Storage Foundation 8.0.2 管理者ガイド - Linux
- 第 I 部 Storage Foundation の紹介
- Storage Foundation の概要
- Dynamic Multi-Pathing の動作
- Veritas Volume Manager の動作
- Veritas File System の動作
- 第 II 部 ストレージのプロビジョン
- 新しいストレージのプロビジョニング
- ストレージの設定のための高度な割り当て方法
- 割り当て動作のカスタマイズ
- 特定のレイアウトのボリュームの作成
- 指定したディスクにおけるボリュームの作成
- 特定のメディアタイプのボリュームの作成
- 暗号化ボリュームの作成
- 暗号化パスワードの変更
- 暗号化ボリュームの表示
- 暗号化ボリュームの自動スタートアップ
- Key Management Server の設定
- ボリュームのストレージに対する順次ディスク割り当て
- サイトベースの割り当て
- ミラーボリュームの読み取りポリシーの変更
- VxFS ファイルシステムの作成とマウント
- VxFS ファイルシステムの作成
- ファイルシステムの VxFS への変換
- VxFS ファイルシステムのマウント
- ファイルシステムのマウント解除
- ファイルシステムサイズの変更
- マウントされているファイルシステムの情報の表示
- ファイルシステムタイプの識別
- 空き領域の監視
- エクステント属性
- 第 III 部 DMP を使ったマルチパスの管理
- Dynamic Multi-Pathing の管理
- 新しく追加されたディスクデバイスの検出と設定
- 部分的なデバイス検出
- ディスクの検出とディスクアレイの動的な追加について
- サードパーティドライバの共存について
- デバイス検出層の管理方法
- iSCSI を含むすべてのデバイスの一覧表示
- iSCSI を含むすべてのホストバスアダプタの一覧表示
- ホストバスアダプタ上で設定されたポートの一覧表示
- ホストバスアダプタまたはポートから設定されたターゲットの一覧表示
- ホストバスアダプタとターゲットから設定されたデバイスの一覧表示
- iSCSI 操作パラメータの取得または設定
- サポートされているすべてのディスクアレイの一覧表示
- Array Support Library(ASL)の詳細の表示
- ディスクアレイライブラリのサポートの無効化
- 無効にされたディスクアレイライブラリのサポートの有効化
- 無効にされたディスクアレイの一覧表示
- DISKS カテゴリで認識されているディスクの一覧表示
- DISKS カテゴリへのサポートされていないディスクアレイの追加
- DISKS カテゴリからのディスクの削除
- 外部デバイス
- デバイスを VxVM で非表示にする
- デバイスの VxVM での表示
- コントローラとストレージプロセッサに対する I/O の有効化と無効化について
- DMP データベース情報の表示について
- ディスクへのパスの表示
- vxdmpadm ユーティリティを使った DMP の管理
- DMP ノードに関する情報の取得
- DMP ノードについての統合された情報の表示
- LUN グループのメンバーの表示
- DMP ノード、コントローラ、エンクロージャ、アレイポートによって制御されるパスの表示
- コントローラに関する情報の表示
- エンクロージャに関する情報の表示
- アレイポートに関する情報の表示
- サードパーティ製のドライバにより制御されるデバイスに関する情報の表示
- 拡張デバイス属性の表示
- VxVM の制御下におけるデバイスの無効化と有効化
- I/O 統計情報の収集と表示
- エンクロージャへのパスに関する属性の設定
- デバイスまたはエンクロージャの冗長レベルの表示
- アクティブパスの最小数の指定
- I/O ポリシーの表示
- I/O ポリシーの指定
- パス、コントローラ、アレイポート、DMP ノードに対する I/O の無効化
- パス、コントローラ、アレイポート、DMP ノードに対する I/O の有効化
- エンクロージャ名の変更
- I/O エラーに対する応答の設定
- I/O 調整機構の設定
- LIPP(Low-Impact Path Probing)の設定
- サブパスフェールオーバーグループ(SFG)の設定
- リカバリオプション値の表示
- DMP パスリストアポリシーの設定
- DMP パスリストアスレッドの停止
- DMP パスリストアスレッドの状態の表示
- アレイポリシーモジュール(Array Policy Modules)の設定
- Metro/Geo アレイの遅延しきい値チューニングパラメータの設定
- 新しく追加されたディスクデバイスの検出と設定
- デバイスの動的再構成
- デバイスの管理
- イベント監視
- Dynamic Multi-Pathing の管理
- 第 IV 部 Storage Foundation の管理
- 第 V 部 I/O パフォーマンスの最適化
- 第 VI 部 PITC (Point-In-Time Copy) の使用
- PITC 方法の理解
- ボリュームスナップショットの管理
- ボリュームスナップショットについて
- 従来のサードミラーブレークオフスナップショット
- フルサイズインスタントスナップショット
- インスタントスナップショットの作成
- インスタントスナップの DCO と DCO ボリュームの追加
- 領域最適化インスタントスナップショットの作成と管理
- フルサイズインスタントスナップショットの作成と管理
- サードミラーブレークオフスナップショットの作成と管理
- リンクされたブレークオフスナップショットボリュームの作成と管理
- 複数のインスタントスナップショットの作成
- ボリュームセットのインスタントスナップショットの作成
- ボリュームへのスナップショットミラーの追加
- スナップショットミラーの削除
- リンクされたブレークオフスナップショットボリュームの削除
- カスケードスナップショット階層へのスナップショットの追加
- インスタント領域最適化スナップショットの更新
