歴を表示し、ジョブの設定を変更し、ジョブのインスタンスを開始、一時停止、再開、キャンセル、更新できます。

アクティブなジョブの表示管理タスクの実行中にシステムの応答が遅くなった場合は、Isilon クラスターで現在実行中のジョブを表示できます。


ジョブの優先度 471

手順1. ［Cluster Management］ > ［Job Operations］ > ［Job Summary］の順にクリックします。

2. ［Active Jobs］テーブルに、現在実行されているすべてのジョブのステータス情報、ジョブの設定、進行状況の詳細が表示されます。a.［Status］チェックボックスを選択し、［Select a bulk action］ドロップダウンリストからアクションを選択すると、アクティブなジョブに対してバルクアクションを実行できます。

ジョブ履歴の表示重要なジョブの最後の実行がいつだったかを確認したい場合は、特定のジョブまたはすべてのジョブの最近のアクティビティを表示することができます。手順

1. ［Cluster Management］ > ［Job Operations］ > ［Job Reports］の順にクリックします。［Job Reports］テーブルに、クラスタで発生したジョブイベントが時系列順に一覧表示されます。イベント情報には、イベントの発生時刻、イベントを発生させたジョブ、イベントの結果が含まれています。

2. ジョブのタイプによってレポートをフィルタリング処理するには、［Filter by Job Type］ドロップダウンリストでジョブを選択します。

3. ジョブ名の横の［View Details］をクリックすると、そのジョブの最近のイベントだけが表示されます。そのジョブの最近のジョブが［View Job Report Details］ウィンドウに表示されます。開始時刻、期間、ジョブが成功したかどうかなどの情報が含まれます。

ジョブの開始デフォルトでは、一部のシステム保守ジョブのみが自動的に実行するようにスケジュール設定されています。ただし、任意のジョブを随時手動で実行できます。手順


2. ［Job Types］リストで、開始するジョブの［Start Job］をクリックします。

［Start a Job］ダイアログボックスが表示されます。3. ジョブの詳細を入力して、［Start Job］をクリックします。

ジョブの一時停止ジョブを一時的に停止して、システムリソースを解放できます。手順

1. ［Cluster Management］ > ［Job Operations］ > ［Job Summary］の順にクリックします。

2. ［Active Jobs］テーブルで、一時停止するジョブの［More］をクリックします。3. 表示されるメニューで［Pause Running Job］をクリックします。



ジョブは、再開するまで一時停止状態のままとなります。

ジョブの再開一時停止中のジョブを再開できます。手順


2. ［Active Jobs］テーブルで、一時停止するジョブの［More］をクリックします。3. 表示されるメニューで［Resume Running Job］をクリックします。

結果ジョブは、一時停止されたフェーズまたはタスクから続行されます。

ジョブのキャンセルシステムリソースを解放するため、または他の理由で、実行中、一時停止中、待機中のジョブを永続的に中止できます。手順


2. ［Active Jobs］テーブルで、キャンセルするジョブの［More］をクリックします。3. 表示されるメニューで［Cancel Running Job］をクリックします。

ジョブの更新実行中、待機中、または一時停止中のジョブの、優先度とインパクトポリシーを変更できます。

ジョブを更新した場合、ジョブの現在のインスタンスだけが、更新された設定で実行されます。ジョブのその次のインスタンスは、そのジョブのデフォルト設定に戻ります。

ジョブの設定を永続的に変更するには、「ジョブタイプ設定の変更」を参照してください。

手順1. ［Cluster Management］ > ［Job Operations］ > ［Job Summary］の順にクリックします。

2. ［Active Jobs］テーブルで、更新するジョブの［View/Edit］をクリックします。3. (必須) ［View Active Job Details］ウィンドウで、［Edit Job］をクリックします。

a.［Priority］ドロップダウンリストで、新しい優先度レベルを選択します。b.［Impact Policy］ドロップダウンリストで、インパクトポリシーレベルを選択します。


実行中のジョブを更新した場合、ジョブは自動的に再開されます。一時停止またはアイドルのジョブを更新した場合、再開するまで、ジョブは元の状態のままになります。


ジョブの再開 473

ジョブタイプ設定の変更デフォルトの優先度レベル、インパクトレベル、ジョブタイプのスケジュールを変更することで、管理ワークフローのシステム保守ジョブをカスタマイズできます。手順


2. ［Job Types］テーブルで、変更するポリシーの行を探し、［View / Edit］をクリックします。

［View Job Type Details］ウィンドウが表示され、現在のデフォルト設定、スケジュール、現在の状態、最近のアクティビティが示されます。

3. ［Edit Job Type］をクリックします。［Edit Job Type Details］ウィンドウが表示されます。

4. 希望する詳細設定に修正します。デフォルトの優先度、デフォルトのインパクトポリシー、ジョブの有効/無効、手動またはスケジュール設定によるジョブ実行を変更できます。

5. ［Scheduled］をクリックして、ジョブのスケジュールを変更し、ドロップダウンリストからスケジュールオプションを選択します。


変更内容が保存され、そのジョブタイプのすべてのインスタンスに適用されます。結果は［View Job Type Details］ウィンドウに表示されます。


インパクトポリシーの管理ジョブエンジンサービスから実行されるシステムメンテナンスジョブの場合、システムのパフォーマンスに対するジョブの影響を制御するポリシーを作成して割り当てることができます。システム管理者は、インパクトポリシーを作成、コピー、変更、削除し、その設定を表示できます。

インパクトポリシーの作成ジョブエンジンには 4個のインパクトポリシーが含まれますが、これらを変更または削除することはできません。ただし、新しいインパクトポリシーを作成および構成できます。手順

1. ［Cluster Management］ > ［Job Operations］ > ［Impact Policies］の順にクリックします。

2. ［Add an Impact Policy］をクリックします。

［Create Impact Policy］ウィンドウが表示されます。3. ［Name］テキストフィールドに、ポリシーの名前を入力します。このフィールドは入力必須で

す。4. (必須) ［Description］テキストフィールドに、インパクトポリシーに関するコメントを入力

します。ユニークなスケジュールパラメーターなどインパクトポリシー固有の情報や、インパクトポリシーが必要とされるロジスティック要件を含めます。

5. ［Add an Impact Policy Interval］をクリックします。



a.［Add an Impact Policy Interval］ウィンドウで、インパクトレベルと開始時刻および終了時刻をドロップダウンリストから選択します。

b.［Add Impact Policy Interval］をクリックします。

［Add an Impact Policy Interval］ウィンドウが閉じて、選択した設定が［ImpactSchedule］テーブルに表示されます。

6. ［Create Impact Policy］をクリックします。インパクトポリシーのコピーが保存され、［Impact Policies］テーブルにアルファベット順で表示されます。

インパクトポリシーのコピーデフォルトインパクトポリシーを新しいポリシーのテンプレートとして使用できます。コピーを作成して、そのコピーを変更します。手順


2. ［Impact Policies］テーブルで、コピーするポリシーの行で［More］ > ［Copy ImpactPolicy］の順にクリックします。［Copy Impact Policy］ウィンドウが表示されます。

3. ［Name］フィールドに、新しいポリシーの名前を入力します。4. ［Description］テキストフィールドに、新しいポリシーの説明を入力します。

ユニークなスケジュールパラメーターなどインパクトポリシー固有の情報や、インパクトポリシーが必要とされるロジスティック要件を含めます。

5. ［Add an Impact Policy Interval］をクリックします。a.［Add an Impact Policy Interval］ウィンドウで、インパクトレベルと開始時刻および終了時刻をドロップダウンリストから選択します。

b.［Add Impact Policy Interval］をクリックします。

［Add an Impact Policy Interval］ウィンドウが閉じて、選択した設定が［ImpactSchedule］テーブルに表示されます。

6. ［Copy Impact Policy］をクリックします。インパクトポリシーのコピーが保存され、［Impact Policies］テーブルにアルファベット順で表示されます。

インパクトポリシーの変更カスタムインパクトポリシーの名前、説明、インパクトインターバルを変更できます。

はじめにデフォルトインパクトポリシー、HIGH、MEDIUM、LOW、OFF_HOURSは変更できません。ポリシーを変更するには、デフォルトポリシーのコピーを作成してから変更します。手順

1. ［Cluster Management］ > ［Job Operations］ > ［Impact Policies］に移動します。

2. ［Impact Policies］テーブルで、変更するポリシーの［View / Edit］をクリックします。［Edit Impact Policy］ウィンドウが表示されます。


インパクトポリシーのコピー 475

3. ［Edit Impact Policy］をクリックし、次の 1 つまたはすべてを変更します。

オプション説明ポリシーの説明

a.［Description］フィールドに、インパクトポリシーの新しい概要を入力します。

b.［Submit］をクリックします。

インパクトスケジュール

a.［Impact Schedule］領域で、インパクトインターバルを追加、編集、削除して、インパクトポリシーのスケジュールを変更します。

b.［Save Changes］をクリックします。

変更されたインパクトポリシーが保存され、［Impact Policies］テーブルにアルファベット順で表示されます。

インパクトポリシーの削除作成したインパクトポリシーを削除できます。

デフォルトインパクトポリシー、［HIGH］、［MEDIUM］、［LOW］、［OFF_HOURS］は削除できません。手順


2. ［Impact Policies］テーブルで、削除するカスタムインパクトポリシーの［More］ > ［Delete］をクリックします。［Confirm Delete］ダイアログボックスが表示されます。

3. ［Delete］をクリックします。

インパクトポリシー設定の表示任意のジョブのインパクトポリシー設定を表示できます。手順

1. ［Cluster Management］ > ［Job Operations］ > ［Job Types］の順にクリックします。［Job Types］テーブルが表示されます。

2. 必要であれば、［Job Types］テーブルをスクロールして特定のジョブを探します。ジョブのインパクトポリシー設定が［Job Types］に表示されます。

ジョブのレポートと統計の表示システムジョブのレポートを生成し、統計を表示して、使用されるシステムリソースの量をよりよく決定できます。ジョブエンジンによって制御される大半のシステムジョブは低い優先度と低いインパクトポリシーを使用して実行され、通常はクラスターのパフォーマンスに顕著なインパクトを与えることはありません。いくつかのジョブは、重要な機能を実行するため、高い優先度と中程度のインパクトポリシーを使用して実行されます。このようなジョブには、FlexProtect、FlexProtect Lin、FSAnalyze、SnapshotDelete、TreeDeleteなどがあります。



システム管理者として、システムジョブがクラスターのパフォーマンスに与えるインパクトに関心がある場合は、ジョブの統計とレポートを表示できます。これらのツールを使用して、CPU とメモリーの使用量、I/O動作を含むジョブの負荷に関する詳細情報を表示できます。

進行中のジョブの統計の表示進行中のジョブの統計を表示できます。手順

1. ［Cluster Management］ > ［Job Operations］ > ［Job Summary］をクリックします。［Active Jobs］領域で、実行中のジョブを確認できます。

2. ジョブエントリーの右側にある［View/Edit］オプションをクリックします。

結果［View Active Jobs Details］スクリーンが開き、処理済みデータ、経過時間、フェーズ、進行状況、ジョブが完了するまでの推定残り時間などの統計を確認できます。

完了済みジョブのレポートの表示ジョブの完了後に、そのジョブに関するレポートを表示できます。はじめにジョブのレポートは、ジョブが完了するまでは使用できません。手順

1. ［Cluster Management］ > ［Job Operations］ > ［Job Reports］の順にクリックします。［Job Reports］ページが表示されます。

2. レポートを表示するジョブを探します。3. ［View Details］をクリックします。

［View Job Report Details］スクリーンが表示され、経過時間、CPU とメモリーの使用量、合計 I/O動作回数などのジョブ統計が示されます。

4. レポートの確認が終了したら、［Close］をクリックします。


進行中のジョブの統計の表示 477

第 24章

ネットワーク


l ネットワークの概要...............................................................................................480l 内部ネットワークについて...................................................................................... 480l 外部ネットワークについて....................................................................................... 481l 内部ネットワークの構成........................................................................................489l グループネットの管理............................................................................................492l 外部ネットワークのサブネットの管理........................................................................494l IP アドレスプールの管理...................................................................................... 498l SmartConnect設定の管理............................................................................... 500l ネットワークインターフェイスメンバーの管理............................................................. 506l ノードプロビジョニング規則の管理..........................................................................508l ルーティングオプションの管理................................................................................. 510l DNS キャッシュ設定の管理....................................................................................511l TCP ポートの管理...............................................................................................512

ネットワーク 479

ネットワークの概要ネットワークのトポロジーの決定後は、内部ネットワークと外部ネットワークを設定および管理できます。EMC Isilon クラスター上のネットワークには、2 つのタイプがあります。内部

ノードは、高速で、低レーテンシーの InfiniBand ネットワークを使用してお互いに通信します。冗長性を考慮して、オプションで第 2 の InfiniBand ネットワークを構成してフェイルオーバーを可能にすることもできます。

外部クライアントは、Ethernet を使用した外部ネットワーク経由でクラスターに接続します。Isilonクラスターは、NFS、SMB、HDFS、HTTP、FTPなどの標準ネットワーク通信プロトコルをサポートしています。クラスターにはさまざまな外部 Ethernet接続が含まれており、各種のネットワーク構成を柔軟に行うことができます。

内部ネットワークについてEMC Isilon クラスタは、内部通信とデータ転送のために、少なくとも 1台の高速で低レイテンシのInfiniband スイッチに接続する必要があります。Infiniband スイッチへの接続は、内部ネットワークとも呼ばれます。内部ネットワークは、ユーザーがクラスタにアクセスするために使用する外部ネットワーク（通常は Ethernet）から分離されています。クラスタの初期構成時に、OneFSは Infiniband スイッチに対して初期内部ネットワークを作成します。デフォルトの内部ネットワークへのインターフェイスは、int-a です。冗長性とフェールオーバーを考慮して、2台目の InfiniBand スイッチへの内部ネットワークを追加できます。フェールオーバーにより、パスに障害が発生しても接続性が維持されます。2番目の内部ネットワークへのインターフェイスは、int-b（Web管理インターフェイスでは int-b/フェールオーバー）です。

InfiniBand スイッチには、Isilon ノードのみを接続する必要があります。バックエンドネットワーク上でやり取りされる情報は暗号化されません。Isilon ノード以外を InfiniBand スイッチに接続すると、セキュリティリスクが発生します。

内部 IP アドレスの範囲内部ネットワークに割り当てられた IP アドレスの数によって、EMC Isilon クラスターに含めることができるノード数が決まります。クラスターを初めて構成するときに、プライマリ InfiniBand スイッチ用に 1 つ以上の IP アドレス範囲を指定します。ノードはこのアドレス範囲を使用して、互いに通信します。クラスターにさらにノードを追加する場合に対応できるように、十分に広いアドレス範囲を作成することをお勧めします。すべてのクラスターには最低 1 つの内部 InfiniBand ネットワーク（int-a）が与えられるため、ネットワークのフェイルオーバー（int-b/フェイルオーバー）を備えたもう 1 つの Infiniband スイッチをサポートするために、2 つ目の内部ネットワークを有効にすることができます。セカンダリネットワークには少なくとも 1 つの IP アドレス範囲を割り当て、フェイルオーバー用に 1 つの範囲を割り当てる必要があります。初期構成で定義されたいずれかの IP アドレス範囲が内部ネットワークのサイズに対して限定され過ぎている場合は、int-a ネットワークまたは int-b/フェイルオーバーネットワークに範囲を追加でき

ネットワーク


ます。その後クラスターを再起動する必要がある可能性があります。ノードに割り当てられた IP アドレスの削除など、その他の構成変更を行った場合にも、クラスターの再起動が必要となる可能性があります。

内部ネットワークのフェイルオーバー内部スイッチをフェイルオーバーネットワークとして構成し、クラスター間通信に冗長性を提供できます。内部フェイルオーバーネットワークをサポートするために、クラスター内の各ノードの int-a ポートをInfiniband スイッチのいずれかに物理的に接続し、各ノードの int-b ポートを他の Infiniband スイッチに接続する必要があります。ポートが接続された後は、2 つの IP アドレス範囲を構成する必要があります。それらは、int-b の内部インターフェイスをサポートするアドレス範囲と、フェイルオーバーをサポートするアドレス範囲です。これらのフェイルオーバーアドレスにより、int-a スイッチまたは int-b スイッチで障害が発生した場合のシームレスなフェイルオーバーが可能になります。

IsilonSD Edge の内部ネットワークの構成IsilonSD Edge の場合、内部通信と IsilonSD ノード間のデータ転送は Ethernet スイッチを通じて行われます。内部ネットワークを分離し、できれば専用の仮想 LAN または物理スイッチでルーティングする必要があります。LACP またはポートチャネルグループを構成すれば、ネットワークの信頼性とクラスター間トラフィックのスループットを向上させることができます。内部 IP アドレス範囲の場合、IsilonSD ノードあたり 1 つの IP アドレスを指定する必要があります。ノードに対して構成する IP アドレスは、連続している必要があります。内部ネットワークフェイルオーバーの場合、IsilonSD Edgeは、VMware vSphere でサポートされているネットワークフェイルオーバーとロードバランシングポリシーに従います。int-b/フェイルオーバーネットワークを構成する必要はありません。ネットワーク要件の詳細については、「IsilonSD Edge インストールおよび管理ガイド」を参照してください。

