CentralOne 破窓メカニズムの設定方法

CentralOne プラットフォームの破窓メカニズム機能は、システムの信頼性と可用性を向上させることを目的としています。この機能は、CentralOne上のデバイスの接続情報をS3のストレージ空間に自動的にバックアップします。CentralOneプラットフォームに障害が発生した場合、これらのバックアップデータは、緊急にサーバーにアクセスするための重要な情報となり、緊急ログインを行い、正常な動作を復元することができます。

関連の説明とFAQについては:CentralOne破窓メカニズム機能解説を参照してください

バックアップ破窓データスペースを設定するための3つの方法を以下に示します。

一、クラウドのS3ストレージを使用する方法 (例: AWS)

  • AWSバケットを作成する
  • バケットポリシーを設定する
  • 破窓メカニズム専用のCredential Keyを作成する
  • CentralOneで破窓メカニズムのバックアップ設定を行う
  • 接続情報を取得して緊急接続に使用する

二、内部ネットワークのストレージを使用する方法 (例: Minio)

  • 内部で1台のマシンを用意する(CentOS 7を例とする)
  • Minioをインストールする
  • バケットを作成する
  • CentralOneで破窓メカニズムのバックアップ設定を行う
  • 接続情報を取得して緊急接続に使用する

三、Azure Blob ストレージを使用して保存

  • ストレージアカウントを追加する
  • コンテナを作成する
  • ストレージアカウントキーを取得する
  • CentralOneで破窓メカニズムのバックアップ設定を行う
  • 接続情報を取得して緊急接続に使用する

一、クラウドS3のストレージ空間を使用する(AWSを例とする)

1、S3 bucket を作成する

AWS Consoleにログインし、S3サービスを使用する
1. 適切なリージョンを選択する(この例では東京を選択)
2. 「ストレージバケットの作成」をクリックする
3. ストレージバケットの種類:一般使用を選択
4. ストレージバケット名:カスタム名を入力
5. 點「ストレージバケットの作成」をクリックすると、バケットが作成されます
  PS: その他の設定は、必要に応じて設定できます。この例では、他の設定はすべてデフォルト値を選択しています。

2、Bucket Policy の設定

1. 作成したストレージバケットをクリックします。この例では、mavis-break-glassです。
2. 許可をクリックします
3. ストレージバケットポリシー:編集をクリックします
4. Actionの設定:最低限の権限のみを与える(GetObjectPutObjectのみ)
5. Resourceの設定:破窓メカニズムが使用するbucketを設定します。
6. Resourceの設定:IPホワイトリストを設定し、これらのIPのみがbucketにアクセスできるようにします。
7. ポリシーを設定したら、「変更を保存」をクリックします。

PS: 注:最小限の権限を設定することをお勧めします。自社のセキュリティポリシーに応じてPolicyを設定してください。

Bucket Policy 例

{
    "Version": "2012-10-17",
    "Id": "SourceIP",
    "Statement": [
        {
            "Sid": "SourceIP",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::mavis-break-glass",
                "arn:aws:s3:::mavis-break-glass/*"
            ],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "Modify.Allow.Access.IP1/32",
                        "Modify.Allow.Access.IP2/32",
                        "Modify.Allow.Access.IP3/32",
                        "Modify.Allow.Access.IP4/32",
                        "Modify.Allow.Access.IP5/32"
                    ]
                }
            }
        }
    ]
}

3、破窓メカニズム専用のCredential Keyの作成

AWS IAMサービスに入ります。
1. 「ユーザー」をクリックします。
2. 「ユーザーの作成」をクリックします。
3. ユーザー名:カスタム名を入力します(この例:AccessKey_For_Break-glass)。
4. 「次へ」をクリックします。
5. 許可オプション:「ポリシーを直接アタッチする」を選択します。
6. 「ポリシーの作成」をクリックします。
7. ポリシーエディター:「JSON」を選択します。
8. ポリシーを入力:bucketにs3:ListBucket、GetObject、PutObject権限のみを与えます。
    PS:以下の例を参照してください。
9. 「次へ」をクリックします。

ユーザーポリシー例:

(mavis-break-glass bucketにs3:ListBucket、GetObject、PutObject権限のみを与える)

