エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

既存バケット用ミラー関係の作成(リモート クラスタ)

既存のS3バケットの保護は、たとえばONTAP 9.10.1よりも前のリリースからS3の設定をアップグレードした場合など、いつでも開始できます。

タスク概要

このタスクはソースとデスティネーションの両方のクラスタで実行する必要があります。

開始する前に
  • ONTAPのバージョン、ライセンス、S3サーバーの設定に関する要件を満たしている必要があります。

  • ソースとデスティネーションのクラスタ間にピア関係が、ソースとデスティネーションのStorage VM間にピア関係がそれぞれ確立されている必要があります。

  • ソースとデスティネーションのVMのCA証明書が必要です。自己署名CA証明書または外部CAベンダーが署名した証明書を使用できます。

手順

ミラー関係は、ONTAP System ManagerまたはONTAP CLIを使用して作成できます。

ONTAP System Manager
  1. このStorage VMに対する最初のS3 SnapMirror関係を作成する場合は、ソースとデスティネーションの両方のStorage VMに対するrootユーザーのキーがあることを確認し、ない場合は再生成します。

    1. [ストレージ] > [Storage VM]をクリックし、Storage VMを選択します。

    2. [設定]タブで、[S3]タイルのedit iconをクリックします。

    3. [ユーザ]タブで、rootユーザーのアクセス キーがあることを確認します。

    4. キーがない場合は、[root]の横にあるその他のアイコンをクリックし、[キーを再生成]をクリックします。
      キーがすでにある場合は再生成しないでください。

  2. ソースとデスティネーションの両方のStorage VMで、ユーザーおよびグループのアクセスが正しいことを確認します。
    [ストレージ] > [Storage VM]をクリックし、Storage VMをクリックして[設定]をクリックし、[S3]edit iconをクリックします。

    詳細については、S3のユーザーとグループの追加を参照してください。

  3. ソース クラスタで、デフォルト以外のS3 SnapMirrorポリシーを使用する場合、既存のポリシーがなければ作成します。

    1. [保護] > [概要]をクリックし、[ローカルポリシー設定]をクリックします。

    2. [保護ポリシー]の横にあるright arrowをクリックし、[追加]をクリックします。

    3. ポリシーの名前と説明を入力します。

    4. ポリシーの対象として、クラスタまたはSVMを選択します。

    5. S3 SnapMirror関係に対応する[継続的な]を選択します。

    6. [Throttle][目標復旧時点]の値を入力します。

  4. 既存のバケットのバケット アクセス ポリシーが引き続き要件を満たしていることを確認します。

    1. [ストレージ] > [バケット]をクリックし、保護するバケットを選択します。

    2. [権限]タブで、" alt="編集">をクリックし、[権限]の下の[追加]をクリックします。

      • 主な内容と効果:ユーザー グループの設定に応じた値を選択するか、デフォルトのままにします。

      • アクション:次の値が表示されていることを確認します。

        GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts
      • リソース:デフォルトの(bucketname, bucketname/*)を使用するか、必要に応じて他の値を使用します。

        これらのフィールドの詳細については、バケットへのユーザー アクセスの管理を参照してください。

  5. S3 SnapMirror保護を使用して既存のバケットを保護します。

    1. [ストレージ] > [バケット]をクリックし、保護するバケットを選択します。

    2. [保護]をクリックし、次の値を入力します。

      • デスティネーション

        • ターゲット:ONTAPシステム

        • クラスタ:リモート クラスタを選択します。

        • STORAGE VM:リモート クラスタのStorage VMを選択します。

        • S3 SERVER CA CERTIFICATEソースの証明書の内容をコピーして貼り付けます。

      • Source

        • S3 SERVER CA CERTIFICATEデスティネーションの証明書の内容をコピーして貼り付けます。

  6. 外部CAベンダーが署名した証明書を使用している場合は、[Use the same certificate on the destination]をオンにします。

  7. [Destination Settings]をクリックすると、バケット名、容量、およびパフォーマンス サービス レベルについて、デフォルト以外の値を入力できます。

