Veritas NetBackup™ 53xx Appliance 初期構成ガイド
NetBackup 53xx 高可用性構成へのパートナーノードの追加
パートナーノードを構成したら、この手順を使用して、次のように HA 設定を完了します。
HA 設定にパートナーノードを追加する
NetBackup Appliance Web コンソールまたは NetBackup Appliance シェルメニューを使用してパートナーノードを追加します。
ホスト名マッピングを承認する
リリース 3.1.2 以降では、HA 設定を完了するため、関連付けられているプライマリサーバーの NetBackup 管理コンソールで、すべてのホスト名マッピングを承認する必要があります。マッピングが承認されないと、切り替え後に MSDP サービスがオンラインになりません。各手順の最後の手順では、マッピングを承認する方法について説明します。
適切な CA 証明書をパートナーノードに配備します。
NetBackup Appliance リリース 3.2 では、外部認証局証明書のサポートを導入しました。この機能は、ホストの検証とセキュリティのために NetBackup 認証局を使用する代替手段を提供します。この手順には、これらの証明書を配備するために必要な情報が含まれています。セキュリティ証明書について詳しくは、『NetBackup セキュリティおよび暗号化ガイド』の「NetBackup の外部 CA サポート」の章を参照してください。
メモ:
パートナーノードでの外部 CA 配備は、NetBackup Appliance シェルメニューを介してのみサポートされます。
リリース 4.0 以降では、admin、maintenance、sysadmin (IPMI) ユーザーアカウントのデフォルトのパスワードを変更する必要があります。この手順を実行する前に、パートナーノードでこれらのユーザーアカウントのパスワードが変更されていない場合、手順を示すメッセージが表示されます。
パートナーノードを追加すると、パートナーノードのネットワーク情報がプライマリサーバー上の追加サーバーリストに自動的に追加されます。HA 設定の各ノードのファームウェアと共有プライマリストレージシェルフは、同じ資産タグで自動的に接続されます。
警告:
HA 設定が完了したら、2 台のノードの時刻と日付の設定は変更しないでください。
パートナーノードを追加してアプライアンスの HA 設定を完了する前に、まずすべての NetBackup プロセスがプライマリサーバーと両方の HA ノードで実行されていることを確認する必要があります。
プライマリサーバー
プライマリサーバーがアプライアンスの場合は、アプライアンスのシェルメニューにログインし、次のコマンドを入力します。
Support > Processes > NetBackup Show
プライマリサーバーがアプライアンスでない場合は、NetBackup のコマンドラインにログインし、次のコマンドを入力します。
/usr/openv/netbackup/bin/goodies/netbackup show
メディアサーバーノード
計算ノードと追加するパートナーノードで、アプライアンスのシェルメニューにログインし、次のコマンドを入力します。
Support > Processes > NetBackup Show
プライマリサーバーまたはノードでプロセスが実行されていない場合、パートナーノードを追加できません。このエラーを防ぐには、すべての NetBackup プロセスを停止してから、次の手順で再起動する必要があります。
NetBackup プロセスの停止
プライマリサーバーアプライアンスと両方のアプライアンスノードで、次のコマンドを入力します。
Support > Processes > NetBackup Stop
プライマリサーバーがアプライアンスではない場合は、次のコマンドを入力します。
/usr/openv/netbackup/bin/goodies/netbackup stop
すべてのプロセスが停止したことを確認するために、次のコマンドを入力します。
/usr/openv/netbackup/bin/bpps -x
まだ実行中のプロセス (
nbftsrvr/nbfdrv64を除く) がある場合は、stop コマンドを再入力します。/usr/openv/netbackup/bin/goodies/netbackup stop
nbftsrvr/nbfdrv64プロセスを停止するには、次のコマンドを入力します。/usr/openv/netbackup/bin/goodies/nbftserver stop
メモ:
このプロセスはすぐには停止しない場合があります。コマンドの結果にプロセスが停止したと表示されるまで待機してください。
NetBackup プロセスの再起動
プライマリサーバーアプライアンスと両方のアプライアンスノードで、次のコマンドを入力します。
Support > Processes > NetBackup Start
プライマリサーバーがアプライアンスでない場合は、次のコマンドをこの順番で入力します。
/usr/openv/netbackup/bin/goodies/netbackup start
/usr/openv/netbackup/bin/goodies/nbftserver start
次のいずれかの手順を使用して、パートナーノードを HA 設定に追加します。
NetBackup Appliance Web コンソールを使用してパートナーノードを追加するには
メモ:
外部 CA 証明書を配備する必要がある場合は、次の手順に記載されているとおり、NetBackup Appliance シェルメニューからパートナーノードを追加する必要があります。
- HA 構成の設定に使用したノードで、NetBackup Appliance Web コンソールに
adminとしてログオンします。 - [Veritas NetBackup Appliance Web コンソールへようこそ (Welcome to Veritas NetBackup Appliance Web Console)]ページで、[管理 (Manage)]、[高可用性 (High Availability)]をクリックします。
- [高可用性 (High Availability)]ページで、HA 構成の現在の状態が未完了と識別されます。[パートナーの追加 (Add Partner)]をクリックします。
- [パートナーノードの追加 (Add Partner Node)]ダイアログボックスで、パートナーノードの構成済みのホスト名を入力し、[追加 (Add)]をクリックします。
- 指紋値が一致した場合は、[次へ (Next)]をクリックします。
- パートナーノードの