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::mavis-break-glass",
                "arn:aws:s3:::mavis-break-glass/*"
            ]
        }
    ]
}
10. ポリシー名:カスタム名を入力します(この例:accessKey_for_break-glass)
11. このポリシーで定義された許可:設定したポリシー権限を確認します
12. 「ポリシーの作成」をクリックします
先ほどのユーザー作成の許可設定ページに戻ります:直接ポリシーをアタッチする
13. 許可ポリシー:作成したポリシーを選択します(この例:accessKey_for_break-glass)
14. 「次へ」をクリックします
15. 「ユーザーの作成」をクリックします
 ユーザーアカウントに戻り、アクセスキーを作成します
16. ユーザーを選択します
17. 作成したユーザーをクリックします(この例:AccessKey_For_break_glass)
18. 「セキュリティ認証情報」に進みます
19. 「アクセスキーの作成」をクリックします
20. 「サードパーティサービス」を選択します
21. 「確認」にチェックを入れます
22. 「次へ」をクリックします
23. 「次へ」をクリックします
24. キー情報の表示:Access key IDとAccess secret keyが表示されます
25. 「.csvファイルのダウンロード」をクリックします
26. 「完了」をクリックします

4、CentralOneでの破窓メカニズムバックアップの設定

使管理者としてCentralOneにログインします
1. 「システム管理」に進みます
2. 「破窓メカニズムバックアップ」をクリックします
3. 「編集」をクリックします
4. 破窓メカニズムバックアップ:有効化
5. 実行時間:スケジュール時間を選択
6. リモートストレージプロバイダー:S3を選択
7. Access key ID:AKIAQE42EXZPLH34SG5Z
8. Access secret key:***************
9. Bucket名:bucket nameを入力(この例:mavis-break-glass)
10. 転送プロトコル:HTTPSを選択
11. URL:s3-{region}.amazonaws.comを入力 (この例:s3-ap-northeast-1.amazonaws.com)12. Region:ap-northeast-1
13. 接続テスト:s3 bucketにアクセスできるかテストします
14. 「保存」をクリックします

5、AWSのS3からCentralOneにあるデバイスの接続情報を取得し、緊急接続に使用する方法

AWSにログインし、S3に移動します
1. 破窗バックアップ用の bucket に入る
2. break_glass ディレクトリに移動する
3. backup.xlsx にチェックを入れる
4. ダウンロード」をクリックし、自分のコンピュータに保存する(注:機密情報ですので、厳重に管理してください) 

二、内部ネットワークのストレージを使用して保存する(Minio を例に)

1、内部ネットワークに機器を準備する

        この例では CentOS 7 を使用します

2、Minio をインストールする

2-1. 最新バージョンの Minio ソフトウェアをダウンロードする

wget https://dl.min.io/server/minio/release/linux-amd64/minio
chmod +x minio
mv minio /usr/local/bin/

2-2. パスワードを設定する (option)

export MINIO_ROOT_USER=${USER}
export MINIO_ROOT_PASSWORD=${PASSWORD}

指定しない場合、デフォルトでは minioadmin になります

2-3. minio server を起動する

ローカルにディレクトリ (/data) を作成するか、NAS パスを Minio サービスのデータストレージとして使用し、指定の Domain または IP & Port。ストレージディレクトリおよびリッスン位置はニーズに応じて変更できます。

2-3-1. http 接続

デフォルトでは http 接続を使用します。https を使用する場合は、2-3-2. https 接続の手順に進んでください

  • minio server を http 接続で起動する (バックグラウンド起動)
nohup minio server /data --address :9000 --console-address :9001 &
  • サービスが起動しているか確認する (Port Listen が表示されていること)
netstat -tulnp | grep minio

2-3-2. https 接続 (Network Encryption TLS)

ディレクトリ /opt/minio/certs を作成し、証明書ファイルをそのディレクトリに配置し、キーを private.key とし、証明書を public.crt と命名します。 minio server を https 接続で起動する (バックグラウンド起動)

  • minio server を https 接続で起動する (バックグラウンド起動)
nohup minio server /data --address :9000 --console-address :9001 --certs-dir /opt/minio/certs &

