透過クラウド階層化の計画
透過クラウド階層化の計画には、ライセンス交付対象機能を購入してから、システム上でその機能のアクティブ化と有効化を行うことが含まれます。
透過クラウド階層化は、ボリューム・データをコピーしてクラウド・ストレージに転送することを可能にするライセンス交付対象機能です。システムはクラウド・サービス・プロバイダーへの接続を作成して、ボリューム・データのコピーをプライベート・クラウドやパブリック・クラウドのストレージに保管することをサポートします。
透過クラウド階層化を使用すると、管理者は古いデータをクラウド・ストレージに移動して、システム上の容量を解放できます。 システム上でデータのポイント・イン・タイム・スナップショットを作成してから、コピーしてクラウド・ストレージに保管できます。 外部のクラウド・サービス・プロバイダーがクラウド・ストレージを管理するので、システムのストレージ・コストが削減されます。 データをクラウド・ストレージにコピーするには、事前にシステムからクラウド・サービス・プロバイダーへの接続を作成しておく必要があります。 クラウド・アカウントは、特定の資格情報セットを使用してクラウド・サービス・プロバイダーへの接続を表す、システム上のオブジェクトです。 これらの資格情報は、指定されるクラウド・サービス・プロバイダーのタイプによって異なります。 大部分のクラウド・サービス・プロバイダーでは、クラウド・サービス・プロバイダーのホスト名と関連のパスワードが必要であり、一部のクラウド・サービス・プロバイダーでは、クラウド・ストレージのユーザーを認証するための証明書も必要です。 パブリック・クラウドでは、既知の認証局によって署名された証明書を使用します。 プライベート・クラウド・サービス・プロバイダーは、自己署名証明書、または信頼された認証局によって署名された証明書のどちらかを使用できます。 これらの資格情報はクラウド・サービス・プロバイダーで定義され、クラウド・サービス・プロバイダーの管理者を介してシステムに渡されます。 システムがアカウント資格情報を使用してクラウド・サービス・プロバイダーと正常に通信し、認証できるかどうかは、クラウド・アカウントによって決まります。 認証されたシステムは、クラウド・ストレージにアクセスしてデータをクラウド・ストレージにコピーしたり、クラウド・ストレージにコピーされたデータをシステムにリストアしたりすることができます。システムでサポートされるクラウド・アカウントは、1 つのクラウド・サービス・プロバイダーに対して 1 つです。 プロバイダー間のマイグレーションはサポートされません。
各クラウド・サービス・プロバイダーは、クラウド・ストレージを、そのクラウド・ストレージを使用するクライアントごとのセグメントに分割します。 これらのオブジェクトは、そのクライアントに固有のデータのみを保管します。これらのオブジェクトの名前の先頭には、システムのアカウント作成時に指定できる接頭部が付きます。 接頭部はこれらのオブジェクトに保管されるシステム固有の内容を明示しており、接頭部を付けることで、複数の独立したシステムがデータを単一のクラウド・アカウントに保管できます。 これらのストレージ・オブジェクトを表す用語は、クラウド・サービス・プロバイダーによって異なります。
- サポートされているクラウド・サービス・プロバイダーとのサービス契約があることを確認します。
- システム用に透過クラウド階層化のライセンスを取得します。SAN ボリューム・コントローラー 2145-DH8 モデルと SAN ボリューム・コントローラー 2145-SV1 モデルのみが透過クラウド階層化をサポートします。処理を続行する前に、ご使用のハードウェア・モデルがこの機能をサポートしていることを確認してください。
- 必ず、システムで DNS サーバーを構成します。クラウド・アカウントの構成時、DNS サーバーがまだ構成されていない場合はウィザードによって DNS サーバーの作成が求められます。パブリック・クラウド・サービス・プロバイダーはすべて、パブリック・ネットワーク全体でホスト名を使用して識別されます。これらのホスト名を IP アドレスに変換してクラウド・アカウントを確立するために、システムにはドメイン・ネーム・システム (DNS) が必要です。
