CentralOneプラットフォームの緊急時対応機能は、システムの信頼性と可用性を向上させることを目的としています。この機能は、CentralOne上のデバイス接続情報を外部ストレージに自動的にバックアップします。CentralOneプラットフォームに障害が発生した場合、これらのバックアップデータがサーバーへの緊急アクセスのための重要な情報となり、迅速にサーバーのログイン情報を取得し、緊急ログインして通常の運用を復旧することができます。
CentralOneの緊急時対応機能の主な目的は、緊急時に以下のことを可能にすることです:
- 管理対象システム/リソースのクラウドプロバイダーアカウントの機密データを取得する:
- SSH、RDP、VNC、ウェブアプリケーション、DBのユーザー名とパスワードなどの重要なログイン情報を含み、顧客がアカウント管理に必要な重要な情報に迅速にアクセスできるようにします。
- リモートアクセスに必要な接続情報とログインデータを取得する:
- ホストのIPアドレス、サービス名などの接続情報を提供し、顧客が安全にシステムにリモートアクセスできるようにします。これは緊急時の対応を支援し、迅速かつ効果的なアクセスを確保します。
緊急時対応機能のセキュリティを確保するため、以下の設計上の考慮事項を特に重視しており、この機能を使用する際には以下の点に注意してください:
- 緊急時アカウント管理:
- 「緊急時アカウント」を事前に設定し、このアカウントは「機密アーカイブ」のリストと読み取り権限のみを持ち、緊急時にのみ使用可能です。
- 安全な通信:
- CentralOneシステムとVSC Vault(機密アーカイブ)の間の通信はHTTPS接続を使用し、データ転送中の全面的な暗号化を確保します。同時に、証明書を使用してVSC Vaultサーバーの認証を行います。
- 権限制御:
- CentralOneシステムはVSC Vaultにファイルを作成する権限のみを持ち、削除や読み取り操作は許可されていません。
- アクセスログ管理:
- VSC Vaultへのアクセスログは「アーカイブスペース」システムが記録を担当します。アクセス活動が適切に追跡されることを確認してください。
- オペレーターのアクセスログ責任:
- 管理対象システムへのアクセスログは、オペレーターが手動で管理し、記録の完全性と追跡可能性を確保する必要があります。
重要な注意事項:
- 緊急時対応機能によって生成されたファイルへのアクセス権限を持つ人物を、承認された者のみに限定してください。これらのファイルには重要なアカウントと接続情報が含まれているため、慎重に扱う必要があります。これらのファイルにアクセスできる人員の権限を厳格に管理し、機密情報のセキュリティを確保することをお勧めします。
よくある質問:
- CentralOneの緊急時対応機能とは何ですか?
- CentralOneプラットフォームの緊急時対応機能は、システム障害時にログイン情報を提供する緊急アクセス機能で、ユーザーがシステム運用を迅速に復旧できるようにすることを目的としています。
- 緊急時対応機能が提供するログイン情報をどのように取得できますか?
- ユーザーは事前に設定されたアカウントを通じて、サーバーのログイン情報を迅速に取得できます。この情報には、SSH、RDP、VNCのユーザー名とパスワードなどが含まれます。
- どのような状況で緊急時対応機能を使用する必要がありますか?
- CentralOneプラットフォームに障害が発生した場合や、メンテナンスが必要な場合に、緊急時対応機能を使用する可能性があります。
CentralOne緊急時情報の設定:
- 方法1:管理者はコマンドを通じて緊急時情報を設定でき、これらの情報はConfig fileに書き込まれます。
- Config Fileの形式:
- Config fileはK3S secret fileとして書かれます。
- マウント方式でコンテナ内に入ります。
- 実行時にkey: value形式で読み取られます。
- 設定情報には以下を含める必要があります
- S3 bucket:
- 設定先はS3 bucketである必要があります
- S3 bucket:
- Access key ID
- システムによって生成または提供されるキーID。
- システムによって生成または提供されるキーID。
- Access secret key
- システムによって生成または提供されるキー。
- Bucket name:
- バックアップを保存するS3スペースの名前
- URL:
- バックアップにアクセスするパス。
2. 方法2:System management > Break glass backupで緊急時情報を設定できます。
リモートストレージプロバイダー”が”S3″の場合、以下のフィールドを参照してください(AWS S3を例に)
| 項目 | 説明 |
|---|---|
| *Execute time | システムは毎日特定の時間にバックアップを実行します。現在は正時のみ選択可能です |
| *Access key ID | システムによって生成または提供されたキーIDを入力してください |
| *Access secret key | アクセスキーIDが空の場合、このフィールドは空になります。値がある場合は固定値が表示されます。 |
| *Bucket 名 | バックアップを保存するために使用するS3スペース名を入力します |
| 転送プロトコル | HTTP, HTTPS |
| *URL | アバックアップにアクセスするためのパスを入力してください |
| リージョン | オプションフィールドでは、ストレージエリアの地域情報を指定できます |
リモートストレージプロバイダーが “BLOB” の場合、以下のフィールドを参照してください(Azure Blobを例として)
Azureコンソールで以下のような接続文字列(Connection String)を取得できます:
DefaultEndpointsProtocol=https; AccountName=azuredemoaccount; AccountKey=b+I9M3OMegXlFeutCyT4ABnBomOSvDz0d/YPyh1NohN6dLJcFytMPVL9WKXMcfX7ffyuuiZkpaRR+ASt32keUz==; EndpointSuffix=core.windows.net
分割してフィールドに入力する必要があります
| 項目 | 説明と記述例 |
|---|---|
| *Storage account name | ストレージアカウント名 例 : azuredemoaccount |
| *Key | 例:b+I9M3OMegXlFeutCyT4ABnBomOSvDz0d/YPyh1NohN6dLJcFytMPVL9WKXMcfX7ffyuuiZkpaRR+ASt32keUz== |
| Container name | Azure container 名 |
| *転送プロトコル | HTTP , HTTTPS |
| *Endpoint suffix | https://core.windows.net/ |
CentralOne緊急時対応の実行フロー:
- 緊急時対応機能の設定が完了すると、システムは実行時間に自動的にサーバー接続情報ファイルをS3 BucketまたはBlobストレージにエクスポートし、最新のファイルのみを保持します。初回設定時には、設定したS3 bucketに正しくアクセスできることを確認してください。
- 接続情報:接続情報は「プロジェクト名」に基づいて分割され、それぞれのタブに記録されます
- 一部のキーには Account & password 以外の情報があり、これらは Extra credential に記録されます。
ラブルシューティング:
設定ページで現在のリモート設定をテストできます。”Test”ボタンを押すと、システムは現在入力された情報を使用してデータをアップロードし、以下の項目をテストします。各段階の結果はページに表示されます。
| コンテナまたはバケットが存在する | アクセス成功 | バケットまたはコンテナが存在しないか、権限がありません |
| 権限テスト | アクセス成功 | 認証に失敗しました。設定をもう一度確認してください。 |
| 接続テスト | 接続成功 | 接続に失敗しました。設定をもう一度確認してください |
Bucketへのアクセスに失敗した場合は、接続情報、Key権限、およびアクセス失敗の原因となる可能性のある他の要因を確認してください。ファイルをアップロードする際は、指定されたフォルダ構造に従ってください。または、承認したキーが適切な権限を持っていることを確認してください。