3、bucket の作成

1. ブラウザを開き、http で minio server IP:9001 にアクセスする; https の場合は https://{FQDN}:9001 にアクセスします
2. アカウントを入力する (ステップ 2-2. でアカウントとパスワードを指定していない場合、デフォルトは minioadmin です)
3. パスワードを入力する
4. login
5. Buckets に移動する
6. 「Create Bucket」をクリックする
7. Bucket Name:カスタム名を入力する
8.  Create Bucket をクリックする
PS:その他の設定は必要に応じて設定できます。この例では OFF です
成功しました

4、Minio Access Keys の作成

1. Access Keys に移動する
2. Create access key をクリックする
3. Create をクリックする
PS:その他の設定は必要に応じて設定できます。この例では設定しません
4. 「Download for import」をクリックし、ダウンロードする

設定が完了した後、API を通じてファイルを保存できますが、関連するポリシー設定は自身のニーズに応じて設定する必要があります。

5、CentralOne での破窗機制バックアップの設定

管理者として CentralOneにログインする
1. 「システム管理」に移動する
2. 「破窗機制バックアップ」をクリックする
3. 「編集」をクリックする
4. 破窗機制バックアップ:有効にする
5. 実行時間:スケジュール時間を選択する
6. リモートストレージプロバイダー:S3 を選択する
7. Access key ID:mino api secret を入力する
8. Access secret key:mino api secret key を入力する
9. Bucket 名称:bucket name を入力する (この例では:mavis-break-glass)
10. 転送プロトコル:HTTPS を選択する
11. URL:minio url:port (api 使用 port)  (この例では:minio.mavisdemo:9000)
12. Region :入力しない
13. 接続テスト :minio bucket にアクセスできるかテストする
14. 「保存」をクリックする

6、Minio で CentralOne 上のデバイスの接続情報を取得して緊急接続に使用する方法

Minio にログインし、Object Browser に進む
1. 破窗バックアップ用の bucket に移動する
2. break_glass ディレクトリに移動する
3. backup.xlsx にチェックを入れる
4. 「ダウンロード」をクリックし、自分のコンピュータに保存する (注:機密情報ですので、厳重に管理してください)

三、Azure Blob ストレージを使用して保存する方法

1、ストレージアカウント

Azure ストレージへのすべてのアクセスはストレージアカウントを通じて行われるため、まずストレージアカウントを作成する必要があります。詳細は Azure ストレージアカウントの作成を参照してください。

2、コンテナの作成

コンテナは Blob のグループを整理します。これはファイルシステムのディレクトリに似ています。ストレージアカウントには無限の数のコンテナを含めることができ、1 つのコンテナには無限の数の Blob を保存できます。詳細は Azure Blob の作成を参照してください。

3、ストレージアカウントキーの取得

Azure Console にログイン  
1. 主機能を選択し、「すべてのサービス」に移動する
2. ストレージアカウントに進み、自分のアカウントを選択する
3. 「アクセスキー」に移動する
4. キーを取得する
AWS Console にログインし、S3 サービスを使用する
1. 適切なリージョンを選択する (この例では東京を選択)
2. 「ストレージを作成」をクリックする

4、CentralOne で破窗機制バックアップを設定する

管理者として CentralOne にログイン
1. 「システム管理」に移動する
2. 「破窗機制バックアップ」をクリックする
3. 「編集」をクリックする
4. 破窗機制バックアップ:有効にする
5. 実行時間:スケジュール時間を選択する
6. リモートストレージプロバイダー:Blob を選択する
7. ストレージアカウント名:ストレージアカウントを入力する
8. ストレージキー:ストレージキーを入力する
9. コンテナ名:コンテナ名を入力する (この例では:mavis-glass)
10. 転送プロトコル:HTTPS を選択する
11. エンドポイントのサフィックス:blob.core.windows.net (デフォルトで変更不要)
12. 接続テスト:コンテナにアクセスできるかテストする
13. 「保存」をクリックする

5、Azure Blob で CentralOne 上のデバイスの接続情報を取得して緊急接続に使用する方法

AWS にログインし、S3 に進む
1. 破窗バックアップ用の bucket に移動する
2. break_glass ディレクトリに移動する
3. backup.xlsx にチェックを入れる
4. 「ダウンロード」をクリックし、自分のコンピュータに保存する (注:機密情報ですので、厳重に管理してください)