Go to main content

Oracle® ZFS Storage Appliance 管理ガイド、Release OS8.8.x

印刷ビューの終了

更新: 2021 年 8 月
 
 

レプリケーションターゲット

レプリケーションターゲットを次に示します。

  • ソースアプライアンスの別のプール。

  • オフラインレプリケーション用の個別の NFS サーバー。

レプリケーションターゲットを作成する場合、まずターゲットの名前を入力します。この名前は、ソースアプライアンスの BUI または CLI でのターゲットの識別に使用されます。

セキュアな接続の確立

レプリケーションターゲットおよびソースアプライアンスは、ソースとターゲットの間でのセキュアな通信を可能にする接続を確立します。次の情報を指定して接続を確立します。

  • ターゲットアプライアンスの完全修飾ドメイン名または IPv4 アドレス - 使用が推奨される値は、ターゲットのドメイン名です。

  • レプリケーションターゲットの root パスワード - 管理者がレプリケーションターゲットで接続を設定できるようにします。

ソースおよびターゲットは、以降の通信で互いに相手をセキュアに識別するために使用される鍵を交換します。これらの鍵はアプライアンス構成の一部として保存され、リブート後やアップグレード後も保持されます。アプライアンスを出荷時設定にリセットした場合や再インストールした場合、これらの鍵は失われます。

root パスワードが永続的に保存されることは決してありません。ターゲットまたはソースでの root パスワードの変更には、レプリケーション構成の変更は必要ありません。パスワードが平文で転送されることは決してありません。最初のアイデンティティー交換 (および他のすべてのレプリケーション操作) は SSL で保護されています。

レプリケーショントラフィックが特定のネットワークインタフェースを通過するようにする必要がある場合は、「ネットワークインタフェースと静的ルーティングの設定 - BUICLI」に示すように、そのインタフェースを指定するターゲットの静的ルートを設定します。

ターゲット証明書の検証

レプリケーションターゲットを作成すると、証明書の検証が実行されます。証明書の検証は、次のステップで構成されます。

  1. 証明書ホスト名チェック

  2. 証明書信頼チェック

ホスト名チェックまたは信頼性チェックのいずれかが失敗した場合、ターゲットは作成されません。

ホスト名チェック

hostname プロパティーの値は、完全修飾ドメイン名または IPv4 アドレスにすることができます。推奨される値は、ターゲットの完全修飾ドメイン名です。

ホスト名チェックでは、ターゲットに指定したホスト名が証明書に指定されたホストと一致することが確認されます。ホスト名に IP アドレスまたは非修飾ドメイン名を指定し、証明書に完全修飾ドメイン名しかない場合、ホスト名チェックは失敗し、ターゲットは作成されません。

ターゲットが ASN ベースの証明書を使用している場合は、hostname プロパティーの値にターゲットの完全修飾ドメイン名を指定します。

ホスト名チェックはデフォルトで実行されます。「ホストの一致」オプションを無効にすることで、ホスト名チェックをバイパスできます。

セキュリティーを強化するには、ホスト名プロパティーの値をターゲットの完全修飾ドメイン名に設定し、「ホストの一致」オプションが有効になっていることを確認します。

証明書信頼チェック

証明書信頼チェックでは、次の証明書のいずれかがソースの信頼できる証明書リストに追加され、ピアでの使用が有効になっていることを確認します。

  • ターゲットアプライアンスの証明書。

  • ターゲットアプライアンスの証明書を発行した認証局の証明書。

証明書は、ターゲットを作成または編集するとき、およびソースとターゲットが接続を試みるたびに検証されます。また、いつでも自分で接続をチェックできます。

  • ターゲットの作成。ターゲットを追加するとき、証明書がソースによって信頼されていない場合は、確認のために証明書が表示され、証明書を承認するか拒否するよう求められます。証明書を承認すると、その証明書はソースの信頼リストに追加され、ターゲットが作成されます。証明書を拒否すると、その証明書はソースの信頼リストに追加されず、ターゲットは作成されません。証明書がすでに信頼されている場合、ターゲットが作成され、証明書を承認するよう求められません。

    ターゲットが作成された後、その証明書は信頼できなくなることがあります。たとえば、ソースの管理者が信頼できる証明書のリストから証明書を削除したり、ターゲットの管理者が証明書を置き換えたりすることができます。

  • ターゲットの編集。変更を適用するとき、証明書がソースによって信頼されていない場合は、確認のために証明書が表示され、証明書を承認するか拒否するよう求められます。証明書を承認すると、その証明書はソースの信頼リストに追加されます。証明書を拒否すると、その証明書はソースの信頼リストに追加されません。

  • 接続テスト。証明書が信頼できるかどうかはいつでもチェックできます。証明書がソースによって信頼されていない場合、確認のために証明書が表示され、証明書を承認するか拒否するよう求められます。「接続のテスト - BUICLI」を参照してください。

  • ピアおよびレプリケーション接続。証明書信頼チェックは、すべてのピアおよびレプリケーション接続に対して実行されます。証明書が信頼されていない場合、ソースは接続を拒否します。

関連トピック

  • レプリケーションターゲットの作成 - BUICLI

  • 「接続のテスト」 - BUICLI

  • 「レプリケーションターゲットの編集」 - BUICLI

その他のレプリケーションターゲットの考慮事項

レプリケーションソースが NIS または LDAP を使用し、これらのサービスのユーザーまたはグループをシェア構成内で直接マッピングしている場合、同等の設定がレプリケーションターゲット上に存在する必要があります。そうしない場合、レプリケーションの切断および逆向きの操作に失敗することがあります。

デフォルトでは、レプリケーションターゲット接続は双方向ではありません。たとえば、管理者がソース S からターゲット T へのレプリケーションを構成した場合、T が自動的に S をターゲットとして使用できるわけではありません。ただし、レプリケーションの方向を逆にすることはサポートされており、TS のターゲットが自動的に作成されて (存在しない場合)、T から S へのレプリケーションを可能にします。詳細は、レプリケーションの方向を逆にするを参照してください。

関連トピック