外部ネットワークについてクライアントコンピューターは、外部ネットワーク経由で EMC Isilon クラスターに接続します。外部ネットワーク構成は、グループネット、サブネット、IP アドレスプール、機能ノードのプロビジョニング規則で構成されます。グループネットは、外部ネットワーク上の複数のテナントを管理するための構成レベルです。ネームサーバーや DNS検索リストなどの DNS クライアント設定は、グループネットのプロパティです。グループネットは、ネットワーク階層の最上層に存在します。グループネット内には、1 つまたは複数のサブネットを作成できます。サブネットにより、外部（フロントエンド）ネットワーク管理が簡略化され、クラスターネットワークの実装や保守を柔軟に行えるようになります。サブネット内に IP アドレスプールを作成して、ワークフローまたはノードタイプに応じてネットワークインターフェイスを区分化できます。サブネットの IP アドレスプールは、1 つ以上の IP アドレス範囲で構成されています。IP アドレスプールは、クラスターノードのネットワークインターフェイスに関連づけることができます。クライアント接続の設定は、IP アドレスプールレベルで構成されます。初期外部ネットワークサブネットは、EMC Isilon をセットアップするときに、次の構成で作成されます。

ネットワーク

内部ネットワークのフェイルオーバー 481

l ドメイン名サーバーリストと DNS検索リストに対してグローバルアウトバウンド DNS設定を指定した初期グループネット groupnet0（該当する場合）。

l ネットマスク、ゲートウェイ、SmartConnect サービスアドレスを指定した初期サブネットsubnet0。

l IP アドレス範囲、SmartConnect ゾーン名、クラスター内の最初のノードのネットワークインターフェイスを指定する唯一のプールメンバーとしての初期 IP アドレスプール pool0。

l 新規に追加されたすべてのノードの最初のネットワークインターフェイスを pool0 に自動的に割り当てる初期ノードプロビジョニング規則 rule0。

l subnet0 を groupnet0 に追加する。l pool0 を subnet0 に追加し、その SmartConnect サービスアドレスとして subnet0 の仮想

IP を使用するように pool0 を構成する。

グループネットグループネットはネットワーク階層の最上層にある、外部ネットワーク上の複数のテナントを管理するための構成レベルです。ネームサーバーや DNS検索リストなどの DNS クライアント設定は、グループネットのプロパティです。Isilon クラスターの一部が名前解決用に別のネットワークプロパティを持つように、使用する DNS ネームスペースごとに別のグループネットを作成することができます。各グループネットでは、デフォルトで有効になっている、独自の DNS キャッシュを維持します。グループネットとは、サブネット、IP アドレスプール、プロビジョニングルールを含むコンテナーです。グループネットには 1 つまたは複数のサブネットを含めることができ、すべてのサブネットが 1 つのグループネットに割り当てられています。各 EMC Isilon クラスターには、subnet0 という名前の初期サブネット、pool0 という名前の初期 IP アドレスプール、rule0 という名前の初期プロビジョニングルールが含まれる、groupnet0 という名前のデフォルトグループネットが含まれています。各グループネットは、1 つまたは複数のアクセスゾーンにより参照されています。アクセスゾーンを作成する場合は、グループネットを指定できます。グループネットが指定されていない場合、アクセスゾーンはデフォルトのグループネットを参照します。デフォルトの System アクセスゾーンは自動的にデフォルトのグループネットに関連づけられます。Active Directoryや LDAPなどの外部サーバーと通信する認証プロバイダーは、グループネットを参照する必要もあります。特定のグループネットを持つ認証プロバイダーを指定することができます。それ以外の場合、プロバイダーはデフォルトのグループネットを参照します。同じグループネットに関連づけられている場合のみ、認証プロバイダーをアクセスゾーンに追加できます。SMB、NFS、HDFS、Swiftなどのクライアントプロトコルは、それらに関連づけられたアクセスゾーンを通じてグループネットでサポートされます。

DNS の名前解決DNS の名前解決を処理するために、1 グループネットあたり最大 3台の DNS サーバーを指定することができます。DNS サーバーは、IPv4 または IPv6 アドレスとして構成する必要があります。1 グループネットあたり最大 6 つの DNS検索サフィックスを指定できます。完全修飾されていないドメイン名には、サフィックスの設定が追加されます。グループネットレベルのその他の DNS サーバー設定には、DNS キャッシュの有効化、サーバー側検索の有効化、ローテーションベースでの DNS解決の有効化が含まれます。

サブネットサブネットは、ネットワークを小規模の論理 IP ネットワークにさらに分割できるようにするネットワークコンテナーです。EMC Isilon クラスターでは、サブネットはグループネットの下に作成され、サブネットごとに 1 つまたは複数の IP アドレスプールが含まれます。IPv4 と IPv6 の両方のアドレスが OneFS でサポートされ

ネットワーク


ています。ただし、1 つのサブネットに両方の組み合わせを含めることはできません。サブネットを作成する場合は、IPv4 または IPv6 のどちらのアドレスがサポートされているかを指定します。サブネットの作成時に、次のオプションを構成できます。l 送信パケットとゲートウェイ優先度をルーティングするゲートウェイサーバー。l サブネット内のネットワークインターフェイスがネットワーク通信に使用するMTU（最大転送単

位）。l SmartConnect サービスアドレス。これは SmartConnect モジュールがこのサブネット上の

DNS リクエストをリスンする IP アドレスです。l クラスターが複数の仮想ネットワークに参加できるようにする VLAN タグ機能。l DSR（Direct Server Return）アドレス（DSR を使用する外部ハードウェアロードバランシ

ングスイッチがクラスターに含まれる場合）。外部ネットワークのサブネットを設定する方法は、ネットワークトポロジーによって異なります。たとえば、すべてのクライアントノード通信が直接接続を通じて行われる基本ネットワークトポロジーでは、単一の外部サブネットだけが必要です。もう 1 つの例として、IPv4 と IPv6 の両方のアドレスを使用して接続するクライアントの場合は、複数のサブネットを構成する必要があります。

IPv6 のサポートOneFSは、EMC Isilon クラスター上で IPv4 アドレスと IPv6 アドレスの両方の形式をサポートします。IPv6は、次世代のインターネットプロトコルアドレスであり、IP アドレスの需要の拡大を考慮して設計されています。IPv4 と IPv6間の違いを次の表に示します。IPv4 IPv6

32 ビットアドレス 128 ビットアドレス

ARP（アドレス解決プロトコル） NDP（近隣探索プロトコル）

OneFS では、IPv4、IPv6、その両方（デュアルスタック）で Isilon クラスターを構成できます。サブネットの作成時に IP ファミリーを設定し、サブネットに割り当てられたすべての IP アドレスプールで選択した形式を使用する必要があります。

VLAN

VLAN（仮想 LAN）タグは、EMC Isilon クラスターが複数の仮想ネットワークに参加することを可能にするオプションの設定です。物理ネットワークを複数のブロードキャストドメインつまり VLAN（仮想ローカルエリアネットワーク）に分割できます。クラスターが VLAN に参加できるようにすることにより、複数のネットワークスイッチなしで、複数のクラスターサブネットをサポートできます。これにより、1台の物理スイッチで複数の仮想サブネットが有効になります。VLAN タグは ID をパケットヘッダーに挿入します。スイッチは、ID を参照して、パケットの送信元のVLAN およびパケットの送信先のネットワークインターフェイスを識別します。

IP アドレスプールIP アドレスプールはサブネットに割り当てられ、1 つまたは複数の IP アドレス範囲で構成されます。ノードとネットワークインターフェイスは、論理 IP アドレスプールに区分化できます。IP アドレスプールは、SmartConnect DNS ゾーンおよびクライアント接続管理を構成するときにも使用されます。各 IP アドレスプールは、1 つのサブネットに属しています。1 つのサブネットに対する複数のプールは、SmartConnect Advanced ライセンスをアクティブ化している場合のみ使用できます。

ネットワーク

IP アドレスプール 483

プールに割り当てられる IP アドレス範囲は一意であり、プールを含むサブネットが指定する IP アドレスファミリー（IPv4 または IPv6）に属している必要があります。IP アドレスプールにネットワークインターフェイスを追加して、ノードまたはノードのグループにアドレス範囲を関連づけることができます。たとえば、必要なネットワークトラフィックに基づいて、ストレージノードに 1 つの IP アドレスプールを確立し、アクセラレータノードに別の IP アドレスプールを確立することがあります。DNS クエリー応答とクライアント接続を管理する SmartConnect設定は、IP アドレスプールレベルで構成されます。

IsilonSD Edgeは IsilonSD クラスターに接続するための IPv6 アドレスをサポートしていません。

リンク統合リンク統合（NIC（ネットワークインターフェイスカード）統合とも呼ばれます）は、物理ノード上のネットワークインターフェイスを 1 つの論理接続に結合し、ネットワークスループットを改善します。IP アドレスプールにネットワークインターフェイスを単独で、またはまとめて追加できます。リンク統合モードはプールごとに選択され、IP アドレスプール内のすべての統合ネットワークインターフェイスに適用されます。リンク統合モードは、統合ネットワークインターフェイス間のトラフィックのバランシング方法およびルーティング方法を決定します。

SmartConnect モジュールSmartConnectは、EMC Isilon クラスターの DNS サーバーがクライアントからの接続リクエストを管理する方法や、フェイルオーバーや再バランシングなど、IP アドレスをネットワークインターフェイスに割り当てるポリシーを指定するモジュールです。SmartConnect で構成される設定やポリシーは、IP アドレスプールごとに適用されます。SmartConnect の基本設定と高度な設定を行えます。

SmartConnect BasicSmartConnect Basicは OneFS に標準機能として搭載されているため、ライセンスは必要はありません。SmartConnect Basicは次の設定をサポートします。l DNS ゾーンの仕様l ラウンドロビン接続バランシング方法のみl DNS リクエストに応答するサービスサブネットSmartConnect Basic の IP アドレスプールの構成には次の制限があります。l 静的な IP アドレスの割り当てポリシーのみ指定できます。l IP アドレスのフェイルオーバーポリシーは指定できません。l IP アドレスの再バランシングポリシーは指定できません。l 各外部ネットワークサブネットに 1 つの IP アドレスプールのみ割り当てることができます。

SmartConnect AdvancedSmartConnect Advancedは、SmartConnect Basic で使用できる設定を拡張します。使用にはアクティブなライセンスが必要です。SmartConnect Advancedは、次の設定をサポートします。l ラウンドロビン、CPU の利用率、接続カウント、スループットバランシング方法。l 静的および動的 IP アドレスの割り当て。SmartConnect Advanced では、次の IP アドレスプールの構成オプションを指定できます。

ネットワーク


l IP アドレスプールの IP アドレスフェイルオーバーポリシーを定義できます。l IP アドレスプールの IP アドレス再バランシングポリシーを構成できます。l SmartConnect Advancedは外部サブネットごとに複数の IP アドレスプールをサポートし、単

一のサブネット内に複数の DNS ゾーンを設定できます。

SmartConnect ゾーンとエイリアスクライアントは、特定の IP アドレス経由または IP アドレスプールを表すドメイン経由で EMC Isilonクラスターに接続できます。各 IP アドレスプールの SmartConnect DNS ゾーン名を構成することができます。ゾーン名は完全修飾ドメイン名にする必要があります。SmartConnect では、クラスターを含む既存の権限がある DNS ゾーン内の SmartConnect サービス IP アドレスを参照する、新しい NS（ネームサーバー）レコードを追加する必要があります。また、SmartConnect ゾーンの FQDN（完全修飾ドメイン名）へのゾーンデリゲーションを DNS インフラストラクチャに指定する必要があります。SmartConnect Advanced ライセンスがある場合は、IP アドレスプール用の代替SmartConnect DNS ゾーン名のリストも指定できます。クライアントが SmartConnect DNS ゾーンを使用してクラスターに接続すると、SmartConnectはIP アドレスプールに代わって着信 DNS リクエストを処理し、サービスサブネットはプールの接続バランシングポリシーに従って着信 DNS リクエストを分配します。

DNS リクエストの処理SmartConnectは、SmartConnect サービスサブネットがプールに関連づけられている場合に、IPアドレスプールに代わってすべての着信 DNS リクエストを処理します。SmartConnect サービスサブネットは、IP アドレスプールの設定の 1 つです。SmartConnect サービスの IP アドレスで構成されていてプールと同じグループネットを参照する、すべてのサブネットを指定することができます。DNS リクエストを管理するには、少なくとも 1 つのサブネットをSmartConnect サービスの IP アドレスに構成する必要があります。構成できるサービス IP アドレスはサブネットごとに 1 つだけです。SmartConnect サービス IP アドレスは、DNS リクエストの応答のためだけに使用する必要があり、任意のプールの IP アドレス範囲にある IP アドレスであってはいけません。SmartConnect サービスIP アドレス経由でクライアント接続を行うと、予期しない動作や切断が発生します。SmartConnect サービスサブネットがいったん IP アドレスプールに関連づけられると、サービスサブネットはプールの接続バランシングポリシーに従って着信 DNS リクエストを配信します。プールに指定されたサービスサブネットが存在しない場合、SmartConnect サービス IP アドレスでサブネットが構成されていれば、プールを含むサブネットにより着信 DNS リクエストへの応答が行われます。それ以外の場合、DNS リクエストは除外されます。

SmartConnect では、クラスターを含む既存の権限がある DNS ゾーン内の SmartConnect サービス IP アドレスを参照する、新しい NS（ネームサーバー）レコードを追加する必要があります。また、SmartConnect ゾーンの FQDN（完全修飾ドメイン名）へのゾーンデリゲーションを指定する必要があります。

IP アドレスの割り当てIP アドレスの割り当てポリシーにより、プール内の IP アドレスが使用可能なネットワークインターフェイスに割り当てられる方法が指定されます。静的または動的な割り当てを使用するかどうかを指定できます。

ネットワーク

SmartConnect モジュール 485

Static

IP アドレスプールに追加された各ネットワークインターフェイスに IP アドレスを 1 つ割り当てますが、すべての IP アドレスは割り当てられない可能性があります。

一度割り当てられると、そのネットワークインターフェイスが使用不能になった場合でも、割り当てられた IP アドレスを無期限に保持します。IP アドレスをリリースするには、プールからネットワークインターフェイスを削除するか、それをノードから削除します。

SmartConnect Advanced のライセンスがない場合は、静的 IP アドレスの割り当てのみ使用できます。

Dynamic

IP アドレスプールに追加された各ネットワークインターフェイスに、すべての IP アドレスが割り当てられるまで IP アドレスを割り当てます。これにより、クライアントがプール内のどの IP アドレスに接続しても、必ず応答があります。

ネットワークインターフェイスが使用不能になった場合、IP アドレスのフェイルオーバーポリシーに従って、その IP アドレスは自動的にプール内の他の使用可能なネットワークインターフェイスに移動されます。

この方法は、SmartConnect Advanced のライセンスがある場合にのみ使用できます。

IP アドレスのフェイルオーバーネットワークインターフェイスが使用不可になると、IP アドレスのフェイスオーバーポリシーによって、ネットワークインターフェイスに割り当てられていた IP アドレスの処理方法が指定されます。IP アドレスのフェイルオーバーポリシーを定義するには、SmartConnect Advanced のライセンスがあり、IP アドレスの割り当てポリシーが動的に設定されている必要があります。IP の動的な割り当てにより、プール内のすべての IP アドレスは、使用可能なネットワークインターフェイスに確実に割り当てられます。ネットワークインターフェイスが使用不可になると、割り当てられていた IP アドレスは IP アドレスのフェイスオーバーポリシーによって有効なネットワークインターフェイスに再分配されます。その後のクライアント接続は新しいネットワークインターフェイスに送られます。次の接続バランシング方法のいずれかを選択して、IP アドレスのフェイルオーバーポリシーによって、再分配された IP アドレスをネットワークインターフェイスが受け取る方法を指定します。l ラウンド・ロビンl 接続カウントl ネットワークパフォーマンスl CPU使用率

接続バランシング接続バランシングポリシーは、DNS サーバーが EMC Isilon クラスターへのクライアント接続を管理する方法を決定します。次のバランシング方法の 1 つを指定できます。ラウンドロビン

ローテーションベースで次に使用可能なネットワークインターフェイスを選択します。これがデフォルトの方法です。SmartConnect で高度な設定を行うライセンスがない場合、ロードバランシングに使用できるのはこの方法のみです。

ネットワーク


接続カウント使用可能な各ネットワークインターフェイスで開いている TCP接続の数を判定し、クライアント接続が最も少ないネットワークインターフェイスを選択します。

ネットワークパフォーマンス使用可能な各ネットワークインターフェイスで平均スループットを判定し、ネットワークインターフェイスの負荷が最も小さいネットワークインターフェイスを選択します。

CPU使用率使用可能な各ネットワークインターフェイスで CPU の平均利用率を判定し、プロセッサの使用率が最も低いネットワークインターフェイスを選択します。

IP アドレスの再バランシングIP アドレスの再バランシングポリシーは、以前に使用不能であった 1 つ以上のネットワークインターフェイスが再び使用可能になった場合に、IP アドレスを再割り当てするタイミングを指定します。IP アドレスの再バランシングポリシーを定義するには、SmartConnect Advanced のライセンスがあり、IP アドレスの割り当てポリシーが動的に設定されている必要があります。動的な IP アドレスの割り当てにより、IP アドレスプール内のすべての IP アドレスは、使用可能なネットワークインターフェイスに確実に割り当てられます。再バランシングは手動または自動で実行するように設定できます。手動

手動で再バランシングプロセスを開始するまで、IP アドレスが再割り当てされません。

再バランシングが実行される際には、IP アドレスプールに定義された IP アドレスのフェイルオーバーポリシーに指定された接続バランシング方法に従って、IP アドレスが再割り当てされます。