- フルサイズインスタントスナップショットまたはプレックスのブレークオフスナップショットの再接続
- リンクされたブレークオフスナップショットボリュームの再接続
- 領域最適化インスタントスナップショットからのボリュームのリストア
- インスタントスナップショットの関連付けの解除
- インスタントスナップショットの削除
- インスタントスナップショット階層の分割
- インスタントスナップショット情報の表示
- インスタントスナップショットの同期の制御
- キャッシュ上で作成したスナップショットの一覧表示
- キャッシュの autogrow 属性のチューニング
- キャッシュ使用率の監視と表示
- キャッシュの拡張と縮小
- キャッシュの削除
- インスタントスナップショットの作成
- リンクされたブレークオフスナップショット
- カスケードスナップショット
- 複数のスナップショットの作成
- スナップショットからの元のボリュームのリストア
- バージョン 0 の DCO および DCO ボリュームの追加
- Storage Checkpoint の管理
- FileSnaps の管理
- スナップショットファイルシステムの管理
- 第 VII 部 Storage Foundation を使用したストレージの最適化
- 第 VIII 部 ストレージ利用率の最大化
- SmartTier によるストレージの階層化について
- ボリュームセットの作成と管理
- MVS ファイルシステム
- SmartTier の管理
- ホットリロケーションの管理
- データの重複排除
- ファイルの圧縮
- 第 IX 部 ストレージの管理と保護
- ボリュームとディスクグループの管理
- デフォルトのディスクグループの名前の付け方
- ボリュームまたはディスクの移動
- タスクの監視と制御
- vxnotify による設定の変更の監視
- オンライン再レイアウトの実行
- ボリュームへのミラーの追加
- SmartMove の設定
- ミラーの削除
- ボリュームでのタグ設定
- ディスクグループの管理
- プレックスとサブディスクの管理
- ストレージの破棄
- ルータビリティ
- クォータ
- FCL (File Change Log)
- ランサムウェアに対する保護のサポート
- ボリュームとディスクグループの管理
- 第 X 部 参照先
CLI を使用したセキュアファイルシステムの設定
このセクションの目的は、SecureFS を設定し、CLI を使用して破損またはランサムウェアからの保護を有効にするための詳細な手順を提供することです。理解しやすいように、各手順を個別に説明します。
SecureFS を設定する前に、vxfstaskd サービスが実行状態であることを確認します。systemctl status vxfstaskd を使用して、サービスの状態を確認できます。
次のコマンドを使用して、既存のボリュームにファイルシステムを作成します。ボリュームを作成するには、vxassist コマンドを使用します。
/opt/VRTS/bin/mkfs -t vxfs <path_of_volume>
コマンドと出力例
mkfs -t vxfs /dev/vx/rdsk/testdg/vol1
version 17 layout 20971520 sectors, 10485760 blocks of size 1024, log size 16384 blocks rcq size 1024 blocks largefiles supported maxlink supported WORM not supported maxts supported
メモ:
ランサムウェアからの保護のために、ファイルシステムで、WORM または softworm が有効になっている必要があります。/opt/VRTS/bin/fsadm -o worm <path_of_mountpoint> コマンドを使用して、ファイルシステムで WORM を有効にできます。ランサムウェアから保護するには、mkfs に「-o worm」オプションを使用します。
ファイルシステムをマウントします。
mount -t vxfs <path of volume> <mount point>
コマンド例:
mount -t vxfs /dev/vx/dsk/testdg/vol1 /mnt1
SecureFS 設定ファイルの作成
vxschadm create <mount point>
コマンド例:
vxschadm create /mnt1
要件に基づいて、破損とランサムウェアの両方からの保護するために同じ SecureFS を設定できます。
破損から保護されたファイルシステムの設定
スナップショットのボリュームを準備します。
vxsnap -g <disk-group name> prepare <volume name>
コマンド例:
vxsnap -g testdg prepare vol1
スナップショット機能を有効にします。
vxschadm add snapshot <interval in cron format> <maximum number of snapshots>
スナップショットを設定するには、次のスナップショット形式を使用します。
Format : "mm hh dd MM ww" mm : minutes (0-59) or * hh : hours (0-23) or * dd : days (1-31) or * MM: months (1-12) or * ww: week (0-6) SUNDAY=0, SATURADAY=6
*: 「per」は、1 分ごと、1 時間ごとなどを意味します。
スナップショット形式のサンプル出力を次に示します。
Example 1: "30 15 * * *" Every day at 1530 hours, task will be executed. Example 2: "30 15 * * 6" Every Saturday at 1530 hours, task will be executed. Caution: "* * * * *" Every minute and hour options are not supported.
