NetBackup™ Web UI クラウドオブジェクトストア管理者ガイド

Last Published:
Product(s): NetBackup (10.2)
  1. 概要
    1.  
      クラウドオブジェクトストアの NetBackup 保護の概要
    2.  
      NetBackup クラウドオブジェクトストアの作業負荷サポートの機能
  2. クラウドオブジェクトストア資産の管理
    1.  
      クラウドオブジェクトストアアカウントの追加の前提条件
    2.  
      Amazon S3 クラウドプロバイダのユーザーに必要な権限
    3. クラウドオブジェクトストアアカウントの追加
      1.  
        AWS でのクロスアカウントアクセスの作成
      2.  
        証明書の失効の確認
      3.  
        NetBackup クラウドの認証局 (CA) の管理
      4.  
        新しい地域の追加
    4.  
      クラウドオブジェクトストアアカウントの管理
  3. クラウドオブジェクトストア資産の保護
    1. アクセラレータのサポートについて
      1.  
        NetBackup アクセラレータとクラウドオブジェクトストアの連携方法
      2.  
        アクセラレータの注意と要件
      3.  
        クラウドオブジェクトストアのアクセラレータ強制再スキャン (スケジュール属性)
      4.  
        アクセラレータバックアップおよび NetBackup カタログ
    2.  
      増分バックアップについて
    3.  
      クラウドオブジェクトストア資産のポリシーについて
    4.  
      ポリシーの計画
    5.  
      クラウドオブジェクトストアポリシーの前提条件
    6.  
      バックアップポリシーの作成
    7.  
      属性の設定
    8.  
      ポリシーのスケジュール属性の作成
    9.  
      開始時間帯の構成
    10.  
      除外日の構成
    11.  
      含める日の構成
    12.  
      [クラウドオブジェクト (Cloud objects)]タブの構成
    13.  
      条件の追加
    14.  
      タグ条件の追加
    15.  
      条件とタグ条件の例
    16. クラウドオブジェクトストアポリシーの管理
      1.  
        ポリシーのコピー
      2.  
        ポリシーの無効化または削除
      3.  
        資産の手動バックアップ
  4. クラウドオブジェクトストア資産のリカバリ
    1.  
      クラウドオブジェクトストアのオブジェクトをリカバリするための前提条件
    2.  
      クラウドオブジェクトストア資産のリカバリ
  5. トラブルシューティング
    1.  
      元のバケットリカバリオプションの Web UI を使用したクラウドオブジェクトストアのリカバリが開始されたが、ジョブがエラー 3601 で失敗する
    2.  
      リカバリジョブが開始しない
    3.  
      リストアが失敗しました: 「エラー bpbrm (PID=3899) クライアントのリストア 終了状態 40: ネットワーク接続が切断されました (Error bpbrm (PID=3899) client restore EXIT STATUS 40: network connection broken)」
    4.  
      既存の場所に上書きした後にアクセス層プロパティがリストアされない
    5.  
      複数のタグがある OR クエリーに対する Azure でのアクセラレータ最適化の低下
    6.  
      バックアップが失敗し、ドット (.) を含む Amazon S3 バケット名で証明書エラーが表示される
    7.  
      タグキー名または値のいずれかのタグクエリーにスペースが指定されていると、Azure バックアップジョブが失敗します。
    8.  
      クラウドオブジェクトストアアカウントでエラーが発生した
    9.  
      ポリシーの選択でバケットリストを選択するとバケットリストが空になる
    10.  
      既存の領域を選択すると Cloudian で 2 番目のアカウントの作成が失敗する
    11.  
      2825 未完了のリストア操作によりリストアに失敗した
    12.  
      [クラウドオブジェクト (Cloud objects)]タブでバケットを追加すると、クラウドプロバイダのバケットの一覧表示に失敗する
    13.  
      クラウドストアアカウントがターゲットドメインに追加されていない場合、ターゲットドメインで AIR インポートイメージのリストアが失敗する

クラウドオブジェクトストアアカウントの追加

クラウドオブジェクトストアアカウントの追加は、作業負荷を保護するために最初に実行する手順です。必要な数のアカウントを追加できます。ビジネスロジックに合わせて異なるクラウドオブジェクトストアアカウントを作成できます。たとえば、特定のクラウドサービスプロバイダのバケットのグループ化などです。AWS S3 と互換性のあるアカウントでは、バックアップとリストアに個別の RBAC アクセス権が必要です。バックアップとリストア用に個別のアカウントを作成して、アクセス権をより良く整理できます。

保護するバケットまたはコンテナに応じて、クラウドサービスプロバイダごとに、地域ごとに少なくとも 1 つのクラウドオブジェクトストアアカウントを追加する必要があります。