adminユーザーのパスワードを入力し、[次へ (Next)]をクリックします。「続行しますか? (Do you want to continue?)」というメッセージが表示されたら、[続行 (Continue)]をクリックします。 - 追加するパートナーノードに依然として admin、maintenance、sysadmin (IPMI) ユーザーアカウントのデフォルトのパスワードが含まれている場合は、パスワードの変更を求めるメッセージに従います。
- [証明書の検証 (Certificate Verification)]ダイアログボックスが表示される場合、認証トークンまたは再発行トークンを入力し、[証明書の配備 (Deploy Certificate)]をクリックします。
- プロセスが成功したことを示すメッセージが表示されたら、[閉じる (Close)]をクリックします。
- HA 設定を完了するため、関連付けられているプライマリサーバーでホスト名マッピングを承認する必要があります。
関連付けられているプライマリサーバーで、NetBackup 管理コンソールにログインします。
左ペインで[セキュリティ管理 (Security Management)]をクリックしてプロパティを展開し、[ホスト管理 (Host Management)]をクリックします。
右ペインの左下で、[承認のマッピング (Mappings for Approval)]をクリックします。
右ペインの上部で、承認が保留状態となっている任意のホストマッピングをクリックします。承認を求める[マッピングの承認 (Approve Mappings)]ダイアログボックスが表示されたら、[はい (Yes)]をクリックします。承認が保留状態となっている各ホストマッピングについて、このタスクを繰り返します。
NetBackup Appliance シェルメニューを使用してパートナーノードを追加するには
- HA 構成を設定するノードで、NetBackup Appliance シェルメニューに
adminとしてログオンします。 - Main > Manage > HighAvailability に進みます。
- パートナーノードを追加してから、次のコマンドを入力して HA 構成を完了します。
AddNode hostname
hostname は、パートナーノードの短いホスト名または完全修飾ドメイン名 (FQDN) です。
- 次のメッセージが表示されたら、パートナーノードで直接 SSH ECDSA 指紋をチェックしたことを確認します。
Do the fingerprint values match? [yes, no] (no)
ネットワークが安全であることを保証するには、パートナーノードの SSH ECDSA 指紋が正しいことを確認する必要があります。アプライアンスの ID を確認する方法については、『NetBackup Appliance コマンドリファレンスガイド』を参照してください。
値が一致した場合、yes と入力します。
- 追加するパートナーノードに依然として admin、maintenance、sysadmin (IPMI) ユーザーアカウントのデフォルトのパスワードが含まれている場合は、パスワードの変更を求めるメッセージに従います。
- 事前チェックが成功した後に、次のメッセージのいずれかが表示されたら、認証トークンまたは再発行トークンを入力して、ホスト ID ベースの証明書を信頼します。
Authorization token is mandatory. Enter an authorization token. For more information about the authorization token, refer to the NetBackup Security and Encryption Guide.
Enter token:
または
Reissue token is mandatory. Enter the reissue token for the required host to obtain a host-ID based certificate. For more information about the reissue token, refer to the NetBackup Security and Encryption Guide.
Enter token:
セキュリティ証明書について詳しくは、『NetBackup セキュリティおよび暗号化ガイド』の「NetBackup のセキュリティ証明書」の章を参照してください。
- リリース 5.0 以降では、コールホームの設定テストが実行されます。コールホームが無効になっている場合は、コールホームの有効化を求めるプロンプトオプションが表示されます。コールホームが有効になっている場合は、コールホームのテストが実行されます。テストが失敗した場合は、プロキシサーバーを有効にできます。次の警告メッセージが表示されます。
警告:
アプライアンスは、ベリタスコールホームサーバーに接続して、ハードウェアとソフトウェアの遠隔測定をアップロードできません。コールホーム情報をベリタスに提供すると、NetInsights コンソールを使用してサポートのエクスペリエンスと推奨事項が改良されます。コールホームを有効にし、システムが正しい名前解決またはプロキシサーバー設定によりベリタスコールホームサーバーに必ず到達できるようにすることをお勧めします。
この警告を無視して、次の手順に進むことができます。
- 次のメッセージが表示されたら、yes と入力して続行します。
>> Do you want to continue? [yes, no] (no)
アプライアンスは、認証局 (CA) ステータスのプライマリに ping を実行し、結果を表示します。次の箇条書き項目はそれぞれ、表示される可能性のあるステータス結果を示しています。該当するステータス結果の下に表示される指示に従って、証明書の構成を完了します。
The primary server <primary_server_name> currently uses an External CA-signed certificate. You are required to configure this appliance with a certificate issued by the same external CA. Do you want to import the External CA-signed certificate for this Media server now [yes,no](yes):
Enter を押して続行します。次のメッセージが表示されます。
To configure the HA partner node, the External CA-signed certificate must include the vip hostname and FQDN DNS information in the Subject Alternative Name.
