NetBackup™ クラウドオブジェクトストア管理者ガイド

クラウドオブジェクトストアアカウントを追加するには:

1. 左側で、［作業負荷 (Workloads)］の［クラウドオブジェクトストア (Cloud object store)］をクリックします。
2. ［クラウドオブジェクトストアアカウント (Cloud object store account)］タブで、［追加 (Add)］をクリックします。［クラウドオブジェクトストア名 (Cloud object store name)］フィールドにアカウントの名前を入力し、［クラウドオブジェクトストアプロバイダの選択 (Select Cloud object store provider)］リストからプロバイダを選択します。
3. バックアップホストまたはスケールアウトサーバーを選択するには、［検証用ホストの選択 (Select host for validation)］をクリックします。RHEL メディアサーバー上のホストは、クラウドオブジェクトストアのクレデンシャルの検証、バックアップ、およびリカバリをサポートする NetBackup 10.1 以降にする必要があります。

   • バックアップホストを選択するには、［バックアップホスト (Backup host)］オプションを選択し、リストからホストを選択します。

   • スケールアウトサーバーを使用するには、［スケールアウトサーバー (Scale out server)］オプションを選択し、リストからサーバーを選択します。NetBackup Snapshot Manager サーバー 10.3 以降は、スケールアウトサーバーとして機能します。

     バケットの数が非常に多い場合は、NetBackup 10.3 以降のリリースのバックアップホストとして NetBackup Snapshot Manager を使用することもできます。［スケールアウトサーバー (Scale out server)］オプションを選択し、リストから NetBackup Snapshot Manager を選択します。

     メモ:

     既存の NetBackup プライマリサーバーは、NetBackup Snapshot Manager のこのインスタンスで構成されている必要があります。

4. 利用可能な地域リストから地域を選択します。［地域 (Region)］テーブルの上の［追加 (Add)］をクリックして、新しい地域を追加します。

   新しい地域の追加。一部のクラウドオブジェクトストアプロバイダでは、地域を利用できません。

   デュアル地域バケットをサポートする GCP の場合は、アカウントの作成時にベースの地域を選択します。たとえば、デュアル地域バケットが US-CENTRAL1、US-WEST1 の地域にある場合、アカウントの作成時に地域として US を選択してバケットを一覧表示します。

5. ［アクセス設定 (Access settings)］ページで、アカウントのアクセス方法の種類を選択します。

   • アクセスのクレデンシャル (Access credentials): この方法では、NetBackup はアクセスキー ID とシークレットアクセスキーを使用して、クラウドオブジェクトストアアカウントへのアクセスとセキュリティ保護を行います。この方法を選択した場合は、必要に応じて後続の手順 6 から 10 を実行してアカウントを作成します。

   • IAM 役割 (EC2) (IAM role (EC2)): NetBackup は、EC2 インスタンスに関連付けられた IAM 役割名とクレデンシャルを取得します。選択したバックアップホストまたはスケールアウトサーバーは EC2 インスタンスでホストされている必要があります。EC2 インスタンスに関連付けられている IAM ロールに、クラウドオブジェクトストアの保護に必要なクラウドリソースにアクセスするためのアクセス権があることを確認します。このオプションを使用してクラウドオブジェクトストアアカウントを構成する際は、EC2 インスタンスに関連付けられた権限に応じて正しい地域を選択してください。このオプションを選択した場合は、必要に応じて任意の手順 7 と 8 を実行してから、手順 9 と 10 を実行します。

   • 役割の引き受け (Assume role): NetBackup は指定されたキー、シークレットアクセスキー、役割 ARN を使用して、同じアカウントとクロスアカウント用の一時的なクレデンシャルを取得します。必要に応じて手順 6 から 10 を実行してアカウントを作成します。

     AWS でのクロスアカウントアクセスの作成 を参照してください。

   • 役割の引き受け (EC2)(Assume role (EC2)): NetBackup は、EC2 インスタンスでホストされている、選択したバックアップホストまたはスケールアウトサーバーに関連付けられている AWS IAM の役割のクレデンシャルを取得します。その後、NetBackup は、クラウドオブジェクトストアの保護に必要なクラウドリソースにアクセスするために、役割 ARN に指定された役割を引き受けます。

   • クレデンシャルブローカー (Credentials broker): NetBackup はクラウドオブジェクトストアの保護に必要なクラウドリソースにアクセスするためのクレデンシャルを取得します。

   • サービスプリンシパル (Service principal): NetBackup では、サービスプリンシパルに関連付けられているテナント ID、クライアント ID、およびクライアントシークレットを使用して、クラウドオブジェクトストア保護に必要なクラウドリソースにアクセスします。Azure でサポートされます。

   • 管理対象 ID (Managed identity): NetBackup では、選択したバックアップホスト、スケールアウトサーバー、またはユーザーと関連付けられた管理対象 ID を使用して、Azure AD トークンを取得します。NetBackup は、これらの Azure AD トークンを使用して、クラウドオブジェクトストアの保護に必要なクラウドリソースにアクセスします。システムまたはユーザーによって割り当てられた管理対象 ID を使用できます。

6. 既存のクレデンシャルを追加することも、アカウントの新しいクレデンシャルを作成することもできます。

   • アカウントの既存のクレデンシャルを選択するには、［既存のクレデンシャルの選択 (Select existing credentials)］オプションを選択し、表から必要なクレデンシャルを選択して［次へ (Next)］をクリックします。

