エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

MetroCluster マニュアル ( CA08871-401 )

MetroClusterのドキュメント

MetroCluster IP構成の設置

概要

MetroCluster設置の準備

ONTAPの各MetroCluster構成の相違点

ONTAP MediatorとMetroCluster Tiebreakerのどちらを使用するかの検討

MetroCluster IP構成に関する考慮事項

ONTAP 9.7以降での自動ドライブ割り当てとADPシステム

クラスタ ピアリング

ISLの要件

ISLの要件の概要

弊社検証済みスイッチとMetroCluster準拠スイッチ

ISLに関する考慮事項

共有レイヤー2またはレイヤー3ネットワークにMetroClusterを導入する際の考慮事項

MetroCluster準拠スイッチの使用に関する考慮事項

MetroCluster準拠スイッチの要件と制限事項

MetroCluster準拠スイッチのネットワーク速度とスイッチ ポート モード

スイッチ ポートの設定例

MetroClusterネットワーク トポロジーの例

MetroCluster IP構成のミラーされていないアグリゲート

MetroClusterサイトでのファイアウォール使用

MetroCluster構成で仮想IPとBorder Gateway Protocolを使用する場合の考慮事項

MetroClusterハードウェア コンポーネントの構成

MetroCluster IP構成のコンポーネント

MetroCluster IPに必要なコンポーネントと命名規則

ラックへのハードウェア コンポーネントの取り付け

MetroCluster IPスイッチのケーブル接続

RcfFileGeneratorツールまたは複数のMetroCluster構成でのポートの表の使用方法

Cisco 3132Q-Vスイッチのプラットフォーム ポート割り当て

Cisco 3232C / 9336Cスイッチのプラットフォーム ポート割り当て

Cisco 9336C-FX2共有スイッチのプラットフォーム ポート割り当て

コントローラーのデータ ポートと管理ポートのケーブル接続

MetroCluster IPスイッチの設定
Cisco IPスイッチの設定

基本設定の構成

Cisco 9336CスイッチでのMACsec暗号化の設定

健全性監視のためのMetroCluster IPスイッチの設定

ONTAPでのMetroClusterソフトウェアの設定

概要

8ノード構成の設定方法

必要な情報の収集

標準クラスタ構成とMetroCluster構成の類似点 / 相違点

コンポーネントのha-config状態の確認

コントローラー モジュールのシステム デフォルトのリストア

プール0へのドライブの手動割り当て

ONTAPのセットアップ

クラスタをMetroCluster構成に設定

エンドツーエンドの暗号化の設定

スイッチオーバー、修復、スイッチバックの検証

MetroCluster TiebreakerまたはONTAP Mediatorソフトウェアの設定

構成バックアップ ファイルの保護

自動計画外スイッチオーバーのためのONTAP Mediatorサービスの設定

ONTAP Mediatorサービスのインストールの準備

MetroCluster IP構成でのONTAP Mediator サービスの設定

MetroCluster IP構成からのONTAP Mediatorサービスの構成解除

別のONTAP MediatorインスタンスへのMetroCluster構成の接続

ONTAP Mediatorでの自動計画外スイッチオーバーのサポート

MetroCluster構成のテスト

MetroCluster構成を削除する場合の考慮事項

MetroCluster構成でONTAPを使用する場合の考慮事項

詳細情報の入手方法

MetroCluster Tiebreakerのインストールと設定

新機能

Tiebreakerソフトウェアの概要

Tiebreakerソフトウェアのインストール

Tiebreakerのインストール ワークフロー

Tiebreakerソフトウェアのインストールの準備

インストールの保護

Tiebreakerソフトウェア パッケージのインストール

インストール手順の選択

Tiebreaker 1.6のインストール

Tiebreaker 1.5のインストール

ONTAPIおよびSSHへの管理者アクセスの設定

依存関係のインストール

ソフトウェア パッケージのインストール

Tiebreaker 1.4のインストール

依存関係のインストール

ソフトウェア パッケージのインストール