指定した間隔でスナップショットのリストを取得します。
vxsnap -g <diskgroup name> list <volume name>
コマンドと出力例:
vxsnap -g testdg list vol1 NAME DG OBJTYPE SNAPTYPE PARENT PARENTDG SNAPDATE vol1 testdg vol - - - - - secfs_1204231555vol1 testdg vol spaceopt vol1 testdg 2023/04/12 15
すべての機能を個別に有効または無効にできます。機能を削除するには、次のコマンドを使用します。
/opt/VRTS/bin/vxschadm delete {snapshot | checkpoint | policy} <mount_point>
「add」コマンドを使用して設定済みの機能を変更できます。
/opt/VRTS/bin/vxschadm add {snapshot | checkpoint | policy} <mount_point>
破損から保護されたファイルシステムの手順が完了しました。
ランサムウェアから保護されたファイルシステムの設定
ランサムウェアから保護するには変更不可能なチェックポイントを使用します。
a. チェックポイント機能を有効にします。
/opt/VRTS/bin/vxschadm add checkpoint <interval in os cron format> <maximum number of checkpoints> <retention period of checkpoint in days> <removable> <mount_point>
コマンドと出力例
vxschadm add checkpoint "59 15 * * *" 1 0 1 /mnt1
Format : "mm hh dd MM ww" mm : minutes (0-59) or * hh : hours (0-23) or * dd : days (1-31) or * MM: months (1-12) or * ww: week (0-6) SUNDAY=0, SATURADAY=6
*: 「per」は、1 分ごと、1 時間ごとなどを意味します。
スナップショット形式のサンプル出力を次に示します。
Example 1: "30 15 * * *" Every day at 1530 hours, task will be executed. Example 2: "30 15 * * 6" Every Saturday at 1530 hours, task will be executed. Caution: "* * * * *" Every minute and hour options are not supported.
チェックポイントは変更不可能なチェックポイントとして作成され、ro モードでマウントされます。
b. コマンドを使用してチェックポイントを一覧表示できます。
チェックポイントをリカバリする場合、または指定した間隔でチェックポイントのリストを取得する場合は、次のコマンド例を使用します。
fsckptadm list /mnt1 /mnt1
secfs_1204231559: ctime = Wed 12 Apr 2023 03:59:31 PM IST mtime = Wed 12 Apr 2023 03:59:31 PM IST Retention period = 0 flags = largefiles, removable, worm
a. 次の fsppmk コマンドを使用してポリシーファイルを作成します。
fsppmk policy -b -n "worm policy" -v 6.0 > sample.xml fsppmk rule -b -n "normal" -t data >> sample.xml fsppmk select -b -u "root" -p "abc.txt" -r -e >> sample.xml fsppmk worm -b -r 10Y >> sample.xml fsppmk qualifier -b -q accage -t hours -c gt,1 -e >> sample.xml fsppmk worm -e >> sample.xml fsppmk rule -e >> sample.xml fsppmk policy -e >> sample.xml
fsppmk コマンドを使用して作成されたポリシー XML の例を次に示します。
<?xml version="1.0"?> <!DOCTYPE PLACEMENT_POLICY SYSTEM "/opt/VRTSvxfs/etc/placement.dtd"> <PLACEMENT_POLICY Name="worm policy" Version="6.0"> <RULE Flags="data" Name="normal -t"> <SELECT> <PATTERN Flags="recursive"> abc.txt </PATTERN> <USER> root </USER> </SELECT> <WORM> <RETENTION> <TIME> 10Y </TIME> </RETENTION> <WHEN> <ACCAGE Units="hours"> <MIN Flags="gt"> 1 </MIN> </ACCAGE> </WHEN> </WORM> </RULE> </PLACEMENT_POLICY>
b. ポリシーファイルを検証します。
コマンド例: fsppadm validate /mnt1 sample.xml
c. ポリシーファイルを割り当てます。
コマンド例: fsppadm assign /mnt1 sample.xml
fsppadm について詳しくは、配置ポリシーの管理を参照してください。
d. セキュアファイルシステムにポリシーを追加します。
コマンド例: vxschadm add policy "15 16 * * *" /mnt1
ランサムウェアから保護されたファイルシステムの手順が完了しました。
すべての機能を個別に有効または無効にできます。機能を削除するには、次のコマンドを使用します。
/opt/VRTS/bin/vxschadm delete {snapshot | checkpoint | policy} <mount_point>
「add」コマンドを使用して設定済みの機能を変更できます。
/opt/VRTS/bin/vxschadm add {snapshot | checkpoint | policy} <mount_point>
詳しくは、vxschadm(1M) のマニュアルページを参照してください。