  8. [保存]をクリック。既存のバケットがデスティネーションStorage VMの新しいバケットにミラーリングされます。

ロックされたバケットのバックアップ

ONTAP 9.14.1以降では、ロックされたS3バケットをバックアップし、必要に応じてリストアできます。

新規または既存のバケットの保護設定を定義する際に、ソースクラスタとデスティネーションクラスタでONTAP 9.14.1以降を実行し、ソースバケットでオブジェクトのロックが有効になっている場合は、デスティネーションバケットでオブジェクトのロックを有効にすることができます。ソースバケットのオブジェクトロックモードとロックの保持期間が、デスティネーションバケットのレプリケートオブジェクトに適用されるようになります。また、*[Destination Settings]*セクションで、デスティネーションバケットに対して別のロック保持期間を定義することもできます。この保持期間は、ソースバケットとS3インターフェイスからレプリケートされたロックされていないオブジェクトにも適用されます。

バケットでオブジェクトロックを有効にする方法については、"バケットを作成する"を参照してください。

CLI
  1. このSVMに対する最初のS3 SnapMirror関係を作成する場合は、ソースとデスティネーションの両方のSVMに対するrootユーザーのキーがあることを確認し、ない場合は再生成します。
    vserver object-store-server user show

    rootユーザーのアクセス キーがあることを確認します。キーがない場合は次のように入力します。
    vserver object-store-server user regenerate-keys -vserver svm_name -user root

    キーがすでにある場合は再生成しないでください。

  2. デスティネーションSVMにミラー ターゲットにするバケットを作成します。

    vserver object-store-server bucket create -vserver svm_name -bucket dest_bucket_name [-size integer[KB|MB|GB|TB|PB]] [-comment text] [additional_options]

  3. ソースとデスティネーションの両方のSVMで、デフォルトのバケット ポリシーのアクセス ルールが正しいことを確認します。

    vserver object-store-server bucket policy add-statement -vserver svm_name -bucket bucket_name -effect {allow|deny} -action object_store_actions -principal user_and_group_names -resource object_store_resources [-sid text] [-index integer]

    src_cluster::> vserver object-store-server bucket policy add-statement -bucket test-bucket -effect allow -action GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts -principal - -resource test-bucket, test-bucket /*
  4. ソースSVMで、デフォルト以外のS3 SnapMirrorポリシーを使用する場合、既存のポリシーがなければ作成します。

    snapmirror policy create -vserver svm_name -policy policy_name -type continuous [-rpo integer] [-throttle throttle_type] [-comment text] [additional_options]

    パラメーター:

    • continuous - S3 SnapMirror関係に対応する唯一のポリシー タイプです(必須)。

    • -rpo - 目標復旧時点を秒数で指定します(オプション)。

    • -throttle - スループット / 帯域幅の上限を1秒あたりのKB数で指定します(オプション)。

      src_cluster::> snapmirror policy create -vserver vs0 -type continuous -rpo 0 -policy test-policy
  5. ソースとデスティネーションのクラスタの管理SVMに、CA証明書をインストールします。

    1. ソース クラスタで、デスティネーションのS3サーバー証明書に署名したCA証明書をインストールします。
      security certificate install -type server-ca -vserver src_admin_svm -cert-name dest_server_certificate

    2. デスティネーション クラスタで、ソースのS3サーバー証明書に署名したCA証明書をインストールします。
      security certificate install -type server-ca -vserver dest_admin_svm -cert-name src_server_certificate

      外部CAベンダーが署名した証明書を使用する場合は、ソースとデスティネーションの管理SVMに同じ証明書をインストールします。

      詳細については、security certificate installのマニュアル ページを参照してください。

  6. ソースSVMで、S3 SnapMirror関係を作成します。

    snapmirror create -source-path src_svm_name:/bucket/bucket_name -destination-path dest_peer_svm_name:/bucket/bucket_name, …​} [-policy policy_name]

    作成したポリシーを使用することも、デフォルトのポリシーをそのまま使用することもできます。

    src_cluster::> snapmirror create -source-path vs0:/bucket/test-bucket -destination-path vs1:/bucket/test-bucket-mirror -policy test-policy
  7. ミラーリングがアクティブになっていることを確認します。
    snapmirror show -policy-type continuous -fields status

Top of Page