自動IP アドレスプールに定義された IP アドレスのフェイルオーバーポリシーに指定された接続バランシング方法に従って、IP アドレスが自動的に再割り当てされます。

自動再バランシングは、クラスターノード、ネットワークインターフェイス、外部ネットワークの構成の変更によりトリガーされます。

再バランシングによってクライアント接続が中断される場合があります。IP アドレスプールのクライアントワークフローが、自動再バランシングの実行に適切であることを確認してください。

ノードのプロビジョニングルールノードプロビジョニングルールは、EMC Isilon クラスターに追加される新しいノードの構成方法を指定したものです。新しいノードのタイプがルールで定義されているタイプと一致する場合、ノード上のネットワークインターフェイスが、ルールで指定されているサブネットおよび IP アドレスプールに追加されます。たとえば、新しい Isilon ストレージノードを構成するノードプロビジョニングルールを作成したり、新しいアクセラレータノードを構成する別のルールを作成することができます。OneFSは新しい規則が追加されると、競合がないことを確認するために、複数のプロビジョニング規則がないかどうか自動的に検査します。

ネットワーク

ノードのプロビジョニングルール 487

ルーティングオプションOnefS では、ソースベースのルーティングと静的経路がサポートされます。これらにより、EMC Isilonクラスター上の発信クライアントトラフィックの方向をよりきめ細かく制御できます。ルーティングオプションが定義されていない場合、デフォルトでは、クラスター上の発信クライアントトラフィックはデフォルトゲートウェイを通じてルーティングされます。これはノードで最も優先度設定が低いゲートウェイです。トラフィックがローカルサブネットにルーティングされており、ゲートウェイ経由でルーティングする必要がない場合は、トラフィックはサブネット上のインターフェイスを通じて直接送出されます。

ソースベースルーティングソースベースルーティングでは、各パケットヘッダーのソース IP アドレスに基づいて発信クライアントトラフィックを渡すゲートウェイを選択します。ソースベースルーティングが有効化されている場合、ネットワーク構成が自動的にスキャンされてクライアントトラフィックルールが作成されます。ネットワーク構成に、ゲートウェイサーバーの IP アドレスの変更などの変更を加えた場合、ソースベースルーティングはルールを調整します。ソースベースルーティングは、EMC Isilon クラスター全体に適用され、IPv6 プロトコルをサポートしません。次の例では、SubnetA および SubnetB に接続されている Isilon クラスターでソースベースルーティングを有効化します。各サブネットは、A および B というラベルがつけられた SmartConnect ゾーンとゲートウェイで構成されています。SubnetAは SmartConnect ZoneB にリクエストを行い、レスポンスは ZoneB から開始します。この結果、ZoneBはパケットヘッダーでソース IP としてアドレス指定し、レスポンスは GatewayB にルーティングされます。ソースベースルーティングがない場合、デフォルトの経路は宛先ベースであるため、レスポンスは GatewayA にルーティングされます。別の例では、Isilon クラスターに接続されていない SubnetC上のクライアントが、SmartConnectZoneA および ZoneB にリクエストを行います。ZoneA からのレスポンスは GatewayA にルーティングされ、ZoneB からのレスポンスは GatewayB にルーティングされます。つまり、トラフィックはゲートウェイ間で分割されます。ソースベースルーティングがない場合、両方のレスポンスが同じゲートウェイにルーティングされます。デフォルトでは、ソースベースルーティングは無効になっています。ソースベースルーティングの有効化または無効化は即時に有効になります。移動中のパケットは元の経路を継続し、後続のトラフィックはステータス変更に基づいてルーティングされます。複数パケットから構成されるトランザクションは、ソースベースルーティングのステータスが送信中に変更された場合に停止または遅延することがあります。ソースベースルーティングは、静的経路と競合することがあります。ルーティングの競合が発生した場合、ソースベースルーティングのルールが静的経路より優先されます。トポロジーが複雑な大規模ネットワークがある場合は、ソースベースルーティングを有効化できます。たとえば、ネットワークが複数のゲートウェイを持つマルチテナント環境である場合、トラフィックはソースベースルーティングでより効率的に分散されます。

静的ルーティング静的経路は、クライアント接続の IP アドレスに基づいて、発信クライアントトラフィックを指定したゲートウェイに渡します。静的経路は IP アドレスプールごとに構成し、ネットワークインターフェイスを IP アドレスプールのメンバーとして含むすべてのノードに各経路が適用されます。デフォルト経路では使用不可のネットワークに接続するため、または 1 つか 2 つの経路のみ必要な小規模ネットワークがある場合は、静的ルーティングを構成できます。

ネットワーク


OneFS 7.0.0 より前のバージョンからアップグレードした場合、rc スクリプトで追加された既存の静的経路は機能しなくなり、再作成する必要があります。

内部ネットワークの構成EMC Isilon クラスターの内部ネットワーク設定を変更できます。次のアクションを使用できます。l 内部ネットワークと int-b/フェイルオーバーネットワークの IP アドレス範囲の変更l 内部ネットワークのネットマスクの変更l 内部フェイルオーバーネットワークの構成と有効化l 内部ネットワークフェイルオーバーの無効化int-b/フェイルオーバーネットワークを構成すると、int-a ネットワークで障害が発生した場合に、バックアップを提供できます。この構成では、フェイルオーバーネットワークに対して有効なネットマスクとIP アドレス範囲を指定します。

内部 IP アドレス範囲の変更内部 InfiniBand ネットワークごとに、IP アドレス範囲が必要です。この範囲には、現在の運用状況に加えて、将来のノードの拡張および追加に対応するために十分な数の IP アドレスが必要です。初期内部ネットワーク（int-a）ネットワークと 2番目の内部ネットワーク（int-b/フェイルオーバー）の両方に対して、IP アドレスの追加、削除、移行を実行できます。手順

1. ［Cluster Management］ > ［Network Configuration］ > ［Internal Network］をクリックします。

2. ［Internal Networks Settings］領域で、IP アドレスを追加するネットワークを選択します。l int-a ネットワークを選択するには、［int-a］をクリックします。l int-b/フェイルオーバーネットワークを選択するには、［int-b/Failover］をクリックします。

IsilonSD Edge の内部ネットワーク設定を指定する場合は、このステップを無視してください。

3. ［IP Ranges］領域では、IP アドレス範囲を追加、削除、移行できます。新しい範囲は、前の範囲と連続していることが理想的です。たとえば、現在の IP アドレス範囲が 192.168.160.60～192.168.160.162 の場合、新しい範囲は 192.168.160.163 から始まるようにします。

4. ［Submit］をクリックします。5. 必要に応じてクラスターを再起動します。

l 現在使用されている任意の IP アドレスを削除する場合は、クラスターを再起動する必要があります。

l IP アドレスの変更が内部ネットワークのネットマスク内にとどまる場合は、クラスターを再起動する必要はありません。

ネットワーク

内部ネットワークの構成 489

l 内部ネットワークネットマスクを変更する場合は、クラスターを再起動する必要があります。

l IP アドレスの範囲を移行した場合は、クラスターを再起動する必要があります。

内部ネットワークのネットマスクの変更内部ネットワークのネットマスク値を変更できます。ネットマスクが内部ネットワークのサイズに対して限定され過ぎている場合、ネットマスクの設定を変更する必要があります。内部ネットマスクに対しては、255.255.255.0などのクラス C ネットマスクを指定することを推奨します。このネットマスクには、将来のノードに対応するための十分な大きさがあります。

ネットマスク値の変更を有効にするには、クラスターを再起動する必要があります。

手順1. ［Cluster Management］ > ［Network Configuration］ > ［Internal Network］をクリックします。

2. ［Internal Network Settings］領域で、ネットマスクを構成するネットワークを選択します。l int-a ネットワークを選択するには、［int-a］をクリックします。l int-b/フェイルオーバーネットワークを選択するには、［int-b/Failover］をクリックします。

IsilonSD Edge のネットマスクを構成している場合は、このステップを無視してください。

int-a と int-b/フェイルオーバーに指定するネットマスクの値は同じにすることを推奨します。一方のネットマスクの値を変更する場合は、もう一方も変更してください。

3. ［Netmask］フィールドに、ネットマスク値を入力します。

変更によっていずれかのノードアドレスが無効になる場合は、ネットマスク値を変更できません。


クラスターの再起動を求めるダイアログボックスが表示されます。5. クラスターをいつ再起動するかを指定します。

l クラスターをすぐに再起動するには、［Yes］をクリックしますクラスターの再起動が完了すると、ログインページが表示されます。

l 設定を変更せず、またはクラスターを再起動せずに［Edit Internal Network］ページに戻るには、［No］をクリックします。

内部フェイルオーバーの構成と有効化EMC Isilon クラスターで、内部フェイルオーバーを有効化できます。

IsilonSD クラスターでの内部フェイルオーバーは、VMware vSphere でサポートされているフェイルオーバーポリシーを使用して有効になります。そのため、この手順は IsilonSD Edge には適用されません。

ネットワーク



2. ［Internal Network Settings］領域で、［int-b/Failover］をクリックします。3. ［int-b］ネットワークの［IP Ranges］領域で、［Add range］をクリックします。4. ［Add IP Range］ダイアログボックスで、最初の［IP range］フィールドに、範囲の下限の

IP アドレスを入力します。5. 2 つ目の［IP range］フィールドに、範囲の上限の IP アドレスを入力します。

int-a と int-b/フェイルオーバーネットワークの範囲間で、IP アドレスが重複しないようにしてください。たとえば、int-a ネットワークの IP アドレス範囲が 192.168.1.1～192.168.1.100 の場合は、int-b ネットワークに対して 192.168.2.1～192.168.2.100 の範囲を指定します。

6. ［Submit］をクリックします。7. ［Failover］ネットワークの［IP Ranges］領域で、［Add range］をクリックします。

フェイルオーバーネットワークの IP アドレス範囲を追加します。int-a ネットワークまたは int-bネットワークと重複しないようにしてください。

［Edit Internal Network］ページが表示され、［IP Ranges］リストに新しい IP アドレスの範囲が表示されます。

8. ［Settings］領域で、有効なネットマスクを指定します。int-a ネットワークとフェイルオーバーネットワークの IP アドレス範囲間で、重複がないようにしてください。

int-a と int-b/フェイルオーバーに指定するネットマスクの値は同じにすることを推奨します。

9. ［Settings］領域の［State］で［Enable］をクリックし、int-b ネットワークとフェイルオーバーネットワークを有効にします。


［Confirm Cluster Reboot］ダイアログボックスが表示されます。11. ［Yes］をクリックして、クラスターを再起動します。

内部ネットワークフェイルオーバーの無効化int-b およびフェイルオーバー内部ネットワークを無効化できます。

IsilonSD Edge を実行している場合は、次のステップを無視してください。


2. ［Internal Network Settings］領域で、［int-b/Failover］をクリックします。3. ［State］領域で、［Disable］をクリックします。4. ［Submit］をクリックします。

［Confirm Cluster Reboot］ダイアログボックスが表示されます。5. ［Yes］をクリックして、クラスターを再起動します。

ネットワーク

内部ネットワークフェイルオーバーの無効化 491

グループネットの管理EMC Isilon クラスター上にグループネットを作成し、管理することができます。

グループネットの作成グループネットを作成して、DNS クライアントの設定を構成することができます。手順

1. ［Cluster Management］ > ［Networking Configuration］ > ［ExternalNetwork］をクリックします。

2. ［Add a groupnet］をクリックします。

［Create Groupnet］ウィンドウが開きます。3. ［Name］フィールドに、システム内で一意であるグループネット名を入力します。

この名前は、最大 32文字の英数字にすることができます。アンダースコアまたはハイフンは使用できますが、スペースまたはその他の句読点を含めることはできません。

4. (オプション) ［Description］フィールドに、そのグループネットに関するわかりやすいコメントを入力します。コメントは 128文字を超えることはできません。

5. ［DNS Settings］領域で、グループネットに適用する次の DNS設定を構成します。l ［DNS サーバー］l ［DNS Search Suffixes］l ［DNS Resolver Rotate］l ［Server-side DNS Search］l ［DNS Cache］

6. ［Add Groupnet］をクリックします。

DNS設定DNS サーバーをグループネットに割り当て、DNS サーバーの動作を指定する DNS設定を変更できます。

設定説明

DNS Servers DNS IP アドレスのリストを設定します。ノードはこれらの IP アドレスに DNS リクエストを発行します。3台を超える DNS サーバーを指定することはできません。

DNS Search Suffixes DNS検索サフィックスのリストを設定します。サフィックスは、完全修飾されていないドメイン名の後に追加されます。6個を超えるサフィックスを指定することはできません。

ネットワーク


設定説明

Enable DNS resolver rotate DNS サーバー間でローテーションまたはラウンドロビンを行うように DNS リゾルバーを設定します。

Enable DNS server-side search サーバー側の DNS検索機能が有効になっているかどうかを指定します。これにより、DNS検索リストはSmartConnect サービス IP アドレスによって処理されるクライアント DNS の照会に追加されます。

Enable DNS cache グループネットの DNS キャッシュが有効であるかどうかを指定します。

グループネットの変更名前、サポートされている DNS サーバー、DNS構成の設定を含むグループネット属性を変更できます。手順


2. 変更を行うグループネットの行で［View/Edit］ボタンをクリックします。3. ［View Groupnet Details］ウィンドウから［Edit］をクリックします。4. ［Edit Groupnet Details］ウィンドウで、必要に応じてグループネットの設定を変更しま

す。5. ［Save changes］をクリックします。

グループネットの削除アクセスゾーンや認証プロバイダーに関連づけられていない、デフォルトグループネット以外のグループネットをシステムから削除できます。システムからグループネットを削除すると、OneFS の他いくつかの領域に影響を与える可能性があるため、注意して実行する必要があります。はじめにいくつかの例では、グループネットと OneFS のもう 1 つのコンポーネント（アクセスゾーンや認証プロバイダーなど）の間の関連づけは絶対的です。別のグループネットに関連づけられるようにこれらのコンポーネントを変更することはできません。グループネットを削除する必要がある場合、EMC では次の順序でこれらのタスクを完了することを推奨します。

1. グループネットに関連づけられているサブネットの IP アドレスプールを削除します。2. グループネットに関連づけられているサブネットを削除します。3. グループネットに関連づけられている認証プロバイダーを削除します。4. グループネットに関連づけられているアクセスゾーンを削除します。手順


2. 削除するグループネットの行で［More］ボタンをクリックし、［Delete Groupnet］をクリックします。

3. ［Confirm Delete］ダイアログボックスで、［Delete］をクリックします。

ネットワーク

グループネットの変更 493

グループネットに関連づけられているアクセスゾーンを最初に削除しなかった場合、削除が失敗し、システムにエラーが表示されます。

グループネットの表示システム上のすべてのグループネットのリストを表示し、特定のグループネットの詳細を表示できます。手順


［External Network］表では、システム内のすべてのグループネットを表示し、次の属性を表示します。l グループネット名l グループネットに割り当てられた DNS サーバーl グループネットのタイプl グループネットの説明

2. 行内の［View/Edit］ボタンをクリックすると、そのグループネットの現在の設定が表示されます。［View Groupnet Details］ダイアログボックスが開き、次の設定が表示されます。l グループネット名l グループネットの説明l グループネットに割り当てられた DNS サーバーl DNS検索サフィックスl DNS リゾルバーが有効になっているかどうかl DNS検索が有効になっているかどうかl DNS キャッシュが有効になっているかどうか

3. グループネットに割り当てられているサブネットを表示するには、グループネット名の横にあるツリーの矢印をクリックします。表では、グループネットツリー内の新しい行に各サブネットを表示します。

4. グループネットの詳細の表示が終了したら、［Close］をクリックします。

外部ネットワークのサブネットの管理EMC Isilon クラスター上にサブネットを作成し、管理することができます。

サブネットの作成外部ネットワークにサブネットを追加できます。サブネットは、グループネットの下に作成されます。手順


2. 新しいサブネットを含むグループネットの横にある、［More］ > ［Add Subnet］をクリックします。

ネットワーク


システムで［Create Subnet］ウィンドウが表示されます。3. ［Name］フィールドに、新しいサブネットの名前を指定します。

この名前は、最大 32文字の英数字にすることができます。アンダースコアまたはハイフンは使用できますが、スペースまたはその他の句読点を含めることはできません。

4. (オプション) ［Description］フィールドに、そのサブネットに関するわかりやすいコメントを入力します。コメントは、128文字以内にします。

5. ［IP family］領域で、次のいずれかの IP アドレス形式をサブネットに選択します。l ［IPv4 ］l ［IPv6］

IPv6 のアドレス形式は IsilonSD Edge ではサポートされていません。

すべてのサブネット設定とサブネットに追加する IP アドレスプールは、指定したアドレス形式を使用する必要があります。サブネットがいったん作成されると、アドレスファミリーを変更することはできません。

6. ［Netmask］フィールドに、選択した IP ファミリーによって、サブネットマスクまたはプレフィックス長を指定します。l IPv4 サブネットの場合、サブネットマスクを表すドット付き 10進数オクテット（x.x.x.x）を入力します。

l IPv6 サブネットの場合、ネットワークのプレフィックス長を表す整数（1～128 の範囲）を入力します。

7. ［Gateway Address］フィールドに、クラスタがサブネット外部のシステムへと通信をルーティングするために使用するゲートウェイの IP アドレスを入力します。