   • Azure で管理対象 ID を使用するには、［システム割り当て (System assigned)］または［ユーザー割り当て (User assigned)］を選択します。ユーザー割り当ての方法の場合は、クラウドリソースにアクセスするためにユーザーに関連付けられているクライアント ID を入力します。

   • アカウントの新しいクレデンシャルを追加するには、［新しいクレデンシャルを追加 (Add new credentials)］を選択します。新しいクレデンシャルの［クレデンシャル名 (Credential name)］、［タグ (Tag)］、［説明 (Description)］を入力します。

     AWS S3 と互換性のある API を介してサポートされるクラウドプロバイダの場合は、AWS S3 と互換性のあるクレデンシャルを使用します。［アクセスキー ID (Access key ID)］と［シークレットアクセスキー (Secret access key)］を指定します。

     Microsoft Azure クラウドプロバイダの場合:

     • アクセスキーの方法では、ストレージアカウントのクレデンシャルを指定し、ストレージアカウントを指定します。

     • サービスプリンシパルの方法では、クライアント ID、テナント ID、シークレットキーを指定します。

   • アクセス方法として［役割の引き受け (Assume role)］を使用する場合は、［役割 ARN (Role ARN)］フィールドで、アカウントに使用する役割の Amazon リソースネーム (ARN) を指定します。

7. (任意) NetBackup とクラウドストレージプロバイダの間のユーザー認証またはデータ転送に SSL (Secure Sockets Layer) プロトコルを使用する場合は、［SSL を使用する (Use SSL)］を選択します。

   • ［認証のみ (Authentication only)］: クラウドストレージにアクセスするときのユーザーの認証で SSL のみを使用する場合は、このオプションを選択します。

   • ［認証とデータ転送 (Authentication and data transfer)］: ユーザー認証にも、NetBackup からクラウドストレージへのデータ転送にも SSL を使用する場合は、このオプションを選択します。

   • ［証明書の失効を確認する (IPv6 はこのオプションのサポート対象外) (Check certificate revocation (IPv6 not supported for this option))］: すべてのクラウドプロバイダに対し、NetBackup は OCSP プロトコルを使用して SSL 証明書の失効状態を検証するための機能を提供します。OCSP プロトコルは、証明書の現在の失効状態を取得するために、証明書発行者に検証要求を送信します。SSL を有効にして証明書失効の確認オプションを有効にすると、OCSP 要求で自己署名以外の各 SSL 証明書が検証されます。証明書が無効である場合、NetBackup はクラウドプロバイダに接続しません。

   メモ:

   NetBackup は、SSL モードでのクラウドストレージとの通信時に、認証局 (CA) によって署名された証明書のみをサポートします。クラウドサーバー (パブリックまたはプライベート) に CA による署名付き証明書があることを確認します。CA によって署名された証明書がない場合は、SSL モードでの NetBackup とクラウドプロバイダ間のデータ転送が失敗します。自己署名 SSL 証明書を使用する場合は、NetBackup のクラウドストレージ CA トラストストアに証明書を追加する必要があります。NetBackup クラウドの認証局 (CA) の管理 を参照してください。

   メモ:

   Amazon GovCloud クラウドプロバイダの FIPS リージョン (s3-fips-us-gov-west-1.amazonaws.com) では、セキュアモードの通信のみがサポートされます。このため、FIPS 領域を持つ Amazon GovCloud クラウドストレージを設定するときに［SSL を使用する (Use SSL)］オプションを無効にすると、設定は失敗します。

8. (任意) プロキシサーバーを使用する場合は、［プロキシサーバーを使用する (Use proxy server)］オプションを選択し、プロキシサーバーの設定を指定します。［プロキシサーバーを使用する (Use proxy server)］オプションを選択すると、次の詳細を指定できます。

   • プロキシホスト (Proxy host): プロキシサーバーの IP アドレスまたは名前を指定します。

   • プロキシポート (Proxy Port): プロキシサーバーのポート番号を指定します。

   • プロキシの形式 (Proxy type): 次のプロキシの形式のいずれかを選択できます。

     • HTTP

       メモ:

       HTTP プロキシ形式のプロキシクレデンシャルを指定する必要があります。

     • SOCKS

     • SOCKS4

     • SOCKS5

     • SOCKS4A

   HTTP プロキシ形式には、［プロキシのトンネリングを使用 (Use proxy tunneling)］を選択します。

   ［プロキシのトンネリングを使用 (Use Proxy Tunneling)］を有効にすると、HTTP CONNECT 要求がバックアップホストまたはリカバリホストから HTTP プロキシサーバーに送信されます。TCP 接続はクラウドバックエンドストレージに直接転送されます。データは、接続からヘッダーやデータを読み取ることなくプロキシサーバーを通過します。

   HTTP プロキシ形式を使用する場合は、次のいずれかの認証形式を選択します。

   • なし (None): 認証が有効になりません。ユーザー名とパスワードは要求されません。

   • 基本 (Basic): ユーザー名とパスワードが必要です。

   • NTLM: ユーザー名とパスワードが必要です。

   ユーザー名 (Username): プロキシサーバーのユーザー名です。

   パスワード (Password): 空にできます。最大 256 文字を使用できます。

9. ［次へ (Next)］をクリックします。
10. ［確認 (Review)］ページでアカウントの設定全体を確認し、［完了 (Finish)］をクリックしてアカウントを保存します。