Nutanix Objects をPCBR用にセットアップする(Bucketsの作成と設定)

 前回まで

前回はObject Storeの作成まで行った。

準備編

Object Store作成編

今回はBucketの作成と設定を行う。

 

免責事項

本記事はテスト目的などで手軽に構築することを目的としているため、

必ずしも要件は推奨事項に一致していない点はご留意ください。

  

シリーズ一覧

準備編

Object Store作成編

Bucket作成編 

PCBR実行編


Bucketsの作成と設定

 前回まででObject Storeを作成したので、実際にPrism Centralのバックアップを保存するBucketを作成する。

BucketタブのCreate Bucketから作成ウィザードを起動する

 

 

 

BucketにはPCBR用の設定が必要となるため合わせて実施する。

まずはBucket作成時に以下の用のVersioningを有効化し、Lifecycle Policyも設定をしておく。

※公式にサポートされているPrism Centralのリストアポイントは30日以内に限られる。

 

 

  

Bucketの作成が完了したら、ActionsからConfigure WORMを選択し、WORMの設定を追加しておく。

※公式にサポートされているPrism Centralのリストアポイントは30日以内に限られる。

 

 

 

次にObjectsのナビゲーションのAccess Keys から、ユーザを登録する。

 

 

 

 

ユーザ作成の流れでGenerate KeysDownload Keysを実行する

 

 後々で必要となるAccess KeySecret Keyが記載されたテキストファイルがダウンロードされる

 

 

 

 ユーザの登録が完了したら、BucketUser Access設定を追加する

 

  

 

 作成したユーザに対して必要な権限を追加する。

※今回は最低限の権限ではなく、最低限の手間を優先してFull Accessにしています。

※最低限の権限については、下記ドキュメントを参照

Prism pc.7.3 - Enabling Nutanix Objects Bucket Access for a User

 

 

証明書の置き換えの必要性

 Prism Centralのバックアップやリストア時にObject Storeに接続する際、証明書のチェックが実施される。

その際にObject Storeが応答する証明書が適切なものでないと、Object Storeへの接続がエラーとなってしまう。

そのため、事前にObject Storeの証明書を適切なものに置き換えておく必要がある。

 

証明書の置き換えは以下の「Manage FQDN & SSL Certificates」から実施する

 

 

GUIからは現在のCA証明書のダウンロードや、証明書の置き換え、FQDNの追加が行える。

 

 おそらくほとんどの環境でデフォルトのprism-central.cluster.local ドメインのFQDNになっていると思われるが、

このドメインでサービスを展開することは考えられない。

手動でFQDNを追加して、対応する証明書を作成することも可能だが、その場合はDNSレコードの追加が必要になってしまうため、今回はIPアドレスを証明書に追加する方法をとる。

次の項目でIPアドレスでアクセス可能な証明書を作成する。

 

証明書を準備する

 この部分が一番ヒントが少なく、証明書についての基本的な知見がないとハマりやすいポイント。

通常であれば作成するObject StoreFQDNを含んだ証明書を作成しなくてはならないが、

今回の検証ではDNSサーバにも触らずに構成したいので、IPアドレスもついでに追加した形で証明書を作成する。

 

その場合は証明書のCNIPアドレスを追加する方法ではうまくいかないため、Subject Alternative Name IPアドレスを追加する方法を紹介する。

 

今回はLinux環境でOpensslコマンドにて自己署名証明書を作成した。

まず、以下の内容で san.cnfファイルを作成する。

 

# cat san.cnf
[ req ]
default_bits       = 2048
distinguished_name = req_distinguished_name
req_extensions     = req_ext
 
[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
stateOrProvinceName         = State or Province Name (full name)
localityName               = Locality Name (eg, city)
organizationName           = Organization Name (eg, company)
commonName                 = Common Name (e.g. server FQDN or YOUR name)
 
[ req_ext ]
subjectAltName = @alt_names
 
[alt_names]
DNS.1   = objects.prism-central.cluster.local     <<<環境に合わせて修正する
IP.1 = 192.168.80.243    <<<<環境に合わせて修正する

 

 

設定ファイルができたので、以下のコマンドでCAおよびサーバ証明書を作成していく。

 

openssl genrsa -out ca-key.pem 2048

openssl genrsa -out server-key.pem 2048

openssl req -new -x509 -key ca-key.pem -out ca-cert.pem -days 365

openssl req -new -config san.cnf -key server-key.pem -out server-req.pem

openssl x509 -req -in server-req.pem -out server-cert.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -days 365 -extfile san.cnf -extensions req_ext

openssl x509 -in server-cert.pem -text -noout | grep DNS

 

最後のコマンド出力で、以下のようにDNSIPアドレスが証明書に登録されていれば正常に完了している。

 

上記で生成される以下のファイルを端末にダウンロードしておく。(後で使う)

server-cert.pem

server-key.pem

ca-cert.pem

 

証明書のアップロード

Prism Centralに戻って、Replace SSL Certificateから証明書をアップロードする。

先の手順で作成した証明書関連のファイルをアップロードする。

  

証明書の置き換えには数分かかるため、タスクが完了するのを待つ。

 

 

次回予告

今回はBucketの設定まで実施した。

次回はようやくPrism Centralのバックアップとリストアを試していく。

 

