Mavis 破窓メカニズムの設定方法
Mavis プラットフォームの破窓メカニズム機能は、システムの信頼性と可用性を向上させることを目的としています。この機能は、Mavis上のデバイスの接続情報をS3のストレージ空間に自動的にバックアップします。Mavisプラットフォームに障害が発生した場合、これらのバックアップデータは、緊急にサーバーにアクセスするための重要な情報となり、緊急ログインを行い、正常な動作を復元することができます。
関連の説明とFAQについては:Mavis破窓メカニズム機能解説を参照してください。
バックアップ破窓データスペースを設定するための3つの方法を以下に示します。
一、クラウドのS3ストレージを使用する方法 (例: AWS)
- AWSバケットを作成する
- バケットポリシーを設定する
- 破窓メカニズム専用のCredential Keyを作成する
- Mavisで破窓メカニズムのバックアップ設定を行う
- 接続情報を取得して緊急接続に使用する
二、内部ネットワークのストレージを使用する方法 (例: Minio)
- 内部で1台のマシンを用意する(CentOS 7を例とする)
- Minioをインストールする
- バケットを作成する
- Mavisで破窓メカニズムのバックアップ設定を行う
- 接続情報を取得して緊急接続に使用する
- ストレージアカウントを追加する
- コンテナを作成する
- ストレージアカウントキーを取得する
- Mavisで破窓メカニズムのバックアップ設定を行う
- 接続情報を取得して緊急接続に使用する
一、クラウドS3のストレージ空間を使用する(AWSを例とする)
1、S3 bucket を作成する
AWS Consoleにログインし、S3サービスを使用する 1. 適切なリージョンを選択する(この例では東京を選択) 2. 「ストレージバケットの作成」をクリックする |
3. ストレージバケットの種類:一般使用を選択 4. ストレージバケット名:カスタム名を入力 |
5. 點「ストレージバケットの作成」をクリックすると、バケットが作成されます PS: その他の設定は、必要に応じて設定できます。この例では、他の設定はすべてデフォルト値を選択しています。 |
2、Bucket Policy の設定
1. 作成したストレージバケットをクリックします。この例では、mavis-break-glassです。 |
2. 許可をクリックします 3. ストレージバケットポリシー:編集をクリックします |
4. Actionの設定:最低限の権限のみを与える(GetObjectとPutObjectのみ) 5. Resourceの設定:破窓メカニズムが使用するbucketを設定します。 6. Resourceの設定:IPホワイトリストを設定し、これらのIPのみがbucketにアクセスできるようにします。 7. ポリシーを設定したら、「変更を保存」をクリックします。 PS: 注:最小限の権限を設定することをお勧めします。自社のセキュリティポリシーに応じてPolicyを設定してください。 |
Bucket Policy 例
{ "Version": "2012-10-17", "Id": "SourceIP", "Statement": [ { "Sid": "SourceIP", "Effect": "Deny", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::mavis-break-glass", "arn:aws:s3:::mavis-break-glass/*" ], "Condition": { "NotIpAddress": { "aws:SourceIp": [ "Modify.Allow.Access.IP1/32", "Modify.Allow.Access.IP2/32", "Modify.Allow.Access.IP3/32", "Modify.Allow.Access.IP4/32", "Modify.Allow.Access.IP5/32" ] } } } ] }
3、破窓メカニズム専用のCredential Keyの作成
AWS IAMサービスに入ります。 1. 「ユーザー」をクリックします。 |
2. 「ユーザーの作成」をクリックします。 |
3. ユーザー名:カスタム名を入力します(この例:AccessKey_For_Break-glass)。 4. 「次へ」をクリックします。 |
5. 許可オプション:「ポリシーを直接アタッチする」を選択します。 6. 「ポリシーの作成」をクリックします。 |
7. ポリシーエディター:「JSON」を選択します。 8. ポリシーを入力:bucketにs3:ListBucket、GetObject、PutObject権限のみを与えます。 PS:以下の例を参照してください。 9. 「次へ」をクリックします。 |
ユーザーポリシー例:
(mavis-break-glass bucketにs3:ListBucket、GetObject、PutObject権限のみを与える)
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::mavis-break-glass", "arn:aws:s3:::mavis-break-glass/*" ] } ] }
10. ポリシー名:カスタム名を入力します(この例:accessKey_for_break-glass) 11. このポリシーで定義された許可:設定したポリシー権限を確認します 12. 「ポリシーの作成」をクリックします |
先ほどのユーザー作成の許可設定ページに戻ります:直接ポリシーをアタッチする 13. 許可ポリシー:作成したポリシーを選択します(この例:accessKey_for_break-glass) 14. 「次へ」をクリックします |
15. 「ユーザーの作成」をクリックします |
ユーザーアカウントに戻り、アクセスキーを作成します 16. ユーザーを選択します 17. 作成したユーザーをクリックします(この例:AccessKey_For_break_glass) |
18. 「セキュリティ認証情報」に進みます 19. 「アクセスキーの作成」をクリックします |
20. 「サードパーティサービス」を選択します 21. 「確認」にチェックを入れます 22. 「次へ」をクリックします |
23. 「次へ」をクリックします |
24. キー情報の表示:Access key IDとAccess secret keyが表示されます 25. 「.csvファイルのダウンロード」をクリックします 26. 「完了」をクリックします |
4、Mavisでの破窓メカニズムバックアップの設定
使管理者としてMavisにログインします 1. 「システム管理」に進みます 2. 「破窓メカニズムバックアップ」をクリックします 3. 「編集」をクリックします |
4. 破窓メカニズムバックアップ:有効化 12. Region:ap-northeast-1 |