8. ［Gateway Priority］フィールドに、複数のサブネットがあるノードのデフォルトゲートウェイとしてインストールされるサブネットゲートウェイを決定する優先度（整数）を入力します。

1 の値は、最高の優先度を表します。

9. ［MTU］リストに、ネットワーク通信でクラスタが使用する最大転送単位のサイズを入力または選択します。任意の数値を使用できますが、ネットワークと、ネットワークパスにあるすべてのデバイスの構成との互換性が必要です。一般的な設定は、1500（標準フレーム）と9000（ジャンボフレーム）です。

OneFSは、1500 MTU と 9000 MTU の両方をサポートしていますが、ネットワークトラフィックに対してより大きなフレームサイズを使用すると、クライアントとクラスタノード間の外部ネットワークで、通信の効率が向上します。たとえば、サブネットが 10 GbE インターフェイスを通して接続されていて、サブネットの IP アドレスプールに NIC統合が構成されている場合は、MTU を 9000 に設定することをお勧めします。ジャンボフレームを活用するには、ネットワークパス内のすべてのデバイスを、ジャンボフレームを使用するよう構成する必要があります。

10. 接続バランシングのために SmartConnect を使用する場合は、［SmartConnectService IP］フィールドに、クライアント接続ポリシーに従って、各 IP アドレスプールに対するすべての着信 DNS リクエストを受信する IP アドレスを入力します。接続バランシングを使用するには、SmartConnect サービス用 IP を使用して、少なくとも 1 つのサブネットを構成する必要があります。

11. ［SmartConnect Service Name］フィールドに、SmartConnect サービス名を指定します。

ネットワーク

サブネットの作成 495

12. クラスタが仮想ネットワークに参加できるようにする場合は、［Advanced Settings］セクションで VLAN タグ機能を有効にします。

VLAN を構成するには、ネットワークスイッチに関する高度な知識が必要です。VLAN用にクラスタを構成する前に、ネットワークスイッチのドキュメントを参照してください。

13. VLAN タグを有効化した場合は、スイッチで設定された VLAN の ID番号に対応するVLAN ID（2～4094 の値）を指定します。

14. ［Hardware Load Balancing IPs］フィールドに、DSR（Direct Server Return）を使用するハードウェアロードバランシングスイッチの IP アドレスを入力します。この場合、すべてのクライアントトラフィックは、スイッチを経由してクラスタに経路指定されます。スイッチは、どのノードがクライアントのトラフィックを処理するかを判断して、トラフィックをそのノードに渡します。

15. ハードウェアロードバランシング IP を削除するには［Remove IP］をクリックします。16. ［Add Subnet］をクリックします。

サブネットの変更外部ネットワークのサブネットを変更できます。手順


2. 変更するサブネットの横の［View/Edit］をクリックします。

システムは［View Subnet Details］ウィンドウを表示します。3. ［Edit］をクリックします。

システムは［Edit Subnet Details］ウィンドウを表示します。4. サブネットの設定を変更し、［Save Changes］をクリックします。

サブネットの削除外部ネットワークのサブネットは削除できます。使用中のサブネットを削除すると、EMC Isilon クラスターにアクセスできなくなることがあります。削除されたサブネットに属している IP アドレスプールを使用したクラスターへのクライアント接続は終了されます。手順


2. 削除するサブネットの横にある［More］ > ［Delete Subnet］をクリックします。3. 確認のプロンプトの［Delete］をクリックします。

サブネット設定項目の表示特定のサブネットの設定の詳細を表示することができます。

ネットワーク


手順1. ［Cluster Management］ > ［Network Configuration］ > ［External Network］をクリックします。

2. 表示するサブネットの横の［View/Edit］をクリックします。

システムは［View Subnet Details］ウィンドウを表示します。3. ［Close］をクリックしてウィンドウを閉じます。

SmartConnect サービスの IP アドレスの構成サブネットを SmartConnect サービスのサブネットとして使用するように構成されている各 IP アドレスプールにすべての着信 DNS リクエストを受信する SmartConnect サービス IP アドレスを、サブネット内に設定できます。手順




システムは［Edit Subnet Details］ウィンドウを表示します。4. ［SmartConnect Service IP］フィールドに、IP アドレスを入力します。5. ［Save Changes］をクリックします。

必要条件IP アドレスプールで構成済みの SmartConnect サービス IP アドレスを使用して DNS リクエストに応答させる場合は、このサブネットを SmartConnect サービスのサブネットとして指定するように、プールの設定を変更します。

VLAN タグ機能の有効化または無効化仮想 LAN または VLAN とも呼ばれる複数の仮想プライベートネットワークに参加するように、クラスタを構成できます。手順




システムは［Edit Subnet Details］ウィンドウを表示します。4. ［Allow VLAN tagging］チェックボックスをオンにして、VLAN タグ機能を有効化または無

効化します。5. VLAN タグ機能を有効にする場合は、2～4094 までの数値を［VLAN ID］フィールドに入

力します。番号は、スイッチに設定された VLAN ID の番号に対応している必要があります。6. ［Save Changes］をクリックします。

ネットワーク

SmartConnect サービスの IP アドレスの構成 497

DSR アドレスの追加または削除ネットワークに DSR（Direct Server Return）を使用するハードウェアロードバランシングスイッチが含まれている場合は、各サブネットに DSR アドレスを構成する必要があります。

DSR アドレスはスイッチを経由してすべてのクライアントトラフィックを EMC Isilon クラスターにルーティングします。スイッチは、どのノードがクライアントのトラフィックを処理するかを判断して、トラフィックをそのノードに渡します。手順


2. 変更するサブネットの横の［View/Edit］をクリックします。［View Subnet Details］ウィンドウが表示されます。

3. ［Edit］をクリックします。［Edit Subnet Details］ウィンドウが表示されます。

4. ［Hardware Load Balancing IPs］フィールドに、DSR アドレスを入力します。5. ［Save Changes］をクリックします。

IP アドレスプールの管理EMC Isilon クラスター上に IP アドレスプールを作成し、管理することができます。

IP アドレスプールの作成外部ネットワークに IP アドレスプールを追加できます。プールはサブネットの下に作成されます。手順


2. 新しい IP アドレスプールを含めるサブネットの横にある［More］ > ［Add Pool］をクリックします。システムで［Create Pool］ウィンドウが表示されます。

3. ［Name］フィールドに、新しい IP アドレスプールの名前を指定します。この名前は、最大 32文字の英数字にすることができます。アンダースコアまたはハイフンは使用できますが、スペースまたはその他の句読点を含めることはできません。

4. (オプション) ［Description］フィールドに、その IP アドレスプールに関するわかりやすいコメントを入力します。コメントは、128文字以内にします。

5. ［Access Zone］リストで、IP アドレスプールに関連づけるアクセスゾーンを選択します。このプール内の IP アドレスを使用して接続するクライアントは、関連づけられたアクセスゾーン内のデータにのみアクセスできます。

6. ［IP range］領域で、提供されたフィールドに IP アドレスプールに割り当てる IP アドレスの範囲を入力します。範囲を次の形式で指定します。<lower_ip_address>–<higher_ip_address>。

ネットワーク


7. ［Add Pool］をクリックします。

IP アドレスプールの変更外部ネットワークの IP アドレスプールを変更できます。手順


2. 変更する IP アドレスプールの横にある［View/Edit］をクリックします。

システムは［View Pool Details］ウィンドウを表示します。3. ［Edit］をクリックします。

システムは［Edit Pool Details］ウィンドウを表示します。4. IP アドレスプールの設定を変更し、［Save Changes］をクリックします。

IP アドレスプールの削除Web インターフェイスを使用して、IP アドレスプールの設定を削除できます。

使用されている IP アドレスプールを削除すると、EMC Isilon クラスターにアクセスできなくなることがあります。プール内の IP アドレスを使用した、クラスターへのクライアント接続が終了します。


2. 削除する IP アドレスプールの横にある［More］ > ［Delete Pool］をクリックします。3. 確認のプロンプトで［Delete］をクリックします。

IP アドレスプール設定の表示特定の IP アドレスプールの設定の詳細を表示することができます。手順


2. 表示する IP アドレスプールの横の［View/Edit］をクリックします。

システムは［View Pool Details］ウィンドウを表示します。3. ［Close］をクリックしてウィンドウを閉じます。

IP アドレス範囲の追加または削除IP アドレスプール設定内の IP アドレス範囲を追加するか削除することができます。手順



［View Pool Details］ウィンドウが表示されます。

ネットワーク

IP アドレスプールの変更 499


［Edit Pool Details］ウィンドウが表示されます。4. 範囲を追加するには、［IP range］領域で、提供されたフィールドに IP アドレスプールに割

り当てる IP アドレスの範囲を入力します。

範囲は、low IP address - high IP address の形式で指定します。

5. 追加の範囲を追加するには、［Add an IP range］をクリックします。

システムは、追加の範囲の下限と上限の IP アドレスを入力できるフィールドを提供します。6. IP アドレス範囲を削除するには、削除する範囲の横にある［Remove IP range］をクリッ

クします。7. ［Save Changes］をクリックします。

SmartConnect設定の管理EMC Isilon クラスターでは、各 IP アドレスプールの SmartConnect設定を構成できます。

SmartConnect DNS ゾーンの変更IP アドレスプールに対する DNS リクエストを処理する、SmartConnect の DNS ゾーンと代替DNS ゾーンのエイリアスを指定することができます。手順




システムは［Edit Pool Details］ウィンドウを表示します。4. ［SmartConnect Basic］領域で、［Zone name］フィールドに SmartConnect DNS

ゾーンを指定します。SmartConnect DNS ゾーンは、FQDN（完全修飾ドメイン名）にする必要があります。

5. (オプション) ［SmartConnect Advanced］領域で、［SmartConnect ZoneAliases］フィールドに SmartConnect DNS ゾーンのエイリアスを指定します。

SmartConnect Advanced のライセンスは、ゾーンのエイリアスを指定するために必要です。


必要条件SmartConnect ゾーンを使用するには、DNS ゾーンの権限を委任するように DNS インフラストラクチャを構成する必要があります。SmartConnect サービスの IP アドレスをポイントしている新しいNS（ネームサーバー）レコードを追加し、ゾーンデリゲーションを SmartConnect ゾーン名のFQDN の新しいネームサーバーに追加します。

ネットワーク


SmartConnect サービスサブネットの指定IP アドレスプールの SmartConnect サービスサブネットとして、サブネットを指定できます。サービスサブネットは、プールの SmartConnect DNS ゾーンに代わってすべての DNS リクエストに応答します。はじめにSmartConnect サービスサブネットとして指定するサブネットには、SmartConnect サービス IP アドレスが構成されている必要があり、そのサブネットは IP アドレスプールと同じグループネットにある必要があります。たとえば、両方のサブネットが同じグループネットに所属していれば、プールがsubnet3 に属している可能性がある場合でも、SmartConnect サービスサブネットとしてsubnet5 を指定できます。

プールに指定されたサービスサブネットが存在しない場合、SmartConnect サービス IP アドレスでサブネットが構成されていれば、プールを含むサブネットにより着信 DNS リクエストへの応答が行われます。それ以外の場合、DNS リクエストは除外されます。




システムは［Edit Pool Details］ウィンドウを表示します。4. ［SmartConnect Basic］領域で、［SmartConnect Service Subnet］リストからサ

ブネットを選択します。5. ［Save Changes］をクリックします。

ノードの一時停止または再開ノードの SmartConnect DNS応答を一時停止し、再開することができます。手順




システムは［Edit Pool Details］ウィンドウを表示します。4. ノードを一時停止する方法：

a.［SmartConnect Suspended Nodes］領域で［Suspend Nodes］をクリックします。システムは［Suspend Nodes］ウィンドウを表示します。

b. LNN（論理ノード番号）を［Available］テーブルから選択し、［Add］をクリックします。

c.［Suspend Nodes］をクリックします。

ネットワーク

SmartConnect サービスサブネットの指定 501

d. 確認用ウィンドウで［Confirm］をクリックします。5. ノードの再開方法：

a.［SmartConnect Suspended Nodes］表で再開するノード番号の横にある［Resume］ボタンをクリックします。

b. 確認用ウィンドウで［Confirm］をクリックします。6. ［Close］をクリックします。

IP アドレスアロケーションの構成ネットワークインターフェイスに静的または動的に IP アドレスプール内の IP アドレスを割り当てるかどうかを指定することができます。はじめに動的 IP アドレスアロケーションを構成するには、SmartConnect Advanced ライセンスをアクティブ化する必要があります。手順


2. 変更する IP アドレスプールの横にある［View/Edit］をクリックします。システムは［View Pool Details］ウィンドウを表示します。

3. ［Edit］をクリックします。システムは［Edit Pool Details］ウィンドウを表示します。

4. ［SmartConnect Advanced Settings］領域の［Allocation Method］リストで、次のアロケーション方法のいずれかを選択します。l Static

l Dynamic


サポートされている IP割り当て方法IP アドレスの割り当てポリシーにより、プール内の IP アドレスが使用可能なネットワークインターフェイスに割り当てられる方法が指定されます。静的または動的な割り当てを使用するかどうかを指定できます。Static

IP アドレスプールに追加された各ネットワークインターフェイスに IP アドレスを 1 つ割り当てますが、すべての IP アドレスは割り当てられない可能性があります。

一度割り当てられると、そのネットワークインターフェイスが使用不能になった場合でも、割り当てられた IP アドレスを無期限に保持します。IP アドレスをリリースするには、プールまたはクラスターからネットワークインターフェイスを削除します。

SmartConnect Advanced のライセンスがない場合は、静的 IP アドレスの割り当てのみ使用できます。

Dynamic

IP アドレスプールに追加された各ネットワークインターフェイスに、すべての IP アドレスが割り当てられるまで IP アドレスを割り当てます。これにより、クライアントがプール内のどの IP アドレスに接続しても、必ず応答があります。

ネットワーク


ネットワークインターフェイスが使用不能になった場合、IP アドレスのフェイルオーバーポリシーに従って、その IP アドレスは自動的にプール内の他の使用可能なネットワークインターフェイスに移動されます。

この方法は、SmartConnect Advanced のライセンスがある場合にのみ使用できます。

ファイル共有プロトコルに基づく割り当ての推奨事項ステータスや情報を持つプロトコル経由でクライアントが接続する場合は静的な割り当て方法、ステータスや情報を持たないプロトコル経由の場合は動的な割り当て方法を選択することを推奨します。次の表に一般的なプロトコルと推奨される割り当て方法を示します。ファイル共有プロトコル推奨される割り当て方法

l SMB

l HTTP

l FTP

l sFTP

l FTPS

l SyncIQ

l Swift

Static

l NFSv3

l NFSv4

l HDFS

Dynamic

接続バランシングポリシーの構成IP アドレスプールの接続バランシングポリシーを設定できます。手順




システムは［Edit Pool Details］ウィンドウを表示します。4. ［SmartConnect Advanced］領域で、［Client Connection Balancing Policy］リ

ストから以下のバランシング方法のいずれかを選択します。l ［Round-robin］

ラウンドロビンはデフォルトの設定であり、SmartConnect Advanced ライセンスをアクティブ化せずに使用できる唯一のバランシング方法です。

l ［Connection count］l ［Throughput］

ネットワーク

接続バランシングポリシーの構成 503

l ［CPU usage］5. ［Save Changes］をクリックします。

サポートされる接続バランシング方法接続バランシングポリシーは、DNS サーバーが EMC Isilon クラスターへのクライアント接続を管理する方法を決定します。次のバランシング方法の 1 つを指定できます。ラウンド・ロビン

ローテーションベースで次に使用可能なノードを選択します。これがデフォルトの方法です。SmartConnect で高度な設定を行うライセンスがない場合、ロードバランシングに使用できるのはこの方法のみです。

接続カウント使用可能な各ノードで TCP接続を開く番号を判定し、クライアント接続が最も少ないノードを選択します。

ネットワークパフォーマンス使用可能な各ノードで平均スループットを判定し、ネットワークインターフェイスの負荷が最も小さいノードを選択します。

CPU使用率使用可能な各ノードで CPU の利用率を判定し、プロセッサの使用率が最も低いノードを選択します。

IP フェイルオーバーポリシーの構成IP アドレスプールの IP フェイルオーバーポリシーを設定できます。

はじめにIP フェイルオーバーポリシーを構成するには、SmartConnect Advanced ライセンスをアクティブ化する必要があります。手順




システムは［Edit Pool Details］ウィンドウを表示します。4. ［SmartConnect Advanced］領域で、以下のフェイルオーバー方法のいずれかを［IP

Failover Policy］リストから選択します。l ［Round-robin］l ［Connection count］l ［Throughput］l ［CPU usage］


ネットワーク


IP再バランスポリシーの構成IP アドレスプールの手動または自動の再バランスポリシーを構成できます。

はじめにIP アドレスプールの再バランスポリシーを構成するには、SmartConnect Advanced のライセンスをアクティブ化し、アロケーション方法を dynamic に設定する必要があります。手順




システムは［Edit Pool Details］ウィンドウを表示します。4. ［SmartConnect Advanced］領域で、［Rebalance Policy］リストから以下の再バラ

ンシング方法のいずれかを選択します。l ［Automatic］l ［Manual］


サポートされる再バランシング方法IP アドレスの再バランシングポリシーは、以前に使用不能であった 1 つ以上のネットワークインターフェイスが再び使用可能になった場合に、IP アドレスを再割り当てするタイミングを指定します。