ホストのアップグレード

Tiebreakerソフトウェアの設定

TiebreakerソフトウェアのSNMP設定

MetroCluster構成の監視

MetroCluster Tiebreakerをアクティブ モードで使用する場合のリスクと制限

MetroCluster Tiebreakerのファイアウォール要件

MetroCluster Tiebreakerのイベント ログ ファイル

詳細情報の入手方法

MetroClusterのデータ保護とディザスタ リカバリーの概要

MetroClusterのデータ保護とディザスタ リカバリーの仕組み

スイッチオーバー、修復、スイッチバックの実行
テストまたはメンテナンスのためのスイッチオーバーの実行

概要

スイッチオーバーに向けたシステムの事前チェック

カスタムAutoSupportメッセージの送信 - ネゴシエート スイッチオーバー前

ネゴシエート スイッチオーバーの実行

SVMが稼働中でありアグリゲートがオンラインであることの確認

スイッチバックの実行

スイッチバックの成功確認

スイッチオーバー、修復、およびスイッチバック用のコマンド

MetroCluster構成の監視

NVFAILを使用したファイルシステム整合性の監視および保護

詳細情報の入手方法

MetroCluster構成のアップグレード、更新、及び拡張

MetroCluster IP構成の拡張

ディザスタ リカバリー グループの削除

to English version

Tiebreakerのホストとデータベースの保護

MetroCluster Tiebreaker 1.5以降を実行する構成では、ホストOSとデータベースを保護してセキュリティを強化できます。

ホストの保護

次のガイドラインは、Tiebreakerソフトウェアがインストールされているホストを保護する方法を示したものです。

ユーザー管理に関する推奨事項

  • rootユーザーのアクセスを制限します。

    • Tiebreakerソフトウェアのインストールと管理のどちらも行う必要がある場合には、rootアクセスに昇格できるユーザーを使用しても問題ありません。

    • Tiebreakerソフトウェアの管理だけでよければ、rootアクセスに昇格できないユーザーを使用することを推奨します。

    • インストール時には、「mcctbgrp」という名前のグループを作成する必要があります。このグループは、ホストのrootユーザーとインストール中に作成されたユーザーのどちらもメンバーにする必要があります。Tiebreakerソフトウェアを完全に管理できるのは、このグループに所属するメンバーだけです。

      このグループのメンバーでないユーザーは、TiebreakerソフトウェアやCLIにアクセスできません。ホストに追加のユーザーを作成し、このグループのメンバーにすることは可能です。追加メンバーは、Tiebreakerソフトウェアを完全に管理することはできません。追加メンバーのアクセス権は読み取り専用であり、モニタの追加、変更、削除はできません。

    • Tiebreakerをrootユーザーとして実行しないでください。Tiebreakerの実行には、特権のない専用のサービス アカウントを使用します。

  • 「/etc/snmp/snmpd.conf」ファイルのデフォルトのコミュニティ ストリングを変更します。

  • 許可する書き込み権限を最小限にとどめます。特権のないTiebreakerサービス アカウントには、実行可能バイナリーや設定ファイルを上書きする権限がないようにしてください。そのようなTiebreakerユーザーが書き込みできるのは、監査ログまたはローカルのTiebreakerストレージ(統合バックエンド ストレージなど)のディレクトリーとファイルだけにする必要があります。

  • 匿名ユーザーを許可しないでください。

    • AllowTcpForwardingを「no」に設定するか、Matchディレクティブを使用すると、匿名ユーザーを制限できます。

関連情報

ベースライン ホストのセキュリティに関する推奨事項

  • ディスク暗号化を使用します。

    • ディスク暗号化を有効にすることができます。これには、FullDiskEncryption(ハードウェア)、HostOSが提供する暗号化(ソフトウェア)、SVMホストが提供する暗号化があります。

  • 着信接続を許可しているサービスのうち、使用していないものを無効にします。使用していないサービスは無効にしても問題ありません。Tiebreakerからの接続はすべて発信接続であるため、Tiebreakerソフトウェアには受信接続のためのサービスは必要ありません。 デフォルトで有効になっている可能性があるものの、無効にできるサービスは次のとおりです。