参考:

Prism pc.7.3 - Configuring Nutanix Objects Lifecycle and Policies

Objects 5.2 - Applying WORM Policy to Buckets from Prism Central

Prism pc.7.3 - Enabling Nutanix Objects Bucket Access for a User

 

 

コメント

コメントを投稿

このブログの人気の投稿

NutanixサイザーのCPUリソース計算について調べたこと

イメージ
  概要 Nutanix サイザーはデフォルト設定では CPU リソース計算のロジックが特殊なので少し調べてみた     免責事項 本記事の内容は推測多分に含んでおり、詳細については正しくない可能性があります。 実際に計算が微妙に合わない部分などもありますが、実際のサイジング結果から大きくずれているということはないので、 厳密さはないものの、 CPU 計算ロジックの概要としてお考え下さい。     CPU サイジングに関わる前提知識 CPU リソース計算のロジックが複雑になっている要因を一言でいえば、 CPU モデル毎の性能差である。 つまり、同じ 1 コアでも CPU モデルによってその性能が大きく異なる。 もし 5 年前の CPU で 4 コア必要なアプリケーションがあったとして、最新の CPU のコアでは 2 コアで済む場合もある。 そのようなケースで性能差を考えずに基盤更改の際に単純にコア数だけでサイジングをしてしまうとオーバーサイジングになってしまう。 昨今のソフトウェアはソケット単位ではなくコア単位の課金になっているケースが多いため、コア数が増えるとソフトウェアコストも増えてしまう。   そのため、きちんと CPU の性能差を理解して適切なサイジングをすることがコスト観点で重要となっている。     Nutanix Sizer の CPU リソース計算のロジック( Applied Weight 利用時) 参考: Nutanix Sizer Help   Nutanix Sizer から出力される BOM を見ると CPU リソースとして以下の項目がある。   今回議題にしているのは Physical RAW Capacity ( Cores )と Effective RAW Capacity ( Cores )の違いについてである。 Physical RAQ Capacity ( Cores )はその名の通り、物理的なコア数である。 この例では 24Core の CPU ( Intel 6442Y) が 8 基利用されているので、合計で 192 ...
続きを読む

Nutanixクラスタにノードを追加する

イメージ
  はじめに / 本記事の概要 Dell 社の Nutanix 専用ノードを利用して、 Nutanix 環境のノード追加を試す   環境情報 既存クラスタ: 3 ノードクラスタ、 AOS 6.5.5.7 追加クラスタ: HW 構成とバージョンが既存と同じ。イメージング済み 端末含め、 IP アドレスはすべて同一サブネット。 VLAN はなし。   ノード追加ウィザーの入力   Home から Settings を選択   イメージング済みのノードが自動的に検知されてくる。(自動検知用のネットワーク要件あり) 検知されてこない場合はスイッチ側の Multicast や Snooping の設定に問題がある可能性がある。 トラブルシューティングが必要な場合は以下の KB やドキュメントを参照する Cannot Create Cluster or Add Nodes to Existing Cluster (nutanix.com) Network Design Requirements and Recommendations (nutanix.com) Physical Networking Best Practices Checklist (nutanix.com)   環境が自動検出に対応していない場合は、 CVM IP を指定することで手動検知することも可能。   自動検知されたノードをチェックするとイメージング時に指定した IP アドレス情報( IPMI 、 Host 、 CVM )を拾ってくる IPv6 IP は指定せずに Next で先に進む。 次にノードタイプを指定する( HCI or Storage )   次の Host Networking だが、以下の問題に遭遇した   この問題は以下の KB で対処できる Cluster expansion workflow fails to get the uplink information when trying to configure the host networking (nutanix.com)   ...
続きを読む

(Nutanix)Dell XC モデルのアップグレード準備メモ(LTS 6.5.x -> 6.10)

本記事の概要 インターネットアップグレード機能を利用した LTS 6.5 → 6.10 へのアップグレードの準備とまとめておく   アップグレードされるものの一覧 Nutanix LCM では以下のコンポーネントをアップデートすることが可能となっている LCM Framework Prism Central AOS AHV FSM Foundation Licensing Dell XC Firmware 群( Dell XC モデルを利用)     アップグレード前に確認すべき互換性 LCM を実行する前に互換性も確認しておく。   ①既存ハードウェアとターゲットバージョンの互換性 https://portal.nutanix.com/page/documents/compatibility-interoperability-matrix/hardware ※利用しているハードウェアがターゲットバージョンにに対応しているかを確認した     https://portal.nutanix.com/page/documents/compatibility-interoperability-matrix/interoperability ターゲット AOS と Prism Central の互換性を確認することで Prism Central のターゲットバージョンを決定する 決定した Prism Central のターゲットバージョンが既存 AOS の互換性があるのかを確認する必要がある。 ※互換性がない場合は 2 段階アップグレードなども考慮しなくてはならない。今回は対応していたので OK 。     https://portal.nutanix.com/page/documents/upgrade-paths Prism Central のソースバージョンからターゲットバージョンへのアップグレードパスを確認しておく。 同様に、 AOS についてもソースバージョンからターゲットバージョンへのアップグレードパスを確認する。   ...
続きを読む