再バランシングは手動または自動で実行するように設定できます。手動

コマンドラインインターフェイスからリバランスコマンドを手動で実行するまで、IP アドレスは再分配されません。

再バランシングが実行される際には、IP アドレスプールに定義された IP アドレスのフェイルオーバーポリシーに指定された接続バランシング方法に従って、IP アドレスが再割り当てされます。

自動IP アドレスプールに定義された IP アドレスのフェイルオーバーポリシーに指定された接続バランシング方法に従って、IP アドレスが自動的に再割り当てされます。

自動再バランシングは、クラスターノード、ネットワークインターフェイス、外部ネットワークの構成の変更によりトリガーされます。

再バランシングによってクライアント接続が中断される場合があります。IP アドレスプールのクライアントワークフローが、自動再バランシングの実行に適切であることを確認してください。

IP アドレスの手動での再バランシング外部ネットワーク上の特定の IP アドレスプールまたはすべてのプールを手動で再バランシングすることができます。

ネットワーク

IP再バランスポリシーの構成 505

はじめにSmartConnect Advanced ライセンスをアクティブ化する必要があります。手順

1. プール内の IP アドレスを手動で再バランシングする方法：a.［Cluster Management］ > ［Network Configuration］ > ［External

Network］をクリックします。b. 変更する IP アドレスプールの横にある［View/Edit］をクリックします。

システムは［View Pool Details］ウィンドウを表示します。c.［Edit］をクリックします。

システムは［Edit Pool Details］ウィンドウを表示します。d.［Advanced Settings］領域で、［Rebalance Pool IPs］をクリックします。e. 確認用ウィンドウで［Confirm］をクリックします。f.［Cancel］をクリックして［Edit Pool Details］ウィンドウを閉じます。

2. すべての IP アドレスプールを手動で再バランシングする方法：a.［Cluster Management］ > ［Network Configuration］ > ［Settings］の順にクリックします。

b.［Rebalance All IPs］をクリックします。c. 確認用ウィンドウで［Confirm］をクリックします。

ネットワークインターフェイスメンバーの管理ネットワークインターフェイスを IP アドレスプールに追加し、そこから削除することができます。

ネットワークインターフェイスの追加または削除どのネットワークインターフェイスを IP アドレスプールに割り当てるかを構成できます。手順




システムは［Edit Pool Details］ウィンドウを表示します。4. IP アドレスプールにネットワークインタフェースを追加する方法：

a.［Pool Interface Members］領域で、対象となるインターフェイスを［Available］表から選択します。プールに統合インターフェイスを追加する場合は、統合インターフェイスの一部であるインターフェイスを個別に追加できません。

b.［Add］をクリックします。

ネットワーク


5. ネットワークインターフェイスを IP アドレスプールから削除する方法：a.［Pool Interface Members］領域で、対象となるインターフェイスを［In Pool］表から選択します。

b.［［Remove］］をクリックします。6. ［Save Changes］をクリックします。

リンクアグリゲーションの構成リンク統合により、ノード上にある複数の物理外部ネットワークインターフェイスを単一の論理インターフェイスに結合できます。手順




システムは［Edit Pool Details］ウィンドウを表示します。4. ［Pool Interface Members］領域で、対象となる統合インターフェイスを［Available］

表から選択し、［Add］をクリックします。5. ［Advanced Settings］領域から次のリンク統合方法のいずれかを［Aggregation

Mode］リストから選択します。l ［Round-robin］l ［Failover］l ［LACP］l ［FEC］


リンク統合モードリンク統合モードは、統合ネットワークインターフェイス間のトラフィックのバランシング方法およびルーティング方法を決定します。統合モードはプールごとに選択され、IP アドレスプール内のすべての統合ネットワークインターフェイスに適用されます。

OneFS では、動的および静的な統合モードをサポートします。動的統合モードでは、スイッチが類似の統合モードを使用できるように、統合されたインターフェイスを持つノードのスイッチとの通信を有効にします。静的モードでは、ノードとスイッチ間の通信は促進されません。OneFSは、次のリンク統合モードをサポートしています。LACP（Link Aggregation Control Protocol）

IEEE 802.3ad LACP（Link Aggregation Control Protocol）をサポートしている動的統合モード。これにより、スイッチレベルで LACP を構成できるため、ノードがスイッチでインターフェイス統合をネゴシエートできます。LACPはソースと宛先のアドレスおよび VLAN タグ（使用可能な場合）を含むハッシュプロトコルヘッダー情報に基づいて、インターフェイス間で発信トラフィックのバランスをとります。このオプションはデフォルトの統合モードです。

ネットワーク

リンクアグリゲーションの構成 507

Loadbalance（FEC）ソースおよびデスティネーションのアドレスを含むハッシュプロトコルヘッダー情報に基づく統合インターフェイスを介して、すべての受信トラフィックを受け入れ、送信トラフィックのバランスを調整する、静的な統合方法。

Active/Passive Failover

プライマリインターフェイスが使用不可になると、次のアクティブなインターフェイスに切り替える静的統合モード。プライマリインターフェイスは、通信が中断するまで、トラフィックを処理します。その時点で、セカンダリインターフェイスのいずれかがプライマリの作業を引き継ぎます。

ラウンド・ロビンFIFO方式のシーケンスでノードを通じた接続のローテーションを行い、優先度なしですべてのプロセスを処理する静的統合モード。発信トラフィックは統合リンクのすべてのアクティブポート間に分散され、着信トラフィックは任意のポートで受け付けられます。

EMC Isilon クラスターで TCP/IP のワークロードを使用している場合は、この方法は推奨されません。

リンク統合のマッピングノード上のネットワークインターフェイスのリストを表示すると、統合インターフェイスとして IP アドレスプールに追加可能なネットワークインターフェイスが含まれます。次の表では、統合インターフェイスを非統合インターフェイスにマッピングする方法の例を示します。

LNI（論理ネットワークインターフェイス）

統合 LNI

ext-1ext-2

ext-agg = ext-1 + ext-2

ext-1ext-2

ext-3

ext-4

ext-agg = ext-1 + ext-2ext-agg-2 = ext-3 + ext-4

ext-agg-3 = ext-3 + ext-4 + ext-1 + ext-2

ext-1ext-2

10gige-1

10gige-2

ext-agg = ext-1 + ext-210gige-agg-1 = 10gige-1 + 10gige-2

ノードプロビジョニング規則の管理新しいネットワークインターフェイスの構成を自動化するノードプロビジョニング規則を作成し、管理できます。

ネットワーク


ノードプロビジョニング規則の作成ノードプロビジョニング規則を作成して、ノードが EMC Isilon クラスターに追加されるときの新しいノード上のネットワークインターフェイスの構成方法を指定できます。ノードプロビジョニング規則は、IPアドレスプールの下で作成されます。手順


2. 新しいノードプロビジョニング規則を含める IP アドレスプールの横にある［More］ > ［AddRule］をクリックします。

システムで［Create Rule］ウィンドウが表示されます。3. ［Name］フィールドから、新しいノードプロビジョニング規則の名前を指定します。4. (オプション) ［Description］フィールドに、その規則に関するわかりやすいコメントを入力し

ます。コメントは、128文字以内にします。

5. ［Interface Type］リストで、新しいノードがクラスターに追加される際にプールに追加されるネットワークインターフェイスタイプを選択します。

6. ［Node Type］リストで、次のいずれかのノードタイプを選択します。l ［Any］l ［Storage］l ［Accelerator］l ［Backup accelerator］選択したタイプと一致するノードがクラスターに追加されると、その規則が適用されます。

IsilonSD Edge の場合、ノードタイプは指定の IsilonSD クラスターと同じである必要があります。そのため、［Node Type］オプションは IsilonSD Edge には適用されません。

7. ［Add rule］をクリックします。

ノードプロビジョニング規則の変更ノードプロビジョニング規則の設定を変更できます。手順


2. 変更するノードプロビジョニング規則の横の［View/Edit］をクリックします。

システムは［View Rule Details］ウィンドウを表示します。3. ［Edit］をクリックします。

システムは［Edit Rule Details］ウィンドウを表示します。4. ノードプロビジョニング規則の設定を変更し、［Save Changes］をクリックします。

ネットワーク

ノードプロビジョニング規則の作成 509

ノードプロビジョニング規則の削除不要になったノードプロビジョニング規則は削除できます。手順


2. 削除するノードプロビジョニング規則の横にある［More］ > ［Delete Rule］Delete をクリックします。

3. 確認のプロンプトで［Delete］をクリックします。

ノードプロビジョニング規則の設定の表示特定のノードプロビジョニング規則の設定の詳細を表示することができます。手順


2. 表示するノードプロビジョニング規則の横の［View/Edit］をクリックします。

システムは［View Rule Details］ウィンドウを表示します。3. ［Close］をクリックしてウィンドウを閉じます。

ルーティングオプションの管理ソースベースルーティングまたは静的経路構成を使用した発信クライアントトラフィックの送信をさらに制御できます。ソースベースルーティングと静的経路の両方が構成されている場合は、静的ルートと一致するトラフィックでは静的経路が優先されます。

ソースベースルーティングの有効化または無効化EMC Isilon クラスターでグローバルにソースベースルーティングを有効化または無効化することができます。手順

1. ［Cluster Management］ > ［Network Configuration］ > ［Settings］の順にクリックします。

2. ［Enable source based routing］チェックボックスをオンまたはオフにします。3. ［Save Changes］をクリックします。

静的経路の追加または削除静的経路を構成して、特定のゲートウェイを通じて発信トラフィックを特定の宛先に渡すことができます。静的経路は、IP アドレスプールレベルで構成されます。

はじめに静的経路では、それらが構成されている IP アドレスプールの IP アドレスファミリー（IPv4 またはIPv6）が一致している必要があります。

ネットワーク





システムは［Edit Pool Details］ウィンドウを表示します。4. 静的経路の追加方法：

a.［Static Routes］領域から［Add static route］をクリックします。

システムで［Create Static Route］ウィンドウが表示されます。b.［Subnet］フィールドに、トラフィックがルーティングされるサブネットの IPv4 または IPv6 アドレスを指定します。

c.［Netmask］または［Prefixlen］フィールドに、指定したサブネットのネットマスク（IPv4）またはプレフィックス長（IPv6）を指定します。

d.［Gateway］フィールドに、トラフィックが経由するゲートウェイの IPv4 または IPv6 アドレスを指定します。

e.［Add Static Route］をクリックします。5. 静的経路を削除するには、［Static Routes］表から削除する経路の横にある［Remove］ボタンをクリックします。


DNS キャッシュ設定の管理外部ネットワークの DNS キャッシュ設定を設定することができます。

DNS キャッシュのフラッシュDNS キャッシュが有効になっている各グループネットの DNS キャッシュを同時にフラッシュすることができます。手順

1. ［Cluster Management］ > ［Network Configuration］ > ［DNS Cache］の順にクリックします。

2. ［Actions］領域で、［Flush DNS Cache］をクリックします。3. 確認用ウィンドウで［Confirm］をクリックします。

DNS キャッシュ設定の変更DNS キャッシュが有効になっている各グループネットの DNS キャッシュに適用されるグローバル設定を変更することができます。手順

1. ［Cluster Management］ > ［Network Configuration］ > ［DNS Cache］の順にクリックします。

ネットワーク

DNS キャッシュ設定の管理 511

2. DNS キャッシュ設定を変更し、［Save Changes］をクリックします。

DNS キャッシュ設定DNS キャッシュに関する設定を構成できます。

設定説明

TTL No Error Minimum キャッシュヒットの Time-to-Live の下限を指定します。デフォルト値は 30秒です。

TTL No Error Maximum キャッシュヒットの Time-to-Live の上限を指定します。デフォルト値は 3600秒です。

TTL Non-existent Domain Minimum nxdomain の Time-to-Live の下限を指定します。デフォルト値は 15秒です。

TTL Non-existent Domain Maximum nxdomain の Time-to-Live の上限を指定します。デフォルト値は 3600秒です。

TTL Other Failures Minimum nxdomain以外の障害の Time-to-Live の下限を指定します。デフォルト値は 0秒です。

TTL Other Failures Maximum nxdomain以外の障害の Time-to-Live の上限を指定します。デフォルト値は 60秒です。

TTL Lower Limit For Server Failures DNS サーバー障害の Time-to-Live の下限を指定します。デフォルト値は 300秒です。

TTL Upper Limit For Server Failures DNS サーバー障害の Time-to-Live の上限を指定します。デフォルト値は 3600秒です。

Eager Refresh 有効期限に近づいているキャッシュエントリーをリフレッシュするためのリードタイムを指定します。デフォルト値は 0秒です。

Cache Entry Limit DNS キャッシュに含めることができるエントリーの最大数を指定します。デフォルト値は 65536 エントリーです。

Test Ping Delta cbind クラスター稼働状態をチェックするためのデルタを指定します。デフォルト値は 30秒です。

TCPポートの管理外部ネットワークに使用可能なクライアントの TCP ポートのリストを変更することができます。

ネットワーク


TCP ポートの追加または削除TCP ポートを外部ネットワーク用に使用可能なポートのリストに追加し、リストから削除することができます。手順

1. ［Cluster Management］ > ［Network Configuration］ > ［Settings］の順にクリックします。

2. TCP ポートの追加方法：a.［TCP Ports］領域から、［Add TCP Ports］をクリックします。

システムで［Add TCP Ports］ウィンドウが表示されます。b.［TCP Ports］フィールドに、ポート番号を入力します。c. (オプション) ［Add another port］をクリックして追加のポート番号を指定します。d.［Add Ports］をクリックします。

3. TCP ポートを削除するには、［TCP Ports］表から削除するポートの横にある［Remove］ボタンをクリックします。


ネットワーク

TCP ポートの追加または削除 513

ネットワーク


第 25章

アンチウィルス


l ウイルス対策の概要.............................................................................................516l オンアクセススキャン............................................................................................ 516l アンチウイルスポリシースキャン...............................................................................517l 個別ファイルのスキャン...........................................................................................517l WORM ファイルとウイルス対策...............................................................................517l アンチウイルススキャンレポート...............................................................................517l ICAP サーバー.................................................................................................... 518l アンチウイルスによる脅威検出時の対応..................................................................518l グローバルアンチウイルス設定の構成......................................................................519l ICAP サーバの管理............................................................................................. 521l アンチウイルスポリシーの作成................................................................................523l アンチウイルスポリシーの管理................................................................................524l アンチウイルススキャンの管理................................................................................525l アンチウイルス脅威の管理.................................................................................... 526l アンチウイルスレポートの管理................................................................................527

アンチウィルス 515

ウイルス対策の概要ICAP（Internet Content Adaptation Protocol）を介してサードパーティのスキャンサービスと統合することにより、Isilon クラスタに格納してあるファイルについて、コンピューターウイルスやマルウェアなどのセキュリティの脅威をスキャンできます。OneFSは、サードパーティのアンチウイルススキャンソフトウェアを実行するサーバに ICAP を介してファイルを送信します。これらのサーバは、ICAP サーバとも呼ばれます。ICAP サーバは、ウイルスが存在しないかファイルをスキャンします。ICAP サーバはファイルをスキャンした後、OneFS にファイルが脅威となるかどうかを通知します。脅威が検出された場合、OneFSは、イベントを作成して、ほぼリアルタイムのサマリー情報を表示し、アンチウイルススキャンレポートで脅威をドキュメント化することによって、システム管理者に通知します。OneFS を構成して、ICAP サーバが感染ファイルの修復を試行することをリクエストできます。また、OneFS を構成して、感染ファイルをトランケートするまたは隔離することによって、危険な可能性のあるファイルからユーザーを保護することもできます。OneFSは、スキャン対象のファイルを送信する前に、スキャンが重複しないことを確認します。ファイルがすでにスキャンされ、変更されていない場合、OneFSは、最後に実行したスキャンから ICAPサーバのウイルスデータベースが更新されていない限り、スキャン対象のファイルを送信しません。

アンチウイルススキャンは、クラスタのすべてのノードが外部ネットワークに接続されている場合にのみ使用できます。

オンアクセススキャンファイルを開く前、閉じた後、またはその両方のタイミングで、スキャン対象のファイルを送信するようにOneFS を構成することができます。ファイルを閉じた後にスキャン対象のファイルを送信する方が高速ですが、安全性は劣ります。ファイルを開く前にスキャン対象のファイルを送信する方が低速ですが、安全性は高まります。ファイルを閉じた後にスキャンできるように OneFS が構成されていると、ユーザーがクラスター上でファイルを作成または変更する際に、OneFSはスキャン対象のファイルをキューに入れます。次に、OneFSは ICAP サーバーにファイルを送信し、いつでもスキャンできるようにします。この構成では、ユーザーは遅延することなく常にファイルにアクセスできます。ただし、あるユーザーがファイルを変更または新規作成後、そのファイルがスキャンされる前に、2番目のユーザーがアクセスする可能性があります。最初のユーザーからファイルにウイルスが持ち込まれた場合、2番目のユーザーが、ウイルスに感染したファイルにアクセスする可能性があります。ICAP サーバーがファイルをスキャンできない場合でも、ユーザーはそのファイルに引き続きアクセスが可能となります。ファイルを開く前にスキャンできるように OneFS が設定されていると、ユーザーがクラスターからファイルをダウンロードしようとすると、OneFSは、最初にそのファイルを ICAP サーバーに送信してスキャンを行います。そのファイルはスキャンが完了するまでユーザーに送信されません。ユーザーがアクセスできるのはスキャン済みのファイルだけとなるため、ファイルを開く前にスキャンする方が、ファイルを閉じてからスキャンするよりも安全性が高まります。ただし、ファイルを開く前にスキャンするには、ファイルがスキャンされるまでユーザーが待つ必要があります。ICAP サーバーでスキャンできないファイルへのアクセスを拒否するように OneFS を構成することもできますが、この構成では遅延が増加する可能性があります。たとえば、ICAP サーバーが使用不可となっている場合、ユーザーは ICAP サーバーが再び使用可能になるまでいずれのファイルにもアクセスできなくなります。ファイルを開く前にスキャンできるように OneFS を構成する場合は、ファイルを閉じてからスキャンできるようにも OneFS を構成することをお勧めします。ファイルを開く際と閉じる際の両方でスキャンを実