    • HTTP/HTTPSサーバー

    • FTPサーバー

    • Telnet、RSH、rlogin

    • NFS、CIFS、およびその他のプロトコル アクセス

    • RDP(RemoteDesktopProtocol)、X11サーバー、VNC、またはその他のリモート「デスクトップ」サービス プロバイダー

      ホストをリモートで管理するためには、シリアル コンソール アクセス(サポートされている場合)または少なくとも1つのプロトコルを有効にしておく必要があります。プロトコルをすべて無効にした場合、管理に際してホストに物理的にアクセスすることが必要になります。

  • ホストの保護のためにFIPSを使用します。

    • ホストOSをFIPS準拠モードでインストールしてから、Tiebreakerをインストールできます。

      OpenJDK 19は起動に際し、ホストがFIPSモードでインストールされているかを確認します。手動で変更する必要はありません。

    • ホストを保護する場合は、ユーザーが操作することなくホストがブートできることを確認する必要があります。ユーザーの操作が必要な状態になっていると、ホストが予期せずリブートしたときにTiebreakerの機能が使用できなくなることがあります。このような状況が発生した場合、Tiebreakerの機能は、手動の操作を終え、ホストが完全にブートされたあとにのみ使用できます。

  • シェル コマンドの履歴を無効にします。

  • アップグレードを頻繁に実施します。Tiebreakerは活発に開発が進められています。そのため、更新を頻繁に実施し、各種のセキュリティ修正プログラムを適用したり、キーの長さや暗号スイートなどのデフォルト設定の変更を組み込んだりしておくことが重要です。

  • HashiCorp Announcementsメーリング リストに登録すると、新しいリリースに関するお知らせを受け取ることができます。また、新しいリリースの最新の更新点の詳細については、TiebreakerのCHANGELOGにアクセスしてください。

  • 正しいファイル権限を使用します。Tiebreakerソフトウェアを起動する前に、各種ファイルに対して適切な権限が適用されているかを必ず確認してください。特に機密情報が含まれるファイルにはご注意ください。

  • 多要素認証(MFA)を使用すると、管理者に対して認証時にユーザー名とパスワードに加えて追加の要素の使用を要求できるので、組織のセキュリティを強化できます。ユーザー名とパスワードは重要ではあるものの、ブルート フォース攻撃に対して脆弱であり、第三者に不正取得される可能性があります。

    • Red Hat Enterprise Linux 8はMFAに対応しており、アカウントやLinuxホストへのユーザー認証に際して複数の情報を要求することができます。追加情報には、SMS経由で携帯電話に送信されるワンタイム パスワードや、Google Authenticator、Twilio Authy、FreeOTPなどのアプリケーションに表示されるクレデンシャルなどがあります。

関連情報

データベースの保護

次のガイドラインは、MariaDB 10.xデータベースの保護およびセキュリティ強化の方法を示したものです。

  • rootユーザーのアクセスを制限します。

    • Tiebreakerは専用のアカウントを使用します。(設定の)データを格納するアカウントとテーブルは、Tiebreakerのインストール時に作成されます。管理者特権を使ってデータベースにアクセスする必要があるのは、インストール中だけです。

  • インストール中は、次の操作のためのアクセス権と権限が必要になります。

    • データベースとテーブルの作成

    • グローバル オプションの作成

    • データベース ユーザーの作成およびパスワードの設定

    • データベース ユーザーとデータベースおよびテーブルとの関連付け、アクセス権の割り当て

      Tiebreakerのインストール時に指定するユーザー アカウントには、ここに挙げた権限がすべて必要です。上記一連のタスクの実行にユーザー アカウントを複数使用することはできません。

  • データベースの暗号化を使用します。

    • 保存データの暗号化はサポートされています。

      保存データの暗号化の詳細について

    • 転送中データは暗号化されません。転送中データは、ローカルの「SOCKS」ファイル接続を使用します。

    • MariaDBのFIPS準拠については、データベースでFIPS準拠を有効にする必要はありません。FIPS準拠モードでホストをインストールすれば問題ありません。

      MySQL Enterprise Transparent Data Encryption(TDE)の詳細について

      暗号化設定は、Tiebreakerソフトウェアのインストール前に有効にする必要があります。
関連情報
Top of Page