5.3. NFSによるストレージのエクスポート

Acronis Cyber Infrastructureでは、高可用性のNFSクラスターにノードを編成して、NFS共有を作成できます。Acronis Cyber Infrastructureの用語としてのNFS共有は、ボリュームのアクセスポイントのことです。従って、IPアドレスまたはFQDNを割り当てることが可能です。一方、ボリュームには、標準的なプロパティ(冗長性タイプ、ティア、障害ドメイン)を割り当てることができます。それぞれの共有では、複数のNFSエクスポートを作成できます。これが、ユーザーデータを実際にエクスポートするためのディレクトリになります。それぞれの共有にはいろいろなプロパティがありますが、その1つはパスです。このパスを共有のIPアドレスと組み合わせることによって、ネットワーク上でエクスポートを識別できるようになります。また、標準コマンドによってエクスポートをマウントすることも可能になります。

技術的な観点からすると、NFSボリュームはオブジェクトストレージに基づいています。オブジェクトストレージには、高可用性や拡張性を実現する働きのほかに、NFSクラスターで保存するファイルの量やデータのサイズに関する上限をなくすという働きもあります。それぞれの共有であらゆるサイズのファイルを非常に多く保管できます。ただし、それだけの拡張性があるということは、ファイルサイズの変更時やデータの再書き込み時に入出力のオーバーヘッドがあるという意味でもあります。そのためNFSクラスターは、データの再書き込みがそれほどないファイルストレージには適していますが、データの再書き込みが頻繁に発生する高パフォーマンスの環境(仮想マシンを実行する環境など)ではお勧めできません。Acronis Cyber InfrastructureとVMwareなどのソリューションを統合する場合は、高いパフォーマンスを確保するためにiSCSIを使用してください。

注釈

Acronis Cyber Infrastructureでは、バージョン4以降のNFS(pNFSも含む)だけがサポートされています。

5.3.1. NFSクラスターのセットアップ

NFSはオブジェクトストレージに基づいているので、NFSクラスターの作成方法は、S3クラスターの作成方法とほぼ同じです。以下の手順を実行します。

  1. [インフラストラクチャ] > [ネットワーク] 画面で、[OSTORプライベート][NFS] のトラフィックタイプがネットワークに追加されていることを確認してください。

  2. 左のメニューで、[ストレージサービス] > [NFS] をクリックします。

  3. 1つ以上のノードを選択し、右のメニューで [NFSクラスターを作成] をクリックします。

  4. ドロップダウンリストで正しいネットワークインターフェースが選択されていることを確認します。

    必要に応じて、歯車のアイコンをクリックし、[ネットワークの構成] 画面でノードのネットワークインターフェースを設定します。

  5. [作成] をクリックします。

NFSクラスターを作成したら、NFS共有の作成に進みます。

5.3.2. NFS共有の作成

NFS共有を作成するには、以下の手順を実行します。

  1. [ストレージサービス] > [NFS] > [共有] 画面で [NFS共有を追加] をクリックします。

  2. [NFS共有を追加] パネルで、固有の名前とIPアドレスを指定します。それぞれの値はまだ使用されていない値でなければならず、認証が有効になっている場合は、ドメインで解決できる値でなければなりません。また、このIPアドレスはノードのインターフェースのネットワークサブネットの範囲内である必要があります。[実行] をクリックします。

  3. [共有のサイズ] で、共有のサイズをギガバイト単位で指定します。エクスポートにアクセスするユーザーの場合は、この値としてファイルシステムのサイズを指定してください。

  4. 対象のティアと障害ドメインとデータ冗長性タイプを選択します。ボリュームのプロパティの詳細については、:doc:『インストールガイド<installation_guide:index>』を参照してください。

    冗長性モードは後から変更できます。

  5. [完了] をクリックします。

共有を作成したら、NFSエクスポートの作成に進みます。

5.3.3. NFSエクスポートの作成

NFSエクスポートを作成するプロセスでは、以下の手順を実行します。

  1. ユーザーエクスポートを組み込むルートエクスポートを作成します。

  2. ルートエクスポートをマウントします。

  3. マウントしたルートエクスポートでユーザーエクスポートを作成します。

5.3.3.1. ルートエクスポートの作成

ルートNFSエクスポートを作成するには、以下の手順を実行します。

  1. [ストレージサービス] > [NFS] > [共有] 画面で、対象の共有の行にある [エクスポート] 列の番号をクリックします。共有の画面が表示されます。

  2. 共有の画面で、[エクスポートを追加] をクリックし、エクスポート名としてroot、パスとして/を指定し、[読み取りおよび書き込み] アクセスモードを選択します。