施してもセキュリティは向上するわけではありませんが、ファイルを開く際だけスキャンする場合と比較して、データの可用性が向上します。ユーザーがファイルにアクセスする場合、そのファイルが最後に変更されてからすでにスキャンが行われている可能性があり、ICAP サーバーデータベースが最後のスキャンから更新されていない場合は、スキャンを再実行する必要がありません。

アンチウイルスポリシースキャンスキャン対象として指定したディレクトリからファイルを送信する、アンチウイルススキャンポリシーを作成することができます。アンチウイルスポリシーはいつでも手動で実行したり、スケジュールに従って実行するよう構成することができます。アンチウイルスポリシーの適用対象は、クラスター上の特定のディレクトリです。アンチウイルスポリシーは、ファイルのサイズ、名前、拡張子に基づき、指定したルートディレクトリ内の特定のファイルを送信できないようにすることができます。アンチウイルスポリシーはスナップショットを対象としていません。スナップショットが含まれるのはオンアクセススキャンだけです。アンチウイルススキャンは OneFSジョブエンジンによって処理され、システムジョブと同様に機能します。

個別ファイルのスキャン特定のファイルをいつでもスキャンできるように、ICAP サーバーに送信することができます。あるファイルでウイルスが検出されながら、ICAP サーバーが修復できない場合、ウイルスデータベースが更新されてから該当ファイルを ICAP サーバーに送信すると、ICAP サーバーがこのファイルを修復できる場合があります。クラスターと ICAP サーバー間の接続をテストするために個別ファイルをスキャンすることもできます。

WORM ファイルとウイルス対策WORM（Write-Once, Read-Many）ファイルは、アンチウイルスソフトウェアでスキャンして隔離することはできますが、保存期間が終了するまで修復も削除もできません。SmartLock ソフトウェアモジュールでは、OneFS のディレクトリをWORM ドメインとして指定することができます。WORM ドメイン内のすべてのファイルがWORM状態にコミットされます。その結果、ファイルの上書き、変更、削除はできなくなります。OneFS の他のファイル同様、WORM ファイルもウイルスなどのセキュリティの脅威に備えてスキャンすることができます。ただし、WORM ファイルは読み取り専用になっているため、アンチウイルススキャン中に修復することも削除することもできません。脅威と判明した場合、WORM ファイルは隔離されます。可能な場合は、WORM状態にコミットする前にファイルに対してアンチウイルススキャンを実行することもできます。

アンチウイルススキャンレポートOneFSはアンチウイルススキャンに関するレポートを生成します。アンチウイルスポリシーが実行されるたびに、OneFSはそのポリシーに対するレポートを生成します。OneFSは、日中発生するすべてのオンアクセススキャンを含む 24時間ごとのレポートも生成します。アンチウイルススキャンレポートには次の情報が含まれます。l スキャン開始時刻。l スキャン終了時刻。


アンチウイルスポリシースキャン 517

l スキャンされたファイルの総数。l スキャンされたファイルの合計サイズ。l 送信された総ネットワークトラフィック。l ウイルススキャンで消費されたネットワークスループット。l スキャンが成功したかどうか。l 感染が検出されたファイルの総数。l 感染したファイルの名前。l 感染したファイルに関連づけられている脅威。l 検出された脅威に対する OneFS の対応。

ICAP サーバーIsilon クラスターをサポートするために必要な ICAP サーバの数は、ウイルススキャンの構成方法、クラスターが処理するデータの量、ICAP サーバの処理能力によって異なります。アンチウイルススキャンポリシーのみに従ってファイルをスキャンする場合は、1 つのクラスターに対して2台以上の ICAP サーバーを用意することをお勧めします。アクセス時にファイルをスキャンする場合は、クラスター内の各ノードに対して 1台以上の ICAP サーバーを用意することをお勧めします。クラスターに対して複数台の ICAP サーバーを構成する場合は、各 ICAP サーバーの処理能力を相対的に等しくすることが重要です。OneFSは、ICAP サーバーの処理能力に関係なく、ファイルをローテーションベースで ICAP サーバーに分散します。1台のサーバが他のサーバよりも著しく強力でも、OneFS がその強力なサーバにより多くのファイルを送信することはありません。

アンチウイルスによる脅威検出時の対応ICAP サーバがウイルスを検出したすべてのファイルを修復、隔離、トランケートするようにシステムを構成することができます。OneFS と ICAP サーバは、脅威が検出されると、次の方法のいずれかで対応します。アラート

検出されたすべての脅威により、脅威への対応構成に関係なく、OneFS に警告レベルでイベントが生成されます。

修復ICAP サーバは、OneFS にファイルを返す前に、感染したファイルの修復を試みます。

隔離OneFSは感染したファイルを隔離します。隔離されたファイルにはどのユーザーもアクセスできません。ただし、root ユーザーが SSH（セキュアシェル）を経由してクラスタに接続している場合、root ユーザーは隔離されたファイルを隔離領域から削除できます。NDMPバックアップでクラスタをバックアップする場合、隔離されたファイルはファイルのリストア時にも隔離されたままになります。隔離されたファイルを別の Isilon クラスタに複製する場合、隔離されたファイルは引き続きターゲットクラスタに隔離されます。隔離は ACL（アクセス制御リスト）と関係なく機能します。

トランケートOneFSは感染したファイルをトランケートします。ファイルがトランケートされると、OneFSはそのファイルのサイズをゼロバイトに縮小し、ファイルが無害となるようにします。



OneFS と ICAP サーバは、脅威が検出されたときに、次の方法のいずれかで対応するように構成することができます。修復または隔離

感染したファイルの修復を試みます。ICAP サーバがファイルの修復に失敗すると、OneFSはそのファイルを隔離します。ICAP サーバがファイルを正常に修復すると、OneFSはそのファイルをユーザーに送信します。修復または隔離は、感染したファイルへのアクセスからユーザーを保護しながら、すべてのデータをクラスタ上に保持する場合に有効です。

修復またはトランケート感染したファイルの修復を試みます。ICAP サーバがファイルの修復に失敗すると、OneFSはそのファイルをトランケートします。ICAP サーバがファイルを正常に修復すると、OneFSはそのファイルをユーザーに送信します。修復またはトランケートは、すべてのデータをクラスタ上に保持しなくてもよく、ストレージ領域を解放したい場合に有効です。ただし、感染したファイル内のデータは失われます。

アラートのみ感染したファイルごとにイベントの生成のみを行います。この設定は適用しないことをお勧めします。

修復のみ感染したファイルの修復を試みます。その後、OneFSは ICAP サーバがファイルを正常に修復したかどうかに関係なく、ファイルをユーザーに送信します。この設定は適用しないことをお勧めします。ファイルの修復のみを試みる場合は、修復されていない感染ファイルにユーザーがアクセスする可能性があります。

隔離感染したすべてのファイルを隔離します。この設定は適用しないことをお勧めします。ファイルの修復を試みずに隔離した場合、修復ができる可能性があった感染ファイルへのアクセスが拒否される場合があります。

トランケート感染したすべてのファイルをトランケートします。この設定は適用しないことをお勧めします。ファイルの修復を試みずにトランケートした場合、データが不必要に削除される場合があります。

グローバルアンチウイルス設定の構成デフォルトですべてのアンチウイルススキャンに適用される、グローバルなアンチウイルス構成をすることができます。

アンチウイルススキャンからのファイルの除外ファイルが、アンチウイルススキャンでスキャンされないようにすることができます。これらの設定は、すべてのアンチウイルススキャンに適用されます。手順

1. ［Data Protection］ > ［Antivirus］ > ［Settings］の順にクリックします。2. (オプション) ファイルのサイズに基づいてファイルを除外するには、［Maximum File Scan

Size］領域で、スキャンするファイルの最大サイズを指定します。3. ファイル名に基づいてファイルを除外するには、次のステップを実行します。

a.［Enable filters］を選択します。


グローバルアンチウイルス設定の構成 519

b.［Filter Matching］領域で、指定したフィルターと一致するすべてのファイルをスキャンするか、または指定されたフィルターと一致しないすべてのファイルをスキャンするかを指定します。

c. 1 つまたは複数のフィルターを指定します。a.［Add Filters］をクリックします。b. フィルターを指定します。次のワイルドカード文字を含めることができます。


［*］アスタリスクの部分は任意の文字列と一致します。たとえば、m*と指定すると、moviesや m123 と一致します。

［[ ]］角括弧に含まれるすべての文字、またはダッシュで区切られた文字の範囲と一致します。たとえば、b[aei]t と指定すると、bat、bet、bit と一致します。また、1[4-7]2 と指定すると、142、152、162、172 と一致します。最初の角括弧の後に感嘆符を付けると、角括弧内の文字を除外することができます。

たとえば、b[!ie]と指定すると、bat とは一致しますが、bit、bet とは一致しません。

角括弧内の最初または最後の文字が角括弧の場合は、角括弧内のその角括弧と一致します。

たとえば、[[c]at と指定すると、cat および[at と一致します。角括弧内の最初または最後の文字がダッシュの場合は、角括弧内のダッシュと一致します。

たとえば、car[-s]と指定すると、carsおよび car-と一致します。

［?］疑問符の部分は任意の文字と一致します。

たとえば、t?p と指定すると、tap、tip、topなどと一致します。

c.［Add Filters］をクリックします。


オンアクセススキャン設定の構成ファイルがユーザーからアクセスされるときに自動的にファイルをスキャンするように OneFS を構成できます。オンアクセススキャンはアンチウイルスポリシーと関係なく動作します。



手順1. ［Data Protection］ > ［Antivirus］ > ［Settings］の順にクリックします。2. ［On-Access Scans］領域で、ファイルへのアクセス時にファイルをスキャンするかどうかを指

定します。l ファイルがユーザーから開かれる前にすべてのファイルをスキャンすることを要求するには、［Enable scan of files on open］を選択してから、スキャンできないファイルへのアクセスを許可するかどうかを［Enable file access when scanning fails］の選択またはクリアにより指定します。

l ファイルを閉じた後にスキャンするには、［Enable scan of files on close］を選択します。

3. ［All Scans］領域の［Path Prefixes］フィールドに、オンアクセス設定を適用するディレクトリを指定します。


アンチウイルス脅威検出時対応設定の構成検出された脅威に対する OneFS の対応方法を構成できます。手順

1. ［Data Protection］ > ［Antivirus］ > ［Settings］の順にクリックします。2. ［Action On Detection］領域で、感染の可能性のあるファイルに対する OneFS の対応

方法を指定します。

アンチウイルスレポートの保存設定の構成アンチウイルスレポートが自動的に削除されるまで、OneFS がレポートを保存する期間を構成できます。手順

1. ［Data Protection］ > ［Antivirus］ > ［Settings］の順にクリックします。2. ［Reports］領域で、OneFS でレポートを保存しておく期間を指定します。

アンチウイルススキャンの有効化または無効化すべてのアンチウイルススキャンを有効化または無効化することができます。

この処理手順は、Web管理インターフェイスを使用した場合にのみ使用できます。

手順1. ［Data Protection］ > ［Antivirus］ > ［Summary］の順にクリックします。2. ［Service］領域で、［Enable Antivirus service］を選択またはクリアします。

ICAP サーバの管理ICAP サーバー上でスキャンされるファイルを送信できるようにするには、その前にサーバーに接続するよう OneFS を構成する必要があります。ICAP サーバー接続のテスト、変更、削除ができます。ICAP サーバーへの一時的な切断と再接続を行うこともできます。


アンチウイルス脅威検出時対応設定の構成 521

ICAP サーバーの追加と接続ICAP サーバーを追加および接続できます。サーバーが追加されると、OneFSはウイルスの有無をスキャンするため、ファイルをサーバーに送信できるようになります。手順

1. ［Data Protection］ > ［Antivirus］ > ［ICAP Servers］をクリックします。2. ［ICAP Servers］領域で、［Add an ICAP Server］をクリックします。3. (オプション) ICAP サーバーを有効にするには、［Enable ICAP Server］をクリックします。4. ［Create ICAP Server］ダイアログボックスの［ICAP Server URL］フィールドに、ICAP

サーバーの IPv4 または IPv6 アドレスを入力します。5. (オプション) サーバーの説明を追加するには、テキストを［Description］フィールドに入力

します。6. ［Add Server］をクリックします。

ICAP サーバ接続のテストOneFS と ICAP サーバー間の接続をテストすることができます。この処理手順は、Web管理インターフェイスを使用した場合にのみ使用できます。手順

1. ［Data Protection］ > ［Antivirus］ > ［ICAP Servers］をクリックします。2. ［ICAP Servers］表の ICAP サーバーの行で、［View / Edit］をクリックします。

ICAP サーバーにクラスターが接続されている場合、［Details］領域の［Status］フィールドに active と表示されます。

ICAP接続設定の変更ICAP サーバー接続の IP アドレスとオプションの説明を変更することができます。手順

1. ［Data Protection］ > ［Antivirus］ > ［ICAP Servers］をクリックします。2. ［ICAP Servers］表の ICAP サーバーの行で、［View / Edit］をクリックします。3. ［Edit］をクリックします。4. 設定を変更し、［Save Changes］をクリックします。

ICAP サーバからの一時的な切断OneFS から ICAP サーバーへのファイルの送信を止めるが、ICAP サーバー接続設定は保持したい場合は、ICAP サーバーから一時的に切断することができます。手順

1. ［Data Protection］ > ［Antivirus］ > ［ICAP Servers］をクリックします。2. ［ICAP Servers］表の ICAP サーバーの行で、［View / Edit］をクリックします。3. ［Edit］をクリックします。4. ［Enable ICAP Server］ボックスをクリアし、［Save Changes］をクリックします。



ICAP サーバへの再接続一時的に切断した ICAP サーバーに再接続することができます。手順

1. ［Data Protection］ > ［Antivirus］ > ［ICAP Servers］をクリックします。2. ［ICAP Servers］表の ICAP サーバーの行で、［View / Edit］をクリックします。3. ［Edit］をクリックします。4. ［Enable ICAP Server］を選択して［Save Changes］をクリックします。

ICAP サーバーの削除ICAP サーバーから永続的に切断することができます。手順

1. ［Data Protection］ > ［Antivirus］ > ［ICAP Servers］をクリックします。2. ［ICAP Servers］テーブルの ICAP サーバーの行で、［Delete］をクリックします。

アンチウイルスポリシーの作成ポリシーが実行されるたびに特定のファイルでウイルスがスキャンされる、アンチウイルスポリシーを作成することができます。手順

1. ［Data Protection］ > ［Antivirus］ > ［Policies］の順にクリックします。2. ［Create an Antivirus Policy］をクリックします。3. (オプション) ポリシーを有効にするには、［Enable antivirus policy］をクリックします。4. ［Policy Name］フィールドに、アンチウイルスポリシーの名前を入力します。5. (オプション) ポリシーのオプションの説明を指定するには、［Description］フィールドに説明

を入力します。6. ［Paths］フィールドに、スキャンするディレクトリを指定します。

必要に応じて、［Add another directory path］をクリックしてその他のディレクトリを指定します。

7. ［Recursion Depth］領域で、指定したディレクトリをどの程度スキャンするかを指定します。l 指定されたディレクトリのすべてのサブディレクトリをスキャンするには、［Full recursion］をクリックします。

l 指定されたディレクトリのサブディレクトリの数を制限してスキャンするには、［Limitdepth］をクリックし、スキャンするサブディレクトリの数を指定します。

8. (オプション) OneFS がファイルにスキャン済みとマーキングしたかどうかに関係なく、またはグローバル設定で特定のファイルがスキャン対象外と指定されているかどうかに関係なく、すべてのファイルをスキャンするには、［Enable force run of policy regardless of impactpolicy］を選択します。

9. (オプション) アンチウイルススキャンのデフォルトのインパクトポリシーを変更するには、［Impact Policy］リストから新しいインパクトポリシーを選択します。


ICAP サーバへの再接続 523

10. ［Schedule］領域で、スケジュールに従って、または手動でポリシーを実行するかどうか指定します。スケジュールされたポリシーはいつでも手動で実行できます。

オプション説明ポリシーを手動でのみ実行します。［Manual］をクリックします。

スケジュールに従いポリシーを実行します。 a.［Scheduled］をクリックします。b. ポリシーを実行する頻度を指定します。

11. ［Create Policy］をクリックします。

アンチウイルスポリシーの管理アンチウイルスポリシーを変更および削除できます。ポリシーは保持するが、ファイルをスキャンしたくない場合も、アンチウイルスポリシーを一時的に無効にすることができます。

アンチウイルスポリシーの変更アンチウイルスポリシーを変更することができます。手順

1. ［Data Protection］ > ［Antivirus］ > ［Policies］の順にクリックします。2. ［Antivirus Policies］表の変更するアンチウイルスポリシーの行で、［View / Edit］をク