SSL、プロキシ、一連のバケットまたはコンテナに使用するクレデンシャルの種類などの設定をより良く整理するには、同じクラウドサービスプロバイダと地域に対して複数のクラウドオブジェクトストアアカウントを作成する必要がある場合があります。

バックアップとリカバリに必要な権限は異なります。バックアップとリカバリ用に個別のアカウントを作成すると便利かどうかを確認してみてください。リカバリ時に別のクラウドオブジェクトストアアカウントにリストアするには、元のバケットオプション以外を使用する必要があります。

メモ:

クラウドオブジェクトストアアカウントは、クラウドストレージサーバーと MSDP-C LSU 名と名前空間を共有します。

NetBackup ではクラウドオブジェクトストアアカウントとして、Microsoft Azure の他に、AWS S3 と互換性のある API を使用するさまざまなクラウドプロバイダ (Amazon、Google、Hitachi など) がサポートされます。このようなプロバイダの場合、プロバイダのクレデンシャル (アクセスキー ID、シークレットアクセスキーなど) を追加するために、AWS S3 と互換性のあるアカウントのアクセス詳細を指定する必要があります。

クラウドオブジェクトストアアカウントを追加するには:

  1. 左側で、[作業負荷 (Workloads)]の[クラウドオブジェクトストア (Cloud object store)]をクリックします。
  2. [クラウドオブジェクトストアアカウント (Cloud object store account)]タブで、[追加 (Add)]をクリックします。
  3. [クラウドオブジェクトストア名 (Cloud object store name)]フィールドにアカウントの名前を入力し、[クラウドオブジェクトストアプロバイダの選択 (Select Cloud object store provider)]リストからプロバイダを選択します。また、[検証用バックアップホスト (Backup host for validation)]リストからバックアップホストを選択します。クレデンシャルの検証、バックアップ、およびクラウドオブジェクトストアのリカバリは、RHEL メディアサーバー上の NetBackup 10.1 以降でサポートされます。
  4. 利用可能な地域リストから地域を選択します。[地域 (Region)]テーブルの上の[追加 (Add)]をクリックして、新しい地域を追加します。

    新しい地域の追加。一部のクラウドオブジェクトストアプロバイダでは、地域を利用できません。

    デュアル地域バケットをサポートする GCP の場合は、アカウントの作成時にベースの地域を選択します。たとえば、デュアル地域バケットが US-CENTRAL1US-WEST1 の地域にある場合、アカウントの作成時に地域として US を選択してバケットを一覧表示します。

  5. [アクセス設定 (Access settings)]ページで、アカウントのアクセス方法の種類を選択します。

    • アクセスのクレデンシャル (Access credentials): この方法では、NetBackup はアクセスキー ID とシークレットアクセスキーを使用して、クラウドオブジェクトストアアカウントへのアクセスとセキュリティ保護を行います。この方法を選択した場合は、必要に応じて後続の手順 6 から 10 を実行してアカウントを作成します。

    • IAM 役割 (EC2) (IAM role (EC2)): NetBackup は、EC2 インスタンスに関連付けられた IAM 役割名とクレデンシャルを取得します。選択したバックアップホストは EC2 インスタンスでホストされている必要があります。EC2 インスタンスに関連付けられている IAM ロールに、クラウドオブジェクトストアの保護に必要なクラウドリソースにアクセスするためのアクセス権があることを確認します。このオプションを使用してクラウドオブジェクトストアアカウントを構成する際は、EC2 インスタンスに付与された権限に応じて正しい地域を選択してください。このオプションを選択した場合は、必要に応じて任意の手順 7 と 8 を実行してから、手順 9 と 10 を実行します。

    • 役割の引き受け (Assume role): この方法では、NetBackup は指定されたキー、シークレットアクセスキー、役割 ARN を使用して、同じアカウントとクロスアカウント用の一時的なクレデンシャルを取得します。必要に応じて手順 6 から 10 を実行してアカウントを作成します。

      AWS でのクロスアカウントアクセスの作成 を参照してください。

    • クレデンシャルブローカー (Credentials broker): NetBackup はクラウドオブジェクトストアの保護に必要なクラウドリソースにアクセスするためのクレデンシャルを取得します。

  6. 既存のクレデンシャルを追加することも、アカウントの新しいクレデンシャルを作成することもできます。

    • アカウントの既存のクレデンシャルを選択するには、[既存のクレデンシャルの選択 (Select existing credentials)]オプションを選択し、表から必要なクレデンシャルを選択して[次へ (Next)]をクリックします。

    • アカウントの新しいクレデンシャルを追加するには、[新しいクレデンシャルを追加 (Add new credentials)]を選択します。新しいクレデンシャルの[クレデンシャル名 (Credential name)]、[タグ (Tag)]、[説明 (Description)]を入力します。