    重要

    ルートエクスポートには他の名前やパスを使用しないでください。

    ../_images/stor_image65_1_ac.png

    共有内のエクスポートの場所を指定するデフォルトのパスでディレクトリが作成されます。パスは共有名に基づいて自動的に生成され、エクスポートのマウント時にもそのパスと共有のIPアドレスが使用されます。

    重要

    ルートエクスポートへのアクセス権限をユーザーに与えないでください。

ルートエクスポートがエクスポートリストに表示されます。

ルートエクスポートを作成したら、:doc:『ストレージユーザーズガイド<users_guide:index>』の説明に従ってマウントします。

警告

クラスターノードにはNFS共有をマウントしないでください。そのようにすると、ノードがフリーズする可能性があります。

5.3.3.2. ユーザーエクスポートの作成

ルートエクスポートを作成してマウントしたら、ユーザーNFSエクスポートの作成に進みます。これを行うための手順は、次のとおりです。

  1. マウントしたルートエクスポートで、ユーザーエクスポートのためのサブディレクトリ(export1など)を作成します。

  2. 共有の画面で、[エクスポートを追加] をクリックし、ユーザーエクスポート名を入力し、パスとして/export1を指定し、アクセスモードを選択します。

  3. [完了] をクリックします。

ユーザーエクスポートがエクスポートリストに表示されます。

5.3.4. ユーザー認証のセットアップ

Acronis Cyber Infrastructureでは、特定のNFS共有にアクセスするユーザーをKerberosで認証し、その共有内の特定のNFSエクスポートにアクセスするユーザーをLDAPで認証できます。

5.3.4.1. KerberosによるNFS共有ユーザーの認証

NFS共有でユーザー認証を有効にするには、以下の手順を実行します。

  1. 順方向と逆方向で解決できるFQDN(完全修飾ドメイン名)を共有のIPアドレスに割り当てます。

  2. [設定] > [セキュリティ] > [Kerberos] タブで、以下のKerberos情報を指定します。

    1. [レルム] で、FQDNを大文字で指定します。

    2. [KDCサービス] で、レルムのKDC(キー配布センター)サービスを実行するホストのFQDNまたはIPアドレスを指定します。

    3. [KDC管理サービス] で、レルムのKDC管理サービスを実行するホストのFQDNまたはIPアドレスを指定します。

      通常は、KDCとKDC管理サービスを同じホストで実行します。

  3. Kerberosサーバーで以下の手順を実行します。

    1. Kerberosデータベース管理プログラムの管理者としてログインします。

    2. addprinc -randkey nfs/<share_FQDN>@<realm>コマンドを使用して、共有のプリンシパルを追加します。たとえば、次のようになります。

      # addprinc -randkey nfs/share1.example.com@example.com

    3. そのプリンシパルのkeytab(キーテーブル)を生成して、アップロード元にできるディレクトリに保存します。たとえば、次のようになります。

      # ktadd -k /tmp/krb5.keytab nfs/share1.example.com@example.com

  4. [ストレージサービス] > [NFS] > [共有] タブで、共有を選択して [認証] をクリックします。

  5. keytabファイルをアップロードして、[保存] をクリックします。

重要

共有とクライアント(エクスポートをマウントするユーザー)ごとに、独自のプリンシパルとkeytabが必要です。

5.3.4.2. LDAPによるNFSエクスポートユーザーの認証

LDAPによってユーザーディレクトリへのアクセスを設定すれば、どのユーザーがどのNFSエクスポートにアクセスするかを制御できます。NFSアクセスパラメータを指定したユーザーアカウントのディレクトリが必要です。

LDAPサーバーへのアクセスを設定するには、以下の手順を実行します。

  1. [設定] > [セキュリティ] > [LDAP] タブで、以下の情報を指定します。

    • [アドレス] で、LDAPサーバーのIPアドレスを指定します。

    • [ベースDN] で、検索の開始点の識別名を指定します。

  2. [保存] をクリックします。

2020年07月31日
Print