リックします。3. ［View Antivirus Policy Details］ダイアログボックスで、［Edit］をクリックします。4. 設定を変更し、［Save Changes］をクリックします。

アンチウイルスポリシーの削除アンチウイルスポリシーを削除することができます。手順

1. ［Data Protection］ > ［Antivirus］ > ［Policies］の順にクリックします。2. ［Antivirus Policies］表の削除するアンチウイルスポリシーの行で、［More］ > ［Delete］をクリックします。

アンチウイルスポリシーの有効化または無効化ポリシーは保持するが、ファイルをスキャンしたくない場合は、アンチウイルスポリシーを一時的に無効にすることができます。手順

1. ［Data Protection］ > ［Antivirus］ > ［Policies］の順にクリックします。2. ［Antivirus Policies］テーブルの有効化または無効化するアンチウイルスポリシーの行で、［More］ > ［Enable］または［More］ > ［Disable］の順にクリックします。



アンチウイルスポリシーの表示アンチウイルスポリシーを表示することができます。手順

1. ［Data Protection］ > ［Antivirus］ > ［Policies］の順にクリックします。2. ［Antivirus Policies］テーブルに、アンチウイルスポリシーが表示されます。

アンチウイルススキャンの管理アンチウイルスポリシーを手動で実行して、複数のファイルでウイルスをスキャンしたり、アンチウイルスポリシーなしでファイルを個別にスキャンすることができます。アンチウイルススキャンを停止することもできます。

ファイルのスキャンウイルスがないか、ファイルを個別に手動スキャンすることができます。この処理手順は、CLI（コマンドラインインターフェイス）を通じてのみ利用可能です。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi antivirus scan コマンドを実行します。

次のコマンドでは、/ifs/data/virus_file ファイルにウイルスがないかスキャンします。

isi antivirus scan /ifs/data/virus_file

アンチウイルスポリシーの手動実行アンチウイルスポリシーは、いつでも手動で実行できます。

この処理手順は、Web管理インターフェイスを使用した場合にのみ使用できます。

手順1. ［Data Protection］ > ［Antivirus］ > ［Policies］の順にクリックします。2. ［Antivirus Policies］表のポリシーの行で［More］ > ［Run Policy］をクリックします。

実行中のアンチウイルススキャンの停止実行中のアンチウイルススキャンを停止することができます。この処理手順は、Web管理インターフェイスを使用した場合にのみ使用できます。手順


2. ［Active Jobs］表の AVScan タイプの行で、［More］ > ［Cancel Running Job］をクリックします。


アンチウイルスポリシーの表示 525

アンチウイルス脅威の管理脅威が検出されたファイルを修復、隔離、トランケートすることができます。隔離されたファイルが脅威ではなくなったと判断した場合は、そのファイルを再スキャンするか、隔離領域から除外することができます。

ファイルの手動隔離ファイルを隔離すると、そのファイルがユーザーからアクセスされることを防止できます。手順

1. ［Data Protection］ > ［Antivirus］ > ［Detected Threats］の順にクリックします。2. ［Antivirus Threat Reports］表のファイルの行で［More］ > ［Quarantine File］

をクリックします。

ファイルの再スキャンたとえば、ファイルが脅威ではなくなったと思われる場合に、そのファイルでウイルスを再スキャンすることができます。この処理手順は、CLI（コマンドラインインターフェイス）を通じてのみ利用可能です。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. isi antivirus scan コマンドを実行します。

たとえば、次のコマンドを実行すると、/ifs/data/virus_file がスキャンされます。

isi antivirus scan /ifs/data/virus_file

隔離領域からのファイルの削除たとえば、ファイルが脅威ではなくなったと思われる場合に、そのファイルを隔離領域から削除することができます。手順

1. ［Data Protection］ > ［Antivirus］ > ［Detected Threats］の順にクリックします。2. ［Antivirus Threat Reports］表のファイルの行で［More］ > ［Restore File］をクリ

ックします。

ファイルの手動トランケートファイルで脅威が検出され、そのファイルは回復不能で不要となった場合は、そのファイルを手動でトランケートすることができます。この処理手順は、CLI（コマンドラインインターフェイス）を通じてのみ利用可能です。

手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. ファイルに対し rm コマンドを実行します。



次のコマンドは、/ifs/data/virus_file ファイルをトランケートします。

rm /ifs/data/virus_file

脅威の表示ICAP サーバーで脅威と識別されたファイルを表示することができます。手順

1. ［Data Protection］ > ［Antivirus］ > ［Detected Threats］の順にクリックします。2. ［Antivirus Threat Reports］表に、感染の可能性のあるファイルが表示されます。

アンチウイルス脅威情報ICAP サーバーで報告される、アンチウイルス脅威に関する情報を表示することができます。Name

脅威が ICAP サーバーで認識されると、検出された脅威の名前が表示されます。

Path

感染の可能性のあるファイルのファイルパスが表示されます。

Remediation

脅威が検出された場合に、そのファイルに対する OneFS の対応方法が示されます。

Policy

脅威の検出の元になったアンチウイルスポリシーの ID が表示されます。

Detected

脅威が検出された時刻が表示されます。

Actions

ファイル上で実行できるアクションが表示されます。

アンチウイルスレポートの管理アンチウイルスレポートを表示するには、Web管理インターフェイスを使用します。また、アンチウイルスアクティビティに関連するイベントを表示することもできます。

アンチウイルスレポートの表示アンチウイルスレポートを表示することができます。手順

1. ［Data Protection］ > ［Antivirus］ > ［Reports］の順にクリックします。2. ［Antivirus Scan Reports］テーブルで、レポートの行の［View Details］をクリックしま

す。

アンチウイルスイベントの表示アンチウイルスアクティビティに関連するイベントを表示することができます。


脅威の表示 527

手順1. ［Cluster Management］ > ［Events and Alerts］ > ［Events］をクリックします。2. ［Event Groups］テーブルに、すべてのイベントが表示されます。

アンチウイルススキャンに関連するすべてのイベントは、警告として分類されます。次のイベントは、アンチウイルスアクティビティと関連しています。AVScan Infected File Found

アンチウイルススキャンによって脅威が検出されました。これらのイベントは、［Antivirus Reports］ページの特定のレポートを示していますが、脅威の詳細は提供しません。

No ICAP Servers available

OneFSは、どの ICAP サーバーとも通信できません。

ICAP Server Misconfigured, Unreachable or Unresponsive

OneFSは ICAP サーバーと通信できません。



第 26章

IsilonSD Edge


l EMC IsilonSD Edge ストレージおよびアーキテクチャ................................................530l IsilonSD クラスターの概要.................................................................................... 531l EMC IsilonSD Edge ライセンスの概要.................................................................. 531l IsilonSD Management Server の概要................................................................ 533l IsilonSD クラスタの構成.......................................................................................534l IsilonSD クラスターの導入と構成.......................................................................... 535l EMC IsilonSD Edge のアップグレード....................................................................535

IsilonSD Edge 529

EMC IsilonSD Edge ストレージおよびアーキテクチャEMC IsilonSD Edgeは、VMware ESXi ホスト上で使用可能なリソースによって OneFS仮想クラスタを作成します。OneFS クラスタは、VM（仮想マシン）として導入され、ドライブはデータディスク上にホストされます。IsilonSD クラスタに追加するノードは、OneFS仮想マシンです。IsilonSD Edge のコンポーネントには、IsilonSD Management Server、IsilonSD ManagementPlug-in、OneFS仮想マシンファイルなどがあります。マネージメントプラグインはマネージメントサーバにバンドルされており、ESXi ホストにマネージメントサーバが導入され、VMware vCenter サーバが登録されると、自動的にインストールされます。無料の Edge または Edge-Flex ライセンスを使用して、IsilonSD クラスタを導入できます。無料ライセンスは、インストールパッケージにバンドルされています。管理サーバは、1台以上のデータストアを使用して 1台以上のホストにノードを導入できます。複数のホストを基盤とする複数のデータストアは、最高レベルの可用性を実現する構成です。

EMC IsilonSD Edgeネットワークに関する考慮事項OneFS のデータパスには最低 2 つの NIC が必要です。それぞれバックエンドとフロントエンドネットワークの接続用です。EMC IsilonSD Edge を導入する場合、ノードには仮想スイッチに接続された割り当て済みの仮想 NIC があります。バックエンドとフロントエンドの Ethernet ネットワークを、2つの別のサブネットに接続することをお勧めします。フロントエンド Ethernet サブネットは、クライアントおよび管理アクセス用であり、常にアクセス可能の必要があります。管理またはサービス IP アドレスは、フロントエンド IP の範囲と同じサブネット内のクラスタに割り当てる必要があります。マネージメントサーバは、この IP アドレスを使用してクラスタと通信します。将来の要件を考慮して、作成可能な最大範囲の IP アドレスを持つクラスタを作成することをお勧めします。ノードのサポート性に関する考慮事項としては、ネットワークを介してシリアルポートデバイスにアクセスできる必要があります。アクセスは、マネージメントサーバ上で動作する vSPC（仮想シリアルポートコネクター）を通じて行われます。ノードの ESXi ホストは、マネージメントサーバのポート番号 8080 への TCP接続を確立できる必要があります。ホストと vCenter の間には、適切なルートがあり、ファイアウォールが設定されていないことを確認してください。

EMC IsilonSD Edge ストレージに関する考慮事項IsilonSD ノードは、次のメカニズムによりストレージにアクセスします。l VMFS

l vSAN

IsilonSD Edge では、NFS と RDM（未フォーマットディスクマッピング）はサポートされません。

ドライブは、次の方法で VMware ESXi ホストにマップされます。l RAID がない直接接続ディスクl RAID がある直接接続ディスクl vSAN がある直接接続ディスクl SAN LUN

l iSCSI LUN

次の図は、3 ノードクラスタのアーキテクチャを示しています。

IsilonSD Edge


IsilonSD クラスターの概要IsilonSD クラスターは、VMware ESXi でホスティングされる 3～6個の仮想ノードで構成されます。各仮想ノードでは、Isilon OneFS オペレーティングシステムを実行します。これはクラスターにノードを結合する分散ファイルシステムソフトウェアです。クラスターのストレージ容量は、次のような要因に応じて変わります。l IsilonSD のライセンスタイプl 最小データディスクサイズl ノードあたりの最小データディスク数l クラスター内のノード数クラスター容量の詳細については、「IsilonSD Edge インストールおよび管理ガイド」を参照してください。

EMC IsilonSD Edge ライセンスの概要EMC IsilonSD Edge では、ストレージ要件を管理するクラスタごとに 1 つのライセンスを構成できます。本ライセンスには、クラスタのライセンスと OneFS機能のライセンスが含まれています。これら 2つのライセンスキーによって、使用可能なノード、容量、メモリ、vCPU、ディスク、IsilonSD クラスタ機能の最大数が決まります。IsilonSD Edge をインストールするには、インストールパッケージにバンドルされている無償ライセンスを構成します。ただし本ライセンスは、すべての高度なクラスタ機能をサポートしているわけではありません。「IsilonSD Edge With IsilonSD Management Server 1.0.2 インストールおよび管理ガイド」の「IsilonSD Edge ライセンスのアップグレード」セクションで説明するシナリオを参考にして、高度なクラスタ機能にアクセスする Edge または Edge-Flex ライセンスを購入してください。

IsilonSD Edge

IsilonSD クラスターの概要 531

ライセンスのサポートに関連する質問については、EMC e ライセンスチームにお問い合わせください。ライセンス購入の詳細については、EMC Isilon担当営業にお問い合わせください。

無償ライセンスを構成して IsilonSD クラスタを導入した場合は、製品関連の質問についてのサポートを EMC Isilon から受けることはできません。お問い合わせは、https://community.emc.com/community/products/isilon に質問を投稿してください。

次の表は、インストール時に構成したライセンスのタイプに応じて、利用可能なクラスタ機能の概要を示しています。

機能機能無料ライセンス Edge および Edge-Flex のライセンス

CloudPools ファイルをクラウドにアーカイブするファイルプールポリシーを作成

いいえはい

NFS、SMB、HTTP、FTP、HDFS

ファイル共有および転送プロトコル

はいはい

InsightIQ クラスタのパフォーマンスを監視および分析し、ストレージリソースを最適化して容量を予測

はいはい

SyncIQ 別のクラスタ上にデータを非同期的にレプリケートして、クラスタ間のフェイルオーバーとフェイルバックをサポート

はいはい

SmartLock 故意や過失、または時期尚早な変更や削除から重要なデータを保護

いいえ ○

IsilonSD Edgeは、エンタープライズモードとコンプライアンスモードの両方で、SmartLock ソフトウェアモジュールをサポートします。ただしクラスタをコンプライアンスモードで実行している場合は、クラスタに新しいノードを追加することはできません。また IsilonSD クラスタは、SEC規制に対応していません。

SmartConnectAdvanced

ラウンドロビン接続、CPU の利用率、接続カウント、スループットバランシングを管理

はいはい

SmartPools ノードとファイルをプールにグループ化

はいはい

IsilonSD Edge




機能機能無料ライセンス Edge および Edge-Flex のライセンス

SmartDedupe 冗長データの削減により、クラスタ上のストレージ領域を節約

はいはい

SmartQuota 管理者が定義したストレージ制限を監視して適用

はいはい

SnapShotIQ スナップショットを作成して、過失によるデータの削除および変更からデータを保護し、変更または削除されたデータをリストア

はいはい

Swift オブジェクトベースのストレージ機能

はいはい

2方向 NDMP

バックアップバックアップサーバ上のDMA（データ管理アプリケーション）が、クラスタ上のバックアップアクセラレータノードに指示して、バックアップアクセラレータノードに接続されているテープメディアサーバにデータをバックアップするためのNDMP（NetworkData Management

Protocol）

いいえいいえ

3方向 NDMP

バックアップバックアップサーバ上のDMA（データ管理アプリケーション）が、クラスタに指示して、LAN または直接 DMA に接続されているテープメディアサーバにデータをバックアップするためのNDMP（NetworkData Management

Protocol）

はいはい

IsilonSD Management Serverの概要IsilonSD Management Serverは、VMware ESXi上に OneFS クラスタを導入するためのゲートウェイとして機能します。OneFS クラスタを導入するためには、マネージメントサーバを正常に導入して構成する必要があります。マネージメントサーバは、高度なクラスタ機能にアクセスするために使用可能なソフトウェアモジュールを順に決定するための IsilonSD ライセンスとこれらのライセンスを管理します。IsilonSD

IsilonSD Edge

IsilonSD Management Server の概要 533

Management Server の導入と構成方法については、「IsilonSD Edge with IsilonSDManagement Server インストールおよび管理ガイド」を参照してください。マネージメントサーバを導入して構成すると、VMware vCenter内で IsilonSD ManagementPlug-in が登録されます。このプラグインにアクセスして次のタスクを実行できます。l クラスタの導入l クラスタの削除l IsilonSD ライセンスの構成l IsilonSD ライセンスのアップグレードl クラスタへのノードの追加l クラスタからのノードの削除l ドライブの追加l ドライブの削除l ノードの SmartFail

l ドライブの SmartFail

Web管理インターフェイスから前述のタスクを実行することはできません。

前述のタスクについては、「IsilonSD Edge with IsilonSD Management Server インストールおよび管理ガイド」を参照してください。

IsilonSD クラスタの構成無料の Edge または Edge Flex ライセンスを使用して、次のようなホスト、データストア、ストレージ構成の組み合わせの IsilonSD クラスタを構成できます。l 複数のホストと VMFS ストレージを使用した複数のデータストアl 複数のホストと VMFS ストレージを使用した 1台のデータストアl 1台のホストと VMFS ストレージを使用した 1台のデータストアl 1台のホストと VMFS ストレージを使用した複数のデータストアl 複数のホストと vSAN ストレージを使用した 1台のデータストアl 1台のホストと vSAN ストレージを使用した 1台のデータストア

無料のライセンスは、これらの全構成をサポートします。Edge のライセンスは、複数のホスト（1:1 のマッピング）と VMFS ストレージを使用した複数のデータストア（1:1 のマッピング）をサポートします。Edge-Flex ライセンスは、その他の全構成をサポートします。

l IsilonSD Management Serverバージョン 1.0.0 または 1.0.1 の無料ライセンスを使用して、IsilonSD クラスタを作成した場合、対応するライセンスプロパティが維持されます。

l バージョン 1.0.2以降の管理サーバは、引き続き Edge の構成をサポートします。Edge構成では、独自の直接接続物理ディスク上で各仮想ディスクを作成する必要があるため、最大限の可用性が実現されます。

IsilonSD Edge


l Edge-Flex構成は、バージョン 1.0.2以降の管理サーバで使用できます。これらの構成は柔軟性が高く、1台のホストまたは 1台のデータストアでもクラスタを導入できますが、可用性はその構成の詳細な内容によって決まります。

IsilonSD クラスターの導入と構成IsilonSD クラスターを導入して構成するには、IsilonSD Management Plug-in を使用します。IsilonSD Management Server のユーザーインターフェイスを通じた VMware vCenter サーバーの登録が正常に終了すると、その vCenter サーバーインスタンス内にマネージメントプラグインがインストールされます。マネージメントプラグインを使用すると、ノードを追加して、クラスターを拡張することもできます。クラスターに追加できるノードの数は、所有ライセンス数と基盤をなしている仮想インフラストラクチャに依存します。また、RAID、LUN、未フォーマットのディスクで DAS を構成し、それらを ESXi ホストで使用する場合は、マネージメントプラグインを使用して、クラスター用のストレージを構成することもできます。こうしてマネージメントプラグインは、仮想ディスクを作成し、ディスクをフォーマットして、クラスターで使用できるようにします。