      AWS S3 と互換性のある API を介してサポートされるクラウドプロバイダの場合は、AWS S3 と互換性のあるクレデンシャルを使用します。[アクセスキー ID (Access key ID)]と[シークレットアクセスキー (Secret access key)]を指定します。

      Microsoft Azure クラウドプロバイダの場合は、Azure Blob クレデンシャルを指定し、[ストレージアカウント (Storage account)]と[アクセスキー (Access key)]を指定します。

    • アクセス方法として[役割の引き受け (Assume role)]を使用する場合は、[役割 ARN (Role ARN)]フィールドで、アカウントに使用する役割の Amazon リソースネーム (ARN) を指定します。

  7. (任意) NetBackup とクラウドストレージプロバイダの間のユーザー認証またはデータ転送に SSL (Secure Sockets Layer) プロトコルを使用する場合は、[SSL を使用する (Use SSL)]を選択します。

    • [認証のみ (Authentication only)]: クラウドストレージにアクセスするときのユーザーの認証で SSL のみを使う場合は、このオプションを選択します。

    • [認証とデータ転送 (Authentication and data transfer)]: ユーザー認証にも、NetBackup からクラウドストレージへのデータ転送にも SSL を使用する場合は、このオプションを選択します。

    • [証明書の失効を確認する (IPv6 はこのオプションのサポート対象外) (Check certificate revocation (IPv6 not supported for this option))]: すべてのクラウドプロバイダに対し、NetBackup は証明書失効リスト (CRL) に対して SSL 証明書を検証するための機能を提供します。SSL を有効にして CRL オプションを有効にすると、CRL で自己署名以外の各 SSL 証明書が検証されます。証明書が無効である場合、NetBackup はクラウドプロバイダに接続しません。

    メモ:

    NetBackup は、SSL モードでのクラウドストレージとの通信時に、認証局 (CA) によって署名された証明書のみをサポートします。クラウドサーバー (パブリックまたはプライベート) に CA による署名付き証明書があることを確認します。CA によって署名された証明書がない場合は、SSL モードでの NetBackup とクラウドプロバイダ間のデータ転送が失敗します。

    メモ:

    Amazon GovCloud クラウドプロバイダ (s3-fips-us-gov-west-1.amazonaws.com) の FIPS 領域では、セキュアモードの通信のみがサポートされます。このため、FIPS 領域を持つ Amazon GovCloud クラウドストレージを設定するときに[SSL を使用する (Use SSL)]オプションを無効にすると、設定は失敗します。

  8. (任意) プロキシサーバーを使用する場合は、[プロキシサーバーを使用する (Use proxy server)]オプションを選択し、プロキシサーバーの設定を指定します。[プロキシサーバーを使用する (Use proxy server)]オプションを選択すると、次の詳細を指定できます。

    • プロキシホスト (Proxy host): プロキシサーバーの IP アドレスまたは名前を指定します。

    • プロキシポート (Proxy Port): プロキシサーバーのポート番号を指定します。

    • プロキシの形式 (Proxy type): 次のプロキシの形式のいずれかを選択できます。

      • HTTP

        メモ:

        HTTP プロキシ形式のプロキシクレデンシャルを指定する必要があります。

      • SOCKS

      • SOCKS4

      • SOCKS5

      • SOCKS4A

    HTTP プロキシ形式には、[プロキシのトンネリングを使用 (Use proxy tunneling)]を選択します。

    [プロキシのトンネリングを使用 (Use Proxy Tunneling)]を有効にすると、HTTP CONNECT 要求がバックアップホストまたはリカバリホストから HTTP プロキシサーバーに送信されます。TCP 接続はクラウドバックエンドストレージに直接転送されます。データは、接続からヘッダーまたはデータを読み取ることがなくプロキシサーバーを通過します。

    HTTP プロキシ形式を使用する場合は、次のいずれかの認証形式を選択します。

    • なし (None): 認証が有効になりません。ユーザー名とパスワードは必要ありません。

    • 基本 (Basic): ユーザー名とパスワードが必要です。

    • NTLM: ユーザー名とパスワードが必要です。

    [ユーザー名 (User name)]はプロキシサーバーのユーザー名です。

    [パスワード (Password)]は空にできます。最大 256 文字を使用できます。

  9. [次へ (Next)]をクリックします。
  10. [確認 (Review)]ページでアカウントの設定全体を確認し、[完了 (Finish)]をクリックしてアカウントを保存します。

NetBackup は、指定された接続情報に関連付けられたクレデンシャルを検証した後にのみ、クラウドオブジェクトストアアカウントを作成します。エラーが発生した場合は、エラーの詳細に従って設定を更新します。また、指定された接続情報とクレデンシャルが正しいかどうかを確認します。検証のために割り当てたバックアップホストは、指定された情報を使用してクラウドプロバイダのエンドポイントに接続できます。