クラウド・サービス・プロバイダーとの接続を作成する前に、ホスト名を管理するために少なくとも 1 つの DNS サーバーを指定していることを確認してください。最大 2 つの DNS サーバーをシステムで構成することができます。システムに対して DNS を構成するには、サーバーごとに有効な IP アドレスと名前を入力します。IPv4 および IPv6 の両方のアドレス・フォーマットがサポートされています。
- クラウド・アカウントへの接続に暗号化が必要かどうかを決定します。パブリック・クラウド・ソリューションにアクセスする場合、暗号化によって、外部クラウド・サービス・プロバイダーへの転送時にデータが攻撃から保護されます。 クラウド・サービス・プロバイダーに送信されるデータを暗号化するには、システムでは、その機能をサポートするエンクロージャーごとに暗号化ライセンスが必要であり、そのシステムで暗号化が有効になっている必要があります。
クラウド・アカウントのセキュリティーの考慮事項
システムが外部のネットワークにアクセスする場合は常に、過失または故意の機密データ漏えいが起こる可能性があることがリスクになります。パブリック・ネットワークを介してシステムをクラウド・サービス・プロバイダーに接続する場合、暗号化を使用して、そのクラウド・サービス・プロバイダーに転送されるデータを保護することができます。
最初のレベルの暗号化ベース・セキュリティーは、システムとクラウド・サービス・プロバイダー間のセキュア通信を提供します。標準プロトコルであるトランスポート層セキュリティー (TLS) では、システムとクラウド・サービス・プロバイダー間で転送されるデータを暗号化してこれらの接続が保護されます。これらの接続にはセキュア通信が必須であり、クラウド・サービス・プロバイダーとシステム間で公開証明書が交換されることが必要です。管理 GUI でセキュア通信用に証明書を構成するには、に進みます。また、chsystemcert コマンドを使用して、システム証明書を作成することもできます。セキュア通信では、データはクラウドへの転送中は暗号化されますが、クラウドに保管されるときは暗号化解除される場合があります。各クラウド・サービス・プロバイダーには、クラウド・ストレージに置かれた後のデータを保護するための独自のセキュリティー手段があります。ただし、それでも違反が行われ、データが危険にさらされる可能性があります。クラウド・サービス・プロバイダーを使用するお客様は、データがクラウドに保管された後のデータ保護のために追加の暗号化方式を適用できます。
システムでは保存データの暗号化がサポートされるため、オプションで暗号鍵管理を構成して、クラウド・ストレージに保管されるデータに対する保護を強化できます。鍵管理がシステムで構成される場合、データが暗号化されてから、データがシステムから離れてクラウドに保管されます。システムでは、USB フラッシュ・ドライブまたは暗号鍵サーバーのどちらかを使用して鍵管理がサポートされます。暗号化が構成されると、マスター暗号鍵が作成され、USB フラッシュ・ドライブまたは鍵サーバーに別個に保管されます。構成済みのクラウド・サービス・プロバイダーに送信されるデータのスナップショットを作成すると、各ボリュームと各クラウド・アカウントは別個の暗号鍵を持ちます。クラウド・アカウントで使用される暗号鍵は、ボリュームの暗号鍵を保護します。マスター暗号鍵は、クラウド・アカウントで使用される暗号鍵を保護します。マスター暗号鍵は USB フラッシュ・ドライブまたは鍵サーバーに物理的に存在するため、盗難や紛失からマスター暗号鍵を保護するためのセキュリティー対策が実装されていることを確認する必要があります。データがシステムとクラウド・サービス・プロバイダーとの間で送信されるときに、データは、セキュリティー通信用に構成されている証明書によっても暗号化されます。マスター暗号鍵では転送中のデータも保護され、データはクラウド・ストレージに保管されている間も暗号化されたままです。マスター暗号鍵を使用すると、復元操作時にクラウドからシステムにデータが戻されるときもデータは暗号化されたままです。最終的に、データはシステムに着信したときに暗号化解除されるか、システム上で暗号化されたボリュームに保管できます。
クラウド・サービス・プロバイダーへの接続を構成する際は、このアカウントについてクラウドの保存データを暗号化するかどうかを決定する必要があります。決定後はそのアカウントの暗号化設定を変更できません。変更するには、クラウドからすべてのデータをリストアし、アカウントを再構成して、データのクラウド・スナップショットを再作成します。