EMC IsilonSD EdgeのアップグレードEMC IsilonSD Edge のアップグレードでは、IsilonSD クラスタ上の OneFS オペレーティングシステムの新バージョンへのアップグレードや、IsilonSD Management Server のアップグレードなどを行います。ライセンスを購入した場合、EMC オンラインサポートサイトから目的のバージョンの OneFS ビルドイメージをダウンロードし、再インストールすることで、いつでも IsilonSD クラスタ上で OneFSバージョンをアップグレードできます。無料ライセンスの場合、EMC_IsilonSD_Edge.zip ファイルをダウンロードし、最新の OneFS ビルドイメージを展開して、IsilonSD クラスタに再インストールできます。このアップグレードプロセスは、物理 OneFS クラスタのアップグレードプロセスと同じワークフローに従います。詳細な情報については、「OneFS アップグレードの計画およびプロセスガイド」を参照してください。RPMパッケージのManager ユーティリティを使用して、IsilonSD Management Server を新しいバージョンにアップグレードすることができます。手順については、「EMC IsilonSD Edge withIsilonSD Management Server インストールおよび管理ガイド」を参照してください。

IsilonSD Edge

IsilonSD クラスターの導入と構成 535

https://support.emc.com/downloads/15209_Isilon-OneFS

IsilonSD Edge


第 27章

VMware統合


l VMware統合の概要......................................................................................... 538l VAAI.................................................................................................................538l VASA............................................................................................................... 538l VASA サポートの構成......................................................................................... 539l VASA の無効化または再有効化.......................................................................... 542l VASA ストレージ表示障害のトラブルシューティング...................................................543

VMware統合 537

VMware統合の概要OneFSは、vSphere、vCenter、ESXiなどの VMware インフラストラクチャと統合されます。VMware との統合によって、VMware アプリケーションを通じた Isilon クラスタに関する情報の表示と、Isilon クラスタとの対話が可能になります。OneFSは、VASA（VMware vSphere API for Storage Awareness）および VAAI（VMwarevSphere API for Array Integration）を通じて VMware インフラストラクチャと対話します。VAAIの詳細については、Isilon VAAI NAS Plug-In for Isilon Release Notes を参照してください。OneFSは、Isilon SRA（ストレージレプリケーションアダプタ）を使用して、VMware vCenterSRM（Site Recovery Manager）と統合されます。VMware SRM により、Isilon クラスタに格納された仮想マシンの移行とディザスタリカバリが容易になります。Isilon SRA を使用すると、VMwarevCenter SRMは、Isilon クラスタのディザスタリカバリプロセスのセットアップ、テスト、フェールオーバーのコンポーネントを自動的に管理します。Isilon SRA for VMware SRM の詳細については、Isilon SRA for VMware SRM Release Notes を参照してください。

VAAIOneFSは VAAI（VMware vSphere API for Array Integration）を使用して、VMware ESXiハイパーバイザから Isilon クラスターへの、特定の仮想マシンストレージおよび管理操作のオフロードをサポートします。VAAI サポートによって、仮想マシンおよび仮想ディスクの作成プロセスを高速化できます。 OneFSが VAAI を通じて vSphere環境と対話するには、VMware環境に VMware ESXi 5.0以降のハイパーバイザが必要です。Isilon クラスターで VAAI機能を有効化した場合、VMware を使用してクラスター上にある仮想マシンのクローンを作成すると、OneFS が仮想マシンに関連するファイルのクローンを作成します。OneFS が VAAI（VMware vSphere API for Array Integration）を使用できるようにするには、Isilon の VAAI NAS プラグインを VMware ESXi サーバーにインストールする必要があります。Isilon の VAAI NAS プラグインの詳細については、「VAAI NAS plug-in for Isilon ReleaseNotes」を参照してください。

VASAOneFSは、VASA（VMware vSphere API for Storage Awareness）を通じて VMwarevSphere と通信します。VASA サポートにより、vSphere を通じて、vCenter の Isilon固有のアラームなど、Isilon クラスターに関する情報を表示できます。また、VASA サポートにより、vCenter で Isilon クラスター用のストレージ容量を提供することで、VMware プロファイルベースのストレージと統合できます。 OneFSが VASA を通じて vSphere と通信するには、VMware環境に VMware ESXi 5.0以降のハイパーバイザが必要です。

Isilon の VASA アラームIsilon クラスター上で VASA サービスが有効化されていて、このクラスターが VASA（VMwarevSphere API for Storage Awareness）ベンダープロバイダーとして vCenter に追加された場合、OneFSは vSphere でアラームを生成します。

以下の表に、OneFS が生成するアラームの説明を示します。

VMware統合


https://support.emc.com/docu71154_VAAI_NAS_Plug-In_for_Isilon_1.2.2_Release_Notes.pdf

https://support.emc.com/docu50128

アラーム名説明

Thin-provisioned LUN capacity exceeded クラスターに十分な使用可能スペースがないため、シンプロビジョニングされた LUN にデータを書き込むためにスペースを割り当てることができません。この状態が続くと、このクラスターに仮想マシンを書き込むことができなくなります。この問題を解決するには、クラスターのストレージ領域を解放する必要があります。

VASA ストレージ機能OneFSは、VASA（VMware vSphere API for Storage Awareness）によって VMwarevCenter と統合され、vCenter で Isilon クラスターのストレージ容量が表示されます。

次のストレージ容量が vCenter に表示されます。アーカイブ

Isilon クラスターは、Isilon NL シリーズのノードで構成されます。クラスターは、最大容量が得られるように構成されます。

パフォーマンスIsilon クラスターは、Isilon i シリーズ、Isilon X シリーズ、Isilon NL シリーズのノードで構成されます。クラスターは、最大のパフォーマンスが得られるように構成されます。

ノードタイプで SSD がサポートされ、何もインストールされていない場合、クラスターは容量クラスターと認識されます。

容量Isilon クラスターは、SSD を持たない Isilon X シリーズのノードで構成されます。クラスターは、パフォーマンスと容量のバランスを考慮して構成されます。

ハイブリッドIsilon クラスターは、複数のストレージ容量に関連づけられたノードで構成されます。たとえば、クラスターに Isilon S シリーズと NL シリーズの両方のノードが含まれる場合、クラスターのストレージ容量は Hybrid と表示されます。

VASA サポートの構成クラスタに対する VASA（VMware vSphere API for Storage Awareness）サポートを有効化するには、クラスタの VASA デーモンを有効化し、vCenter に Isilon ベンダープロバイダー証明書を追加する必要があります。

vCenterバージョン 6.0 を実行している場合、Isilon ベンダープロバイダー証明書を追加して、vCenter で VASA プロバイダーを登録する前に、「自己署名証明書の作成」セクションの説明に従って、自己署名証明書を作成する必要があります。

VMware統合

VASA ストレージ機能 539

VASA の有効化VASA デーモンを有効にすることで、Isilon クラスターと VASA（VMware vSphere API forStorage Awareness）が通信できるようにする必要があります。手順

1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. 次のコマンドを実行して VASA を有効にします。

isi services isi_vasa_d enable

Isilon ベンダープロバイダー証明書のダウンロードIsilon クラスタの VASA ベンダープロバイダーを VMware vCenter に追加するには、ベンダープロバイダー証明書を使用する必要があります。手順

1. サポートされるWeb ブラウザで、https://［<IPAddress>］の Isilon クラスタに接続します。ここで、［<IPAddress>］は Isilon クラスタの IP アドレスです。

2. セキュリティ例外を追加し、セキュリティ証明書を表示して最新であることを確認します。3. セキュリティ証明書をダウンロードし、マシン上の場所に保存します。

セキュリティ証明書のエクスポートの詳細については、ブラウザのドキュメントを参照してください。

証明書を保存した場所を記録します。このファイルパスは、ベンダープロバイダーをvCenter に追加するときに必要になります。

必要条件vCenterバージョン 6.0 を実行している場合は、「Create a self-signed certificate」セクションの手順に従ってください。それより前のバージョンの vCenter を実行している場合は、次のセクションをスキップして、「Add the Isilon vendor provider」セクションの手順に従ってください。

自己署名証明書の生成VMware vCenterバージョン 6.0 を実行している場合、vCenter を使用して VASA プロバイダーを登録する前に、新しい自己署名証明書を作成する必要があります。自己署名証明書は、VASA プロバイダーとして使用される EMC Isilon クラスタのノードへの SSH（セキュアシェル）接続を開くことにより、作成することができます。または、ノード上に自己署名証明書を作成し、クラスタの他の任意のノードに証明書をコピーして、vCenter でそのノードを VASA プロバイダーとして登録することもできます。手順

1. 次のコマンドを実行して、RSA キーを作成します。

openssl genrsa -aes128 -out vp.key 1024

VMware統合


2. 次のコマンドを順番に実行して、キーのパスフレーズを削除します。

cp vp.key vp.key.withpassphraseopenssl rsa -in vp.key.withpassphrase -out vp.key

3. 次のコマンドを実行して、証明書署名リクエストを作成します。

openssl req -new -key vp.key -out vp.csr

4. 次のコマンドを順番に実行して、CA署名機能のない自己署名証明書を生成します。

echo "basicConstraints=CA:FALSE" > vp.extopenssl x509 -req -days 365 -in vp.csr -sha256 -signkey vp.key -extfile vp.ext -out vp.crt:

365日の有効期間中は、必要に応じて自己署名証明書を変更できます。

5. 次のコマンドを実行して、拡張機能情報を含む新しい証明書を確認のために表示します。

openssl x509 -text -noout -purpose -in vp.crt

6. 次のコマンドを実行して、オリジナル server.key のバックアップを作成します。

cp /usr/local/apache2/conf/ssl.key/server.key /usr/local/apache2/conf/ssl.key/server.key.bkp

7. 次のコマンドを実行して、以前のサーバキーを新しいサーバキーに置き換えます。

cp vp.key /usr/local/apache2/conf/ssl.key/server.key

ここで、vp.keyは新しいサーバキーです。

8. 次のコマンドを実行して、オリジナル証明書のバックアップを作成します。

cp /usr/local/apache2/conf/ssl.crt/server.crt /usr/local/apache2/conf/ssl.crt/server.crt.bkp

ここで、server.crtはオリジナル証明書です。9. 次のコマンドを実行して、サーバ上のオリジナル証明書を新しい証明書に置き換えます。

cp vp.crt /usr/local/apache2/conf/ssl.crt/server.crt

ここで、vp.crtは新しい証明書です。

VMware統合

自己署名証明書の生成 541

10. 証明書が置き換わったら、次のコマンドを順番に実行して、アパッチサービス httpd（/usr/local/apache2/bin/）を停止して再起動します。

killall httpd/usr/local/apache2/bin/httpd -k start

Isilon ベンダープロバイダーの追加クラスタのストレージ容量に関する情報を vCenter で表示する前に、EMC Isilon クラスタをベンダープロバイダーとして VMware vCenter に追加する必要があります。

はじめにベンダープロバイダー証明書をダウンロードします。vCenterバージョン 6.0 を実行している場合は、自己署名証明書を作成します。手順

1. vCenter で、［Add Vendor Provider］ウィンドウに移動します。2. ［Add Vendor Provider］ウィンドウの次のフィールドに入力します。

Name

この VASA プロバイダーの名前を入力します。文字列として指定します。たとえば、EMC Isilon Systems と入力します。

URL

https://［<IPAddress>］:8081/vasaprovider と入力します。ここで、［<IPAddress>］は Isilon クラスタのノードの IP アドレスです。

Login

root を入力します。

Password

root ユーザーのパスワードを入力します。

Certificate location

このクラスタのベンダープロバイダー証明書のファイルパスを入力します。

3. ［Use Vendor Provider Certificate］ボックスを選択します。4. ［OK］をクリックします。

VASAの無効化または再有効化VASA（VMware vSphere API for Storage Awareness）による Isilon クラスターと VMwarevSphere との通信を無効化または再有効化できます。

VASA のサポートを無効にするには、VASA デーモンと Isilon Web管理インターフェイスの両方を無効にする必要があります。 Web インターフェイスが無効化されている間は、Web ブラウザーでクラスターを管理できません。 VASA のサポートを再有効化するには、VASA デーモンとWeb インターフェイスの両方を有効にする必要があります。

VMware統合


手順1. クラスター内の任意のノードへの SSH（セキュアシェル）接続を開き、ログインします。2. 次のいずれかのコマンドを実行して、Web インターフェイスを有効または無効にします。

l isi services apache2 disablel isi services apache2 enable

3. 次のいずれかのコマンドを実行して、VASA デーモンを有効または無効にします。l isi services isi_vasa_d disablel isi services isi_vasa_d enable

VASA ストレージ表示障害のトラブルシューティングvSphere を通じて Isilon クラスターに関する情報を表示できない場合は、次に示すトラブルシューティングのヒントに従って問題を修正します。l ベンダープロバイダー証明書が最新で、使用期間が終了していないことを確認する。l Isilon クラスターが VASA デーモンを通じて VASA と通信できることを確認する。 VASA デーモ

ンが無効になっている場合は、次のコマンドを実行して有効化します。

isi services isi_vasa_d enable

l クラスターの日時が正しく設定されていることを確認する。l データが vCenter から正しく同期していることを確認する。

VMware統合

VASA ストレージ表示障害のトラブルシューティング 543

VMware統合


第 28章

File System Explorer


l File System Explorer の概要............................................................................. 546l ファイルシステムの参照........................................................................................ 546l ディレクトリの作成................................................................................................546l ファイルとディレクトリのプロパティの変更................................................................... 546l ファイルとディレクトリのプロパティの表示....................................................................547l ファイルとディレクトリのプロパティ..............................................................................547

File System Explorer 545

File System Explorerの概要File System Explorerは、EMC Isilon クラスターに保存されている内容を管理できるWeb ベースのインターフェイスです。File System Explorer を使用して、Isilon ファイルシステム（/ifs）への移動、ディレクトリの追加、ファイルおよびディレクトリのプロパティ（データ保護、I/O最適化、UNIX権限など）の管理ができます。初期状態では、Isilon ファイルシステムディレクトリの権限が、すべてのユーザーにフルアクセスを許可する設定になっています。個々のファイルに適用された権限に関係なく、すべてのユーザーが、すべてのファイルを削除できます。環境によっては、File System Explorer で適切な権限の制限を確立する必要があります。File System Explorer では、アクセスゾーンをサポートします。デフォルトでは、root ユーザーとsysadmin が最上位レベルのアクセスゾーンである System（/ifs）にアクセスできます。他のユーザーを特定のアクセスゾーン、たとえば/ifs/home に制限することができます。ファイルおよびディレクトリのプロパティは、クラスターに接続されたWindows クライアントで表示できます。ただし、Windows と UNIX の権限は異なるため、意図しない変更を行ってファイルやディレクトリのアクセスに影響を与えることがないよう、注意が必要です。

ファイルシステムの参照Isilon ファイルシステム /ifsは、File System Explorer で参照できます。手順

1. ［File System］ > ［File System Explorer］をクリックします。2. ファイルとディレクトリが表示されます。

あるディレクトリをクリックするとコンテンツを表示することができます。

ディレクトリの作成File System Explorer では、/ifs ディレクトリツリーにディレクトリを作成できます。手順

1. ［File System］ > ［File System Explorer］をクリックします。2. ディレクトリを追加するディレクトリに移動します。3. ［Create Directory］をクリックします。4. ［Create a Directory］ダイアログボックスの［Directory name］フィールドに、ディレクト

リ名を入力します。5. ［Permissions］領域で権限をディレクトリに割り当てます。6. ［Create Directory］をクリックします。

ファイルとディレクトリのプロパティの変更File System Explorer でファイルおよびディレクトリのプロパティを変更することができます。手順

1. ［File System Management］ > ［File System Explorer］をクリックします。



2. 変更するファイルまたはディレクトリに移動します。3. ファイルまたはディレクトリの行で［View/Edit］をクリックします。4. ［Edit Properties］をクリックします。5. ファイルまたはディレクトリのプロパティを変更し、［Save Changes］をクリックします。

ファイルとディレクトリのプロパティの表示File System Explorer でファイルおよびディレクトリのプロパティを表示することができます。手順

1. ［File System Management］ > ［File System Explorer］をクリックします。2. 表示するファイルまたはディレクトリに移動します。3. ファイルまたはディレクトリの行で［View/Edit］をクリックします。

ファイルとディレクトリのプロパティFile System Explorer には、次のファイルとディレクトリのプロパティが表示されます。

プロパティPath

ファイルまたはディレクトリの絶対パスを表示します。

File Size

ファイルまたはディレクトリの論理サイズを表示します。

Space Used

ファイルまたはディレクトリの物理サイズを表示します。

Last Modified

ファイルまたはディレクトリの最終変更時刻を表示します。

Last Accessed

ファイルまたはディレクトリの最終アクセス時刻を表示します。

UNIX権限User

ファイルまたはディレクトリの所有者に割り当てられている権限を表示します。

Group

ファイルまたはディレクトリのグループに割り当てられている権限を表示します。

その他ファイルまたはディレクトリに対して他のユーザーに割り当てられている権限を表示します。


ファイルとディレクトリのプロパティの表示 547

OneFS 8.1 Web管理ガイド - Dell · このガイドの概要 21 このガイドについて........

Documents

Transcript of OneFS 8.1 Web管理ガイド - Dell · このガイドの概要 21 このガイドについて........