The following shares have been opened on the appliance for you to upload certificate files:
NFS 共有 <media_server_name>:/inst/shareCIFS 共有 \\<media_server_name>\general_share外部証明書の構成については、次の詳細を入力します。
Enter the certificate file path:
Enter the trust store file path:
Enter the private key path:
Enter the password for the passphrase file path or skip security configuration (default: NONE):
CRL の使用については、次の詳細を入力します。
Should a CRL be honored for the external certificate?
1) Use the CRL defined in the certificate.
2) Use the specific CRL directory.
3) Do not use a CRL.
q) Skip security configuration.
CRL option: 1、2、3、または q と入力します。
Verify the External CA details that you entered:
Certificate file name:
Trust store file name:
Private key file name:
CRL check level: (選択した CRL オプションを表示します)
Do you want to use the above certificate files? [yes, no](yes):
入力した情報が正しいことを確認したら、Enter を押して続行し、次のプロンプトに答えます。
Is this correct? [yes, no](yes):
すべての情報が正しい場合は、Enter キーを押して続行します。
アプライアンスは ECA ヘルスチェックを実行し、各検証チェックの結果を表示します。ヘルスチェックが正常に完了すると、次のメッセージが表示されます。
ECA health check was successful.
The external certificate has been registered successfully.
The primary server <primary_server_name> currently uses an external CA issued certificate and its own internal certificate. Would you like to proceed with the external CA issued certificate? [yes,no](yes):
[いいえ (no)]を選択すると、次のメッセージが表示されます。
This appliance will use a NetBackup issued certificate for secure communication.
[はい (yes)]を選択すると、次のメッセージが表示されます。
To configure the HA partner node, the External CA-signed certificate must include the vip hostname and FQDN DNS information in the Subject Alternative Name.
The following shares have been opened on the appliance for you to upload certificate files:
NFS 共有 <media_server_name>:/inst/shareCIFS 共有 \\<media_server_name>\general_share外部証明書の構成については、次の詳細を入力します。
Enter the certificate file path:
Enter the trust store file path:
Enter the private key path:
Enter the password for the passphrase file path or skip security configuration (default: NONE):
CRL の使用については、次の詳細を入力します。
Should a CRL be honored for the external certificate?
1) Use the CRL defined in the certificate.
2) Use the specific CRL directory.
3) Do not use a CRL.
q) Skip security configuration.
CRL option: 1、2、3、または q と入力します。
入力した外部 CA の詳細を確認します。
Certificate file name:
Trust store file name:
Private key file name:
CRL check level: (選択した CRL オプションを表示します)
Do you want to use the above certificate files? [yes, no](yes):
入力した情報が正しいことを確認したら、Enter を押して続行し、次のプロンプトに答えます。
Is this correct? [yes, no](yes):
すべての情報が正しい場合は、Enter キーを押して続行します。
アプライアンスは ECA ヘルスチェックを実行し、各検証チェックの結果を表示します。ヘルスチェックが正常に完了すると、次のメッセージが表示されます。
ECA health check was successful.
The external certificate has been registered successfully.
This appliance will use a NetBackup issued certificate for secure communication.
これ以上の証明書の構成は必要ありません。[次へ (Next)]をクリックして続行します。
プロセスが成功したことを示すメッセージが表示されます。
- 次のようにホスト名マッピングを承認します。
関連付けられているプライマリサーバーで、NetBackup 管理コンソールにログインします。
左ペインで[セキュリティ管理 (Security Management)]をクリックしてプロパティを展開し、[ホスト管理 (Host Management)]をクリックします。
右ペインの左下で、[承認のマッピング (Mappings for Approval)]をクリックします。
右ペインの上部で、承認が保留状態となっている任意のホストマッピングをクリックします。承認を求める[マッピングの承認 (Approve Mappings)]ダイアログボックスが表示されたら、[はい (Yes)]をクリックします。承認が保留状態となっている各ホストマッピングについて、このタスクを繰り返します。