5、AWSのS3からMavisにあるデバイスの接続情報を取得し、緊急接続に使用する方法
AWSにログインし、S3に移動します 1. 破窗バックアップ用の bucket に入る 2. break_glass ディレクトリに移動する 3. backup.xlsx にチェックを入れる 4. ダウンロード」をクリックし、自分のコンピュータに保存する(注:機密情報ですので、厳重に管理してください) |
二、内部ネットワークのストレージを使用して保存する(Minio を例に)
1、内部ネットワークに機器を準備する
この例では CentOS 7 を使用します
2、Minio をインストールする
2-1. 最新バージョンの Minio ソフトウェアをダウンロードする
wget https://dl.min.io/server/minio/release/linux-amd64/minio
chmod +x minio
mv minio /usr/local/bin/
2-2. パスワードを設定する (option)
export MINIO_ROOT_USER=${USER}
export MINIO_ROOT_PASSWORD=${PASSWORD}
指定しない場合、デフォルトでは minioadmin になります
2-3. minio server を起動する
ローカルにディレクトリ (/data) を作成するか、NAS パスを Minio サービスのデータストレージとして使用し、指定の Domain または IP & Port。ストレージディレクトリおよびリッスン位置はニーズに応じて変更できます。
2-3-1. http 接続
デフォルトでは http 接続を使用します。https を使用する場合は、2-3-2. https 接続の手順に進んでください
- minio server を http 接続で起動する (バックグラウンド起動)
nohup minio server /data --address :9000 --console-address :9001 &
- サービスが起動しているか確認する (Port Listen が表示されていること)
netstat -tulnp | grep minio
2-3-2. https 接続 (Network Encryption TLS)
ディレクトリ /opt/minio/certs を作成し、証明書ファイルをそのディレクトリに配置し、キーを private.key とし、証明書を public.crt と命名します。 minio server を https 接続で起動する (バックグラウンド起動)
- minio server を https 接続で起動する (バックグラウンド起動)
nohup minio server /data --address :9000 --console-address :9001 --certs-dir /opt/minio/certs &
3、bucket の作成
1. ブラウザを開き、http で minio server IP:9001 にアクセスする; https の場合は https://{FQDN}:9001 にアクセスします 2. アカウントを入力する (ステップ 2-2. でアカウントとパスワードを指定していない場合、デフォルトは minioadmin です) 3. パスワードを入力する 4. login |
5. Buckets に移動する 6. 「Create Bucket」をクリックする |
7. Bucket Name:カスタム名を入力する 8. Create Bucket をクリックする PS:その他の設定は必要に応じて設定できます。この例では OFF です |
成功しました |
4、Minio Access Keys の作成
1. Access Keys に移動する 2. Create access key をクリックする |
3. Create をクリックする PS:その他の設定は必要に応じて設定できます。この例では設定しません |
4. 「Download for import」をクリックし、ダウンロードする |
設定が完了した後、API を通じてファイルを保存できますが、関連するポリシー設定は自身のニーズに応じて設定する必要があります。
5、Mavis での破窗機制バックアップの設定
管理者として Mavis にログインする 1. 「システム管理」に移動する 2. 「破窗機制バックアップ」をクリックする 3. 「編集」をクリックする |
4. 破窗機制バックアップ:有効にする |
6、Minio で Mavis 上のデバイスの接続情報を取得して緊急接続に使用する方法
Minio にログインし、Object Browser に進む 1. 破窗バックアップ用の bucket に移動する 2. break_glass ディレクトリに移動する 3. backup.xlsx にチェックを入れる 4. 「ダウンロード」をクリックし、自分のコンピュータに保存する (注:機密情報ですので、厳重に管理してください) |
三、Azure Blob ストレージを使用して保存する方法
1、ストレージアカウント
Azure ストレージへのすべてのアクセスはストレージアカウントを通じて行われるため、まずストレージアカウントを作成する必要があります。詳細は Azure ストレージアカウントの作成を参照してください。
2、コンテナの作成
コンテナは Blob のグループを整理します。これはファイルシステムのディレクトリに似ています。ストレージアカウントには無限の数のコンテナを含めることができ、1 つのコンテナには無限の数の Blob を保存できます。詳細は Azure Blob の作成を参照してください。
3、ストレージアカウントキーの取得
Azure Console にログイン 1. 主機能を選択し、「すべてのサービス」に移動する 2. ストレージアカウントに進み、自分のアカウントを選択する 3. 「アクセスキー」に移動する 4. キーを取得する |
AWS Console にログインし、S3 サービスを使用する 1. 適切なリージョンを選択する (この例では東京を選択) 2. 「ストレージを作成」をクリックする |
4、Mavis で破窗機制バックアップを設定する
管理者として Mavis にログイン 1. 「システム管理」に移動する 2. 「破窗機制バックアップ」をクリックする 3. 「編集」をクリックする |
4. 破窗機制バックアップ:有効にする |
5、Azure Blob で Mavis 上のデバイスの接続情報を取得して緊急接続に使用する方法
AWS にログインし、S3 に進む 1. 破窗バックアップ用の bucket に移動する 2. break_glass ディレクトリに移動する 3. backup.xlsx にチェックを入れる 4. 「ダウンロード」をクリックし、自分のコンピュータに保存する (注:機密情報ですので、厳重に管理してください) |